校園無線網絡安全綜合防御

趙建超，尹新富

ZHAO Jian-chao1，YIN Xin-fu2

（1.河南工業職業技術學院 計算機工程系，南陽 473009；2.鄭州經貿職業學院，鄭州 450006）

0 引言

隨著帶有無線功能筆記本的普及，校園內無線需求激增。無論是教師或者是學生都希望在校園內隨時隨地接入網絡，因此無線校園網迅速得到了普及。但是由于無線網絡采用的是公共電磁波，類似早期的HUB，任何人都有條件竊聽或干擾信息。使用OmniPeek等抓包工具分析后，能夠比較容易的免費上網甚至入侵學校的服務器[1]。2008 WPA加密首先已經被國外人員率先破解[2]。最近，Elcomsoft 推出ElcomSoft Distributed Password Recovery分布式密碼暴力破解工具，能夠利用Nvidia顯卡使WPA和WPA2無線密鑰破解速度提高100倍。由于軟件還允許數千臺計算機聯網進行分布式并行計算[3]，無線網絡受到的極大的威脅。

1 傳統的無線安全措施及其缺點

1.1 軟件安全設置及其優缺點

傳統的軟件安全設置主要包括修改默認的SSID并禁止廣播和設置黑白MAC地址名單并綁定相應的VLAN[4,5]。

每個無線網絡都有一個服務區標識符（SSID），類似windows中的域，只有SSID相同的無線客戶端（STA）才能通過AP（無線接入點）接入網絡。為適應商業網絡STA經常流動的需要，無線交換機通常默認啟用SSID的廣播。因為校園網的上網成員相對固定，因此，有必要禁用SSID廣播來提高網絡的安全性。通常設備制造商都在他們的產品中設了一個默認的SSID。例如思科linksys設備的SSID通常是“linksys”，TPLINK的為“TP-LINK”。修改以阻止非授權的無線客戶端通過猜測來進入該網絡是最基礎的防護手段。

理論上說，任何一個網絡設備都一個獨一無二的物理地址，稱之為MAC地址。因此，在無線交換機上可以設置黑白名單：在黑名單上可以禁止一些MAC用戶接入，白名單為合法用戶，允許接入。

不過，上面的兩條安全措施僅僅只能在一定程度上防止網絡入侵。例如在XP系統下，用戶很容易修改自己網卡的MAC地址。另外，通過對無線抓包軟件的仔細分析后，也可以得到白名單的MAC地址。即使接入點禁止廣播 SSID，在客戶端和接入點之間來回傳送的流量最終也會暴露出SSID。即使攻擊者并非刻意監控 RF 頻段，也可在上述傳輸過程中通過無線抓包軟件嗅探到 SSID，因為它是以純文本格式發送的。

1.2 無線加密傳輸及其優缺點

由于WEP天然的缺陷[6]，所以很快推出了WPA。802.11i 規定了兩種企業級加密機制，分別是：TKIP（臨時密鑰完整性協議）和 AES（高級加密標準），這兩種加密機制已分別被 Wi-Fi 聯盟納入 WPA 和 WPA 2 認證中。

由于WPA TKIP協議的缺陷，破解者可以得到通信的密鑰，從而看到通信的數據。但是，由于WPA協議采用的是每一節點均使用一個不同的密鑰對其數據進行加密，因此不存在全部破解的問題，看到的僅僅某個用戶的數據。因此，校園網用戶不必草木皆兵。在關鍵區域，用戶可以采用其它的通信加密措施，讓整個通信過程更安全。比如可以使用VPN系統配合WPA進行工作，這樣即使數據被截獲，也無法看到真正的信息。

由于加密會耗費無線交換機的CPU資源，尤其在低檔的校園無線交換機上，無線網絡的安全特性極大影響傳輸性能。多次測試表明，當采用WEP128位加密傳輸模式時，網絡傳輸性能會損失28%-75%，傳輸性能的損失與交換機CPU處理速度直接相關。

2 綜合無線安全防護措施

軟件和加密協議簡單易行，但是僅僅靠上述方法無法實現校園網絡的安全。而應該和其他手段共同配合來提高安全性。

2.1 天線的合理選用和布局

WLAN是工作在2.4G或者5.8G頻段。由于頻點很高，因此穿墻的能力非常弱，只能穿過一般的門窗。由于考慮的成本和覆蓋范圍考慮，不少學校AP配置的天線為桿狀全向天線。這種天線向周圍均勻發射，造成覆蓋范圍過大，使得入侵者很容易收到信號，從而入侵網絡。在校園的不同區域，應該選用不同的天線類型和安裝方式。比如在普通教學區域，可以把AP布放在走廊邊，采用吸頂式定向天線伸出天花板進行安裝。如下圖所示。吸頂天線與平常使用的全向天線不同，它在內部設計上增加了一個反射板，把輻射更多地向下反射，能夠提高輻射范圍的信號強度。使得覆蓋范圍內信號很強，也覆蓋范圍之外信號變得非常弱（因為天線方向向下）。一方面可以實現有效覆蓋。另外，其他樓層來說由于是定向天線，加上穿過樓板后信號衰減，網絡不能覆蓋。因此入侵網絡基本變得極其困難。吸頂式天線價格很便宜，僅僅幾十元，很容易推廣。

在操場開闊地區，應該采用全向天線以加強覆蓋。但是在天線選址的時候一定要注意盡可能的在操場中間，避免無線信號覆蓋校園其他部位。為了防止非法用戶入侵，還應該加上其他身份認證措施。

2.2 合理配置AP發射功率

如果能夠滿足覆蓋要求的話，一定要設法降低AP的發射功率。功率降低會減少對其他AP的干擾，因為覆蓋范圍有限，又降低了網絡入侵的可能性。對于H3C無線AP來說，多數默認最大發射功率為100mW（20dBm），可以通過max-power 15命令，將最大功率降低為15dBm。在降低發射功率的時候，千萬不要采用摘掉天線的做法，否則可能對AP的發射管造成損壞。

2.3 接入進行身份認證

在有線網絡中，通常接入局域網中不進行身份認證。也有的學校在無線網絡建設中，采用了類似的模式，特別是部分高校和運營商合作，即校園網內部不進行認證和收費，如果要上互聯網必須通過運營商的認證收費系統。這種認證模式客觀上會造成非法終端不經過任何認證入侵校園網內部，必須加以避免。

圖1 無線網絡認證結構圖

在圖1中，任何接入到AP的無線網絡設備，必須通過認證服務器的認證才能夠接入網絡。設置身份認證身份驗證撥號用戶服務后，沒有合法授權的用戶將不能通過身份驗證，因此無線校園網解決了接入的安全問題。在實踐中可以通過應用WPA、802.1x/EAP等無線安全技術,與校園內部的統一賬號管理平臺或者一卡通數據庫進行聯動聯動認證,無線接入認證系統對接入校園的無線辦公網絡的終端進行身份認證[7]。

2.4 對入侵者訴諸法律

無線定位可以分為軟件和硬件。硬件的有專門的無線電測向儀，可以對無線用戶進行定位。軟件如Ekahau公司的Ekahau Vision軟件，無需增加額外的硬件設施（如讀卡器、exciter、激勵器、天線等），利用現有無線網絡WiFi的網絡設備即可進行定位。其基于專利技術高精度算法的軟件，通過定位引擎計算定位，定位精度在3米左右，最高能至1米。如果發現有入侵的無線客戶端，可以使用定位系統或者無線電測向儀等共同配合進行查找[8]，將入侵者訴諸法律。

3 結論

由于無線網絡的開發性，在無線校園網時代，必須采用綜合的安全措施才能最大程度的保證網絡安全。這些措施不僅包括技術上的問題，必要的時候，對入侵者訴諸法律，將大大威懾網絡入侵行為。

[1]羅燕羽.WPA被破解后的對策[J].網絡安全技術與應用，2009,4.

[2]WILDPACKETS,INC.OmniPeek Network Analyzer.[DB/OL].http://www.wildpackets.com/products/network_ analysis_and_monitoring/omnipeek_network_analyzer.[2009-9-1].

[3]Elcomsoft.Password recovery software.[DB/OL].http://www.elcomsoft.com/edpr.html#formats.[2010-9-1].

[4]呂海燕,呂紅,任穎,趙媛,周立軍.無線網絡的安全機制及其實施[J].中國現代教育裝備,2010,（03）.

[5]楊天化.淺談無線網絡安全及防范策略[J].浙江工貿職業技術學院學報，2010,（02）.

[6]袁愛杰,胡中棟,萬梅芬.基于無線網絡安全WEP協議的探究[J].計算機時代2009,（04）.

[7]陳亮,張鵬,陳旭翔,蔡世貴,毛仕文.基于統一賬號認證的無線接入綜合管理平臺[J].電信工程技術與標準化,2010,（06）：48-51.

[8]R·A·馬拉尼.無線網絡中的定位安全服務[P].中國專利：CN101044711,2007-09-26.