無線網絡安全技術在校園中的應用

摘要：隨著信息技術飛速發展，教師和學生對校園網的依賴性非常高，“隨時隨地獲取信息”已成為廣大師生的新需求。但是，傳統的有線校園網存在著眾多“網絡盲點”，所以，從應用需求方面考慮，無線網絡比較適合學校的一些不易網絡布線的場所應用，但是無線網絡在數據傳輸時采用的是信道共享通信方式，所以很容易受到各種網絡威脅的影響，那么如何做到無線校園網的安全將是本文主要闡述的內容。

關鍵詞：無線網絡；安全；校園

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-7712 （2012） 18-0036-01

無線網絡適合學校的一些不易網絡布線的場所應用，因此大部分高校都架設了自己的無線校園網，但是由于無線網絡在數據傳輸時采用的是信道共享通信方式，較易受到各種網絡威脅的影響，如未經授權的AP設備、WEP加密中使用了弱向量加密數據、拒絕服務型攻擊等。

非法的AP設備對于企業網絡的安全來說是一個嚴重的威脅。用戶私自架設未經授權的基站，用戶也許沒有足夠的能力和意愿，正確的運用安全性的功能。即使這些設備已經采取適當防護，未經授權的設備也有可能干擾現有網絡的運作。

一、非法設備的檢測與抑制

（一）非法設備的檢測

要避免非法設備的安全威脅，首先要確定它們是不是存在。確定未經授權設備的存在后，可以使用具有檢測程序的特殊設備，而這種檢測程序已經被整合進無線局域網設備系統。檢測設備可以定期的搜尋未經授權的設備，對非法設備的掃描，可以被動的聆聽數據，或者主動使用802.11ProbeRequest幀，讓未經授權的網絡自動現形。為了達到效果，檢測程序須涵蓋所有可用的802.11信道。無線局域網絡須具備這種檢測能力，可以使用獨立的檢測設備，也可以使用同時提供接入服務和具有檢測功能的設備。網管人員通常在提供給用戶的服務品質、檢測信息品質和成本之間做出取舍。獨立的檢測設備可以提供較好的檢測結果，但成本會提高。以原本提供用戶服務的設備來檢測未經授權的設備會降低成本，但可能會中斷或降低服務的質量。

監控AP通過掃描周圍的無線網絡環境來檢測。掃描過程可以分為主動掃描和被動掃描，掃描過程在所有信道間進行。

在掃描期間，監控AP接收其它設備發送的802.11幀，掃描結果會周期性的發送到AC。AC接收到掃描報告后，根據預先定義的規則，將設備判定為合法設備或非法設備。若開啟了反制措施，將根據非法設備產生AttackList，將該攻擊列表發送到相應的監控AP。監控AP通過使用非法設備的地址發送假的解除認證報文進行反制。如果該非法設備是一個接入點，那么將通過使用該接入點的BSSID來發送假的廣播型解除認證報文，使得通過該BSSID接入的Station下線；如果該非法設備是一個Station，那么將使用該Station的地址發送單播解除認證報文，使得該Station同其關聯的接入點斷開。

（二）非法設備判定的規則

非法設備根據類型主要有非法AP、非法Client、非法WirelessBridge、Ad-hocmode，大致可以歸為兩大類，一類是接入點，一類是無線終端。

（三）非法設備抑制措施

對非法設備的抑制是使用一些協議上的技巧，來阻止或打斷私設基站的連接。一般而言，這些做法可以阻止其他工作站連接到私設基站，或者是設法中斷現有的連接。

要中斷連接程序，可以使用設備送出偽造的Beacon或ProbeResponse幀，由于Beacon或ProbeResponse幀不會經過驗證，因此基站可以輕易冒充非法設備。偽造的幀所包含的信息，可能和非法設備所傳送的幀彼此沖突，令工作站不知所從。

二、802.11攻擊檢測

802.11攻擊檢測是為了及時發現無線網絡中的惡意或者無意的攻擊，通過添加攻擊者至黑名單或記錄信息、發送日志的方式通知網絡管理者。目前攻擊檢測包括802.11報文泛洪攻擊檢測、APSpoof檢測等。

（一）泛洪攻擊（FloodAttack）

WLAN設備在短時間內接收大量同一源MAC地址的同種類型的管理報文或空數據幀報文時，設備會被泛洪攻擊報文淹沒而無法處理真正的無線終端的報文，此時，系統會認為發生了泛洪攻擊。設備檢測通過持續監控每臺設備的流量的大小來預防這種泛洪攻擊。當流量超出可容忍的上限時，該設備將被認為是在網絡內泛洪，從而將被鎖定。如果設備同時開啟了動態黑名單，被檢查到的泛洪設備將被加入動態黑名單，并被強制下線。在動態黑名單老化之前，設備不再處理此源地址發送的報文。

（二）欺騙攻擊（SpoofAttack）

欺騙攻擊也稱為中間人攻擊，這種攻擊是以其它設備的名義發送欺騙攻擊報文。設備通過檢測上述兩種報文中的BSSID和源MAC地址是否合法來判斷是否發生了SpoofAttack。如果接入點是工作在監控模式，則檢查報文的BSSID是不是為當前接入點的射頻地址，如果是，那么該報文就是一個Spoof報文，否則，將不被認為發生了Spoof攻擊。如果接入點工作在普通模式，則先判斷報文是不是為廣播解除認證報文，如果是，則進一步的判斷報文的源MAC地址是不是為一個合法接入的Station，如果是合法的Station，則不認為發生了Spoof攻擊，否則，判斷該報文的BSSID是不是為當前網絡中的一個合法BSSID，如果是當前網絡的BSSID，則認為發生了Spoof攻擊。WIDS對于檢測到的Spoof型攻擊，將記錄日志，并上報TRAP信息并通知網管，通過其它管理手段解決。

三、幀過濾

幀過濾是802.11MAC和WIDS的一個子特性，包括白名單列表、靜態黑名單列表和動態黑名單列表。過濾行為實體維持了接入終端的MAC地址，只有在輸入的MAC地址匹配相應規則的情況下才被執行。

當無線接入點接收到一個幀時，不管該幀是否存在于幀過濾列表中，其輸入MAC地址都將被檢查。如果輸入的MAC地址不在白名單列表內，該幀會被丟棄。如果沒有設置白名單列表，將搜索靜態和動態黑名單列表。如果輸入的MAC的地址不能匹配任何的列表，則該幀將被保留做進一步的處理。當幀過濾列表中不存在任何表項時，所有的幀都將被允許通過。

通過以上幾個配置方案，針對無線校園網的安全設置，防止了非法設備的非法接入，阻止了泛洪攻擊和欺騙攻擊，通過MAC地址過濾，阻止非法用戶和非法用戶訪問網絡，保障了無線網絡的安全，從而保障了校園網絡的正常運行。