高校校園計算機無線網絡安全策略研究

梁富強

（鄭州華信學院，河南 鄭州 451150）

1 概述

隨著信息技術的發展和教育信息化進程的推進，無線局域網技術在高校校園網中的應用逐漸普及。校園無線局域網表現出方便、靈活的組網方式和廣泛的適用環境等優點，無線局域網技術其傳輸介質是開放性的，數據在通信傳播過程中，極有可能被一些非法的接收設備所接收，這也給非法入侵者有了可乘之機。而校園無線網絡自身的受眾比較多，網絡覆蓋的范圍大，終端設備種類繁多，無線局域網更易遭受黑客攻擊和泄密，因此更具有應用群體復雜、管理難度大等特點，致使網絡本身更具脆弱性，如何保障高校校園無線局域網通信的安全，使其真正便捷地為廣大師生服務，是值得研究的課題之一。

2 計算機無線網絡存在的威脅

無線網絡一般受到的攻擊可分為兩大類：第一類是基于無線通信網絡的設計特點、 部署情況以及維護的獨特方式而進行的特定攻擊。另一類是對無線網絡訪問控制以及數據機密和系統完整保護而進行的網絡攻擊； 第二種類型是傳統的網絡攻擊方式，在有線網絡環境下也有發生。所以說，對于無線網絡連接安全性的探討是對傳統有線網絡安全問題研究的升級和進一步學習。

2.1 自身加密簡單引起的攻擊

現在普通的無線路由器采用的是動態有效保密方式（WEP），它不是效果很好的加密方式。WEP 中的IV 向量存在位數過短以及初始化復位的設計形式，會在運算時經常重復，可輕松被人利用。而對于其中的加密的RC4 算法，雖然安全性有一定提升，但在其前面的256 個字節數據中密鑰有一定弱點，也易于被人輕松化解。明文完整性校驗的CRC 循環冗余校驗碼只能確保數據正確傳輸，但是否被修改卻不能保證，因此很容易被人利用。

鑒于此，使WEP 接受一個外部密鑰管理系統使用的密鑰的過程，使網絡的安全管理員在外部就可以通過管理系統控制減少IV 的沖突數量，使無線網絡變得安全一些。但這種方式的缺陷是過程過于復雜，且需要不時進行手工操作，這對于龐大的校園無線網絡來說不太容易實現，所以很多網絡的管理者為了方便，還會使用缺省的WEP 密鑰，這在一定程度上減少了對非法入侵的用戶在密鑰破解上的工作量。

校園網的用戶使用無線網絡多數都是為了簡便，對于網絡使用者并沒有過多的了解，許多計算機的配置選項都沒有更改過，使用的加密手段也相對簡單，這為入侵者提供了便利。

2.2 信息泄露威脅與網絡欺騙

信息泄露的情況包括竊聽、截取和監聽。竊聽是指我們流經網絡的計算機通信的電子形式被偷聽，它是以無法覺察和被動的方式入侵人們的設備，人們一般不得而知。也許我們的網絡不對外廣播網絡信息，但只要有任何明文信息存在，攻擊者仍然可以通過使用特定工具來監聽和分析通信量，從而檢索出可以被破解的信息。欺騙的攻擊手段，是通過自身的偽裝，欺騙網絡管理系統，使得它們錯誤地認為這個終端設備是通過授權允許訪問網絡的設備，通常非法入侵者通過修改MAC 地址即可實現這一目標。

2.3 類型繁多的網絡攻擊

(1) 所謂的探測攻擊實際上是非法入侵者進行的信息采集活動，它們通過搜集網絡數據，以便于以后進入網絡。網絡攻擊的實質就是尋找網絡的漏洞并利用這個漏洞進入不被授權的網絡進行破壞。大多數時間軟件工具被用于了解網絡資源情況，尋找目標網絡以及用戶應用中的潛在漏洞。有一些專門破解密碼的軟件。這種軟件起先是為網絡管理員而設計的，管理員利用它們來幫助那些忘記密碼的員工。不可否認的是，這種軟件到了別有用心的人手中，就成為對網絡安全非常大的威脅。

(2)訪問攻擊用于發現身份認證服務、文件傳輸協議(FTP)功能等網絡領域的漏洞，以訪問電子郵件賬號、數據庫和其他保密信息。

(3)用戶設備所受威脅。IEEE802.11 標準規定WEP 加密給用戶分配一個靜態密鑰，因此只要有一塊無線網網卡，攻擊者就可以擁有一個無線網使用的合法MAC 地址。所以，整個校園網絡如果眾多的終端用戶筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設備上的身份驗證信息，如網絡的SSID及密鑰。

3 高校校園無線網絡安全解決方案

3.1 身份認證

采用基于設備終端的無線網絡認證，通過共享的WEP 密鑰來實現。

以上的MAC 地址認證以及共享密鑰認證都還有一定的安全隱患。在無線網絡進入校園以后，MAC 地址認證需要進行維護和數據管理的問題。例如EAP-TLS、EAP-TTLS、LEAP 和PEAP 在無線網絡中，設備認證和用戶認證都應該實施，從而確保最有效的無線網絡安全。用戶認證信息應該通過安全隧道傳輸，保證用戶認證信息交換是加密的。針對校園多用戶群體的特點，可以對不同用戶使用不同的認證方法，以此來確保無線校園網絡的安全性。大多數商業級路由器，采用了無線網絡保護訪問（WPA）加密方式，它是目前通用的加密標準，比WEP 更強大有效。同時，大多數品牌的普通無線路由器可以采用固件升級的方式來實現WPA 加密方式，這樣可以避免一些惡意病毒及惡意行為對學校無線局域網絡的沖擊。介質訪問控制（MAC）地址表是基于MAC 地址的認證系統，把校園網內的筆記本電腦等無線終端加入MAC 地址表中，保證了無線終端的數量及無線終端的可控性，也限制了不明無線終端來使用校園無線網絡資源的可能。

3.2 訪問控制

網絡用戶的訪問控制主要通過AAA 服務器來實現。這種方式讓網絡有了更好的擴展性，有些訪問控制服務器在802.1x的各安全端口上提供了機器認證，在這種環境下，只有當用戶成功通過802.1x 規定端口的識別后才能進行端口訪問。

一般來說，校園無線網絡分為內網和外網兩個部分。內網是指學校內部訪問數據和資源的過程，師生可根據需要隨時在校園內訪問網絡。像一些研究成果以及學術論文等都要求有較好的安全性。針對此類用戶可以采用802.1x 進行認證。即先由用戶向認證服務器發出接入申請，若申請未通過，用戶無法訪問網絡。設立證書服務器，以數字證書的形式達到雙向認證的目的，這樣可以有效避免用戶接入非法AP 以及非法用戶使用網絡，只有在通過雙向認證之后，用戶方可訪問網絡，用這種辦法保證校園網資源的安全性。外網來自學校外部訪問數據和資源的過程，主要是針對來學校進行學術交流、培訓等用戶，這些用戶關注的是能夠方便、快捷地接入網絡。因此，他們不能訪問校園網內部如學校公共數據庫、 圖書館期刊全文數據庫以及一些學校內部資源的一些受限資源。如果用戶是外網需要訪問校園網以外的數據，要先通過強制Portal 認證之后方可訪問網絡。

3.3 可用性

無線網絡在受到攻擊之時，要求其他需要仍能保障，減少停機時間。無論我們遭遇的是DOS 攻擊還是設備故障，無線網絡仍然要保障用戶的使用。保證這項功能所花費資源的多少主要取決于保證無線網絡訪問正常運行的重要性。當一個客戶端試圖與某個特定的AP 通訊，而認證服務器不能提供服務時也會產生可用性問題。問題產生的原因是由于擁塞的連接阻礙了認證交換的數據包，這時候可以給予該數據包更高的優先級以提供更好的QOS。另外可以設置本地認證作為備用，以便于在AAA 服務器不能提供服務時對無線客戶端進行認證。

3.4 配置好防火墻的防御功能

現在校園網采用的無線路由器通常支持一個或者多個防火墻功能，防火墻提供了用于阻止和允許特定網絡雙向通信的基本功能，并能使用NAT 服務來隱藏內部校園網絡地址，它就像是隔離本地和外部網絡的一道防御系統。我們作為網絡管理員若能正確及時配置好無線路由器防火墻的防御參數，就能有效地提高校園無線網絡的安全性，從而防止或減少ARP 欺騙、DDoS（分布式的拒絕服務）和DoS（拒絕服務）保護、PING 攻擊等現象。

4 結論

社會的飛速發展和網絡的快速普及，使得計算機無線網絡成為在校教師和學生獲取咨詢的重要依靠，也為學校建立智能化教學系統、提高信息化水平起著巨大作用。但是，無線網絡中的威脅無處不在，再加上校園無線局域網應用環境的多樣性，就必須從多方面綜合地去考慮如何更安全的利用網絡。積極探索新的機制來升級系統，加強對無線網絡安全的防護與研究，從而實現校園網絡的安全可靠。真正為數字化校園做貢獻，使高校無線網絡真正安全便捷地為師生服務。

[1]劉強.無線網絡安全的機制與技術措施探究[J].無線互聯科技，2011（4）.

[2]林鴻.無線網絡應用中的安全問題[J].電腦知識與技術，2012（12）.

[3]吳超.簡述無線網絡優化技術[J].民營科技，2011（10）.