校園無線局域網安全管理及入侵檢測系統分析

◆申 健周倩芳

校園無線局域網安全管理及入侵檢測系統分析

◆申 健1周倩芳2

（1.湖南高速鐵路職業技術學院 湖南 421002；2.南華大學 湖南 421001）

隨著無線局域網在我國各個校園中的普及，其在應用過程中的安全問題也開始逐漸凸顯出來，在日常工作過程中逐漸面臨著來自于信息泄露、缺乏完整性和非法使用等方面的網絡安全威脅。校園網絡管理者要想保證無線局域網在使用過程中的安全性，做好局域網的安全管理是十分必要的，入侵檢測系統就是保證局域網使用安全性的重要手段。對此，本文以校園中的無線局域網為立足點，通過對其當前存在的安全問題進行分析，從而就利用入侵檢測系統做好局域網的安全管理進行細致研究。

校園無線局域網；安全管理；入侵檢測系統；分析

0 引言

伴隨網絡技術和無線技術在現代社會的不斷發展，接入無線局域網逐漸成為了當前市場發展和市場應用技術中的熱點問題。同有線的局域網相比，無線局域網不僅接入方式十分方便快捷、拓撲結構靈活多變、建設成本十分低廉，而且還方便管理。但由于無線網絡在應用的過程中極易受到攻擊，這就使得保證無線網絡安全成為了一項重要問題。利用入侵檢測技術這種可以有效提升無線局域網安全性的重要手段，對于做好校園網的安全管理具有十分重要的作用。

1 無線局域網存在的安全問題

隨著無線網絡技術的發展和無線局域網應用范圍的擴大，網絡用戶本身的自由性得到了極大的提升。但這種自由性在提升的同時，也為網絡用戶使用網絡資源的安全性帶來了極大的挑戰。就目前來看，在使用無線局域網的過程中，主要會面臨著來自于一下幾方面的安全威脅：

（1）同有線網絡相比，無線局域網僅在傳輸方式上較為先進，其在使用的過程中會面臨木馬、病毒、漏洞、拒絕服務和掃描攻擊等方面的安全威脅。

（2）無線局域網在信息傳輸時帶有的空氣擴散性使得傳統防火墻技術已經無法達到阻止無線電波網絡通訊的使用目的。

（3）從理論的角度上來看，無線局域網在使用過程中采用的WAC和ID等訪問控制技術雖然在一定程度上提升了無線網絡的安全性，但黑客卻可以通過竊取和修改客戶MAC地址的方式進行網絡訪問，對授權用戶的安全訪問權利造成威脅。

（4）同有線網絡一樣，無線網絡在信息傳輸和通訊的過程中，其產生的信息數據也可以被竊聽，且因為大部分網絡用戶在使用自己的網絡系統中都會采用弱配置和系統中默認配置，這就為黑客展開網絡欺騙帶來了便利性，使其能夠隨意的更改和插入網絡信息。

（5）以802.11標準為基礎構建的無線網絡在使用的過程中還容易受到拒絕服務攻擊的威脅，使得無線局域網的正常工作受到巨大影響。

此外，黑客還可以使用WAP來發送一些非法請求，對網絡用戶正常使用局域網造成一定的干擾。

2 入侵檢測系統的分析

所謂的入侵，其指的是一切試圖破壞網絡資源機密性、完整性、可使用性的活動。入侵檢測是指發現非授權用戶企圖使用或者是正在使用網絡系統的行為，屬于防范各類型網絡入侵的一種有效手段。入侵檢測系統主要是以數據分析方法為基礎，由異常入侵檢測和誤用入侵檢測兩種技術構成。其中，異常入侵檢測又被稱為基于行為或者是知識的入侵檢測，屬于對正常操作行為和特征的總結。當網絡管理人員發現正常操作模型后，便會以此模型為基礎對后續的操作行為進行有效的監管，一旦發展出現同統計學意義上操作模式相偏離的行為，便可以將該操作行為認定為入侵行為[1]。誤用入侵檢測也可以被稱為以特征或者知識為基礎的入侵檢測技術，其主要是以收集到的操作行為特征為基礎，在建立完成相關的數據庫之后。以該數據庫中的信息數據為依據，對日常工作過程中收集到的數據信息進行比較，按照比較后得出的結果來判斷是否為網絡入侵。

3 利用入侵檢測系統強化安全管理的措施

3.1 入侵行為的分類和檢測方法的應用

通過對當前我國局域網絡入侵的類型進行分析可以發現，其主要分為已知入侵種類與未知入侵種類這兩種類型。其中，已知入侵種類指的是已經知道了入侵行為的類型和特征，且入侵檢測系統中包含了對于此類型入侵的基本描述。未知入侵種類指的是入侵檢測人員在之前不了解此種入侵行為所具備的特點，且校園局域網中的入侵檢測系統對此種入侵行為也沒有響應的描述。這樣一來，就使得前者只能夠利用誤用檢測方法來進行檢測，而后者只能夠使用異常入侵檢查手段來完成檢測工作。

3.2 完善信息收集模塊的基本模式

在校園局域網系統中，信息收集模塊本身具有較高的訪問權限，可以通過手機和過濾網絡數據包的形式來分析檢測代理模塊。按照校園網的布線結構，可以將該模塊分為兩種基本模式：一是使用一張無線網卡和以太網卡設置成的雜湊模式。無線網卡負責監聽該局域網中所有的無線數據包、以太網卡負責同中心控制臺保持通訊狀態[2]。二是使用兩張無線網卡，其中一張為雜湊模式，一張與中心控制臺通訊。與此同時，要想達到實時分析網絡數據的目的，捕獲實時的網絡數據包十分必要。此外，作為Windows平臺下的一個公共的免費網絡訪問平臺，Winpcap的開發可以為局域網用戶提供訪問底層網絡的能力。

3.3 細致分析檢測代理模塊

作為無線局域網中一個基本的檢測單元，局域網中的代理模塊不僅包含了一個入侵檢測模型，還分布在局域網中的各個關鍵節點之中，主要負責利用局域網中的信息收集模塊為網絡管理員提供相應的網絡監測數據[3]。對該代理模塊進行細致分析，對于提高網絡數據的準確度和真實性，提升整個系統核心業務的工作能力和效率，以及安全管理功能的作用等具有重要作用。

3.4 利用管理和決策響應模塊組成中央控制臺

對于局域網系統來講，決策模塊中的決策代理可以分析收集到的數據的態勢，并將其進行完美地融合，從而達到聯合分析整個系統，評價局域網安全情況的目的。而決策模塊中的響應功能可以達到對入侵行為進行物理定位的作用。因此，將決策響應模塊和局域網中的管理模塊相結合，對于及時發現局域網中的安全問題，提升其安全管理質量和入侵檢測的準確性等具有十分重要的作用[4]。此外，管理模塊的應用還可以通過人機對話的方式，加強對無線局域網的安全控制和管理，使得入侵信息能得到及時的更新。

3.5 入侵檢測系統實現安全保護的原理

一般情況下，利用入侵檢測系統對校園中的無線局域網入侵行為進行檢測時，往往對IEEE802.11這一數據鏈路層中對原始數據分析的依賴性相對較高。因此，數據傳輸包是保證順利捕獲入侵行為的重要基礎。目前，大部分學校中局域網的入侵檢測系統都是以Windows2000作為主要開發平臺，借助Winpcap函數庫來捕獲通過無線傳輸得到的數據，在通過協議解碼的方式分析過捕獲到的數據之后，將解碼結果存放入入侵檢測系統的緩沖隊列區域之中，以便供給分析和檢測模塊來使用。與此同時，在檢測MAC地址欺騙攻擊行為的過程中，檢測人員可以使用幀序列號這一入侵檢測技術。因為無線局域網中相關網絡設備本身的MAC地址雖然可以通過人為的方式進行修改，但是其內部包含的MADU這一序列號確會因為其本身是由設備硬件系統所決定，從而無法被入侵者隨意地進行修改。與此同時，由于校園中的無線局域網系統存在著監聽模塊漏包、入侵檢測系統中的無線網卡因為受到了重新初始化操作行為的影響，導致數據包本身的序列號也會因此再次從0開始。而當數據包中帶有的序列號達到了4095之后，就會隨之出現跳變成為0等類型的情況出現。因此，負責維護校園局域網入侵系統的檢測人員需要針對每個已經授權的MAC地址建立起一個處于能夠動態變化的序列號基線，從而達到捕獲緩沖區數據包的作用。

4 結束語

總而言之，在信息網絡技術不斷發展，校園網絡覆蓋面積逐漸增大的今天，對校園中的無線局域網進行有效地管理，保證校園網的安全性，利用入侵式的檢測系統，對來自于網絡中的各種攻擊類型進行有效地分析、研究網絡數據包內部的基本結構、利用將統計分析和特征匹配相結合的系統檢測手段，對提升校園局域網本身安全管理效率和入侵檢測效果具有十分重要的作用。

[1]王西龍，王忠民.無線局域網入侵檢測系統分析設計[J].微型電腦應用，2009.

[2]蘭其斌.校園網中無線局域網的安全策略探討[J].福建電腦，2010.

[3]陳觀林，馮雁，王澤兵.分布式無線入侵防御系統預先決策引擎研究[J].電信科學，2010.

[4]陳曉華.校園無線局域網的安全策略研究[J].電腦編程技巧與維護，2010.

課題項目：本文系湖南省教育廳科學研究項目《校園無線局域網安全分析與入侵檢測系統的研究與設計》（課題編號：15C0319）、衡陽市科技局科技計劃項目《校園無線局域網的安全技術分析與研究》（課題編號：2015KG66）的研究成果之一。

圖3 測試連接財務處截圖

從上圖可以看出，PC5既不可以ping通財務處內的主機（設置了禁止icmp數據包進入財務處），也不能telnet（設置了拒絕來自源192.168.23.0/23的Telnet數據流）。

6 結束語

把ACL應用于校園網的核心設備，并根據校園網絡的安全需求進行配置，對某些數據流進行必要的過濾或限制，是提高校園網安全的有效措施。但是，由于ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內部的權限級別等。因此，要達到end to end的權限控制目的，需要和系統級及應用級的訪問權限控制結合使用。

參考文獻：

[1]王相林.組網技術與配置[M].北京：清華大學出版社，2007.

[2]黃中砥，張召賢，周飛菲.組網技術與網絡管理[M].北京：清華大學出版社，2006.

[3]杜布拉弗斯凱，賈軍保.網絡安全保護[M].北京：科學出版社，2009.

[4]賈鐵軍.網絡安全技術及應用[M].北京：機械工業出版社，2012.

[5]賈拴保，何漢華，馬森.網絡安全技術[M].北京：清華大學出版社，2005.

[6]（美）SeanConvery，江魁，謝琳.網絡安全體系結構[M].北京：人民郵電出版社，2005.

[7]王湘黔.網絡安全與防火墻技術[M].重慶：重慶大學出版社，2005.

[8]思科產品速查手冊[S]．2010.

[9]唐鳳燈.利用ACL構建校園網安全體系的研究[J].有線電視技術，2009.

[10]張博.基于ACL的邊界路由策略的應用研究[J].長春大學學報，2010.