現代高校無線網的安全防護技術方法分析

◆代天成

（四川工商學院 四川 611745）

現代高校無線網的安全防護技術方法分析

◆代天成

（四川工商學院 四川 611745）

上世紀末以來，無線局域網技術發展逐漸成熟，在高等院校中獲得了非常廣泛的應用。本文針對無線網絡的特點，分析了高校無線網建設和應用中存在的一系列安全問題，并提出保障高校無線網安全的防護技術方法，為高校無線網安全防護提供參考。

高校無線網；網絡安全；防護技術方法

0 引言

二十世紀九十年代開始，無線局域網技術的發展越來越成熟并商用。無線局域網屬于傳統有線網的一種延伸，在部分環境里面甚至能夠替代有線網。我國大部分高校基本上均已經建設了有線網絡，在教學設施不斷完善的今天，便攜式電腦終端在教學中得到了廣泛的應用，擁有無線網卡電腦終端的學生也更多。教師以及學生都非常依賴無線網，可隨之而來的無線網安全問題開始顯現出來，所以應該采取有效的安全防范技術和方法來確保無線網絡的上網安全。

1 無線網具有的優點

WLAN網橋傳輸系統的整個安裝過程十分簡便，能夠降低系統安裝工作量，同時通過無線技術能夠靈活安裝以及調整WLAN設備位置，并且使網絡覆蓋有線網無法覆蓋的地方。WLAN網絡可以降低布線費用，而且在需要不斷移動以及變化的環境里面，無線網技術能夠有效保護已有投資[1]。因為WLAN技術屬于數據通信領域里面的一種IP傳輸技術，所以能夠利用百兆自適應網口與社會企業以及校園Intranet連接，不用安裝協議轉換器等網絡設備。此外，無線網還具有擴展能力強、簡單靈活以及綜合成本相對較低等優點。

2 高校無線網存在的安全問題

2.1 信息重放

若高校無線網沒有采取有效安全防范措施，就極其容易被人利用非法AP產生欺騙攻擊行為。就算采取VPN等保護手段也很難避免，其可以雙重欺騙授權客戶端以及AP，從而竊取并且篡改網絡里面的信息。

2.2 非法用戶侵入

因為無線網進行開放式訪問十分方便，因此非法用戶能夠在未經授權的情況下使用網絡資源，既占用了有限的無線信道，還提高了寬帶成本投入，對合法用戶網絡服務質量造成了影響。此外，非法用戶極有可能違反法律，引發相應的法律糾紛。

2.3 無線加密協議—WEP遭到破解

網絡里面部分非法程序可以捕捉處于相應AP信號覆蓋范圍里面的數據包，對WEP密鑰加密的各種數據包進行收集，然后分析這些數據包破解WEP密鑰[2]。

2.4 網絡監聽

因為無線局域網本身具有開放訪問這一特點，大部分無線網通信數據呈現出來的是非加密格式，所以攻擊者能夠監聽并且讀取通信。網絡入侵者不用把竊聽或者是分析設備接入相應被竊聽網絡，就能夠于信號覆蓋區域之內，開展惡意修改以及竊聽等活動。

2.5 地址欺騙以及會話攔截

網絡非法用戶極有可能采取偵聽以及偵察等方式竊取合法用戶具體MAC地址或者是IP地址信息，同時通過這些信息達到會話攔截、網絡詐騙以及網絡攻擊等目的[3]。

2.6 拒絕服務

其屬于無線網絡里面最嚴重的一種攻擊方式，通常有兩種情況，分別是：攻擊者采取泛洪式攻擊方法攻擊AP，導致AP拒絕服務；攻擊某個節點，使其不停提供服務或者是轉發數據包，導致資源耗盡無法繼續工作。其中，第一種情況更加嚴重。

3 高校無線網安全防護技術方法

3.1 對接入用戶實施認證機制

開展小組競賽促進學習趕超 采用小組日記比賽的形式提高寫作興趣。一周內小組成員輪流寫一篇日記，我每天批閱打分，算出均分公布，表揚前三名。為了小組榮譽，每位組長都不遺余力為小組成員的日記修改潤色，力爭全體進步。我堅持選日記好的朗讀，分析表揚。小組成績捆綁在一起，各成員十分關注個人寫作成績，寫作氣氛濃厚。

（1）Web認證：這種認證方案應該首先給網絡用戶分配一個具體的地址，當網絡用戶打開電腦Web瀏覽器準備訪問某網站的時候，認證系統將自動推出一個認證界面，只有當輸入相應用戶名稱以及口令后，才可以觸發客戶端再一次發起地址分配這一請求，為網絡用戶提供能夠訪問外網的詳細地址。當網絡用戶下線的時候，可以利用客戶端提交離線請求。對于Web認證而言，其不必使用特殊的相應客戶端軟件，能夠減小網絡維護實際工作量[4]。可是其承載于網絡七層協議上，所以對設備要求非常高，同時用戶連接線比較差，很難離線檢測；網絡用戶成功訪問網絡前，一定要通過Web認證。

（2）802.1x認證：這種認證是按照用戶賬號以及設備，監督客戶權限，僅僅適合于接入網絡用戶設備以及接入端口間各個點的連接方式。一般校園網里面的端口主要是用戶設備具體MAC地址，這種MAC地址應該被激活，不然就不能完成認證環節。802.1x認證體系里面一定要有認證服務器、客戶端以及接入認證交換機，只有三者齊全才可以成功完成訪問認證以及授權過程。802.1x能夠被當做WPA認證組件使用，并且支持AES或者是TKIP數據加密，給網絡用戶數據提供有效加密服務。

（3）MAC地址認證：這種認證是以MAC地址以及端口為基礎控制網絡訪問權限的有效方法，具有配置命令相對簡單以及不必設置客戶端軟件等優點，比較適用于學校里面中小型網絡。這種認證方式應該有的功能組件主要是：服務器、可以認證MAC具體地址的相應交換機以及Radiu、服務器。若交換機不能提供合法MAC地址，就應該通過服務器以及Radiu完成驗證。對于Windows server 2003，只有結合Active Directory服務以及IAS服務才可以完成認證并且管理相應的MAC帳戶。具體方法為：在IAS里面設置兩種不同的帳戶，分別是白名單以及黑名單。其中白名單里面服務器會提供同時維護一個能夠合法訪問網絡的詳細MAC地址列表；另一種黑名單里面將列舉出那些已知的并且威脅無線網安全的設備具體MAC地址表。各高校能夠專門給無線打印機以及無線設備等設置相應的WLAN，實行MAC地址認證方法，從而保證某些特殊設備的無線網絡安全。

（4）分類認證：對于校園網用戶來說，主要包含有校內用戶以及來訪用戶。其中校內用戶是指學校師生，其網絡數據（包括科研成果、個人信息以及研究資料等）需要非常高的安全性，所以能夠采取802.1x認證手段完成用戶認證環節。來訪用戶包括培訓群體、來校交流以及參觀群體等，沒有較高安全性要求，所以能夠通過DHCP以及強制Portal相結合的認證手段入網。

3.2 加密技術

（1）WPA加密技術：這種技術的主要作用是彌補WEP缺點，其通過TKIP算法重新獲得一個128位數的密碼，和WEP加密相比具有更高安全性。可是通過WPA加密的相應短數據包依然可遭破解，所以產生了WPA2。可以采用 WPA2里面的COMP代替原來WPA里面的TKIP，同時AES可以替代WPA里面的MIC，形成現階段無線網絡內部信息加密的一個最高安全標準，可是其無法很好支持老舊網卡。對于高校無線網，最好選擇WPA2或者是WPA加密模式，并且為了避免非法入侵者采取暴力方式破解WPA2或者是WPA密鑰，需要對密鑰進行定期更換。

（2）WEP加密技術：這種加密技術屬于802.11b標準里適合無線局域網的一種安全性協議，可以加密無線網絡流量[5]。因為無線網絡不用物理連接就能夠連接到網絡，當今IEEE802.11標準里面的WEP在一刻鐘內就能夠被攻破，因此建議選擇支持128位的相應WEP，同時不可以使用生產商提供的WEP密鑰，避免未授權者非法侵入使用網絡。

這種入侵檢測技術能夠及時采集、傳輸以及處理數據，同時控制網絡，找出網絡故障，確保高校無線網絡能夠處于安全運行狀態，避免非法入侵或者是數據被竊取以及被篡改等現象發生。黑客追蹤技術可以讓受害主機相關網絡管理者掌握發起惡意攻擊相應數據包的實際源頭，從而盡快讓網絡恢復原先的功能，并且阻止可能再次出現的攻擊行為，有時候甚至能夠抓獲攻擊者。現階段，比較常用的追蹤方法包括路由追蹤方法、IP追蹤方法和反追蹤方法等。

3.4 安全審計技術

這種技術主要是審計用戶實際網絡訪問行為以及訪問的具體網絡數據，利用內部控制手段有效治理系統，其中包括嚴格控制面向具體業務的相應IT系統內部情況。和以前的入侵檢測系統進行比較，這種安全審計技術未嚴格要求實時性，所以能夠分析海量歷史數據，同時采用的方法也能夠更復雜以及更精細。通常網絡安全審計系統可以找出的攻擊種類顯著多于以前的入侵檢測系統，實際誤報率也相對較低。

3.5 共享密鑰認證方法

該類認證方法是以WEP共享密鑰為基礎的一種認證方法，實施前提條件是客戶端以及AP里面均已經人為設置好了相應的共享密鑰，這種共享密鑰認證方法和開放認證比較相似，其中的區別是其通過WEP加密整個認證過程。所以，和開放認證比較，共享密鑰認證方法具有相對較高的安全性。

4 結語

在當今信息化時代，高校無線網建設得到了很大的發展，我國很多高校都已經覆蓋了無線網。可是建設無線網的過程中，高校因為沒有注重無線網絡安全問題，所以網絡安全問題頻繁發生，而且校內用戶個人資料以及研究成果等網絡數據都非常重要，一旦受到安全威脅，就會產生嚴重的后果。為了提高無線網安全管理效果，給無線網安全帶來有效的保障，就應該通過各種安全防護技術讓無線網更好地為廣大師生和相關人員服務。