高校無線局域網絡安全問題的防范與對策

于杰 廈門大學嘉庚學院信息科學與技術學院

引言

網絡信息技術發展和普及，對人們的日常生活行為方式和理念產生了極大的影響，基于無線網絡技術的信息化產品和應用，也在人們生活、工作和學習中流行起來。相較于傳統的有線網絡技術，無線網絡不受空間、地域以及設備等因素的限制，可在有信號覆蓋的地方，根據使用需求隨時連接無線網，從而解決了有線網絡布線的難點，如難度大，成本高，時間長等。總的來說，無線網絡主要優點在于部署靈活，擴容能力強，移動性好，總體成本低，不受地域限制。IEEE802.11n 標準實現了與現有有線網絡的平滑無縫連接。當前有線網絡資源主要優點在于兼容性、集成性較好等優點。而無線網絡極大程度便利了人們的日常生活，且安全性、可靠性較高。本文對當前高校無線網絡主要存在的問題進行了總結和分析，同時對主要的安全措施和技術進行了論述。

1 校園局域網面臨的問題

1.1 秘鑰管理混亂，用戶數量巨大

目前，因為WEP 保密性較低且易于破解。攻擊者可以通過捕獲數據包注入，獲取足夠的通信數據和分析數據包，進行WEP 加密破解。盡管WEP 密鑰可以通過外部控制減少IV（初始化向量）沖突，但控制要求較為復雜，必要情況下，還要求通過手動的形式進行操作，但其他的解決手段，成本要求較高且資源占用較多；且有線網需要在網線的基礎上，才能訪問互聯網，而無線網絡只需要在無線網絡接入點（無線網絡接入點），所有設備都可以通過AP 進行無線網訪問，但無法確定其具體方位。由于無線網在管理方面，相交寬泛，介質傳輸過程中缺乏相應的物理保護，即使非系統授權客戶，也能夠在短時間內接入無線網絡系統，所以，其安全性無法獲得保證。例如，大學校園中教師和學生的個人基本信息，經常被攻擊者通過無線網絡開放性的特點盜取。因此，校園網絡安全性的問題，是當前需要解決的重要問題。

1.2 現存算法的漏洞

常用的WEP（有線等效保密）算法存在許多漏洞。因為WEP標準是無線網技術發展之初形成的，且其安全技術主要來自RC4的RSA 數據加密技術，。當前，應用最多的加密保護方式為64位WEP 加 密、128 位WEP 加 密。而WEP 加 密 法 中 的IV [2]（InitializationVector），安全性相對較低，但位數較低的計算方式，所能夠保證的只是數據傳輸不出現失誤，卻無法確保數據傳輸時不被篡改。WEP 漏洞主要存在命令執行漏洞、目錄遍歷漏洞、跨站點腳本漏洞、文件漏洞、SQL 注入漏洞等。攻擊人員可通過上述漏洞，偽造或者篡改有關參數，從而達到盜取用戶信息的目的。而由于WEP 加密技術存在以上漏洞，所以很容易破解對于熟悉該原則的攻擊者。

1.3 多元化的網絡攻擊

如今，人們的生活與無線網絡越來越不可分割。無論是何種形式的智能設備，只要在無線網絡覆蓋區域，就可以根據個人訪問所需連接無線網。但因為前文所述的漏洞，導致無線網絡安全性、穩定性無法保證，攻擊者可通過上述漏洞，竊取用戶個人基本信息。雖然無線網絡極大便利了師生之間的交流和互動，但因為其開放性和支持多用戶訪問的特點，導致無線網絡容易遭受黑客攻擊。攻擊形式主要存在針對移動終端、針對核心網絡的攻擊形式。二者的結合，能夠極大提升黑客攻擊成效，可通過惡意接入、無線網絡釣魚、隔離客戶端等手段，滲透或者破解數據網絡。黑客在取得訪問權后，能夠輕易獲取用戶關鍵信息，并通過數據分析的形式，獲取校園網無線網用戶的數據信息。黑客只要取得無線網絡證書，就可以在這些數據憑證作用下，進行無線訪問，并繞過防護程序進行攻擊，以及安全機制。

1.4 網絡監聽的多樣性

網絡監控指的是對網絡運行狀態的監控，包括數據流量以及網絡信息的傳輸。當處于監聽模式時，攻擊人員可任意盜取無線網絡傳輸的各類數據。攻擊人員在獲取主機登陸權限后，如果需要登錄其他主機，可通過網絡監控的方式，攔截文件信息、聊天、用戶名、密碼等信息數據，導致用戶蒙受不應有的損失。因為當前應用的協議應用較早，相當一部分協議，是在雙方信任基礎上獲得應用的。在網絡運行過程中，很多用戶信息，甚至是密碼信息，都以文本形式傳輸至網絡系統，因此，攻擊者通過執行網絡監視更容易獲取用戶信息。只要能夠掌握基礎的TCP/IP 協議，攻擊人員就能夠在短時間內竊取用戶關鍵系統。就系統而言，擁有用戶權限的操作人員，可通過向網絡接口發送I / O 指令，主機就可以被設定為偵聽模式，無論用戶是否具有超級權限或很容易直接實現監控工具，以獲取用戶信息，造成用戶關鍵信息外漏，直接損害到用戶合法權益，甚至直接影響到整個校園網的安全性。

2 網咯安全的防范措施

2.1 網絡設備的安全設置，

校園無線網絡為教師和學生帶來了方便快捷的體驗。同時，還存在許多安全風險。消除安全風險的最直接方法是驗證進入網絡的用戶的資格并防止他們離開源。無法無天的元素侵入無線網絡。用戶可在交換機作用下進行安全設置，從而更為及時對入侵信息進行報警，從而提升無線網絡的安全性。一般而言，無線網絡信號傳輸是通過電磁波的形式進行的，由于電磁波處于分散狀態，分布區域、傳播方式呈不規則狀，從而為外部非法入侵提供了便利。當前，為了減少外部入侵，采用的主要方式是關閉SSID 廣播功能。所謂的SSID 廣播，指的是無線網絡接入點，向外部發送廣播信息。當SSID 廣播被關閉后，外部入侵難度也隨之加大。同時，MAC 地址過濾被應用到無線網絡設備終端，并設置MAC 地址權限列表，且于AP上配置MAC 地址表。AP 的MAC 地址被認證后，才能在AP 作用下實現無線網訪問。而其余數據包則丟失無法被轉發，導致攻擊者在此類AP 作用下攻擊無線網內部網絡，從而防止非法的元素被非法侵入。

2.2 接入層的安全防范

無線網絡的安全措施通常包括SSID，WAP-PSK，WEP，WAP等SSID，必須和無線接入點的SSID 相一致，才能起到信息傳輸的目的，從而更好區分不同形式的組訪問，WEP 安全加密技術主要用于機密控制、完整性、數據機密性控制目標上。但就校園無線網而言，一般通過WEB 的認證和802.1x 認證，以及無線網絡認證。因此，除了安全設置之外，還需要使用802.1x 身份驗證和RADIUS 身份驗證服務器來加強對無線用戶訪問的控制。802.1x 協議是在客戶端/服務器端基礎上獲得應用的身份驗證協議。通過這一認證協議，可有效限制校園網用戶通過接入端口的數據訪問。在被認證前，只有EAPoL（基于LAN 的擴展認證協議）能夠獲得802.1x 認證，并將用戶名、密碼等上傳到服務器后臺端口。用戶名、密碼在獲得驗證后，就可以打開相關端口，并分配用戶ip 地址，保證認證數據可順利通過這一端口。用戶在線。這構成了實現身份驗證，授權和記帳功能的AAA 系統。RADIUS 可有效集中用戶的身份信息，保證其政策的靈活性、安全性、有效性。同時還能夠實時記錄用戶網絡使用情況等信息，并在這一基礎上進行管理。Ubuntu Gutsy 7.10 主要用戶設置RADIUS 服務器，并驗證用戶密碼、用戶名等信息，避免未獲得授權的用戶隨意訪問無線網，從而確保網絡安全。

2.3 傳輸過程加密

數據傳輸加密是當前應用較多的信息保護方式，安全性較高。數據加密技術主要存在線路加密、端到端加密兩種加密技術。要求對敏感技術、信息進行加密處理，自動隱藏關鍵信息，提升信息的安全性。無線AP 以向周圍區域，傳輸電磁信息的形式，實現數據傳輸的目的。如果用戶信息被攻擊者非法獲取，師生基本信息、關鍵信息，就可能出現泄露的情況，因此要求在WPA-RADIUS 加密技術作用下，實現信息加密，提升信息安全性，避免信息被攻擊者非法盜取[4]。而WPA-RADIUS 加密是在RADIUS 服務器作用下實現的，要求通過RADIUS 身份驗證實現信息訪問，保證服務器正確配置。WPARADIUS 安全性相對較高，一般用于大型無線網絡，從而避免了無線網信息資源的外泄，體現更好的安全性和可靠性。

2.4 使用防火墻技術和入侵檢測技術，同時對子網進行單獨規劃

為提升校園網安全性，加強無線無、有線網管理，并劃分無線子網。校園網主要結構為無線子網、有線子網以及資源子網等部分[9]。要求在有線、無線網絡之間，設置防火墻，避免無線網被攻擊，導致資源被竊取的情況。尤其是在用戶登錄無線網系統時，第一次是訪問無線網絡通過身份驗證服務器。只有在認證通過后才能獲得授權，并且可以根據相應的權限訪問網絡中的資源。為了確保安全性，同時還要設置安全防火墻、入侵檢測系統，避免內外部入侵。此外，網絡中心還可以通過無線網絡管理設備，加強對無線、有線網絡集成管理和監控。

3 增強師生安全意識，加強網絡安全管理

上述措施可以在一定程度上防止犯罪分子的攻擊，但不能消除。因此，要加強對師生的互聯網指導，培養良好的個人網絡習慣，不打開不健康的網頁，不泄露互聯網上的個人信息，我相信天空中的美好事物，提高安全意識，文明互聯網。學校應該提高網絡安全性機制，網絡中心應創建網絡安全預警機制以及信息通知系統，加強無線設備管理，保證能夠在短時間內檢測并對入侵信息進行預警，并在發現危險的第一時間，采取相應的處理措施，從而保證無線網絡和用戶的信息安全。此外，還可在安全審計系統作用下，加強校園網的安全保護。教師和學生隨時隨地訪問互聯網是一項方便的任務。確保無線網絡安全等級，是一項系統、長期的工作，對校園網發展更為關鍵。因此，高校應當根據實際所需，提升師生網絡安全意識，保證校園無線網的安全、穩定的運行。平臺，為學校師生提供安全可靠的環境，提供安全健康的在線環境。

4 結束語

校園無線網是一個大型系統工程，如進入校園的計算機有線網絡。這是實現智能校園的有效途徑。當前，校園無線網技術應用已經逐漸成熟，對高校學生的日常生活、學習，都產生了極大的影響，尤其是網購、網上支付在生活中的不斷普及，人們關于網絡安全的要求不斷提升。所以，培養高素養的網絡安全技能人才，研發更為先進、科協性更高的安全技術，對提升網絡安全等級有著極大意義和作用[5]。雖然無線網技術獲得了極大發展和普及，但安全問題卻始終未能得到解決，因此，如何提升無線網絡運行過程中的信息安全性，以改善教師和學生的安全網絡。努力為環境服務。