无线校园网的安全策略浅析

程 凯，董 雪

(1.河南教育学院 信息技术系，郑州450046；2.河南教育学院 院长办公室，郑州450046)

如今，即使多数的有线网络仍然拥有比无线网络更大的带宽，但无线网络却有着巨大的优势：人们可以脱离网线的束缚，便利地访问到所需的信息，这有力推动了信息传播的革命。

相应地，校园无线网络的发展迎合了教育信息化的发展趋势，丰富了教学手段、提升了教学质量，在相当程度上促进了校园生活方式和工作学习方式的转变。一方面为教职工和学生带来更人性化、更灵活高效的工作、教学和学习体验;另一方面也持续推动了校园文化步向更深刻的变革。

2012年9月22日，由教育部科技发展中心主办的“2012高校无线校园网络建设研讨会”在京召开。大会主题为交流无线校园网建设与应用的经验，集中探讨无线校园网发展中的相关问题，其中，无线校园网的安全问题是讨论的核心。由此可见，无线校园网的安全问题亟待解决。

1 .无线校园网的特点与优势

1.1 移动性强

无线网络摆脱了有线网络的束缚，能够使学习远离教室，可以在网络覆盖范围内的任何位置上网。无线网络完全支持自由移动和持续连接，实现了移动办公。

1.2 安装方便

无线局域网的安装简单，无需破墙、掘地、穿线架管，这样避免对建筑物及周边环境影响，减少网络布线工作量，一般只要安装一个或多个接入点AP(Access Point)设备，就可建成覆盖整个建筑或地区的局域网络。一旦发生事故，不必寻找损坏路线，只要检查信号发送端与接收端的信号是否正常即可。

1.3 带宽很宽

无线网适合进行大量双向和多向多媒体信息传输。在速度方面，标准802.11b的传输速度可提供11Mbps数据速率，而标准802.11g无线网速提升五倍，其数据传输率将达到54Mbps，充分满足校园网用户对网速的要求。

1.4 较强的灵活性

在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络。由于采用直接序列扩频、跳频、跳时等一系列无线扩展频谱技术，使得其组网灵活，安全可靠。

1.5 维护成本低

无线网络尽管在搭建时投入成本较高，但后期维护方便。由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需要，这往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划，又需花费较多费用进行网络改造。而无线局域网可以避免或减少以上情况的发生，维护成本比有线网络低50%左右。

1.6 易于扩展

无线局域网技术有对等模式、中心模式、中继组网模式等多种配置方式，能够根据需要灵活选择，易于扩展。

2 .无线校园网存在的安全问题

在无线校园网的实际使用中，有可能碰到的威胁主要包括以下几个方面：

2.1 网络监听

由于无线局域网具有开放访问的特点，大多数无线网络通信数据是以明文(非加密)格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监听并破解(读取)通信。入侵者无需将窃听或分析设备物理地接入被窃听的网络，就可以乘机在无线信号覆盖范围之内，进行窃听、恶意修改并转发数据。所以，这种威胁已经成为无线局域网面临的最大安全问题之一。

2.2 信息重放

无线校园网在没有足够的安全防范办法的情况下，很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为，即使采用VPN(Virtual Private Network)等保护办法也难以避免，它能对授权客户端和AP进行双重欺骗，进而对信息进行窃取和篡改。

2.3 加密协议(WEP)破解

互联网上存在的一些非法程序，能够捕捉位于AP信号覆盖区域内的数据包，通过收集足够多的WEP(Wired Equivalent Privacy)弱密钥加密的数据包，进行分析以破解WEP密钥。根据监听无线通信的机器速度、WLAN(Virtual Local Area Network)内发射信号的无线主机数量，最快可以在约两个小时之内破解WEP密钥。

2.4 MAC地址欺骗和会话拦截

非法用户通过网络窃听获取数据，从而进一步获得AP的静态地址池，获取合法站点的 MAC地址，然后通过 ARP(Address Resolution Protocol)欺骗，利用这些合法的 MAC地址进行欺骗攻击。同时还可以通过截获会话帧从而获取更多信息。

2.5 拒绝服务

拒绝服务是最为严重的攻击方式，一般有两种攻击方式，一是攻击者对AP进行泛洪式的攻击，使AP拒绝服务。二是攻击者对移动模式内某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，这通常被称为能源消耗攻击。

2.6 非法入侵

由于无线局域网数据具有公开、易获取的特性，攻击者一旦侵入无线网络，即可未经授权而擅自使用网络资源，甚至进一步入侵其他系统。这样的安全隐患将成为整个校园网安全系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前，后果十分严重。

3 .解决方案

无线网络进入校园以后，如何保证无线校园网络的安全性呢?可以采取以下安全方案。

3.1 无线校园网络的物理安全设计

3.1.1为保证校园网信息系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。防范措施主要在三个方面入手：第一，对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。第二，为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、以及通风、波导等。第三，对本地网、局域网传输线路传导辐射进行抑制。

3.1.2规划天线的放置，掌控信号覆盖范围。要部署封闭的无线访问点，第一步就是合理放置访问点的天线，以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域中心，尽量减少信号泄露到墙外。部署了无线网络之后，应该用可移动的无线设备彻底的勘测信号覆盖情况，并反映在学校的网络拓扑图里。

3.2 无线校园网络的安全配置

针对校内不同用户群体对无线网络需求的差异，为保障校园无线网络使用的安全性，安全策略主要应从访问控制和数据加密两个方面加以改善。

3.2.1访问控制。针对校园群体的特点，可以对不同用户使用不同的认证方法，以此来确保无线校园网络的安全性。一般来说，无线校园网络的用户可划分为本地用户和外来用户两大类。

①适宜校内师生用户的端口访问控制技术(802.1x 认证)802.1x 认证使用 802.1x RADIUS 认证和MAC地址联合认证，用于防止非授权的非法用户接入和访问，确保只有合法用户和客户端设备才可访问网络。802.1x定义了三种身份：申请者、认证者和认证服务器。当申请者向认证服务器表明自己的身份时，认证服务器就对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者就可用这个密钥与AP进行通信。目前是无线网络中安全性很高的技术，特别适合校园内的师生用户群体。

②外来用户主要是针对来学校进行学术交流、培训等用户，这些用户关注的是能够方便、快捷的接入网络，以进行相关的文件传输、浏览网站等工作。因此，对这类用户可采用DHCP+强制Portal的认证方式，用户可得到DHCP服务器分配的IP地址，当他们用浏览器访问网页时，强制Portal控制单元首先将用户访问的 Intenet定向到 Portal服务器中定制的网站，让用户仅可以访问网站中提供的服务，而不能访问校园网内部的一些受限资源。例如学校公共数据库、图书馆期刊全文数据库以及一些学校内部资源。如果用户需要访问校园网以外的数据，要先通过强制Portal认证，通过认证之后方可访问网络。根据不同用户的需要采用不同的认证方法，从而保证无线校园网络的安全性。

3.2.2 WEP 加密技术

WEP加密技术是8011b标准里定义的一个用于无线局域网的安全性协议，是对无线网络上的流量进行加密的一种标准方法。由于在无线网络中，无需物理连接就可以连接到网络，因此，目前IEEE 802.11标准中的 WEP，在 15分钟内就可被攻破，所以建议采用支持128位的WEP，并且不要使用生产商自带的 WEP密钥，防止未授权用户的侵入。建议经常对WEP密钥进行更换，在有条件的情况下启用独立的认证服务为WEP自动分配密钥。

3.3 高校无线校园网的管理与维护的措施

如何保障无线校园网的正常运转和信息通讯的畅达、安全，需要高校的网络部门做好无线校园网的管理工作，具体建议如下。

3.3.1 建立高素质的网络管理系统

高校要制定相关的管理制度，规范管理人员的行为，明确管理工作的责任和具体分工，保证管理人员自身的素质。采取分级网络管理的方式，使管理人员可以各司其职，做好自己的网络维护工作。另外，高校要考虑到无线网络的技术和设备要求，建立完整的无线局域网网管系统WNMS。利用这一管理系统，可以实时的检测校园网的工作状态、信息传输的状况以及无线信号的状况，及时的更新相关的信息，确保网络信息的正确性和有效性。同时也可以预防不良网络的攻击和黑客的袭击，维护正常的网络秩序。

3.3.2 做好校园网络安全的管理工作

互联网是一个开放的平台，为了维护网络资源的安全和有效性，管理时可以对所有的AP进行加密，对于机密性较高的信息或数据，管理时要根据相关规定，独立设置加密体系。密码加密并不可能一劳永逸，做好网络安全的预防工作还需要管理员充分发挥自己的业务水平，依靠自己的职业直觉和技术，提高防范意识，加强对校园无线网络的监控，定期的进行检测，一旦发现有异常现象，应该及时予以处理。另外，管理员还需要做好各项资料的备份，以防紧急情况的出现。

3.4 加强无线入侵检测工作

通过提供商购买无线入侵检测系统，增加对无线局域网用户的检测、监控、分析，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不仅能检测到MAC地址欺骗，通过一种顺序分析，找出那些伪装WAP的无线上网用户，还能加强策略，使无线局域网更安全。

［1］杨哲.无线网络安全攻防实战［M］.北京：电子工业出版社，2011.

［2］王艳春，张晨霞.无线网络安全研究［J］.齐齐哈尔大学学报，2005，21(2)：76 －78.

［3］徐小龙.无线局域网主动入侵防御的研究［J］.信息网络安全，2005，55(7)：20 －21.

［4］苏群，赵宇明，徐晓新，等.校园无线网的建设和管理［J］.工业仪表与自动化装置，2011(2)：83 －85.

［5］齐铁.高校内网信息安全研究［J］.赤峰学院学报：自然科学版，2011，27(4)：51 －52.