校园BYOD时代的Wi-Fi安全风险探析

赵晓飞 韩慧敏

·海关科技·

校园BYOD时代的Wi-Fi安全风险探析

赵晓飞 韩慧敏*

随着越来越多的校园师生开始拥有自己的无线上网设备，校园Wi－Fi成为广大师生获取信息的重要途径。然而，大量自带设备（BYOD）涌入校园也随之给校园网络安全带来重大隐患。了解隐患的根源和出处是解决安全风险问题的关键所在，本文将分别从四个方面对校园Wi－Fi环境下BYOD的到来给校园信息安全带来的风险进行详细分析。通过分析安全风险问题的出现环节和表现形式，找到解决问题的入手点和基本方法，最终为解决BYOD带来的信息安全风险提供参考。

信息安全管理；BYOD；安全风险；解决方案

随着无线网络在各大学校园的不断普及，Wi－Fi这个专业术语在大学校园里已经不再是专业人员拿来炫耀的技术名词，可以说无论是老师还是学生，几乎所有的师生都知道Wi－Fi，而且都在使用着Wi－Fi。然而，BYOD这一名词却不为广大师生所关注，而BYOD却在潜移默化的影响着我们的网络和工作。

一、校园BYOD时代的到来

BYOD（Bring Your Own Device），是指个人将自己的智能手机、平板电脑、笔记本电脑等移动智能设备带到办公场所，并将其用于处理工作和学习事务。为了随时随地的满足办公、学习的需求，几乎所有的BYOD设备都支持Wi－Fi网络，国际国内也均由此引发出了一系列管理和安全上的讨论，而BYOD所带来的风险也因此被认为是近几年信息安全管理中风险上升最快的短板之一。在BYOD迅猛的发展浪潮中，我国并不落后，甚至发展速度已经超过某些西方发达国家，而中国的大学校园无疑是这个BYOD时代到来的主力军之一。

一般来说，一所大学每年约有10，000个新学生到达校园，并且每个人都平均带有3.5件个人电子设备，BYOD的规模在一所大学中就数目庞大。①廖煜嵘：《迎接移动化高校教育如何看待BYOD》，2013年9月10日，http://cio.it168.com/a2013/0909/1531/000001531395.shtml，2013年9月21日访问。虽然大多数高校都为学生提供电脑或其他上网硬件设备，然而，当智能手机、平板设备开始兴起的今天，无论是老师还是学生都不约而同地将自己的设备带进校园并且期望利用它们来方便自己的工作和学习。而大学作为一个自由开发的空间，又很少去控制这些外来移动终端的使用情况，如此这将可能会带来重大的安全隐患。

二、不断普及的校园Wi－Fi

随着无线技术的快速发展和不断成熟，设备价格越来越廉价，越来越多的老师和学生都拥有带有Wi－Fi功能的笔记本电脑、平板电脑、手机等，广大师生迫切希望能够突破有线网络节点的限制，能够随时随地的办公学习。根据Educause的研究显示，有78%的学生认为Wi－Fi对于专业成绩的提高有价值，而60%的学生表示不会考虑在不提供免费Wi－Fi的学校就读。校园Wi－Fi已经逐渐成为校园生活的重要组成部分，是广大师生能够随时随地获取资源和信息的主要途径之一，各高校也纷纷把校园Wi－Fi建设作为信息化建设的重要指标和任务。在国际上，无线校园也已成为学校提高教育资源利用率，提升教学环境品质，增加教育交流性和灵活性的一种重要方式。据统计，截止到2010年，全球建设了无线校园网的高校达1500所。在国内，据教育部在2005年的一项调查显示，到2005年止，在我国高校中建有校园无线网络已有15.1%；同时，有36.2%的高校将计划建设无线校园网，两项数据合计达到了51.3%。截止2012年，国内有200多所高校已在建或建成了自己的校园无线网。与此同时，移动、联通、电信等公司为了抢占校园市场，也极尽所能的把各种热点遍布整个校园，并提供各种免费或优惠的网络服务，Wi－Fi热潮已在中国校园势不可挡。

三、BYOD带来的校园信息安全风险及应对

就在各高校无线网络蓬勃发展的同时，Wi－Fi网络也带来了众多不安全机制，导致校园信息安全风险。尤其，当绝大多数的外来BYOD设备使用Wi－Fi访问网络时，更容易被攻击、欺骗和破解，存在较高的信息泄露风险，甚至会给校园整体网络环境带来重大影响。因此，分析、防范Wi－Fi网络所带来的安全风险，对于全面解决BYOD风险至关重要。具体说来，主要表现为以下几种形式：

（一）Rogue AP层出不穷

Rogue AP被称为非法AP或流氓AP，是指未经管理员注册，由师生个人私自接入到校园内网的AP。而且，Rogue AP层出不穷，在学生的宿舍里、校内宾馆里、实验室里、甚至是教室里无处不见。在Rogue AP信号覆盖范围内，内网被入侵的可能性大幅增加，传统的防火墙等网络安全设备对此毫无办法，校园内网在不经意间已对外大门敞开（见图1）。

图1 Rogue AP

对于那些尚未来得及部署Wi－Fi网络的区域，Rogue AP所带来的网络安全风险从不间断。老师为了方便办公，在办公室里私自部署AP，可能某位同学仅仅是为了使用自带的手机、电脑或iPad，而把家用AP连接到网络上，一个个Rogue AP就这样出现了，加之校园环境下学生的活动性又非常大，Rogue AP显得更加难以管理。一旦某个Rogue AP持续运行，就很可能带来众多灾难性后果。Rogue AP可能导致产生多个DHCP服务、造成环路从而引起的整网数据风暴过载。更糟糕的是，即使设置了加密，也会被恶意者注意到，通常情况下，由于缺少集中认证、加密等安全策略，Rogue AP总是容易被破解，更何况有些Rogue AP是采用WEP加密甚至完全开放状态，从而导致校园内网病毒横流，信息严重泄露等问题。无意架设的Rogue AP，管理员可以在定期的检查中发现，但总有一部分人为了逃避检查，采取各种办法来隐藏自己，例如不对外广播SSID、设置一个不常用的无线信道，甚至干脆迁移到5.8GHz频段上。这些办法有可能会逃过管理人员的眼睛，但是却不一定能躲开黑客发起的攻击，这些AP运行的时间越长，被入侵的概率也就越大。

针对这种情况，我们可以采用以下办法加以防范：一是通过配置交换端口对广播和流量进行限制，屏蔽大数据大流量降低数据风暴风险，配置端口隔离减少端口间的串扰。二是在接入层交换机上开启DHCP－snooping功能，通过建立和维护DHCP－snooping绑定表过滤不可信任的DHCP信息。三是通过无线网络控制器AC的屏蔽非法AP功能，直接将合法AP探测到的Rogue AP强制屏蔽。当然校园Wi－Fi管理人员更要加强技术手段，充分运用各种工具进行定期清查。

（二）非法Wi－Fi外联防不胜防

BYOD时代，越来越多的移动终端内置了Wi－Fi网络，即便在内部实行了严格的互联网访问策略，命令禁止使用外部Wi－Fi网络，但只要所在区域附近存在着免费热点，任何人就有可能使用自己的终端进行Wi－Fi连接，尤其是当前移动（CMCC）、联通（CUCC）和电信（ChinaNet）等热点弥散在校园的各个角落，这样的链接常常是在无意识的状态下就进行了。假如一台终端在链接外来热点的同时又不时地联入校园内网，那么这些终端就像一个不受控制的“网闸”，可能经常在隔离的内网与外联的外网之间来回切换，则终端内的秘密信息就有被窃取的可能，校园内网感染病毒、木马的风险也随之提高（见图2）。

图2 非法Wi－Fi外联

非法Wi－Fi外联行为较为隐蔽，很多时候有可能是个人无意识的行为，可谓防不胜防，非常难以排除。原因在于提供Wi－Fi连接的外部AP并不在学校内网，公共的Wi－Fi资源不在学校网络管理人员可控范围内。针对这种情况，一方面应从管理上入手，告知广大师生其中的危害，让每个人都引起重视，确保在使用自己的BYOD设备时，合理接入网络进行使用，管好自己的终端。另一方面，从技术手段入手解决，比较极端的做法是，通过房屋的电磁屏蔽来防止外来电磁波的播散，当然这种做法只适用于机密程度要求较高的网络环境。我们还可以通过强大的访问控制和合理的设备部署来减少无线外联的风险。例如可以将合法AP安放在像防火墙或防病毒网关之类的设备之外。再例如还可以考虑利用VPN技术将AP连接到主干网。这样我们就在AP和校园内网建立起一道安全防线，一定程度上确保了内网的安全，然而终端上已从内网下载获得的资源仍然有可能在链接外来Wi－Fi时泄露。

（三）恶意的钓鱼AP

通常来说，一台打开了Wi－Fi功能的终端，会定期扫描周围的网络情况，而且自动记住曾经连接过的Wi－Fi，一旦周围出现了曾经连接过的Wi－Fi，终端便会自动发起连接。一般而言，为了保证Wi－Fi信号的强度，终端设备会不断探测周边的AP，判断AP信号强度并根据信号强度自动在网络里的众多AP之间漫游。此时，如果出现一个恶意AP，它通过攻击合法AP进而伪装成合法AP广播同样SSID信号，作为使用者通常是难以分辨的，一旦钓鱼AP信号强度超过其他AP，或合法AP的工作被干扰或被发起无线DoS攻击，终端就会毫不犹豫地联接到这个钓鱼AP上来。此时，移动终端的数据流量都会流经钓鱼AP，此AP在通过桥接功能将移动终端的流量再转发至Internet，因此移动终端仍可以继续上网，但此时，黑客可轻而易举的使用嗅探工具捕获流量，所有流量已经被别人尽收眼底了。如果使用中间人攻击工具，甚至可以截获采用了SSL加密的邮箱信息，更进一步，由于黑客的攻击系统与被钓鱼的终端建立了连接，黑客可以寻找可利用的系统漏洞，并截获终端的DNS/URL请求，注入攻击代码，并向用户终端植入木马，达到最终控制用户终端的目的。此时，那些存储在终端上的资料已经是黑客囊中之物了。

由此可见，无线钓鱼AP确实是BYOD的一大威胁，BYOD中的隐私很可能会随风飞走，被人窥视。因此做好无线钓鱼攻击的防范尤为重要。对此问题，我们需要从无线网络的部署、无线终端的使用等环节全面考虑安全性配置，最大程度降低信息泄露风险。在部署方面，需要统筹考虑全局，从有线到无线、从AC到AP，从AP到终端，每一个过程都需要合理规划、仔细考量。在有线与无线网络之间建立起非法无线设备的监控、定位、警告机制，并通过无线控制器统一部署有线无线安全策略，还可以采用部署WLAN IDS/IPS（无线入侵检测系统或无线入侵防御系统）或其他类似设备定期进行无线安全检测，消除可能存在的钓鱼AP和其他无线风险（见图3）。在终端使用上，要加强客户端安全认证，可以充分运用802.1x/PSK/MAC/Portal等多种认证方式的混合接入，并可进一步升级支持WAPI（Wireless LAN Authentication and Privacy Infrastructure）。还可以通过架设专用的VPN通道进行加密认证。如果经费允许，甚至可以购买无线网络安全交换机，这种基于硬件的交换机可以将原来AP中存放的IP地址、密码、安全认证、ACL、QoS等集成到交换机中通过硬件实现，在一定程度上解决无线安全问题。

图3 防钓鱼AP全局部署

（四）Wi－Fi中的“欺骗”、“拦截”与“绑架”

“欺骗”是指黑客或携带了黑客软件的设备将伪造的信息发送给计算机的行为，由于802.11无线局域网对数据帧不进行认证操作，入侵者可以使用欺骗帧的方式重新定向数据流，并通过对ARP表的分析获得网络中站点的MAC地址，得到了MAC就相当于找到了门牌号，进门拿东西就方便多了。

再有，通过AP上网的终端一定会监测到AP发出的广播帧发现AP的存在，然而装有恶意拦截工具的终端能很容易对广播帧进行“拦截”并进一步分析，进而装扮成一个合法的AP，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。

“绑架”，这里的绑架是指对无线信息的绑架，由于在AP的覆盖区域内，Wi－Fi信号是无处不在的，使得Wi－Fi流量被“绑架”的风险远远高于有线网络。被黑客安装了嗅探软件的终端可以在不被察觉的情况下绑架网络传输的全部数据，从而捕获账号和口令、专用的或机密的信息，甚至可以用来获取更高级别的访问权限、分析网络结构进行网络渗透等。Wi－Fi信道的开放性给网络嗅探带来了极大的方便，在Wi－Fi环境中网络嗅探对信息安全的威胁来自其被动性和非干扰性，运行监听程序的终端在窃听的过程中只是被动的接收网络中传输的信息，它不会跟其它的主机交换信息，也不修改在网络中传输的信息包，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不知不觉（见图4）。

图4 Wi－Fi中的“欺骗”、“拦截”与“绑架”

“欺骗”、“拦截”与“绑架”严重地威胁着无线网络安全，对于学校提供的无线网络设备，管理人员通过定期的检查保证终端的“纯净”。但对于老师学生的BYOD就有可能携带了众多的黑客软件，尤其是学生的好奇心比较强，容易在自己的设备上感染各种病毒软件，各种风险出现的概率随之明显增加。虽然三种信息泄密方式均不宜被察觉，但并非没有防范方法。归纳其三者的共性还是无线信号的外泄造成，然而Wi－Fi网络的特性又决定着信息的扩散不可避免。因此，使用加密协议就非常有必要了，唯有加强外泄信息的保密性才能有效截止各种安全威胁的产生，如果加密方式不够强壮，数据流量依然有被破解还原的可能，像传统的仅用wep加密的方式是远远不够了，需要进一步采用像SSH、SSL、IPSEC等这样的加密技术，即使信息外泄也能保证信息不被破解，从而有效地保障Wi－Fi数据安全。

四、结束语

本文仅总结了BYOD设备在校园Wi－Fi环境下所可能出现的部分信息安全风险情况，在日益复杂的校园无线网络环境中，潜藏的危机也会随着技术的进步、外来设备的增多而越来越多，越来越棘手。我们唯有认真借鉴和分析现有的经验和教训，并结合各校无线网络接入情况，充分运用各种技术、资源来尽力维护一个安全的校园无线网络环境。同时，更需要使用校园无线网络的每一位师生都参与到安全防护中来，管理好自带的设备，并按照规定合理合规的接入校园Wi－Fi，我们的校园无线才会更加安全，我们才能更好地享受校园Wi－Fi给广大师生带来的便捷。

〔1〕张岩.校园WIFI无线网络安全防护〔J〕.电子制作，2012（10）.

〔2〕杨敬民，林伟俊.基于BYOD的移动办公及其解决方案研究〔J〕.科技传播，2013（14）.

〔3〕韩韦.WIFI及其安全性研究〔J〕.无线互联科技，2013（1）.

（责任编辑 赵世璐）

赵晓飞，上海海关学院科技处；韩慧敏，华东师范大学。