关于高校无线网络安全策略的研究

吕海涛



关于高校无线网络安全策略的研究

吕海涛

哈尔滨金融学院，黑龙江 哈尔滨 150030

随着高校里笔记本电脑、iPad、手机上网等无线终端的普及，无线网因其传输介质的开放，采用无线传输面临着越来越多的安全问题。基于此，对高校无线网络的使用以及存在的网络安全问题进行了剖析，介绍了无线网络安全防范技术几种常用的方法，并提出了一些安全防范的措施。

无线网络；网络安全；认证

对于基于WLAN的无线网络而言，由于高校中存在大量具备较高技术背景和动手能力强的师生，需要考虑如何防止非法的用户访问行为、怎么禁止非法用户接入网络、空口窃听如何防护、AP接入AC的安全如何能得到保障和Rogue AP等设备带来的安全隐患如何解决等问题。本文对以上问题进行了如下阐述。

1 终端类型识别

终端类型识别是指AC通过对用户发送报文中字段的特征进行分析，包括MAC、用户代理UA（User Agent）与DHCP Option信息，识别出终端类型。用户接入内部网络的设备类型可以通过AC无线控制设备识别，并对某些指定移动设备的接入进行控制，完成基于设备类型、用户、接入地点、接入时间、设备环境的授权与认证，进而实现精细化的管控。

2 恶意攻击的解决办法

Weak IV入侵、Spoof入侵和flood攻击方式，是高校网络攻击主要的几种形式，具体的解决方法如下。

2.1 Weak IV攻击检测

在使用WEP加密算法的前提下，启动IV监测来过滤client数据报文，当IV的安全策略分析出处在Weak IV攻击时，AC控制器会阻拦该用户访问。

2.2 Flood攻击检测

如果恶意攻击IP向AP发送大量的连接请求报文时，AC控制器会处理从AP 上转发过来的报文，这样会导致网络内部造成影响。开启Flood attack监测策略，恶意用户的Flood攻击会被AC控制器检测到。该恶意用户的报文将会被AP全部丢弃，进而完成了对网络的安全保护。

2.3 Spoof攻击检测

对于Spoof攻击的潜匿入侵者将以其他设备的身份发送攻击报文。AC控制器接受到恶意用户或恶意AP发送一个欺骗的解除认证报文会导致无线客户端下线，进而阻止该用户访问网络。

3 空口窃听

空口监听往往是高校中那些充满好奇心的学生经常尝试破解的点，需要考虑对空口数据进行加密。常用的空口加密方式有WEP，WPA/WPA2，WAPI等。在最新的实现中，不管是WPA1还是WPA2都可以使用802.1X，使用802.1X时称为WPA企业版，不使用802.1X时称为WPA个人版，又叫WPA-PSK版。

在网络部署的实际过程中，要一同考虑空口加密和用户认证的设计，Portal+PSK方式部署在高校的普遍使用，并采用CCMP加密方式，需要在网络设备上进行配置。

4 Rogue设备防护策略

校园无线网中可能有的Rogue设备包括Rogue Client、Rogue AP和Ad-hoc。这些设备对运行的WLAN网络会带来许多安全隐患问题，例如干扰、攻击用户和非法AP建立连接等。采用华为WLAN WIDS方案对无线网络中的Rogue 设备（含Client，AP，Ad-hoc）进行过滤检测、侦别以及反制的解决方法较为有效。

5 无线局域网的认证和加密

采用用户接入认证，可以对接入网络的用户身份的合法性进行认证。只有合法用户才允许接入，并且不同的用户、不同的角色所能够访问的资源是不一样的。管理员可以定义不同的角色，或者为用户分组，调试不同的网络资源，使特殊的无线用户只允许访问授权的指定资源信息，阻止访问未授权的网络资源数据。在ME60设置认证网关上，实现有线网络、现有的无线网络和本次项目新增无线网络认证用户的统一。

对于无线园区网络设备应支持MAC认证、802.1X、Portal认证多种网络访问控制方式，让用户网络的汇聚交换机、接入交换机、AP、无线控制器等多种网络设备灵活部署实施，配合认证服务器与代理客户端一起实现用户接入控制，为无线园区提供安全可靠的访问控制。

6 用户访问安全

高校根据需要，往往划分了不同的SSID供不同的用户群使用，如外部用户使用SSID-Guest，内部用户使用SSID-NanJing University。出于信息安全的需求，往往需要保证来访的访客不能访问高校内的资源。此外，校内的教职工和学生之间，或不同专业的学生之间，也会根据需求授予不同的访问权限。这些可以通过用户组的方式来实现[2]。

6.1 用户访问授权设置

用户访问授权可以在本地网络设备授权，也可以通过AAA服务器进行远端授权。小型园区或者SOHO的网络架够适合本地授权，而大学这种较大规模的网络，属于园区网络，并不适合本地授权。远端授权的方式更适合于高校使用，即通过AAA服务器完成。

当无线用户认证成功之后，Radius服务器下发用户分组报文，对用户采取身份分类，所有用户分组都能关联到相应的ACL访问控制规则。通过ACL规则和用户分组的关联，对每类用户进行ACL授权信息控制，即同类用户获得相同的授权信息。Radius服务可以利用现网的AAA，也可以新建。

6.2 用户隔离

使用集中转发的方式更适合高校的访问系统，对访客用户的控制会起到更好的作用。当外部访客用户和内部用户都采用集中转发时，外部访客用户使用的SSID-Guest与内部用户使用的SSID-NanJing University之间是天然隔离的。当外部访客用户使用集中转发，内部用户都采用本地转发时，外部访客用户使用的SSID-Guest与内部用户使用的SSID-NanJing University之间也是天然隔离的。

7 结束语

勒索病毒大肆爆发，影响了全球多个各家及城市，国内高校也受到不少的冲击。从国家到地方高校，提高网络安全的意识在逐渐增强。无线校园网作为校园网络的主要载体，不仅要从网络技术手段去防护控制，也要从自身提高安全意识的角度出发，这样才能保障校园网络的通畅。

[1]兰其斌.校园网中无线局域网的安全策略探讨[J].福建电脑，2010，26（7）：9.

[2]陈小勇.无线局域网技术在校园网中的应用及安全策略研究[J].科技信息，2010（5X）：91-92.

Research on Wireless Network Security Strategy in Colleges and Universities

LYU Haitao

Harbin Institute of Finance, Heilongjiang Harbin 150030

With the use of notebook computers, ipad, mobile Internet and other wireless terminals are relatively popular, wireless network because of its transmission medium open line, the use of wireless transmission is facing more and more security issues will be particularly prominent.This paper analyzes the use of wireless network and the existing network security problems, introduces several commonly used methods of wireless network security technology, and puts forward some measures to prevent security.

wireless network; network security; authentication

TN915.08

A