◆陆紫光
校园无线网络的安全现状及防护策略探究
◆陆紫光
(广西大学计算机与电子信息学院 广西 530004)
进入二十一世纪,信息化是这个时代基本特征,随着各大高校信息化建设的不断推进,无线网已经成为了校园网解决方案中一个关键组成部分,但是校园网一旦受到一定的破坏,学校的机密信息也就可能会泄漏出去,这将直接造成学校的经济损失并给学生的人身安全带来影响。本文对当前校园无线网所面临的安全威胁进行了分析,并给出了几种适用于校园无线网的安全解决方案。
校园网;无线网络安全;数据加密
得益于网络通信技术的不断进步,无论是在工作、学习还是生活中,任何一处都少不了网络的身影,我们对网络接入点形式多样化的要求也越来越高[1]。无线校园网的出现,使学生和老师的效率得到了大幅提升,但无线校园网在给学校的教学工作带来诸多便捷的同时也存在诸多安全隐患[2]。为了保证校园工作的有序进行,校园无线网络的安全和稳定就有着十分重要的意义[3]。除了易用性和可扩展性之外,无线校园网的安全性也是我们在部署这类系统时所需要综合考虑的问题。强化校园无线网络安全管理[4],这也是整个安全社区普遍关注的话题。
虽然目前无线网络技术的成熟度能够满足现实生活中校园网络环境下的特殊要求,但是无线网络的无缝覆盖、易扩展性和灵活性也无法掩盖不安全因素的存在[5]。校园无线网已经不是一件新鲜的事情了,但是却很少有人真正了解如何在无线网络环境下保护自己的个人信息安全[6]。目前无线网络身份验证中最基本的三种安全认证机制有如下三种:
(1)基于MAC地址的认证:基于MAC地址的认证既不需要用户安装任何客户端软件,也不需要手动输入访问密码。每一个无线AP都可以根据MAC地址列表来限制用户访问该网络。如果目标用户设备的MAC地址存在于这个MAC地址列表中,则该用户就允许访问该网络。
(2)基于共享密钥的认证:基于共享密钥的身份认证要求访问用户进行身份验证,用户需要输入正确的共享密钥(密码)才可使用网络资源。
(3)IEEE802.1x认证:802.1x协议需要根据用户ID或设备信息来对网络客户端(或端口)进行鉴权,这种双层协议需要通过802.1x客户端软件来发起请求,并发起DHCP请求得到访问IP以获取对目标无线网络的访问权限。
虽然上述这三种是无线网络接入点最常用的身份认证机制,但是现在很多校园无线网络都没有实现这些最基本的安全认证措施。
(1)非法连接
非法连接指的是攻击者使用未经授权的有线设备物理接入到交换机、路由器及无线AP端口上,或使用物理设备在没有经过身份验证的情况下进入目标网络。由于攻击者直接将非法设备连接到了现有的网络节点或终端上,他们将能够在不需要破解任何密钥的情况下进入校园网络系统之中。
(2)非法入侵
非法入侵不需要进行设备的物理连接,攻击者只需要在校园无线网络信号足够强的地方使用带有高功率天线的设备来重复探测无线网络接入点的信号和信道,然后使用WiFi破解工具即可破解那些利用WEP和WPA加密的无线接入点的访问密码。
(1)用户非法访问
由于任何人都可以在目标无线网络的覆盖范围内搜索到WiFi信号,这种特性与有线网络的管理和控制有着很大的区别。有线网络只需要控制网络端口的使用便能够控制整个网络的访问情况,但无线网络如果没有设置登录验证机制,就无法抵御攻击者的非法访问了。
(2)WEP加密协议破解
WEP加密协议只是一种最基础的安全保密协议,但是低级的安全加密协议已经无法完全保证用户的数据安全了,而现在安全社区也已经设计出了100%破解WEP加密的方法。根据研究表明,攻击者可以在短短的五分钟之内成功破解长度为10位的WEP密码。
(3)网络侦听
校园无线网络中的数据传输主要依靠无线网通信信道来实现信息的接收和发送,所以攻击者将能够在校园无线网络所覆盖的任何一个区域使用带有高增益天线的网络监听设备来对目标网络中传输的数据进行侦听。在对捕获到的数据包进行深度分析之后,攻击者便可以获取到无线网络数据包中的敏感信息。
(4)网络欺骗攻击
网络欺骗攻击主要有地址协议ARP攻击和MAC地址欺骗。地址协议ARP攻击指的是攻击者通过伪造IP地址和MAC地址的方式实现ARP欺骗,然后在目标网络中生成大量ARP数据并导致目标网络发生拥塞或实现中间人攻击。而MAC地址欺骗指的是攻击者在入侵了目标无线网络之后窃取到了网络内合法设备的MAC地址,然后利用这个窃取来的MAC地址来伪装成合法用户并使用校园无线网络的资源。
用户访问控制的核心思想就是通过安全策略和安全规则来防止非法用户访问目标网络,以防止校园无线网络被非法连接或非法入侵。通过将MAC地址与IP地址绑定:将无线网络用户的IP地址与该用户的无线网卡MAC地址进行绑定,此时即使攻击者能够进入目标无线网络,他们也无法访问网络中的资源。
在数据传输的过程中需要防止攻击者通过中间人攻击和网络嗅探等手段窃取信息,而对传输数据实施有效的加密处理,可以提高数据的传输安全性。目前校园无线网络环境下比较常用的加密机制有WPA2-PSK、TKIP和CCMP,管理员也可以采用3DES算法或者通过VPN来保障校园无线网络的安全。
采用了专门的芯片和加密方法的安全路由器设备可以有效地保障网络数据传输的完整性。除了安全路由之外,硬件防火墙技术同样是一种保护校园无线网络安全的有效措施。在校园无线网的网络边际部署硬件防火墙来隔离和划分内外网,而且还可以根据需求来设置无线网络的访问策略,并根据预先设定的网络安全过滤规则来对数据进行过滤和清洗。
基于无线网络的身份验证机制可以有效地防止未经授权的用户访问,目前校园无线网络环境下的身份验证机制主要有IEEE802.1x以及Portal认证这两种方式,IEEE802.1x的特点就是对网络设备的整体性能要求不高,组网的成本也相对较低,但是在需要接入网络的终端上必须安装有客户端认证软件。Portal认证则需要涉及到服务器端的认证,虽然Portal认证不需要用户安装客户端软件,但是对于服务器的性能要求比较高,而且组网成本也相对较高。
将无线网络通信技术应用到校园网中,不仅提升了校园工作的效率,而且从一定程度上也提升了我国无线网络通信技术的水平。但是从现状来看,无线网络依旧存在很多问题,尤其是安全防御部分。校园无线网络要实现其性能的正常发挥,就需要我们对其安全性的实现付诸努力。
[1]林奕水,邬燕萍等.基于网络环境下校园网络安全问题的分析与对策探讨[J].网络安全技术与应用,2014.
[2]程红.如何遏制非法入侵校园无线网[J].电脑编程技巧与维护,2016.
[3]杨志强.无线校园网安全分析与防御[J].科技展望,2016.
[4]邵全义,赵书田.构建智慧校园WiFi无线网络的安全方案[J].无线互联科技,2017.
[5]DavidKotzKobbyEssien,etal.AnalysisofaCampus-wideWirelessNetwork[J].WirelessNetworks,2015.
[6]崔小冬.基于WiFi的无线校园网建设研究[D].江苏:南京理工大学,2010.