高校校园无线网络的安全问题研究

中南财经政法大学信息与安全工程学院 徐 灿

建设无线网络已经成为校园弥补有线网络不足的重要措施，高校校园中的无线网络建设，使校园内师生的生活方式和学习方式发生了很大的变化。与有线网络相比，无线网络更容易被攻击和入侵，因此，高校校园无线网络的安全问题必须得到重视。本文剖析了校园无线网络的优势及其存在的安全隐患，并探讨了校园无线网络的安全防范策略。

1.引言

随着经济和技术的发展，智能手机、笔记本电脑等各种移动终端已在高校校园内普及，建设无线网络已经成为校园弥补有线网络不足的重要措施，无线网络使人们不受网线的束缚，随时随地可以上网访问相关信息。在校园网中开展无线网络建设，可以推进高校信息化发展，有利于多种教学方式的实现，给师生的工作和学习带来极大的便利[1]。不同于有线网络的接入方式，在无线网络中只要终端设备在无线信号覆盖范围内便可接入网络，非常方便。与有线网络相比，无线网络更容易被攻击和入侵，因此，高校校园无线网络的安全问题必须得到重视。

2.校园无线网络的优势

无线网络不依赖网线，只要在无线网络的覆盖范围之内，都可以连接网络上网，真正实现了移动办公，而且组网非常灵活；无线网络的安装很简单，布线少，一般只需安装一个或者几个无线接入点设备，就可覆盖整个建筑物或某一区域；发生故障时不需要查找故障线路，只需检查信号发送端和接收端是否正常就可以；无线传输标准802.11b的传输速度可以达到11Mbps的数据速率，而标准802.11g的传输速度则可以达到54Mbps的数据速率，这些传输速度完全可以满足高校校园网用户对网速的要求；相对于有线网络，无线网络的建设费用要高些，但一旦建设好后，无线网络的维护比较方便，而且维护成本比有线网络低50%左右。

3.校园无线网络的安全隐患

3.1 信息泄露

无线网络的开放访问特点让很多上网设备都能无障碍地连上无线网络，而且其中的网络通信数据是以明文形式出现的，正因如此，攻击者只要在无线网络覆盖范围之内，就可以窃听、篡改或转发相关数据，导致校园网络信息泄露，这是目前无线网络面临的最大的安全问题。

3.2 重放攻击

网络上传输的数据如果是加密过的，则窃听者无法知道数据的准确意义。但如果他知道这些数据的作用，就可以在不知道数据内容的情况下通过再次发送这些数据达到愚弄接收端的目的。重放攻击的基本原理就是把以前窃听到的数据原封不动地重新发送给接收方。在高校无线网络中，有些信息进行简单加密后进行传输，这时攻击者虽然无法窃听到准确的信息，但他们却可以首先截取加密后的数据然后将其重放，然后进行有效的攻击。这种攻击能够对授权的客户端和AP进行双重欺骗，达到窃取和篡改信息的目的。

3.3 加密技术存在漏洞

当前互联网上存在一些非法的软件和程序，它们能够捕捉到AP信号覆盖区域的数据包，当它们收集了足够多的WEP数据包之后就对WEP密钥进行分析与恢复，有的甚至可以在两小时内攻破WEP密钥，从而从黑客演变为合法的 AP 网络使用用户[2]。

3.4 MAC地址欺骗

MAC地址是固化在网卡上的物理地址，通常有48位长。以太网交换机根据某条数据包中的MAC源地址和MAC目的地址实现包的交换和传递。MAC地址欺骗的原理：正常情况下，二层交换机的地址表即CAM表存放了所有设备的MAC地址、交换机端口等信息，攻击者将自己的MAC地址伪装成某合法主机的MAC地址，欺骗交换机更新CAM表，导致所有发送给该合法主机的流量都被发送给攻击者。

3.5 拒绝服务

拒绝服务即Denial of Service，简称DoS，其攻击的目的是使主机或网络无法提供正常的服务。攻击者进行拒绝服务攻击会使服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器连接非法用户，影响合法用户的连接。拒绝服务一般有两种攻击方式：一种是攻击者对AP不断地发送信息，导致AP拒绝服务；另一种是攻击者对某个节点进行攻击，让它不停地提供服务或者转发数据包，使其能源消耗而无法继续工作，该种攻击方式又可称为能源消耗攻击[3]。

4.校园无线网络的安全防范策略

4.1 上网者身份认证

高校应当对学生和教师这两大校园网用户主体进行统一学号和工号的编排，师生上网时可以输入自己的工号或学号，以对用户身份和网络使用权限进行验证，只有通过验证才能实现无线上网。

4.2 启用加密功能

无线路由器里带有WEP、WPA和WPA2三种加密方式。不建议选用WEP，因为WEP加密相对于其他两种加密方式来说最古老，也最不安全。由于WPA2使用更安全的加密技术AES，因此比WPA更难被破解、更安全；并且WPA2加密密钥在数据包广播过程中会不断发生变化，安全性更好，所以优先启用WPA2加密功能。

4.3 禁止SSID广播

SSID是用来区分不同的无线网络。AP和无线路由器默认情况下会向所有的无线客户端广播自己的SSID号，从而方便用户接入相应的无线网络。广播SSID的功能在方便正常用户的同时也给非法用户接入网络创造了条件，因此应当取消AP和无线路由器的“允许SSID广播”功能，使得攻击者攻击时搜索不到SSID号，无法入侵网络，从而增加校园无线网络的安全性。

4.4 开启MAC地址过滤

无线路由器上的MAC地址过滤功能，主要是用来控制无线局域网中的计算机对互联网的访问权限，就是允许或禁止指定的终端（以MAC地址来标识）连接无线信号，可以有效防止网络被蹭。勾选“开启MAC地址过滤”后，如果要设置白名单，则过滤规则选择允许后，再根据需要添加允许访问无线网络的MAC地址条目；如果要设置黑名单，则过滤规则选择禁止后，再根据需要添加禁止访问无线网络的MAC地址条目。对于指定的无线网络，通过开启无线路由器的MAC地址过滤功能，可以允许白名单里的MAC地址访问而拒绝黑名单里的MAC地址访问，从而有效控制无线网络内用户的上网权限。无线MAC过滤可以让无线网络获得较高的安全性。

4.5 关闭路由器的DHCP功能

DHCP是动态分配IP地址，工作模式是客户端/服务器端模式，无线路由器是服务器端，连接路由器的电脑、手机等是客户端。服务器端即无线路由器开启DHCP功能以后，如果客户端设置自动获取IP地址，那么无线路由器就对连接它的电脑、手机等自动分配IP地址；如果客户端已手动配置好IP地址，那么DHCP就不会再给它分配IP地址了。如果关闭无线路由器的DHCP功能，那么企图自动获取IP地址的恶意用户就无法得到IP地址，因为它获取IP地址的请求没有服务器来响应了。

4.6 防范拒绝服务攻击

拒绝服务即DoS通过大量的虚拟信息流攻击目标主机以耗尽其资源，使合法的用户得不到提交的服务响应。为了防范DoS攻击，可以在无线路由器管理界面“安全设置”的“高级安全选项”中启用DoS攻击防范功能。无线路由器判定是DoS攻击的原理：设定一个时间间隔，设定一个阈值，如果在设定的时间间隔内，某种数据包超过了预设的阈值，无线路由器将认为DoS攻击已经发生，从而停止接收该类型的数据包。

4.7 应用入侵检测技术

将无线入侵检测技术应用于校园无线网络安全防范工作中，能方便网络管理人员实时监控无线网络中的用户行为。无线网络管理人员要时刻监测无线网络，要对异常情况进行监控和分析，判断入侵的类型，对于那些非法的网络行为和异常的流量要进行监视和报警[4]。

入侵检测系统可以对网络传输进行即时监视，它通过监测网络中的若干关键点，通过监测到的信息分析网络中是否存在被攻击的情形，一旦发现可疑传输时就会发出警报提示或者采取积极主动的处理措施。入侵检测是一种主动防御技术，能提供对网络的实时防护，并能对即将发生的攻击进行拦截或响应。

4.8 使用VPN技术

VPN（Virtual Private Networking），即虚拟专用网络，也可应用于无线网络，主要采用三种对称加密算法：数据加密标准（DES）、3级DES（3DES）以及高级数据加密标准（AES），通过使用这些加密算法可以保障数据在传输过程中的安全。为了保证数据安全，在VPN服务器和客户端之间的传输的数据都进行了加密处理，这样，数据就好像是在一条专用的数据链路上进行传输，数据传输非常安全可靠，如同专门架设了一个专用网络一样，所以称为虚拟专用网，但实际上VPN使用的还是互联网上的公用链路。

4.9 提高安全意识

完善无线网络安全的管理制度，培训网络安全知识，使网络管理员和用户提高安全意识。用户配置无线设备时，尽量使用高安全等级，不要采用系统的默认设置；客户端要安装杀毒软件和防火墙，以提高客户端访问的安全性。提升人员的安全意识和网络管理技术水平是校园无线网络安全防范工作的重中之重。

5.结语

网络的安全性与使用便利性是一对矛盾，越方便的网络使用起来越来越不安全。人们在享受无线网络提供的服务的同时，必然会面临无线网络所带来的安全威胁。尽管无线网络存在众多的安全隐患，但是并不能阻碍无线网络的迅速发展，校园无线网络是校园网络不可缺少的组成部分，保障校园无线网络的安全对于高校而言是尤为重要的，高校应当切实做好无线网络的安全管理工作，并积极采取相关措施及时排除校园无线网络中存在的安全隐患，以确保校园无线网络的安全，进而促进高校校园的现代化网络建设。