1、校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全與應(yīng)對(duì)措施1 概述 無(wú)線(xiàn)校園網(wǎng)絡(luò)已成為廣大師生工作和學(xué)習(xí)的常規(guī)渠道之一，越來(lái)越 多的個(gè)人隱私和工作實(shí)驗(yàn)數(shù)據(jù)等機(jī)密信息， 通過(guò)收發(fā)郵件、即時(shí)通訊、網(wǎng)上支付以及使用微信、 發(fā)布微博等方式進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)傳輸。 無(wú)線(xiàn)校 園網(wǎng)絡(luò)擺脫了時(shí)間、地點(diǎn)和對(duì)象的束縛，給師生的學(xué)習(xí)、工作以及休 閑娛樂(lè)帶來(lái)了極大的便捷，但由于無(wú)線(xiàn)網(wǎng)絡(luò)傳輸媒介固有的開(kāi)放性、 終端資源的受限性和移動(dòng)性， 以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的動(dòng)態(tài)性， 使得其存 在潛在的安全風(fēng)險(xiǎn) ; 同時(shí)，也使有線(xiàn)網(wǎng)絡(luò)環(huán)境下的許多安全方案不能 直接應(yīng)用。因此，無(wú)線(xiàn)網(wǎng)絡(luò)包括無(wú)線(xiàn)校園網(wǎng)絡(luò)的安全和應(yīng)對(duì)問(wèn)題，成 為新的研究熱點(diǎn)。2 無(wú)線(xiàn)網(wǎng)絡(luò)(WLAN 的優(yōu)點(diǎn)和安全性

2、特點(diǎn)1) 無(wú)線(xiàn)網(wǎng)絡(luò)定義 :WLAN (Wireless LAN) 即無(wú)線(xiàn)局域網(wǎng)，簡(jiǎn)稱(chēng)無(wú)線(xiàn)網(wǎng) 絡(luò)，就是利用無(wú)線(xiàn)電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò)， 可應(yīng)付各種 網(wǎng)絡(luò)環(huán)境的設(shè)置變化，不需要鋪設(shè)通信電纜。2) 無(wú)線(xiàn)網(wǎng)絡(luò)的優(yōu)點(diǎn) :使用靈活，易于擴(kuò)展:可以讓用戶(hù)通過(guò)無(wú)線(xiàn)網(wǎng)橋、 網(wǎng)卡和無(wú)線(xiàn)接入器等無(wú)線(xiàn)設(shè)備對(duì)有線(xiàn)網(wǎng)絡(luò)進(jìn)行擴(kuò)展和延伸， 增加和配 置工作站而不受線(xiàn)纜的限制 ;降低成本 :節(jié)省大量的工程布線(xiàn)和線(xiàn)路 維護(hù)的費(fèi)用 ;移動(dòng)性: 由于無(wú)線(xiàn)網(wǎng)絡(luò)傳輸覆蓋范圍大大的拓展， 用戶(hù)在 此空間不受限制 ;安裝方便: 組建、配置和維護(hù)比有線(xiàn)網(wǎng)絡(luò)更為容易。3) 無(wú)線(xiàn)網(wǎng)絡(luò)安全性特點(diǎn) : 開(kāi)放性和接入方便的特點(diǎn)， 以及傳播介質(zhì)

3、是 容易穿透各種物質(zhì)的電磁波， 為無(wú)線(xiàn)網(wǎng)絡(luò)安全埋下了隱患。 開(kāi)放性使 得更容易受到從被動(dòng)竊聽(tīng)到主動(dòng)攻擊的各種干擾 ; 移動(dòng)性使得移動(dòng)節(jié) 點(diǎn)沒(méi)有足夠的物理防護(hù)， 其體系安全性脆弱， 也使用戶(hù)管理更為復(fù)雜 ; 無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)的頻繁加入和退出， 以及無(wú)線(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)變化的拓?fù)浣Y(jié)構(gòu) 缺乏集中管理， 使得從許多網(wǎng)絡(luò)算法依賴(lài)的節(jié)點(diǎn)做出的決策分散， 安 全方案的實(shí)施難度更大。3 無(wú)線(xiàn)校園網(wǎng)絡(luò)面臨的主要安全問(wèn)題3.1非法接入點(diǎn)連接問(wèn)題 無(wú)線(xiàn)局域網(wǎng)得配置比較簡(jiǎn)單和容易訪(fǎng)問(wèn)， 很多人在不經(jīng)過(guò)授權(quán)的情 況下，通過(guò)自己購(gòu)買(mǎi)的 AP 將計(jì)算機(jī)連入網(wǎng)絡(luò)，這便是非法接入點(diǎn)。 同時(shí)在非法接入點(diǎn)信號(hào)覆蓋范圍內(nèi)的任何人都可以連接和進(jìn)入

4、企業(yè) 網(wǎng)絡(luò)。這便給企業(yè)網(wǎng)絡(luò)安全帶來(lái)很大的風(fēng)險(xiǎn)。3.2數(shù)據(jù)安全問(wèn)題 無(wú)線(xiàn)網(wǎng)的信號(hào)傳送的是在開(kāi)放空間進(jìn)行的， 攻擊者只要獲得無(wú)線(xiàn)網(wǎng) 的信號(hào)，就會(huì)對(duì)數(shù)據(jù)進(jìn)行一些非法操作，通常攻擊者一般通過(guò)破解 WPA 加密、WEP 加密、MAC 過(guò)濾,SSID 隱藏等方法來(lái)進(jìn)入無(wú)線(xiàn)網(wǎng)絡(luò)的。 再還有在信息的傳輸過(guò)程中，攻擊者一般利用第三方軟件，如Ethereal 和 TCP Dum 來(lái)竊聽(tīng)、截取和破壞數(shù)據(jù)。3.3地址欺騙和會(huì)話(huà)攔截在無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境中，合法終端的 MAC 地址通常要比有線(xiàn)環(huán)境中要容 易獲得，因此攻擊者通常利用非法偵聽(tīng)的手段來(lái)獲得此地址， 他們通 過(guò)這些合法的 MAC 地址來(lái)對(duì)其他系統(tǒng)進(jìn)行惡意攻擊。另外，由

5、于IEEE802.11 標(biāo)準(zhǔn)協(xié)議沒(méi)對(duì) AP 進(jìn)行身份認(rèn)證，攻擊者很容易偽裝成 AP 進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶(hù)的身份信息，然后通過(guò)攔截、會(huì)話(huà) 實(shí)現(xiàn)網(wǎng)絡(luò)攻擊。3.4 高級(jí)入侵多數(shù)單位和學(xué)校部署的無(wú)線(xiàn)網(wǎng)絡(luò)都在防火墻之后， 如果攻擊者進(jìn)入， 將會(huì)以此網(wǎng)絡(luò)為起點(diǎn)，進(jìn)一步入侵其他系統(tǒng)， WLAN 的安全隱患就完 全暴露出來(lái)，通常攻擊者主要從以下幾個(gè)方面進(jìn)行入侵。1)偵測(cè)攻擊 :針對(duì)系統(tǒng)或服務(wù)弱點(diǎn)， 一般通過(guò)偽造、 竊聽(tīng)等方式來(lái)進(jìn) 行沒(méi)有授權(quán)的訪(fǎng)問(wèn)和查詢(xún)。2) 非法 AP 欺騙：為了獲得正常用戶(hù)的認(rèn)證信息和數(shù)據(jù)，攻擊者一般 通過(guò)正常用戶(hù)來(lái)接入米授權(quán)的 AP。3) DOS 攻擊：通過(guò)發(fā)起大量服務(wù)請(qǐng)求來(lái)占用過(guò)多服務(wù)資源，從而使 合法用戶(hù)無(wú)法得到正常服務(wù)。4 校園無(wú)線(xiàn)網(wǎng)絡(luò)安全應(yīng)對(duì)技術(shù)和措施 針對(duì)無(wú)線(xiàn)校園網(wǎng)的特點(diǎn)及安全問(wèn)題，可在網(wǎng)絡(luò)不同層次采取多種安 全應(yīng)對(duì)技術(shù)和措施：1) 師生用戶(hù)的身份認(rèn)證：用戶(hù)認(rèn)證是一項(xiàng)最重要的安全業(yè)務(wù)。建立支 持MAC 地址認(rèn)證、Portal 認(rèn)證、802.1X 認(rèn)證、PPPO 和 WAPI 等多種 認(rèn)證方式的無(wú)線(xiàn)用戶(hù)認(rèn)證系統(tǒng)。 事先設(shè)定好用戶(hù)策略， 讓師生用戶(hù)通 過(guò)身份認(rèn)證后可動(dòng)態(tài)