校园无线网安全防护浅析
2013-04-29朱会亮
朱会亮
摘 要 随着无线网络在校园当中的广泛发展,在给我们带来便捷的同时也给我们的校园网络安全防护带来了全新的挑战。本文针对校园无线网络的安全防护问题,从网络的物理层到应用层全面的分析无线网络安全防护问题,并根据相应的问题提出了防护策略,对无线网络在校园的应用具有一定得借鉴意义。
关键词 无线网络 防范策略 网络安全
中图分类号:TP393.08 文献标识码:A
0 引言
随着互联网技术的广泛普及和应用,各大高校都在着手建设基于数据网络的环境,但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,部分高校开始在原有的有线网络基础上增建无线网络来解决现有的有线网络带来的弊端和不足。但无线网络在给我们带来便捷的同时,其无线接入的安全性也面临严峻的考验。
对于无线校园网络,由于它特有的使用空中载波信道作为传输载体,其物理层与数据链路层的工作原理和传统的网络不同,使用的安全策略也和传统有线网络有很大差别。那么作为无线网络的管理者怎样从众人当中分辨出合法用户,同时又能将非法入侵者隔离出无线网络之外,这往往成为无线网络建设管理者维护好网络的重点。而对于现如今的校园无线网络,也必须要进行多层次化的安全防护。
1 物理层防护
在无线网络物理层容易出现无线信号广播问题,即无线信号的广播使得非法或恶意用户更加容易接入网络;无线覆盖漏洞:无线信号有可能会由于某个AP出现问题而引起无线覆盖空白区。无线信号干扰:在无线环境中在某些情况下会出现信号干扰问题,比如为了要求高容量临时增加了AP的数量,其他非无线设备的同频或杂散干扰。资源侵占:非认证用户通过接入AP互传数据恶意侵占无线资源,造成合法用户无法得到合理的无线资源保证。
对于以上问题的防护,可采取通过信号的指向性部署,如在室内部署采用轻量级AP时,在面板侧配置板状定向天线系列实施角度覆盖,可以减少由于其全向覆盖造成的信号泄漏。禁用广播SSID将导致非法或恶意用户无法获取带有SSID的信标,这将保护那些隐藏在SSID后的用户群组。无线控制器通过获取该AP周边其他AP反馈的无线环境状况发现问题,并通知周边AP扩大覆盖范围来弥补信号漏洞。无线控制器可以通过AP及时发现这些干扰的存在并对其周边AP进行参数调整(功率、频点),以避免干扰。
2 数据链路层安全
链路层当中常见的潜在问题往往是管理帧参数没有加密,在802.11标准中由于管理帧参数不加密或缺乏验证机制很容易造成中间人攻击的行为发生,一个入侵者通过篡改管理帧来达到用户流量的分析及篡改。此外,室内瘦AP点与无线控制器之间需要通过二层或三层网络,所以无线控制器与AP的控制消息之间如果没有数据加密和完整性验证将会导致中间人攻击行为。关键用户(高权限管理人员)的无线客户端有在于AP交互数据的过程中如果不进行空中链路的保护无线数据将会被他人窃听,造成严重的泄密。在链路层常见的无线侧的网络攻击还有管理框架洪水、未认证的入侵、认证洪水、探测请求洪水、伪冒AP洪水、零探测响应、EAP握手洪水等。上述攻击都会造成AP无法正常工作以及无线资源的耗尽。如果选择不合理的用户接入方式也会导致严重的安全问题。
链路层的管理帧保护(MFP)是通过在AP管理帧上增加了基于无线网络配置的校验字段,通过该字段来标识管理帧的合法性,任何对管理帧的篡改都会被系统识别出来。针对于无线侧的网络攻击,无线控制器作为控制所有所属AP的大脑,本身也是一个无线侧的IDS系统,针对攻击无线控制器通过网管可以及时发现并报告攻击的产生,通过定位服务可以发现攻击者的具体位置,并引导网管员或自动实施策略操作,对该非法用户实施阻断。在用户接入安全方面,原则是权限越高的用户接入方式要越加严格,对于公众用户可以采用Web认证的方式,但这些用户无法接触到敏感数据资源。对于用户接入的网络,采用在同一个AP下针对同一或不同的SSID对应不同的VLAN以及认证模式,所以灵活的对应关系可以确保彻底全面地执行网络接入安全策略。
3 网络上层安全
在网络上层常见的问题包括带宽肆意侵占、蠕虫病毒泛滥、针对应用服务系统的攻击、对网络中其他主机的攻击、对敏感资源的好奇等。
当遇到蠕虫病毒、恶意代码防范,使用网络状态的检测设备或手段,包括状态样式识别、协议解析、启发式检测和异常检测,能够阻止网络上的非法恶意行为,例如黑客发动的攻击,检测器能够实时分析流量,使用户能够快速对安全问题作出反应,根据实际问题对不正常的用户执行排除策略,确保有效的无线资源。在网络上层还应针对业务、应用带宽进行管理,根据业务优先分级,需要对高级别的业务进行带宽保障,同时多低级别的业务进行带宽限制。分析和了解网络中的各种应用流量,进行带宽保障和限制。
参考文献
[1] 丁家凤.无线网络通信加密措施探讨[J].信息技术,2011(2):333-5.
[2] 赵建超,尹新富.校园无线网络安全综合防御[J].制造业自动化,2011(2):293-1.
[3] 张丽娜.无线局域网面临的安全问题及防范措施[J].大理学院学报,2010(4):26-29.
