蔡向阳

(黄冈职业技术学院，湖北黄冈 438002)

为适应各种便携式智能终端的上网需求，很多高校实现了无线局域网 (WLAN)热点全覆盖，给师生利用无线网络开展各种应用业务教学、科研、办公等带来了巨大便利。因为将无线网接入传统的Internet网络存在许多安全问题，所以对无线网络安全防护的研究具有特别重要的意义。

1 校园无线网的特点

1)无需布线。学生和教师可以在无线网络覆盖的区域内实现移动上网，检索图书馆的资料，查看教案和作业，大大提高了师生对校园网资源的利用率，也方便了教学活动和学生的学习生活。

2)安装方便。无线局域网的安装简单，无需破墙、掘地、穿线架管，一般只要安装一个或多个接入点AP(Access Point)设备，就可建成覆盖整个建筑或地区的无线网络。一旦发生故障，不需要寻找损坏链路，只要检查信号发送端与接收端的信号是否正常即可。

3)维护成本低。相对于有线网络的布线投资及维护成本，无线网络可以使原来的一个信息点同时接入数十乃至数百个用户设备，在人力和物力上都大大地节约了学校的投入和支出。无线网络尽管在搭建时投入成本较高，但后期维护方便，并且维护成本也比有线网络低。

4)具有较强的灵活性和可扩展性。在有线网络中，网络设备的安放位置往住会受到网络信息点位置的限制。但在无线网络中却比较灵活，它只要在无线网信号覆盖区域内任何位置均可接入网络。同时，由于无线网技术有对等模式、中心模式、中继组网模式等多种配置方式，用户或企业能够根据需要灵活选择，易于扩展。

5)带宽很宽。无线网适合进行大量双向和多向多媒体信息传输。在速度方面，标准802.11b可提供11Mbps数据传输率，而标准802.11g可提供54Mbps数据传输率，完全能满足校园网用户对网速的要求。

2 校园无线网的安全问题

1)非法用户侵入。由于无线局域网具有公开、易获取的特性，便于开放式访问，所以非法用户可以未经授权而擅自使用网络资源，后果是不仅占用了宝贵的无线信道资源，增加了带宽成本，而且还降低了合法用户的服务质量，同时非法的用户还可能违反各种服务条款，违反国家各种法律规定，制造出各种各样法律纠纷。

2)信息重放。在无线校园网中，如果没有足够安全防范措施的情况下，很容易受到利用非法AP进行的中间人欺骗攻击。即使利用VPN等保护措施也难以避免，它能对授权客户端和AP进行双重欺骗，进而对网络中的信息进行窃取和篡改。

3)网络监听。由于无线局域网具有开放访问的特点，大多数无线网络通信数据是以明文 (非加密)格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监听并破解 (读取)通信。入侵者无需将窃听或分析设备物理地接入被窃听的网络，就可以乘机在无线信号覆盖范围之内，进行窃听、恶意修改并转发数据。

4)无线加密协议 (WEP)破解。互联网上存在一些非法程序，能够捕捉位于AP信号覆盖区域内的数据包，通过收集足够多的WEP密钥加密的数据包，进行分析以破解WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量，最快可以在约两个小时之内破解WEP密钥。

5)拒绝服务。它是无线网络中最为严重的攻击方式，一般有两种情况，一种就是攻击者对AP进行泛洪式的攻击，使AP拒绝服务。另外一种是对某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其资源耗尽而不能继续工作，也就是通常称的资源消耗攻击。在这两种攻击方式中，前者后果更为严重。

6)地址欺骗和会话拦截。无线网络环境中，非法用户可能通过侦察、侦听等手段窃取合法用户的MAC地址或IP地址信息，并使用这些信息进行网络诈骗、网络攻击、会话拦截进而获取网络中更多的信息。

3 校园无线网络安全防护对策

3.1 构建校园无线网络安全防护的管理对策

3.1.1 建立安全可靠的校园无线网络管理制度。规范的校园无线网络秩序，不仅需要依靠相应的法律法规，还需要学校网络管理者建立起一整套完善的校园无线网络运行、使用、管理的制度。学校应设立具有决策权的机构或部门来协调各单位使用无线网络的管理工作，这种管理需要建立一套完整的校园无线网络使用安全管理制度，还需要组建和培养一支具有高素质的校园无线网络安全管理队伍。

3.1.2 建立校园无线网络安全防护的应对制度。当校园无线网络出现安全问题时，学校的网络管理部门需要建立一套标准化的流程来响应。校园网络管理人员能够按相关流程规定，对校园无线网工作状态、信息传输的状况以及无线信号的状况进行实时检测，及时更新相关的信息，确保网络信息的正确性和有效性。

3.2 构建校园无线网络安全防护的技术对策

3.2.1 对接入用户采用认证机机制

无线网络的建设目标是要与有线网及校本资源有效融合，做到安全、便捷，所以，在认证上要尽量做到统一。目前，根据校园网用户的安全需求及校内无线终端类型的统计，主要采用了以下几种认证:

1)802.1x认证。该认证是根据用户帐号和设备，对客户端进行鉴权，只适合于接入用户设备与接入端口间点到点的连接方式。校园网中的端口多指用户设备的MAC地址，需要MAC地址处于激活状态，否则无法进行认证。在802.1x认证体系中，必须具备客户端、接入认证交换机和认证服务器三者，才能完成基于端口的访问认证和授权。802.1x可以作为WPA的认证组件，支持AES/TKIP数据加密，为用户数据提供加密服务。其优点就是简单易行、安全可靠、认证效率高。同时也可以避免网络认证计费瓶颈的单点故障。所以，它是校园网中广为采用的认证方式。

2)Web认证。该认证方案需要首先给用户分配一个地址，用户打开Web浏览器试图访问某网站时，认证系统会推出认证界面，在输入正确用户名称和口令后，触发客户端重新发起地址分配请求，提供给用户可以访问外网的地址;用户下线时通过客户端发起离线请求。Web认证不需要特殊的客户端软件，可降低网络维护工作量。但其承载在七层协议上，对设备要求较高，且用户连接线差，离线检测困难;用户在访问网络前，不论是TELNET、FTP还是其它业务，必须使用浏览器进行Web认证;IP地址的分配在用户认证之前，如果用户不上网，则会造成地址的浪费。

3)MAC地址认证。该认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的方法，优点是不需要安装客户端软件，配置命令比较简单，适合学校内部的中小型网络。该认证方式需要提供以下功能组件:一是具有MAC地址认证功能的交换机，能够直接对终端进行地址认证;二是Radius服务器，如果交换机无法提供MAC地址是否合法，需要使用Radius服务器进行验证。在Windows server2003中，需要Active Directory服务与IAS服务相结合才能实现认证和管理MAC帐户功能。方法是在IAS中设置两种帐户:白名单和黑名单，然后在白名单中即服务器提供并维护一个可合法访问网络的MAC地址列表;黑名单中则列举已知的对网络有威胁的设备MAC地址表。建议学校可以为无线仪器设备、无线打印机等设置专门的WLAN，采用MAC地址认证，为这些特殊设备提供安全的网络服务。

4)分类认证。分析校园网用户主要有两类:一类是校内用户，另一类是来访用户。学校师生构成校内用户，为满足工作和学习需要，他们要求能随时随地接入校园网，访问Internet及校内资源，且他们的数据如个人信息、研究资料和科研成果等对安全性要求较高，故可使用802.1x认证方式对用户进行认证。来访用户主要由来校交流、参观或培训群体组成，他们对安全性要求不是特别高，能够快速接入Internet即可，因此可采用DHCP+强制Portal认证方式接入校园无线网络。

3.2.2 采用加密技术

无线网络的开放性使信息在传输过程中很容易被他人截获，导致重要信息遭泄露、篡改或破坏，如何保证信息只能被所期待的用户接受和理解，这就需要对所发送的信息进行加密操作，常见的无线网络加密技术有WEP和WPA。

1)WEP加密技术。WEP加密技术是802.11b标准里定义的一个用于无线局域网的安全性协议，是对无线网络上的流量进行加密的一种标准方法。由于在无线网络中，无需物理连接就可以连接到网络，因此，目前IEEE802.11标准中的WEP，在15分钟内就可被攻破，所以建议采用支持128位的WEP，并且不要使用生产商自带的WEP密钥，防止未授权用户的侵入。建议经常对WEP密钥进行更换，在有条件的情况下启用独立的认证服务为WEP自动分配密钥。

2)WPA加密技术。WPA是为了解决WEP缺点而推出的一项新的加密技术，采用了TKIP算法动态生成一个新的128位密码，使得安全性较之WEP加密大大提高。WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案，但用WPA加密的短数据包仍可遭破解，于是出现了WPA2。WPA2用CCMP取代了 WAP的 TKIP，AES取代了WPA的MIC，成为当前无线网络中信息加密的最高安全标准，但其对老旧网卡的支持不是很好。在校园无线网络中建议采用WPA或WPA2加密模式，同时为了防止非法入侵者暴力破解WPA或WPA2的密钥，应定期更换WPA或WPA2的密钥。

3.2.3 采用入侵检测技术

采用入侵检测技术可实时采集、传输、处理数据及控制网络，及时发现网络故障，是保障校园无线网络安全运行，防止非法入侵或数据被窃取、篡改的重要安全技术。黑客追踪技术能够使受害主机的网络管理员找到发起恶意攻击的数据包的真正源头，以尽快恢复网络的正常功能，阻止可能再次发生的攻击行为，甚至抓获最终的攻击者。目前常见的追踪方法有IP追踪、反追踪及路由追踪等。

3.2.4 网络安全审计技术

网络安全审计技术，主要是对用户的网络访问行为和访问的各种网络数据进行审计。强调通过内部控制加强对系统的治理，包括加强面向具体业务的IT系统内部控制。如:审用户、审权限;看协议、看程度、看回放;给证据、给分析、给报告等。与传统的入侵检测系统相比，安全审计技术并没有实时性的要求，因此可对海量的历史数据进行分析，且采用的方法也可更复杂和精细。一般地，网络安全审计系统能发现的攻击种类大大高于入侵检测系统且误报率较低。