基于校园无线网的安全问题分析与防御
2014-12-22王志刚
王志刚 向 飞 孟 罡
(信息工程大学信息管理中心,河南 郑州 45004)
基于校园无线网的安全问题分析与防御
王志刚 向 飞 孟 罡
(信息工程大学信息管理中心,河南 郑州 45004)
在高校信息化建设中,无线网已经成为校园网的重要组成部分,无线网带给我们便捷、自由的同时也存在诸多安全隐患。本文通过对校园无线网络常见的安全问题进行分析,结合现有的无线网安全防护技术,提出了相应的防御策略。
校园;无线网;安全防护;防御
近年来,随着智能手机、无线上网本等移动智能终端的快速发展,通过无线网络接入Internet已经成为重要的联网方式。在高校信息化建设中,无线校园网已经成为网络建设的重点。无线校园网具有信道开放、部署灵活、使用方便等诸多优点,带给我们便捷、自由的同时,也存在诸多安全问题,无线网络相对于有线网络更易被攻击者窃听、修改或转发,在实际使用中这些安全问题需要我们研究解决。
1 校园无线网的安全问题
校园无线网络在进行数据传播时,主要利用空气中的无线电波进行传播,数据发射有时候会到达预期之外的地方,这就容易造成了数据流失。另外,外界信号可以对无线网络信号进行干预,或者是对其进行阻碍与攻击,具体包括以下几个方面:
1.1 网络窃听。入侵者不需要与网络有物理连接,只需要使相关设备处于信息覆盖区域之内即可,利用网络工具对无线AP通信数据包进行监听、截取和分析,从中识别出可以窃取、利用的信息,信息收集足够后,就可以侵入网络,从而对整个网络的安全产生威胁。
1.2 AP伪造。攻击者通过一些非法手段获取SSID,对无线数据包进行窃听和捕捉,窃取目标无线网络密钥,然后在目标无线网络附近架设一台AP,采用相同或近似SSID,这样就完成了AP的伪造。伪造AP的目的有多种:实现中间人攻击、建立虚假AP信号破坏正常通信、盗取用户的个人信息或账户密码等。
1.3 拒绝服务攻击。攻击者通过设备造成无线频谱冲突,使AP设备无法提供正常服务,或向AP发送大量的、伪造的身份验证报文,当报文数量超过AP处理能力时,AP将拒绝服务,断开已有服务连接。
1.4 重放攻击。入侵者通过某些方式截取客户端对AP的验证信息,然后将该信息重放,就可以达到非法访问AP的目的。
1.5 非法接入。这种情况主要是指内部用户在交换机端口接入无线路由器或通过随身wifi等类似设备共享有线网络,从而绕过安全认证机制,非法使用网络。
1.6 非法外联。用户使用手机等移动终端,开通过3G、4G无线上网,同时连接校园网,使得校园网与外网物理互联,这样攻击者更容易通过用户终端入侵校园网,致使校园网出口的安全防范措施形同虚设。
2 校园无线网的防御
2.1 采用基于端口的802.1x认证协议。基于802.1x的认证方式,可以根据用户的认证结果决定是否开放服务端口。无线用户端安装802.1x客户端软件,无线AP内嵌802.1x认证代理,同时它还作为RADIUS服务器的客户端,负责用户与RADIUS服务器之间认证信息的转发。当无线客户端登录到无线访问AP点后,是否可使用AP的服务取决于802.1x的认证结果。如果认证通过,则AP为客户端打开这个逻辑端口,否则不允许用户上网。
2.2 SSlD设置管理。加强控制校园无线网络信号的覆盖范围,SSID的设置要复杂,并且要定期更换;要禁止SSID广播,防止伪造AP的现象发生。通过对多个无线接人点AP设置不同的SSID。并要求无线工作站出示正确的SSID才能访问AP。这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。
2.3 MAC地址过滤。可以通过在AP中设置一组允许访问的MAC地址列表,实现物理地址过滤,结合IP限制、端口绑定、硬盘序列号和用户信息关联等确保只有经过注册的设备才能进入网络,在一定程度上防止了外部的非法访问。禁止使用动态主机配置协议,使用这项措施可以提高无线网络的安全,可以有效地增加入侵的难度。
2.4 加密设置管理。选用较为安全的加密标准,严格加密,要启用WPA2以上的加密才可以,同时在使用无线网络过程中,密码级别设置尽可能高,防止密码被窃取。
2.5 运用VPN技术。VPN技术通过三级安全保障:用户认证、加密和数据认证来实现无线网络的安全性保证。用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据。加密确保即使攻击者拦截窃听到传输信号,也没有充足的时间和精力将这些信息解密。数据认证确保在无线网络上传输的数据的完整性,保证所有业务流都是来自已经得到认证的设备。
2.6 加强入网管理。启用入网终端准入系统,强化用户身份认证,对用户访问权限进行详细设置和划分。针对校内用户主要采用802.1x认证方式进行认证,来访的用户可采用DHCP配合强制Portal认证的方式接入校园无线网,加强日志监控和行为分析,对异常情况及时处理。
综上所述,在校园无线网信号覆盖范围内,任何具有合适接收设备的人都可以搜索并接收到网络信号。无线网络的开放性,给我们带来便捷的同时,也存在不小的安全隐患。因此,我们必须要深入研究校园无线网安全防护技术,制定相应的防护策略,采取相应的防护措施,才能确保校园无线网络的稳定、安全、高效运行。
[1]张民磊.企业无线网络信息安全及其防护措施研究[J].网络安全技术与应用,2014(3):136-137.
TP393
A
1671-0037(2014)11-98-1
王志刚(1975-),男,讲师,研究方向:网络安全及教育技术。
