◆代天成

（四川工商学院 四川 611745）

现代高校无线网的安全防护技术方法分析

◆代天成

（四川工商学院 四川 611745）

上世纪末以来，无线局域网技术发展逐渐成熟，在高等院校中获得了非常广泛的应用。本文针对无线网络的特点，分析了高校无线网建设和应用中存在的一系列安全问题，并提出保障高校无线网安全的防护技术方法，为高校无线网安全防护提供参考。

高校无线网；网络安全；防护技术方法

0 引言

二十世纪九十年代开始，无线局域网技术的发展越来越成熟并商用。无线局域网属于传统有线网的一种延伸，在部分环境里面甚至能够替代有线网。我国大部分高校基本上均已经建设了有线网络，在教学设施不断完善的今天，便携式电脑终端在教学中得到了广泛的应用，拥有无线网卡电脑终端的学生也更多。教师以及学生都非常依赖无线网，可随之而来的无线网安全问题开始显现出来，所以应该采取有效的安全防范技术和方法来确保无线网络的上网安全。

1 无线网具有的优点

WLAN网桥传输系统的整个安装过程十分简便，能够降低系统安装工作量，同时通过无线技术能够灵活安装以及调整WLAN设备位置，并且使网络覆盖有线网无法覆盖的地方。WLAN网络可以降低布线费用，而且在需要不断移动以及变化的环境里面，无线网技术能够有效保护已有投资[1]。因为WLAN技术属于数据通信领域里面的一种IP传输技术，所以能够利用百兆自适应网口与社会企业以及校园Intranet连接，不用安装协议转换器等网络设备。此外，无线网还具有扩展能力强、简单灵活以及综合成本相对较低等优点。

2 高校无线网存在的安全问题

2.1 信息重放

若高校无线网没有采取有效安全防范措施，就极其容易被人利用非法AP产生欺骗攻击行为。就算采取VPN等保护手段也很难避免，其可以双重欺骗授权客户端以及AP，从而窃取并且篡改网络里面的信息。

2.2 非法用户侵入

因为无线网进行开放式访问十分方便，因此非法用户能够在未经授权的情况下使用网络资源，既占用了有限的无线信道，还提高了宽带成本投入，对合法用户网络服务质量造成了影响。此外，非法用户极有可能违反法律，引发相应的法律纠纷。

2.3 无线加密协议—WEP遭到破解

网络里面部分非法程序可以捕捉处于相应AP信号覆盖范围里面的数据包，对WEP密钥加密的各种数据包进行收集，然后分析这些数据包破解WEP密钥[2]。

2.4 网络监听

因为无线局域网本身具有开放访问这一特点，大部分无线网通信数据呈现出来的是非加密格式，所以攻击者能够监听并且读取通信。网络入侵者不用把窃听或者是分析设备接入相应被窃听网络，就能够于信号覆盖区域之内，开展恶意修改以及窃听等活动。

2.5 地址欺骗以及会话拦截

网络非法用户极有可能采取侦听以及侦察等方式窃取合法用户具体MAC地址或者是IP地址信息，同时通过这些信息达到会话拦截、网络诈骗以及网络攻击等目的[3]。

2.6 拒绝服务

其属于无线网络里面最严重的一种攻击方式，通常有两种情况，分别是：攻击者采取泛洪式攻击方法攻击AP，导致AP拒绝服务；攻击某个节点，使其不停提供服务或者是转发数据包，导致资源耗尽无法继续工作。其中，第一种情况更加严重。

3 高校无线网安全防护技术方法

3.1 对接入用户实施认证机制

开展小组竞赛促进学习赶超 采用小组日记比赛的形式提高写作兴趣。一周内小组成员轮流写一篇日记，我每天批阅打分，算出均分公布，表扬前三名。为了小组荣誉，每位组长都不遗余力为小组成员的日记修改润色，力争全体进步。我坚持选日记好的朗读，分析表扬。小组成绩捆绑在一起，各成员十分关注个人写作成绩，写作气氛浓厚。

（1）Web认证：这种认证方案应该首先给网络用户分配一个具体的地址，当网络用户打开电脑Web浏览器准备访问某网站的时候，认证系统将自动推出一个认证界面，只有当输入相应用户名称以及口令后，才可以触发客户端再一次发起地址分配这一请求，为网络用户提供能够访问外网的详细地址。当网络用户下线的时候，可以利用客户端提交离线请求。对于Web认证而言，其不必使用特殊的相应客户端软件，能够减小网络维护实际工作量[4]。可是其承载于网络七层协议上，所以对设备要求非常高，同时用户连接线比较差，很难离线检测；网络用户成功访问网络前，一定要通过Web认证。

（2）802.1x认证：这种认证是按照用户账号以及设备，监督客户权限，仅仅适合于接入网络用户设备以及接入端口间各个点的连接方式。一般校园网里面的端口主要是用户设备具体MAC地址，这种MAC地址应该被激活，不然就不能完成认证环节。802.1x认证体系里面一定要有认证服务器、客户端以及接入认证交换机，只有三者齐全才可以成功完成访问认证以及授权过程。802.1x能够被当做WPA认证组件使用，并且支持AES或者是TKIP数据加密，给网络用户数据提供有效加密服务。

（3）MAC地址认证：这种认证是以MAC地址以及端口为基础控制网络访问权限的有效方法，具有配置命令相对简单以及不必设置客户端软件等优点，比较适用于学校里面中小型网络。这种认证方式应该有的功能组件主要是：服务器、可以认证MAC具体地址的相应交换机以及Radiu、服务器。若交换机不能提供合法MAC地址，就应该通过服务器以及Radiu完成验证。对于Windows server 2003，只有结合Active Directory服务以及IAS服务才可以完成认证并且管理相应的MAC帐户。具体方法为：在IAS里面设置两种不同的帐户，分别是白名单以及黑名单。其中白名单里面服务器会提供同时维护一个能够合法访问网络的详细MAC地址列表；另一种黑名单里面将列举出那些已知的并且威胁无线网安全的设备具体MAC地址表。各高校能够专门给无线打印机以及无线设备等设置相应的WLAN，实行MAC地址认证方法，从而保证某些特殊设备的无线网络安全。

（4）分类认证：对于校园网用户来说，主要包含有校内用户以及来访用户。其中校内用户是指学校师生，其网络数据（包括科研成果、个人信息以及研究资料等）需要非常高的安全性，所以能够采取802.1x认证手段完成用户认证环节。来访用户包括培训群体、来校交流以及参观群体等，没有较高安全性要求，所以能够通过DHCP以及强制Portal相结合的认证手段入网。

3.2 加密技术

（1）WPA加密技术：这种技术的主要作用是弥补WEP缺点，其通过TKIP算法重新获得一个128位数的密码，和WEP加密相比具有更高安全性。可是通过WPA加密的相应短数据包依然可遭破解，所以产生了WPA2。可以采用 WPA2里面的COMP代替原来WPA里面的TKIP，同时AES可以替代WPA里面的MIC，形成现阶段无线网络内部信息加密的一个最高安全标准，可是其无法很好支持老旧网卡。对于高校无线网，最好选择WPA2或者是WPA加密模式，并且为了避免非法入侵者采取暴力方式破解WPA2或者是WPA密钥，需要对密钥进行定期更换。

（2）WEP加密技术：这种加密技术属于802.11b标准里适合无线局域网的一种安全性协议，可以加密无线网络流量[5]。因为无线网络不用物理连接就能够连接到网络，当今IEEE802.11标准里面的WEP在一刻钟内就能够被攻破，因此建议选择支持128位的相应WEP，同时不可以使用生产商提供的WEP密钥，避免未授权者非法侵入使用网络。

这种入侵检测技术能够及时采集、传输以及处理数据，同时控制网络，找出网络故障，确保高校无线网络能够处于安全运行状态，避免非法入侵或者是数据被窃取以及被篡改等现象发生。黑客追踪技术可以让受害主机相关网络管理者掌握发起恶意攻击相应数据包的实际源头，从而尽快让网络恢复原先的功能，并且阻止可能再次出现的攻击行为，有时候甚至能够抓获攻击者。现阶段，比较常用的追踪方法包括路由追踪方法、IP追踪方法和反追踪方法等。

3.4 安全审计技术

这种技术主要是审计用户实际网络访问行为以及访问的具体网络数据，利用内部控制手段有效治理系统，其中包括严格控制面向具体业务的相应IT系统内部情况。和以前的入侵检测系统进行比较，这种安全审计技术未严格要求实时性，所以能够分析海量历史数据，同时采用的方法也能够更复杂以及更精细。通常网络安全审计系统可以找出的攻击种类显著多于以前的入侵检测系统，实际误报率也相对较低。

3.5 共享密钥认证方法

该类认证方法是以WEP共享密钥为基础的一种认证方法，实施前提条件是客户端以及AP里面均已经人为设置好了相应的共享密钥，这种共享密钥认证方法和开放认证比较相似，其中的区别是其通过WEP加密整个认证过程。所以，和开放认证比较，共享密钥认证方法具有相对较高的安全性。

4 结语

在当今信息化时代，高校无线网建设得到了很大的发展，我国很多高校都已经覆盖了无线网。可是建设无线网的过程中，高校因为没有注重无线网络安全问题，所以网络安全问题频繁发生，而且校内用户个人资料以及研究成果等网络数据都非常重要，一旦受到安全威胁，就会产生严重的后果。为了提高无线网安全管理效果，给无线网安全带来有效的保障，就应该通过各种安全防护技术让无线网更好地为广大师生和相关人员服务。