高校校园无线网络覆盖所面临的安全威胁与防范技术研究

2016-03-16祁宏伟白海艳

网络安全技术与应用 2016年8期

关键词：无线网络数据包威胁

◆祁宏伟白海艳

（集宁师范学院内蒙古 012000）

高校校园无线网络覆盖所面临的安全威胁与防范技术研究

◆祁宏伟白海艳

（集宁师范学院内蒙古 012000）

随着信息科技的快速发展，无线网络的覆盖范围不断扩大，高校作为知识型人才培养的主要基地，也加大了校园无线网络覆盖的力度，但高校师生在享受无线网络提供的便利的同时，也面临着巨大的安全威胁，使高校无线网络覆盖防范技术受到高度关注。本文为更加全面地认识高校校园无线网络覆盖现状，为进一步发展高校校园无线网络，对高校校园无线网络覆盖所面临的安全威胁与防范技术展开研究。

高校；校园无线网络覆盖；安全威胁；防范技术

0 引言

无线网络具有功能强、安装简单、组装灵活、移动性突出等特点，在未使用通信线缆的情况下就可以实现数据通讯的特点，所以现阶段在高校中被广泛地应用，学生可在校园范围内进行网络的登录和信息利用，极大地方面了高校学生的学习、娱乐等。

1 高校校园无线网络覆盖所面临的安全威胁

1.1 网络窃听、信息重放威胁

在无线网络覆盖范围内利用物理网络访问限制的手段保证网络安全的可行性较低，换言之，网络入侵人员可以在无线网络覆盖范围内的任意地点进行网络连接，并以各种手段、方式攻击、窃听无线网络。高校作为人口密集的场所，发生无线网络窃听的可能性更大，而且控制困难，使师生的信息安全受到严重的威胁。另外，现阶段网络入侵者可以利用非法接入点实现中间人欺骗攻击，由于其以“中间人”的身份出现，能够对授权客户端和接入点进行同步欺骗，采用传统VPN技术防范，并不能有效的防治此类攻击行为，信息被篡改、窃取的可能性仍较大。所以建立更完善、更合理的无线用户认证和授权系统迫在眉睫。

1.2 WEP破解威胁

WEP虽然现阶段得到有效的升级，但由于其针对有线网络设计，在无线网络覆盖范围内的应用，仍存在一定不足。网络黑客利用计算机技术，通常可以对无线网络覆盖范围内的数据包进行部分甚至全部的捕获，在非法软件的作用下，可以对数据包加密WEP密钥进行快速有效的破解，在破解密码后以“合法”的身份对数据进行利用。现阶段高校校园无线网的覆盖速度越来越快，据相关资料显示对校园无线网络WEP访问密钥进行有效地破解时间平均在1小时以内。可见现阶段高校无线网络覆盖受到严重的安全威胁，需要更理想的无线数据加密技术做保证。

1.3 MAC地址欺骗威胁

现阶段高校无线网络覆盖接入控制的主要方式是MAC地址访问控制，借此实现分层管理。但受结构限制，现阶段入侵者仍可以在MAC地址访问控制作用下，成功的入侵校园网络。例如入侵者可利用相应的网络窃听工具对高校校园无线网络的数据包进行全面的获取，然后对获取的数据包的MAC地址进行分析和判断，进而获取校园无线网络通信的静态地址池，通过地址伪装的形式重新进入高校的无线网络覆盖范围进行网络访问。此时访问控制系统则会认为其身份合法，进而同意其在无线网络系统内进行操作，对无线网络系统的安全性和学生的信息安全等方面构成严重的威胁。要对此威胁有效的防治，需要建立相应的无线局域网内用户有效隔离技术，并对无线用户认证和授权系统进行针对性的完善。

1.4 服务拒绝威胁

现阶段无线网络攻击者通常在对无线网络进行破坏前会先进行泛洪攻击。此时无线网络为保证整体的信息安全会拒绝提供任何服务，换言之无线网络整体会处于瘫痪的状态。学生在进行正常访问时，并不能获得相应的网络信息服务，使无线网络的功能无法真正发挥。另外，除泛洪攻击外，入侵者采用消耗供给，使无线网络的网速变慢，无线网络对学生服务申请的反应速度变慢。这也是高校校园无线网络常见的安全威胁，需要高校在强化用户认证、授权系统，应用隔离技术等措施的同时，有效地利用病毒检测设备等对其进行有效的防范。

2 针对高校校园无线网络覆盖安全威胁的防范技术

针对无线校园网的特点及安全问题，可在网络不同层次采取多种安全策略，现阶段主要防范策略如下：

2.1 建立更完善、更合理的无线用户认证和授权系统

PPPoE、WEB和IEEE802.1X均是现阶段相对较成熟的安全认证技术，但考虑到WEB认证方式的服务器端口可直达，受恶意攻击的可能性较大，安全性无法得到保证，而PPPoE认证协议对高校主干网万兆带宽的利用程度较低，所以基于端口的访问控制协议IEEE802.1X在高校无线网络覆盖无线用户认证和授权系统建立中被广泛的应用。此项技术集合了802.1xRADIUS认证和MAC地址认证技术的优点，非授权用户的接入、访问等操作都可以得到有效的拒绝。此认证技术的原理是，在申请者向认证服务器进行身份信息输入后，由认证服务器对申请者的身份进行认证，在认证通过对密钥加密并向申请者传送后，申请者具有访问无线网络的权利。现阶段在高校建立IEEE802.1X访问控制协议，对提升无线网络覆盖的安全性具有重要的意义，具体建设方式要结合学校无线网络的具体方式进行。例如天津大学应用IPv4/IPv6混合组网，所以其以IEEE802.1X访问控制协议为基础建立了无线校园网IPv4/IPv6认证系统。在建立无线用户认证和授权系统的过程中需要考虑校内临时连接无线网络的特殊人群，如学生家长、办理校园业务的人员等。现阶段临时用户认证，通常采用DHCP+强制Portal认证技术，以此保证校园无线网络的整体功能不受影响。

2.2 无线局域网内用户有效隔离技术

此方法的主要原理是，首先将本来由IEEE802.11MAC固件实现中继转发的无线数据包都发送到无线访问点的无线网桥模块，然后判断收到的数据包的源地址和目的MAC地址信息，根据网桥转发表项，以及MAC数据包过滤表项决定是否转发或丢弃该数据包，实现对同一分布系统DS内无线用户的隔离。可见该方法采用了一种二层无线防火墙机制，不但可以用于无线用户隔离，还可以通过规则匹配和处理方法定义来过滤和转发MAC数据包，实现防火墙的功能。利用无线局域网内用户有效隔离技术，不仅无线网内病毒的传播可以得到有效的控制，而且无线网资源的利用效率也可以得到大幅度的提升。

2.3 网络层数据的加密技术

传统的WEP加密技术利用16位或32位的加密方式，网络中存在的非法密码破译软件，在15至30分钟内就可实现数据密码破译，使其加密的效果并不理想。为缩减密码被破译的概率，出现128位WEP密钥认证方式，而且在此基础上出现了针对WEP缺点的专门保护无线电脑网络安全的WPA数据加密技术，其将以RC4为核心的TKIP技术、以AES加密算法和CCM认证方式为基础的CCCMP机制、以128为AESOCB加密算法为基础的WRAP技术又结合，在密钥产生、数据封装、数据解封的全过程保证无线网络的数据安全。高校在防范无线网络覆盖所带来的安全威胁的过程中应有意识的应用WPA密钥认证方式，并更改密钥的具体设置，可以有效地缩减非法用户侵入校园无线网络的空间，使高校无线网络受到安全威胁的概率大幅降低。