APP下载

中职学校无线网络安全技术初探

2016-05-30徐乐真

科技风 2016年11期
关键词:入侵者无线网络数据包

摘 要:校园网络服务于广大师生,无线网络的覆盖,为教师的教学、学生的学习及行政办公带来极大的便利,同时突出的无线网络安全隐患,也给校园网络的管理带来极大的挑战。本文针对这些问题,对中职学校无线网络安全技术进行分析和探讨。

关键词:中职无线网络;安全技术

近年来,随着中职学校的快速发展,信息化建设在不断推进,无线网络技术逐步在校园网络建设中被应用开来。无线网络覆盖体现了一个学校信息化建设的水平,它扩展了原来传统的有线网络,实现全校范围最大面积的网络覆盖。无线网络具有个性化、便携性、可移动性的特点,使广大师生更充分使用教学资源。然而,随着无线网络的广泛使用,安全问题也越来越突出,必须引起我们的高度重视。

1 无线网络安全与有线网络安全的不同点

1.1 无线网络采用开放的传输介质

传统网络是通过有线方式完成数据传输的,数据通过电缆传输到预定位置,在传输过程中,物理链路遭到破坏,才会引起数据泄密;而无线网络通过无线电波完成数据传输,无线接入点(AP)在无线电波信号覆盖范围内,都可成功接受信号,具有开放性的特点,利用无线网络发射的数据仅传给预定位置是难以实现的,这就使入侵者乘虚而入,他们可以借助无线网络的广播信号攻击网络,造成网络安全的威胁。

1.2 无线网络的移动特性

传统有线网络的接入层交换机和用户终端通过光纤或者双绞线来接入网络,这些硬件设备在布线时就固定在一个位置,很难大范围移动。而无线网络的硬件设备一般放置在开放的位置,入侵者可以轻易移动或拆除接入层的AP,增大了安全性管理的难度。

1.3 动态的拓扑结构

传统有线网络的拓扑结构在网络规划时已经设计好,是相对固定的,网络安全的设计和网络防护相对较为简单。而无线网络的拓扑结构是动态的,非法用户可以私下接入AP扩展,增加网络安全部署的难度。

2 校园无线网络存在的安全隐患

校园网面向全校师生,服务人群多,信息使用复杂,用户在使用过程中可能遇到的安全隐患包括无线密钥破解、拒绝服务、篡改数据、APP攻击、MAC地址欺骗等,现对部分隐患进行分析。

2.1 无线密钥破解

因为无线网络具有易获取与开放性的特性,同样也容易遭到攻击。为保证无线网络接入用户和数据传输的安全,管理人员使用IEEE802.11标准中WEP(有线对等保密)协议的安全机制来设置密钥,对网络进行加密和认证,这种加密方式是有弱点的,美国联邦调查局的一组人曾经通过网上免费的软件在三分钟内破解一个用 WEP 保护的网络。入侵者通过蹭网卡、BT5解码等软件非法捕捉AP信号覆盖区内的数据包,对数据包进行监听和侦测,从而判断出无线网络中的主机传输速度、该AP下的局域网内发射无线信号的主机数量,收集到足够WEP弱密钥加密包后,即可暴力破解WEP密钥。

2.2 拒绝服务

拒绝服务是攻击无线网络时常用的手段,其中一种方式是入侵者泛滥攻击AP,随机伪造出客户端MAC地址,产生大量虚假的客户端对AP进行连接。由于入侵者的持续攻击,会使AP产生错误判断,拒绝服务。另一种攻击方式则是使资源耗尽,攻击某一节点使其不断转发数据包,最终耗尽资源使其无法工作。入侵者可以通过病毒从网络传输协议上或无线物理链路上破坏无线链路的信令数据、控制数据及用户数据的正确传输,实现DOS攻击,网络用户的数据在某种程度上会失去对无线链路的控制,造成数据丢失,这种入侵行为,严重者会导致校园网络瘫痪。

2.3 数据安全隐患

非法用户可以通过破解密钥,接入校园网,占用网络带宽,甚至会攻击校园服务器、恶意篡改、盗用师生的数据,侵害师生的隐私,带来个人信息或经济损失,散播谣言以及做出违法的行为,也可能会借助自己掌握的技术肆意传播网络病毒,让校园网终端用户大面积中毒,造成严重的后果。

2.4 APP攻击

手机软件开发的技术日趋成熟,互联网上已经有了能控制网络设备的APP。好奇心驱使下,学生可以通过下载APP控制校园的无线网络设备,持续向校园网发送垃圾文件,导致校园网络拥塞,造成APP攻击。

3 校园无线网络安全防御技术

3.1 健全管理机制,提高网络安全意识

中职学校网络管理人员不仅要构建网络安全防范机制,同时构建无线网络安全应对机制,保证校园无线网络的安全性,管理人员实时检测无线网络信号、信息传输等状况,及时处理无线网络安全问题;并且要定期开展培训来提高师生的信息技术知识,加强关于信息安全方面的法律法规教育,树立网络安全防范的意识。

3.2 提升接入AP的安全技术

从安全角度出发,校园网络应尽量购买较高级别的企业级AP,这种AP的安全系数较高,可以设置用户接入和访问的安全策略。另外,可以通过AP检测技术,及时有效发现未授权使用的AP,从而主动添加和移除这种AP,防止私自拉线接入AP。

3.3 使用用户准入认证机制

为防止未授权用户占用网络资源,有效保护校园无线网络安全,可以使用用户认证方式。其中一种方式是Web认证,Web认证给使用者分配地址,使用者访问某些网站时,页面会显示出相关认证系统,需要用户输入用户名与口令,然后才可以进入访问。可以结合基于802.1X协议和Radius协议的身份验证体系的应用安全域技术,对于入网用户进行身份验证,该应用安全域采用与网络交换机联动,通过绑定入网用户的用户名和密码、IP地址、MAC地址、交换机IP和端口等信息来进行身份验证,多种信息验证通过后才可接入网络,该技术还可以根据不同的用户身份分配不同的访问权限,校内合法用户可以访问校内的资源,校外用户在获取临时权限接入网络后,只能访问自己权限之内的服务器和网络区域等。同时,在三层交换机下添加一台行为网关,用于对上网人员进行实名认证并记录上网行为日志。

3.4 使用专业入侵检测技术

为防止非法用户入侵,应该使用专业的无线网络入侵检测系统,能使网络管理人员实时监控、采集网络中传输的数据,及时跟踪、监控一些可疑的数据包,通过分析捕获的数据包,可查出IP的来源。入侵检测不只能防护自身网络安全,还能查出攻击的根源,将入侵者抓获。防止被非法用户窃取、篡改用户信息,保证重要信息的安全性。

4 结束语

无线网络的发展和普及,给中职学校的教师教学、科研、学生的课程学习带来了极大方便。在建设无线网络的过程中,必须更好地重视无线网络的安全性,采取各种有效措施提升安全策略,才能构建一个方便、快捷、稳定的校园网络环境,保证校园无线网的安全,更好地服务全校师生。

参考文献:

[1] 邓体俊.论校园无线局域网通信安全策略[J].电脑知识与技术,2015(01).

[2] 张旭.高校无线校园网安全研究[J].中国科技信息,2016(02).

[3] 李玉强.校园无线网络建设及安全管理探究[J].中国信息技术教育,2014(10).

作者简介:徐乐真,讲师,网络工程师,研究方向:计算机网络技术。

猜你喜欢

入侵者无线网络数据包
滤波器对无线网络中干扰问题的作用探讨
SmartSniff
“入侵者”来袭
无线网络的中间人攻击研究
TD-LTE无线网络高层建筑覆盖技术研究与应用
“外星人”入侵档案之隐形入侵者
小行星2014 AA:地球的新年入侵者
视觉注意的数据包优先级排序策略研究
数说无线网络:覆盖广 流量大 均衡差
移动IPV6在改进数据包发送路径模型下性能分析