摘要:随着无线技术不断的成熟和应用的普及,无线网络凭借其为用户提供的灵活性、便利性等优势,成为现代校园中应用的主流是大势所需,但是无线网络的安全性问题还没有得到很好的解决,仍是现阶段的难题。本文通过对无线网络的安全隐患分析,结合现有的无线局域网安全技术,提出了在校园无线网络中的多安全防御策略。
关键词:无线;局域网;校园网;安全技术
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2012) 05-0000-02
一、引言
无线局域网(WLAN)相对有线网络具有其独特的优势,避免了有线网络比较繁琐的布线施工过程,节约了施工费用,安装比较便捷,同时可以根据实际使用情况进行扩展。无线网络已逐步在校园网络普及,逐渐成为校园网络建设的重点。无线网络给我们带来便捷的同时,也带来了网络安全隐患,无线网络的信道开放的特点,使得网络数据容易被攻击者窃听、修改或转发。无线网络的安全隐患阻碍了其发展。校园用户大多喜欢尝试新的事物,虽然一方面对无线校园网的需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。
二、无线局域网的安全威胁
利用WLAN进行通信,要求其必须具有较高的通信保密能力。现有的WLAN产品的安全问题主要表现在以下方面:
(一)未经授权使用网络服务
由于WLAN的开放式访问方式特点,未经授权也可以使用网络资源。占用无线通道,增加了带宽费用,合法用户的服务质量遭到影响,而且非法用户滥用无线网络资源,使得合法的无线校园网的用户无法正常使用。
同时,非法用户私自架设无线AP,诱使用户接入不安全的无线AP上。接入非法AP轻则会导致客户无法访问网络资源,重则会导致用户的重要数据被窃取。
(二)地址欺骗和会话拦截
现在许多网卡都支持MAC地址重新配置,非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAC地址的方法,使用MAC地址“欺骗”,成功通过交换机的检查,进而非法访问网络资源。非法用户利用无线网路的特点监听合法站点的MAC地址,并对合法的MAC地址进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
(三)高级入侵
一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。
三、无线局域网安全技术
目前有很多种无线局域网的安全技术,有物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、IEEE 802.11i等。下面对在无线局域网中常用的安全技术进行简介。
(一)物理地址(MAC)过滤
每个无线客户端的无线网卡都有一个唯一的物理地址(MAC),可以在无线接入点(AP)中规定一组允许访问的MAC地址,以实现物理地址过滤,防止非法用户的侵入无线网络。这便要求AP中的MAC地址列表必需随时更新,但物理地址过滤属于硬件认证,而不是用户认证,而且MAC过滤技术的可扩展性比较差,MAC地址在理论上还可以伪造,因此这也是较低级别的授权认证,也只适合于小型网络规模。
(二)服务集标识符(SSID)匹配
服务集标识符(SSID)是赋予一个独特名称给WLAN的一组32位字符。在WLAN中的所有的无线设备为了彼此通信必须使用相同的SSID,这样才能访问AP。通过SSID设置,可以对用户进行有效分组,保证网路的安全和性能。对AP设置不同的SSID,无线工作站必须出示正确的SSID才能访问AP,这样就可以允许不同的用户群组接入,并且通过设置隐藏接入点及SSID的权限控制来达到保密的目的。
(三)有线对等保密(WEP)
有线对等保密(Wired Equivalent Privacy,WEP)是一种数据加密算法,用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥的长度有40位至256位两种,密钥越长,黑客就需要更多的时间去进行破解,因此能够提供更好的安全保护。
(四)端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)
IEEE802.1x是基于端口的网络访问控制标准,它能提供一种对连接到局域网的用户进行认证和授权的手段,达到接受合法用户接入,保护网络安全的目的。基于IEEE802.1x的认证,又称EAPOE认证,因为这个协议依赖于可扩展认证协议(EAP)实现。IEEE802.1x认证包括三个部分:请求方、认证方、认证服务器。请求方就是希望接入局域网/无线局域网来上网的设备,譬如一台笔记本,有时候也指设备上运行的客户端软件;认证方则是管理接入设备、譬如以太网交换机或者无线接入点;认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。在认证过程中认证方起到关键作用。它将网络接入段扣分成两个逻辑端口:受控端口和非受控端口。非受控端口始终对用户开发,只允许用于传送认证信息,认证通过后,受控端口才会打开,用户才能正常访问网络服务。
(五)IEEE 802.11i
IEEE 802.11i的目标是以针对无线网路原本所具备的弱点加以补强,但由于IEEE 802.11i的标准尚未制订完成,在WIFI的推动下,制订了“WIFI Protected Access”标准,以IEEE 802.11i Draft为蓝图,去建构出一个符合现今需求,具备更进一步安全性的无线网路环境。目前802.11i主要定义的加密机制可以分为TKIP(Temporal Key Integrity Protocol)与AES,其中TKIP就是目前WPA 1.x(WPA/SSN)主要采用的加密机制。
四、无线校园网的多安全防御策略
在有线以太网技术的发展历程中,越来越多的面向访问端和服务端的安全技术被开发出来并得到了成熟运用。由于无线网络利用空中载波信道作为传输媒介,物理层和数据链路层的工作原理与有线网络不同,遵循的安全策略也不同。在校园无线网络的设计中,如何保证合法用户的使用权限,避免非法用户的侵入已成为无线网络规划者的设计重点
现有的WLAN产品的安全技术中,SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分等一系列技术的得到广泛运用,有效的提升无线网络的安全防御性能。我们可以把室内型和室外型网络设备均支持SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分技术,可提供完备的安全防御功能。启用了目前先进的SSID广播禁止功能之后,由于空中不再广播明文的SSID号码,使得那些拥有截获SSID密码的无线终端非法访问网络。
另外,WEP(有线等效密钥)和WPA/WPA2(接入保护)技术的出现,可以通过大量的密文加密位和动态的密钥协议(TKIP/AES),为非法访问者制造难以攻破的障碍,从而避免网络安全事件的发生。我们在校园无线网络规划中,由于目前各高校校园有线网络已具备一定规模,因此,在无线网络融合进有线网络进行数据交换之前,通过WEP和WPA加密技术可以增加一层保护手段,可以极大的提升安全防御的能力。
另外,对于室内/室外型AP产品,由于其分别开放于室内高密度访问和室外环境,面对的是所有用户群体,对不同的用户群体的权限和身份识别则成为必须的功能。因此,AP产品应选择具备多BSS的划分和802.1Q VLAN功能的无线产品,协助接入层无线用户与接入层交换机用户同样接受全网统一管理和VLAN的划分,这样可以彻底解决无线用户无法管、不方便管的疑难问题。
对于覆盖室内/室外环境的无线接入点设备而言,由于接入用户比较复杂,网络应用不尽相同,因此针对不同用户、不同应用的QoS保证必须具备。我们可以采用支持标准的802.11i协议的网络无线接入点产品,可针对不同的BSS或802.1Q VLAN设置优先级保证,有利于充分、合理的利用信道带宽。
五、结束语
信息化的普及使得校园网络已经与教职工、学生的工作和生活息息相关,是教职工和学生获取信息和资源的主要途径。校园网络为用户带来了很大便捷的同时,网络安全问题的存在时刻威胁着用户信息的安全。只有运用有效的安全技术和策略,才能阻止非法用户利用校园网络进行非法操作,保证校园网络的正常、稳定运行。
参考文献:
[1]吴振强.Study on Security Architecture and Key Techno—logies for Wireless Local Area Network[D].西安电子科技大学,2007
[2]伍永锋.无线局域网在高校信息化建设中的应用探讨[J].福建电脑,2004
[3]芦艳芳,吴娜.浅谈威胁无线网络安全的途径与防范措施[J].计算机光盘软件与应用,2010,1
[4]李鹤.浅谈无线网络在高校中的应用以及安全防范措施[J].中国科技博览,2011,