浅析院校无线局域网中的安全问题及防范措施

摘要：随着互联网技术的迅猛发展，无线网络以其灵活、便利和高效广泛应用于人们的日常生活及工作之中，大家在享受无处不在的网絡生活的同时，其安全性能已成为不可忽视的问题。本文就目前无线网络技术组建局域网的常见安全问题进行了分析，并探讨了保障无线网络安全的相应防范措施，以保证无线网络的安全性。

关键词：无线网络；院校；安全技术；防范措施

中图分类号：TN925.93 文献标识码：A DOI：10.3969/j.issn.l003-6970.2017.08.033

引言

随着网络技术的飞速发展，网络改变了人们的工作方式和生活方式，无线网络技术和无线产品的成熟使无线网络普及到了人们的生活之中。与传统的有线网络相比，无线网络用户可以随时通过无线信号接入到无线网络之中，摆脱了有线网络布线难度大、费用高、耗时长的缺点。建设无线局域网方便快速、部署灵活、扩容能力强、可移动性好、综合成本较低、不受地理环境限制等，通过IEEE802.11n標准能够与现有的有线网络进行平滑无缝的连接，与现有的有线网络资源具有良好的兼容性和整合性。但无线网络在为人们生活带来极大便利的同时，无线网络在安全性方面需要我们加强防范。本文对院校建设无线网络的安全问题进行分析，所采取的安全措施和技术手段分别做介绍。

1无线局域网存中在的常见安全问题

1.1密钥管理和内、外部人员的入侵

目前，由于WEP加密的先天不足，已经出现了100%破解WEP加密的方法，攻击者通过抓包注人，获取足够的通信数据包，对数据包进行分析，即可彻底破解WEP加密。虽然WEP的密钥通过外部控制可以减少IV（Initialization Vector）的冲突，但是控制过程非常复杂并且需要手工操作，而其它的解决方案需要额外增加资源而造成成本昂贵；在有线网络中，计算机需要连接网线才可以上网，而无线网络只需要在无线网络接入点（The wireless access point）覆盖范围之中，任何无线终端设备者P可以通过AP接入无线网络，比较难确定具体的位置，且无线网络的管理相对宽松，缺乏传输介质的物理保护，导致未经授权的用户也可以比较轻易的进入无线网络，因此，存在较大的安全风险。如大学校园中师生的重要个人资料通常成为攻击者企图窃取的目标，攻击者利用无线网络AP支持多用户接入、开放性等特点，通过AP欺骗等手段窃取重要的个人资料，严重影响了校园网的网络用户用网安全。

1.2WEP存在的漏洞

常用的WEP（Wired Equivalent Privacy）算法存在不少漏洞，由于WEP标准在无线网络出现的早期就已创建，它的安全技术源自于名为RC4的RSA数据加密技术，是无线局域网非常必要的安全防护层，目前比较常见的是64位WEP加密和128位WEP加密。WEP中加密算法的IV（Initialization Vector）由于位数不够长和初始化复位设计，因而容易被攻击者破解密钥。而CRC（Cyclic Redundancy Check循环冗余校验）算法只保证数据正确的传输，并不保证其数据在传输过程中未被篡改。WEP漏洞主要包括信息泄露漏洞、目录遍历漏洞、文件包含漏洞、命令执行漏洞、SQL注入漏洞、跨站脚本漏洞等，攻击者可以利用SQL注入、OS命令注入、XSS跨站脚本攻击、CSRF跨站请求伪造等多种方式遍历漏洞和篡改相应参数，从而窃取校园网内用户的用户名和密码。由于WEP加密技术存在大家熟知的一些漏洞，所以对于熟悉原理的攻击者而言，是能够比较轻松破解的。

1.3移动无线网络攻击

现在人们的生活已经越来越离不开无线网络了，不管是台式机还是笔记本，手机或者平板电脑，只要有无线网络信号的地方即可接入无线网络。由于无线网络在稳定性与安全性方面存在的先天不足，经常发生黑客破解无线网络设备，获取用户信息的事件。无线网络在方便师生的同时，也存在比较危险的一面。因无线网络支持多用户接入，所以安全性容易受到攻击。无线网络攻击可以分为对移动终端和对移动核心网络的攻击，两种攻击方式相互支持，可提升攻击效果。攻击者可通过多种方式如有线测漏、流氓接入点、错误配置接入点、无线钓鱼、客户端隔离等手段对数据网络进行渗透和破解，攻击者一旦获得访问权限，不仅可以窃取敏感文件等信息，还可以通过数据分析获得作为校园网络用户的无线网络凭据，攻击者只要获得一个无线网络证书，就可使用这些凭据来访问无线网络，从而可以轻松绕过用于阻止攻击的复杂加密和安全机制。

1.4多种方式的网络监听

网络监听是一种监视网络运行状态，数据流程及网络上信息传输的管理工具，在监听模式下可以窃取网络上所传输的数据信息。当攻击者登录主机并取得超级用户权限后，若想登录网络内其它的主机，使用网络监听就可以截获网路上传输的数据信息，如用户地址、文件信息、聊天信息等，从而通过数据分析，获取相应的用户名和密码，使校园网内用户蒙受损失。由于当今网络中所使用的协议大都是早期设计的，许多网络协议的实现都是基于通信双方充分信任为基础的。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网络上传输的，因此通过进行网络监听从而获得用户信息对攻击者来说比较容易实现，攻击者只要掌握有初步的TCP/IP协议知识就可以轻松地监听到想要的信息，如主动式监听、被动式监听等。在UNIX系统中，拥有超级权限的用户只需要向网络接口发送I/O控制等命令，就可以把主机设置成监听模式，而在Windows的系统上则更加方便，不论用户是否拥有超级权限，只需要直接运行监听工具就可轻易实现，从而获取相关数据信息。用户数据被攻击者恶意破解后会导致用户隐私泄露，个人利益受到严重危险，进而对整个校园无线网络的安全造成影响。

2无线局域网安全问题的解决方法

2.1对无线设备的安全进行设置，对入网用户进行筛选

校园无线网络在给师生带来方便、快捷的使用体验的同时，也存在不少安全隐患，消除安全隐患最直接办法是对人网用户进行资格验证，从源头防止不法分子入侵无线网络。通过对无线路由器（交换机）进行安全设置，尽量减少被发现和入侵的可能性。无线网络通过电磁波传输信息，电磁波向四周发散，发散范围和区域不受人为控制，一些本单位以外的区域也能接收到无线网络信号，这就使非法入侵成为可能。我们的基本做法是关闭SSID广播功能，SSID广播是指无线网络接入点向外界告知自身存在所发出的广播信息，通过关闭SSID广播可以增加入侵的难度。除此以外，还对无线网络接入的终端设备进行MAC地址过滤，并设置MAC地址允许列表，在AP上配置MAC地址表，只有通过AP认证的MAC地址（即相应的用户计算机）才能通过AP实现接入，其他地址的数据包会被AP丢弃，不转发。这样，确保只有在学校网络中心注册过的终端设备，才能通过这些AP进入学校内部网络，从而防止不法分子非法入侵。

2.2用户接入进行安全控制

无线网络的安全措施一般有SSID、WEP、WAP、WAP-PSK等，SSID是必须提供与无线接入点设定一致的SSID才能通信，这样可以区分不同群组接入，WEP安全加密协议主要用于实现保密控制、数据保密性和完整性3个目标。但对于比较大型的校园无线网络，比较适合采用基于WEB认证和802.1X认证方式，无线网络认证需要和有线网络相融合。所以除了安全设置外，还需对无线用户的接入加强控制，采用802.lx身份认证加RADIUS认证服务器。802.1X协议是基于客户端/服务器端的访问控制和认证协议。该认证可以限制未经授权的校园网用户和设备通过接入端口访问网络资源。在认证通过之前，802.lx只允许EAPoL（基于局域网的扩展认证协议）数据通过设备端口，将用户名和口令传送到后台的Radius认证服务器上，如用户名及口令通过了验证，则相应端口打开，分配无线用户设备IP地址，认证正常的数据才可以顺利地通过端口，用户上线完毕。由此构成实现认证（Authentication）、授权（Authorization）、計费（Accounting）功能的AAA系统。RADIUS能对用户身份进行集中管理，安全性能好，策略比较灵活，同时还可以记录用户的网络使用情况的数据，便于网络管理员进行分析。通过架设的RADIUS服务器为Ubuntu Gutsy7.10，采用用户名、口令的方式验证无线上网用户，防止未经授权的用户访问网络，以保证网络的安全性。

2.3数据传输加密

数据传输加密目前仍然是计算机系统对信息进行保护的一种比较可靠方法。数据传输加密技术的目的是对传输中的数据流进行加密，通常分为线路加密和端一端加密两种，它利用密钥技术对信息进行加密，通过和防火墙联动，可以实现信息隐蔽，从而保护信息安全。无线AP通过向四周发射电磁信息传输数据，如这些信息被非法截获窃取，校园师生的数据和机密信息就会泄露出去，通过使用WPA-RADIUS加密技术对数据进行加密，防止被非法截获窃取。与WPA-PSK相同的是WPA-RADIUS的密钥也随着数据包的不同而变化。但WPA-RADIUS加密要一个RADIUS服务器。通过对用户接入使用RADIUS认证，通过合理配置好RADIUS月艮务器，且WPA-RADIUS力口密的安全性非常高，很适合大型的校园网对无线网络进行安全设置。通过数据传输加密保障无线网络的安全，避免非法用户的访问，保护用户数据不被窃取，也可以对不同用户权限加以区别，限定不同的权限访问相应的资源，体现了较好的安全可靠性能。

2.4无线网络单独规划子网，并采用防火墙和入侵检测系统

为了保证校园无线网络资源的安全，将无线网络与有线网络分开管理，单独划分无线子网。把校园网络结构合理配置划分为无线子网、有线子网、资源子网3部分。在无线网络和有线网络之间设置防火墙，防止无线网络被入侵后引起范围蔓延。通过在核心交换机上合理设置访问控制列表，严格控制各子网间的资源访问，对未经授权的无线网络用户禁止访问校内网络。校内无线用户登录时，首先通过认证服务器接入无线网络，只有认证通过才能获得授权，根据相应权限访问网内资源。为保障安全，还需要规划入侵检测系统，与防火墙联动，这样可以有效阻止内外部的入侵者。网络中心采用无线网络管理系统，管理整个无线网络的设备设施，实现有线网络和无线网络一体化的网络管理和运行监控。

3增强网络安全意识，加强网络管理

上述几条措施可以在一定程度上防范不法分子的攻击，但无法杜绝。因此，应加强对师生上网的引导，养成良好的个人上网习惯，增强师生网络安全意识；如安装安全防范软件、及时修复漏洞、不打开不健康的网页、不在网络上透露个人信息、不要相信天上掉馅饼的好事、提高安全意识，文明上网等。学校要完善网络安全机制，网络中心要建立网络安全监测预警机制和信息通报制度。网络管理员要加强对无线网络设备的管理，经常检查服务器日志，利用无线网络入侵监测系统对不法分子的攻击行为进行提前预警，一旦发现攻击行为及时采取有效措施，及时对异常端设备进行屏蔽，使用安全审计系统等保证校园无线网络的安全。校园无线网络摆脱了繁杂的网络连线的束缚，极大的方便的师生随时随地上网的需求，保障无线网络的信息安全是一项长期的工作，对于智慧校园的健康发展显得尤为重要，因此，我们要根据实际情况，增强师生安全意识，落实各项规章制度，健全长效管理机制，确保无线网络平台安全运行，为学校师生提供一个安全健康的上网环境提供有力的安全保障。

4结束语

无线网络应用于校园，和计算机有线网络进入校园一样，是一项大的系统工程，是实现智慧校园的有效途径，经过多年发展，无线网络在技术上已经日益成熟，校园无线网络对学校及师生的成长和发展起着越来越重要的作用。网络购物、网络支付已经全面进入了人们的生活，人们对网络安全的需求也越来越高，因此，要不断开发更加完备的网络安全技术，培养高素质的网络人才，从而全面保证网络的安全。虽然无线网络已应用十分广泛，并从根本上解除了网线对计算机的约束，但是在运行过程中，如何提高无线网络的速率和传输安全等问题需要我们进一步探索，为师生提高一个安全的网络环境而努力。

推荐访问:浅析 安全问题 无线局域网 防范措施 院校