中图分类号:Tn92 文献标识码:A 文章编号:1007-9416(2015)04-0178-01
1 引言
随着各种电子设备的不断兴起,传统的有线网络显然已经不能满足人们的用网需求。与有线网络相比,无线网络的安装快捷、使用方便、可移动性等特点,使得你在可在校园内任何时间、任何地点都能轻松上网,作为对有线网络的补充,校园网肩负着学校的教学、科研等重要任务,一旦遭遇网络安全问题,后果不堪设想。所以了解无线网络的安全隐患,确保高校网络安全问题显得尤为重要。
2 高校无线网络的安全问题
由于无线网络的信号难以控制,因为无线网络依靠的是逻辑链路而不是物理链路,只要是无线AP能广播出信号的地方都有可能遭到入侵,通过非法手段获取网络访问权限[1]。大学校园是人员相对密集的一个场所,和其他区域的无线网络一样,高校无线网络存在以下几点隐患。
2.1 非法用户的接入
我们电脑现在所使用的操作系统,基本支持无线wifi的查找,一旦非法用户或者黑客通过一般的攻击接入无线网络,势必将占用合法用户的网络带宽,从而降低了合法用户的网络体验。
2.2 非法窃听
校园无线网络通信主要使用网络通道完成数据的接收和发送,由于无线网络的通信设备的信号发射频率较低,而且信号传输的距离有限,非法入侵者借助一些高增益的无线设备就很容易窃听到无线网络通信设备中传输的数据信息,并在进行数据的恶意修改和转发,从而影响无线网络安全的稳定运行。
2.3 Arp欺骗
非法用户通过网络窃听等手段获取网络中合法站点的MAC地址,然后通过ARP欺骗,通过伪造MAC地址进行ARP欺骗,持续不断地发送伪造的ARP信息,从而使网络中产生大量的信息量,占用网络带宽,从而引起网络堵塞[2]。
2.4 拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,如导致某些服务被暂停甚至死机都属于拒绝服务攻击。我们常用无线网络的协议是IEEE802.11,但由于其本身的漏洞,非法入侵者可能利用这些漏洞对设备进行拒绝服务攻击。易受攻击的设备包括支持802.11、802.11b等无线标准的设备。
2.5 网络管理者安全意识不强
目前各个高校大都在兴建无线网络,但校园无线网络建设的水平缺参差不齐、提前规划设计考虑不充分、在加之网络管理人员安全意识不强,导致无线网络安全性并不高。比如:很多无线站点都没有考虑无线接入的安全问题;无线网络接入认证存在缺陷;无线密钥的认证等基本方法没有完全普及等等各种问题,所以高校网络管理者有必要更进一步完善无线的安全体系。
3 高校无线网络安全应对措施
3.1 用户划分
高校无线用户数量较多,我们可以根据不同网络环境划分用户群。如教学区、实验室、行政办公人员这部分相对固定的划分为固定用户群[3]。可以采用电脑MAC地址绑定的形式或者分配固定的IP地址,从而保证无线网络安全;此外对于位置不固定的用户,如使用手机、笔记本电脑等手持设备的用户,将其划分为活动用户。对于这类用户,采用较为严格的登陆认证机制,从根本杜绝非法用户的入侵。
3.2 提高无线网络的认证机制
在使用校园无线网络的用户中,基本可以分为内网用户和外网用户。对于内网用户如老师、学生,由于工作和学习需要可能需要随时的接入无线网络,对于这类用户我们可以使用802.1x+Radius认证,在认证的过程中由隧道加密进行防护,这需要无线网络的接入设备安装有支持802.1x的客户端。对于网络用户,只需要访问internet而不需要访问内网资源,我们可以采用web portal认证,当用户接入无线网络时会通过DHCP服务器分配合法地址,用户打开网页时,认证系统会自动推送认证界面。
3.3 采用VPN技术增强安全性能
VPN即虚拟专用网络,是在公用网络上利用隧道技术和加密技术建立起专用网络,VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问[4]。我们可以将高校无线网络划分成单独的局域网,所有无线用户在访问校园网络之前必须使用VPN网关进行鉴定,客户机到VPN的数据包采用安全协议加密,这样非法入侵者将无法破解专用网络,从而保证我们的无线网络更加安全。
3.4 使用入侵检测系统
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它通常设置在内部网络的边界上,通过监视、分析用户的上网行为,判断入侵时间的类型此外对于网络使用过程流量异常报警,通过IDS可以有效地检测网络非法的接入和入侵,找出伪装WAP的无线上网用户
4 结语
无线网络技术给高校带来了便利,但同时也带来了诸多安全隐患。由此无线网络安全问题也不得不引起高校网络管理者的重视,总的来说世界上并不存在绝对安全的网络,只有增强安全防范意识,根据不同的用户选择相应的防范措施,才能不断的改进我们的无线网络安全,才能真正达到服务校园的目的。
