高校校园无线网安全问题的分析与应对

【 摘 要 】 伴随着信息化的不断发展，无线网已经深入校园的各个角落。校园无线网的安全问题日益成为网络管理的重中之重。论文分析了无线网存在的安全问题及其产生的原因，然后提出了具体的应对措施，通过加强控制和身份认证，及时修复漏洞，强化安全审计，提高安全意识等多方面，保证校园无线网的安全高效运行，更好地服务于全校师生员工。

【 关键词 】 安全；访问控制；身份认证；安全审计

【 中图分类号 】 TP393

【 文献标识码 】 A

Analysis and Counteractions on the Security of Campus Wireless Network

Liu Yuan-Chao

（Department Modern Education Center， Shandong Police College ShandongJinan 250014）

【 Abstract 】 With the continuous development of information technology， wireless network has entered every corner of the campus. The security of campus wireless network is becoming more and more important in network management. This paper analyzes the security issues and causes of the wireless network， and then puts forward specific measures to deal with security issues. By strengthening the control and identity authentication， repairing system vulnerabilities instantly， enhancing the security auditing and security awareness，the wireless network will be running in a safe and efficient environment. And the staff and students will get better service.

【 Keywords 】 security； access control； identity authentication； security audit

1 引言

互联网技术的快速发展和普及，无线网络也开始迅速遍布社会的各个方面。作为校园网的重要方式之一，无线网受到越来越多的重视。目前许多高校通過自建、共建或他建等方式建立了校园无线网，并且师生员工对无线网络的依赖程度越来越高。随着无线网络规模的不断扩大，校园网的开放程度不断增加，校园无线网的安全问题也显得愈发突出。无线网的安全问题已成为高校信息化建设中至关重要的问题。

2 校园无线网的安全问题分析

无线网在“互联网+”的时代理所当然的成为人们工作、生活和学习等各方面的刚需。高校大学生作新生力量，其对网络的需求更迫切。校园无线网的安全问题主要有技术安全和管理安全。

2.1 技术安全问题

2.1.1多SSID的安全问题

为了满足不同用户的上网需求及管理需要，在配置时可能会搭建不同SSID的无线网络信号。不同的SSID之间如果没有严格的安全隔离，可能会导致用户在接入无线网时发生信号跳变的问题。

2.1.2 VLAN安全问题

VLAN安全分为设备安全和用户全。设备安全指AC和AP之间的通信，如果AC对AP的VLAN划分不严格，容易遭受ARP泛洪攻击，导致AC向AP转发无用数据，造成网络拥堵，甚至导致整个网络的瘫痪。

用户安全是指同一SSID下，大多数用户都在同一VLAN内，用户之间可以相互通信。如果Portal认证页面推送的用户IP的URL并没有进行编码转译，那么攻击者可以利用ARP嗅探的方式，修改用户的IP从而获得其他合法认证用户的上网权限，侵犯了其他用户的合法权益。

2.1.3 DHCP地址池耗尽

用户接入无线网，首先会请求分配IP地址，AC作为DHCP服务器在接到客户端请求后给用户分配IP。如果无线网采用Portal方式，用户只是接入开放网络但未进行认证，同样会占用IP。攻击者采用泛洪DoS攻击，AC的地址池资源会很快被耗尽，正常的上网用户也因无法获得IP不能上网。

2.1.4 DNS安全问题

为了提高解析效率及内网IP解析的需求，大部分高校都搭建内部的DNS。无线网通常和有线网共用DNS，但DNS设置不严格，攻击者会利用DNS的安全漏洞，拿到DNS的控制权，进而入侵无线网和有线网的其他网络设备。

DNS的安全问题还在于DNS隧道。攻击者通过代理工具，将其他协议的访问流量封装在DNS的流量中，绕过身份认证系统，实现了免费上网，甚至可以实现远程控制、文件传输等重要操作。

2.1.5 设备漏洞

无线网络设备自身存在的安全漏洞攻击者利用从而操纵网络，如设备厂商发布的AC的软件或固件版本存在漏洞，可能会使攻击者非法下载AC配置文件，获得AC控制权。

2.2 管理安全问题

从当前的网络建设情况来看，因为各方面的原因导致，所以在安全隐患问题上还比较突出。校园无线网建设中的安全隐患体现在多个层面，其中在人为安全隐患上是一个不可忽视的内容。网络管理人员设置管理密码过于简单或者未妥善保存，都为攻击者提供了可乘之机。由于人为的疏忽导致安全策略配置不完整，也会造成无线网安全问题。

3 无线网的安全应对措施

校园无线网的应用范围不断扩大，但是网络的管理力度还比较弱，还经常发生内部攻击，这些因素都影响了校园无线网的安全性。因此，必须要建立完整的整体解决方案，才能保证校园无线网的安全运行。

3.1 加强访问控制和安全策略

对于多个SSID的无线网，要保证不同SSID之间的用户严格隔离，防止非法窜用。开启用户隔离，对于同一SSID下的用户之间的二层报文不能相互转发，从而使无线用户之间相互不能通讯。为解决DHCP地址池耗尽的问题，一方面要将私网IP的DHCP地址池扩大，比如1个B类私网地址段；另一方面要合理配置DHCP的租期，及时将闲置的IP地址收回。建议无线网搭建单独的DNS，同时加强DNS的安全配置，防止DNS被滥用。

3.2 提高身份认证水平

实现实名认证对于所有的上网用户来说是必须的。针对上网用户的分类以及用户认证方式的不同需求，用户上网身份认证方式也各有不同。Portal无感知认证逐渐成为目前认证的热门方式。在日常的无线网管理中，只需要配置合理的用户无感知Mac的数量和无感知失效时间。Portal无感知通过Portal认证和MAC的有效结合，既能保证认证的安全性，又能提升用户体验和管理的灵活性，适合高校的无线网管理。

3.3 及时修复系统漏洞

校园无线网中的网络设备、服务器和应用软件的安全稳定也是影响无线网安全的重要因素。软硬件使用越广泛，随之暴露的漏洞也就越多，因此必须及时更新修复系统漏洞。可通过漏洞扫描系统定期对网络设备进行检查，并根据检查结果及时进行处理。

3.4 强化安全审计和行为管理

安全审计和行为管理的目的在于保障校园无线网用户的上网行为及上网信息。通过记录用户使用网络的信息，包括登录时间、访问地址和上网时长等来分析用户的上网行为。通过审计可以帮助网络管理部门及时发现网络异常行为，并将异常行为及时纳入日常的網络管理中。

3.5 提高网络安全意识和系统管理力度

网络管理人员的安全意识直接影响着无线网络的安全性。如果网络管理人员安全意识淡薄，疏于防范，那么无线网出现安全问题的概率大大增加。因此，必须提高网络管理人员的安全意识和技术水平。同时提高系统管理力度，将无线网的安全管理纳入日常的网络巡检中，通过各种主流技术和方法，使网络安全问题防患于未然。

4 结束语

校园无线网已经成为学校师生员工获取信息的重要渠道，校园无线网的安全直接影响着学校的信息化建设和应用水平。加强访问控制，提高身份认证水平，及时修复系统漏洞，强化安全审计，提高网络安全意识，确保网络安全无问题。只有通过多方面、全方位的巩固网络管理，确保校园无线网的安全性，才能为信息化的建设和和深入应用提供强大的动力支持。

参考文献

[1] 宁向延，张顺颐.网络安全现状与技术发展[J].南京邮电大学学报（自然科学版），2012Vol32（5）：49-58.

[2] Nationalcybersecuritystrategyoftheczechrepublicfortheperiodfrom 2015to2020[EB/OL].https：//www.enisa.europa.eu.

[3] 郭乐深，尚晋刚，史乃彪.信息安全工程技术[M].北京：北京邮电大学出版社，2011.

[4] 任伟.无线网络安全问题初探[J].信息网络安全，2012（1）：10-13.

[5] 刘长瑞，聂明.无感知WLAN业务认证方式的分析[J].电信工程技术与标准化，2012，（5）：25-29.

[6] 姜彩萍，王继龙.校园网规范运行研究[J].广西大学学报（自然科学版），2011，36（S1）：228-233.

作者简介：

刘远超（1987-），男，助理实验师；主要研究方向和关注领域：事网络管理、网络安全。