李敏
(青海交通职业技术学院 青海 西宁 810000)
校园网络不仅能够保障学校教学、科研、管理等各项工作的有序进行,还能促进学校间的交流沟通,丰富师生的生活[1]。随着师生中移动终端的普遍使用,校园内传统的有线网络已经不能满足师生的学习、工作、生活需求。校园无线网,能够弥补有限网络的不足,提高学校的信息化建设水平,为师生搭建起更加便捷的信息化平台,加速建设校园无线网络势在必行[2-3]。
校园网关系着师生的工作、生活,必须高度重视校园网的安全性[4-5]。无线校园网在给我们带来便捷的同时,由于其动态拓扑以及开放性等性质,容易遭受到篡改、非法窃听和接入等一系列网络攻击,加上用户数量远多于家用无线网络,较难开展网络安全的防范工作[6]。因此,在构建无线校园网时,要充分考虑其安全性,综合采取各种安全保障手段,搭建起一个安全的网络环境。
校园无线网为成百上千的师生提供方便快捷的网络接入,使得师生摆脱了有线电缆的束缚,能够轻松的获取新鲜资讯,随时随地的学习、工作,能够极大的促进教育管理和科研水平。然而,也给校园网络的安全性带来了严峻的挑战,威胁着校园网络的正常运转,其存在的安全威胁可以归纳为非法入侵、网络监听、地址欺骗和会话拦截、拒绝服务、高级网络入侵等方面。
1)非法入侵
为了方便师生接入,无线局域网能够轻松的获取到,这给非法用户提供了可乘之机。他们不经允许私自使用校园网的网络资源,这一方面将使得宝贵的无线网络资源变的更加拥挤,使得为师生提供的网络服务质量下降,另一方面还将增加校园网络费用支出。
2)网络监听和远程控制
非法用户通过入侵校园无线网,并利用一些监听、分析工具,对师生的数据进行窃听、修改以及转发等;或是利用木马植入等手段实现远程控制,窃取用户控制权限和资料。这严重威胁着校园师生的网络安全,可能导致师生资料的泄露、账号和密码被破解等不良后果。
3)网络攻击
入侵者利用伪造MAC地址等方式,造成网络里产生出众多的ARP通信量,这将导致网络阻塞,使得网络发生中断。
4)高级入侵
入侵者一旦攻击进入到无线网络中,将会再进一步的通过无线网络入侵到整个校园网。这时,整个校园网络内部所有的用户、服务器、数据都暴露在入侵者面前,这将给校园网络带来无可想象的后果。
在解决校园无线网络安全性问题的过程中,主要采用过滤MAC地址、数据加密、隐藏及禁止广播SSID等技术。
1)过滤 MAC地址
MAC地址是唯一的,因此常常采用过滤MAC地址的办法来解决校园无线网络的安全性问题。在实现过程中,把合法的MAC地址存放在无线控制器中或下发给所有的AP中,这样,就能够将不合法的MAC地址过滤掉,以阻止无线网络中一些非法入侵行为。
2)数据加密处理
通过对所传输的数据进行加密处理,能够有效的提高数据的安全性。经过加密后的数据即使被入侵用户截获、监听,也能够保障数据的安全,降低损失。
3)隐藏及禁止广播SSID
SSID作为网络标识符,被设置在无线接入点AP上,用于区分网络,实现无线网络中的跟踪定位功能。在使用无线网络的过程中,一台设备只允许与一个SSID网络进行连接和通信。一般情况下,AP广播SSID以使得接入的设备能够感知到附近的无线网络,这给无线网络的安全性造成了巨大的威胁。为了保障无线网络的安全,应该禁止AP的广播,并用一长串不规则的字符串映射SSID,实现SSID的隐藏。通过隐藏SSID以及禁止AP广播SSID,那些未经许可的设备就算是能够扫描到无线网络,也不能接入到无线网络中。
4)其他技术
除了以上介绍的3种主要的无线网络安全保障技术外,一些其他的技术也常被用于提高校园无线网络的安全性,如采用VPN技术、通过802.1x控制网络进行接入以及停用动态主机配置协议等。
为了全面的保障校园无线网络的安全,需要从无线网络的管理、搭建等各方面入手。一方面要加强用户的网络安全意识,加强对接入设备的管理,并定期备份和维护服务器,制定网络安全的相应响应机制,积极应对出现的安全意外,保障校园网络的畅通。另一方面,在搭建校园无线网络的过程中,在软硬件方面采用各种无线网络安全保障技术,提升校园网抵抗入侵的能力。
完善网络运行管理规范,建立网络安全应急响应机制,一旦校园网络遭到入侵,出现了安全问题,立即通过标准化的流程采用应急手段,对出现的安全问题进行补救,恢复校园网络的畅通。
组织网络管理员对校园网用户进行网络安全的培训,提高用户的网络安全防范意识,帮助校园网用户掌握一些无线网络的安全策略,帮助用户养成安全上网习惯,使用户自觉安装安全软件,及时补好系统的安全漏洞。
增加无线入侵的监测系统,加强对终端设备的监管、分析,建立起网络用户数据库,对系统的监测日志进行严格管理,监测非法的网络入侵行为。及时解决监测到的网络安全问题,对于网络入侵等异常情况进行报警。
通过合理的采用无线网络的硬件策略,对天线进行合理的布局、选取合适的AP发射的功率,能够使无线网络的安全性能得到明显的提高。
在AP布局时,通过将天线布置在合适位置,并在无效区域方向添加反射板,能够有效减弱无效区域的信号强度,这不仅能够节约成本,提高信号有效区域的信号强度,还能消除无线网络存在的一些安全隐患。
在搭建无线网络的过程中,通过合理的选取AP的发射功率,在保证网络覆盖的前提下降低AP发射功率。这能够减少AP间干扰的同时,还能降低网络入侵的概率。
通过IP访问的控制,阻止非授权的网络接入,构建起无线网络安全的第一道防线。除了IP控制外,还能够采取MAC地址的控制,这能够更加有效的保障校园网络安全,因为设备的MAC地址唯一,在出现安全问题时能够相应的定位到设备用户,联系用户解决问题。
采用802.1x进行用户认证,不仅能够方便用户接入,保证用户随时能够对网络进行访问,还能保障用户所访问的数据的安全性。
在数据传输的过程中,通过WEP、WPA(图1)、VPN等加密技术,对无线数据进行加密处理,能够为用户的数据安全构建起一道新的防线。
图1 WPA数据帧加密处理过程Fig.1 Coding process of WPA data frame
此外,在搭配使用隐藏SSID技术,并限制SSID的广播,进一步减少无线网络被搜索到的可能性,从而提升校园无线网的安全性。
由于无线网络接入的便捷性,能够有利于师生随时随地的获取信息资源,能够极大提升学校的教育教学和管理水平,校园无线网络的构建成为必然趋势。然而,无线网络存在着诸多安全性问题。文中分析了校园无线网络的安全隐患以及一些常用的无线网络安全技术,提出了从管理、硬件和安全技术3个方面综合保障校园无线网络安全运行的解决方案,能够有效改善校园的网络运行环境。
[1]马玲.浅谈校园无线网络安全防范[J].黑龙江科技信息,2009(34):97-98.MA Ling.Discussion on security protection of campus wireless network[J].Heilongjiang Science and Technology Information,2009(34):97-98.
[2]常伟鹏.校园无线网络安全防护研究[J].网络安全技术与应用,2012(7):75-76.CHANG Wei-peng.Study on security protection of campus wireless network[J].Network Security Technology and Application,2012(7):75-76.
[3]马杰,董杰.校园无线网络安全技术[J].电脑开发与应用,2012(6):68-70.MA Jie,DONG Jie.Campus wireless network security technology[J].Computer Development and Applications,2012(6):68-70.
[4]苏俊杰.校园无线网络安全问题初探[J].计算机光盘软件与应用,2012(9):56-57.SU Jun-jie.Exploration of campus wireless network secutity[J].Computer CD Software and Applications,2012(9):56-57.
[5]李方军,唐赞玉.校园无线网络的构建[J].软件导刊,2012(11):117-118.LI Fang-jun,TANG Zan-yu.Construction of campus wireless network[J].Software Guide,2012(11):117-118.
[6]张景文.校园无线网络安全技术分析 [J].电脑知识与技术,2010(12):3104-3105.ZHANG Jing-wen.Analysis of campus wireless network security technology[J].Computer Knowledge and Technology,2010(12):3104-3105.