校园无线局域网安全性分析与解决方案

校园无线局域网安全性分析与解决方案来源: 【摘要】 介绍了无线局域网在校园中的应用及安全现状，结合相关产品进行了安全技术的分析，并提出了一套适合校园无线局域网应用的安全解决方案。【关键词】无线局域网；安全分析；解决方案1 引言无线校园网，就是通过无线局域网（WLAN）技术，在校园中建立的无缝无线通讯网络，使校园的每个角落都处在网络中，形成真正意义上的校园网。现有的有线网络，只能提供固定而有限的网络信息点，无法满足学校师生随时随地共享教育网络资源的需要。校园无线网的建设避免了大规模铺设网线和固定设备投入，有效地削减了网络建设费用，极大地缩短了建设周期；解决了师生非常期待实现的许多需求，利用网络提高教学效率的需求，以及信息化建设中降低成本和保护投资的要求等。WLAN的使用给我们带来了很大的方便，然而正是这种便利性引出了有线网络中存在的安全问题。比如，攻击者无须物理连线就可以连接网络，而且任何人都可以利用设备窃听到无线广播的数据包。因此，无线网络安全问题也随之出现，而且变得日益严重。2 校园无线网安全现状由于历史原因，大多数校园无线局域网主要是依靠有效保密（WEP）方式对数据进行加密，数据加密后的微波信号即使被人截获，也不易破解，从而保证客户传输的数据安全性。但是WEP存在着不理想的地方：一是密钥共享。由于每个人都知道密钥，则密钥很容易泄漏不易管理。二是弱密钥缺陷，导致WEP不能很好地抵御密码学破解攻击。其次，如果无线局域网接入点CAP不做任何安全设定，则任何一个符合WiFi的网卡都可以接入网络，所以大多数无线局域网的用户接入安全保障是采用MAC地址控制。但是这种接人控制方法对于校园无线网，会存在管理麻烦、扩展能力受限制等问题。另外，黑客还可能会使用物理地址（MAC）欺骗技术入侵网络。所以对于校园无线网络系统，如果不从整体上进行规划和设计，只孤立地采用单一的某项安全技术是无法满足无线网络高安全性的要求，反而会造成无线网络不安全的印象，导致不能充分利用无线网络所能提供的诸多特性和优点来进行资源共享和提高工作效率。3 无线局域网安全威胁与安全技术类型3.1 安全威胁类型由于无线局域网采用公共的电磁波作为载体，电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体，因此在一个AP所服务的区域中，任何一个无线客户端都可以接受到此接人点的电磁波信号，这样就可能包括一些恶意用户也能接收到其他无线数据信号。这样恶意用户在无线局域网中相对于在有线局域网当中，去窃听或干扰信息就来得容易得多。目前WLAN所面临的安全威胁主要有网络窃听、AP中间人欺骗、WEP破解、MAC地址欺骗等。3.2 安全技术类型为了有效保障无线局域网（WLAN）的安全性，就必须实现以下几个安全目标：提供接入控制：验证用户，授权他们接人特定的资源，同时拒绝未经授权的用户提供接入；确保连接的保密与完好：利用强有力的加密和校验技术，防止未经授权的用户窃听、插入或修改通过无线网络传输的数据。防止拒绝服务（DoS）攻击：确保不会有用户占用某个接入点的所有可用带宽，从而影响其他用户的正常接人。针对需实现的安全目标，常采用的无线网络安全技术主要有：服务区标识符（SSID）匹配、无线网卡MAC过滤、WEP、端口访问控制技术（IEEE802.1X）和可扩展认证协议（EAP）、WPA（Wi.Fi保护访问）技术、高级的无线局域网安全标准一IEEE802.11i。4 校园无线网安全策略分析案例现结合华为3Corn的无线局域网络产品，针对目前无线校园网应用中的种种安全隐患，进行相关安全策略的分析。 一4.1 网络安全产品功能简介目前，华为3Com的无线局域网产品体系能够提供强有力的安全特性，除了传统无线局域网中的安全策略之外，还能够提供更加精细的管理措施。4.1.1 可靠的加密和认证、设备管理能够支持目前802.11小组所提出的全部加密方式，包括高级WPA 256位加密（AES），WEP共享密钥加密，WPA TKIP，特有的128位动态安全链路加密，动态会话密钥管理。802.1X认证使用802.1x RADIUS认证和MAC地址联合认证，确保只有合法用户和客户端设备才可访问网络；WPA TKIP认证采用EAPMD5，EAPTLS和PEAP协议，扩展的证书认证功能更加保证用户身份的严格鉴定。支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器；通过本地控制台或通过SSHv2或Telnet远程管理的命令行界面；并可通过无线局域网管理系统进行集中管理。4.1.2 用户和组安全配置与传统的无线局域网安全措施一样，华为3Com无线网络可以依靠MAC过滤、服务集标识符（SSID）匹配、访问控制列表（ACL）来提供对无线客户端的初始过滤，只允许指定的无线终端可以连接AP。同时，传统无线网络也存在不足之处。首先，其安全策略依赖于连接到某个网络位置的设备上的特定端口，对物理端口和设备的依赖是网络工程的基础。例如，子网、ACL以及服务等级（CQS）在路由器和交换机的端口上定义，需要通过台式机的MAC地址来管理用户的连接。华为3Com采用基于身份的组网功能，可提供增强的用户和组的安全策略，针对特殊要求创建虚拟专用组（Virtual Private Group），VLAN不再需要通过物理连接或端口来实施，而是根据用户和组名来区分权限。并且，华为3Com无线网络可以对无线局域网进行前所未有的控制和观察，监视工具甚至可以跟踪深入到个人的信息（无论他的位置在哪里），网络标识基于用户而不是基于物理端口或位置。其次，华为3Com无线网络简化了SSID支持，不再需要多个SSID来支持漫游和授权策略；单个SSID足以支持漫游、跨子网漫游或包括VLAN或子网成员资格的授权策略。大量的可配置监视工具用于收集用户数据（例如位置、访问控制和安全设置）和识别用户身份。此外，使用华为3Com虚拟专用组管理器功能，可以为用户和组分配特定的安全和访问策略，从而获得最大的灵活性，同时增强网络安全性并显着缩短管理时间。用户不仅可更改单个用户设置，还可以只通过简单的几次击键操作即可从中央管理控制台方便地配置相似的用户组、AP组，而不必逐个配置AP。4.1.3 非法接入检测和隔离华为3Com无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP，使管理员能更好地查看网络状况，提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能，通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP，接人威胁其中网络规模越大就越容易受到非法AP接人攻击。为了消除这种威胁，可以指定某些AP充当射频“卫士”，其方法是扫描无线局域网来查找非法AP位置，记录这些位置信息并采取措施以及为这些位置重新分配信息以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源，例如微波炉和无绳电话。并且，射频监测配合基于用户身份的组网，不但可使用户在漫游时具有诸如虚拟专用组成员资格、ACL、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容，还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。4.1.4 监视和告警华为3Com无线网络体系提供了实时操作信息，可以快速检测到问题，提高网络的安全性并优化网络，甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计，它提供了配置更改的自动告警功能。向导界面提供了即时提示，从而使得管理员能够快速针对冲突做出更改。通过使用软件的移动配置文件功能，管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外，位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。4.2 校园无线网应用安全解决方案从校园用户角度而言，随着无线网络应用的推进，管理员需要更加注重无线网络安全的问题，针对不同的用户需求，华为3Com提出一系列不同级别的无线安全技术策略，从传统的WEP加密到IEEE802.1li，从MAC地址过滤到IEEE 802.1x安全认证技术，可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求，如表1所示。对于办公室局部无线用户而言，无线覆盖范围较小，接人用户数量也比较少，没有专业的管理人员，对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器，这种情况下，可直接采用AP进行认证，WPAPSK+AP隐藏可以保证基本的安全级别。在学校园区无线网络环境中，考虑到网络覆盖范围以及终端用户数量，AP和无线网卡的数量必将大大增加，同时由于使用的用户较多，安全隐患也相应增加，此时简单的WPAPSK已经不能满足此类用户的需求。如表1中所示的中级安全方案使用支持IEEE 802.1X认证技术的AP作为无线网络的安全核心，使用华为3Com虚拟专用组管理器功能并通过后台的Radius服务器进行用户身份验证，有效地阻止未经授权的用户接人，并可对用户权限进行区分。如果应用无线网络构建校园的办公网络，此时无线网络上承载的是工作业务信息，其安全保密性要求较高，因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证，就有可能造成账号盗用、非法入侵的问题，对于无线业务网络来说是不可以接受的。表1中的专业级安全解决方案可以较好地满足用户需求，通过华为3Com虚拟专用组管理器功能、IEEE802.1li加密、Radius的用户认证确保高安全性。5 结论本文在对无线局域网安全技术的分析基础之上，利用华为3Com的无线网络产品，针对校园无线网安全需求，提出了一种三级安全策略，并成功地应用在校园无线网中。本硕士论文来自专业的毕业论文发表网，如需转载