校园无线网络安全防范浅析.doc

《校园无线网络安全防范浅析.doc》由会员分享，可在线阅读，更多相关《校园无线网络安全防范浅析.doc（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date校园无线网络安全防范浅析校园无线网络接入探讨校园无线网络安全防范浅析王艳歌（江苏教育学院运河分院，江苏 邳州，221300）摘 要：学校信息化建设水平的不断提高，无线网络已成校园网的重要组成部分。本文剖析了校园无线网络存在的问题，给出了无线网络安全防护对策、安全认证方式及基础技巧。关键字：无线网络 安全认证 校园网现代笔记本电脑和无线网卡产品价格的逐步降低，越来越多的

2、人使用无线终端产品。教学、科研要求有线网络无法延伸到的场所，如大操场、体育馆、会议室、图书室等，也能够访问校园网，真正使网络渗透到校园每个角落，这些促使校园无线网络踏入校园网。但无线信道的开放性增加了非法用户和病毒入侵的几率，凭借无线网络接入校园网，对我们的校园网构成威胁。分析校园无线网络存在问题，提出安全防护对策、安全认证方式和简单易行的安全技巧，建设安全的校园无线网络，从而开发应用各类数字化校园应用系统，逐步实现管理、科研、教学的全面数字化。1校园无线网络存在问题1）目前无线网络提供常用的三种安全机制：一是基于MAC地址的认证。实施MAC地址访问控制，制作MAC地址列表，但随着用户增加而效

3、率降低。另一方面MAC地址很容易被窃取和伪造，因此安全性较低。二是共享密钥认证，该方法要求接入点和无线设备使用对等保密算法，即用户使用正确密钥即可获得访问权。但在认证时，攻击者可利用加密前后的询问消息，通过数学运算即可获得共享密钥生成的伪随机密码流，从而伪造合法的响应消息通过了认证。2）部分AP安全设置级别过低，或保持出厂的默认设置，使AP在没有加密或弱加密条件下工作，使得非法用户有机可乘，私自接入到校园网络攻击校园网。3）无线网络客户端连接设置不正确。部分用户接入校园网线网络同时对外发布无线信号，如不对无线网覆盖范围和连接用户数做限制，则非法用户可以和校园无线客户端建立一个直连网络AdHoc

4、，从而顺利接入校园对校园网产生威胁。2无线网络安全防护对策1）做好硬件设备备份无线网络较有线网络有其特殊性，对于无线网络设备如无线控制器、无线AP等应做好预留备份，出现问题及时更换。对于重要节点如图书馆、网络中心等应提供有线网络备份，同时无线网络的配置也应有备份，以便恢复时快捷便利。2）建立无线网络监控和记录机制由于无线网络接入用户具有很大的移动性和变化性，因此做好用户访问行为记录非常重要。在无线网络中加入无线网络控制器，对用户进行严格的权限分配，对无线接入点、交换机进行实时监控。包括对无线用户的统一认证、监控和流量管理，记录用户名、访问时间、IP地址、MAC地址等信息，记录日志定时上传至服务

5、器。通过对日志分析，可以避免一些安全隐患、排除故障和追究相关人员责任。在无线控制器上进行相应策略设置，对无线数据包进行实时检测，如发现有人入侵及时纪录并做出自动保护响应。3）无线网络单独规划子网为保证学校校本资源的安全，需将无线网络与有线网络分开，单独规划子网，将学校网络结构分为无线子网、有线子网、资源子网3部分，如图1所示。资源子网防火墙 核心交换机 无线控制器 交换机 交换机 AP 有线子网 有线子网 图1在核心交换机上设置访问控制列表，严格控制各子网间访问，防止无线网络用户对网络资源进行非授权访问。无线用户首先通过认证接入无线网络，继而获得授权，根据授权限访问网内资源。访问控制可以基于以

6、下属性：源IP地址、源MAC地址、目的IP地址、目的MAC地址、协议类型、用户ID、用户时长等1。4）无线网络病毒防护在无线网络上网须知中明确规定，无线用户必须安装最新的防病毒软件，对无防病毒软件的终端禁止入网。同时在无线控制器上设定策略，对无线终端用户进行准入检查，如未通过禁止访问网络。对校本资源或校园网站服务器的访问权限设定严格的控制策略。无线网络的管理者应培养前瞻性、主动性眼光，提前做好防护措施。3安全认证方式无线网络的建设目标是与有线网及校本资源的有效融合，做到安全、便捷，在认证上尽量做到统一。现有的校园网无线终端包含不同类型，有计算机、智能手机、平板电脑，还有支持无线网的打印机和监控

7、设备等。这些终端对认证方式的支持情况各不相同，必须考虑为所有终端提供适当的认证方式。根据校园网用户的安全需求，及校内无线终端类型的统计，我们提供以下几种认证方式：1）8021x认证该认证是根据用户帐号和设备，对客户端进行鉴权，只适合于接入用户设备与接入端口间点到点的连接方式。校园网中其中的端口多指用户设备的MAC地址，需要MAC地址处于激活状态，否则无法进行认证。在802.1x认证体系中，必须具备客户端、接入认证交换机和认证服务器三者，才能完成基于端口的访问认证和授权2。8021x可以作为WPA的认证组件，支持AESTKIP数据加密，为用户数据提供加密服务。其突出优点就是简单易行、安全可靠、认

8、证效率高。同时避免了网络认证计费瓶颈的单点故障。且在二层网络上实现用户认证，降低了建网成本，目前基于802.1x的认证技术在校园网络应用比较普遍。2）Web认证Web认证指通过Web protral为用户提供界面认证方式。该认证方案需要首先给用户分配一个地址，用户必须打开Web浏览器试图访问某网站时，认证系统会推出认证界面，在键入正确用户名称和口令后，触发客户端重新发起地址分配请求，提供用户可以访问外网的地址；用户下线时通过客户端发起离线请求。Web认证不需要特殊的客户端软件，可降低网络维护工作量。但其承载在七层协议上，对设备要求较高，且用户连接线差，离线检测困难；用户在访问网络前，不论是TE

9、LNET、FTP还是其它业务，必须使用浏览器进行WEB认证；IP地址的分配在用户认证之前，如果用户不进行上网，则造成地址的浪费2。3）MAC地址认证MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的方法，优点是不需要安装客户端软件，配置命令比较简单，适合学校内部的中小型网络。基于MAC地址认证，需要提供以下功能组件：一是具有MAC地址认证功能的交换机，能够直接对终端进行地址认证。二是使用Radius服务器。如果交换机无法提供MAC地址是否合法，需要使用Radius服务器进行验证。在Windows server2003中，Windows IAS服务能够提供标准的Radius服

10、务，但IAS无法建立MAC帐户，需要Windows的Active Directory（活动目录）服务与IAS服务相结合，即可实现认证和管理MAC帐户功能。具体的MAC地址认证可分为两种方式，白名单和黑名单。白名单即服务器提供并维护一个MAC地址列表，该表中MAC地址是合法可访问网络的。黑名单中则列举了已知的对网络有威胁的设备MAC地址。建议学校可以为无线仪器设备、无线打印机等设置专门的WLAN，采用MAC地址认证，为这些特殊设备提供安全的网络服务。4基础网络安全技巧1）更改路由器默认设置 出厂状态下无线路由器的用户名和密码均为admin，IP地址为192.168.1.1，如不更改极易被篡改，用

11、户首要做的事更改其默认设置。2）IP与MAC地址的绑定小范围内的无线局域网，如办公室、会议室等，无线路由器或AP再分配IP地址时，通常使用DHCP动态分配IP，不法分子只要找到无线网络，很容易通过DHCP自动获得合法IP地址。因此建议关闭DHCP服务，分配固定的IP地址，并将IP地址和客户端MAC地址绑定，这样大大提升网络安全。3）改变服务集标示符并且禁止SSID广播SSID，简称服务集标识符，用户通过它来接入无线网络。这个标识符由通信设备制造商提供，如TP-Link厂家提供的标识符就是TP-LINK。你需要给这些接入点设置一个难以推测的SSID，甚至禁止SSID向外广播。这样你的无线网络就不

12、能通过广播形式来告知用户，但并不代表网络不可用，只是它不会出现在可使用的网络名单中。4）禁用动态主机配置协议该策略迫使黑客去破解你的IP地址，子网掩码和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。5）在不使用网络时将其关闭如果无线网络不需要一天24小时提供服务，可以通过关闭它而减少被黑客利用的机会。对一个系统安全性最大改进措施之一就是直接关闭它，因为没有人可以访问一种并不存在的网络。5结束语无线网络中，威胁无时无处不在，不法分子利用网络技术手段窃取校园网重要数据、影响校园网运行速度。只有运用上述手段，才能有效控制非法用户侵入校园网，维持校园网的健

13、康稳定运行。无论是无线局域网还是有线局域网，都没有绝对安全的网络系统，只有相对的安全。无线网络技术需要不断研究、完善，方可保证校园无线网络的安全性、可靠性，实现校园的现代化网络建设。参考文献:1程胜军，韩桂华.无线局域网安全技术研究J.软件导刊，2008(12)：173175.2刘梅.基于8021X的校园网接入认证安全防御J.中国教育网络，2012(2)：56-57.3唐保存.校园无线网安全现状与解决方案浅析J.长江大学学报（自然版）理工卷，2012,09(1)：132-134.4刘巨涛.网络安全技术在校园网络建设中的应用研究J.内蒙古农业大学学报（社会科学版），2012,14(1)：89-91.5杨加.校园网络安全与对策J.科技信息，2012(13)：45-46.6肖弋.校园无线网安全技术研究J.计算机光盘软件与应用，2012(10):84-85.7林敏，陈少涌.无线校园网:安全和融合是关键J.中国教育网络，2011(05)：67-68.作者简介：王艳歌，女，讲师，研究方向为计算机应用技术，najiajia。电话： 13852118536-