校园无线网络安全威胁与应对.docVIP

校园无线网络安全威胁与应对 　　摘要：无线网络在21世纪得到了迅猛的发展，但是由于无线传输介质的特点，无线网络也存在访问性和保密性的一些问题。面对诸多的网络安全威胁，管理者可以选择多种安全措施，构筑立体的安全防御体系，保护校园无线网络。 　　关键词：无线网络；安全；RSN；802.1X 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）29-6527-03 　　1 概述 　　二十一世纪以来，中国的计算机网络获得了迅猛的发展。网络带宽不断增大，覆盖范围越来越广，网络的传输数据能力不断增强，接入用户数量也呈几何级数暴增。计算机宽带技术创新所带来的宽带产品线越来越宽，性能也有本质的提高。国产网络产品产业链初步完善，由计算机网络承载的各种网络应用如电子商务、云计算、物联网、电子政务、信息平台、网络游戏等产业蓬勃发展。与此同时，随着我国教育行业信息化的不断发展，计算机网络在校园内也逐渐普及。IEEE802.11系列标准的制定与持续完善，为无线网络发展奠定了基础。作为21世纪计算机网络的发展方向之一，无线网络获得强大的发展动力。无线网络不仅在公共场合，如机场、商场超市、城市广场、酒店等实现了网络信号的覆盖和接入，而且在越来越多的校园里，也实现了大面积的无线接入服务。计算机无线网络为学生们创造时尚前沿、个性飞扬、魅力四射的学习生活；为教师们提供了方便、快捷的网络接入服务。师生们摆脱了网络电缆的束缚，能随时随地、随心所欲在校园里上网。无线网络极大地拓展了校园师生们的自由度。 　　然而，世上的事物总是很像一把双刃剑，计算机无线网络在给师生们带来便利的同时，也带来了安全威胁。无线网络使用无线电磁波作为信息的载体，网络信号非常容易被窃听和干扰，这是由电磁波的传播特性所决定的。专家们指出，无线网络所面临的安全威胁将远超有线网络。对于无线网络安全性的担忧，已经成为无线网络发展的最大阻力。 　　2 无线网络面临的主要安全威胁 　　无线网络使用电磁波作为信息的载体，在电磁波覆盖的范围内，任何接入的用户，都有可能对无线网络进行窃听和干扰。据RSA数据安全有限公司（即EMC安全产品分公司，是全球著名的网络安全服务供应商）在英国的调查发现，百分之六十七的无线网络没有任何安全措施。另有相当一部分无线网络，虽然实施了一些安全防范措施，但是在面对网络攻击的时候，显得极其脆弱。 　　无线网络（WAN）所面临的安全威胁主要有以下几类。 　　2.1 无线链路容易侵入 　　无线网络遵守的802.11标准规定了两种无线链路的身份认证，开放式系统身份认证与共享密钥身份认证。开放式系统身份认证允许任何用户接入到无线网络中，不提供对传输数据的保护，所有用户都可以通过该认证。共享密钥身份认证需要接入方和AP之间配置同享的密钥，接入者使用密钥将一段随机字符串加密并发送给AP，接受AP的认证。两种身份认证方式，前者可以说毫无安全性可言；后者由于共享密钥的保密性差及容易被破解的原因，其安全性能也不足以信赖。 　　任何稍具一些黑客知识人，只需要很少的装备：一块无线网卡、一个黑客破解密码软件，就可以侵入到网络中，甚至获取一定权限，窃取敏感信息。 　　2.2 DHCP无赖攻击 　　大部分的无线网络的STA（Station，接入站点）IP地址参数是自动获取的，由合法的DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）服务器提供。入侵者如果启用了非法DHCP服务，无线用户将有可能接受非法DHCP服务器提供的IP地址参数。这样，由于使用了错误的IP地址参数，合法用户将无法登陆无线网络，甚至于将敏感数据发送给入侵者，其结果将是灾难性的。DHCP无赖攻击的影响非常坏。这种攻击未必总是由入侵者发起，不明白网络原理或者粗心大意用户，可能在无意中发起了这种攻击。 　　2.3 MAC地址伪装 　　STA（Station，接入站点）向AP（Access Point，接入点）发起链路认证，所使用的凭据就是自身的MAC地址。无线网络可以使用MAC地址过滤的方式，将未经认证的MAC地址过滤掉，从而使得那些未经审查的STA无法接入到无线网络中。但是，STA的MAC地址可以使用一些第三方软件进行修改。入侵者如果能够获取到合法MAC地址信息，那么就可以据此更改自己的MAC地址，从而通过MAC地址的审查，获取对无线网络的访问权限。MAC地址伪装使得那些希望仅仅通过设置MAC地址过滤来防范网络攻击的努力变得毫无价值。 　　2.4 拒绝服务攻击（DOS） 　　攻击者恶意占用大量的无线网络资源，导致合法用户无法访问网络，这就是拒绝服务攻击。由于无线网络传输介质（即无线电磁波）的特性，无线网络非常容易受到拒绝服务攻击。攻击