校園无线网络安全防范浅析.docVIP

PAGE PAGE 1 校园无线网络安全防范浅析 王艳歌 （江苏教育学院运河分院，江苏 邳州，221300） 摘 要：学校信息化建设水平的不断提高，无线网络已成校园网的重要组成部分。本文剖析了校园无线网络存在的问题，给出了无线网络安全防护对策、安全认证方式及基础技巧。 关键字：无线网络 安全认证 校园网 现代笔记本电脑和无线网卡产品价格的逐步降低，越来越多的人使用无线终端产品。教学、科研要求有线网络无法延伸到的场所，如大操场、体育馆、会议室、图书室等，也能够访问校园网，真正使网络渗透到校园每个角落，这些促使校园无线网络踏入校园网。 但无线信道的开放性增加了非法用户和病毒入侵的几率，凭借无线网络接入校园网，对我们的校园网构成威胁。分析校园无线网络存在问题，提出安全防护对策、安全认证方式和简单易行的安全技巧，建设安全的校园无线网络，从而开发应用各类数字化校园应用系统，逐步实现管理、科研、教学的全面数字化。 1校园无线网络存在问题 1）目前无线网络提供常用的三种安全机制：一是基于MAC地址的认证。实施MAC地址访问控制，制作MAC地址列表，但随着用户增加而效率降低。另一方面MAC地址很容易被窃取和伪造，因此安全性较低。二是共享密钥认证，该方法要求接入点和无线设备使用对等保密算法，即用户使用正确密钥即可获得访问权。但在认证时，攻击者可利用加密前后的询问消息，通过数学运算即可获得共享密钥生成的伪随机密码流，从而伪造合法的响应消息通过了认证。 2）部分AP安全设置级别过低，或保持出厂的默认设置，使AP在没有加密或弱加密条件下工作，使得非法用户有机可乘，私自接入到校园网络攻击校园网。 3）无线网络客户端连接设置不正确。部分用户接入校园网线网络同时对外发布无线信号，如不对无线网覆盖范围和连接用户数做限制，则非法用户可以和校园无线客户端建立一个直连网络AdHoc，从而顺利接入校园对校园网产生威胁。 2无线网络安全防护对策 1）做好硬件设备备份 无线网络较有线网络有其特殊性，对于无线网络设备如无线控制器、无线AP等应做好预留备份，出现问题及时更换。对于重要节点如图书馆、网络中心等应提供有线网络备份，同时无线网络的配置也应有备份，以便恢复时快捷便利。 2）建立无线网络监控和记录机制 由于无线网络接入用户具有很大的移动性和变化性，因此做好用户访问行为记录非常重要。在无线网络中加入无线网络控制器，对用户进行严格的权限分配，对无线接入点、交换机进行实时监控。包括对无线用户的统一认证、监控和流量管理，记录用户名、访问时间、IP地址、MAC地址等信息，记录日志定时上传至服务器。通过对日志分析，可以避免一些安全隐患、排除故障和追究相关人员责任。 在无线控制器上进行相应策略设置，对无线数据包进行实时检测，如发现有人入侵及时纪录并做出自动保护响应。 3）无线网络单独规划子网 为保证学校校本资源的安全，需将无线网络与有线网络分开，单独规划子网，将学校网络结构分为无线子网、有线子网、资源子网3部分，如图1所示。 资源子网防火墙 资源子网 防火墙 核心交换机 无线控制器 交换机 交换机 交换机 AP 有线子网 有线子网 有线子网 有线子网 图1 在核心交换机上设置访问控制列表，严格控制各子网间访问，防止无线网络用户对网络资源进行非授权访问。无线用户首先通过认证接入无线网络，继而获得授权，根据授权限访问网内资源。访问控制可以基于以下属性：源IP地址、源MAC地址、目的IP地址、目的MAC地址、协议类型、用户ID、用户时长等[1]。 4）无线网络病毒防护 在无线网络上网须知中明确规定，无线用户必须安装最新的防病毒软件，对无防病毒软件的终端禁止入网。同时在无线控制器上设定策略，对无线终端用户进行准入检查，如未通过禁止访问网络。对校本资源或校园网站服务器的访问权限设定严格的控制策略。无线网络的管理者应培养前瞻性、主动性眼光，提前做好防护措施。 3安全认证方式 无线网络的建设目标是与有线网及校本资源的有效融合，做到安全、便捷，在认证上尽量做到统一。现有的校园网无线终端包含不同类型，有计算机、智能手机、平板电脑，还有支持无线网的打印机和监控设备等。这些终端