校园无线网络安全探析.docVIP

校园无线网络安全探讨 　　摘　要：随着无线局域网络的广泛应用, 无线校园网络已逐渐建设兴起。但是无线局域网技术的自身特点和高等院校校园网应用环境的复杂性对校园网络的安全提出了新的挑战。本文分析了校园无线网络存在的安全问题，结合校园无线网络安全建设实际,提出了针对校园无线网络安全防范措施。 关键词：校园无线网络；802.11标准；网络安全 中图分类号：G 文献标识码：A 文章编号：1009-0118（2012）-06-0-02 一、概述 随着信息技术的发展和教育信息化进程的推进，无线局域网技术在高校校园网中的应用也逐渐普及。校园无线局域网表现出方便、灵活的组网方式和广泛的适用环境等优点，由于无线局域网技术其传输介质的开放性，使得数据在通信传播过程中，极有可能被一些非法的接收设备所接收，这就给入侵者有了可乘之机。加之校园无线网络自身的特殊性，无线局域网更易遭受黑客攻击和泄密；此外由于高校网络本身所具有的应用范围广、使用群体复杂、管理难度大等众多特点，致使网络本身更具脆弱性，致使网络本身更具脆弱性，因此如何保障高校校园无线局域网通信的安全，成为使用高校校园无线局域网过程中必须解决的问题。 二、无线网络存在的安全威胁 无线网络一般受到的攻击可分为两大类： 一类是关于网络访问控制、数据机密性保护以及数据完整性保护而进行的攻击；一类是无线通信网络的设计、部署以及维护的独特方式而进行的攻击。 对于第一类攻击在有线网络的环境下也会发生。可见，无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。 （一）保密机制的弱点 1、过于简单的加密算法 WEP中的IV向量由于位数太短和初始化复位的设计，经常出现重复使用现象，从而轻易的被他人所破解。而对于其中的加密的RC4算法，在其头256个字节数据中的密钥存在弱点，容易被黑客攻破。而且，对明文完整性校验的CRC循环冗余校验码只能确保数据正确传输，并不能保证其是否被修改，因而也会出现安全的问题。 2、密钥管理复杂性 在WEP使用的密钥的过程中需要接受一个外部密钥管理系统的控制。网络的安全管理员可以通过外部管理系统控制方式减少IV的冲突数量，使无线网络难以被攻破。但由于这种方式的过程非常复杂，且需要手工进行操作，所以很多网络的部署者为了方便，使用缺省的WEP密钥，从而使黑客对破解密钥的难度大大减少。 3、用户安全意识不强 许多用户安全意识淡薄，没有改变缺省的配置选项，而缺省的加密设置都是比较简单或脆弱的，经不起黑客的攻击。 （二）类型繁多的网络攻击 1、探测式攻击实际上是信息采集活动，黑客们通过这种攻击搜集网络数据，用于以后进一步攻击网络。通常，软件工具（例如探测器和扫描器）被用于了解网络资源情况，寻找目标网络、主机和应用中的潜在漏洞。例如，有一种专门用于破解密码的软件。这种软件是为网络管理员而设计的，管理员可以利用它们来帮助那些忘记密码的员工，或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但是，这种软件如果被错误的人使用，就将成为一种非常危险的武器。 2、访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞，以访问电子邮件帐号、数据库和其他保密信息。 （三）拒绝服务攻击 1、信息泄露威胁与网络欺骗 泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式，它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息，只要能够发现任何明文信息，攻击者仍然可以使用一些网络工具来监听和分析通信量，从而识别出可以破解的信息。欺骗这种攻击手段是通过骗过网络设备，使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的，最简单的方法是重新定义无线网络或网卡的MAC地址。 2、用户设备安全威胁 由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥，因此只要得到了一块无线网网卡，攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说，如果终端用户的笔记本电脑被盗或丢失，其丢失的不仅仅是电脑本身，还包括设备上的身份验证信息，如网络的SSID及密钥。[3] 三、无线校园网络安全解决方案 （一）身份认证：对于无线网络的认证可以是基于设备的，通过共享的WEP密钥来实现 上文中提到的 MAC 地址认证和共享密钥认证都还有一定的安全隐患。在无线网络进入校园以后， MAC地址认证需要进行维护和数据管理的问题。例如EAP-TLS、EAP-TTLS、LEAP和PEAP。[4]在无线网络中，设备认证和用户认证都应该实施，以确保最有效的无线网络安全性。用户认证信息应该通过安全隧道传输，从而保证用户认证信息交换是加密的。因此，对