大学WLAN组建及安全对策研讨.docVIP

大学WLAN组建及安全对策研讨 摘要：介绍了WLAN的发展与应用，分析了WALN的安全隐患。针对高校的实际条件，提出一种结合物理防范、加密处理、访问控制、入侵检测等多技术融合的安全策略。实践表明，该安全策略能增强高校WLAN的安全性能，效果良好。 关键词：WLAN高校安全多技术 1WLAN的概述 WLAN（WirelessLocalAreaNetworks，无线局域网）是指利用无线信号进行近距离数字通信的一种局域组网技术[1]。WLAN能提供例如以太网和令牌网等传统技术的所有功能和优势，而且不受线缆限制，具有得天独厚的优势。 传统局域网，或如蜘蛛网般线缆泛滥成灾，极大影响美观和使用，或在墙壁、地上开凿布线区域，需要考虑的问题较多，工作繁琐。对于临时组网或不方便布线的应用场合，有线网显得捉襟见肘。而WLAN组网快捷、灵活、方便，只需要安装配置AP（AccessPoint，接入点）即可上网。 2高校WLAN的安全隐患 WLAN具有有线网无法比拟的优势，产品和技术都比较成熟，因此高校中WLAN的发展如火如荼。例如，办公室、学生宿舍、实验室等场所都纷纷建立了WLAN。 当然，WLAN并非完美，它给用户带来便利的同时，也存在巨大的安全隐患。由于种种原因，造成WLAN一直饱受安全性不高的非议。据美国相关机构的调查显示，无线网络的安全问题是用户考虑的首要问题。在高校WLAN中，以办公室为例，最主要的安全隐患有如下几方面。 第一，蹭网。有的用户为了达到不交网费就上网的目的，通过直接登陆或破解密码等方法，连接到WLAN免费上网，也就是俗称的蹭网。由于无线宽带的实际流量非常有限，蹭网行为很容易影响合法用户的正常使用。由于高校WLAN用户的安全意识不高，很多网络没有登陆密码，或采用默认密码，或采用的加密算法薄弱，使得非法用户通过功能强大的蹭网卡和相应破解软件，很容易成功登陆到WLAN。 第二，窃取文件。办公室的网络中，往往有多台计算机、打印机、传真机共享。非法用户连接到WLAN后，就可以免费使用这些硬件资源，并窃取如学生信息、教师信息、考试试卷等文件，从而造成难以估计的严重后果。其实，即使是大企业，如果对WLAN把关不严，同样会酿成巨大灾难。如美国黑客破解了零售业巨头TJX公司的WLAN，从中窃取了数百万个信用卡号码、密码和至少4500万份客户记录，给该公司带来了灭顶之灾[2]。 第三，攻击和投放病毒。非法用户登陆到高校WLAN后，可以通过地址解析ARP、拒绝服务DoS等方式向网络中的合法用户发起攻击，使得合法用户的正常上网出现困难。同时，非法用户还可以借助该WLAN窥探其他网络，或以其为跳板向别的网络发起攻击。另外，非法用户还可以向网络中投放木马、病毒，极大地威胁合法计算机的安全。 第四，伪装WLAN。非法用户掌握某WLAN的信息后，可以通过大功率AP加上信号放大器建立一个冒牌的WLAN，诱导用户登陆，监控记录用户的输入情况，或者引导用户登陆到钓鱼网站，从中窃取用户的秘密。这种方式也叫蜜罐攻击，是黑客惯用的手法，国内外无数用户的信用卡、邮箱、股票、游戏等账号、密码就是这样被窃取的。 3多技术融合的高校WLAN安全策略 通过前面的分析可知，WLAN是不可逆转的发展潮流，也存在巨大的安全隐患。那么，如何根据高校的实际条件，设计符合需要的安全策略呢？笔者认为，WLAN的安全隐患来自多个方面，应该多管齐下，通过多种技术融合，才能打造健康安全的WLAN。 第一，物理防范。一般WLAN的室内传播距离是100米，并受到墙壁等因素的影响。如果AP安装在门口或者窗边，那么黑客很容易通过高灵敏度天线从路边、楼宇中检测到信号并发起攻击。因此，对AP的安装位置要特别注意。同时，不同的硬件设备能提供的功能并不一样，用户应该多进行比较，采用安全级别较高的产品，而不应该为贪图便宜从网上购买只具备基本通信功能的山寨产品。 第二，加密处理。首先，用户必须增强意识，对AP设定比较复杂的密码，例如大小写字母、数字、特殊字符相结合的密码，并定期更新密码，而不应该使用空密码、默认密码、简单的密码。其次，WLAN的连接也必须设置密码。如果密码比较复杂且位数较长，那么黑客通过穷举法很可能需要几十年甚至几百年的时间。实际上，笔者进行调查表明，高校WLAN用户大多觉得太麻烦而不愿意设置，给入侵者留下可乘之机。 再次，采用高级加密算法。常用的WEP协议采用的是RC4流密码算法，其种子密钥由初始化向量IV和原始密钥Key组成。假设采用相同的IV和Key，则对明文P1和P2加密后的数据流分别为C1=P1⊕RC4(IV，Key)和C2