大學WLAN組建及安全對策研討

導語：大學WLAN組建及安全對策研討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：介紹了wlan的發展與應用，分析了WALN的安全隱患。針對高校的實際條件，提出一種結合物理防范、加密處理、訪問控制、入侵檢測等多技術融合的安全策略。實踐表明，該安全策略能增強高校WLAN的安全性能，效果良好。

關鍵詞：WLAN高校安全多技術

1WLAN的概述

WLAN（WirelessLocalAreaNetworks，無線局域網）是指利用無線信號進行近距離數字通信的一種局域組網技術[1]。WLAN能提供例如以太網和令牌網等傳統技術的所有功能和優勢，而且不受線纜限制，具有得天獨厚的優勢。

傳統局域網，或如蜘蛛網般線纜泛濫成災，極大影響美觀和使用，或在墻壁、地上開鑿布線區域，需要考慮的問題較多，工作繁瑣。對于臨時組網或不方便布線的應用場合，有線網顯得捉襟見肘。而WLAN組網快捷、靈活、方便，只需要安裝配置AP（AccessPoint，接入點）即可上網。

2高校WLAN的安全隱患

WLAN具有有線網無法比擬的優勢，產品和技術都比較成熟，因此高校中WLAN的發展如火如荼。例如，辦公室、學生宿舍、實驗室等場所都紛紛建立了WLAN。

當然，WLAN并非完美，它給用戶帶來便利的同時，也存在巨大的安全隱患。由于種種原因，造成WLAN一直飽受安全性不高的非議。據美國相關機構的調查顯示，無線網絡的安全問題是用戶考慮的首要問題。在高校WLAN中，以辦公室為例，最主要的安全隱患有如下幾方面。

第一，蹭網。有的用戶為了達到不交網費就上網的目的，通過直接登陸或破解密碼等方法，連接到WLAN免費上網，也就是俗稱的蹭網。由于無線寬帶的實際流量非常有限，蹭網行為很容易影響合法用戶的正常使用。由于高校WLAN用戶的安全意識不高，很多網絡沒有登陸密碼，或采用默認密碼，或采用的加密算法薄弱，使得非法用戶通過功能強大的蹭網卡和相應破解軟件，很容易成功登陸到WLAN。

第二，竊取文件。辦公室的網絡中，往往有多臺計算機、打印機、傳真機共享。非法用戶連接到WLAN后，就可以免費使用這些硬件資源，并竊取如學生信息、教師信息、考試試卷等文件，從而造成難以估計的嚴重后果。其實，即使是大企業，如果對WLAN把關不嚴，同樣會釀成巨大災難。如美國黑客破解了零售業巨頭TJX公司的WLAN，從中竊取了數百萬個信用卡號碼、密碼和至少4500萬份客戶記錄，給該公司帶來了滅頂之災[2]。

第三，攻擊和投放病毒。非法用戶登陸到高校WLAN后，可以通過地址解析ARP、拒絕服務DoS等方式向網絡中的合法用戶發起攻擊，使得合法用戶的正常上網出現困難。同時，非法用戶還可以借助該WLAN窺探其他網絡，或以其為跳板向別的網絡發起攻擊。另外，非法用戶還可以向網絡中投放木馬、病毒，極大地威脅合法計算機的安全。

第四，偽裝WLAN。非法用戶掌握某WLAN的信息后，可以通過大功率AP加上信號放大器建立一個冒牌的WLAN，誘導用戶登陸，監控記錄用戶的輸入情況，或者引導用戶登陸到釣魚網站，從中竊取用戶的秘密。這種方式也叫蜜罐攻擊，是黑客慣用的手法，國內外無數用戶的信用卡、郵箱、股票、游戲等賬號、密碼就是這樣被竊取的。

3多技術融合的高校WLAN安全策略

通過前面的分析可知，WLAN是不可逆轉的發展潮流，也存在巨大的安全隱患。那么，如何根據高校的實際條件，設計符合需要的安全策略呢？筆者認為，WLAN的安全隱患來自多個方面，應該多管齊下，通過多種技術融合，才能打造健康安全的WLAN。

第一，物理防范。一般WLAN的室內傳播距離是100米，并受到墻壁等因素的影響。如果AP安裝在門口或者窗邊，那么黑客很容易通過高靈敏度天線從路邊、樓宇中檢測到信號并發起攻擊。因此，對AP的安裝位置要特別注意。同時，不同的硬件設備能提供的功能并不一樣，用戶應該多進行比較，采用安全級別較高的產品，而不應該為貪圖便宜從網上購買只具備基本通信功能的山寨產品。

第二，加密處理。首先，用戶必須增強意識，對AP設定比較復雜的密碼，例如大小寫字母、數字、特殊字符相結合的密碼，并定期更新密碼，而不應該使用空密碼、默認密碼、簡單的密碼。其次，WLAN的連接也必須設置密碼。如果密碼比較復雜且位數較長，那么黑客通過窮舉法很可能需要幾十年甚至幾百年的時間。實際上，筆者進行調查表明，高校WLAN用戶大多覺得太麻煩而不愿意設置，給入侵者留下可乘之機。

再次，采用高級加密算法。常用的WEP協議采用的是RC4流密碼算法，其種子密鑰由初始化向量IV和原始密鑰Key組成。假設采用相同的IV和Key，則對明文P1和P2加密后的數據流分別為C1=P1⊕RC4(IV，Key)和C2=P2⊕RC4(IV，Key)，C1⊕C2=[P1⊕RC4(IV，Key)]⊕[P2⊕RC4(IV，Key)]=P1⊕P2。也就是說，如果知道P1，則P2就可以完全獲得。根據該思路設計出相應的攻擊算法，可以在對100萬個數據包分析即可破解128bit的密鑰[3]。

當前，在GPU浮點運算能力日益強大、云計算平臺快速發展的今天，黑客的計算能力和破解能力獲得很大提升，對加密算法提出了更高的要求。例如，使用增強型的WPA2對抵御黑客的進攻，目前還是比較理想的。

第三，訪問控制。首先，WLAN都有一個SSID（服務區標識符），通過SSID可以識別不同的AP[4]。為了對訪問網絡進行區別限制，應該對AP設置不同的SSID，并要求用戶計算機出示正確的SSID才能訪問AP。同時禁止SSID廣播，避免黑客掌握其編碼信息。其次，對MAC（物理地址）進行過濾。由于每個網卡都有一個唯一的物理地址，如果對訪問網絡的網卡MAC進行限制，就能有效避免非法用戶的連接。此時，只需要啟用AP的MAC白名單規則，并將合法用戶的MAC地址存入MAC列表即可。再次，禁用DHCP（動態主機設置協議）并啟用IP過濾，這樣，只有了解WLAN的IP設置規則并且IP設置正確的特定計算機才能訪問。

第四，網絡結構控制。為了進一步提高安全性，在網絡結構上，可以對核心網和外圍網進行劃分，例如存儲機密信息的關鍵計算機就應該放在核心網中，并加強訪問限制。同時，對各計算機的共享等隱患進行嚴格審查。如果有條件，還應該采用VPN、防火墻的結構，這樣能極大提高安全性能[5]。

第五，入侵檢測。例如，不定期檢測高校WLAN的AP，如果發現可疑的就通過網絡監測儀和相關軟件進行物理定位，端掉非法AP。再如，通過檢測網絡中的數據流量，檢測AP的連接情況，通過數據挖掘技術分析，發現潛在的入侵隱患。

4結束語

針對高校的實際條件，將物理防范、加密處理、訪問控制、網絡結構控制、入侵檢測等多技術融合，為高校WLAN的組建和管理提供安全保障。實踐表明，該安全策略效果良好。