无线校园网面临的安全问题及防范技术

郑文光

摘要：无线网络作为有线网络的扩充，方便了用户随时随地的无线网络接入，得到了学校的青睐，在校园网中得到了广泛的应用。但是，随之而来的校园无线网络安全问题也开始受到了人们越来越多的关注。该文主要从校园无线网络面临的安全问题入手，讨论对应的防范措施，希望能给大家一些启发。

关键词：无线校园网;网络安全;安全防范

中图分类号：TN925.93 文献标识码：A

文章编号：1009-3044（2020）11-0026-02

1概述

无线网络作为有线网络的扩充，具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点，可以突破有线网络节点限制，大大地增加了校园网络信息点，方便在校师生获取信息，进一步提升学校的信息化水平。

无线校园网，就是通过无线局域网（Wireless Local Area Network，简称WLAN）技术，在校园中建立的无线通信网络，使校园的每个角落都处在网络中，形成真正意义上的校园网。无线网络采用共享介质一无线电波作传输介质，因而无线网络相比有线网络而言，面临更多的安全风险和隐患。

2无线校园网面临的安全问题

2.1边界安全威胁

802.11网络很容易受到各种网络威胁的影响，如未经授权的AP用户、中间人攻击、Ad-hoc网络、拒绝服务型攻击等。非法攻击者可以采用暴力PSK密码破解、泛洪攻击、Spoof攻击、WeakⅣ攻击、ARP攻击等多种攻击手段攻击校园无线网络。同时非法设备对于无线网络也是一个严重的安全威胁，比如非法AP带来的信号干扰问题，无线信号传输时很容易受到同频或邻频干扰，从而影响数据的正常传输。钓鱼AP的接入很容易窃取到合法用户的数据，使得用户的资料暴露在攻击者面前。

2.2接入安全威胁

WLAN终端通过无线接入AP，如果不对用户接入作控制和授权管理，可能会造成非法的用户接入校园网络，同时，如果通过无线传输的信息未加密或加密算法不安全，这样的数据就很容易被破解，从而造成信息泄露，给个人或学校造成损失。

2.3业务安全威胁

非法用户在无线校园网覆盖的任何位置，都可以轻松的截获用户的数据，一旦用户数据被捕获，就可能会被窃取或篡改。

3无线网络安全问题的针对性防范措施

没有网络安全就没有国家安全，没有信息化就没有现代化。安全是发展的保障，网络信息安全的重要性不言而喻。网络信息安全的木桶原则指出我们需要对信息均衡、全面地进行保护。针对上述WLAN面临的安全问题，可以采用以下的防范技术。

3.1边界防御安全

为了提高边界防御安全，在AC上配置无线入侵检测系统WIDS和无线干扰防御系统WIPS。无线入侵检测系统WIDS（Wireless Intrusion Detection System）可以检测非法的用户或AP;无线干扰防御系统WIPS（Wireless Intrusion Prevention System）可以保护企业网络和用户不被无线网络上未经授权的设备访问。当AP工作在监控模式或在正常模式下射频开启了空口扫描相关功能，该AP就可以扫描信道，监测周边设备信息并上报给AC进行设备的合法性判断，一旦判定为非法AP、非法STA、非法网桥、非法Ad-hoc和干扰RU。就可以对非法设备进行反制，以阻止非法设备的接人。AP以对应的非法身份发送单播解除认证Deauthentication帧阻止STA与非法AP、Ad-hoc的连接，阻止非法STA与AP的连接。

对于中小型WLAN网络，为了及时发现WLAN网络中受到的攻击，可以启动非法攻擊检测功能，对泛洪攻击、弱向量和欺骗攻击等进行检测，及时发现网络的不安全因素，通过配置WIDS动态黑名单，可以自动将攻击设备加入动态黑名单，设备会丢弃攻击设备发送的所有报文，从而保障网络的安全。通过配置STA地址严格DHCP获取功能、动态ARP检测功能、AP的IPSC功能、泛洪攻击检测功能以及去使能用户侧AP的DHCP信任功能，提高VAP的安全性，从而提升WLAN网络安全。

3.2用户接入安全

用户接入无线网络的合法性和安全性，包括：链路认证，用户接入认证和数据加密。为了提高网络使用的安全性，用户在使用校园网络时要求身份验证。通过有线和无线认证统一，校园网用户使用相同的账号登录有线网络和无线网络，为了防止未经授权的访问，可采用PORTAL认证方式。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。用户上网时，必须在门户网站进行认证，只有认证通过后才可以使用网络资源。PORTAL支持多协议、多渠道访问，安全性高，同时不需要特定客户端软件，在配置设备时，为方便师生使用无线网络，可以开启无感知认证，实现“一次认证，多次登录”。

为了防止用户数据被破解，采用安全可靠的WPA2加密方式保护用户的数据安全。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。

3.3业务安全

为了提高数据在传输过程中的安全性，避免合法用户的业务数据在传输过程中被非法捕获，为教职员工、学生和访客提供不同的SSID，用户根据自己的账号连接对应的无线网络。在这过程中，对用户进行隔离，利用VLAN技术限制用户访问的资源，通过这种方法可以很好地限制用户根据授权访问。

虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来。VLAN（虚拟局域网）技术在不改变物理架构的前提下，可以基于端口划分、IP地址划分、MAC地址划分、网络协议划分和按策略划分虚拟局域网或业务数据，达到二层隔离三层互通或二三层都隔离。通过用户隔离和安全策略应用，可以很好地限制用户的访问。

4结束语

无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点，使得攻击者能够很容易的进行窃听和数据篡改。面临的主要威胁有边界安全威胁、接入安全威胁和业务安全威胁。在制定严格的安全制度和保证物理安全的基础上，通过综合运用无线入侵检测系统WIDS和无线干扰防御系统WIPS，实施可靠的安全策略和用户隔离可以很好地提高无线校园网的安全性。