以信息化带动教育的现代化,已经成为广泛共识;基于此,我国教育主管部门始终着力于学校教育信息化建设多年,以网络技术为代表的信息技术在的应用,极大的提高了学校教育的信息化水平,而以无线局域网(WLAN)为代表的新一代网络技术在校园的应用、普及,又将学校教育的信息化水平推上一个新台阶。但校园网络应用在给学校教育、教学提供极大便利的同时,也带来了一些网络安全隐患,特别是在无线网络逐渐遍布校园环境下,网络安全问题又再次夺走了人们的眼球;为促进校园无线网络安全问题的早日解决,笔者欲结合丰富的校园无线网络管理、维护经验,就当前校园无线网络所面临的安全威胁及有效的防范技术做进一步的探讨,旨在保障校园无线网络的安全,为校园信息化工作水平的提高提供有力支持。
一、当前校园无线网络所面临的主要安全威胁
就校园无线网络来说,有线网络中存在的安全威胁在无线网络中基本都存在,且部分安全威胁是有线网络中所没有的,这说明校园无线网络安全问题更为复杂,这就对校园无线网络安全问题的解决提出了挑战,需要我们对校园无线网络安全威胁予以重新认识。一般来说,对于校园无线网络安全威胁的防范,主要集中两个方面,它们分别是访问控制和数据加密,访问控制能从源头杜绝网络安全威胁,数据加密则能进一步保证威胁侵入校园无线网络数据的安全性。就当前校园无线网络所面临安全威胁,概括起来主要有以下几种:
(一)信息重放威胁
信息重放是使用最多的校园无线网络侵入、攻击方式,即通过使用一种利用非法AP(接入点)的方式进行中间人欺骗攻击。如果单纯的使用VPN方式予以阻止、保护,无法彻底、有效避免这种攻击行为,因为其是借助于“中间人”的作用,可以同时对授权客户端和AP双方同时进行欺骗,达到窃取、篡改网络信息的目的。
(二)WEP破解威胁
基于WEP的无线网络安全认证是当前使用最多的网络安全认证协议,而黑客等攻击者完全可以集中捕获AP覆盖范围内的大量甚至所有数据包,再利用当前网上流行的非法软件对加密数据包中的WEP密钥破译分析,获得有效的WEP密钥,而成为AP合法用户。一般来说,校园无线网络速度较快,而发送数据的主机又较多情况下,完全可以在一小时以内破解无线网络的WEP访问密钥。
(三)网络窃听威胁
无线信号是校园无线网络的主要传输媒介,这就使得对校园无线网络资源的访问控制不可能像有线媒介中使用物理网络访问限制的方式来保证网络的安全;即入侵者可以在任意一个校园无线网络覆盖的地方尝试进行网络连接,使用各种方式、方法对校园无线网络进行攻击、窃听而不易被发现,是当前校园无线网络所面临的最大威胁之一。
(四)MAC地址欺骗威胁
基于MAC地址的访问控制,是当前校园无线网络主要接入控制方式之一,也是有效的网络安全威胁防范技术之一;但是也很容易被入侵者利用,即入侵者先通过专门的网络窃听工具来获取校园无线网络的数据包,通过对大量的数据包中MAC地址的分析,获得关于AP允许通信的静态地址池,再利用MAC地址伪装的方式以“合法身份”接入网络。
(五)拒绝服务威胁
拒绝服务威胁是校园无线网络遭受的最多威胁之一,因为无线网络攻击者在开始时都会对校园无线AP进行所谓的泛洪攻击,导致校园无线AP拒绝服务,网线陷入瘫痪状态,然后攻击会采用进一步的攻击方式。另外,攻击者还可能使用移动模式只对校园无事网络中的某个节点进行攻击,使该节点不停的进行数据包转发,导致网络反应变慢,该类攻击也称为“消耗攻击”。
二、无线网络安全技术及其在校园无线网络中的应用
(一)基于802.1x认证的师生端口访问控制技术
802.1x认证技术集合了802.1xRADIUS认证和MAC地址两种认证方式的优点,可以有效防止校园无线网络中非授权用户的接入、访问。其主要由申请者、认证者和认证服务器三者组成,申请者向认证服务器表明身份,认证服务器对申请者开展认证,认证通过对密钥加密后发给申请者后可正常使用网络。
(二)校园无线网络临时用户的安全访问认证
对于校园无线网的临时用户来说,一般来说他们对校园无线网的安全的要求都不高,只需访问互联网、进行常规网络操作即可;对于这一部分临时用户的认证,建议使用DHCP+强制Portal认证方式。
(三)使用加强版的WEP加密技术
针对WEP的密钥破解虽然存在,但是通过改进完全可以有效避免上述情况的发生。由于传统WEP密钥多采用16位、32位加密方式,很容易被当前网络上流行的非法软件在15到30分钟内破译,为了有效增加破译难度、降低被破译的可能性,建议采用支持128位的WEP密钥认证方式,并且建议不要使用设备自带的WEP密钥,大大降低非授权用户侵入校园无线网络的可能。
(四)变更服务集标识符、禁用SSID广播
从校园无线路网络安全角度来说,SSID被认为是一个级别最低的安全认证方式,只相当于一个简单的标志、口令,用户可以使用它建立与接入点之间的连接,从而接入网络;建议及时变更SSID,同时禁用SSID广播功能。
(五)使用专业的无线网络入侵检测系统
专业的无线入侵检测系统的使用,能够有效提高校园无线网络内用户的检测与监控水平,当无线网络遇到入侵时,系统会自动对入侵的类型等做出分析、判断,通过对流量异常的分析、对MAC地址的分析等检测用户的网络行为是否非法,从而判断网络是否遭到入侵,从而发出报警、禁止用户访问网络等。
作者:卞扬 单位:辽宁装备制造职业技术学院机电学院