校园无线网络安全探讨
校园无线网络安全探讨 摘 要:随着无线局域网络的广泛应用, 无线校园网络已逐渐建设兴起。但是无线局域网技术的自身特点和高等院校校园网应用环境的复杂性对校园网 络的安全提出了新的挑战。本文分析了校园无线网络存在的安全问题,结合校园 无线网络安全建设实际,提出了针对校园无线网络安全防范措施。
关键词:校园无线网络;
802.11标准;
网络安全 一、概述 随着信息技术的发展和教育信息化进程的推进,无线局域网技术在高校校 园网中的应用也逐渐普及。校园无线局域网表现出方便、灵活的组网方式和广泛 的适用环境等优点,由于无线局域网技术其传输介质的开放性,使得数据在通信 传播过程中,极有可能被一些非法的接收设备所接收,这就给入侵者有了可乘之 机。加之校园无线网络自身的特殊性,无线局域网更易遭受黑客攻击和泄密;
此 外由于高校网络本身所具有的应用范围广、使用群体复杂、管理难度大等众多特 点,致使网络本身更具脆弱性,致使网络本身更具脆弱性,因此如何保障高校校 园无线局域网通信的安全,成为使用高校校园无线局域网过程中必须解决的问题。
二、无线网络存在的安全威胁 无线网络一般受到的攻击可分为两大类:
一类是关于网络访问控制、数据机密性保护以及数据完整性保护而进行的 攻击;
一类是无线通信网络的设计、部署以及维护的独特方式而进行的攻击。
对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性 是在传统有线网络的基础上增加了新的安全性威胁。
(一)保密机制的弱点 1、过于简单的加密算法 WEP中的IV向量由于位数太短和初始化复位的设计,经常出现重复使用 现象,从而轻易的被他人所破解。而对于其中的加密的RC4算法,在其头256个 字节数据中的密钥存在弱点,容易被黑客攻破。而且,对明文完整性校验的CRC循环冗余校验码只能确保数据正确传输,并不能保证其是否被修改,因而也会出 现安全的问题。
2、密钥管理复杂性 在WEP使用的密钥的过程中需要接受一个外部密钥管理系统的控制。网络 的安全管理员可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难 以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网 络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大 减少。
3、用户安全意识不强 许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都 是比较简单或脆弱的,经不起黑客的攻击。
(二)类型繁多的网络攻击 1、探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数 据,用于以后进一步攻击网络。通常,软件工具(例如探测器和扫描器)被用于 了解网络资源情况,寻找目标网络、主机和应用中的潜在漏洞。例如,有一种专 门用于破解密码的软件。这种软件是为网络管理员而设计的,管理员可以利用它 们来帮助那些忘记密码的员工,或者发现那些没有告诉任何人自己的密码就离开 了公司的员工的密码。但是,这种软件如果被错误的人使用,就将成为一种非常 危险的武器。
2、访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域 的漏洞,以访问电子邮件帐号、数据库和其他保密信息。
(三)拒绝服务攻击 1、信息泄露威胁与网络欺骗 泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的 电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播 网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具来监 听和分析通信量,从而识别出可以破解的信息。欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的 机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC 地址。
2、用户设备安全威胁 由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥,因此只要 得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。
也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身, 还包括设备上的身份验证信息,如网络的SSID及密钥。[3] 三、无线校园网络安全解决方案 (一)身份认证:对于无线网络的认证可以是基于设备的,通过共享的 WEP密钥来实现 上文中提到的 MAC 地址认证和共享密钥认证都还有一定的安全隐患。
在无线网络进入校园以后, MAC地址认证需要进行维护和数据管理的问题。例 如EAP-TLS、EAP-TTLS、LEAP和PEAP。[4]在无线网络中,设备认证和用户认 证都应该实施,以确保最有效的无线网络安全性。用户认证信息应该通过安全隧 道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如 果设备支持,最好使用EAP-TTLS或PEAP。针对校园多用户群体的特点,可以对 不同用户使用不同的认证方法,以此来确保无线校园网络的安全性。
(二)访问控制:网络用户的访问控制主要通过AAA服务器来实现 这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安 全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口 的识别后才能进行端口访问。
一般来说,无线校园网络可分为境内网和境外(下转第122页)(上接第 120页)网两大类。境内网是指学校内部访问数据和资源的过程,教师和学生可 根据需要随时在校园内访问网络。例如研究成果、研究资料以及论文等都要求有 较好的安全性。这些用户可以采用802.1x 进行认证。也就是先由用户向认证服 务器发出接入申请,在未通过认证的情况下,用户无法访问网络,也无法获取IP 地址。设立证书服务器,以数字证书的形式达到双向认证的目的,能够有效避免 用户接入非法 AP 以及非法用户使用网络,只有在通过双向认证之后,用户方可访问网络,保证校园网资源的安全性。境外网指从学校外部访问数据和资源的 过程,主要是针对来学校进行学术交流、培训等用户,这些用户关注的是能够方 便、快捷的接入网络,已进行相关的文件传输、浏览网站等工作。因此,他们不 能访问校园网内部如学校公共数据库、图书馆期刊全文数据库以及一些学校内部 资源的一些受限资源。如果用户是境外网需要访问校园网以外的数据,要先通过 强制 Portal 认证之后方可访问网络。[5]根据不同网络区分的需要采用不同的认 证方法,将 802.1x 认证和强制 Portal 认证这两种认证方式相结合是解决目前 无线校园网络安全问题的有效途径,并有极强的现实意义。
(三)可用性:无线网络有着与其它网络相同的需要,这就是要求最少的 停机时间 不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能 够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线 网络访问正常运行的重要性。在校园的操场、食堂等场合,如不能给用户提供无 线访问只会给用户带来不便而已。当一个客户端试图与某个特定的AP通讯,而 认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍 了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QOS。另外 应该设置本地认证作为备用,可以在AAA服务器不能提供服务时对无线客户端 进行认证。
(四)审计:审计工作是确定无线网络配置是否适当的必要步骤 保护WLAN的第一步就是完成网络审计,实现对内部网络的所有访问节点 都做审计,确定欺骗访问节点,建立规章制度来约束它们,或者完全从网络上剥 离掉它们。从短期来看,校园网络中心管理员应该使用一些能检测WLAN网络流 量(以及WLAN访问节点)的网络监控产品或工具,例如SnifferTechnologies和 WildPackets厂家的产品。不过,采取的这些措施能达到的安全程度毕竟还是有限 的,因为它要求网络管理员要根据WLAN的信号来检测网络流量,知道网络内部 的数据流量情况。现在,WLAN的提供商们(例如3Com,Avaya,Cisco,Enterasys 和Symbol)将会开发出新的能够检测远程访问节点的网络管理工具。校园网络中 心管理者应该形成一个管理政策,保证网络审计成为一个规范化的行为(至少每 三个月检测一次),来限制具有欺骗访问行为的站点恣意进入WLAN。
四、结论无线网络中的威胁无处不在,再加上校园无线局域网应用环境的多样性, 就必须从多层次、多方位综合考虑,灵活实施多种安全措施,建立各种多元化的 防护机制来确保整个无线局域网的安全。随着无线网络技术的不断发展,无线局 域网安全也会不断改善和升级,加强对无线局域网安全防护技术的研究,不断探 索无线局域网防护技术方可保证校园无线网络的安全性、可靠性,实现校园的现 代化网络建设。