校園無線網絡安全

前言：本站為你精心整理了校園無線網絡安全范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

校園網中“教師人手一機”和學生自帶筆記本等無線設備不斷增加，很多學校都已經把無線校園網的建設納入到校園網改造和升級范圍內。但是，從許多已經部署無線網絡的學校的方案中不難看出，大都存在安全問題。

*從忽視到重視的轉變

學校布設無線局域網絡的需求一般包括為：“教師或者學生安裝無線網卡，進行簡單的設置就可以在教學區和辦公區漫游使用，在整個校園內連接到校園網上，從辦公區到教學樓、從操場到主席臺都可以實現移動漫游連接互聯網。”

非法授權的用戶可利用無線局域網（WLAN）的漏洞，入侵到有線局域網當中，去竊聽或干擾信息非常容易。

早期的無線網絡標準安全性并不完善，技術上存在一些安全漏洞，主要提到的安全問題也是針對802.11b協議搭建的WLAN而言。

802.11b存在著加密和頻率問題，例如：802.11b采用WEP，在鏈路層進行RC4對稱加密，還比如802.11b采用的2.4GHz頻率和藍牙設備、微波爐等很多設備相同，這樣很容易造成相互干擾。

*WLAN面臨的威脅

對WLAN來說，其安全性主要體現在訪問控制和數據加密兩個方面。可以說，所有有線網絡存在的安全威脅和隱患都同樣存在。同時，任何不可信的無線設備可以在信號覆蓋范圍內進行網絡接入的嘗試，一定程度上暴露了網絡的存在。

同時，外部人員可以通過無線網絡繞過防火墻，對學校內部數據非法存取；內部教師和學生可以私自設置無線網卡，使用例如P2P等方式與外界通信，大量占據可用帶寬。在實際工作中，有可能遇到的威脅主要包括以下幾個方面：

信息重放

在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為，即使采用了VPN等保護措施也難以避免。中間人攻擊則對授權客戶端和AP進行雙重欺騙，進而對信息進行竊取和篡改。

WEP破解

現在互聯網上已經很普遍的存在著一些非法程序，能夠捕捉位于AP信號覆蓋區域內的數據包，收集到足夠的WEP弱密鑰加密的包，并進行分析以恢復WEP密鑰。

根據監聽無線通信的機器速度、WLAN內發射信號的無線主機數量，最快可以在兩個小時內攻破WEP密鑰。

網絡竊聽

一般說來，大多數網絡通信都是以明文（非加密）格式出現的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解（讀取）通信。由于入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡，所以，這種威脅已經成為無線局域網面臨的最大問題之一。

MAC地址欺騙

通過上面提到的網絡竊聽工具獲取數據，從而進一步獲得AP允許通信的靜態地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網絡。

拒絕服務

攻擊者可能對AP進行泛洪攻擊，使AP拒絕服務，這是一種后果最為嚴重的攻擊方式。此外，對移動模式內的某個節點進行攻擊，讓它不停地提供服務或進行數據包轉發，使其能源耗盡而不能繼續工作，通常也稱為能源消耗攻擊。

*實現目標與協議標準

為了保護無線網路免于攻擊入侵的威脅，用戶主要應該在提高使用的安全性、達成通信數據的保密性、完整性、使用者驗證及授權等方面予以改善，實現最基本的安全目的。

提供接入控制：驗證用戶，授權他們接入特定的資源，同時拒絕為未經授權的用戶提供接入；

確保連接的保密與完好：利用強有力的加密和校驗技術，防止未經授權的用戶竊聽、插入或修改通過無線網絡傳輸的數據；

防止拒絕服務（DoS）攻擊：確保不會有用戶占用某個接入點的所有可用帶寬，從而影響其他用戶的正常接入。

*經驗分享

如何選擇一種適合學校現在與未來使用的無線安全措施？它如何納入整體安全政策之中？筆者經歷過很多無線校園網的工程，感觸如下：

1.結合現有設備

WLAN由于易于架設，要考慮到在學校中的普及速度。如一開始只有一臺AP及10個Client，但沒多久就成長到20臺AP及500個Client！只有一臺AP之情況下的安全措施與30臺AP的安全措施是完全不同的。若所采用的安全措施不能隨著網絡快速成長則屬浪費。

一般情況下，假設學校已經具有如入侵偵測系統(IntrusionDetectionSystem)、防火墻、RADIUS等系統。在做WLAN安全措施時，若能利用這些現有資源最適合，如802.1x/EAP與RADIUS的結合。

2.要有預見性

新建校園網絡可以參考市面已有的技術：如VPN、防火墻、IDS、以及802.1x/EAP等標準，大方向上應先決定使用企業級AP或WLANGateway。

企業級AP能將安全策略推到AP而達Client，而且適合搭配802.1x/EAP，亦即從第二層就開始作防護。若使用低階AP搭配Gateway，則只能依靠Gateway的VPN，二層信息暴露無疑。

3.防患于未然

為發現未授權AP的出現，應定期開展AP搜尋，主動找尋并移除這些AP有助于增強網絡之安全性。定期檢查AP的設定參數以確定未被改變而成為安全漏洞。某些WLANGateway，或某些硬件或軟件都有自動的RogueAP偵測功能，可大大簡化工作負擔。

從忽視到重視校園無線網絡的安全思考

2006年9月19日9:26來源：賽迪網作者：王亞明網友評論0條進入論壇

[被屏蔽廣告]

從已經部署無線網絡的學校的方案中不難看出，不少存在安全問題。最重要的問題是非法授權的用戶可利用無線局域網的漏洞，入侵到有線局域網當中，去竊聽或干擾信息。

作者簡介

王亞明網絡安全專家，擁有10多年的高校網絡課程培訓經驗，對無線校園網有多年的部屬經驗。目前主要研究方向是：IPV6安全和網絡安全架構。

校園網中“教師人手一機”和學生自帶筆記本等無線設備不斷增加，很多學校都已經把無線校園網的建設納入到校園網改造和升級范圍內。但是，從許多已經部署無線網絡的學校的方案中不難看出，大都存在安全問題。

*從忽視到重視的轉變

學校布設無線局域網絡的需求一般包括為：“教師或者學生安裝無線網卡，進行簡單的設置就可以在教學區和辦公區漫游使用，在整個校園內連接到校園網上，從辦公區到教學樓、從操場到主席臺都可以實現移動漫游連接互聯網。”

非法授權的用戶可利用無線局域網（WLAN）的漏洞，入侵到有線局域網當中，去竊聽或干擾信息非常容易。

早期的無線網絡標準安全性并不完善，技術上存在一些安全漏洞，主要提到的安全問題也是針對802.11b協議搭建的WLAN而言。

802.11b存在著加密和頻率問題，例如：802.11b采用WEP，在鏈路層進行RC4對稱加密，還比如802.11b采用的2.4GHz頻率和藍牙設備、微波爐等很多設備相同，這樣很容易造成相互干擾。

*WLAN面臨的威脅

對WLAN來說，其安全性主要體現在訪問控制和數據加密兩個方面。可以說，所有有線網絡存在的安全威脅和隱患都同樣存在。同時，任何不可信的無線設備可以在信號覆蓋范圍內進行網絡接入的嘗試，一定程度上暴露了網絡的存在。

同時，外部人員可以通過無線網絡繞過防火墻，對學校內部數據非法存取；內部教師和學生可以私自設置無線網卡，使用例如P2P等方式與外界通信，大量占據可用帶寬。在實際工作中，有可能遇到的威脅主要包括以下幾個方面：

信息重放

在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為，即使采用了VPN等保護措施也難以避免。中間人攻擊則對授權客戶端和AP進行雙重欺騙，進而對信息進行竊取和篡改。

WEP破解

現在互聯網上已經很普遍的存在著一些非法程序，能夠捕捉位于AP信號覆蓋區域內的數據包，收集到足夠的WEP弱密鑰加密的包，并進行分析以恢復WEP密鑰。

根據監聽無線通信的機器速度、WLAN內發射信號的無線主機數量，最快可以在兩個小時內攻破WEP密鑰。

網絡竊聽

一般說來，大多數網絡通信都是以明文（非加密）格式出現的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解（讀取）通信。由于入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡，所以，這種威脅已經成為無線局域網面臨的最大問題之一。

MAC地址欺騙

通過上面提到的網絡竊聽工具獲取數據，從而進一步獲得AP允許通信的靜態地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網絡。

拒絕服務

攻擊者可能對AP進行泛洪攻擊，使AP拒絕服務，這是一種后果最為嚴重的攻擊方式。此外，對移動模式內的某個節點進行攻擊，讓它不停地提供服務或進行數據包轉發，使其能源耗盡而不能繼續工作，通常也稱為能源消耗攻擊。

*實現目標與協議標準

為了保護無線網路免于攻擊入侵的威脅，用戶主要應該在提高使用的安全性、達成通信數據的保密性、完整性、使用者驗證及授權等方面予以改善，實現最基本的安全目的。

提供接入控制：驗證用戶，授權他們接入特定的資源，同時拒絕為未經授權的用戶提供接入；

確保連接的保密與完好：利用強有力的加密和校驗技術，防止未經授權的用戶竊聽、插入或修改通過無線網絡傳輸的數據；

防止拒絕服務（DoS）攻擊：確保不會有用戶占用某個接入點的所有可用帶寬，從而影響其他用戶的正常接入。

*經驗分享

如何選擇一種適合學校現在與未來使用的無線安全措施？它如何納入整體安全政策之中？筆者經歷過很多無線校園網的工程，感觸如下：

1.結合現有設備

WLAN由于易于架設，要考慮到在學校中的普及速度。如一開始只有一臺AP及10個Client，但沒多久就成長到20臺AP及500個Client！只有一臺AP之情況下的安全措施與30臺AP的安全措施是完全不同的。若所采用的安全措施不能隨著網絡快速成長則屬浪費。

一般情況下，假設學校已經具有如入侵偵測系統(IntrusionDetectionSystem)、防火墻、RADIUS等系統。在做WLAN安全措施時，若能利用這些現有資源最適合，如802.1x/EAP與RADIUS的結合。

2.要有預見性

新建校園網絡可以參考市面已有的技術：如VPN、防火墻、IDS、以及802.1x/EAP等標準，大方向上應先決定使用企業級AP或WLANGateway。

企業級AP能將安全策略推到AP而達Client，而且適合搭配802.1x/EAP，亦即從第二層就開始作防護。若使用低階AP搭配Gateway，則只能依靠Gateway的VPN，二層信息暴露無疑。

3.防患于未然

為發現未授權AP的出現，應定期開展AP搜尋，主動找尋并移除這些AP有助于增強網絡之安全性。定期檢查AP的設定參數以確定未被改變而成為安全漏洞。某些WLANGateway，或某些硬件或軟件都有自動的RogueAP偵測功能，可大大簡化工作負擔。