摘要:近年来,校园无线局域网的需求越来越多,它在为广大师生的教学及生活提供了极大便利的同时,也带来了非常多的安全隐患。基于此,文章对当前校园无线网常见的安全问题进行分析,并提出了有关解决方案,仅供参考。
关键词:校园无线网;安全威胁;加密认证
伴随着移动互联的飞速发展,笔记本电脑、平板电脑以及各式各样的智能手机等移动互联设备的普及,同时各大企业加大力度研发的线上教学软件广泛应用(例如腾讯课堂、云班课以及慕课、微课等多种形式的线上教学软件或者系统),使得高校师生对于校园内的无线网络的需求程度大幅度提高,原有有线网络已经无法满足现阶段各高校师生的教育教学。与有线网络相比,无线网络具有可扩展性强、使用便捷、移动性高等优势使得无线网络成为高校师生教育教学上必不可少的硬件资源。那么如何能够在办公楼、教学楼、实验室、学生宿舍以及学校的公共区域内提供高速的、稳定的无线网络,不仅能够满足学生的日常学习、生活的需要,同时还要满足计算机等工科院系的实验需求,正是当前高校在构建校园网络的难点之一。
1构建校园无线网络面临的安全问题
与有线网络相比,无线网络(WLAN)不需要复杂的布线工程,同时无线网络设备安装更加便捷;与此同时,因为无线网络具有扩展性强和移动性强等特点,在实施网络规划布局时的合理性将更高,设备投入成本也可以降到最低并且能够随时扩展。由于无线网络是采取公用的无线信号方式来进行信号传播的,于是网络用户在使用无线网络享受便捷服务的同时也面临着非法窃听和信息篡改等隐患与风险,并且需要防范的网络安全问题还有来自各地的黑客对无线网络服务器的攻击。
1.1非法窃听。黑客常用的攻击技术手段———非法窃听,无论是在传统的有线网络中还是在无线网络中都会遭受到的攻击手段,由于无线网络开放的特点,使得非法窃听在无线网络攻击频率更为严重。在无线网络的环境下,任意人员都能通过移动设备连接无线AP所释放的无线信号加入网络中进而窃听到其他用户的信息。而在校园无线网络的环境下,违法者会使用inSSIDer等WLAN发现工具软件在其所处的或者附近的无线网络中发送空的探测请求帧,从而获取到含有WLAN信息,其中包括加密方式、SSID和信息等内容。如果校园内无线网络信号所覆盖的范围内,对数据包进行了弱口令加密或者根本没有对数据包进行加密,则违法者就能够采用监听模式盗取数据包,造成数据信息的外泄从而对校园网络造成安全隐患,与此同时,被窃听的用户并没有办法察觉自己是否被非法窃听[1]。
1.2WEP的缺陷。因为在无线网络的环境下非常容易被违法者进行非法窃听和非法入侵,所以需要对无线网络内输送的数据和信息进行加密处理。在早些年经常采用WEP技术,就是希望能够使无线网络拥有与有线网络同等级别的安全性,但是因为其自身加密缺陷导致采用WEP技术并不能够达到期望的目标。WEP技术是通过RC4序列密码算法对数据包进行加密的,而该算法的密钥是由共享密钥和初始向量(IV)组成,其中初始向量(IV)起决定性作用,但是由于初始向量(IV)空间仅有24位并且能够被重复使用,如果违法者在网络环境中窃取到多个加密数据包进行统计攻击即可恢复明文。于是当攻击者利用破解工具就能够更多的收集数据信息并加以分析,就能够从中得到密钥并进行破解[2]。目前,互联网上有很多工具都能够通过探查WLAN内的信息从而轻松获得破解密钥[3]。
1.3非法接入点。何谓非法接入点?通俗的讲就是没有通过认证而安装在无线网络环境内的终端设备(Rogue设备)。Rogue设备的出现是由于校内师生的网络安全意识不足,经常在工作、学习、生活的环境内私自介入无线AP设备,而这些无线AP设备常常都是开放的,其中任意一个非法的无线AP设备的接入点都会形成安全漏洞,导致入侵者能够轻松获取SSID,并且完成与接入点的对接,对个人乃至学校的信息安全都会造成极大的安全隐患,更有甚者能够在无线环境内发放海量的数据包对服务器进行攻击,导致校园网络瘫痪,达到其不可告人的目的。
2校园无线网络安全策略
2.1使用WPA技术加密认证。WPA技术加密认证技术是WEP技术的升级手段,WPA技术具有两个执行标准:即WPA以及WPA2。与WEP技术相比较,WPA既继承了WEP的理论基础,同时在实现的过程中优化了原有的漏洞与不足,提高了认证与加密的安全性。WPA标准的认证密钥只能够在验证身份的过程中使用,而用户则是利用认证过后的动态密钥对无线信号内所传输的数据信息进行加密的,因各用户所生成动态密钥的不同提高的无线网络的安全性,并且能够兼容新旧设备,节约成本。WPA2认证技术是在WPA技术的基础嵌入了AES加密技术,不仅继承了WPA的所有优点,同时提高了无线网络的安全性。目前市面上主流的无线网络设备均兼容WPA2技术,并且能够将2种认证技术同时配置于同一个SSID内。于是各单位在设置二层网络的安全设备上进行加密,不仅能够执行WPA,同样也能够执行WPA2。
2.2无线AC结合。WEB认证方法WLAN能够配置成为两种模式,分为胖AP和瘦AP,也就是FAT-AP和FIT-AP。由于校园网络的特殊性,通常设置成为胖AP模式。胖AP具有原理易懂、配置简单等优点,且具有独立系统。FAT-AP模式下可以独自完成无线网络的接入以及数据的安全加密等多种任务。但是FAT-AP模式的缺点则是不能够对用户进行集中管理与配置,所以在无线网络遭受到攻击和干扰时不能够被用户所发现。为了能够保障校园网络的基本用网需求,同时也能够提高网络环境的安全性,学校管理部门会将FAT-AP的组网模式与无线网络控制器(AC)相结合,两者相辅相成,就能够实现对校园无线网络用户的统一调度、配置与管理。在FAT-AP的组网模式下,能够高效、快速的对大量的无线AP设备进行配置、询查和管理,还能够在AC上实现安全处理功能[3]。高校的校园网不单单是为了给学生提供一个舒适的生活环境,同时也是为了给老师和学生提供一个良好的教学资源。但是如果将校园网络安全的保障仅仅使用WPA加密技术是远远不够的,如果因为学校师生的无心之失的情况下,将密钥泄露给不法之人,那么违法者将能任意出入学校的校园网络,侵占学校公共带宽资源,入侵学校内的各个业务系统,从而导致学校师生无法享受学校给提供的便利条件,甚至还会带来安全隐患。基于上述的原因,在校园网络构建的设计上,可以将Web认证和AC以及FITAP三者结合起来。Web认证实施简单便捷,管理员(或管理系统)能够在任意一个浏览器上对用户的身份以及网络权限进行管理和限制。当用户没有进行认证时,在访问浏览器的时候会被接入设备强行跳转到Protal服务器的认证界面,然后通过账号和密码来识别用户的身份和开放访问权限,只要通过系统认证即可访问校园网络进行办公和调用网络资源。各高校都有自己的校园办公系统供全校师生在校内使用,各个学校有所不同,有的学校是最近开发设计的,有的学校是买的成品软件系统。学校相关业务部门根据某种能够关联规则(学生学号和教职工的工号)来统一形成用户账号,然后只要用户在登录系统进行密码验证即可进行校内办公亦或者是访问学校网络教学资源。因为学校教师和学生的账号都是与本人相互对应的,并且只要本人掌握密码,大大增加了校园网络办公的安全性。
2.3构建入侵检测系统。想要在校园内构建无死角的无线网络全覆盖,就会在校园各处安装大量的方桩、面板以及分体AP等各型号的无线设备。在这些设备中,会存在着非法无线设备的接入,非法入侵者能够通过非法接入的终端在校园网络环境内发起攻击。所以校园网络中存在非法接入设备将对校园网络安全存在很大的威胁。因此,在校园无线网络系统内构建无线入侵检测系统(WIDS)是十分必要的。WIDS能够对校园无线网络进行实时监控并且能够不影响用户的网络性能,能够提前探知到校园网内存在的非法攻击非法入侵等行为,有效保护校园网络和师生等用户和设备被非法接入设备访问,对各式各样的非法攻击提供实时防护防范。WIDS能集中配置和部署处于监听模式的无线AP设备,能够捕获无线信号信息和无线保温并发送查看的请求消息,处理监听模式的无线AP设备就能够反馈信息并且判断入侵设备型号[4]。
2.4完善管理制度。想要更好保护校园无线网络的安全,各学校的网络技术人员必须要进行规范管理,对校园内的无线网络设备运行状态进行实时监控与定期维护,同时要做到定时查询网络安全设备的日志,以了解各功能安全设备的工作详情。与此同时,各单位相关业务部门也要整理和完善相应的规章管理制度,加大对全校师生网络安全的宣传力度。只有师生提高对网络安全的重视,强化网络安全重要性的意识,才能够有效提高校园网络的安全性。
3结束语
综上所述,尽管各高校与时俱进,纷纷构建起具有本校特色的校园网络,但是如何好做网络的安全防范工作依然是各高校网络中心工作人员难题。无线网络加密是整个防御工程的第一道防线,也是最主要的防线,无线网络的加密手段与技术都是非常重要的,一般选用Portal强制认证能够大大提高学校网络的安全性。社会是不断发展的,科技是不断进步的,无论是无线网络还是有线网络,都不能够有绝对的把握与手段保证网络的安全。对于全校师生要加大网络安全的宣传,只有师生提高对网络安全的重视,强化网络安全重要性的意识,了解最新的技术与动态,并且建立相对完善的行为管理规章制度才能够提升校园网络的安全。
参考文献:
[1]隋菱歌,邢敏,何波玲,等.以职业能力培养为主线推进经济类高职院校计算机专业教学改革[J].长春金融高等专科学校学报,2014(1):67-73.
[2]万静,张超,何云斌,等.可变网格优化的K-means聚类方法[J].小型微型计算机系统,2018,39(1):95-99.
[3]饶正婵,蒲天银.云计算条件下的大数据挖掘内涵及解决方案[J].电子技术与软件工程,2018(13):154-155.
[4]庞思远,张晓辉,林国桢.无线局域网技术的应用[J].南方农机,2015,46(11):85-86.
作者:李宗辰 单位:长春金融高等专科学校现代教育中心
