校園無線局域網(wǎng)安全性分析與解決方案.doc

校園無線局域網(wǎng)安全性分析與解決方案來源: 【摘要】 介紹了無線局域網(wǎng)在校園中的應用及安全現(xiàn)狀，結(jié)合相關(guān)產(chǎn)品進行了安全技術(shù)的分析，并提出了一套適合校園無線局域網(wǎng)應用的安全解決方案?！娟P(guān)鍵詞】無線局域網(wǎng)；安全分析；解決方案1 引言無線校園網(wǎng)，就是通過無線局域網(wǎng)（WLAN）技術(shù)，在校園中建立的無縫無線通訊網(wǎng)絡(luò)，使校園的每個角落都處在網(wǎng)絡(luò)中，形成真正意義上的校園網(wǎng)?，F(xiàn)有的有線網(wǎng)絡(luò)，只能提供固定而有限的網(wǎng)絡(luò)信息點，無法滿足學校師生隨時隨地共享教育網(wǎng)絡(luò)資源的需要。校園無線網(wǎng)的建設(shè)避免了大規(guī)模鋪設(shè)網(wǎng)線和固定設(shè)備投入，有效地削減了網(wǎng)絡(luò)建設(shè)費用，極大地縮短了建設(shè)周期；解決了師生非常期待實現(xiàn)的許多需求，利用網(wǎng)絡(luò)提高教學效率的需求，以及信息化建設(shè)中降低成本和保護投資的要求等。WLAN的使用給我們帶來了很大的方便，然而正是這種便利性引出了有線網(wǎng)絡(luò)中存在的安全問題。比如，攻擊者無須物理連線就可以連接網(wǎng)絡(luò)，而且任何人都可以利用設(shè)備竊聽到無線廣播的數(shù)據(jù)包。因此，無線網(wǎng)絡(luò)安全問題也隨之出現(xiàn)，而且變得日益嚴重。2 校園無線網(wǎng)安全現(xiàn)狀由于歷史原因，大多數(shù)校園無線局域網(wǎng)主要是依靠有效保密（WEP）方式對數(shù)據(jù)進行加密，數(shù)據(jù)加密后的微波信號即使被人截獲，也不易破解，從而保證客戶傳輸?shù)臄?shù)據(jù)安全性。但是WEP存在著不理想的地方：一是密鑰共享。由于每個人都知道密鑰，則密鑰很容易泄漏不易管理。二是弱密鑰缺陷，導致WEP不能很好地抵御密碼學破解攻擊。其次，如果無線局域網(wǎng)接入點CAP不做任何安全設(shè)定，則任何一個符合WiFi的網(wǎng)卡都可以接入網(wǎng)絡(luò)，所以大多數(shù)無線局域網(wǎng)的用戶接入安全保障是采用MAC地址控制。但是這種接人控制方法對于校園無線網(wǎng)，會存在管理麻煩、擴展能力受限制等問題。另外，黑客還可能會使用物理地址（MAC）欺騙技術(shù)入侵網(wǎng)絡(luò)。所以對于校園無線網(wǎng)絡(luò)系統(tǒng)，如果不從整體上進行規(guī)劃和設(shè)計，只孤立地采用單一的某項安全技術(shù)是無法滿足無線網(wǎng)絡(luò)高安全性的要求，反而會造成無線網(wǎng)絡(luò)不安全的印象，導致不能充分利用無線網(wǎng)絡(luò)所能提供的諸多特性和優(yōu)點來進行資源共享和提高工作效率。3 無線局域網(wǎng)安全威脅與安全技術(shù)類型3.1 安全威脅類型由于無線局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體，因此在一個AP所服務的區(qū)域中，任何一個無線客戶端都可以接受到此接人點的電磁波信號，這樣就可能包括一些惡意用戶也能接收到其他無線數(shù)據(jù)信號。這樣惡意用戶在無線局域網(wǎng)中相對于在有線局域網(wǎng)當中，去竊聽或干擾信息就來得容易得多。目前WLAN所面臨的安全威脅主要有網(wǎng)絡(luò)竊聽、AP中間人欺騙、WEP破解、MAC地址欺騙等。3.2 安全技術(shù)類型為了有效保障無線局域網(wǎng)（WLAN）的安全性，就必須實現(xiàn)以下幾個安全目標：提供接入控制：驗證用戶，授權(quán)他們接人特定的資源，同時拒絕未經(jīng)授權(quán)的用戶提供接入；確保連接的保密與完好：利用強有力的加密和校驗技術(shù)，防止未經(jīng)授權(quán)的用戶竊聽、插入或修改通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。防止拒絕服務（DoS）攻擊：確保不會有用戶占用某個接入點的所有可用帶寬，從而影響其他用戶的正常接人。針對需實現(xiàn)的安全目標，常采用的無線網(wǎng)絡(luò)安全技術(shù)主要有：服務區(qū)標識符（SSID）匹配、無線網(wǎng)卡MAC過濾、WEP、端口訪問控制技術(shù)（IEEE802.1X）和可擴展認證協(xié)議（EAP）、WPA（Wi.Fi保護訪問）技術(shù)、高級的無線局域網(wǎng)安全標準一IEEE802.11i。4 校園無線網(wǎng)安全策略分析案例現(xiàn)結(jié)合華為3Corn的無線局域網(wǎng)絡(luò)產(chǎn)品，針對目前無線校園網(wǎng)應用中的種種安全隱患，進行相關(guān)安全策略的分析。 一4.1 網(wǎng)絡(luò)安全產(chǎn)品功能簡介目前，華為3Com的無線局域網(wǎng)產(chǎn)品體系能夠提供強有力的安全特性，除了傳統(tǒng)無線局域網(wǎng)中的安全策略之外，還能夠提供更加精細的管理措施。4.1.1 可靠的加密和認證、設(shè)備管理能夠支持目前802.11小組所提出的全部加密方式，包括高級WPA 256位加密（AES），WEP共享密鑰加密，WPA TKIP，特有的128位動態(tài)安全鏈路加密，動態(tài)會話密鑰管理。802.1X認證使用802.1x RADIUS認證和MAC地址聯(lián)合認證，確保只有合法用戶和客戶端設(shè)備才可訪問網(wǎng)絡(luò)；WPA TKIP認證采用EAPMD5，EAPTLS和PEAP協(xié)議，擴展的證書認證功能更加保證用戶身份的嚴格鑒定。支持通過本地控制臺或通過SSL或HTTPS集中管理Web瀏覽器；通過本地控制臺或通過SSHv2或Telnet遠程管理的命令行界面；并可通過無線局域網(wǎng)管理系統(tǒng)進行集中管理。4.1.2 用戶和組安全配置與傳統(tǒng)的無線局域網(wǎng)安全措施一樣，華為3Com無線網(wǎng)絡(luò)可以依靠MAC過濾、服務集標識符（SSID）匹配、訪問控制列表（ACL）來提供對無線客戶端的初始過濾，只允許指定的無線終端可以連接AP。同時，傳統(tǒng)無線網(wǎng)絡(luò)也存在不足之處。首先，其安全策略依賴于連接到某個網(wǎng)絡(luò)位置的設(shè)備上的特定端口，對物理端口和設(shè)備的依賴是網(wǎng)絡(luò)工程的基礎(chǔ)。例如，子網(wǎng)、ACL以及服務等級（CQS）在路由器和交換機的端口上定義，需要通過臺式機的MAC地址來管理用戶的連接。華為3Com采用基于身份的組網(wǎng)功能，可提供增強的用戶和組的安全策略，針對特殊要求創(chuàng)建虛擬專用組（Virtual Private Group），VLAN不再需要通過物理連接或端口來實施，而是根據(jù)用戶和組名來區(qū)分權(quán)限。并且，華為3Com無線網(wǎng)絡(luò)可以對無線局域網(wǎng)進行前所未有的控制和觀察，監(jiān)視工具甚至可以跟蹤深入到個人的信息（無論他的位置在哪里），網(wǎng)絡(luò)標識基于用戶而不是基于物理端口或位置。其次，華為3Com無線網(wǎng)絡(luò)簡化了SSID支持，不再需要多個SSID來支持漫游和授權(quán)策略；單個SSID足以支持漫游、跨子網(wǎng)漫游或包括VLAN或子網(wǎng)成員資格的授權(quán)策略。大量的可配置監(jiān)視工具用于收集用戶數(shù)據(jù)（例如位置、訪問控制和安全設(shè)置）和識別用戶身份。此外，使用華為3Com虛擬專用組管理器功能，可以為用戶和組分配特定的安全和訪問策略，從而獲得最大的靈活性，同時增強網(wǎng)絡(luò)安全性并顯著縮短管理時間。用戶不僅可更改單個用戶設(shè)置，還可以只通過簡單的幾次擊鍵操作即可從中央管理控制臺方便地配置相似的用戶組、AP組，而不必逐個配置AP。4.1.3 非法接入檢測和隔離華為3Com無線網(wǎng)絡(luò)可自動執(zhí)行的AP射頻掃描功能通過標識可去除非法AP，使管理員能更好地查看網(wǎng)絡(luò)狀況，提高對網(wǎng)絡(luò)的能見度。非法AP通過引入更多的流量來降低網(wǎng)絡(luò)性能，通過嘗試獲取數(shù)據(jù)或用戶名來危及網(wǎng)絡(luò)安全或者欺騙網(wǎng)絡(luò)以生成有害的垃圾郵件、病毒或蠕蟲。任何網(wǎng)絡(luò)中都可能存在非法AP，接人威脅其中網(wǎng)絡(luò)規(guī)模越大就越容易受到非法AP接人攻擊。為了消除這種威脅，可以指定某些AP充當射頻“衛(wèi)士”，其方法是掃描無線局域網(wǎng)來查找非法AP位置，記錄這些位置信息并采取措施以及為這些位置重新分配信息以使網(wǎng)絡(luò)處于連接狀態(tài)并正常運行。AP射頻掃描程序還會檢測并調(diào)整引起射頻干擾的其他來源，例如微波爐和無繩電話。并且，射頻監(jiān)測配合基于用戶身份的組網(wǎng)，不但可使用戶在漫游時具有諸如虛擬專用組成員資格、ACL、認證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權(quán)等內(nèi)容，還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經(jīng)位于何處、他們正在使用哪些服務以及他們曾經(jīng)使用過哪些服務。4.1.4 監(jiān)視和告警華為3Com無線網(wǎng)絡(luò)體系提供了實時操作信息，可以快速檢測到問題，提高網(wǎng)絡(luò)的安全性并優(yōu)化網(wǎng)絡(luò)，甚至還可以定位用戶。網(wǎng)絡(luò)管理應用程序針對當今的動態(tài)業(yè)務而設(shè)計，它提供了配置更改的自動告警功能。向?qū)Ы缑嫣峁┝思磿r提示，從而使得管理員能夠快速針對沖突做出更改。通過使用軟件的移動配置文件功能，管理者可以在用戶或用戶組漫游整個無線局域網(wǎng)時控制其訪問資源的位置。此外，位置策略能夠根據(jù)用戶的位置來阻止或允許對特殊應用程序的訪問。4.2 校園無線網(wǎng)應用安全解決方案從校園用戶角度而言，隨著無線網(wǎng)絡(luò)應用的推進，管理員需要更加注重無線網(wǎng)絡(luò)安全的問題，針對不同的用戶需求，華為3Com提出一系列不同級別的無線安全技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE802.1li，從MAC地址過濾到IEEE 802.1x安全認證技術(shù)，可分別滿足辦公室局部用戶、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級別的安全需求，如表1所示。對于辦公室局部無線用戶而言，無線覆蓋范圍較小，接人用戶數(shù)量也比較少，沒有專業(yè)的管理人員，對網(wǎng)絡(luò)安全性的要求相對較低。通常情況下不會配備專用的認證服務器，這種情況下，可直接采用AP進行認證，WPAPSK+AP隱藏可以保證基本的安全級別。在學校園區(qū)無線網(wǎng)絡(luò)環(huán)境中，考慮到網(wǎng)絡(luò)覆蓋范圍以及終端用戶數(shù)量，AP和無線網(wǎng)卡的數(shù)量必將大大增加，同時由于使用的用戶較多，安全隱患也相應增加，此時簡單的WPAPSK已經(jīng)不能滿足此類用戶的需求。如表1中所示的中級安全方案使用支持IEEE 802.1X認證技術(shù)的AP作為無線網(wǎng)絡(luò)的安全核心，使用華為3Com虛擬專用組管理器功能并通過后臺的Radius服務器進行用戶身份驗證，有效地阻止未經(jīng)授權(quán)的用戶接人，并可對用戶權(quán)限進行區(qū)分。如果應用無線網(wǎng)絡(luò)構(gòu)建校園的辦公網(wǎng)絡(luò)，此時無線網(wǎng)絡(luò)上承載的是工作業(yè)務信息，其安全保密性要求較高，因此用戶認證問題就顯得更加重要。如果不能準確可靠地進行用戶認證，就有可能造成賬號盜用、非法入侵的問題，對于無線業(yè)務網(wǎng)絡(luò)來說是不可以接受的。表1中的專業(yè)級安全解決方案可以較好地滿足用戶需求，通過華為3Com虛擬專用組管理器功能、IEEE802.1li加密、Radius的用戶認證確保高安全性。5 結(jié)論本文在對無線局域網(wǎng)安全技術(shù)的分析基礎(chǔ)之上，利用華為3Com的無線網(wǎng)絡(luò)產(chǎn)品，針對校園無線網(wǎng)安全需求，提出了一種三級安全策略，并成功地應用在校園無線網(wǎng)中。本碩士論文來自專業(yè)的畢業(yè)論文發(fā)表網(wǎng)，如需轉(zhuǎn)載