春計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文

無(wú)線網(wǎng)絡(luò)安全性探索【摘要】隨著無(wú)線技術(shù)的不斷成熟和普及，無(wú)線網(wǎng)絡(luò)在全球范圍內(nèi)的應(yīng)用已經(jīng)成為一種趨勢(shì)。在我國(guó)，越來(lái)越多的學(xué)校開始在校園構(gòu)建和鋪設(shè)無(wú)線網(wǎng)絡(luò)。無(wú)線校園網(wǎng)絡(luò)的快速發(fā)展與應(yīng)用，對(duì)學(xué)校的教學(xué)模式、教學(xué)理念及教學(xué)管理產(chǎn)生了深遠(yuǎn)的影響，也使學(xué)校教師、學(xué)生的學(xué)習(xí)、生活方式產(chǎn)生了積極的變化。根據(jù)教育部的調(diào)查顯示，目前我國(guó)15.1%的高校建有無(wú)線校園網(wǎng)，同時(shí)有36.2 %的高校計(jì)劃建設(shè)無(wú)線校園網(wǎng)。針對(duì)突飛猛進(jìn)的無(wú)線校園組網(wǎng)計(jì)劃，有專家表示，無(wú)線校園是未來(lái)校園信息化的發(fā)展方向，越來(lái)越多高校采用無(wú)線校園網(wǎng)絡(luò)這一先進(jìn)網(wǎng)絡(luò)技術(shù)，其安全性問(wèn)題是普遍高校比較關(guān)注的，下面著重對(duì)無(wú)線網(wǎng)絡(luò)的安全通信校園網(wǎng)絡(luò)安全性學(xué)校無(wú)線網(wǎng)安全策略探索和研究?！娟P(guān)鍵詞】無(wú)線網(wǎng)絡(luò)校園網(wǎng)安全通信手段和對(duì)比網(wǎng)絡(luò)安全和安全策略?錯(cuò)誤！未定義書簽。論緒.0000.000第二章無(wú)線網(wǎng)絡(luò)的安全通信措施.000.3（一）WLAN勺安全保障。?oooo..3二）VPN與IPSec的作用。..ooo..5三）IPSec協(xié)議及其實(shí)施。....oo.6（四）一個(gè)實(shí)現(xiàn)無(wú)線通信加密的方法。??。...I第三章無(wú)線網(wǎng)絡(luò)安全性探索???錯(cuò)誤！未定義書簽。論緒.0000.000第二章無(wú)線網(wǎng)絡(luò)的安全通信措施.000.3（一）WLAN勺安全保障。?oooo..3二）VPN與IPSec的作用。..ooo..5三）IPSec協(xié)議及其實(shí)施。....oo.6（四）一個(gè)實(shí)現(xiàn)無(wú)線通信加密的方法。??。...I第三章無(wú)線網(wǎng)絡(luò)安全性探索??。。.。.7（一）何謂無(wú)線局域網(wǎng)。.。ooo.8（二傳統(tǒng)有線網(wǎng)絡(luò)面臨的問(wèn)題。…?8（三）無(wú)線網(wǎng)絡(luò)的特點(diǎn)與優(yōu)勢(shì)?ooooo..9(四)網(wǎng)絡(luò)存在的安全問(wèn)題。.10（五）無(wú)線網(wǎng)絡(luò)的安全防范措施。oooooooooooooo.11第四章關(guān)于無(wú)線網(wǎng)絡(luò)應(yīng)用在校園的安全策略研究。.000..13（一）引言?oo.14（二）無(wú)線網(wǎng)絡(luò)校園網(wǎng)安全現(xiàn)狀。。.15（三）無(wú)線網(wǎng)絡(luò)校園網(wǎng)安全解決方案。oooo..17題目摘要關(guān)鍵字1819第五章設(shè)計(jì)總結(jié)0000000000.000.00.0.0O參考文獻(xiàn)。1819第五章設(shè)計(jì)總結(jié)0000000000.000.00.0.0O參考文獻(xiàn)。.。。00000 無(wú)線網(wǎng)絡(luò)技術(shù)在校園網(wǎng)中的應(yīng)用第一章緒論在二十一世紀(jì)的今天，信息技術(shù)飛速發(fā)展，數(shù)字化時(shí)代已經(jīng)來(lái)臨，信息技術(shù)在教育中的重要性受到教育界人士的普遍關(guān)注和重視。隨著無(wú)線技術(shù)的不斷成熟和普及，無(wú)線網(wǎng)絡(luò)在全球范圍內(nèi)的應(yīng)用已經(jīng)成為一種趨勢(shì).在我國(guó)，越來(lái)越多的學(xué)校開始在校園構(gòu)建和鋪設(shè)無(wú)線網(wǎng)絡(luò)。無(wú)線校園網(wǎng)絡(luò)的快速發(fā)展與應(yīng)用，對(duì)學(xué)校的教學(xué)模式、教學(xué)理念及教學(xué)管理產(chǎn)生了深遠(yuǎn)的影響，也使學(xué)校教師、學(xué)生的學(xué)習(xí)、生活方式產(chǎn)生了積極的變化。隨著高校信息化建設(shè)水平的不斷提高,無(wú)線網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個(gè)重要組成部分.越來(lái)越多高校采用無(wú)線校園網(wǎng)絡(luò)這一先進(jìn)網(wǎng)絡(luò)技術(shù)， 其安全性問(wèn)題是普遍高校比較關(guān)注的。第二章無(wú)線網(wǎng)絡(luò)安全通信措施（一）WLAN勺安全保障雖然目前廣泛使用的跳頻擴(kuò)頻技術(shù)可以讓人難于截取，但也只是對(duì)普通人難而已，隨著通信技術(shù)的飛速發(fā)展，相信很快就會(huì)普及起來(lái).IEEE80211標(biāo)準(zhǔn)制定了如下3種方法來(lái)為WLAN勺數(shù)據(jù)通信提供安全保障：使用802。11的服務(wù)群標(biāo)識(shí)符SSID。但是,在一個(gè)中等規(guī)模的WLANt，即使每年只進(jìn)行兩次基本群標(biāo)識(shí)符的人工修改，也足以證明這是一個(gè)低效的不可靠的安全措施.使用設(shè)備的MAC地址來(lái)提供安全防范，顯然這也是一個(gè)低水平的防護(hù)手段。安全機(jī)制相比前兩種效果要好得多，即WEP（WirecEquivalentPrivacy）。它是采用RC算法來(lái)加密傳輸?shù)木W(wǎng)絡(luò)分組，通過(guò)WEP協(xié)議來(lái)保護(hù)進(jìn)入無(wú)線網(wǎng)的身份驗(yàn)證過(guò)程。但從有線網(wǎng)連接到無(wú)線網(wǎng)是通過(guò)使用某些網(wǎng)絡(luò)設(shè)備進(jìn)行連接（即網(wǎng)絡(luò)適配器驗(yàn)證，而不是利用網(wǎng)絡(luò)資源進(jìn)行加密的），還有其他的一些不可靠問(wèn)題，人們?cè)谥匾c(diǎn)的加密場(chǎng)合,都不使用WEP^全協(xié)議。（二）VPN與IPSec的作用VPN首先是用于在Internet上擴(kuò)展一個(gè)公司的網(wǎng)絡(luò)當(dāng)然公司的部門或子公司在 地理上位于不同的地域，甚至在不同的國(guó)家。 VPN是一個(gè)加密了的隧道，在隧道中它對(duì)IP中的所有數(shù)據(jù)進(jìn)行封裝。在VPN中最常用的兩種隧道協(xié)議是，點(diǎn)對(duì)點(diǎn)隧道協(xié)議 PPTP和第二層隧道化協(xié)議LTP,它們分別是由微軟和Cisco公司開發(fā)的?還有一種現(xiàn)在也在VPN中廣泛使用的有隧道功能的協(xié)議即IPSec，它還是一個(gè)IETF建議IP層安全標(biāo)準(zhǔn)。IPSec首先是作為IPv4的附加系統(tǒng)實(shí)現(xiàn)的，而IPv6則將該協(xié)議功能作為強(qiáng)制配置了。（三）IPSec協(xié)議及其實(shí)施IPSec協(xié)議包括如下：驗(yàn)證頭AH(Authentication)，圭寸裝安全載荷ESP(EncapsulationSecurityPayload),Internet密鑰交換IKE(InternetKeyExchange),Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)及轉(zhuǎn)碼。IPSec體系定義了主機(jī)和網(wǎng)關(guān)應(yīng)該提供的各科能力，討論了協(xié)議的語(yǔ)義，以及牽涉到IPSec協(xié)議同TCP/IP協(xié)議套件剩余部分如何進(jìn)行溝通的問(wèn)題。封裝安全載荷和驗(yàn)證頭文檔定義了協(xié)議、載荷頭的格式以及它們提供的服務(wù)，還定義了包的處理規(guī)則。轉(zhuǎn)碼方式定義了如何對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換，以保證其安全 .這些內(nèi)容包括：算法、密鑰大小、轉(zhuǎn)碼程序和算法專用信息。IKE可以為IPSec協(xié)議生成密鑰.還有一個(gè)安全策略的問(wèn)題，它決定了兩個(gè)實(shí)體間是否能夠通信,米取哪一種轉(zhuǎn)碼方式等。IPSec的工作模式有如下2種：1通道模式：這種模式特點(diǎn)是數(shù)據(jù)包的最終目的地不是安全終點(diǎn).路由器為自己轉(zhuǎn)發(fā)的數(shù)據(jù)包提供安全服務(wù)時(shí)，也要選用通道模式 .在通道模式中，IPSec模塊在一個(gè)正常的普通IP數(shù)據(jù)包內(nèi)封裝了IPSec頭，并增加了一個(gè)外部IP頭。個(gè)人收集整理，勿做商業(yè)用途文檔為個(gè)人收集整理，來(lái)源于網(wǎng)絡(luò)2?傳送模式：在傳送模式中，AH和ESP保護(hù)的是傳送頭，在這種模式中,AH和ESP會(huì)攔截從傳送層到網(wǎng)絡(luò)層的數(shù)據(jù)包，并根據(jù)具體情況提供保護(hù).例如：A、B是兩個(gè)已配置好的主機(jī)，它們之間流通的數(shù)據(jù)包均應(yīng)予以加密。在這種情況采用的是封裝安全載荷(ESP)的傳送模式。若只是為了對(duì)傳送層數(shù)據(jù)包進(jìn)行驗(yàn)證， 則應(yīng)采用“驗(yàn)證頭(AH)"傳送模式.IPSec可以在終端主機(jī)、網(wǎng)關(guān)/路由器或兩者之間進(jìn)行實(shí)施和配置。（四）一個(gè)實(shí)現(xiàn)無(wú)線通信加密的方法在給出下面加密方案之前，首先確定加密的位置：綜前所述,選擇在TCP/IP協(xié)議的IP層進(jìn)行加密（當(dāng)然也含了解密功能，下同）處理,可以達(dá)到既便利又滿足盡可能與上下游平臺(tái)無(wú)關(guān)性。為了敘述方便，筆者定義一個(gè)抽象實(shí)體：加密模塊，當(dāng)它是一臺(tái)PC或工控機(jī)時(shí)，它就是具備基本網(wǎng)絡(luò)協(xié)議解析與轉(zhuǎn)換功能的安全（加密）網(wǎng)關(guān)；當(dāng)它是一個(gè)DSP或FPGA芯片時(shí),它就是一個(gè)具備網(wǎng)絡(luò)協(xié)議功能的加密芯片；當(dāng)它是一個(gè)與操作系統(tǒng)內(nèi)核集成的軟件模塊時(shí)， 它就是一個(gè)加密模塊。至此，就形成如下加密方案的雛形：1在無(wú)線網(wǎng)絡(luò)的橋路器或是無(wú)線Hub與有線LAN間置一加密模塊，這時(shí)可用一臺(tái)功能強(qiáng)勁的PC或是工控機(jī)（方便戶外攜帶使用）,最好是雙CPU勺，具備強(qiáng)大的數(shù)學(xué)運(yùn)算能力，實(shí)現(xiàn)網(wǎng)絡(luò)層到鏈路層之間的功能和IP數(shù)據(jù)包的加解密功能.BlackBox:對(duì)FPGA（FieldProgrammableGateArray）進(jìn)行集群，初定為由3塊FPGA芯片構(gòu)成,1塊加密，1塊解密，1塊進(jìn)行協(xié)議處理。之所以要求集群，是基于這樣一個(gè)事實(shí)：由獨(dú)立的一塊 100—1000MIPS的FPGA芯片完成協(xié)議處理和加解密這樣超強(qiáng)度的運(yùn)算處理，缺乏可行性。在購(gòu)買第三方廠商的無(wú)線HUB及橋路器時(shí)，與廠商進(jìn)行技術(shù)合作，要求他們?cè)谠O(shè)備上提供FPGA勺接口，邏輯上FPGA只完成IP包數(shù)?但據(jù)的加解密功能，不涉及協(xié)議處理(由廠商的軟硬件平臺(tái)完成)這涉及知識(shí)產(chǎn)權(quán)歸屬的問(wèn)題，對(duì)廠商來(lái)說(shuō)，?但常容易的。個(gè)人收集整理，勿做商業(yè)用途本文為互聯(lián)網(wǎng)收集，請(qǐng)勿用作商業(yè)用途第三章關(guān)于無(wú)線網(wǎng)絡(luò)安全性探索一、 何謂無(wú)線局域網(wǎng)無(wú)線局域網(wǎng)(WirelessLocalAreaNetwork,縮寫為“WLAN)是高速發(fā)展的現(xiàn)代無(wú)線通信技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用 ，是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。不像傳統(tǒng)以太網(wǎng)那樣，基于 802。1標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)在空氣中傳播射頻信號(hào)，在信號(hào)范圍內(nèi)的無(wú)線客戶端都可以接受到數(shù)據(jù)，為通信的移動(dòng)化、個(gè)人化和多媒體應(yīng)用提供了實(shí)現(xiàn)的手段。二、 傳統(tǒng)有線網(wǎng)絡(luò)面臨的問(wèn)題隨著校園網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用不斷增加，網(wǎng)絡(luò)已經(jīng)成為老師和學(xué)生獲得信息的主要手段之一，校園網(wǎng)絡(luò)的規(guī)模從以前的幾百用戶迅速擴(kuò)充到幾千用戶甚至幾萬(wàn)用戶，越來(lái)越多的校園網(wǎng)絡(luò)應(yīng)用開始部署，網(wǎng)絡(luò)變得前所未有的重要，細(xì)心觀察不難發(fā)現(xiàn)傳統(tǒng)有線網(wǎng)絡(luò)容易出現(xiàn)以下問(wèn)題：(1)校內(nèi)公共網(wǎng)絡(luò)設(shè)施有限，而且使用頻繁，人們?yōu)榱松暇W(wǎng)不得不在這些地點(diǎn)之間奔波;(2)計(jì)算機(jī)設(shè)備較多，其中，筆記本數(shù)目也在逐步增加。在這種情況下，全部用有線網(wǎng)連接終端設(shè)施，從布線到使用都會(huì)極不方便；(3)有的教室主體結(jié)構(gòu)是大開間布局，地面和墻壁已經(jīng)施工完畢，若進(jìn)行網(wǎng)絡(luò)應(yīng)用改造，埋設(shè)纜線工作量巨大，而且學(xué)生上課時(shí)的位置不是很固定，導(dǎo)致信息點(diǎn)的放置也不能確定，這樣,構(gòu)建一個(gè)有線局域網(wǎng)絡(luò)就會(huì)面對(duì)各種不便；(4)高校通常會(huì)有幾個(gè)在地理分布上并不集中的分校區(qū)，用有線光纜連接校園網(wǎng)工程復(fù)雜、成本極高。而使用無(wú)線網(wǎng)絡(luò)，無(wú)論是在教學(xué)樓、辦公樓、學(xué)生宿舍或者其他校區(qū)都可以實(shí)現(xiàn)全方位的無(wú)線上網(wǎng)。這是無(wú)線網(wǎng)絡(luò)在校園中的發(fā)展趨勢(shì).三、無(wú)線網(wǎng)絡(luò)的特點(diǎn)與優(yōu)勢(shì)1、移動(dòng)性強(qiáng)。無(wú)線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛，能夠使學(xué)習(xí)遠(yuǎn)離教室，可以在網(wǎng)絡(luò)覆蓋的范圍內(nèi)的任何位置上網(wǎng)。 無(wú)線網(wǎng)絡(luò)完全支持自由移動(dòng),持續(xù)連接，實(shí)現(xiàn)移動(dòng)辦公。2、帶寬很寬，適合進(jìn)行大量雙向和多向多媒體信息傳輸 .在速度方面,802。11b的傳輸速度可提供可達(dá)11Mbps數(shù)據(jù)速率，而標(biāo)準(zhǔn)802.11g無(wú)線網(wǎng)速提升五倍，其數(shù)據(jù)傳輸率將達(dá)到54Mbps充分滿足校園網(wǎng)用戶對(duì)網(wǎng)速的要求.3、 有較高的安全性和較強(qiáng)的靈活性由于米用直接序列擴(kuò)頻、跳頻、跳時(shí)等一系列無(wú)線擴(kuò)展頻譜技術(shù)，使得其高度安全可靠；無(wú)線網(wǎng)絡(luò)組網(wǎng)靈活、增加和減少移動(dòng)主機(jī)相當(dāng)容易.4、維護(hù)成本低，無(wú)線網(wǎng)絡(luò)盡管在搭建時(shí)投入成本高些，但后期維護(hù)方便，維護(hù)成本比有線網(wǎng)絡(luò)低50%左右.四、無(wú)線網(wǎng)絡(luò)存在的安全問(wèn)題在無(wú)線網(wǎng)絡(luò)的實(shí)際使用中，有可能遇到的威脅主要包括以下幾個(gè)方面1、 信息重放在沒(méi)有足夠的安全防范措施的情況下，是很容易受到利用非法

AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為，即使采用了 VPN等保護(hù)措施也難以避免。中間人攻擊則對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙，進(jìn)而對(duì)信息進(jìn)行竊取和篡改。2、 WE皺解現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序，能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEF弱身密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽(tīng)無(wú)線通信的機(jī)器速度、WLA內(nèi)發(fā)射信號(hào)的無(wú)線主機(jī)數(shù)量，最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰。3、 網(wǎng)絡(luò)竊聽(tīng)一般說(shuō)來(lái)，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會(huì)使處于無(wú)線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解（讀?。┩ㄐ拧Ｓ捎谌肭终邿o(wú)需將竊聽(tīng)或分析設(shè)備物理地接入被竊聽(tīng)的網(wǎng)絡(luò)，所以，這種威脅已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問(wèn)題之一4、MAC地址欺騙通過(guò)網(wǎng)絡(luò)竊聽(tīng)工具獲取數(shù)據(jù)，從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。5、拒絕服務(wù)攻擊者可能對(duì)AP進(jìn)行泛洪攻擊，使AP拒絕服務(wù),這是一種后果最為嚴(yán)重的攻擊方式.此外，對(duì)移動(dòng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱為能源消耗攻擊。五、無(wú)線網(wǎng)絡(luò)的安全防范措施為了保護(hù)無(wú)線網(wǎng)路免于攻擊入侵的威脅，用戶主要應(yīng)該在提高使用的安全性、達(dá)成通信數(shù)據(jù)的保密性、完整性、使用者驗(yàn)證及授權(quán)等方面予以改善，實(shí)現(xiàn)最基本的安全目的。1、規(guī)劃天線的放置，掌控信號(hào)覆蓋范圍.要部署封閉的無(wú)線訪問(wèn)點(diǎn)，第一步就是合理放置訪問(wèn)點(diǎn)的天線，以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。最好將天線放在需要覆蓋的區(qū)域的中心 ，盡量減少信號(hào)泄露到墻外。部署了無(wú)線網(wǎng)絡(luò)之后，應(yīng)該用可移動(dòng)的無(wú)線設(shè)備徹底的勘測(cè)信號(hào)覆蓋情況，并反映在學(xué)校的網(wǎng)絡(luò)拓?fù)鋱D里。2、使用WEP啟用無(wú)線設(shè)備的安全能力保護(hù)無(wú)線網(wǎng)絡(luò)安全的最基礎(chǔ)手段是加密，通過(guò)簡(jiǎn)單的設(shè)置AP和無(wú)線網(wǎng)卡等設(shè)備， 就可以啟用WEP加密.無(wú)線加密協(xié)議（WEP是對(duì)無(wú)線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法.雖然WEP加密本身存在一些漏洞并且比較脆弱，但是仍然可以給非法訪問(wèn)設(shè)置不小的障礙，有助于阻撓偶爾闖入的黑客.許多無(wú)線訪問(wèn)點(diǎn)廠商為了方便安裝產(chǎn)品,交付設(shè)備時(shí)關(guān)閉了WEP功能。但一旦采用這種做法，黑客就能立即訪問(wèn)無(wú)線網(wǎng)絡(luò)上的流量，因?yàn)槔脽o(wú)線嗅探器就可以直接讀取數(shù)據(jù).建議經(jīng)常對(duì)WE隔鑰進(jìn)行更換，在有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意的問(wèn)題就是用于標(biāo)識(shí)每個(gè)無(wú)線網(wǎng)絡(luò)的SSID,在部署無(wú)線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應(yīng)該禁用SSID廣播，這樣可以減少無(wú)線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。3、 變更SSID及禁止SSID廣播。服務(wù)集標(biāo)識(shí)符（SSID）是無(wú)線訪問(wèn)點(diǎn)使用的識(shí)別字符串，客戶端利用它就能建立連接.該標(biāo)識(shí)符由設(shè)備制造商設(shè)定，每種標(biāo)識(shí)符使用默認(rèn)短語(yǔ)，如101就是3Com設(shè)備的標(biāo)識(shí)符?倘若黑客知道了這種口令短語(yǔ)，即使未經(jīng)授權(quán)，也很容易使用無(wú)線服務(wù)。對(duì)于部署的每個(gè)無(wú)線訪問(wèn)點(diǎn)而言，要選擇獨(dú)一無(wú)二并且很難猜中的SSID。如果可能的話，禁止通過(guò)天線向外廣播該標(biāo)識(shí)符。這樣網(wǎng)絡(luò)仍可使用，但不會(huì)出現(xiàn)在可用網(wǎng)絡(luò)列表上。4、 禁用DHCF對(duì)無(wú)線網(wǎng)絡(luò)而言，這很有意義。如果采取這項(xiàng)措施，黑客不得不破譯用戶的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)。無(wú)論黑客怎樣利用公司的訪問(wèn)點(diǎn)，他仍需要弄清楚IP地址。5、 禁用或改動(dòng)SNMP設(shè)置.如果公司的訪問(wèn)點(diǎn)支持SNMP要么禁用,要么改變公開及專用的共用字符串.如果不采取這項(xiàng)措施，黑客就能利用SNMP獲得有關(guān)公司網(wǎng)絡(luò)的重要信息.6、 使用訪問(wèn)列表。為了進(jìn)一步保護(hù)無(wú)線網(wǎng)絡(luò)，應(yīng)使用訪問(wèn)列表，如果可能的話。不是所有的無(wú)線訪問(wèn)點(diǎn)都支持這項(xiàng)特性，但如果公司實(shí)施的網(wǎng)絡(luò)支持，就可以具體地指定允許哪些機(jī)器連接到訪問(wèn)點(diǎn) .支持這項(xiàng)特性的訪問(wèn)點(diǎn)有時(shí)會(huì)使用普通文件傳輸協(xié)議（TFTP）,定期下載更新的列表，以避免管理員必須在每臺(tái)設(shè)備上使這些列表保持同步的棘手問(wèn)題.第四章關(guān)于無(wú)線網(wǎng)絡(luò)應(yīng)用在校園的安全策略研究1引言在過(guò)去的很多年，計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在實(shí)施過(guò)程中工程量大，破壞性強(qiáng)，網(wǎng)中的各節(jié)點(diǎn)移動(dòng)性不強(qiáng)。為了解決這些問(wèn)題，無(wú)線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展，逐漸得到的普及和發(fā)展.在校園內(nèi)，教師與學(xué)生的流動(dòng)性很強(qiáng)，很容易在一些地方人員聚集，形成“公共場(chǎng)所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長(zhǎng)，無(wú)論是教師還是學(xué)生都迫切要求在這些場(chǎng)所上網(wǎng)并進(jìn)行網(wǎng)上教學(xué)互動(dòng)活動(dòng).移動(dòng)性與頻繁交替性，使有線網(wǎng)絡(luò)無(wú)法靈活滿足他們對(duì)網(wǎng)絡(luò)的需求，造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸.將無(wú)線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng)，在某些場(chǎng)所，如網(wǎng)絡(luò)教室，會(huì)議室，報(bào)告廳、圖書館等區(qū)域，可以率先覆蓋無(wú)線網(wǎng)絡(luò)，讓用戶能真正做到無(wú)線漫游，給工作和生活帶來(lái)巨大的便利。隨后，慢慢把無(wú)線的覆蓋范圍擴(kuò)大，最后做到全校無(wú)線的覆蓋。2校園網(wǎng)無(wú)線網(wǎng)絡(luò)安全現(xiàn)狀在無(wú)線網(wǎng)絡(luò)技術(shù)成熟的今天，無(wú)線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動(dòng)性，它已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無(wú)線網(wǎng)絡(luò)的建成，在學(xué)校的教室、辦公室、會(huì)議室、甚至是校園草坪上，都有不少的教師和學(xué)生手持筆記本電腦通過(guò)無(wú)線上網(wǎng)，這都源于無(wú)線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能。但在使用無(wú)線網(wǎng)絡(luò)的同時(shí)，無(wú)線接入的安全性也面臨的嚴(yán)峻的考驗(yàn)。目前無(wú)線網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種：①基于MAC地址的認(rèn)證?；贛AC地址的認(rèn)證就是MACfe址過(guò)濾，每一個(gè)無(wú)線接入點(diǎn)可以使用MAC地址列表來(lái)限制網(wǎng)絡(luò)中的用戶訪問(wèn)。實(shí)施MAC地址訪問(wèn)控制后，如果MAC列表中包含某個(gè)用戶的MAC地址，則這個(gè)用戶可以訪問(wèn)網(wǎng)絡(luò)，否則如果列表中不包含某個(gè)用戶的MAC地址，則該用戶不能訪問(wèn)網(wǎng)絡(luò)。②共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無(wú)線設(shè)備和接入點(diǎn)上都使用有線對(duì)等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)權(quán)。③802。1x認(rèn)證。802.1x協(xié)議稱為基于端口的訪問(wèn)控制協(xié)議，它是個(gè)二層協(xié)議，需要通過(guò)802.1x客戶端軟件發(fā)起請(qǐng)求，通過(guò)認(rèn)證后打開邏輯端口，然后發(fā)起DHCP青求獲得IP以及獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)。文檔為個(gè)人收集整理，來(lái)源于網(wǎng)絡(luò)文檔為個(gè)人收集整理，來(lái)源于網(wǎng)絡(luò)可以說(shuō)，校園網(wǎng)的不少無(wú)線接入點(diǎn)都沒(méi)有很好地考慮無(wú)線接入的安全問(wèn)題，就連最基本的安全，如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證也沒(méi)有設(shè)置，更不用說(shuō)像802。1x這樣相對(duì)來(lái)說(shuō)比較難設(shè)置的認(rèn)證方法了。如果我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng)， 會(huì)搜索到很多無(wú)線接入點(diǎn)，這些接入點(diǎn)幾乎沒(méi)有任何的安全防范措施，可以非常方便地接入.試想，如果讓不明身份的人進(jìn)入無(wú)線網(wǎng)絡(luò)，進(jìn)而進(jìn)入校園網(wǎng)，就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅。3校園網(wǎng)無(wú)線網(wǎng)絡(luò)安全解決方案校園網(wǎng)內(nèi)無(wú)線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無(wú)線網(wǎng)絡(luò)的安全？前面提到的基于MAC地址的認(rèn)證存在兩個(gè)問(wèn)題，一是數(shù)據(jù)管理的問(wèn)題，要維護(hù)MAC數(shù)據(jù)庫(kù)，二是MAC可嗅探，也可修改；如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞到共享認(rèn)證密鑰； 802。1x定義了三種身份：申請(qǐng)者（用戶無(wú)線終端）、認(rèn)證者（AP）和認(rèn)證服務(wù)器。整個(gè)認(rèn)證的過(guò)程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間， 認(rèn)證者只起到了橋接的作用。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份，然后認(rèn)證服務(wù)器對(duì)申請(qǐng)者進(jìn)行認(rèn)證，認(rèn)證通過(guò)后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者。申請(qǐng)者用這個(gè)密鑰就可以與AP進(jìn)行通信。雖然802。1x仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善，IEEE802。11i和WAPI都參考了802.1x的機(jī)制.802.1X選用EAP來(lái)提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù).最常用的EAP認(rèn)證方法有EAP-MD5EAP-TLS和PEAP等。Microsoft為多種使用802。1x的身份驗(yàn)證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無(wú)線客戶端身份驗(yàn)證的依據(jù)是基于密碼憑據(jù)驗(yàn)證，或基于證書驗(yàn)證.建議在執(zhí)行基于證書的客戶端身份驗(yàn)證時(shí)使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗(yàn)證時(shí)使用 EAP-Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議版本2(MSCHAPv2)該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoco1 )協(xié)議中，也稱作PEAP-EAP—MSCHAPv2.考慮到校園群體的特殊性，為了保障校園無(wú)線網(wǎng)絡(luò)的安全，可對(duì)不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi)，主要分成兩類不同的用戶，一類是校內(nèi)用戶，一類是來(lái)訪用戶。校內(nèi)用戶主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要，他們要求能夠隨時(shí)接入無(wú)線網(wǎng)絡(luò)，訪問(wèn)校園網(wǎng)內(nèi)資源以及訪問(wèn)Internet。這些用戶的數(shù)據(jù)，如工資、科研成果、研究資料和論文等的安全性要求比較高.對(duì)于此類用戶，可使用802。1x認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。來(lái)訪用戶主要是來(lái)校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶.這類用戶對(duì)網(wǎng)絡(luò)安全的需求不是特別高，對(duì)他們來(lái)說(shuō)最重要的就是能夠非常方便而且快速地接入Intemet,以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等.針對(duì)這類用戶，可采用DHCP+強(qiáng)制Portal認(rèn)證的方式接入校園無(wú)線網(wǎng)絡(luò).如圖所示，開機(jī)后，來(lái)訪用戶先通過(guò)DHCP服務(wù)器獲得IP地址。當(dāng)來(lái)訪用戶打開瀏覽器訪問(wèn)Intemet網(wǎng)站時(shí)，強(qiáng)制Porta控制單元首先將用戶訪問(wèn)的Intemet定向到Portal服務(wù)器中定制的網(wǎng)站，用戶只能訪問(wèn)該網(wǎng)站中提供的服務(wù)，無(wú)法訪問(wèn)校園網(wǎng)內(nèi)部的其他受限資源，比如學(xué)校公共數(shù)據(jù)庫(kù)、圖書館期刊全文數(shù)據(jù)庫(kù)等。如果要訪問(wèn)校園網(wǎng)以外的資源，必須通過(guò)強(qiáng)制Portal認(rèn)證.認(rèn)證通過(guò)就可以訪問(wèn)Intemet。對(duì)于校內(nèi)用戶，先由無(wú)線用戶終端發(fā)起認(rèn)證請(qǐng)求，沒(méi)通過(guò)認(rèn)證之前,不能訪問(wèn)任何地方，并且不能獲得IP地址?？赏ㄟ^(guò)數(shù)字證書（需要設(shè)立證書服務(wù)器）實(shí)現(xiàn)雙向認(rèn)證，既可以防