校園無(wú)線(xiàn)局域網(wǎng)安全性分析與解決方案.doc

校園無(wú)線(xiàn)局域網(wǎng)安全性分析與解決方案來(lái)源: 【摘要】 介紹了無(wú)線(xiàn)局域網(wǎng)在校園中的應(yīng)用及安全現(xiàn)狀，結(jié)合相關(guān)產(chǎn)品進(jìn)行了安全技術(shù)的分析，并提出了一套適合校園無(wú)線(xiàn)局域網(wǎng)應(yīng)用的安全解決方案?！娟P(guān)鍵詞】無(wú)線(xiàn)局域網(wǎng)；安全分析；解決方案1 引言無(wú)線(xiàn)校園網(wǎng)，就是通過(guò)無(wú)線(xiàn)局域網(wǎng)（WLAN）技術(shù)，在校園中建立的無(wú)縫無(wú)線(xiàn)通訊網(wǎng)絡(luò)，使校園的每個(gè)角落都處在網(wǎng)絡(luò)中，形成真正意義上的校園網(wǎng)?，F(xiàn)有的有線(xiàn)網(wǎng)絡(luò)，只能提供固定而有限的網(wǎng)絡(luò)信息點(diǎn)，無(wú)法滿(mǎn)足學(xué)校師生隨時(shí)隨地共享教育網(wǎng)絡(luò)資源的需要。校園無(wú)線(xiàn)網(wǎng)的建設(shè)避免了大規(guī)模鋪設(shè)網(wǎng)線(xiàn)和固定設(shè)備投入，有效地削減了網(wǎng)絡(luò)建設(shè)費(fèi)用，極大地縮短了建設(shè)周期；解決了師生非常期待實(shí)現(xiàn)的許多需求，利用網(wǎng)絡(luò)提高教學(xué)效率的需求，以及信息化建設(shè)中降低成本和保護(hù)投資的要求等。WLAN的使用給我們帶來(lái)了很大的方便，然而正是這種便利性引出了有線(xiàn)網(wǎng)絡(luò)中存在的安全問(wèn)題。比如，攻擊者無(wú)須物理連線(xiàn)就可以連接網(wǎng)絡(luò)，而且任何人都可以利用設(shè)備竊聽(tīng)到無(wú)線(xiàn)廣播的數(shù)據(jù)包。因此，無(wú)線(xiàn)網(wǎng)絡(luò)安全問(wèn)題也隨之出現(xiàn)，而且變得日益嚴(yán)重。2 校園無(wú)線(xiàn)網(wǎng)安全現(xiàn)狀由于歷史原因，大多數(shù)校園無(wú)線(xiàn)局域網(wǎng)主要是依靠有效保密（WEP）方式對(duì)數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)加密后的微波信號(hào)即使被人截獲，也不易破解，從而保證客戶(hù)傳輸?shù)臄?shù)據(jù)安全性。但是WEP存在著不理想的地方：一是密鑰共享。由于每個(gè)人都知道密鑰，則密鑰很容易泄漏不易管理。二是弱密鑰缺陷，導(dǎo)致WEP不能很好地抵御密碼學(xué)破解攻擊。其次，如果無(wú)線(xiàn)局域網(wǎng)接入點(diǎn)CAP不做任何安全設(shè)定，則任何一個(gè)符合WiFi的網(wǎng)卡都可以接入網(wǎng)絡(luò)，所以大多數(shù)無(wú)線(xiàn)局域網(wǎng)的用戶(hù)接入安全保障是采用MAC地址控制。但是這種接人控制方法對(duì)于校園無(wú)線(xiàn)網(wǎng)，會(huì)存在管理麻煩、擴(kuò)展能力受限制等問(wèn)題。另外，黑客還可能會(huì)使用物理地址（MAC）欺騙技術(shù)入侵網(wǎng)絡(luò)。所以對(duì)于校園無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)，如果不從整體上進(jìn)行規(guī)劃和設(shè)計(jì)，只孤立地采用單一的某項(xiàng)安全技術(shù)是無(wú)法滿(mǎn)足無(wú)線(xiàn)網(wǎng)絡(luò)高安全性的要求，反而會(huì)造成無(wú)線(xiàn)網(wǎng)絡(luò)不安全的印象，導(dǎo)致不能充分利用無(wú)線(xiàn)網(wǎng)絡(luò)所能提供的諸多特性和優(yōu)點(diǎn)來(lái)進(jìn)行資源共享和提高工作效率。3 無(wú)線(xiàn)局域網(wǎng)安全威脅與安全技術(shù)類(lèi)型3.1 安全威脅類(lèi)型由于無(wú)線(xiàn)局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過(guò)天花板、玻璃、樓層、磚、墻等物體，因此在一個(gè)AP所服務(wù)的區(qū)域中，任何一個(gè)無(wú)線(xiàn)客戶(hù)端都可以接受到此接人點(diǎn)的電磁波信號(hào)，這樣就可能包括一些惡意用戶(hù)也能接收到其他無(wú)線(xiàn)數(shù)據(jù)信號(hào)。這樣惡意用戶(hù)在無(wú)線(xiàn)局域網(wǎng)中相對(duì)于在有線(xiàn)局域網(wǎng)當(dāng)中，去竊聽(tīng)或干擾信息就來(lái)得容易得多。目前WLAN所面臨的安全威脅主要有網(wǎng)絡(luò)竊聽(tīng)、AP中間人欺騙、WEP破解、MAC地址欺騙等。3.2 安全技術(shù)類(lèi)型為了有效保障無(wú)線(xiàn)局域網(wǎng)（WLAN）的安全性，就必須實(shí)現(xiàn)以下幾個(gè)安全目標(biāo)：提供接入控制：驗(yàn)證用戶(hù)，授權(quán)他們接人特定的資源，同時(shí)拒絕未經(jīng)授權(quán)的用戶(hù)提供接入；確保連接的保密與完好：利用強(qiáng)有力的加密和校驗(yàn)技術(shù)，防止未經(jīng)授權(quán)的用戶(hù)竊聽(tīng)、插入或修改通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。防止拒絕服務(wù)（DoS）攻擊：確保不會(huì)有用戶(hù)占用某個(gè)接入點(diǎn)的所有可用帶寬，從而影響其他用戶(hù)的正常接人。針對(duì)需實(shí)現(xiàn)的安全目標(biāo)，常采用的無(wú)線(xiàn)網(wǎng)絡(luò)安全技術(shù)主要有：服務(wù)區(qū)標(biāo)識(shí)符（SSID）匹配、無(wú)線(xiàn)網(wǎng)卡MAC過(guò)濾、WEP、端口訪問(wèn)控制技術(shù)（IEEE802.1X）和可擴(kuò)展認(rèn)證協(xié)議（EAP）、WPA（Wi.Fi保護(hù)訪問(wèn)）技術(shù)、高級(jí)的無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)一IEEE802.11i。4 校園無(wú)線(xiàn)網(wǎng)安全策略分析案例現(xiàn)結(jié)合華為3Corn的無(wú)線(xiàn)局域網(wǎng)絡(luò)產(chǎn)品，針對(duì)目前無(wú)線(xiàn)校園網(wǎng)應(yīng)用中的種種安全隱患，進(jìn)行相關(guān)安全策略的分析。 一4.1 網(wǎng)絡(luò)安全產(chǎn)品功能簡(jiǎn)介目前，華為3Com的無(wú)線(xiàn)局域網(wǎng)產(chǎn)品體系能夠提供強(qiáng)有力的安全特性，除了傳統(tǒng)無(wú)線(xiàn)局域網(wǎng)中的安全策略之外，還能夠提供更加精細(xì)的管理措施。4.1.1 可靠的加密和認(rèn)證、設(shè)備管理能夠支持目前802.11小組所提出的全部加密方式，包括高級(jí)WPA 256位加密（AES），WEP共享密鑰加密，WPA TKIP，特有的128位動(dòng)態(tài)安全鏈路加密，動(dòng)態(tài)會(huì)話(huà)密鑰管理。802.1X認(rèn)證使用802.1x RADIUS認(rèn)證和MAC地址聯(lián)合認(rèn)證，確保只有合法用戶(hù)和客戶(hù)端設(shè)備才可訪問(wèn)網(wǎng)絡(luò)；WPA TKIP認(rèn)證采用EAPMD5，EAPTLS和PEAP協(xié)議，擴(kuò)展的證書(shū)認(rèn)證功能更加保證用戶(hù)身份的嚴(yán)格鑒定。支持通過(guò)本地控制臺(tái)或通過(guò)SSL或HTTPS集中管理Web瀏覽器；通過(guò)本地控制臺(tái)或通過(guò)SSHv2或Telnet遠(yuǎn)程管理的命令行界面；并可通過(guò)無(wú)線(xiàn)局域網(wǎng)管理系統(tǒng)進(jìn)行集中管理。4.1.2 用戶(hù)和組安全配置與傳統(tǒng)的無(wú)線(xiàn)局域網(wǎng)安全措施一樣，華為3Com無(wú)線(xiàn)網(wǎng)絡(luò)可以依靠MAC過(guò)濾、服務(wù)集標(biāo)識(shí)符（SSID）匹配、訪問(wèn)控制列表（ACL）來(lái)提供對(duì)無(wú)線(xiàn)客戶(hù)端的初始過(guò)濾，只允許指定的無(wú)線(xiàn)終端可以連接AP。同時(shí)，傳統(tǒng)無(wú)線(xiàn)網(wǎng)絡(luò)也存在不足之處。首先，其安全策略依賴(lài)于連接到某個(gè)網(wǎng)絡(luò)位置的設(shè)備上的特定端口，對(duì)物理端口和設(shè)備的依賴(lài)是網(wǎng)絡(luò)工程的基礎(chǔ)。例如，子網(wǎng)、ACL以及服務(wù)等級(jí)（CQS）在路由器和交換機(jī)的端口上定義，需要通過(guò)臺(tái)式機(jī)的MAC地址來(lái)管理用戶(hù)的連接。華為3Com采用基于身份的組網(wǎng)功能，可提供增強(qiáng)的用戶(hù)和組的安全策略，針對(duì)特殊要求創(chuàng)建虛擬專(zhuān)用組（Virtual Private Group），VLAN不再需要通過(guò)物理連接或端口來(lái)實(shí)施，而是根據(jù)用戶(hù)和組名來(lái)區(qū)分權(quán)限。并且，華為3Com無(wú)線(xiàn)網(wǎng)絡(luò)可以對(duì)無(wú)線(xiàn)局域網(wǎng)進(jìn)行前所未有的控制和觀察，監(jiān)視工具甚至可以跟蹤深入到個(gè)人的信息（無(wú)論他的位置在哪里），網(wǎng)絡(luò)標(biāo)識(shí)基于用戶(hù)而不是基于物理端口或位置。其次，華為3Com無(wú)線(xiàn)網(wǎng)絡(luò)簡(jiǎn)化了SSID支持，不再需要多個(gè)SSID來(lái)支持漫游和授權(quán)策略；單個(gè)SSID足以支持漫游、跨子網(wǎng)漫游或包括VLAN或子網(wǎng)成員資格的授權(quán)策略。大量的可配置監(jiān)視工具用于收集用戶(hù)數(shù)據(jù)（例如位置、訪問(wèn)控制和安全設(shè)置）和識(shí)別用戶(hù)身份。此外，使用華為3Com虛擬專(zhuān)用組管理器功能，可以為用戶(hù)和組分配特定的安全和訪問(wèn)策略，從而獲得最大的靈活性，同時(shí)增強(qiáng)網(wǎng)絡(luò)安全性并顯著縮短管理時(shí)間。用戶(hù)不僅可更改單個(gè)用戶(hù)設(shè)置，還可以只通過(guò)簡(jiǎn)單的幾次擊鍵操作即可從中央管理控制臺(tái)方便地配置相似的用戶(hù)組、AP組，而不必逐個(gè)配置AP。4.1.3 非法接入檢測(cè)和隔離華為3Com無(wú)線(xiàn)網(wǎng)絡(luò)可自動(dòng)執(zhí)行的AP射頻掃描功能通過(guò)標(biāo)識(shí)可去除非法AP，使管理員能更好地查看網(wǎng)絡(luò)狀況，提高對(duì)網(wǎng)絡(luò)的能見(jiàn)度。非法AP通過(guò)引入更多的流量來(lái)降低網(wǎng)絡(luò)性能，通過(guò)嘗試獲取數(shù)據(jù)或用戶(hù)名來(lái)危及網(wǎng)絡(luò)安全或者欺騙網(wǎng)絡(luò)以生成有害的垃圾郵件、病毒或蠕蟲(chóng)。任何網(wǎng)絡(luò)中都可能存在非法AP，接人威脅其中網(wǎng)絡(luò)規(guī)模越大就越容易受到非法AP接人攻擊。為了消除這種威脅，可以指定某些AP充當(dāng)射頻“衛(wèi)士”，其方法是掃描無(wú)線(xiàn)局域網(wǎng)來(lái)查找非法AP位置，記錄這些位置信息并采取措施以及為這些位置重新分配信息以使網(wǎng)絡(luò)處于連接狀態(tài)并正常運(yùn)行。AP射頻掃描程序還會(huì)檢測(cè)并調(diào)整引起射頻干擾的其他來(lái)源，例如微波爐和無(wú)繩電話(huà)。并且，射頻監(jiān)測(cè)配合基于用戶(hù)身份的組網(wǎng)，不但可使用戶(hù)在漫游時(shí)具有諸如虛擬專(zhuān)用組成員資格、ACL、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權(quán)等內(nèi)容，還可告知管理人員哪些用戶(hù)已連接、他們位于何處、他們?cè)?jīng)位于何處、他們正在使用哪些服務(wù)以及他們?cè)?jīng)使用過(guò)哪些服務(wù)。4.1.4 監(jiān)視和告警華為3Com無(wú)線(xiàn)網(wǎng)絡(luò)體系提供了實(shí)時(shí)操作信息，可以快速檢測(cè)到問(wèn)題，提高網(wǎng)絡(luò)的安全性并優(yōu)化網(wǎng)絡(luò)，甚至還可以定位用戶(hù)。網(wǎng)絡(luò)管理應(yīng)用程序針對(duì)當(dāng)今的動(dòng)態(tài)業(yè)務(wù)而設(shè)計(jì)，它提供了配置更改的自動(dòng)告警功能。向?qū)Ы缑嫣峁┝思磿r(shí)提示，從而使得管理員能夠快速針對(duì)沖突做出更改。通過(guò)使用軟件的移動(dòng)配置文件功能，管理者可以在用戶(hù)或用戶(hù)組漫游整個(gè)無(wú)線(xiàn)局域網(wǎng)時(shí)控制其訪問(wèn)資源的位置。此外，位置策略能夠根據(jù)用戶(hù)的位置來(lái)阻止或允許對(duì)特殊應(yīng)用程序的訪問(wèn)。4.2 校園無(wú)線(xiàn)網(wǎng)應(yīng)用安全解決方案從校園用戶(hù)角度而言，隨著無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用的推進(jìn)，管理員需要更加注重?zé)o線(xiàn)網(wǎng)絡(luò)安全的問(wèn)題，針對(duì)不同的用戶(hù)需求，華為3Com提出一系列不同級(jí)別的無(wú)線(xiàn)安全技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE802.1li，從MAC地址過(guò)濾到IEEE 802.1x安全認(rèn)證技術(shù)，可分別滿(mǎn)足辦公室局部用戶(hù)、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級(jí)別的安全需求，如表1所示。對(duì)于辦公室局部無(wú)線(xiàn)用戶(hù)而言，無(wú)線(xiàn)覆蓋范圍較小，接人用戶(hù)數(shù)量也比較少，沒(méi)有專(zhuān)業(yè)的管理人員，對(duì)網(wǎng)絡(luò)安全性的要求相對(duì)較低。通常情況下不會(huì)配備專(zhuān)用的認(rèn)證服務(wù)器，這種情況下，可直接采用AP進(jìn)行認(rèn)證，WPAPSK+AP隱藏可以保證基本的安全級(jí)別。在學(xué)校園區(qū)無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境中，考慮到網(wǎng)絡(luò)覆蓋范圍以及終端用戶(hù)數(shù)量，AP和無(wú)線(xiàn)網(wǎng)卡的數(shù)量必將大大增加，同時(shí)由于使用的用戶(hù)較多，安全隱患也相應(yīng)增加，此時(shí)簡(jiǎn)單的WPAPSK已經(jīng)不能滿(mǎn)足此類(lèi)用戶(hù)的需求。如表1中所示的中級(jí)安全方案使用支持IEEE 802.1X認(rèn)證技術(shù)的AP作為無(wú)線(xiàn)網(wǎng)絡(luò)的安全核心，使用華為3Com虛擬專(zhuān)用組管理器功能并通過(guò)后臺(tái)的Radius服務(wù)器進(jìn)行用戶(hù)身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的用戶(hù)接人，并可對(duì)用戶(hù)權(quán)限進(jìn)行區(qū)分。如果應(yīng)用無(wú)線(xiàn)網(wǎng)絡(luò)構(gòu)建校園的辦公網(wǎng)絡(luò)，此時(shí)無(wú)線(xiàn)網(wǎng)絡(luò)上承載的是工作業(yè)務(wù)信息，其安全保密性要求較高，因此用戶(hù)認(rèn)證問(wèn)題就顯得更加重要。如果不能準(zhǔn)確可靠地進(jìn)行用戶(hù)認(rèn)證，就有可能造成賬號(hào)盜用、非法入侵的問(wèn)題，對(duì)于無(wú)線(xiàn)業(yè)務(wù)網(wǎng)絡(luò)來(lái)說(shuō)是不可以接受的。表1中的專(zhuān)業(yè)級(jí)安全解決方案可以較好地滿(mǎn)足用戶(hù)需求，通過(guò)華為3Com虛擬專(zhuān)用組管理器功能、IEEE802.1li加密、Radius的用戶(hù)認(rèn)證確保高安全性。5 結(jié)論本文在對(duì)無(wú)線(xiàn)局域網(wǎng)安全技術(shù)的分析基礎(chǔ)之上，利用華為3Com的無(wú)線(xiàn)網(wǎng)絡(luò)產(chǎn)品，針對(duì)校園無(wú)線(xiàn)網(wǎng)安全需求，提出了一種三級(jí)安全策略，并成功地應(yīng)用在校園無(wú)線(xiàn)網(wǎng)中。本碩士論文來(lái)自專(zhuān)業(yè)的畢業(yè)論文發(fā)表網(wǎng)，如需轉(zhuǎn)載