论文部分内容阅读
信息资讯时代,网络已成为现代学子们获得信息的最关键渠道,但传统校园网络是由双绞线、光纤组成的有线网络,建设时受到网络布线、线路损毁、改线工程量、节点转移等硬件方面的严重制约,扩容较难。而日益增长的3G数据业务也因为其带宽流量压力问题,暂时受限。而简称为WLAN的无线局域网(Wire2Less Local Area Network)很好地祢补了有线和3G网络的缺陷。WLAN具有的移动方便,扩展便捷等众多的优势,可以不受有线网络节点限制。无线网络利用无线电波作为媒体,接入便捷的同时也需高度关注数据安全问题。因此,院校内必须对无线网络进行有效的安全管理,以确保院校内无线局域网乃至整个网络的安全,高效运行。
一、当前院校WLAN存在的安全问题
无线局域网(WLAN) 的访问范围较大。例如,大部分802.11b 实现的速度为1 Mbps,范围大约为 500 米(1500 英尺)。在接近访问点(AP) 的地方,传输速度最高能够达到11 Mbps。在院校计算机网络中接入无线网络,可提供比有线网络更便捷、更广泛的服务,使得师生们能更好地访问校园网信息,随时随地地进行网络资源查询、评教等操作。但如果无线网络的安全防范机制不健全,就会导致如数据信息的外泄,数据篡改、资料被盗用,病毒传播,更严重则发生网络被破坏等安全问题。
(一)入侵网络破坏数据由于无线网络具有易获取及开放访问的特性,一旦无线局域网络被入侵,网络中的数据资源及共享文档就首当其冲地被暴露出来,而入侵者还可以对接入网络的其它用户的数据进行窃听、恶意修改,甚至传播病毒。
(二)泄露用户私隐信息无线网络入侵者使用黑客工具,可轻松盗取用户的身份验证、用户凭证等私隐信息,进而利用信息损害用户利益。
(三)遭受拒绝服务DoS 入侵者攻入WLAN内并对网内计算机大量发送数据包,可以导致网络堵塞甚至网络瘫痪;还可以使用干扰设备干扰无线网络信号的正常使用,使无线网络遭到拒绝服务(Denial of Service)攻击,破坏网络的正常运行。
二、WLAN的安全应对措施
由于WLAN相对于有线网络所具有的特殊性及其在安全方面存在的种种问题,无线网络的安全措施要比有线网络更需高度重视。
(一)建立规范的网络管理制度
网络管理首先要建立健全严格的网络安全管理制度,使网络管理规范化,并培养具有高度的网络安全管理意识和水平的网络技术人员队伍。网络技术人员应避免非技术隐患,发现隐患应及时排除,避免造成重大后果。
(二)合理设置WLAN范围和网络物理结构
学校经常会使用大功率和增益效果较强的WLAN设备来增大覆盖范围及增强信号强度,但却容易造成信息外泄的后果。我们应尽量将信号接入设备放置于覆盖范围的中心区域,并根据区域大小合理设置接入端的信号发射强度和覆盖范围。还可以通过房屋的电磁屏蔽来防止电磁波的泄漏。
(三)合理配置WLAN设备
网络管理员应及时对新添置的WLAN设备进行彻底的安全设置,将默认的出厂设置进行更改。从基本的无线网卡物理地址(MAC)过滤、更改无线AP的管理员登陆密码、服务区标识符(SSID)匹配、有线等效保密(WEP) 密钥等的设置,都是被广泛采用的无线网络安全策略的技术[2]。
(四)建立有效的网络监测和记录机制
网络管理员可以安装无线网络控制器来监测网络的异常情况,网络控制器会记录下包含用户名、目的IP地址等信息的网络日志,从日志中可以分析出网络存在的安全隐患,如果网络发生故障还可分析出故障原因。
三、WLAN的安全配置技术
如何正确、合理进行无线网络设备配置是无线网络安全策略的技术实现很重要的一个部分。但要有针对性、有侧重点地按照不同的方案进行配置。这里对无线网络设备配置方案的几种安全应对技术进行了分析探讨。
(一)使用有效的数据加密技术
数据的加密是我们最常接触到的安全防范措施之一。无线网络中有好几种加密技术,其中有线等效协议(WEP)是早期的加密方式,存在较多安全漏洞。还有Wi-Fi保护接入(WPA)、临时密钥完整性协议(TKIP)、可扩展认证协议(EAP)等技术,我们可以选择能力最强的加密技术[3]。
(二)更改管理界面登录密码
同一厂家生产的网络设备,出厂时用户名、密码等设置往往都是默认相同的,购置回来的路由器或中继器等网络设备必须及时更改为较复杂的密码,并且定期更换,否则网络入侵者很容易就可以破解密码,攻入网内。
(三)采取AP用户隔离管理
AP隔离管理与有线网络的VLAN(虚拟局域网)相类似,隔离开所有的无线客户端设备,采用IEEE802.1x协议对接入的AP进行验证,通过验证的客户端也只能访问AP接入指定的网络。这样的设置使得各接入端能够互不干扰,在人口流动性大的院校里,能更好地增强网络的安全性。
(四)更改无线AP默认的SSID设置
通常每个无线网络都有一个服务区标识符SSID(Service Set Identifier的缩写,意思是:服务集标识),在同一区域内有相同制造商的多台AP时,它们可能拥有相同的SSID,应及时进行更改。
(五)MAC地址过滤控制
MAC 地址即介质访问控制(Media Access Control)地址,理论上每一台设备的MAC都是全球唯一的。在无线路由器中设置好MAC地址列表,通过MAC地址过滤,就可允许表中的合法用户正常访问网络。但如果校园内用户流动性较大,也采用设置MAC阻止列表的方式,即将网络中有非法活动的用户地址加入MAC阻止列表,阻止其再次入网。
(六)设置固定设备静态IP表
无线路由器默认启用DHCP功能,自动为网内每台电脑分配IP地址、子网掩码以及其他所需要的TCP/IP参数。即入侵者只要检测到无线网络的存在,即可任意使用无线网络资源。因此,建议关闭DHCP功能,手工为网内的固定计算机分配静态IP地址,并且把这个IP地址与该网卡的MAC地址进行绑定,使得合法的IP地址不易得到,就算得到了,仍要进行绑定MAC地址的验证,有效地阻止不法侵入。
(七)及时更新AP的Firewall (防火墙)
防火墙技术包含有包过滤、应用代理和状态检测等技术,但仍存在一定的缺陷,如入侵者避开特征匹配,则可能绕过防火墙。新版本的Firewall会添加了更新的安全措施,我们通过刷新最新版本的Firewall也能够提高AP的安全性[4]。
(八)增加身份验证
学校网管员应该在网络中使用身份验证,以抵御各种新兴的网络攻击。适合院校使用的802.1x认证使用802.1x RADIUS认证和MAC地址联合认证,只有授权的合法用户才能通过认证,接入网络。认证可分为三类的基本模式:①用户到主机的认证。②点对点的认证。③第三方的认证[5]。在校园网中,通常采用第一种认证方式。
四、结语
无线网络在院校中的日趋壮大,为师生们提供了更加便利、更加高效的信息化服务。但无线网络的特殊性,使我们更应该重视其安全性问题,分析网络中存在的隐患,提出切合自身实际的无线网络安全技术方案,及周密的安全措施和机制,来保障提供给师生们的是快捷、便利、高效,最重要是安全的信息服务。
参考文献:
[1]张军.无线局域网信息安全问题探析.重庆科技学院学报.2009.
[2]郭渊博.无线局域网安全设计及实现.国防工业出版社,2010.
[3]王彬.无线网络原理与应用 Ron Price.清华大学出版社,2008.
[4]Steven M Bellovin. William R Cheswick. Network Firewalls[J].2009.
[5](美)赫尔利等.无线网络安全.杨青译,北京:科学出版社,2009.
一、当前院校WLAN存在的安全问题
无线局域网(WLAN) 的访问范围较大。例如,大部分802.11b 实现的速度为1 Mbps,范围大约为 500 米(1500 英尺)。在接近访问点(AP) 的地方,传输速度最高能够达到11 Mbps。在院校计算机网络中接入无线网络,可提供比有线网络更便捷、更广泛的服务,使得师生们能更好地访问校园网信息,随时随地地进行网络资源查询、评教等操作。但如果无线网络的安全防范机制不健全,就会导致如数据信息的外泄,数据篡改、资料被盗用,病毒传播,更严重则发生网络被破坏等安全问题。
(一)入侵网络破坏数据由于无线网络具有易获取及开放访问的特性,一旦无线局域网络被入侵,网络中的数据资源及共享文档就首当其冲地被暴露出来,而入侵者还可以对接入网络的其它用户的数据进行窃听、恶意修改,甚至传播病毒。
(二)泄露用户私隐信息无线网络入侵者使用黑客工具,可轻松盗取用户的身份验证、用户凭证等私隐信息,进而利用信息损害用户利益。
(三)遭受拒绝服务DoS 入侵者攻入WLAN内并对网内计算机大量发送数据包,可以导致网络堵塞甚至网络瘫痪;还可以使用干扰设备干扰无线网络信号的正常使用,使无线网络遭到拒绝服务(Denial of Service)攻击,破坏网络的正常运行。
二、WLAN的安全应对措施
由于WLAN相对于有线网络所具有的特殊性及其在安全方面存在的种种问题,无线网络的安全措施要比有线网络更需高度重视。
(一)建立规范的网络管理制度
网络管理首先要建立健全严格的网络安全管理制度,使网络管理规范化,并培养具有高度的网络安全管理意识和水平的网络技术人员队伍。网络技术人员应避免非技术隐患,发现隐患应及时排除,避免造成重大后果。
(二)合理设置WLAN范围和网络物理结构
学校经常会使用大功率和增益效果较强的WLAN设备来增大覆盖范围及增强信号强度,但却容易造成信息外泄的后果。我们应尽量将信号接入设备放置于覆盖范围的中心区域,并根据区域大小合理设置接入端的信号发射强度和覆盖范围。还可以通过房屋的电磁屏蔽来防止电磁波的泄漏。
(三)合理配置WLAN设备
网络管理员应及时对新添置的WLAN设备进行彻底的安全设置,将默认的出厂设置进行更改。从基本的无线网卡物理地址(MAC)过滤、更改无线AP的管理员登陆密码、服务区标识符(SSID)匹配、有线等效保密(WEP) 密钥等的设置,都是被广泛采用的无线网络安全策略的技术[2]。
(四)建立有效的网络监测和记录机制
网络管理员可以安装无线网络控制器来监测网络的异常情况,网络控制器会记录下包含用户名、目的IP地址等信息的网络日志,从日志中可以分析出网络存在的安全隐患,如果网络发生故障还可分析出故障原因。
三、WLAN的安全配置技术
如何正确、合理进行无线网络设备配置是无线网络安全策略的技术实现很重要的一个部分。但要有针对性、有侧重点地按照不同的方案进行配置。这里对无线网络设备配置方案的几种安全应对技术进行了分析探讨。
(一)使用有效的数据加密技术
数据的加密是我们最常接触到的安全防范措施之一。无线网络中有好几种加密技术,其中有线等效协议(WEP)是早期的加密方式,存在较多安全漏洞。还有Wi-Fi保护接入(WPA)、临时密钥完整性协议(TKIP)、可扩展认证协议(EAP)等技术,我们可以选择能力最强的加密技术[3]。
(二)更改管理界面登录密码
同一厂家生产的网络设备,出厂时用户名、密码等设置往往都是默认相同的,购置回来的路由器或中继器等网络设备必须及时更改为较复杂的密码,并且定期更换,否则网络入侵者很容易就可以破解密码,攻入网内。
(三)采取AP用户隔离管理
AP隔离管理与有线网络的VLAN(虚拟局域网)相类似,隔离开所有的无线客户端设备,采用IEEE802.1x协议对接入的AP进行验证,通过验证的客户端也只能访问AP接入指定的网络。这样的设置使得各接入端能够互不干扰,在人口流动性大的院校里,能更好地增强网络的安全性。
(四)更改无线AP默认的SSID设置
通常每个无线网络都有一个服务区标识符SSID(Service Set Identifier的缩写,意思是:服务集标识),在同一区域内有相同制造商的多台AP时,它们可能拥有相同的SSID,应及时进行更改。
(五)MAC地址过滤控制
MAC 地址即介质访问控制(Media Access Control)地址,理论上每一台设备的MAC都是全球唯一的。在无线路由器中设置好MAC地址列表,通过MAC地址过滤,就可允许表中的合法用户正常访问网络。但如果校园内用户流动性较大,也采用设置MAC阻止列表的方式,即将网络中有非法活动的用户地址加入MAC阻止列表,阻止其再次入网。
(六)设置固定设备静态IP表
无线路由器默认启用DHCP功能,自动为网内每台电脑分配IP地址、子网掩码以及其他所需要的TCP/IP参数。即入侵者只要检测到无线网络的存在,即可任意使用无线网络资源。因此,建议关闭DHCP功能,手工为网内的固定计算机分配静态IP地址,并且把这个IP地址与该网卡的MAC地址进行绑定,使得合法的IP地址不易得到,就算得到了,仍要进行绑定MAC地址的验证,有效地阻止不法侵入。
(七)及时更新AP的Firewall (防火墙)
防火墙技术包含有包过滤、应用代理和状态检测等技术,但仍存在一定的缺陷,如入侵者避开特征匹配,则可能绕过防火墙。新版本的Firewall会添加了更新的安全措施,我们通过刷新最新版本的Firewall也能够提高AP的安全性[4]。
(八)增加身份验证
学校网管员应该在网络中使用身份验证,以抵御各种新兴的网络攻击。适合院校使用的802.1x认证使用802.1x RADIUS认证和MAC地址联合认证,只有授权的合法用户才能通过认证,接入网络。认证可分为三类的基本模式:①用户到主机的认证。②点对点的认证。③第三方的认证[5]。在校园网中,通常采用第一种认证方式。
四、结语
无线网络在院校中的日趋壮大,为师生们提供了更加便利、更加高效的信息化服务。但无线网络的特殊性,使我们更应该重视其安全性问题,分析网络中存在的隐患,提出切合自身实际的无线网络安全技术方案,及周密的安全措施和机制,来保障提供给师生们的是快捷、便利、高效,最重要是安全的信息服务。
参考文献:
[1]张军.无线局域网信息安全问题探析.重庆科技学院学报.2009.
[2]郭渊博.无线局域网安全设计及实现.国防工业出版社,2010.
[3]王彬.无线网络原理与应用 Ron Price.清华大学出版社,2008.
[4]Steven M Bellovin. William R Cheswick. Network Firewalls[J].2009.
[5](美)赫尔利等.无线网络安全.杨青译,北京:科学出版社,2009.