前言：本站為你精心整理了校園無(wú)線網(wǎng)絡(luò)安全范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

校園網(wǎng)中“教師人手一機(jī)”和學(xué)生自帶筆記本等無(wú)線設(shè)備不斷增加，很多學(xué)校都已經(jīng)把無(wú)線校園網(wǎng)的建設(shè)納入到校園網(wǎng)改造和升級(jí)范圍內(nèi)。但是，從許多已經(jīng)部署無(wú)線網(wǎng)絡(luò)的學(xué)校的方案中不難看出，大都存在安全問題。

*從忽視到重視的轉(zhuǎn)變

學(xué)校布設(shè)無(wú)線局域網(wǎng)絡(luò)的需求一般包括為：“教師或者學(xué)生安裝無(wú)線網(wǎng)卡，進(jìn)行簡(jiǎn)單的設(shè)置就可以在教學(xué)區(qū)和辦公區(qū)漫游使用，在整個(gè)校園內(nèi)連接到校園網(wǎng)上，從辦公區(qū)到教學(xué)樓、從操場(chǎng)到主席臺(tái)都可以實(shí)現(xiàn)移動(dòng)漫游連接互聯(lián)網(wǎng)?！?/p>

非法授權(quán)的用戶可利用無(wú)線局域網(wǎng)（WLAN）的漏洞，入侵到有線局域網(wǎng)當(dāng)中，去竊聽或干擾信息非常容易。

早期的無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)安全性并不完善，技術(shù)上存在一些安全漏洞，主要提到的安全問題也是針對(duì)802.11b協(xié)議搭建的WLAN而言。

802.11b存在著加密和頻率問題，例如：802.11b采用WEP，在鏈路層進(jìn)行RC4對(duì)稱加密，還比如802.11b采用的2.4GHz頻率和藍(lán)牙設(shè)備、微波爐等很多設(shè)備相同，這樣很容易造成相互干擾。

*WLAN面臨的威脅

對(duì)WLAN來(lái)說(shuō)，其安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個(gè)方面?？梢哉f(shuō)，所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都同樣存在。同時(shí)，任何不可信的無(wú)線設(shè)備可以在信號(hào)覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試，一定程度上暴露了網(wǎng)絡(luò)的存在。

同時(shí)，外部人員可以通過無(wú)線網(wǎng)絡(luò)繞過防火墻，對(duì)學(xué)校內(nèi)部數(shù)據(jù)非法存??；內(nèi)部教師和學(xué)生可以私自設(shè)置無(wú)線網(wǎng)卡，使用例如P2P等方式與外界通信，大量占據(jù)可用帶寬。在實(shí)際工作中，有可能遇到的威脅主要包括以下幾個(gè)方面：

信息重放

在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為，即使采用了VPN等保護(hù)措施也難以避免。中間人攻擊則對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙，進(jìn)而對(duì)信息進(jìn)行竊取和篡改。

WEP破解

現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序，能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰。

根據(jù)監(jiān)聽無(wú)線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無(wú)線主機(jī)數(shù)量，最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰。

網(wǎng)絡(luò)竊聽

一般說(shuō)來(lái)，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會(huì)使處于無(wú)線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解（讀?。┩ㄐ?。由于入侵者無(wú)需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò)，所以，這種威脅已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問題之一。

MAC地址欺騙

通過上面提到的網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù)，從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。

拒絕服務(wù)

攻擊者可能對(duì)AP進(jìn)行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果最為嚴(yán)重的攻擊方式。此外，對(duì)移動(dòng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱為能源消耗攻擊。

*實(shí)現(xiàn)目標(biāo)與協(xié)議標(biāo)準(zhǔn)

為了保護(hù)無(wú)線網(wǎng)路免于攻擊入侵的威脅，用戶主要應(yīng)該在提高使用的安全性、達(dá)成通信數(shù)據(jù)的保密性、完整性、使用者驗(yàn)證及授權(quán)等方面予以改善，實(shí)現(xiàn)最基本的安全目的。

提供接入控制：驗(yàn)證用戶，授權(quán)他們接入特定的資源，同時(shí)拒絕為未經(jīng)授權(quán)的用戶提供接入；

確保連接的保密與完好：利用強(qiáng)有力的加密和校驗(yàn)技術(shù)，防止未經(jīng)授權(quán)的用戶竊聽、插入或修改通過無(wú)線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)；

防止拒絕服務(wù)（DoS）攻擊：確保不會(huì)有用戶占用某個(gè)接入點(diǎn)的所有可用帶寬，從而影響其他用戶的正常接入。

*經(jīng)驗(yàn)分享

如何選擇一種適合學(xué)校現(xiàn)在與未來(lái)使用的無(wú)線安全措施？它如何納入整體安全政策之中？筆者經(jīng)歷過很多無(wú)線校園網(wǎng)的工程，感觸如下：

1.結(jié)合現(xiàn)有設(shè)備

WLAN由于易于架設(shè)，要考慮到在學(xué)校中的普及速度。如一開始只有一臺(tái)AP及10個(gè)Client，但沒多久就成長(zhǎng)到20臺(tái)AP及500個(gè)Client！只有一臺(tái)AP之情況下的安全措施與30臺(tái)AP的安全措施是完全不同的。若所采用的安全措施不能隨著網(wǎng)絡(luò)快速成長(zhǎng)則屬浪費(fèi)。

一般情況下，假設(shè)學(xué)校已經(jīng)具有如入侵偵測(cè)系統(tǒng)(IntrusionDetectionSystem)、防火墻、RADIUS等系統(tǒng)。在做WLAN安全措施時(shí)，若能利用這些現(xiàn)有資源最適合，如802.1x/EAP與RADIUS的結(jié)合。

2.要有預(yù)見性

新建校園網(wǎng)絡(luò)可以參考市面已有的技術(shù)：如VPN、防火墻、IDS、以及802.1x/EAP等標(biāo)準(zhǔn)，大方向上應(yīng)先決定使用企業(yè)級(jí)AP或WLANGateway。

企業(yè)級(jí)AP能將安全策略推到AP而達(dá)Client，而且適合搭配802.1x/EAP，亦即從第二層就開始作防護(hù)。若使用低階AP搭配Gateway，則只能依靠Gateway的VPN，二層信息暴露無(wú)疑。

3.防患于未然

為發(fā)現(xiàn)未授權(quán)AP的出現(xiàn)，應(yīng)定期開展AP搜尋，主動(dòng)找尋并移除這些AP有助于增強(qiáng)網(wǎng)絡(luò)之安全性。定期檢查AP的設(shè)定參數(shù)以確定未被改變而成為安全漏洞。某些WLANGateway，或某些硬件或軟件都有自動(dòng)的RogueAP偵測(cè)功能，可大大簡(jiǎn)化工作負(fù)擔(dān)。

從忽視到重視校園無(wú)線網(wǎng)絡(luò)的安全思考

2006年9月19日9:26來(lái)源：賽迪網(wǎng)作者：王亞明網(wǎng)友評(píng)論0條進(jìn)入論壇

[被屏蔽廣告]

從已經(jīng)部署無(wú)線網(wǎng)絡(luò)的學(xué)校的方案中不難看出，不少存在安全問題。最重要的問題是非法授權(quán)的用戶可利用無(wú)線局域網(wǎng)的漏洞，入侵到有線局域網(wǎng)當(dāng)中，去竊聽或干擾信息。

作者簡(jiǎn)介

王亞明網(wǎng)絡(luò)安全專家，擁有10多年的高校網(wǎng)絡(luò)課程培訓(xùn)經(jīng)驗(yàn)，對(duì)無(wú)線校園網(wǎng)有多年的部屬經(jīng)驗(yàn)。目前主要研究方向是：IPV6安全和網(wǎng)絡(luò)安全架構(gòu)。

校園網(wǎng)中“教師人手一機(jī)”和學(xué)生自帶筆記本等無(wú)線設(shè)備不斷增加，很多學(xué)校都已經(jīng)把無(wú)線校園網(wǎng)的建設(shè)納入到校園網(wǎng)改造和升級(jí)范圍內(nèi)。但是，從許多已經(jīng)部署無(wú)線網(wǎng)絡(luò)的學(xué)校的方案中不難看出，大都存在安全問題。

*從忽視到重視的轉(zhuǎn)變

學(xué)校布設(shè)無(wú)線局域網(wǎng)絡(luò)的需求一般包括為：“教師或者學(xué)生安裝無(wú)線網(wǎng)卡，進(jìn)行簡(jiǎn)單的設(shè)置就可以在教學(xué)區(qū)和辦公區(qū)漫游使用，在整個(gè)校園內(nèi)連接到校園網(wǎng)上，從辦公區(qū)到教學(xué)樓、從操場(chǎng)到主席臺(tái)都可以實(shí)現(xiàn)移動(dòng)漫游連接互聯(lián)網(wǎng)?！?/p>

非法授權(quán)的用戶可利用無(wú)線局域網(wǎng)（WLAN）的漏洞，入侵到有線局域網(wǎng)當(dāng)中，去竊聽或干擾信息非常容易。

早期的無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)安全性并不完善，技術(shù)上存在一些安全漏洞，主要提到的安全問題也是針對(duì)802.11b協(xié)議搭建的WLAN而言。

802.11b存在著加密和頻率問題，例如：802.11b采用WEP，在鏈路層進(jìn)行RC4對(duì)稱加密，還比如802.11b采用的2.4GHz頻率和藍(lán)牙設(shè)備、微波爐等很多設(shè)備相同，這樣很容易造成相互干擾。

*WLAN面臨的威脅

對(duì)WLAN來(lái)說(shuō)，其安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個(gè)方面?？梢哉f(shuō)，所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都同樣存在。同時(shí)，任何不可信的無(wú)線設(shè)備可以在信號(hào)覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試，一定程度上暴露了網(wǎng)絡(luò)的存在。

同時(shí)，外部人員可以通過無(wú)線網(wǎng)絡(luò)繞過防火墻，對(duì)學(xué)校內(nèi)部數(shù)據(jù)非法存?。粌?nèi)部教師和學(xué)生可以私自設(shè)置無(wú)線網(wǎng)卡，使用例如P2P等方式與外界通信，大量占據(jù)可用帶寬。在實(shí)際工作中，有可能遇到的威脅主要包括以下幾個(gè)方面：

信息重放

在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為，即使采用了VPN等保護(hù)措施也難以避免。中間人攻擊則對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙，進(jìn)而對(duì)信息進(jìn)行竊取和篡改。

WEP破解

現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序，能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰。

根據(jù)監(jiān)聽無(wú)線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無(wú)線主機(jī)數(shù)量，最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰。

網(wǎng)絡(luò)竊聽

一般說(shuō)來(lái)，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會(huì)使處于無(wú)線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解（讀?。┩ㄐ?。由于入侵者無(wú)需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò)，所以，這種威脅已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問題之一。

MAC地址欺騙

通過上面提到的網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù)，從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。

拒絕服務(wù)

攻擊者可能對(duì)AP進(jìn)行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果最為嚴(yán)重的攻擊方式。此外，對(duì)移動(dòng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱為能源消耗攻擊。

*實(shí)現(xiàn)目標(biāo)與協(xié)議標(biāo)準(zhǔn)

為了保護(hù)無(wú)線網(wǎng)路免于攻擊入侵的威脅，用戶主要應(yīng)該在提高使用的安全性、達(dá)成通信數(shù)據(jù)的保密性、完整性、使用者驗(yàn)證及授權(quán)等方面予以改善，實(shí)現(xiàn)最基本的安全目的。

提供接入控制：驗(yàn)證用戶，授權(quán)他們接入特定的資源，同時(shí)拒絕為未經(jīng)授權(quán)的用戶提供接入；

確保連接的保密與完好：利用強(qiáng)有力的加密和校驗(yàn)技術(shù)，防止未經(jīng)授權(quán)的用戶竊聽、插入或修改通過無(wú)線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)；

防止拒絕服務(wù)（DoS）攻擊：確保不會(huì)有用戶占用某個(gè)接入點(diǎn)的所有可用帶寬，從而影響其他用戶的正常接入。

*經(jīng)驗(yàn)分享

如何選擇一種適合學(xué)?，F(xiàn)在與未來(lái)使用的無(wú)線安全措施？它如何納入整體安全政策之中？筆者經(jīng)歷過很多無(wú)線校園網(wǎng)的工程，感觸如下：

1.結(jié)合現(xiàn)有設(shè)備

WLAN由于易于架設(shè)，要考慮到在學(xué)校中的普及速度。如一開始只有一臺(tái)AP及10個(gè)Client，但沒多久就成長(zhǎng)到20臺(tái)AP及500個(gè)Client！只有一臺(tái)AP之情況下的安全措施與30臺(tái)AP的安全措施是完全不同的。若所采用的安全措施不能隨著網(wǎng)絡(luò)快速成長(zhǎng)則屬浪費(fèi)。

一般情況下，假設(shè)學(xué)校已經(jīng)具有如入侵偵測(cè)系統(tǒng)(IntrusionDetectionSystem)、防火墻、RADIUS等系統(tǒng)。在做WLAN安全措施時(shí)，若能利用這些現(xiàn)有資源最適合，如802.1x/EAP與RADIUS的結(jié)合。

2.要有預(yù)見性

新建校園網(wǎng)絡(luò)可以參考市面已有的技術(shù)：如VPN、防火墻、IDS、以及802.1x/EAP等標(biāo)準(zhǔn)，大方向上應(yīng)先決定使用企業(yè)級(jí)AP或WLANGateway。

企業(yè)級(jí)AP能將安全策略推到AP而達(dá)Client，而且適合搭配802.1x/EAP，亦即從第二層就開始作防護(hù)。若使用低階AP搭配Gateway，則只能依靠Gateway的VPN，二層信息暴露無(wú)疑。

3.防患于未然

為發(fā)現(xiàn)未授權(quán)AP的出現(xiàn)，應(yīng)定期開展AP搜尋，主動(dòng)找尋并移除這些AP有助于增強(qiáng)網(wǎng)絡(luò)之安全性。定期檢查AP的設(shè)定參數(shù)以確定未被改變而成為安全漏洞。某些WLANGateway，或某些硬件或軟件都有自動(dòng)的RogueAP偵測(cè)功能，可大大簡(jiǎn)化工作負(fù)擔(dān)。