摘要:随着笔记本电脑的普及和Internet接入需求的增长,有线网络已无法灵活满足校园网用户们对网络的需求,无线网络逐渐成为校园网解决方案的一个重要组成部分。同时,因校园无线局域网广泛应用而引发的通信安全问题,得到越来越多校园无线网用户的关注。该文针对校园无线局域网当前普遍存在的非法接入、非法侵入、WEB加密缺陷和802.11协议隐患这四大安全问题,探讨如何综合运用访问控制、防火墙、实时监控等多项技术,互相配合、加强管理,制定校园无线局域网通信安全策略,为提升校园无线局域网的安全性而努力。
关键词:校园无线局域网;网络安全问题;网络安全策略
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)01-0027-03
校园无线局域网的安全问题是一个较为复杂的系统工程,要考虑到用户、管理、技术三方面的因素。从严格的意义上来讲,百分百的网络安全系统是没有的,校园无线局域网安全策略的制定和部署,应针对校园无线局域网当前普遍存在的非法接入、非法侵入、WEB加密缺陷和802.11协议隐患这四大安全问题进行,综合运用访问控制、防火墙、实时监控等多项技术,互相配合、加强管理,在实践中寻找校园无线网使用与安保之间的矛盾平衡点,使制定的安全策略既不影响师生员工使用无线网,又不危及网络的安全性。
1 用户访问控制策略
1.1 MAC与IP地址绑定
网卡物理地址MAC具有唯一性且难以更改,绑定MAC地址与IP地址,即使该IP地址被非法接入和非法侵入者盗用或更改,但由于与合法用户的MAC不匹配,无法正常使用,从而提升了校园网信息资源的安全性。本控制策略让非法接入者无从下手,因为在用的信息点非法AP无法盗用;而备用的信息点IP网络管理员尚未分配,你若擅自指定IP,即使能进入网络,也会被下述访问控制过滤掉而无法得到服务。此外,MAC与IP地址绑定策略有效地消除802.11协议的隐患(如MAC地址欺骗、流量监听)。
1.2无线设备MAC过滤
过滤功能的实现是通过在无线网络节点设备中,手动设置允许或禁止访问网络的地址列表。本控制措施有效阻击了非法侵入者从无线节点设备进入校园网,因为他们的MAC不可能在本校无线AP中的MAC访问控制表有记录。同时,本控制措施也是对校园网合法无线用户的第二重保障。同样,本无线设备MAC过滤策略针对802.11协议中加密方式的隐患。
1.3代理服务器IP过滤
校园的Internet访问服务一般是采用代理服务器接入的共享方式,这种方式拥有普通的NAT技术所不具的有诸多优点,如通过缓存文件提高访问速度、减少网络流量,灵活的上网用户控制和监控,同时可配置各种过滤条件的WWW、FTP、Telnet、POP3、VPN、Remote Control等服务,提供各种数据加密、身份认证等安全功能,目前,在同样宽带下,代理服务共享方式支持的客户端访问Internet的速度响应是最快的。
代理服务器具有IP过滤的身份认证功能,所有允许通过宽带访问Internet的有线或无线合法用户的IP都由网络管理员统一录入白名单内,当访问请求出现时,代理服务器立即验证该请求是否具有合法IP,若否则拒绝访问。
1.4 应用服务器权限设置
无论是非法接入或非法侵入,受伤害最大的是储存着学校机密和重要信息数据的各种网络应用服务器。校园网所有信息服务都是由这些应用服务器提供的,一旦被攻击就会成为校园网的灾难。网络应用服务器的数据除了应可靠加密之外,首先要设置用户访问权限和资源使用权限,在源头上保护服务器。用户访问权限指自身被授予的权限级别,权限越高访问受控制的范围就越小;资源使用权限指应用服务器一方面限制访问用户,另一方面限制使用者读/写/修改的行为。
2 防火墙控制策略
如果从校园无线局域网的应用需求、规模及密集度上看,学校的公共场室(各中大型会议室、多媒体室、学生宿舍、图书馆、食堂、多功能体育馆及其他室内文体活动场所等)无线用户最多、最集中。但上述用户访问控制策略对这类随机性极大的无线用户基本上是失效的,因为MAC与IP地址绑定、无线设备MAC过滤、代理服务器IP过滤这些控制措施的实施条件必须是静态IP和MAC,而公共场室的无线用户大多数用智能手机,即使采用电脑,其无线网卡的管理权也不在校方。另外,出于低成本和搭建方便考虑,许多校园部署无线网时,直接在现行网络的接入层安装合法无线AP覆盖各公共场室,客观上导致校园无线网的安全处于失控状态。
防火墙控制策略的思路是将无线网公共使用区的安全防御交由校园网硬件防火墙承担,由于硬件防火墙的防御级别高、能力强,而且一向以来非法侵入者攻破硬件防火墙的几率极低。所以硬件防火墙一直都是保障校园网络安全的主力。图1是基于防火墙策略的无线网公共使用区配置拓扑图。
图示中硬件防火墙以内的是校园网工作专用区,在网络接入层部署N个无线AP,全面覆盖网络中心、实验楼、系部办公楼和图书楼;由于所有授课教室按校方规定应禁用无线网,所以无任何AP覆盖。为了网络安全的需要,专用区内所有合法无线用户的无线网卡必须接受校方管理,而且智能手机不能入网。硬件防火墙以外的是无线网公共使用区,网络中心为各公共场室配置接入交换机并合理安装无线AP,力求最佳覆盖面;然后通过一台汇聚交换机上联至路由器内网端口,再经NAT转换访问Internet。而硬件防火墙的安全过滤规则设置,禁止了任何公共场室的无线用户进入校园网内部网络,既保障了无线用户最大群体的使用,又维护了校园网的安全。
3 无线接入控制器策略
无线接入控制器策略是一种硬件控制策略,用来集中化控制无线AP,是一个无线网络的核心,负责管理无线网络中的所有无线AP,对AP管理包括:下发配置、修改相关配置参数、射频智能管理、接入安全控制等。最大的优点是控制速度快,网络流转效率高。采用无线接入控制器策略的先决条件是,无线用户的网卡必须能适配多种加密方式。图2是一个基于无线接入控制器的校园无线局域网参考原型。
本校园无线网的区别在于核心层与汇聚层之间串接了一台无线接入控制器,成为任何一个无线用户的必经之路。配置无线接入控制器策略,当无线用户接入网络时,可以通过无线接入控制器向各无线AP下发允许用户接入的列表,在ACP上进行接入控制,从而达到限制无线用户只能接入到指定位置AP 的目的。也可以从多个方向实行对学校无线网络的安全控制与管理,使学校在拥有如此庞大用户群的同时,保证网络处于良好的工作状态,并能进行网络运行实时检测和同步管理。
4 实时侦测策略
校园无线局域网通过上述安全策略的层层把关,安全级数日益提高,但仍不排除有漏网之鱼。总是会有非法接入和非法侵入者攻进校园网的,因此,实时侦测策略就非常重要。实时侦测是指随时随地进行网络在线侦查与检测,及时发现各种网络异象例如用户端的连接问题;访问请求数目不成比例主机、未授权用户等。实时侦测通过收集和分析无线网络的行为、安全日志、审计数据、检查网络系统中是否存在违反安全策略的行为和被攻击的迹象。
5 其他策略
5.1合理放置无线AP
首先确认每应用区域各无线用户的物理位置分布状况,两个最远点之间的距离的半径就是无线AP的覆盖范围,然后购买发射功率最合适的无线AP,应刚好覆盖最近点和最远点的无线用户。发射功率若过大,容易被他人接收而客观上造成非法侵入的事实;发射功率若过小,难以辐射到最远点的无线用户。若能购买发射功率可调的无线AP就更好,我们可以依据所需的信号覆盖半径调大或调小发射功率。将无线AP放置在应用区域的中央点,避免将无线AP放置在窗户附近,以防信号外泄。
5.2 修改默认设置
无线设备出厂的默认设置没有提供最大的安全保证,因此在使用无线网及其设备时应该修改默认设置,提高安全系数。
◇更改无线AP默认的登录初始口令和SSID。
◇开启无线AP加密功能。
◇隐藏SSID。
◇禁用或修改SNMP设置。
5.3 推广WPA加密方式
基于802.11i的WPA加密方式解决了WLAN原先采用的安全认证WEP的缺陷,这是因为WPA用新的加密算法以及用户认证,满足WLAN的安全需求。WPA是以软件方式实现的,能够提供高度可靠的安全保证。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有用户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的,WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP此前备受指责的缺点得以全部解决。
5.4 完善管理制度
为了配合校园无线网络的安全管理,不少学校已制定了相关的网络安全管理制度,但是这些管理制度普遍存在这样那样的缺陷,要么针对性不强,达不到制约的目的;要么一成不变,给不法分子钻了管理新漏洞的空子。现有的制度无法适应不断变更的网络管理需求,已经成为许多校园无线网络管理的通病,由于网络制度不起作用,频频出现人为因素影响网络性能,甚至造成网络安全故障。
网络安全管理制度是以人为本,面向广大用户和网络管理员的,应该根据用户访问权限划分不同层次的操作守则,对用户访问权限越高的操作者要求越严格;由于网络管理员的工作事关重大,在制约上必须更细更严,并且要设立有效的监管措施。
参考文献:
[1] 唐雄燕.宽带无线技术及应用[M].北京:电子工业出版社,2006:30-150.
[2] 杨军.无线局域网组建实战[M].北京:电子工业出版社,2006:100-160.
[3] 刘宝旭,蒋文保,王晓箴.黑客入侵的主动防御[M].北京:电子工业出版社,2007:2-226.
[4] 金纯,陈林星,杨吉云.IEEE 802.11无线局域网[M].北京:电子工业出版社,2004:1-20.
[5] 唐涛,白涛.网络组建与应用典型实例精粹[M].北京:电子工业出版社,2007:193-205.
[6] 蒋建军.网络实用技术[M].北京:上海交通大学出版社,2005:18-39.
相关热词搜索: 安全策略 无线局域网 通信 校园
