校园无线网安全现状与解决方案浅析
2012-03-31唐保存鸡西大学电气与信息工程学院黑龙江鸡西158100
唐保存 (鸡西大学电气与信息工程学院,黑龙江 鸡西 158100)
校园无线网安全现状与解决方案浅析
唐保存 (鸡西大学电气与信息工程学院,黑龙江 鸡西 158100)
随着笔记本的普及和对互联网的需求,教师与学生都迫切的希望能够在公共场所进行网上教学活动,有线网络无法满足用户对移动网络的需求,无线网络已经逐渐成为校园网的一个组成部分。对校园无线网络的安全性进行分析,并给出适合校园的无线网络解决方案。
无线网络;认证;解决方案
无线技术标准有多种,不管采用哪种无线技术标准,未来无线网络的传输速度与稳定性都将会不断升高,甚至还有可能超过有线网络。因此,无线网络将在不同的消费群体有很大的发展空间。在过去的很多年,网络的传输介质主要使光缆和同轴电缆,在有线网络的铺设、施工和综合布线的过程中工作量很大,同时具有破坏性,网络中各个节点的移动性不灵活[1],这就为无线网络的发展提供了一定的空间。但是,目前很多接入者没有采取适当的安全措施,即使一些初级黑客都有可能利用容易得到的廉价设备对无线网络进行攻击。为此,笔者对校园无线网络的安全性进行了分析,并给出适合校园的无线网络解决方案。
1 校园内无线网络的安全现状
随着校园内无线网络的陆续建成,在教室、会议室、办公室等场所,都有很多教师和学生利用笔记本电脑通过无线网络访问互联网。但是,使用无线网络的时候,网络的安全性也面临着严峻的考验。非法接入和带宽盗用等等安全隐患都一直存在无线网络中。对于安全问题,大部分研究者都把目光放在802.11i标准、硬件生产者、行业组织、WEP存在漏洞等上面了。然而笔者认为,研究无线网络的安全性问题应该从2个方面出发的,第1个是硬件生产者和行业组织应该致力于新技术、新标准的推出与统一,第2个是用户使用网络的安全意识。
无线网络的安全性与网络部署者是有直接关系的。如果是电信或者是网通部署的无线网络,那么无线网络的安全性是比较完善,网络中的用户将被进行强制身份认证。相比之下,很多家庭、校园和企事业单位等部门的无线网络已经成为了安全事故的频发重灾区,这些无线网络,大多数都是由集成商或者是由用户自己单独完成网络铺设的,而铺设者的安全意识、铺设技术水平都很有限,造成这些部门无线网络的防护措施不当、安全级别很低,形成了隐患,为非法用户入侵者提供了一定的可乘之机。
此外,校园网络中有不少无线访问点根本就没有考虑到访问的安全性,针对很基本的安全问题(如基于MAC地址的认证、共享密钥的认证)都没有进行设置。如果拿着笔记本电脑在校园内走动,就有很多的无线访问点会被搜索到,被搜索到的访问点几乎都没有进行安全设置,安全防范措施几乎都忽略了,可以相当容易的访问。可想而知,要是让不明身份的非法用户进入无线网络,就会有可能对校园网络造成一定的安全威胁。
2 校园内无线网络安全解决方案
考虑到在校园中用户的特殊性,为了更好的保障校园中无线网络的安全,可以采用不同的认证方法,即对不同类型的用户给予相应的认证。可以把校园网络中的用户主要分成为2个类别(即校内用户和临时用户)。
1)校内用户 老师和学生构成了校内用户,由于老师工作和学生的学习需要,他们要求对无线网络能随时的接入,来访问校园中的网络资源和访问互联网,这个类型用户的数据安全性要求比较高,如教师的科研成果 、研究资料及论文等,采用符合WPA安全架构的802.1x标准认证的接入方式[2],认证通过的用户将获得一个用户唯一的主密钥,通过该主密钥客户端和负责接入的AP将根据TKIP方法动态生成数据包唯一的加密密钥,通信双方以此进行通信加密。在校园有线网L3分布层交换机上配置VLAN的子接口,利用该子接口作为这个SSID所代表的VLAN的网关,对其进行路由转发。从而使通过认证的校园内部用户能够如同用有线接入一样访问整个校园网络,但是由于对无线通信进行了动态加密,保证了校园的敏感数据在空中传输的安全,有效地解决了校园无线应用的首要问题。
2)临时用户 临时用户主要是由来学校进行培训、进行学术交流或者是参观的用户构成的,临时用户对网络的安全需求并不是很高,他们对网络的需求主要是用来快速地接入互联网,浏览相应的网站和发收电子邮件等。对于用WEB方式认证的校外来访用户,当利用基于英特尔公司迅驰移动技术的笔记本电脑连接上无线接入点后,可以通过AC设备的DHCP服务或企业的专用DHCP服务器获得IP地址、网关和DNS信息[3],无须安装客户端软件,直接利用浏览器就可以通过充当WNC设备进行WEB方式认证,认证通过后就可以接入到Internet。为保证整个园区网络的安全性,对于该SSID接入的用户必须以WNC作为其网关设备,所以L3分布层交换机无须对该SSID所代表的VLAN进行路由转发。如果这些用户需要访问校园内部网络,可以通过在这一WNC设备上启用用户级的策略路由来实现。这样在保证一定安全性的基础上方便了来访用户或漫游用户的接入,提高了无线网络的易用性和灵活性。
[1]赵琴. 浅谈无线网络的安全性研究[J]. 机械管理开发,2008,12(1):32-33.
[2]杨峰,张浩军. 无线局域网安全协议的研究和实现[J]. 计算机应用,2007,25(1):11-13.
[3]黄劲荣. 无线局域网在校园网的应用[J]. 教育信息化,2009,15(1):44-45.
[编辑] 洪云飞
10.3969/j.issn.1673-1409.2012.01.037
TN925.93
A
1673-1409(2012)01-N116-02
