无线网络安全分析与防护在智慧校园中的应用
2023-07-21朱建帮何军
朱建帮 何军
摘 要 随着信息技术的不断发展 传统校园网络和无线网络发展迅猛 为智慧校园无线网络的建设提供了可能 对无线网络特殊的部署方式和传输方式所存在的安全隐患进行分析 指出无线网络可能面临的威胁 并列举黑客常用的攻击手段 从技术层面和管理层面提出相应的防护措施 以确保校园拥有安全可靠的无线网络环境 无线移动业务的建设变得更加便捷 使得无线网络成为智慧校园建设中不可或缺的一部分 随着无线网络的发展 安全性问题不可避免地成了智慧校园建设中备受关注的重点之一 智慧校园的无线网络安全高度依赖管理者的技术水平 通过提高技术水平可以建立稳定的校园网络环境
关键词 无线安全 安全 智慧校园
中图法分类号tn915 文献标识码a
1 引言
无线网络所面临的安全威胁主要分为2 个部分,其中一种是主动攻击,指未经授权的实体接入网络,并修改信息、数据或文件内容的攻击方式,主动攻击的类型包括伪装攻击、重放攻击、篡改消息和拒绝服务攻击等[1] 。另一种是被动攻击,指未经授权的实体仅访问网络而不修改其中内容的攻击方式,被动攻击可能是简单的窃听或流量分析。其中,窃听是指攻击者监视消息传送并获取其内容,而流量分析是指攻击者通过监视消息的传输来分析通信方式,从而获得大量有价值的信息以便进一步对网络实施攻击。
2 智慧校园建设中无线网络存在的安全隐患
2.1 非法AP
由于无线网络的使用便利性,使智慧校园变得更加灵活,但也给网络管理员和安全人员带来了一定的工作难度。因为,任何人都可以通过自己购买的接入点(AP),无需授权即可连接到网络,许多部门也未经学校信息中心授权自行建立了无线局域网,这些部门的安全防护意识不强,从而给黑客提供了可乘之机。黑客可以利用非法AP 接入网络,从而带来重大安全隐患。攻击者可以在目标主机和合法AP 之间建立伪造的非法AP,并通过伪造数据包、恶意拦截流量以及修改内网用户的数据包内容,来获取内部用戶的敏感信息。伪造非法AP 攻击如图1 所示。
2.2 数据信息的非法截取
无线网络传输数据利用无线电波辐射完成,相较于传统有线网络,其连接更为便捷。但由于无线网络暴露在外,为了让用户发现网络的存在,必须向客户端发送带有特定参数的信标帧,这也给攻击者提供了入侵所需的网络信息。与有线网络相比,攻击者可以在无线网络接收范围内的任何地方进行攻击,而不需要进行物理接入,如在校园外的马路上或对面的高楼中。攻击者可以监听网络数据,然后对截获的数据包进行分析和整理,以获取有利信息。尽管现在网络安全意识已经加强,许多用户的敏感信息都进行了加密处理,但黑客往往会通过暴力破解捕获的数据来获取有用信息。截取无线信息攻击如图2 所示。
2.2 数据信息的非法截取
无线网络传输数据利用无线电波辐射完成,相较于传统有线网络,其连接更为便捷。但由于无线网络暴露在外,为了让用户发现网络的存在,必须向客户端发送带有特定参数的信标帧,这也给攻击者提供了入侵所需的网络信息。与有线网络相比,攻击者可以在无线网络接收范围内的任何地方进行攻击,而不需要进行物理接入,如在校园外的马路上或对面的高楼中。攻击者可以监听网络数据,然后对截获的数据包进行分析和整理,以获取有利信息。尽管现在网络安全意识已经加强,许多用户的敏感信息都进行了加密处理,但黑客往往会通过暴力破解捕获的数据来获取有用信息。截取无线信息攻击如图2 所示。
2.4 拒绝服务攻击(DOS)
由于无线网络传输的特性和独有的扩频技术,使其容易受到黑客攻击的威胁,其中拒绝服务攻击(Denial of Service)最为常见。攻击者通过发送大量的垃圾数据包来恶意占用主机或网络资源,以致合法用户无法正常使用网络资源。攻击成功的常用方法包括利用大量伪造的接入点,在相同的频率下发送垃圾数据包,从而造成无线网络内出现冲突,或发送大量非法或合法身份验证请求。拒绝服务攻击如图4所示。
3 科学应对智慧校园建设中无线网络威胁
3.1 建立科学的无线网络认证机制
为了提高智慧校园网络的安全性和可控性,需要对校内师生和访客接入无线网络进行严格的准入控制策略,以实现对无线网络安全的精细化管理。智慧校园可以独立部署一体化的身份认证平台,通过内置无线认证服务器和双因素令牌认证服务器,与行为管理设备对接,可以确保访客和师生安全连接无线网络,并通过实现上网行为实名审计来实现可追溯性。例如,通过“802.1x+AD+手机令牌动态密码认证”方式进行认证,通过802.1x 协议保证隧道层加密,防止数据被窃听。同时,通过手机令牌动态密码方式保障账号安全[2] 。
校内师生默认通过“802.1x+AD”进行认证,若认证不成功则转三层Portal,通过“AD+双因子”进行认证,认证成功绑定MAC,成功接入WLAN 网络,下次认证默认通过“802.1x+AD”方式;认证成功后再次连接无线网络时无需输入AD 账号密码(通过MAC 无感知认证)。
访客可以通过Portal 页面选择扫描认证二维码来获得接入网络的权限,系统会生成一个认证二维码,内部教师可以使用移动终端扫描访客终端Web 中的二维码(前提是内部教师的终端已经连接到无线网络)。扫描后,系统会在接待人员的终端页面提示输入授权信息,包括AD 账户和密码。接待人员输入正确的授权信息并点击授权按钮,若授权信息正确,则访客终端会提示已被授权并接入网络。若授权信息不正确或没有接待人员进行操作,则访客终端将没有任何系统响应。此外,系统会提示授权的有效期限,在扫描认证二维码模式下,不会显示其他认证登录方式,只会显示认证登录界面。
3.2 SSID 管理
SSID 是无线局域网的标识符,类似于无线局域网的命名。通常情况下,无线路由器会广播SSID 以便其他人可以搜索并连接上网。若不希望让别人知道无线网络的存在,则可以禁用SSID 广播功能,这样无线网络仍然可以正常使用,但不会在其他人的无线网络列表中显示。虽然禁用SSID 广播可能会影响首次连接速度,但可以提高网络的安全性。相较于隐藏SSID,还可以使用中文命名无线网络的SSID,无线嗅探工具无法正确识别中文SSID,从而无法获取明文信息,有效地保护了无线网络的安全性。
3.3 MAC 地址双重认证
针对无线网络的攻击,MAC 地址过滤是一种常用的防护方法。MAC 地址是网络中每台设备的唯一标识,需要统计内网中所有用户终端的MAC 地址,连接网络前在无线节点设备中导入统计终端的MAC 地址,只有当用户的MAC 地址和列表中的内容完全一致时,无线节点才允许客户端进行通信。但是,这种防护方法并不安全,因为现在很多攻击者可以伪造MAC 地址信息,从而使得MAC 地址过滤的防护并不可靠。因此,在实际应用中,可以通过双重认证相互结合的方法来弥补这个漏洞[3] 。具体而言,可以在计算机上绑定无线路由器或AP 的接入MAC 地址信息,以此来防范MAC 地址伪造攻击。在开启MAC 地址过滤的同时,双向绑定的方法可以有效地提高网络的安全性。
3.4 部署网络威胁检测系统
为提升智慧校园的网络服务质量和整体性能,建议在无线网络中部署流量感知系统,并与校园内的行为管理IDS 和防火墙系统联动配置,这样可以实时监控和分析校园内无线访问的流量,及时确认出现的异常访问行为,并定位跟踪异常区域、应用和服务器。通过这种方法,可以提高整个智慧校园应用的性能,并改善网络服务质量。
3.5 加强智慧校园管理和团队建设
在网络安全领域中有一条常识:80%的安全威胁来自网络内部,即使是拥有强大网络安全设备和设施的网络,若管理不规范、业务不熟练、内部管理松懈,则它们也会变得一无是处。因此,在構建智慧校园无线网络安全时,必须先做好校园内部的网络管理工作,包括提高管理人员的业务水平,培养其敏感的网络安全嗅觉和网络安全管理思想,同时制定严格的网络安全管理制度,并落实有效的网络安全管理程序。此外,管理人员还需接受培训,加强网络安全团队建设,设置网络安全专员,及时审查网络中可能存在的安全问题,并及时调整网络设备安全配置,排除和纠正网络安全隐患。最后,还需定期对校园内的师生进行网络安全宣传培训,以进一步加强无线网络防护,增强师生的网络安全意识。
4 结束语
随着信息技术的高速发展,智慧校园建设变得更加丰富化和智能化,其中无线网络的应用越来越广泛。然而,由于无线网络具有特定的安全风险,使得智慧校园的网络安全问题变得越来越严峻。除了面对有线网络相同的威胁,还需要应对无线网络特有的安全问题。因此,为了确保智慧校园的无线网络平稳有序地运行,需要加强内网安全管理,提高相关运维人员的培训和安全团队的建设水平。
参考文献:
[1] 张彬.智慧校园下的无线网络安全分析与防护[J].网络安全技术与应用,2022(10):82?83.
[2] 郭一缜.无线网络安全与防范技术[J].无线通信技术,2022,31(2):27?31.
[3] 杨正.羊城创业产业园无线网络安全及技术防范[J].无线互联科技,2022,19(3):8?10.
作者简介:
朱建帮(1994—),本科,助理实验师,研究方向:计算机网络、虚拟化技术、信息安全。
