校園無線網(wǎng)絡(luò)安全綜合防御

趙建超，尹新富

ZHAO Jian-chao1，YIN Xin-fu2

（1.河南工業(yè)職業(yè)技術(shù)學(xué)院 計算機工程系，南陽 473009；2.鄭州經(jīng)貿(mào)職業(yè)學(xué)院，鄭州 450006）

0 引言

隨著帶有無線功能筆記本的普及，校園內(nèi)無線需求激增。無論是教師或者是學(xué)生都希望在校園內(nèi)隨時隨地接入網(wǎng)絡(luò)，因此無線校園網(wǎng)迅速得到了普及。但是由于無線網(wǎng)絡(luò)采用的是公共電磁波，類似早期的HUB，任何人都有條件竊聽或干擾信息。使用OmniPeek等抓包工具分析后，能夠比較容易的免費上網(wǎng)甚至入侵學(xué)校的服務(wù)器[1]。2008 WPA加密首先已經(jīng)被國外人員率先破解[2]。最近，Elcomsoft 推出ElcomSoft Distributed Password Recovery分布式密碼暴力破解工具，能夠利用Nvidia顯卡使WPA和WPA2無線密鑰破解速度提高100倍。由于軟件還允許數(shù)千臺計算機聯(lián)網(wǎng)進行分布式并行計算[3]，無線網(wǎng)絡(luò)受到的極大的威脅。

1 傳統(tǒng)的無線安全措施及其缺點

1.1 軟件安全設(shè)置及其優(yōu)缺點

傳統(tǒng)的軟件安全設(shè)置主要包括修改默認的SSID并禁止廣播和設(shè)置黑白MAC地址名單并綁定相應(yīng)的VLAN[4,5]。

每個無線網(wǎng)絡(luò)都有一個服務(wù)區(qū)標識符（SSID），類似windows中的域，只有SSID相同的無線客戶端（STA）才能通過AP（無線接入點）接入網(wǎng)絡(luò)。為適應(yīng)商業(yè)網(wǎng)絡(luò)STA經(jīng)常流動的需要，無線交換機通常默認啟用SSID的廣播。因為校園網(wǎng)的上網(wǎng)成員相對固定，因此，有必要禁用SSID廣播來提高網(wǎng)絡(luò)的安全性。通常設(shè)備制造商都在他們的產(chǎn)品中設(shè)了一個默認的SSID。例如思科linksys設(shè)備的SSID通常是“l(fā)inksys”，TPLINK的為“TP-LINK”。修改以阻止非授權(quán)的無線客戶端通過猜測來進入該網(wǎng)絡(luò)是最基礎(chǔ)的防護手段。

理論上說，任何一個網(wǎng)絡(luò)設(shè)備都一個獨一無二的物理地址，稱之為MAC地址。因此，在無線交換機上可以設(shè)置黑白名單：在黑名單上可以禁止一些MAC用戶接入，白名單為合法用戶，允許接入。

不過，上面的兩條安全措施僅僅只能在一定程度上防止網(wǎng)絡(luò)入侵。例如在XP系統(tǒng)下，用戶很容易修改自己網(wǎng)卡的MAC地址。另外，通過對無線抓包軟件的仔細分析后，也可以得到白名單的MAC地址。即使接入點禁止廣播 SSID，在客戶端和接入點之間來回傳送的流量最終也會暴露出SSID。即使攻擊者并非刻意監(jiān)控 RF 頻段，也可在上述傳輸過程中通過無線抓包軟件嗅探到 SSID，因為它是以純文本格式發(fā)送的。

1.2 無線加密傳輸及其優(yōu)缺點

由于WEP天然的缺陷[6]，所以很快推出了WPA。802.11i 規(guī)定了兩種企業(yè)級加密機制，分別是：TKIP（臨時密鑰完整性協(xié)議）和 AES（高級加密標準），這兩種加密機制已分別被 Wi-Fi 聯(lián)盟納入 WPA 和 WPA 2 認證中。

由于WPA TKIP協(xié)議的缺陷，破解者可以得到通信的密鑰，從而看到通信的數(shù)據(jù)。但是，由于WPA協(xié)議采用的是每一節(jié)點均使用一個不同的密鑰對其數(shù)據(jù)進行加密，因此不存在全部破解的問題，看到的僅僅某個用戶的數(shù)據(jù)。因此，校園網(wǎng)用戶不必草木皆兵。在關(guān)鍵區(qū)域，用戶可以采用其它的通信加密措施，讓整個通信過程更安全。比如可以使用VPN系統(tǒng)配合WPA進行工作，這樣即使數(shù)據(jù)被截獲，也無法看到真正的信息。

由于加密會耗費無線交換機的CPU資源，尤其在低檔的校園無線交換機上，無線網(wǎng)絡(luò)的安全特性極大影響傳輸性能。多次測試表明，當采用WEP128位加密傳輸模式時，網(wǎng)絡(luò)傳輸性能會損失28%-75%，傳輸性能的損失與交換機CPU處理速度直接相關(guān)。

2 綜合無線安全防護措施

軟件和加密協(xié)議簡單易行，但是僅僅靠上述方法無法實現(xiàn)校園網(wǎng)絡(luò)的安全。而應(yīng)該和其他手段共同配合來提高安全性。

2.1 天線的合理選用和布局

WLAN是工作在2.4G或者5.8G頻段。由于頻點很高，因此穿墻的能力非常弱，只能穿過一般的門窗。由于考慮的成本和覆蓋范圍考慮，不少學(xué)校AP配置的天線為桿狀全向天線。這種天線向周圍均勻發(fā)射，造成覆蓋范圍過大，使得入侵者很容易收到信號，從而入侵網(wǎng)絡(luò)。在校園的不同區(qū)域，應(yīng)該選用不同的天線類型和安裝方式。比如在普通教學(xué)區(qū)域，可以把AP布放在走廊邊，采用吸頂式定向天線伸出天花板進行安裝。如下圖所示。吸頂天線與平常使用的全向天線不同，它在內(nèi)部設(shè)計上增加了一個反射板，把輻射更多地向下反射，能夠提高輻射范圍的信號強度。使得覆蓋范圍內(nèi)信號很強，也覆蓋范圍之外信號變得非常弱（因為天線方向向下）。一方面可以實現(xiàn)有效覆蓋。另外，其他樓層來說由于是定向天線，加上穿過樓板后信號衰減，網(wǎng)絡(luò)不能覆蓋。因此入侵網(wǎng)絡(luò)基本變得極其困難。吸頂式天線價格很便宜，僅僅幾十元，很容易推廣。

在操場開闊地區(qū)，應(yīng)該采用全向天線以加強覆蓋。但是在天線選址的時候一定要注意盡可能的在操場中間，避免無線信號覆蓋校園其他部位。為了防止非法用戶入侵，還應(yīng)該加上其他身份認證措施。

2.2 合理配置AP發(fā)射功率

如果能夠滿足覆蓋要求的話，一定要設(shè)法降低AP的發(fā)射功率。功率降低會減少對其他AP的干擾，因為覆蓋范圍有限，又降低了網(wǎng)絡(luò)入侵的可能性。對于H3C無線AP來說，多數(shù)默認最大發(fā)射功率為100mW（20dBm），可以通過max-power 15命令，將最大功率降低為15dBm。在降低發(fā)射功率的時候，千萬不要采用摘掉天線的做法，否則可能對AP的發(fā)射管造成損壞。

2.3 接入進行身份認證

在有線網(wǎng)絡(luò)中，通常接入局域網(wǎng)中不進行身份認證。也有的學(xué)校在無線網(wǎng)絡(luò)建設(shè)中，采用了類似的模式，特別是部分高校和運營商合作，即校園網(wǎng)內(nèi)部不進行認證和收費，如果要上互聯(lián)網(wǎng)必須通過運營商的認證收費系統(tǒng)。這種認證模式客觀上會造成非法終端不經(jīng)過任何認證入侵校園網(wǎng)內(nèi)部，必須加以避免。

圖1 無線網(wǎng)絡(luò)認證結(jié)構(gòu)圖

在圖1中，任何接入到AP的無線網(wǎng)絡(luò)設(shè)備，必須通過認證服務(wù)器的認證才能夠接入網(wǎng)絡(luò)。設(shè)置身份認證身份驗證撥號用戶服務(wù)后，沒有合法授權(quán)的用戶將不能通過身份驗證，因此無線校園網(wǎng)解決了接入的安全問題。在實踐中可以通過應(yīng)用WPA、802.1x/EAP等無線安全技術(shù),與校園內(nèi)部的統(tǒng)一賬號管理平臺或者一卡通數(shù)據(jù)庫進行聯(lián)動聯(lián)動認證,無線接入認證系統(tǒng)對接入校園的無線辦公網(wǎng)絡(luò)的終端進行身份認證[7]。

2.4 對入侵者訴諸法律

無線定位可以分為軟件和硬件。硬件的有專門的無線電測向儀，可以對無線用戶進行定位。軟件如Ekahau公司的Ekahau Vision軟件，無需增加額外的硬件設(shè)施（如讀卡器、exciter、激勵器、天線等），利用現(xiàn)有無線網(wǎng)絡(luò)WiFi的網(wǎng)絡(luò)設(shè)備即可進行定位。其基于專利技術(shù)高精度算法的軟件，通過定位引擎計算定位，定位精度在3米左右，最高能至1米。如果發(fā)現(xiàn)有入侵的無線客戶端，可以使用定位系統(tǒng)或者無線電測向儀等共同配合進行查找[8]，將入侵者訴諸法律。

3 結(jié)論

由于無線網(wǎng)絡(luò)的開發(fā)性，在無線校園網(wǎng)時代，必須采用綜合的安全措施才能最大程度的保證網(wǎng)絡(luò)安全。這些措施不僅包括技術(shù)上的問題，必要的時候，對入侵者訴諸法律，將大大威懾網(wǎng)絡(luò)入侵行為。

[1]羅燕羽.WPA被破解后的對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009,4.

[2]WILDPACKETS,INC.OmniPeek Network Analyzer.[DB/OL].http://www.wildpackets.com/products/network_ analysis_and_monitoring/omnipeek_network_analyzer.[2009-9-1].

[3]Elcomsoft.Password recovery software.[DB/OL].http://www.elcomsoft.com/edpr.html#formats.[2010-9-1].

[4]呂海燕,呂紅,任穎,趙媛,周立軍.無線網(wǎng)絡(luò)的安全機制及其實施[J].中國現(xiàn)代教育裝備,2010,（03）.

[5]楊天化.淺談無線網(wǎng)絡(luò)安全及防范策略[J].浙江工貿(mào)職業(yè)技術(shù)學(xué)院學(xué)報，2010,（02）.

[6]袁愛杰,胡中棟,萬梅芬.基于無線網(wǎng)絡(luò)安全WEP協(xié)議的探究[J].計算機時代2009,（04）.

[7]陳亮,張鵬,陳旭翔,蔡世貴,毛仕文.基于統(tǒng)一賬號認證的無線接入綜合管理平臺[J].電信工程技術(shù)與標準化,2010,（06）：48-51.

[8]R·A·馬拉尼.無線網(wǎng)絡(luò)中的定位安全服務(wù)[P].中國專利：CN101044711,2007-09-26.