基于Wi-Fi校園網(wǎng)的安全防護

文/韓華鋒

基于802.11協(xié)議的無線局域網(wǎng)接入技術Wi-Fi具有無需布線、用戶移動性、建設便捷性、投資經(jīng)濟性等優(yōu)勢，在促進校園無線網(wǎng)絡建設中將起到巨大的革新作用。Wi-Fi接入作為有線網(wǎng)絡的延伸，與有線網(wǎng)絡相比，它由于其物理上的公開性，經(jīng)常遇到各方面的威脅。

Wi-Fi校園網(wǎng)絡面臨的主要安全威脅

未經(jīng)授權使用服務

很少用戶使用AP時在其默認的配置基礎上進行過修改，幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用原廠提供的默認密鑰。由于無線局域網(wǎng)的開放訪問方式，未經(jīng)授權擅自使用無線網(wǎng)絡服務會對正常用戶造成很惡劣的影響。一是會影響到正常用戶的網(wǎng)絡訪問速度；二是會對按照網(wǎng)絡流量繳納上網(wǎng)服務費用的用戶造成直接經(jīng)濟損失，甚至可能會導致法律糾紛；三是未經(jīng)授權使用無線網(wǎng)絡會增加正常用戶遭遇攻擊和被入侵的概率；四是如果未經(jīng)授權的用戶利用無線網(wǎng)絡進行黑客行為造成安全事件，可能會導致ISP中斷服務，正常用戶可能受到牽連。

非法AP

由于任何聲稱是一個AP且廣播正確服務裝置的識別都是網(wǎng)絡認證的一部分，并且IEEE802.11協(xié)議沒有任何功能要求一個AP證明它確實是一個AP。因此，攻擊者可以通過利用未經(jīng)認證的AP偽裝到網(wǎng)絡中，輕易地假裝成一個AP。偽造AP的方式一般有以下兩種。一種假冒AP的方式是采用偽裝的方式，利用專用軟件將攻擊者指定的某個終端設備（包括計算機）偽裝成AP；另一種是攻擊者拿一個真實的AP，非法接入到被入侵的網(wǎng)絡中，而授權的客戶端就會無意識地連接到這個AP上來，給網(wǎng)絡和正常用戶帶來很大安全隱患。

信息泄露

由于無線局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體，因此在一個無線訪問點所服務的區(qū)域中未被授權的客戶端也可以接收。因此，無線網(wǎng)絡比較容易入侵，造成信息泄露。泄露威脅包括竊聽、截取和監(jiān)聽。由于大多網(wǎng)絡通信都是以非加密的方式在網(wǎng)絡上傳輸?shù)?，因此通過觀察、監(jiān)聽、分析數(shù)據(jù)流和數(shù)據(jù)流模式，就能夠得到用戶的網(wǎng)絡通信信息。

服務和性能限制

無線局域網(wǎng)的傳輸帶寬是有限的，而且由于物理層的開銷，使無線局域網(wǎng)的實際最高有效吞吐量僅為標準的一半，并且該帶寬是被AP所有用戶共享的。無線帶寬可以被幾種方式吞噬：來自有線網(wǎng)絡遠遠超過無線網(wǎng)絡帶寬的網(wǎng)絡流量，如果攻擊者從快速以太網(wǎng)發(fā)送大量的Ping流量，就會輕易地吞噬AP有限的帶寬；如果發(fā)送廣播流量，就會同時阻塞多個AP；利用非法的數(shù)據(jù)流覆蓋Wi-Fi所有的頻段（2400～2483. 5MHz這83. 5MHz頻段），導致服務器負荷超載，使得合法的業(yè)務需求無法被接收或者是正常的數(shù)據(jù)流不能到達用戶或接入點。另外，微波爐、嬰兒監(jiān)視器、無繩電話等工作在2. 4GHz頻段上的設備都會干擾整個頻率上的無線網(wǎng)絡，甚至導致網(wǎng)絡癱瘓。

非法侵入

無線局域網(wǎng)為了能夠使用戶發(fā)現(xiàn)，網(wǎng)絡持續(xù)發(fā)送有特定參數(shù)的信標幀，這樣就給攻擊者提供了必要的網(wǎng)絡信息。入侵者通過高靈敏度天線可以從公路邊、樓宇中以及其他任何地方不需要任何物理方式的侵入而對網(wǎng)絡發(fā)起攻擊。一旦攻擊者進入無線網(wǎng)絡，它將成為進一步入侵其他系統(tǒng)的起點。很多網(wǎng)絡都有一套經(jīng)過精心設置的安全設備作為網(wǎng)絡的外殼，以防止非法攻擊，但是在外殼保護的網(wǎng)絡內(nèi)部確是非常的脆弱和容易受到攻擊的。此外，通過簡單配置無線網(wǎng)絡就可快速地接入主干網(wǎng)絡，但這樣會使主干網(wǎng)絡暴露在攻擊者面前。即使有一定邊界安全設備的網(wǎng)絡，同樣也會使重要網(wǎng)絡暴露出來從而遭到攻擊。

入侵者破解Wi-Fi網(wǎng)絡方法

WEP加密破解

收集足夠的Cap數(shù)據(jù)包（5～15萬），然后使用aircrack破解，在無客戶端情況下都可以采用主動注入的方式破解。

WPA加密破解

在合法的客戶端在線的情況下，接收包含握手信息的Cap數(shù)據(jù)包，然后使用aircrack破解。入侵者通常主動攻擊合法客戶端使其掉線，合法客戶端掉線后再與AP重新握手，入侵者即可抓到包含握手信息的數(shù)據(jù)包，或可守株待兔等待合法的客戶端上線與AP握手。

WPA-PSK 破解

WPA-PSK/WPA2-PSK（TKIP，AES）是目前主流的加密方式，破解無線WPA-PSK加密難度較大，目前主要依賴字典，受單機CPU運算主頻限制。目前單機速度主要100～400key/s，破解8～12位密碼耗費時間大概需要70～280小時。

Wi-Fi配置安全防范措施

加強安全認證

加強安全認證是最好的防御方法，也就是阻止未被認證的用戶進入網(wǎng)絡。由于訪問特權是基于用戶身份的，所以進行認證的前提是對認證過程進行加密，通過VPN技術能夠有效地保護通過電波傳輸?shù)木W(wǎng)絡信息。一旦網(wǎng)絡成功配置，嚴格的認證方式和認證策略將是至關重要的。另外還需要定期對無線網(wǎng)絡進行測試，以確保網(wǎng)絡設備使用了安全認證機制，并確保網(wǎng)絡設備的配置正常。

定期進行站點審查

入侵者在使用網(wǎng)絡之前會通過接收天線找到未被授權的網(wǎng)絡，所以盡可能頻繁地進行物理站點的監(jiān)測可增加發(fā)現(xiàn)非法配置站點存在的機率，但是這樣會花費很多的時間并且移動性很差。一種折中的辦法是選擇小型的手持式檢測設備，隨時到網(wǎng)絡的任何位置進行檢測。

隔離無線網(wǎng)絡和核心網(wǎng)絡

在網(wǎng)絡規(guī)劃中布置Wi-Fi設備時可以使用防火墻把有線校園網(wǎng)絡和多個無線網(wǎng)絡分開，或考慮在周邊網(wǎng)絡內(nèi)布建無線存取網(wǎng)絡，這樣即使無線客戶端被破解，入侵者還是無法攻擊有線網(wǎng)絡。如果學校沒有專門防火墻也可以跟VLAN結臺起來，把無線網(wǎng)絡單獨劃分一個或幾個VLAN，這些VLAN不能訪問校園的任何有線網(wǎng)絡。無線網(wǎng)絡上的使用者需要訪問有線網(wǎng)絡的時候必須使用VPN隧道技術。

網(wǎng)絡檢測

很多AP可以通過SN-MP報告統(tǒng)計信息，但是信息十分有限，不能反映用戶的實際問題。無線網(wǎng)絡測試儀則能夠如實反映當前位置信號的質(zhì)量和網(wǎng)絡健康情況，還可以有效識別網(wǎng)絡速率、幀的類型，幫助進行網(wǎng)絡故障定位。

加強網(wǎng)絡訪問控制

通過強大的網(wǎng)絡訪問控制可以減少無線網(wǎng)絡遭遇攻擊的風險，一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的泄漏。當然如果將AP安置在像防火墻這樣的網(wǎng)絡安全設備的外面，最好考慮通過VPN技術連接到主干網(wǎng)絡，更好的辦法是使用基于IEEE802.1X的新的無線網(wǎng)絡產(chǎn)品。IEEE802.1X定義了用戶級認證的新的幀類型，借助于校園網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫，將前端基于IEEE802.1X無線網(wǎng)絡的認證轉(zhuǎn)換到后端基于有線網(wǎng)絡的RASIUS認證。

使用可靠的協(xié)議進行加密

如果無線網(wǎng)絡用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠遠不夠的，需要進一步采用像SSH、SSL、IPSec等加密技術來加強數(shù)據(jù)的安全性。

做好無線設備的安全配置

無線路由器或中繼器是無線網(wǎng)絡中最重要的設備之一。一般來說，同品牌的無線設備訪問地址都是相同的，如192.168.1.1等；而其默用的用戶名、密碼也大多為admin；其SSID標識也都一樣。如果不修改這些默認的設置，那么入侵者則可以非常容易地通過掃描工具找到這些設備并進入管理界面，獲得設備的控制權。因此，修改默認設置是項最基本的安全措施。無線安全設置主要包括：禁止 SSID廣播、過濾MAC、關閉DHCP，設置密鑰、防Ping等，這不僅對無線網(wǎng)絡設備有用，對其他共享上網(wǎng)的ADSL、路由等同樣有效。

網(wǎng)絡技術不斷在更新，新的安全漏洞也會不斷出現(xiàn)，我們需要做的就是不斷加強的安全意識，而不是一味地去防范新的破解技術。網(wǎng)絡安全與加密、認證等機制有關，而且還需要入侵檢測、防火墻等技術的配合來共同保障，因此基于Wi-Fi校園網(wǎng)的安全需要從多層次來考慮，綜合利用各種技術來實現(xiàn)。