中小學(xué)校園無線局域網(wǎng)組建及安全

摘 要：安全問題是自無線局域網(wǎng)誕生以來一直困擾其發(fā)展的重要原因，本文研究了現(xiàn)階段無線局域網(wǎng)面臨的主要安全問題，并介紹了相應(yīng)的解決辦法。

關(guān)鍵詞：無線局域網(wǎng)安全；802.11；AAA；Radius

中圖分類號：TN925.93

隨著生產(chǎn)生活水平的不斷提高，人類對網(wǎng)絡(luò)通訊的需求也在不斷提高。今天，人們已不僅僅滿足于在固定環(huán)境中進(jìn)行通信，還希望隨時(shí)隨地都能夠進(jìn)行語音、數(shù)據(jù)和圖像通信。這樣，可進(jìn)行移動通信的無線網(wǎng)絡(luò)就應(yīng)運(yùn)而生了。無線局域網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。通俗的說，無線局域網(wǎng)就是在不采用傳統(tǒng)線纜的同時(shí)，提供以太網(wǎng)或者令牌環(huán)網(wǎng)絡(luò)的功能。無線局域網(wǎng)絡(luò)廣泛應(yīng)用與醫(yī)院、學(xué)校、金融、制造業(yè)等等，甚至現(xiàn)在很多餐廳點(diǎn)菜都是采用無線網(wǎng)絡(luò)技術(shù)。影響無線網(wǎng)絡(luò)發(fā)展的兩個(gè)因素，一個(gè)是速度，一個(gè)是安全。近幾年速度上得到了很大的提升，安全性也在最近幾年引起了大家廣泛的關(guān)注。滿足家庭及小型辦公需求的無線已經(jīng)日趨成熟，大家隨處都能見到無線設(shè)備的身影，現(xiàn)在大家都喜歡用智能手機(jī)，而家中或單位如果有無線設(shè)備，大家就能夠享受免費(fèi)快速的無線網(wǎng)絡(luò)了。

1 無線局域網(wǎng)組網(wǎng)技術(shù)

1.1 對等組網(wǎng)

多個(gè)裝有無線適配卡的PC，放在有效距離內(nèi)，組成對等網(wǎng)絡(luò).這類網(wǎng)絡(luò)無需經(jīng)過特殊組合或?qū)Ｈ斯芾?，任何兩個(gè)移動式PC之間不需中央服務(wù)器就可以相互對通。

優(yōu)點(diǎn)：配置簡單，可實(shí)現(xiàn)點(diǎn)對點(diǎn)多點(diǎn)連接。

缺點(diǎn)：不能連接外部網(wǎng)絡(luò)。

適用：用戶數(shù)較少的網(wǎng)絡(luò)。

1.2 基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)（以AP為中心的網(wǎng)絡(luò)）

訪問點(diǎn)是連接在有線網(wǎng)絡(luò)上，每一個(gè)移動式PC都可經(jīng)服務(wù)器與其它移動式PC實(shí)現(xiàn)網(wǎng)絡(luò)的互連互通，每個(gè)訪問點(diǎn)可容納許多PC，視其數(shù)據(jù)的傳輸實(shí)際要求而定，一個(gè)訪問點(diǎn)容量可達(dá)15到63個(gè)PC。

AP為無線訪問點(diǎn)，工作模式為兩種，一種叫胖AP，一種叫瘦AP，瘦AP與胖AP的區(qū)別如下：無線接入點(diǎn)（AP，Access Point）也稱無線網(wǎng)橋、無線網(wǎng)關(guān)，也就是所謂的“瘦”AP。此無線設(shè)備的傳輸機(jī)制相當(dāng)于有線網(wǎng)絡(luò)中的集線器，在無線局域網(wǎng)中不停地接收和傳送數(shù)據(jù)；任何一臺裝有無線網(wǎng)卡的PC均可通過AP來分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源。理論上，當(dāng)網(wǎng)絡(luò)中增加一個(gè)無線AP之后，即可成倍地?cái)U(kuò)展網(wǎng)絡(luò)覆蓋直徑；還可使網(wǎng)絡(luò)中容納更多的網(wǎng)絡(luò)設(shè)備。每個(gè)無線AP基本上都擁有一個(gè)以太網(wǎng)接口，用于實(shí)現(xiàn)無線與有線的連接。業(yè)界所謂的“胖”AP，其學(xué)名應(yīng)該稱之為無線路由器。無線路由器與純AP不同，除無線接入功能外，一般具備WAN、LAN兩個(gè)接口，多支持DHCP服務(wù)器、DNS和MAC地址克隆，以及VPN接入、防火墻等安全功能?！盁o線交換機(jī)+瘦無線接入點(diǎn)”解決方案是近年來新興的無線局域網(wǎng)解決方案架構(gòu)技術(shù)，其推出的目的，就是為了解決原有的胖AP產(chǎn)品無法集中管理和集中部署安全策略的重大缺陷。在這套解決方案架構(gòu)中，由三個(gè)部分組成，分別是瘦無線接入點(diǎn)、無線交換機(jī)/控制器、無線網(wǎng)管平臺。無線交換機(jī)/控制器：無線交換機(jī)/控制器是一種高性能的服務(wù)器架構(gòu)產(chǎn)品，在無線網(wǎng)絡(luò)中的功能是管理中心設(shè)備，它通過國際標(biāo)準(zhǔn)的CAPWAP加密隧道與瘦AP建立通信，并全面控制瘦AP，瘦AP本身并不保存配置，只有受到無線交換機(jī)/控制器的控制才能工作，因此，所有用戶的連接、訪問、認(rèn)證、權(quán)限、安全的信息都要受到無線交換機(jī)/控制器的管理。無線網(wǎng)管平臺：作為全網(wǎng)的統(tǒng)一管理中心平臺，所有無線設(shè)備的功能、無線用戶的信息、無線鏈路的監(jiān)測、拓?fù)洹o線定位、告警、配置、報(bào)表，全部都會直觀地通過網(wǎng)管平臺反映并操作，并由無線交換機(jī)/控制器來執(zhí)行。這種無線部署成本較高，學(xué)校可以根據(jù)自己實(shí)際情況來決定，我校采用的是瘦AP加radius認(rèn)證技術(shù)來實(shí)現(xiàn)，雖然不能實(shí)現(xiàn)集體管理，也沒有統(tǒng)一的網(wǎng)管平臺，在兼顧經(jīng)濟(jì)性的同時(shí)也充分實(shí)現(xiàn)了安全。

2 無線網(wǎng)絡(luò)安全性

WEP（Wired Equivalent Privacy，有線等效保密）是802.11標(biāo)準(zhǔn)安全機(jī)制的一部分，用來對無線傳輸?shù)?02.11數(shù)據(jù)幀進(jìn)行加密，在鏈路層提供保密性和數(shù)據(jù)完整性的功能。但WEP的安全性很弱。幾年前我們買到的無線設(shè)備如D-LINK，加密方式默認(rèn)為WEP，這種加密方式算法本身就存在很大漏洞，不管是否有無線客戶端，我們利用工具幾分鐘就能破解出密碼，現(xiàn)在新出的設(shè)備幾乎都用紅色字體標(biāo)出強(qiáng)烈建議不要使用WEP來加密，默認(rèn)加密方式也改為WPA。WPA（Wi-Fi Protected Access，Wi-Fi網(wǎng)絡(luò)保護(hù)訪問）是Wi-Fi聯(lián)盟（WFA）為了彌補(bǔ)WEP缺陷采用的最新安全標(biāo)準(zhǔn)。WPA實(shí)現(xiàn)了IEEE 802.11i 標(biāo)準(zhǔn)的部分內(nèi)容，是在IEEE 802.11i完善之前替代WEP的過渡方案。WPA采用了TKIP（Temporal Key Integrity Protocol，暫時(shí)密鑰完整性協(xié)議）和IEEE 802.1x來實(shí)現(xiàn)WLAN的訪問控制、密鑰管理和數(shù)據(jù)加密，針對WEP出現(xiàn)的安全問題加以改進(jìn)。對于家庭用戶建議使用WPA來對網(wǎng)絡(luò)進(jìn)行加密，對于單位如果無線設(shè)備較多，建議，一方面提供更加可靠統(tǒng)一的安全管理，一方面能夠有效降低AP的工作負(fù)擔(dān)，更專一的提供高效的接入服務(wù)。

我校教師都配置了筆記本電腦，無線網(wǎng)卡幾乎是現(xiàn)在筆記本的標(biāo)準(zhǔn)配置，教師辦公室人員眾多，如果鋪設(shè)線路，交換機(jī)成本較大，且線路較為復(fù)雜，不變移動。后來考慮在辦公室內(nèi)部放置無線AP設(shè)備，大家用筆記本連入學(xué)校局域網(wǎng)更為方便。但考慮安全性及無線設(shè)備速度問題，我校使用radius服務(wù)來做認(rèn)證，無線AP上不加密。Radius服務(wù)器可以采用思科的ACS 4.0，或者采用設(shè)置更為方便的windows 2003自帶的IAS服務(wù)（internet 驗(yàn)證服務(wù)）。

3 具體實(shí)施步驟

（1）安裝IAS：網(wǎng)絡(luò)服務(wù)—internet驗(yàn)證服務(wù)。

（2）啟動服務(wù)，若在域，需要在AD中注冊服務(wù)器。

（3）為IAS安裝證書，搭建配置CA服務(wù)器，或者安裝萬維網(wǎng)服務(wù)中的遠(yuǎn)程管理（默認(rèn)安裝一個(gè)為期一年的證書）。

（4）添加RADIUS客戶端，添加無線AP為客戶端。

（5）添加遠(yuǎn)程訪問策略，將認(rèn)證用戶添加到策略中。受保護(hù)的EAP，配置選中啟動快速重連接。

（6）設(shè)置遠(yuǎn)程接入權(quán)限，如果用戶過多，就可以采用下面方法：“Internet驗(yàn)證服務(wù)”控制臺——遠(yuǎn)程訪問策略中找到剛才創(chuàng)建好的策略，查看屬性，點(diǎn)擊“編輯配置文件”選擇“高級”選項(xiàng)卡，點(diǎn)擊“添加”選擇“忽略用戶的撥入屬性”，點(diǎn)擊“添加”選中忽略用戶的撥號內(nèi)容。屬性為真。經(jīng)過以上配置之后，即可忽略用戶屬性里面的撥入權(quán)限設(shè)置。

（7）配置RADIUS客戶端：安全和加密方式選擇WPA-TKIP。

（8）無線客戶端設(shè)置方法：連接無線網(wǎng)絡(luò)，調(diào)整屬性。網(wǎng)絡(luò)驗(yàn)證為WPA，數(shù)據(jù)加密：TKIP，驗(yàn)證選項(xiàng)卡，選中受保護(hù)的EAP，屬性取消驗(yàn)證服務(wù)器證書，驗(yàn)證方法選中EAP，配置，取消自動使用windows登錄用戶密碼驗(yàn)證。

上述方法即可實(shí)現(xiàn)經(jīng)濟(jì)安全快速的無線局域網(wǎng)，如果學(xué)校預(yù)算較為寬松，可以采用瘦無線接入點(diǎn)、無線控制器、無線網(wǎng)管平臺這種模式。我校在這里將無線控制器及無線網(wǎng)管平臺省去，利用windows 2003自帶的IAS服務(wù)來實(shí)現(xiàn)。如果不希望做AAA radius認(rèn)證服務(wù)，可以采用8位以上強(qiáng)密碼的WPA加密方式來加密，但是為了更加安全，建議在學(xué)校安全設(shè)備上做無線網(wǎng)卡mac綁定、mac地址過濾等。以上為我在學(xué)校實(shí)現(xiàn)無線網(wǎng)絡(luò)組建及使用過程中總結(jié)的經(jīng)驗(yàn)，希望拿出來與大家分享。

參考文獻(xiàn)：

[1]郭苗.淺析校園無線網(wǎng)絡(luò)的安全與防護(hù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（05）.

[2]陳霄.無線局域網(wǎng)安全技術(shù)在校園網(wǎng)上的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（05）.

作者單位：新疆農(nóng)業(yè)大學(xué)附屬中學(xué)，烏魯木齊 830000