導(dǎo)語：大學(xué)WLAN組建及安全對策研討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：介紹了wlan的發(fā)展與應(yīng)用，分析了WALN的安全隱患。針對高校的實際條件，提出一種結(jié)合物理防范、加密處理、訪問控制、入侵檢測等多技術(shù)融合的安全策略。實踐表明，該安全策略能增強高校WLAN的安全性能，效果良好。

關(guān)鍵詞：WLAN高校安全多技術(shù)

1WLAN的概述

WLAN（WirelessLocalAreaNetworks，無線局域網(wǎng)）是指利用無線信號進行近距離數(shù)字通信的一種局域組網(wǎng)技術(shù)[1]。WLAN能提供例如以太網(wǎng)和令牌網(wǎng)等傳統(tǒng)技術(shù)的所有功能和優(yōu)勢，而且不受線纜限制，具有得天獨厚的優(yōu)勢。

傳統(tǒng)局域網(wǎng)，或如蜘蛛網(wǎng)般線纜泛濫成災(zāi)，極大影響美觀和使用，或在墻壁、地上開鑿布線區(qū)域，需要考慮的問題較多，工作繁瑣。對于臨時組網(wǎng)或不方便布線的應(yīng)用場合，有線網(wǎng)顯得捉襟見肘。而WLAN組網(wǎng)快捷、靈活、方便，只需要安裝配置AP（AccessPoint，接入點）即可上網(wǎng)。

2高校WLAN的安全隱患

WLAN具有有線網(wǎng)無法比擬的優(yōu)勢，產(chǎn)品和技術(shù)都比較成熟，因此高校中WLAN的發(fā)展如火如荼。例如，辦公室、學(xué)生宿舍、實驗室等場所都紛紛建立了WLAN。

當然，WLAN并非完美，它給用戶帶來便利的同時，也存在巨大的安全隱患。由于種種原因，造成WLAN一直飽受安全性不高的非議。據(jù)美國相關(guān)機構(gòu)的調(diào)查顯示，無線網(wǎng)絡(luò)的安全問題是用戶考慮的首要問題。在高校WLAN中，以辦公室為例，最主要的安全隱患有如下幾方面。

第一，蹭網(wǎng)。有的用戶為了達到不交網(wǎng)費就上網(wǎng)的目的，通過直接登陸或破解密碼等方法，連接到WLAN免費上網(wǎng)，也就是俗稱的蹭網(wǎng)。由于無線寬帶的實際流量非常有限，蹭網(wǎng)行為很容易影響合法用戶的正常使用。由于高校WLAN用戶的安全意識不高，很多網(wǎng)絡(luò)沒有登陸密碼，或采用默認密碼，或采用的加密算法薄弱，使得非法用戶通過功能強大的蹭網(wǎng)卡和相應(yīng)破解軟件，很容易成功登陸到WLAN。

第二，竊取文件。辦公室的網(wǎng)絡(luò)中，往往有多臺計算機、打印機、傳真機共享。非法用戶連接到WLAN后，就可以免費使用這些硬件資源，并竊取如學(xué)生信息、教師信息、考試試卷等文件，從而造成難以估計的嚴重后果。其實，即使是大企業(yè)，如果對WLAN把關(guān)不嚴，同樣會釀成巨大災(zāi)難。如美國黑客破解了零售業(yè)巨頭TJX公司的WLAN，從中竊取了數(shù)百萬個信用卡號碼、密碼和至少4500萬份客戶記錄，給該公司帶來了滅頂之災(zāi)[2]。

第三，攻擊和投放病毒。非法用戶登陸到高校WLAN后，可以通過地址解析ARP、拒絕服務(wù)DoS等方式向網(wǎng)絡(luò)中的合法用戶發(fā)起攻擊，使得合法用戶的正常上網(wǎng)出現(xiàn)困難。同時，非法用戶還可以借助該WLAN窺探其他網(wǎng)絡(luò)，或以其為跳板向別的網(wǎng)絡(luò)發(fā)起攻擊。另外，非法用戶還可以向網(wǎng)絡(luò)中投放木馬、病毒，極大地威脅合法計算機的安全。

第四，偽裝WLAN。非法用戶掌握某WLAN的信息后，可以通過大功率AP加上信號放大器建立一個冒牌的WLAN，誘導(dǎo)用戶登陸，監(jiān)控記錄用戶的輸入情況，或者引導(dǎo)用戶登陸到釣魚網(wǎng)站，從中竊取用戶的秘密。這種方式也叫蜜罐攻擊，是黑客慣用的手法，國內(nèi)外無數(shù)用戶的信用卡、郵箱、股票、游戲等賬號、密碼就是這樣被竊取的。

3多技術(shù)融合的高校WLAN安全策略

通過前面的分析可知，WLAN是不可逆轉(zhuǎn)的發(fā)展潮流，也存在巨大的安全隱患。那么，如何根據(jù)高校的實際條件，設(shè)計符合需要的安全策略呢？筆者認為，WLAN的安全隱患來自多個方面，應(yīng)該多管齊下，通過多種技術(shù)融合，才能打造健康安全的WLAN。

第一，物理防范。一般WLAN的室內(nèi)傳播距離是100米，并受到墻壁等因素的影響。如果AP安裝在門口或者窗邊，那么黑客很容易通過高靈敏度天線從路邊、樓宇中檢測到信號并發(fā)起攻擊。因此，對AP的安裝位置要特別注意。同時，不同的硬件設(shè)備能提供的功能并不一樣，用戶應(yīng)該多進行比較，采用安全級別較高的產(chǎn)品，而不應(yīng)該為貪圖便宜從網(wǎng)上購買只具備基本通信功能的山寨產(chǎn)品。

第二，加密處理。首先，用戶必須增強意識，對AP設(shè)定比較復(fù)雜的密碼，例如大小寫字母、數(shù)字、特殊字符相結(jié)合的密碼，并定期更新密碼，而不應(yīng)該使用空密碼、默認密碼、簡單的密碼。其次，WLAN的連接也必須設(shè)置密碼。如果密碼比較復(fù)雜且位數(shù)較長，那么黑客通過窮舉法很可能需要幾十年甚至幾百年的時間。實際上，筆者進行調(diào)查表明，高校WLAN用戶大多覺得太麻煩而不愿意設(shè)置，給入侵者留下可乘之機。

再次，采用高級加密算法。常用的WEP協(xié)議采用的是RC4流密碼算法，其種子密鑰由初始化向量IV和原始密鑰Key組成。假設(shè)采用相同的IV和Key，則對明文P1和P2加密后的數(shù)據(jù)流分別為C1=P1⊕RC4(IV，Key)和C2=P2⊕RC4(IV，Key)，C1⊕C2=[P1⊕RC4(IV，Key)]⊕[P2⊕RC4(IV，Key)]=P1⊕P2。也就是說，如果知道P1，則P2就可以完全獲得。根據(jù)該思路設(shè)計出相應(yīng)的攻擊算法，可以在對100萬個數(shù)據(jù)包分析即可破解128bit的密鑰[3]。

當前，在GPU浮點運算能力日益強大、云計算平臺快速發(fā)展的今天，黑客的計算能力和破解能力獲得很大提升，對加密算法提出了更高的要求。例如，使用增強型的WPA2對抵御黑客的進攻，目前還是比較理想的。

第三，訪問控制。首先，WLAN都有一個SSID（服務(wù)區(qū)標識符），通過SSID可以識別不同的AP[4]。為了對訪問網(wǎng)絡(luò)進行區(qū)別限制，應(yīng)該對AP設(shè)置不同的SSID，并要求用戶計算機出示正確的SSID才能訪問AP。同時禁止SSID廣播，避免黑客掌握其編碼信息。其次，對MAC（物理地址）進行過濾。由于每個網(wǎng)卡都有一個唯一的物理地址，如果對訪問網(wǎng)絡(luò)的網(wǎng)卡MAC進行限制，就能有效避免非法用戶的連接。此時，只需要啟用AP的MAC白名單規(guī)則，并將合法用戶的MAC地址存入MAC列表即可。再次，禁用DHCP（動態(tài)主機設(shè)置協(xié)議）并啟用IP過濾，這樣，只有了解WLAN的IP設(shè)置規(guī)則并且IP設(shè)置正確的特定計算機才能訪問。

第四，網(wǎng)絡(luò)結(jié)構(gòu)控制。為了進一步提高安全性，在網(wǎng)絡(luò)結(jié)構(gòu)上，可以對核心網(wǎng)和外圍網(wǎng)進行劃分，例如存儲機密信息的關(guān)鍵計算機就應(yīng)該放在核心網(wǎng)中，并加強訪問限制。同時，對各計算機的共享等隱患進行嚴格審查。如果有條件，還應(yīng)該采用VPN、防火墻的結(jié)構(gòu)，這樣能極大提高安全性能[5]。

第五，入侵檢測。例如，不定期檢測高校WLAN的AP，如果發(fā)現(xiàn)可疑的就通過網(wǎng)絡(luò)監(jiān)測儀和相關(guān)軟件進行物理定位，端掉非法AP。再如，通過檢測網(wǎng)絡(luò)中的數(shù)據(jù)流量，檢測AP的連接情況，通過數(shù)據(jù)挖掘技術(shù)分析，發(fā)現(xiàn)潛在的入侵隱患。

4結(jié)束語

針對高校的實際條件，將物理防范、加密處理、訪問控制、網(wǎng)絡(luò)結(jié)構(gòu)控制、入侵檢測等多技術(shù)融合，為高校WLAN的組建和管理提供安全保障。實踐表明，該安全策略效果良好。