无线网络安全技术在校园中的应用.docVIP

无线网络安全技术在校园中的应用 　　摘要：随着信息技术飞速发展，教师和学生对校园网的依赖性非常高，“随时随地获取信息”已成为广大师生的新需求。但是，传统的有线校园网存在着众多“网络盲点”，所以，从应用需求方面考虑，无线网络比较适合学校的一些不易网络布线的场所应用，但是无线网络在数据传输时采用的是信道共享通信方式，所以很容易受到各种网络威胁的影响，那么如何做到无线校园网的安全将是本文主要阐述的内容。 　　关键词：无线网络；安全；校园 　　中图分类号：TP393 文献标识码：A 文章编号：1674-7712 （2012） 18-0036-01 　　无线网络适合学校的一些不易网络布线的场所应用，因此大部分高校都架设了自己的无线校园网，但是由于无线网络在数据传输时采用的是信道共享通信方式，较易受到各种网络威胁的影响，如未经授权的AP设备、WEP加密中使用了弱向量加密数据、拒绝服务型攻击等。 　　非法的AP设备对于企业网络的安全来说是一个严重的威胁。用户私自架设未经授权的基站，用户也许没有足够的能力和意愿，正确的运用安全性的功能。即使这些设备已经采取适当防护，未经授权的设备也有可能干扰现有网络的运作。 　　一、非法设备的检测与抑制 　　（一）非法设备的检测 　　要避免非法设备的安全威胁，首先要确定它们是不是存在。确定未经授权设备的存在后，可以使用具有检测程序的特殊设备，而这种检测程序已经被整合进无线局域网设备系统。检测设备可以定期的搜寻未经授权的设备，对非法设备的扫描，可以被动的聆听数据，或者主动使用802.11ProbeRequest帧，让未经授权的网络自动现形。为了达到效果，检测程序须涵盖所有可用的802.11信道。无线局域网络须具备这种检测能力，可以使用独立的检测设备，也可以使用同时提供接入服务和具有检测功能的设备。网管人员通常在提供给用户的服务品质、检测信息品质和成本之间做出取舍。独立的检测设备可以提供较好的检测结果，但成本会提高。以原本提供用户服务的设备来检测未经授权的设备会降低成本，但可能会中断或降低服务的质量。 　　监控AP通过扫描周围的无线网络环境来检测。扫描过程可以分为主动扫描和被动扫描，扫描过程在所有信道间进行。 　　在扫描期间，监控AP接收其它设备发送的802.11帧，扫描结果会周期性的发送到AC。AC接收到扫描报告后，根据预先定义的规则，将设备判定为合法设备或非法设备。若开启了反制措施，将根据非法设备产生AttackList，将该攻击列表发送到相应的监控AP。监控AP通过使用非法设备的地址发送假的解除认证报文进行反制。如果该非法设备是一个接入点，那么将通过使用该接入点的BSSID来发送假的广播型解除认证报文，使得通过该BSSID接入的Station下线；如果该非法设备是一个Station，那么将使用该Station的地址发送单播解除认证报文，使得该Station同其关联的接入点断开。 　　（二）非法设备判定的规则 　　非法设备根据类型主要有非法AP、非法Client、非法WirelessBridge、Ad-hocmode，大致可以归为两大类，一类是接入点，一类是无线终端。 　　（三）非法设备抑制措施 　　对非法设备的抑制是使用一些协议上的技巧，来阻止或打断私设基站的连接。一般而言，这些做法可以阻止其他工作站连接到私设基站，或者是设法中断现有的连接。 　　要中断连接程序，可以使用设备送出伪造的Beacon或ProbeResponse帧，由于Beacon或ProbeResponse帧不会经过验证，因此基站可以轻易冒充非法设备。伪造的帧所包含的信息，可能和非法设备所传送的帧彼此冲突，令工作站不知所从。 　　二、802.11攻击检测 　　802.11攻击检测是为了及时发现无线网络中的恶意或者无意的攻击，通过添加攻击者至黑名单或记录信息、发送日志的方式通知网络管理者。目前攻击检测包括802.11报文泛洪攻击检测、APSpoof检测等。 　　（一）泛洪攻击（FloodAttack） 　　WLAN设备在短时间内接收大量同一源MAC地址的同种类型的管理报文或空数据帧报文时，设备会被泛洪攻击报文淹没而无法处理真正的无线终端的报文，此时，系统会认为发生了泛洪攻击。设备检测通过持续监控每台设备的流量的大小来预防这种泛洪攻击。当流量超出可容忍的上限时，该设备将被认为是在网络内泛洪，从而将被锁定。如果设备同时开启了动态黑名单，被检查到的泛洪设备将被加入动态黑名单，并被强制下线。在动态黑名单老化之前，设备不再处理此源地址发送的报文。 　　（二）欺骗攻击（SpoofAttack） 　　欺骗攻击也称为中间人攻击，这种攻击是以其它设备的名义发送欺骗攻击报文。设备通过检测上述两种报文中的BSSID和源MAC地