首页 > 范文大全 > 正文

无线网络安全技术在校园中的应用

开篇:润墨网以专业的文秘视角,为您筛选了一篇无线网络安全技术在校园中的应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!

摘要:随着信息技术飞速发展,教师和学生对校园网的依赖性非常高,“随时随地获取信息”已成为广大师生的新需求。但是,传统的有线校园网存在着众多“网络盲点”,所以,从应用需求方面考虑,无线网络比较适合学校的一些不易网络布线的场所应用,但是无线网络在数据传输时采用的是信道共享通信方式,所以很容易受到各种网络威胁的影响,那么如何做到无线校园网的安全将是本文主要阐述的内容。

关键词:无线网络;安全;校园

中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 18-0036-01

无线网络适合学校的一些不易网络布线的场所应用,因此大部分高校都架设了自己的无线校园网,但是由于无线网络在数据传输时采用的是信道共享通信方式,较易受到各种网络威胁的影响,如未经授权的AP设备、WEP加密中使用了弱向量加密数据、拒绝服务型攻击等。

非法的AP设备对于企业网络的安全来说是一个严重的威胁。用户私自架设未经授权的基站,用户也许没有足够的能力和意愿,正确的运用安全性的功能。即使这些设备已经采取适当防护,未经授权的设备也有可能干扰现有网络的运作。

一、非法设备的检测与抑制

(一)非法设备的检测

要避免非法设备的安全威胁,首先要确定它们是不是存在。确定未经授权设备的存在后,可以使用具有检测程序的特殊设备,而这种检测程序已经被整合进无线局域网设备系统。检测设备可以定期的搜寻未经授权的设备,对非法设备的扫描,可以被动的聆听数据,或者主动使用802.11ProbeRequest帧,让未经授权的网络自动现形。为了达到效果,检测程序须涵盖所有可用的802.11信道。无线局域网络须具备这种检测能力,可以使用独立的检测设备,也可以使用同时提供接入服务和具有检测功能的设备。网管人员通常在提供给用户的服务品质、检测信息品质和成本之间做出取舍。独立的检测设备可以提供较好的检测结果,但成本会提高。以原本提供用户服务的设备来检测未经授权的设备会降低成本,但可能会中断或降低服务的质量。

监控AP通过扫描周围的无线网络环境来检测。扫描过程可以分为主动扫描和被动扫描,扫描过程在所有信道间进行。

在扫描期间,监控AP接收其它设备发送的802.11帧,扫描结果会周期性的发送到AC。AC接收到扫描报告后,根据预先定义的规则,将设备判定为合法设备或非法设备。若开启了反制措施,将根据非法设备产生AttackList,将该攻击列表发送到相应的监控AP。监控AP通过使用非法设备的地址发送假的解除认证报文进行反制。如果该非法设备是一个接入点,那么将通过使用该接入点的BSSID来发送假的广播型解除认证报文,使得通过该BSSID接入的Station下线;如果该非法设备是一个Station,那么将使用该Station的地址发送单播解除认证报文,使得该Station同其关联的接入点断开。

(二)非法设备判定的规则

非法设备根据类型主要有非法AP、非法Client、非法WirelessBridge、Ad-hocmode,大致可以归为两大类,一类是接入点,一类是无线终端。

(三)非法设备抑制措施

对非法设备的抑制是使用一些协议上的技巧,来阻止或打断私设基站的连接。一般而言,这些做法可以阻止其他工作站连接到私设基站,或者是设法中断现有的连接。

要中断连接程序,可以使用设备送出伪造的Beacon或ProbeResponse帧,由于Beacon或ProbeResponse帧不会经过验证,因此基站可以轻易冒充非法设备。伪造的帧所包含的信息,可能和非法设备所传送的帧彼此冲突,令工作站不知所从。

二、802.11攻击检测

802.11攻击检测是为了及时发现无线网络中的恶意或者无意的攻击,通过添加攻击者至黑名单或记录信息、发送日志的方式通知网络管理者。目前攻击检测包括802.11报文泛洪攻击检测、APSpoof检测等。

(一)泛洪攻击(FloodAttack)

WLAN设备在短时间内接收大量同一源MAC地址的同种类型的管理报文或空数据帧报文时,设备会被泛洪攻击报文淹没而无法处理真正的无线终端的报文,此时,系统会认为发生了泛洪攻击。设备检测通过持续监控每台设备的流量的大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为是在网络内泛洪,从而将被锁定。如果设备同时开启了动态黑名单,被检查到的泛洪设备将被加入动态黑名单,并被强制下线。在动态黑名单老化之前,设备不再处理此源地址发送的报文。

(二)欺骗攻击(SpoofAttack)

欺骗攻击也称为中间人攻击,这种攻击是以其它设备的名义发送欺骗攻击报文。设备通过检测上述两种报文中的BSSID和源MAC地址是否合法来判断是否发生了SpoofAttack。如果接入点是工作在监控模式,则检查报文的BSSID是不是为当前接入点的射频地址,如果是,那么该报文就是一个Spoof报文,否则,将不被认为发生了Spoof攻击。如果接入点工作在普通模式,则先判断报文是不是为广播解除认证报文,如果是,则进一步的判断报文的源MAC地址是不是为一个合法接入的Station,如果是合法的Station,则不认为发生了Spoof攻击,否则,判断该报文的BSSID是不是为当前网络中的一个合法BSSID,如果是当前网络的BSSID,则认为发生了Spoof攻击。WIDS对于检测到的Spoof型攻击,将记录日志,并上报TRAP信息并通知网管,通过其它管理手段解决。

三、帧过滤

帧过滤是802.11MAC和WIDS的一个子特性,包括白名单列表、静态黑名单列表和动态黑名单列表。过滤行为实体维持了接入终端的MAC地址,只有在输入的MAC地址匹配相应规则的情况下才被执行。

当无线接入点接收到一个帧时,不管该帧是否存在于帧过滤列表中,其输入MAC地址都将被检查。如果输入的MAC地址不在白名单列表内,该帧会被丢弃。如果没有设置白名单列表,将搜索静态和动态黑名单列表。如果输入的MAC的地址不能匹配任何的列表,则该帧将被保留做进一步的处理。当帧过滤列表中不存在任何表项时,所有的帧都将被允许通过。

通过以上几个配置方案,针对无线校园网的安全设置,防止了非法设备的非法接入,阻止了泛洪攻击和欺骗攻击,通过MAC地址过滤,阻止非法用户和非法用户访问网络,保障了无线网络的安全,从而保障了校园网络的正常运行。