从已经部署无线网络的学校的方案中不难看出,不少存在安全问题。最重要的问题是非法授权的用户可利用无线局域网的漏洞,入侵到有线局域网当中,去窃听或干扰信息。
校园网中“教师人手一机”和学生自带笔记本等无线设备不断增加,很多学校都已经把无线校园网的建设纳入到校园网改造和升级范围内。但是,从许多已经部署无线网络的学校的方案中不难看出,大都存在安全问题。
*从忽视到重视的转变
学校布设无线局域网络的需求一般包括为:“教师或者学生安装无线网卡,进行简单的设置就可以在教学区和办公区漫游使用,在整个校园内连接到校园网上,从办公区到教学楼、从操场到主席台都可以实现移动漫游连接互联网。”
非法授权的用户可利用无线局域网(WLAN)的漏洞,入侵到有线局域网当中,去窃听或干扰信息非常容易。
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞,主要提到的安全问题也是针对802.11b协议搭建的WLAN而言。
802.11b存在着加密和频率问题,例如:802.11b采用WEP,在链路层进行RC4对称加密,还比如802.11b采用的2.4GHz频率和蓝牙设备、微波炉等很多设备相同,这样很容易造成相互干扰。
*WLAN面临的威胁
对WLAN来说,其安全性主要体现在访问控制和数据加密两个方面。可以说,所有有线网络存在的安全威胁和隐患都同样存在。同时,任何不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试,一定程度上暴露了网络的存在。
同时,外部人员可以通过无线网络绕过防火墙,对学校内部数据非法存取;内部教师和学生可以私自设置无线网卡,使用例如P2P等方式与外界通信,大量占据可用带宽。在实际工作中,有可能遇到的威胁主要包括以下几个方面:
信息重放
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
WEP破解
现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。
根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。
网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。
MAC地址欺骗
通过上面提到的网络窃听工具获取数据,从而进一步获得AP允许通信的静态地址池,这样不法之徒就能利用MAC地址伪装等手段合理接入网络。
拒绝服务
攻击者可能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
*实现目标与协议标准
为了保护无线网路免于攻击入侵的威胁,用户主要应该在提高使用的安全性、达成通信数据的保密性、完整性、使用者验证及授权等方面予以改善,实现最基本的安全目的。
提供接入控制:验证用户,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入;
确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的数据;
防止拒绝服务(DoS)攻击:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。
*经验分享
如何选择一种适合学校现在与未来使用的无线安全措施?它如何纳入整体安全政策之中?笔者经历过很多无线校园网的工程,感触如下:
1.结合现有设备
WLAN由于易于架设,要考虑到在学校中的普及速度。如一开始只有一台AP及10个Client,但没多久就成长到20台AP及500个Client!只有一台AP之情况下的安全措施与30台AP的安全措施是完全不同的。若所采用的安全措施不能随着网络快速成长则属浪费。
一般情况下,假设学校已经具有如入侵侦测系统(Intrusion Detection System)、防火墙、RADIUS等系统。在做WLAN安全措施时,若能利用这些现有资源最适合,如802.1x/EAP与RADIUS的结合。
2.要有预见性
新建校园网络可以参考市面已有的技术:如VPN、防火墙、IDS、以及802.1x/EAP等标准,大方向上应先决定使用企业级AP或WLAN Gateway。
企业级AP能将安全策略推到AP而达Client,而且适合搭配802.1x/EAP,亦即从第二层就开始作防护。若使用低阶AP搭配Gateway,则只能依靠Gateway的VPN,二层信息暴露无疑。
3.防患于未然
为发现未授权AP的出现,应定期开展AP搜寻,主动找寻并移除这些AP有助于增强网络之安全性。定期检查AP的设定参数以确定未被改变而成为安全漏洞。某些WLAN Gateway,或某些硬件或软件都有自动的Rogue AP侦测功能,可大大简化工作负担。
作者简介:
王亚明 网络安全专家,拥有10多年的高校网络课程培训经验,对无线校园网有多年的部属经验。目前主要研究方向是:IPV6安全和网络安全架构。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。