| 标题 | 现代高校无线网的安全防护技术方法分析 |
| 范文 | 韩玖廷 摘要:近年来,随着互联网技术的快速发展,我国高校的无线网安全问题也开始被重视,对安全防护技术的要求也在不断地提高。本文首先对无线网进行简要的分析,重点介绍了现在高校无线网存在的安全问题以及防护技术方法。 关键词:高校无线网;网络安全;安全防护技术 中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2018)08-0041-02 网络技术的发展,为高校的教学带来了很多的便利,但是无线网安全问题一直都在困扰着各大高校。目前,互联网中拥有十分多的病毒、黑客,威胁着高校无线网的正常运行。因为很多高校都有着十分重要的科研成果和教学内容等资料,所以必须保证网络的安全。高校教师和学生必须充分的了解无线网中的安全隐患,结合自身的特点,建立更加有效的防护措施,保证拥有一个安全的网络环境。 1无线网通讯协议和安全措施 1.1通讯协议 无线网络是现在十分流行的一种网络形式,也是人们应用网络时的重要部分,其通讯协议主要包括四个方面。第一,就是802.11b协议,这种通讯协议的价格相对比较便宜,而且具有较高的开放性,点对点和基本结构这两种工作模式都可以起到支持的作用;第二,就是802.11g协议,这种协议的传输速度比较快,最高甚至可以达到54M的传输速率。而且随着科技的发展,现有的加强型的802.11g产品已经逐渐地达到无线百兆的时代,而且可以对802.11b协议实现兼容;第三,蓝牙传输。蓝牙主要是在笔记本电脑中进行应用,而且现在很多的无线网络产品都可以使用蓝牙,十分便利;第四,WEP协议。这种协议是一种安全协议,主要就是为了保证802.11b协议更好的传输数据,保证数据的安全传输。在数据的传输过程中,WEP协议会对数据进行加密,保证在无线网中数据传输的安全性。 1.2安全措施 对于无线网络,最主要的威胁就是外界可以截获或者修改传输中的数据。如果有外界人员对网络进行攻击,随意的访问网络,就可以通过插入恶意计算机的方法来截获甚至私自篡改客户端的通信内容。所以,无线网络覆盖范围内的安全问题一直都是无线网发展过程中最关心的问题之一,因为无线网络的覆盖范围比较广,在这个区域内,很可能就会有一些非法的分子接入到网络当中。现在的无线网络通常都会进行安全防护,都在一定程度上具有了安全措施。常见的有MAC地址访问的限制、数据传输过程的加密等方法。对AP端的MAC地址访问设置权限,可以拒绝没有经过登记许可的外来无线客户端连接到无线网络中。另外,就是通过数据加密的方法,保证传输过程中信息的安全。最后,就是无线设备自身也会拥有一些安全的防护技术和措施。 2现代高校无线网络存在的安全问题 在现实生活中,很多无线网络设备的成本都比有线网络设备的成本要低,通过两者之间的比较发现,在网络的建设成本、应用交换机的数量以及网络的建设和维护等方面上,无线网络都有很大的优势,所以,无线网络也深受高校的喜爱,应用范围十分广泛。但是,高校中的无线局域网络具有明显开放的传播介质,也进一步地导致了数据在无线传输过程中有十分突出的开放性。同时空间内的辐射传播也使得数据传输具有很低的安全指数,使得数据被非法截获的可能性大大增加,造成很多恶意网站或者网络非法接人的情况不断增加。现在,网络上存在着大量的非法攻击软件,比如BTT3、BTF4、WEP等,被广泛的宣传和使用,市面上也存在着各种各样的蹭网卡和软件,下载十分便利,这些都极大地增加了用户应用网络时的风险。 2.1非法网络入侵 高校在应用无线网络的时候,一般都会有很多的软硬件共享管理,里面会保存着大量的数据信息,有些甚至是十分重要的信息。而非法入侵者在侵入进网络之后,就可以通过使用无线网络的连接,从而获取到这些信息,可以免费的使用软硬件共享管理中的信息,更严重的甚至可以直接修改其中的信息,这样就会为高校带来巨大的损失。另外,通过非法的方式接入到无线网络中,还可以获取所有无线网络使用人员的个人信息,包括用户的一些秘密信息,会增加网络合法使用者的风险。 2.2网络攻击严重 非法分子通过一系列的非法软件登录到无线网络之后,可以进入到合法使用的界面中,这样就可以攻击合法使用的网络用户。现在十分常见的有ARP网络诈骗、DOS入网认证攻击等非法手段。這些非法的行为会造成合法的网络用户上网变得困难,或者是造成合法用户没有办法连接到无线网络当中。同时非法分子在使用网络的时候,还可以在无线网络上窃取他人的信息。另外,无线网络的入侵者还可以使用无线网络对合法用户进行攻击,比如发送木马、传输各种网络病毒等,甚至会威胁到整个无线网络的安全使用。 2.3技术安全问题 第一,就是SSID安全问题。为了更好地满足所有客户的上网需求,在进行配置时需要搭建不相同的SSID的无线网络,同时,要保证不同的SSID之间有严格的安全距离,否则会导致用户在接入进无线网时出现信号跳变的问题;第二,VLAN问题。VLAN安全可以简单地分为设备安全和用户安全。设备安全指的就是AC和AP之间进行的通信,如果两者之间的VLAN划分不严格,那么就会容易受到ARP的攻击,然后AC端就会向AP端转发一些没有用处的数据,最后会形成网络拥堵,甚至会导致所有网络出现瘫痪的情况。另外,用户安全指的就是在相同SSID下,大部分的用户都需要在一个VLAN内,内部的用户可以进行通信。如果Portal认证页面向用户推送的URL没有进行翻译,那么攻击者可以使用ARP嗅探的方法,然后修改IP从而获得上网的权限,最后可能会侵犯用户的合法权益;第三,DHCP地址池耗尽。当用户接入到无线网之后,第一件事就是请求分配一个IP地址,然后AC作为DHCP的服务器在接收到请求之后会为用户分配一个合适的IP。但是如果无线网使用Portal的方法,用户只能接人到开放网络当中却没有办法认证,这样一来会占用到IP;第四,DNS安全问题。为了更好的增强解析的效率,满足内网IP解析的需求,很多的高校都会在内部设置一个DNS。在实际的应用过程中,无线网和有线网一般会使用一个DNS,如果DNS的设置不够严格,非法分子就会利用其中的漏洞,从而获得DNS的控制权利,然后就可以随意的入侵无线网以及有线网中其他的设备。同时,DNS的安全问题还体现在DNS隧道当中。攻击者可以使用一些代理工具,将别的协议产生的访问流量装在DNS的流量当中,这样就可以绕过身份认证,可以达到免费上网的目的,甚至可以进行远程控制;第五,设备漏洞。部分无线网络可能自身就存在一些漏洞,攻击者可以利用这种漏洞操作网络。比如有些设备厂家发布的AC软件本身就存在漏洞,十分容易就会被非法分子利用。 2.4网络监听 无线网络本身就有十分強的开放性,用户的访问都是开放的,所以很多的无线网络通信数据表现出来的都是非加密的模式,这就为攻击者提供了很大的便利,能够监听和读取通信数据。对于网络入侵者来说,不需要使用窃听或者分析设备就可以接入网络当中,就可以进人信号的覆盖区域之内,可以随意的开展恶意修改等活动。 2.5地址欺骗和拒绝服务 很多非法用户的技术手段比较高,可能使用侦听或者侦察的方式,从而窃取合法用户的MAC地址或者IP地址的相应信息。获得信息之后,就可以进行会话拦截、网络诈骗和攻击等。另外,就是拒绝服务。这是无线网络中最严重的一个方式,一般可以分为两种情况。一种是攻击者使用泛洪式的方法攻击AP,使得AP拒绝服务,让合法用户没有办法接入到网络当中。这种情况也是相对更为严重的一种问题。另外一种就是攻击者攻击其中的一个节点,让其一直提供服务,或者是转发数据包,最终可能会导致资源耗尽而没有办法继续工作。 3现代高校无线网安全问题的原因 3.1高校管理意识不足 造成高校无线网络安全问题的原因有很多,其中最主要的还是学校的相关管理者对无线网络安全的认识不充分,不重视无线网络的安全问题。特别是在一些相对比较小的高校中,这些学校的网络管理人员、资源的配备等相对都比较弱,有的高校甚至连最基础的安全认证都没有,比如MAC地址过滤、登录钥匙等一些基本的认证设置。而有的虽然是设置了,但是密匙的设置过于简单,很容易就可以破解,而且也没有及时的更换密匙。像一些高级的、比较难的认证方法更是十分少见,很少有相应的设置。在这样的情况下,会使无线校园网络出现非法登录、非法入侵等问题。 3.2校园网的规划不合理 在高校无线网的建设过程中,很多管理部门都过于重视成本和速度,片面的节约成本、追求工程的进度,使得无线网络的规划变得十分单一。很多高校的无线网络规划模式都是相同的,都非常的简单,并且子网、VLAN的划分、链路的备份等都是十分简单的。这种简单网络架构一般只能在二层链路上进行应用,但是如果应用在三层网络上,就会容易缺乏容错和备份的机制。如果出现链路掉下的情况,就会出现断网、停网的问题,为校园无线网的正常使用带来不利的影响。 4现代高校无线网的安全防护技术方法 4.1对接入用户进行认证 第一,Web认证,这种方法首先是为用户分配一个具体的地址,当用户打开浏览器准备进人网站的时候,认证系统就会自动弹出一个界面,只有输入正确的名称和密码之后,才能触发客户端,然后再一次发出请求,这个时候就可以获得访问外网的地址。而当用户下线的时候,可以直接利用客户端发送离线的请求。针对Web认证方法,不需要使用特殊的客户端。就可以减小网络维护的工作量。可是如果处于网络七层协议的时候,会对设备有很高的要求,而且用户的连接线比较差,离线时很难检测到,所以在访问网络前,一定要进行Web的认证;第二,802.1x认证,这个认证方式主要根据用户的账号以及设备,对客户的权限进行监督,但只是适合接入网络设备或者接入端口之间的每一个点的连接。通常校园网的端口主要都是用户设备的MAC地址,只有将这个地址激活,才能完成认证。另外,想要应用这种方法,必须要使用认证服务器、客户端以及交换机,只有三者都有才能成功认证并且授权;第三,MAC地址认证。这种认证方法是以MAC地址和端口为基础,从而控制网络访问权限的最有效的方法。这种方法有许多优点,比如配置命令相对比较简单、不需要设置客户端等,十分适合学校里的中小型网络。其中,必要的组件包括服务器、可以认证MAC地址的交换机、Radiu等,如果交换机不能提供一个合适的MAC地址,就只有通过使用服务器和Radiu进行验证;第四,就是分类认证的方法。对于高校的无线网来说,主要就是包括校内的用户和校外的来访用户。校内用户主要指的就是学校的师生,他们拥有的科研成果以及相关的资料、个人信息等都需要很高的安全性,所以可以使用802.1x这种方法来完成认证。而来访用户就主要包括培训群体、来校参观和交流的群体等,对安全性没有较高的要求,就可以使用一些简单的认证方式。 4.2加密技术 加密技术主要可以分为两种,一种是WPA加密技术,另外一种就是WEP加密技术。WPA加密技术可以弥补WEP技术的缺点,使用TKIP算法可以再次获得一个密码,与WEP加密技术相比安全性更高。但是通过WPA加密技术得到的数据包依旧可能被破解,所以就出现了WPA2。对于现代高校中的无线网,可以使用WPA2或者WPA进行加密,同时为了更好的防止非法入侵者使用暴力的手段破解密匙,需要定期地对密匙进行更换。而WEP加密技术是属于802.11b标准里的一种协议,可以对无线网的流量进行加密。因为无线网不需要进行物理上的连接,现在的WEP很快就能够被攻破,所以可以使用支持128位的WEP,而且不能够直接使用生产厂家提供的密匙,必须及时地进行修改。 4.3入侵检测技术 这种技术可以非常及时地对数据进行采集、传输以及处理,而且可以控制网络,找出网络当中的问题,保证高校无线网络一直都能够处在一种安全的状态,防止非法分子的入侵或者数据被盗取的情况发生。现代的黑客追踪技术能够让受害主机的管理者获得发动恶意攻击的源头,然后让网络十分快速地恢复到原来的功能,同时可以阻止再次攻击行为的发生,有些时候甚至可以直接找到攻击者的位置。目前来说,最常见的追踪方法就是路由追踪方法、IP追踪方法、反追踪法等。 4.4安全审计技术 这个方法主要是对用户的网络访问行为及其访问的数据进行审计,可以使用内部控制的方法,更加有效的治理系统。同时也包括严格的控制相应IT系统内部的情况。和入侵检测系统相比较,安全审计技术对实时性的要求不高,所以可以对过去海量的数据进行分析,而且使用的方法也更加的复杂和精细。另外,安全审计系统也可以找出更多的攻击种类,报错的概率相对也比较小。 5小结 随着信息化的发展,高校无线网的建设已经有了很大的发展,我国大多数高校都已经实现了无线网覆盖。但是,在建设无线网的过程中,很多高校还是没有意识到其安全问题,导致安全问题频发,甚至出现了一些重要数据丢失的情况,产生十分严重的后果。为了提高无线网的安全管理,为高校无线网的发展实施更有效的保障,相关管理人员必须做好无线网的安全防护技术,更好的服务学校的师生和相关人员。 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。