摘要:介绍了wlAn的发展与应用,分析了wAln的安全隐患。针对高校的实际条件,提出一种结合物理防范、加密处理、访问控制、入侵检测等多技术融合的安全策略。实践表明,该安全策略能增强高校wlAn的安全性能,效果良好。
关键词:wlAn高校安全多技术
1wlAn的概述
wlAn(wirelesslocalAreanetworks,无线局域网)是指利用无线信号进行近距离数字通信的一种局域组网技术[1]。wlAn能提供例如以太网和令牌网等传统技术的所有功能和优势,而且不受线缆限制,具有得天独厚的优势。
传统局域网,或如蜘蛛网般线缆泛滥成灾,极大影响美观和使用,或在墙壁、地上开凿布线区域,需要考虑的问题较多,工作繁琐。对于临时组网或不方便布线的应用场合,有线网显得捉襟见肘。而wlAn组网快捷、灵活、方便,只需要安装配置Ap(Accesspoint,接入点)即可上网。
2高校wlAn的安全隐患
wlAn具有有线网无法比拟的优势,产品和技术都比较成熟,因此高校中wlAn的发展如火如荼。例如,办公室、学生宿舍、实验室等场所都纷纷建立了wlAn。
当然,wlAn并非完美,它给用户带来便利的同时,也存在巨大的安全隐患。由于种种原因,造成wlAn一直饱受安全性不高的非议。据美国相关机构的调查显示,无线网络的安全问题是用户考虑的首要问题。在高校wlAn中,以办公室为例,最主要的安全隐患有如下几方面。
第一,蹭网。有的用户为了达到不交网费就上网的目的,通过直接登陆或破解密码等方法,连接到wlAn免费上网,也就是俗称的蹭网。由于无线宽带的实际流量非常有限,蹭网行为很容易影响合法用户的正常使用。由于高校wlAn用户的安全意识不高,很多网络没有登陆密码,或采用默认密码,或采用的加密算法薄弱,使得非法用户通过功能强大的蹭网卡和相应破解软件,很容易成功登陆到wlAn。
第二,窃取文件。办公室的网络中,往往有多台计算机、打印机、传真机共享。非法用户连接到wlAn后,就可以免费使用这些硬件资源,并窃取如学生信息、教师信息、考试试卷等文件,从而造成难以估计的严重后果。其实,即使是大企业,如果对wlAn把关不严,同样会酿成巨大灾难。如美国黑客破解了零售业巨头tJx公司的wlAn,从中窃取了数百万个信用卡号码、密码和至少4500万份客户记录,给该公司带来了灭顶之灾[2]。
第三,攻击和投放病毒。非法用户登陆到高校wlAn后,可以通过地址解析Arp、拒绝服务Dos等方式向网络中的合法用户发起攻击,使得合法用户的正常上网出现困难。同时,非法用户还可以借助该wlAn窥探其他网络,或以其为跳板向别的网络发起攻击。另外,非法用户还可以向网络中投放木马、病毒,极大地威胁合法计算机的安全。
第四,伪装wlAn。非法用户掌握某wlAn的信息后,可以通过大功率Ap加上信号放大器建立一个冒牌的wlAn,诱导用户登陆,监控记录用户的输入情况,或者引导用户登陆到钓鱼网站,从中窃取用户的秘密。这种方式也叫蜜罐攻击,是黑客惯用的手法,国内外无数用户的信用卡、邮箱、股票、游戏等账号、密码就是这样被窃取的。
3多技术融合的高校wlAn安全策略
通过前面的分析可知,wlAn是不可逆转的发展潮流,也存在巨大的安全隐患。那么,如何根据高校的实际条件,设计符合需要的安全策略呢?笔者认为,wlAn的安全隐患来自多个方面,应该多管齐下,通过多种技术融合,才能打造健康安全的wlAn。
第一,物理防范。一般wlAn的室内传播距离是100米,并受到墙壁等因素的影响。如果Ap安装在门口或者窗边,那么黑客很容易通过高灵敏度天线从路边、楼宇中检测到信号并发起攻击。因此,对Ap的安装位置要特别注意。同时,不同的硬件设备能提供的功能并不一样,用户应该多进行比较,采用安全级别较高的产品,而不应该为贪图便宜从网上购买只具备基本通信功能的山寨产品。
第二,加密处理。首先,用户必须增强意识,对Ap设定比较复杂的密码,例如大小写字母、数字、特殊字符相结合的密码,并定期更新密码,而不应该使用空密码、默认密码、简单的密码。其次,wlAn的连接也必须设置密码。如果密码比较复杂且位数较长,那么黑客通过穷举法很可能需要几十年甚至几百年的时间。实际上,笔者进行调查表明,高校wlAn用户大多觉得太麻烦而不愿意设置,给入侵者留下可乘之机。
再次,采用高级加密算法。常用的wep协议采用的是rc4流密码算法,其种子密钥由初始化向量iV和原始密钥Key组成。假设采用相同的iV和Key,则对明文p1和p2加密后的数据流分别为c1=p1⊕rc4(iV,Key)和c2=p2⊕rc4(iV,Key),c1⊕c2=[p1⊕rc4(iV,Key)]⊕[p2⊕rc4(iV,Key)]=p1⊕p2。也就是说,如果知道p1,则p2就可以完全获得。根据该思路设计出相应的攻击算法,可以在对100万个数据包分析即可破解128bit的密钥[3]。
当前,在gpu浮点运算能力日益强大、云计算平台快速发展的今天,黑客的计算能力和破解能力获得很大提升,对加密算法提出了更高的要求。例如,使用增强型的wpA2对抵御黑客的进攻,目前还是比较理想的。
第三,访问控制。首先,wlAn都有一个ssiD(服务区标识符),通过ssiD可以识别不同的Ap[4]。为了对访问网络进行区别限制,应该对Ap设置不同的ssiD,并要求用户计算机出示正确的ssiD才能访问Ap。同时禁止ssiD广播,避免黑客掌握其编码信息。其次,对mAc(物理地址)进行过滤。由于每个网卡都有一个唯一的物理地址,如果对访问网络的网卡mAc进行限制,就能有效避免非法用户的连接。此时,只需要启用Ap的mAc白名单规则,并将合法用户的mAc地址存入mAc列表即可。再次,禁用DHcp(动态主机设置协议)并启用ip过滤,这样,只有了解wlAn的ip设置规则并且ip设置正确的特定计算机才能访问。
第四,网络结构控制。为了进一步提高安全性,在网络结构上,可以对核心网和外围网进行划分,例如存储机密信息的关键计算机就应该放在核心网中,并加强访问限制。同时,对各计算机的共享等隐患进行严格审查。如果有条件,还应该采用Vpn、防火墙的结构,这样能极大提高安全性能[5]。
第五,入侵检测。例如,不定期检测高校wlAn的Ap,如果发现可疑的就通过网络监测仪和相关软件进行物理定位,端掉非法Ap。再如,通过检测网络中的数据流量,检测Ap的连接情况,通过数据挖掘技术分析,发现潜在的入侵隐患。
4结束语
针对高校的实际条件,将物理防范、加密处理、访问控制、网络结构控制、入侵检测等多技术融合,为高校wlAn的组建和管理提供安全保障。实践表明,该安全策略效果良好。