1、论校园无线网络的构建及安全校园无线网络安全技术姓名:钱志杰班级:09 软件 3 班专业:网络系统管理学号:009120333课程:无线网络日期: 2011年1月3日星期一2内容提要该文简述学校无线网络存在的安全隐患,列举了保护无线网络安全多种策略和相关技术。并对这些技术进行分析和总结,提出了一个综合性的校园无线网络安全方案。关键词WPA; 网络安全; SSID; MAC过滤;安全隐患;wep;3目录校园无线网络安全一、校园无线网络的安全隐患 .4二、无线网络安全技术分析 .5(一)、完善连线保密协议 5(二)、WEP(Wired Equivalent Privacy)保密协议 5(三)、WAH
2、 是国家强制标准的技术核心部分 5三、万方数据 .5(一)、设置 SSID 坚固网络 6(二)、 VPN 技术增强安全性能 .6(三)、 MAC 过滤防不速之客 6(四)、禁用动态主机配置协议 .7(五)、端口访问控制技术(802 Ix)控制网络接入 7四、校园无线网络安全任重道远 .7(一)、在校园网络构建之前要考虑从前期设计与规划人手 7(二)、在无线网络运行过程中,自身的健壮性建设 7(三)、安全技术手段要在充实考虑自身条件下做到最佳的配置 71、先进的网络架设技术; .82、微机的安装、保养与故障维护; .83、网络管理维护和故障维修。 .84、软件管理系统 .8五、要包括以下 4 个
3、内容: .81、软件开发平台与开发工具的培训; .842、数据库技术的学习与应用; .83、系统设计的原理和故障的排除与维护管理。 .8六、对网络使用者的培训 .8七、结束语 .9校园无线网络安全目前很多学校应用无线网络进行校园网络组建,无线网络具有组网简单、安装容易、移动方便等特点,给学校组网带来极大方便。但由于无线局域网应用具有信号的开放性、数据传播范围很难控制等特点也带来安全的隐患,给校园网建设带来不稳定因素。本文对无线网络安全技术进行列举和分析,希望通过这些分析对相关从业人员有所启发。一、校园无线网络的安全隐患无线局域网(WLAN)m广泛应用于单位、校园、公司内部及家用网络等场所。另一
4、方面,由于无线网络信号由于传送的数据是利用无线电波在空中辐射传播,发射的数据可能到达预期之外接收设备,这些外部接收设备给网络带来不安全因素。因为外部可以利用这些广播的信号进行对网络发起攻击,无线网络比有线网络更容易受到入侵,因为被攻击端的电脑与攻击端的电脑并不需要物理上的连接,攻击者只要在网域的无线路由器或中继器的有效范围内,就可以进入你的内部网络,访问你的资源。常有的无线网线络攻击包括有非法的AP、经授权使用服务、地址欺骗和会话拦截、流量分析与流量侦听、高级入侵等。5二、无线网络安全技术分析目前,无线网络安全技术有很多,但由于无线网络存在较大安全隐患,单一的技术不能完全解决问题。我们必须明白
5、:只有结合多种安全设置和技术才能构建安全的无线网络。下面是对这些安全技术进行列举及分析。(一)、完善连线保密协议在链路层采用对称加密技术,让用户的加密钥必须与AP的密钥相同时才能使用网络的资源,从而防止非授权用户监听以及非法用户访问。目前有多种的无线网络加密算法,我们简单介绍一下:(二)、WEP(Wired Equivalent Privacy)保密协议WEP(Wired Equivalent Privacy)保密协议,是一种数据加密算法,用于提供等同于有线局域网的保护能力,密钥的长度有40位或128位两种。WEP编码的弱点在于IV实作的基础过于薄弱,只要将将两个使用同样IV的封包记录起来,再
6、施以互斥运算,就能得到IV的值。然后算出RC4的值,最后得到整组数据,从而造成密码的泄密。WPA(WiFi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理。所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全方案。(三)、WAH 是国家强制标准的技术核心部分WAH是国家强制标准的技术核心部分。其全称为WLAN Aut
7、hentication and Privacy Infrastructure,这种安全机制由WAI(WLAN Authentication Infrastructure)和WH(WLAN Privacy Infrastmcture)两部分组成,WAI和WPl分别实现对用户身份的鉴别和对传输的数据加密,一同为用户的无线网络系统提供全面的安全保护。不过由于种种原因,WAPI最终没能成为强制执行的标准,其普及度还不高。在8021li颁布之后,WiFi联盟推出了WPA2,它支持AES(高级加密算法),WPA2需要新的硬件支持,它使用CCMP(计数器)。三、万方数据模式密码块链消息完整码协议)。在WPA
8、WPA2中,PTK的生成依赖PMK,而PMK获的有两种方式,一个是PsK的形式就是预共享密钥,在这种方式中6PMK=PSK,而另一种方式中,需要认证服务器和站点进行协商来产生PMK。WPA-IEEE 8021 li draft 3=IEEE8021XEAP+WEP(选择性项目)TKIPWPA2=IEEE 8021li=IEEE 8021XEAP+WEP(选择性项目1TKIPCCMP目前最广为使用的就是WPAPSK(TKIP)和WPA2一PSK(AES)两种加密模式。WPA2加密非常安全,但是WPA2协议许多硬件商还不支持,因此采取WPA加密也是一种适当的选择。而WEP加密由于是一种很不安全加密
9、方式,只是在没有其他加密协议选择情况下才使用。(一)、设置 SSID 坚固网络SSID(Setrice Set Identifier)也可以写为ESSIDj是无线访问点应用的辨认字符串,最多可以有32个字符,客户端利用它就能建立连接。选择难于猜中的SSID字符并禁止通过天线向外广播SSID的措施可以隐藏无线网络却不会影响网络的正常使用,而且可以增加无线网络的坚固性。通过对多个无线接入点AP(Access Point)设景不同的SSID。并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接人并对资源访问的权限进行区别限制也一样增加安全系数。(二)、 VPN 技术增强安全
10、性能VPN(Virtual Private Network)虚拟私人网络,又称为虚拟专用网络,指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性它是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。将WLAN设置成单独的局域网部分,VPN所有无线用户在得到许可访问校园局域网之前首先由VPN网关进行鉴权。VPN网关只向拥有机器中所具有的有效软件证书或令牌的用户授权。客户机到VPN服务器的数据包使用安全协议IPSCc(IP Security)力。因此黑客将无法破解专用网络,让所有的无线客户机使用虚拟专用网软件,无线网络会更安全。(三)、 MAC 过滤防不速之客MAC
11、过滤技术是在路由设置中只允许特定MAC网卡访问路由的方法。它拒绝了使用其他MAC地址的设备发送过来的连接请求,客观上就起到防止外部非法访问的作用。要限制非法用户设备与本地无线路由器建立连接,我们可以启用无线路由器设备自带的MAC地址过滤功能,让本地无线路由器设备只允许本地工作站的无线网卡设备与之建立网络连接,而其他的无线网卡尝试与之建立网络连接时,都会被无线路由器拒绝掉。由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。MAC过滤要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址
12、在理论上可以伪造,因此MAC过滤在使用7中最好能结合WPA等安全协议一起使用。(四)、禁用动态主机配置协议采用这项措施对无线网络安全很有意义。你将迫使黑客去破解你的IP地址,子网掩码和其它必需的TCPIP参数。增加了入侵的难度,令他们知难而退。(五)、端口访问控制技术(802Ix)控制网络接入8021X认证是采用IEEE8021X协议的认证方式的总称,EEE 8021X协议由IEEE于2001年6月提出,是一种基于端口的访问控制协议(Port Based Network Access Control Protoc01),能够实现对局域网设备的安全认证和授权。当无线工作站STA与无线访问点AP关
13、联后,是否可以使用AP的服务要取决于8021x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。8021x要求无线工作站安装8021x客户端软件,无线访问点要内嵌8021x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。8021x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接人解决方案,在一个8021X的无线局域网认证系统中,认证不是由接入点AP完成,而是由一个专门的中心服务器完成。如果服务器使用Radius协议时,则称为Radius服务器。用户可以通过任何一台PC登陆到网络上,而且很多AP可以共
14、享一个单独的Radius服务器来完成认证,这使得网络管理者能更容易控制网络接入。四、校园无线网络安全任重道远从上面的简述我们可以知道,校园无线网络安全不能依赖单一的安全技术手段,必须要构建一个从管理上和技术上都比较完整的方案才能真正维护好学校的网络环境。(一)、在校园网络构建之前要考虑从前期设计与规划人手在校园网络构建之前要考虑从前期设计与规划人手,认真准备考虑整个网络环境的设计如设备的购置与更新、AP的布嚣、服务器与网关的管理、技术人员的培训等。(二)、在无线网络运行过程中,自身的健壮性建设在无线网络运行过程中,整了自身的健壮性建设之外,也要考虑整个互联网的大环境,经常警惕防范黑客的攻击,建
15、立起有效的安全检查机制。8(三)、安全技术手段要在充实考虑自身条件下做到最佳的配置安全技术手段要在充实考虑自身条件下做到最佳的配置,如上面提到的加密协议最好能用WPA2的协议,设置隐藏SSID的广播、启用MAC物理过滤、禁用动态主机配置协议等都要根据学校网络现有的硬件条件做好工作,以熟悉整个网络线路的结构和布局。因而,对硬件维修人员的培训主要包括下面几个内容:1、先进的网络架设技术;2、微机的安装、保养与故障维护;3、网络管理维护和故障维修。4、软件管理系统软件管理系统则是运行在校园网络上、对校园网络进行扩展与深化的重要应用。同样,多校区校园网络的软件管理系统也不可能长期依赖于软件公司的售后服
16、务,学校自身也必须培训相应的软件维护人员来保证校园网络软件管理系统的正常运作,使软件维护人员参与到网络软件系统的安装和开发的全过程中,熟悉整个网络软件系统的原理和部署结构。而对软件维护人员的培训主五、要包括以下 4 个内容:1、软件开发平台与开发工具的培训;2、数据库技术的学习与应用;3、系统设计的原理和故障的排除与维护管理。六、对网络使用者的培训多校区网络使用者主要包括学校的全体教师、行政管理人员和一般的网络使用者。对于他们来说,校园网只是他们工作的工具,因此。对他们的培训内容只要涉及到电脑操作的熟悉与常用软件的使用、学校办公系统与办公软件的使用、及常见的软硬件故障的解决方法。针对以上三类网
17、络使用人员的培训工作,前两类使用人员一般可以由为学校铺设校园网络的厂商和为学校编写软件管理系统的软件公司或程序员共同负9责;对第三类人员的培训由学校安排合适的计算机专业技术人员来承担。学校只有在完成了对使用者的培训工作以后,才能最大效率的使用校园网络资源。七、结束语跨多校区的校园网络构建和管理,到目前为止还没有一个对所有院校都适用的通用模式,即使是在同一所院校,只可能有较好的方案,而不可能有最好的方案。为更好地适应网络时代发展的需要,我们必须对多校区校园网络的建设采用“统一规划,分阶段实施,逐步到位”的战略。各院校也可以在这些基础上与本身实际建设情况相结合,一边探索,一边实践,逐步优化,努力寻求出一条适合自己学校具体实际的多校区校园网建设之路。
