校园无线网络安全综合防御.pdf

资源描述

1、务l 匐化校园无线网络安全综合防御 Com pr ehens i ve pr ogr am o f cam pu s w i r el es s net w or k s ecur i t y 赵建超。，尹新富 ZHAO Ji an ch ao。 YI N Xi n f u ( 1 河南工业职业技术学院计算机工程系，南阳4 7 3 0 0 9 ：2 郑州经贸职业学院，郑州 4 5 0 0 0 6 ) 摘要：由于无线网络的开放性，使得校园无线网络频繁受到攻击。文章针对无线网络的特点，在传统进行软件安全设置、加密的基础上，提出了综合的无线安全防护对策。包括软件安全设置、无线加密、控制

2、无线信号覆盖、接人认证、诉诸法律等综合方法。关键词：校园；无线网络；安全；综合；防御中图分类号：T P3 9 3 文献标识码：A 文章编号：1 0 0 9 -0 1 3 4 ( 2 0 1 1 ) 2 ( 上 ) 一 0 0 3 5 - 0 3 D o i ： 1 0 3 9 6 9 J i s s n 1 0 0 9 - 0 1 3 4 。 2 0 1 1 2 ( 上) 1 3 0 引言随着带有无线功能笔记本的普及，校园内无线需求激增。无论是教师或者是学生都希望在校园内随时随地接入网络，因此无线校园网迅速得到了普及。但是由于无线

3、网络采用的是公共电磁波，类似早期的HUB，任何人都有条件窃听或干扰信息。使用 Omn i P e e k 等抓包工具分析后，能够比较容易的免费上网甚至入侵学校的服务器。2 0 0 8 wP A加密首先已经被国外人员率先破解。最近，E l c o ms o f t 推出E l c o mS o f t D i s t r i b u t e d P a s s wo r d R e c o v e r y 分布式密码暴力破解工具，能够利用Nv i d i a 显卡使WP A和WP A 2 无线密钥破解速度提高1 0

4、 0 倍。由于软件还允许数千台计算机联网进行分布式并行计算” ，无线网络受到的极大的威胁。 1 传统的无线安全措施及其缺点 1 1软件安全设置及其优缺点传统的软件安全设置主要包括修改默认的 S S I D并禁止广播和设置黑白MA C地址名单并绑定相应的V L AN 。每个无线网络都有一个服务区标识符 ( S S I D) ，类似wi n d o ws 中的域，只有 S S I DS N 同的无线客户端( S T A)才能通过AP ( 无线接入点)接入网络。为适应商业网络S T A经常流动的需要，无线

5、交换机通常默认启用S S I D的广播。因为校园网的上网成员相对固定，因此，有必要禁用S S I D广播来提高网络的安全性。通常设备制造商都在他们的产品中设了一个默认的 S S I D。例如思科 l i n k s y s 设备的S S I D通常是 “ l i n k s y s ”，T P L I NK的为 “ T P L I NK”。修改以阻止非授权的无线客户端通过猜测来进入该网络是最基础的防护手段。理论上说，任何一个网络设备都一个独一无二的物理地址，称之为MAC 地址

6、。因此，在无线交换机上可以设置黑白名单：在黑名单上可以禁止一些MAC 用户接入，白名单为合法用户，允许接入。不过，上面的两条安全措施仅仅只能在一定程度上防止网络入侵。例如在XP 系统下，用户很容易修改自己网卡的MAC 地址。另外，通过对无线抓包软件的仔细分析后，也可以得到白名单的 MAC 地址。即使接入点禁止广播 S S I D，在客户端和接入点之间来回传送的流量最终也会暴露出 S S I D。即使攻击者并非刻意监控 R F频段，也可在上述传输过程中通过无线抓包软件嗅探到 S S I D，因为它是以纯文本格式发送的。 1 2 无线加密

7、传输及其优缺点由于 W E P 天然的缺陷，所以很快推出了 WP A。8 0 2 1 1 i 规定了两种企业级加密机制，分别是：T KI P( 临时密钥完整性协议)和 A E S( 高级加密标准 )，这两种加密机制已分别被 Wi F i 联盟纳入 wP A和 WP A 2认证中。由于WP A T K I P 协议的缺陷，破解者可以得到通信的密钥，从而看到通信的数据。但是，由于 WP A协议采用的是每一节点均使用一个不同的密钥对其数据进行加密，因此不存在全部破解的问题，看到的仅仅某个用户的数据。因此，校园

8、网收稿日期：2 0 1 0 - 0 8 - 2 4 作者简介：赵建超 ( 1 9 7 5一 )，男，河南南阳人，讲师，硕士，研究方向为信息安全。第3 3 卷第2 期2 0 1 1 2 ( 上 ) 3 5 1 学兔兔 w w w .x u e t u t u .c o m 参I 违勺似用户不必草木皆兵。在关键区域，用户可以采用其它的通信加密措施，让整个通信过程更安全。比如可以使用VP N系统配合WP A进行工作，这样即使数据被截获，也无法看到真正的信息。由于加密会耗费无线交换机的C P U资源，尤其在低档的校园无线交换机上，无线网络的安全特

9、性极大影响传输性能。多次测试表明，当采用 WE P 1 2 8 位加密传输模式时，网络传输性能会损失 2 8 一 7 5 ，传输性能的损失与交换机 C P U处理速度直接相关。 2 综合无线安全防护措施软件和加密协议简单易行，但是仅仅靠上述方法无法实现校园网络的安全。而应该和其他手段共同配合来提高安全性。 2 1天线的合理选用和布局 WL AN是工作在2 4 G或者5 8 G频段。由于频点很高，因此穿墙的能力非常弱，只能穿过一般的门窗。由于考虑的成本和覆盖范围考虑，不少学校A P 配置的天线为杆状全向天线。这种天线向周围均匀发射，造成覆盖范围过大，

10、使得入侵者很容易收到信号，从而入侵网络。在校园的不同区域，应该选用不同的天线类型和安装方式。比如在普通教学区域，可以把AP 布放在走廊边，采用吸顶式定向天线伸出天花板进行安装。如下图所示。吸顶天线与平常使用的全向天线不同，它在内部设计上增加了一个反射板，把辐射更多地向下反射，能够提高辐射范围的信号强度。使得覆盖范围内信号很强，也覆盖范围之外信号变得非常弱 ( 因为天线方向向下 )。一方面可以实现有效覆盖。另外，其他楼层来说由于是定向天线，加上穿过楼板后信号衰减，网络不能覆盖。因此入侵网络基本变得极其困难。吸顶式天线价格很

11、便宜，仅仅几十元，很容易推广。在操场开阔地区，应该采用全向天线以加强覆盖。但是在天线选址的时候一定要注意尽可能的在操场中间，避免无线信号覆盖校园其他部位。为了防止非法用户入侵，还应该加上其他身【 3 6 】第3 3 卷第2 期2 0 1 1 - 2 ( 上) 份认证措施。 2 2 合理配置A P 发射功率如果能够满足覆盖要求的话，一定要设法降低A P 的发射功率。功率降低会减少对其他A P 的干扰，因为覆盖范围有限，又降低了网络入侵的可能性。对于H3 C无线AP 来说，多数

12、默认最大发射功率为 1 0 0 mW ( 2 0 d B m)，可以通过ma x p o we r 1 5 命令，将最大功率降低为1 5 d B m。在降低发射功率的时候，千万不要采用摘掉天线的做法，否则可能对AP 的发射管造成损坏。 2 3接入进行身份认证在有线网络中，通常接入局域网中不进行身份认证。也有的学校在无线网络建设中，采用了类似的模式，特别是部分高校和运营商合作，即校园网内部不进行认证和收费，如果要上互联网必须通过运营商的认证收费系统。这种认证模式客观上会造成非法终端不经过任何认证人侵校园网内部，必须加以避免。认 m - 一 - - 一 - -

13、 - - - “ AP 1 嵌入设备1 - - mm m岫 m 洲 nt n一无线A P 2 嵌入设备2 图l无线网络认证结构图在图1 中，任何接入到A P 的无线网络设备，必须通过认证服务器的认证才能够接入网络。设置身份认证身份验证拨号用户服务后，没有合法授权的用户将不能通过身份验证，因此无线校园网解决了接入的安全问题。在实践中可以通过应用 WP A、8 0 2 1 x E AP 等无线安全技术，与校园内部的统一账号管理平台或者一卡通数据库进行联动联动认证，无线接入认证系统对接入校园的无线办公网络的终端进行身份认证。 2 4 对

14、入侵者诉诸法律无线定位可以分为软件和硬件。硬件的有专门的无线电测向仪，可以对无线用户进行定位。软件 H E k a h a u 公司的E k a h a u Vi s i o n 软件，无需增加额外的硬件设施 ( 如读卡器、e x c i t e r 、激励器、天【下转第6 2 页】学兔兔 w w w .x u e t u t u .c o m 表1基于GA 方法检测7 个电阻的运行结果个体数奴概率变异概率检测成功率平测 1 6 0 0 7 5 0 O 5 2 7 6 l 8 2 8 3 8 2 2 8 3 7 7 4 7 7 4

15、l 6 0 0 7 5 0 3 5 6 5 3 5 3 5 1 2 2 8 5 1 8 3 2 4 6 6 3 8 0 3 2 0 0 0 7 5 0 0 5 2 9 3 2 1 2 7 6 3 4 2 8 1 3 6 7 3 2 0 2 0 0 0 7 5 0 3 5 6 6 3 5 3 6 6 2 2 6 9 1 8 7 8 0 8 6 0 0 9 0 表2 基于S p e c ia t i o n - G A 方法检测7 个电阻的运行结果个体数交叉概率变异概率检测成功率平墓问检钡势 1 6 0 o 7 5 0 0 5 1 0 0 1 0 9

16、82 0 2 2 9 8 2 3 1 2 0 0 7 l 6 O 0 7 5 O 3 5 1 0 0 1 8 3 02 1 3 2 9 2 2 51 1 1 7 5 2 0 0 0 7 5 0 0 5 1 0 0 1 9 4 9 1 5 8 2 5 7 7l 91 6 0 2 0 0 0 7 5 0 3 5 1 0 0 21 9 02 8 2 3 4 6 0 01 4 0 6 5 4 结论由于机电产品加工过程的质量检测在整个生产过程中起到关键作用，因而对质量检测过程的优化控制就显得尤为重要。本文提出了一个基于 S p e c i a t i o n 方法的遗传算法 ( S p e

17、c i a t i o n G A)来接解决机电生产过程中质量检测问题的优化控制。通过P C B仿真实验 ( 如表 1 和表2 所示 )能够看出基于S p e c i a t i o n G A算法的有效性。我们所提出的算法还可以应用于实时物体追踪以及机器人视觉。今后还将对S p e i c a t i o n - GA方法在其他各种机电生产工业，图像处理以及机器视觉方面的应用进行深入的研究。参考文献： 1 】We s t G A S y s t e m f o r t h e Au t o ma t i c Vi s u a l I n s

18、p e c t i o n o f Ba r e Pr i n t e d Ci r c u i t Bo a r d s J I EEE Tr a n s a c t i o n o n S y s t e m， Ma n a n d Cy b e r n e t i c s ， 1 9 8 4 ， 1 4 ( 5 ) ： 7 6 7 - 7 7 3 【 2 W a n g D Z， Wu C H， I p A e t a 1 F a s t mu l t i - t e mp l a t e ma t c h i n g us i ng a pa r t i c l e s wa r m

19、o pt i mi z a t i on a l g or i t hm fo r PCB i n s p e c t i o n C I n t h e P r o c e e d i n g o f Ap p l i c a t i o n s o f Ev o l u t i o n a r y Co mp u t i n g -Ev o W o r k s h o p s 2 0 0 8 LNCS 4 97 4： 3 65 37 0 3 】王彩萍电路组装的检测技术【 J 】电子工艺技术， 2 0 0 0 ， 2 1 ( 4 ) ： 21 - 2 3 【 4 徐胜海印刷电路板

20、在线自动视觉检测系统的分析研究 D】合肥工业大学， 2 0 0 1 5 张文景，张文渊，苏键，等计算机视觉检测技术及其在机械零件检测中的应用【 J 】 _上海交通大学学报， 1 9 9 9 ， 3 3 ( 5 ) ： 1 2 9 1 3 2 【 6 】张亚鹏，何涛，文昌俊，等机器视觉在工业测量中的应用与研究【 J J 光学精密工程， 2 0 0 1 ， 9 ( 4 ) ： 3 2 4 3 3 2 【 7 】Cr i s p i n A J ， Ra n k o v VAu t o ma t e d i n s p e c t i o n o f P C B

21、c o m p one nt s us i ng a ge ne t i c a l go r i t hm t empl a t e m a t chi ng a p p r o a c h I J 】 I n t e rna ti o n a l J o u r n a l Ad v a n c e d Man u f a c t u rin g Te c h n o l o g y ， 2 0 0 7 ， 3 5 ( 4 ) ： 2 9 3 3 0 0 蠡矗矗矗矗I 南I 击击蠢曲毒盘是是毒蠢出盎盎重【上接第3 6 页】线等)，利用现有无线网络Wi

22、 F i 的网络设备即可进行定位。其基于专利技术高精度算法的软件，通过定位引擎计算定位，定位精度在3 米左右，最高能至1 米。如果发现有入侵的无线客户端，可以使用定位系统或者无线电测向仪等共同配合进行查找，将入侵者诉诸法律。 3 结论由于无线网络的开发性，在无线校园网时代，必须采用综合的安全措施才能最大程度的保证网络安全。这些措施不仅包括技术上的问题，必要的时候，对入侵者诉诸法律，将大大威慑网络入侵行为。参考文献：【 1

23、】罗燕羽 WP A被破解后的对策 J 】 _ 网络安全技术与应用，【 6 2 】第3 3 卷第2 期2 0 1 1 - 2 ( 上) 2 0 0 9 ， 4 2 W I L DP ACK ETS ， I NCOmn i P e e k Ne t wo r k An a l y z e r DB OL】 h t t p ： www wi l d p a c k e t s c o m p r o d u c t s n e t wo r k a na l ys i s a ndmon i t or i n g o m n i pe e kn e t wo r k a na l y z

24、e r 2 0 0 9 9 1 【 3 El c o ms o f t P a s s wo r d r e c o v e r y s o f t wa r e DB OL】 h t t p： www e l c o ms o f t c o m e d p r h t ml # f o r ma t s 2 0 1 0 9 1 】【 4 吕海燕，吕红，任颖，赵媛，周立军无线网络的安全机制及其实施【 J 】中国现代教育装备， 2 0 1 0 ， ( 0 3 ) 【 5 】杨天化浅谈无线网络安全及防范策略 J 浙江工贸职业技术学院学报， 2 0 1 0 ， ( 0 2 ) 【 6 】袁爱杰，胡中栋，万梅芬基于无线网络安全WE P 协议的探究【 J j 计算机时代2 0 0 9 ， ( o 4 ) 【 7 】陈亮，张鹏，陈旭翔，蔡世贵，毛仕文基于统一账号认证的无线接入综合管理平台 J 电信工程技术与标准化， 2 0 1 0 ， ( 0 6 ) ： 4 8 5 1 8 R A 马拉尼无线网络中的定位安全服务【 P 】中国专利： CN 1 01 0 44 71 1 2 00 7 09 26 学兔兔 w w w .x u e t u t u .c o m

展开阅读全文