校园网无线安全性研究.docVIP

校园网无线安全性研究 　　摘要：该文根据学校无线校园网的实际情况，从拓扑结构、无线网络特点等几个方面分析了无线校园网的安全性，并通过测试，具体分析无线校园网的安全性以及可能存在的问题。 　　关键词：无线校园网；FIT AP；认证 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）34-0039-02 　　Abstract： This article according to the actual situation of the campus wireless network， from topology structure， wireless network characteristics and other aspects analyses the security of the wireless network， through the test ，detailedly analysis the security of the wireless network and the problems. 　　Key words：campus wireless network； FIT AP； authenticate 　　我校无线校园网于2014年建成并投入使用，无线校园网覆盖了全校所有校区的公共区域、图书馆以及学生宿舍，为广大师生提供了便利的学习和工作环境，受到一致好评。作为校园网络的一部分，很好地补充了有线校园网。但是，无线校园网是否安全可靠？长期使用是否会出现安全问题？作者随后针对校园网的安全性进行了测试和研究。 　　在网络拓扑上，无线校园网并没有依附原来的校园网结构，而是采用单独组网。核心层的设备均采用模块化设计，支持冗余配置。同时，核心层采用双核心组网，并利用虚拟化保证可靠性。在网络出口处，部署了企业级硬件防火墙，很好地保证了内网的安全。在AP选型上，宿舍区AP设计使用X分型AP部署，可以实现宿舍区无线信号的无死角覆盖，同时避免了采用传统放装部署时存在的同频干扰、房间内有死角等问题。无线AP组网设计使用FIT AP组网模式，无线控制器采用N+1备份方式，这些都进一步保证了无线校园网的可靠性。 　　为保证无线校园网的安全性，进一步部署了安全审计系统。该系统通过实施抓取用户的数据包和上网日志，对用户的行为进行具体的分析。根据分析的结果，对有危害网络安全行为的用户，进行限制并制止，同时通过该系统，进一步优化网络环境，达到净网和提高网络质量的效果。 　　伪基站是无线网络安全中很突出的一个问题。不法分子通过伪装一个基站（或者AP），让用户连接上来，在用户上网的过程中，窃取用户的重要信息。这种攻击方式，大多出现在公共区域，让用户和管理员防不胜防。无线校园网在建设的初期就考虑了这个问题，最后采用的是FIT AP的组网模式。这种模式在组建网络初期，就将每一个位置上AP的信息，如：版本号、mac地址等，注册在了对应的AC（access controller）中。而AC锁在专门的机柜中，是不对外公开的，用户有哪些信誉好的足球投注网站不到AC。AC配置有登陆和管理密码，由专人负责并定期更换密码。一定数目的AP绑定在对应的AC上，AC负责控制AP的运行和数据的传输，AP只负责提供终端接入连接和传输数据的作用。而且为了安全考虑，AP的注册工作全部人工手动完成。这样即使外来攻击者伪造了一个AP，因为伪造的AP信息并没有在AC中注册，所以伪造的AP不能与AC进行通信，也就无法完成经过AP、AC的用户身份登陆认证，从而无法上网。用户只需通过无法完成身份认证就可以将伪基站识别出来，让其无所遁形。 　　由于无线网络是通过电磁波在空气中传送数据，所以无线接入是区域接入，一定范围的设备都可以接入进来，无法像有线网络那样严格的控制接入方。所以数据安全就成为无线网络的一个突出问题，主要表现形式有：回话拦截、监听和非法入侵。我校无线校园网采取认证计费上网的方式，通过对三种认证方式的比较，最后选用的是portal无感知认证的方式具体认证流程如下： 　　步骤1、用户连接WLAN网络SSID，并通过DHCP服务器获取IP地址信息。 　　步骤2、AC将监控用户的上网流量。 　　步骤3、当AC监控的用户流量达到阈值时，（例如流量阀值可设置为5分钟累积流量10KB），AC将向MAC绑定服务器发起MAC查询请求。 　　步骤4、MAC绑定服务器向AC返回查询结果：此终端MAC信息未绑定。（由于此终端用户是首次连接WLAN网络，所以MAC绑定服务器中无此终端的MAC地址信息） 　　步骤5、AC将按照正常Portal流程向终端重定向Portal认证页面。 　　步骤6、用户终端输入用户名、密码信息发起Portal认证。 　　步骤7、AC与P