高校无线网络安全探讨 本文关键词:无线网络,探讨,高校
高校无线网络安全探讨 本文简介:所谓无线网络,就是运用无线通信技术搭建起来,以有线网络为基础发展起来的网络。无线网络的种类很多,如无线个人网尧无线局域网尧无线城域网尧移动设备网络等。与有线网络相比,二者的用途都是一样的,传输数据和共享资源。主要区别在于传输介质不同,有线网络采用有线电缆,而无线网络利用无线通讯技术。通常意义上所说的
高校无线网络安全探讨 本文内容:
所谓无线网络,就是运用无线通信技术搭建起来,以有线网络为基础发展起来的网络。无线网络的种类很多,如无线个人网尧无线局域网尧无线城域网尧移动设备网络等。与有线网络相比,二者的用途都是一样的,传输数据和共享资源。主要区别在于传输介质不同,有线网络采用有线电缆,而无线网络利用无线通讯技术。通常意义上所说的无线网络是由电信运营商为公众提供移动通信所搭建的移动数据网络和无线局域网络这两种模式。无线网络的诞生,使我们可以在学校尧单位尧家里的每一个房间尧角落随时随地拿起移动终端通过无线网络来连接互联网。随着更多的智能无线终端设备进入高校,无线网络的安全越来越引起高校的重视。无线网络为日常学习生活尧教学科研提供方便快捷的同时,也遭受着黑客和病毒的威胁。比如2017年出现的野勒索病毒冶同样也攻击移动终端,给很多高校带来了严重损失。同时,高校作为科研场所,很多高价值涉密资料也有泄露与被入侵的风险。现就高校无线网络的特征,提出一些安防建议,维护校园无线网络安全。
1.无线网络协议
1.1移动通信协议
IEEE802.11系列是为无线局域网络制定的标准,主要包括a,b,g,n等工作标准。不同的标准采用不同的频段尧不同的传输速度。IEEE802.11b采用2.4GHz频段,传输速度11Mbps曰IEEE802.11n采用2.4GHz和5GHz频段两个频段,传输速度最高可达600Mbps曰IEEE802.11ac工作在5G频段,理论上可以提供高达每秒1Gbit的数据传输能力。现阶段以IEEE802.11b最流行,广泛运用于无线局域网的无线网卡之间的互联。然而由于其速度比较慢,IEEE802.11n逐渐显露出作为下一代标准的巨大潜力,不仅拥有更高的速度,而且向下兼容,随着5G时代的到来,也会被IEEE802.11ac所取代。
1.2接入设备
在无线局域网中,经常用到的设备包括无线网卡尧无线网桥和无线天线这3种。渊1冤无线网卡,功能与以太网的网卡相同,是无线局域网的末端接口,可以实现连接无线局域网。根据接口类型不同,常见的有3种无线网卡院PCMCIA尧PCI和USB。由于无线网卡功率比较小,往往需要搭配外加天线,来扩大有效的通讯范围,满足我们的日常需要。渊2冤无线网桥,它适用于连接距离较远或者物理隔断的两个及两个以上的单独的网段,适用距离从数百米到几十公里不等。根据工作方式,无线网桥可以分为3种院单点对单点尧单点对多点尧中继桥接。无线网桥的使用至少需要两个,这和可以单独工作的AP是不同的。渊3冤无线天线,可以延伸无线网络的工作区域,移动终端可在不同的位置移动。移动终端的信息传输速度随着与无线AP或者其他终端之间的距离的增大而逐渐减小,传输速度就会降到0Mbps,即断开连接。这就需要采用无线天线对传输信号进行加强,扩大其工作范围。
2.面临的安全威胁
2.1非法访问
网络入侵者可以通过网络连接技术侵入加密等级较低,甚至不加密的wep工作模式路由器以及未加密的蓝牙设备,非法访问无线终端所连接的数据存储设备,窃取资料。常见的有以下几种院(1)物理接入攻击院这种威胁方式主要是将黑客设备物理接入的方式连接到网络,安装未授权的设备或者搭建新的网络热点。这些黑客设备往往没有经过或者绕过安全检查,可以直接或者间接地访问到系统内的资源。入侵者新建无线网络终端,与接入点进行通信或者伪造其他允许介入设备,绕过安全验证。(2)随机攻击院入侵者并没有将设备直接物理接入到目标网络范围内,而是使用网络扫描器软件,在信号覆盖范围内侦察到无线网络,快速地入侵网络。(3)内部违规接入点院这些接入点没有经过网络安全管理部门的许可或者知悉,就私自设置接入点。通常这些设备是内部人员出于某些目的建立的,有些是为了绕开安全部门检查,有些是为了个人私利所建设。这种违规接入点一般没有主观恶意性或者意图破坏网络,但是却把本部门的网络安全城墙挖了一个洞,给了意图非法入侵的黑客可乘之机。(4)钓鱼式攻击院这种攻击模式一般是利用人们的安全意识差和好奇心理,通过搭建一个相似的网络名称,或者具有诱导性的SSID来吸引那些不够认真尧粗心大意的用户来访问。这样入侵者就可以轻松地访问到这些用户电脑上的资源。
2.2信息泄漏
利用非法AP尧网站以及植入病毒app,获得高校师生的帐号尧密码,窃取财产和个人信息。入侵者通常采用的方法就是对无线通讯进行监视与劫持,无线网络就不可避免地受到侵害。主要是对无线数据包内容进行解析,劫持到最初数据部分,这部分通常包含有账号尧用户名尧密码以及口令。利用这些信息,入侵者可以将自己包装成合法的访问者,并且以此为据点劫持其他用户或者网络内部的资源。
2.3网络攻击
无线网多采用共享带宽机制,学生访问伪造或者被篡改的移动热点,下载了病毒或者木马,不但威胁到自身计算机的安全,同时还可能被当作攻击源,向外发起网络攻击。网络攻击主要是入侵者利用网络内部的漏洞或者安全方面的不足,对网络范围内的软件尧硬件或者服务数据进行攻击。从对信息的危害性分类,可以分为主动型和被动型攻击两种。主动型是指积极主动追求数据的破坏方式,包括篡改尧伪造和拒绝服务3种。被动型攻击,是指那些不破坏和不修改网络数据,主要目的是截获与监听网络用户与信息资源。因它不去破坏信息系统的软尧硬件,不容易被用户和安全部门所察觉,有很强的隐蔽性。对抗被动型攻击主要依靠防御,未雨绸缪,可以采用虚拟专用网VPN,采用更高等级的加密手段以及采用交换式通讯设备。
3.防范手段
3.1Mac地址过滤
Mac地址过滤是一种很有效的隔离机制,高校常采用校园网认证客户端,接入互联网,捆绑登记Mac地址,既方便管理与计费,又可以禁止未经授权的Mac访问。然而在实践中,Mac地址可以随意修改尧伪造和克隆。当无线扫描软件筛选到具有访问资格的Mac地址之后,就可以将自己非法的Mac地址修改为合法的Mac地址,这就导致Mac地址过滤的实际效果大打折扣,形同虚设。为了提高这种隔离机制,我们对无线接入用户,应采用两种不同的隔离,即同AP下用户的隔离和不同AP下用户的隔离。同AP下用户Mac可相互访问,只能与上联端口进行通讯。不同AP之间可采用VLAN尧PVC等二层交换技术进行通讯,保证不同AP下的用户不能直接互通。所有接入用户只有通过AC向认证服务器认证后,才可进行深层受控互通。
3.2对移动热点强化验证
加强管理,技术筛查,建立实名访问尧密钥访问技术以及认证服务器策略等,要事先设定认证策略,对无线用户经认证服务认证身份后,对用户进行识别并绑定。对于移动用户要采用更长更复杂的密码,增加破解密码的难度。
3.3注重防火墙技术
防火墙可以由软硬件共同组成,保护包括内网尧外网尧专网和公共网络。防火墙技术是一种基本的保护计算机网络安全的技术,通过建立相应的网络监控系统来对系统内外进行有效监管与隔离,阻挡外部入侵。网络管理中心提供统一的防火墙更新,时时对校园网接入点的安全提供保障。计算机终端要安装病毒防护软件,还要对计算机上不需要的服务进行关闭,防止被黑客利用。
3.4加强网络隔离
对于校园网中的用户数据可以采用加密技术,加密要深入到无线数据链路层和网络层。对于图书馆尧实验室等重点涉密单位,要采取有必要的网络隔离。比如禁止接入无线终端,禁止访问互联网。另外在工作时间之外,及时切断网络也是一种有效的手段。在一些重要部门,当工作或者学习进程结束后,要及时断开网络,切断电源,切断外部的一切访问,这种安全等级理论上是最高的。
4.结语
高校作为国家重要的科研机构,网络安全面临着严峻的考验,各种威胁与入侵层出不穷,网络入侵经常导致学校重要数据尧计算机系统遭到破坏与窃取。因此高校管理者应制定校园网安全管理制度,细分无线网安全等级,建立无线网监控系统,对无线网络设备运行情况实时采集分析,评估安全风险,对潜在的漏洞与威胁要有良好的解决方案,时刻与网络入侵做抗争。
作者:王文志 单位:焦作大学远程教育学院
高校无线网络安全探讨 来源:网络整理
免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
相关文章