无线校园网络探索

【论文摘要：无线网络；网络平安

【论文摘要摘要：越来越多高校采用无线校园网络这一先进网络技术,其平安性新问题是普遍高校比较关注的,着重对无线校园网络的平安性新问题进行探索和探究。

随着无线技术的不断成熟和普及，无线网络在全球范围内的应用已经成为一种趋向。在我国，越来越多的学校开始在校园构建和铺设无线网络。无线校园网络的快速发展和应用，对学校的教学模式、教学理念及教学管理产生了深远的影响，也使学校教师、学生的学习、生活方式产生了积极的变化。根据教育部的调查显示，目前我国15．1％的高校建有无线校园网，同时有36．2％的高校计划建设无线校园网。针对突飞猛进的无线校园组网计划，有专家表示，无线校园是未来校园信息化的发展方向。

一、何谓无线局域网

无线局域网（WirelessLocalAreaNetwork，缩写为“WLAN”）是高速发展的现代无线通信技术在计算机网络中的应用，是计算机网络和无线通信技术相结合的产物。不像传统以太网那样，基于802.1标准的无线网络在空气中传播射频信号，在信号范围内的无线客户端都可以接受到数据，为通信的移动化、个人化和多媒体应用提供了实现的手段。

二、传统有线网络面临的新问题

随着校园网络规模不断扩大，网络应用不断增加，网络已经成为老师和学生获得信息的主要手段之一，校园网络的规模从以前的几百用户迅速扩充到几千用户甚至几万用户，越来越多的校园网络应用开始部署，网络变得前所未有的重要，细心观察不难发现传统有线网络轻易出现以下新问题摘要：

（1）校内公共网络设施有限，而且使用频繁，人们为了上网不得不在这些地点之间奔波；

（2）计算机设备较多，其中，笔记本数目也在逐步增加。在这种情况下，全部用有线网连接终端设施，从布线到使用都会极不方便；

（3）有的教室主体结构是大开间布局，地面和墙壁已经施工完毕，若进行网络应用改造，埋设缆线工作量巨大，而且学生上课时的位置不是很固定，导致信息点的放置也不能确定，这样，构建一个有线局域网络就会面对各种不便；

（4）高校通常会有几个在地理分布上并不集中的分校区，用有线光缆连接校园网工程复杂、成本极高。而使用无线网络，无论是在教学楼、办公楼、学生宿舍或者其他校区都可以实现全方位的无线上网。这是无线网络在校园中的发展趋向。

三、无线网络的特征和优势

1、移动性强。无线网络摆脱了有线网络的束缚，能够使学习远离教室，可以在网络覆盖的范围内的任何位置上网。无线网络完全支持自由移动，持续连接，实现移动办公。

2、带宽很宽，适合进行大量双向和多向多媒体信息传输。

在速度方面，802.11b的传输速度可提供可达11Mbps数据速率，而标准802.11g无线网速提升五倍，其数据传输率将达到54Mbps，充分满足校园网用户对网速的要求．

3、有较高的平安性和较强的灵活性

由于采用直接序列扩频、跳频、跳时等一系列无线扩展频谱技术，使得其高度平安可靠；无线网络组网灵活、增加和减少移动主机相当轻易。

4、维护成本低，无线网络尽管在搭建时投入成本高些，但后期维护方便，维护成本比有线网络低50％左右。

四、无线网络存在的平安新问题

在无线网络的实际使用中，有可能碰到的威胁主要包括以下几个方面

1、信息重放

在没有足够的平安防范办法的情况下，是很轻易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为，即使采用了VPN等保护办法也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗，进而对信息进行窃取和篡改。

2、WEP破解

现在互联网上已经很普遍的存在着一些非法程序，能够捕捉位于AP信号覆盖区域内的数据包，收集到足够的WEP弱密钥加密的包，并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量，最快可以在两个小时内攻破WEP密钥。

3、网络窃听

一般说来，大多数网络通信都是以明文（非加密）格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解（读取）通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大新问题之一。

4、MAC地址欺骗

通过网络窃听工具获取数据，从而进一步获得AP答应通信的静态地址池，这样不法之徒就能利用MAC地址伪装等手段合理接入网络。

5、拒绝服务

攻击者可能对AP进行泛洪攻击，使AP拒绝服务，这是一种后果最为严重的攻击方式。此外，对移动模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常也称为能源消耗攻击。

五、无线网络的平安防范办法

为了保护无线网路免于攻击入侵的威胁，用户主要应该在提高使用的平安性、达成通信数据的保密性、完整性、使用者验证及授权等方面予以改善，实现最基本的平安目的。

1、规划天线的放置,掌控信号覆盖范围。要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。部署了无线网络之后,应该用可移动的无线设备彻底的勘测信号覆盖情况，并反映在学校的网络拓扑图里。

2、使用WEP,启用无线设备的平安能力。

保护无线网络平安的最基础手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。虽然WEP加密本身存在一些漏洞并且比较脆弱,但是仍然可以给非法访问设置不小的障碍,有助于阻挠偶然闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。建议经常对WEP密钥进行更换,在有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注重的新问题就是用于标识每个无线网络的SSID,在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播，除非有非凡理由，否则应该禁用SSID广播，这样可以减少无线网络被发现的可能。

3、变更SSID及禁止SSID广播。服务集标识符(SSID)是无线访问点使用的识别字符串，客户端利用它就能建立连接。该标识符由设备制造商设定，每种标识符使用默认短语，如101就是3Com设备的标识符。倘若黑客知道了这种口令短语，即使未经授权，也很轻易使用无线服务。对于部署的每个无线访问点而言，要选择独一无二并且很难猜中的SSID。假如可能的话，禁止通过天线向外广播该标识符。这样网络仍可使用，但不会出现在可用网络列表上。

4、禁用DHCP。对无线网络而言,这很有意义。假如采取这项办法，黑客不得不破译用户的IP地址、子网掩码及其它所需的TCP/IP参数。无论黑客怎样利用公司的访问点，他仍需要弄清楚IP地址。

5、禁用或改动SNMP设置。假如公司的访问点支持SNMP，要么禁用,要么改变公开及专用的共用字符串。假如不采取这项办法，黑客就能利用SNMP获得有关公司网络的重要信息。

6、使用访问列表。为了进一步保护无线网络，应使用访问列表，假如可能的话。不是所有的无线访问点都支持这项特性，但假如公司实施的网络支持，就可以具体地指定答应哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP)，定期下载更新的列表，以避免管理员必须在每台设备上使这些列表保持同步的棘手新问题。