無線校園網絡安全與應對策略

移動互聯網的快速發展和智能移動終端的快速普及，師生用戶對校園內無線覆蓋的需求越來越強烈。校園無線網建設程度逐漸成為衡量高校信息化發展的一個重要指標，高校紛紛建設大規模無線校園網。 由于無線網信號是在開放空間傳輸，Wi-Fi 協議在安全性上又不同于有線網絡，容易遭受黑客的攻擊，通過無線傳輸的信息容易受到攻擊者竊取和篡改。在高校校園內，學生在網絡上的活躍程度和好奇心都非常強，網絡攻擊行為時有發生。因此，高校無線校園網絡安全有其自身的特點，在建設和運維無線校園網絡時需要充分考慮其安全性，以保障無線網絡可靠穩定運行。

無線網絡安全性及技術趨勢

無線網絡雖然具有便于安裝、靈活使用、易于擴展等優點，但是由于無線網絡信道開放、接入終端的移動性等特點，以及無線終端計算能力和存儲能力的局限性，使得有線網絡環境下的許多安全方案和技術不能直接用于無線網絡。

WLAN 無線網絡技術標準制定者IEEE 802.11 工作組從一開始就考慮了無線網絡安全問題。最初的IEEE 802.11-1999 協議定義的WEP 機制存在較多缺陷，協議中沒有對用戶進行認證，只對客戶端設備進行認證，未經授權的用戶也可以訪問網絡資源;協議中使用的WEP 加密(Wired Equivalent Privacy)方式是一種低效率的加密方式，容易在鏈路傳輸層被竊聽破解;協議使用的消息完整性驗證方式ICV(Integrity Check Value)效率不高，無線傳輸數據幀的內容容易被黑客修改。所以IEEE 802.11又成立了802.11i工作組，提出了AES-CCM 等安全機制。此外，我國國家標準化組織也制定了WAPI 標準。

目前，從校園無線網管理要求和各大無線廠商解決方案來看，有線無線網絡一體化管理逐漸成為趨勢，相應的技術產品逐漸成熟，可以實現有線無線一體化的安全架構。通過有線網硬件平臺上集成無線交換、防火墻、入侵檢測等功能模塊，可以實現的主要安全功能包括：動態檢測和過濾數據包、防范多種DoS/DDoS 攻擊、防范ARP 欺騙攻擊、識別網絡應用層流量并過濾、流量審計與分析等。有線無線網絡一體化管理還要實現有線無線接入認證系統以及計費系統的統一，既方便了用戶用網，同時又可以實現無線用戶特有的服務策略控制。

無線安全問題及應對策略

無線校園網絡面臨的主要安全問題有：

1. 偵測攻擊：通過竊聽、偽造等方式針對系統或服務弱點進行未經授權的查詢和訪問。

2. 非法AP 欺騙：通過使正常用戶接入未授權的AP，以獲取正常用戶的認證和數據信息。

3.ARP 病毒：很多校園網內ARP 病毒泛濫，無線校園網由于共享帶寬機制，更易受到ARP 病毒影響。

4.DoS 攻擊：通過發起大量服務請求來占用過多服務資源，從而使合法用戶無法得到正常服務。

針對無線校園網的特點及安全問題，可在網絡不同層次采取多種安全策略，如圖1 所示，主要措施有：

圖1：無線校園網安全策略示意

1. 建立完善的無線用戶認證和授權系統，支持802.1X 認證、MAC 地址認證、Portal 認證、PPPoE 和WAPI 認證等多種方式，用戶通過身份認證后可動態授權VLAN 和ACL，對用戶的策略可以事先設定好。無線用戶經認證系統認證后，無線控制器應對用戶進行標識并綁定，并分配帶寬等屬性。可以防止IP 地址欺騙、帶寬濫用、DHCP 服務器被攻擊等問題。

2. 提供基于AP 位置的用戶接入控制，出于安全性或計費等的考慮, 要求無線控制器支持基于AP 的用戶接入控制。當無線用戶接入網絡時，可以通過認證服務器向AC 下發允許用戶接入的AP 列表，在AC 上進行接入控制，從而達到限制無線用戶只能接入到指定位置AP 的目的。

3. 采取無線用戶隔離措施，用戶隔離包括同AP 下用戶的隔離以及不同AP 下用戶的隔離。AP 內部采用MAC 互訪控制原理隔離用戶，保證同AP 下用戶只能與上聯端口進行通訊;AP 之間采用MAC 地址訪問控制或組網匯聚設備二層技術(如VLAN、PVLAN、PVC)進行隔離，保證不同A P 下用戶不能直接相通。所有用戶只有通過A C 認證后才能進行三層受控互通。

4. 通過數據加密防止用戶數據被非法竊取，用戶數據的加密包括無線鏈路層和網絡層的加密。

5. 部署無線入侵檢測/ 防御(WIDS/WIPS)，非法設備的告警和攻擊防護功能使得無線控制器可以自動監測WLAN 網絡中的非法設備( 如Rouge AP，或者AdHoc 無線終端)，并實時上報網管中心，同時對非法設備的攻擊可以進行自動防護，最大程度地保護無線網絡。

安全運維管理

盡管無線網絡相關安全技術和設備已有較快發展，但由于系統開銷和性價比原因，在無線校園網絡建設時很難采用非常復雜的安全技術和過多的安全設備。因此，后期的安全運維管理是保障無線校園網穩定運行的重要手段。

無線校園網安全運維管理可分為流程定義、運行監控、事件分析、安全響應四個環節。

1. 流程定義環節：根據學校安全應急等級制度以及校園網安全管理制度，預定義無線校園網安全事件等級和安全響應流程，明確各類安全事件的響應步驟及相關責任崗位，定期進行安全預演。

2. 運行監控環節：建立無線校園網運行監控系統，通過網絡運行監控中心對無線網絡控制器、交換機、AP 等設備的運行狀態以及安全設備告警日志進行實時采集和定期查看，生成安全報表。

3. 事件分析環節：管理員對監控中心發現的異常告警進行分析，對監控系統收集的運行數據進行分類梳理，對海量日志信息進行過濾和審計，評估安全風險。

4. 安全響應環節：針對已發生的安全事件，根據預定義的流程及時響應處理并保存日志備查，同時修復漏洞;對潛在的安全威脅，提出解決方案并組織實施。

安全設計和運維案例

浙江大學于2013 年初建成覆蓋全校五校區的大規模高速無線校園網絡，采用有線無線一體化架構，共部署雙頻802.11n 無線接入AP 近1 萬個，實現全校教學區、學生宿舍區、室外公共區域無線網絡的全覆蓋，在教學、科研等重點區域實現450M 無線網絡高速接入。

在無線校園網絡方案設計時，詳細考慮了無線網絡安全需求和運維管理需求。拓撲示意圖如圖2 所示，相關組網設計思路如下：

1. 核心層：五個校區的教學區、宿舍區無線網絡核心通過萬兆互聯，校園有線無線共用核心層設備，采用各校區核心交換機插卡的形式部署無線控制系統。同時，為保證分區的安全控制與防御，在核心層可部署防火墻、入侵檢測等安全設備，與網絡融合，靈活安全控制策略。

2. 匯聚層：從匯聚層開始，無線網采用專用光纖、匯聚交換機獨立組網，各匯聚單元通過冗余萬兆上聯核心交換機，同時雙千兆接入到各樓宇。

3. 接入層：采用瘦AP(Fit AP)+ 集中式無線控制器的方式，通過無線控制器(AC)來集中管理所有AP，AP 通過PoE接入交換機上行至無線網絡的匯聚及核心。接入層交換機直接和無線AP 連接，可能遭受來自AP 用戶的ARP 風暴、MAC掃描、ICMP 風暴、帶寬攻擊等攻擊方式，需要具備較高的防攻擊能力。

4. 用戶認證：基于原校園有線網絡認證數據庫，實現有線無線網絡統一認證，無線認證方式支持Web Portal、802.1X 等安全認證方式。針對不同的用戶套餐使用不同的用戶策略。

5. 網絡管理：部署無線網絡管理系統，通過管理無線控制器，進而管理整個無線網絡設備，實現有線無線一體化的網絡管理和運行監控。

浙江大學通過建立無線網絡運維體系，保障無線校園網安全可靠運行。設立網絡運維監控中心，通過無線網管系統對無線校園網運行情況進行7x24 小時監控;建立無線網運維隊伍，對無線網運行情況和安全問題進行整理，每周例會定期分析;建立相應的運維制度，進行規范化運維。

無線校園網的安全運行是一個系統工程，并不是簡單以技術和設備手段來解決，需要在方案設計、網絡建設、運維管理各階段予以重視，統籌考慮。網絡管理部門應建立相應的安全運行管理制度，明確相關崗位職責和流程，以保障無線校園網絡的安全穩定運行。隨著網絡技術和安全技術的發展，各種無線網安全問題還是會不斷出現，需要網絡管理部門長期在無線網絡技術、產品、應用方式、運維管理等方面深入探索研究。

浙江大學某校區無線校園網拓撲示意