第20卷第2期 长春大学学报 .V01.2O No.2 Feb.20lO 2010年2月 JOURNAL OF CHANGCHUN UNIVERSITY 校园无线网络安全管理风险和防范技术研究 刘明辉 (长春大学软件学院,吉林长春130022) 摘要:主要介绍了当前校园无线网的基本情况,从多角度说明了无线网络的重要性,详细分析了校内无线网络存 在的风险并提出了相应的解决方案。 关键词:AP无线网络;MAC地址 中图分类号:TP393.17 文献标志码:A 文章编号:1009—3907(2010)02—0068—03 0 引 言 目前,全国的所有高校都建立了自己的校园网 接人交换机上。由于AP经常安装在如屋顶等不易 维护的地点,所以都由网络中心来进行远程管理。 络,在传统的校园网络组建中,传输介质主要由双绞 线,光纤组成。这种网络在组建的过程中,成本高, 工程大,容易受到建筑物及周边环境的影响。灵活 机动性不强,了校园网的发展。近几年来,无线 局域网以其灵活布设、高带宽和无线接人的优势,出 现在大家面前,无线网络可以突破有线网络节点限 制、实现多人同时上网的问题,大大地增加了校园网 络信息点,方便在校师生获取信息,进一步提升学校 的信息化水平。此外,无线网络环境的引入,为崭新 的无线多媒体提供了应用平台,从而将教育信息化 建设带入一个崭新的天地。无线网络的发展趋势势 不可挡。 图1应用无线网络方案的校园网结构图 无线网络技术在校园网络中的应用,给学校师 生带来了方便,教师和学生可以随时随地的通过移 动电脑,手机等移动设备接入到校园网络中,进行课 表查询,教学评价等各种应用,但随之而来的是无线 网络的应用给网络管理带来了巨大的挑战,校园无 1 目前校园无线网络的基本情况 大部分校园无线网络布局普遍为:每栋楼与中 心机房都有光纤连接,在楼内布有若干个接入交换 机,这些接入交换机接人到各个教学楼的汇聚层交 换机,再由汇聚层交换机接入到设在中心机房的骨 线网络的安全问题随之产生,学生信息泄露、非授权 接入、数据篡改、病毒传播等各种问题应运而生。 2 当前校园无线网络存在的主要问题 2.1网络资源暴露无遗 干交换机,校园无线局域网由室内与室外两部分组 成如图1所示,在室内根据覆盖需要,放置若干个无 线局域网访问点,用于用户无线网络的接入,用户在 校园网络入侵者可以通过无线网络连接技术轻 松进入局域LAN中,获取网络访问权限后,不仅可 访问网络资源和共享文档,还可以对网络上其它用 移动时,系统会自动漫游,在不同的访问点之间进行 信号的切换,这些访问点连接到各楼的接人交换机。 在室内做无线网覆盖时,一般将AP放在室内 的顶部和楼道的开阔处效果会比较好,这些AP设 备的采用以太网供电(PoE,Power over Ethernet)方 式。室外选择合适的大楼楼顶安装无线访问点,并 户的文件、目录、硬盘驱动器进行复制、删除、修改等 操作,甚至可以对网络上其它接入计算机种植木马, 放置间谍、病毒程序等。 2.2敏感信息被泄露 无线网络接人者使用黑客工具,可使其他接入 者的WEB页面被实时重建,在获取WEB站点的 URL后,可获得到对该网址使用的各类账号和密 安装天线以增加信号的增益,该无线访问点连接到 收稿日期:2010-01-04 作者简介:刘明辉(1973-),男,吉林长春人,实验师,硕士生,主要从事软件开发与网络管理维护方面的研究。 第2期 码。 刘明辉:校园无线网络安全管理风险和防范技术研究 号,它由IEEE(电气与电子工程师协会)分配,而后 3位16进制数0A:8C:6D代表该制造商所制造的 某个网络产品(如网卡)的系列号。只要你不去更 改自己的MAC地址,那么你的MAC地址在世界是 惟一的。)这就决定了mac地址的唯一性。而MAC 2.3被充当为网络跳板 开放的WLAN可被入侵者用来架设FTP服务, 传送盗版电影、音乐、色情文件,也可被用来作为发 送垃圾邮件、DoS攻击等网络攻击的终端。 3如何管理校园无线网络及几种常见防范 地址过滤是通过预先在AP在写入合法的MAC地 手段 针对于上述几种情况,为了保证校园网内网络 的安全运行。本人建议从以下几方面采取防范措 施。 3.1更改无线AP的SSID设置 校园网络中心管理员更改校园所属AP或无线 路由器的默认SSID(Service Set Identifier的缩写,意 思是:服务集标识),通常,在学校内楼宇之间都是 有很多个不用部门的AP同时在工作,(而学校内的 AP通常都是学校统一采购的,造成不同部门所用的 AP型号,性能基本相同)这时候更改默认的SSID就 尤其需要了,因为,在同一区域内有相同制造商的多 台AP时,它们可能拥有相同的SSID,这样客户端就 会有一个相当大的偶然机会去连接到不属于它们的 AP上。在SSID中尤其不要使用个人的敏感信息。 3.2及时更新AP的Firmware(防火墙) 通过刷新最新版本的Firmware能够提高AP的 安全性,新版本的Fimrware常常修复了已知的安全 漏洞,并在功能方面可能添加了一些新的安全措施, 通过几下简单的点击就可检验和升级新版本的 Fimrware了,与以前的AP相比较,一些老产品需要 用户要从界面,并不是很友好的厂商技术支持站点 手工去寻找、下载、更新最终版本的Fimrware。但 是,及时更新AP的防火墙是非常重要的。 3.3 MAC地址过滤 这是目前在校园网络非常常用的一种技术手 段,它方便,快捷,安全基于对所用电脑的mac地址 的认证来防止外来用户非法登录,使用网络。为什 么说基于对mac地址的过滤就能起到防止外来用 户非法登录呢?这里需要介绍一下MAC地址概念, MAC地址也叫物理地址、硬件地址或链路地址,由 网络设备制造商生产时写在硬件内部。…(IP地址 与MAC地址在计算机里都是以二进制表示的,IP 地址是32位的,而MAC地址则是48位的。MAC 地址的长度为48位(6个字节),通常表示为l2个 l6进制数,每2个l6进制数之间用冒号隔开,如: 08:00:20:0A:8C:6D就是一个MAC地址,其中前6 位16进制数08:O0:2O代表网络硬件制造商的编 址列表,只有当所登录的计算机的MAC地址和合法 MAC地址表中的地址匹配,AP才允许计算机与之 通信,实现物理地址过滤。这个方法在当前很多高 校校园网络都在使用。它把局域网内上网的用户计 算机MAC地址统计出来。加到无线路由AP的安 全设置中。这样,用户在登录网络时,只有在AP中 登记过的计算机上网请求可以通过。其他计算机的 请求都被拒绝。 3.4增加身份验证 面对各种新兴的网络攻击,学校网管员应该在 网络中使用身份验证。可靠的身份认证.是保护网 络系统受到诸如伪装和内部人员修改攻击等破坏非 常重要的一步。认证的基本模式可分为三类 : (1)用户到主机。(2)点对点认证。认证双方通过 认证协议,互相通信,获得对方的认证信息。完成身 份认证工作。(3)第三方的认证。由充分信任的第 三方提供认证信息。在校园网中,通常采用第一种 认证方式,即所有用户都在学校服务器内先行登记, 注册身份。 3.5把网络分段 从防止基于网络的入侵来说,还有另外一种方 法把网络用户从对他们不适宜的地方隔离开来,通 过具有VLAN功能的交换机可用来分隔LAN用户, 现在很多厂商生产的可管理的交换机上都有VLAN 管理功能。划分VLAN作用,(是把同一个物理网 络的用户,划分成多个无法互联的逻辑网络,在理论 上这多个网络是不相邻的,而在物理上这多个网络 却在同一个网络设备上。)这样,虽然网络接点都在 一个交换机上,但是,实际上已经把用户分成了多个 部分,其中一部分用户在使用网络的时候,只能去做 一些简单的操作。例如,浏览新闻,简单查询。接触 不到网络的核心的秘密。而另一部分用户接在另一 个网络分段中,通过这部分端口接入的用户在登录, 身份验证时都比较严格,他们可以做复杂的管理,例 如配置网络交换机,接触网络的核心秘密。 3.6增大基于软件的保护 对于局域网中的每台机器上都应该安装有防护 软件,,并设置为自动更新它们的病毒库,例如(诺 7O 长春大学学报 第20卷 顿,瑞星等)杀毒软件,还应该安装BlaeklCE等个人 络发挥更大的作用。 防火墙软件能够提醒你来自网络的可疑连接。如果 参考文献: 有可能,在机器中安装一款反间谍软件也是很必要 [1] 李文胜.无线校园网络安全分析及方案设计[J] 现代计算机 的,Spy Sweeper等也是不错的选择。做到了上述安 (专业版),2009(6):199. 装配置这样才能对整个网络形成有效的防护。【4 [2]蔡向阳,罗茂盛.无线局域网的室外应用[J]. 天津通信技 术,2004(3):56—57. 4结语 [3]邵丹.无线局域网安全标准的比较和分析[J]. 长春大学学 虽然无线网络给我们提供了方便,快捷。但是, 报,2009(12):6l一6_4. 也使网络管理面临新的,更多问题。我们必须采取 [4] 周晓艳.无线局域网——校园有线网络的必要补充[J].科学 大众,2008(10):131. 更多方法来保证网络的安全运行,只有在实践中不 责任编辑:吴旭云 断总结经验,才能更好的使用无线网络。使无线网 Management risk of campus wireless network security and prevention technology research LIU Ming—hui (Software College,Changchun University,Changchun 130022,China) Abstract:The current situation of campus wireless network is introduced in this paper,and the impo ̄ance of wireless network is illus- trated from multi—angIes.hTe risks of wireless network in schools are analyzed in detail and the corresponding solution is Oven. Keywords:AP wireless network;MAC address (上接第44页) [6]贾小珠,潘振宽.基于Windows NT的计算机知识与应用无纸 安全性高级编程[J].北京:清华大学出版社,2001:84—98. 化考试网络系统[J].青岛大学报,2003,16(1):45—49. 责任编辑:吴旭云 [7]Ben Galbraith,Whitney Hankison著,吴旭超王黎译.Web服务 Design and implementation of network exam system with speech navigation for the blind in inclusive education ZHU Hai—ying,LIU Gai (School of Information Technolgy,Changchun Vocational Institute of Technology,Changchun 130033,China) Abstract:This article,by using ASP.NET 2.0 technology and C拌program language,discusses the basic method of automatic exaln system with speech navigation based on B/S mode.The flexible function in speech navigation and interaction is realized by the interac・ tive call between C#language at server end and JavaScfipt at client end.which solves the problem of interactive nature appeared in B/ S mode program,and it is a breakthrough in technology realization.Also,it gives an efifcient,exact,scientifc and reasonable solution for teaching checks of inclusive education. Keywords:inclusive education;network exam system;speech navigation;speech exam;B/S mode
