校园无线网络相关问题

2024年4月22日发(作者：)

校园无线网络安全问题和安全策

一、

安全问题

WiFi（Wireless Fidelity）是当前应用最为广泛的WLAN（无

线局域网）技术。与传统有线计算机网络相比，所有常规有线计

算机网络中存在的安全威胁和安全隐患都依然存在于WiFi中，

而且，由于WiFi在移动设备和传输媒介方面的特殊性，使得一

些攻击更容易实施，因此，WiFi所面临的安全问题更多，安全

威胁也更加严重。

二、

WiFi安全标准及PSK问题

由于WEP（有限等效保密）标准存在固有缺陷，WPA（WiFi

保护接入）/WPA2成为主流标准（主要用于小型企业和家庭WiFi

网络）。但WPA标准已经暴露出一些缺点，比如可以依靠WPA

加密方式需要的四次握手中，包含与密码有关的信息来进行字典

攻击，使得WPA的破解成为可能。

用户在采用WPA-PSK/WPA2-PSK标准时，如果设置的

PSK（预共享密钥）过于简单，那么黑客可暴力破解PSK，从

而非法获得WiFi网络资源的使用权。另外，由于一个WiFi网络

内的全部用户都共享一个相同的PSK，那么，如果某个用户因

某种原因泄露了PSK，会给整个WiFi网络带来安全隐患。

三、WiFi网络边界的不确定性问题

WiFi信息在开放的空间通过电磁波传输，没有明确的网络边

界，黑客可能从四面八方对每个接入点进行直接或间接的攻击。

这种开放性给WiFi网络带来了一系列的信息安全问题。例如，

对于单位企业来说，企业外部人员可能通过WiFi接入绕过防火

墙，进入企业内部网络；企业内部员工可能通过WiFi以端对端

模式与外部直接连接，暴露企业内部网络

四、

WiFi安全策略

WiFi安全策略就是从不同角度、不同层次来实现WiFi信息

保密、用户身份验证和访问控制等功能。按照WiFi安全策略部

署实施WiFi网络，虽然不能做到绝对安全，但能排除或预防绝

大多数的安全风险。

1、MAC地址过滤。利用路由器内置的MAC地址过滤功能，

允许或者禁止具有指定MAC地址的终端访问WiFi。同停止WiFi

SSID广播、关闭DHCP的作用一样，虽然MAC地址过滤并不

能防止地址欺骗，但能够增加潜在黑客的入侵成本。同时，通过

定期检查AP日志，有助于发现WiFi入侵风险。

此种方式，可以有效防止因泄露密码导致的非法用户进入，缺点是需

要接入无线网络的用户设备，需要登记设备的MAC地址，用户量大

的单位，工作量比较重，涉及到跟换设备，也需要更新MAC地址表。

2、端口认证可以提高WiFi认证的安全性。端口认证是一种

WLAN安全防范措施，对接入端口进行身份认证，当客户端需要访问

WiFi网络时需进行802.1x认证。认证服务器可以采用RADIUS

（Remote Authentication Dial In User Service，远程认证拨号用户

服务）认证服务器。RADIUS是一种在网络接入设备和认证服务器之

间承载认证、授权、计费和配置信息的协议，用户连接WiFi的用户

名和密码等安全信息资料保存于RADIUS认证服务器中，更为安

全。 此种认证方式，需要设备和软件的投入

就目前校园网络内，因为一些具体条件限制，可以做好以下几

个方面，经量避免出现在无线网络的安全问题：

1、 修改无线路由器默认登陆账号和密码，大多数无线路由

器登陆的管理账号和密码都为 admin

2、 无线加密方式采用WPA-PSK/WPA2-PSK标准，加强密

码强度，数字+字母+符号。并妥善保管密码，不要外泄。

3、 单位用户，特别是手机，禁止使用类似WiFi万能钥匙

的APP软件来进行无线连接，它的工作方式并不是采用

某些答案所述“密码库穷举（逐个尝试）暴力破解”的方

式获得正确密码，而是通过用户上传分享的热点（主动

或“被动”）到后台服务器的方式收集、积累数据。后

台服务器维护者一份热点数据库，其中包含着热点名称

（或者用来唯一标识的MAC地址）以及与其对应的密码

字符串。查询密码时，用户将周围扫描到的陌生热点信

息上传，服务器后台查询到相对应的密码（如果分享过

的话）后返回给APP供用户选择使用。

4、 下班后，最好关闭无线路由器电源。