论文部分内容阅读
摘 要: 无线网络已成为校园网的重要组成部分。剖析了校园无线网络存在的问题,给出了无线网络安全防护对策、安全认证方式和基础技巧。
关键词: 无线网络; 安全认证; 校园网; Web认证
中图分类号:TP393.1 文献标志码:A 文章编号:1006-8228(2013)10-29-02
0 引言
现代笔记本电脑和无线网卡产品价格逐步降低,使越来越多的人能够使用。但无线信道的开放性增加了非法用户和病毒入侵的几率,其凭借无线网络接入校园网,对校园网构成威胁。本文分析了校园无线网络存在的安全问题,从安全认证方式和简单易行的安全技巧,到建设安全的校园无线网络,提出安全对策。为数字化校园应用系统和实现管理、科研、教学的全面数字化的安全运行提供思路。
1 校园无线网络存在问题
⑴ 目前无线网络提供常用的三种安全机制。一是基于MAC地址的认证,实施MAC地址访问控制,制作MAC地址列表,但随着用户增加而效率降低,且MAC地址很容易被窃取和伪造,因此安全性较低。二是共享密钥认证,该方法要求接入点和无线设备使用对等保密算法,即用户使用正确密钥即可获得访问权。但在认证时,攻击者可利用加密前后的询问消息,通过数学运算即可获得共享密钥生成的伪随机密码流,从而伪造合法的响应消息通过了认证。三是802.1x认证。802.1x协议称为基于端口的访问控制协议,它是第二层协议,需要通过802.1x协议客户端软件发起请求,通过认证后打开逻辑端口,然后发起DHCP请求活动IP以及访问网络的权限。用户在认证通过情况下,端口被打开,因此该机制存在安全隐患,用户可以私接交换机、更改IP、更改MAC地址,实现蹭网、盗用他人流量等行为。
⑵ 部分AP安全设置级别过低,或保持出厂的默认设置,使AP在没有加密或弱加密条件下工作,使得非法用户有机可乘,私自接入到校园网络攻击校园网。
⑶ 无线网络客户端连接设置不正确。部分用户接入校园网线网络同时对外发布无线信号,如不对无线网覆盖范围和连接用户数作限制,则非法用户可以和校园无线客户端建立一个直连网络AdHoc,从而顺利接入校园对校园网产生威胁。
2 无线网络安全防护对策
2.1 做好硬件设备备份
无线网络较有线网络有其特殊性,对于无线网络设备如无线控制器、无线AP等应做好预留备份,出现问题及时更换。对于重要节点如图书馆、网络中心等应提供有线网络备份,同时无线网络的配置也应有备份,以便恢复时快捷便利。
2.2 建立无线网络监控和记录机制
由于无线网络接入用户具有很大的移动性和变化性,因此做好用户访问行为记录非常重要。在无线网络中加入无线网络控制器,对用户进行严格的权限分配,对无线接入点、交换机进行实时监控。包括对无线用户的统一认证、监控和流量管理,记录用户名、访问时间、IP地址、MAC地址等信息,记录日志定时上传至服务器。通过对日志分析,可以避免一些安全隐患、排除故障和追究相关人员责任。
在无线控制器上进行相应策略设置,对无线数据包进行实时检测,如发现有人入侵及时纪录并做出自动保护响应。
2.3 无线网络单独规划子网
为保证学校校本资源的安全,需将无线网络与有线网络分开,单独规划子网,将学校网络结构分为无线子网、有线子网、资源子网三部分,如图1所示。
在核心交换机上设置访问控制列表,严格控制各子网间访问,防止无线网络用户对网络资源进行非授权访问。无线用户首先通过认证接入无线网络,继而获得授权,根据授权限访问网内资源。访问控制可以基于以下属性:源IP地址、源MAC地址、目的IP地址、目的MAC地址、协议类型、用户ID、用户时长等[1]。
2.4 无线网络病毒防护
在无线网络上网须知中明确规定,无线用户必须安装最新的防病毒软件,对无防病毒软件的终端禁止入网。同时在无线控制器上设定策略,对无线终端用户进行准入检查,如未通过禁止访问网络。对校本资源或校园网站服务器的访问权限设定严格的控制策略。无线网络的管理者应培养其前瞻性和主动性,能够提前做好防护措施。
3 安全认证方式
无线网络的建设目标是与有线网及校本资源的有效融合,做到安全、便捷,在认证上尽量做到统一。现有的校园网无线终端包含不同类型,有计算机、智能手机、平板电脑,还有支持无线网的打印机和监控设备等,这些终端对认证方式的支持情况各不相同,必须考虑为所有终端提供适当的认证方式。根据校园网用户的安全需求,及校内无线终端类型的统计,我们提供以下几种认证方式。
3.1 802.1x认证
该认证是根据用户帐号和设备,对客户端进行鉴权,只适合于接入用户设备与接入端口间点到点的连接方式。校园网中的端口多指用户设备的MAC地址,需要MAC地址处于激活状态,否则无法进行认证。在802.1x认证体系中,必须具备客户端、接入认证交换机和认证服务器三者,才能完成基于端口的访问认证和授权[2]。
802.1x可以作为WPA的认证组件,支持AES/TKIP数据加密,为用户数据提供加密服务。其突出优点就是简单易行、安全可靠、认证效率高。同时避免了网络认证计费瓶颈的单点故障。且在二层网络上实现用户认证,降低了建网成本,目前基于802.1x的认证技术在校园网络应用比较普遍。
3.2 Web认证
Web认证指通过Web protral为用户提供界面认证方式。该认证方案需要首先给用户分配一个地址,用户打开Web浏览器试图访问某网站时,认证系统会推出认证界面,在键入正确用户名称和口令后,触发客户端重新发起地址分配请求,提供给用户可以访问外网的地址;用户下线时通过客户端发起离线请求。 Web认证不需要特殊的客户端软件,可降低网络维护工作量。但其承载在七层协议上,对设备要求较高,且用户连接线差,离线检测困难;用户在访问网络前,不论是TELNET、FTP还是其它业务,必须使用浏览器进行Web认证;IP地址的分配在用户认证之前,如果用户不上网,则造成地址的浪费[2]。
3.3 MAC地址认证
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的方法,优点是不需要安装客户端软件,配置命令比较简单,适合学校内部的中小型网络。
基于MAC地址认证,需要提供以下功能组件:一是具有MAC地址认证功能的交换机,能够直接对终端进行地址认证;二是Radius服务器,如果交换机无法提供MAC地址是否合法,需要使用Radius服务器进行验证。在Windows server2003中,Windows IAS服务能够提供标准的Radius服务,但IAS无法建立MAC帐户,需要Windows的Active Directory(活动目录)服务与IAS服务相结合,即可实现认证和管理MAC帐户功能。
具体的MAC地址认证可分为两种方式,白名单和黑名单。白名单即服务器提供并维护一个MAC地址列表,该表中MAC地址是合法可访问网络的;黑名单中则列举了已知的对网络有威胁的设备MAC地址。建议学校可以为无线仪器设备、无线打印机等设置专门的WLAN,采用MAC地址认证,为这些特殊设备提供安全的网络服务。
3.4 分类认证
分析校园网用户主要有两类:一类是校内用户,另一类是来访用户。学校师生构成校内用户,为满足工作和学习需要,他们要求能随时随地接入校园网,访问Internet及校内资源,而且他们的数据如个人信息、研究资料和科研成果等对安全性要求较高,故可使用802.1x认证方式对用户进行认证。来访用户主要由来校交流、参观或培训群体组成,他们对安全性要求不是特别高,能够快速接入Internet即可,因此可采用DHCP+强制Portal认证方式接入校园无线网络。
4 基础网络安全技巧
4.1 更改路由器默认设置
出厂状态下无线路由器的用户名和密码均为admin,IP地址为192.168.1.1,如不更改极易被篡改,用户首要做的是更改其默认设置。
4.2 IP与MAC地址的绑定
小范围内的无线局域网,如办公室、会议室等,无线路由器或AP再分配IP地址时,通常使用DHCP动态分配IP,不法分子只要找到无线网络,很容易通过DHCP自动获得合法IP地址。因此建议关闭DHCP服务,分配固定的IP地址,并将IP地址和客户端MAC地址绑定,这样可大大提升网络的安全。
4.3 改变服务集标示符并且禁止SSID广播
SSID,简称服务集标识符,用户通过它来接入无线网络。这个标识符由通信设备制造商提供,如TP-Link厂家提供的标识符就是TP-LINK。需要给这些接入点设置一个难以推测的SSID,甚至禁止SSID向外广播。这样使用者的无线网络就不会通过广播形式来告知其他用户,但并不代表网络不可用,只是它不会出现在可使用的网络名单中。
4.4 禁用动态主机配置协议
该策略迫使黑客去破解用户的IP地址,子网掩码和其他必需的TCP/IP参数。因为即使黑客可以使用用户的无线接入点,但还必需要知道用户的IP地址,这样可给黑客增加一定的破解难度。
4.5 在不使用网络时将其关闭
如果无线网络不需要一天24小时提供服务,可以通过关闭它而减少被黑客利用的机会。对一个系统安全性最大改进措施之一就是直接关闭它,因为没有人可以访问一个没有运行的网络。
5 结束语
无线网的覆盖便捷及接入简单,使其在校园内广泛普及,但很多学校往往忽视了安全问题,只有运用上述手段,才能有效控制非法用户侵入校园网,维持校园网的健康稳定运行。同时学校信息化办公室和网管中心应该牵头,携手做好无线网络的安全管理工作,确保校园无线网络的安全性、可靠性,实现校园的现代化网络建设。
参考文献:
[1] 程胜军,韩桂华.无线局域网安全技术研究[J].软件导刊,2008.12:173-175
[2] 刘梅.基于802.1X的校园网接入认证安全防御[J].中国教育网络,2012.2:56-57
[3] 唐保存.校园无线网安全现状与解决方案浅析[J].长江大学学报(自然版)理工卷,2012.9(1):132-134
[4] 刘巨涛.网络安全技术在校园网络建设中的应用研究[J].内蒙古农业大学学报(社会科学版),2012.14(1):89-91
[5] 杨加.校园网络安全与对策[J].科技信息,2012.13:45-46
[6] 肖弋.校园无线网安全技术研究[J].计算机光盘软件与应用,2012.10:84-85
[7] 林敏,陈少涌.无线校园网:安全和融合是关键[J].中国教育网络,2011.5:67-68
关键词: 无线网络; 安全认证; 校园网; Web认证
中图分类号:TP393.1 文献标志码:A 文章编号:1006-8228(2013)10-29-02
0 引言
现代笔记本电脑和无线网卡产品价格逐步降低,使越来越多的人能够使用。但无线信道的开放性增加了非法用户和病毒入侵的几率,其凭借无线网络接入校园网,对校园网构成威胁。本文分析了校园无线网络存在的安全问题,从安全认证方式和简单易行的安全技巧,到建设安全的校园无线网络,提出安全对策。为数字化校园应用系统和实现管理、科研、教学的全面数字化的安全运行提供思路。
1 校园无线网络存在问题
⑴ 目前无线网络提供常用的三种安全机制。一是基于MAC地址的认证,实施MAC地址访问控制,制作MAC地址列表,但随着用户增加而效率降低,且MAC地址很容易被窃取和伪造,因此安全性较低。二是共享密钥认证,该方法要求接入点和无线设备使用对等保密算法,即用户使用正确密钥即可获得访问权。但在认证时,攻击者可利用加密前后的询问消息,通过数学运算即可获得共享密钥生成的伪随机密码流,从而伪造合法的响应消息通过了认证。三是802.1x认证。802.1x协议称为基于端口的访问控制协议,它是第二层协议,需要通过802.1x协议客户端软件发起请求,通过认证后打开逻辑端口,然后发起DHCP请求活动IP以及访问网络的权限。用户在认证通过情况下,端口被打开,因此该机制存在安全隐患,用户可以私接交换机、更改IP、更改MAC地址,实现蹭网、盗用他人流量等行为。
⑵ 部分AP安全设置级别过低,或保持出厂的默认设置,使AP在没有加密或弱加密条件下工作,使得非法用户有机可乘,私自接入到校园网络攻击校园网。
⑶ 无线网络客户端连接设置不正确。部分用户接入校园网线网络同时对外发布无线信号,如不对无线网覆盖范围和连接用户数作限制,则非法用户可以和校园无线客户端建立一个直连网络AdHoc,从而顺利接入校园对校园网产生威胁。
2 无线网络安全防护对策
2.1 做好硬件设备备份
无线网络较有线网络有其特殊性,对于无线网络设备如无线控制器、无线AP等应做好预留备份,出现问题及时更换。对于重要节点如图书馆、网络中心等应提供有线网络备份,同时无线网络的配置也应有备份,以便恢复时快捷便利。
2.2 建立无线网络监控和记录机制
由于无线网络接入用户具有很大的移动性和变化性,因此做好用户访问行为记录非常重要。在无线网络中加入无线网络控制器,对用户进行严格的权限分配,对无线接入点、交换机进行实时监控。包括对无线用户的统一认证、监控和流量管理,记录用户名、访问时间、IP地址、MAC地址等信息,记录日志定时上传至服务器。通过对日志分析,可以避免一些安全隐患、排除故障和追究相关人员责任。
在无线控制器上进行相应策略设置,对无线数据包进行实时检测,如发现有人入侵及时纪录并做出自动保护响应。
2.3 无线网络单独规划子网
为保证学校校本资源的安全,需将无线网络与有线网络分开,单独规划子网,将学校网络结构分为无线子网、有线子网、资源子网三部分,如图1所示。
在核心交换机上设置访问控制列表,严格控制各子网间访问,防止无线网络用户对网络资源进行非授权访问。无线用户首先通过认证接入无线网络,继而获得授权,根据授权限访问网内资源。访问控制可以基于以下属性:源IP地址、源MAC地址、目的IP地址、目的MAC地址、协议类型、用户ID、用户时长等[1]。
2.4 无线网络病毒防护
在无线网络上网须知中明确规定,无线用户必须安装最新的防病毒软件,对无防病毒软件的终端禁止入网。同时在无线控制器上设定策略,对无线终端用户进行准入检查,如未通过禁止访问网络。对校本资源或校园网站服务器的访问权限设定严格的控制策略。无线网络的管理者应培养其前瞻性和主动性,能够提前做好防护措施。
3 安全认证方式
无线网络的建设目标是与有线网及校本资源的有效融合,做到安全、便捷,在认证上尽量做到统一。现有的校园网无线终端包含不同类型,有计算机、智能手机、平板电脑,还有支持无线网的打印机和监控设备等,这些终端对认证方式的支持情况各不相同,必须考虑为所有终端提供适当的认证方式。根据校园网用户的安全需求,及校内无线终端类型的统计,我们提供以下几种认证方式。
3.1 802.1x认证
该认证是根据用户帐号和设备,对客户端进行鉴权,只适合于接入用户设备与接入端口间点到点的连接方式。校园网中的端口多指用户设备的MAC地址,需要MAC地址处于激活状态,否则无法进行认证。在802.1x认证体系中,必须具备客户端、接入认证交换机和认证服务器三者,才能完成基于端口的访问认证和授权[2]。
802.1x可以作为WPA的认证组件,支持AES/TKIP数据加密,为用户数据提供加密服务。其突出优点就是简单易行、安全可靠、认证效率高。同时避免了网络认证计费瓶颈的单点故障。且在二层网络上实现用户认证,降低了建网成本,目前基于802.1x的认证技术在校园网络应用比较普遍。
3.2 Web认证
Web认证指通过Web protral为用户提供界面认证方式。该认证方案需要首先给用户分配一个地址,用户打开Web浏览器试图访问某网站时,认证系统会推出认证界面,在键入正确用户名称和口令后,触发客户端重新发起地址分配请求,提供给用户可以访问外网的地址;用户下线时通过客户端发起离线请求。 Web认证不需要特殊的客户端软件,可降低网络维护工作量。但其承载在七层协议上,对设备要求较高,且用户连接线差,离线检测困难;用户在访问网络前,不论是TELNET、FTP还是其它业务,必须使用浏览器进行Web认证;IP地址的分配在用户认证之前,如果用户不上网,则造成地址的浪费[2]。
3.3 MAC地址认证
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的方法,优点是不需要安装客户端软件,配置命令比较简单,适合学校内部的中小型网络。
基于MAC地址认证,需要提供以下功能组件:一是具有MAC地址认证功能的交换机,能够直接对终端进行地址认证;二是Radius服务器,如果交换机无法提供MAC地址是否合法,需要使用Radius服务器进行验证。在Windows server2003中,Windows IAS服务能够提供标准的Radius服务,但IAS无法建立MAC帐户,需要Windows的Active Directory(活动目录)服务与IAS服务相结合,即可实现认证和管理MAC帐户功能。
具体的MAC地址认证可分为两种方式,白名单和黑名单。白名单即服务器提供并维护一个MAC地址列表,该表中MAC地址是合法可访问网络的;黑名单中则列举了已知的对网络有威胁的设备MAC地址。建议学校可以为无线仪器设备、无线打印机等设置专门的WLAN,采用MAC地址认证,为这些特殊设备提供安全的网络服务。
3.4 分类认证
分析校园网用户主要有两类:一类是校内用户,另一类是来访用户。学校师生构成校内用户,为满足工作和学习需要,他们要求能随时随地接入校园网,访问Internet及校内资源,而且他们的数据如个人信息、研究资料和科研成果等对安全性要求较高,故可使用802.1x认证方式对用户进行认证。来访用户主要由来校交流、参观或培训群体组成,他们对安全性要求不是特别高,能够快速接入Internet即可,因此可采用DHCP+强制Portal认证方式接入校园无线网络。
4 基础网络安全技巧
4.1 更改路由器默认设置
出厂状态下无线路由器的用户名和密码均为admin,IP地址为192.168.1.1,如不更改极易被篡改,用户首要做的是更改其默认设置。
4.2 IP与MAC地址的绑定
小范围内的无线局域网,如办公室、会议室等,无线路由器或AP再分配IP地址时,通常使用DHCP动态分配IP,不法分子只要找到无线网络,很容易通过DHCP自动获得合法IP地址。因此建议关闭DHCP服务,分配固定的IP地址,并将IP地址和客户端MAC地址绑定,这样可大大提升网络的安全。
4.3 改变服务集标示符并且禁止SSID广播
SSID,简称服务集标识符,用户通过它来接入无线网络。这个标识符由通信设备制造商提供,如TP-Link厂家提供的标识符就是TP-LINK。需要给这些接入点设置一个难以推测的SSID,甚至禁止SSID向外广播。这样使用者的无线网络就不会通过广播形式来告知其他用户,但并不代表网络不可用,只是它不会出现在可使用的网络名单中。
4.4 禁用动态主机配置协议
该策略迫使黑客去破解用户的IP地址,子网掩码和其他必需的TCP/IP参数。因为即使黑客可以使用用户的无线接入点,但还必需要知道用户的IP地址,这样可给黑客增加一定的破解难度。
4.5 在不使用网络时将其关闭
如果无线网络不需要一天24小时提供服务,可以通过关闭它而减少被黑客利用的机会。对一个系统安全性最大改进措施之一就是直接关闭它,因为没有人可以访问一个没有运行的网络。
5 结束语
无线网的覆盖便捷及接入简单,使其在校园内广泛普及,但很多学校往往忽视了安全问题,只有运用上述手段,才能有效控制非法用户侵入校园网,维持校园网的健康稳定运行。同时学校信息化办公室和网管中心应该牵头,携手做好无线网络的安全管理工作,确保校园无线网络的安全性、可靠性,实现校园的现代化网络建设。
参考文献:
[1] 程胜军,韩桂华.无线局域网安全技术研究[J].软件导刊,2008.12:173-175
[2] 刘梅.基于802.1X的校园网接入认证安全防御[J].中国教育网络,2012.2:56-57
[3] 唐保存.校园无线网安全现状与解决方案浅析[J].长江大学学报(自然版)理工卷,2012.9(1):132-134
[4] 刘巨涛.网络安全技术在校园网络建设中的应用研究[J].内蒙古农业大学学报(社会科学版),2012.14(1):89-91
[5] 杨加.校园网络安全与对策[J].科技信息,2012.13:45-46
[6] 肖弋.校园无线网安全技术研究[J].计算机光盘软件与应用,2012.10:84-85
[7] 林敏,陈少涌.无线校园网:安全和融合是关键[J].中国教育网络,2011.5:67-68