學(xué)校無(wú)線網(wǎng)安全策略研究

學(xué)校無(wú)線網(wǎng)安全策略研究

論文關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；安全；Portal認(rèn)證；802.1x論文摘要：隨著高校信息化建設(shè)水平的不斷提高，無(wú)線網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個(gè)重要組成部分。該文對(duì)校園無(wú)線網(wǎng)接入進(jìn)行研究，并對(duì)校園無(wú)線網(wǎng)絡(luò)的安全進(jìn)行了分析，最后給出了一種適合校園網(wǎng)無(wú)線網(wǎng)絡(luò)的安全解決方案。

1引言

在過去的很多年，計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在實(shí)施過程中工程量大，破壞性強(qiáng)，網(wǎng)中的各節(jié)點(diǎn)移動(dòng)性不強(qiáng)。為了解決這些問題，無(wú)線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展，逐漸得到的普及和發(fā)展。

在校園內(nèi)，教師與學(xué)生的流動(dòng)性很強(qiáng)，很容易在一些地方人員聚集，形成“公共場(chǎng)所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長(zhǎng)，無(wú)論是教師還是學(xué)生都迫切要求在這些場(chǎng)所上網(wǎng)并進(jìn)行網(wǎng)上教學(xué)互動(dòng)活動(dòng)。移動(dòng)性與頻繁交替性，使有線網(wǎng)絡(luò)無(wú)法靈活滿足他們對(duì)網(wǎng)絡(luò)的需求，造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸。

將無(wú)線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng)，在某些場(chǎng)所，如網(wǎng)絡(luò)教室，會(huì)議室，報(bào)告廳、圖書館等區(qū)域，可以率先覆蓋無(wú)線網(wǎng)絡(luò)，讓用戶能真正做到無(wú)線漫游，給工作和生活帶來巨大的便利。隨后，慢慢把無(wú)線的覆蓋范圍擴(kuò)大，最后做到全校無(wú)線的覆蓋。

2校園網(wǎng)無(wú)線網(wǎng)絡(luò)安全現(xiàn)狀

在無(wú)線網(wǎng)絡(luò)技術(shù)成熟的今天，無(wú)線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動(dòng)性，它已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無(wú)線網(wǎng)絡(luò)的建成，在學(xué)校的教室、辦公室、會(huì)議室、甚至是校園草坪上，都有不少的教師和學(xué)生手持筆記本電腦通過無(wú)線上網(wǎng)，這都源于無(wú)線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能。但在使用無(wú)線網(wǎng)絡(luò)的同時(shí)，無(wú)線接入的安全性也面臨的嚴(yán)峻的考驗(yàn)。目前無(wú)線網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種：①基于MAC地址的認(rèn)證。基于MAC地址的認(rèn)證就是MAC地址過濾，每一個(gè)無(wú)線接入點(diǎn)可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實(shí)施MAC地址訪問控制后，如果MAC列表中包含某個(gè)用戶的MAC地址，則這個(gè)用戶可以訪問網(wǎng)絡(luò)，否則如果列表中不包含某個(gè)用戶的MAC地址，則該用戶不能訪問網(wǎng)絡(luò)。②共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無(wú)線設(shè)備和接入點(diǎn)上都使用有線對(duì)等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對(duì)無(wú)線網(wǎng)絡(luò)的訪問權(quán)。③802.1x認(rèn)證。802．1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個(gè)二層協(xié)議，需要通過802.1x客戶端軟件發(fā)起請(qǐng)求，通過認(rèn)證后打開邏輯端口，然后發(fā)起DHCP請(qǐng)求獲得IP以及獲得對(duì)網(wǎng)絡(luò)的訪問。

可以說，校園網(wǎng)的不少無(wú)線接入點(diǎn)都沒有很好地考慮無(wú)線接入的安全問題，就連最基本的安全，如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證也沒有設(shè)置，更不用說像802.1x這樣相對(duì)來說比較難設(shè)置的認(rèn)證方法了。如果我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng)，會(huì)搜索到很多無(wú)線接入點(diǎn)，這些接入點(diǎn)幾乎沒有任何的安全防范措施，可以非常方便地接入。試想，如果讓不明身份的人進(jìn)入無(wú)線網(wǎng)絡(luò)，進(jìn)而進(jìn)入校園網(wǎng)，就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅。

3校園網(wǎng)無(wú)線網(wǎng)絡(luò)安全解決方案

校園網(wǎng)內(nèi)無(wú)線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無(wú)線網(wǎng)絡(luò)的安全?前面提到的基于MAC地址的認(rèn)證存在兩個(gè)問題，一是數(shù)據(jù)管理的問題，要維護(hù)MAC數(shù)據(jù)庫(kù)，二是MAC可嗅探，也可修改；如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞到共享認(rèn)證密鑰；802.1x定義了三種身份：申請(qǐng)者(用戶無(wú)線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個(gè)認(rèn)證的過程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間，認(rèn)證者只起到了橋接的作用。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份，然后認(rèn)證服務(wù)器對(duì)申請(qǐng)者進(jìn)行認(rèn)證，認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者。申請(qǐng)者用這個(gè)密鑰就可以與AP進(jìn)行通信。

雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善，IEEE802.11i和WAPI都參考了802.1x的機(jī)制。802.1x選用EAP來提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft為多種使用802.1x的身份驗(yàn)證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無(wú)線客戶端身份驗(yàn)證的依據(jù)是基于密碼憑據(jù)驗(yàn)證，或基于證書驗(yàn)證。建議在執(zhí)行基于證書的客戶端身份驗(yàn)證時(shí)使用EAP-TLS；在執(zhí)行基于密碼的客戶端身份驗(yàn)證時(shí)使用EAP-Microsoft質(zhì)詢握