無線網(wǎng)絡(luò)安全策略

1、無線網(wǎng)絡(luò)安全策略學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)網(wǎng)絡(luò)工程學(xué)號(hào)學(xué)生姓名指導(dǎo)教師姓名目錄摘要2第一章.引言3第二章校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀3第三章校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案5第四章結(jié)束語9摘要隨著高校信息化建設(shè)水平的不斷提高，無線網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個(gè)重要組成部分。該文對(duì)校園無線網(wǎng)接入進(jìn)行研究，并對(duì)校園無線網(wǎng)絡(luò)的安全進(jìn)行了分析，最后給出了一種適合校園網(wǎng)無線網(wǎng)絡(luò)的安全解決方案。移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展和智能移動(dòng)終端的快速普及，師生用戶對(duì)校園內(nèi)無線覆蓋的需求越來越強(qiáng)烈。校園無線網(wǎng)建設(shè)程度逐漸成為衡量高校信息化發(fā)展的一個(gè)重要指標(biāo)，高校紛紛建設(shè)大規(guī)模無線校園網(wǎng)。由于無線網(wǎng)信號(hào)是在開放空間傳輸，WIFI協(xié)議在安

2、全性上又不同于有線網(wǎng)絡(luò)，容易遭受黑客的攻擊，通過無線傳輸?shù)男畔⑷菀资艿焦粽吒`取和篡改。在高校校園內(nèi)，學(xué)生在網(wǎng)絡(luò)上的活躍程度和好奇心都非常強(qiáng)，網(wǎng)絡(luò)攻擊行為時(shí)有發(fā)生。因此，高校無線校園網(wǎng)絡(luò)安全有其自身的特點(diǎn)，在建設(shè)和運(yùn)維無線校園網(wǎng)絡(luò)時(shí)需要充分考慮其安全性，以保障無線網(wǎng)絡(luò)可靠穩(wěn)定運(yùn)行。論文關(guān)鍵詞：無線網(wǎng)絡(luò)；安全；Portal認(rèn)證；802.1x第一章.引言在過去的很多年，計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在實(shí)施過程中工程量大，破壞性強(qiáng)，網(wǎng)中的各節(jié)點(diǎn)移動(dòng)性不強(qiáng)。為了解決這些問題，無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展，逐漸得到的普及和發(fā)展。在校園內(nèi)，教師與學(xué)生的流動(dòng)性很強(qiáng)，很

3、容易在一些地方人員聚集，形成“公共場(chǎng)所”C而且隨著筆記本電腦的普及和INTERNE改入需求的增長(zhǎng)，無論是教師還是學(xué)生都迫切要求在這些場(chǎng)所上網(wǎng)并進(jìn)行網(wǎng)上教學(xué)互動(dòng)活動(dòng)。移動(dòng)性與頻繁交替性，使有線網(wǎng)絡(luò)無法靈活滿足他們對(duì)網(wǎng)絡(luò)的需求，造成網(wǎng)絡(luò)互聯(lián)和INTERNE假入瓶頸。將無線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng)，在某些場(chǎng)所，如網(wǎng)絡(luò)教室，會(huì)議室，報(bào)告廳、圖書館等區(qū)域，可以率先覆蓋無線網(wǎng)絡(luò)，讓用戶能真正做到無線漫游，給工作和生活帶來巨大的便利。隨后，慢慢把無線的覆蓋范圍擴(kuò)大，最后做到全校無線的覆蓋。第二章校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀在無線網(wǎng)絡(luò)技術(shù)成熟的今天，無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所

4、不能比擬的易擴(kuò)容性和自由移動(dòng)性，它已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無線網(wǎng)絡(luò)的建成，在學(xué)校的教室、辦公室、會(huì)議室、甚至是校園草坪上，都有不少的教師和學(xué)生手持筆記本電腦通過無線上網(wǎng)，這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能。但在使用無線網(wǎng)絡(luò)的同時(shí)，無線接入的安全性也面臨的嚴(yán)峻的考驗(yàn)。目前無線網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種：基于MACM址的認(rèn)證?；贛AC地址的認(rèn)證就是MAC%址過濾，每一個(gè)無線接入點(diǎn)可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實(shí)施MAC地址訪問控制后，如果MACFU表中包含某個(gè)用戶的MACM址，則

5、這個(gè)用戶可以訪問網(wǎng)絡(luò)，否則如果列表中不包含某個(gè)用戶的MACM址，則該用戶不能訪問網(wǎng)絡(luò)。共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無線設(shè)備和接入點(diǎn)上都使用有線對(duì)等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對(duì)無線網(wǎng)絡(luò)的訪問權(quán)。802.1x認(rèn)證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個(gè)二層協(xié)議，需要通過802.1x客戶端軟件發(fā)起請(qǐng)求，通過認(rèn)證后打開邏輯端口，然后發(fā)起DHCP請(qǐng)求獲得IP以及獲得對(duì)網(wǎng)絡(luò)的訪問?？梢哉f，校園網(wǎng)的不少無線接入點(diǎn)都沒有很好地考慮無線接入的安全問題，就連最基本的安全，如基于MACM址的認(rèn)證或共享密鑰認(rèn)證也沒有設(shè)置，更不用說像802.1x這樣相對(duì)來說比較難設(shè)置的認(rèn)證

6、方法了。如果我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng)，會(huì)搜索到很多無線接入點(diǎn)，這些接入點(diǎn)幾乎沒有任何的安全防范措施，可以非常方便地接入。試想，如果讓不明身份的人進(jìn)入無線網(wǎng)絡(luò)，進(jìn)而進(jìn)入校園網(wǎng)，就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅。無線網(wǎng)絡(luò)安全性及技術(shù)趨勢(shì)無線網(wǎng)絡(luò)雖然具有便于安裝、靈活使用、易于擴(kuò)展等優(yōu)點(diǎn)，但是由于無線網(wǎng)絡(luò)信道開放、接入終端的移動(dòng)性等特點(diǎn)，以及無線終端計(jì)算能力和存儲(chǔ)能力的局限性，使得有線網(wǎng)絡(luò)環(huán)境下的許多安全方案和技術(shù)不能直接用于無線網(wǎng)絡(luò)。WLAM線網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)制定者IEEE802.11工作組從一開始就考慮了無線網(wǎng)絡(luò)安全問題。最初的IEEE802.11-1999協(xié)議定義的WEP機(jī)制存在較多缺陷，協(xié)

7、議中沒有對(duì)用戶進(jìn)行認(rèn)證，只對(duì)客戶端設(shè)備進(jìn)行認(rèn)證，未經(jīng)授權(quán)的用戶也可以訪問網(wǎng)絡(luò)資源；協(xié)議中使用的WEP加密(WiredEquivalentPrivacy)方式是一種低效率的加密方式，容易在鏈路傳輸層被竊聽破解；協(xié)議使用的消息完整性驗(yàn)證方式ICV(IntegrityCheckValue)效率不高，無線傳輸數(shù)據(jù)幀的內(nèi)容容易被黑客修改。所以IEEE802.11又成立了802.11i工作組，提出了AES-CCM等安全機(jī)制。此外，我國(guó)國(guó)家標(biāo)準(zhǔn)化組織也制定了WAPI標(biāo)準(zhǔn)。目前，從校園無線網(wǎng)管理要求和各大無線廠商解決方案來看，有線無線網(wǎng)絡(luò)一體化管理逐漸成為趨勢(shì)，相應(yīng)的技術(shù)產(chǎn)品逐漸成熟，可以實(shí)現(xiàn)有線無線一體化的

8、安全架構(gòu)。通過有線網(wǎng)硬件平臺(tái)上集成無線交換、防火墻、入侵檢測(cè)等功能模塊，可以實(shí)現(xiàn)的主要安全功能包括：動(dòng)態(tài)檢測(cè)和過濾數(shù)據(jù)包、防范多種DoS/DDoS攻擊、防范ARP欺騙攻擊、識(shí)別網(wǎng)絡(luò)應(yīng)用層流量并過濾、流量審計(jì)與分析等。有線無線網(wǎng)絡(luò)一體化管理還要實(shí)現(xiàn)有線無線接入認(rèn)證系統(tǒng)以及計(jì)費(fèi)系統(tǒng)的統(tǒng)一，既方便了用戶用網(wǎng)，同時(shí)又可以實(shí)現(xiàn)無線用戶特有的服務(wù)策略控制。第三章校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無線網(wǎng)絡(luò)的安全？前面提到的基于MAC地址的認(rèn)證存在兩個(gè)問題，一是數(shù)據(jù)管理的問題，要維護(hù)MAC數(shù)據(jù)庫(kù)，二是MAC可嗅探，也可修改；如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞到共享認(rèn)證密

9、鑰；802.1x定義了三種身份：申請(qǐng)者(用戶無線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個(gè)認(rèn)證的過程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間，認(rèn)證者只起到了橋接的作用。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份，然后認(rèn)證服務(wù)器對(duì)申請(qǐng)者進(jìn)行認(rèn)證，認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者。申請(qǐng)者用這個(gè)密鑰就可以與AP進(jìn)行通信。雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善，IEEE802.11i和WAPI都參考了802.1x的機(jī)制。802.1x選用EAP來提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAPU證方法有EAP-MD5EAP-TLS和PEA將。Microsoft為多種使用8

10、02.1x的身份驗(yàn)證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無線客戶端身份驗(yàn)證的依據(jù)是基于密碼憑據(jù)驗(yàn)證，或基于證書驗(yàn)證。建議在執(zhí)行基于證書的客戶端身份驗(yàn)證時(shí)使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗(yàn)證時(shí)使用EAP-Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議版本2(MSCHAPv2)該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協(xié)議中，也稱作PEAP-EAP-MSCHAPv2考慮到校園群體的特殊性，為了保障校園無線網(wǎng)絡(luò)的安全，可對(duì)不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi)，主要分成兩類不同的用戶，一類是校內(nèi)用戶，一類是來訪用戶。校內(nèi)用戶主要

11、是學(xué)校的師生。由于工作和學(xué)習(xí)的需要，他們要求能夠隨時(shí)接入無線網(wǎng)絡(luò)，訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù)，如工資、科研成果、研究資料和論文等的安全性要求比較高。對(duì)于此類用戶，可使用802.1x認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。來訪用戶主要是來校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶。這類用戶對(duì)網(wǎng)絡(luò)安全的需求不是特別高，對(duì)他們來說最重要的就是能夠非常方便而且快速地接入INTEMET以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對(duì)這類用戶，可采用DHCP強(qiáng)制Portal認(rèn)證的方式接入校園無線網(wǎng)絡(luò)。使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡(luò)的安全，具有一定的現(xiàn)實(shí)意義。

12、來訪用戶所關(guān)心的是方便和快捷，對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件，用戶直接使用WebJ覽器認(rèn)證后即可上網(wǎng)。采用此種方式，對(duì)來訪用戶來說簡(jiǎn)單、方便、快速，但安全性比較差。雖然用戶名和密碼可以通過SSL加密，但傳輸?shù)臄?shù)據(jù)沒有任何加密，任何人都可以監(jiān)聽。當(dāng)然，必須通過相應(yīng)的權(quán)限來限制和隔離此類用戶，確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料，從而保證校園網(wǎng)絡(luò)的高安全性。校內(nèi)用戶所關(guān)心的主要是其信息的安全，安全性要求比較高。802.1x認(rèn)證方式安裝設(shè)置比較麻煩，設(shè)置步驟也比較多，且要有專門的802.1x客戶端，但擁有極好的安全性，因此針對(duì)校內(nèi)用戶可使用802.1x認(rèn)

13、證方式，以保障傳輸數(shù)據(jù)的安全。無線安全問題及應(yīng)對(duì)策略無線校園網(wǎng)絡(luò)面臨的主要安全問題有：1 .偵測(cè)攻擊：通過竊聽、偽造等方式針對(duì)系統(tǒng)或服務(wù)弱點(diǎn)進(jìn)行未經(jīng)授權(quán)的查詢和訪問。2 .非法AP欺騙：通過使正常用戶接入未授權(quán)的AP,以獲取正常用戶的認(rèn)證和數(shù)據(jù)信息。3 .ARP病毒：很多校園網(wǎng)內(nèi)ARP病毒泛濫，無線校園網(wǎng)由于共享帶寬機(jī)制，更易受到ARP病毒影響。4 .DoS攻擊：通過發(fā)起大量服務(wù)請(qǐng)求來占用過多服務(wù)資源，從而使合法用戶無法得到正常服務(wù)。針對(duì)無線校園網(wǎng)的特點(diǎn)及安全問題，可在網(wǎng)絡(luò)不同層次采取多種安全策略：1 .建立完善的無線用戶認(rèn)證和授權(quán)系統(tǒng)，支持802.1X認(rèn)證、MAC地址認(rèn)證、Portal認(rèn)證、

14、PPP0E和WAPI認(rèn)證等多種方式，用戶通過身份認(rèn)證后可動(dòng)態(tài)授權(quán)VLAN和ACL，對(duì)用戶的策略可以事先設(shè)定好。無線用戶經(jīng)認(rèn)證系統(tǒng)認(rèn)證后，無線控制器應(yīng)對(duì)用戶進(jìn)行標(biāo)識(shí)并綁定，并分配帶寬等屬性?？梢苑乐笽P地址欺騙、帶寬濫用、DHCP服務(wù)器被攻擊等問題。2 .提供基于AP位置的用戶接入控制，出于安全性或計(jì)費(fèi)等的考慮，要求無線控制器支持基于AP的用戶接入控制。當(dāng)無線用戶接入網(wǎng)絡(luò)時(shí)，可以通過認(rèn)證服務(wù)器向AC下發(fā)允許用戶接入的AP列表，在AC上進(jìn)行接入控制，從而達(dá)到限制無線用戶只能接入到指定位置AP的目的。3 .采取無線用戶隔離措施，用戶隔離包括同AP下用戶的隔離以及不同AP下用戶的隔離。AP內(nèi)部采用MA

15、C互訪控制原理隔離用戶，保證同AP下用戶只能與上聯(lián)端口進(jìn)行通訊;AP之間采用MAC地址訪問控制或組網(wǎng)匯聚設(shè)備二層技術(shù)（如VLANPVLANPVC世行隔離，保證不同AP下用戶不能直接相通。所有用戶只有通過AC認(rèn)證后才能進(jìn)行三層受控互通。4 .通過數(shù)據(jù)加密防止用戶數(shù)據(jù)被非法竊取，用戶數(shù)據(jù)的加密包括無線鏈路層和網(wǎng)絡(luò)層的加密。5 .部署無線入侵檢測(cè)/防御（WIDS/WIPS）,非法設(shè)備的告警和攻擊防護(hù)功能使得無線控制器可以自動(dòng)監(jiān)測(cè)WLAN網(wǎng)絡(luò)中的非法設(shè)備（如RougeAP,或者ADHO比線終端），并實(shí)時(shí)上報(bào)網(wǎng)管中心，同時(shí)對(duì)非法設(shè)備的攻擊可以進(jìn)行自動(dòng)防護(hù)，最大程度地保護(hù)無線網(wǎng)絡(luò)。安全運(yùn)維管理盡管無線網(wǎng)絡(luò)

16、相關(guān)安全技術(shù)和設(shè)備已有較快發(fā)展，但由于系統(tǒng)開銷和性價(jià)比原因，在無線校園網(wǎng)絡(luò)建設(shè)時(shí)很難采用非常復(fù)雜的安全技術(shù)和過多的安全設(shè)備。因此，后期的安全運(yùn)維管理是保障無線校園網(wǎng)穩(wěn)定運(yùn)行的重要手段。無線校園網(wǎng)安全運(yùn)維管理可分為流程定義、運(yùn)行監(jiān)控、事件分析、安全響應(yīng)四個(gè)環(huán)節(jié)。1 .流程定義環(huán)節(jié)：根據(jù)學(xué)校安全應(yīng)急等級(jí)制度以及校園網(wǎng)安全管理制度，預(yù)定義無線校園網(wǎng)安全事件等級(jí)和安全響應(yīng)流程，明確各類安全事件的響應(yīng)步驟及相關(guān)責(zé)任崗位，定期進(jìn)行安全預(yù)演。2 .運(yùn)行監(jiān)控環(huán)節(jié)：建立無線校園網(wǎng)運(yùn)行監(jiān)控系統(tǒng)，通過網(wǎng)絡(luò)運(yùn)行監(jiān)控中心對(duì)無線網(wǎng)絡(luò)控制器、交換機(jī)、AP等設(shè)備的運(yùn)行狀態(tài)以及安全設(shè)備告警日志進(jìn)行實(shí)時(shí)采集和定期查看，生成安全報(bào)

17、表。3 .事件分析環(huán)節(jié)：管理員對(duì)監(jiān)控中心發(fā)現(xiàn)的異常告警進(jìn)行分析，對(duì)監(jiān)控系統(tǒng)收集的運(yùn)行數(shù)據(jù)進(jìn)行分類梳理，對(duì)海量日志信息進(jìn)行過濾和審計(jì)，評(píng)估安全風(fēng)險(xiǎn)。4 .安全響應(yīng)環(huán)節(jié)：針對(duì)已發(fā)生的安全事件，根據(jù)預(yù)定義的流程及時(shí)響應(yīng)處理并保存日志備查，同時(shí)修復(fù)漏洞；對(duì)潛在的安全威脅，提出解決方案并組織實(shí)施。安全設(shè)計(jì)和運(yùn)維案例浙江大學(xué)于2013年初建成覆蓋全校五校區(qū)的大規(guī)模高速無線校園網(wǎng)絡(luò)，采用有線無線一體化架構(gòu)，共部署雙頻802.11n無線接入AP近1萬個(gè)，實(shí)現(xiàn)全校教學(xué)區(qū)、學(xué)生宿舍區(qū)、室外公共區(qū)域無線網(wǎng)絡(luò)的全覆蓋，在教學(xué)、科研等重點(diǎn)區(qū)域?qū)崿F(xiàn)450M無線網(wǎng)絡(luò)高速接入。在無線校園網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)，詳細(xì)考慮了無線網(wǎng)絡(luò)安全

18、需求和運(yùn)維管理需求。拓?fù)涫疽鈭D如圖2所示，相關(guān)組網(wǎng)設(shè)計(jì)思路如下：1 .核心層：五個(gè)校區(qū)的教學(xué)區(qū)、宿舍區(qū)無線網(wǎng)絡(luò)核心通過萬兆互聯(lián)，校園有線無線共用核心層設(shè)備，采用各校區(qū)核心交換機(jī)插卡的形式部署無線控制系統(tǒng)。同時(shí)，為保證分區(qū)的安全控制與防御，在核心層可部署防火墻、入侵檢測(cè)等安全設(shè)備，與網(wǎng)絡(luò)融合，靈活安全控制策略。2 .匯聚層：從匯聚層開始，無線網(wǎng)采用專用光纖、匯聚交換機(jī)獨(dú)立組網(wǎng)，各匯聚單元通過冗余萬兆上聯(lián)核心交換機(jī)，同時(shí)雙千兆接入到各樓宇。3 .接入層：采用瘦AP(FitAP)+集中式無線控制器的方式，通過無線控制器(AC)來集中管理所有AP,AP通過POE接入交換機(jī)上行至無線網(wǎng)絡(luò)的匯聚及核心。接入層交換機(jī)直接和無線AP連接，可能遭受來自AP用戶的ARP風(fēng)暴、MACS描、ICMP風(fēng)暴、帶寬攻擊等攻擊方式，需要具備較高的防攻擊能力。4 .用戶認(rèn)證：基于原校園有線網(wǎng)絡(luò)認(rèn)證數(shù)據(jù)庫(kù)，實(shí)現(xiàn)有線無線網(wǎng)絡(luò)統(tǒng)一認(rèn)證，無線認(rèn)證方式支持WebPortal、802.1X等安全認(rèn)證方式。針對(duì)不同的用戶套餐使用不同