无线网络安全策略

1、无线网络安全策略学院计算机科学与技术专业网络工程学号学生姓名指导教师姓名目录摘要2第一章.引言3第二章校园网无线网络安全现状3第三章校园网无线网络安全解决方案5第四章结束语9摘要随着高校信息化建设水平的不断提高，无线网络逐渐成为校园网解决方案的一个重要组成部分。该文对校园无线网接入进行研究，并对校园无线网络的安全进行了分析，最后给出了一种适合校园网无线网络的安全解决方案。移动互联网的快速发展和智能移动终端的快速普及，师生用户对校园内无线覆盖的需求越来越强烈。校园无线网建设程度逐渐成为衡量高校信息化发展的一个重要指标，高校纷纷建设大规模无线校园网。由于无线网信号是在开放空间传输，WIFI协议在安

2、全性上又不同于有线网络，容易遭受黑客的攻击，通过无线传输的信息容易受到攻击者窃取和篡改。在高校校园内，学生在网络上的活跃程度和好奇心都非常强，网络攻击行为时有发生。因此，高校无线校园网络安全有其自身的特点，在建设和运维无线校园网络时需要充分考虑其安全性，以保障无线网络可靠稳定运行。论文关键词：无线网络；安全；Portal认证；802.1x第一章.引言在过去的很多年，计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在实施过程中工程量大，破坏性强，网中的各节点移动性不强。为了解决这些问题，无线网络作为有线网络的补充和扩展，逐渐得到的普及和发展。在校园内，教师与学生的流动性很强，很

3、容易在一些地方人员聚集，形成“公共场所”C而且随着笔记本电脑的普及和INTERNE改入需求的增长，无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性，使有线网络无法灵活满足他们对网络的需求，造成网络互联和INTERNE假入瓶颈。将无线网络的技术引入校园网，在某些场所，如网络教室，会议室，报告厅、图书馆等区域，可以率先覆盖无线网络，让用户能真正做到无线漫游，给工作和生活带来巨大的便利。随后，慢慢把无线的覆盖范围扩大，最后做到全校无线的覆盖。第二章校园网无线网络安全现状在无线网络技术成熟的今天，无线网络解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所

4、不能比拟的易扩容性和自由移动性，它已经逐渐成为一种潮流，成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成，在学校的教室、办公室、会议室、甚至是校园草坪上，都有不少的教师和学生手持笔记本电脑通过无线上网，这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能。但在使用无线网络的同时，无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种：基于MACM址的认证。基于MAC地址的认证就是MAC%址过滤，每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后，如果MACFU表中包含某个用户的MACM址，则

5、这个用户可以访问网络，否则如果列表中不包含某个用户的MACM址，则该用户不能访问网络。共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥，那么就授予该用户对无线网络的访问权。802.1x认证。802.1x协议称为基于端口的访问控制协议，它是个二层协议，需要通过802.1x客户端软件发起请求，通过认证后打开逻辑端口，然后发起DHCP请求获得IP以及获得对网络的访问。可以说，校园网的不少无线接入点都没有很好地考虑无线接入的安全问题，就连最基本的安全，如基于MACM址的认证或共享密钥认证也没有设置，更不用说像802.1x这样相对来说比较难设置的认证

6、方法了。如果我们提着笔记本电脑在某个校园内走动，会搜索到很多无线接入点，这些接入点几乎没有任何的安全防范措施，可以非常方便地接入。试想，如果让不明身份的人进入无线网络，进而进入校园网，就会对我们的校园网络构成威胁。无线网络安全性及技术趋势无线网络虽然具有便于安装、灵活使用、易于扩展等优点，但是由于无线网络信道开放、接入终端的移动性等特点，以及无线终端计算能力和存储能力的局限性，使得有线网络环境下的许多安全方案和技术不能直接用于无线网络。WLAM线网络技术标准制定者IEEE802.11工作组从一开始就考虑了无线网络安全问题。最初的IEEE802.11-1999协议定义的WEP机制存在较多缺陷，协

7、议中没有对用户进行认证，只对客户端设备进行认证，未经授权的用户也可以访问网络资源；协议中使用的WEP加密(WiredEquivalentPrivacy)方式是一种低效率的加密方式，容易在链路传输层被窃听破解；协议使用的消息完整性验证方式ICV(IntegrityCheckValue)效率不高，无线传输数据帧的内容容易被黑客修改。所以IEEE802.11又成立了802.11i工作组，提出了AES-CCM等安全机制。此外，我国国家标准化组织也制定了WAPI标准。目前，从校园无线网管理要求和各大无线厂商解决方案来看，有线无线网络一体化管理逐渐成为趋势，相应的技术产品逐渐成熟，可以实现有线无线一体化的

8、安全架构。通过有线网硬件平台上集成无线交换、防火墙、入侵检测等功能模块，可以实现的主要安全功能包括：动态检测和过滤数据包、防范多种DoS/DDoS攻击、防范ARP欺骗攻击、识别网络应用层流量并过滤、流量审计与分析等。有线无线网络一体化管理还要实现有线无线接入认证系统以及计费系统的统一，既方便了用户用网，同时又可以实现无线用户特有的服务策略控制。第三章校园网无线网络安全解决方案校园网内无线网络建成后，怎样才能有效地保障无线网络的安全？前面提到的基于MAC地址的认证存在两个问题，一是数据管理的问题，要维护MAC数据库，二是MAC可嗅探，也可修改；如果采用共享密钥认证，攻击者可以轻易地搞到共享认证密

9、钥；802.1x定义了三种身份：申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间，认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。虽然802.1x仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的改善，IEEE802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAPU证方法有EAP-MD5EAP-TLS和PEA将。Microsoft为多种使用8

10、02.1x的身份验证协议提供了本地支持。在大多数情况下，选择无线客户端身份验证的依据是基于密码凭据验证，或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2)该协议在PEAP(ProtectedExtensibleAuthenticationProtoco1)协议中，也称作PEAP-EAP-MSCHAPv2考虑到校园群体的特殊性，为了保障校园无线网络的安全，可对不同的群体采取不同的认证方法。在校园网内，主要分成两类不同的用户，一类是校内用户，一类是来访用户。校内用户主要

11、是学校的师生。由于工作和学习的需要，他们要求能够随时接入无线网络，访问校园网内资源以及访问Internet。这些用户的数据，如工资、科研成果、研究资料和论文等的安全性要求比较高。对于此类用户，可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高，对他们来说最重要的就是能够非常方便而且快速地接入INTEMET以浏览相关网站和收发邮件等。针对这类用户，可采用DHCP强制Portal认证的方式接入校园无线网络。使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全，具有一定的现实意义。

12、来访用户所关心的是方便和快捷，对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件，用户直接使用WebJ览器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但安全性比较差。虽然用户名和密码可以通过SSL加密，但传输的数据没有任何加密，任何人都可以监听。当然，必须通过相应的权限来限制和隔离此类用户，确保来访用户无法访问校园网内部资料，从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全，安全性要求比较高。802.1x认证方式安装设置比较麻烦，设置步骤也比较多，且要有专门的802.1x客户端，但拥有极好的安全性，因此针对校内用户可使用802.1x认

13、证方式，以保障传输数据的安全。无线安全问题及应对策略无线校园网络面临的主要安全问题有：1 .侦测攻击：通过窃听、伪造等方式针对系统或服务弱点进行未经授权的查询和访问。2 .非法AP欺骗：通过使正常用户接入未授权的AP,以获取正常用户的认证和数据信息。3 .ARP病毒：很多校园网内ARP病毒泛滥，无线校园网由于共享带宽机制，更易受到ARP病毒影响。4 .DoS攻击：通过发起大量服务请求来占用过多服务资源，从而使合法用户无法得到正常服务。针对无线校园网的特点及安全问题，可在网络不同层次采取多种安全策略：1 .建立完善的无线用户认证和授权系统，支持802.1X认证、MAC地址认证、Portal认证、

14、PPP0E和WAPI认证等多种方式，用户通过身份认证后可动态授权VLAN和ACL，对用户的策略可以事先设定好。无线用户经认证系统认证后，无线控制器应对用户进行标识并绑定，并分配带宽等属性。可以防止IP地址欺骗、带宽滥用、DHCP服务器被攻击等问题。2 .提供基于AP位置的用户接入控制，出于安全性或计费等的考虑，要求无线控制器支持基于AP的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置AP的目的。3 .采取无线用户隔离措施，用户隔离包括同AP下用户的隔离以及不同AP下用户的隔离。AP内部采用MA

15、C互访控制原理隔离用户，保证同AP下用户只能与上联端口进行通讯;AP之间采用MAC地址访问控制或组网汇聚设备二层技术（如VLANPVLANPVC世行隔离，保证不同AP下用户不能直接相通。所有用户只有通过AC认证后才能进行三层受控互通。4 .通过数据加密防止用户数据被非法窃取，用户数据的加密包括无线链路层和网络层的加密。5 .部署无线入侵检测/防御（WIDS/WIPS）,非法设备的告警和攻击防护功能使得无线控制器可以自动监测WLAN网络中的非法设备（如RougeAP,或者ADHO比线终端），并实时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。安全运维管理尽管无线网络

16、相关安全技术和设备已有较快发展，但由于系统开销和性价比原因，在无线校园网络建设时很难采用非常复杂的安全技术和过多的安全设备。因此，后期的安全运维管理是保障无线校园网稳定运行的重要手段。无线校园网安全运维管理可分为流程定义、运行监控、事件分析、安全响应四个环节。1 .流程定义环节：根据学校安全应急等级制度以及校园网安全管理制度，预定义无线校园网安全事件等级和安全响应流程，明确各类安全事件的响应步骤及相关责任岗位，定期进行安全预演。2 .运行监控环节：建立无线校园网运行监控系统，通过网络运行监控中心对无线网络控制器、交换机、AP等设备的运行状态以及安全设备告警日志进行实时采集和定期查看，生成安全报

17、表。3 .事件分析环节：管理员对监控中心发现的异常告警进行分析，对监控系统收集的运行数据进行分类梳理，对海量日志信息进行过滤和审计，评估安全风险。4 .安全响应环节：针对已发生的安全事件，根据预定义的流程及时响应处理并保存日志备查，同时修复漏洞；对潜在的安全威胁，提出解决方案并组织实施。安全设计和运维案例浙江大学于2013年初建成覆盖全校五校区的大规模高速无线校园网络，采用有线无线一体化架构，共部署双频802.11n无线接入AP近1万个，实现全校教学区、学生宿舍区、室外公共区域无线网络的全覆盖，在教学、科研等重点区域实现450M无线网络高速接入。在无线校园网络方案设计时，详细考虑了无线网络安全

18、需求和运维管理需求。拓扑示意图如图2所示，相关组网设计思路如下：1 .核心层：五个校区的教学区、宿舍区无线网络核心通过万兆互联，校园有线无线共用核心层设备，采用各校区核心交换机插卡的形式部署无线控制系统。同时，为保证分区的安全控制与防御，在核心层可部署防火墙、入侵检测等安全设备，与网络融合，灵活安全控制策略。2 .汇聚层：从汇聚层开始，无线网采用专用光纤、汇聚交换机独立组网，各汇聚单元通过冗余万兆上联核心交换机，同时双千兆接入到各楼宇。3 .接入层：采用瘦AP(FitAP)+集中式无线控制器的方式，通过无线控制器(AC)来集中管理所有AP,AP通过POE接入交换机上行至无线网络的汇聚及核心。接入层交换机直接和无线AP连接，可能遭受来自AP用户的ARP风暴、MACS描、ICMP风暴、带宽攻击等攻击方式，需要具备较高的防攻击能力。4 .用户认证：基于原校园有线网络认证数据库，实现有线无线网络统一认证，无线认证方式支持WebPortal、802.1X等安全认证方式。针对不同的用户套餐使用不同