摘要:
当前,无线网络技术正在被广泛的应用到校园信息化建设之中,具有高灵活性、可移动性、开放性等特点。但是,由于无线网络本身所具有的这些特点,造成用户量大、密度不均、应用多样和环境复杂等问题,无线网络的安全性也备受关注。本文着重分析无线网络的安全隐患以及隐患的来源,对校园无线网络安全建设实践进行了分析与探究。
关键词:
无线网络;安全;防范
高效无线网络校园是现在很多高校建设的目标,因此,高校在为用户提供基本的互联网上网服务外,还需要为用户提供安全可靠的网络服务,用户可以在校内或者校外访问相应的资源。网络安全设计实现对内外接入时避免面临网络安全的问题,保证网络资源及网络设备的安全是校园无线网络建设所面临的一个严峻问题。
1无线网络安全面临的主要问题
1.1访问权限的控制
学校一般拥有大量的外网地址,但是对外提供服务的只是其中的一部分或者少数几个地址,因此需要在出口设备上严格限制外网对内的访问权限,只有允许的地址或者允许地址的特定端口才是可以被访问的,其它地址一律禁止外网发起的主动访问。
1.2攻击主机的主动识别和防护
动态监测外网主机对资源平台的访问,当外部主机发起非法攻击或者大量合法请求时,网关设备会主动将非法主机进行隔离,从而保证资源平台的安全性;
2无线网络安全主要的设计内容
基于“接入安全”的理念,将学院园区无线网络认证过程设置到离学生客户端最近的网络边界处,通过启用Web认证模式,无线控制器和学校目前采用的AAA认证系统的协同工作,当学生在接入无线网络的时候,网络无线控制器和ZZ-OS认证网关进行对接,通过portal的方式将认证页面推送到客户端,然后将学生认证所需要的用户名和密码上传到无线控制器,无线控制器通过与ZZ-OS认证系统的对接,获取学生相关的认证信息,如果认证通过,则无线控制器将通知无线AP接入点,允许该学生访问相关的资源,学生使用浏览器即可完成认证过程,不仅保证了接入学生的学生合法性,而且学生能快捷便利的使用无线网络,极大的提高了学生的体验感。
2.1学生数据加密安全
无线AP通过WEP、TKIP和AES加密技术,为接入学生提供完整的数据安全保障机制,确保无线网络的数据传输安全。
2.2虚拟无线分组技术
通过虚拟无线接入点(VirtualAP)技术,整机可最大提供16个ESSID,支持16个802.1QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等。
2.3标准CAPWAP加密隧道确保传输安全无线
AP接入点与网络无线控制器以国际标准的CAPWAP加密隧道模式通信,确保了数据传输过程中的内容安全。
3安全准入设计
无线网络为开放式的网络环境,基于端口的有线网络管理方式已经无法满足无线用户接入管理的需求。为了解决接入用户管理的问题一般高校都会部署AAA服务器,通过AAA服务器实现无线用户身份认证。通过引入AAA服务器虽然解决了“谁”可以连接无线网络的问题,但是如何进行用户身份的认证呢?无线网络部署的初期一般采用SU的方式。SU方式需要无线用户在无线终端设备上安装特定的客户端,通过该客户端完成用户身份的校验。但是随着智能终端的出现,接入无线网络的终端不仅仅是笔记本电脑,平板电脑、手机等智能终端也需要接入无线网络,而SU模式并不适合安装在智能终端上。为了解决智能终端接入无线网络的问题很多设备厂商推出了Web认证,智能终端不再需要安装客户端,只需要通过浏览器就可完成身份认证。针对智能终端Web似乎是一种比较完美的身份认证方式。随着互联网应用的迅速崛起,用户希望在物理位置移动的同时可以使用微信、微博等互联网应用。如果依然采用Web方式进行身份认证,用户将会感觉很麻烦,影响用户对无线网络的体验,为了解决认证方式繁琐的问题,无感知认证应用而生,无感知身份认证只需要用户首次进行终端相关用户信息配设置后续终端接入无需用户干预自动完成。
4安全审计设计
无线网络为了给用户提供良好的上网体验,一般终端接入网络时采用动态地址分配方式,同时公有地址不足是所有国内高校面临的一个问题,为了解决地址不足的问题一般校内采用私有地址,出口网络设备进行NAT转化。在私有地址环境中采用动态地址分配方式,管理员将会面临一个问题:当发生安全事件时,网监部门只能为管理提供一个具体的外网地址和访问的时间点,仅有的信息中要准确定位问题的具体负责人。传统的日志审计平台只记录了出口设备的NAT日志,可以通过公网地址和具体的时间找到对应的私网地址,但是由于地址采用动态分配的方式,能难确定该时间段对应的地址是哪个用户在使用或者说需要查询多个系统才能确认最终的用户,如果多个系统中有一个系统时钟不一致,可能造成最终信息的错误。为了加强出口行为管理和日志记录,解决安全审计方面的问题,安全方案采用elog应用日志及流量管理系统。elog配合出口网关可有效记录NAT日志、流日志、URL日志、会话日志等,并可存储3个月以上,满足公安部82号令相关要求,学校也可对相关安全事件有效溯源。日志对于网络安全的分析和安全设备的管理非常重要,网关设备采用统一格式记录各种网络攻击和安全威胁,支持本地查看的同时,还能够通过统一的输出接口将日志发送到日志服务器,为用户事后分析、审计提供重要信息。NAT日志查询(如图1所示)。在充分考虑校园无线网络安全设计的前提下,对网络自身的数据加密、信息泄露以及网络攻击进行严密防控的同时,提升用户信息安全意识,从用户自身入手防止出现简单密码、默认密码和用户主机杀毒等问题。做到“防范为主、有据可查、追本溯源”,才能更好的应对网络安全问题,提高校园信息的安全性,为师生提供安全可靠的无线网络服务。
参考文献
[1]吴林刚.无线网络的安全隐患及防护对策[J].科技信息,2011(25).
[2]冯博琴,陈主编,吕军,程向前,李波编.计算机网络简明教程[M].北京:高等教育出版2009.
[3]梁富强.高校校园计算机无线网络安全策略研究[J].河南科技,2014(02):19-20.
作者:杨国震 单位:天津交通职业学院
