无线校园网中的关键安全问题及对策

1、国防科学技术大学国防科学技术大学 网管中心网管中心唐唐 川（工程师，川（工程师，CISPCISP）20102010年年6 6月月. .吉首吉首2022-2-212提纲提纲 背景背景 关键安全问题和对策关键安全问题和对策 终端接入安全机制的选择终端接入安全机制的选择 如何确认接入终端的合法性如何确认接入终端的合法性 用户无线接入的认证机制的选择用户无线接入的认证机制的选择 如何保障无线网络中的数据安全如何保障无线网络中的数据安全 用户如何方便、安全的使用无线校园网用户如何方便、安全的使用无线校园网 防止非授权的终端接入网络防止非授权的终端接入网络2022-2-213需求背景：需求背景： 我校网络

2、的特殊性： 多套不同涉密程度的网络并存 网间要求物理隔离 用户的多重角色：行政、科研、教学 安全保密与教学活动信息化之间的矛盾2022-2-214 思路： 缩小涉密网范围，严控涉密网信息输出 加强校内接入互联网的安全 方便师生非涉密计算机之间的互联互通2022-2-215 非涉密教学无线网 关键字：非涉密、无线、成熟技术 非涉密：处理的信息不涉密，避免过度防护 无线：方便覆盖教室等不便布线的区域 成熟技术：802.11a/b/g/n，利用大量的学生自购的笔记本电脑 802.11i 与 WAPI（基于PC的WAPI市场还不够成熟）2022-2-216.教室1.教室n教学网APAC接入网关POE交

3、换机无线局域网有线网络无线接入APAPAP无线终端无线终端无线网络结构2022-2-217关键的安全问题及对策关键的安全问题及对策 能够确定“三个合法” 只有合法的用户，通过合法的机器，才能合法访问资源2022-2-218关键问题关键问题1 终端接入安全机制的选择终端接入安全机制的选择 SSID开放广播与否：提供低级别的安全防护。 AP可建立多个虚拟SSID 可用于区分修复区域和业务区域 MAC地址过滤：提供低级别的安全防护。维护不便、可扩展性差，防护级别低。 可开放一段自由注册时间，统一采集MAC地址 加强安全的接入方案：终端安管系统与接入客户端紧密结合。2022-2-219关键问题关键问题

4、2 如何确认接入终端的合法性如何确认接入终端的合法性 合法的唯一标识 MAC 硬盘序列号 其他硬件信息 运行了指定的终端桌面安全管理系统 使用专用的网络接入认证客户端2022-2-2110关键问题关键问题3 用户无线接入的认证机制的选择用户无线接入的认证机制的选择 WEP 不便于管理大量用户，安全性太差 Web Portal网关+Radius认证+用户隔离 方便部署，可结合客户端认证 802.1x/EAP2022-2-2111802.1x EAP类类型型功能功能/优点优点md5 - Message Digest5TLS - 传输层传输层安全性安全性TTLS - 隧道传隧道传输层安输层安全全PE

5、AP - 受保护受保护的传输的传输层安层安 全全快速快速-通过安全通过安全隧道灵活隧道灵活验证验证LEAP - 轻量级可扩轻量级可扩展身份展身份 验证验证协议协议需要客户端证书需要客户端证书否否是是否否否否否否(PAC)否否需要服务器证书需要服务器证书否否是是否否是是否否(PAC)否否WEP密钥管理密钥管理否否是是是是是是是是是是欺诈欺诈AP检测检测否否否否否否否否是是是是验证属性验证属性单向单向相互相互相互相互相互相互相互相互相互相互部署难易程度部署难易程度简单简单难难(因为客因为客户端证书配户端证书配置的缘故置的缘故)中等中等中等中等中等中等中等中等Wi-Fi安全安全差差很高很高高高高高高

6、高在使用强密码在使用强密码时时,高。高。2022-2-2112 合法的人： 一卡通统一制作身份 接入认证机制： 客户端下载、自助服务：Web Portal，账号+密码，证书管理 普通业务：802.1x/EAP-TLS，账号+UKey（含证书）2022-2-2113关键问题关键问题4 如何保障无线网络中的数据安全如何保障无线网络中的数据安全 无线链路加密 WEP：RC4静态密钥，极易破解 WPA-PSK：易破解 WPA2-PSK（AES）：至今尚未被破解 文档加密系统 确保文档在硬盘存储和通过网路传输时，是加密的 透明加解密，最大程度降低对用户的影响 网络相关，脱网不能解密2022-2-2114

7、关键问题关键问题4 用户如何方便、安全的使用无线校园网用户如何方便、安全的使用无线校园网 Web Portal与WPA2-PSK（AES）结合 802.1x/EAP-TLS2022-2-2115用户使用流程用户使用流程用户开户用户开户访问自助服务访问自助服务SSIDWeb Portal+Radius认证认证注注册信册信息：息：人员、人员、机器机器账号、账号、密码、密码、UKey、证书、证书、WPA2-PSK密钥密钥业务服务业务服务SSID802.1x/EAP-TLS认证认证账号、密码账号、密码客户端、客户端、安管程序安管程序通过通过客户端客户端接入：账号、接入：账号、证书；安全合证书；安全合规检查规检查2022-2-2116 合法使用资源 安全域划分 非信任域 隔离修复域 合法终端域 终端ACL： 基于账号 通过终端安管软件实现2022-2-2117关键问题关键问题6 防止非授权的终端接入网络防止非授权的终端接入网络 访问其他已授权终端 确保Web Portal认证的终端的不能相互通信 需对用户公开WPA2-PSK预共享密钥，因此只有加密作用，不具认证功能 开启用户隔离功能。 访问内部资源 802.1x认证 Web Portal网关上的用户认