《国防科技大学信息中心》由会员分享,可在线阅读,更多相关《国防科技大学信息中心(19页珍藏版)》请在金锄头文库上搜索。
1、无线校园网中的关键安全无线校园网中的关键安全问题及对策问题及对策国防科学技术大学国防科学技术大学 网管中心网管中心唐唐 川(工程师,川(工程师,CISPCISP)20102010年年6 6月月. .吉首吉首提纲提纲背景背景关键安全问题和对策关键安全问题和对策终端接入安全机制的选择终端接入安全机制的选择如何确认接入终端的合法性如何确认接入终端的合法性用户无线接入的认证机制的选择用户无线接入的认证机制的选择如何保障无线网络中的数据安全如何保障无线网络中的数据安全用户如何方便、安全的使用无线校园网用户如何方便、安全的使用无线校园网防止非授权的终端接入网络防止非授权的终端接入网络2024/8/252需
2、求背景:需求背景:我校网络的特殊性:多套不同涉密程度的网络并存网间要求物理隔离用户的多重角色:行政、科研、教学安全保密与教学活动信息化之间的矛盾2024/8/253思路:缩小涉密网范围,严控涉密网信息输出加强校内接入互联网的安全方便师生非涉密计算机之间的互联互通2024/8/254非涉密教学无线网关键字:非涉密、无线、成熟技术非涉密:处理的信息不涉密,避免过度防护无线:方便覆盖教室等不便布线的区域成熟技术:802.11a/b/g/n,利用大量的学生自购的笔记本电脑802.11i 与 WAPI(基于PC的WAPI市场还不够成熟)2024/8/255.教室1.教室n教学网APAC接入网关POE交换
3、机无线局域网有线网络无线接入APAPAP无线终端无线终端无线网络结构2024/8/256关键的安全问题及对策关键的安全问题及对策能够确定“三个合法”只有合法的用户,通过合法的机器,才能合法访问资源2024/8/257关键问题关键问题1终端接入安全机制的选择终端接入安全机制的选择SSID开放广播与否:提供低级别的安全防护。AP可建立多个虚拟SSID可用于区分修复区域和业务区域MAC地址过滤:提供低级别的安全防护。维护不便、可扩展性差,防护级别低。可开放一段自由注册时间,统一采集MAC地址加强安全的接入方案:终端安管系统与接入客户端紧密结合。2024/8/258关键问题关键问题2如何确认接入终端的
4、合法性如何确认接入终端的合法性合法的唯一标识MAC硬盘序列号其他硬件信息运行了指定的终端桌面安全管理系统使用专用的网络接入认证客户端2024/8/259关键问题关键问题3用户无线接入的认证机制的选择用户无线接入的认证机制的选择WEP不便于管理大量用户,安全性太差Web Portal网关+Radius认证+用户隔离方便部署,可结合客户端认证802.1x/EAP2024/8/2510802.1x EAP类类型型功能功能/优点优点md5 - Message Digest5TLS - 传输层传输层安全性安全性TTLS - 隧道传隧道传输层安输层安全全PEAP - 受保护受保护的传输的传输层安层安 全全
5、快速快速-通过安全通过安全隧道灵活隧道灵活验证验证LEAP - 轻量级可扩轻量级可扩展身份展身份 验证验证协议协议需要客户端证书需要客户端证书否否是是否否否否否否(PAC)否否需要服务器证书需要服务器证书否否是是否否是是否否(PAC)否否WEP密钥管理密钥管理否否是是是是是是是是是是欺诈欺诈AP检测检测否否否否否否否否是是是是验证属性验证属性单向单向相互相互相互相互相互相互相互相互相互相互部署难易程度部署难易程度简单简单难难(因为客因为客户端证书配户端证书配置的缘故置的缘故)中等中等中等中等中等中等中等中等Wi-Fi安全安全差差很高很高高高高高高高在使用强密码在使用强密码时时,高。高。2024
6、/8/2511合法的人:一卡通统一制作身份接入认证机制:客户端下载、自助服务:Web Portal,账号+密码,证书管理普通业务:802.1x/EAP-TLS,账号+UKey(含证书)2024/8/2512关键问题关键问题4如何保障无线网络中的数据安全如何保障无线网络中的数据安全无线链路加密WEP:RC4静态密钥,极易破解WPA-PSK:易破解WPA2-PSK(AES):至今尚未被破解文档加密系统确保文档在硬盘存储和通过网路传输时,是加密的透明加解密,最大程度降低对用户的影响网络相关,脱网不能解密2024/8/2513关键问题关键问题4用户如何方便、安全的使用无线校园网用户如何方便、安全的使用
7、无线校园网Web Portal与WPA2-PSK(AES)结合802.1x/EAP-TLS2024/8/2514用户使用流程用户使用流程用户开户用户开户访问自助服务访问自助服务SSIDWeb Portal+Radius认证认证注注册信册信息:息:人员、人员、机器机器账号、账号、密码、密码、UKey、证书、证书、WPA2-PSK密钥密钥业务服务业务服务SSID802.1x/EAP-TLS认证认证账号、密码账号、密码客户端、客户端、安管程序安管程序通过通过客户端客户端接入:账号、接入:账号、证书;安全合证书;安全合规检查规检查2024/8/2515合法使用资源安全域划分非信任域隔离修复域合法终端域
8、终端ACL:基于账号通过终端安管软件实现2024/8/2516关键问题关键问题6防止非授权的终端接入网络防止非授权的终端接入网络访问其他已授权终端确保Web Portal认证的终端的不能相互通信需对用户公开WPA2-PSK预共享密钥,因此只有加密作用,不具认证功能开启用户隔离功能。访问内部资源802.1x认证Web Portal网关上的用户认证防火墙2024/8/2517安全防护的层次2024/8/2518欢迎联系、交流欢迎联系、交流谢谢 谢!谢!地址:湖南省长沙市国防科学技术大学信息中心网管中心地址:湖南省长沙市国防科学技术大学信息中心网管中心邮编:邮编:410073邮件:邮件:电话:电话:0731-84573015,13874992610
