第一篇:寶界終端準(zhǔn)入系統(tǒng)實(shí)現(xiàn)無線網(wǎng)絡(luò)實(shí)名認(rèn)證解決方案
寶界終端準(zhǔn)入控制系統(tǒng)保障無線網(wǎng)絡(luò)安全解決方案
一、應(yīng)用背景
由于無線網(wǎng)絡(luò)通過無線電波在空中傳輸數(shù)據(jù), 在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎所有的無線網(wǎng)絡(luò)用戶都能接觸到這些數(shù)據(jù)。只要具有相同接收頻率就可能獲取所傳遞的信息。要將無線網(wǎng)絡(luò)環(huán)境中傳遞的數(shù)據(jù)僅僅傳送給一個(gè)目標(biāo)接收者是不可能的。另一方面, 由于無線移動(dòng)設(shè)備在存儲(chǔ)能力、計(jì)算能力和電源供電時(shí)間方面的局限性, 使得原來在有線環(huán)境下的許多安全方案和安全技術(shù)不能直接應(yīng)用于無線環(huán)境, 例如: 防火墻對通過無線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用, 任何人在區(qū)域范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。計(jì)算量大的加密、解密算法不適宜用于移動(dòng)設(shè)備等。因此, 需要研究新的適合于無線網(wǎng)絡(luò)環(huán)境的安全理論、安全方法和安全技術(shù)。與有線網(wǎng)絡(luò)相比, 無線網(wǎng)絡(luò)所面臨的安全威脅更加嚴(yán)重。所有常規(guī)有線網(wǎng)絡(luò)中存在的安全威脅和隱患都依然存在于無線網(wǎng)絡(luò)中;外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻, 對專用網(wǎng)絡(luò)進(jìn)行非授權(quán)訪問;無線網(wǎng)絡(luò)傳輸?shù)男畔⑷菀妆桓`取、篡改和插入;無線網(wǎng)絡(luò)容易受到拒絕服務(wù)攻擊(DoS)和干擾;內(nèi)部員工可以設(shè)置無線網(wǎng)卡以端對端模式與外部員工直接連接。此外, 無線網(wǎng)絡(luò)的安全技術(shù)相對比較新, 安全產(chǎn)品還比較少。以無線局域網(wǎng)(WLAN)為例, 移動(dòng)節(jié)點(diǎn)、A P 等每一個(gè)實(shí)體都有可能是攻擊對象或攻擊者。由于無線網(wǎng)絡(luò)在移動(dòng)設(shè)備和傳輸媒介方面的特殊性, 使得一些攻擊更容易實(shí)施, 對無線網(wǎng)絡(luò)安全技術(shù)的研究比有線網(wǎng)絡(luò)的限制更多, 難度更大。常見的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種
1、服務(wù)集標(biāo)識(shí)符(SSID)
通過對多個(gè)無線接入點(diǎn)AP(Access Point)設(shè)置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權(quán)限進(jìn)行區(qū)別限制。因此可以認(rèn)為SSID是一個(gè)簡單的口令,從而提供一定的安全,但如果配置AP向外廣播其SSID,那么安全程度還將下降。由于一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式,只要無線工作站在任何AP范圍內(nèi),客戶端都會(huì)自動(dòng)連接到AP,這將跳過SSID安全功能。
2、物理地址過濾(MAC)
由于每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新,可擴(kuò)展性差;而且MAC地址在理論上可以偽造,因此這也是較低級(jí)別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證,而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新,目前都是手工操作;如果用戶增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。
3、連線對等保密(WEP)
在鏈路層采用RC4對稱加密技術(shù),用戶的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時(shí)也稱為64位)和128位長度的密鑰機(jī)制,但是它仍然存在許多缺陷,例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰,一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的,要手工維護(hù),擴(kuò)展能力差。目前為了提高安全性,建議采用128位加密鑰匙。
4、Wi-Fi保護(hù)接入(WPA)
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法,因此即便收集到分組信息并對其進(jìn)行解析,也幾乎無法計(jì)算出通用密鑰。其原理為根據(jù)通用密鑰,配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào),分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù),要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能,WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。WPA不僅是一種比WEP更為強(qiáng)大的加密方法,而且有更為豐富的內(nèi)涵。作為802.11i標(biāo)準(zhǔn)的子集,WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分,是一個(gè)完整的安全性方案。
5、端口訪問控制技術(shù)(802.1x)
該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為STA打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理,同時(shí)它還作為Radius客戶端,將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi),特別適合于公共無線接入解決方案。本方案需要無線設(shè)備支持802.1X協(xié)議,并且接入PC需要安裝802.1X客戶端,設(shè)置煩鎖,部置費(fèi)用較高。
二、寶界解決方案
通過采用寶界局域網(wǎng)準(zhǔn)入網(wǎng)關(guān)產(chǎn)品可以解決以上問題:
1、寶界局域網(wǎng)準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)的功能
? ? ? ? ? ? ? ? 對用戶按組、按部門、按人實(shí)現(xiàn)IP地址管理 對用戶的IP地址實(shí)現(xiàn)實(shí)名制的分發(fā)和管理 強(qiáng)制安裝健康檢查客戶端
兼容老舊網(wǎng)絡(luò)(兼容非802.1x交換機(jī)、hub 等),實(shí)現(xiàn)實(shí)名IP地址管理 對IP地址的改變進(jìn)行監(jiān)管,防止非法篡改IP地址 新接入IP地址的偵測和自動(dòng)收集 IP地址的實(shí)名查找 多網(wǎng)段的IP分配和管理
2、產(chǎn)品部署拓樸圖
系統(tǒng)部署圖
3、無線終端PC入網(wǎng)流程圖
① 無線終端PC搜索無線路由器,選擇接入點(diǎn)
② 接入終端接入PC可以將無線網(wǎng)卡設(shè)置成固定IP地址或DHCP動(dòng)態(tài)獲得IP地址,一般建議特權(quán)主機(jī)設(shè)定為固定IP地址,其他主機(jī)動(dòng)態(tài)分配IP地址。
③ 對于固定IP地址的無線接入PC,系統(tǒng)檢查其MAC地址、IP地址、主機(jī)名、網(wǎng)卡類型、對應(yīng)交換機(jī)端口等信息,如果是非法主機(jī),系統(tǒng)將阻止其入網(wǎng);合法主機(jī)允許其入網(wǎng),此類主機(jī)無需實(shí)名認(rèn)證,無需健康檢查。
④ 對于DHCP動(dòng)態(tài)獲取IP地址的無線接入PC,首先系統(tǒng)會(huì)臨時(shí)分配一個(gè)隔離網(wǎng)段IP地址,允許它訪問隔離網(wǎng)段服務(wù)器(例如:殺毒服務(wù)器、補(bǔ)丁服務(wù)器、實(shí)名認(rèn)證服務(wù)器等)
⑤ 系統(tǒng)如果啟動(dòng)了實(shí)名認(rèn)證模塊,無線接入PC獲取動(dòng)態(tài)IP地址后,打開IE瀏覽器訪問外網(wǎng)時(shí),系統(tǒng)會(huì)自動(dòng)推送實(shí)名認(rèn)證網(wǎng)頁,要求其輸入管理員分配的用戶名及密碼,如果身份認(rèn)證未通過,系統(tǒng)將不會(huì)分配內(nèi)網(wǎng)IP地址,其無法訪問內(nèi)網(wǎng)任何資源。如果身份認(rèn)證通過,并且系統(tǒng)沒有啟動(dòng)健康檢查模塊,無線接入PC將獲取管理員分配的內(nèi)網(wǎng)合法IP地址,無線接入PC被允許訪問內(nèi)網(wǎng)應(yīng)用服務(wù)器資源。
⑥ 系統(tǒng)如果啟動(dòng)了健康檢查/桌面管理模塊,無線接入PC實(shí)名認(rèn)證通過后,系統(tǒng)在其打開IE瀏覽器訪問外網(wǎng)時(shí),會(huì)自動(dòng)推送健康檢查/桌面管理客戶端下載網(wǎng)頁,當(dāng)其安裝完健康檢查/桌面管理客戶端后,無線接入PC將獲取管理員分配的內(nèi)網(wǎng)合法IP地址,接入主機(jī)被允許訪問內(nèi)網(wǎng)應(yīng)用服務(wù)器資源。
⑦ 系統(tǒng)運(yùn)行過程中,將自動(dòng)收集當(dāng)前限制主機(jī)、允許主機(jī)、離線主機(jī)、在線主機(jī)列表,每臺(tái)主機(jī)當(dāng)前使用MAC地址、IP地址、組名/主機(jī)名、部門/用戶名、接入交換機(jī)及端口號(hào)、接入時(shí)間等待信息,管理員可實(shí)時(shí)查看到對應(yīng)交換機(jī)上接入主機(jī)的信息,并可手動(dòng)/自動(dòng)關(guān)閉其端口,完全隔離非法主機(jī)。
終端準(zhǔn)入認(rèn)證流程
三、解決方案價(jià)值
? 加強(qiáng)企業(yè)無線網(wǎng)絡(luò)控制,實(shí)現(xiàn)每用戶分別用自己的帳號(hào)登陸無線局域網(wǎng),杜絕了共享密碼的弊端,保證非授權(quán)主機(jī)不能進(jìn)入無線局域網(wǎng); ? ? ?
對無線網(wǎng)絡(luò)的主機(jī),也納入了內(nèi)網(wǎng)主機(jī)一樣管理,不經(jīng)過無線路由NAT地址轉(zhuǎn)換,可以直接定位主機(jī)。加強(qiáng)內(nèi)網(wǎng)IP地址管理,防止了IP地址隨意修改,服務(wù)器與客戶端IP地址沖突;
進(jìn)入局域網(wǎng)的主機(jī)可強(qiáng)制安裝健康檢查客戶端,集中查殺病毒木馬,集中打補(bǔ)丁,保證了局域網(wǎng)安全