第一篇:寶界終端準入系統實現無線網絡實名認證解決方案
寶界終端準入控制系統保障無線網絡安全解決方案
一、應用背景
由于無線網絡通過無線電波在空中傳輸數據, 在數據發射機覆蓋區域內的幾乎所有的無線網絡用戶都能接觸到這些數據。只要具有相同接收頻率就可能獲取所傳遞的信息。要將無線網絡環境中傳遞的數據僅僅傳送給一個目標接收者是不可能的。另一方面, 由于無線移動設備在存儲能力、計算能力和電源供電時間方面的局限性, 使得原來在有線環境下的許多安全方案和安全技術不能直接應用于無線環境, 例如: 防火墻對通過無線電波進行的網絡通訊起不了作用, 任何人在區域范圍之內都可以截獲和插入數據。計算量大的加密、解密算法不適宜用于移動設備等。因此, 需要研究新的適合于無線網絡環境的安全理論、安全方法和安全技術。與有線網絡相比, 無線網絡所面臨的安全威脅更加嚴重。所有常規有線網絡中存在的安全威脅和隱患都依然存在于無線網絡中;外部人員可以通過無線網絡繞過防火墻, 對專用網絡進行非授權訪問;無線網絡傳輸的信息容易被竊取、篡改和插入;無線網絡容易受到拒絕服務攻擊(DoS)和干擾;內部員工可以設置無線網卡以端對端模式與外部員工直接連接。此外, 無線網絡的安全技術相對比較新, 安全產品還比較少。以無線局域網(WLAN)為例, 移動節點、A P 等每一個實體都有可能是攻擊對象或攻擊者。由于無線網絡在移動設備和傳輸媒介方面的特殊性, 使得一些攻擊更容易實施, 對無線網絡安全技術的研究比有線網絡的限制更多, 難度更大。常見的無線網絡安全技術有以下幾種
1、服務集標識符(SSID)
通過對多個無線接入點AP(Access Point)設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區別限制。因此可以認為SSID是一個簡單的口令,從而提供一定的安全,但如果配置AP向外廣播其SSID,那么安全程度還將下降。由于一般情況下,用戶自己配置客戶端系統,所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式,只要無線工作站在任何AP范圍內,客戶端都會自動連接到AP,這將跳過SSID安全功能。
2、物理地址過濾(MAC)
由于每個無線工作站的網卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差;而且MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網絡規模。
3、連線對等保密(WEP)
在鏈路層采用RC4對稱加密技術,用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)和128位長度的密鑰機制,但是它仍然存在許多缺陷,例如一個服務區內的所有用戶都共享同一個密鑰,一個用戶丟失鑰匙將使整個網絡不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態的,要手工維護,擴展能力差。目前為了提高安全性,建議采用128位加密鑰匙。
4、Wi-Fi保護接入(WPA)
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。其原理為根據通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數據將由各不相同的密鑰加密而成。無論收集到多少這樣的數據,要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能,WEP中此前倍受指責的缺點得以全部解決。WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內涵。作為802.11i標準的子集,WPA包含了認證、加密和數據完整性校驗三個組成部分,是一個完整的安全性方案。
5、端口訪問控制技術(802.1x)
該技術也是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站STA與無線訪問點AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為STA打開這個邏輯端口,否則不允許用戶上網。802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問點要內嵌802.1x認證代理,同時它還作為Radius客戶端,將用戶的認證信息轉發給Radius服務器。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統及計費,特別適合于公共無線接入解決方案。本方案需要無線設備支持802.1X協議,并且接入PC需要安裝802.1X客戶端,設置煩鎖,部置費用較高。
二、寶界解決方案
通過采用寶界局域網準入網關產品可以解決以上問題:
1、寶界局域網準入網關實現的功能
? ? ? ? ? ? ? ? 對用戶按組、按部門、按人實現IP地址管理 對用戶的IP地址實現實名制的分發和管理 強制安裝健康檢查客戶端
兼容老舊網絡(兼容非802.1x交換機、hub 等),實現實名IP地址管理 對IP地址的改變進行監管,防止非法篡改IP地址 新接入IP地址的偵測和自動收集 IP地址的實名查找 多網段的IP分配和管理
2、產品部署拓樸圖
系統部署圖
3、無線終端PC入網流程圖
① 無線終端PC搜索無線路由器,選擇接入點
② 接入終端接入PC可以將無線網卡設置成固定IP地址或DHCP動態獲得IP地址,一般建議特權主機設定為固定IP地址,其他主機動態分配IP地址。
③ 對于固定IP地址的無線接入PC,系統檢查其MAC地址、IP地址、主機名、網卡類型、對應交換機端口等信息,如果是非法主機,系統將阻止其入網;合法主機允許其入網,此類主機無需實名認證,無需健康檢查。
④ 對于DHCP動態獲取IP地址的無線接入PC,首先系統會臨時分配一個隔離網段IP地址,允許它訪問隔離網段服務器(例如:殺毒服務器、補丁服務器、實名認證服務器等)
⑤ 系統如果啟動了實名認證模塊,無線接入PC獲取動態IP地址后,打開IE瀏覽器訪問外網時,系統會自動推送實名認證網頁,要求其輸入管理員分配的用戶名及密碼,如果身份認證未通過,系統將不會分配內網IP地址,其無法訪問內網任何資源。如果身份認證通過,并且系統沒有啟動健康檢查模塊,無線接入PC將獲取管理員分配的內網合法IP地址,無線接入PC被允許訪問內網應用服務器資源。
⑥ 系統如果啟動了健康檢查/桌面管理模塊,無線接入PC實名認證通過后,系統在其打開IE瀏覽器訪問外網時,會自動推送健康檢查/桌面管理客戶端下載網頁,當其安裝完健康檢查/桌面管理客戶端后,無線接入PC將獲取管理員分配的內網合法IP地址,接入主機被允許訪問內網應用服務器資源。
⑦ 系統運行過程中,將自動收集當前限制主機、允許主機、離線主機、在線主機列表,每臺主機當前使用MAC地址、IP地址、組名/主機名、部門/用戶名、接入交換機及端口號、接入時間等待信息,管理員可實時查看到對應交換機上接入主機的信息,并可手動/自動關閉其端口,完全隔離非法主機。
終端準入認證流程
三、解決方案價值
? 加強企業無線網絡控制,實現每用戶分別用自己的帳號登陸無線局域網,杜絕了共享密碼的弊端,保證非授權主機不能進入無線局域網; ? ? ?
對無線網絡的主機,也納入了內網主機一樣管理,不經過無線路由NAT地址轉換,可以直接定位主機。加強內網IP地址管理,防止了IP地址隨意修改,服務器與客戶端IP地址沖突;
進入局域網的主機可強制安裝健康檢查客戶端,集中查殺病毒木馬,集中打補丁,保證了局域網安全