第一篇:宝界终端准入系统实现无线网络实名认证解决方案
宝界终端准入控制系统保障无线网络安全解决方案
一、应用背景
由于无线网络通过无线电波在空中传输数据, 在数据发射机覆盖区域内的几乎所有的无线网络用户都能接触到这些数据。只要具有相同接收频率就可能获取所传递的信息。要将无线网络环境中传递的数据仅仅传送给一个目标接收者是不可能的。另一方面, 由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性, 使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境, 例如: 防火墙对通过无线电波进行的网络通讯起不了作用, 任何人在区域范围之内都可以截获和插入数据。计算量大的加密、解密算法不适宜用于移动设备等。因此, 需要研究新的适合于无线网络环境的安全理论、安全方法和安全技术。与有线网络相比, 无线网络所面临的安全威胁更加严重。所有常规有线网络中存在的安全威胁和隐患都依然存在于无线网络中;外部人员可以通过无线网络绕过防火墙, 对专用网络进行非授权访问;无线网络传输的信息容易被窃取、篡改和插入;无线网络容易受到拒绝服务攻击(DoS)和干扰;内部员工可以设置无线网卡以端对端模式与外部员工直接连接。此外, 无线网络的安全技术相对比较新, 安全产品还比较少。以无线局域网(WLAN)为例, 移动节点、A P 等每一个实体都有可能是攻击对象或攻击者。由于无线网络在移动设备和传输媒介方面的特殊性, 使得一些攻击更容易实施, 对无线网络安全技术的研究比有线网络的限制更多, 难度更大。常见的无线网络安全技术有以下几种
1、服务集标识符(SSID)
通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
2、物理地址过滤(MAC)
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
3、连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
4、Wi-Fi保护接入(WPA)
WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
5、端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。本方案需要无线设备支持802.1X协议,并且接入PC需要安装802.1X客户端,设置烦锁,部置费用较高。
二、宝界解决方案
通过采用宝界局域网准入网关产品可以解决以上问题:
1、宝界局域网准入网关实现的功能
对用户按组、按部门、按人实现IP地址管理 对用户的IP地址实现实名制的分发和管理 强制安装健康检查客户端
兼容老旧网络(兼容非802.1x交换机、hub 等),实现实名IP地址管理 对IP地址的改变进行监管,防止非法篡改IP地址 新接入IP地址的侦测和自动收集 IP地址的实名查找 多网段的IP分配和管理
2、产品部署拓朴图
系统部署图
3、无线终端PC入网流程图
① 无线终端PC搜索无线路由器,选择接入点
② 接入终端接入PC可以将无线网卡设置成固定IP地址或DHCP动态获得IP地址,一般建议特权主机设定为固定IP地址,其他主机动态分配IP地址。
③ 对于固定IP地址的无线接入PC,系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息,如果是非法主机,系统将阻止其入网;合法主机允许其入网,此类主机无需实名认证,无需健康检查。
④ 对于DHCP动态获取IP地址的无线接入PC,首先系统会临时分配一个隔离网段IP地址,允许它访问隔离网段服务器(例如:杀毒服务器、补丁服务器、实名认证服务器等)
⑤ 系统如果启动了实名认证模块,无线接入PC获取动态IP地址后,打开IE浏览器访问外网时,系统会自动推送实名认证网页,要求其输入管理员分配的用户名及密码,如果身份认证未通过,系统将不会分配内网IP地址,其无法访问内网任何资源。如果身份认证通过,并且系统没有启动健康检查模块,无线接入PC将获取管理员分配的内网合法IP地址,无线接入PC被允许访问内网应用服务器资源。
⑥ 系统如果启动了健康检查/桌面管理模块,无线接入PC实名认证通过后,系统在其打开IE浏览器访问外网时,会自动推送健康检查/桌面管理客户端下载网页,当其安装完健康检查/桌面管理客户端后,无线接入PC将获取管理员分配的内网合法IP地址,接入主机被允许访问内网应用服务器资源。
⑦ 系统运行过程中,将自动收集当前限制主机、允许主机、离线主机、在线主机列表,每台主机当前使用MAC地址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等待信息,管理员可实时查看到对应交换机上接入主机的信息,并可手动/自动关闭其端口,完全隔离非法主机。
终端准入认证流程
三、解决方案价值
加强企业无线网络控制,实现每用户分别用自己的帐号登陆无线局域网,杜绝了共享密码的弊端,保证非授权主机不能进入无线局域网;
对无线网络的主机,也纳入了内网主机一样管理,不经过无线路由NAT地址转换,可以直接定位主机。加强内网IP地址管理,防止了IP地址随意修改,服务器与客户端IP地址冲突;
进入局域网的主机可强制安装健康检查客户端,集中查杀病毒木马,集中打补丁,保证了局域网安全