中小学校园无线局域网组建及安全
来源:用户上传
作者: 王辉
摘 要:安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。
关键词:无线局域网安全;802.11;AAA;Radius
中图分类号:TN925.93
随着生产生活水平的不断提高,人类对网络通讯的需求也在不断提高。今天,人们已不仅仅满足于在固定环境中进行通信,还希望随时随地都能够进行语音、数据和图像通信。这样,可进行移动通信的无线网络就应运而生了。无线局域网是计算机网络与无线通信技术相结合的产物。通俗的说,无线局域网就是在不采用传统线缆的同时,提供以太网或者令牌环网络的功能。无线局域网络广泛应用与医院、学校、金融、制造业等等,甚至现在很多餐厅点菜都是采用无线网络技术。影响无线网络发展的两个因素,一个是速度,一个是安全。近几年速度上得到了很大的提升,安全性也在最近几年引起了大家广泛的关注。满足家庭及小型办公需求的无线已经日趋成熟,大家随处都能见到无线设备的身影,现在大家都喜欢用智能手机,而家中或单位如果有无线设备,大家就能够享受免费快速的无线网络了。
1 无线局域网组网技术
1.1 对等组网
多个装有无线适配卡的PC,放在有效距离内,组成对等网络.这类网络无需经过特殊组合或专人管理,任何两个移动式PC之间不需中央服务器就可以相互对通。
优点:配置简单,可实现点对点多点连接。
缺点:不能连接外部网络。
适用:用户数较少的网络。
1.2 基础结构网络(以AP为中心的网络)
访问点是连接在有线网络上,每一个移动式PC都可经服务器与其它移动式PC实现网络的互连互通,每个访问点可容纳许多PC,视其数据的传输实际要求而定,一个访问点容量可达15到63个PC。
AP为无线访问点,工作模式为两种,一种叫胖AP,一种叫瘦AP,瘦AP与胖AP的区别如下:无线接入点(AP,Access Point)也称无线网桥、无线网关,也就是所谓的“瘦”AP。此无线设备的传输机制相当于有线网络中的集线器,在无线局域网中不停地接收和传送数据;任何一台装有无线网卡的PC均可通过AP来分享有线局域网络甚至广域网络的资源。理论上,当网络中增加一个无线AP之后,即可成倍地扩展网络覆盖直径;还可使网络中容纳更多的网络设备。每个无线AP基本上都拥有一个以太网接口,用于实现无线与有线的连接。业界所谓的“胖”AP,其学名应该称之为无线路由器。无线路由器与纯AP不同,除无线接入功能外,一般具备WAN、LAN两个接口,多支持DHCP服务器、DNS和MAC地址克隆,以及VPN接入、防火墙等安全功能。“无线交换机+瘦无线接入点”解决方案是近年来新兴的无线局域网解决方案架构技术,其推出的目的,就是为了解决原有的胖AP产品无法集中管理和集中部署安全策略的重大缺陷。在这套解决方案架构中,由三个部分组成,分别是瘦无线接入点、无线交换机/控制器、无线网管平台。无线交换机/控制器:无线交换机/控制器是一种高性能的服务器架构产品,在无线网络中的功能是管理中心设备,它通过国际标准的CAPWAP加密隧道与瘦AP建立通信,并全面控制瘦AP,瘦AP本身并不保存配置,只有受到无线交换机/控制器的控制才能工作,因此,所有用户的连接、访问、认证、权限、安全的信息都要受到无线交换机/控制器的管理。无线网管平台:作为全网的统一管理中心平台,所有无线设备的功能、无线用户的信息、无线链路的监测、拓扑、无线定位、告警、配置、报表,全部都会直观地通过网管平台反映并操作,并由无线交换机/控制器来执行。这种无线部署成本较高,学校可以根据自己实际情况来决定,我校采用的是瘦AP加radius认证技术来实现,虽然不能实现集体管理,也没有统一的网管平台,在兼顾经济性的同时也充分实现了安全。
2 无线网络安全性
WEP(Wired Equivalent Privacy,有线等效保密)是802.11标准安全机制的一部分,用来对无线传输的802.11数据帧进行加密,在链路层提供保密性和数据完整性的功能。但WEP的安全性很弱。几年前我们买到的无线设备如D-LINK,加密方式默认为WEP,这种加密方式算法本身就存在很大漏洞,不管是否有无线客户端,我们利用工具几分钟就能破解出密码,现在新出的设备几乎都用红色字体标出强烈建议不要使用WEP来加密,默认加密方式也改为WPA。WPA(Wi-Fi Protected Access,Wi-Fi网络保护访问)是Wi-Fi联盟(WFA)为了弥补WEP缺陷采用的最新安全标准。WPA实现了IEEE 802.11i 标准的部分内容,是在IEEE 802.11i完善之前替代WEP的过渡方案。WPA采用了TKIP(Temporal Key Integrity Protocol,暂时密钥完整性协议)和IEEE 802.1x来实现WLAN的访问控制、密钥管理和数据加密,针对WEP出现的安全问题加以改进。对于家庭用户建议使用WPA来对网络进行加密,对于单位如果无线设备较多,建议,一方面提供更加可靠统一的安全管理,一方面能够有效降低AP的工作负担,更专一的提供高效的接入服务。
我校教师都配置了笔记本电脑,无线网卡几乎是现在笔记本的标准配置,教师办公室人员众多,如果铺设线路,交换机成本较大,且线路较为复杂,不变移动。后来考虑在办公室内部放置无线AP设备,大家用笔记本连入学校局域网更为方便。但考虑安全性及无线设备速度问题,我校使用radius服务来做认证,无线AP上不加密。Radius服务器可以采用思科的ACS 4.0,或者采用设置更为方便的windows 2003自带的IAS服务(internet 验证服务)。
3 具体实施步骤
(1)安装IAS:网络服务―internet验证服务。
(2)启动服务,若在域,需要在AD中注册服务器。
(3)为IAS安装证书,搭建配置CA服务器,或者安装万维网服务中的远程管理(默认安装一个为期一年的证书)。
(4)添加RADIUS客户端,添加无线AP为客户端。
(5)添加远程访问策略,将认证用户添加到策略中。受保护的EAP,配置选中启动快速重连接。
(6)设置远程接入权限,如果用户过多,就可以采用下面方法:“Internet验证服务”控制台――远程访问策略中找到刚才创建好的策略,查看属性,点击“编辑配置文件”选择“高级”选项卡,点击“添加”选择“忽略用户的拨入属性”,点击“添加”选中忽略用户的拨号内容。属性为真。经过以上配置之后,即可忽略用户属性里面的拨入权限设置。
(7)配置RADIUS客户端:安全和加密方式选择WPA-TKIP。
(8)无线客户端设置方法:连接无线网络,调整属性。网络验证为WPA,数据加密:TKIP,验证选项卡,选中受保护的EAP,属性取消验证服务器证书,验证方法选中EAP,配置,取消自动使用windows登录用户密码验证。
上述方法即可实现经济安全快速的无线局域网,如果学校预算较为宽松,可以采用瘦无线接入点、无线控制器、无线网管平台这种模式。我校在这里将无线控制器及无线网管平台省去,利用windows 2003自带的IAS服务来实现。如果不希望做AAA radius认证服务,可以采用8位以上强密码的WPA加密方式来加密,但是为了更加安全,建议在学校安全设备上做无线网卡mac绑定、mac地址过滤等。以上为我在学校实现无线网络组建及使用过程中总结的经验,希望拿出来与大家分享。
参考文献:
[1]郭苗.浅析校园无线网络的安全与防护[J].计算机光盘软件与应用,2013(05).
[2]陈霄.无线局域网安全技术在校园网上的应用[J].计算机光盘软件与应用,2012(05).
作者单位:新疆农业大学附属中学,乌鲁木齐 830000
转载注明来源:https://www.xzbu.com/8/view-5708400.htm
