电台无线网认证系统建设
2017-06-02刘会德陈粟王昊
刘会德+陈粟+王昊
摘 要 本文综合比较了无线网认证加密方式,分析了它们在应用中可能遇到的问题,并结合单位具体需求,建成了使用灵活、管理方便的无线网认证系统。
关键词 无线认证;无线接入;访问控制
中图分类号 G2 文献标识码 A 文章编号 1674-6708(2017)185-0070-02
随着移动办公的不断发展,电台前两年开始建设无线网,但一直没有对无线接入进行认证和加密。由于无线网络固有的开放性,传输的数据利用无线电波在空中辐射传播,只要在无线信号覆盖的范围内,任何无线终端都能接收到信号,导致系统被非法入侵及数据被监听、窃取、篡改的风险非常大。因此,单位决定对无线网接入进行身份认证,解决安全隐患。
1 电台网络现状
电台建设无线网络的初衷是作为有线网络的补充和备份。主要解决以下两个问题:1)有线网络发生故障时,使用无线网络保证采编播工作不受影响;2)在直播区域和录播区域,由于安装了很多隔音材料,在这些区域增加信息点的施工会影响隔音效果,随着终端设备的增加,必须使用无线网络。电台有线网络和无线网络都有自己独立的网络设备、出口及相应的DHCP、DNS服务器,两个网络的终端分别通过各自的网络主干和出口访问互联网,但为了无线网络内的终端设备能使用有线网络内的打印机、办公系统、文件服务器等网络资源,两个网络进行了联通。拓扑图如图1。
因为在无线网络内没有重要的信息资源,对用户的接入控制和数据加密要求不必很高。
电台现有员工近1 000人,还有一些兄弟单位在一块办公,每天嘉宾、工作伙伴等外来访客也非常多。使用有线网络办公的都是台内员工,通过AD域账户登录操作系统和进行网络访问。使用无线网络的包括台内员工、兄弟单位人员和外来访客,人员众多,且流动性大。针对河南人民广播电台网络现状,选用哪种无线网认证加密方式合适呢?
2 无线网认证加密方式对比
现有无线网认证加密方式基本分为三大类:开放系统身份认证、共享密钥身份认证和802.1X身份认证。还有其它两种认证方式也能对网络接入进行认证,即MAC ACL(MAC地址访问控制列表)和Web Redirection(网页重定向)。
2.1 开放系统身份认证
这种方式既不认证也不加密,任何客户端都可以接入无线接入点并使用无线网络,这是最不安全的一种认证方式,当然也是最省事的一种认证方式。
2.2 共享密钥身份认证
这种方式中,所有客户端都使用相同的密码,接入无线接入点前必须输入正确的密码才能进行连接。共享密钥身份认证有3种认证类型:WEP、WPA-PSK和PWA2-PSK。
WEP(Wired Equivalent Privasy),全称有线等效加密,使用这种方式,客户端和接入端必须拥有相同的密钥才能接入网络,密钥分为64bits和128bits两种,最多可以设置4组不同的密钥。WEP加密方式很脆弱,每个客户端都使用相同的加密字,导致WEP容易被破解,现已被WPA淘汰。
WPA-PSK,WPA(Wi-Fi Protected Access)的简化版,使用方法与WEP类似,客户端与无线接入点必须拥有相同密钥,用户输入密钥才能接入网络。该标准的主要改进是使用了可以动态改变钥匙的“零时钥匙完整性协定”(Temporal Key Integrity Protocol,TKIP),加上更長的初向量,减少和钥匙相关的封包个数,安全讯息验证系统,使得入侵无线网络非常困难。
WPA2-PSK,WPA2的简化版,WPA2是WPA的升级版,主要改进为:使用了CCMP(Counter CBCMAC Protocol)算法取代了WPA的MIC算法,AES(Advanced Encryption Standard)加密算法取代了WPA的TKIP加密算法。WPA2-PSK和WPA-PSK的使用方法一致,但安全防护能力更加出色。
共享密钥身份认证实现简单,对设备要求不高,维护及管理工作量小,用户使用方便,缺点是不能实现用户级别的控制,对一些大中型企事业单位来说,由于人员众多,密码容易扩散出去,最后的结果和开放系统认证没有多大区别。
2.3 802.1X身份认证
802.1X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准,它采用RADIUS(远程认证拨号用户服务)方法,并将其分为三个部分:请求方、认证方和认证服务器,该标准能实现用户级的接入控制。802.1x与共享密钥身份认证方式最大的不同就是客户端接入网络时,需要输入正确的用户名和密码才能认证通过。802.1X主要有两种认证类型:WPA-Enterprise和WPA2-Enterprise。
使用这种方式不仅非常安全,还能实现可追究性,缺点就是需要增加认证服务器,在部分终端上需要对无线网卡做一些设置,如果启用证书且需要对服务器进行验证,需要安装相应的证书,这也会增加维护管理的工作量。
2.4 MAC ACL(Access Control List)
MAC ACL,即MAC地址访问控制列表,只能用于认证但不能用于加密。在无线接入点输入允许接入的无线网卡MAC地址,只有在此清单中的无线网卡才能接入网络。
这属于简单粗暴的一种认证方式,在小微企业中也比较有效。如果在大中型企事业单位则不适合,因为更新维护MAC地址表的工作量非常大。
2.5 Web Redirection
Web Redirection,即网页重定向,这也是当前许多网络提供商常用的认证方式。无线接入点设置为开放系统认证,但在后台利用网关设备或上网行为管理设备,拦截客户端发出的Web封包(使用浏览器访问网络),并强制重导到认证网页要求输入账号密码,然后向认证服务器来对使用者进行认证,认证通过后才能访问网络,一般需要 Portal服务器提供账户密码认证。现在一些较新的设备还支持微信认证、短信认证、二维码认证等认证方式。
使用这种方式优点是认证方式灵活,可以进行广告推广。缺点主要有以下3点:1)只认证不加密;2)在客户端通过认证前用户其实已经获取到IP地址,已经获得局域网内部分网络资源的访问权限;3)用户通过认证前,使用QQ、微信等网络应用时,不会触发认证,必须打开浏览器访问网页才能重定向到认证页面进行认证。
3 电台无线认证系统选型及实施
综合比较以上几种认证方式:使用共享密钥方式并不能对用户进行身份鉴别,频繁更换密钥会给运维工作和用户使用带来极大不便,长时间不更换密钥的结果就等于形同虚设;如果使用802.1x或MAC ACL方式,管理维护工作量将非常大,用户使用不方便,嘉宾和工作伙伴的临时性上網需求也难以满足。
如何做到既对员工和外来访客进行有效的认证,又不大幅增加管理维护的工作量,我们经过比较和选型,最终决定使用网页重定向的认证方式,选用深信服的AC-3300-HI上网行为管理设备实现该功能。
在无线控制器和防火墙之间串联上网行为管理设备,进行身份认证、上网行为管控和流量管控。该设备支持微软AD域认证,能与有线网络内的原AD域服务器集成,使用原有的域账户密码进行身份认证。在设备上启用密码认证和二维码认证,用户首次打开网页进行网络访问时会弹出认证页面,页面中包括密码认证和二维码认证两个选项。台内员工使用原有的域账户和密码进行密码认证登录;没有账户密码的下属单位员工、兄弟单位员工和外来访客使用无线网络时,由通过认证的终端扫描登录页面上的二维码,备注需认证的上网人员信息,通过审核后方能上网。
上网行为管理的配置比较简单,部署模式设置为网桥模式(即透明模式),这样当设备关机或死机时,通过设备的Bypass功能,网络通路不会中断。设置网桥地址,默认路由的下一跳地址为路由器的lan口地址。在外部认证服务器选项中新增LDAP服务器,IP地址为AD域服务器的IP地址,认证端口为389,输入域管理员账户密码和BaseDN信息,在此可以增加多个LDAP服务器备用,可以定期将AD域服务器上的组织结构和用户自动同步到本地,当AD域出现故障时,认证不受影响;新增二维码认证,审核人为所有域账户,审核时,弹出审核页面,并备注上网人员信息。认证策略的设置比较灵活,认证范围、认证服务器、认证页面、认证后的跳转页面、优先选择哪种认证方式、认证后的用户归属到不同的本地组、自动录入用户和IP/MAC的绑定关系等都可以自定义。为了防止用户需要频繁输入账户密码进行认证,设置自动注销的无流量时间为一个月,每天不强制注销用户,这样员工由于出差、休假等原因短时间未登陆无线网络,再次访问时也不需要重新输入账户密码。
4 结论
通过使用上网行为管理设备进行无线网身份认证,满足了系统的需求,达到了以下目的:1)域账户能对临时用户授权,既解决了外来访客的临时性上网需求,又能进行认证;2)和有线网络使用同一套认证系统,方便用户使用,也减少了管理维护的工作量;3)该系统使用灵活,还能在认证页进行广告宣传、业务介绍、免责声明等;4)该系统还提供上网行为管理、流量管控、上网行为审计等,满足《中华人民共和国反恐怖主义法》和《互联网安全保护技术措施规定》对网络合规性的要求。电台无线认证系统投入运行以来,系统运行稳定,各方反映良好,有效地解决了无线网身份认证的问题。
参考文献
[1]胡建龙.基于无感知的校园无线网络认证策略研究[J].科技创新导报,2015(32):120-121.