解决方案 Case

高校无线网络安全解决方案

日期: 2018-12-16
浏览次数: 18

业务背景

随着数字化校园建设的发展,校园网已在各个高校得到普遍的使用,是教职工和学生获取资源和信息的主要途径,为学校的教学、管理和科研提供了很大的帮助。由于有线网络布线受环境的限制,加之越来越多的教职工和学生需要通过手机、笔记本电脑等移动上网,如何实现随时随地的网络接入已成为目前校园网急需解决的问题。无线局域网技术是利用无线电波完成数据交互,实现有线网络的功能,它为网络用户提供了很好的移动性、灵活性和扩展性,在难以布线的场所提供快速而经济有效的局域网接入,更好的满足师生随时随地共享网络资源的需要。



安全挑战

由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(Access Point)所服务的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,这样就可能包括一些恶意用户也能接收到其它无线数据信号。这样恶意用户在无线局域网中相对于在有线局域网中,去窃听或干扰信息就变得容易得多。

WLAN所面临的安全威胁主要有以下几下几类:

1. 网络窃听

一般说来,大多数网络通信都是以明文(非加密)格式出现,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。这类攻击是高校网络管理员面临的最大安全问题。如果没有基于加密的强有力的安全服务,敏感数据就很容易在传输时被他人读取并利用。


2. WEP破解

现在互联网上存在一些程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。


3. MAC地址欺骗

即使AP起用了MAC地址过滤,使未授权的黑客的无线网卡不能连接AP,这并不意味着能阻止黑客进行无线信号侦听。通过某些软件分析截获的数据,能够获得AP允许通信的MAC地址,这样黑客就能利用MAC地址伪装等手段入侵网络了。


4. AP中间人欺骗

在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行中间人欺骗攻击。


5. 非法接入

校园网用户私设WLAN接入点或者私自连接外部WLAN接入点的现象较多,且在内部缺乏有效的WLAN内网安全管理措施,可能导致校园内部敏感信息泄露。



解决方案

结合高校大力建设WLAN网络的现实情况及高校无线网络面临的主要安全问题,交大捷普根据多年在安全领域里技术积累、咨询和服务经验,设计了一套切实可行的建设性方案。针对WLAN引入的安全风险,从有线、无线一体化角度考虑WLAN网络及业务安全;针对WLAN安全风险,建议围绕系统生命周期进行考虑各阶段需采用的安全措施。

1. WLAN安全风险评估

  (1) 服务层和应用层

包括针对Web Portal服务器的Web应用安全评估和业务评估。

(1)针对认证体系存在的安全问题给出详细测试分析,如DNS穿透技术绕过计费等。

(2)对后台业务系统整体安全状况给出详细测试分析,如Radius架构设计,认证模式、用户账户脆弱性、平台安全性等。


2. 基础架构层

安全域划分及边界整合评估:针对WLAN网络部署存在的安全问题进行分析,如完整网络拓扑严谨性分析、ACL控制策略分析。

WLAN接入评估,包括:

(1)对WLAN接入安全脆弱性给出详细测试分析,如绕过验证机构等。

(2)对WLAN接入安全威胁性给出详细测试分析,如伪造登录环境,无线DoS攻击压力测试等。


WLAN设备安全评估,包括:

(1)设备脆弱性:发现WLAN核心网络设备(AP、AC)的版本、漏洞等安全问题。

(2)配置要核查:依据行业规范,评测现网部署的WLAN无线设备配置是否符合安全要求。


2. WLAN 安全防护

安全域划分/策略调整需考虑由于WLAN引入后对现网安全策略(安全域划分及边界整合策略)的影响。建议划分为无线接入区、接入控制区、认证鉴权区三个安全域;Web Portal与Radius隔离在两个不同等级安全域内,分别采取不同的安全防护手段。


高校无线网络安全解决方案


在安全域划分的基础上,针对WLAN部署如下安全工具:


高校无线网络安全解决方案


客户价值

■ 建立健全高校网络信息安全防护体系;

■ 保障高校信息化应用推广使用,促进高校信息化深发展;

■ 确保高校敏感数据及学生隐私信息不泄露、不被篡改;

■ 在高校网络安全稳定运行的前提下,使用便捷程度大幅度提高。


友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1