您的位置: 网界网 > 周报全文 > 正文

[周报全文]打造校园网超级“门禁”

2009年12月09日 13:52:50 | 作者:网界网 张彤 | 来源:网界网 | 查看本文手机版

摘要:高校是喜欢尝试最先进网络技术的用户。然而,由于用户群密集且活跃,校园网又成为安全问题的“重灾区”,管理也更为复杂、困难。

标签
校园网
身份认证
动态准入
用户管理

【CNW.com.cn 专稿】高校是喜欢尝试最先进网络技术的用户。然而,由于用户群密集且活跃,校园网又成为安全问题的“重灾区”,管理也更为复杂、困难。

清华大学校园网目前有联网主机5万台,共有用户3.4万人,高峰时有1.5万台电脑在线,公共服务器超过600台;680条400公里光缆,6200芯光纤通信基础设施,12节点万兆主干网,千兆到楼,10/100/1000M到桌面,万兆链路出口到CERNET,千兆到CNGI-CERNET2;实现ARP抑制和DHCP、IP分配保障;覆盖全校310座楼宇,6万个信息点。

清华大学信息网络工程研究中心段海新工程师认为,校园网需要实时掌握内部和外部网络连接矩阵信息,实时了解流量信息,实时了解用户的行为,实时了解网络的状态,实时控制网络流量和用户行为。而互联网上身份隐匿,是互联网技术先天的不足,需要相应的规则进行弥补。只有以用户身份认证/识别为基础的准入机制,才能实现良好的网络管理。

全面业务 全面保护

目前,清华大学对所有用户进行出校身份认证,对部分学生宿舍和教工住宅用户进行准入身份认证。清华大学1998年开始尝试IP-MAC的捆绑,2001年采用网关登录,2003年实施802.1x端口认证,2009年上半年探索Web端口认证。目前学校的无线局域网也采用Web认证技术。

随着国际、国内网络安全事件的不断升级,网络安全和可信度越来越被人们所关注。众所周知,身份认证是建设安全可信网络的前提条件。真实可信的网络身份认证体系,一方面能够让恶意者在做有害行为之前有所顾忌,防微杜渐;另一方面也可以让网络管理者在安全事件发生后能准确、及时地找到肇事者,在一定程度上防止安全事件的再次发生。同时,身份认证能够实现校园网有限资源的再分配。系统获取用户的身份后,可以根据用户身份的不同,分配不同的资源使用权限,避免网络资源的滥用和管理混乱。

在技术方面,目前教育行业中使用最多的是802.1x技术、Web认证技术和PPPoE技术等。PPPoE主要适用于运营商的接入控制和运营,加上自身技术的限制并不适合于高教校园网。

由于终端的安全隐患给校园网安全带来的压力越来越大,因此在推进校园网信息安全进程中,校园网认证和管理正在被推向前端舞台,保障业务安全成为一个重要课题,校园网需要准入认证的呼声渐高。

用户认证保安全

在最新的一次关于教育网络安全的调研中,当问及控制接入校园网的安全性重点关注问题时,64.5%的学校选择通过校园网用户认证来保障教育网络安全。

因此,校园网的规划者和决策者需要综合考虑如何从成本和收效上衡量部署准入机制,需要从哪些关键点着手部署。如果不需要,是否还有其他方式能够保障客户端的安全。

集美大学陈伟斌老师认为,校园网准入应严检查、宽限制:“静态准入技术实现简单,但缺点是不够人性化。比如安装违规软件者未必就会有违规行为,不安装防病毒软件未必就会染毒、传毒。”采用管理方式,除了考虑效果之外,是否人性化也是一大杠杆。

准入控制有静态准入机制和动态准入机制。静态准入机制在用户发起认证时进行检查和控制,由驻留用户主机的客户端程序实施检查,同时根据策略服务器上预先定义的策略采取相应的动作。能够检查安装程序、注册表、系统服务,禁止运行有恶意病毒特征的进程。

集美大学采用的是动态的准入机制。在用户使用的过程中进行检查和控制,IDS监测网络中的安全事件并上报策略服务器,策略服务器根据预先定义的策略执行相应的动作。这就是“全局安全联动”。IDS发现安全事件,上报给SMP服务器,SMP从SAM获取对应用户的权威信息,SMP根据预先定义的策略向安全接入交换机下发指令,安全交换机对指定用户采取动作并将来自SMP的提示信息发送给客户端软件,客户端软件将提示信息呈现给用户。

多手段动态准入

在动态准入机制中,有几种控制手段。第一,警告:通过客户端软件向用户发送消息;第二,隔离:将违规主机隔离在特定的网络范围,允许访问有限的资源,以便对系统进行修复;第三,阻断:阻断违规程序使用的特定端口而不影响其他应用。隔离和阻断是有时效性的,过了规定的时间将自动重置。

而中国人民大学赵伟认为,目前软件的准入控制技术还不够成熟(+本站微信networkworldweixin),认证技术传统上是基于宽带接入服务器的认证。其优点是技术成熟 计费方式灵活,而缺点是网关瓶颈,部署较复杂。在准入机制上,技术方案较为多样,如思科的NAC(网络访问控制),Juniper的UAC(统一访问控制),锐捷的GSN(全局安全网络)。然而,目前的技术还不够成熟,在性价比、实施难度,以及对网络的影响都有一些问题。可以说,部署准入机制的成本会远高于其带来的好处。

目前中国人民大学的校园网认证采用802.1x+流量计费。这一方案的优点是安全、无网关,用经济手段调控出口流量。但缺点是由于方案与设备相关,计费系统与网络设备会出现配合问题。在准入机制上,中国人民大学尚未实施强制准入机制。在基础建设上,还是采用WSUS及Mcafee网络版防病毒软件。

赵伟认为,目前关键是要抽出时间和精力去教育用户。系统打补丁已经形成共识,技术上完全满足安全策略实施是比较难的。“如果未来规划中需要部署准入机制的话,会优先考虑办公区域。”

多样化管理

北京大学吴震老师说:“网络安全问题日益突出,如果没有准入机制,安全性没有保障,用户可自由出入网络,恶意使用网络问题难以查找。”北京大学有信息点近6.7万个,平均同时在线计算机约1.5万台,注册用户近8.5万个,活动用户3.5万个,同时在线用户高峰时达到2万个。

用户种类多,包括教工(正式、聘用)、学生(计划内、计划外、校友)、校外人员、服务器账号、集体用户(系、所、中心、校办企业)等。因此管理策略也呈现出多样化格局,不同用户不同的管理策略,访问控制分为免登录、校内、国内、国际。计费方式也有不同的策略,如计时、计量(国内、国际)、限时、限量、超限额、包月等。

吴震认为,校园网安全需要将准入机制和事件追查机制相结合。目前北京大学用户管理认证解决方案有目录服务,Web认证+客户端认证、网关控制等。

在用户管理方面,北京大学目前较有特色的是千兆IP控制网关与802.1x认证系统联动。用户使用802.1x客户端软件登录,802.1x认证系统到LDAP验证用户身份;LDAP认证成功后,802.1x认证系统通过联动服务程序与控制网关通信;控制网关接收到用户信息后,到LDAP以及DBMS查询用户的信息,以决定用户是否可以访问相关的网络资源。

千兆控制网关由于系统的维护、升级非常简单。核心代码短小,对于新的网络环境、硬件平台可以在非常短的时间内部署和实现。此外,使用通用的硬件设备,部署成本低廉,因而受到不少学校的欢迎和应用。该系统可以实现单网关、多网关等多种部署方式,提供多种实施监控、控制手段。能够实现在线用户查询,实现欠费断网、实时人工断网、封锁账号。此外,对于用户上网行为进行记录,以便成为事后追查的有力证据。(更多内容详见http://www.cnw.com.cn/P/1991)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]