宁盾科技助力某银行建立无线认证 – 作者:宁盾nington

方案背景

近年来,随着智能手机、平板电脑等终端的大量使用,信息系统应用将日益普及。然而,海量应用要得以推广并充分发挥价值,其基础之一就是无线网络的应用。通过在银行中心建设和应用无线互联网,大厦内用户可随时随地接入网络,提高协同工作效率,进一步实现信息化的价值。而在基础无线网络的基础上,需要保证无线网络的可靠性和接入的安全性。

方案目标

增加网络安全性    ——二层使用wpa2 加密

加强身份安全性    ——三层使用Mac+Portal认证

提升用户使用友好性——定制化流程使登入更加简单安全

实名可审计        ——推送实时Logs至日志系统和行为审计

减少管理成本      ——多分支,统一平台进行管理

扩展性            ——后期扩容对接其他品牌

方案拓扑

图片[1]-宁盾科技助力某银行建立无线认证 – 作者:宁盾nington-安全小百科

只需在总部部署一套宁盾一体化认证平台,将WLC或者FAT的认证服务器指向宁盾一体化认证服务器,对于多分支异构的网络环境,通过公网或专线与总部认证服务器联动即可。

宁盾认证服务器兼容支持Portal协议所有设备,如华为、华三、中兴、傲天动联、锐捷、烽火等等,同时支持主流厂商自定义的Portal认证交互协议如Cisco、Aruba、Moto、Aerohive、Juniper、Ruckus等,实现所有支持外置Portal、RADIUS认证的设备即可对接。

方案实现效果

其中一个SSID使用Mac+Portal的认证方式

1.如下图,只有授信设备才能成功弹出登入页,不授信用户仅弹出欢迎页,基于Mac地址来确认设备的合规性。

图片[2]-宁盾科技助力某银行建立无线认证 – 作者:宁盾nington-安全小百科

2.进入登入页面之后,需输入正确姓名和手机号才能通过认证,并在后台生成相应的报表

图片[3]-宁盾科技助力某银行建立无线认证 – 作者:宁盾nington-安全小百科

3.已认证终端在每一个点一个月内都不需要重复认证。

其余多个SSID采用了Mac认证

一些特殊手机终端和哑终端,比如摄像头,打印机,电话机等哑终端设备连入后只进行Mac认证,对各个分支分别进行管理。

将相应的认证信息推送给相应的日志服务器,日志信息包含告警信息、用户认证信息以及在线情况等,日志通过裁剪,统一后生成报表展现。

同时会将一份认证信息和在线情况信息推送给行为审计,实现实名制上网。

来源:freebuf.com 2020-12-01 14:54:50 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论