本縣98年度NGN計畫建置之校園無線網路認證機制係借由各校路由交換器D-Link DGS3426所內建的簡易Web認證功能(Web-base Access Control,簡稱WAC)達成,其資料傳輸未經加密,安全性較為薄弱,管制範圍亦限於一般上網瀏覽流量,其作用僅供簡單的使用者識別,不足以提供校園無線網路防護。尤其WAC認證必須經由DGS3426實體網路埠執行,故無線網路基地台(Access Point,AP)設備必須介接在啟動WAC之認證埠(預設為19-24埠)上,也增加佈建AP時的困難。
因此,為進一步強化校園無線網路存取之安全性,並解決AP佈建地點受限於介接DGS3426線路問題,建議各校採用WPA2-EAP加密認證機制:
使用WPA2-EAP認證的優點:
- 無線網路封包傳輸時經由加密處理,較不易被截取,提升安全性。
- 採用WPA2-EAP認證的無線AP可以接在校園網路上的任一節點,不需要直接接在D-Link DGS3426的認證埠。
- 如果使用者採用Windows系統內建的WPA2功能,只要登入一次後,下次遇到相同SSID的無線AP時即可自動登入,省掉每次上網都必須輸入帳號密碼的麻煩。
使用WPA2-EAP認證的缺點:
- 無線AP必須支援WPA2 Enterprise(或稱為WPA2企業版)並且啟用該功能,輸入正確的RADIUS伺服器IP及密鑰。
註1.某些較舊的AP不支援此功能
註2.「WPA2」是將一組密鑰(key)存在AP上讓所有使用者共用,而「WPA2 Enterprise」則是透過RADIUS認證伺服器檢查每個使用者的帳號密碼
註3.RADIUS伺服器IP及密鑰由縣網中心提供予各校
- 使用者的電腦需要事先設定後才能連線,第一次設定時操作比較麻煩;某些較舊版的作業系統不支援此功能。
- 對外網路中斷時,無線AP無法連線至縣網中心RADIUS伺服器進行認證,使用者將會無法登入無線網路。
- Windows作業系統內建的WPA2認證功能會記憶使用者輸入的帳號密碼,所以不適合在公用電腦上使用。
靈活應用Web認證與WPA2-EAP認證
各校可根據校內不同無線AP佈建地點與使用目的需求,靈活運用兩種認證方式,例如:辦公室無線網路以提供校內同仁上網為主,可採用WPA2-EAP認證以加強安全性並避免每次連線均需輸入帳號密碼的麻煩;會議室、研習教室等場所因為較常有校外人士使用,可採用Web-base認證以免訪客電腦未事先安裝WPA2-EAP環境無法連線。不論如何,建議不要在同一台AP同時使用兩種認證方式。
無網網路SSID設定
為便於無網網路使用者分辨目前連線的基地台應採取哪一種認證機制,凡啟用WPA2-EAP認證之無線基地台,其SSID建議加上「-1x」以茲識別,例如:
- 98年度建置、採用Web認證之無線AP,其SSID建議設定為ngn
- 各校校內採用WPA2-EAP認證之無線AP,其SSID建議設定為cyc-1x
- 開放縣外使用者漫遊帳號登入之無線AP,其SSID建議設定為cyccc-1x
註1.「1x」意指該AP採用802.1x認證
註2.「cyccc」為本縣向教育部漫遊中心登錄之SSID名稱,唯目前凡經由縣網中心認證者均已開放縣外使用者漫遊
相關設定