【原】国内高校Eduroam 管控策略 | 网管技巧

高校信息化 2020-11-07

展开全文

国内越来越多的高校加入Eduroam联盟的同时也带来管理上的诸多问题。为此，Eduroam需要从网络、账号等方面进行管理控制，保障Eduroam的健康发展。

Eduroam（Education Roaming）是专门用于教育和科研机构跨域之间的全球无线漫游认证服务，目前覆盖了近90个国家或地区，加入Eduroam的机构或组织可以使用自己的账号密码在Eduroam联盟内其他组织或机构免费登录Eduroam无线网络。

Eduroam采用标准的802.1x认证模式，采用与域名系统相同的层级结构，通过Radius转发的方式，实现全球范围内的认证信息的传递及网络接入的管理。

2015年中国大陆高校首次加入Eduroam联盟，截至目前，大陆高校有近100所加入了或正在加入Eduroam漫游联盟。

随着国内高校加入Eduroam联盟越来越多，校际间互访的也越来越便利，带来师生校际之间的互访交流越来越多，特别是地理距离很近的高校，但同时也带来管理上的其他问题，如账号交换带来的信息安全问题、网络安全攻击问题、网络资源恶意下载问题等。为此，Eduroam的管理需要从网络、账号等方面进行管理控制，保障Eduroam的健康发展。

网络权限管理

Eduroam作为全球漫游网络，提供外来访客对网络的访问，用于连接互联网，且按照Eduroam联盟的免费、自由、开放的理念，网络提供者不应对外来用户进行过多网络接入限制，必然导致网络接入控制策略与自身校园网络存在差异，无法做到与本机构内网络的精确管理。

为此，结合网络性质与管理策略，Eduroam网络应该是一个访客网络，所具有的权限也应该是仅仅提供互联网络访问。

按照Eduroam统一标准，加入联盟的结构需要开通独立的无线SSID，名称统一为Eduroam，并配置802.1x认证方式。由于是独立的无线标识，可以通过实现后端逻辑网络的相对独立，这也为Eduroam网络的权限管理提供了充足的条件。

因此，Eduroam开通独立的SSID，后端使用独立的地址段，与校园网络进行区分，对互联网访问使用独立的公网IP地址，并将Eduroam的用户网关隔离到校园网出口外侧，实现的效果为Eduroam接入用户的访问权限仅仅为互联网接入用户，但访问校园网的权限与互联网用户权限相同。

采取上述最小网络访问权限策略后，Eduroam接入用户将无法利用接入地的校园网用户身份恶意下载电子文献、攻击校园网及信息系统，有效解决Eduroam用户对校园网络所带来的安全隐患。

用户准出管理

随着高校信息化的发展，统一身份认证是必然的趋势，当前许多高校已经实现了统一身份认证或正在实现统一身份认证，登录网络的账号密码与登录信息系统的账号密码的统一导致账号关联的个人信息越来越多，对账号的安全性也提出了更高的要求。

由于Eduroam采取的是免费策略，而绝大部分高校师生上网采取收费策略，必然导致部分师生为了节省网费而产生交换账号使用的行为，甚至存在部分账号通过类似账号交换中介组织泄漏给其他人，且账号安全不可控，将会产生个人敏感信息泄漏的风险。

为此，各个学校应该加强账号的准出管理。如根据对账号的信任程度，采取默认开放或关闭的策略，按需出访。

用户准入管理

与用户准出管理不同，准入机制是网络提供者对网络接入者的管理，由于网络提供者无法通过接入者账号进行身份的识别，因此无法进行精确的管理，且Eduroam奉行免费、开放、自由的理念，网络提供者不大可能实现默认黑名单机制。

在实际Eduroam运维中，网络提供者可能会遇到账号被盗用、恶意使用网络等非正常情况。为此，网络提供者可以建立黑名单机制，将存在问题的用户账号列入黑名单，并根据实际情况对账号采取临时关闭、长期关闭、以及永久关闭等措施，保障网络提供者的网络安全和用户账号安全等。

黑名单机制

绝大部分机构对Eduroam进行严格管理，保障了Eduroam成员之间的网络安全及信任关系，但也存在部分机构对用户账号管理不严，没有尽到联盟成员的义务，损害了联盟内其他机构的利益，影响了其他机构的网络安全，导致与联盟之间的信任关系的破坏，基于维护Eduroam联盟成员的整体利益，可以由上级转发机构将该成员域名加入黑名单，暂停认证报文转发，甚至取消联盟成员资格等。

策略实施

国内大部分高校Eduroam的对接采用Freeradius软件，并通过配置Radius转发实现。在这个架构中，本地Radius转发服务器是中心节点，准出准入的认证转发均须经过该节点，故也是控制策略实施的节点。

为了实现控制策略，可以通过配置Freeradius软件中的policy.conf文件，增加账号特征过滤策略，实现黑白名单的功能，具体配置如下：