学校无线网络引发的思考 (上)

这篇文章更新于2014.11.23, 并且增加了(下)

随着时代的进步, 各个学校都开始部署自己的无线网络。

我在的学校, 大概是我初三的时候开始部署的, 使用Cisco公司的某型号高端AP(Access Point, 无线接入点)。

目前, 无线网络信号应该已经覆盖全校建筑物了。

大约在这个学期开学的时候, 我发现楼道的AP被转移到了教室内, 有同学把它认为是信号屏蔽器。

每个AP都发射三个无线网络: teacher, guest, foreign(这个好像拼错了)。

foreign, 看名字, 应该是给外籍教师的, 认证方式应该和teacher差不多。

guest使用WPA/WPA2 PSK(个人级) 认证, 也就是一般家用无线网的认证方式, 在有活动的时候可以提供给来宾使用, 密码会不时变动, 但几乎总是能泄漏到同学们手中(不要问我, 我不知道)。

不过据说它比较难连上, 或者是连上出现问题。

teacher使用的是WPA/WPA2 企业级认证, 连接的时候需要输入用户名和密码, 有的时候可能要证书什么的。这个认证虽然增强了安全性, 方便了对联网用户的管理, 但是有个致命的问题, 就是它使得终端用户在连接网络的时候的操作变得复杂, 尤其是Windows和Android。

今天呢, 某同学获得了guest的密钥和teacher的账号, 但是一个都连不上。

我首先检查的是guest, 因为它的认证方式比较简单(至少对于我们用户而言)。我看到Windows 7的无线网的状态(也许是属性)中, 显示它的IP地址是169.254.xxx.yyy。显然, 这是因为没有成功从DHCP服务器获取到IP配置。倒腾了一会儿, 决定暂时放弃它, 研究一下teacher。

无线网络连接列表里有teacher, 直接点开它, 输入用户名密码, 是不能连接成功的, 应该是协议或者别的什么配置不对头。

所以需要从另外的地方添加无线网, 并设置”高级”配置, 里面有个好像叫加密方式的东西, 把它配置成WPA2, TKIP/AES。现在问题来了, 下面的认证方式有约五种, 前两种是微软的, 后三种是Cisco的。记得第二种到第四种的名字大致是智能卡、Cisco LEAP、Cisco PEAP。

我们首先尝试了第一种(名字忘记了, 应该也是一种密码认证), 配置了半天, 输入了好几次帐号, 设置了乱七八糟的什么证书什么用户什么账号的, 都没能成功。

这个时候, 我边指着AP说, 看是不是有Cisco的字样, 边点选了Cisco LEAP(其实Cisco的AP和下面用Cisco LEAP认证成功应该没有很强的联系), 按”确定”之后, 系统弹出个对话框, 说要我输入用户名和密码。输入之后, 就可以连接上了(可能中间有失败, 不过这次解决的挺快)。

回家之后, 我用家里的已刷ddwrt的TP-Link WR4320, 创建了一个虚拟无线网络twd2_testnetwork, 并使用WPA2 EAP(企业级)认证。由于需要RADIUS的服务器, 我在我的Ubuntu虚拟机中, 使用FreeRADIUS软件, 配置了个非常不安全的简陋的RADIUS的服务。配置好ddwrt后, 我决定测试一下它。

首先我用手边的iPad2 (iOS 8)来测试, 点选twd2_testnetwork后, 只提示输入用户名密码, 输入且点确定后, 会弹出证书确认的提示(证书是自签发的, 默认不被信任, 需要手动接受), 点接受之后, 服务器才会判断用户名密码是否正确, 正确则连接成功, 否则提示失败。

Macbook Air (Mac OS X 10.10)情况类似。

使用妈妈的Android 4.x (没看版本号)手机连接这个网络, 出来一大堆设置, 有EAP和什么二级还有用户、匿名用户和密码。经过尝试之后, 也能连接成功, 就是它没有提示证书的问题(我配置不对, 还是Android不安全呢)。

结合上述Windows 7连接teacher的经历, 我们发现连接WPA/WPA2企业级无线网的容易程度为:

iOS=Mac OS X>>Android>Windows 7。

 

发表评论?

24 条评论。

  1. Very technical blog.

  2. orz表示我们这福建某小学校没有(qian)弄无线AP……
    其实学校的某机房有个aruba的企业AP,被我改了密码,结果密码忘了= =然后就没有然后了

  3. 现在的路由器都可以绑定MAC地址的
    我们的高中就是这么做的~ 非注册MAC地址根本没法连~
    不过的确有一个guest的WiFi, 也的确是知道密码就能连~
    只是我没有机会把密码告诉我的学弟学妹们啊~ :-P

    • 对了~ 那Mac OS X 10是什么东西? X不就是10的意思嘛?
      而且Mac OS X包含很多分支啊~ 比如10.9, 10.10什么的~~

    • 我猜学校不启用MAC认证是为了方便老师吧, 要不然换一个手机/笔记本电脑都要去绑定一下, 挺麻烦的, 网管也会累死。

      你可以把学校主页黑掉, 然后把密码公布给大家。

      • 我高中黑过FTP~~ :wink: :wink:
        我们高中貌似就是人工绑定的~ 不过老师好像可以自己访问绑定的页面(我当时问的是计算机的老师 :!: 但是不是网管~)~

        • 我们这网络管理很森严, 有专人(不是信息技术老师)管理学校的网络。

          • = =表示我们学校所有网络控制台的密码全是默认的…

          • 我们也是有一个专门的老师~~
            森严嘛~ 也还挺森严的~~ 我网络中心都没有进到核心机房过~ (怎么过大学里还去核心机房打了好几次酱油, 然后看到了一坨一坨的机柜和一坨一坨的服务器.)
            只是FTP的密码太弱了 :!:

          • 就七年级时进过一次学校的中心机房=.=然后就再也没进去过了orz

          • 我们的是一个网络管理团伙!

          • 这这这… :!: :!: :!: 你们也太丧心病狂了吧~
            虽然说大学里也有一个团队, 但是貌似主管的只有一个胖纸~ 很嚣张的胖纸~~ 不过好像也是从Vmware公司聘用过来简直的~

          • 表示学校网络就是由信息老湿负责的!基本搭建是请厦门的人来搞…

        • 噗我想到我九年级的时候顺手把学校的广播系统和FTP都炸了= =结果水表哗哗哗的被查了

          • :-D :-D :-D
            怎么被查出来的?
            我之前的确远程桌面到学校那台放广播的电脑(用的XP, Adminstrator是空密码), 但是什么都没干.
            那些核心的服务器自然是进不去的.

  4. 俺们还处于学生禁止使用手机,教师网络受限的状态……

发表评论

注意 - 你可以用以下 HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

:wink: :twisted: :roll: :oops: :mrgreen: :lol: :idea: :evil: :cry: :arrow: :?: :-| :-x :-o :-P :-D :-? :) :( :!: 8-O 8)

Trackbacks and Pingbacks:

本文链接:https://twd2.me/archives/6543QrCode