《信息安全》無(wú)線局域網(wǎng)安全與管理

無(wú)線局域網(wǎng)安全與管理案例經(jīng)常出差的小王登上班機(jī)，在登機(jī)口從工作人員手中拿到了一張登記卡，上面寫(xiě)著：“親，你已經(jīng)登上了人工智能航班哦?！钡菣C(jī)后，小王獲得了一張Wi-Fi密碼卡，飛機(jī)平飛后，用筆記本電腦或Pad搜索無(wú)線網(wǎng)絡(luò)，在登錄界面先輸入驗(yàn)證碼，再輸入Wi-Fi密碼，小王不僅能上微博，還能在微博上通過(guò)微軟小冰向其他乘客或空乘“傳紙條”，大大拉近了在同一封閉空間中人們的距離。概述隨著無(wú)線網(wǎng)絡(luò)設(shè)備不斷推陳出新、傳輸速率全面邁進(jìn)G+時(shí)代，無(wú)線局域網(wǎng)技術(shù)也在不斷發(fā)展，無(wú)線網(wǎng)絡(luò)在給人們工作生活帶來(lái)便利的同時(shí)，安全問(wèn)題也越顯突出。本章將了解無(wú)線局域網(wǎng)的相關(guān)知識(shí)，學(xué)習(xí)無(wú)線局域網(wǎng)的技術(shù)與組建，認(rèn)識(shí)無(wú)線局域網(wǎng)面臨的安全問(wèn)題，掌握相應(yīng)的安全防護(hù)知識(shí)和措施。6.1無(wú)線局域網(wǎng)概述6.1.1無(wú)線局域網(wǎng) 6.1.2無(wú)線局域網(wǎng)的組建與典型設(shè)備 6.1.3無(wú)線局域網(wǎng)的優(yōu)點(diǎn) 6.1.4無(wú)線局域網(wǎng)的標(biāo)準(zhǔn) 無(wú)線局域網(wǎng)（WirelessLocalAreaNetwork，WLAN）是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。通俗地說(shuō)，無(wú)線局域就是在不采用傳統(tǒng)電纜線的同時(shí)，實(shí)現(xiàn)傳統(tǒng)有線局域網(wǎng)的所有功能，而網(wǎng)絡(luò)卻能夠隨著實(shí)際需要移動(dòng)或變化。6.1.1無(wú)線局域網(wǎng)（二）無(wú)線局域網(wǎng)的發(fā)展歷程1971年，美國(guó)夏威夷大學(xué)創(chuàng)造了無(wú)線電通信網(wǎng)絡(luò)ALOHNET，被認(rèn)為是最早的無(wú)線局域網(wǎng)絡(luò)。20世紀(jì)70年代至90年代，無(wú)線局域網(wǎng)贏得特定市場(chǎng)的認(rèn)可，成為有線以太網(wǎng)的有效補(bǔ)充。1990年11月，為了順應(yīng)無(wú)線局域網(wǎng)的發(fā)展需求，美國(guó)國(guó)際電子電機(jī)學(xué)會(huì)（IEEE）成立了802.11委員會(huì)，開(kāi)始制定無(wú)線局域網(wǎng)標(biāo)準(zhǔn)。1999年，Wi-Fi聯(lián)盟成立。它的主要目的是在全球范圍內(nèi)推行WLAN產(chǎn)品的兼容認(rèn)證，發(fā)展802.11技術(shù)。6.1.2無(wú)線局域網(wǎng)的組建與典型設(shè)備（一）無(wú)線局域網(wǎng)的組建1.組建方式網(wǎng)橋連接型。使用無(wú)線網(wǎng)橋的形式實(shí)現(xiàn)兩者之間的鏈接，極大的節(jié)省了線路，同時(shí)帶來(lái)了很大的方便。1.組建方式集線器接入型。要建設(shè)星型結(jié)構(gòu)的無(wú)線局域網(wǎng)，通過(guò)采用無(wú)線集線器進(jìn)行組建。用這種結(jié)構(gòu)的無(wú)線局域網(wǎng)，一般都可以采用交換型的網(wǎng)絡(luò)工作方法，擁有網(wǎng)內(nèi)互換的特點(diǎn)。1.組建方式基站接入型。使用移動(dòng)蜂窩通信網(wǎng)接入方式進(jìn)行建設(shè)無(wú)線局域網(wǎng)，每個(gè)站點(diǎn)之間的信息鏈接可以經(jīng)過(guò)基站進(jìn)行連通，實(shí)現(xiàn)數(shù)據(jù)之間的交互。無(wú)中心結(jié)構(gòu)。是針對(duì)上面的幾種情況而言的，這種結(jié)構(gòu)很容易實(shí)現(xiàn)任何的兩個(gè)點(diǎn)之間的聯(lián)系，這種結(jié)構(gòu)可以在一些公用的通信場(chǎng)所被使用。（二）無(wú)線局域網(wǎng)典型設(shè)備1.無(wú)線路由器無(wú)線路由器就是帶有無(wú)線覆蓋功能的路由器，它主要應(yīng)用于用戶上網(wǎng)和無(wú)線覆蓋，其好比是將單純性無(wú)線AP和寬帶路由器合二為一的擴(kuò)展型產(chǎn)品。（二）無(wú)線局域網(wǎng)典型設(shè)備1.無(wú)線路由器極路由hiwifi360免費(fèi)wifi（二）無(wú)線局域網(wǎng)典型設(shè)備2.無(wú)線網(wǎng)卡接收信號(hào)的無(wú)線網(wǎng)卡是無(wú)線局域網(wǎng)的基本單元，是必不可少的。是在無(wú)線局域網(wǎng)的信號(hào)覆蓋范圍內(nèi)，通過(guò)無(wú)線連接網(wǎng)絡(luò)進(jìn)行上網(wǎng)而使用的無(wú)線終端設(shè)備。無(wú)線網(wǎng)卡與普通網(wǎng)卡相似，不同的是，它通過(guò)無(wú)線電波而不是物理電纜收發(fā)數(shù)據(jù)，無(wú)線網(wǎng)卡為了擴(kuò)大有效范圍需要加上外部天線。臺(tái)式機(jī)專用的PCI接口無(wú)線網(wǎng)卡筆記本電腦專用的PCMCIA接口網(wǎng)卡筆記本電腦內(nèi)置的MINI-PCI無(wú)線網(wǎng)卡USB接口無(wú)線網(wǎng)卡2.無(wú)線網(wǎng)卡（二）無(wú)線局域網(wǎng)典型設(shè)備

3.無(wú)線接入點(diǎn)無(wú)線接入點(diǎn)（WirelessAccessPoint，AP）的作用是給無(wú)線網(wǎng)卡提供網(wǎng)絡(luò)信號(hào)。提供無(wú)線工作站對(duì)有線局域網(wǎng)和從有線局域網(wǎng)對(duì)無(wú)線工作站的訪問(wèn)，在訪問(wèn)接入點(diǎn)覆蓋范圍內(nèi)的無(wú)線工作站可以通過(guò)它進(jìn)行相互通信。（二）無(wú)線局域網(wǎng)典型設(shè)備4.終端設(shè)備無(wú)線局域網(wǎng)的終端設(shè)備包括臺(tái)式計(jì)算機(jī)、筆記本電腦、個(gè)人數(shù)字助理（PersonalDigitalAssistant，PDA）等。其中，個(gè)人數(shù)字助理也稱為手持設(shè)備，含義廣泛，包括手機(jī)、平板、ipod等。6.1.3無(wú)線局域網(wǎng)的優(yōu)點(diǎn)便利性

（1）靈活性

（2）漫游

（3）移動(dòng)性可承受性速度美觀性6.1.4無(wú)線局域網(wǎng)的標(biāo)準(zhǔn)1．IEEE802.11802.11是IEEE最初制定的一個(gè)無(wú)線局域網(wǎng)標(biāo)準(zhǔn)，主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶終端的無(wú)線接入，業(yè)務(wù)主要限于數(shù)據(jù)存取。由于802.11在速率和傳輸距離上都不能滿足人們的需要，因此，IEEE小組又相繼推出了802.11b和802.11a、

802.11g、

802.11n等新標(biāo)準(zhǔn)。802.11n標(biāo)準(zhǔn)于2009年發(fā)布，是目前吞吐量最高、支持頻段最多、功能最完善的802.11標(biāo)準(zhǔn)。6.1.4無(wú)線局域網(wǎng)的標(biāo)準(zhǔn)2.Bluetooth藍(lán)牙（Bluetooth）（IEEE802.15）是愛(ài)立信、IBM、英特爾、諾基亞和東芝5家公司共同倡導(dǎo)的一種全球無(wú)線技術(shù)標(biāo)準(zhǔn)，于1998年5月提出。Bluetooth是一種低成本、短距離的無(wú)線連接技術(shù)標(biāo)準(zhǔn)，也是一種低帶寬、短距離、低功耗的數(shù)據(jù)傳送技術(shù)，主要用于PDA、手機(jī)、筆記本電腦等設(shè)備。對(duì)于802.11來(lái)說(shuō)，Bluetooth的出現(xiàn)不是為了競(jìng)爭(zhēng)而是相互補(bǔ)充。藍(lán)牙比802.11更具移動(dòng)性，藍(lán)牙成本低、體積小，可用于更多的設(shè)備。但是，藍(lán)牙主要是點(diǎn)對(duì)點(diǎn)的短距離無(wú)線發(fā)送技術(shù)，本質(zhì)上要么是RF（RadioFrequency，射頻），要么是紅外線。6.2無(wú)線局域網(wǎng)安全分析與技術(shù)6.2.1無(wú)線局域網(wǎng)安全現(xiàn)狀 6.2.2無(wú)線攻擊方法 6.2.3基本的無(wú)線局域網(wǎng)安全技術(shù) 6.2.1無(wú)線局域網(wǎng)安全現(xiàn)狀（一）無(wú)線局域網(wǎng)的現(xiàn)狀 1.信號(hào)傳播的開(kāi)放性 2.執(zhí)行標(biāo)準(zhǔn)的缺陷 3.用戶安全意識(shí)淡薄6.2.1無(wú)線局域網(wǎng)安全現(xiàn)狀（二）無(wú)線局域網(wǎng)存在的主要安全問(wèn)題與威脅

（1）易用性帶來(lái)了接入的隨意性

（2）操作系統(tǒng)存在大量的安全漏洞

（3）病毒泛濫

（4）主機(jī)狀態(tài)和行為的不可控性

（5）主機(jī)信息的任意篡改

（6）黑客的惡意攻擊6.2.2無(wú)線攻擊方法找到無(wú)線網(wǎng)絡(luò)連上找到的無(wú)線網(wǎng)絡(luò)抓取無(wú)線網(wǎng)絡(luò)上的信息

基本的無(wú)線局域網(wǎng)安全技術(shù)

服務(wù)區(qū)標(biāo)識(shí)符（SSID）匹配物理地址（MAC）過(guò)濾有線等效保密(WEP)端口訪問(wèn)控制技術(shù)(IEEE802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP)WPA(Wi-FiProtectedAccess)IEEE802.11i

6.2.3基本的無(wú)線局域網(wǎng)安全技術(shù)（一）服務(wù)集標(biāo)識(shí)符（SSID，ServiceSetID）通過(guò)對(duì)多個(gè)無(wú)線接入點(diǎn)AP設(shè)置不同的SSID，并要求無(wú)線工作站出示正確的SSID才能訪問(wèn)AP，這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問(wèn)的權(quán)限進(jìn)行區(qū)別限制。6.2.3基本的無(wú)線局域網(wǎng)安全技術(shù)（二）物理地址（MAC，MediaAccessController）過(guò)濾由于每個(gè)無(wú)線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新，可擴(kuò)展性差，無(wú)法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，是較低級(jí)別的授權(quán)認(rèn)證。6.2.3基本的無(wú)線局域網(wǎng)安全技術(shù)（三）端口訪問(wèn)控制技術(shù)（IEEE802.1x）和可擴(kuò)展的身份驗(yàn)證協(xié)議（EAP）IEEE802.1x并不是專為WLAN設(shè)計(jì)的，它是一種基于端口的訪問(wèn)控制技術(shù)。當(dāng)無(wú)線工作站與AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò)，則AP為用戶打開(kāi)這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。6.2.3基本的無(wú)線局域網(wǎng)安全技術(shù)（四）有線等效保密（WEP，WiredEquivalentProtection）在IEEE802.11中，定義了有線等效保密WEP標(biāo)準(zhǔn)來(lái)對(duì)無(wú)線傳送的數(shù)據(jù)進(jìn)行加密，WEP的核心是在鏈路層采用RC4（RonRivestCipher4）對(duì)稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)使用網(wǎng)絡(luò)的資源，從而防止非法用戶的監(jiān)聽(tīng)以及非法用戶的訪問(wèn)。WEP仍然存在許多缺陷，現(xiàn)在逐步由WPA所取代。6.2.3基本的無(wú)線局域網(wǎng)安全技術(shù)（五）Wi-Fi保護(hù)接入（WPA/WPA2）WPA改進(jìn)了WEP所使用密鑰的安全性和算法，它改變了密鑰生成方式，更頻繁地變換密鑰來(lái)獲得安全，還增加了消息完整性檢查功能來(lái)防止數(shù)據(jù)包偽造。WPA標(biāo)準(zhǔn)是代替WEP的無(wú)線安全標(biāo)準(zhǔn)協(xié)議，為802.11無(wú)線局域網(wǎng)提供更強(qiáng)大的安全性能。認(rèn)證。加密。消息完整性校驗(yàn)（MIC）6.2.3基本的無(wú)線局域網(wǎng)安全技術(shù)（六）IEEE802.11i為了進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)的安全性和保證不同廠家之間無(wú)線安全技術(shù)的兼容，802.11工作組開(kāi)發(fā)了作為新的安全標(biāo)準(zhǔn)的IEEE802.11i，并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE802.11無(wú)線局域網(wǎng)的安全問(wèn)題。IEEE802.11i標(biāo)準(zhǔn)中主要包含加密技術(shù)TKIP和AES，以及認(rèn)證協(xié)議IEEE802.1x。IEEE802.11i協(xié)議使用了EAP以及802.1x，強(qiáng)迫使用者進(jìn)行驗(yàn)證以及交互驗(yàn)證;并且使用了MIC（信息完整性編碼）檢測(cè)傳送的字節(jié)是否有被修改的情況;此外使用TKIP、CCMP和WRAP三種加密機(jī)制使加密的過(guò)程由原來(lái)的靜態(tài)變?yōu)閯?dòng)態(tài)，讓攻擊者更難以破解。6.2.4WAPI安全機(jī)制（一）WAPI安全概念（二）WAPI的優(yōu)劣6.2.4無(wú)線局域網(wǎng)中的移動(dòng)設(shè)備安全與管理（一）移動(dòng)設(shè)備Wi-Fi風(fēng)險(xiǎn)（二）移動(dòng)設(shè)備安全管理6.3無(wú)線局域網(wǎng)安全防護(hù)體系與策略6.3.1無(wú)線局域網(wǎng)安全防護(hù)體系結(jié)構(gòu)6.3.2無(wú)線局域網(wǎng)安全策略制定原則6.3.3無(wú)線局域網(wǎng)安全防御措施與部署6.3.3無(wú)線局域網(wǎng)安全防御措施與部署（一）無(wú)線局域網(wǎng)安全防御措施更改無(wú)線路由的默認(rèn)密碼合理放置無(wú)線設(shè)備的位置MAC地址過(guò)濾禁用DHCP和SNMP設(shè)置修改默認(rèn)的服務(wù)區(qū)標(biāo)識(shí)符（SSID）禁用SSID廣播使用WEP加密AP隔離802.1x協(xié)議路由器設(shè)置192.168.1.1更改無(wú)線路由器密碼路由器設(shè)置192.168.1.1MAC地址過(guò)濾路由器設(shè)置192.168.1.1禁用DHCP:動(dòng)態(tài)主機(jī)設(shè)置協(xié)議（DynamicHostConfigurationProtocol,DHCP）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，啟用它你就可以在設(shè)置IP時(shí)選擇自動(dòng)獲取方式。路由器設(shè)置192.168.1.1修改SSID和無(wú)線網(wǎng)絡(luò)密碼路由器設(shè)置192.168.1.1禁用SSID廣播路由器設(shè)置192.168.1.1使用WPA-PSK/WPA2-PSK加密模式，更安全6.4無(wú)線局域網(wǎng)的應(yīng)用與發(fā)展

6.4.1無(wú)線局域網(wǎng)的應(yīng)用 6.4.2無(wú)線局域網(wǎng)的問(wèn)題與發(fā)展 6.4.1無(wú)線局域網(wǎng)的應(yīng)用無(wú)線技術(shù)給人們帶來(lái)的影響是無(wú)可爭(zhēng)議，應(yīng)用范圍非常廣泛。 1.企業(yè)應(yīng)用 2.交通運(yùn)輸 3.零售行業(yè) 4.醫(yī)療行業(yè) 5.教育行業(yè)6.4.2無(wú)線局域網(wǎng)的問(wèn)題與發(fā)展無(wú)線