模塊6 無線網(wǎng)絡(luò)安全

大學生網(wǎng)絡(luò)安全教育模塊6無線網(wǎng)絡(luò)安全教學內(nèi)容

1內(nèi)容1

2內(nèi)容13內(nèi)容14內(nèi)容1教學內(nèi)容

1

認識無線網(wǎng)絡(luò)

2WALN安全威脅與防護

3WALN認證技術(shù)4實操實訓學習目標養(yǎng)認真細致的工作態(tài)度和工作作風養(yǎng)成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定的自學能力，分析問題、解決問題能力和創(chuàng)新能力了解無線網(wǎng)絡(luò)安全的基本概念和原理。理解無線網(wǎng)絡(luò)中常見的安全威脅和攻擊方式。掌握保護無線網(wǎng)絡(luò)安全的基本方法和技巧。掌握WLAN的認證技術(shù)。學會配置和管理家用無線網(wǎng)絡(luò)。掌握密碼安全策略。課前評估通過信息化平臺，發(fā)布問卷調(diào)查。內(nèi)容為：是否配置過家用路由器。通過學生反饋信息，對學生掌握路由配置的操作方法進行摸底，教師可以知曉學生對即將學習的知識或技能已有的掌握程度，如對相關(guān)概念的理解、具備的相關(guān)能力等。1認識無線網(wǎng)絡(luò)

6.1.1WLAN發(fā)展歷程無線網(wǎng)絡(luò)是一種通過無線電波傳輸數(shù)據(jù)的網(wǎng)絡(luò)系統(tǒng)。無線網(wǎng)絡(luò)的主要組成部分包括無線接入點、無線路由器、無線網(wǎng)卡和無線設(shè)備等。無線網(wǎng)絡(luò)可以通過Wi-Fi、藍牙、移動網(wǎng)絡(luò)等多種無線技術(shù)實現(xiàn)數(shù)據(jù)傳輸和通信。無線網(wǎng)絡(luò)的優(yōu)勢包括便捷性、靈活性和可擴展性，使得用戶可以隨時隨地連接到網(wǎng)絡(luò)并進行數(shù)據(jù)傳輸和通信。16.1.1WLAN發(fā)展歷程1968年由夏威夷大學的NormanAbramson及其同事研制的ALOHA系統(tǒng)被認為是第一個無線網(wǎng)絡(luò)。1985年，美國聯(lián)邦通信委員會（FCC）開放2.4GHz頻段，使無線局域網(wǎng)絡(luò)（WLAN）向著商業(yè)化發(fā)展。1987年，世界上第一個試驗性無線局域網(wǎng)誕生，但隨后各廠商的無線局域網(wǎng)不能互聯(lián)，于是國際電子電器工程師協(xié)會（IEEE）開始進行無線局域網(wǎng)標準的制定。1997年，IEEE802.11標準發(fā)布，統(tǒng)一了無線局域網(wǎng)領(lǐng)域。1999年，802.11標準得到了進一步的修訂和完善，相繼產(chǎn)生了802.11b標準（2.4GHz頻帶）和802.11a標準（5GHz頻帶）。IEEE802.11b標準支持更高的數(shù)據(jù)傳輸速率，最高可達11Mbps。2003年6月，802.11g標準（2.4GHz頻帶）發(fā)面，最高數(shù)據(jù)傳輸速率可達54Mbps，802.11g能夠兼容802.11b，但不兼容802.11a。16.1.1WLAN發(fā)展歷程2006年，IEEE802.11n標準發(fā)布，支持更高的數(shù)據(jù)傳輸速率和更遠的覆蓋范圍，最高可達600Mbps。2013年，IEEE802.11ac標準發(fā)布，采用更高效的技術(shù)，支持更高的數(shù)據(jù)傳輸速率和更大的網(wǎng)絡(luò)容量，最高可達6.9Gbps。2019年，IEEE802.11ax標準發(fā)布，也稱為Wi-Fi6，支持更多的設(shè)備同時連接，并提供更高的數(shù)據(jù)傳輸速率和更好的網(wǎng)絡(luò)性能。Wi-Fi的發(fā)展歷史可以追溯到20世紀90年代，當時美國聯(lián)邦通信委員會（FCC）放開了2.4GHz頻段的使用限制，使得無線局域網(wǎng)（WLAN）技術(shù)得以快速發(fā)展。16.1.2無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)無線網(wǎng)絡(luò)是以無線電波傳輸數(shù)據(jù)，能夠快速、方便地連接到互聯(lián)網(wǎng)。WLAN主要由無線站點、無線傳輸介質(zhì)、無線接入點等組成。無線站點即無線工作站，是WLAN最基本的組成單元。通常指WLAN中的無線終端，簡稱站點。站點通常是可以自由移動的，即在無線網(wǎng)絡(luò)的覆蓋區(qū)域內(nèi)改變空間位置。無線傳輸介質(zhì)是WLAN中站點與站點之間，或站點與AP之間傳輸數(shù)據(jù)的物理介質(zhì)。IEEE802.11系列標準定義了射頻信號在空氣中傳播的物理特性，如工作頻段、調(diào)制編碼方式等。無線接入點（AccessPoint,AP）是WLAN和分布式系統(tǒng)的橋接點，用于建立無線網(wǎng)絡(luò)連接并提供接入服務。16.1.2無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)WLAN的拓撲結(jié)構(gòu)主要有以下三種無線網(wǎng)絡(luò)的拓撲結(jié)構(gòu)：獨立型基本服務集（IBSS）、基礎(chǔ)結(jié)構(gòu)型基本服務集（BSS）和擴展服務集（ESS）。1.獨立型基本服務集（IBSS）獨立型基本服務集（IndependentBasicServiceSet，IBSS），是一種無線拓撲結(jié)構(gòu)，又稱AdHoc模式（點對點模式），也稱為獨立基本服務集或獨立廣播衛(wèi)星服務。在這種模式下，IBSS沒有無線基礎(chǔ)設(shè)施骨干，無線設(shè)備通過無線信號相互連接，形成一個臨時的無線局域網(wǎng)，不需要通過無線路由器或接入點（AP）進行連接。獨立型基本服務集適用于一些特定場景，如臨時性網(wǎng)絡(luò)搭建、設(shè)備快速連接、對等通信等，需要手動設(shè)置和管理，網(wǎng)絡(luò)覆蓋只有幾米，缺乏中央管理和控制，穩(wěn)定性和安全性差。16.1.2無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)2.基礎(chǔ)結(jié)構(gòu)型基本服務集（BSS）基礎(chǔ)結(jié)構(gòu)型基本服務集（BSS）是最常見的無線局域網(wǎng)拓撲結(jié)構(gòu)，由一臺無線路由器和有線連接到該路由器的臺式機、筆記本或手機組成。在BSS中，無線路由器負責提供無線連接和網(wǎng)絡(luò)接入功能。它通常用于家庭、小型辦公室和企業(yè)網(wǎng)絡(luò)中。在BSS中，所有設(shè)備都通過無線信號連接到無線路由器，形成一個基本的無線網(wǎng)絡(luò)。用戶可以通過無線路由器訪問互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)資源，也可以在設(shè)備之間進行文件共享、打印等操作。由于BSS通常只包含一個無線路由器和有限數(shù)量的客戶端設(shè)備，因此其覆蓋范圍和設(shè)備數(shù)量有限。16.1.2無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)3.擴展服務集（ESS）擴展服務集（ESS）是由多個基礎(chǔ)結(jié)構(gòu)型基本服務集（BSS）組成的網(wǎng)絡(luò)。在ESS中，多個BSS通過無線信號相互連接，形成一個更大的無線網(wǎng)絡(luò)覆蓋范圍。這種拓撲結(jié)構(gòu)常用于需要提供更大覆蓋范圍和更多網(wǎng)絡(luò)連接的場合，如大型企業(yè)、公共場所等。在ESS中，每個BSS通常由一個無線路由器和有線連接到該路由器的臺式機、筆記本或手機組成。多個BSS通過無線信號相互連接，形成一個更大的無線網(wǎng)絡(luò)覆蓋范圍。用戶可以根據(jù)需要選擇連接到哪個BSS上。由于ESS通常由多個BSS組成，因此其覆蓋范圍和設(shè)備數(shù)量相對較大。在ESS中，為了實現(xiàn)無縫漫游，不同的BSS通常會使用相同的SSID（服務組標識符），這樣用戶可以在不同的BSS之間無縫切換連接。此外，ESS通常還支持多個接入點（AP）之間的協(xié)調(diào)和負載均衡，以提供更好的網(wǎng)絡(luò)性能和可靠性。16.1.3路由器的工作模式3.擴展服務集（ESS）無線路由器的工作模式眾多，大體可分為路由模式和AP模式。AP模式又可以細分為AP接入點模式、中繼模式、橋接模式及客戶端模式。16.1.3路由器的工作模式1.路由模式（Router）無線路由器基本上都工作在此模式之下，此時路由器擔任無線接入功能和路由功能。此模式下路由器WAN口連接光貓或局域網(wǎng)，路由器可以配置多種上網(wǎng)管控策略，如IP地址、網(wǎng)址、應用訪問等的限制等。路由器的無線接入功能則負責發(fā)射Wi-Fi信號組成無線局域網(wǎng)WLAN。接入WLAN和連接有線LAN口的多個設(shè)備位于同一個局域網(wǎng)內(nèi)，擁有相同的網(wǎng)段，可以直接進行內(nèi)網(wǎng)通信。在此模式中，NAT、防火墻與DHCP服務器默認為開啟。16.1.3路由器的工作模式2.AP模式在這種模式下的路由器只有接入功能，沒有路由功能，相當于一個帶無線接入功能的交換機，能實現(xiàn)有線和無線多個設(shè)備的局域網(wǎng)接入。在此模式中，WIFI無線路由只需配置無線SSID和安全策略即可，并且防火墻、IP分享與NAT功能默認關(guān)閉。路由器不會配發(fā)IP地址給連接的客戶端，為了避免和前端網(wǎng)絡(luò)設(shè)備的DHCP沖突，通常會關(guān)閉本機的DHCP功能，用戶設(shè)備的IP地址和DNS地址需要手動配置或通過前端的DHCP自動分配，有線接口為LAN口。此模式適用于商務、酒店、學校等環(huán)境的無線接。3.無線網(wǎng)橋方式（WirelessBridge）建議使用兩臺相同型號的無線路由器，一臺作為無線橋接模式，另一臺作為無線路由器模式。設(shè)為無線橋接模式時,兩臺路由器之間是通過Wi-Fi連接。在此模式中，橋接路由器只提供有線連接上網(wǎng)的功能，防火墻、IP分享與NAT功能默認關(guān)閉。路由器不會配發(fā)IP地址給連接的客戶端。16.1.3路由器的工作模式4.中繼模式無線AP在網(wǎng)絡(luò)連接中起到中繼的作用，能實現(xiàn)信號的中繼和放大，從而延伸無線網(wǎng)絡(luò)的覆蓋范圍。在中繼模式中，路由器通過Wi-Fi連接另一臺無線路由器以延伸此路由器的Wi-Fi信號覆蓋范圍。在此模式中，防火墻、IP分享與NAT功能默認關(guān)閉。路由器不會配發(fā)IP地址給連接的客戶端。5.客戶端模式（Client）路由器工作在Client模式下相當于無線網(wǎng)卡，用來連接無線熱點信號或無線路由器，計算機通過網(wǎng)線連接到路由器（AP），即可接入無線網(wǎng)絡(luò)。適用于網(wǎng)絡(luò)媒體播放器、互聯(lián)網(wǎng)電視等需要通過無線方式連接互聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備。16.1.4無線網(wǎng)絡(luò)常用術(shù)語Wi-Fi（WirelessFidelity）：在無線局域網(wǎng)的范疇是指“無線相容性認證”，實質(zhì)上是一種商業(yè)認證。Wi-Fi聯(lián)盟（Wi-FiAlliance）負責對無線設(shè)備進行認證測試及Wi-Fi商標授權(quán)，主要目的是在全球范圍內(nèi)推廣Wi-Fi產(chǎn)品的兼容認證，發(fā)展基于IEEE802.11標準的WLAN技術(shù)。SSID(ServiceSetIdentifier，服務集識別碼):是用于唯一標識WLAN的名稱，由最多32個字符的字符串，通常由英文字母和數(shù)字組成。AP(AccessPoint):接入點，終端接入網(wǎng)絡(luò)的設(shè)備。根據(jù)應用場合的不同，分為“瘦AP”和“胖AP”兩種類型，其工作模式分為正常模式和監(jiān)測模式。MACAddress(MediaAccessControlAddress):介質(zhì)訪問控制地址，是一個唯一的硬件地址，用于在局域網(wǎng)中識別網(wǎng)絡(luò)設(shè)備。16.1.4無線網(wǎng)絡(luò)常用術(shù)語DHCP(DynamicHostConfigurationProtocol):動態(tài)主機配置協(xié)議，用于自動分配IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)等網(wǎng)絡(luò)配置給客戶端設(shè)備。NAT(NetworkAddressTranslation):網(wǎng)絡(luò)地址轉(zhuǎn)換，一種通過在網(wǎng)絡(luò)設(shè)備之間轉(zhuǎn)換IP地址的技術(shù)，用于連接多個設(shè)備共享一個公共IP地址。DNS(DomainNameSystem):域名系統(tǒng)，用于將域名轉(zhuǎn)換為IP地址的系統(tǒng)，使用戶可以通過域名訪問互聯(lián)網(wǎng)。Firewall:防火墻，一種用于保護計算機網(wǎng)絡(luò)安全的安全設(shè)備或軟件。監(jiān)控網(wǎng)絡(luò)通信，并根據(jù)預先設(shè)定的規(guī)則，允許或阻止數(shù)據(jù)包的通過，防止未經(jīng)授權(quán)的訪問和惡意攻擊，保護網(wǎng)絡(luò)免受潛在的威脅。通常設(shè)置在網(wǎng)絡(luò)邊界、路由器、服務器等位置。WirelessHotspot，無線熱點，指通過無線網(wǎng)絡(luò)技術(shù)建立的局域網(wǎng)絡(luò)訪問點，允許使用無線設(shè)備（如智能手機、平板計算機、筆記本計算機等）連接到互聯(lián)網(wǎng)。無線熱點由無線路由器或無線接入點提供，用戶可以通過Wi-Fi技術(shù)與無線熱點建立連接，從而在覆蓋范圍內(nèi)訪問互聯(lián)網(wǎng)和其他網(wǎng)絡(luò)資源。16.2WLAN安全威脅與防護

6.2.1WLAN安全威脅未經(jīng)授權(quán)的接入：無線網(wǎng)絡(luò)可以讓用戶方便地通過移動設(shè)備接入互聯(lián)網(wǎng)，但這也意味著任何人都可以在未經(jīng)授權(quán)的情況下使用你的網(wǎng)絡(luò)資源。惡意軟件與病毒：無線網(wǎng)絡(luò)傳播速度快，覆蓋范圍廣，很容易成為惡意軟件和病毒傳播的渠道。一旦感染病毒或惡意軟件，整個網(wǎng)絡(luò)系統(tǒng)都可能面臨嚴重的安全威脅。網(wǎng)絡(luò)釣魚：在無線網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)釣魚的威脅更加嚴重，因為用戶往往更容易放松警惕。這是一種利用虛假網(wǎng)站、郵件等手段誘騙用戶提供個人信息或敏感信息的行為。拒絕服務攻擊：這是一種通過大量無用的請求或數(shù)據(jù)流量，使網(wǎng)絡(luò)或系統(tǒng)超負荷運行，從而讓用戶無法正常訪問資源的攻擊方式。網(wǎng)絡(luò)帶寬被盜用：很多企業(yè)使用無線路由器或者是無線AP組建無線網(wǎng)絡(luò)，非法接入者只要在企業(yè)無線網(wǎng)絡(luò)的覆蓋范圍之內(nèi)就可以盜用企業(yè)的帶寬資源，可能導致企業(yè)網(wǎng)絡(luò)出現(xiàn)擁塞的現(xiàn)象。機密外泄：企業(yè)網(wǎng)絡(luò)中通常會存放著企業(yè)的一些商業(yè)合同及客戶資料，入侵者一旦成功登錄無線網(wǎng)絡(luò)，企業(yè)的商業(yè)機密將會受到威脅。16.2.2WLAN安全策略WLAN網(wǎng)絡(luò)安全是指通過采取一系列措施和技術(shù)手段，確保無線局域網(wǎng)系統(tǒng)中數(shù)據(jù)的保密性、完整性和可用性，防止未經(jīng)授權(quán)的訪問和惡意攻擊，保障網(wǎng)絡(luò)的安全性和穩(wěn)定性。WLAN通常采用的加密技術(shù)有WEP、WAP、WAP2、WAP3等。（1）WEPWEP（WiredEquivalentPrivacy，有線等效加密）是一種早期的無線局域網(wǎng)（WLAN）數(shù)據(jù)加密標準，旨在提供與有線網(wǎng)絡(luò)相當?shù)谋Ｗo能力。WEP使用了名為RC4的對稱加密算法對無線通信進行加密，以確保數(shù)據(jù)傳輸?shù)臋C密性。WEP支持開放系統(tǒng)認證和共享密鑰認證兩種認證方式。WEP加密算法存在嚴重的安全漏洞，容易被攻擊者破解，已不再推薦使用，而是推薦采用更安全的加密協(xié)議，如WPA（Wi-FiProtectedAccess）或WPA2（Wi-FiProtectedAccess2）或WPA3。16.2.2WLAN安全策略（2）WPAWPA（Wi-FiProtectedAccess）是一種用于保護無線局域網(wǎng)（WLAN）數(shù)據(jù)安全性的加密協(xié)議,有WPA、WPA2和WPA3三個標準。它是作為WEP的替代方案而開發(fā)的，旨在解決WEP存在的安全漏洞。WPA采用了TKIP（TemporalKeyIntegrityProtocol，臨時密鑰完整性協(xié)議）來加強數(shù)據(jù)加密，使用了動態(tài)生成的加密密鑰，有效避免了WEP中存在的靜態(tài)密鑰的安全問題，并使用802.1X認證協(xié)議和EAP（ExtensibleAuthenticationProtocol，可擴展認證協(xié)議）來提供更強的身份驗證機制。在WPA的中要用一個802.1X認證服務器來分發(fā)不同的密鑰給各個終端用戶；WPA也可以用在較不保險的“預共享密鑰模式”（pre-sharedkey（PSK）），讓同一無線路由器底下的每個用戶都使用同一把密鑰。16.2.2WLAN安全策略（2）WAPWPA（Wi-FiProtectedAccess）是一種用于保護無線局域網(wǎng)（WLAN）數(shù)據(jù)安全性的加密協(xié)議,有WPA、WPA2和WPA3三個標準。它是作為WEP的替代方案而開發(fā)的，旨在解決WEP存在的安全漏洞。WPA采用了TKIP（TemporalKeyIntegrityProtocol，臨時密鑰完整性協(xié)議）來加強數(shù)據(jù)加密，使用了動態(tài)生成的加密密鑰，有效避免了WEP中存在的靜態(tài)密鑰的安全問題，并使用802.1X認證協(xié)議和EAP（ExtensibleAuthenticationProtocol，可擴展認證協(xié)議）來提供更強的身份驗證機制。在WPA的中要用一個802.1X認證服務器來分發(fā)不同的密鑰給各個終端用戶；WPA也可以用在較不保險的“預共享密鑰模式”（pre-sharedkey（PSK）），讓同一無線路由器底下的每個用戶都使用同一把密鑰。16.2.2WLAN安全策略（2）WAP在WPA-PSK中，PSK表示預共享密鑰，也稱為網(wǎng)絡(luò)密碼，是用戶在連接到Wi-Fi網(wǎng)絡(luò)時需要輸入的密碼。WPA-PSK通過使用TKIP或AES（AdvancedEncryptionStandard）加密算法，對數(shù)據(jù)進行加密，確保數(shù)據(jù)傳輸?shù)臋C密性和完整性。而PSK則用于建立加密通道的密鑰，所有連接到該Wi-Fi網(wǎng)絡(luò)的設(shè)備都需要使用相同的PSK來進行身份驗證和加密通信。WPA-PSK是一種較為安全且易于部署的Wi-Fi安全協(xié)議，適用于家庭、小型企業(yè)等場景，可以有效保護Wi-Fi網(wǎng)絡(luò)免受未經(jīng)授權(quán)訪問和數(shù)據(jù)泄露的威脅。盡管WPA-PSK相對于WEP等早期加密方式更為安全，但仍然存在一些安全漏洞，例如暴力破解攻擊和字典攻擊。因此，在配置WPA-PSK時，建議采用強密碼（包括大小寫字母、數(shù)字和特殊字符的組合），并定期更換密碼，以增強網(wǎng)絡(luò)安全性。16.2.2WLAN安全策略（3）WAP2WPA2（Wi-FiProtectedAccess2）是一種用于保護無線網(wǎng)絡(luò)通信安全的協(xié)議，是WPA的后繼版本，提供了更強大的數(shù)據(jù)加密和網(wǎng)絡(luò)訪問控制。WPA2采用高級加密標準（AES）來保護數(shù)據(jù)傳輸，并使用802.1X認證來控制用戶對網(wǎng)絡(luò)的訪問。WPA2支持個人模式（WPA2-PSK）和企業(yè)模式（WPA2-Enterprise）兩種認證方法。在個人模式下，用戶通過輸入預共享密鑰（PSK）來連接到網(wǎng)絡(luò)；而在企業(yè)模式下，需要使用基于802.1X的認證服務進行身份驗證。由于采用更強大的加密算法和認證機制，WPA2被認為是一種相對安全的無線網(wǎng)絡(luò)安全標準，適用于各類組織和場所，能夠有效保護Wi-Fi網(wǎng)絡(luò)免受未經(jīng)授權(quán)訪問和數(shù)據(jù)泄露的威脅。16.2.2WLAN安全策略（4）WAP3WPA3（Wi-FiProtectedAccess3）是WPA2的后繼版本，是Wi-Fi聯(lián)盟推出的新一代無線網(wǎng)絡(luò)安全協(xié)議，采用了更安全的加密算法，如SimultaneousAuthenticationofEquals(SAE)和256-bitGalois/CounterModeProtocol(GCMP-256)，提供更高級別的數(shù)據(jù)保護和隱私保護。WPA3于2018年推出，WPA3較的WPA2有以下改進：改進的密碼認證：WPA3引入了更安全的密碼認證方式，使得破解密碼更加困難。增強的加密：WPA3采用更先進的加密標準，提供更高級別的數(shù)據(jù)保護和隱私保護。防止連接劫持：WPA3增強了對公共無線網(wǎng)絡(luò)的連接安全性，防止連接時的數(shù)據(jù)被竊取或篡改。防止密碼猜測攻擊：WPA3引入了更嚴格的密碼猜測防護機制，使得破解密碼變得更加困難。公共網(wǎng)絡(luò)加密：WPA3支持無線網(wǎng)絡(luò)中公共網(wǎng)絡(luò)的加密，提供更安全的連接方式，保護用戶在公共場所的數(shù)據(jù)傳輸安全。16.2.3WLAN安全防范措施（1）未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務及防范措施無線網(wǎng)絡(luò)的信號可以穿透墻壁，容易被附近的人接收到，這為潛在的黑客提供了入侵的機會。黑客可以通過破解無線網(wǎng)絡(luò)的密碼，竊取使用者的個人信息，例如銀行賬號、電子郵件等，甚至有可能控制在同一個Wi-Fi下的其他計算機。建議采用使用WPA2或更高級別的安全協(xié)議、定期更換密碼等方式加強信息安全保護，以提高數(shù)據(jù)傳輸?shù)陌踩?。?）地址欺騙和會話攔截及防范措施黑客可能通過偽造IP地址或MAC地址等方式進行會話攔截，進一步獲取敏感信息。建議采用MAC地址過濾、禁用DHCP等方法防范攻擊，通過無線控制器將指定的無線網(wǎng)卡的MAC地址添加到允許列表中，只有列表中的設(shè)備才能連接到無線網(wǎng)絡(luò)。另外，建議關(guān)閉無線網(wǎng)絡(luò)中不需要的服務，以減少安全漏洞。16.2.3WLAN安全防范措施（3）流量分析與流量偵聽及防范措施由于無線局域網(wǎng)的特性，未授權(quán)的設(shè)備或人員可能會設(shè)置和使用非法的無線接入點，或進行流量分析和偵聽，從而竊取敏感信息，從而對網(wǎng)絡(luò)安全構(gòu)成威脅。通用可以使用防火墻、虛擬局域網(wǎng)或其他網(wǎng)絡(luò)邊界執(zhí)行技術(shù)來實現(xiàn)，同時執(zhí)行限制流量進出的安全策略和定期檢查并升級無線網(wǎng)絡(luò)設(shè)備的固件，修復已知的安全漏洞。（4）開放WIFI的安全隱患及防范措施接入未知的公共區(qū)域WIFI時，可能存在的安全隱患包括未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務、地址欺騙和會話攔截（中間人攻擊）、數(shù)據(jù)泄露以及釣魚網(wǎng)站和欺詐行為等。建議采取以下措施：關(guān)閉自動連接WiFi功能、不連接無密碼或者是無認證的公共WiFi、使用防火墻、安全軟件等工具有效防止其他人利用公共網(wǎng)絡(luò)對個人設(shè)備進行非法訪問、避免訪問敏感網(wǎng)站或服務，如銀行平臺等，以減少個人信息被盜取的風險。16.3WLAN認證技術(shù)

6.3.1鏈路認證針對WLAN面臨的安全威脅，目前最常用的兩種安全防御機制是認證和加密。認證是指對用戶的身份進行驗證，要求用戶提供能夠證明其身份的憑據(jù)。只有通過身份驗證的用戶才可以接入無線網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源。無線安全認證有鏈路認證和用戶接入認證兩種方式。鏈路認證是一種無線安全認證方式，它用于驗證用戶設(shè)備與無線網(wǎng)絡(luò)之間的物理鏈路是否可信。鏈路認證通過檢測和驗證傳輸?shù)臄?shù)據(jù)包來確保通信鏈路的安全性。常見的鏈路認證方式包括WEP（有線等效隱私）、WPA（Wi-Fi保護訪問）和WPA2等。16.3.1鏈路認證IEEE802.11標準定義了開放系統(tǒng)認證和共享密鑰認證兩種鏈路認證方式。1.開放系統(tǒng)認證（OpenSystemAuthentication）開放系統(tǒng)認證（OpenSystemAuthentication）是一種基本的認證方法，它主要是對STA（無線終端設(shè)備）的通信能力進行驗證。在開放系統(tǒng)認證中，接入點（AP）允許任何符合802.11標準的STA接入無線局域網(wǎng)（WLAN），而不需要進行詳盡的身份驗證。認證過程主要集中在驗證STA的通信能力，而非其身份。當STA嘗試連接到一個WLAN時，AP會發(fā)送一個認證請求幀，STA需要回復一個認證響應幀以確認其通信能力。開放系統(tǒng)認證優(yōu)點是簡單易實現(xiàn)、適用于公共場所等對用戶身份驗證要求不高的環(huán)境。缺點是未進行身份驗證，安全性較低、存在被惡意用戶攻擊的風險、信息泄露風險高。16.3.1鏈路認證IEEE802.11標準定義了開放系統(tǒng)認證和共享密鑰認證兩種鏈路認證方式。2.共享密鑰認證（SharedKeyAuthentication）共享密鑰認證（SharedKeyAuthentication）是無線網(wǎng)絡(luò)中常用的一種認證方法，用于驗證無線終端設(shè)備（STA）的身份和通信能力，更加安全，它要求STA和AP配置相同的密鑰（共享密鑰），雙方通過交換幾個報文來驗證STA的身份。在共享密鑰認證過程中，首先STA向AP發(fā)送認證請求，并附帶一個加密的挑戰(zhàn)文本。AP會將這個挑戰(zhàn)文本發(fā)送給STA，并要求STA回答一個預期的正確響應。如果STA能夠正確回答，則認為STA的身份驗證通過，可以與AP建立通信連接。這種方式的優(yōu)勢在于提供更高的安全性，因為雙方都需要知道相同的密鑰才能進行認證。16.3.1鏈路認證共享密鑰認證優(yōu)點：身份驗證：共享密鑰認證可以驗證STA的身份，防止未經(jīng)授權(quán)的設(shè)備接入網(wǎng)絡(luò)。較高的安全性：通過使用加密算法和共享密鑰，可以提供較高級別的安全性。共享密鑰認證缺點：密鑰管理：密鑰的共享和管理可能會帶來一些復雜性和安全風險。配置要求：AP和STA需要預先配置相同的密鑰，這可能需要一些額外的工作。16.3.2用戶接入認證用戶接入認證是指在用戶設(shè)備（如計算機、手機等）嘗試連接到網(wǎng)絡(luò)時，系統(tǒng)對用戶身份進行驗證的過程。這是確保網(wǎng)絡(luò)安全和控制訪問權(quán)限的重要方式。是對用戶的身份進行區(qū)分，并根據(jù)用戶的身份授予用戶不同的網(wǎng)絡(luò)訪問權(quán)限，授權(quán)用戶訪問不同的網(wǎng)絡(luò)資源。用戶接入認證涉及密鑰協(xié)商和數(shù)據(jù)加密，安全性比鏈路認證的高。常見的用戶接入認證的方式有MAC認證、PSK認證、Portal認證和802.1X認證、AAA認證等。無論哪種認證方式，都是在數(shù)據(jù)傳輸過程中使用加密算法來保護數(shù)據(jù)的機密性，并提供訪問控制，防止未經(jīng)授權(quán)的設(shè)備或用戶接入網(wǎng)絡(luò)。選擇合適的用戶接入認證方式需要綜合考慮安全性、易用性和部署成本等因素，以滿足網(wǎng)絡(luò)的需求。16.3.1鏈路認證1.MAC認證MAC（MediaAccessControl）認證是一種基于設(shè)備的身份驗證方式，通過驗證設(shè)備的MAC地址來確定其是否被允許接入網(wǎng)絡(luò)。每個網(wǎng)絡(luò)設(shè)備的網(wǎng)卡都有唯一的MAC地址，可以用作識別設(shè)備的標識符。在MAC認證中，網(wǎng)絡(luò)管理員會事先將授權(quán)設(shè)備的MAC地址添加到許可列表中，只有列表中的設(shè)備才能成功連接到網(wǎng)絡(luò)。這種認證方式相對簡單，適用于小型網(wǎng)絡(luò)或需要限制特定設(shè)備接入的場景。然而，MAC地址并非絕對安全，因為它可以被偽造或篡改。因此，在高度安全性要求的網(wǎng)絡(luò)環(huán)境下，通常會配合其他更加安全的認證方式來提高網(wǎng)絡(luò)的保護級別。MAC認證簡單易用，適用于小規(guī)模網(wǎng)絡(luò)。但MAC地址可以被偽造，安全性較低。16.3.1鏈路認證

2.PSK認證PSK（Pre-SharedKey）認證是一種常見的無線網(wǎng)絡(luò)安全認證方式，常用于WPA（Wi-FiProtectedAccess）加密協(xié)議中。在PSK認證中，接入點（AP）和無線客戶端設(shè)備共享一個預先設(shè)置的密鑰，該密鑰用于加密數(shù)據(jù)傳輸和進行身份驗證。（1）PSK認證的工作過程1)密鑰生成和配置：網(wǎng)絡(luò)管理員在設(shè)置無線網(wǎng)絡(luò)時會指定一個預先共享的密鑰（PSK）。這個密鑰可以是一個密碼或一組字符，用于加密數(shù)據(jù)傳輸和認證用戶身份。2)連接建立：當用戶設(shè)備嘗試連接到無線網(wǎng)絡(luò)時，它需要提供與接入點（AP）預先配置的PSK相匹配的密鑰。16.3.1鏈路認證

2.PSK認證PSK（Pre-SharedKey）認證是一種常見的無線網(wǎng)絡(luò)安全認證方式，常用于WPA（Wi-FiProtectedAccess）加密協(xié)議中。在PSK認證中，接入點（AP）和無線客戶端設(shè)備共享一個預先設(shè)置的密鑰，該密鑰用于加密數(shù)據(jù)傳輸和進行身份驗證。（1）PSK認證的工作過程3)密鑰驗證：用戶設(shè)備將輸入的PSK發(fā)送給接入點，接入點驗證PSK是否匹配。如果匹配成功，用戶設(shè)備就被授權(quán)連接到無線網(wǎng)絡(luò)。4)安全通信：一旦連接建立，用戶設(shè)備和接入點之間的數(shù)據(jù)傳輸將通過PSK進行加密。這樣可以確保數(shù)據(jù)的機密性，防止未經(jīng)授權(quán)方訪問或篡改數(shù)據(jù)。PSK認證為WLAN提供了較高的安全性，適用于家庭和小型辦公網(wǎng)絡(luò)。但當密鑰泄露時，需要重新配置所有設(shè)備。16.3.1鏈路認證

3.Portal認證Portal認證，又稱為Web認證，用戶需要通過瀏覽器進入一個門戶頁面來輸入用戶名和密碼等憑據(jù)進行認證。通過Portal認證，網(wǎng)絡(luò)管理員可以確保只有經(jīng)過認證的用戶可以訪問網(wǎng)絡(luò)，并且可以監(jiān)控和管理用戶的網(wǎng)絡(luò)使用情況。這種認證方式在公共Wi-Fi熱點、企業(yè)網(wǎng)絡(luò)和學校網(wǎng)絡(luò)等場所被廣泛采用，以提高網(wǎng)絡(luò)安全性和管理效率。在Portal認證中，有主動Portal認證方式和被動Portal認證方式兩種工作方式，無論是主動Portal認證還是被動Portal認證，其核心思想都是通過Web頁面輸入賬號信息完成認證，以確保網(wǎng)絡(luò)訪問的安全性和控制權(quán)限。16.3.1鏈路認證（1）主動Portal認證方式用戶主動訪問位于Portal服務器上的認證頁面，并在頁面上輸入賬號信息（如用戶名和密碼）進行認證。用戶需要自行發(fā)起認證過程，通常用于公共Wi-Fi、酒店或其他需要用戶登錄的網(wǎng)絡(luò)環(huán)境。（2）被動Portal認證方式在被動Portal認證方式下，用戶在訪問公司外網(wǎng)時會被強制重定向到Portal認證頁面。這種方式通常通過HTTP協(xié)議實現(xiàn)，用戶訪問外部網(wǎng)站時會被攔截，然后跳轉(zhuǎn)到認證頁面進行登錄操作，完成認證后才能正常訪問外部網(wǎng)站。這種方法通常用于企業(yè)內(nèi)部網(wǎng)絡(luò)，以確保所有用戶都經(jīng)過認證后才能訪問互聯(lián)網(wǎng)。Portal認證適用于公共場所和臨時網(wǎng)絡(luò)，可以靈活控制用戶的訪問權(quán)限。但容易受到中間人攻擊和釣魚攻擊。1