《網(wǎng)絡(luò)安全技術(shù)》課件第11章

第11章無(wú)線局域網(wǎng)安全11.1無(wú)線局域網(wǎng)概述11.2基本的WLAN安全11.3WLAN安全協(xié)議11.4第三方安全技術(shù)11.5無(wú)線局域網(wǎng)組建實(shí)例習(xí)題

11.1無(wú)線局域網(wǎng)概述

無(wú)線局域網(wǎng)是高速發(fā)展的現(xiàn)代無(wú)線通信技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用。一般來(lái)講，凡是采用無(wú)線傳輸媒體的計(jì)算機(jī)局域網(wǎng)都可稱為無(wú)線局域網(wǎng)，它與有線主干網(wǎng)相結(jié)合可構(gòu)成移動(dòng)計(jì)算網(wǎng)絡(luò)，這種網(wǎng)絡(luò)傳輸速率高、覆蓋面大，是一種可傳輸多媒體信息的個(gè)人通信網(wǎng)絡(luò)，也是無(wú)線局域網(wǎng)的發(fā)展方向。

1.無(wú)線局域網(wǎng)硬件設(shè)備

無(wú)線局域網(wǎng)硬件設(shè)備由以下幾部分組成：

天線：發(fā)射和接收信號(hào)的設(shè)備，一般分為外置天線和內(nèi)置天線兩種。

無(wú)線網(wǎng)卡(WirelessNetworkInterfaceCard，WNIC)：完成網(wǎng)絡(luò)中IP數(shù)據(jù)包的封裝并發(fā)送到無(wú)線信道中，同時(shí)也從無(wú)線信道中接收數(shù)據(jù)并交給IP層處理。一般無(wú)線網(wǎng)卡有PCI接口、USB接口和筆記本PCMICA接口三種類型，可支持的速率一般為11Mb/s、22Mb/s、54Mb/s和108Mb/s。

站點(diǎn)(Station，STA)：無(wú)線客戶端，包含符合本部分與無(wú)線媒體的MAC和PHY接口的任何設(shè)備。例如，內(nèi)置無(wú)線網(wǎng)卡的PC、筆記本電腦或個(gè)人數(shù)字助理(PersonalDataAssistant，PDA)等。

接入點(diǎn)(AccessPoint，AP)：類似于有線局域網(wǎng)的集線器，是一種特殊的站點(diǎn)，在無(wú)線局域網(wǎng)中屬于數(shù)據(jù)幀的轉(zhuǎn)發(fā)設(shè)備，主要提供無(wú)線鏈路數(shù)據(jù)和有線鏈路數(shù)據(jù)的橋接功能，并具有一定的安全保障功能，同時(shí)也必須完成IEEE802.3數(shù)據(jù)幀和IEEE802.11數(shù)據(jù)幀之間的幀格式轉(zhuǎn)換。通常一個(gè)AP能夠同時(shí)提供幾十米或上百米的范圍內(nèi)多個(gè)用戶的接入，并且可以作為無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的連接點(diǎn)。

2.無(wú)線局域網(wǎng)組網(wǎng)模式

基本的無(wú)線局域網(wǎng)有Infrastructure和Ad-hoc兩種模式。

(1)

Infrastructure模式：是使用兼容協(xié)議的無(wú)線網(wǎng)卡的用戶通過(guò)AP接入到網(wǎng)絡(luò)，AP用附帶的全向的天線發(fā)射信號(hào)，STA設(shè)備使用同樣的機(jī)制來(lái)接收信號(hào)，與AP建立連接。AP可以給用戶分配IP地址，或者將請(qǐng)求發(fā)送給基于網(wǎng)絡(luò)的DHCP服務(wù)器。STA接收IP地址并向AP發(fā)送數(shù)據(jù)，AP將數(shù)據(jù)轉(zhuǎn)發(fā)給網(wǎng)絡(luò)，并返回響應(yīng)給網(wǎng)絡(luò)設(shè)備?；镜腎nfrastructure模式如圖11.1所示。(2)Ad-hoc模式：此模式不需要AP，通過(guò)把一組需要互連通信的無(wú)線網(wǎng)卡的相關(guān)參數(shù)設(shè)為同一個(gè)值來(lái)進(jìn)行組網(wǎng)，是一種特殊的無(wú)線網(wǎng)絡(luò)應(yīng)用模式。Ad-hoc組網(wǎng)模式如圖11.2所示。圖11.1Infrastructure模式

圖11.2Ad-hoc模式

3.無(wú)線局域網(wǎng)標(biāo)準(zhǔn)

802.11是IEEE最初制定的一個(gè)無(wú)線局域網(wǎng)標(biāo)準(zhǔn)，規(guī)范包括介質(zhì)訪問(wèn)控制(MAC)和物理層的操作。由于802.11傳輸速率最高只能達(dá)到2Mb/s，所以，它主要用于數(shù)據(jù)的存取，而在速率和傳輸距離上都不能滿足用戶的需要，因此，IEEE又相繼推出了802.11a、802.11b和802.11g三個(gè)新標(biāo)準(zhǔn)。目前的網(wǎng)卡均支持此三種標(biāo)準(zhǔn)。三個(gè)標(biāo)準(zhǔn)的主要參數(shù)如表11.1所示。表11.1IEEE802.11a/b/g比較

4.無(wú)線局域網(wǎng)安全

總的來(lái)說(shuō)，無(wú)線局域網(wǎng)安全主要包括以下幾個(gè)方面：

通過(guò)對(duì)用戶身份的認(rèn)證來(lái)保護(hù)網(wǎng)絡(luò)，防止非法入侵；

通過(guò)對(duì)無(wú)線傳輸?shù)臄?shù)據(jù)進(jìn)行加密，防止非法接收；

使用無(wú)線跳頻等技術(shù)，防止網(wǎng)絡(luò)被探測(cè)；

有效的管理合法用戶的身份，包括用戶名、口令、密鑰等；

保護(hù)無(wú)線網(wǎng)絡(luò)的基本設(shè)備，避免錯(cuò)誤配置。

除了在無(wú)線局域網(wǎng)(WLAN)中采用各種認(rèn)證技術(shù)和加密協(xié)議以外，對(duì)于全面保護(hù)WLAN安全還應(yīng)包括防火墻技術(shù)、VPN技術(shù)、入侵檢測(cè)技術(shù)、PKI技術(shù)等綜合應(yīng)用。

11.2基本的WLAN安全

無(wú)線局域網(wǎng)可以采用業(yè)務(wù)組標(biāo)識(shí)符(ServiceSetIdentifier，SSID)、物理地址(MAC)過(guò)濾和控制AP信號(hào)發(fā)射區(qū)的方法來(lái)對(duì)接入AP的STA進(jìn)行識(shí)別和限制，實(shí)現(xiàn)WLAN的基本安全保障。

1.業(yè)務(wù)組標(biāo)識(shí)符(ServiceSetIdentifier，SSID)

SSID也可以寫為ESSID，最多可以由32個(gè)字符組成，相當(dāng)于有線網(wǎng)絡(luò)中的組名或域名，無(wú)線客戶端必須出示正確的SSID才能訪問(wèn)無(wú)線接入點(diǎn)AP。利用SSID可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來(lái)的安全和訪問(wèn)性能的問(wèn)題，從而為無(wú)線局域網(wǎng)提供一定的安全性。SSID的配置如圖11.3所示。圖11.3AP常規(guī)配置然而，由于無(wú)線接入點(diǎn)AP會(huì)不斷向外廣播其SSID，這使得攻擊者很容易獲得SSID，從而使WLAN安全性下降。另外，一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道SSID，很容易共享給非法用戶。而且有的廠家支持“任何”SSID方式，只要無(wú)線客戶端處在AP范圍內(nèi)，那么它都會(huì)自動(dòng)連接到AP，這將繞過(guò)SSID的安全功能。針對(duì)以上SSID安全問(wèn)題，管理員可采取相應(yīng)的安全配置，如在AP上設(shè)置禁止對(duì)外廣播其SSID，以此保證SSID對(duì)一般用戶檢測(cè)無(wú)線網(wǎng)絡(luò)時(shí)不可見(jiàn)，而且設(shè)置只有知道該SSID的客戶端才能接入；用戶在使用該AP接入網(wǎng)絡(luò)時(shí)應(yīng)盡量避免將SSID隨便告知他人，以免被攻擊者獲??；取消某些廠家支持的“任何”SSID方式，避免客戶端自動(dòng)連接到AP。AP禁止SSID廣播設(shè)置如圖11.4所示。圖11.4AP的隱藏SSID配置

2.物理地址(MAC)過(guò)濾

由于每個(gè)無(wú)線客戶端網(wǎng)卡都有一個(gè)唯一的物理地址標(biāo)識(shí)，因此可以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。物理地址過(guò)濾屬于硬件認(rèn)證，而不是用戶認(rèn)證，要求AP中的MAC地址列表必須隨時(shí)更新。MAC地址過(guò)濾配置如圖11.5所示。圖11.5AP的接入控制由于目前MAC地址過(guò)濾都是手工操作，擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。另外，非法用戶利用網(wǎng)絡(luò)偵聽(tīng)手段很容易竊取合法的MAC地址，而MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進(jìn)行非法接入。

3.控制AP信號(hào)發(fā)散區(qū)

無(wú)線網(wǎng)絡(luò)工作時(shí)會(huì)廣播出射頻(RadioFrequency，RF)信號(hào)，因此信號(hào)存在著距離的限制，這個(gè)虛擬的信號(hào)傳播的覆蓋區(qū)域就是“發(fā)散區(qū)”。如果對(duì)AP的信號(hào)不加限制，就可能使信息泄漏給遠(yuǎn)程的攻擊者。控制信號(hào)泄漏有幾種常用的方法，一種是將AP放在室內(nèi)的中央位置，如果需要在大的空間里安置幾個(gè)AP，則盡量使其位于建筑物中心的位置，或者盡可能遠(yuǎn)離外墻。另外，可以通過(guò)控制信號(hào)強(qiáng)度來(lái)限制信號(hào)的傳輸距離，如某些高端的產(chǎn)品具有功率調(diào)節(jié)選項(xiàng)，而對(duì)于一般的產(chǎn)品可采取減少天線(有的AP產(chǎn)品有兩個(gè)天線)或調(diào)整天線方向的辦法來(lái)限制信號(hào)傳輸范圍。由以上分析可以看出，SSID、MAC地址過(guò)濾和AP信號(hào)控制只是對(duì)STA的接入做了簡(jiǎn)單的控制，是WLAN中最基本的安全措施，還遠(yuǎn)遠(yuǎn)不能滿足WLAN的安全需求。

11.3WLAN安全協(xié)議

11.3.1WEP

為了保障無(wú)線局域網(wǎng)中實(shí)體間的通信免遭竊聽(tīng)和其他攻擊，802.11協(xié)議中定義了有線等價(jià)保密(WiredEquivalentPrivacy，WEP)子協(xié)議，它規(guī)定了對(duì)無(wú)線通信數(shù)據(jù)進(jìn)行加密的方法，并對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制等方面做出了具體的規(guī)定。

1.

WEP協(xié)議設(shè)計(jì)

WEP設(shè)計(jì)的基本思想是：

通過(guò)使用RC4流密碼算法加密來(lái)保護(hù)數(shù)據(jù)的機(jī)密性；

支持64位或128位加密；

通過(guò)STA與AP共享同一密鑰實(shí)施接入控制；

通過(guò)CRC-32產(chǎn)生的完整性校驗(yàn)值(IntegrityCheckValue，ICV)來(lái)保護(hù)數(shù)據(jù)的完整性。

2.

WEP協(xié)議認(rèn)證方式

WEP協(xié)議規(guī)定了兩種認(rèn)證方式：開(kāi)放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。

開(kāi)放系統(tǒng)認(rèn)證：是802.11b默認(rèn)的身份認(rèn)證方法，它允許對(duì)每一個(gè)要求身份認(rèn)證的用戶驗(yàn)證身份。但由于是開(kāi)放系統(tǒng)，系統(tǒng)不對(duì)認(rèn)證數(shù)據(jù)進(jìn)行加密，因此所有認(rèn)證數(shù)據(jù)都是以明文形式傳輸?shù)?，而且即使用戶提供了錯(cuò)誤的WEP密鑰，用戶照樣能夠和接入點(diǎn)連接并傳輸數(shù)據(jù)，只不過(guò)所有的傳輸數(shù)據(jù)都以明文形式傳輸。所以采用開(kāi)放式系統(tǒng)認(rèn)證只適合于簡(jiǎn)單易用為主，沒(méi)有安全要求的場(chǎng)合。

共享密鑰認(rèn)證：是通過(guò)檢驗(yàn)AP和STA是否共享同一密鑰來(lái)實(shí)現(xiàn)的，該密鑰就是WEP的加密密鑰。密鑰生成有兩種方法，一種是采用ASCII，一種是采用十六進(jìn)制。一般來(lái)說(shuō)，對(duì)于40位的加密需要輸入5個(gè)ASCII或10個(gè)十六進(jìn)制數(shù)，128位加密需輸入13個(gè)ASCII或26個(gè)十六進(jìn)制數(shù)。一般用戶比較喜歡采用ASCII格式的密鑰，但這種密鑰容易被猜測(cè)，因此并不安全，建議采用十六進(jìn)制的密鑰。IEEE802.11協(xié)議中沒(méi)有規(guī)定WEP中的共享密鑰SK如何產(chǎn)生和分發(fā)。一般產(chǎn)品中有兩種密鑰產(chǎn)生辦法：一種由用戶直接寫入，另一種由用戶輸入一個(gè)密鑰詞組，通過(guò)一個(gè)產(chǎn)生器(Generator)生成。用戶一般喜歡用第二種方式產(chǎn)生SK，而由于產(chǎn)生器設(shè)計(jì)的失誤使其安全性降低，又可能使窮舉攻擊成為可能。

3.

WEP的安全缺陷

WEP雖然通過(guò)加密提供網(wǎng)絡(luò)的安全性，但仍存在許多缺陷，具體主要體現(xiàn)在以下幾個(gè)方面：

認(rèn)證缺陷：首先，采用開(kāi)放系統(tǒng)認(rèn)證的實(shí)質(zhì)是不進(jìn)行用戶認(rèn)證，任何接入WLAN的請(qǐng)求都被允許。其次，共享密鑰認(rèn)證方法也存在安全漏洞，攻擊者通過(guò)截獲相關(guān)信息并經(jīng)過(guò)計(jì)算后能夠得到共享密鑰，而且此方法僅能夠認(rèn)證工作站是否合法，確切地說(shuō)是無(wú)線網(wǎng)卡是否合法，而無(wú)法區(qū)分使用同一臺(tái)工作站的不同用戶是否合法。

密鑰管理缺陷：由于用戶的加密密鑰必須與AP的密鑰相同，并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一把密鑰，因此倘若一個(gè)用戶丟失密鑰，則將殃及到整個(gè)網(wǎng)絡(luò)。同時(shí)，WEP標(biāo)準(zhǔn)中并沒(méi)有規(guī)定共享密鑰的管理方案，通常是手工進(jìn)行配置與維護(hù)，由于更換密鑰費(fèi)時(shí)且麻煩，所以密鑰通常是長(zhǎng)時(shí)間使用而很少更換，這也為攻擊者探測(cè)密鑰提供了可能。

WEP加密算法缺陷：包括RC4算法存在弱密鑰、CRC-32的機(jī)密信息修改容易等存在的缺陷使破譯WEP加密成為可能。目前，能夠截獲WLAN中無(wú)線傳輸數(shù)據(jù)的硬件設(shè)備已經(jīng)能夠在市場(chǎng)上買到，可以對(duì)截獲數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠從因特網(wǎng)上下載，如airsort、wepcrack等，WEP協(xié)議面臨著前所未有的嚴(yán)峻挑戰(zhàn)，因此采用WEP協(xié)議并不能保證WLAN的安全。11.3.2802.1x

認(rèn)證——端口訪問(wèn)控制技術(shù)(IEEE802.1x)協(xié)議于2001年6月由IEEE正式公布，它是基于端口的網(wǎng)絡(luò)訪問(wèn)控制方案，要求用戶經(jīng)過(guò)身份認(rèn)證后才能夠訪問(wèn)網(wǎng)絡(luò)設(shè)備。802.1x協(xié)議不僅能提供訪問(wèn)控制功能，還能提供用戶認(rèn)證和計(jì)費(fèi)的功能，適合無(wú)線接入場(chǎng)合的應(yīng)用，是所有IEEE802標(biāo)準(zhǔn)系列(包括WLAN)的整體安全體系結(jié)構(gòu)。802.1x網(wǎng)絡(luò)訪問(wèn)技術(shù)的實(shí)體一般由STA、AP和遠(yuǎn)程撥號(hào)用戶認(rèn)證服務(wù)(RemoteAuthenticationDial-InUserService，RADIUS)服務(wù)器三部分構(gòu)成，其中AP提供了兩類端口：受控端口(ControlledPort)和非受控端口(UncontrolledPort)。STA通過(guò)AP的非受控端口傳送認(rèn)證數(shù)據(jù)給RADIUS，一旦認(rèn)證通過(guò)則可通過(guò)受控端口與AP進(jìn)行數(shù)據(jù)交換。

802.1x定義客戶端到認(rèn)證端采用局域網(wǎng)的EAP協(xié)議(EAPoverLAN，EAPOL)，認(rèn)證端到認(rèn)證服務(wù)器采用基于RADIUS協(xié)議的EAP協(xié)議(EAPoverRADIUS)。其中可擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol，EAP)，即PPP擴(kuò)展認(rèn)證協(xié)議，是一個(gè)用于PPP認(rèn)證的通用協(xié)議，可以支持多種認(rèn)證方法。以STA、AP和RADIUS認(rèn)證服務(wù)器為例，802.1x協(xié)議的認(rèn)證過(guò)程如下：

(1)用戶通過(guò)AP的非受控端口向AP發(fā)送一個(gè)認(rèn)證請(qǐng)求幀；

(2)

AP返回要求用戶提供身份信息的響應(yīng)幀；

(3)用戶將自己的身份信息(例如用戶名、口令等)提交給AP；

(4)

AP將用戶身份信息轉(zhuǎn)交給RADIUS認(rèn)證服務(wù)器；

(5)認(rèn)證服務(wù)器驗(yàn)證用戶身份的合法性，如果是非法用戶，發(fā)送拒絕接入的數(shù)據(jù)幀，反之，則發(fā)送包含加密信息的響應(yīng)幀給AP。

(6)

AP將收到的RADIUS返回?cái)?shù)據(jù)幀中包含的信息發(fā)給用戶。(7)合法用戶能夠計(jì)算出返回信息中的加密數(shù)據(jù)，通過(guò)AP與RADIUS經(jīng)過(guò)多次交換信息后，認(rèn)證服務(wù)器最終向AP發(fā)送接受或拒絕用戶訪問(wèn)的信息。

(8)

AP向用戶發(fā)送允許訪問(wèn)或拒絕訪問(wèn)的數(shù)據(jù)幀。如果認(rèn)證服務(wù)器告知AP可以允許用戶接入，則AP為用戶打開(kāi)一個(gè)受控端口，用戶可通過(guò)受控端口傳輸各種類型的數(shù)據(jù)流，如超文本傳輸協(xié)議HTTP、動(dòng)態(tài)主機(jī)配置協(xié)議DHCP、文件傳輸協(xié)議FTP及郵局協(xié)議POP3等。11.3.3WPA

WPA(Wi-FiProtectedAccess)采用臨時(shí)密鑰完整性協(xié)議(TemporalKeyIntegrityProtocol，TKIP)實(shí)現(xiàn)數(shù)據(jù)加密，可以兼容現(xiàn)有的WLAN設(shè)備，認(rèn)證技術(shù)則采用802.1x和EAP協(xié)議實(shí)現(xiàn)的雙向認(rèn)證。

TKIP是WEP的改進(jìn)方案，能夠提高破解難度，比如延長(zhǎng)破解信息收集時(shí)間，但由于它并沒(méi)有脫離WEP的核心機(jī)制，而WEP算法的安全漏洞是由于WEP機(jī)制本身引起的，因此TKIP的改進(jìn)措施并不能從根本上解決問(wèn)題。而且由于TKIP采用了常?？梢杂煤?jiǎn)單的猜測(cè)方法攻破的Kerberos密碼，所以更易受攻擊。另一個(gè)嚴(yán)重問(wèn)題是TKIP在加密/解密處理效率問(wèn)題沒(méi)有得到任何改進(jìn)，甚至更差。因此，TKIP只能作為一種臨時(shí)的過(guò)渡方案，而不能是最終方案。

在IEEE完成并公布IEEE802.11i無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)后，Wi-Fi聯(lián)盟也隨即公布了WPA第2版(WPA2)，支持其提出的AES加密算法。一般AP產(chǎn)品對(duì)WPA的支持如表11.2所示。表11.2WPA產(chǎn)品參數(shù)比較其中：

WPA－PSK和WPA2－PSK：即通常所說(shuō)的WPA-Personal和WPA2-Personal，采用8～63個(gè)字符長(zhǎng)度的預(yù)先共享密鑰(Pre-SharedKey，PSK)作為每個(gè)接入用戶的密碼口令，不需要RADIUS，適用于家庭和小型辦公室網(wǎng)絡(luò)，前者一般使用TKIP加密方法，而后者通常使用AES加密方法。采用PSK的WPA安全性比較差。

WPA和WPA2：即通常所稱的WPA-Enterprise和WPA2-Enterprise，使用802.1X認(rèn)證服務(wù)器給每個(gè)用戶分配不同的密鑰，前者通常采用TKIP加密方法，而后者通常采用AES加密方法，需要RADIUS支持，適用于企業(yè)級(jí)的網(wǎng)絡(luò)，是比WPA－PSK加密更安全的訪問(wèn)方式。11.3.4802.11i與WAPI

802.11i和我國(guó)的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)WAPI同時(shí)向IEEE申請(qǐng)成為國(guó)際標(biāo)準(zhǔn)，2007年6月，IEEE標(biāo)準(zhǔn)委員會(huì)將802.11i確定為最新無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)。

1.?802.11i

802.11i標(biāo)準(zhǔn)通過(guò)使用CCM(Counter-Mode/CBC-MAC)認(rèn)證方式和AES(AdvancedEncryptionStandard)加密算法構(gòu)建的CCMP密碼協(xié)議來(lái)實(shí)現(xiàn)機(jī)密和認(rèn)證兩種功能，更進(jìn)一步加強(qiáng)了無(wú)線局域網(wǎng)的安全和對(duì)用戶信息的保護(hù)，安全性好，效率高，但由于它們與以往的WLAN設(shè)備不兼容，而且對(duì)硬件要求高，因此目前還未在WLAN產(chǎn)品中普遍使用。

2.

WAPI

無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)(WLANAuthenticationandPrivacyInfrastructure，WAPI)是由“中國(guó)寬帶無(wú)線IP標(biāo)準(zhǔn)工作組”負(fù)責(zé)起草的無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)，采用基于橢圓曲線公鑰密碼(EllipticCurveCryptography，ECC)的證書技術(shù)對(duì)WLAN系統(tǒng)中的STA和AP進(jìn)行認(rèn)證，而加密部分采用中國(guó)商用密碼管理辦公室認(rèn)定的算法，包括對(duì)稱加密算法、HASH算法、WLAN隨機(jī)數(shù)算法、ECC算法等。WAPI具有全新的高可靠性安全認(rèn)證與保密體制、完整的“用戶接入點(diǎn)”雙向認(rèn)證、集中式或分布式認(rèn)證管理、高強(qiáng)度的加密算法等優(yōu)點(diǎn)，能夠?yàn)橛脩舻腤LAN系統(tǒng)提供全面的安全保護(hù)。

11.4第三方安全技術(shù)

由于無(wú)線網(wǎng)絡(luò)接入相比有線網(wǎng)絡(luò)接入更容易受到黑客的利用，因此必須加強(qiáng)對(duì)無(wú)線網(wǎng)絡(luò)的安全部署。除了利用AP自帶的認(rèn)證和加密等安全功能以外，要想保證WLAN整體安全必須要結(jié)合第三方的安全技術(shù)，如采用防火墻、VPN技術(shù)對(duì)無(wú)線網(wǎng)絡(luò)用戶的接入控制和數(shù)據(jù)安全進(jìn)行加強(qiáng)；在網(wǎng)絡(luò)內(nèi)部采用IDS技術(shù)對(duì)無(wú)線網(wǎng)絡(luò)用戶對(duì)訪問(wèn)內(nèi)網(wǎng)進(jìn)行分析等。

1.防火墻在WLAN中的應(yīng)用

由于攻擊者能夠較容易地接入無(wú)線網(wǎng)絡(luò)，因此在設(shè)計(jì)整體網(wǎng)絡(luò)安全的時(shí)候，WLAN應(yīng)被看做是與Internet一樣不安全的連接，需要結(jié)合防火墻技術(shù)將無(wú)線用戶和內(nèi)部用戶分開(kāi)。一般來(lái)說(shuō)，在為無(wú)線網(wǎng)絡(luò)接入選擇防火墻時(shí)，最好選用專業(yè)的硬件防火墻，也可選用主流的防火墻產(chǎn)品來(lái)保護(hù)現(xiàn)有的Internet連接，并將訪問(wèn)點(diǎn)放在DMZ中，如將無(wú)線集線器或交換機(jī)放到DMZ區(qū)中，并結(jié)合訪問(wèn)策略對(duì)無(wú)線訪問(wèn)用戶進(jìn)行限制。當(dāng)然，這樣的網(wǎng)絡(luò)規(guī)劃有助于保護(hù)網(wǎng)絡(luò)內(nèi)部資源，但不能很好地保護(hù)無(wú)線網(wǎng)絡(luò)用戶，不過(guò)由于無(wú)線網(wǎng)絡(luò)的用戶群體一般比較小，因此他們實(shí)施另外的保護(hù)措施還不至于顯得非常復(fù)雜。WLAN通過(guò)防火墻接入LAN如圖11.6所示。圖11.6WLAN通過(guò)防火墻接入LAN

2.

VPN技術(shù)在WLAN中的應(yīng)用

由于僅僅通過(guò)防火墻的實(shí)施還不能擋住攻擊者對(duì)無(wú)線網(wǎng)絡(luò)的嗅探，而WLAN自身的加密算法強(qiáng)度有限，因此還要配合VPN技術(shù)來(lái)保證無(wú)線網(wǎng)絡(luò)用戶安全訪問(wèn)內(nèi)部網(wǎng)。無(wú)線訪問(wèn)用戶在訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)不僅接受防火墻規(guī)則的制約，而且在原有WALN加密數(shù)據(jù)的基礎(chǔ)上再增加VPN身份認(rèn)證和加密隧道，能大大增強(qiáng)其訪問(wèn)安全性。支持VPN技術(shù)的WLAN可以使用帶有VPN功能的防火墻或獨(dú)立的VPN服務(wù)器，如圖11.7所示。圖11.7WLAN通過(guò)VPN接入LAN

11.5無(wú)線局域網(wǎng)組建實(shí)例

【實(shí)驗(yàn)背景】

無(wú)線局域網(wǎng)已經(jīng)成為最常用的網(wǎng)絡(luò)結(jié)構(gòu)，利用AP和STA可以快速地架構(gòu)局域網(wǎng)而不用會(huì)受到太多的空間限制。不過(guò)，如果不能對(duì)WLAN進(jìn)行安全配置和管理，則可能給整個(gè)內(nèi)部網(wǎng)絡(luò)帶來(lái)安全威脅。

【實(shí)驗(yàn)?zāi)康摹?/p>

掌握常用的WLAN組建及安全管理?！緦?shí)驗(yàn)條件】

(1)

AP一臺(tái)；

(2)基于Windows的PC機(jī)兩臺(tái)，分別配備無(wú)線網(wǎng)卡。

【實(shí)驗(yàn)任務(wù)】

(1)實(shí)現(xiàn)AP的安全配置；

(2)實(shí)現(xiàn)兩臺(tái)STA通過(guò)AP以Infrastructure模式互連；

(3)實(shí)現(xiàn)兩臺(tái)STA通過(guò)無(wú)線網(wǎng)卡以Ad-hoc模式互連。【實(shí)驗(yàn)內(nèi)容】

1.無(wú)線網(wǎng)卡安裝

在兩臺(tái)PC機(jī)上分別安裝無(wú)線網(wǎng)卡，使其成為STA?；镜臒o(wú)線網(wǎng)卡安裝由于產(chǎn)品不同，安裝過(guò)程也會(huì)有所區(qū)別，這里不做詳細(xì)敘述。無(wú)線網(wǎng)卡安裝成功后可以在【網(wǎng)絡(luò)連接】窗口中管理并配置無(wú)線網(wǎng)卡，如圖11.8所示。圖11.8無(wú)線網(wǎng)絡(luò)連接

2.

AP連接

對(duì)于AP的管理連接分有線和無(wú)線兩種連接方式。本實(shí)驗(yàn)以無(wú)線連接方式配置AP為例進(jìn)行演示。

(1)首先將AP各部件按照說(shuō)明書進(jìn)行組合，并通過(guò)網(wǎng)線接入到上級(jí)交換機(jī)中(若只是實(shí)現(xiàn)STA通過(guò)AP互連，則AP可不必接入有線網(wǎng)絡(luò))。(2)配置STA無(wú)線網(wǎng)卡IP地址。本實(shí)驗(yàn)所用的AP說(shuō)明書提供了其默認(rèn)的初始IP配置為。因此，在STA1上右擊如圖11.8所示【網(wǎng)絡(luò)連接】窗口中的“無(wú)線網(wǎng)絡(luò)連接”→“屬性”，在“常規(guī)”選項(xiàng)卡中雙擊“Internet協(xié)議(TCP/IP)”，在【Internet協(xié)議(TCP/IP)屬性】窗口中選擇“使用下面的IP地址”，輸入與默認(rèn)AP在同一網(wǎng)段的IP地址和網(wǎng)關(guān)地址，如圖11.9所示。圖11.9配置無(wú)線網(wǎng)絡(luò)連接IP地址(3)在【Internet協(xié)議(TCP/IP)屬性】窗口中兩次單擊“確定”按鈕后關(guān)閉無(wú)線網(wǎng)絡(luò)連接屬性窗口，完成無(wú)線網(wǎng)卡IP地址配置。

(4)右擊如圖11.8所示【網(wǎng)絡(luò)連接】窗口中的“無(wú)線網(wǎng)絡(luò)連接”圖標(biāo)→“查看可用的無(wú)線連接”，可以看到檢測(cè)未啟用安全措施的無(wú)線網(wǎng)絡(luò)，如圖11.10所示。圖11.10AP建立的無(wú)線連接檢測(cè)(5)雙擊該AP默認(rèn)的SSID，與AP建立連接，通常，默認(rèn)的AP是沒(méi)有加密設(shè)置的，連接時(shí)可能會(huì)提示是否要連接不安全的無(wú)線網(wǎng)絡(luò)。先確認(rèn)連接，等無(wú)線局域網(wǎng)連接成功后再進(jìn)行安全加密。正常連接后，網(wǎng)絡(luò)屬性中會(huì)顯示當(dāng)前的信號(hào)強(qiáng)度，如圖11.11所示。

(6)雙擊Windows窗口右下角的無(wú)線網(wǎng)絡(luò)連接圖標(biāo)可以看到該無(wú)線網(wǎng)絡(luò)連接的詳細(xì)信息，如圖11.12所示。圖11.11與AP建立的無(wú)線網(wǎng)絡(luò)連接圖11.12無(wú)線網(wǎng)絡(luò)連接狀態(tài)信息

3.

AP配置

(1)在STA的IE中輸入AP的IP地址，即可看到AP的管理界面，在說(shuō)明書上找到AP的初始密碼，輸入后單擊“登錄”，進(jìn)入AP配置頁(yè)面。

(2)AP的常規(guī)配置界面如圖11.3所示。選擇“無(wú)線模式”為“AP模式”，用于建立Infrastructure網(wǎng)絡(luò)，允許SAT的連接，并配合其他功能可以方便的管理用戶。在“ESSID”中輸入新的字符串(出于安全考慮一般應(yīng)該對(duì)AP默認(rèn)的SSID進(jìn)行更改以防止被試探連接，本實(shí)驗(yàn)以默認(rèn)的SSID/“Wireless”為例進(jìn)行講解)。根據(jù)國(guó)家的不同選擇頻道參數(shù)，并可根據(jù)實(shí)際網(wǎng)絡(luò)需求選擇“模式”為802.11b、802.11g或混合模式。(3)

AP的安全配置。在“網(wǎng)絡(luò)鑒別方式”下拉菜單中選擇“共享密鑰”，在“數(shù)據(jù)加密”下拉菜單中選擇“WEP40”(若對(duì)加密要求高則應(yīng)選擇“WEP128”)，然后在“Passphrase”對(duì)話框中輸入一個(gè)簡(jiǎn)單的字符串，單擊其右側(cè)的“生成密鑰”按鈕，即可在密鑰序列中看到生成的密鑰，選擇其中的一個(gè)并告訴用戶作為加密密鑰。如圖11.13所示。

單擊“應(yīng)用”按鈕，AP重新啟動(dòng)，無(wú)線網(wǎng)絡(luò)適配器與AP連接斷開(kāi)。圖11.13AP安全配置

4.

STA接入AP

(1)以安裝了Windows2003的STA為例，在如圖11.8所示【網(wǎng)絡(luò)連接】窗口中右擊“無(wú)線網(wǎng)絡(luò)連接”圖標(biāo)→屬性，選擇“無(wú)線網(wǎng)絡(luò)配置”選項(xiàng)卡，選中AP網(wǎng)絡(luò)SSID，單擊“屬性”按鈕，選擇“網(wǎng)絡(luò)身份驗(yàn)證”和“數(shù)據(jù)加密”方式，輸入“網(wǎng)絡(luò)密鑰”，所有設(shè)置應(yīng)與AP中的設(shè)置保持一致，如圖11.14所示(注：如果在無(wú)線網(wǎng)絡(luò)配置中沒(méi)有找到需要連接的SSID，則可單擊“添加”按鈕，然后按次序?qū)懭敫鲄?shù))。

(2)單擊“確定”按鈕關(guān)閉所有