TCPIP路由交換技術（第二版）課件 項目12.1 了解WLAN安全技術

項目12組建安全的無線局域網(wǎng)授課教師：管秀君吉林交通職業(yè)技術學院學習目標

了解WLAN安全技術了解WLAN認證技術掌握WLAN安全策略

學會WLAN安全加密配置思維導圖了解WLAN安全技術0

1了解WLAN認證技術02學會WLAN安全策略03無線FIT模式多SSID的安全加密04CONTENTS目錄學習任務12.1了解WLAN安全技術12.1.1

WLAN的安全威脅數(shù)據(jù)容易被竊取、攔截、篡改無線信號容易被黑客或惡意用戶竊取、篡改或攔截，從而引發(fā)一系列安全問題。例如，攻擊者可以利用無線信號漏洞來竊取WLAN用戶的賬戶、密碼等個人敏感信息接入網(wǎng)絡，或通過網(wǎng)絡釣魚等手段誘騙用戶輸入個人信息，再利用信息進行詐騙和其他不法行為。地址欺騙由于IEEE802.11系列協(xié)議中網(wǎng)絡對數(shù)據(jù)幀不進行認證操作，所以攻擊者通常會檢測到授權設備(如AP)的MAC地址，并嘗試冒充授權設備建立連接。MAC地址欺騙攻擊主要利用了局域網(wǎng)內(nèi)交換機的轉發(fā)特性和MAC地址學習特性。這種攻擊方式相對隱蔽，攻擊者不會大規(guī)模地發(fā)送數(shù)據(jù)包，而是發(fā)送含有幾個特定源MAC地址的數(shù)據(jù)包。由于交換機MAC地址表都具有一定的空間限制，當MAC地址表被占滿后，就無法學習到新的MAC地址，因此，MAC地址的洪范就破壞了整個局域網(wǎng)的可用性。拒絕服務拒絕服務（Dos）攻擊也是WLAN常見的一種網(wǎng)絡攻擊方式，其主要目的是通過發(fā)送大量無用的請求或數(shù)據(jù)包來占用系統(tǒng)資源，使系統(tǒng)無法處理合法用戶的正常請求或數(shù)據(jù)流，從而導致系統(tǒng)過載、崩潰或拒絕服務。WEP秘鑰攻擊WEP密鑰的攻擊主要是由于其加密存在嚴重缺陷，使得攻擊者可以在一定條件下破解密鑰，從而獲得對無線網(wǎng)絡資源的訪問權限。在WLAN中，當攻擊者截獲到AP區(qū)域內(nèi)的數(shù)據(jù)包，同時獲取到足夠多的弱秘鑰加密包，通過統(tǒng)計分析更多使用相同密鑰流加密的密文，將密鑰流與密文進行XOR操作，一旦其中一個明文已知，很容易就可以恢復所有其他的。Rogue設備入侵WLAN中的Rogue設備入侵是指未經(jīng)授權的設備接入企業(yè)網(wǎng)絡（如圖12-2所示），例如攻擊者將未經(jīng)授權的RogueAP連接到授權網(wǎng)絡上，出現(xiàn)惡意雙胞胎AP，并通過RogueAP繞過企業(yè)網(wǎng)絡的邊界防護，在內(nèi)網(wǎng)中暢行無阻。此外，隔壁鄰居AP也是需要防備的一種Rogue設備，如在公司旁的餐館、咖啡店內(nèi)部署的外部AP，當員工使用企業(yè)授權過的移動客戶端連接到這些咖啡店網(wǎng)絡的鄰居AP時，就能夠繞過公司防火墻設置的邊界安全和安全限制，將威脅不經(jīng)意間帶進企業(yè)內(nèi)網(wǎng)。12.1.2

WLAN的安全措施WLAN的安全措施213加密技術加密技術是保障無線網(wǎng)絡WIAN安全性的基礎。通過對傳輸?shù)臄?shù)據(jù)進行加密，可以有效地防止數(shù)據(jù)被竊聽或篡改。WEP加密WPA/WPA2加密認證機制為了防止未經(jīng)授權的用戶接入無線局域網(wǎng)，可以采用認證方法。常見的認證方法包括基于密碼的認證基于MAC地址的認證基于證書的認證系統(tǒng)防護為為了防止惡意攻擊，無線網(wǎng)絡WIAN可采用防護措施無線入侵檢測系統(tǒng)WIDS無線入侵防御系統(tǒng)WIPS加密技術——WEP加密WEP（WiredEquivalentPrivacy）是有線等效保密協(xié)議的簡稱，是一種無線網(wǎng)絡加密技術，它是IEEE802.11標準的一部分，旨在為無線網(wǎng)絡提供數(shù)據(jù)加密和基本的安全性。WEP使用RC4流式密碼算法對數(shù)據(jù)進行加密，并采用CRC-32校驗和來檢測數(shù)據(jù)完整性。加密過程中，WEP使用一個共享密鑰和一個初始化向量（IV）作為輸入，通過密鑰生成函數(shù)生成一個密鑰流，然后與明文數(shù)據(jù)進行XOR運算，生成密文數(shù)據(jù)，接收端則使用相同的算法和密鑰對密文數(shù)據(jù)進行解密，恢復出原始數(shù)據(jù)。加密技術——WPA/WPA2加密WPA/WPA2（Wi-FiProtectedAccess）是一種Wi-Fi安全訪問保護協(xié)議，通過使用預設共享密鑰（Pre-SharedKey，簡稱PSK）來保護無線局域網(wǎng)的通信安全，同時，通過使用AES（AdvancedEncryptionStandard，高級加密標準）算法對數(shù)據(jù)進行加密，確保數(shù)據(jù)的機密性。認證機制123基于密碼的認證需要用戶提供正確的用戶名和密碼，才能接入無線局域網(wǎng)，在密碼策略上包括密碼復雜度要求、密碼過期機制和登錄失敗鎖定等戰(zhàn)?；贛AC地址的認證是將用戶的MAC地址添加到無線局域網(wǎng)的訪問控制列表中，只有在列表中的MAC地址才能訪問無線局域網(wǎng)?；谧C書的認證則是使用數(shù)字證書來驗證用戶的身份。系統(tǒng)防護——WIDS無線入侵檢測系統(tǒng)WIDS01無線入侵檢測系統(tǒng)WIDS工作的主要特點：無線網(wǎng)絡的實時監(jiān)測：無線入侵檢測系統(tǒng)WIDS可以按照預設的安全規(guī)則和策略，對網(wǎng)絡系統(tǒng)的運行狀況進行監(jiān)測；入侵檢測與威脅識別：當監(jiān)聽到與預設規(guī)則相匹配的非法AP、網(wǎng)橋、STA和信道重合的干擾AP，或者非法的網(wǎng)絡時，WIDS就會觸發(fā)警報，并將相關信息發(fā)送給網(wǎng)絡管理員，幫助管理員及時發(fā)現(xiàn)潛在的威脅，并采取相應的措施進行應對。系統(tǒng)防護——WIPS無線入侵防御系統(tǒng)WIPS02無線入侵防御系統(tǒng)WIPS的主要特點：無線網(wǎng)絡的實時監(jiān)測：通過監(jiān)聽無線信號，對無線網(wǎng)絡進行實時的監(jiān)控和檢測。這種監(jiān)測包括了對網(wǎng)絡流量、設備行為以及異常事件的觀察和分析。入侵檢測與威脅識別：具有強大的入侵檢測功能，能夠通過分析收集到的數(shù)據(jù)包，識別出各種潛在的威脅和入侵行為。這些威脅包括惡意攻擊、未經(jīng)授權的訪問、病毒傳播等。自動防御與阻斷：一旦檢測到威脅或入侵行為，WIPS將立即啟動自動防御機制。包括阻止惡意流量、隔離可疑設備、向管理員發(fā)送警報等措施，以防止威脅進一步擴大。動態(tài)安全策略：能夠根據(jù)威脅的類型和嚴重程度，動態(tài)調整安全策略。例如，對于某些已知的惡意IP地址，WIPS可以自動將其加入黑名單，