《網(wǎng)絡(luò)安全-鄭萬波》網(wǎng)絡(luò)安全.ppt

《《網(wǎng)絡(luò)安全-鄭萬波》網(wǎng)絡(luò)安全.ppt》由會員分享，可在線閱讀，更多相關(guān)《《網(wǎng)絡(luò)安全-鄭萬波》網(wǎng)絡(luò)安全.ppt（79頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

網(wǎng)絡(luò)安全 第9講 2 無線局域網(wǎng) 無線網(wǎng)絡(luò)技術(shù)進(jìn)展無線局域網(wǎng)技術(shù)無線局域網(wǎng)概述無線局域網(wǎng)的組建無線局域網(wǎng)的配置無線局域網(wǎng)安全技術(shù)無線局域網(wǎng)的安全問題無線局域網(wǎng)安全技術(shù) 無線網(wǎng)絡(luò)技術(shù)進(jìn)展 3 4 5 6 無線局域網(wǎng)概述 1無線局域網(wǎng)的概念和特點(diǎn)無線局域網(wǎng)的概念無線局域網(wǎng) WirelessLocalAreaNetwork 即WLAN 是利用無線通信技術(shù) 在一定的局部范圍內(nèi)建立的網(wǎng)絡(luò) 是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物 它以無線傳輸媒體作為傳輸介質(zhì) 提供傳統(tǒng)有線局域網(wǎng)的功能 并能使用戶實(shí)現(xiàn)隨時 隨地的網(wǎng)絡(luò)接入 之所以稱其是局域網(wǎng) 是因?yàn)槭艿綗o線連接設(shè)備與計算機(jī)之間距離的限制而影響傳輸范圍 必須在區(qū)域范圍之內(nèi)才可以組網(wǎng) 7 無線局域網(wǎng)概述 無線局域網(wǎng)的特點(diǎn) 1 安裝便捷 維護(hù)方便免去或減少了網(wǎng)絡(luò)布線的工作量 一般只要安裝一個或多個接入點(diǎn) AccessPoint AP 設(shè)備 就可以建立覆蓋整個建筑物或區(qū)域的局域網(wǎng) 2 使用靈活 移動簡單一旦無線局域網(wǎng)建成后 在無線網(wǎng)的信號覆蓋范圍內(nèi)任何一個位置都可以接入網(wǎng)絡(luò) 使用無線局域網(wǎng)不僅可以減少與布線相關(guān)的一些費(fèi)用 還可以為用戶提供靈活性更高 移動性更強(qiáng)的信息獲取方法 3 易于擴(kuò)展 大小自如有多種配置方式 能夠根據(jù)需要靈活選擇 能勝任從只有幾個用戶的小型局域網(wǎng)到上千用戶的大型網(wǎng)絡(luò) 無線局域網(wǎng)標(biāo)準(zhǔn) 無線局域網(wǎng)WLAN技術(shù)定義在IEEE802 11規(guī)范說明系列中 IEEE802 11標(biāo)準(zhǔn)定義了三種物理層介質(zhì) 跳頻擴(kuò)展頻譜FHSS FrequencyHoppingSpreadSpectrum 直接序列擴(kuò)展頻譜DSSS DirectSequenceSpreadSpectrum 紅外線 所有這些說明都采用以太網(wǎng)協(xié)議和載波監(jiān)聽多路訪問 沖突避免技術(shù) CSMA CA 替代了CSMA CD來實(shí)現(xiàn)鏈路共享 802 11棧結(jié)構(gòu) 無線局域網(wǎng)種類 1 802 11 應(yīng)用于無線局域網(wǎng) 在2 4GHz波段中傳輸速率為1Mbps或2Mbps 既支持跳頻技術(shù)FHSS也支持直接序列擴(kuò)頻DSSS 2 802 11a 802 11的擴(kuò)展說明 在5GHz波段 傳輸速率為54Mbps 802 11a支持正交頻分復(fù)用OFDM編碼方式 而不支持FHSS或DSSS 802 11a應(yīng)用于無線ATM系統(tǒng)并用于接入集線器accesshubs 3 802 11b 又稱為802 11高速率或Wi Fi 802 11的擴(kuò)展說明 在2 4GHz波段中傳輸速率為11Mbps 也可能降低為5 5Mbps 2Mbps或1Mbps 802 11b只支持DSSS 802 11b是原802 11標(biāo)準(zhǔn)的修訂版 其無線功能的性能不亞于以太網(wǎng) 4 802 11g 支持短距離無線傳輸 在2 4GHz波段中傳輸速率為20Mbps到54Mbps 802 11g支持OFDM編碼方式 CSMA CA協(xié)議 IEEE802 11的MAC層采用CSMA CA 載波偵聽多路訪問 沖突避免 協(xié)議進(jìn)行無線介質(zhì)的共享訪問 CSMA CA與CSMA CD的區(qū)別在于 CSMA CD是帶有沖突檢測的載波偵聽多路訪問 發(fā)送包的同時可以檢測到信道上有無沖突 CSMA CA是帶有沖突避免的載波偵聽多路訪問 發(fā)送包的同時不能檢測到信道上有無沖突 只能盡量 避免 IEEE802 11的載波偵聽機(jī)制與IEEE802 3的載波偵聽機(jī)制基本相同 要發(fā)送數(shù)據(jù)的站點(diǎn)首先要偵聽無線信道 如果信道處于 空閑 狀態(tài) 則等待一個很短的時間 IFS 若信道仍然空閑 它就可以發(fā)送數(shù)據(jù) 如果信道上有信號傳播 它就推遲自己的數(shù)據(jù)發(fā)送而繼續(xù)偵聽直到信道空閑 當(dāng)一幀傳輸結(jié)束后 站點(diǎn)再等待一個IFS時間 如果在此時間內(nèi)信道忙 站點(diǎn)便執(zhí)行二進(jìn)制指數(shù)退避算法并繼續(xù)偵聽信道 如果信道空閑便可以傳送下一幀 接收端收到完整的數(shù)據(jù)報則回發(fā)一個ACK 接收端如果收到 則完成一次數(shù)據(jù)收發(fā) 否則發(fā)送端重傳 CSMA CA協(xié)議的關(guān)鍵在于沖突避免CA CollisionAvoidance IEEE802 11的沖突避免采用了三種機(jī)制來實(shí)現(xiàn) 預(yù)約信道 正向確認(rèn)和RTS CTS機(jī)制 13 無線局域網(wǎng)概述 2無線局域網(wǎng)標(biāo)準(zhǔn)IEEE802 11x標(biāo)準(zhǔn) 1 IEEE802 111990年IEEE802標(biāo)準(zhǔn)化委員會成立IEEE802 11無線局域網(wǎng) WLAN 標(biāo)準(zhǔn)工作組 主要為研究1Mbps和2Mbps數(shù)據(jù)速率 工作在2 4GHz開放頻段的無線設(shè)備和網(wǎng)絡(luò)發(fā)展的全球標(biāo)準(zhǔn) 并于1997年6月公布了該標(biāo)準(zhǔn) 它是第一代無線局域網(wǎng)標(biāo)準(zhǔn)之一 該標(biāo)準(zhǔn)定義了物理層和媒體訪問控制 MAC 規(guī)范 允許無線局域網(wǎng)及無線設(shè)備制造商建立互操作網(wǎng)絡(luò)設(shè)備 后來又相繼公布了802 11b和802 11a 這兩個標(biāo)準(zhǔn)是對802 11的補(bǔ)充 14 無線局域網(wǎng)概述 2無線局域網(wǎng)標(biāo)準(zhǔn)IEEE802 11x標(biāo)準(zhǔn) 2 IEEE802 11bIEEE802 11b標(biāo)準(zhǔn)規(guī)定無線局域網(wǎng)工作頻段在2 4 2 4835GHz 數(shù)據(jù)傳輸速率達(dá)到11Mbps 傳輸距離控制在50 150英寸 IEEE802 11b已成為當(dāng)前主流的無線局域網(wǎng)標(biāo)準(zhǔn) 被多數(shù)廠商所采用 所推出的產(chǎn)品廣泛應(yīng)用在辦公室 家庭 賓館 車站 機(jī)場等眾多場合 802 11b標(biāo)準(zhǔn) 16 無線局域網(wǎng)概述 2無線局域網(wǎng)標(biāo)準(zhǔn)IEEE802 11x標(biāo)準(zhǔn) 3 IEEE802 11a802 11a標(biāo)準(zhǔn)規(guī)定無線局域網(wǎng)工作頻段在5 15 8 825GHz 數(shù)據(jù)傳輸速率達(dá)到54Mbps 傳輸距離控制在10 100m 802 11a標(biāo)準(zhǔn)的優(yōu)點(diǎn)是傳輸速度快 可達(dá)54Mbps 完全能滿足語音 數(shù)據(jù) 圖像等業(yè)務(wù)的需要 缺點(diǎn)是無法與802 11b兼容 使一些早購買802 11b標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)設(shè)備在新的802 11a網(wǎng)絡(luò)中不能用 17 無線局域網(wǎng)概述 2無線局域網(wǎng)標(biāo)準(zhǔn)IEEE802 11x標(biāo)準(zhǔn) 4 IEEE802 11g最早推出的是802 11b 它的傳輸速率為11Mbps 因?yàn)樗倪B接速度比較低 隨后推出了802 11a標(biāo)準(zhǔn) 它的連接速度可達(dá)54Mbps 但由于兩者互不兼容 所以IEEE又正式推出了完全兼容802 11b且與802 11a速率上兼容的802 11g標(biāo)準(zhǔn) 這樣通過802 11g 原有的802 11b和802 11a兩種標(biāo)準(zhǔn)的設(shè)備就可以在同一網(wǎng)絡(luò)中使用 18 無線局域網(wǎng)概述 2無線局域網(wǎng)標(biāo)準(zhǔn)HomeRF 家庭網(wǎng)絡(luò) 標(biāo)準(zhǔn)HomeRF RF意思是射頻 無線標(biāo)準(zhǔn)是由HomeRF工作組開發(fā)的 旨在家庭范圍內(nèi) 使計算機(jī)與其他電子設(shè)備之間實(shí)現(xiàn)無線通信的開放性工業(yè)標(biāo)準(zhǔn) 2001年8月推出HomeRF2 0版 集成了語音和數(shù)據(jù)傳送技術(shù) 工作頻段在10GHz 數(shù)據(jù)傳輸速率達(dá)到10Mbps 在WLAN的安全性方面主要考慮訪問控制和加密技術(shù) 19 無線局域網(wǎng)概述 2無線局域網(wǎng)標(biāo)準(zhǔn)藍(lán)牙 Bluetooth 標(biāo)準(zhǔn)對于802 11來說 藍(lán)牙 IEEE802 15 技術(shù)的出現(xiàn)不是為了競爭而是相互補(bǔ)充 藍(lán)牙 是一種先進(jìn)的近距離無線數(shù)字通信的技術(shù)標(biāo)準(zhǔn) 其目標(biāo)是實(shí)現(xiàn)最高數(shù)據(jù)傳輸速度1Mbps 有效傳輸速率為721kbps 傳輸距離為10厘米 10米 通過增加發(fā)射功率可達(dá)到100米 從目前的藍(lán)牙產(chǎn)品來看 藍(lán)牙主要應(yīng)用在手機(jī) 筆記本計算機(jī)等數(shù)字終端設(shè)備之間的通信和以上設(shè)備與Internet的連接 藍(lán)牙系統(tǒng)也嵌入微波爐 洗衣機(jī) 電冰箱 空調(diào)等傳統(tǒng)家用電器 20 無線局域網(wǎng)概述 3無線局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)無中心拓?fù)浣Y(jié)構(gòu)該結(jié)構(gòu)又稱對等模式 每臺計算機(jī)只需一塊無線網(wǎng)卡就能實(shí)現(xiàn)無線數(shù)據(jù)傳輸 要求網(wǎng)中任意兩點(diǎn)均可直接通信 采用這種結(jié)構(gòu)的網(wǎng)絡(luò)一般使用公用廣播信道 而信道接入控制協(xié)議多采用CSMA類型的多址接入?yún)f(xié)議 這種結(jié)構(gòu)的優(yōu)點(diǎn)是網(wǎng)絡(luò)抗毀性好 建網(wǎng)容易且費(fèi)用較低 但當(dāng)網(wǎng)中用戶數(shù) 站點(diǎn)數(shù) 過多時 信道競爭成為限制網(wǎng)絡(luò)性能的瓶頸 21 無線局域網(wǎng)概述 蜂窩系統(tǒng)中是以信道來區(qū)分通信對象的 一個信道只容納一個用戶進(jìn)行通話 許多同時通話的用戶 互相以信道來區(qū)分 這就是多址 移動通信系統(tǒng)是一個多信道同時工作的系統(tǒng) 具有廣播和大面積覆蓋的特點(diǎn) 在移動通信環(huán)境的電波覆蓋區(qū)內(nèi) 如何建立用戶之間的無線信道的連接 是多址接入方式的問題 解決多址接入問題的方法叫多址接入技術(shù) 具體來說 從移動通信網(wǎng)的構(gòu)成可以看出 大部分移動通信系統(tǒng)都有一個或幾個基站和若干個移動臺 基站要和許多移動臺同時通信 因而基站通常是多路的 有多個信道 而每個移動臺只供一個用戶使用 是單路的 許多用戶同時通話 以不同的信道分隔 防止相互干擾 各用戶信號通過某些特定的方式進(jìn)行信道的復(fù)用 從而建立各自的信道 以實(shí)現(xiàn)雙邊通信的聯(lián)接稱多址聯(lián)接 多址聯(lián)接方式是移動通信網(wǎng)體制范疇 關(guān)系到系統(tǒng)容量 小區(qū)構(gòu)成 頻譜和信道利用效率以及系統(tǒng)復(fù)雜性 蜂窩是指移動網(wǎng)的組網(wǎng)形狀像蜂窩煤一樣 蜂窩通信系統(tǒng)經(jīng)歷了第一代 1G 第二代 2G 并正向第三代 3G 發(fā)展 和第4代 4G 邁進(jìn) 22 無線局域網(wǎng)概述 3無線局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)有中心拓?fù)浣Y(jié)構(gòu)該結(jié)構(gòu)又稱中心模式 以接入點(diǎn)AP為中心 所有的基站通信都要通過AP轉(zhuǎn)接 需要一個無線接入點(diǎn) N塊無線網(wǎng)卡 該結(jié)構(gòu)的優(yōu)點(diǎn)是當(dāng)網(wǎng)絡(luò)業(yè)務(wù)量增大時網(wǎng)絡(luò)吞吐性能及網(wǎng)絡(luò)時延性能的惡化并不劇烈 網(wǎng)絡(luò)中地點(diǎn)布局受環(huán)境限制小 弱點(diǎn)是抗毀性差 中心站點(diǎn)的故障易導(dǎo)致整個網(wǎng)絡(luò)癱瘓 且中心站點(diǎn)的引入增加了網(wǎng)絡(luò)成本 在實(shí)際應(yīng)用中 無線局域網(wǎng)往往與有線主干網(wǎng)結(jié)合起來使用 這時 中心站點(diǎn)充當(dāng)無線局域網(wǎng)與有線主干網(wǎng)的轉(zhuǎn)接器 23 無線局域網(wǎng)的組建 1無線局域網(wǎng)的主要設(shè)備無線網(wǎng)卡無線網(wǎng)卡安裝在計算機(jī)上 用于計算機(jī)之間或計算機(jī)與無線AP 路由器之間的無線連接 其作用和功能跟普通網(wǎng)卡一樣 是用來連接到局域網(wǎng)上的 差別在于前者的數(shù)據(jù)傳送是借助無線電波 而后者則是通過實(shí)際的網(wǎng)絡(luò)線 根據(jù)接口類型的不同 無線網(wǎng)卡主要分為3種類型 即PCMCIA無線網(wǎng)卡 PCI無線網(wǎng)卡和USB無線網(wǎng)卡 24 無線局域網(wǎng)的組建 1無線局域網(wǎng)的主要設(shè)備無線接入器無線接入器有3種基本類型 無線收發(fā)器 無線網(wǎng)橋和無線路由器 無線收發(fā)器又稱無線AP 其作用類似于集線器或交換機(jī) 是無線局域網(wǎng)的核心 它是無線終端接入有線骨干網(wǎng)的接入點(diǎn) 典型覆蓋距離在幾十米至上百米 無線收發(fā)器 25 無線局域網(wǎng)的組建 1無線局域網(wǎng)的主要設(shè)備無線接入器無線寬帶路由器 無線AP 寬帶路由器 路由器 交換機(jī) 防火墻 無線AP功能 無線網(wǎng)絡(luò)接入點(diǎn)寬帶接入功能 接入Internet LAN ADSL 路由器功能 網(wǎng)絡(luò)互連功能 局域網(wǎng)網(wǎng)關(guān) 交換機(jī)功能 局域網(wǎng)組網(wǎng)防火墻功能 安全措施 含過濾 ACL NAT等 26 無線局域網(wǎng)的組建 1無線局域網(wǎng)的主要設(shè)備無線接入器無線網(wǎng)橋可以用于連接兩個或多個獨(dú)立的網(wǎng)段 這些網(wǎng)段通常位于不同的建筑內(nèi) 相距幾百米到幾十公里 所以說它可以廣泛應(yīng)用在不同建筑物間的互聯(lián) 它通常是用于室外 使用無線網(wǎng)橋不可能只使用一個 必需兩個以上 而AP可以單獨(dú)使用 無線網(wǎng)橋功率大 傳輸距離遠(yuǎn) 最大可達(dá)約50km 抗干擾能力強(qiáng)等 不自帶天線 一般配備拋物面天線實(shí)現(xiàn)長距離的點(diǎn)對點(diǎn)連接 27 無線局域網(wǎng)的組建 1無線局域網(wǎng)的主要設(shè)備無線天線當(dāng)計算機(jī)與無線AP或其他計算機(jī)相距較遠(yuǎn)時 隨著信號的減弱 或者傳輸速率明顯下降 或者根本無法實(shí)現(xiàn)與AP或其他計算機(jī)間通訊 此時 就必須借助于無線天線對所接收或發(fā)送的信號進(jìn)行增益 增益表示天線功率放大倍數(shù) 數(shù)值越大表示信號的放大倍數(shù)就越大 也就是說當(dāng)增益數(shù)值越大 信號越強(qiáng) 傳輸質(zhì)量就越好 增益的單位是 dB 28 無線局域網(wǎng)的組建 2無線局域網(wǎng)的組網(wǎng)模式Ad Hoc模式 即點(diǎn)對點(diǎn)無線網(wǎng)絡(luò)Ad Hoc網(wǎng)絡(luò)是一種點(diǎn)對點(diǎn)的對等式移動網(wǎng)絡(luò) 不需要具有控制轉(zhuǎn)換功能的無線AP 所有的終端設(shè)備都能對等地相互通信 如右圖所示 在Ad Hoc模式的局域網(wǎng)中 一個基站會自動設(shè)置為初始站 并對網(wǎng)絡(luò)進(jìn)行初始化 使所有同域 SSID相同 的基站成為一個局域網(wǎng) 29 無線局域網(wǎng)的組建 2無線局域網(wǎng)的組網(wǎng)模式Ad Hoc模式 即點(diǎn)對點(diǎn)無線網(wǎng)絡(luò)基站是固定的高功率多信道雙向無線電發(fā)送機(jī) 典型的被應(yīng)用于低功率信道雙向無線通訊 如移動電話 無線路由器等 當(dāng)使用手機(jī)打電話時 信號就會同時由附近的一個基站發(fā)送和接收 通過基站 電話被接入到移動電話網(wǎng)的有線網(wǎng)絡(luò)中 中國移動的基站采用小區(qū)制 覆蓋范圍幾KM 而聯(lián)通采用大區(qū)制 可以覆蓋幾十KM 輻射的頻率大小和能量決定覆蓋范圍 SSID ServiceSetIdentifier 服務(wù)集標(biāo)識 SSID技術(shù)可以將一個無線局域網(wǎng)分為幾個需要不同身份驗(yàn)證的子網(wǎng)絡(luò) 每一個子網(wǎng)絡(luò)都需要獨(dú)立的身份驗(yàn)證 只有通過身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò) 從而防止未被授權(quán)的用戶進(jìn)入 SSID用來區(qū)分不同的網(wǎng)絡(luò) 無線網(wǎng)卡設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò) SSID通常由AP廣播出來 通過XP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID 出于安全考慮可以不廣播SSID 此時用戶就要手工設(shè)置SSID才能進(jìn)入相應(yīng)的網(wǎng)絡(luò) 簡單說 SSID就是一個局域網(wǎng)的名稱 只有設(shè)置為名稱相同SSID的值的電腦才能互相通信 30 無線局域網(wǎng)的組建 2無線局域網(wǎng)的組網(wǎng)模式Infrastructure模式 即集中控制式網(wǎng)絡(luò)集中控制式模式網(wǎng)絡(luò) 是一種整合有線與無線局域網(wǎng)架構(gòu)的應(yīng)用模式 在這種模式中 無線網(wǎng)卡與無線AP進(jìn)行無線連接 再通過無線AP與有線網(wǎng)絡(luò)建立連接 Infrastructure模式網(wǎng)絡(luò)還可以分為3種模式 室內(nèi)移動辦公 室外點(diǎn)對點(diǎn)和室外點(diǎn)對多點(diǎn) 31 無線局域網(wǎng)的組建 室內(nèi)移動辦公這種方式以星型拓?fù)錇榛A(chǔ) 以AP為中心 所有的基站通信都要通過AP接轉(zhuǎn) 由于AP有以太網(wǎng)接口 這樣 既能以AP為中心獨(dú)立建立一個無線局域網(wǎng) 也能以AP作為一個有線局域網(wǎng)的擴(kuò)展部分 如圖所示 32 無線局域網(wǎng)的組建 室外點(diǎn)對點(diǎn)A網(wǎng)與B網(wǎng)分別為兩個有線局域網(wǎng) 在距離較遠(yuǎn)無法布線的情況下 可通過兩臺無線網(wǎng)橋?qū)蓚€有線局域網(wǎng)連在一起 通過網(wǎng)橋上的RJ 45接口與有線的交換機(jī)相連 33 無線局域網(wǎng)的組建 室外點(diǎn)對多點(diǎn)A是有線中心局域網(wǎng) B C D分別是外圍的3個有線局域網(wǎng) 在無線設(shè)備上中心點(diǎn)需要全向天線 其它各點(diǎn)采用定向天線 此方案適用于總部與多個分部的局域網(wǎng)連接 其傳輸速率為11Mbps 傳輸距離小于10km 工作頻率為2 4GHz 34 11 3無線局域網(wǎng)的配置 1配置無線AP這里以TL WR641G108M無線路由器為例 首先介紹AP的配置 TL WR641G默認(rèn)設(shè)置IP為192 168 1 1 不同的AP其默認(rèn)IP不同 用戶名和密碼均為admin 如果配置信息丟失 可以在啟動時按Reset恢復(fù)默認(rèn)設(shè)置 無線AP的配置一般是通過一臺計算機(jī) 利用Web方式進(jìn)行 具體操作是 35 無線局域網(wǎng)的配置 1配置無線AP第1步 給無線AP通電將無線AP自帶的交直流電源線一端插入220V電源插座 另一端插入無線AP的電源接口 使其接通電源 第2步 給計算機(jī)安裝網(wǎng)卡驅(qū)動程序?qū)o線網(wǎng)卡插入計算機(jī) 系統(tǒng)自動提示發(fā)現(xiàn)新硬件 根據(jù)屏幕提示進(jìn)行網(wǎng)卡驅(qū)動程序的安裝 安裝過程完成后 在計算機(jī) 設(shè)備管理器 里面可以看到網(wǎng)卡驅(qū)動正常安裝 如下頁圖所示 36 無線局域網(wǎng)的配置 37 無線局域網(wǎng)的配置 1配置無線AP第3步 計算機(jī)連接無線AP網(wǎng)卡驅(qū)動安裝完成 計算機(jī)屏幕右下方出現(xiàn)處于斷開狀態(tài)的 無線連接 圖標(biāo) 單擊鼠標(biāo)右鍵 出現(xiàn)如下左圖所示 單擊 查看可用的無線網(wǎng)絡(luò) V 出現(xiàn)如下右圖所示 顯示查找到的無線AP 單擊 連接 按鈕 計算機(jī)與選擇的無線AP建立連接 計算機(jī)屏幕右下的 無線連接 圖標(biāo)變?yōu)橐堰B接狀態(tài) 38 無線局域網(wǎng)的配置 1配置無線AP第4步 配置無線AP打開配置用計算機(jī)的瀏覽器 如IE 在地址欄內(nèi)輸入 http 192 168 1 1 單擊回車鍵 出現(xiàn)如下左圖所示 輸入用戶名和密碼 這里默認(rèn)均為admin 單擊 確定 按鈕 顯示如下右圖所示瀏覽器的界面 該圖左邊列出了無線AP配置的項(xiàng)目 單擊 無線參數(shù) 選項(xiàng) 出現(xiàn)無線網(wǎng)絡(luò)基本配置對話框 如下頁圖所示 39 無線局域網(wǎng)的配置 SSID 用于識別無線設(shè)備的服務(wù)集標(biāo)志符 可采用默認(rèn)值TP LINK 也可根據(jù)自己的喜好更改 頻道 用于確定本網(wǎng)絡(luò)工作的頻率段 選擇范圍從1 11 默認(rèn)是6 模式 用于設(shè)置AP的工作模式 一般不必做改動 默認(rèn)就可以 開啟無線功能 使TL WR641G的無線功能打開或關(guān)閉 允許SSID廣播 默認(rèn)情況下AP都是向周圍空間廣播SSID通告自己的存在 這種情況下無線網(wǎng)卡都可以搜索到這個AP的存在 開啟安全設(shè)置 對無線網(wǎng)絡(luò)安全設(shè)置 在右圖對話框內(nèi)配置完無線AP的基本參數(shù)后單擊 保存 這時 會在WR641G周圍生成一個無線網(wǎng)絡(luò) 該網(wǎng)絡(luò)的SSID標(biāo)識符是 TP LINK 工作信道是6 網(wǎng)絡(luò)沒有加密 可以提供給無線網(wǎng)卡來連接 40 無線局域網(wǎng)的配置 2無線局域網(wǎng)的組建實(shí)例 Ad Hoc 點(diǎn)對點(diǎn) 模式無線局域網(wǎng)的組建一般的無線網(wǎng)卡在室內(nèi)環(huán)境下傳輸距離通常為40m左右 當(dāng)超過此有效傳輸距離就不能實(shí)現(xiàn)彼此之間的通信 因此 該種模式比較適合一些小規(guī)模甚至臨時性的無線局域網(wǎng)互連需求 這里以兩臺計算機(jī)為例 介紹組建Ad Hoc無線局域網(wǎng)的具體過程 無線網(wǎng)卡以USB接口的TL WN320G為例 其中 要求兩臺計算機(jī)共享一條帶寬接入Internet 第1步 把USB接口的無線網(wǎng)卡接到其中的一臺計算機(jī)上 機(jī)器提示找到新硬件 根據(jù)屏幕提示安裝無線網(wǎng)卡的驅(qū)動程序 第2步 鼠標(biāo)右擊桌面的 網(wǎng)上鄰居 圖標(biāo) 選擇 屬性 選項(xiàng) 可以看到該機(jī)除了原有的連接外網(wǎng)的圖標(biāo)之外 還新增加了一個 無線網(wǎng)絡(luò)連接 圖標(biāo) 這就是無線網(wǎng)卡對應(yīng)的連接圖標(biāo) 41 無線局域網(wǎng)的配置 2無線局域網(wǎng)的組建實(shí)例 Ad Hoc 點(diǎn)對點(diǎn) 模式無線局域網(wǎng)的組建第3步 設(shè)置無線網(wǎng)絡(luò)無線網(wǎng)卡驅(qū)動程序安裝完成后 在屏幕右下角出現(xiàn)一個閃動的圖標(biāo) 鼠標(biāo)雙擊 無線網(wǎng)絡(luò)圖標(biāo) 出現(xiàn)右圖所示的無線網(wǎng)絡(luò)配置對話框 在網(wǎng)絡(luò)模式選項(xiàng)框內(nèi) 選擇 對等 Ad Hoc 在網(wǎng)絡(luò)名稱 SSID 選項(xiàng)框內(nèi) 勾擇 自動掃描網(wǎng)絡(luò)名稱 其他的設(shè)置采用默認(rèn)設(shè)置 完成后單擊 連接 按鈕并關(guān)閉該對話框 42 無線局域網(wǎng)的配置 2無線局域網(wǎng)的組建實(shí)例 Ad Hoc 點(diǎn)對點(diǎn) 模式無線局域網(wǎng)的組建第4步 設(shè)置第一臺計算機(jī)的IP地址右擊桌面的 網(wǎng)上鄰居 圖標(biāo) 選擇 屬性 右擊 無線網(wǎng)絡(luò)連接 選擇 屬性 在出現(xiàn)的對話框中雙擊 Internet協(xié)議 TCP IP 彈出屬性對話框 選擇 使用下面的IP地址 并在 IP地址 文本框中輸入 192 168 0 1 子網(wǎng)掩碼 由系統(tǒng)自動生成 255 255 255 0 默認(rèn)網(wǎng)關(guān)和其它選項(xiàng)均可不設(shè) 單擊 確定 按鈕 43 無線局域網(wǎng)的配置 2無線局域網(wǎng)的組建實(shí)例 Ad Hoc 點(diǎn)對點(diǎn) 模式無線局域網(wǎng)的組建第5步 設(shè)置第二臺計算機(jī)重復(fù)上述第1步 第4步 對第二臺計算機(jī)完成無線網(wǎng)絡(luò)的配置 不同之處有兩點(diǎn) 在第3步設(shè)置無線網(wǎng)絡(luò)完成后 單擊 連接 按鈕時 由于已經(jīng)存在一個設(shè)置好的無線對等網(wǎng)絡(luò)終端 所以 第二臺計算機(jī)通過自動搜索找到第一臺無線終端 二者并自動建立連接 構(gòu)成對等網(wǎng)絡(luò) 狀態(tài)如下圖所示 在第4步設(shè)置第二臺計算機(jī)的IP地址時 需將該機(jī)的IP地址設(shè)置為192 168 0 2 192 168 0 254之間的任何一個即可 完成后單擊 確定 按鈕 44 無線局域網(wǎng)的配置 2無線局域網(wǎng)的組建實(shí)例 Ad Hoc 點(diǎn)對點(diǎn) 模式無線局域網(wǎng)的組建第6步 對等網(wǎng)絡(luò)的資源共享分別在兩臺計算機(jī)上完成以下操作 以WindowsXP系統(tǒng)為例 鼠標(biāo)右擊 我的電腦 單擊 屬性 在彈出的 系統(tǒng)屬性 窗口中單擊 計算機(jī)名 選項(xiàng)卡里的 更改 按鈕 在 工作組 里輸入任意工作組名稱 單擊 確定 按鈕 這樣 在兩臺計算機(jī)的 網(wǎng)上鄰居 中 就可以看到另一臺計算機(jī) 設(shè)置好共享文件 兩臺計算機(jī)就能夠共享資源了 45 無線局域網(wǎng)的配置 2無線局域網(wǎng)的組建實(shí)例 Ad Hoc 點(diǎn)對點(diǎn) 模式無線局域網(wǎng)的組建第7步 利用校園網(wǎng)共享連接接入Internet其中 第一臺計算機(jī)要求安裝有兩塊網(wǎng)卡 有線網(wǎng)卡通過網(wǎng)線接入校園網(wǎng) 無線網(wǎng)卡與第二臺計算機(jī)組成無線對等網(wǎng)絡(luò) 在第一臺計算機(jī)上做如下設(shè)置 右擊桌面的 網(wǎng)上鄰居 選擇 屬性 右擊 本地連接 選擇 屬性 再單擊 高級 選項(xiàng)卡 出現(xiàn)如下頁左圖所示對話框 在 Internet連接共享 內(nèi)容框內(nèi) 勾選 允許其他網(wǎng)絡(luò)用戶通過此計算機(jī)的Internet連接來連接 復(fù)選框 單擊 確定 按鈕 顯示如下頁右圖所示提示框 單擊 是 按鈕完成設(shè)置 在第二臺計算機(jī)的 無線網(wǎng)絡(luò)連接 屬性對話框中 選擇 Internet協(xié)議 TCP IP 單擊 屬性 按鈕 出現(xiàn)屬性設(shè)置窗口 在 默認(rèn)網(wǎng)關(guān) 文本框內(nèi)輸入第一臺計算機(jī)的IP地址 即 192 168 0 1 并在 首選DNS服務(wù)器 文本框中也輸入 192 168 0 1 單擊 確定 按鈕 完成設(shè)置 至此 Ad Hoc結(jié)構(gòu)的無線局域網(wǎng)就組建完成 46 無線局域網(wǎng)的配置 47 無線局域網(wǎng)的安全問題無線局域網(wǎng)安全技術(shù) 無線局域網(wǎng)安全技術(shù) 48 無線局域網(wǎng)的安全問題 隨著移動電話 個人數(shù)字助理 筆記本計算機(jī) 掌上計算機(jī)等各種便攜式終端的迅速發(fā)展 可以隨時隨地進(jìn)行通信的無線網(wǎng)絡(luò)日益受到重視 無線網(wǎng)絡(luò)為移動計算提供了支撐環(huán)境 相對于有線網(wǎng)絡(luò) 無線網(wǎng)絡(luò)為用戶提供便利性的同時 也為基于無線鏈路和智能移動終端蓄意破環(huán) 篡改 竊聽 假冒 泄露和非法訪問信息資源的各種惡意行為提供了方便 因此 無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)存在更多的安全隱患和威脅 此外 由于無線網(wǎng)絡(luò)本身體系結(jié)構(gòu)復(fù)雜 傳輸速率慢 信號易受干擾 安全隱患多 通信成本高等固有的局限性 目前有線網(wǎng)絡(luò)仍然是計算機(jī)網(wǎng)絡(luò)的主體 無線網(wǎng)絡(luò)只是有線網(wǎng)絡(luò)的補(bǔ)充 主要用于不便布線和要求移動計算的場合 49 無線局域網(wǎng)的安全問題 存在的威脅竊聽 任何人都可以用一臺帶無線網(wǎng)卡的PC機(jī)或者廉價的無線掃描器進(jìn)行竊聽 但是發(fā)送者和預(yù)期的接收者無法知道傳輸是否被竊聽 且無法檢測竊聽 修改替換 在無線局域網(wǎng)中 較強(qiáng)節(jié)點(diǎn)可以屏蔽較弱節(jié)點(diǎn) 用自已的數(shù)據(jù)取代 甚至?xí)嫫渌?jié)點(diǎn)作出反應(yīng) 傳遞信任 當(dāng)公司網(wǎng)絡(luò)包括一部分無線局域網(wǎng)時 就會為攻擊者提供一個不需要物理安裝的接口用于網(wǎng)絡(luò)入侵 因此 參與通信的雙方都應(yīng)該能相互認(rèn)證 50 無線網(wǎng)絡(luò)面臨的安全問題 基礎(chǔ)結(jié)構(gòu)攻擊 基礎(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞如軟件bugs 錯誤配置 硬件故障等發(fā)起的攻擊 針對這種攻擊進(jìn)行的保護(hù)幾乎是不可能的 所能做的就是盡可能地降低破壞所造成的損失 拒絕服務(wù) 無線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊 攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號來干擾網(wǎng)絡(luò)的正常運(yùn)行 從而導(dǎo)致正常的用戶無法使用網(wǎng)絡(luò) 置信攻擊 通常情況下 攻擊者可以將自己偽造成基站 當(dāng)攻擊者擁有一個很強(qiáng)的發(fā)送設(shè)備時 就可以讓移動設(shè)備嘗試登錄到他的網(wǎng)絡(luò) 通過分析竊取密鑰和口令 以便發(fā)動針對性的攻擊 51 無線網(wǎng)絡(luò)面臨的安全問題 戰(zhàn)爭驅(qū)車探測無線網(wǎng)絡(luò)攻擊步驟與有線網(wǎng)絡(luò)攻擊類似 第一步是發(fā)現(xiàn)目標(biāo)無線網(wǎng)絡(luò) 多數(shù)機(jī)構(gòu)都使用防火墻作為內(nèi)部網(wǎng)絡(luò)的第一道安全防線 但內(nèi)部網(wǎng)中私自與Internet連接的調(diào)制解調(diào)器給內(nèi)部網(wǎng)安全留下了隱患 使用戰(zhàn)爭撥號器 wardialers 軟件隨機(jī)撥打電話號碼 能夠迅速發(fā)現(xiàn)接入Internet的調(diào)制解調(diào)器 人們將尋找隱藏調(diào)制解調(diào)器的方法稱為戰(zhàn)爭撥號 wardialing 技術(shù) 其中 戰(zhàn)爭撥號中的戰(zhàn)爭 war 一詞取自著名電影真假戰(zhàn)爭 wargames 由于探測WLAN的方法有些類似戰(zhàn)爭撥號技術(shù) 人們將攜帶移動設(shè)備驅(qū)車到處轉(zhuǎn)悠尋找WLAN的方法稱為戰(zhàn)爭驅(qū)車 wardriving 技術(shù) 目前網(wǎng)絡(luò)上有Windows Unix Linux和MacOS操作系統(tǒng)平臺下運(yùn)行的多種無線局域網(wǎng)探測和定位軟件 其中最著名的WLAN探測和定位軟件是由MariusMilner開發(fā)的Netstumbler 無線網(wǎng)絡(luò)面臨的安全問題 53 無線網(wǎng)絡(luò)面臨的安全問題 使用車載筆記本電腦 配合多種高靈敏度無線網(wǎng)卡 加上天線強(qiáng)化 實(shí)現(xiàn)探測 遠(yuǎn)程破解及入侵無線接入點(diǎn)的黑客行為 戰(zhàn)爭驅(qū)車探測 54 無線網(wǎng)絡(luò)面臨的安全問題 國外無線熱點(diǎn)地圖 55 無線局域網(wǎng)安全技術(shù) 1 服務(wù)集標(biāo)識符SSID是相鄰的無線接入點(diǎn) AP 區(qū)分的標(biāo)志 無線接入用戶必須設(shè)定SSID才能和AP通信 通常SSID須事先設(shè)置于所有使用者的無線網(wǎng)卡及AP中 嘗試連接到無線網(wǎng)絡(luò)的系統(tǒng)在被允許進(jìn)入之前必須提供SSID 這是唯一標(biāo)識網(wǎng)絡(luò)的字符串 SSID只是一個簡單的口令身份認(rèn)證機(jī)制 SSID對于網(wǎng)絡(luò)中所有用戶都是相同的字符串 其安全性差 人們可以輕易地從每個信息包的明文里竊取到它 2600黑客雜志網(wǎng)站收集了幾乎所有廠商的默認(rèn)SSID和WEP密鑰 無線路由器一般都會提供允許SSID廣播功能 如果不想讓自己的無線網(wǎng)絡(luò)被別人通過SSID名稱搜索到 那么最好 禁止SSID廣播 此時無線網(wǎng)絡(luò)仍然可以使用 只是不會出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中 通過禁止SSID廣播設(shè)置后 無線網(wǎng)絡(luò)的效率會受到一定的影響 但可換取安全性的提高 56 無線局域網(wǎng)安全技術(shù) 57 無線局域網(wǎng)安全技術(shù) 2 物理地址過濾每個無線工作站的網(wǎng)卡都有唯一的物理地址 應(yīng)用媒體訪問控制 MAC 技術(shù) 可在無線局域網(wǎng)的每一個AP設(shè)置一個許可接入的用戶的MAC地址清單 MAC地址不在清單中的用戶 接入點(diǎn)將拒絕其接入請求 媒體訪問控制屬于硬件認(rèn)證 而不是用戶認(rèn)證 媒體訪問控制只適合于小型網(wǎng)絡(luò)規(guī)模 這是因?yàn)?MAC地址在網(wǎng)上是明碼模式傳送 只要監(jiān)聽網(wǎng)絡(luò)便可從中截取或盜用該MAC地址 進(jìn)而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機(jī)密資料 部分無線網(wǎng)卡允許通過軟件來更改其MAC地址 因此可通過訪問控制的檢查從而獲取訪問受保護(hù)網(wǎng)絡(luò)的權(quán)限 58 無線局域網(wǎng)安全技術(shù) 3 有線對等保密有線等效保密 WEP 是常見的資料加密措施 WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù) 以滿足用戶更高層次的網(wǎng)絡(luò)安全需求 只有當(dāng)無線客戶端的密鑰和服務(wù)設(shè)置標(biāo)識SSID servicesetidentity 與接入點(diǎn)完全相同時 客戶端才能接入WLAN 從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問 它包括多種不同的實(shí)現(xiàn)方式 無加密表示數(shù)據(jù)以明文方式傳輸 無加密不提供任何保密性 40位和104位等密鑰長度分別向用戶提供不同加密強(qiáng)度選擇 59 60 61 無線局域網(wǎng)安全技術(shù) WEP目的是向無線局域網(wǎng)提供與有線網(wǎng)絡(luò)相同級別的安全保護(hù) 它用于保障無線通信信號的安全 即保密性和完整性 但WEP提供的密鑰機(jī)制存在許多缺陷 表現(xiàn)在 密鑰是手工輸入與維護(hù) 更換密鑰費(fèi)時和困難 密鑰通常長時間使用而很少更換 若一個用戶丟失密鑰 則將危及到整個網(wǎng)絡(luò) WEP標(biāo)準(zhǔn)支持每個信息包的加密功能 但不支持對每個信息包的驗(yàn)證 針對WEP的不足之處 對WEP加以擴(kuò)展 提出了動態(tài)安全鏈路技術(shù) DSL DSL采用了128位動態(tài)分配的密鑰 每一個會話都自動生成一把密鑰 并且在同一個會話期間 對于每256個數(shù)據(jù)包 密鑰將自動改變一次 62 無線局域網(wǎng)安全技術(shù) 4 Wi Fi保護(hù)接入Wi Fi保護(hù)性接入 WPA 是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù) 其原理為根據(jù)通用密鑰 配合表示電腦MAC地址和分組信息順序號的編號 分別為每個分組信息生成不同的密鑰 然后與WEP一樣將此密鑰用RC4加密處理 通過這種處理 所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成 WPA還具有防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能 WPA標(biāo)準(zhǔn)在保持Wi Fi認(rèn)證產(chǎn)品硬件可用性的基礎(chǔ)上 解決802 11在數(shù)據(jù)加密 接入認(rèn)證和密鑰管理等方面存在的缺陷 802 11i臨時密鑰完整性協(xié)議TKIP 63 802 11i消息認(rèn)證碼協(xié)議CCMP 64 65 無線網(wǎng)絡(luò)的安全技術(shù) 5 國家標(biāo)準(zhǔn)WAPIWAPI WirelessLANAuthenticationandPrivacyInfrastructure 無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu) 是一種安全協(xié)議 同時也是中國無線局域網(wǎng)安全強(qiáng)制性標(biāo)準(zhǔn) 國家標(biāo)準(zhǔn)WAPI 即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu) 它是針對IEEE802 11中WEP協(xié)議安全問題 在中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629 11中提出的WLAN安全解決方案 WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法 分別用于WLAN設(shè)備的數(shù)字證書 密鑰協(xié)商和傳輸數(shù)據(jù)的加解密 從而實(shí)現(xiàn)設(shè)備的身份鑒別 鏈路驗(yàn)證 訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù) WAPI的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制 真正實(shí)現(xiàn)了移動終端 MT 與無線接入點(diǎn) AP 間雙向鑒別 另外 它充分考慮了市場應(yīng)用 從應(yīng)用模式上可分為單點(diǎn)式和集中式 采用WAPI可以扭轉(zhuǎn)目前WLAN多種安全機(jī)制并存且互不兼容的現(xiàn)狀 從而解決安全和兼容性問題 WAPI的優(yōu)越性 與其他無線局域網(wǎng)安全機(jī)制 如802 11i 相比 WAPI的優(yōu)越性集中體現(xiàn)在以下幾個方面 雙向身份鑒別在WAPI安全體制下 無線客戶端和WLAN設(shè)備二者處于對等地位 二者身份的相互鑒別在公信的鑒別服務(wù)器控制下實(shí)現(xiàn) 雙向鑒別機(jī)制既可防止假冒的無線客戶端接入WLAN網(wǎng)絡(luò) 同時也可杜絕假冒的WLAN設(shè)備偽裝成合法的設(shè)備 而在其它安全體制下 只能實(shí)現(xiàn)WLAN設(shè)備對無線客戶端的單向鑒別 缺乏有效的WLAN設(shè)備身份鑒別手段 數(shù)字證書身份憑證WAPI強(qiáng)制使用數(shù)字證書作為無線客戶端和WLAN設(shè)備的身份憑證 既方便了安全管理 又提升了安全性 對于無線客戶端申請或取消入網(wǎng) 管理員只需要頒發(fā)新的證書或取消當(dāng)前證書 這些操作均可以在證書服務(wù)器上完成 管理非常方便 其它安全機(jī)制沒有強(qiáng)制要求用戶使用數(shù)字證書 當(dāng)使用用戶名和口令作為用戶的身份憑證時 由于用戶身份憑證簡單 易被盜取和仿冒 完善的鑒別協(xié)議在WAPI中使用數(shù)字證書作為用戶身份憑證 在鑒別過程中采用橢圓曲線簽名算法 并使用安全的消息雜湊算法保障消息的完整性 攻擊者難以對進(jìn)行鑒別的信息進(jìn)行修改和偽造 所以安全等級度高 在其它安全體制中 鑒別協(xié)議本身存在一定缺陷 鑒別成功信息的完整性校驗(yàn)不夠安全 鑒別消息易被篡改或偽造 66 加密封裝 67 WPI封裝過程數(shù)據(jù)發(fā)送時 WPI的封裝過程為 1 利用加密密鑰和數(shù)據(jù)分組序號PN 通過工作在OFB模式的加密算法對MSDU 包括SNAP 數(shù)據(jù)進(jìn)行加密 得到MSDU密文 2 利用完整性校驗(yàn)密鑰與數(shù)據(jù)分組序號PN 通過工作在CBC MAC模式的校驗(yàn)算法對完整性校驗(yàn)數(shù)據(jù)進(jìn)行計算 得到完整性校驗(yàn)碼MIC 3 封裝后再組幀發(fā)送 WPI解封裝過程 數(shù)據(jù)接收時 WPI的解封裝過程為 1 判斷數(shù)據(jù)分組序號PN是否有效 若無效 則丟棄該數(shù)據(jù) 2 利用完整性校驗(yàn)密鑰與數(shù)據(jù)分組序號PN 通過工作在CBC MAC模式的校驗(yàn)算法對完整性校驗(yàn)數(shù)據(jù)進(jìn)行本地計算 若計算得到的值與分組中的完整性校驗(yàn)碼MIC不同 則丟棄該數(shù)據(jù) 3 利用解密密鑰與數(shù)據(jù)分組序號PN 通過工作在OFB模式的解密算法對分組中的MSDU密文進(jìn)行解密 恢復(fù)出MSDU明文 4 去封裝后將MSDU明文遞交至上層處理 這里簡要描述WAPI協(xié)議的整個鑒別及密鑰協(xié)商過程 圖1中AP為提供無線接入服務(wù)的WLAN設(shè)備 鑒別服務(wù)器主要幫助無線客戶端和無線設(shè)備進(jìn)行雙向身份認(rèn)證 而AAA服務(wù)器主要提供計費(fèi)服務(wù) 68 1 無線客戶端首先和WLAN設(shè)備進(jìn)行802 11鏈路協(xié)商該過程遵循802 11標(biāo)準(zhǔn)中定義的協(xié)商過程 無線客戶端主動發(fā)送探測請求消息或偵聽WLAN設(shè)備發(fā)送的Beacon幀 藉此查找可用的網(wǎng)絡(luò) 支持WAPI安全機(jī)制的AP將會回應(yīng)或發(fā)送攜帶有WAPI信息的探測應(yīng)答消息或Beacon幀 在搜索到可用網(wǎng)絡(luò)后 無線客戶端繼續(xù)發(fā)起鏈路認(rèn)證交互和關(guān)聯(lián)交互 2 WLAN設(shè)備觸發(fā)對無線客戶端的鑒別處理無線客戶端成功關(guān)聯(lián)到WLAN設(shè)備后 設(shè)備在判定該用戶為WAPI用戶時 則會向無線客戶端發(fā)送鑒別激活觸發(fā)消息 觸發(fā)無線客戶端發(fā)起WAPI鑒別交互過程 3 鑒別服務(wù)器進(jìn)行證書鑒別無線客戶端在發(fā)起接入鑒別后 WLAN設(shè)備會向遠(yuǎn)端的鑒別服務(wù)器發(fā)起證書鑒別 鑒別請求消息中同時包含有無線客戶端和WLAN設(shè)備的證書信息 鑒別服務(wù)器對二者身份進(jìn)行鑒別 并將驗(yàn)證結(jié)果發(fā)給WLAN設(shè)備 WLAN設(shè)備和無線客戶端任何一方如果發(fā)現(xiàn)對方身份非法 將主動中止無線連接 4 無線客戶端和WLAN設(shè)備進(jìn)行密鑰協(xié)商WLAN設(shè)備經(jīng)鑒別服務(wù)器認(rèn)證成功后 設(shè)備會發(fā)起與無線客戶端的密鑰協(xié)商交互過程 先協(xié)商出用于加密單播報文的單播密鑰 然后再協(xié)商出用于加密組播報文的組播密鑰 69 完整的WAPI鑒別協(xié)議交互過程 70 基于痩AP方案實(shí)施無線安全 71 72 無線網(wǎng)絡(luò)的安全技術(shù) 6 端口訪問控制技術(shù)端口訪問控制技術(shù) 802 1x 是由IEEE定義的 用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制 該協(xié)議定義了認(rèn)證和授權(quán) 可以用于局域網(wǎng) 也可以用于城域網(wǎng) 802 1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP EAP采用更多的認(rèn)證機(jī)制 如MD5 一次性口令等等 從而提供更高級別的安全 802 1x認(rèn)證層次包括兩方面 客戶端到認(rèn)證端 認(rèn)證端到認(rèn)證服務(wù)器 802 1x定義客戶端到認(rèn)證端采用EAPoverLAN協(xié)議 認(rèn)證端到認(rèn)證服務(wù)器采用EAPoverRADIUS協(xié)議 73 無線網(wǎng)絡(luò)的安全技術(shù) 802 1x要求無線工作站安裝802 1x客戶端軟件 無線訪問站點(diǎn)要內(nèi)嵌802 1x認(rèn)證代理 同時它還作為Radius客戶端 將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器 當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后 是否可以使用AP的服務(wù)要取決于802 1x的認(rèn)證結(jié)果 802 1x除提供端口訪問控制能力之外 還提供基于用戶的認(rèn)證系統(tǒng)及計費(fèi) 特別適合于公共無線接入解決方案 但是802 1x采用的用戶認(rèn)證信息僅僅是用戶名與口令 在存儲 使用和認(rèn)證信息傳遞中可能泄漏 丟失 存在很大安全隱患 加上無線接入點(diǎn)AP與RADIUS服務(wù)器之間用于認(rèn)證的共享密鑰是靜態(tài)的 且是手工管理 也存在一定的安全隱患 74 無線網(wǎng)絡(luò)的安全技術(shù) 7 虛擬專用網(wǎng)絡(luò)VPN 通過隧道和加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性 無線LAN也可以采用該安全框架 即安裝兩道防火墻 一個作為進(jìn)入內(nèi)部網(wǎng)的網(wǎng)關(guān) 另一個處于無線LAN和內(nèi)部網(wǎng)之間 無線防火墻只允許VPN通信 如下頁圖所示 無線用戶可以向無線基礎(chǔ)設(shè)施認(rèn)證自己 實(shí)際上 把無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)隔離 只允許VPN通信經(jīng)過 是利用了緩沖區(qū)的辦法來增強(qiáng)網(wǎng)絡(luò)安全性 此外 基于IPsec的VPN技術(shù)采用的IP層加密協(xié)議 可以防止通信被竊聽 75 76 77 無線網(wǎng)絡(luò)的安全技術(shù) 圖8 22無線虛擬專用網(wǎng)安全框架 78 無線網(wǎng)絡(luò)的安全技術(shù) VPN技術(shù)應(yīng)用于無線網(wǎng)絡(luò)有其局限性 具體表現(xiàn)在 運(yùn)行脆弱 因突發(fā)干擾或AP間越區(qū)切換等因素導(dǎo)致的無線鏈路質(zhì)量波動或短時中斷是很常見的 吞吐量小 在一個VPN網(wǎng)絡(luò)里進(jìn)行的任何交換必須經(jīng)過一個VPN服務(wù)器 一臺典型的VPN服務(wù)器能夠達(dá)到30 50Mbps的數(shù)據(jù)吞吐量 擴(kuò)展性差 改變一個VPN網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或內(nèi)容 用戶將不得不重新規(guī)劃并進(jìn)行網(wǎng)絡(luò)配置 ThankYou