第8章无线局域网安全.ppt

图8.10 DWL900AP?+?无线网卡配置界面 ⑥ 修改SSID设置，并在无线网卡的加密选项卡里设置一个与AP相同的密钥，如图8.11所示。 图8.11 DWL900AP?+?无线网卡WEP设置 ⑦ 测试连接，双方可以Ping通。 ⑧ 在对等拓扑中，PC2和PC3的无线网卡的模式要设置成802.11 AdHoc，如图8.12所示。 图8.12 DWL900AP?+?无线网卡工作模式设置 ⑨ 互相连接的无线网卡要设置一个相同的密钥，如图8.13所示。 ⑩ 测试连接。 图8.13 DWL900AP?+?无线网卡WEP设置 将PC2的MAC地址输入到AP的高级选择Advanced→Filters的MAC地址栏中，选择Only Allow方式，如图8.14所示。 图8.14 DWL900AP+ 安全策略设置 在PC3中测试与AP192.168.1.120的连通性，测试结果为“回应超时”。 【实训报告】 1．写出AP的WEP验证方式为“共享密钥认证”的步骤。 2．两台AP互连时，如何设置？ 第8章 无线局域网安全 无线网络概述 8.1 无线安全机制 8.2 无线VPN 8.3 本章学习要点 了解无线局域网的常见威胁 掌握无线局域网安全防护的方法 掌握当前主流的无线网络安全机制 了解无线VPN的应用 8.1 无线网络概述 无线局域网是计算机网络与无线通信技术相结合的产物。 通俗地说，无线局域网（Wireless Local-Area Network，WLAN）是在不采用传统电缆线的同时，依然能够提供传统有线局域网的所有功能，网络所需的基础设施不需要再埋在地下或隐藏在墙里，网络却能够随着实际需要移动或变化。 因此无线局域网技术具有传统局域网无法比拟的灵活性。 但是，无线网络有别于线缆的密封式传输，它的信号完全暴露在空中，只要在信号到达的范围，就可以接收，因此无线网络的安全性成为应用上最严格的挑战。 8.1.1 常见拓扑与设备 1．对等拓扑 对等拓扑由IBSS（Independent Basic Service Set，独立基本服务组）组成。 构建对等拓扑时用的网络设备是无线网卡，如图8.1所示。 图8.1 对等拓扑 2．基本拓扑 基本拓扑由BSS（Basic Service Set，基本服务组）组成。 构建基本拓扑的无线网络设备是无线网卡和无线接入点（Access Point，AP）。 AP相当于有线局域网中的集线器，有些AP可以提供网桥的功能，部署安全的策略，如图8.2所示。 图8.2 基本拓扑 3．扩展拓扑 扩展拓扑由ESS（Extended Service Set，扩展服务组）组成。 构建扩展拓扑使用的网络设备有无线网卡或普通网卡（接入局域网）、无线AP，在这个架构中无线AP担任网桥的角色，如图8.3所示。 图8.3 扩展拓扑 8.1.2 无线局域网常见的攻击 1．发现目标 2．查找漏洞 3．破坏网络 （1）窃听 （2）欺骗和非授权访问 （3）网络接管与篡改 （4）拒绝服务攻击 8.1.3 WEP协议的威胁 WEP协议存在许多弱点，可以让入侵者较容易地破解。 它主要存在以下几个问题。 由于算法的原因，当入侵者捕获数据包后，可以通过工具计算出密钥。 WEP协议中没有具体地规定何时使用不同的密钥。 一般厂商都会设置默认的密钥，而用户一般不修改，所以只要入侵者得到密钥列表就可以轻松入侵网络。 密钥如何分发，如何在泄露后更改密钥，如何定期地实现密钥更新、密钥备份、密钥恢复等问题，WEP协议都没有解决，把这个问题留给各大厂商，无疑会造成安全问题。 针对上述问题，建议采取下列方法，来保障WEP协议更安全。 使用多组WEP密码（KEY）。使用一组固定WEP密码，将会非常不安全，使用多组WEP密码会提高安全性，然而WEP密码是保存在无线设备的Flash中的，所以控制网络上的任何一个设备，那就无安全可言了。 使用最高级的加密方式，当前的加密技术提供64位和128位加密方法，应尽量使用128位加密，这样WEP加密会将资料加密后传送，使得窃听者无法知道资料的真实内容。 定期更换密码。 8.2 无线安全机制 1．服务集标识符 2．MAC地址过滤 3．WEP安全机制 4．WPA安全机制 5．WAPI安全机制