第11篇 无线局域网安全.ppt

　　　　11.1 无线局域网概述　　无线局域网是高速发展的现代无线通信技术在计算机网络中的应用。一般来讲，凡是采用无线传输媒体的计算机局域网都可称为无线局域网，它与有线主干网相结合可构成移动计算网络，这种网络传输速率高、覆盖面大，是一种可传输多媒体信息的个人通信网络，也是无线局域网的发展方向。 　　1. 无线局域网硬件设备　　无线局域网硬件设备由以下几部分组成：　　? 天线：发射和接收信号的设备，一般分为外置天线和内置天线两种。　　? 无线网卡(Wireless Network Interface Card，WNIC)：完成网络中IP数据包的封装并发送到无线信道中，同时也从无线信道中接收数据并交给IP层处理。一般无线网卡有PCI接口、USB接口和笔记本PCMICA接口三种类型，可支持的速率一般为11 Mb/s、22 Mb/s、54 Mb/s和108 Mb/s。 　　? 站点(Station，STA)：无线客户端，包含符合本部分与无线媒体的MAC 和PHY接口的任何设备。例如，内置无线网卡的PC、笔记本电脑或个人数字助理(Personal Data Assistant，PDA)等。　　? 接入点(Access Point，AP)：类似于有线局域网的集线器，是一种特殊的站点，在无线局域网中属于数据帧的转发设备，主要提供无线链路数据和有线链路数据的桥接功能，并具有一定的安全保障功能，同时也必须完成IEEE 802.3数据帧和IEEE 802.11数据帧之间的帧格式转换。通常一个AP能够同时提供几十米或上百米的范围内多个用户的接入，并且可以作为无线网络和有线网络的连接点。 　　2. 无线局域网组网模式　　基本的无线局域网有Infrastructure和Ad-hoc两种模式。　　(1) ?Infrastructure模式：是使用兼容协议的无线网卡的用户通过AP接入到网络，AP用附带的全向的天线发射信号，STA设备使用同样的机制来接收信号，与AP建立连接。AP可以给用户分配IP地址，或者将请求发送给基于网络的DHCP服务器。STA接收IP地址并向AP发送数据，AP将数据转发给网络，并返回响应给网络设备。基本的Infrastructure模式如图11.1所示。 　　(2) Ad-hoc模式：此模式不需要AP，通过把一组需要互连通信的无线网卡的相关参数设为同一个值来进行组网，是一种特殊的无线网络应用模式。Ad-hoc组网模式如图11.2所示。 图11.1 Infrastructure模式 图11.2 Ad-hoc模式 　　3. 无线局域网标准　　802.11是IEEE最初制定的一个无线局域网标准，规范包括介质访问控制(MAC)和物理层的操作。由于802.11传输速率最高只能达到2 Mb/s，所以，它主要用于数据的存取，而在速率和传输距离上都不能满足用户的需要，因此，IEEE又相继推出了802.11a、802.11b和802.11g三个新标准。目前的网卡均支持此三种标准。三个标准的主要参数如表11.1所示。 表11.1 IEEE 802.11 a/b/g比较 　　4. 无线局域网安全　　总的来说，无线局域网安全主要包括以下几个方面：　　? 通过对用户身份的认证来保护网络，防止非法入侵；　　? 通过对无线传输的数据进行加密，防止非法接收；　　? 使用无线跳频等技术，防止网络被探测；　　? 有效的管理合法用户的身份，包括用户名、口令、密钥等；　　? 保护无线网络的基本设备，避免错误配置。　　除了在无线局域网(WLAN)中采用各种认证技术和加密协议以外，对于全面保护WLAN安全还应包括防火墙技术、VPN技术、入侵检测技术、PKI技术等综合应用。 　　　　　11.2 基本的WLAN安全　　无线局域网可以采用业务组标识符(Service Set Identifier，SSID)、物理地址(MAC)过滤和控制AP信号发射区的方法来对接入AP的STA进行识别和限制，实现WLAN的基本安全保障。 　　1. 业务组标识符(Service Set Identifier，SSID)　　SSID也可以写为ESSID，最多可以由32个字符组成，相当于有线网络中的组名或域名，无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题，从而为无线局域网提供一定的安全性。SSID的配置如图11.3所示。 图11.3 AP常规配置 　　然而，由于无线接入点AP会不断向外广播其SSID，这使得攻击者很容易获得SSID，从而使WLAN安全性下降。另外，一般情况下，用户自己配置客户端系统，所以很多人都知道SSID，很容易共享给非法用户。而且有的厂家支持“