《无线网络教学资料》1_wlan安全体系--含wapi--v.ppt

WLAN安全 内容 无线网络安全概况 无线网络一般安全技术 无线网络安全进程 关键技术 应用 1.无线网络安全概况 无线传输一般具有广播特性，在信号覆盖范围内的任何人都可以截获和插入数据； 所有常规有线网络存在的安全威胁和隐患都存在； 外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取； 无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入； 无线网络易被拒绝服务攻击（DOS）和干扰； 内部员工可以设置无线网卡为P2P模式与外部员工连接； 无线网络的安全产品相对较少，技术相对比较新。 常规安全威胁分析 由于无线网络只是在传输方式上和传统的有些网络有区别，所以常规的安全风险如病毒、恶意攻击、非授权访问等都是存在的，这就要求继续加强常规方式上的安全措施。 非授权访问威胁分析 无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点，对这个入口的管理不像传统网络那么容易。正因为如此，未授权实体可以在公司外部或者内部进入网络： 首先，未授权实体进入网络浏览存放在网络上的信息，或者是让网络感染上病毒。 其次，未授权实体进入网络，利用该网络作为攻击第三方网络的跳板。 第三，入侵者对移动终端发动攻击，或为了浏览移动终端上的信息，或为了通过受危害的移动设备访问网络。 第四，入侵者和公司员工勾结，通过无线交换数据。 安全三要素 安全性主要包括三个方面：访问控制、必威体育官网网址性、完整性 访问控制：确保敏感的数据仅由获得授权的用户访问 必威体育官网网址性：确保传送的数据只被目标接收人接收和理解。 完整性：信息不能被篡改 2.无线网络一般安全技术 服务集标识符 通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制； 但是这只是一个简单的口令，所有使用该网络的人都知道该SSID，也很容易泄漏，只能提供较低级别的安全； 而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具得到这个SSID。 物理地址（MAC，Media Access Control）过滤 由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。 这个方案要求AP中的MAC地址列表必须随时更新，可扩展性差，无法实现机器在不同AP之间的漫游； 而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。 有线等价必威体育官网网址（WEP，Wired Equivalent Privacy） 在链路层采用RC4（Rivest Cipher4）对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。 WEP提供了40位（或称64位）和104位（或称128位）长度的密钥机制 。均含24位的初始向量。 它存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全； 而且WEP加密已被发现有安全缺陷，可以在几个小时甚至几秒内被破解。 在 2001年8月，Fluhrer et al. 发表了针对 WEP 的密码分析，利用 RC4 加解密和 IV 的使用方式的特性，结果在网络上偷听几个小时之后，就可以把 RC4的钥匙破解出来。 2005年，美国联邦调查局的一组人展示了用公开可得的工具可以在三分钟内破解一个用 WEP 保护的网络。 虚拟专用网络（VPN，Virtual Private Network） VPN是指在一个公共IP网络平台上，通过隧道以及加密技术，保证专用数据的网络安全性，它不属于802.11标准定义； 但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于Radius的用户认证以及计费。 端口访问控制技术（802.1x） 该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。 如果认证通过，则AP为用户打开受控逻辑端口，否则不允许用户上网。 802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于无线接入解决方案。 扩展频谱技术 扩展频谱技术在50年前第一次被军方公开介绍，它用来进行必威体育官网网址传输。 从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去。 扩展频谱的实现方式有多种，最常用的两种是直接序列和跳频序列。 加强企业内部管理制度 对于内部员工主动泄密的情况，没有十分好的安全策略，只能通过管理制度进行限制。采用的安全方法如下： 采用端口访问技术（802.1x）进行控制，防止非授权的接入和访