《网络安全防护项目教程》 课件 项目9 局域网接入安全防护.pptx

了解系统安全基础知识掌握安全基本措施熟悉常见端口与服务及其对应关系学习目标：知识目标技能目标态度目标会熟练完成系统安装能完成系统基本加固工作，保证系统安全能关闭不必要的端口与服务，通过不同方式确保应用安全能解决系统应用过程中出现的问题有强烈的安全意识养成勤学、好问、独立思考和细心检查的学习习惯能与组员精诚合作，能正确面对他人的成功或失败具有一定自学能力，分析问题、解决问题能力和创新的能力

9.1任务概览

无线局域网采用无线介质实现网络连接和数据通信，在接入认证、访问控制、数据加密等方面存在很大隐患，容易引发安全问题。（1）广播SSID:为了区别于不同的无线局域网，一般都会设置一个SSID，默认情况下都是不断向周围客户端广播其SSID，方便无线客户端识别和接入无线局域网。（2）弱密码:使用无线接入的时候为了保证安全，设置了密码，但采用的是简单密码，如位数较少，不超过6位；使用单纯的数字、连续的数字、生日等作为密码。（3）加密方式:采用设计相对简单的WEP加密方式，该方式是基于挑战与应答的认证协议和加密协议，在设计上存在一些不足，如认证机制过于简单，加解密采用同一个密钥；单向认证，只能是无线网络设备认证客户端；采用的RC4加密算法存在“弱密钥”问题；初始化向量只有24位，重复出现的几率高。子任务9-1-1无线安全机制任务1无线接入安全任务9-1无线接入安全1．无线安全隐患

（1）隐藏无线网络SSID无线终端在接入网络时，要求首先输入SSID（ServiceSetIdentifier服务集标识），即网络名称，用来区分不同的无线网络，最多可以有32个字符。SSID通常由无线路由器广播，通过无线客户端自带的扫描功能可以查看当前区域内的SSID。包括BSSID（基本服务集标识）和ESSID（扩展服务集标识）两种情况。其中BSSID为接入点的MAC地址，不能够被修改；而ESSID就是通常所说的SSID，可以根据要求进行修改。子任务9-1-1无线安全机制任务9-1无线接入安全2．无线安全基本防御

为了避免无访问权限的客户端加入无线局域网，确保无线局域网的安全，通常采取的方法就是隐藏SSID，不选中“开启SSID广播”复选框，如图1-1-1所示。隐藏SSID后，无线终端不知道网络SSID就不能接入，需要手工设置才能进入相应的网络。子任务9-1-1无线安全机制图1-1-1“无线网络基本设置”对话框

子任务9-1-1无线安全机制这种方式可以一定程度上保护无线网络安全，但不能从根本上解决安全问题，容易被暴力破解、工具分析、Death攻击方式攻破。暴力破解的难度主要在于SSID设置的长度、使用字符的类型，一般情况下使用的长度越长，破解越难；使用字符类型越多，破解越难。工具分析是通过无线抓包工具捕获无线网络数据包，然后通过分析数据包获取无线局域网的SSID。Death攻击是通过发送攻击数据包，迫使无线设备接入点与客户端的连接断开，然后在客户端重新连接的过程中获取SSID。

子任务9-1-1无线安全机制（2）MAC地址过滤任何无线网卡都存在唯一的MAC（MediaAccessControl）地址，为了提高无线局域网安全，通常会设置MAC地址过滤，只允许指定MAC地址的计算机接入无线局域网，如图1-1-2所示设置，则可以避免非法客户端接入无线网络，只允许“MAC地址表”中的设备才能接入无线网络。图1-1-2“无线设备接入控制”界面

子任务9-1-1无线安全机制（3）WPA加密该方式弥补了WEP加密的缺陷，采用TKIP协议增强了无线局域网的安全性，并推出了WPA2（见图）标准以进一步提高安全性能。当然，该方式也不可避免的会遭到破解，但可通过密码设置的复杂程度和定期更换密码来进行加强。

无线安全机制设置主要步骤如下。步骤1：找到无线网络，鼠标右键，打开如图1-1-3所示的“无线网络连接状态”对话框。子任务9-1-1无线安全机制任务9-1无线接入安全3．无线安全机制设置图1-1-3“无线网络连接状态”对话框

步骤2：单击“属性”按钮，打开如图1-1-4所示的“HNRPC_Teacher2无线网络属性”对话框，打开“连接”选项卡，根据具体情况设置连接情况。图1-1-4“HNRPC_Teacher2无线网络属性”对话框-“连接”选项卡

步骤3：单击“安全”选项卡，打开如图1-1-5所示的“HNRPC_Teacher2无线网络属性-安全”选项卡，设置“安全类型”和“加密类型”，然后单击“确定”就可以让设置生效。图1-1-5“HNRPC_Teacher2无线网络属性”对话框-“安全”选项卡

步骤4：单击图1-1-3的“属性”按钮，打开如图1-1-6所示的“无线网络连接属性”对话框。图1-1-6“无线网络连接属性”