無線網(wǎng)安全與防范課件

無線網(wǎng)安全與防范2023/7/27無線網(wǎng)安全與防范本章內(nèi)容無線網(wǎng)絡(luò)安全概述10.1無線局域網(wǎng)的標(biāo)準(zhǔn)

10.2無線局域網(wǎng)安全協(xié)議

10.3無線網(wǎng)絡(luò)主要信息安全技術(shù)

10.4無線網(wǎng)絡(luò)設(shè)備

10.5引導(dǎo)案例：

為方便上網(wǎng)，半年前張女士在家中安置了一個無線路由器，最近她卻發(fā)覺網(wǎng)絡(luò)速度突然變得很慢。她相當(dāng)疑惑，因?yàn)闊o線路由器明明設(shè)置過密碼，按理說不可能被人竊用網(wǎng)絡(luò)。后來經(jīng)朋友檢查發(fā)現(xiàn)，張女士電腦的‘網(wǎng)上鄰居’里多出一個陌生的電腦用戶!網(wǎng)絡(luò)被盜用已成不爭的事實(shí)。朋友告訴她，她的無線網(wǎng)絡(luò)已被一種叫“蹭網(wǎng)卡”的裝置盯上了，因?yàn)槎嗔艘慌_電腦享用她的網(wǎng)絡(luò)資源，所以網(wǎng)絡(luò)速度明顯變慢。那么如何保障自己的無線網(wǎng)絡(luò)安全使用呢？本章將為大家解決這樣的技術(shù)難題。

無線網(wǎng)絡(luò)的安全缺陷與解決方案10.1無線網(wǎng)安全與防范無線局域網(wǎng)安全的最大問題在于無線通信設(shè)備是在自由空間中進(jìn)行傳輸，而不是像有線網(wǎng)絡(luò)那樣是在一定的物理線纜上進(jìn)行傳輸，因此無法通過對傳輸媒介的接入控制來保證數(shù)據(jù)不會被未經(jīng)授權(quán)的用戶獲取。所以，WLAN就面臨一系列的安全問題，而這些問題在有線網(wǎng)絡(luò)中并不存在。無線網(wǎng)絡(luò)存在的安全風(fēng)險和安全問題主要包括：（1）來自網(wǎng)絡(luò)用戶的進(jìn)攻。（2）來自未認(rèn)證的用戶獲得存取權(quán)。（3）來自公司的竊聽泄密等。針對以上威脅問題，從最初利用ESSID/SSID（ServiceSetIdentifier，也就是“服務(wù)區(qū)標(biāo)識符匹配）、MAC（MediaAccessControl，介質(zhì)訪問控制）限制，防止非法無線設(shè)備入侵的訪問控制，到基于WEP（WiredEquivalentPrivacy）數(shù)據(jù)加密的解決方案，再到即將成為新標(biāo)準(zhǔn)的802.11i，以及從2003年12月1日起我國開始施行的WLAN產(chǎn)品的新標(biāo)準(zhǔn)WAPI（無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)），無線網(wǎng)絡(luò)安全技術(shù)在很大的程度上已經(jīng)得到了改善，即使這樣，但要真正構(gòu)建端到端的安全無線網(wǎng)絡(luò)還任重道遠(yuǎn)。

無線網(wǎng)絡(luò)安全概述

10.1無線網(wǎng)安全與防范10.2無線局域網(wǎng)的標(biāo)準(zhǔn)在眾多的無線局域網(wǎng)標(biāo)準(zhǔn)中，人們知道最多的是IEEE（美國電子電氣工程師協(xié)會）802.11系列，此外制定WLAN標(biāo)準(zhǔn)的組織還有ETSI（歐洲電信標(biāo)準(zhǔn)化組織）和HomeRF工作組，ETSI提出的標(biāo)準(zhǔn)有HiperLan和HiperLan2，HomeRF工作組的兩個標(biāo)準(zhǔn)是HomeRF和HomeRF2。在這三家組織所制定的標(biāo)準(zhǔn)中，IEEE的802.11標(biāo)準(zhǔn)系列由于它的以太網(wǎng)標(biāo)準(zhǔn)802.3在業(yè)界的影響力使得在業(yè)界一直得到最廣泛的支持，尤其在數(shù)據(jù)業(yè)務(wù)上。ETSI是一個歐洲組織，因此一直得到歐洲政府的支持，很多運(yùn)營商也都很尊重它的GSM和UMTS蜂窩電話標(biāo)準(zhǔn)，它在制定WLAN標(biāo)準(zhǔn)的時候更加關(guān)注語音業(yè)務(wù)。HomeRF作為一種為家庭網(wǎng)絡(luò)專門設(shè)計(jì)的標(biāo)準(zhǔn)在業(yè)界也有一定的影響力。

無線網(wǎng)安全與防范價格便宜的筆記本電腦、移動電話和手持式設(shè)備的日趨流行，以及Internet應(yīng)用程序和電子商務(wù)的快速發(fā)展，使用戶需要隨時進(jìn)行網(wǎng)絡(luò)連接。為滿足這些需求，可以使用兩種方法將便攜式設(shè)備連接到網(wǎng)絡(luò)，而沒有電纜所帶來的不便。這兩種標(biāo)準(zhǔn)就是IEEE802.11b和Bluetooth。IEEE802.11b是一種11Mb/s無線標(biāo)準(zhǔn)，可為筆記本電腦或桌面電腦用戶提供完全的網(wǎng)絡(luò)服務(wù)

10.2.1IEEE的802.11標(biāo)準(zhǔn)系列無線網(wǎng)安全與防范由于802.11在速率和傳輸距離上都不能滿足人們的需要，因此，IEEE小組又相繼推出了802.11b和802.11a兩個新標(biāo)準(zhǔn)。3者之間技術(shù)上的主要差別在于MAC子層和物理層。802.11b物理層支持5.5Mpbs和11Mpbs兩個新速率。802.11標(biāo)準(zhǔn)在擴(kuò)頻時是一個11位調(diào)制芯片，而802.11b標(biāo)準(zhǔn)采用一種新的調(diào)制技術(shù)CCK完成。802.11b使用動態(tài)速率漂移，可因環(huán)境變化，在11Mbps、5.5Mbps、2Mbps、1Mbps之間切換，且在2Mbps、1Mbps速率時與802.11兼容。802.11b的產(chǎn)品普及率最高，在眾多的標(biāo)準(zhǔn)中處于先導(dǎo)地位。見教材P254無線網(wǎng)安全與防范802.11g協(xié)議于2003年6月正式推出，它是在802.11b協(xié)議的基礎(chǔ)上改進(jìn)的協(xié)議，支持2.4GHz工作頻率以及DSSS技術(shù)，并結(jié)合了802.11a協(xié)議高速的特點(diǎn)以及OFDM技術(shù)。這樣802.11g協(xié)議即可以實(shí)現(xiàn)11Mbps傳輸速率，保持對802.11b的兼容，又可以實(shí)現(xiàn)54Mbps高傳輸速率。隨著人們對無線局域網(wǎng)數(shù)據(jù)傳輸?shù)囊螅?02.11g協(xié)議也已經(jīng)慢慢普及到無線局域網(wǎng)中，和802.11b協(xié)議的產(chǎn)品一起占據(jù)了無線局域網(wǎng)市場的大部分。而且，部分加強(qiáng)型的802.11g產(chǎn)品已經(jīng)步入無線百兆時代。

無線網(wǎng)安全與防范歐洲電信標(biāo)準(zhǔn)化協(xié)會（ETSI）(EuropeanTelecommunicationsStandardsInstitute)

HiperLan是歐盟在1992年提出的一個WLAN標(biāo)準(zhǔn)，HiperLan2是它的后續(xù)版本，HiperLan2部分建立在GSM（GlobalSystemforMobileCommunications，全球移動通訊系統(tǒng)）基礎(chǔ)上，使用頻段為5GHz。在物理層上HiperLan2和802.11a幾乎完全相同。它采用OFDM技術(shù)，最大數(shù)據(jù)速率為54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太網(wǎng)基礎(chǔ)上的，而是采用的TDMA結(jié)構(gòu)，形成是一個面向連接的網(wǎng)絡(luò)，HiperLan2的面向連接的特性使它很容易滿足QoS（QualityofService，服務(wù)質(zhì)量）要求，可以為每個連接分配一個指定的QoS，確定這個連接在帶寬、延遲、擁塞、比特錯誤率等方面的要求。這種QoS支持與高傳輸速率一起保證了不同的數(shù)據(jù)序列（如視頻、話音和數(shù)據(jù)等）可以同時進(jìn)行高速傳輸。10.2.2ETSI的HiperLan2無線網(wǎng)安全與防范10.2.3HomeRFHomeRF是IEEE802.11與DECT（DigitalEnhancedCordlessTelecommunications數(shù)字增強(qiáng)無繩通信）的結(jié)合，使用這種技術(shù)能降低語音數(shù)據(jù)成本。與前幾種技術(shù)一樣，使用開放的2.4GHz頻段。采用跳頻擴(kuò)頻（FHSS）技術(shù)，跳頻速率為50跳/秒,共有75個帶寬為1MHz的跳頻信道。

HomeRF把共享無線接入?yún)f(xié)議（SWAP）作為未來家庭聯(lián)網(wǎng)的技術(shù)指標(biāo)，基于該協(xié)議的網(wǎng)絡(luò)是對等網(wǎng)，因此該協(xié)議主要針對家庭無線局域網(wǎng)。其數(shù)據(jù)通信采用簡化的IEEE802.11協(xié)議標(biāo)準(zhǔn)，沿用類似與以太網(wǎng)技術(shù)中的沖突檢測的載波監(jiān)聽多址技術(shù)（CSMA/CD）CSMA/CA。語音通信采用DECT（DigitalEnhancedCordlessTelephony）標(biāo)準(zhǔn)，使用TDMA時分多址技術(shù)。

無線網(wǎng)安全與防范10.3.1WEP協(xié)議IEEE802.11標(biāo)準(zhǔn)中的WEP（WiredEquivalentPrivacy）協(xié)議是IEEE802.11b協(xié)議中最基本的無線安全加密措施，其主要用途包括提供接入控制，防止未授權(quán)用戶訪問網(wǎng)絡(luò)；對數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被攻擊者竊聽；防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造。此外，WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對，如果正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。AboveCable所有型號的AP都支持64位或（與）128位的靜態(tài)WEP加密，有效地防止數(shù)據(jù)被竊聽盜用。10.3無線局域網(wǎng)安全協(xié)議

無線網(wǎng)安全與防范10.3.2IEEE802.11i安全標(biāo)準(zhǔn)IEEE802.11的i工作組致力于制訂被稱為IEEE802.11i的新一代安全標(biāo)準(zhǔn)，這種安全標(biāo)準(zhǔn)為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了RSN（RobustSecurityNetwork）的概念，并且針對WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。IEEE802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP（TemporalKeyIntegrityProtocol）、CCMP（Counter－Mode／CBC－MACProtocol）和WRAP（WirelessRobustAuthenticatedProtocol）三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級固件和驅(qū)動程序的方法達(dá)到提高WLAN安全的目的。CCMP機(jī)制基于AES（AdvancedEncryptionStandard）加密算法和CCM（Counter－Mode／CBC－MAC）認(rèn)證方式，使得WLAN的安全程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。由于AES對硬件要求比較高，因此CCMP無法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級實(shí)現(xiàn)。無線網(wǎng)安全與防范我國早在2003年5月份就提出了無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11，這是目前我國在這一領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。標(biāo)準(zhǔn)中包含了全新的WAPI（WLANAuthenticationandPrivacyInfrastructure）安全機(jī)制，這種安全機(jī)制由WAI（WLANAuthenticationInfrastructure）和WPI（WLANPrivacyInfrastruc－ture）兩部分組成，WAI和WPI分別實(shí)現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。WAPI能為用戶的WLAN系統(tǒng)提供全面的安全保護(hù)。WAPI安全機(jī)制包括兩個組成部分。

具體見教材P257。10.3.3WAPI協(xié)議

無線網(wǎng)安全與防范10.4.1擴(kuò)頻技術(shù)擴(kuò)頻技術(shù)是軍方為了通訊安全而首先提出的。它從一開始就被設(shè)計(jì)成為駐留在噪聲中，一直干擾和越權(quán)接收的。擴(kuò)頻傳輸是將非常低的能量在一系列的頻率范圍中發(fā)送，明顯地區(qū)別于窄帶的無線電技術(shù)的集中所有能量在一個信號頻率中的方式進(jìn)行傳輸。通常有幾種方法來實(shí)現(xiàn)擴(kuò)頻傳輸，最常用的是直序擴(kuò)頻和跳頻擴(kuò)頻。一些無線局域網(wǎng)產(chǎn)品在ISM波段的2.4～2.4835GHz范圍內(nèi)傳輸信號，在這個范圍內(nèi)可以得到79個隔離的不同通道，無線信號被發(fā)送到成為隨機(jī)序列排列的每一個通道上（例如通道1、32、67、42……）。無線電波每秒鐘變換頻率許多次，將無線信號按順序發(fā)送到每一個通道上，并在每一通道上停留固定的時間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案，系統(tǒng)外的站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網(wǎng)絡(luò)之間沒有相互干擾，也不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲。

10.4無線網(wǎng)絡(luò)主要信息安全技術(shù)

無線網(wǎng)安全與防范

即在無線網(wǎng)的站點(diǎn)上使用口令控制，當(dāng)然未必局限于無線網(wǎng)。當(dāng)前一些主要的網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器均提供了包括口令管理在內(nèi)的內(nèi)建多級安全服務(wù)?？诹顟?yīng)處于嚴(yán)格的控制之下并經(jīng)常予以變更。由于WLAN的用戶包括移動用戶，而移動用戶傾向于把他們的筆記本電腦移來移去，因此，嚴(yán)格的口令策略等于增加了一個安全級別，它有助于確認(rèn)網(wǎng)站是否正被合法的用戶使用。建議在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與NovellNetWare和MicrosoftWindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動設(shè)備的漫游用戶，所以精確的密碼策略是增加一個安全級別，這可以確保工作站只被授權(quán)人使用。10.4.2用戶認(rèn)證和口令控制

無線網(wǎng)安全與防范

1.WEP（WiredEquivalentPrivacy）加密配置WEP加密配置是確保經(jīng)過授權(quán)的WLAN用戶不被竊聽的驗(yàn)證算法，是IEEE協(xié)會為了解決無線網(wǎng)絡(luò)的安全性而在802.11中提出的解決辦法。

10.4.3數(shù)據(jù)加密無線網(wǎng)安全與防范2.無線網(wǎng)絡(luò)加密技術(shù)之WPA-PSK(TKIP)無線網(wǎng)絡(luò)最初采用的安全機(jī)制是WEP(有線等效私密)，但是后來發(fā)現(xiàn)WEP是很不安全的，802.11組織開始著手制定新的安全標(biāo)準(zhǔn)，也就是后來的802.11i協(xié)議。但是標(biāo)準(zhǔn)的制定到最后的發(fā)布需要較長的時間，而且考慮到消費(fèi)者不會因?yàn)闉榱司W(wǎng)絡(luò)的安全性而放棄原來的無線設(shè)備，因此Wi-Fi聯(lián)盟在標(biāo)準(zhǔn)推出之前，在802.11i草案的基礎(chǔ)上，制定了一種稱為WPA(Wi-FiProctedAccess)的安全機(jī)制，它使用TKIP(TemporalKeyIntegrityProtocol:臨時密鑰完整性協(xié)議)，它使用的加密算法還是WEP中使用的加密算法RC4，所以不需要修改原來無線設(shè)備的硬件，WPA針對WEP中存在的問題：IV(初始化向量)過短、密鑰管理過于簡單、對消息完整性沒有有效的保護(hù)，通過軟件升級的方法提高網(wǎng)絡(luò)的安全性。無線網(wǎng)安全與防范3.無線網(wǎng)絡(luò)加密技術(shù)之WPA2-PSK(AES)在802.11i頒布之后，Wi-Fi聯(lián)盟推出了WPA2，它支持AES(高級加密算法)，因此它需要新的硬件支持，它使用CCMP(計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議)。在WPA/WPA2中，PTK的生成依賴PMK，而PMK獲的有兩種方式，一個是PSK的形式就是預(yù)共享密鑰，在這種方式中PMK=PSK，而另一種方式中，需要認(rèn)證服務(wù)器和站點(diǎn)進(jìn)行協(xié)商來產(chǎn)生PMK。IEEE802.11所制定的是技術(shù)性標(biāo)準(zhǔn),Wi-Fi聯(lián)盟所制定的是商業(yè)化標(biāo)準(zhǔn),而Wi-Fi所制定的商業(yè)化標(biāo)準(zhǔn)基本上也都符合IEEE所制定的技術(shù)性標(biāo)準(zhǔn)。WPA(Wi-FiProtectedAccess)事實(shí)上就是由Wi-Fi聯(lián)盟所制定的安全性標(biāo)準(zhǔn),這個商業(yè)化標(biāo)準(zhǔn)存在的目的就是為了要支持IEEE802.11i這個以技術(shù)為導(dǎo)向的安全性標(biāo)準(zhǔn)。而WPA2其實(shí)就是WPA的第二個版本。WPA之所以會出現(xiàn)兩個版本的原因就在于Wi-Fi聯(lián)盟的商業(yè)化運(yùn)作。

無線網(wǎng)安全與防范10.5無線網(wǎng)絡(luò)設(shè)備10.5.1無線網(wǎng)卡目前，常見的無線網(wǎng)卡大多為PCMCIA、PCI和USB三種類型。無線網(wǎng)卡是終端無線網(wǎng)絡(luò)的設(shè)備，是無線局域網(wǎng)的無線覆蓋下通過無線連接網(wǎng)絡(luò)進(jìn)行上網(wǎng)使用的無線終端設(shè)備。具體來說無線網(wǎng)卡就是使你的電腦可以利用無線來上網(wǎng)的一個裝置，但是有了無線網(wǎng)卡也還需要一個可以連接的無線網(wǎng)絡(luò)，如果你在家里或者所在地有無線路由器或者無線AP的覆蓋，就可以通過無線網(wǎng)卡以無線的方式連接無線網(wǎng)絡(luò)可上網(wǎng)。

無線網(wǎng)安全與防范1.無線網(wǎng)卡標(biāo)準(zhǔn)上區(qū)分無線網(wǎng)卡按無線標(biāo)準(zhǔn)可定為IEEE802.11b、IEEE802.11a、IEEE802.11g。在頻段上來說802.11a標(biāo)準(zhǔn)為5.8GHz頻段，802.11b、802.11g標(biāo)準(zhǔn)為2.4GHz頻段。從傳輸速率上來說802.11b使用了DSSS（直接序列擴(kuò)頻）或CCK（補(bǔ)碼鍵控調(diào)制），傳輸速率為11Mbps，而802.11g和802.11a使用相同的OFDM（正交頻分復(fù)用調(diào)制）技術(shù)，使其傳輸速率是b的5倍，也就是54Mbps。兼容上來說802.11a不兼容802.11b，但是可以兼容802.11g，而802.11g和802.11b兩種標(biāo)準(zhǔn)可以相互兼容使用，但在使用時仍需注意，802.11g的設(shè)備在802.11b的網(wǎng)絡(luò)環(huán)境下使用只能使用802.11b標(biāo)準(zhǔn)，其數(shù)據(jù)數(shù)率只能達(dá)到11Mbps。

無線網(wǎng)安全與防范2.無線網(wǎng)卡接口上區(qū)分

圖10-2PCI接口無線網(wǎng)卡圖10-3PCMICA接口網(wǎng)卡圖10-4USB無線網(wǎng)卡無線網(wǎng)安全與防范圖10-5MINI-PCI無線網(wǎng)卡無線網(wǎng)安全與防范3.無線網(wǎng)卡網(wǎng)絡(luò)制式上區(qū)分無線上網(wǎng)卡它是目前無線廣域通信網(wǎng)絡(luò)應(yīng)用廣泛的上網(wǎng)介質(zhì)。目前，由于我國只有中國移動的GPRS和中國聯(lián)通的CDMA(1X)兩種網(wǎng)絡(luò)制式，所以常見的無線上網(wǎng)卡就包括CDMA無線上網(wǎng)卡和GPRS無線上網(wǎng)卡兩類。另外還有一種CDPD無線上網(wǎng)卡。（1）CDMA無線上網(wǎng)卡CDMA(CodeDivisionMultipleAccess，碼分多址)無線上網(wǎng)卡是針對中國聯(lián)通的CDMA網(wǎng)絡(luò)推出來的上網(wǎng)連接設(shè)備。CDMA允許所有的使用者同時使用全部頻帶，并且把其他使用者發(fā)出的訊號視為雜訊，完全不必考慮到訊號碰撞(collision)的問題。無線網(wǎng)安全與防范中國聯(lián)通CDMA1000

清華同方TFCDMA6000

雅美達(dá)CDMA上網(wǎng)卡

無線網(wǎng)安全與防范（2）GPRS無線上網(wǎng)卡GPRS上網(wǎng)卡是針對中國移動的GPRS網(wǎng)絡(luò)推出來的無線上網(wǎng)設(shè)備。GPRS的英文全稱為“GeneralPacketRadioService”，中文含義為“通用分組無線服務(wù)”，它是利用“包交換”（Packet-Switched）的概念所發(fā)展出的一套無線傳輸方式。所謂的包交換就是將Date封裝成許多獨(dú)立的封包，再將這些封包一個一個傳送出去，形式上有點(diǎn)類似寄包裹，采用包交換的好處是只有在有資料需要傳送時才會占用頻寬，而且可以以傳輸?shù)馁Y料量計(jì)價，這對用戶來說是比較合理的計(jì)費(fèi)方式，因?yàn)橄馡nternet這類的數(shù)據(jù)傳輸大多數(shù)的時間頻寬是間置的。無線網(wǎng)安全與防范無線網(wǎng)安全與防范（3）CDPD無線上網(wǎng)卡CDPD（蜂窩數(shù)字分組數(shù)據(jù)-CellularDigitalPacketData）采用分組數(shù)據(jù)方式，是目前公認(rèn)的最佳無線公共網(wǎng)絡(luò)數(shù)據(jù)通信規(guī)程。它是建立在TCP/IP基礎(chǔ)上的一種開放系統(tǒng)結(jié)構(gòu)，將開放式接口、高傳輸速度、用戶單元確定、空中鏈路加密、空中數(shù)據(jù)加密、壓縮數(shù)據(jù)糾錯和重發(fā)和運(yùn)用世界標(biāo)準(zhǔn)的IP尋址模式無線接入有力的結(jié)合在一起，提供同層網(wǎng)絡(luò)的無縫連接、多協(xié)議網(wǎng)絡(luò)服務(wù)。CDPD具有速度快（19.2kbps），數(shù)據(jù)安全性高等特點(diǎn)，它支持用戶越區(qū)切換和全網(wǎng)漫游、廣播和群呼，支持移動速度達(dá)100km/h的數(shù)據(jù)用戶，可與公用有線數(shù)據(jù)網(wǎng)絡(luò)互聯(lián)互通。無線網(wǎng)安全與防范10.5.2無線網(wǎng)橋WirelessBridge無線網(wǎng)橋（WirelessBridge）的功能在于提供兩個點(diǎn)之間通信的無線鏈路，可以使用兩個或多個無線網(wǎng)橋?qū)⒈舜朔珠_的局域網(wǎng)連接在一起。如圖10-6所示是一款艾克賽爾AX9400EDU系列產(chǎn)品。圖10-6無線網(wǎng)橋

無線網(wǎng)安全與防范10.5.3天線無線網(wǎng)絡(luò)互連需要配合使用天線（Antenna）。根據(jù)天線的功能特性，可以分為定向天線，全向天線和扇區(qū)天線，分別適合點(diǎn)對點(diǎn)，點(diǎn)對多點(diǎn)和區(qū)域覆蓋使用。如圖10-7所示是一款家用無線網(wǎng)絡(luò)天線。

無線網(wǎng)安全與防范10.5.4AP接入點(diǎn)AP（AccessPoint）一般俗稱為網(wǎng)絡(luò)橋接器，顧名思義即是當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無線局域網(wǎng)絡(luò)之橋梁，因此任何一臺裝有無線網(wǎng)卡之PC均可透過AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)之資源。除此之外，AP本身又兼具有網(wǎng)管之功能，可針對接有無線網(wǎng)絡(luò)卡之PC作必要之控管。如圖10-8是一款WAB102無線AP接入點(diǎn)。無線網(wǎng)安全與防范10.6無線網(wǎng)絡(luò)的安全缺陷與解決方案10.6.1無線網(wǎng)絡(luò)的安全缺陷

1容易侵入無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。因?yàn)槿魏稳说挠?jì)算機(jī)都可以通過自己購買的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多部門未通過公司IT中心授權(quán)就自建無線局域網(wǎng)，用戶通過非法AP接入給網(wǎng)絡(luò)帶來很大安全隱患。如果你能買到Y(jié)agi外置天線和3-dB磁性HyperGain漫射天線硬盤，拿著它到各大寫字樓里走一圈，你也許就能進(jìn)入那些大公司的無線局域網(wǎng)絡(luò)里，做你想要做的一切?；蛘咴俸唵我稽c(diǎn)，對于那些防范手段差的公司來說，用一塊802.11b無線網(wǎng)卡也可以進(jìn)入他們的網(wǎng)絡(luò)——這種事時常在美國發(fā)生。

無線網(wǎng)安全與防范3惡意攻擊除通過欺騙幀進(jìn)行攻擊外，攻擊者還可以通過截獲會話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而，由于802.11沒有要求AP必須證明自己真是一個AP，攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，通過這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒有采用802.11i對每一個802.11MAC幀進(jìn)行認(rèn)證的技術(shù)前，通過會話攔截實(shí)現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。

無線網(wǎng)安全與防范10.6.2無線網(wǎng)絡(luò)安全防范措施1、隱藏服務(wù)設(shè)定標(biāo)識（SSID）我們購買一個無線路由器后，默認(rèn)的SSID一般都和該路由器的品牌相關(guān)聯(lián)，黑客可以輕松通過SSID知道路由器品牌。我們可以在無線路由的管理界面上，修改這個SSID，改成自己喜歡的名字，這樣就在一定程度上隱蔽無線路由。無線網(wǎng)安全與防范2、修改用戶名和密碼一般路由器或中繼器設(shè)備制造商為了便于用戶設(shè)置這些設(shè)備建立起無線網(wǎng)絡(luò)，都提供了一個管理頁面工具，用來設(shè)置該設(shè)備的網(wǎng)絡(luò)地址以及帳號等信息。然而在設(shè)備出售時，制造商給每一個型號的設(shè)備提供的默認(rèn)用戶名和密碼都是一樣的，如果沒有修改設(shè)備的默認(rèn)的用戶名和密碼，就給黑客們提供了有機(jī)可乘。他們只要通過簡單的掃描工具很容易就能找出這些設(shè)備的地址并嘗試用默認(rèn)的用戶名和密碼去登陸管理頁面，如果成功則立即取得該路由器/交換機(jī)的控制權(quán)。無線網(wǎng)安全與防范3、無線網(wǎng)絡(luò)加密加密可以使得沒有密鑰的人無法登錄到你的網(wǎng)絡(luò)上來，一般無線路由都提供兩種加密標(biāo)準(zhǔn)：無線對等協(xié)議（WEP）和Wi-Fi保護(hù)接入（WPA）。WEP要比WPA老，但是不如WPA安全。目前破解“無線路由器密碼”，指的就是破解WEP密碼。所以，采用WPA會更安全些，起碼給黑客制造更多的麻煩。無線網(wǎng)安全與防范4、縮小IP地址范圍當(dāng)計(jì)算機(jī)連接到無線網(wǎng)絡(luò)的時候，無線路由器通常會分給一個IP地址，用他來瀏覽網(wǎng)頁或連接外部互聯(lián)網(wǎng)。通常情況下，無線路由器會給連接到無線網(wǎng)絡(luò)中來的每一臺機(jī)器分配一個IP，縮小IP地址范圍，就可以限制連接到無線網(wǎng)絡(luò)中計(jì)算機(jī)的數(shù)量。理想的情況下，假如我們網(wǎng)絡(luò)中的計(jì)算機(jī)使用了所有IP地址的話，無線路由器就不會為入侵者再分配IP地址了。無線網(wǎng)安全與防范5、設(shè)置MAC地址過濾在Windows系統(tǒng)中點(diǎn)選“開始菜單”，然后選“運(yùn)行”，彈出的對話框中輸入“cmd”，回車后會出現(xiàn)命令行窗口。在命令行窗口中輸入ipconfig/all。尋找名為“PhysicalAddress”的這一行，其后所顯示的地址即為該設(shè)備的MAC地址。每一個網(wǎng)絡(luò)設(shè)備都有唯一的被稱作MAC地址的ID。這樣可以在無線路由器上設(shè)定一個范圍的MAC地址，不屬于這個范圍的一律拒之門外。無線網(wǎng)安全與防范10.6.3無線網(wǎng)絡(luò)安全應(yīng)用實(shí)例下面以D-Link無線路由器說明無線局域網(wǎng)絡(luò)的安全配置，D-Link支持以下安全機(jī)制。支持遠(yuǎn)程管理。支持64/128(802.11G）位WEP無線加密，密碼支持HEX/ASCII雙模式。提供使用者自訂的訪問控制列表（ACL）機(jī)制，支持等過濾功能。支持WPA加密功能（WPATLS/TKIP）。認(rèn)證（Authentication）的目的是確認(rèn)對方身份的合法性，以免與身份不明的對象溝通，泄漏了重要的機(jī)密。也就是雙方進(jìn)行通信之前，必須先經(jīng)過認(rèn)證的程序。D-Link有支持的認(rèn)證（加密）方有4種。

無線網(wǎng)安全與防范1WEP加密WEP是一種對稱性的加密技術(shù)，用來加密在WLAN上傳送的資料，為資料保密提供了一定的安全性。WEP必須有相同WEPkey的雙方（TX及RX）才可互相聽得懂。D-Link支持了兩種層級的WEP加密方式，分別為64位加密和128位加密，越長的加密代表越安全?？梢赃x擇啟用/禁用WEP加密功能，在默認(rèn)情況下，WEP加密功能是禁用的。WEP密碼可以輕易地變更無線加密設(shè)置以維護(hù)一個安全的網(wǎng)絡(luò)。方法很簡單，只要選擇使用于加密網(wǎng)絡(luò)上的無線通信資料的指定密鑰值即可。在64位WEP加密下，必須輸入10個HEX數(shù)字或是5個ASCII碼。在128位WEP加密下，必須輸入26個HEX數(shù)字或是13個ASCII碼（HEX數(shù)字范圍為0-9和A-F）。無線網(wǎng)安全與防范2.802.lx安全協(xié)議它是利用憑證方式認(rèn)證的無線網(wǎng)絡(luò)的安全機(jī)制。安全模式密碼選擇加密的方式為64bit或128bit。對于802.lx的設(shè)置主要有以下幾項(xiàng)：RADIUS服務(wù)器IP地址。輸入RADISU服務(wù)器的IP地址，供802.lx封包使用。RADIUS端口。RADISU服務(wù)器所使用的通信端口，默認(rèn)標(biāo)準(zhǔn)802.lxRADISU服務(wù)器通信端口為1812。RADIUS密碼。RADIUS服務(wù)器上所設(shè)置的sharedKey，此處必須設(shè)置相同的sharedKey，D-Link才可與RADIUS服務(wù)器驗(yàn)證溝通。無線網(wǎng)安全與防范3.WPA-PSK密碼模式預(yù)先共享密鑰（WPA-PSK），只需要在D-Link吐上輸入單一密碼。只要密碼相符，客戶端便會獲