第11章-無線網(wǎng)絡(luò)安全

第十一章無線網(wǎng)絡(luò)安全本章目標(biāo)掌握無線網(wǎng)絡(luò)的概念和特點(diǎn)了解無線組網(wǎng)方式及網(wǎng)線組網(wǎng)技術(shù)掌握無線網(wǎng)絡(luò)的結(jié)構(gòu)和技術(shù)特點(diǎn)了解最新的無線網(wǎng)絡(luò)技術(shù)了解無線網(wǎng)絡(luò)中的安全問題掌握如何實(shí)現(xiàn)安全的無線網(wǎng)絡(luò)技術(shù)本章內(nèi)容11.4安全無線網(wǎng)絡(luò)技術(shù)11.3無線網(wǎng)絡(luò)安全問題11.2最新的無線網(wǎng)絡(luò)技術(shù)11.1無線網(wǎng)絡(luò)11.1無線網(wǎng)絡(luò)無線網(wǎng)絡(luò)迅速發(fā)展一組預(yù)測數(shù)據(jù)2005年之前，有50%財(cái)富排在前100名的公司將部署無線局域網(wǎng)2010年之前，絕大多數(shù)財(cái)富排在前2000名的公司將部署無線局域網(wǎng)11.1無線網(wǎng)絡(luò)（續(xù)）預(yù)計(jì)在2005年無線Internet用戶的數(shù)量0100200300400500用戶（每一百萬）195.2313.3466.7118.786北美洲歐洲亞洲拉丁美洲非洲和中東11.1無線網(wǎng)絡(luò)（續(xù)）無線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)的補(bǔ)充采用的傳輸載體不同安全問題很嚴(yán)重有線網(wǎng)絡(luò)無線網(wǎng)絡(luò)11.1

無線網(wǎng)絡(luò)（續(xù)）

——一個(gè)簡單的混合網(wǎng)絡(luò)接入點(diǎn)有線網(wǎng)絡(luò)無線網(wǎng)絡(luò)11.1.1

無線網(wǎng)絡(luò)綜述無線網(wǎng)絡(luò)的概念及特點(diǎn)無線網(wǎng)絡(luò)的分類無線組網(wǎng)技術(shù)分類無線網(wǎng)絡(luò)的應(yīng)用領(lǐng)域11.1.1

無線網(wǎng)絡(luò)綜述（續(xù)）

——無線網(wǎng)絡(luò)的概念及特點(diǎn)無線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)的優(yōu)勢無線局域網(wǎng)定義以無線信號作傳輸媒介的計(jì)算機(jī)局域網(wǎng)，簡稱WLAN無線通信VS計(jì)算機(jī)無線聯(lián)網(wǎng)計(jì)算機(jī)無線聯(lián)網(wǎng)的常見形式無線聯(lián)網(wǎng)解決的主要技術(shù)通信信道的實(shí)現(xiàn)與性能提供網(wǎng)絡(luò)的功能無線局域網(wǎng)的特點(diǎn)高移動(dòng)性抗干擾性強(qiáng)建網(wǎng)容易11.1.1

無線網(wǎng)絡(luò)綜述（續(xù)）

——無線網(wǎng)絡(luò)的概念及特點(diǎn)（續(xù)）無線個(gè)人網(wǎng)藍(lán)牙（BlueTooth）紅外線（IrDA）無線局域網(wǎng)無線LAN-to-LAN網(wǎng)橋無線城域網(wǎng)和廣域網(wǎng)11.1.1

無線網(wǎng)絡(luò)綜述（續(xù)）

——無線網(wǎng)絡(luò)的分類藍(lán)牙技術(shù)應(yīng)用于任何可以用無線方式代替線纜的環(huán)境IEEE802.11適用于辦公室的企業(yè)無線網(wǎng)絡(luò)HomeRF技術(shù)應(yīng)用于家庭中的移動(dòng)數(shù)據(jù)與語音設(shè)備及主機(jī)之間的通信11.1.1

無線網(wǎng)絡(luò)綜述（續(xù)）

——無線組網(wǎng)技術(shù)分類石油工業(yè)醫(yī)護(hù)管理工廠車間庫存控制大型會議和展覽移動(dòng)辦公11.1.1

無線網(wǎng)絡(luò)綜述（續(xù)）

——無線網(wǎng)絡(luò)的應(yīng)用領(lǐng)域11.1.1

無線網(wǎng)絡(luò)綜述（續(xù)）

——無線網(wǎng)絡(luò)的應(yīng)用領(lǐng)域（續(xù)）無線網(wǎng)絡(luò)教學(xué)11.1.2無線網(wǎng)絡(luò)的結(jié)構(gòu)與技術(shù)實(shí)現(xiàn)無線局域網(wǎng)組件無線Hub無線接入站無線網(wǎng)橋無線Modem無線網(wǎng)卡組件可以一機(jī)多用接入點(diǎn)路由器網(wǎng)橋PCI網(wǎng)卡PCM/CIA網(wǎng)卡11.1.2

無線網(wǎng)絡(luò)的結(jié)構(gòu)與技術(shù)實(shí)現(xiàn)（續(xù)）

——無線局域網(wǎng)組件11.1.2

無線網(wǎng)絡(luò)的結(jié)構(gòu)與技術(shù)實(shí)現(xiàn)（續(xù)）

——無線局域網(wǎng)傳輸介質(zhì)紅外線（IR）射頻（RF）擴(kuò)頻微波技術(shù)無線局域網(wǎng)拓?fù)浣Y(jié)構(gòu)無中心拓?fù)溆兄行耐負(fù)錈o線局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)橋連接型基站接入型Hub接入型無中心結(jié)構(gòu)11.1.2

無線網(wǎng)絡(luò)的結(jié)構(gòu)與技術(shù)實(shí)現(xiàn)（續(xù)）

——無線局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)11.1.3

IEEE802.11標(biāo)準(zhǔn)

IEEE802.11標(biāo)準(zhǔn)1997年6月26日制定完成1997年11月26日正式發(fā)布2000年8月補(bǔ)充和完善IEEE802.11b11.1.3

IEEE802.11標(biāo)準(zhǔn)（續(xù)）

——802.11b標(biāo)準(zhǔn)帶寬最高可達(dá)11Mbps實(shí)際的工作速率在5Mbps左右使用開放的2.4GHz頻段采用沖突避免技術(shù)運(yùn)作模式點(diǎn)對點(diǎn)模式基本模式11.1.3

IEEE802.11標(biāo)準(zhǔn)（續(xù)）

——802.11b優(yōu)點(diǎn)功能優(yōu)點(diǎn)速度2.4GHz直接序列擴(kuò)頻，提供最大為11Mbps的數(shù)據(jù)傳輸速率，無需直線傳播動(dòng)態(tài)速率轉(zhuǎn)換當(dāng)射頻情況變差時(shí)，降低數(shù)據(jù)傳輸速率為5.5Mbps、2Mbps和1Mbps使用范圍802.11b支持以百米為單位的范圍（室外300m，辦公環(huán)境最長100m）可靠性與以太網(wǎng)類似的連接協(xié)議，為數(shù)據(jù)包確認(rèn)提供可靠的數(shù)據(jù)傳送和網(wǎng)絡(luò)帶寬的有效使用互用性與以前標(biāo)準(zhǔn)不同的是，802.11b只允許一種標(biāo)準(zhǔn)的信號發(fā)送技術(shù)。Weca將認(rèn)證產(chǎn)品的兼容性11.1.3

IEEE802.11標(biāo)準(zhǔn)（續(xù)）

——802.11b優(yōu)點(diǎn)（續(xù)）功能優(yōu)點(diǎn)電源管理網(wǎng)卡可轉(zhuǎn)到休眠模式，訪問點(diǎn)將信息緩沖到客戶，延長了筆記本電腦的電池壽命漫游支持允許在訪問點(diǎn)之間進(jìn)行無縫連接加載平衡信號擁塞或信號質(zhì)量差時(shí)，無線網(wǎng)卡可更改與之連接的訪問點(diǎn)，以提高性能可伸縮性最多3個(gè)訪問點(diǎn)可以同時(shí)定位于有效使用范圍內(nèi)，以支持上百個(gè)用戶安全性內(nèi)置式鑒定和加密對等解決方案接入點(diǎn)解決方案多接入點(diǎn)解決方案線中繼解決方案無線冗余解決方案多蜂窩漫游工作方式11.1.3

IEEE802.11標(biāo)準(zhǔn)（續(xù)）

——802.11b典型解決方案11.1.4無線網(wǎng)絡(luò)的應(yīng)用實(shí)例思科公司思科Aironet340系列朗迅公司3Com公司3ComAirConnect無線局域網(wǎng)解決方案11.2最新的無線網(wǎng)絡(luò)技術(shù)IEEE802.11x系列標(biāo)準(zhǔn)IEEE802.11aIEEE802.11bIEEE802.11g提供最大速率為54Mbps的無線連接提供身份驗(yàn)證

服務(wù)器服務(wù)器無線訪問點(diǎn)無線移動(dòng)終端Comm.Tower11.2

最新的無線網(wǎng)絡(luò)技術(shù)（續(xù)）

——典型的無線網(wǎng)絡(luò)體系接結(jié)構(gòu)11.2.1標(biāo)準(zhǔn)體系結(jié)構(gòu)接入點(diǎn)的放置保證接入點(diǎn)的覆蓋范圍DHCP服務(wù)器與有線網(wǎng)絡(luò)相同11.2.2數(shù)據(jù)傳輸安全WLAN的安全十分重要WEP（有線對等保密）身份驗(yàn)證服務(wù)保密性服務(wù)完整性服務(wù)驗(yàn)證連接到AP的工作站的身份MAC地址身份驗(yàn)證密碼身份驗(yàn)證依靠共享密鑰RC4算法工作站無法驗(yàn)證AP的身份11.2.2

數(shù)據(jù)傳輸安全

——WEP身份驗(yàn)證服務(wù)11.2.2

數(shù)據(jù)傳輸安全

——WEP身份驗(yàn)證交換過程1、工作站向AP發(fā)送驗(yàn)證請求

2、AP向工作站發(fā)送隨機(jī)競爭號碼

無線訪問點(diǎn)

無線移動(dòng)終端Comm.Tower3、工作站用共享密鑰對競爭號碼加密4、如果能正確解密，則AP確認(rèn)成功RC4算法WEP提供密鑰管理和其他支持服務(wù)WEP支持40位和128位的密鑰WEP的問題密鑰管理機(jī)制初始化向量的選擇11.2.2

數(shù)據(jù)傳輸安全

——WEP保密性服務(wù)WEP對每一個(gè)數(shù)據(jù)包進(jìn)行完整性檢查32位的CRC校驗(yàn)先CRC后加密11.2.2

數(shù)據(jù)傳輸安全

——WEP完整性服務(wù)身份驗(yàn)證技術(shù)服務(wù)集標(biāo)識符MAC地址WEPIEEE802.1x11.2.3身份驗(yàn)證32字節(jié)的字符串，用于網(wǎng)絡(luò)名稱工作站和AP必須有相同的SSID廣播SSID導(dǎo)致不安全11.2.3

身份驗(yàn)證（續(xù)）

——服務(wù)器標(biāo)識符使用MAC地址進(jìn)行驗(yàn)證身份AP配置為僅與已知的MAC地址通信缺點(diǎn)MAC地址必須明碼傳輸11.2.3

身份驗(yàn)證（續(xù)）

——MAC地址無法提供雙向身份驗(yàn)證服務(wù)無法防止攔截或中途攻擊11.2.3

身份驗(yàn)證（續(xù)）

——WEP11.2.3

身份驗(yàn)證（續(xù)）

——針對WEP的中途攻擊

無線移動(dòng)終端欺詐訪問點(diǎn)截獲信號并把自己插入通信路經(jīng)無線訪問點(diǎn)Comm.Tower通信可能無法傳遞給真正的訪問點(diǎn)Comm.Tower欺詐訪問點(diǎn)工作站試圖直接連接無線訪問點(diǎn)為所有第2層訪問協(xié)議開發(fā)的EthernetWLAN基于端口的網(wǎng)絡(luò)訪問控制提供一般化的身份驗(yàn)證機(jī)制802.1x與RADIUS聯(lián)合使用存在不安全因素11.2.3

身份驗(yàn)證（續(xù)）

——IEEE802.1x術(shù)語驗(yàn)證者請求者驗(yàn)證服務(wù)器網(wǎng)絡(luò)接入點(diǎn)端口接入實(shí)體可擴(kuò)展驗(yàn)證協(xié)議11.2.3

身份驗(yàn)證（續(xù)）

——IEEE802.1x（續(xù)）11.3無線網(wǎng)絡(luò)安全問題檢測竊聽主動(dòng)式攻擊法律問題11.3.1

WLAN檢測NetStumbler軟件工具定位WLAN識別WLAN的SSID判別WLAN是否使用了WEPKismet軟件工具11.3.2竊聽無線網(wǎng)絡(luò)最大的安全隱患在于入侵者可以訪問某機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)無線網(wǎng)絡(luò)的接入方式導(dǎo)致易于竊聽竊聽很難防止11.3.2

竊聽（續(xù)）

——在WLAN上竊聽服務(wù)器服務(wù)器無線訪問點(diǎn)Comm.Tower防火墻無線移動(dòng)終端11.3.3主動(dòng)式攻擊主動(dòng)式攻擊危害更大網(wǎng)絡(luò)內(nèi)部的安全機(jī)制少入侵者使用攻陷的網(wǎng)絡(luò)攻擊外部目標(biāo)檢測內(nèi)部攻擊十分困難11.3.3

主動(dòng)式攻擊（續(xù)）

——使用WLAN接入點(diǎn)攻擊外部站點(diǎn)服務(wù)器服務(wù)器無線訪問點(diǎn)Comm.Tower防火墻無線移動(dòng)終端在WLAN上產(chǎn)生的攻擊通信，并擴(kuò)散到外部系統(tǒng)中11.3.4潛在的法律問題遭受內(nèi)部攻擊會導(dǎo)致潛在的法律問題機(jī)構(gòu)的法律顧問必須仔細(xì)回答這個(gè)問題11.4安全無線網(wǎng)絡(luò)技術(shù)部署WLAN前必須徹底評估工程的安全隱患檢查潛在的安全風(fēng)險(xiǎn)鑒別現(xiàn)有的安全防護(hù)措施部署附加的安全措施11.4.1接入點(diǎn)安全AP的安全是安全的起點(diǎn)允許設(shè)置WEP密鑰使用MAC地址限定允許連接的工作站限制AP廣播SSID使用HTTPS管理APAP的放置位置接入點(diǎn)11.4.2傳輸安全使用WEP額外使用一種加密系統(tǒng)11.4.3工作站安全入侵者直接攻擊WLAN上的工作站保護(hù)工作站的安全殺毒軟件個(gè)人防火墻11.4.4站點(diǎn)安全在內(nèi)部網(wǎng)絡(luò)中置入WLAN須謹(jǐn)慎WLAN與內(nèi)部網(wǎng)絡(luò)隔離開在WLAN上布置入侵檢測系統(tǒng)在WLAN上使用工作站時(shí)使用強(qiáng)身份驗(yàn)證機(jī)制防止非法或未經(jīng)授權(quán)的AP機(jī)構(gòu)須定期執(zhí)行無線評估本章總結(jié)擴(kuò)展有線網(wǎng)絡(luò)的一種有效的方法是無線網(wǎng)絡(luò)。無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的一種補(bǔ)充，在不方便布線的地方建立起用戶