TCPIP路由交換技術(shù)(第二版)課件 項(xiàng)目12.1 了解WLAN安全技術(shù)_第1頁(yè)
TCPIP路由交換技術(shù)(第二版)課件 項(xiàng)目12.1 了解WLAN安全技術(shù)_第2頁(yè)
TCPIP路由交換技術(shù)(第二版)課件 項(xiàng)目12.1 了解WLAN安全技術(shù)_第3頁(yè)
TCPIP路由交換技術(shù)(第二版)課件 項(xiàng)目12.1 了解WLAN安全技術(shù)_第4頁(yè)
TCPIP路由交換技術(shù)(第二版)課件 項(xiàng)目12.1 了解WLAN安全技術(shù)_第5頁(yè)
已閱讀5頁(yè),還剩14頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

項(xiàng)目12組建安全的無(wú)線(xiàn)局域網(wǎng)授課教師:管秀君吉林交通職業(yè)技術(shù)學(xué)院學(xué)習(xí)目標(biāo)

了解WLAN安全技術(shù)了解WLAN認(rèn)證技術(shù)掌握WLAN安全策略

學(xué)會(huì)WLAN安全加密配置思維導(dǎo)圖了解WLAN安全技術(shù)0

1了解WLAN認(rèn)證技術(shù)02學(xué)會(huì)WLAN安全策略03無(wú)線(xiàn)FIT模式多SSID的安全加密04CONTENTS目錄學(xué)習(xí)任務(wù)12.1了解WLAN安全技術(shù)12.1.1

WLAN的安全威脅數(shù)據(jù)容易被竊取、攔截、篡改無(wú)線(xiàn)信號(hào)容易被黑客或惡意用戶(hù)竊取、篡改或攔截,從而引發(fā)一系列安全問(wèn)題。例如,攻擊者可以利用無(wú)線(xiàn)信號(hào)漏洞來(lái)竊取WLAN用戶(hù)的賬戶(hù)、密碼等個(gè)人敏感信息接入網(wǎng)絡(luò),或通過(guò)網(wǎng)絡(luò)釣魚(yú)等手段誘騙用戶(hù)輸入個(gè)人信息,再利用信息進(jìn)行詐騙和其他不法行為。地址欺騙由于IEEE802.11系列協(xié)議中網(wǎng)絡(luò)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作,所以攻擊者通常會(huì)檢測(cè)到授權(quán)設(shè)備(如AP)的MAC地址,并嘗試冒充授權(quán)設(shè)備建立連接。MAC地址欺騙攻擊主要利用了局域網(wǎng)內(nèi)交換機(jī)的轉(zhuǎn)發(fā)特性和MAC地址學(xué)習(xí)特性。這種攻擊方式相對(duì)隱蔽,攻擊者不會(huì)大規(guī)模地發(fā)送數(shù)據(jù)包,而是發(fā)送含有幾個(gè)特定源MAC地址的數(shù)據(jù)包。由于交換機(jī)MAC地址表都具有一定的空間限制,當(dāng)MAC地址表被占滿(mǎn)后,就無(wú)法學(xué)習(xí)到新的MAC地址,因此,MAC地址的洪范就破壞了整個(gè)局域網(wǎng)的可用性。拒絕服務(wù)拒絕服務(wù)(Dos)攻擊也是WLAN常見(jiàn)的一種網(wǎng)絡(luò)攻擊方式,其主要目的是通過(guò)發(fā)送大量無(wú)用的請(qǐng)求或數(shù)據(jù)包來(lái)占用系統(tǒng)資源,使系統(tǒng)無(wú)法處理合法用戶(hù)的正常請(qǐng)求或數(shù)據(jù)流,從而導(dǎo)致系統(tǒng)過(guò)載、崩潰或拒絕服務(wù)。WEP秘鑰攻擊WEP密鑰的攻擊主要是由于其加密存在嚴(yán)重缺陷,使得攻擊者可以在一定條件下破解密鑰,從而獲得對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。在WLAN中,當(dāng)攻擊者截獲到AP區(qū)域內(nèi)的數(shù)據(jù)包,同時(shí)獲取到足夠多的弱秘鑰加密包,通過(guò)統(tǒng)計(jì)分析更多使用相同密鑰流加密的密文,將密鑰流與密文進(jìn)行XOR操作,一旦其中一個(gè)明文已知,很容易就可以恢復(fù)所有其他的。Rogue設(shè)備入侵WLAN中的Rogue設(shè)備入侵是指未經(jīng)授權(quán)的設(shè)備接入企業(yè)網(wǎng)絡(luò)(如圖12-2所示),例如攻擊者將未經(jīng)授權(quán)的RogueAP連接到授權(quán)網(wǎng)絡(luò)上,出現(xiàn)惡意雙胞胎AP,并通過(guò)RogueAP繞過(guò)企業(yè)網(wǎng)絡(luò)的邊界防護(hù),在內(nèi)網(wǎng)中暢行無(wú)阻。此外,隔壁鄰居AP也是需要防備的一種Rogue設(shè)備,如在公司旁的餐館、咖啡店內(nèi)部署的外部AP,當(dāng)員工使用企業(yè)授權(quán)過(guò)的移動(dòng)客戶(hù)端連接到這些咖啡店網(wǎng)絡(luò)的鄰居AP時(shí),就能夠繞過(guò)公司防火墻設(shè)置的邊界安全和安全限制,將威脅不經(jīng)意間帶進(jìn)企業(yè)內(nèi)網(wǎng)。12.1.2

WLAN的安全措施WLAN的安全措施213加密技術(shù)加密技術(shù)是保障無(wú)線(xiàn)網(wǎng)絡(luò)WIAN安全性的基礎(chǔ)。通過(guò)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密,可以有效地防止數(shù)據(jù)被竊聽(tīng)或篡改。WEP加密WPA/WPA2加密認(rèn)證機(jī)制為了防止未經(jīng)授權(quán)的用戶(hù)接入無(wú)線(xiàn)局域網(wǎng),可以采用認(rèn)證方法。常見(jiàn)的認(rèn)證方法包括基于密碼的認(rèn)證基于MAC地址的認(rèn)證基于證書(shū)的認(rèn)證系統(tǒng)防護(hù)為為了防止惡意攻擊,無(wú)線(xiàn)網(wǎng)絡(luò)WIAN可采用防護(hù)措施無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)WIDS無(wú)線(xiàn)入侵防御系統(tǒng)WIPS加密技術(shù)——WEP加密WEP(WiredEquivalentPrivacy)是有線(xiàn)等效保密協(xié)議的簡(jiǎn)稱(chēng),是一種無(wú)線(xiàn)網(wǎng)絡(luò)加密技術(shù),它是IEEE802.11標(biāo)準(zhǔn)的一部分,旨在為無(wú)線(xiàn)網(wǎng)絡(luò)提供數(shù)據(jù)加密和基本的安全性。WEP使用RC4流式密碼算法對(duì)數(shù)據(jù)進(jìn)行加密,并采用CRC-32校驗(yàn)和來(lái)檢測(cè)數(shù)據(jù)完整性。加密過(guò)程中,WEP使用一個(gè)共享密鑰和一個(gè)初始化向量(IV)作為輸入,通過(guò)密鑰生成函數(shù)生成一個(gè)密鑰流,然后與明文數(shù)據(jù)進(jìn)行XOR運(yùn)算,生成密文數(shù)據(jù),接收端則使用相同的算法和密鑰對(duì)密文數(shù)據(jù)進(jìn)行解密,恢復(fù)出原始數(shù)據(jù)。加密技術(shù)——WPA/WPA2加密WPA/WPA2(Wi-FiProtectedAccess)是一種Wi-Fi安全訪(fǎng)問(wèn)保護(hù)協(xié)議,通過(guò)使用預(yù)設(shè)共享密鑰(Pre-SharedKey,簡(jiǎn)稱(chēng)PSK)來(lái)保護(hù)無(wú)線(xiàn)局域網(wǎng)的通信安全,同時(shí),通過(guò)使用AES(AdvancedEncryptionStandard,高級(jí)加密標(biāo)準(zhǔn))算法對(duì)數(shù)據(jù)進(jìn)行加密,確保數(shù)據(jù)的機(jī)密性。認(rèn)證機(jī)制123基于密碼的認(rèn)證需要用戶(hù)提供正確的用戶(hù)名和密碼,才能接入無(wú)線(xiàn)局域網(wǎng),在密碼策略上包括密碼復(fù)雜度要求、密碼過(guò)期機(jī)制和登錄失敗鎖定等戰(zhàn)。基于MAC地址的認(rèn)證是將用戶(hù)的MAC地址添加到無(wú)線(xiàn)局域網(wǎng)的訪(fǎng)問(wèn)控制列表中,只有在列表中的MAC地址才能訪(fǎng)問(wèn)無(wú)線(xiàn)局域網(wǎng)?;谧C書(shū)的認(rèn)證則是使用數(shù)字證書(shū)來(lái)驗(yàn)證用戶(hù)的身份。系統(tǒng)防護(hù)——WIDS無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)WIDS01無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)WIDS工作的主要特點(diǎn):無(wú)線(xiàn)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè):無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)WIDS可以按照預(yù)設(shè)的安全規(guī)則和策略,對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)測(cè);入侵檢測(cè)與威脅識(shí)別:當(dāng)監(jiān)聽(tīng)到與預(yù)設(shè)規(guī)則相匹配的非法AP、網(wǎng)橋、STA和信道重合的干擾AP,或者非法的網(wǎng)絡(luò)時(shí),WIDS就會(huì)觸發(fā)警報(bào),并將相關(guān)信息發(fā)送給網(wǎng)絡(luò)管理員,幫助管理員及時(shí)發(fā)現(xiàn)潛在的威脅,并采取相應(yīng)的措施進(jìn)行應(yīng)對(duì)。系統(tǒng)防護(hù)——WIPS無(wú)線(xiàn)入侵防御系統(tǒng)WIPS02無(wú)線(xiàn)入侵防御系統(tǒng)WIPS的主要特點(diǎn):無(wú)線(xiàn)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè):通過(guò)監(jiān)聽(tīng)無(wú)線(xiàn)信號(hào),對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控和檢測(cè)。這種監(jiān)測(cè)包括了對(duì)網(wǎng)絡(luò)流量、設(shè)備行為以及異常事件的觀察和分析。入侵檢測(cè)與威脅識(shí)別:具有強(qiáng)大的入侵檢測(cè)功能,能夠通過(guò)分析收集到的數(shù)據(jù)包,識(shí)別出各種潛在的威脅和入侵行為。這些威脅包括惡意攻擊、未經(jīng)授權(quán)的訪(fǎng)問(wèn)、病毒傳播等。自動(dòng)防御與阻斷:一旦檢測(cè)到威脅或入侵行為,WIPS將立即啟動(dòng)自動(dòng)防御機(jī)制。包括阻止惡意流量、隔離可疑設(shè)備、向管理員發(fā)送警報(bào)等措施,以防止威脅進(jìn)一步擴(kuò)大。動(dòng)態(tài)安全策略:能夠根據(jù)威脅的類(lèi)型和嚴(yán)重程度,動(dòng)態(tài)調(diào)整安全策略。例如,對(duì)于某些已知的惡意IP地址,WIPS可以自動(dòng)將其加入黑名單,

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論