第11章_无线网络安全

第十一章无线网络安全2北京万博天地网络技术股份有限公司版权所有本章目标掌握无线网络的概念和特点了解无线组网方式及网线组网技术掌握无线网络的结构和技术特点了解最新的无线网络技术了解无线网络中的安全问题掌握如何实现安全的无线网络技术3北京万博天地网络技术股份有限公司版权所有本章内容11.4安全无线网络技术11.3无线网络安全问题11.2最新的无线网络技术11.1无线网络4北京万博天地网络技术股份有限公司版权所有11.1无线网络无线网络迅速发展一组预测数据2005年之前，有50%财富排在前100名的公司将部署无线局域网2010年之前，绝大多数财富排在前2000名的公司将部署无线局域网5北京万博天地网络技术股份有限公司版权所有11.1无线网络（续）预计在2005年无线Internet用户的数量0100200300400500用户（每一百万）195.2313.3466.7118.786北美洲欧洲亚洲拉丁美洲非洲和中东6北京万博天地网络技术股份有限公司版权所有11.1无线网络（续）无线网络是有线网络的补充采用的传输载体不同安全问题很严重有线网络无线网络7北京万博天地网络技术股份有限公司版权所有11.1无线网络（续）——一个简单的混合网络接入点有线网络无线网络8北京万博天地网络技术股份有限公司版权所有11.1.1无线网络综述无线网络的概念及特点无线网络的分类无线组网技术分类无线网络的应用领域9北京万博天地网络技术股份有限公司版权所有11.1.1无线网络综述（续）——无线网络的概念及特点无线网络相比有线网络的优势无线局域网定义以无线信号作传输媒介的计算机局域网，简称WLAN无线通信VS计算机无线联网计算机无线联网的常见形式10北京万博天地网络技术股份有限公司版权所有无线联网解决的主要技术通信信道的实现与性能提供网络的功能无线局域网的特点高移动性抗干扰性强建网容易11.1.1无线网络综述（续）——无线网络的概念及特点（续）11北京万博天地网络技术股份有限公司版权所有无线个人网蓝牙（BlueTooth）红外线（IrDA）无线局域网无线LAN-to-LAN网桥无线城域网和广域网11.1.1无线网络综述（续）——无线网络的分类12北京万博天地网络技术股份有限公司版权所有蓝牙技术应用于任何可以用无线方式代替线缆的环境IEEE802.11适用于办公室的企业无线网络HomeRF技术应用于家庭中的移动数据与语音设备及主机之间的通信11.1.1无线网络综述（续）——无线组网技术分类13北京万博天地网络技术股份有限公司版权所有石油工业医护管理工厂车间库存控制大型会议和展览移动办公11.1.1无线网络综述（续）——无线网络的应用领域14北京万博天地网络技术股份有限公司版权所有11.1.1无线网络综述（续）——无线网络的应用领域（续）无线网络教学15北京万博天地网络技术股份有限公司版权所有11.1.2无线网络的结构与技术实现无线局域网组件无线Hub无线接入站无线网桥无线Modem无线网卡组件可以一机多用16北京万博天地网络技术股份有限公司版权所有接入点路由器网桥PCI网卡PCM/CIA网卡11.1.2无线网络的结构与技术实现（续）——无线局域网组件17北京万博天地网络技术股份有限公司版权所有11.1.2无线网络的结构与技术实现（续）——无线局域网传输介质红外线（IR）射频（RF）扩频微波技术18北京万博天地网络技术股份有限公司版权所有无线局域网拓扑结构无中心拓扑有中心拓扑无线局域网网络结构网桥连接型基站接入型Hub接入型无中心结构11.1.2无线网络的结构与技术实现（续）——无线局域网网络结构19北京万博天地网络技术股份有限公司版权所有11.1.3IEEE802.11标准IEEE802.11标准1997年6月26日制定完成1997年11月26日正式发布2000年8月补充和完善IEEE802.11b20北京万博天地网络技术股份有限公司版权所有11.1.3IEEE802.11标准（续）——802.11b标准带宽最高可达11Mbps实际的工作速率在5Mbps左右使用开放的2.4GHz频段采用冲突避免技术运作模式点对点模式基本模式21北京万博天地网络技术股份有限公司版权所有11.1.3IEEE802.11标准（续）——802.11b优点功能优点速度2.4GHz直接序列扩频，提供最大为11Mbps的数据传输速率，无需直线传播动态速率转换当射频情况变差时，降低数据传输速率为5.5Mbps、2Mbps和1Mbps使用范围802.11b支持以百米为单位的范围（室外300m，办公环境最长100m）可靠性与以太网类似的连接协议，为数据包确认提供可靠的数据传送和网络带宽的有效使用互用性与以前标准不同的是，802.11b只允许一种标准的信号发送技术。Weca将认证产品的兼容性22北京万博天地网络技术股份有限公司版权所有11.1.3IEEE802.11标准（续）——802.11b优点（续）功能优点电源管理网卡可转到休眠模式，访问点将信息缓冲到客户，延长了笔记本电脑的电池寿命漫游支持允许在访问点之间进行无缝连接加载平衡信号拥塞或信号质量差时，无线网卡可更改与之连接的访问点，以提高性能可伸缩性最多3个访问点可以同时定位于有效使用范围内，以支持上百个用户安全性内置式鉴定和加密23北京万博天地网络技术股份有限公司版权所有对等解决方案接入点解决方案多接入点解决方案线中继解决方案无线冗余解决方案多蜂窝漫游工作方式11.1.3IEEE802.11标准（续）——802.11b典型解决方案24北京万博天地网络技术股份有限公司版权所有11.1.4无线网络的应用实例思科公司思科Aironet340系列朗迅公司3Com公司3ComAirConnect无线局域网解决方案25北京万博天地网络技术股份有限公司版权所有11.2最新的无线网络技术IEEE802.11x系列标准IEEE802.11aIEEE802.11bIEEE802.11g提供最大速率为54Mbps的无线连接提供身份验证26北京万博天地网络技术股份有限公司版权所有服务器服务器无线访问点无线移动终端Comm.Tower11.2最新的无线网络技术（续）——典型的无线网络体系接结构27北京万博天地网络技术股份有限公司版权所有11.2.1标准体系结构接入点的放置保证接入点的覆盖范围DHCP服务器与有线网络相同28北京万博天地网络技术股份有限公司版权所有11.2.2数据传输安全WLAN的安全十分重要WEP（有线对等保密）身份验证服务保密性服务完整性服务29北京万博天地网络技术股份有限公司版权所有验证连接到AP的工作站的身份MAC地址身份验证密码身份验证依靠共享密钥RC4算法工作站无法验证AP的身份11.2.2数据传输安全——WEP身份验证服务30北京万博天地网络技术股份有限公司版权所有11.2.2数据传输安全——WEP身份验证交换过程1、工作站向AP发送验证请求2、AP向工作站发送随机竞争号码无线访问点无线移动终端Comm.Tower3、工作站用共享密钥对竞争号码加密4、如果能正确解密，则AP确认成功31北京万博天地网络技术股份有限公司版权所有RC4算法WEP提供密钥管理和其他支持服务WEP支持40位和128位的密钥WEP的问题密钥管理机制初始化向量的选择11.2.2数据传输安全——WEP保密性服务32北京万博天地网络技术股份有限公司版权所有WEP对每一个数据包进行完整性检查32位的CRC校验先CRC后加密11.2.2数据传输安全——WEP完整性服务33北京万博天地网络技术股份有限公司版权所有身份验证技术服务集标识符MAC地址WEPIEEE802.1x11.2.3身份验证34北京万博天地网络技术股份有限公司版权所有32字节的字符串，用于网络名称工作站和AP必须有相同的SSID广播SSID导致不安全11.2.3身份验证（续）——服务器标识符35北京万博天地网络技术股份有限公司版权所有使用MAC地址进行验证身份AP配置为仅与已知的MAC地址通信缺点MAC地址必须明码传输11.2.3身份验证（续）——MAC地址36北京万博天地网络技术股份有限公司版权所有无法提供双向身份验证服务无法防止拦截或中途攻击11.2.3身份验证（续）——WEP37北京万博天地网络技术股份有限公司版权所有11.2.3身份验证（续）——针对WEP的中途攻击无线移动终端欺诈访问点截获信号并把自己插入通信路经无线访问点Comm.Tower通信可能无法传递给真正的访问点Comm.Tower欺诈访问点工作站试图直接连接无线访问点38北京万博天地网络技术股份有限公司版权所有为所有第2层访问协议开发的EthernetWLAN基于端口的网络访问控制提供一般化的身份验证机制802.1x与RADIUS联合使用存在不安全因素11.2.3身份验证（续）——IEEE802.1x39北京万博天地网络技术股份有限公司版权所有术语验证者请求者验证服务器网络接入点端口接入实体可扩展验证协议11.2.3身份验证（续）——IEEE802.1x（续）40北京万博天地网络技术股份有限公司版权所有11.3无线网络安全问题检测窃听主动式攻击法律问题41北京万博天地网络技术股份有限公司版权所有11.3.1WLAN检测NetStumbler软件工具定位WLAN识别WLAN的SSID判别WLAN是否使用了WEPKismet软件工具42北京万博天地网络技术股份有限公司版权所有11.3.2窃听无线网络最大的安全隐患在于入侵者可以访问某机构的内部网络无线网络的接入方式导致易于窃听窃听很难防止43北京万博天地网络技术股份有限公司版权所有11.3.2窃听（续）——在WLAN上窃听服务器服务器无线访问点Comm.Tower防火墙无线移动终端44北京万博天地网络技术股份有限公司版权所有11.3.3主动式攻击主动式攻击危害更大网络内部的安全机制少入侵者使用攻陷的网络攻击外部目标检测内部攻击十分困难45北京万博天地网络技术股份有限公司版权所有11.3.3主动式攻击（续）——使用WLAN接入点攻击外部站点服务器服务器无线访问点Comm.Tower防火墙无线移动终端在WLAN上产生的攻击通信，并扩散到外部系统中46北京万博天地网络技术股份有限公司版权所有11.3.4潜在的法律问题遭受内部攻击会导致潜在的法律问题机构的法律顾问必须仔细回答这个问题47北京万博天地网络技术股份有限公司版权所有11.4安全无线网络技术部署WLAN前必须彻底评估工程的安全隐患检查潜在的安全风险鉴别现有的安全防护措施部署附加的安全措施48北京万博天地网络技术股份有限公司版权所有11.4.1接入点安全AP的安全是安全的起点允许设置WEP密钥使用MAC地址限定允许连接的工作站限制AP广播SSID使用HTTPS管理APAP的放置位置接入点49北京万博天地网络技术股份有限公司版权所有11.4.2传输安全使用WEP额外使用一种加密系统50北京万博天地网络技术股份有限公司版权所有11.4.3工作站安全入侵者直接攻击WLAN上的工作站保护工作站的安全杀毒软件个人防火墙51北京万博天地网络技术股份有限公司版权所有11.4.4站点安全在内部网络中置入WLAN须谨慎WLAN与内部网络隔离开在WLAN上布置入侵检测系统在WLAN上使用工作站时使用强身份验证机制防止非法或未经授权的AP机构须定期执行无线评估52北京万博天地网络技术股份有限公司版权所有本章总结扩展有线网络的一种有效的方法是无线网络。无线网络作为有线网络的一种补充，在不方便布线的地方建立起用户自己的网络。但是由于无线网络自身的特点，使安全问题成为需要重点解决的问题应用于有线网