项目11无线网络安全.ppt

1、项目11 无线网络安全,项目1 双机互连对等网络的组建,11.1 项目提出,张先生家中有多台计算机，包括台式计算机和笔记本计算机，为了实现这些计算机能共享宽带上网，并实现无线连接，张先生添置了一台无线路由器来实现这些目标。 最近，张先生发觉上网速度突然变得很慢，为此他疑惑不解，因为张先生的无线路由器明明设置过密码，应该不会被其他人盗用网络。,后来，经朋友检查发现，张先生的计算机的“网上邻居”中突然多出一个陌生的计算机用户，网络被盗用已经成为不争的事实。 朋友告诉他，他的无线网络已经被一种称为“蹭网卡”的装置盯上了，因为多了一台计算机共享他的上网带宽，所以上网速度实然变慢。 那么，如何保障自己的

2、无线网络安全使用呢？本项目将为大家解决这样的技术问题。,11.2 项目分析,由于无线局域网自身的特点，它的无线网络信号很容易被发现。非法入侵者只需要给计算机安装无线网卡，就可以搜索到附近的无线网络信息，获取SSID、信道、是否加密等信息。 很多家用无线网络因为没有进行相应的安全设置，很容易被入侵者侵入。 更糟糕的是，由于“蹭网卡”的出现，它可以捕捉到方圆几公里范围内的无线网络信号，而且与其相配套的破解软件，会很容易地破解简单的加密方式，从而获得网络使用权。,此外，由于无线局域网不对数据帧进行认证操作，这样，入侵者可以通过欺骗帧去重新定向数据流，搅乱ARP缓存表(表里的IP地址与MAC地址是一一

3、对应的)。 入侵者可以轻易地获得网络中站点的MAC地址，而且可以通过MAC地址修改工具来将本机的MAC地址改为无线局域网合法的MAC地址，或者通过修改注册表来修改MAC地址。,除了MAC地址欺骗手段外，入侵者还可以拦截会话帧来发现无线AP中存在的认证漏洞，通过监测AP发出的广播帧发现AP的存在。 可是，由于IEEE 802.11无线网络协议并没有要求AP必须证明自己是一个AP，所以入侵者可能会冒充一个AP进入无线网络，然后进一步获取认证身份信息。,11.3 相关知识点,11.3.1 无线局域网基础 无线局域网(Wireless Local Area Networks，WLAN) 利用电磁波在空

4、气中发送和接收数据，而无需线缆介质。 作为传统有线网络的一种补充和延伸，无线局域网把个人从办公桌边解放了出来，使他们可以随时随地获取信息，提高了员工的办公效率。 此外，WLAN还有其他一些优点。它能够方便地实施联网技术，因为WLAN可以便捷、迅速地接纳新加入的员工，而不必对网络的用户管理配置进行过多的变动。 WLAN还可以在有线网络布线困难的地方比较容易实施，使用WLAN方案，则不必再实施打孔、敷线等作业，因而不会对建筑设施造成任何损害。,无线局域网具有以下特点。 (1) 安装便捷。无线局域网最大的优势就是免去或减少了网络布线的工作量，一般只要安装一个或多个无线接入点AP(Access Poi

5、nt)设备，就可组建覆盖整个建筑或地区的无线局域网。 (2) 使用灵活。而一旦无线局域网建成后，在无线网络的信号覆盖区域内任何一个位置都可以接入网络。 (3) 经济节约。有线网络缺少灵活性，而一旦网络的发展超出了设计规划，又要花费较多费用进行网络改造，而无线局域网可以避免或减少以上情况的发生。 (4) 易于扩展。无线局域网就能设计成从只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。,11.3.2 无线局域网标准 1. IEEE 802.11x系列标准 IEEE 802.11b即Wi-Fi(Wireless Fidelity，无线相

6、容认证)，它利用2.4GHz的频段。 2.4GHz的ISM(Industrial Scientific Medical)频段为世界上绝大多数国家通用，因此IEEE 802.11b得到了最为广泛的应用。 它的最大数据传输速率为11Mbps，无须直线传播。在动态速率转换时，如果无线信号变差，可将数据传输速率降低为5.5Mbps、2Mbps和1Mbps。,IEEE 802.11a(Wi-Fi5)标准是得到广泛应用的IEEE 802.11b标准的后续标准。它工作在5GHz频段，传输速率可达54Mbps。由于IEEE 802.11a工作在5GHz频段，因此它与IEEE 802.11、IEEE 802.1

7、1b标准不兼容。 IEEE 802.11g是为了提高更高的传输速率而制订的标准，它采用2.4GHz频段，使用CCK(Complementary Code Keying，补码键控)技术与IEEE 802.11b(Wi-Fi)向后兼容，同时它又通过采用OFDM(Orthogonal Frequency Division Multiplexing，正交频分多路复用)技术支持高达54Mbps的数据流。,IEEE 802.11n可以将WLAN的传输速率由目前IEEE 802.11a及IEEE 802.11g提供的54Mbps，提高到300Mbps甚至高达600Mbps。 通过应用将MIMO(Multip

8、le-Input Multiple-Output，多入多出)与OFDM技术相结合的MIMO OFDM技术，提高了无线传输质量，也使传输速率得到极大提升。 和以往的IEEE 802.11标准不同，IEEE 802.11n协议为双频工作模式(包含2.4GHz和5GHz两个工作频段)，这样IEEE 802.11n就保障了与以往的IEEE 802.11b、IEEE 802.11a、IEEE 802.11g 标准兼容。,2. 家庭网络(Home RF)技术 Home RF(Home Radio Frequency)一种专门为家庭用户设计的小型无线局域网技术。它是IEEE 802.11与Dect(数字无绳

9、电话)标准的结合，旨在降低语音数据成本。Home RF在进行数据通信时，采用IEEE 802.11标准中的TCP/IP传输协议；进行语音通信时，则采用数字增强型无绳通信标准。 Home RF的工作频率为2.4GHz。原来最大数据传输速率为2Mbps，2000年8月，美国联邦通信委员会(FCC)批准了Home RF的传输速率可以提高到811Mbps。Home RF可以实现最多5个设备之间的互联。,3. 蓝牙技术 蓝牙(Bluetooth)技术实际上是一种短距离无线数字通信的技术标准，工作在2.4GHz频段，最高数据传输速度为1Mbps(有效传输速度为721kbps)，传输距离为10cm10m，通

10、过增加发射功率可达到100m。 蓝牙技术主要应用于手机、笔记本电脑等数字终端设备之间的通信和这些设备与Internet的连接。,11.3.3 无线局域网设备 (1) 无线网卡,(2) 无线访问接入点 无线访问接入点(Access Point，AP)也称无线网桥，主要提供无线工作站对有线局域网的访问和从有线局域网对无线工作站的访问。,(3) 无线路由器 无线路由器(Wireless Router)集成了无线AP和宽带路由器的功能，它不仅具备AP的无线接入功能，通常还支持DHCP、防火墙、WEP加密等功能，而且还包括了网络地址转换(NAT)功能，可支持局域网用户的网络连接共享。,(4) 天线 天线

11、有全向天线和定向天线两种。,11.3.4 无线局域网的组网模式 无线局域网组网模式主要有两种：一种是无基站的Ad-Hoc(自组网络)模式；另一种是有固定基站的Infrastructure(基础结构)模式。,11.3.5 服务集标识 服务集标识(Service Set Identifier，SSID)用来区分不同的无线网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同的无线网络。SSID通常由AP广播出来，通过Windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。 简单地说，SSID就是

12、一个无线局域网的名称，只有设置为相同SSID值的计算机才能互相通信。,11.3.6 无线加密标准 1. WEP加密标准 WEP(Wired Equivalent Privacy，有线等效保密)无线加密协议使用RC4加密算法，它定义了两种身份验证的方法：开放系统和共享密钥。 在缺省的开放系统方法中，用户即使没有提供正确的WEP密钥也能接入访问点， 共享密钥方法则需要用户提供正确的WEP密钥才能通过身份验证。 目前常见的是64位WEP加密和128位WEP加密。,2. WPA加密标准 由于WEP的安全性较低，IEEE 802.11组织开始制定新的安全标准，也就是802.11i协议。但由于新标准从制定

13、到发布需要较长的周期，而且用户也不会仅为了网络的安全性就放弃原来的无线设备，所以Wi-Fi联盟在新标准推出之前，又在802.11i草案的基础上制定了WPA(Wi-Fi Protected Access)无线加密协议。 作为802.11i标准的子集，WPA的核心就是IEEE 802.1x(一种基于端口的网络接入控制协议)和TKIP(临时密钥完整性协议) WPA的加密算法依然是WEP中使用的RC4加密算法。,WPA采用了两种应用模式，即企业模式和家庭模式。 对于大型企业用户来说，“802.1xEAP(Extensible Authentication Protocol，可扩展认证协议)”的加密方式

14、是最佳选择，它的安全性非常好，用户必须提供认证所需的凭证才能实现连接。 对于一些中小型的企业网络或者家庭用户来说，“WPA-PSK”(WPA预共享密钥)模式更加适合，它不需要专门的认证服务器，仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可。,需要注意的是，这个密钥仅仅用于认证过程，而不是用于传输数据的加密。 数据加密的密钥是在认证成功后动态生成的，系统将保证“一户一密”，不存在像WEP那样全网共享一个加密密钥的情形，所以无线网络的安全性较WEP有大幅提升。,3. WPA2加密标准 当IEEE完成并公布IEEE 802.11i无线局域网安全标准后，Wi-Fi联盟也随即公

15、布了WPA第2版WPA2。 WPA2支持AES(高级加密算法)，安全性更高。但与WPA不同的是，WPA2需要新的硬件才能支持。 WPA2是Wi-Fi联盟验证过的IEEE 802.11i标准的认证形式，WPA2实现了802.11i的强制性元素，特别是Michael算法被公认彻底安全的CCMP(Counter CBC-MAC Protocol，计数器模式密码块链消息完整码协议)讯息认证码所取，而RC4加密算法也被AES所取代。,WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP WEP(选择性项目)/TKIP WPA2 = IEEE 802.11i = IEE

16、E 802.1X/EAP WEP(选择性项目)/TKIP/CCMP 还有一种无线网络加密的模式就是WPA-PSK(TKIP)+WPA2-PSK(AES)， 这是是目前最强的无线加密模式，但由于这种加密模式的兼容性存在问题，还没有被很多用户所使用。 目前使用最广泛是WPA-PSK(TKIP)和WPA2-PSK(AES)这两种加密模式。,11.4 项目实施,任务: 无线局域网安全配置 1. 任务目标 (1) 熟悉无线路由器的安全设置方法，组建以无线路由器为中心的无线局域网。 (2) 熟悉以无线路由器为中心的无线网络客户端的安全设置方法。 (3) 了解无线加密标准。 2. 任务内容 (1) 安全配置

17、无线路由器。 (2) 安全配置PC1计算机的无线网络。 (3) 安全配置PC2、PC3计算机的无线网络。 (4) 连通性测试。,3. 完成任务所需的设备和软件 (1) 装有Windows XP操作系统的PC机3台。 (2) 无线网卡3块(USB接口，TP-LINK TL-WN821N)。 (3) 无线路由器1台(TP-LINK TL-WR841N)。 (4) 直通网线2根。,4. 任务实施步骤 (1) 配置无线路由器 步骤1：把连接外网(如Internet)的直通网线接入无线路由器的WAN端口，把另一直通网线的一端接入无线路由器的LAN端口，另一端口接入PC1计算机的有线网卡端口，如图11-1

18、2所示。,步骤2：设置PC1计算机有线网卡的IP地址为192.168.1.10，子网掩码为255.255.255.0，默认网关为192.168.1.1。再在IE地址栏中输入192.168.1.1，打开无线路由器登录界面，输入用户名为admin，密码为admin，如图11-13所示，单击“确定”按钮后进入设置界面。,步骤3：进入设置界面以后，选择左侧向导菜单中的“网络参数”“LAN口设置”链接后，在右侧窗格中可设置LAN口的IP地址，一般默认为192.168.1.1，如图11-14所示。,步骤4：单击左侧向导菜单中的“网络参数”“WAN口设置”链接，在右侧窗格中可设置WAN口的连接类型,步骤5：

19、设置“无线MAC地址过滤”,步骤6：设置“DHCP服务”,步骤7：设置“无线参数”,步骤8：“无线安全设置”,步骤9：“修改登录口令”,步骤10：查看“运行状态” 步骤11：重新启动路由器,(2) 安全配置PC1计算机的无线网络 步骤1：在PC1计算机上安装无线网卡和相应的驱动程序后，设置该无线网卡自动获得IP地址。如果无线路由器中关闭了DHCP服务，则需手动设置无线网卡的IP地址。 无线网卡安装成功后，在桌面任务栏上会出现无线网络连接图标 。,步骤2：启用“Wireless Zero Configuration”服务,步骤3：打开“网络连接”窗口,步骤4：右击“无线网络连接”图标，在弹出的快

20、捷菜单中选择“属性”命令，打开“无线网络连接 属性”对话框。在“无线网络配置”选项卡中，选中“用Windows配置我的无线网络设置”复选框，如图11-24所示。,步骤5：单击“高级”按钮，打开“高级”对话框，如图11-25所示。选中“任何可用的网络(首选访问点)”单选按钮，再单击“关闭”按钮，返回“无线网络连接 属性”对话框。,步骤6：单击“添加”按钮，在“关联”选项卡中，设置网络名(SSID)为tzkj，并选中“即使此网络未广播，也进行连接”复选框，取消选中“自动为我提供此密钥”复选框，选择网络身份验证方式为WPA2-PSK，数据加密方式为AES，在“网络密钥”和“确认网络密钥”文本框中输入

21、密钥，如abcdefgh。,步骤7：在“连接”选项卡中，选中“当此网络在区域内时连接”复选框，如图11-27所示，单击“确定”按钮，返回“无线网络连接 属性”对话框。此时“首选网络”列表框中出现了“tzkj(自动)”选项，如图11-28所示。,步骤8：单击“确定”按钮。等一会儿，桌面任务栏上的无线网络连接图标由变为，表示该计算机已自动接入无线网络。 (3) 安全配置PC2、PC3计算机的无线网络 步骤1：在PC2计算机上，重复上述步骤1步骤8，完成PC2计算机无线网络的设置。 步骤2：在PC3计算机上，重复上述步骤1步骤8，完成PC3计算机无线网络的设置。,(4) 连通性测试 步骤1：在PC1

22、、PC2和PC3计算机上运行“ipconfig”命令，查看并记录PC1、PC2和PC3计算机无线网卡的IP地址。 PC1计算机无线网卡的IP地址：_。 PC2计算机无线网卡的IP地址：_。 PC3计算机无线网卡的IP地址：_。,步骤2：在PC1计算机上，依次运行“ping PC2计算机无线网卡的IP地址”和“ping PC3计算机无线网卡的IP地址”命令，测试与PC2和PC3计算机的连通性。 步骤3：在PC2计算机上，依次运行“ping PC1计算机无线网卡的IP地址”和“ping PC3计算机无线网卡的IP地址”命令，测试与PC1和PC3计算机的连通性。 步骤4：在PC3计算机上，依次运行“ping PC1计算机无线网卡的IP地址”和“ping PC2计算机无线网卡的IP地址”命令，测试与PC1和PC2计算机的连通性。,8.5 拓展知识：无线局域网的安全,1威胁无线局域网安全的因素 窃听 截取或者修改传输数据 置信攻击 拒绝服务,2无线局域网的安全措施 采用无线加密协议防止未授权用户访问 改变服务集标识符并且禁止SSID广播 静态IP地址与MAC地址绑定 VPN技术在无线网络中的应用 无线入侵检测系统 采用身份验证和授权 其他安全措施,