《项目11无线网络安全讲述》由会员分享,可在线阅读,更多相关《项目11无线网络安全讲述(49页珍藏版)》请在金锄头文库上搜索。
1、项目11 无线网络安全 项目1 双机互连对等网络的组建 11.1 项目提出 u张先生家中有多台计算机,包括台式计算机和笔 记本计算机,为了实现这些计算机能共享宽带上网 ,并实现无线连接,张先生添置了一台无线路由器 来实现这些目标。 u最近,张先生发觉上网速度突然变得很慢,为此 他疑惑不解,因为张先生的无线路由器明明设置过 密码,应该不会被其他人盗用网络。 u后来,经朋友检查发现,张先生的计算机 的“网上邻居”中突然多出一个陌生的计算 机用户,网络被盗用已经成为不争的事实。 u朋友告诉他,他的无线网络已经被一种称 为“蹭网卡”的装置盯上了,因为多了一台 计算机共享他的上网带宽,所以上网速度实 然
2、变慢。 u那么,如何保障自己的无线网络安全使用 呢?本项目将为大家解决这样的技术问题。 11.2 项目分析 u由于无线局域网自身的特点,它的无线网络信号 很容易被发现。非法入侵者只需要给计算机安装无 线网卡,就可以搜索到附近的无线网络信息,获取 SSID、信道、是否加密等信息。 u很多家用无线网络因为没有进行相应的安全设置 ,很容易被入侵者侵入。 u更糟糕的是,由于“蹭网卡”的出现,它可以捕 捉到方圆几公里范围内的无线网络信号,而且与其 相配套的破解软件,会很容易地破解简单的加密方 式,从而获得网络使用权。 u此外,由于无线局域网不对数据帧进行认 证操作,这样,入侵者可以通过欺骗帧去重 新定向
3、数据流,搅乱ARP缓存表(表里的IP地 址与MAC地址是一一对应的)。 u入侵者可以轻易地获得网络中站点的MAC 地址,而且可以通过MAC地址修改工具来将 本机的MAC地址改为无线局域网合法的MAC地 址,或者通过修改注册表来修改MAC地址。 u除了MAC地址欺骗手段外,入侵者还可以 拦截会话帧来发现无线AP中存在的认证漏洞 ,通过监测AP发出的广播帧发现AP的存在。 u可是,由于IEEE 802.11无线网络协议并 没有要求AP必须证明自己是一个AP,所以入 侵者可能会冒充一个AP进入无线网络,然后 进一步获取认证身份信息。 11.3 相关知识点 11.3.1 无线局域网基础 u无线局域网(
4、Wireless Local Area Networks,WLAN) 利 用电磁波在空气中发送和接收数据,而无需线缆介质。 u作为传统有线网络的一种补充和延伸,无线局域网把个 人从办公桌边解放了出来,使他们可以随时随地获取信息 ,提高了员工的办公效率。 u此外,WLAN还有其他一些优点。它能够方便地实施联网 技术,因为WLAN可以便捷、迅速地接纳新加入的员工,而 不必对网络的用户管理配置进行过多的变动。 uWLAN还可以在有线网络布线困难的地方比较容易实施, 使用WLAN方案,则不必再实施打孔、敷线等作业,因而不 会对建筑设施造成任何损害。 u无线局域网具有以下特点。 (1) 安装便捷。无线局
5、域网最大的优势就是免去或减 少了网络布线的工作量,一般只要安装一个或多个无线 接入点AP(Access Point)设备,就可组建覆盖整个建筑 或地区的无线局域网。 (2) 使用灵活。而一旦无线局域网建成后,在无线网 络的信号覆盖区域内任何一个位置都可以接入网络。 (3) 经济节约。有线网络缺少灵活性,而一旦网络的 发展超出了设计规划,又要花费较多费用进行网络改造 ,而无线局域网可以避免或减少以上情况的发生。 (4) 易于扩展。无线局域网就能设计成从只有几个用 户的小型局域网到上千用户的大型网络,并且能够提供 像“漫游(Roaming)”等有线网络无法提供的特性。 11.3.2 无线局域网标准
6、 1. IEEE 802.11x系列标准 uIEEE 802.11b即Wi-Fi(Wireless Fidelity,无线相容 认证),它利用2.4GHz的频段。 u2.4GHz的ISM(Industrial Scientific Medical)频段为 世界上绝大多数国家通用,因此IEEE 802.11b得到了最为 广泛的应用。 u它的最大数据传输速率为11Mbps,无须直线传播。在动 态速率转换时,如果无线信号变差,可将数据传输速率降 低为5.5Mbps、2Mbps和1Mbps。 uIEEE 802.11a(Wi-Fi5)标准是得到广泛应用的 IEEE 802.11b标准的后续标准。它工作
7、在5GHz频段 ,传输速率可达54Mbps。由于IEEE 802.11a工作在 5GHz频段,因此它与IEEE 802.11、IEEE 802.11b标 准不兼容。 uIEEE 802.11g是为了提高更高的传输速率而制订 的标准,它采用2.4GHz频段,使用 CCK(Complementary Code Keying,补码键控)技术 与IEEE 802.11b(Wi-Fi)向后兼容,同时它又通过采 用OFDM(Orthogonal Frequency Division Multiplexing,正交频分多路复用)技术支持高达 54Mbps的数据流。 uIEEE 802.11n可以将WLAN的
8、传输速率由目前IEEE 802.11a及IEEE 802.11g提供的54Mbps,提高到 300Mbps甚至高达600Mbps。 u通过应用将MIMO(Multiple-Input Multiple- Output,多入多出)与OFDM技术相结合的MIMO OFDM技 术,提高了无线传输质量,也使传输速率得到极大提 升。 u和以往的IEEE 802.11标准不同,IEEE 802.11n协 议为双频工作模式(包含2.4GHz和5GHz两个工作频段) ,这样IEEE 802.11n就保障了与以往的IEEE 802.11b 、IEEE 802.11a、IEEE 802.11g 标准兼容。 2.
9、家庭网络(Home RF)技术 uHome RF(Home Radio Frequency)一种专门为家庭 用户设计的小型无线局域网技术。它是IEEE 802.11 与Dect(数字无绳电话)标准的结合,旨在降低语音 数据成本。Home RF在进行数据通信时,采用IEEE 802.11标准中的TCP/IP传输协议;进行语音通信时 ,则采用数字增强型无绳通信标准。 uHome RF的工作频率为2.4GHz。原来最大数据传输 速率为2Mbps,2000年8月,美国联邦通信委员会 (FCC)批准了Home RF的传输速率可以提高到8 11Mbps。Home RF可以实现最多5个设备之间的互联 。 3
10、. 蓝牙技术 u蓝牙(Bluetooth)技术实际上是一种短距离无线数字 通信的技术标准,工作在2.4GHz频段,最高数据传输 速度为1Mbps(有效传输速度为721kbps),传输距离为 10cm10m,通过增加发射功率可达到100m。 u蓝牙技术主要应用于手机、笔记本电脑等数字终端 设备之间的通信和这些设备与Internet的连接。 11.3.3 无线局域网设备 (1) 无线网卡 (2) 无线访问接入点 u无线访问接入点(Access Point,AP)也称无线网桥 ,主要提供无线工作站对有线局域网的访问和从有线 局域网对无线工作站的访问。 (3) 无线路由器 u无线路由器(Wireles
11、s Router)集成了无线AP和宽 带路由器的功能,它不仅具备AP的无线接入功能, 通常还支持DHCP、防火墙、WEP加密等功能,而且还 包括了网络地址转换(NAT)功能,可支持局域网用户 的网络连接共享。 (4) 天线 u天线有全向天线和定向天线两种。 11.3.4 无线局域网的组网模式 u无线局域网组网模式主要有两种:一种是无基站的 Ad-Hoc(自组网络)模式;另一种是有固定基站的 Infrastructure(基础结构)模式。 11.3.5 服务集标识 u服务集标识(Service Set Identifier,SSID)用 来区分不同的无线网络,最多可以有32个字符,无 线网卡设置
12、了不同的SSID就可以进入不同的无线网 络。SSID通常由AP广播出来,通过Windows XP自带 的扫描功能可以查看当前区域内的SSID。出于安全 考虑可以不广播SSID,此时用户就要手工设置SSID 才能进入相应的网络。 u简单地说,SSID就是一个无线局域网的名称,只 有设置为相同SSID值的计算机才能互相通信。 11.3.6 无线加密标准 1. WEP加密标准 uWEP(Wired Equivalent Privacy,有线等效保密) 无线加密协议使用RC4加密算法,它定义了两种身份 验证的方法:开放系统和共享密钥。 u在缺省的开放系统方法中,用户即使没有提供正 确的WEP密钥也能接
13、入访问点, u共享密钥方法则需要用户提供正确的WEP密钥才能 通过身份验证。 u目前常见的是64位WEP加密和128位WEP加密。 2. WPA加密标准 u由于WEP的安全性较低,IEEE 802.11组织开始制 定新的安全标准,也就是802.11i协议。但由于新标 准从制定到发布需要较长的周期,而且用户也不会 仅为了网络的安全性就放弃原来的无线设备,所以 Wi-Fi联盟在新标准推出之前,又在802.11i草案的 基础上制定了WPA(Wi-Fi Protected Access)无线加 密协议。 u作为802.11i标准的子集,WPA的核心就是IEEE 802.1x(一种基于端口的网络接入控制
14、协议)和TKIP( 临时密钥完整性协议) uWPA的加密算法依然是WEP中使用的RC4加密算法。 uWPA采用了两种应用模式,即企业模式和家庭模式。 u对于大型企业用户来说,“802.1x EAP(Extensible Authentication Protocol,可扩展 认证协议)”的加密方式是最佳选择,它的安全性非常 好,用户必须提供认证所需的凭证才能实现连接。 u对于一些中小型的企业网络或者家庭用户来说, “WPA-PSK”(WPA预共享密钥)模式更加适合,它不需 要专门的认证服务器,仅要求在每个WLAN节点(AP、无 线路由器、网卡等)预先输入一个密钥即可。 u需要注意的是,这个密钥
15、仅仅用于认证过 程,而不是用于传输数据的加密。 u数据加密的密钥是在认证成功后动态生成 的,系统将保证“一户一密”,不存在像 WEP那样全网共享一个加密密钥的情形,所 以无线网络的安全性较WEP有大幅提升。 3. WPA2加密标准 u当IEEE完成并公布IEEE 802.11i无线局域网安全 标准后,Wi-Fi联盟也随即公布了WPA第2版WPA2 。 uWPA2支持AES(高级加密算法),安全性更高。但与 WPA不同的是,WPA2需要新的硬件才能支持。 uWPA2是Wi-Fi联盟验证过的IEEE 802.11i标准的认 证形式,WPA2实现了802.11i的强制性元素,特别是 Michael算
16、法被公认彻底安全的CCMP(Counter CBC- MAC Protocol,计数器模式密码块链消息完整码协 议)讯息认证码所取,而RC4加密算法也被AES所取代 。 uWPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP WEP(选择性项目)/TKIP uWPA2 = IEEE 802.11i = IEEE 802.1X/EAP WEP(选择性项目)/TKIP/CCMP u还有一种无线网络加密的模式就是 WPA-PSK(TKIP)+WPA2-PSK(AES), u这是是目前最强的无线加密模式,但由于这种加 密模式的兼容性存在问题,还没有被很多用户所使 用。 u目前使用最广泛是WPA-PSK(TKIP)和WPA2- PSK(AES)这两种加密模式。 11.4 项目实施 任务: 无线局域网安全配置 1. 任务目标 (1) 熟悉无线路由器的安全设置方法,组建以无线路由器为 中心的无线局域网。 (2) 熟悉以无线路由器为中心的无线网络客户端的安全设置 方法。 (3) 了解无线加密标准。 2. 任务内容 (1) 安全配置无线路由器。 (2
