《无线网络安全及典型案例分析》由会员分享,可在线阅读,更多相关《无线网络安全及典型案例分析(46页珍藏版)》请在金锄头文库上搜索。
1、思科无线网络安全及典型案例,无线网络安全 第一代 802.11B 安全机制 ( 基本安全) 第二代 802.1X 安全机制 ( 增强安全) 2. 无线网络典型案例,AGENDA,思科安全无线局域网机制,四种不同级别的WLAN安全措施: 没有安全、基本安全、增强安全和专业安全。 基本安全: WEP : “ Wired Equivalent Protection “,一种将资料加密的处理方式,WEP 40bit或128bit 的encryption 乃是IEEE 802.11的标准规范。透过WEP的处理便可让我们的资料于传输中更加安全。但静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而
2、变化的密钥。 增强安全: LEAP,它也被称为EAP Cisco Wireless (可扩展身份认证协议) TKIP、MIC、 AES 专业安全:VPN (金融机构,需要VPN终端,造价高),思科安全无线局域网机制,1)共享的、静态的WEP密钥 没有集中的密钥管理 不能有效抵御各种安全攻击 2)如果客户的适配器丢失或被盗,需要进行大规模的密钥重部署 处理器能接入网络 需要对所有的WLAN客户机设备进行密钥重部署 3)缺乏综合用户管理 需要独立的用户数据库,不使用RADIUS 能够只通过设备特性(如MAC地址)识别用户 4)在802.11B中, 验证与加密是可选的 (不是必需的),第一代 802
3、.11B 安全机制的特点(基本安全),MAC1+ WEP key,MAC2+ WEP key,在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。 1)当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,
4、并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。 2)IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。 因此在用户和认证服务器之间进行相互认证是需要的,第一代802.11B 安全机制的危险性,用户要求接入,AP防止网络接入; 加密的证明材料被发送给验证服务器; 验证服务器验证用户并给予接入权; AP端口被启动,动态WEP密钥被分配给客户(加密); 无线客户端现在可以安全地访问普通的网
5、络服务了; 6) Cisco LEAP与EAP-TLS 在每次(重新)验证时均会生成一个WEP会话密钥 新的密钥基于用户信息与会话信息 RADIUS 选项27提供了会话超时设置,WLAN环境中的802.1X协议 (增强安全),协议:LEAP,它也被称为EAP Cisco Wireless (轻型可扩展身份认证协议) 标准:802.1X, 和有线的RADIUS 访问控制一致,增强安全,EAP Cisco Wireless 的两个重要优点 第一个优点是客户端和RADIUS服务器之间的双向认证机制,这可以有效地阻止由伪装的访问点发动的“中间人“式攻击。这也有助于确保只有合法的客户端才能连接合法的、经
6、过授权的无线访问点。 EAP Cisco Wireless的第二个优点是对WLAN的集中式密钥管理。在成功地认证了客户端的身份以后,RADIUS服务器和客户端将获得一个针对用户的WEP密钥,客户端将在本次登录会话中使用这个密钥。,802.1x+双向认证+每用户每会话WEP密钥提供足够安全,“ Is 802.1x & Mutual auth. + Per user per session WEP good enough?”,SSID概念: 1)服务组标识符(SSID:Service Set Identifier),它提供一个最底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称 2
7、)SSID 代表VLAN号,每个VLAN 必须用不同的SSID 它服务于该子系统内的逻辑段。因为SSID本身没有安全性,所以用SSID作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备,通常广播SSID。 3)在AP上创建所有SSID,在每台客户机上分配SSID号。,无线网络VLAN 划分策略,无线网络VLAN 划分策略,思科无线解决方案之独到之处,业界最高的硬件性能(数据传输率、覆盖范围、接收灵敏度); 高可用性,可扩展性,可升级性(Load Balance、Hot Stand-by、802.11b-802.11a /802.11g); 业界最高安全性(VLAN、PSPF、802.
8、1x/EAP、MIC、TKIP); QoS支持各种应用(数据、语音、视频); 易于管理(WLSE); 便于部署和实施(室外应用距离自动估算工具、在线电源、免费室内勘察工具、无缝漫游(2层、3层);支持DHCP,Telnet,Http 能够与思科的有线网络设备和网络功能无缝结合(VLAN、VPN、QoS、网管、802.1x),思科是业界唯一一家可以为客户提供从有线到无线全面解决方案的厂家。,无线局域网络典型案例 1.无线组网方式 2. 典型案例1-7,AGENDA,无线局域网的几种组网方式,建筑物内(室内)组网方式: 对等网结构 蜂窝结构 建筑物之间(室外)组网方式: 点对点结构 一点对多点结构
9、 混合组网方式,室内组网方式- 单蜂窝结构,无线工作站,局域网主干,无线接入点,无线链路,可以采用 1 11 号信道(802.11b规范)中任意一个没有受到干扰的信道; 一个无线接入点推荐接入不超过20 - 30个无线客户端, 以提供满意的访问速率; 同一蜂窝范围可以最多部署3个无线接入点, 分别采用 1 / 6 / 11 号信道, 从而提供高达33Mbps的总体访问速率, 并可以同时服务更多的用户.,无线 “蜂窝”,无线接入点,无线工作站,局域网主干,无线 “蜂窝”,信道 1,信道 6,无线工作站,无线接入点,无线 “蜂窝”,无线链路,无线链路,以太网,以太网,蜂窝之间建议有15%的重叠范围
10、, 便于无线工作站在不同的蜂窝之间作无缝漫游.,室内组网方式 多蜂窝结构,最远可达几十公里 (可视距离),局域网,无线网桥,天线,建筑物 A,建筑物 B,无线网桥,无线链路,天线,局域网,若采用思科的无线网桥(100mW功率), 配合21dBi增益天线, 在2 Mbps下最远可达40公里(25英里); 11Mbps下可达18.5公里(11.5英里); 同一区域最多同时部署3对无线网桥, 提供最高达33Mbps的数据传输速率.,室外组网方式 点对点,信道 1,信道 3,室外组网方式 网桥中继,以太网,无线网桥,建筑物 B,建筑物 C,建筑物 A,定向天线,全向天线,无线网桥,无线网桥,以太网,以
11、太网,定向天线,无线链路,无线链路,室外组网方式 点对多点,无线局域网组网方式 混合结构,主干网,无线网桥,全向天线,建筑物 A,建筑物 B,无线网桥,无线链路,定向天线,局域网,无线工作站,无线 接入点A,无线链路,无线链路,无线链路,无线 接入点B,无线接入点,无线工作站,建筑B内的无线接入点汇聚其客户端的网络流量, 经由与以太网相连的无线网桥, 发送到远程的建筑A 处的网络主干中去; 无线客户端以及无线接入点设备也可以直接与建筑物A的无线网桥互联 ( 此时无线网桥提供无线接入点的功能), 访问主干网络资源.,(1)AB两点之间可视;没有障碍物阻挡;无电磁干扰,或干扰小;AB两点之间距离符
12、合网桥设备通讯距离的要求。 可采用点对点方式直接传输:A大楼放置一台无线网桥,顶部放置一面定向天线;B大楼同样放置一台无线网桥,顶部放置一面定向天线。两地的无线网桥分别通过馈线与本地天线连接后,两点的无线通讯可迅速搭建起来。无线网桥分别通过超五类双绞线连接各地的网络交换机。这样两处的网络即可连为一体。,室外组网方式说明 点对点,(2)AB两点之间不可视,但两者之间可以通过一座C楼间接可视。并且AC两点,BC两点之间满足网桥设备通讯的要求。 我们采用中继方式,C楼作为中继点。AB各放置网桥,定向天线。 C点可选方式有: 放置一台网桥和一面全向天线,这种方式适合对传输带宽要求不高,距离较近的情况;
13、 放置两台网桥和两面定向天线,这种方式优点在于:传输距离远,信号强,带宽和传输质量有保证。(由客户需求和实际情况而定)。,室外组网方式说明 三点互连,(3):A点,B点之间不可视,但两者之间间距较近,仅几公里,且两者之间有多座建筑物。根据实际情况,可采用信号反射方案, 将A点B点互连。AB点分别放置无线网桥,定向天线。定向天线A发射的微波信号通过CD两座建筑反射后与定向天线B建立起通信。,室外组网方式说明 点对点,无线网络设计原则,1、定义WLAN需求: 结合楼层结构设计及建筑类型确定可能的接入点位置。 影响无线传输的主要因素: (1):两点之间的距离。 (2):两点可视状况,可视分为光可视,
14、和无线可视。可视呈度直接 影响传输距离和效果。 (3):电磁干扰情况。可进行测试。 2、WLAN的损耗: 基本损耗换算: dB=10log(输入信号功率/输出信号功率) 3、规划网络大小: 数据速率:仅当一帧发送时的速率,如11Mbps,多帧时由于路由协议开销及共享媒体接入延时,每 个用户不能连续发送数据。 吞吐量:不计协议、管理帧的发送信息速率。对802.11B约为6Mbps。 应用所需带宽: 4、最小化802.11干扰问题 常见干扰源:微波炉、无绳电话、蓝牙设备及其它无线LAN设备 对WLAN干扰最为严重的设备是2.4G无绳电话,其次为10英尺内的微波炉,再次是蓝牙设备 如笔记本和PDA。
15、,网络应用的需求 苏州农机局的办公室位于办公楼的三层,已经有20台电脑,分布在6个房间内,在主机房他们决定采用中国电信的adsl,内部局域网他们考虑了采用无线网络,如果采用有线网络,由于大楼没有预留线槽,所以必须在墙上打洞破坏办公室的装修,关键是他们可能在几个月后搬到5层办公,这样将会浪费一笔投资,而且很耽误时间;如果采用无线网络,完全不用布线,安装将会非常方便快捷,而且11M带宽完全满足他们的上网要求。 解决方案 针对他们的系统,清华同方设计了两种方案,一是楼内覆盖,在走廊中央放置一个AP,覆盖整个楼层;另外是楼外覆盖方案,在楼的南侧(即办公大楼的后面)放置一个AP,增加室外天线覆盖整个大楼
16、。 由于无线网络应用比较特殊,实施前一般需要仔细测试现场的环境,比如墙体的厚度,房间的格局,是否有外界干扰,经过测试,发现,1个AP是无法覆盖他们的全部办公室,在离AP较近的几个房间无线信号非常好,但是边缘的几个房间虽然距离AP只有20米左右,但是由于微波是直线传播,所以微波都是小角度穿透几面墙体,墙体将减弱信号,如下图d3最长,信号也就最弱,如果墙体为钢筋混凝土,则会更弱。 最终采用楼外覆盖技术,这样用户搬到5楼都不用改变网络就可以使用,系统使用1个AP,20个usb无线网卡,方案如下图:,典型无线案例分析 (一),典型无线案例分析 (一),方案A: 楼内覆盖,方案B: 楼外覆盖,项目实施 距离楼南侧有20米的位置,树立了一个铁杆,并安置了一个防雨箱,采用了以太网供电技术,把一条约80米长双绞线放入PVC管中,从3楼引入到防雨箱中,通过网线
