7.3.3WLAN上的身份验证-西安思源学院.ppt

* * * * * * * * * * BSS 中可用的带宽须由该 BSS 内的所有用户共享。如果多个用户同时连接，则即使具体应用不需要高速连接，也可能需要一种速度较高的技术。 不同的标准支持不同的覆盖范围。802.11 b/g/n 技术中使用的 2.4 GHz 信号传输范围比 802.11a 技术中使用的 5 GHz 信号传输范围更大。因此 802.11 b/g/n 支持更大的 BSS，实施时所需的设备更少，成本更低。 现有网络还对实施新的 WLAN 标准有影响。例如，802.11n 标准与 802.11g 向下兼容，但 802.11b 与 802.11a 不兼容。如果现有网络基础架构和设备支持 802.11a，则新的实施还必须支持同一标准。 成本也是一个因素。在考虑成本时，应考虑总拥有成本 (TCO)，包括设备购买成本以及安装和支持成本。在大中型企业环境中，TCO 对所选 WLAN 标准的影响比起在家庭或小型企业环境中产生的影响更大。这是因为在大中型企业中，需要更多的设备和安装计划，因此会增加成本。 * * * * 7.2.4 无线通道 练习：使用 GUI 界面配置 AP 使用的通道。参见电子版教材实验练习 7.2.5 配置接入点 配置集成的无线AP 7.2.5 配置接入点 配置集成的无线AP 7.2.6 配置无线客户端 无线客户端的定义 －包含无线网卡和无线客户端软件的任何设备。 －属于 STA 的设备包括：PDA、笔记本电脑、台式 PC、打印机、投影仪和 Wi-Fi 电话。 －客户端的配置必须与 AP 的配置匹配。 7.2.6 配置无线客户端 无线实用程序软件分为 －集成的无线实用程序软件 包含在设备的操作系统中 －独立的无线实用程序软件 用于支持特定的网卡 7.3 无线LAN的安全考虑 7.3.1 为什么WLAN会受到攻击 无线网络的一个主要优点是连接的设备非常简便。 信息通过空间传输。 攻击者可以从用户无线信号能抵达的任何地点访问其网络。 7.3.1 为什么WLAN会受到攻击 可以采用的安全防范方式包括： －改变默认设置，例如SSID、密码和IP地址。 －禁用SSID广播功能 －配置MAC地址过滤 7.3.1 为什么WLAN会受到攻击 改变无线路由和AP的出厂默认设置是至关重要的。 7.3.2 限制访问WLAN MAC 地址过滤 7.3.3 WLAN上的身份验证 无线身份验证方法有三种： －Open Authentication (开放式身份验证) －PSK (预共享密钥) －EAP (可扩展身份验证协议) 7.3.3 WLAN上的身份验证 无线身份验证方法有三种： －Open Authentication (开放式身份验证) －PSK (预共享密钥) －EAP (可扩展身份验证协议) 7.3.3 WLAN上的身份验证 无线身份验证方法有三种： －Open Authentication (开放式身份验证) －PSK (预共享密钥) －EAP (可扩展身份验证协议) 7.3.3 WLAN上的身份验证 同时启用了身份验证和 MAC 地址过滤 参见电子版教材动画 Host need right key. 7.3.4 WLAN上的加密 身份验证和 MAC 过滤可以阻止攻击者连接无线网络，但无法阻止他们拦截传输的数据。因为无线网络没有单独的边界，并且所有通信量都通过空间传输，所以攻击者很容易拦截或窃听无线帧。而经过加密之后，攻击者即使拦截了传输的数据，也无法使用它们。 参见电子版教材动画 WEP 是一种防范攻击者拦截数据的极佳方式。但 WEP 也有缺陷，例如，所有启用 WEP 的设备都使用静态密钥。攻击者可以使用一些应用程序来破解 WEP 密钥。 填补此漏洞的一种方法是频繁更改密钥。另一种方法是使用形式更高级、更安全的加密，称为 Wi-Fi 保护访问（Wi-Fi Protected Access，WPA）。 WPA 也使用加密密钥，其长度在 64 位到 256 位之间，每当客户端与 AP 建立连接时，WPA 都会生成新的动态密钥。 7.3.4 WLAN上的加密 参见电子版教材动画 7.3.5 WLAN上的通信过滤 通信过滤可以阻止不适当的通信传入或传出无线网络。 过滤可以删除来自或发往特定 MAC 或 IP 地址的通信量。 也可以通过端口号拦截特定的应用程序。 例如，通信过滤可用于阻止发往特定机器（例如身份验证服务器）的所有 telnet 通信量。任何想 telnet 到身份验证服务器的尝试都应视为可疑通信量而予以拦截。 7.4 配置集成AP和无线客户端 7.