第八章3无线网络安全八大主要技术.ppt

第八章 3 无线网络安全八大主要技术 用八大安全技术保障无线网络的安全 和有线网络一样，无线网络也时时刻刻的受到病毒、黑客、木马、蠕虫等的威胁和攻击。特别是无线网络比有线网络更容易受到攻击和破坏，主要原因有以下两点：一个是无线网络本身所利用的安全技术比较差，另一个更重要的问题是用户使用无线网络时的安全意识比较差，没有开启安全功能或无意中关闭了对无线网络的安全防护 无线网络最主要的问题是：没有象有线网络一样的线路屏蔽，所以存在在信号的覆盖面比较大，容易被人所截取和破解，另一个比较大的问题是其密钥的长度较低 但是不能因为无线网络的安全问题我们就弃用无线网络，这是得不偿失的，而且确实无线网络如果得到合理的配置是可以比较好的保障其安全的 这节我们就主要了解一下保障无线网络安全的八大安全技术 无线网络安全技术1－3 1.隐藏SSID，类似于手机识别不同网络运营商的机制，SSID能帮助我们选择不同的。该参数默认是通过AP自动广播出去的。客户端只有收到这个参数或者设定相同的参数才能连接到该无线网络。如果禁止广播SSID，一般漫游的用户是不能直接登录到这个无线网络的。 黑客可以通过其他的手段获得SSID，从而进入到无线网络，所以隐藏SSID可以作为简单的SOHO个人用户作为简单的安全方式 2.MAC地址过滤 顾名思义，这种方式就是将合法的MAC地址添加到AP的列表中，而AP对收到的数据报作检测，只有符合条件的才转发，否则直接丢弃 这种方式比较复杂，而且不适应于有大量客户端的网络 而且黑客可能会通过盗窃合法MAC地址，并通过各种手段来伪造MAC地址 这种方式适合于一般SOHO和小型企业网 3.WEP加密 所有经过WIFI组织认证的设备都支持该加密标准。采用64或128位RC4加密算法，能保证信息不被明文的方式窃取 该方式需要在每个移动设备和AP上配备密码，部署比较麻烦，其安全性也比较被质疑。 但是可以应对一般的数据截获攻击，一般用于SOHO和中小型企业的无线网络 无线安全技术4－6 4.WPA WPA是下一代无线网络标准802.11i的过渡标准，率先使用了802.11i中的加密标准TKIP（temporal key integrity protecol），可以大幅度的解决WEP标准中的各种安全问题。 有些客户端和AP可能不支持WPA标准，而且WPA依然不能满足高端企业用户的安全需求。被使用于一般企业网 5.WPA2 WPA2支持与WPA向后兼容，支持更高级的AES加密，能很好的解决企业网络安全问题。 部分的AP和客户端不支持此协议 该方法适用于企业政府等相关用户 6. 802.11i 802.11i是IEEE致力于的新一代无线网络安全标准，包括了AES加密标准和802.1x认证标准，从理论上讲这个协议可以解决所有的无线网络安全问题 中国政府的中国无线局域网国家标准WAPI和IEEE的802.11I有一个标准之争 无线安全技术7－8 AP隔离： 类似于有线网络的VLAN的划分，将所有的客户端设备完全隔离，只允许其访问特定的通过AP连接的有线网络 该方法适合于机场、咖啡厅等hot-Spot的假设，让所有的客户端隔离，安全的接入有线网络 802.1x 802.1x协议由IEEE定义，用于无线网络中的端口访问与认证。802.1x引入了EAP协议。可以采用MD5、智能卡、一次性口令、公共密钥等多种方式，从而获得更高的安全性。 认证方式可以使用专用的radius服务器来完成，该方式属于过渡阶段，各个厂商都不一致，直接造成兼容性问题 安装这种方式需要专业的知识部署和radius服务器，费用比较高，比较适合大型企业部署 从上面的分析可以看出，不同的网络面对的威胁不同，需要的技术支持也不相同。 安全的观点就是：没有绝对的安全，只有适当的安全 所以针对不同的无线网络的架构和规模有不同的设计： 家庭、个人和SOHO 这些用户可以使用隐藏SSID、MAC地址过滤、WEP等方式来进行简单的防护，基本可以良好的保护网络。 如果设备支持的话还可以使用WPA-PSK方式部署 SMB用户（企业级共享客户） 适合以上的各种个人用户的技术手段，还可以采用VPN等各种技术手段。 Hot-spot和public-wlan（机场、酒店、校园、咖啡店） 这些公共场所的无线安全问题最需要重视，除了以上的手段以外，还可以采用WEB认证和AP隔离等手段 大型企业和政府 建议使用WPA2加密方式，达到目前最高的安全水准 对于企业级的用户除了要合理的利用各种安全技术以外还需要建立一整套的安全管理策略，加强管理也是非常必要的 没有绝对安全的无线网络，但是据统计90％以上被攻击的网络都是没有任何安全防护的，要解决无线网络的安全问题，就必须从使用无线网络的人入手，强化安全意识，强化安全