网路存取点.ppt

* * Sniffer 原本是一個網路監聽側錄產品名稱，隨著監測技術應用普及，sniffer 已經成為封包監聽的代名詞。sniffer封包監聽目前已經成為全世界網路資訊監聽標準名稱。網路上資訊的傳輸是基於「資料封包」廣播的原理，當一台電腦利用網路傳送資料給另一台電腦時，在同一網段的所有電腦內部的網卡都可以「聽見」封包資料，Sniffer設備就可以在完全不介入原有網路傳輸的情形下「複製」所有的封包。 * * * * * * * * * * * * * * * * * * * * * * WEP只能採取AP對工作站身份確認的單向認證機制。 EAP其實並不是一個新穎的安全機制協定，早在以往使用PPP(Point-to-Point Protocol)撥接上網時就已不知不覺地使用了EAP作為身份的驗證；EAP不僅用於IEEE802.11亦可用於802.3或是802.5之中。 * * 802.1X 協定其最主要用來控管使用者進入網路並且存取網路資源，這個控管的過程包含了三個要素：1.以無線客戶端為主的認證請求者(Supplicant) 2.以AP為代表的認證者(類似看門的警衛)(Authenticator) 3.一般為RADIUS伺服器的認證伺服器(Authentication Server) 。 * * RADIUS伺服器： RADIUS 是 Remote Authentication Dial-In User Service 的縮寫，當遠端存取用戶端撥入 RAS 伺服器時, RAS 伺服器會將用戶端的帳戶名稱和密碼等資訊傳送給 RADIUS 伺服器，RADIUS 伺服器執行身份驗證工作後, 將結果傳回 RAS 伺服器，RAS 伺服器便根據此結果決定是否讓用戶端登入。若您的網路環境中有多部 RAS 伺服器時, 可架設 RADIUS 伺服器, 將所有帳戶資料集中在 RADIUS 伺服器, 由 RADIUS 伺服器統一執行身份驗證工作，以達成中控化的管理機制。 RSA伺服器： 在建置遠端存取網路（Remote Access Network）時，通常為了安全性的考量，企業會使用遠端存取伺服器（Remote Access Server，RAS；或者稱之為Network Access Server，NAS）來提供更嚴密的防護：在遠端的使用者要藉由網路使用公司內部的資源時，必須先登入至RAS，經過RAS使用者帳號的檢查，確認無誤後才可存取公司的網路。一般而言，這是最起碼的防護，可是並不夠安全，一旦使用者的帳號被有心人士竊取，公司網路上所有的資料與機密就曝光了。 * * PAE(Port Access Entity)，為具有存取埠的一個實體，具有 Authenticator, Supplicant 或兩者的功能。 - Authenticator：要求並且接受未受信任端網路節點的認證請求的實體。- Supplicant：請求網路存取權，並且需接受 Authenticator 的認證稽核。 * * 802.1x的相互認證： 認證伺服器可對工作站做身份的確認，工作站也可向認證伺服器查證身份的合法性。 * * 若經費上的許可，於Radius Server (authentication server) 後方再建立一防火牆，則此架構將更為堅固、牢靠。 * * EAP-MD5 為802.1X協定中最基本的認證協定，認證方式是假設客戶端與認證伺服器事先共享一把金鑰，再利用MD5演算法保護客戶端密碼，但其使用上缺乏 ( Mutual Authentication ) 相互認證及無法於認證過程動態產生金鑰，安全上為 EAP 中最弱的因此於 EAP 中已經少被使用。 EAP-TLS 為最安全的 EAP 協定，不過最安全未必是最實用的，因為最安全所要花費的經費最高；認證方式是由MicroSoft與Cisco共同提出的標準，需要公開金鑰基礎建設(PKI, Public Key Infrastructure)，也就是假設客戶端與認證伺服器事各自擁有電子憑證，以數位簽章的技術達到互相認證的效果，並同時可在客戶端與認證伺服器間交換金鑰，理論上，這樣的機制最具彈性，不過因為PKI的建製相當複雜且費用高，若要大規模的部署將產生很大的困難。 目前比較讓業界接受的即為 EAP-TTLS 跟 PEAP 兩者都有支援雙相驗證同時也只需要具備 Radius Server 的憑證即可達到安全的資料加密傳送驗證。?? 中間人(Man-In-The-Middle) 攻擊方法是攻擊者處於無線區網用戶端與存取點中間，攔截兩者的通訊，並同時偽裝成無線區網存取點與用戶端的角色讓受到攻擊的用戶端與存取點在不知情的情況下繼續原有的通訊。 * * LEAP Cisco LEAP 802.1X認