第7章构建安全无线局域网.pptVIP

第*页 图7-5 无线网络中的IEEE802.1x认证体系示意图 7.3.9 Web认证技术 1．Web认证概念 Web认证是一种防止外来人员随意接入网络的安全措施。Web认证是指用户在接入网络时，需要通过访问Web认证页面，交互输入用户名和密码的一种网络接入方法。 Web认证通常也称为入口认证，一般将Web认证网站称为门户网站。未认证用户上网时，将被强制登录特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其他信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。 第*页 第*页 图7-9 Web认证页面 用户可以主动访问已知的Web认证网站，输入用户名和密码进行认证，这种认证方式称为主动认证。反之，如果用户试图通过http访问其他外网，将被强制访问Web认证网站，从而开始Web认证过程，这种方式称为强制认证。 2．Web认证系统的组成 （1）接入控制器（Access Controller）：实现用户强制入口、进行业务控制，接收门户网站发起的认证请求，完成用户认证功能 。 （2）门户网站（Portal）：推送认证页面及用户使用状态页面，接收WLAN用户的认证信息，向AC发起用户认证请求以及用户下线通知 。 （3）中心认证服务器（RADIUS Server）：与AC一同完成用户认证，并为用户使用网络信息提供后台计费系统 。 第*页 第*页 图7-10 Web认证的CHAP认证过程 3. Web认证过程 7.3.10 MAC地址认证 MAC地址认证是一种基于端口和MAC地址的对用户网络访问权限进行控制的认证方法。通过手工维护一组允许访问的MAC地址列表，实现对客户端的物理地址过滤，但这种方法的效率会随着终端数目的增加而降低，因此MAC地址认证适用于安全需求不太高、终端设备相对较少的场合，如家庭、小型办公室等环境 。 MAC地址认证的两种方式： （1）本地MAC地址认证。 （2）通过RADIUS服务器进行MAC地址认证。 第*页 第*页 图7-11 本地MAC地址认证 第*页 图7-12 通过RADIUS服务器进行MAC地址认证 7.3.11 无线入侵检测系统（WIDS） 1. 无线入侵检测系统 WLAN很容易受到各种网络威胁的影响，如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rogue设备对于企业网络安全来说更是一个很严重的威胁。 无线入侵检测系统（Wireless Intrusion Detection System，WIDS）可以对恶意用户的攻击行为和入侵行为进行早期检测，保护企业网络和用户不被无线网络上未经授权的设备访问。 第*页 2. 无线入侵检测系统架构 WIDS有集中式和分散式两种。集中式WIDS通常用于连接单独的探测器（Sensors，俗称探头），搜集数据并转发到存储和处理数据的中央系统。 分散式WIDS通常使用多种设备来完成IDS的处理和报告，因为它价格便宜且易于管理比较适合较小规模的无线局域网。 在无线基站的位置上部署Sensors，能够检测到大多数的黑客行为，并且增大了与其它无线基站(WAPS)的距离，从而能更好地定位黑客的详细地理位置。 第*页 3. 无线入侵检测系统常用术语 （1）Rogue AP：网络中未经授权或有恶意的AP，它可以是私自接入到网络中的AP、未配置的AP、邻居AP或攻击者操作的AP。 （2）Rogue Client：非法客户端，网络中未经授权或者有恶意的客户端，类似于Rogue AP。 （3）Rogue Wireless Bridge：非法无线网桥，网络中未经授权或者有恶意的网桥。 （4）Monitor AP：这种AP在无线网络中通过扫描或监听无线介质，检测无线网络中的Rogue设备。一个AP可以同时作为接入AP和Monitor AP，也可以只作为Monitor AP。 （5）Ad-hoc mode：把无线客户端的工作模式设置为Ad-hoc模式，Ad-hoc终端可以不需要任何设备支持而直接进行通信。 第*页 4. 无线入侵检测系统的工作机制 1）检测Rogue设备 通常把网络中的设备分为非法设备（Rogue设