Cisco无线LAN-了解 WLAN 的安全汇.ppt

无线 LAN 了解 WLAN 的安全 无线 LAN 安全威胁 降低威胁 无线 LAN 安全的发展历程 无线客户端关联 接入点发出信标，通告 SSID、数据速率和其它信息。 客户端扫描所有通道。 客户端侦听信标并从接入点做出响应。 客户端将接入点与最强的信号关联在一起。 如果信号变低，重新与另一个接入点关联（漫游），那么客户端将重新扫描。 在关联过程中，客户端向接入点发送 SSID、MAC 地址和安全设置，并由接入点进行检查。 802.1X 在 WLAN 上的工作原理 WPA 模式和 WPA2 模式 总结 黑客必然会攻击不安全的 WLAN。 无线安全的基本解决方案是用身份验证和加密来保护无线数据传输。 WLAN 标准通过不断发展来提供更多的安全性。 WEP 802.1x EAP WPA 802.11i/WPA2 接入点发出信标，通告 SSID、数据速率和其它信息。 总结（续） 使用 802.1X，作为企业边缘验证者的接入点允许客户端使用开放式身份验证进行关联。 WPA 通过 IEEE 802.1X 和 PSK 提供身份验证支持。 企业模式这个术语用于描述经过测试、兼容 PSK 和 IEEE 802.1X/EAP 这两种身份验证方式的产品。 个人模式这个术语用于描述经过测试、仅兼容 PSK 身份验证方式的产品。 ? 2007 Cisco Systems, Inc. 保留所有权利。 ICND1 v1.0—3-* ? 2007 Cisco Systems, Inc. 保留所有权利。 ICND1 v1.0—3-* 追踪并减少未授权访问和网络攻击。 在传输和接收数据时保护数据。 确保合法客户端与受信接入点关联在一起。 入侵防御系统 (IPS) 加密 身份验证 保护和可用性 隐私和机密性 控制和完整性 WEP 基本加密 没有严格的身份验证 静态的、易破解的密钥 不可扩展 也使用 MAC 过滤器以及 SSID 伪装来完善 WEP 1997 2001 802.1x EAP 动态密钥 增强型加密 用户身份验证 802.1X EAP (LEAP, PEAP) RADIUS 2003 WPA 标准化 增强型加密 严格的用户身份验证（例如，LEAP、PEAP、EAP-FAST） 2004 年至今 802.11i/WPA2 AES 强加密 身份验证 动态密钥管理 身份验证：PSK 加密：AES-CCMP 身份验证：PSK 加密：TKIP/MIC 个人模式 （SOHO、家庭和个人） 身份验证：IEEE 802.1X/EAP 加密：AES-CCMP 身份验证：IEEE 802.1X/EAP 加密：TKIP/MIC 企业模式 （商业、教育、政府） WPA2 WPA IEEE 802.11b/g 系统的成本较低，黑客必然可以找到更多存在安全隐患的 WLAN 伺机攻击。 事实表明，有人使用大量开源应用程序来收集和利用 IEEE 802.11 标准安全机制（即，有线等效保密 (WEP)）的漏洞。 无线嗅探器可以使网络工程师被动地捕获数据包，从而可以检查并纠正系统问题。但黑客们也可以使用这些相同的嗅探器来利用已知的安全缺陷。 “驾驶攻击”是一种惯用语，最初是用于描述使用蜂窝扫描设备查找移动电话号码以进行利用的人。现在，驾驶攻击也指利用笔记本电脑和 802.11b/g 客户端网卡来查找 802.11b/g 系统以进行利用的人。 目前销售的大多数无线设备都已预先设置了无线网络。最终用户通常都不会更改默认设置或仅仅采用标准的 WEP 安全，而这些都不是保护无线网络安全的最佳解决方案。 在启用基本的 WEP 加密（或者，很明显地没有启用任何加密）的情况下，很有可能可以收集数据并获得敏感的网络信息，如用户登录信息、帐号和个人记录。 非法 AP 是放置在 WLAN 上，且可用于干扰网络正常运行的 AP（例如，DoS 攻击）。如果该非法 AP 是用正确的 WEP 密钥编写的，就可以捕获客户端数据。经过配置后，非法 AP 可为未授权用户提供客户端 MAC 地址（无线和有线）之类的信息，可让未授权用户捕获和伪装数据包，而最糟糕的则是允许未经授权用户访问服务器和文件。比较简单而常见的非法 AP 是员工在不知情情况下安装的。员工为了在家里使用企业网络而安装接入点，但没有进行必要的安全配置，从而造成了网络安全风险。 要确保 WLAN 的安全，需要执行以下几个步骤： — 身份验证，确保合法客户和用户通过受信任的接入点访问网络 — 加密，提供隐私和机密保护 — 利用 WLAN 的入侵检测系统和入侵防范系统防范安全风险和可用性 无线安全的基本解决方案是用身份验证和加密来保护无线数据传输。这两种无线安全解决方案可在不同程度上实施，但是二者皆适用于