无线网络安全及典型案例分析.ppt

思科无线网络安全及典型案例;无线网络安全 第一代 802.11B 安全机制 （ 基本安???） 第二代 802.1X 安全机制 （ 增强安全） 2. 无线网络典型案例;; 四种不同级别的WLAN安全措施： 没有安全、基本安全、增强安全和专业安全。 基本安全： WEP : “ Wired Equivalent Protection “，一种将资料加密的处理方式，WEP 40bit或128bit 的encryption 乃是IEEE 802.11的标准规范。透过WEP的处理便可让我们的资料于传输中更加安全。但静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。 增强安全： LEAP，它也被称为EAP Cisco Wireless （可扩展身份认证协议） TKIP、MIC、 AES 专业安全：VPN (金融机构，需要VPN终端，造价高）;1）共享的、静态的WEP密钥 没有集中的密钥管理 不能有效抵御各种安全攻击 2）如果客户的适配器丢失或被盗，需要进行大规模的密钥重部署 处理器能接入网络 需要对所有的WLAN客户机设备进行密钥重部署 3）缺乏综合用户管理 需要独立的用户数据库，不使用RADIUS 能够只通过设备特性（如MAC地址）识别用户 4）在802.11B中, 验证与加密是可选的 (不是必需的);在现有的WLAN产品中，常用的加密方法是给用户静态分配一个密钥，该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样，拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器，这些用户有效地共享MAC地址和WEP密钥。 ?? 1）当一个客户适配器丢失或被窃的时候，合法用户没有MAC地址和WEP密钥不能接入，但非法用户可以。网络管理系统不可能检测到这种问题，因此用户必须立即通知网络管理员。接到通知后，网络管理员必须改变接入到MAC地址的安全表和WEP密钥，并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多，重新编码WEP密钥的数量越大。 2）IEEE802.11b共享密钥认证表采用单向认证，而不是互相认证。接入点鉴别用户，但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内，它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。 ? 因此在用户和认证服务器之间进行相互认证是需要的 ;~;EAP Cisco Wireless 的两个重要优点 第一个优点是客户端和RADIUS服务器之间的双向认证机制，这可以有效地阻止由伪装的访问点发动的中间人式攻击。这也有助于确保只有合法的客户端才能连接合法的、经过授权的无线访问点。 EAP Cisco Wireless的第二个优点是对WLAN的集中式密钥管理。在成功地认证了客户端的身份以后，RADIUS服务器和客户端将获得一个针对用户的WEP密钥，客户端将在本次登录会话中使用这个密钥。;SSID概念： 1)服务组标识符（SSID：Service Set Identifier），它提供一个最底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称 2)SSID 代表VLAN号，每个VLAN 必须用不同的SSID 它服务于该子系统内的逻辑段。因为SSID本身没有安全性，所以用SSID作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备，通常广播SSID。 3）在AP上创建所有SSID,在每台客户机上分配SSID号。;;思科无线解决方案之独到之处; 无线局域网络典型案例 1.无线组网方式 2. 典型案例1---7;;室内组网方式- 单蜂窝结构;;最远可达几十公里 (可视距离);;;无线局域网组网方式– 混合结构;;;;无线网络设计原则;网络应用的需求 ?苏州农机局的办公室位于办公楼的三层，已经有20台电脑，分布在6个房间内，在主机房他们决定采用中国电信的adsl，内部局域网他们考虑了采用无线网络，如果采用有线网络，由于大楼没有预留线槽，所以必须在墙上打洞破坏办公室的装修，关键是他们可能在几个月后搬到5层办公，这样将会浪费一笔投资，而且很耽误时间；如果采用无线网络，完全不用布线，安装将会非常方便快捷，而且11M带宽完全满足他们的上网要求。 解决方案 ??? 针对他们的系统，清华同方设计了两种方案，一是楼内覆盖，在走廊中央放置一个AP,覆盖整个楼层；另外是楼外覆盖方案，在楼的南侧（即办公大楼的后面）放置一个AP,增加室外天线覆盖整个大楼。 由于无线网络应用比较特殊，实施前一般需要仔细测试现场的环境，比如墙体的厚度，房间的格局，是否有外界干扰，经过测试，发现，