无线局域网设计与实现 第七章 无线局域网安全.pptVIP

提供验证资料根据检验结果决定是否提供服务验证结果要求验证802.1x融合EAP，即EAPOL(WLAN中称做EAPOW)在申请者和近端认证AP之间运行；认证AP与远端认证服务器同样运行EAP协议，EAP帧中封装认证数据再将该协议承载在其他高层协议中，如RADIUS，以利于穿越多种网络到达认证服务器，成为EAPoverRADIUS。EAP认证对IEEE802.11标准起到三方面改进。双向认证机制，有效地消除了中间人攻击(MITM)，如假冒的AP和远端认证服务器。集中化认证管理和动态分配加密密钥机制。解决了管理上的难度—WEP使用RC4给网络里的所有AP和客户分发静态密钥很繁琐，每一次无线设备丢失，网络必须重新配置密钥以防止非法用户利用丢失的设备进行非法登录。能够定义集中策略控制，当会话超时时将触发重新认证和生成新的密钥。802.1x认证的突出优点就是实现简单、认证效率高、安全可靠。无需多业务网管设备，就能保证IP网络的无缝相连。同时消除了网络认证计费瓶颈和单点故障。解决了采用多业务网关，不便于视频业务开展的难题。在二层网络上实现用户认证，大大降低了整个网络的建网成本。该标准增强了WLAN的数据加密和认证性能，并且针对WEP加密机制的各种缺陷做了多方面的改进，增强了无线局域网的鉴别性能和数据加密。无线局域网（WLAN）设计与实现

第七章无线局域网安全内容概要无线局域网安全的严峻挑战无线局域网基本的安全措施无线局域网的安全技术1.无线局域网安全的现状2.无线局域网的常见攻击方式1.无线局域网安全的现状无线局域网安全问题的独特之处在于信道开放，用户不必与网络进行“可视”的连接。这使攻击者伪装合法用户更加容易，同时微波信号在空气中传播也会因多种原因导致信号损失。目前，无线局域网络产品主要采用的是IEEE802.11b国际标准，大多应用DSSS直接序列扩频通信技术进行数据传输，该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。2.无线局域网的常见攻击方式窃听01.非法登录01.干扰攻击01.1）窃听窃听是无线局域网被动攻击的有效类型。在网络上窃取数据又称为嗅探。01无线网络中无线信道的开放性给网络嗅探带来极大方便。在无线局域网中网络嗅探对信息安全的威胁来自被动性和非干扰性，执行监听程序的窃听过程中只是被动的接收网络中传输的信息，不会跟其他的主机交换信息，也不修改在网络中传输的信息包。使网络嗅探具有很强的隐蔽性，让网络信息失密变得不容易发现。022）非法登录无线局域网的非法登录过程是通过一个无线接入点AP连接到一个无线局域网上。主动攻击：一个用户为了更深入地穿透或进入一个网络，或为了获取对于服务器的访问，以得到有价值的数据，或为了恶意的目的使用公司的Internet访问，甚至改变网络的界面配置，改变无线局域网自身。例如，一个黑客可以通过设定的MAC地址过滤实施恶意攻击。干扰攻击会让无线局域网瘫痪。黑客使用高功率的微波信号发送器或扫描发送器实施有目的的干扰攻击；一个不可移除和没有恶意的源头对无线局域网的干扰；黑客使用另外一个无线接入点AP构建新的无线局域网，通过发送比合法无线接入点更高的信号，有效抢夺移动工作站。二无线局域网基本的安全措施信息过滤措施01访问认证机制02数据加密031.信息过滤措施信息过滤是能够使用的基本的安全机制。常用的信息过滤机制有：物理地址MAC过滤服务集标识符SSID过滤协议端口过滤前两种用于简单的无线接入点AP，是早期无线局域网最主要的安全措施，第三种是建立在路由的基础上。121）物理地址MAC过滤每个无线工作站网卡都由惟一的物理地址(MAC)地址标示。网络管理员可在无线接入点AP中手工维护一组允许访问或不允许访问的MAC地址列表，以实现物理地址的访问过滤。若企业中的AP数量太多，为实现整个企业中所有AP统一的无线网卡MAC地址认证，现在的AP也支持无线网卡MAC地址的集中远程接入拨号用户Radius认证。MAC过滤的缺陷01物理地址过滤属于硬件认证，而非用户认证，要求AP中的MAC地址控制表需随时更新，并是手工操作，若用户增加，可扩展性差，只适用于小型网络。02MAC地址可被盗用或非法伪造，获取对无线局域网的非法访问，是较低级别的授权认证。2）服务集标识符SSID过滤0102无线工作站必须出示正确的SSID，与无线接入点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，则AP将拒绝他通过本服务区上网。因此SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全保障。无线局域网接入点AP对此项技术的支持就是可不让AP广播其