知识准备
项目7 配置与维护无线局域网安全
目录
CONTENTS.
无线局域网面临的威胁01
SSID
无线加密技术
02
03
无线AP与无线路由器04
项目7 配置与维护无线局域网安全
WLAN,Wireless Local Area Network, 1997 年 6 月 标准正式颁布, 具体如图所示
(1
)无
线局
域网
发展
项目7 配置与维护无线局域网安全
01 无线局域网面临的威胁
项目7 配置与维护无线局域网安全
01 无线局域网面临的威胁
(2)
无线
局域
网安
全隐
患
序号 安全隐患 描述
1 身份认 证缺陷
1.默认开放系统认证:任何站点都可加入 BSS(Basic Service Set 基本服务集),可 跟 AP(Access Point
接入点)通信,能听到所有未加密的数据,相当于没提供认证;
2.共享密钥认证:采用的请求响应认证机制,容易被伪造
2 AP 和无线终端 认证脆弱
AP 与无线终端进行通信采用 SSID(服务集标识)标识不同的网络,AP 一般都会 采用广播 SSID 的方式方便
无线客户端识别和接入无线局域网,很容易被窃听
3 无线传输介质 无线传输容易被窃听;容易受到其他蓝牙设备、微波炉等的信号干扰
4 WEP加密方式
WEP 加密方式设计相对简单,是基于挑战与应答的认证协议和加密协议,在设计 上存在一些不足,如认证机
制过于简单,加解密采用同一个密钥;单向认证,只能 是无线网络设备认证客户端;采用 RC4 加密算法存在“
弱密钥”问题;初始化向 量只有 24 位,重复出现的几率高
WLAN 采用无线介质实现网络连接和数据通信,在接入认证、访问控制、数据加密等方 面存在很大隐患,容易引发安全问题,具体如表 所示。
(3)无线局域网安全威胁
序号 安全威胁 描述
1 窃听
1.非恶意窃听:又称为WLAN 发现,通过 inSSIDer 等 WLAN 发现工具软件搜索开放的
WLAN 信号,以获取 SSID、信道、加密方式等。
2.恶意窃听:在未授权情况下,使用协议分析工具拦截 WLAN 信号,获取数据,造成信 息泄露,属于违法行为
2 AP 和无线终端 认证脆弱
1.非法接入:企业内部员工无意识情况下私自安装 AP,而这些 AP 都是开放的,SSID容易被获取,造成安全漏洞,
可能出现中间人攻击
2.设置不当:由于技术缺陷或安全意识不够,管理人员未对 AP 进行恰当的设置,如采用 默认设置,忽略了 WLAN
的安全设置,让WLAN 在没有加密的条件下工作
3.客户不当连接:企业内部合法用户与外部AP 连接,相当于合法用户与非法用户连接, 容易造成信息泄露
3 Ad-Hoc 连接
为了连接方便,无线客户端间建立点到点的连接(Ad-Hoc),建立无线对等网络,则该 网络中共享的资源可以被
与其内计算机相连的客户获取,造成信息泄露
项目7 配置与维护无线局域网安全
01 无线局域网面临的威胁
服务集标识
即网络名称
用来区分不同的
无线网络
最多可以有 32 个字符
BSSID(基本服务集标识)
ESSID(扩展服务集标识),即SSID
为接入点的 MAC 地址
不能被修改
可根据要求修改
项目7 配置与维护无线局域网安全
02 SSID
序号 名称 英文全称 中文含义 说明
1 WEP Wired Equivalent Privacy 有线对等协议
是加密能力最弱的一种,采用 RC4 流密码算法,
使用相同的密钥 对所有数据加密,增加了密钥被破解的风险,是最早的无线网络安全协议
2 WPA
Wi-Fi
Protected
Access
Wi-Fi 保护 接
入
改良的密钥管理技术,支持 TKIP(Temporal Key Integrity Protocol 临时密钥完整性协议)
加密;
增加了消息完整性检查功能来防止数据包伪造;实现复杂,需要一台 RADIUS(Remote
Authentication Dial In User Service,远程访问拨号用户服务) 服务器来分发和管理密钥
3 WPA2 Wi-Fi Protected Access 2
第二代 Wi-Fi 访
问 保护
支持 AES(Advanced Encryption Standard 高级加密标准)加密, 非法接入难;通过 4
次握手生成会话秘钥,确保每个会话之间 的数据加密具有唯一性,减少密钥(128 位)被破
解的风险;
支 持 WPA2-PSK(基于预共享密钥的个人模式)和 WPA2-Enterprise (基于 认
证的企业模式)两种认证方式
4 WPA3 Wi-Fi Protected Access 3
第三代 Wi-Fi 访
问 保护
支持 SAE(Simultaneous Authentication of Equals 密码认证密钥 管理协议),提供 192
位加密密钥,采用密码认证交换(PAKE) 算法,提高了密码保护和抵抗离线字典攻击能力
项目7 配置与维护无线局域网安全
02 无线加密技术
,;
。
Access Point
,
简称 AP,
俗称“热点”
一体设备
纯接入设备
通过路由交换接入一体设备,执行接入和路由工作,是无线网络的核心
只负责无线客户端的接入,用于无线网络扩展,以扩大无线覆盖范围
无线路由器(Wireless Router)是用于用户上网、带有无线覆盖功能的路由器。
具有如 DHCP 服务、Nat 、MAC 地址过滤、动态域名等网络管理功能。
信号范围一般 为半径 50 米,有的可达到半径 300 米。
项目7 配置与维护无线局域网安全
04 无线AP与无线路由器
无线路由器与无线 AP 的区别如表 所示。
设备名称 功能 接入 应用
无线 AP (“瘦”AP)
将有线网络转换为无线网络;
或是 WLAN 与 LAN 之间的桥
梁;不能 直接连通上网;可进
行集中管理
交换机或路由器上,接入无线
终端与原网络处于同一子网;
应用于中大型无线网
大面积网络覆盖,如 大型商
场、超市、企 业办公等
无线路由器 (“胖
”AP)
是 AP、路由交换功能的集合,
应 用于小型无线网络
用于用户上网、带有无线覆盖
功能的路由器
家庭、SOHO 网络
项目7 配置与维护无线局域网安全
04 无线AP与无线路由器
