无线局域网安全设置策略.doc

移动通信技术课程设计设计题目： 无线局域网安全设置策略 班 级： XXX 作 者： XXX 等 指导教师： XXX 2010年7月13日29移动通信技术课程设计任务书课题无线局域网安全设置策略指导教师李翠然人 数8人设计任务1. 了解与WLAN安全相关的基础知识与基本内容，理解并掌握设计任务要求的学习内容；2. 学习WEP、WPA加密方式、802.1x认证方式；3. 学习IP地址过滤，MAC地址过滤等技术原理4. 结合具体无线路由器的配置，对无线局域网的安全设置策略进行学习和实际操作；5. 完成课程设计论文设计要求1. 文献阅读：查阅相关文献与技术资料，学习与课程设计题目相关的知识，认真做好读书笔记和学习心得，做到潜心分析，真正理解并掌握设计任务要求的学习内容；2. 组织形式：各课程设计题目设组长一名，负责设计总体事务，组中各同学相互合作、合理分工、组织讨论、完成报告；3. 学习交流：设计完成后，组长们组织同学们开展学习讨论，各组向其他同学汇报设计内容，使同学们对各课程设计的内容均有认识和了解；4. 文档整理：依据设计任务制定学习和写作计划，严格按照设计规范要求完成各个环节的任务，各设计需要提供课程设计论文一本，要求按照课程设计论文格式认真撰写、按时完成设计论文；5. 文档结构：上交文档包含以下内容：封面、摘要、目录、正文、参考文献、附录（程序文件、交流时使用的PPT等）。作者列表（按学号排列）序号学号姓名在设计中所作的工作成绩1XXXXXX概述，WEP，WPA部分2XXXXXX802.1x认证部分3XXXXXX总结，WPA部分4XXXXXX演示文稿PPT5XXXXXX802.1x认证部分6XXXXXX无线路由器配置部分7XXXXXXIP、MAC地址过滤8XXXXXX无线路由器配置部分 指导教师签字： 年 月 日摘 要由于在现在局域网建网的地域越来越复杂，很多地方应用了无线技术来建设局域网，但是由于无线网络应用电磁波作为传输媒介，因此安全问题就显得尤为突出。本文通过对危害无线局域网的一些因素的叙述，给出了一些应对的安全措施，以保证无线局域网能够安全，正常的运行。关键词：无线局域网，网络安全，WEP，WPA，802.1x，SSID，IP地址过滤，MAC地址过滤AbstractBecause the region now in LAN arrangement is more and more complicated, many places use wireless technology to build local area networks, but due to a wireless network use medium wave for transmission, so security questions appears particularly outstanding. Based on some factors do harm to WLAN, some measures have been given to ensure the safety, security, and the normal operation of WLAN.Key Words: WLAN，Network Security，WEP，WPA，802.1x，SSID，IP address filtering，MAC address filtering 目 录1 概述11.1无线局域网的安全发展概况11.2 无线局域网安全技术研究的必要性31.3 无线局域网的安全措施42 无线局域网的加密方式72.1有线等效保密协议WEP72.2 Wi-Fi保护接入WPA112.3 802.1x认证方式143 IP与MAC地址过滤163.1IP地址过滤163.2 MAC地址过滤184 无线路由器配置205 总结25参考文献27附录271 概述1.1 无线局域网安全发展概况无线局域网(Wireless Local Area Network，简称为“WLAN”)本质上是一种网络互连技术，它是计算机网络与无线通信技术相结合的产物。是通用无线接入的一个子集，可支持较高的传输速率(可达2Mbps108Mbps)。利用射频无线正交频分复用(OFDM)，借助直接序列扩频(DSSS)或跳频扩频(UWBT)技术，可实现固定的、半移动的以及移动的网络终端对英特网进行较远距离的高速连接访问。由于WLAN产品不需要铺设通信电缆，可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性，在难以重新布线的区域提供快速而经济有效的局域网接入。WLAN已广泛应用于各行各业中，受到人们的青睐，已成为无线通信与Internet技术相结合的新兴。但是，随着无线局域网应用领域的不断拓展，无线局域网受到越来越多的威胁，无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还受到基于IEEE802.11标准本身的安全问题而受到威胁，其安全问题也越来越受到重视，并成为制约WLAN发展的主要瓶颈。由于无线局域网采用公共的电磁波作为载体，因此对越权存取和窃听的行为也不容易防备。现在，大多数厂商生产的无线局域网产品都基于802.11b标准，802.11b标准在公布之后就成为事实标准，但其安全协议WEP一直受到人们的质疑。如今，能够截获无线传输数据的硬件设备已经能够在市场上买到，能够对所截获数据进行解密的黑客软件也已经能够在Internet上下载。无线局域网安全问题已越发引起人们的重视，新的增强的无线局域网安全标准正在不断研发中。 我国现已制定了无线认证和保密基础设施WAPI，并成为国家标准，于2003年12月执行。WAPI使用公钥技术，在可信第三方存在的条件下，由其验证移动终端和接入点是否持有合法的证书，以期完成双向认证、接入控制、会话密钥生成等目标，达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元3部分组成，类似于802.11工作组制定的安全草案中的基本认证结构。了解无线局域网安全技术的发展，使我们能够更加清楚地认识到无线局域网安全标准的方方面面.有利于无线局域网安全技术的研究。由于无线局域网采用公共的电磁波作为载体，传输信息的覆盖范围不好控制，因此对越权存取和窃听的行为也更不容易防备。具体分析，无线局域网存在如下两种主要的安全性缺陷： （一）静态密钥的缺陷 静态分配的WEP密钥一般保存在适配卡的非易失性存储器中，因此当适配卡丢失或者被盗用后，非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员，否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题，但当用户少时，管理员可以定期更新这个静态配置的密钥，而且工作量也不大。但是在用户数量可观时，即便可以通过某些方法对所有AP（接入点）上的密钥一起更新以减轻管理员的配置任务，管理员及时更新这些密钥的工作量也是难以想象的。 （二）访问控制机制的安全缺陷 1封闭网络访问控制机制：几个管理消息中都包括网络名称或SSID，并且这些消息被接入点和用户在网络中广播，并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称，获得共享密钥，从而连接到“受保护”的网络上。 2以太网MAC地址访问控制表：MAC地址很容易的就会被攻击者嗅探到，如激活了WEP，MAC地址也必须暴露在外；而且大多数的无线网卡可以用软件来改变MAC地址。因此，攻击者可以窃听到有效的MAC地址，然后进行编程将有效地址写到无线网卡中，从而伪装一个有效地址，越过访问控制。由于WLAN还是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机，甚至会产生比普通网络更加严重的后果。因此，WLAN中存在的安全威胁因素主要是：窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。1.2 无线局域网安全技术研究的必要性由于WLAN通过无线电波在空中传输数据，不能采用类似有线网络那样通过保护通信线路的方式来保护通信安全，所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据，要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯无法起作用，任何人在视距范围之内都可以截获和插入数据。因此，无线网络给网络用户带来了自由，同时带来了新的挑战，这些挑战其中就包括安全性。 无线局域网必须考虑的安全要素有3个：信息保密、身份验证和访问控制。如果这3个要素都没有问题了，就不仅能保护传输中的信息免受危害，还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案，同时获得这三个安全要素。IEEE标准化组织在发布802.11标准之后，也已经意识到其固有的安全性缺陷，并针对性的提出了加密协议（如WEP）来实现对数据的加密和完整性保护。通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后的研究表明，WEP协议同样存在致命性的弱点。为了解决802.11中安全机制存在的严重缺陷，IEEE802.11工作组提出了新的安全体系，并开发了新的安全标准IEEE802.11i，其针对WEP机密机制的各种缺陷作了多方面的改进，并定义了RSN（RobustSecurityNetwork）的概念，增强了无线局域网的数据加密和认证性能。IEEE802.11i建立了新的认证机制，重新规定了基于802.1x的认证机制，主要包括TKIP，CCMP（CounterCBCMACProtoco1）和WRAP（WirelessRobust AuthenticatedProtoco1）等3种加密机制，同时引入了新的密钥管理机制，也提供了密钥缓存、预认证机制来支持用户的漫游功能，从而大幅度提升了网络的安全性。1.3 无线局域网的安全措施采用无线加密协议防止未授权用户：保护无线网络安全的最基本手段是加密，通过简单的设置AP和无线网卡等设备，就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品，交付设备时关闭了WEP功能。但一旦采用这种做法，黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换，有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID)，在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播，除非有特殊理由，否则应该禁用SSID广播，这样可以减少无线网络被发现的可能。但是目前IEEE 802.11标准中的WEP安全解决方案，在15分钟内就可被攻破，已被广泛证实不安全。所以如果采用支持128位的WEP，破解128位的WEP的是相当困难的，同时也要定期的更改WEP，保证无线局域网的安全。如果设备提供了动态WEP功能，最好应用动态WEP，值得我们庆幸的，Windows XP本身就提供了这种支持，您可以选中WEP选项“自动为我提供这个密钥”。同时，应该使用IPSec，VPN，SSH或其他WEP的替代方法。不要仅使用WEP来保护数据。改变服务集标识符并且禁止SSID广播：SSID是无线接人的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM 的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话。还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户当然这并不是说你的网络不可用只是它不会出现在可使用网络的名单中。静态IP与MAC地址绑定：无线路由器或AP在分配IP地址时，通常是默认使用DHCP即动态IP地址分配，这对无线网络来说是有安全隐患的，“不法”分子只要找到了无线网络，很容易就可以通过DHCP而得到一个合法的IP地址，由此就进入了局域网络中。因此，建议关闭DHCP服务，为家里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因为还要验证绑定的MAC地址，相当于两重关卡。VPN技术在无线网络中的应用：对于高安全要求或大型的无线网络，VPN方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。对于无线商用网络，基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中，VPN在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议，包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样，VPN技术可以应用在无线的安全接入上，在这个应用中，不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网)，但是无线接入网络VLAN (AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密，并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同，VPN方案具有较强的扩充、升级性能，可应用于大规模的无线网络。无线入侵检测系统： 无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说，是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者，还能加强策略。通过使用强有力的策略，会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析，找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。1采用身份验证和授权：当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时，他们可以尝试建立与AP关联。目前，有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于，如果您没有其他的保护或身份验证机制，那么您的无线网络将是完全开放的，就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请，然后AP发回口令。接着，STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的，因此如果有人能够同时截取口令和响应，那么他们就可能找到用于加密的密钥。采用其他的身份验证授权机制。使用802.1x，VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。其他安全措施： 除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术，例如设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容；加强企业内部管理等等的方法来加强WLAN的安全性。2 无线局域网的加密方式2.1有线等效保密协议WEPWEP（Wired Equivalent Privacy）有线等效保密协议是由802.11 标准定义的，是最基本的无线安全加密措施，用于在无线局域网中保护链路层数据，其主要用途是： 提供接入控制，防止未授权用户访问网络； WEP 加密算法对数据进行加密，防止数据被攻击者窃听； 防止数据被攻击者中途恶意纂改或伪造。 WEP 加密采用静态的保密密钥，各 WLAN 终端使用相同的密钥访问无线网络。 WEP 也提供认证功能，当加密机制功能启用，客户端要尝试连接上 AP 时， AP 会发出一个 Challenge Packet 给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。 40 位 WEP 具有很好的互操作性，所有通过 Wi-Fi 组织认证的产品都可以实现 WEP 互操作。现在的 WEP 也一般支持 128 位的钥匙，提供更高等级的安全加密。WEP协议使用RC4算法进行数据加密，用CRC-32算法校验数据完整性。RC4的状态空间非常大，对实际应用的8位S盒，它就有1700位的状态。又因为其方便快捷，很多软件应用都使用了这个算法。WEP中的加密使用一个密钥K，这个K有所有的移动站点和AP共享，即它们都必须知道这个K。为了得到一个WEP加密帧，首先计算明文M的校验和C（M）。然后网卡选择一个初级化向量IV，添加到密钥K前，产生“包密钥”，RC4算法就是用这个包密钥初始化S盒，产生随机数输出序列，这个序列再校验后的明文异或产生密文。加密过程如图所示：IV 为初始化向量，PASSWORD 为密码 KSA=IV+PASSWORD。DATA 为明文 CRC-32为明文的完整性校验值 PRGA=RC4(KSA) 的伪随机数密钥流 XOR 异或的加密算法。ENCRYPTED DATA 为最后的密文。最后 IV+ENCRYPTED DATA 一起发送出去。WEP的数据帧结构：32位的IV数据项；24位的初始向量值（Init Vector）；2位的Key ID；6位的纯填充数据（以0填充）；32位的ICV循环校验码。接收端的解密过程如图所示：CIPHERTEXT 为密文。它采用与加密相同的办法产生解密密钥序列，再将密文与之XOR 得到明文，将明文按照 CRC32 算法计算得到完整性校验值 CRC-32，如果加密密钥与解密密钥相同，且 CRC-32= CRC-32，则接收端就得到了原始明文数据，否则解密失败。WEP 算法通过以上的操作试图达到以下的目的：采用 WEP 加密算法保证通信的安全性，以对抗窃听；采用 CRC32 算法作为完整性检验，以对抗对数据的篡改。WEP的身份认证过程：1.由用户客户端自行搜索无线网卡接收范围内的Wi-Fi信号，并显示公开了SID的接入点的情况；若接入点选择不公开自己的SSID，则在默认情况下无法取得该接入点的SSID信息，也就无法进行连接。2.客户端向期望连接的接入点发送申请认证的数据帧，接入点的识别是由SSID来完成的。3.接入点收到申请认证的数据帧后，用WEP加密算法中的伪随机数生成一个128位的Challenge Text加载到管理数据帧，再将其返回客户端。4.客户端再将该Challenge Text加载到管理帧，用共享密钥与新的IV向量对该帧加密，再传送给接入点。5.接入点校验该帧的信息正确性与CRC正确性判断该用户是否为合法用户。WEP 是目前最普遍的无线加密机制，但同样也是较为脆弱的安全机制,存在许多缺陷： 缺少密钥管理:用户的加密密钥必须与 AP 的密钥相同，并且一个服务区内的所有用户都共享同一把密钥。WEP 标准中并没有规定共享密钥的管理方案，通常是手工进行配置与维护。由于同时更换密钥的费时与困难，所以密钥通常长时间使用而很少更换，倘若一个用户丢失密钥，则将殃及到整个网络。而且，一旦攻击者获得了由相同的密钥流序列加密后所得的两段密文，再将两段密文异或，则得到的是两段明文的异或，由此密钥失效。 ICV 算法不合适: WEP ICV 是一种基于 CRC-32 的用于检测传输噪音和普通错误的算法。CRC-32 是信息的线性函数，这意味着攻击者可以篡改加密信息，并很容易地修改 ICV，使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。 RC4 算法存在弱点:在 RC4 中，人们发现了弱密钥。所谓弱密钥，就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的 IV 值中，有9000多个弱密钥。攻击者收集到足够的使用弱密钥的包后，就可以对它们进行分析，只须尝试很少的密钥就可以接入到网络中。IV冲撞问题：IV数值的可选范围只有224个，这样在理论上只要传输224个数据帧以后就会发生一次IV重用。2.2 Wi-Fi保护接入WPAWPA（无线保护接入Wi-Fi Protected Access）/TPKI（临床密钥完整性协议Temporal Integrity Protocol）是专为保护无线局域网络通信机密性和完整性的安全协议。WPA的出现旨在弥补WEP（有限对等加密协议）存在的缺陷，WEP一直是用很多无线LAN产品的安全保护协议。WPA主要使用两种形式的密钥，包括64位信息完整性检查（MIC）密钥和128位加密密钥。前者主要用于检查伪造/虚假信息，而后者主要用于加密和解密数据包。这些密钥都是从共有的主密钥（master key）中生成的。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其加密特性决定了它比WEP更难以入侵，所以如果对数据安全性有很高要求，那就必须选用WPA加密方式了。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA是目前最好的无限安全加密系统，它包含两种方式：Pre-shared密钥和Radius密钥： 1)、Pre-shared密钥有两种密码方式：TKIP和AES， 2)、RADIUS密钥利用RADIUS服务器认证并可以动态选择TKIP、AES、WEP方式。WPA使用临时密钥完整性协议（TKIP）的加密是必选项。TKIP使用了一个新的加密算法取代了WEP，比WEP的加密算法更强壮,同时还能使用现有的无线硬件上提供的计算工具去实行加密的操作。WPA标准里包括了下述的安全特性:WPA认证、WPA加密密钥管理、临时密钥完整性协议(TKIP)、Michael消息完整性编码(MIC)、AES支持。WPA改善了我们所熟知的WEP的大部分弱点，它主要是应用于公司内部的无线基础网络。无线基础网络包括:工作站、AP和认证服务器(典型的RADIUS服务器)。在无线用户访问网络之前，RADIUS服务掌控用户信任(例如:用户名和口令)和认证无线用户。WPA的优势来自于一个完整的包含802.1x/EAP认证和智慧的密钥管理和加密技术的操作次序.它主要的作用包括:网络安全性能可确定。它可应用于802.11标准中,并通过数据包里的WPA信息进行通信、探测响应和(重)联合请求。这些基础的信息包括认证算法(802.1x或预共享密钥)和首选的密码套件(WEP,TKIP或AES)。认证。WPA使用EAP来强迫用户层的认证机制使用802.1x基于端口的网络访问控制标准架构，802.1x端口访问控制是防止在用户身份认证完成之前就访问到全部的网络。802.1xEAPOL-KEY包是用WPA分发每信息密钥给这些工作站安全认证的。 在工作站客户端程序(Supplicant)使用包含在信息元素里的认证和密码套件信息去判断哪些认证方法和加密套件是使用的。例如,如果AP是使用的预共享密钥方法,那么客户端程序不需要使用成熟的802.1x。然而，客户端程序必须简单地证明它自己所拥有的预共享密钥给AP;如果客户端检测到服务单元不包含一个WPA元素，那么它必须在命令里使用预WPA802.1x认证和密钥管理去访问网络。密钥管理。WPA定义了强健的密钥生成/管理系统,它结合了认证和数据私密功能。在工作站和AP之间成功的认证和通过4步握手后,密钥产生了。数据加密。临时密钥完整性协议(TKIP)是使用包装在WEP上的动态加密算法和安全技术来克服它的缺点。数据完整性：TKIP在每一个明文消息末端都包含了一个信息完整性编码(MIC)，来确保信息不会被“哄骗”。WPA 安全规则：针对于 WEP 的安全漏洞 WPA 也相应更新了安全规则：A 增强至 48bit 的 IV。BSequence Counter，防止 IV 重复。CDynamic key management，动态 key 管理机制。D Per-Packet Key 加密机制，每个包都使用不同的 key 加密。E MIC (Message Integrity Code )，信息编码完整性机制。解说：动态 key 管理机制在通讯期间：如果侦测到 MIC 错误，将会执行如下程序。记录并登录 MIC 错误，60 秒內发生两次 MIC 错误。反制措施会立即停止所有的 TKIP 通讯。然后更新数据加密的用的 TEKWPA 安全机制作用：1.加密通信流程图、Per-Packet Key 加密机制、动态 key 管理机制使得使用类似，于 WEP 中分析子密码攻击的方案，在 WPA 中将变得异常困难，和不可实现。2. 身份验证机制杜绝了-1 fakeauth count attack mode，建立伪连的攻击。3.增强至 48bit 的 IV、防止 IV 重复、MIC 信息编码完整性机制。使得要伪造一个合法数据包变得异常的困难。同时也致使-2 Interactive，-4 Chopchop，5 Fragment 此类攻击对于 WPA 无效。WPA 安全性的前景：WEP 由原来的安全到今天的不安全。你是否同样也会担心是不是很多年之后的 WPA也会是同样的命运。但我们也要看到 WEP 的破解不是某个算法的漏洞导致的。而是整个WEP 的安全体系有很多漏洞所共同导致的。而 WPA 的安全体系很强壮。使用的大多是混合算法。所以某一个算法的弱点往往不能给 WPA 这样的安全体系以致命的打击。WPA 这种依靠算法的安全体系也许某一天会被破解。但是可能 WPA 被完全破解的那一天比 WPA 废弃的那一天都晚。如果这样的话，那么的确该说 WPA 是一种很强壮的安全体系。2.3 802.1x认证方式802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。802.1x工作过程：1.当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 2.交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 3.客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 4.认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。 5.客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。 6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。802.1x认证特点：基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了可控端口和不可控端口的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能802.1x应用环境特点：(1)交换式以太网络环境：对于交换式以太网络中，用户和网络之间采用点到点的物理连接，用户彼此之间通过VLAN隔离，此网络环境下，网络管理控制的关键是用户接入控制，802.1x不需要提供过多的安全机制。 (2)共享式网络环境：当802.1x应用于共享式的网络环境时，为了防止在共享式的网络环境中出现类似“搭载”的问题，有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系，并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中，用户之间共享接入物理媒介，接入网络的管理控制必须兼顾用户接入控制和用户数据安全，可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中，可以通过加速WEP密钥重分配周期，弥补WEP静态分配密钥导致的安全性的缺陷。802.1x认证的安全性分析：802.1x协议中，有关安全性的问题一直是802.1x反对者攻击的焦点。实际上，这个问题的确困扰了802.1x技术很长一段时间，甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案：802.1x结合EAP，可以提供灵活、多样的认证解决方案。3 IP与MAC地址过滤3.1IP地址过滤IP地址转换过滤器的基本工作原理：(1) IP地址转换过滤器(CONFIG_IP_NF_NAT)用来实现各种IP续接.。当主机之间不能直接进行IP寻径时，通过双方都能寻径的代理主机的IP地址转换器进行相互翻译，形成一个透明的IP回路。常见的地址转换类型有IP伪装(IP MASQUERADE), 端口转发(PORT FORWARDING)，IP重定向(IP REDIRECT)。 (2) IP伪装可以使内网中的主机共享网关主机在外网中的地址来与外网主机通信, 当内网主机的IP包要传送到外网主机时, 网关的地址转换器将IP包的源地址和端口置换成自己的地址传递到外网目的主机, 当目的主机应答时, 网关再将应答包的目的地址和端口恢复成内网主机的IP地址和端口。(3) 当外网主机首先与内网网关主机建立连接时, 网关的地址转换器可以将不同端口的IP包转接到不同的内网主机中, 这就是端口转发。 网关修改外网IP包的源地址和目的地址以及端口传递到相应的内网主机中, 内网主机的应答包再被网关恢复其源地址和目的地址及其端口发送回外网主机。(4) 通过网关的IP包可以被网关将其目的地址替换为本地地址, 把通过网关的外部连接定向到主机本身, 这就是IP重定向, 可以用来实现IP透明代理。(5) IP地址变换器建立在IP轨迹跟踪的基础上, IP轨迹可看成主机与主机之间的IP回路在网关主机内产生的映像。 当IP包从内网主机通过网关主机向外网主机发出初次请求时, 就在网关主机内产生了一条请求轨迹, 当外网主机通过网关向内网主机发出应答时, 通过网关主机的应答包就被IP轨迹跟踪器绑定在对应的请求轨迹上.。每条轨迹具有正向地址元和逆向地址元分别与请求IP包地址与应答IP包地址匹配。 在正常的网关路由过程中, 轨迹的正向请求与逆向应答地址元是对称的, 当引入了地址转换操作以后, 轨迹的正向与逆向地址元的对称性被破坏, 成为转移轨迹, 绑定在转移轨迹上的IP包通过地址转换过滤器后, IP包的地址将发生变化, 即请求包的地址被置换为转移轨迹逆向应答地址元的逆地址, 应答包的地址被置换为转移轨迹前向请求地址元的逆地址。 由此可见, 标准的IP寻径操作可以看成IP地址转换操作的一种特例。(6) IP地址变换器是IP轨迹跟踪器的后级过滤器, 它有3个过滤端。 IP包的地址转换并不是一次完成的, IP包目的地址转换在路由前端或本地输出端完成, IP包的源地址转换在路由后端完成, 地址变换器输出注入到IP轨迹跟踪器的未端输出。 ip_nat_info描述轨迹的地址转换信息, 它是IP轨迹结构(ip_conntrack)的一部分。 对于新建轨迹,转换器将从地址转换规则表(nat_table)建立轨迹的地址转换信息，ip_nat_info结构中的ip_nat_info_manip结构用于完成IP包地址的映射和逆映射。3.2 MAC地址过滤MAC(Medium Access Control)地址，或称为硬件位址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责 IP地址，第二层数据链路层则负责 MAC位址。因此一个主机会有一个IP地址，而每个网络位置会有一个专属于它的MAC位址。MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32位的，而MAC地址则是48位的。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。只要不去更改MAC地址，那么MAC地址在世界是惟一的。无线MAC地址过滤功能通过MAC地址允许或拒绝无线客户端接入无线网络，有效控制无线客户端的接入权限。无线MAC过滤可以让无线网络获得较高的安全性。每一个网络设备，不论是有线网卡还是无线网卡，都有一个唯一的标识叫做MAC地址（媒体访问控制地址）。MAC 地址过滤配置过程如下： 1、无线设置/MAC地址过滤然后确认访问控制列表中没有任何生效的条目，如有，将该条目改为“失效”、删除该条目或删除所有条目。 2. 点击“增加新条目”按钮，添加MAC地址为“00-0A-EB-00-07-BE”，类型为“允许”，状态为“生效”。 3. 点击“增加新条目”按钮，添加MAC地址为“00-0A-EB-00-07-5F”，类型为“禁止”，状态为“生效”。 4. 如果将过滤规则设为“允许列表中生效规则之外的MAC地址访问本无线网络”，那么MAC地址为“00-0A-EB-00-07-5F”的主机仍然不可访问，但MAC未在列表中出现的主机变成可以访问。 5. 开启无线网络的访问控制功能，单击“启用”按钮。 6. 过滤规则选择“禁止列表中生效规则之外的MAC地址访问本无线网络”。 7、可以试着修改条目中的内容，如修改和删除，再看一下结果8、基本设置中修改为自动选择/16进制，并设密钥9、客户机1设为密钥后能够进入无线网络管理器了，然后点击“增加新条目”按钮，添加MAC地址为“00-0A-EB-00-07-8A”，类型为“128位密钥”，密钥为“2F34D20BE2E54B326C5476586A”，状态为“生效”。 10、客户2修改安全设置再试一下。MAC地址过滤模块可以设定内部电脑按网卡MAC地址过滤，并能将MAC地址绑定固定的IP地址。配置对话框如下所示。操作说明：1. 缺省MAC地址过滤策略中选择默认策略为通过或拦截。2. 在列表框选择要做更改的项目，单击鼠标右键，在弹出菜单中可以单击地址绑定绑定当前所选地址；单击取消绑定取消所选地址的绑定，单击删除地址删除当前所选地址；单击导入地址可以导入在主程序界面中所有电脑的MAC与IP地址。3. 要编辑某项，可在列表中双击该项，编辑完成后单击按钮保存。4. 要添加新地址，先输入MAC地址和IP地址，在策略中选择策略，然后单击按钮。5. 单击按钮保存当前设置，单击按钮取消当前设置。4 无线路由器配置在无线路由器的网络参数设置中，必须对LAN口、WAN口两个接口的参数设置。在实际应用中，很多用户只对WAN口进行了设置，LAN口的设置保持无线路由器的默认状态。路由器的WAN口设置： 如果WAN口接出设备是动态分配IP,那应该选择动态IP用户,不过这种情况很少遇到,一般家庭都是才用PPPoE模式或者是静态IP的模式。要用到无线路由器拨号的用户，应该选择PPPoE模式，相应填入相应的ADSL用户名和用户密码。如果是固定IP接入到WAN口，则采用静态IP用户摸索，如果下图。 路由器的LAN口设置： LAN口和WAN口的配置完成之后，下面我们要配置无线参数。在配置无线路由器时，严格来说没有步骤，笔者建议用户按照无线路由器配置页面中的次序进行配置。 无线配置： 在基本设置中，当用户不需要无线网络时，可以选择关闭，这功能目前很多品牌都不具备。拥有14条信道选择，一般品牌多是1113条信道，这里建议大家使用自动切换最佳频道。 无线加密是一定要设置的，万一忘记设置密码，很有可能会被人盗用宽带，而且还有可能被入侵到电脑中，如果碰上的是个黑客高手，中植一些木马或病毒，那可够痛苦了。所以当开启无线网络后，一定要记得修改无线的加密。设置密码的方法都很简单，只要在无线路由器中设定一个密码，然后在无线网卡端输入即可。 访问控制是通过MAC地址进行管理，有允许和禁止相向来管理，就好比MAC地址绑定管理一样。 高级设置中建议选择自动，比如速率和前导帧类型。 连接列表中可看到无线连接的数量，分别有MAC地址、状态、频段、速度等。设置网络密钥 无线加密协议(WEP)是对无线网络中传输的数据进行加密的一种标准方法。目前，无线路由器或AP的密钥类型一般有两种，分别为64位和128位的加密类型，它们分别需要输入10个或26个字符串作为加密密码。许多无线路由器或AP在出厂时，数据传输加密功能是关闭的，必须在配置无线路由器的时候人工打开。 禁用SSID广播 通常情况下，同一生产商推出的无线路由器或AP都使用了相同的SSID，一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络，就极易建立起一条非法的连接，给我们的无线网络