无线局域网安全管理

无线局域网安全管理,第4章目录,第4章无线局域网安全管理4.1WLAN安全概述4.2有线等效保密(WEP)4.3Wi-Fi保护访问(WPA)4.4802.11i4.5WEB认证技术4.6WAPI技术4.7WLAN认证4.8WLANIDS,学习目标,通过学习本章，读者应达到如下目标：（1）了解无线网络的安全措施（2）掌握无线网络中的WEP加密（3）掌握基于端口的访问控制标准IEEE802.1x（4）理解远程验证拨号用户服务（RADIUS）（5）掌握无线网络中EAP协议的应用（6）掌握无线网络中WPA（Wi-Fi保护访问）应用（7）掌握无线网络中Web认证的应用（8）掌握无线网络中基于MAC地址认证的应用（9）能够熟练应用无线网络的二层隔离和广播禁用功能（10）了解WPA2标准（11）了解WAPI标准,4.1WLAN安全概述,4.1WLAN安全概述由于无线局域网信道开放的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线局域网发展的最重要因素。虽然对无线局域网的需求不断增长，但同时也让许多潜在的用户因为不能够得到可靠的安全保护而对最终是否采用无线局域网系统而犹豫不决。,（1）WLAN安全技术物理地址（MAC）过滤服务区标识符(SSID)匹配有线对等保密（WEP）端口访问控制技术（IEEE802.1x）WPA(Wi-FiProtectedAccess)IEEE802.11iWAPI,4.1WLAN安全概述,（2）无线局域网安全策略的应用,4.1WLAN安全概述,（3）无线局域网安全内容合法性：确保访问网络资源的用户身份是合法的。机密性：确保所传递的信息即使被截获了，截获者也无法获得原始的数据。完整性：如果所传递的信息被篡改，接收者能够检测到,4.1.1WLAN安全标准（1）标准的制定IEEE802.11工作组最初制定的IEEE802.11-1999协议的WEP机制存在诸多缺陷。IEEE802.11在2002年成立了802.11i工作组，提出了AES-CCM等新的安全机制。我国的国家标准化组织针对802.11和802.11i标准中的不足，对WLAN的安全标准进行了改进，制定了WAPI标准。,4.1WLAN安全概述,（2）802.11b中的WEP协议02.11b中的WEP协议1999年，IEEE在802.11b中提出了WLAN认证与加密的WEP协议，它是WLAN最初使用的安全协议。WEP协议的设计初衷是为网络业务流提供安全保证，使得无线网络的安全达到与有线网络同样的安全等级。WEP安全机制包括了：身份认证采用了Opensystem认证和共享密钥认证；数据加密采用RC4算法；完整性校验采用了ICV；密钥管理不支持动态协商，密钥只能静态配置，完全不适合在企业等大规模部署场景。,4.1WLAN安全概述,（3）IEEE802.11i标准认证基于成熟的802.1x、Radius体系IEEE802.11i标准中定义了如下内容：数据加密采用TKIP和AES-CCM完整性校验采用了Michael和CBC算法基于4次握手过程实现了密钥的动态协商。,4.1WLAN安全概述,（4）WAPI标准认证基于WAPI独有的WAI协议，使用证书作为身份凭证；数据加密采用SMS4算法；完整性校验采用了SMS4算法；基于3次握手过程完成单播密钥协商，两次握手过程完成组播密钥协商。,4.1WLAN安全概述,4.1.2WLAN安全威胁分析（1）WLAN安全威胁未经授权的接入指的是在开放式的WLAN系统中，非指定用户也可以接入AP，导致合法用户可用的带宽减少，并对合法用户的安全产生威胁。MAC地址欺骗对于使用了MAC地址过滤的AP,也可以通过抓取无线包，来获取合法用户的MAC地址，从而通过AP的验证，来非法获取资源。,4.1WLAN安全概述,无线窃听对于WLAN来说，所有的数据都是可以监听到的，无线窃听不仅可以窃听到AP和STA的MAC，而且可以在网络间伪装一个AP，来获取STA的身份验证信息。企业级入侵相比传统的有线网络，WLAN更容易成为入侵内网的入口。大多数企业的防火墙都在WLAN系统前方，如果黑客成功的攻破了WLAN系统，则基本认为成功地进入了企业的内网，而有线网络黑客往往找不到合适的接入点，只有从外网进行入侵。,4.1WLAN安全概述,（2）WLAN安全系统的要求机密性这是安全系统的最基本要求，它可以为数据、语音、地址等提供保密性能，不同的用户，不同的业务和数据，有不同的安全级别要求。合法性只有被确定合法并给予授权的用户才能得到相应的服务。这需要用户识别（Identification）和身份验证(Authentication)。数据完整性协议应保证用户数据的完整并鉴定数据来源。,4.1WLAN安全概述,不可否认性数据的发送方不能否认它发送过的信息，否则认为不合法；访问控制：应在接入端对STA的IP、MAC等进行维护，控制其接入。可用性WLAN应该具有一些对用户接入、流量控制等一系列措施，使所有合法接入者得到较好的用户体验。健壮性一个WLAN系统应该不容易崩溃,具有较好的容错性及恢复机制。,4.1WLAN安全概述,4.1WLAN安全概述,4.1.3WLAN加密和认证简介（1）WLAN的加密技术,4.1WLAN安全概述,（2）无线网络的加密模式,4.1WLAN安全概述,（3）无线网络认证方式的加密类型,4.1WLAN安全概述,4.2有线等效保密（WEP）（1）WEP的概念WEP(WiredEquivalentPrivacy，有线等效保密)是当初1999年通过的802.11b标准的一部分,当初是为了使WLAN的网络达到和有线网络一致的机密性而就此命名的。（2）WEP的加密算法WEP使用RC4（RivestCipher）串流加密算法达到机密性，并由CRC32验证数据完整性。,4.2有线等效保密(WEP),（3）WEP的安全性LAN天生比WLAN安全，因为LAN的物理结构对其有所保护，部分或全部网络埋在建筑物里面也可以防止未授权的访问。经由无线电波的WLAN没有同样的物理结构，因此容易受到攻击、干扰。WEP的目标就是通过对无线电波里的数据加密提供安全性，如同端到端发送一样。,4.2有线等效保密(WEP),（4）WEP的密钥长度标准的64比特WEP使用40比特的钥匙接上24比特的初始化向量成为RC4用的钥匙。在起草原始的WEP标准的时候，美国政府在加密技术的输出限制中限制了钥匙的长度，一旦这个限制放宽之后，所有的主要业者都用104比特的钥匙实现了128比特的WEP延伸协定。,4.2有线等效保密(WEP),（5）WEP的密钥模式用户输入WEP共享密码可以用ASCII和HEX两种方式来输入。ASCII为字符模式，即输入5个（64bit模式）或13个（128bit模式）字符。HEX模式为十六进制模式，即输入10个（64bit模式）或26个（128bit模式）从0-9及A-F之间的字符。,4.2有线等效保密(WEP),（6）WEP的验证机制,4.2有线等效保密(WEP),4.3Wi-Fi访问保护（WPA）WPA全名为Wi-FiProtectedAccess，有WPA和WPA2两个标准，是一种保护无线计算机网络（Wi-Fi）安全的系统。WPA实现了IEEE802.11i标准的大部分，是在802.11i完备之前替代WEP的过渡方案。WPA2实现了802.11i的强制性元素，特别是Michael算法由公认彻底安全的CCMP讯息认证码所取代、而RC4也被AES取代。,4.3Wi-Fi保护访问(WPA),4.4802.11i标准4.4.1802.11i的安全机制802.11i定义了RSN（RobustSecurityNetwork）的概念，增强了WLAN中的数据加密和认证性能，并且针对WEP加密机制的各种缺陷做了多方面的改进。802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP、CCMP和WRAP三种加密机制。,4.4802.11i标准,4.4.2802.1x认证体系802.11i体系结构,4.4802.11i标准,（1）基于端口的网络接入控制802.1x协议是一种基于端口的网络接入控制（PortBasedNetworkAccessControl）协议。“基于端口的网络接入控制”是指在局域网接入设备的端口对所接入的设备进行认证和控制。如果连接到端口上的设备能够通过认证，则端口就对它开放，终端设备就被允许访问局域网中的资源；如果连接到端口上的设备不能通过认证，则端口就对它关闭，终端设备就不能访问局域网中的资源。,4.4802.11i标准,（2）802.1x认证体系结构,4.4802.11i标准,（3）EAP（可扩展认证协议）IEEE802.1x本身并不提供实际的认证机制，需要和EAP配合来实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型，能与后台不同的认证服务器进行通信，如远程接入用户服务（RADIUS）。EAP有三个特点：一是双向认证机制，这一机制有效地消除了中间人攻击（MITM）。,4.4802.11i标准,（4）无线局域网中的802.1x认证无线终端向AP发出请求，试图与AP进行通信；AP将有关无线终端用户身份的加密数据发送给验证服务器进行用户身份认证；验证服务器确认用户身份后，AP允许该用户接入；建立网络连接后授权用户就可以通过AP访问网络资源。,4.4802.11i标准,（4）无线局域网中的802.1x认证,4.4802.11i标准,4.4.3TKIP（临时密钥完整性协议）（1）TKIP的特点TKIP（临时密钥完整性协议）的一个重要特性，是它变化每个数据包所使用的密钥。利用TKIP传送的每一个数据包都具有独有的48位序列号，这个序列号在每次传送新数据包时递增，并被用作初始化向量和密钥的一部分。TKIP解决了WEP的的“碰撞攻击”问题，在使用不同的密钥时，不会出现碰撞。TKIP以数据包序列号作为初始化向量，还解决了WEP的“重放攻击问题”。,4.4802.11i标准,（2）TKIP的算法TKIP虽然与WEP同样都是基于RC4加密算法，但却引入了4个新算法扩展的48位初始化向量（IV）和IV顺序规则（IVSequencingRules）；每包密钥构建机制（per-packetkeyconstruction）；Michael消息完整性代码（MessageIntegrityCode，MIC）；密钥重新获取和分发机制。,4.4802.11i标准,（3）TKIP密钥的生成方式,4.4802.11i标准,4.4.4CCMP802.11i还规定了一个基于AES（高级加密标准）加密算法的CCMP（Counter-Mode/CBC-MACProtocol，计数模式/CBC-MAC模式）数据加密模式。CCMP采用CBC-MAC机制提供完整性保护机制。与TKIP相同，CCMP也采用48位初始化向量（IV）和IV顺序规则，其消息完整检测算法采用CCM算法。,4.4802.11i标准,4.5Web认证技术4.5.1Web认证系统的组成,4.5Web认证技术,（1）接入控制器（AccessController）实现用户强制Portal、业务控制，接收PortalServer发起的认证请求，完成用户认证功能。（2）门户网站（PortalServer）推送认证页面及用户使用状态页面，接收WLAN用户的认证信息，向AC发起用户认证请求以及用户下线通知。（3）中心认证服务器和AC一同完成用户认证，并为用户使用的网络信息提供后台计费系统。,4.5Web认证技术,4.5.2Web认证的CHAP认证过程,4.5Web认证技术,4.5.3Web认证的PAP认证过程,4.5Web认证技术,4.6WAPI技术4.6.1产生WAPI的背景由于无线通信使用开放性的无线信道资源作为传输媒质，导致非法用户很容易发起对WLAN网络的攻击或窃取用户的机密信息。如何保证WLAN网络的安全性一直是WLAN技术应用所面临的最大难点之一。,4.6WAPI技术,IEEE标准组织及Wi-Fi联盟为此一直进行着努力，先后推出了WEP、802.11i(WPA、WPA2)等安全标准，逐步实现了WLAN网络安全性的提升。但802.11i并不是WLAN安全标准的终极。针对802.11i标准的不完善之处，比如缺少对WLAN设备身份的安全认证，中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的安全机制来实现无线局域网的安全。,4.6WAPI技术,4.6.2WAPI基本功能（1）WAPI的优越性,4.6WAPI技术,（2）WAPI的的鉴别流程,4.6WAPI技术,无线客户端首先和WLAN设备进行802.11链路协商。WLAN设备触发对无线客户端的鉴别处理。鉴别服务器进行证书鉴别。无线客户端和WLAN设备进行密钥协商。,4.6WAPI技术,（3）完整的WAPI鉴别协议交互过程,4.6WAPI技术,4.7WLAN认证4.7.1链路认证（1）开放系统认证开放系统认证是使用缺省的认证机制，也是最简单的认证算法，即不认证。,4.7WLAN认证,（2）共享密钥认证共享密钥认证需要客户端和设备端配置相同的共享密钥。,4.7WLAN认证,4.7.2用户接入认证（1）PSK认证PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥，如果密钥相同，PSK接入认证成功；如果密钥不同，PSK接入认证失败。,4.7WLAN认证,（2）MAC地址认证MAC地址认证是一种基于端口和MAC地址的对用户的网络访问权限进行控制的认证方法。MAC地址认证分为以下两种方式：本地MAC地址认证基于RADIUS服务器的MAC地址认证,4.7WLAN认证,本地MAC地址认证当选用本地认证方式进行MAC地址认证时，需要在设备上预先配置允许访问的MAC地址列表，如果客户端的MAC地址不在允许访问的MAC地址列表，将拒绝其接入请求。,4.7WLAN认证,基于RADIUS服务器的MAC地址认证当MAC接入认证发现当前接入的客户端为未知客户端时，会主动向RADIUS服务器发起认证请求，在RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问无线网络以及相应的授权信息。,4.7WLAN认证,基于RADIUS服务器的MAC地址认证,4.7WLAN认证,（3）802.1x认证802.1x协议是一种基于端口的网络接入控制协议，该技术也是用于WLAN的一种增加网络安全的解决方案。,4.7WLAN认证,4.8WLANIDS4.8.1WLANIDS简介（1）WLANIDS介绍802.11网络很容易受到各种网络威胁的影响，如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rogue设备对于企业网络安全来说更是一个很严重的威胁。,4.8WLANIDS,无线入侵检测系统（WirelessIntrusionDetectionSystem，WIDS）可以对有恶意的用户攻击行为和入侵行为进行早期检测，保护企业网络和用户不被无线网络上未经授权的设备访问。WIDS可以在不影响网络性能的情况下对无线网络进行监测，从而提供对各种攻击的实时防范。,4.8WLANIDS,（2）WIDS的常用术语RogueAP网络中未经授权或者有恶意的AP，它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在安全漏洞，黑客就有机会危害无线网络安全。RogueClient非法客户端，网络中未经授权或者有恶意的客户端，类似于RogueAP。,4.8WLANIDS,RogueWirelessBridge非法无线网桥，网络中未经授权或者有恶意的网桥。MonitorAP这种AP在无线网络中通过扫描或监听无线介质，检测无线网络中的Rogue设备。一个AP可以同时作为接入AP和MonitorAP，也可以只作为MonitorAP。,4.8WLANIDS,Ad-hocmode把无线客户端的工作模式设置为Ad-hoc模式，Ad-hoc终端可以不需要任何设备支持而直接进行通讯。,4.8WLANIDS,4.8.2无线入侵检测系统架构（1）集中式无线入侵检测系统通常用于连接单独的Sensors搜集数据并转发到存储和处理数据的中央系统中。（2）分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告。比较适合较小规模的无线局域网，因为它价格便宜且易于管理。当过多的Sensors需要检测时，Sensors的数据处理将被禁用。多线程处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。,4.8WLANIDS,4.8.3检测Rogue设备（1）MonitorAPAP需要扫描WLAN中的设备，此时AP仅作监测AP，不作接入AP。当AP工作在Monitor模式时，该AP提供的所有WLAN服务都将关闭。,4.8WLANIDS,4.8.3检测Rogue设备（1）MonitorAP,4.8WLANIDS,（2）HybridAPAP既作接入AP又作MonitorAPAP可以扫描WLAN中的设备，也可以传输WLAN数据,4.8WLANIDS,（3）HybridAP,4.8WLANIDS,4.8.4检测IDS攻击（1）Flooding攻击检测(Flooding（泛洪）攻击是指攻击者在短时间内发送大量的同种类型的报文，导致WLAN设备被攻击者发送的泛洪报文淹没而无法处理真正合法用户的请求。WIDS攻击检测通过持续地监控每台设备的流量大小来预防这种泛洪攻击。,4.8WLANIDS,当流量超出网络管理者设置的上限时，该设备被认为要在网络内泛洪从而被锁定。WIDS检测到Flooding攻击时，此时如果开启了动态黑名单功能，则发起攻击的无线客户端将被添加到动态黑名单中，从而保证WLAN系统不再被该设备攻击，保障网络安全。,4.8WLANIDS,（2）Spoof攻击检测Spoof（欺骗）攻击是指攻击者以其他设备的名义发送仿冒报文。例如：一个仿冒的解除认证报文会导致无线客户端下线。WIDS通过对广播解除认证和对广播解除关联报文进行检测，当接收到这类报文时将立刻被定义为欺骗攻击并被记录到日志中。,4.8WLANIDS,（3）WeakIV检测WeakIV（WeakInitializationVector，弱初始化向量）攻击是指在WLAN使用WEP加密的过程中，攻击者通过截获带有弱初始化向量的报文，破解出共享密钥并最终窃取加密信息的一种攻击行为。WIDS通过识别每个WEP报文的IV来预防这种攻击，当一个带有弱初始化向量的报文被检测到时，WIDS即判定这是个攻击漏洞，将立刻将这个检测结果记录到日志中。,4.8WLANIDS,星际网络公司无线局域网安全项目,【项目需求】小赵对公司相关部门进行了无线网络安全需求调查，获得如下需求：公司的顾客需要访问公司的网站获取公司的信息。客户服务中心建立了一个客户资源网，该中心的员工需要从该网站获取客户的相关信息。运行维护中心建立了一个运行维护网站，该中心员工需要登录该网站处理顾客的反馈信息。,技术支持中心建立了一个产品研发技术网站，该中心员工可从该网站共享产品技术问题的解决办法。网络管理中心人员可通过无线方式对网络进行管理和维护。为了减少网络的流量，增加网络的安全性，不允许用户之间通过无线网络进行资源传递。公司的每个部门的无线网络只允许本部门的人员进行访问。,星际网络公司无线局域网安全项目,【项目分析】为了保证公司不同部门之间信息的安全，公司将不同部门划分为不同的VLAN。,星际网络公司无线局域网安全项目,小赵根据公司无线网络的需求，对不同的无线网络确定了SSID，并制定了相应的安全策略。,星际网络公司无线局域网安全项目,【项目设备】DHCP/DNS/RADIUS服务器（1台）Web服务器（1台）无线访问点MP-71/42（1台）无线交换机MXR-2（1台）二层交换机（1台）三层交换机（1台）路由器（1台）有无线网卡的计算机（2台以上）,项目4：星际网络公司无线局域网安全,【项目拓扑】,项目4：星际网络公司无线局域网安全,任务1组建企业基本无线局域网（1）任务分析网络工程师小赵在所建设的无线网络项目中，要根据企业需求，对无线网络的路由器、交换机、服务器和无线控制器等设备进行基本配置，为企业网络安全的实施创造条件。,任务1组建企业基本无线局域网,（2）任务实施在服务器SD上配置DHCP服务为每个VLAN创建DHCP服务。,任务1组建企业基本无线局域网,对于AP所在VLAN要配置作用域043选项，其值为无线控制器的IP地址01，这样无线AP才知道与哪个无线控制器建立联系。,任务1组建企业基本无线局域网,在服务器SD上配置DNS服务配置域名服务器，添加区域，并将每个服务器添加到区域中。,任务1组建企业基本无线局域网,配置公司Web服务器SE在服务器SE上配置IIS，建立一个的简单网站。,任务1组建企业基本无线局域网,对路由器进行基本配置主要配置F0/0接口的地址、Loopback0接口地址和静态路由。,任务1组建企业基本无线局域网,配置三层交换机SW创建vlan10Switch(config)#hostnameswitch1Switch1(config)#vlan10/创建vlan10Switch1(config-vlan)#nameguests/命名vlan10,任务1组建企业基本无线局域网,创建其余VLAN,任务1组建企业基本无线局域网,启用dhcp中继功能,任务1组建企业基本无线局域网,设置接口F0/1为trunk模式。intfa0/1switchportmodetrunk设置F0/1、F0/2、F0/3、F0/4、F0/5、F0/23接口为trunk模式。,任务1组建企业基本无线局域网,开启端口F0/11的路由功能，并配置端口IP地址。开启端口F0/11的三层路由功能interfaceFastEthernet0/11noswitchport给端口配IPipaddress52说明descriptionconnecttodhcp、DNS、RADIUSserver,任务1组建企业基本无线局域网,开启其余端口的路由功能，并配置端口IP地址。,任务1组建企业基本无线局域网,创建vlan虚拟接口1创建虚拟接口vlan1interfacevlan1设置虚拟接口vlan1的ipipaddress54,任务1组建企业基本无线局域网,创建其余vlan虚拟接口,任务1组建企业基本无线局域网,配置二层交换机,任务1组建企业基本无线局域网,任务1组建企业基本无线局域网,配置无线控制器创建VLAN,任务1组建企业基本无线局域网,添加AP,任务1组建企业基本无线局域网,配置开放的无线服务在菜单“Configuration”下，选择“Services”。,任务1组建企业基本无线局域网,点击“CreateNewService”按钮，输入开放服务的信息。,任务1组建企业基本无线局域网,点击“Finish”按钮，完成WEP无线服务的添加。,任务1组建企业基本无线局域网,打开无线网卡，搜寻无线网络，会发现“xjwlgs”的SSID。,任务1组建企业基本无线局域网,7.配置无线控制器,选中无线网络xjwlgs,点击“”按钮，便连接到该无线网络。,任务1组建企业基本无线局域网,任务2使用WEP加密保护客户中心信息（1）任务分析无线网络工程师小赵发现客户服务中心的无线网络，直接可以接入，没有任何认证加密手段，由于无线网络不像有线网，有严格的物理范围，例如，要接入有线网络必须要有一根网线插上，而无线网不同，无线信号可能会广播到公司办公室以外的地方，无论是公司大楼，还是其他公司，都可以搜到，这样收到信号的人就可以随意的接入到无线网络里来，很不安全。,任务2使用WEP加密保护客户中心信息,为了保证客户服务中心的安全，他采用WEP加密的方式来对无线网进行加密及接入控制，只有输入正确密钥才可以接入到无线网络里来，并且空中的数据传输也是加密的。这样做主要是为了防止非法用户连接进来、防止无线信号被窃听。,任务2使用WEP加密保护客户中心信息,（2）任务实施配置WEP无线服务在菜单“Configuration”下，选择“services”。,任务2使用WEP加密保护客户中心信息,点击“CreateNewService”按钮，为客户服务中心创建ssid为xjwlgs-service的无线服务xjwlgs-wep。,任务2使用WEP加密保护客户中心信息,点击“Next”按钮，选择StaticWEP。,任务2使用WEP加密保护客户中心信息,点击“Next”按钮，在WEPkey1中输入密码。,任务2使用WEP加密保护客户中心信息,点击“Finish”按钮，完成WEP无线服务的添加。,任务2使用WEP加密保护客户中心信息,测试无线客户端连接情况打开无线网卡，搜寻无线网络，会发现名为“xjwlgs-service”的SSID。,任务2使用WEP加密保护客户中心信息,选中无线网络xjwlgs-service,点击“连接”按钮，此时会提示输入WEP密钥，输入密钥。,任务2使用WEP加密保护客户中心信息,点击“连接”按钮，无线客户端便可以正确连接到无线网络xjwlgs-service，此时，无线客户端能够Ping通默认网关54。,任务2使用WEP加密保护客户中心信息,任务3:使用WPA加密保护运行维护中心信息（1）任务分析无线无线网络工程师小赵为了保证客户服务中心的安全，采用安全性较高的WAP加密的方式来对无线网进行加密及接入控制。,任务3:使用WPA加密保护运行维护中心信息,（2）任务实施配置WPA无线服务在菜单“Configuration”下，选择“services”。,任务3:使用WPA加密保护运行维护中心信息,点击“CreateNewService”按钮，为运行维护中心创建ssid为xjwlgs-operation的无线服务xjwlgs-wpa。,任务3:使用WPA加密保护运行维护中心信息,点击“Next”按钮，选择Encryption为“Yes”。,任务3:使用WPA加密保护运行维护中心信息,点击“Next”按钮，选择WPA。,任务3:使用WPA加密保护运行维护中心信息,点击“Next”按钮，然后选择TKIP，在Pre-sharedkey1中输入密码。,任务3:使用WPA加密保护运行维护中心信息,点击“Generate”按钮，生成对预共享密钥的加密。,任务3:使用WPA加密保护运行维护中心信息,点击“Finish”按钮，完成WPA无线服务的添加。,任务3:使用WPA加密保护运行维护中心信息,测试无线连接打开无线网卡，搜寻无线网络，会发现名为“xjwlgs-operation”的SSID。,任务3:使用WPA加密保护运行维护中心信息,选中无线网络xjwlgs-operation,点击“连接”按钮，输入WPA-PSK密钥。,任务3:使用WPA加密保护运行维护中心信息,点击“连接”按钮，无线客户端便可以正确连接到无线网络xjwlgs-operation。,任务3:使用WPA加密保护运行维护中心信息,任务4:使用Web加密保护销售中心信息（1）任务分析由于销售中心人员较多，人员流动大，销售人员网络基础较差，小赵决定对销售中心采用基于Web方式实现对用户的身份进行认证，认证信息保存到控制器中,销售人员无需安装任何软件就可实现对部门的无线网络访问。,任务4:使用Web加密保护销售中心信息,（2）任务实施配置Web用户在菜单“Configuration”下，选择“Services”。,任务4:使用Web加密保护销售中心信息,点击“CreateNewService”按钮，为销售中心创建ssid为xjwlgs-sale的无线服务xjwlgs-Web，选择Encryption为“Yes”,选择AuthenticationType为“Userauthentication（Web）”。,任务4:使用Web加密保护销售中心信息,点击“Next”按钮，选择WEP。,任务4:使用Web加密保护销售中心信息,点击“Next”按钮，然后输入密码。,任务4:使用Web加密保护销售中心信息,点击“Finish”按钮，完成Web无线服务的添加。,任务4:使用Web加密保护销售中心信息,配置Web用户在菜单“Configuration”下，选择“Users”。,任务4:使用Web加密保护销售中心信息,点击“CreateNewGroup”按钮，输入组名sale-users，选择VLAN为salecenter。,任务4:使用Web加密保护销售中心信息,点击“Finish”按钮，完成组的创建。,任务4:使用Web加密保护销售中心信息,选择Users标签，点击“CreateNewUser”按钮，输入用户名，选择组为sale-users，选择VLAN为salecenter，选择SSID为xjwlgs-sale，输入密码。,任务4:使用Web加密保护销售中心信息,点击“Finish”按钮，完成用户的添加。,任务4:使用Web加密保护销售中心信息,测试无线连接打开无线网卡，搜寻无线网络，会发现名为“xjwlgs-sale”的SSID。,任务4:使用Web加密保护销售中心信息,选中无线网络xjwlgs-sale,点击“连接”按钮，输入网络密钥。,任务4:使用Web加密保护销售中心信息,点击“连接”按钮,无线客户端便可以正确连接到无线网络,但无线网络xjwlgs-sale的连接状态是“未连接”。,任务4:使用Web加密保护销售中心信息,在客户端输入Web网址，便会提示用户输入用户名和密码。,任务4:使用Web加密保护销售中心信息,输入用户信息，点击“Login”按钮，便会弹出安全警报窗口。,任务4:使用Web加密保护销售中心信息,点击“是”按钮，便进入公司网站。,任务4:使用Web加密保护销售中心信息,任务5:利用802.1x+RADIUS保护技术中心信息（1）任务分析由于技术部门的人员多，人员流动比较大，技术人员有一定的网络基础，为了只允许技术部门的人员对技术中心的无线网络进行访问，小赵设计Winradius认证服务器，采用802.1x实现对用户的身份进行认证，需要在技术人员的计算机上安装锐捷的无线网络安全认证客户端。,任务5:利用802.1x+RADIUS保护技术中心信息,（2）任务实施配置WinRadius服务器下载WinRadius软件并进行解压。,任务5:利用802.1x+RADIUS保护技术中心信息,双击“WinRadius.exe”程序，打开WinRadius窗口。,任务5:利用802.1x+RADIUS保护技术中心信息,选择“设置”“系统”菜单，弹出系统设置窗口，在窗口中可更改radius服务器的NAS密钥、认证端口和计费端口。,任务5:利用802.1x+RADIUS保护技术中心信息,选择“设置”“数据库”菜单，点击“自动配置ODBC”按钮，自动生成ODBC实现和数据库的连接。,任务5:利用802.1x+RADIUS保护技术中心信息,选择“操作”“添加”账号菜单，弹出添加账号窗口，在窗口中输入账户信息。,任务5:利用802.1x+RADIUS保护技术中心信息,选择“操作“查询”菜单，弹出查询信息窗口。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“确定”按钮，便显示出刚才添加的账户信息。,任务5:利用802.1x+RADIUS保护技术中心信息,添加RADIUS服务器在菜单“Configuration”下，选择“RADIUS”。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“AddRADIUSServer”按钮，在弹出的窗口中输入RADIUS服务器的信息。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“Finish”按钮，完成RADIUS服务器的添加。,任务5:利用802.1x+RADIUS保护技术中心信息,配置Web无线服务在菜单“Configuration”下，选择“Services”。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“CreateNewService”按钮，为技术中心创建ssid为xjwlgs-technology的无线服务xjwlgs-8021x，选择AuthenticationType为“Userauthentication（802.1x）”，选择认证到RADIUS，选择802.1x协议为PEAP/MSCHAPv2。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“Next”按钮，选择加密类型为WPA。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“Next”按钮，选择加密方式为TKIP。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“Finish”按钮，完成无线网络服务的创建。,任务5:利用802.1x+RADIUS保护技术中心信息,配置802.1x无线客户端进入Windows服务管理界面，启动服务“WiredAutoConfig”和“WirelessZeroConfiguration”。,任务5:利用802.1x+RADIUS保护技术中心信息,在无线网络连接列表中显示出无线网络服务“xjwlgs-technology”。,任务5:利用802.1x+RADIUS保护技术中心信息,选中无线网络xjwlgs-operation,点击“连接”按钮，便会显示“正在验证身份”。,任务5:利用802.1x+RADIUS保护技术中心信息,同时在任务栏的无线网络图标上会显示“Windows找不到证书来让您登录到网络xjwlgs-technology”的提示信息。,任务5:利用802.1x+RADIUS保护技术中心信息,从网络下载锐捷supplicant客户端软件并进行安装。运行客户端软件，单击“设置”按钮，弹出系统配置窗口，选择“用户参数设置”，输入用户信息。,任务5:利用802.1x+RADIUS保护技术中心信息,选择“DHCP设置（有线）”，选择DHCP方式为“认证后获取”。,任务5:利用802.1x+RADIUS保护技术中心信息,选择“无线网络配置(无线)”。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“添加新配置”按钮，在弹出的窗口中选中“xjwlgs-technology”，输入无线网络配置名称。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“确定”按钮，回到无线网络配置界面，再点击“确定”按钮，返回到客户端登录窗口界面，输入连接信息。,任务5:利用802.1x+RADIUS保护技术中心信息,点击“连接”按钮，锐捷安全认证客户端将进行认证过程，认证成功后客户端会最小化到任务栏。,任务5:利用802.1x+RADIUS保护技术中心信息,任务6:无线网络的MAC认证（1）任务分析网络管理中心的工作人员比较少，为了防止非法用户通过网络管理中心的无线网络上网，小赵将管理中心管理员的无线网卡MAC地址加入到设备库，采用MAC认证，只允许设备库的无线客户端访问。,任务6:无线网络的MAC认证,（2）任务实施配置MAC认证无线服务在菜单“Configuration”下，选择“Services”。,任务6:无线网络的MAC认证,点击“CreateNewService”按钮，为网络中心创建SSID为xjwlgs-network的无线服务xjwlgs-mac。,任务6:无线网络的MAC认证,点击“Next”按钮，选择WPA。,任务6:无线网络的MAC认证,点击“Next”按钮，然后选择TKIP，在Pre-sharedkey1中输入密码。,任务6:无线网络的MAC认证,点击“Generate”按钮，实现对预共享密钥的加密。,任务6:无线网络的MAC认证,点击“Finish”按钮，完成wpa无线服务的添加。,任务6:无线网络的MAC认证,无线网络便会广播无线网络服务“xjwlgs-network”。,任务6:无线网络的MAC认证,选择xjwlgs-network网络服务，点击“连接”按钮。在弹出的窗口中输入网络密钥，点击“连接”按钮，但连接会失败。,任务6:无线网络的MAC认证,添加MAC到设备列表在命令窗口中输入“ipconfig/a