无线网安全与防范

第10章无线网安全与防范

本章内容无线网络安全概述10.1无线局域网的标准

10.2无线局域网安全协议

10.3无线网络主要信息安全技术

10.4无线网络设备

10.5引导案例：

为方便上网，半年前张女士在家中安置了一个无线路由器，最近她却发觉网络速度突然变得很慢。她相当疑惑，因为无线路由器明明设置过密码，按理说不可能被人窃用网络。后来经朋友检查发现，张女士电脑的‘网上邻居’里多出一个陌生的电脑用户!网络被盗用已成不争的事实。朋友告诉她，她的无线网络已被一种叫“蹭网卡”的装置盯上了，因为多了一台电脑享用她的网络资源，所以网络速度明显变慢。那么如何保障自己的无线网络安全使用呢？本章将为大家解决这样的技术难题。

无线网络的安全缺陷与解决方案10.1无线局域网安全的最大问题在于无线通信设备是在自由空间中进行传输，而不是像有线网络那样是在一定的物理线缆上进行传输，因此无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取。所以，WLAN就面临一系列的安全问题，而这些问题在有线网络中并不存在。无线网络存在的安全风险和安全问题主要包括：（1）来自网络用户的进攻。（2）来自未认证的用户获得存取权。（3）来自公司的窃听泄密等。针对以上威胁问题，从最初利用ESSID/SSID（ServiceSetIdentifier，也就是“服务区标识符匹配）、MAC（MediaAccessControl，介质访问控制）限制，防止非法无线设备入侵的访问控制，到基于WEP（WiredEquivalentPrivacy）数据加密的解决方案，再到即将成为新标准的802.11i，以及从2003年12月1日起我国开始施行的WLAN产品的新标准WAPI（无线局域网鉴别和保密基础结构），无线网络安全技术在很大的程度上已经得到了改善，即使这样，但要真正构建端到端的安全无线网络还任重道远。

无线网络安全概述

10.110.2无线局域网的标准在众多的无线局域网标准中，人们知道最多的是IEEE（美国电子电气工程师协会）802.11系列，此外制定WLAN标准的组织还有ETSI（欧洲电信标准化组织）和HomeRF工作组，ETSI提出的标准有HiperLan和HiperLan2，HomeRF工作组的两个标准是HomeRF和HomeRF2。在这三家组织所制定的标准中，IEEE的802.11标准系列由于它的以太网标准802.3在业界的影响力使得在业界一直得到最广泛的支持，尤其在数据业务上。ETSI是一个欧洲组织，因此一直得到欧洲政府的支持，很多运营商也都很尊重它的GSM和UMTS蜂窝电话标准，它在制定WLAN标准的时候更加关注语音业务。HomeRF作为一种为家庭网络专门设计的标准在业界也有一定的影响力。

价格便宜的笔记本电脑、移动电话和手持式设备的日趋流行，以及Internet应用程序和电子商务的快速发展，使用户需要随时进行网络连接。为满足这些需求，可以使用两种方法将便携式设备连接到网络，而没有电缆所带来的不便。这两种标准就是IEEE802.11b和Bluetooth。IEEE802.11b是一种11Mb/s无线标准，可为笔记本电脑或桌面电脑用户提供完全的网络服务

10.2.1IEEE的802.11标准系列由于802.11在速率和传输距离上都不能满足人们的需要，因此，IEEE小组又相继推出了802.11b和802.11a两个新标准。3者之间技术上的主要差别在于MAC子层和物理层。802.11b物理层支持5.5Mpbs和11Mpbs两个新速率。802.11标准在扩频时是一个11位调制芯片，而802.11b标准采用一种新的调制技术CCK完成。802.11b使用动态速率漂移，可因环境变化，在11Mbps、5.5Mbps、2Mbps、1Mbps之间切换，且在2Mbps、1Mbps速率时与802.11兼容。802.11b的产品普及率最高，在众多的标准中处于先导地位。见教材P254802.11g协议于2003年6月正式推出，它是在802.11b协议的基础上改进的协议，支持2.4GHz工作频率以及DSSS技术，并结合了802.11a协议高速的特点以及OFDM技术。这样802.11g协议即可以实现11Mbps传输速率，保持对802.11b的兼容，又可以实现54Mbps高传输速率。随着人们对无线局域网数据传输的要求，802.11g协议也已经慢慢普及到无线局域网中，和802.11b协议的产品一起占据了无线局域网市场的大部分。而且，部分加强型的802.11g产品已经步入无线百兆时代。

欧洲电信标准化协会（ETSI）(EuropeanTelecommunicationsStandardsInstitute)

HiperLan是欧盟在1992年提出的一个WLAN标准，HiperLan2是它的后续版本，HiperLan2部分建立在GSM（GlobalSystemforMobileCommunications，全球移动通讯系统）基础上，使用频段为5GHz。在物理层上HiperLan2和802.11a几乎完全相同。它采用OFDM技术，最大数据速率为54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太网基础上的，而是采用的TDMA结构，形成是一个面向连接的网络，HiperLan2的面向连接的特性使它很容易满足QoS（QualityofService，服务质量）要求，可以为每个连接分配一个指定的QoS，确定这个连接在带宽、延迟、拥塞、比特错误率等方面的要求。这种QoS支持与高传输速率一起保证了不同的数据序列（如视频、话音和数据等）可以同时进行高速传输。10.2.2ETSI的HiperLan210.2.3HomeRF

HomeRF是IEEE802.11与DECT（DigitalEnhancedCordlessTelecommunications数字增强无绳通信）的结合，使用这种技术能降低语音数据成本。与前几种技术一样，使用开放的2.4GHz频段。采用跳频扩频（FHSS）技术，跳频速率为50跳/秒,共有75个带宽为1MHz的跳频信道。

HomeRF把共享无线接入协议（SWAP）作为未来家庭联网的技术指标，基于该协议的网络是对等网，因此该协议主要针对家庭无线局域网。其数据通信采用简化的IEEE802.11协议标准，沿用类似与以太网技术中的冲突检测的载波监听多址技术（CSMA/CD）CSMA/CA。语音通信采用DECT（DigitalEnhancedCordlessTelephony）标准，使用TDMA时分多址技术。

10.3.1WEP协议IEEE802.11标准中的WEP（WiredEquivalentPrivacy）协议是IEEE802.11b协议中最基本的无线安全加密措施，其主要用途包括提供接入控制，防止未授权用户访问网络；对数据进行加密，防止数据被攻击者窃听；防止数据被攻击者中途恶意纂改或伪造。此外，WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。AboveCable所有型号的AP都支持64位或（与）128位的静态WEP加密，有效地防止数据被窃听盗用。10.3无线局域网安全协议

10.3.2IEEE802.11i安全全标准IEEE802.11的i工作组致力力于制订被被称为IEEE802.11i的新一代安安全标准，，这种安全全标准为了了增强WLAN的数据加密密和认证性性能，定义义了RSN（RobustSecurityNetwork）的概念，，并且针对对WEP加密机制的的各种缺陷陷做了多方方面的改进进。IEEE802.11i规定使用802.1x认证和密钥钥管理方式式，在数据据加密方面面，定义了了TKIP（TemporalKeyIntegrityProtocol）、CCMP（Counter－Mode／CBC－MACProtocol）和WRAP（WirelessRobustAuthenticatedProtocol）三种加密密机制。其其中TKIP采用WEP机制里的RC4作为核心加加密算法，，可以通过过在现有的的设备上升升级固件和和驱动程序序的方法达达到提高WLAN安全的目的的。CCMP机制基于AES（AdvancedEncryptionStandard）加密算法法和CCM（Counter－Mode／CBC－MAC）认证方式式，使得WLAN的安全程度度大大提高高，是实现现RSN的强制性要要求。由于于AES对硬件要求求比较高，，因此CCMP无法通过在在现有设备备的基础上上进行升级级实现。我国早在2003年5月份就提出出了无线局局域网国家家标准GB15629.11，这是目前前我国在这这一领域惟惟一获得批批准的协议议。标准中中包含了全全新的WAPI（WLANAuthenticationandPrivacyInfrastructure）安全机制制，这种安安全机制由由WAI（WLANAuthenticationInfrastructure）和WPI（WLANPrivacyInfrastruc－ture）两部分组组成，WAI和WPI分别实现对对用户身份份的鉴别和和对传输的的数据加密密。WAPI能为用户的的WLAN系统提供全全面的安全全保护。WAPI安全机制包包括两个组组成部分。。具体见教材材P257。10.3.3WAPI协议10.4.1扩频技术扩频技术是是军方为了了通讯安全全而首先提提出的。它它从一开始始就被设计计成为驻留留在噪声中中，一直干干扰和越权权接收的。。扩频传输输是将非常常低的能量量在一系列列的频率范范围中发送送，明显地地区别于窄窄带的无线线电技术的的集中所有有能量在一一个信号频频率中的方方式进行传传输。通常常有几种方方法来实现现扩频传输输，最常用用的是直序序扩频和跳跳频扩频。。一些无线局局域网产品品在ISM波段的2.4～2.4835GHz范围内传输输信号，在在这个范围围内可以得得到79个隔离的不不同通道，，无线信号号被发送到到成为随机机序列排列列的每一个个通道上（（例如通道道1、32、67、42……）。无线电电波每秒钟钟变换频率率许多次，，将无线信信号按顺序序发送到每每一个通道道上，并在在每一通道道上停留固固定的时间间，在转换换前要覆盖盖所有通道道。如果不不知道在每每一通道上上停留的时时间和跳频频图案，系系统外的站站点要接收收和译码数数据几乎是是不可能的的。使用不不同的跳频频图案、驻驻留时间和和通道数量量可以使相相邻的不相相交的几个个无线网络络之间没有有相互干扰扰，也不用用担心网络络上的数据据被其他用用户截获。。10.4无线网络主主要信息安安全技术即在无线网网的站点上上使用口令令控制，当当然未必局局限于无线线网。当前前一些主要要的网络操操作系统和和服务器均均提供了包包括口令管管理在内的的内建多级级安全服务务。口令应应处于严格格的控制之之下并经常常予以变更更。由于WLAN的用户包括括移动用户户，而移动动用户倾向向于把他们们的笔记本本电脑移来来移去，因因此，严格格的口令策策略等于增增加了一个个安全级别别，它有助助于确认网网站是否正正被合法的的用户使用用。建议在无线线网络的适适配器端使使用网络密密码控制。。这与NovellNetWare和MicrosoftWindowsNT提供的密码码管理功能能类似。由由于无线网网络支持使使用笔记本本或其他移移动设备的的漫游用户户，所以精精确的密码码策略是增增加一个安安全级别，，这可以确确保工作站站只被授权权人使用。。10.4.2用户认证和和口令控制制1.WEP（WiredEquivalentPrivacy）加密配置置WEP加密配置是是确保经过过授权的WLAN用户不被窃窃听的验证证算法，是是IEEE协会为了解解决无线网网络的安全全性而在802.11中提出的解解决办法。。10.4.3数据加密2.无线网络加加密技术之之WPA-PSK(TKIP)无线网络最初初采用的安全全机制是WEP(有线等效私密密)，但是后来发发现WEP是很不安全的的，802.11组织开始着手手制定新的安安全标准，也也就是后来的的802.11i协议。但是标标准的制定到到最后的发布布需要较长的的时间，而且且考虑到消费费者不会因为为为了网络的的安全性而放放弃原来的无无线设备，因因此Wi-Fi联盟在标准推推出之前，在在802.11i草案的基础上上，制定了一一种称为WPA(Wi-FiProctedAccess)的安全机制，，它使用TKIP(TemporalKeyIntegrityProtocol:临时密钥完整整性协议)，它使用的加加密算法还是是WEP中使用的加密密算法RC4，所以不需要要修改原来无无线设备的硬硬件，WPA针对WEP中存在的问题题：IV(初始化向量)过短、密钥管管理过于简单单、对消息完完整性没有有有效的保护，，通过软件升升级的方法提提高网络的安安全性。3.无线网络加密密技术之WPA2-PSK(AES)在802.11i颁布之后，Wi-Fi联盟推出了WPA2，它支持AES(高级加密算法法)，因此它需要要新的硬件支支持，它使用用CCMP(计数器模式密密码块链消息息完整码协议议)。在WPA/WPA2中，PTK的生成依赖PMK，而PMK获的有两种方方式，一个是是PSK的形式就是预预共享密钥，，在这种方式式中PMK=PSK，而另一种方方式中，需要要认证服务器器和站点进行行协商来产生生PMK。IEEE802.11所制定的是技技术性标准,Wi-Fi联盟所制定的的是商业化标标准,而Wi-Fi所制定的商业业化标准基本本上也都符合合IEEE所制定的技术术性标准。WPA(Wi-FiProtectedAccess)事实上就是由由Wi-Fi联盟所制定的的安全性标准准,这个商业化标标准存在的目目的就是为了了要支持IEEE802.11i这个以技术为为导向的安全全性标准。而而WPA2其实就是WPA的第二个版本本。WPA之所以会出现现两个版本的的原因就在于于Wi-Fi联盟的商业化化运作。10.5无线线网络设备10.5.1无线网卡目前，常见的的无线网卡大大多为PCMCIA、PCI和USB三种类型。无线网卡是终终端无线网络络的设备，是是无线局域网网的无线覆盖盖下通过无线线连接网络进进行上网使用用的无线终端端设备。具体体来说无线网网卡就是使你你的电脑可以以利用无线来来上网的一个个装置，但是是有了无线网网卡也还需要要一个可以连连接的无线网网络，如果你你在家里或者者所在地有无无线路由器或或者无线AP的覆盖，就可可以通过无线线网卡以无线线的方式连接接无线网络可可上网。1.无线网卡标准准上区分无线网卡按无无线标准可定定为IEEE802.11b、IEEE802.11a、IEEE802.11g。在频频段段上上来来说说802.11a标准准为为5.8GHz频段段，，802.11b、802.11g标准准为为2.4GHz频段段。。从从传传输输速速率率上上来来说说802.11b使用用了了DSSS（直直接接序序列列扩扩频频））或或CCK（补补码码键键控控调调制制）），，传传输输速速率率为为11Mbps，而而802.11g和802.11a使用用相相同同的的OFDM（正正交交频频分分复复用用调调制制））技技术术，，使使其其传传输输速速率率是是b的5倍，，也也就就是是54Mbps。兼容容上上来来说说802.11a不兼兼容容802.11b，但但是是可可以以兼兼容容802.11g，而而802.11g和802.11b两种种标标准准可可以以相相互互兼兼容容使使用用，，但但在在使使用用时时仍仍需需注注意意，，802.11g的设设备备在在802.11b的网网络络环环境境下下使使用用只只能能使使用用802.11b标准准，，其其数数据据数数率率只只能能达达到到11Mbps。2.无线线网网卡卡接接口口上上区区分分图10-2PCI接口口无无线线网网卡卡图图10-3PCMICA接口口网网卡卡图10-4USB无线线网卡卡图10-5MINI-PCI无线线网网卡卡3.无线线网网卡卡网网络络制制式式上上区区分分无线线上上网网卡卡它它是是目目前前无无线线广广域域通通信信网网络络应应用用广广泛泛的的上上网网介介质质。。目目前前，，由由于于我我国国只只有有中中国国移移动动的的GPRS和中中国国联联通通的的CDMA(1X)两种种网网络络制制式式，，所所以以常常见见的的无无线线上上网网卡卡就就包包括括CDMA无线线上上网网卡卡和和GPRS无线线上上网网卡卡两两类类。。另另外外还还有有一一种种CDPD无线线上上网网卡卡。。（1）CDMA无线线上上网网卡卡CDMA(CodeDivisionMultipleAccess，码码分分多多址址)无线线上上网网卡卡是是针针对对中中国国联联通通的的CDMA网络络推推出出来来的的上上网网连连接接设设备备。。CDMA允许许所所有有的的使使用用者者同同时时使使用用全全部部频频带带，，并并且且把把其其他他使使用用者者发发出出的的讯讯号号视视为为杂杂讯讯，，完完全全不不必必考考虑虑到到讯讯号号碰碰撞撞(collision)的问问题题。。中国国联联通通CDMA1000清华华同同方方TFCDMA6000雅美美达达CDMA上网网卡卡（2）GPRS无线线上上网网卡卡GPRS上网网卡卡是是针针对对中中国国移移动动的的GPRS网络络推推出出来来的的无无线线上上网网设设备备。。GPRS的英英文文全全称称为为““GeneralPacketRadioService””，中中文文含含义义为为““通通用用分分组组无无线线服服务务””，，它它是是利利用用““包包交交换换””（（Packet-Switched）的的概概念念所所发发展展出出的的一一套套无无线线传传输输方方式式。。所所谓谓的的包包交交换换就就是是将将Date封装装成成许许多多独独立立的的封封包包，，再再将将这这些些封封包包一一个个一一个个传传送送出出去去，，形形式式上上有有点点类类似似寄寄包包裹裹，，采采用用包包交交换换的的好好处处是是只只有有在在有有资资料料需需要要传传送送时时才才会会占占用用频频宽宽，，而而且且可可以以以以传传输输的的资资料料量量计计价价，，这这对对用用户户来来说说是是比比较较合合理理的的计计费费方方式式，，因因为为像像Internet这类的数据传传输大多数的的时间频宽是是间置的。（3）CDPD无线上网卡CDPD（蜂窝数字分分组数据-CellularDigitalPacketData）采用分组数数据方式，是是目前公认的的最佳无线公公共网络数据据通信规程。。它是建立在在TCP/IP基础上的一种种开放系统结结构，将开放放式接口、高高传输速度、、用户单元确确定、空中链链路加密、空空中数据加密密、压缩数据据纠错和重发发和运用世界界标准的IP寻址模式无线线接入有力的的结合在一起起，提供同层层网络的无缝缝连接、多协协议网络服务务。CDPD具有速度快（（19.2kbps），数据安全全性高等特点点，它支持用用户越区切换换和全网漫游游、广播和群群呼，支持移移动速度达100km/h的数据用户，，可与公用有有线数据网络络互联互通。。10.5.2无线网桥WirelessBridge无线网桥（WirelessBridge）的功能在于于提供两个点点之间通信的的无线链路，，可以使用两两个或多个无无线网桥将彼彼此分开的局局域网连接在在一起。如图图10-6所示是一款艾艾克赛尔AX9400EDU系列产品。图10-6无线网桥10.5.3天线无线网络互连连需要配合使使用天线（Antenna）。根据天线线的功能特性性，可以分为为定向天线，，全向天线和和扇区天线，，分别适合点点对点，点对对多点和区域域覆盖使用。。如图10-7所示是一款家家用无线网络络天线。10.5.4AP接入入点AP（AccessPoint）一般俗称为为网络桥接器器，顾名思义义即是当作传传统的有线局局域网络与无无线局域网络络之桥梁，因因此任何一台台装有无线网网卡之PC均可透过AP去分享有线局局域网络甚至至广域网络之之资源。除此此之外，AP本身又兼具有有网管之功能能，可针对接接有无线网络络卡之PC作必要之控管管。如图10-8是一款WAB102无线AP接入点。10.6无无线网络的的安全缺陷与与解决方案10.6.1无线网络的安安全缺陷1容易侵入无线局域网非非常容易被发发现，为了能能够使用户发发现无线网络络的存在，网网络必须发送送有特定参数数的信标帧，，这样就给攻攻击者提供了了必要的网络络信息。入侵侵者可以通过过高灵敏度天天线从公路边边、楼宇中以以及其他任何何地方对网络络发起攻击而而不需要任何何物理方式的的侵入。因为为任何人的计计算机都可以以通过自己购购买的AP，不经过授权权而连入网络络。很多部门门未通过公司司IT中心授权就自自建无线局域域网，用户通通过非法AP接入给网络带带来很大安全全隐患。如果果你能买到Yagi外置天线和3-dB磁性HyperGain漫射天线硬盘盘，拿着它到到各大写字楼楼里走一圈，，你也许就能能进入那些大大公司的无线线局域网络里里，做你想要要做的一切。。或者再简单单一点，对于于那些防范手手段差的公司司来说，用一一块802.11b无线网卡也可可以进入他们们的网络——这种事时常在在美国发生。。3恶意攻击除通过欺骗帧帧进行攻击外外，攻击者还还可以通过截截获会话帧发发现AP中存在的认证证缺陷，通过过监测AP发出的广播帧帧发现AP的存在。然而而，由于802.11没有要求AP必须证明自己己真是一个AP，攻击者很容容易装扮成AP进入网络，通通过这样的AP，攻击者可以以进一步获取取认证身份信信息从而进入入网络。在没没有采用802.11i对每一个802.11MAC帧进行认证的的技术前，通通过会话拦截截实现的网络络入侵是无法法避免的。10.6.2无线线网络安全防防范措施1、隐藏服务务设定标识（（SSID））我们购买一个个无线路由器器后，默认的的SSID一一般都和该路路由器的品牌牌相关联，黑黑客可以轻松松通过SSID知道路由由器品牌。我我们可以在无无线路由的管管理界面上，，修改这个SSID，改改成自己喜欢欢的名字，这这样就在一定定程度上隐蔽蔽无线路由。。2、修改用户户名和密码一般路由器或或中继器设备备制造商为了了便于用户设设置这些设备备建立起无线线网络，都提提供了一个管管理页面工具具，用来设置置该设备的网网络地址以及及帐号等信息息。然而在设设备出售时，，制造商给每每一个型号的的设备提供的的默认用户名名和密码都是是一样的，如如果没有修改改设备的默认认的用户名和和密码，就给给黑客们提供供了有机可乘乘。他们只要要通过简单的的扫描工具很很容易就能找找出这些设备备的地址并尝尝试用默认的的用户名和密密码去登陆管管理页面，如如果成功则立立即取得该路路由器/交换换机的控制权权。3、无线网络络加密加密可以使得得没有密钥的的人无法登录录到你的网络络上来，一般般无线路由都都提供两种加加密标准：无无线对等协议议（WEP））和Wi-Fi保护接入入（WPA））。WEP要要比WPA老老，但是不如如WPA安全全。目前破解解“无线路由由器密码”，，指的就是破破解WEP密密码。所以，，采用WPA会更安全些些，起码给黑黑客制造更多多的麻烦。4、缩小IP地址范围当计算机连接接到无线网络络的时候，无无线路由器通通常会分给一一个IP地址址，用他来浏浏览网页或连连接外部互联联网。通常情情况下，无线线路由器会给给连接到无线线网络中来的的每一台机器器分配一个IP，缩小IP地址范围围，就可以限限制连接到无无线网络中计计算机的数量量。理想的情情况下，假如如我们网络中中的计算机使使用了所有IP地址的话话，无线路由由器就不会为为入侵者再分分配IP地址址了。5、设置MAC地址过滤滤在Windows系统中中点选“开始始菜单”，然然后选“运行行”，弹出的的对话框中输输入“cmd”，回车车后会出现命命令行窗口。。在命令行窗窗口中输入ipconfig/all。寻寻找名为“PhysicalAddress”的这一行行，其后所显显示的地址即即为该设备的的MAC地址址。每一个网网络设备都有有唯一的被称称作MAC地地址的ID。。这样可以在在无线路由器器上设定一个个范围的MAC地址，不不属于这个范范围的一律拒拒之门外。10.6.3无线线网络安全应应用实例下面以以D-Link无线路路由器器说明明无线线局域域网络络的安安全配配置，，D-Link支持以以下安安全机机制。。支持远远程管管理。。支持64/128(802.11G）位WEP无线加加密，，密码码支持持HEX/ASCII双模式式。提供使使用者者自订订的访访问控控制列列表（（ACL）机制制，支支持等等过滤滤功能能。支持WPA加密功功能（（WPATLS/TKIP）。认证（（Authentication）的目目的是是确认认对方方身份份的合合法性性，以以免与与身份份不明明的对对象沟沟通，，泄漏漏了重重要的的机密密。也也就是是双方方进行行通信信之前前，必必须先先经过过认证证的程程序。。D-Link有支持持的认认证（（加密密）方方有4种。1WEP加密WEP是一种种对称称性的的加密密技术术，用用来加加密在在WLAN上传送送的资资料，，为资资料保保密提提供了了一定定的安安全性性。WEP必须有有相同同WEPkey的双方方（TX及RX）才可可互相相听得得懂。。D-Link支持了了两种种层级级的WEP加密方方式，，分别别为64位加密密和128位加密密，越越长的的加密密代表表越安安全。。可以以选择择启用用/禁用WEP加密功功能，，在默默认情情况下下，WEP加密功功能是是禁用用的。。WEP密码可可以轻轻易地地变更更无线线加密密设置置以维维护一一个安安全的的网络络。方方法很很简单单，只只要选选择使使用于于加密密网络络上的的无线线通信信资料料的指指定密密钥值值即可可。在在64位WEP加密下下，必必须输输入10个HEX数字或或是5个ASCII码。在在128位WEP加密下下，必必须输输入26个HEX数字或或是13个ASCII码（HEX数字范范围为为0-9和A-F）。2.802.lx安全协协议它是利利用凭凭证方方式认认证的的无线线网络络的安安全机机制。。安全全模式式密码码选择择加密密的方方式为为64bit或128bit。对于于802.lx的设置置主要要有以以下几几项：：RADIUS服务器器IP地址。。输入入RADISU服务器器的IP地址，，供802.lx封包使使用。。RADIUS端口。。RADISU服务器器所使使用的的通信信端口口，默默认标标准802.lxRADISU服务器器通信信端口口为1812。RADIUS密码。。RADIUS服务器器上所所设置置的sharedKey，此处处必须须设置置相同同的sharedKey，D-Link才可与与RADIUS服务器器验证证沟通通。3.WPA-PSK密码模模式预先共共享密密钥（（WPA-PSK），只只需要要在D-Link吐上输输入单单一密密码。。只要要密码码相符符，客客户端端便会会获得得无线线网络络的存存取权权限。。与WPA不同的的是，，使用用WPA-PSK加密是是不需需要RADIUS服务器器做认认证的的，只只要在在此输输入密密钥以以供认认证使使用即即可，，可设设置的的密钥钥长度度为8~64个字字符符（（至至少少8个字字符符））。。当当然然，，不不管管选选择择了了以以上上何何种种的的认认证证（（加加密密））方方式式，，相相对对使使用用者者的的无无线线网网卡卡也也必必须须支支持持才才行行。。密密码码模模式式D-Link所支支持持的的WPA-PSK密码码模模式式为为HEX（十十六六进进制制数数字字））及及ASCII码。。使使用用者者可可以以变变更更密密码码模模式式以以符符合合现现有有的的无无线线网网络络设设置置或或是是自自定定义义自自己己的的无无线线网网络络设设置置。。此此处处为为输输入入WPA-PSK加密密所所使使用用的的密密码码；；若若密密码码模模式式选选择择为为HEX的话话，，输输入入64个0~9和A~F的十十六六进进制制数数字字，，若若密密码码模模式式选选择择为为ASCII码的的话话，，输输入入8~63个ASCII码。。在在无无线线网网卡卡上上的的密密码码设设置置必必须须与与此此处处相相同同。。4.WPAWPA以802.lx和延延伸伸认认证证协协议议（（EAP）作作为为其其认认证证机机制制的的基基础础。。认认证证机机制制是是由由使使用用者者提提供供某某种种形形式式的的证证明明，，然然后后存存取取网网络络并并以以该该证证明明来来对对照照合合法法使使用用者者数数据据库库（（RADIUS服务务器器））进进行行检检查查。。只只要要进进入入网网络络，，就就必必须须通通过过这这样样的的认认证证过过程程。。D-Link支持持WPA-EAP及WPA-TMP。所所以以在在设设置置WPA之前前，，必必须须已已安安装装并并设设置置好好RADIUS服务务器器（（如如Windows2000Server），，以以供供D-Link欣连连接接设设置置使使用用。。主主要要有有以以下下几几项项：：RADIUS服务务器器IP地址址。。输输入入RADISU服务器的IP地址，供802.lx封包使用。RADIUS端口。RADISU服务器所使用用的通信端口口，默认标准准802.lxRADISU服务器通信端端口为1812。RADIUS密码。RADIUS服务器上所设设置的sharedKey，此处必须设设置相同的sharedKey，D-Link才可与RADIUS服务器验证沟沟通。以下是WEP的加密设置实实例SSID：可自行设置置此无线接入入点的名称，，在搜寻基站站时较好辨识识，默认为default，可以修改为为DLINK。频道：无线接接入点目前使使用的频道，，默认为6，目前采用的的共有11个频道供切换换，若无线信信号弱或收不不到信号时，，可切换使用用其他频道来来改善。安全模式：选选择WEP加密分为WEP、802.lx、WPA-PSK和WPA共4种，大部分所所使用的加密密为WEP。WEP加密：选择64bit。密码模式：选选择HEX。密码l：输入HELLO123。以上范例以以HEX密钥类型为例例，在“密码码1”文本框中输入入10个字符，可包包括0~9或A~F。在“密码1”到“密码4”文本框中可输输入不同的加加密密码，方方便切换使用用以确保无线线网络的安全全性，必须注注意的是计算算机端无线网网卡的加密必必须选择相同同字段且输入入相同密码才才能通过认证证。案例实现1．无线网络安安全分析由于无线局域域网自身的特特点，它的无无线信号很容容易被发现。。入侵者只需需要给电脑安安装无线网卡卡以及无线天天线就可以搜搜索到附近的的无线局域网网，获取SSID、信道、是否否加密等信息息。很多家用用无线局域网网一般不会进进行相应的安安全设置，很很容易接入他他人的无线网网络。而且更更糟糕的是，，“蹭网卡””的出现，可可以捕捉方圆圆几公里甚至至几十公里的的无线信号，，而且其相配配套的破解软软件，会很容容易破解简单单的加密方式式，而获得网网络使用权。。此外，由于无无线局域网不不对数据帧进进行认证操作作，这样，入入侵者可以通通过欺骗帧去去重新定向数数据流，搅乱乱ARP缓存表(表里的IP地址与MAC地址是一一对对应的)。入侵者可以以轻易获得网网络中站点的的MAC地址，例如，，通过NetworkStumbler软件就可以获获取信号接收收范围内无线线网络中的无无线网卡的MAC地址，而且可可以通过MAC地址修改工具具来将本机的的MAC地址改为无线线局域网合法法的MAC地址，或者通通过修改注册册表来修改MAC地址。具体见书P2679、静夜夜四无无邻，，荒居居旧业业贫。。。12月月-2212月月-22Tuesday,December13,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。19:35:1419:35:1419:3512/13/20227:35:14PM11、以我独独沈久，，愧君相相见频。。。12月-2219:35:1419:35Dec-2213-Dec-2212、故人江江海别，，几度隔隔山川。。。19:35:1419:35:1419:35Tuesday,December13,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2219:35:1419:35:14December13,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。13十十二二月月20227:35:14下下午午19:35:1412月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月227:35下午午12月-2219:35December13,202216、行动出出成果，，工作出出财富。。。2022/1