无线局域网技术 课件 项目6　无线局域网安全保护

构建访客无线局域网主要议题无线局域网安全连接剖析无线客户端的认证方式无线机密性和完整性方法Thasbecomeagiantnetwork.#worklikeanetwork问题引入RF信号的状况、调制方法和空口管理是成功传输数据的关键无线通信的便利性也给恶意用户监听并恶意路由所传输的数据提供了方便Thasbecomeagiantnetwork.#worklikeanetwork问题引入在开放空间如何确保发送数据的安全？消息私密性认证数据完整性无线安全模型认证方式期望用户可以访问企业的涉密信息资源非期望用户不能访问企业的涉密信息资源客户端必须向客户端表明自己的身份最好方式是：拥有该设备的任何用户都能通过网络的认证数据机密性认证关系确认后，往来于该客户端的数据存在被其他设备所窃听的风险需要对这些数据进行加密：加密的秘钥可以相同也可以不相同数据机密性最好的方式：采用相同加密秘钥可以确保可信的双方能理解对方的数据数据完整性对数据进行加密可以保证其私密性，可能在途中更改了内容消息完整性检查是一种可以防范数据被篡改的安全工具入侵保护无线攻击并不会停止，并从不同角度或不同载体来发送恶意攻击操作无线欺骗伪装AP中间人攻击DNS缓存欺骗钓鱼入侵保护无线入侵防御系统wIPS(WirelessIntrusionProtectionSystem)可以监控无线行为为并与已知的签名或模式数据库进行对比定位欺诈AP入侵保护无线入侵防御系统wIPS(WirelessIntrusionProtectionSystem)可以监控无线行为为并与已知的签名或模式数据库进行对比抑制欺诈没备入侵保护无线入侵防御系统wIPS(WirelessIntrusionProtectionSystem)可以监控无线行为为并与已知的签名或模式数据库进行对比抑制欺诈没备入侵保护无线入侵防御系统wIPS(WirelessIntrusionProtectionSystem)可以监控无线行为为并与已知的签名或模式数据库进行对比抑制欺诈没备入侵保护无线入侵防御系统wIPS(WirelessIntrusionProtectionSystem)可以监控无线行为为并与已知的签名或模式数据库进行对比检测出多种无线网络攻击行为Thasbecomeagiantnetwork.#worklikeanetwork开放式认证开放式认证是一种不进行任何类型客户端认证的身份认证本质上就是客户端和AP之间进行了一些hello包的交互一般在公共场所才使用开放式认证共享秘钥认证是802.11定义的另外一种认证方法即无线等效私密性WEPWEP使用RC4密码算法来保证每个无线网络数据帧的私密性共享秘钥认证WEP除了可以作为加密工具外，还可以作为可选的认证方法认证包含如图所示的4个过程共享秘钥认证WEP密钥长度可以是40比特或104比特，加密结果比较脆弱2004年发布802.11i标准之后，WEP就被正式废除共享秘钥认证WEP长期占据市场的主旋律，客户端、AP以及控制器仍然支持WEPThasbecomeagiantnetwork.802.1X认证802.1X是一种基于端口的局域网接入控制协议，主要解决无线局域网用户的接入验证问题802.1X认证的最终目的就是确定一个端口是否可用802.1X客户端认证角色采用C/S（Client/Server）体系结构，包括三个实体是WLAN的一种增强型的网络安全解决方案认证服务器申请者认证者EAPOL帧EAP协议802.1X本身不是一个完整的认证机制，而是一个通用架构802.1X体系使用可扩展认证协议EAPEAP的封包格式如图所示EAP协议的类型可扩展性能够在有新的需求浮现时开发新的功能802.11i没有规定上层协议，流行的上层协议认证协议有四种导致不同的运营商或者企业使用不同的EAPWLAN中802.1X认证过程①用户要求接入，AP防止网络接入②加密的证明材料被发送给验证服务器③验证服务器验证用户并给予接入权④AP端口被启动，动态WEP密钥被分配给客户（加密）⑤无线客户端现在可以安全地访问普通的网络服务了CiscoLEAP与EAP-TLS在每次（重新）验证时均会生成一个WEP会话密钥新的密钥基于用户信息与会话信息RADIUS选项27提供了会话超时设置MAC地址认证MAC地址认证是一种基于端口的对用户的网络访问权限进行控制的方法MAC认证不建议单独使用可与Radius服务器结合实现MAC地址认证WAPI无线局域网鉴别与保密基础结构WAPI，针对WEP协议安全问题，是中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案本方案已由ISO/IEC授权的机构IEEE注册权威机构审查并获得认可，分配了用于WAPI协议的以太类型字段是我国目前在该领域惟一获得批准的协议。WAPIAP有独立身份，在三个元两条路上做双向认证鉴别器实体AE：为鉴别请求者在接入服务前提供鉴别的实体，驻留在AP中鉴别请求者实体ASUE：需通过鉴别服务单元进行鉴别的实体，驻留在STA中鉴别服务实体ASE：为鉴别器和鉴别请求提供相互鉴别的实体，驻留在ASU中WAPI鉴别流程AP为提供无线接入服务的WLAN设备鉴别服务器主要帮助无线客户端和无线设备进行身份认证AAA服务器主要提供计费服务WLAN安全小结不同的应用场景使用不同级别的WLAN安全措施可以根据没有安全、基本安全、增强安全等种安全措施，选择相应的组合方案没有WEP采用广播模式公共接入开放的接入40位和104位

静态密钥（WEP)SOHO基本的安全性动态密钥管理

开放的802.1X/EAP标准验证

TKIP、MIC、

AES中型、大型企业增强的安全性Thasbecomeagiantnetwork.TKIP临时密钥完整性协议TKIP是WEP的增强版本保留了WEP的基本架构和操作方式，并整合了许多新的功能TKIP作为一种应急的安全方法，现已被802.11-2012标准废除CCMP计数器模式+密码块链认证码协议CCMP是实现RSN的强制性要求RSN重点处理了WEP协议中的缺陷RSN安全机制只工作在数据链路层RSN只工作在整个网络的无线部分CCMP并非WEP的升级版本使用AES加密算法CBC-MAC来计算MIC值，使用CTR来进行数据加密安全性高，目前还无法破解TKIP与CCMP的比较主要的差别在于使用的加密算法分组长度秘钥长度P构建安全的无线局域网主要议题WPA/WPA2安全技术无线局域网接入认证课题引入802.11认证机制如何选择？从802.11安全认证机制发展历程，可以得出如下线索应该选择哪一套组合方案？考虑因素是哪种方法最好或哪种方法已经被废除？哪些认证方法与哪些加密算法兼容？802.11i协议结构WPAWPA是Wi-Fi联盟所推行的商业标准是WEP的改良版本核心加密算法TKIPWAP2完全包含了802.11i兼容WAP使用AES加密算法WPA与WPA2的比较认证方式相同，同为802.1X/EAP加密算法不同针对不同的应用领域有不同的认证方法WAP的最新进展由于WAP主要是用来解决兼容性问题的应根据不同的应用场景，选择相应的组合方案WAP可实现多种安全组合方案PSK预共用密钥模式PSK是设计给负担不起802.1X验证服务器的成本和复杂度的家庭和小型公司网络用的PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥ACS简介ACS是思科安全服务控制器的简称集身份验证、用户或管理员接入及策略控制于一体思科网络准入控制的关键组件AAA简介AAA是一个管理框架认证（Authentication）：哪些用户可以访问网络服务器授权（Authorization）：具有访问权的用户可以得到哪些服务计费