网络安全技术与实训（微课版）（第5版） 课件 第9章 无线局域网安全

第9章无线局域网安全《网络安全技术与实训》（微课版）（第5版）主讲人：课程引入你知道无线局域网有那些安全隐患吗？家里的无线网安全不安全呢？你的无线密码设置的是什么？我们生活中有哪些无线终端？学习要点（思政要点）等保2.0对移动互联这样解释：采用无线通信技术将移动终端接入有线网络的过程。在技术体系里分为了三个部分：安全物理环境、安全区域边界、安全计算环境。安全物理环境方面，主要是无线接入点的物理位置。安全区域边界是一大重点，它涉及边界防护、访问控制和入侵防范。安全计算环境：在移动终端管控中，“移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制，比如远程擦除、远程锁定等”。学习要点（思政要点） 了解无线局域网存在的威胁（安全意识） 掌握基于无线局域网的攻击与防范（工匠精神）了解基于无线局域网的安全机制和配置（精益求精）了解基于无线的虚拟专用网（严谨认真）33第9章无线局域网安全无线路由器的安全9.3无线VPN39.4无线安全机制9.2无线网络概述9.19.1无线网络概述无线局域网是计算机网络与无线通信技术相结合的产物。无线局域网（WirelessLocal-AreaNetwork，WLAN）在不采用传统电缆线的同时，依然能够提供传统有线局域网的所有功能，网络所需的基础设施不需要再埋在地下或隐藏在墙里，网络却能够随着实际需要移动或变化，因此无线局域网技术具有传统局域网无法比拟的灵活性。无线网络有别于线缆的密封式传输，它的信号完全暴露在空中，只要在信号到达的范围就可以接收，因此无线网络的安全性成为应用上最严峻的挑战。01常见的拓扑与设备02无线局域网常见的攻击03WEP协议的威胁9.1无线局域网概述9.1.1常见的拓扑与设备9.1无线网络概述常见的拓扑与设备IEEE802.11定义了无线网的基本设备构成，它包括移动终端和无线接入点（AccessPoint，AP）。对于无线局域网络而言，还包括无线网桥、无线宽带路由器、天线等。部署一个WLAN可以采用以下几种基本的拓扑结构：对等拓扑、基本拓扑和扩展拓扑。对等拓扑对等拓扑由独立式基本服务组（IndependentBasicServiceSet，IBSS）组成。构建对等拓扑时用的网络设备是无线网卡，如图所示。对等拓扑当所有的通信移动终端都以无线进行连接，而且在该组合中并无AP连接的情况下，称之为IBSS。这样的小型网络一般用于计算机之间的信息交流，简单地说，就是点对点（PeerToPeer）的传输模式，常称之为Ad-hoc模式。这时所有无线网卡的工作模式要设定为Ad-hoc模式。在这种模式下，IBSS内的无线移动终端并不能作为传输中枢，也就是说一台移动终端要与另一台通信时，必须在其通信距离内直接无线连接，而且不能经过其他移动端转接。Ad-hoc模式跟一般笔记本电脑或数字个人助理（PersonalDigitalAssistant，PDA）所使用的红外线无线传输模式在概念上相当类似，可以说是最基本的通信模式。基本拓扑基本拓扑由基本服务组（BasicServiceSet，BSS）组成。构建基本拓扑的无线网络设备是无线网卡和无线接入点。AP相当于有线局域网中的集线器，有些AP可以提供网桥的功能，部署安全的策略，如图所示。基本拓扑用一台无线接入点当作彼此之间通信协调上的枢纽，可以把这样的通信方式想象成家里有台无线电话子母机，手机与手机之间的对话，都必须靠那台电话基地台作为通信的中枢，这样就比较容易理解了。在这样的网络架构下，任何一台移动终端要与其他移动终端传递信息，都必须经由无线存取点AP，因此比起IBSS架构，在频宽的利用率上只有其一半而已。然而，由于无线接入点（AP）可以扮演资料缓冲区（DataBuffer）的角色，也可以作为无线网络的空中交通协调者，即担任基地台的无线接入点（AP）负责了整个无线网络信息的交换，因此可以构建较大的无线局域网。在这种应用架构下，每个无线网卡的工作模式都要设定为Infrastructure。扩展拓扑扩展拓扑由扩展服务组（ExtendedServiceSet，ESS）组成。构建扩展拓扑使用的网络设备有无线网卡或普通网卡（接入局域网）、无线AP，在这个架构中无线AP担任网桥的角色，如图所示。扩展拓扑两个或两个以上的BSS可以通过无线网相连，构成一个ESS。现在很多的无线AP在支持桥接的同时也能支持AP功能，从而把多个无线网络通过无线的方式再连接到一起，组成ESS。通常也把这样的结构叫作点对点的桥接或点对多点的桥接。9.1.2无线局域网常见的攻击9.1无线网络概述无线局域网常见的攻击无线网络的许多攻击在本质上与有线网络类似，攻击方式主要概括为3种。第一种是对于Wi-Fi节点的渗透，通过密码破解等手段进入目标无线网中；第二种为干扰正常的无线局域网，使其无法正常工作；第三种是Wi-Fi钓鱼攻击。一般来说，入侵者入侵一个无线网络时大体采取以下步骤。1.发现目标2.查找漏洞3.破坏网络无线局域网常见的攻击1．发现目标针对无线网络制定了成千上万现有的识别与攻击的技术和实用程序，黑客也相应地拥有许多攻击无线网络的方法，如NetworkStumbler和Kismet。NetworkStumbler是基于Windows的工具，可以非常容易地发现一定范围内广播出来的无线信号，还可以判断哪些信号或噪声信息可以用来作为站点测量，但是它无法显示那些没有广播SSID的无线网络。对于无线安全而言，关注AP常规性的广播信息是非常重要的。Kismet会发现并显示没有被广播的那些SSID，而这些信息对于发现无线网络是非常关键的。无线局域网常见的攻击1．发现目标针对无线网络制定了成千上万现有的识别与攻击的技术和实用程序，黑客也相应地拥有许多攻击无线网络的方法，如NetworkStumbler和Kismet。NetworkStumbler是基于Windows的工具，可以非常容易地发现一定范围内广播出来的无线信号，还可以判断哪些信号或噪声信息可以用来作为站点测量，但是它无法显示那些没有广播SSID的无线网络。对于无线安全而言，关注AP常规性的广播信息是非常重要的。Kismet会发现并显示没有被广播的那些SSID，而这些信息对于发现无线网络是非常关键的。无线局域网常见的攻击2．查找漏洞攻击者发现目标无线网络后，就开始分析目标网络中存在的弱点。如果目标网络关闭了加密功能（这是最简单的情况），攻击者可以非常容易地对任何无线网络连接的资源进行访问。如果目标网络启动了WEP加密功能，攻击者就需要识别出一些基本的信息。例如，利用NetworkStumbler或者其他的网络发现工具，识别出SSID、MAC地址、网络名称，以及其他任何可能以明文形式传送的分组。如果搜索结果中含有厂商的信息，黑客甚至可以破坏无线通信网络上使用的默认密钥。无线局域网常见的攻击3．破坏网络发现了目标网络的弱点以后，黑客就开始想尽办法去破坏网络。一般对无线网络的攻击主要包含窃听、欺骗、接管和拒绝服务等，具体可以分为以下4个方面。（1）窃听（2）欺骗和非授权访问（3）网络接管与篡改（4）拒绝服务攻击无线局域网常见的攻击（1）窃听攻击者通过对传输介质的监听非法地获取传输的信息。窃听是对无线网络最常见的攻击方法。（2）欺骗和非授权访问“欺骗”是指攻击者装扮成一个合法用户非法地访问受害者的资源，以获取某种利益或达到破坏目的。（3）网络接管与篡改“网络接管”是指接管无线网络或者会话过程。常用的接管方法有两种。一种是将合法用户的IP地址与攻击者的MAC地址绑定，另一种是攻击者部署一个发射强度足够高的AP，可以导致终端用户无法区别出哪一个是真正使用的AP（4）拒绝服务攻击在无线网络中，DoS威胁包括攻击者阻止合法用户建立连接，以及攻击者通过向网络或指定网络单元发送大量数据来破坏合法用户的正常通信。9.1.3WEP协议的威胁9.1无线网络概述WEP协议的威胁在IEEE802.11标准中，有线等效保密（WiredEquivalentPrivacy，WEP）协议是一种保密协议，主要用于无线局域网（WLAN）中两台无线设备间对无线传输数据进行加密。它是所有经过Wi-Fi认证的无线局域网产品所支持的一种安全标准。WEP特性使用了RSA数据安全性公司开发的RC4算法。目前，大部分无线网络设备都采用该加密技术，一般支持64/128位WEP加密，有的可支持高达256位WEP加密。WEP协议的威胁WEP协议存在许多弱点，可以让入侵者较容易地破解。它主要存在以下几个问题。①由于算法的原因，当入侵者捕获数据包后，可以通过工具计算出密钥。②WEP协议中没有具体地规定何时使用不同的密钥。③一般厂商都会设置默认的密钥，而用户一般不修改，所以只要入侵者得到密钥列表就可以轻松入侵网络。④对于密钥如何分发，如何在泄露后更改密钥，如何定期地实现密钥更新、密钥备份、密钥恢复等问题，WEP协议都没有解决，把这个问题留给各大厂商，无疑会造成安全问题。WEP协议的威胁针对上述问题，建议采取下列方法，来保障WEP协议更安全。①使用多组WEP密码（KEY）。使用一组固定WEP密码，将会非常不安全，使用多组WEP密码会提高安全性，然而WEP密码是保存在无线设备的Flash中的，所以只要网络上的任何一个设备被控制，那网络就无安全性可言了。②使用最高级的加密方式，当前的加密技术提供64位和128位加密方法，应尽量使用128位加密，这样WEP加密会将资料加密后传送，使得窃听者无法知道资料的真实内容。③定期更换密码。33第9章无线局域网的安全无线路由器的安全9.3无线VPN39.4无线安全机制9.2无线网络概述9.19.2无线安全机制事实上，无线网络受大量安全风险和安全问题的困扰，如来自网络用户的进攻、未认证的用户获得存取权、来自公司的窃听泄密等。因此，如果没有有效的安全机制来保障，无线局域网很容易成为整个网络的入侵入口。到目前为止，无线网络安全机制主要有访问控制和信息保密两部分，可以通过SSID、MAC地址过滤、WEP、WPA等技术来实现，而IEEE802.11i和WAPI则在原有的基础上提供了更加安全的措施。01服务集标识符02MAC地址过滤03WEP安全机制04WPA安全机制05WAPI安全机制9.2无线安全机制9.2.1服务集标识符服务集标识符（ServiceSetID，SSID）被称为第一代无线安全，它会被输入AP和客户端中，只有客户端的SSID

与AP一致时才能接入AP中。当网络中存在多个无线接入点AP时，可以设置不同的SSID，并要求无线工作站出示正确的SSID才允许其访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。这在一定程度上限制了非法用户的接入，但是IEEE标准要求广播SSID，这样所有覆盖在范围之内的无线终端都可以发现AP的SSID。一般的策略是在产品中关闭SSID的广播，防止无关人员获取AP的信息。但是很多无线嗅探器工具可以很容易地在WLAN数据中捕获有效的SSID，因此单靠SSID限制用户接入只能提供较低级别的安全。9.2.2

MAC地址过滤MAC地址过滤属于硬件认证，而不是用户认证。它针对每个无线工作站的网卡都有唯一的物理地址，在AP中手动维护一组允许访问的MAC地址列表，实现物理地址过滤。MAC地址过滤方案要求AP中的MAC地址列表必须随时更新，可扩展性差，无法实现机器在不同AP之间的漫游，而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。9.2.3WEP安全机制WEP在链路层采用RC4对称加密技术，用户的密钥只有与AP的密钥相同时才能获准存取网络的资源，从而防止未授权用户的监听和非法用户的访问。WEP安全机制通常会和设备里的开放系统认证或共享密钥认证这两种用户认证机制结合起来使用。9.2.3WEP安全机制开放系统认证（OpenSystemAuthentication）在明文状态下进行认证，它其实是一个空认证，即它没有验证用户或者设备。开放认证可以配置成使用WEP或者不使用，通常会选择启用WEP的开放认证方式开放系统认证如图所示。9.2.3WEP安全机制共享密钥认证（SharedKeyAuthentication）与开放系统认证类似，但是开放系统认证的认证过程不加密，而共享密钥认证使用WEP对认证过程加密，要求客户端和AP有相同的WEP密钥。共享密钥认证如图9.5所示。9.2.4

WPA安全机制为了克服WEP的不足，IEEE802.11i工作小组制定了新一代安全标准，即过渡安全网络（TransitionSecurityNetwork，TSN）和强健安全网络（RobustSecurityNetwork，RSN）。它使用两种验证方式。①802.1X及RADIUS进行身份验证（简称WPA-EAP），该方式设置比较复杂，不便于个人用户的使用。②预共享密钥（简称WPA-PSK），在AP和客户端输入主密钥（masterkey）用来作为开始的认证和编码使用，然后动态交换自动生成更新密钥，从而提高安全性。由于它的设置简单，因此非常适合于个人用户的使用。9.2.5WAPI安全机制WAPI是我国自主制定的无线安全标准，它采用椭圆曲线密码算法和对称密码体制，分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。与其他无线局域网安全体制相比，WAPI的优越性主要体现在以下4个方面：使用数字证书进行身份验证。真正实现双向鉴别，确保了客户端和AP之间的双向验证。采取集中式密钥管理，局域网内的证书由统一的AS负责管理。完善的鉴别协议，由于采取了椭圆曲线密码算法，保障了信息的完整性，安全强度高。33第9章无线局域网安全无线路由器的安全9.3无线VPN39.4无线安全机制9.2无线网络概述9.101无线路由器通用参数配置02无线路由器安全管理9.3无线路由器的安全9.3.1无线路由器通用参数配置9.3无线路由器的安全9.3无线路由器的安全目前，各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等多种手段，以保证无线网络的安全。如图所示为无线路由结构图。1．设置网络密钥Wi-Fi保护接入（Wi-FiProtectedAccess，WPA）是改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全，还增加了消息完整性检查功能来防止数据包伪造。WPA的功能是替代WEP协议。过去的无线LAN之所以不太安全，是因为在标准加密技术WEP中存在一些缺点。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。2．禁用SSID广播无线路由器一般都会提供“允许SSID广播”功能。如果不想让个人的无线网络被别人通过SSID名称搜索到，那么最好“禁止SSID广播”。禁用后的无线网络仍然可以使用，只是不会出现在其他人所搜索到的可用网络列表中。通过禁止SSID广播设置后，无线网络的效率会受到一定的影响，但以此可换取安全性的提高。3．禁用DHCPDHCP功能可在无线局域网内自动为每台计算机分配IP地址，不需要用户设置IP地址、子网掩码，以及其他所需要的TCP/IP参数。如果启用了DHCP功能，那么其他人就能很容易地使用你的无线网络。因此，禁用DHCP功能对无线网络而言很有必要。在无线路由器的“DHCP服务器”设置项下将DHCP服务器设定为“不启用”即可。4．启用MAC地址、IP地址过滤在无线路由器的设置项中，启用MAC地址过滤功能时，要注意的是，在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”这类选项。另外，如果在无线局域网中禁用了DHCP功能，那么建议为每台使用无线服务的计算机都设置一个固定的IP地址，然后将这些IP地址都输入IP地址允许列表中。启用了无线路由器的IP地址过滤功能后，只有IP地址在列表中的用户才能正常访问网络，其他人则无法访问。9.3.2无线路由器安全管理9.3无线路由器的安全无线路由器安全管理1．安全管理路由器为了保障路由器管理界面无线密码及其他配置信息的安全，请将管理员密码修改为不常见的密码。如图所示为无线路由器账号管理界面。无线路由器安全管理2．勿使用第三方管理软件使用第三方的管理软件管理路由器，可能会导致路由器功能异常、数据泄密等。请使用浏览器登录路由器Web界面来管理。3．多重无线设置防护网络安全如使用传统界面的路由器，请在无线安全设置中选择WPA-PSK/WPA2-PSK，加密算法选择AES，并设置不少于8位的密码。无线路由器安全管理4．设置无线接入控制无线接入控制是无线安全的更高级措施，设置无线接入控制后，仅允许特定的终端接入无线网络。这样，非法终端即便输入正确的无线密码，也无法连接上无线网络。无线路由器安全管理5．设置访客网络访客网络与主人网络是路由器发出的两个无线信号，两个无线网络独立开，并且访客网络可以根据需求定时开关，也可以针对访客设置相关权限，很好地保障了主人网络的安全。6．一键禁用非法终端可以经常观察路由器管理界面的终端状态，通过查看已连接设备列表与实际所连接的设备情况是否一致，来判断是否被蹭网。若有可疑设备接入了自己的网络，可以在“设备管理”中一键禁用不允许接入的设备。无线路由器安全管理7．规范使用习惯①不使用Wi-Fi万能钥匙等蹭网软件