项目7配置与维护无线局域网安全（知识准备）

知识准备项目7配置与维护无线局域网安全目录CONTENTS.无线局域网面临的威胁01SSID无线加密技术0203无线AP与无线路由器04项目7配置与维护无线局域网安全WLAN，WirelessLocalAreaNetwork，1997年6月IEEE802.11标准正式颁布，具体如图所示（1）无线局域网发展项目7配置与维护无线局域网安全01无线局域网面临的威胁项目7配置与维护无线局域网安全01无线局域网面临的威胁（2）无线局域网安全隐患序号安全隐患描述1802.11身份认证缺陷1.默认开放系统认证：任何站点都可加入BSS（BasicServiceSet基本服务集），可跟AP（AccessPoint接入点）通信，能听到所有未加密的数据，相当于没提供认证；2.共享密钥认证：采用的请求响应认证机制，容易被伪造2AP和无线终端认证脆弱AP与无线终端进行通信采用SSID（服务集标识）标识不同的网络，AP一般都会采用广播SSID的方式方便无线客户端识别和接入无线局域网，很容易被窃听3无线传输介质无线传输容易被窃听；容易受到其他蓝牙设备、微波炉等的信号干扰4WEP加密方式WEP加密方式设计相对简单，是基于挑战与应答的认证协议和加密协议，在设计上存在一些不足，如认证机制过于简单，加解密采用同一个密钥；单向认证，只能是无线网络设备认证客户端；采用RC4加密算法存在“弱密钥”问题；初始化向量只有24位，重复出现的几率高WLAN采用无线介质实现网络连接和数据通信，在接入认证、访问控制、数据加密等方面存在很大隐患，容易引发安全问题，具体如表所示。（3）无线局域网安全威胁

序号安全威胁描述1窃听非恶意窃听：又称为WLAN

发现，通过

inSSIDer

等

WLAN

发现工具软件搜索开放的WLAN信号，以获取

SSID、信道、加密方式等。恶意窃听：在未授权情况下，使用协议分析工具拦截

WLAN

信号，获取数据，造成信息泄露，属于违法行为2AP和无线终端认证脆弱非法接入：企业内部员工无意识情况下私自安装

AP，而这些

AP

都是开放的，SSID容易被获取，造成安全漏洞，可能出现中间人攻击设置不当：由于技术缺陷或安全意识不够，管理人员未对

AP

进行恰当的设置，如采用默认设置，忽略了

WLAN

的安全设置，让WLAN

在没有加密的条件下工作客户不当连接：企业内部合法用户与外部AP

连接，相当于合法用户与非法用户连接，容易造成信息泄露3Ad-Hoc连接为了连接方便，无线客户端间建立点到点的连接（Ad-Hoc），建立无线对等网络，则该网络中共享的资源可以被与其内计算机相连的客户获取，造成信息泄露项目7配置与维护无线局域网安全01无线局域网面临的威胁服务集标识即网络名称用来区分不同的无线网络最多可以有32个字符BSSID（基本服务集标识）ESSID（扩展服务集标识），即SSID为接入点的MAC地址不能被修改可根据要求修改项目7配置与维护无线局域网安全02SSID序号名称英文全称中文含义说明1WEPWiredEquivalentPrivacy有线对等协议是加密能力最弱的一种,采用RC4流密码算法，使用相同的密钥对所有数据加密，增加了密钥被破解的风险，是最早的无线网络安全协议2WPAWi-FiProtectedAccessWi-Fi保护接入改良的密钥管理技术，支持TKIP（TemporalKeyIntegrityProtocol临时密钥完整性协议）加密；增加了消息完整性检查功能来防止数据包伪造；实现复杂，需要一台RADIUS(RemoteAuthenticationDialInUserService，远程访问拨号用户服务)服务器来分发和管理密钥3WPA2Wi-FiProtectedAccess2第二代Wi-Fi访问保护支持AES（AdvancedEncryptionStandard高级加密标准）加密，非法接入难；通过4次握手生成会话秘钥，确保每个会话之间的数据加密具有唯一性，减少密钥（128位）被破解的风险；支持WPA2-PSK（基于预共享密钥的个人模式）和WPA2-Enterprise（基于802.1X认证的企业模式）两种认证方式4WPA3Wi-FiProtectedAccess3第三代Wi-Fi访问保护支持SAE（SimultaneousAuthenticationofEquals密码认证密钥管理协议），提供192位加密密钥，采用密码认证交换（PAKE）算法，提高了密码保护和抵抗离线字典攻击能力项目7配置与维护无线局域网安全02无线加密技术，；。AccessPoint，简称AP，俗称“热点”一体设备纯接入设备通过路由交换接入一体设备，执行接入和路由工作，是无线网络的核心只负责无线客户端的接入，用于无线网络扩展，以扩大无线覆盖范围无线路由器（WirelessRouter）是用于用户上网、带有无线覆盖功能的路由器。具有如DHCP服务、Nat、MAC地址过滤、动态域名等网络管理功能。信号范围一般为半径50米，有的可达到半径300米。项目7配置与维护无线局域网安全04无线AP与无线路由器无线路由器与无线AP的区别如表所示。设备名称功能接入应用无线AP（“瘦”AP）将有线网络转换为无线网络；或是WLAN与LAN之间的桥梁；不能直接连通上网；可进行集中管理交换机或路由器上，接入无线终端与原网络处于同一子网；应用于中