教学材料《网络安全》-第六章

6.1加固文件传输协议随着万维网和超文本传输协议(HTTP)的发展，互联网主要用来进行设备间的文件传输。文件传输最广泛的方式就是利用传输控制协议/互联网协议(TCP/IP)的部分文件传输协议(FTP)。回顾第3章中，同HTTP连接网页服务的方式类似，FTP用来连接客户端计算机和FTP服务。

可以通过三种方式利用FTP:下一页返回6.1加固文件传输协议(1)网页浏览器。不输入协议http;//的统一资源地址(URL)，而输入FTP协议(帅://)，然后是FTP服务器，如ftp;//ftp.cise.ufl.edu/pub/mirrors/(}NU，如图6-1所示。(2)FTP客户端。可以利用单独的FTP客户端，如图6-2所示。(3)命令行。可以在操作系统提示中输入命令，如图6-3所示。不单击按钮，而是利用命令，如is(列表文件)、bPt(从服务器上接收文件)和put(传输文件到服务器)。FTP服务允许设置未授权的用户传输文件，叫做匿FTP。FTP服务设置账户名为anonymous，就是允许所有人登录。虽然这种方式不常见，但FTP服务也可设置为允许匿名用户上传文件，如图6-4所示。上一页下一页返回6.1加固文件传输协议关于FTP的漏洞有很多。首先，FTP不使用加密。这就表明用户名、密码甚至文件传输都是纯文本的，攻击者都可以截获。其次，FTP传输的文件容易遭受中间人攻击，因为攻击者截获数据后可以在发送时加以修改。由于很多网站使用的是不安全的FTP升级网页，结果导致这种攻击程序成为丑化网站的主要方式。即攻击者发现网站的互联网协议(IP)地址后进行截获。一旦网站管理人登录升级网站，攻击者就截获了密码和登录信息。使用登录信息，攻击者下载站点网页到自己的计算机上，用欺骗性新闻编辑网页，然后再使用FTP在网站上发布网页。上一页下一页返回6.1加固文件传输协议降低攻击危险的一种方式就是使用安全FTP。安全FTP不是标准，而是供应商描述加密FTP传输的词语。大多数安全FTP产品使用安全套接字层(SSL)进行加密，但一些安全FTP产品的缺点是其仅在特定的FTP客户端中使用。与此不同，一些供应商提供的是运行在网页浏览器中的JavaApplet，加密和解密用SSL传输的内容。上一页下一页返回6.1加固文件传输协议当设置FTP传输的数据包过滤器(防火墙)时，必须设置规则用以支持两个独立的连接。TCP端口21是FTP的控制端口，用来执行FTP命令。TCP端口20是FTP的数据端口，用以发送和接收数据。然而，由于有两种FTP模式，因此端口20不很常用。一种是FTP积极模式，客户端从中随机选取大于1024的端口(端口N)连接FTP服务器命令端口21(第一步)。然后，客户端开始等待端口N+1，并发送FTP命令端口N+1到FTP服务器。服务器连接客户本地端口20(第二步)，然后文件开始传输(第三、四步)上一页下一页返回6.1加固文件传输协议实际上，这需要服务器返回连接客户端;另一种就是FTP消极模式，客户端两次启动与服务器的连接。当打开FTP连接时，客户端打开两个随机选择的大于1024的端口。第一个端口连接端口21(第一步)，服务器打开一个大于1024的随机端口(端口P)，发送信息命令回到客户端(第二步)。客户端启动端口N+1和端口P的连接(第三步)，传输文件(第四步)。积极和消极FTP如图6-5所示。在数据包过滤中应将服务器目的端口设为“任何”。上一页返回6.2远程登录安全在经济全球化的背景下，公司的员工可能分散在世界各地，于是远程登录系统就变得尤为重要。Window*操作系统使用各种工具设置远程登录。WindowsNT使用用户管理器进行登录，而Windows2003使用计算机管理器设置登录域。Windows2003远程登录政策确些需要远程登录的用户享有权利。一些功能，包括Called一Station一ID,Called一Station一ID,Client一IP一Address、和Tunnel一Type都有设置。事件，如财务、请求、认证和周期状态，都会被记录。

利用公共互联网进行私人传输会有很多严重的安全问题。有些技术可以保证远程传输安全，包括隧道协议、认证技术、安全传输协议和虚拟专用网络，下面将详细讨论。积极FTP和消极FTP如图6-5所示。下一页返回6.2远程登录安全6.2.1隧道协议

隧道是以另一种形式压缩数据包，建立安全传输连接的技术，如图6-6所示。原始数据包被装入“外层”，它是数据包的又一种形式。最初，隧道是用来保障基于不同协议的网络通信。例如，TCP/IP网络本来不能与AppleTalk网络通信。然而，把TCP/IP数据包压缩在AppleTalk数据包中就允许TCP/IP数据包访问AppleTalk网络。由于目前TCP/IP是默认协议，因此该技术主要用于安全方面。上一页下一页返回6.2远程登录安全为躲避攻击者，数据包被压缩成另一种形式。主要有两种安全隧道协议:点对点隧道协议(PP'PP)和第二层隧道协议(LCP)。

点对点隧道协议(PPTP)是使用最广泛的协议。它不仅是MicrosoftWindows操作系统的一部分，而且Cisco,Nortel及其他制造商的设备都支持这一协议。除了TCP/IP,PPTP还支持其他协议。PPTP如图6-7所示，该连接基于点对点协议(PPP)，是建立线路或两点间拨号连接的广泛使用的协议。客户端连接网络并接入服务器(NA幻中，NAS基本是由互联网服务供应商(ISP)提供的。与NAS的连接建立以后，另一连接是通过互联网建立在NAS和PPTP服务器之间。这一连接就如同隧道(使用TCP端口1723，进行客户端和PPTP服务器之间的通信。PPTP利用PPP加密。PPTP的一个扩展就是链路控制协议(LCP)，用以建立、设置和测试该连接。由于PPTP是windows。的一部分，也存在于一些供应商的设备中，(NAT)兼容，所以它被广泛应用。早期微软版本的PPTP存有一些漏洞，并与网络地址转换现在已被修复。上一页下一页返回6.2远程登录安全6.2.1第二层隧道协议

第二层隧道协议(L2TP)代表了PPTP功能和Cisco的第二层转发协议(L2F)的融合，最初是为弥补PPTP的漏洞而设计的。L2TP不只限于TCP/IP网络，也支持很多其他协议。与PPTP不同，L2TP不但可作为软件安装在客户端计算机上，而且还可以设置在路由器上。上一页下一页返回6.2远程登录安全6.2.3认证技术传输认证用以确保访问来自于授权用户，可以增加远程登录用户的安全级别。三种主要的认证技术类型为:IEEE802.lx、远程用户拨号认证系统(RADIU匀和终端访问控制器访问控制系统(TACACS+)上一页下一页返回6.2远程登录安全IEEE802.1x

基于电气和电子工程师协会建立的标准，IEEE802.lx是备受认可的认证标准。802.1x提供的是基于802局域网(如以太网、TokenRing和无线局域网)认证框架的IEEE标准。其使用是基于端口的认证机制，即交换机除通过端口连接网络的授权用户外，拒绝其他用户。802.1x不进行任何加密，相反是利用加密密钥为授权用户提供安全的交换路径。上一页下一页返回6.2远程登录安全如图6-8所示，支持802.1x协议的网络由三部分组成。请求者是需要安全网络登录的客户端设备，如台式计算机或个人数字助理(PDA)。请求者向作为中间设备的认证者发送请求，认证者用网络交换机或无线设备将该请求发送到认证服务器上，然后认证服务器把接受或拒绝的信息返回认证者。802.1x协议的一个优点是请求者从不直接与认证服务器连接。这就削弱了用户登录信息的认证服务被攻击的威胁。802.1x协议是基于可扩展认证协议(EAP)的，是PPP的延伸，因为EAP的一些变异可同802.1x一起使用，例如:上一页下一页返回6.2远程登录安全EAP一传输层安全(EAP一TL匀需要确认请求者的用户证书，由微软支持，包含在MicrosoftWindowsXP和Server2003中。

轻级EAP(LEAP)是Cisco支持的标准。LEAP提供基于Windo二登录用户名和密码的认证，不需要证书。EAP一隧道TLS(EAP一TTL匀支持高级认证方法，如使用令牌。

保护EAP(PEAP)类似于网页浏览器的SSL使用证书。请求者向认证服务器(通过认证者)出示证书，但不需要出示服务器的证书。一旦认证成功，认证者就为请求者建立加密隧道。

安全隧道的灵活认证(FAST)是最新的应用，可以不检查证书就设立隧道，也支持令牌。上一页下一页返回6.2远程登录安全2.远程用户拨号认证系统（RADIUS）

远程用户拨号认证系统(RADIU匀协议最初是进行中心认证和访问控制，无须每个NAS都保存授权用户名和密码，而是将请求送达RADIUS服务器，这样就建立起信息登录的用户中心数据库。上一页下一页返回6.2远程登录安全当用户要连接网络时，请求首先被发送到NAS，由它向RADIUS传播信息，如用户名和密码、连接类型和其他信息。服务器首先判断NAS本身是否允许发送请求，如果可以，RADIUS服务器就在数据库中寻找用户名称，然后通过密码判断是否允许用户登录。根据认证方式，服务器可能会返回含有随机数字的信息。NAS传播到用户计算机，必须有相应的正确值来证明用户身份。当RADIUS服务确认用户身份并允许其请求的服务，该服务器就会返回“接受”的信息到NAS。RADIUS结构的一个优点就是它具有监控功能，并支持认证和授权。连接后，RADIUS服务器在日志记录中添加账户记录，并同意请求。然后再交换类似的RADIUS信息，这样监控记录就反映了真实的情况和拒绝连接的原因。RADIUS实际上使用了两个独立的UDP端口，即端口1812用以认证和授权，端口1813用于监控上一页下一页返回6.2远程登录安全RADIUS允许计算机在集中数据库中保存所有远程服务器可共享的用户文件。这样不仅增加了安全性，而且还允许公司设立应用于单独管理站点的政策。同时拥有中心服务也更容易跟踪用户和保存网络状态。上一页下一页返回6.2远程登录安全3.终端访问控制器访问控制系统

类似于RADIUS，终端访问控制器访问控制系统(TACACS+)是传输用户名和密码信息到集中服务器的行业标准协议。集中服务器可以使TACACS+数据库或TACACS协议支持的Linux或UNIX密码文件数据库。TACACS+(及其他远程登录安全协议，如RADIU匀是为支持远程连接而设计的。在大型网络中，由于用户数据库庞大，最好是将其存储在集中服务器中。这样既节省登录设备的内存，同时也减少了因增加新用户或改变密码而升级每个登录服务的需要。TACACS+支持认证、授权和监控。TACACS+的一个缺点是，NAS和TACACS+服务间的通信是加密的，但客户端和NAS之间的通信是不加密的。由于这些传输没有被加密，信息很可能被截获。上一页下一页返回6.2远程登录安全隧道协议PPTP和L2TP提供了防止查看传输的安全机制。其他两个协议加强了隧道的功能。这就是安全壳和IPSec。下面将详细讨论。1.安全壳(SSH)

最终成为因特网主要目标之一的就是远程登录。使用Telnet程序或UNIX远程登录令，远程用户可以登录其他系统的资源。虽然Telnet和远程登录命令目前仍在使用，但包括用户名和密码的所有传输都是纯文本的，这就为攻击者提供了截获和查看信息的机会。

安全壳(SSH)是基于UNIX为安全登录远程计算机的命令接口和协议。SSH实际上是3个实体的组合—slogin,ssh和SP，它们是非安全UNIX相应实体的安全版本。这些命令总结如表6-1所示。上一页下一页返回6.2远程登录安全客户端和服务连接端都使用数字证书和加密密码认证。SSH甚至可以作为安全网络备份的工具。

SSH可以保护以下几类攻击:IP欺骗。利用IP欺骗，远程计算机发送伪装数据包骗取主机的信任，SSH甚至可以防御伪装成外部网络路由器的本地网络用户。DNS欺骗。攻击者伪造DNS服务器记录。

翻译信息。攻击者翻译密码和数据。

除了提供加密，SSH可以通过标准密码、证书或ISPl'hPl'OS认证用户。

应用本节概念，请见本章实践项目6-3。上一页下一页返回6.2远程登录安全2.IP安全（IPSec）

不同安全工具在开放系统互联(OSI)模型的不同层中运行。图6-9显示了GSI模型不同层的一些工具。如安全/多用途网际邮件扩充协议(S/MIME)和PrettvGoodPrivacv(PCP)等工具在应用层，而KPThPTO*运行在会话层。处于最高层安全工具的优势是其专门为应用层而设计。然而，保护这一层需要多个安全工具。安全套接字层(SSL)/传输层安全CTL匀在会话层运行，虽然仍需做微调，但在该层运行这些安全工具的优点是可以使更多的应用程能够受到保护。如果保护设在网络层，可以保护大范围的应用程序，而不需做调整。即使是忽略安全的应用程序，如MS一DOS应用程序，它也可以被保护。这就是IPSec运行的级别。上一页下一页返回6.2远程登录安全IPSec是IPSecurity的缩写，是支持数据包安全交换的一套协议。由于它在OSI模型的低级水平，IPSec被认为是透明的安全协议。它对以下实体透明:

应用程序:程序不需改动就可以在IPSec下运行。

用户:与一些安全工具不同，用户无须进行特定安全程序的培训(如PGP加密)。

软件:由于IPSec安全设在如防火墙或路由器这种设备中，因此在本地客户端不需更改软件。上一页下一页返回6.2远程登录安全IPSec相应于3种IPSec协议，并提供以下3个领域的保护:(1)认证。IPSec从数据包中的信息认证是从源头发送的，中间人攻击和再现式攻击不能改变其内容，由认证头(AH)协议完成的。(2)机密性。通过加密数据包，IPSec确保其他人不能查看其内容。机密性是通过封装安全负载(ESP)协议实现的。ESP支持发送人和加密数据的认证。(3)密钥管理。IPSec管理密钥确保其免受非授权用户的使用。应用IPSec，发送和接收设备必须使用同一密钥。因为IPSec是通过互联网安全关联和密钥管理协议/Oaklev(ISAKMP/Oakley)来实现对用户的保护的，它允许接收者获得密钥，并利用数字证书认证发送人上一页下一页返回6.2远程登录安全IPSec支持两种加密模式:传输和隧道。传输模式只加密每个数据包的数据部分，而头部不加密。更安全的隧道模式则同时加密数据和头部。IPSec通过向IP数据包添加新头部来完成传输和隧道模式。此原始数据包(头部和数据)都被视为新数据包的数据部分，如图6-10所示。由于隧道模式保护整个数据包，它基本用于网络中网关对网关的通信。当设备必须查看数据包的来源和目标地址时，就使用传输模式。例如，数据包在从客户端计算机发送到本地IPSec防火墙时，要使用传输模式通过本地网络，到达防火墙后，在发送到互联网之前就变成了隧道模式，再到达客户端计算机前，防火墙就会接收、解密和认证原始数据包。上一页下一页返回6.2远程登录安全AH和ESP都可以在传输和隧道模式中使用，建立4种可能的传输机制。这些机制如下:

传输机制中的AH。这是用来认证数据包数据(来自发信人)和部分头部信息。传输机制中的AH如图6-11所示。

隧道模式的AH。在隧道模式的AH中，整个数据包的内容，包括原始头部和数据，都被加密，如图6-12所示。传输模式的ESP。传输模式的ESP加密和认证原始数据包的数据部分，如图6-13所示。)隧道模式的ESP。在隧道模式的ESP中，整个数据包都被加密和认证，如图6-14所示。上一页下一页返回6.2远程登录安全IPSec与现在版本的TCP/IP是可选协议，被称做IPv4，它并不是最初说明的一部分。在最新版本的TCP/IPIPv6下，IPSec嵌入在IP中，左右数据包均有。然而，其使用还是可选项。上一页下一页返回6.2远程登录安全6.2.5虚拟专用网络

虚拟专用网络(VPNS)像私人网络那样利用公共互联网。在VPN之前，组织被迫为个人发布昂贵的数据连接，使他们的员工能够远程连接公司网络(如果需要比拨号更快的网速)，因为中继的租用线路，如'P1(1.5Mbpa)或'P3(44.73Mbpa)连接，对单个用户是很昂贵的。另一种是使用公共交换数据网络(VPDN)，它是发布服务的广域网(WAN)020世纪90年代中期互联网迅速发展，各组织都尽力培训职员使用网络。然而也存在通信被攻击的威胁。上一页下一页返回6.2远程登录安全VPN允许私人使用公共互联网。VPN的两种普遍形式包括远程登录VPN或虚拟专用拨号网络(VPDN)，远程用户使用的用户对LAN连接，以及多个站点通过互联网的站对站VPN。站对站VPN可以基于内部网，也可以基于外部网。VPN传输是通过和端点通信来实现的，端点是VPN设备间隧道的末尾。端点可以是本地计算机上的软件、专业硬件设备，如VPN连接器，甚至是防火墙。端点如图6-15所示。VPN已被证明是互联网个人通信的最受欢迎方式之一。很多操作系统支持VPNMicrosoftWindows98和更高版本支持VPN客户登录，而WindowsNT和更高版本可以运摘VPN服务器。应用本节概念，请见本章实践项目6-6上一页返回6.3保护目录服务目录服务是存在网络中的数据库，含有关于用户和网络设备的所有信息。目录服务含有用户名、电话、邮件地址和登录名等信息。目录服务也记录网络资源及用户授权，根据驱动器服务信息接受或拒绝登录。目录服务对网络用户授权更加容易。

国际标准组织(ISO)设立了驱动器服务标准X.5OO.X.500的目的是建立数据存储标准，任何计算机系统都可以访问该驱动器。它提供通过姓名查找信息(白页服务)以及浏览和搜索信息(黄页服务)的功能。下一页返回6.3保护目录服务信息存储在目录信息库(DIB)中。DIB中的内容以树结构存储，叫做目录信息树(DIT)。每个输入都是命名的对象，并具有各种属性。每个属性都有属性类型和若干个值。目录为每类对象定义强制的或可选的属性。每个命名对象都有与之相关的若干个对象类。

X.500标准定义的客户端应用程序访问X.500目录的标准，叫做目录访问协议(DAP)。然而，由于DAP需要空间较大，其不能在个人计算机中运行。轻级目录访问协议，有时也叫做X.500Lite，是DAP的一个子集。DAP和LDAP的主要区别有以下几方面:上一页下一页返回6.3保护目录服务不像X.500DAP,LDAP设计在TCP/IP运行，使其成为互联网和内部网的理想应用程序。X.500DAP需要特殊网络软件。LDAP功能更简单，使其实施更加简单和方便。LDAP编码协议组件比X.500流线请求更简单。

如果请求信息不在目录中，DAP只向请求信息的客户端返回错误信息，再发布一个新的搜索请求。相比之下，LDAP服务只返回结果，分布式X.500服务看似是单独的逻辑目录。上一页下一页返回6.3保护目录服务LDAP使几乎任何计算机平台上的应用程序都能得到目录信息，如邮件地址和密钥。由于LDAP是开放协议，应用程序不用考虑驱动器上服务的类型。现在，很多LDAP服务使用标准关系型数据库管理系统，通过HTTP服务的扩展标记语言(XML)文档通信。LDAP安全问题集中于数据纯文本传输及其可以被非授权用户获得。为通过加密保护LDAP数据，大多数用户借助于SSL/TLS。除加密外，SSL/TLS可以通过确认数据源进行认证。这都可以利用证书有效进行。上一页返回6.4加固无线局域网（WLAN）近年来，无线数据传输的影响是巨大的。考虑现在无线技术的应用，飞机上可以上网，宾馆和旅店普遍具有免费的无线登录，大多数高校都为学生提供了无线网络，甚至连体育场都有无线网络信号。

然而，无线网络技术也存在一些严重的安全漏洞。包括以下几方面:

非授权用户也可以接收无线信号，登录网络。

攻击者可以在传输中截获和查看传输信息。

办公室员工可以安装个人无线设备，并攻破安全区域。

攻击者可以使用脚本轻松攻破无线局域网安全。无线数据传输安全需要使用现有的有线网络技术。下面将讨论如何保护无线LAN下一页返回6.4加固无线局域网（WLAN）6.4.1IEEE802.11标准

除了不使用电缆接入网络的设备，无线局域网(WLAN)与标准基于数据的LAN具有相同的特点。相反，使用无线电频率(RF)发送和接收数据包，有时被称为wiFi无线保真度，网络设备在150-375ft范围的传输速度为11-108MbpsoWLAN通过在RF信号范围内提供网络登录从而实现了用户真正的移动。上一页下一页返回6.4加固无线局域网（WLAN）1990年，IEEE为开发1一2Mbp*速度标准的WLAN而成立了委员会。草稿之前已有若干建议，先后修订草稿7次，并历时约7年才完成。1997年6月26日，IEEE推出最后的草稿。802.11标准定义了LAN，在移动或固定的地点提供无电缆数据访问，最高速度为2Mbpso802.11标准还说明WLAN的特点属于最高标准的802.11，即物理(PHY)和媒体访问控制(MAC层的功能提供了所有WLAN功能的实施，所以其他层不需进行调整，如图6-16所示。由于所有WLAN功能在PHY和MAC层都是独立的，任何网络操作系统和LAN应用程序都可以在WLAN上运行，为完成该目标，一些高层独立的功能也都在MAC层运行，而不再进行调整。上一页下一页返回6.4加固无线局域网（WLAN）802.11标准中的2Mbp*的带宽都不足以满足大多数网络应用程序的需求。IEEE又重新考察了802.11标准，寻求增加速度的方法。1999年9月，新的802.11b高等级标准发布。802.11b标准添加了两个更高的速度，5.5MbpS和11Mbps，补充最初802.11标准的1Mbp*或2Mbps。通过更快的数据速度，802.11b很快成为了WLAN的标准。上一页下一页返回6.4加固无线局域网（WLAN）在802.11b标准颁布的同时，另一个802.11a标准也出现了。802.11a有中等速率54MbpS，同时支持5GHz的48MbpS、36MbpS、24MbpS、18MbpS、12Mbps、9MbpS和6Mbps传输。802.11a具有802.llbWLAN的MAC层的功能，但在物理层有区别。802.11a可通过高频率纠错功能，在速度和灵活性上都超过了802.llb的技术，使传输数据的速度达到108Mbps。、更多的传输通道、多元传输技术和高效此外802.11a标准也允许供应商自己安装。上一页下一页返回6.4加固无线局域网（WLAN）不久以后，IEEE802.11b标准的成功颁布极大地促使IEEE考虑802.11b和802.11a是否可以开发第3种媒介物标准。802.11b在两种网络中都可以使用，因而其被广泛接受，但与802.11a相似，它增加了数据传输率。于是IEEE建立了一个任务组来研究这种可能性。到2001年，草协议802.llg出现。802.11g草稿表明其用与802.11b完全相同的无线电频率(2.4GHz)运行，但使用的却是与802.11a相同的传输技术。如同802.11。标准，802.11g标准同样允许供应商实施适当的技术，使传输数据速度达到108Mbps上一页下一页返回6.4加固无线局域网（WLAN）6.4.2WLAN组件WLAN需要的组件少得惊人，但每个网络设备必须有一个无线网络接口卡。除了没有网络有线连接端口，无线NIC与有线NIC的功能相同，在该位置上是一个天线，发送和接收RF信号。无线NIC有以下几种形式:

类型IIPC卡;MiniPCI;ConIpactFlash(CF)卡;USB设备;USB棒。上一页下一页返回6.4加固无线局域网（WLAN）由于WLAN广受欢迎，有线NIC很快就过时了。一些供应商已经宣布直接整合无线NIC到可装在母板上的单独芯片上的计划，减少单独芯片卡的使用，但有些供应商还不同意该计划。为减少与笔记本音频系统的干扰，有些笔记本供应商不愿让RF信号进入笔记本。与此相反，他们整合无线NIC到笔记本的表面，在LCD后显示，使RF信号远离母板。上一页下一页返回6.4加固无线局域网（WLAN）无线NIC与计算机键的通信软件可以是操作系统本身的一部分，也可以将单独的程序加载到计算机上。所有现在的Microsoft台式计算机和移动操作系统都不用外部软件驱动就可以确认无线NIC。以前版本的Window*操作系统需要外部驱动。安装驱动可以提供额外的功能，如自动连接不同WLAN，不用手动设置。一些无线NIC供应商包括其他操作系统，如DOS,Windows3.、和Linux的软件驱动。上一页下一页返回6.4加固无线局域网（WLAN）第二个需要的组件是接入点(AP)oAP包含3个主要部分。第一，含有天线和无线电传输/接收器发送和接收信号。第二，有RJ-45有线网络接口，允许它通过电缆连接到标准有线网络。第三，接入点有特殊桥梁软件。接入点有两个基本功能。其一，接入点是有线网络的基本站，所有具有有线NIL传输到AP的设备会把信号传输到其他无线设备。其二，就是AP作为无线和有线网络的桥梁。AP可以通过电缆连接到标准网络，允许无线设备访问数据网络，如图6-17所示。上一页下一页返回6.4加固无线局域网（WLAN）当覆盖区域超过一个AP时，多个AP可以提供扩展区域覆盖。类似手机覆盖，AP的交叠允许用户在更广范围使用无线信号，如图6-18所示。AP的位置对其提供覆盖范围很重要。站点调查大体上就可以决定AP的最优位置。上一页下一页返回6.4加固无线局域网（WLAN）6.4.3基本WLAN安全WLAN安全保护可以分为两个部分:基本WLAN安全和更高的企业WLAN安全。基本WLAN安全使用两种新的无线工具和一种有线工具。这些工具是服务设置标志号标向，MAC地址过滤和有线等效保密(WEP。下面将分别讨论。上一页下一页返回6.4加固无线局域网（WLAN）1.设置服务标志号（SSID）标向

服务设置是描述WLAN网络的技术术语。有以下三种类型:(1)独立基本服务设置(IBSS)，也叫做adhoc或对等网络。这些WLAN只在设备间通信，不向AP发送传输。(2)基本服务设置(BSS)oWLAN使用AP向其他无线设备或有线网络设备发送信号。(3)扩展服务设置(ESS)。网络使用多个AP覆盖广阔区域。上一页下一页返回6.4加固无线局域网（WLAN）每个WLAN有唯一的名字，即被称为服务设置标志号(SSID)，又被称为网络密码，任何想要连接WLAN的设备都需要SSID。在BSS和ESS网络中，AP可以向无线客户端每100s传播包含重要网络信息的数据包。信息包括网络支持的数据率、目前信号的强度和SSID。传播信息的一个目的是帮助客户端在不同覆盖范围间移动。上一页下一页返回6.4加固无线局域网（WLAN）然而，传播SSID的一个安全漏洞就是，它也向非授权用户提供SSIDOAP在每个设备中需手动设置。如图6-19所示，大多数AP默认传播SSID，很多AP甚至建议传播SSID使其更方便。上一页下一页返回6.4加固无线局域网（WLAN）2.MAC地址过滤加固WLAN的另一种方式是MAC地址过滤。在AP中有无线设备的MAC地址。只有那些具有可信地址的设备方可被允许连接无线网络。MAC地址过滤的AP设置如图6-20所示。WLAN上的MAC地址过滤本身就存在漏洞。第一，MAC地址过滤可以被欺骗。当首次打开计算机时，MAC地址从无线NIC上读取并稍后存储在内存上。改变内存值的软件随后就绪。第二，当无线设备和AP首次交换数据包及设备连接无线网络时，因为无线设备的MAC地址是纯文本的，所以攻击者可以截获和查看该交换。如果攻击者在设备首次连接网络时没有查看其交换，那么其可以加入暂时分离网络设备和WLAN的分离数据包。当设备企图重新连接AP时，攻击者也可以查看MAC地址。

应用本节概念，请见本章实践项目6-2上一页下一页返回6.4加固无线局域网（WLAN）有线等效保密

有线等效保密(1VEP)是1VLAN在传输过程中加密数据包免受攻击的一种可选设置。1VEP使用共享密钥，也就是说在AP和每个无线设备上都必须安装加密和解密的相同密钥。在AP上设置1VEP如图6-21所示。1VEP还可以用以认证。当无线设备要连接1VLAN时，AP向设备发送128字符的挑战文本。客户端使用1VEP密钥加密挑战文本后返回AP,AP用自己加密的版本与1VEP加密的比较。如果符合，客户端就拥有了正确的1VEP密钥。上一页下一页返回6.4加固无线局域网（WLAN）图6-22说明了1VEP的功能。4种基本动作如下:(1)24字符的初始向量(IV)产生，并与共享密钥联系。将这个值传递到虚随即数产生器(PRNG)建立一串字符密钥。(2)加密的文本传输到循环冗余码校验(CRC)建立文本的校验，并加入文本中。(3)密钥和文本+CRC通过唯一OR(XOR)结合，建立密码。XOR是二进制逻辑操作。(4)非加密的IV添加在密码文本的开头，整个数据包就可以被传输了。上一页下一页返回6.4加固无线局域网（WLAN）1VEP的一个严重漏洞就是IV没有被很好地执行。每次数据包加密，应该给予唯一的IV。由于IV只有24位，所以它只有16777215种组合的可能。而1VLAN以11Mbp*的速度传输大约每秒传输700个数据包。这就表明在不到7小时，所有IV的值都会被使用一遍。由于IV是纯文本传输，当IV重复时，攻击者就可以截获数据包。利用这一信息，他们就可以攻击加密方法。上一页下一页返回6.4加固无线局域网（WLAN）6.4.4企业WLAN安全WLAN基本安全的SSID标向，MAC地址过滤和WEP加密不能满足企业安全使用。目前WLAN安全有两种方法。可将网络视为两种，即信任的和不信任的网络，不同的工具可用于加固WLAN，如图6-23所示。下面将详细讨论。上一页下一页返回6.4加固无线局域网（WLAN）1.不信任的网络WLAN安全的一种方法就是把它视为不信任的和不安全的网络。这就要求把WLAN放置在信任网络的安全范围之外，如图6-24所示。高校、旅店、机场及咖啡厅的WLAN都需要设置成这种拓扑结构。

如果WLAN用户必须移动笔记本到安全网络内，则可能的解决方式就是为每位用户设置一个VPN。这种隧道机制可保护无线数据包。上一页下一页返回6.4加固无线局域网（WLAN）信任的网络

可以向WLAN提供安全保护，把它看做信任网络。一种解决方式就是使用WiFi保护访问(WPA)oWPA是在永久无线安全标准提出前，2002年由WECA提出的中间解决方案。WPA有两个组件:WPA加密和WPA访问控制。WPA加密使用暂时密钥集成协议(TKIP)弥补了WEP的缺点，TKIP每个数据包加入密钥增加安全性。在图6-25中，使用了两个密钥，暂时密钥和MIC或信息完整代码密钥。上一页下一页返回6.4加固无线局域网（WLAN）暂时密钥和发送人的MAC地址一起建立暂时值(值1)，然后又和序列号建立值2，成为PRNG的输入。这个文本与MIC和发送人及接收人的MAC地址一起建立文本+MICoTKIP弥补了WEP的若干漏洞，阻止再现式攻击和弱密钥攻击。

WPA访问控制使用802.1x认证。802.1x阻止基于端口对端口的通信，直到客户端根据存储在RADIUS或类似服务器上的信息认证。

虽然WPA提供更高的安全，但IEEE802.11的解决方式更安全。这种标准是用一个不同的加密机制来加密数据包。802.11同时提供认证和数据完整。802.11标准在2004年颁布。应用本节概念，请见本章实践项目6-4上一页返回6.5复习与参考6.5.1本章小结FTP，作为部分的TCP/IP，是用于在设备间传输文件的。将FTP可设置成用户无须认证模式。FTP存在若干安全漏洞，它自身并不加密，易被中间人攻击。FTP也可通过SSL加密进行加固。

随着目前日益增加的用户使用互联网访问安全信息，保护远程登录传输变得尤为重要。主要防御方式就是隧道或是压缩数据包，以建立安全传输链接的技术。PPTP是应用最广泛的一种隧道协议，L2TP除了支持TCP/IP，也支持其他协议。下一页返回6.5复习与参考利用认证传输来确认其发送者可为远程访问用户提供更高的安全等级。IEEE802.lx标准作为基于端口的认证机制受到普遍欢迎。802.1x标准是以EAP为基础，并具有很多变种。RADIUS向含有认证记录的服务发出请求。请求设备既不直接访问服务器，也不需要通过中介。TACACS+和RADIUS都使用含有认证记录的远程服务器;然而，TACACS+传输并不加密。上一页下一页返回6.5复习与参考SSH是安全访问远程计算机且基于UNIX的命令接口和协议。除加密外，SSH还可用于认证用户。IPSec在OSI的网络层运行，为多种应用程序提供保护。IPSec支持两种加密方式。VPN允许用户使用公共互联网发送私人数据。VPN可以是用户对LAN，也可以是站点对站点的。上一页下一页返回6.5复习与参考目录服务是存储在网络中且含有用户和网络设备所有相关信息的数据库。虽然难以使用客户协议，但目录服务的标准仍是X.500。它已被LDA所取代。LDAP是纯文本传输，应该使用SSL/TLS进行加密。WLAN对用户访问数据有重要影响。然而，许多安全漏洞都与WLAN有关。WLAN的基本保护方式包括禁用广播SSID、使用MAC地址过滤和打开WEP加密。然而，每一种都存在漏洞。需要使用WAP和802.11或把无线网络视为非安全网络来加强加密保护。上一页下一页返回6.5复习与参考6.5.3动手项目项目6-1：使用安全FTPClient

减少攻击威胁的一种方式就是使用安全FTP。虽然安全FTP不是标准，但不同供应商都利用它来描述加密FTP传输。(1)打开IE浏览器，登录网站“http;//www.glub.cotn/"，选择产品*ecureFTPClient,下载适用于windows的最新版本，安装该程序。(2)如果计算机中没有安装Java的最新版本，登录网站“http;//www./zh_CN/download/"，下载适用于Window*的Java，安装该程序。

(3)运行secllTeftp程序。在菜单栏中单击File选项，再选择Connect命令，弹出OpenConnection对话框，如图6-26所示。上一页下一页返回6.5复习与参考(4)在主机名中，输入“daac.gsfc.nasa.gov",匿名FTP服务器有可能因服务器停止服务而不能使用，请查询可用的匿名FTP服务器。(5)单击“匿名使用匿名FTP”选项，再单击“连接”按钮。则安全FTP连接到daac.gsfc.nasa.govFTP站点，窗口右侧显示了FTP服务器上的内容。(6)在右侧双击软件文件夹。双击hdf文件夹，再双击hdf文件。右侧显示了hdf的内容。(7)将README文件拖到右侧。运行该程序并向计算机传输文件。(8)关闭所有窗口。上一页下一页返回6.5复习与参考项目6-2：安装和使用MAC欺骗实体

欺骗MAC地址是WLAN中攻击者攻击MAC地址的一种方式。在本项目中，将下载MAC欺骗实体。(1)打开IE浏览器，登录网站“www.klcconsulting.net/stnac/"o(2)单击SMAC1.2EvalEdition。由于软件在不断更新，也许会出现新版本。请下载最新版本的软件。(3)单击“下载”按钮，再单击“保存”按钮。选择下载文件夹进行保存。上一页下一页返回6.5复习与参考(4)双击并打开文件，接受默认设置安装。(5)双击桌面上的SMAC图标，运行SMAC程序。单击“接受协议”按钮，显示SMAC主窗口，如图6-27所示。(6)在计算机中选择NIC适配器。

(7)单击“升级MAC”选项。系统重启后，显示信息窗口并说明MAC将变为欺骗地址。单击OK按钮。(8)在窗口底部，注意欺骗MAC地址和积极MAC地址是不同的。依据网络设置，可能建议改变MAC地址。询问网络管理员或指导员。如果对改变地址有任何疑惑，跳过以下步骤，单击“删除MAC”按钮。上一页下一页返回6.5复习与参考(9)重启计算机。(10)单击“开始”按钮，选择“开始”菜单中的“运行”命令，弹出“运行”对话框。再输入“CMD”命令，按下Enter键。显示“命令提示符”窗口。(11