《无线局域网应用技术 （第4版）》课件 项目4 办公区无线网络的安全配置

项目4办公区无线网络安全配置项目描述项目相关知识项目规划设计项目实践项目验证项目拓展目录项目描述项目描述Jan16公司满足了内部员工的移动办公需求，但为了方便员工使用，在网络建设完成初期并没有对网络进行接入控制，这导致非公司内部员工不需要输入用户名和密码就可以接入网络，进而接入公司内部网络。外来人员接入公司内部网络给公司的信息安全带来了隐患，同时随着接入人数的增加，公司无线网络的传输速率也变得越来越慢。为了解决以上问题，公司要求网络管理员加强对无线网络的安全管理，仅允许内部员工访问办公网络。可以通过以下几种方式来构建一个安全的无线网络。（1）对公司无线网络实施安全加密认证，内部员工访问公司无线网络需要输入密码才可以关联无线SSID。（2）为了避免所有人都可以搜索到公司的无线SSID信号，对无线网络实施隐藏SSID功能，防止无线信号外泄。（3）为了防止非本公司的无线终端访问公司内部网络从而造成信息泄露，对现有无线网络配置白名单，仅允许已注册的无线终端接入网络。项目相关知识4.1WLAN安全威胁WLAN以无线信道作为传输媒介，利用电磁波在空气中传播数据，从而实现了传统有线局域网的功能。与传统的有线接入方式相比，WLAN部署相对简单，维护成本也相对低廉，因此应用前景十分广阔。然而由于WLAN传输媒介的特殊性和其固有的安全缺陷，用户的数据面临被窃听和篡改的威胁，因此WLAN的安全问题成为制约其推广的重要问题。WLAN常见的安全威胁有以下几个方面。1.未经授权使用网络服务最常见的WLAN安全威胁就是未经授权的非法用户使用WLAN。非法用户未经授权使用WLAN，同合法用户共享带宽，会影响合法用户的使用体验，甚至可能泄露合法用户的用户信息。2.非法AP非法AP是未经授权部署在企业WLAN里，且干扰网络正常运行的AP。如果该非法AP配置了正确的密钥，还可以捕获客户端数据。经过配置后，非法AP可为未授权用户提供接入服务，可让未授权用户捕获和伪装数据报，最糟糕的是允许未授权用户访问服务器和文件。4.1WLAN安全威胁3.数据安全相对于以前的有线局域网，WLAN采用无线通信技术，用户的各类信息在无线网络中传输会更容易被窃听、获取。4.拒绝服务攻击这种攻击方式不以获取信息为目的，入侵者只是想让目标机器停止提供服务。因为WLAN采用电磁波传输数据，理论上只要在有信号的范围内攻击者就可以发起攻击。这种攻击方式隐蔽性好，实现容易，防范困难，是终极攻击方式之一。4.2WLAN主要安全手段IEEE802.11无线网络一般作为连接IEEE802.3有线网络的入口。为保护入口的安全，确保只有授权用户才能通过无线AP访问网络资源，必须采用有效的认证技术。在WLAN用户通过认证并被赋予访问权限后，网络必须保护用户所传送的数据不被泄露，其主要方法是对数据报文进行加密。目前，WLAN的安全技术有有线等效保密（WiredEquivalentPrivacy，WEP）、Wi-Fi保护接入(Wi-FiProtectedAccess，WPA)、WPA2、WPA3、无线局域网鉴别与保密基础结构（WLANAuthenticationandPrivacyInfrastructure，WAPI）等，都是通过加密手段和认证手段来提高网络的安全性。4.2WLAN主要安全手段1.WEP用来保护无线局域网中的授权用户所传输的数据的安全性，防止这些数据被窃听。WEP的加密手段则是采用里维斯特密码4（RivestCipher4，RC4）算法对传输的数据进行加密，加密密钥长度有64位和128位两种，其中有24bit的IV（初始向量）是由系统产生的，所以AP和Sta上配置的密钥长度是40位或104位，这个密钥就是在接入网络时所需要输入的Wi-Fi密码。WEP加密采用静态的密钥，接入同一SSID下的所有Sta使用相同的密钥访问无线网络。WEP采用的认证手段有开放认证和密钥认证两种。

开放认证：用户不经过认证即可接入网络；

密钥认证：用户需要输入密码才能接入网络。4.2WLAN主要安全手段密钥认证要求Sta必须支持WEP，Sta与AP必须配置匹配的静态WEP密钥。如果双方的静态WEP密钥不匹配，Sta就无法通过认证。共享密钥认证过程中，采用共享密钥认证的无线接口之间需要交换质询消息，通信双方总共需要交换4个认证帧，如图4-1所示。图4-1共享密钥认证过程4.2WLAN主要安全手段（1）Sta向AP发送认证请求认证帧。（2）AP向Sta返回包含明文质询消息的第2个认证帧，质询消息长度为128字节，由WEP密钥流生成器利用随机密钥和初始向量产生。（3）Sta使用静态WEP密钥将质询消息加密，并通过认证帧发给AP，即第3个认证帧。（4）AP收到第3个认证帧后，将使用静态WEP密钥对其中的质询消息进行解密，并与原始质询消息进行比较。若两者匹配，AP将会向Sta发送第4个也是最后一个认证帧，确认Sta成功通过认证；若两者不匹配或AP无法解密质询消息，AP将拒绝Sta的认证请求。Sta成功通过共享密钥认证后，将采用同一静态WEP密钥加密随后的802.11数据帧与AP通信。共享密钥认证看似安全性比开放系统认证要高，但是实际上存在着巨大的安全漏洞。如果入侵者截获AP发送的明文质询消息以及Sta返回的加密质询消息，就可能从中提取出静态WEP密钥。入侵者一旦掌握静态WEP密钥，就可以解密所有数据帧，网络对入侵者将再无秘密可言。因此，WEP共享密钥认证方式难以为企业WLAN提供有效保护。目前已经不再使用。4.2WLAN主要安全手段2.WPA/WPA2起初制定WPA时，在WEP的基础上提出了临时密钥完整性协议（TemporalKeyIntegrityProtocol，TKIP），该协议的核心加密算法还是采用RC4。而WPA2作为WPA的第2版，提出了计数器模式密码块链信息认证码协议（CounterModewithCipher-BlockChainingMessageAuthenticationCodeProtocol，CCMP），核心加密算法引入了高级加密标准（AdvancedEncryptionStandard，AES），Wi-Fi产品需要采用AES的芯片组来支持WPA2。如今，为了实现更好的兼容性，WPA和WPA2都可以使用TKIP或CCMP，它们之间的不同主要表现在协议报文格式上，在安全性上几乎没有差别。4.2WLAN主要安全手段WPA/WPA2认证手段采用的认证手段相同。都是预共享密钥（Pre-SharedKey，PSK）认证和可扩展认证协议（ExtensibleAuthenticationProtocol，EAP）认证两种认证手段。

PSK认证：用户通过输入预共享密钥即可接入网络；在不同的终端设备上对该认证方式称呼不一，有WPA/WPA2个人版、WPA/WPA2-Personal、WPA/WPA2-Passphrase等。

EAP认证：需要使用远程用户拨号认证系统（RemoteAuthenticationDialInUserService，RADIUS）服务器对用户进行认证，在不同的终端设备上对该认证方式称呼不一，有WPA/WPA2企业版、WPA/WPA2企业AES、WPA/WPA2Enterprise认证、WPA/WPA2802.1X认证、WPA/WPA2RADIUS认证。WPA/WPA2定义的PSK认证方法是一种弱认证方法，很容易受到暴力字典(通过大量猜测和穷举的方式来尝试获取用户口令的攻击方式)的攻击。虽然这种简单的PSK认证是为小型无线网络设计的，但实际上很多企业也使用WPA/WPA2。由于所有Sta上的PSK都是相同的，如果用户不小心将PSK泄露，WLAN的安全性将受到威胁。为保证安全，所有Sta就必须重新配置一个新的PSK。4.2WLAN主要安全手段目前WPA2已经成为一种强制性的标准，基本所有的Wi-Fi产品都支持WPA2，家庭所使用的Wi-Fi产品基本都是WPA2PSK认证。3.WPA3WPA2在2017年被发现存在安全漏洞，采用WPA2进行加密的Wi-Fi网络可能会遭受密钥重装攻击（KeyReinstallationAttacks，KRACK），攻击者利用这个漏洞诱导用户重新安装已使用过的密钥，并通过一系列手段破解用户密钥，从而实现用户网络的完全访问。为了应对这一安全漏洞，Wi-Fi联盟组织于2018年1月8日新发布的Wi-Fi加密协议WPA3，是WPA2技术的后续版本。WPA3在WPA2的基础上进行改进，增加了许多新功能，提供了更强大的加密保护。根据Wi-Fi网络的用途和安全需求不同，WPA3分为WPA3个人版、WPA3企业版以及针对开放性Wi-Fi网络的机会性无线加密（OpportunisticWirelessEncryption，OWE）认证。4.2WLAN主要安全手段（1）WPA3个人版：WPA3个人版使采用了更加安全的对等实体同时验证（SimultaneousAuthenticationofEquals，SAE）取代了WPA2个人版采用预先设置共享密钥的PSK认证方式。SAE协议在密钥认证的四次握手前增加了SAE握手，使得每次协商的PMK都是不同的，也就保证了密钥的随机性，有效的防止KRACK攻击。同时，SAE协议会直接拒绝服务多次尝试发起连接的终端，有效的防止暴力字典的攻击。（2）WPA3企业版：WPA3企业版在WPA2企业版的基础上，添加了一种更加安全的可选模式——WPA3-Enterprise192bit，该模式提供了更高的安全保护。（3）OWE认证：在开放性无线网络中，用户无需输入密码即可接入网络，用户与Wi-Fi网络的数据传输也是未加密的，这增加了非法攻击者接入网络的风险。WPA3在开放认证方式的基础上，提出了一种增强型开放网络认证方式。该认证方式下，用户仍然无需输入密码即可接入网络，保留了开放式Wi-Fi网络用户接入的便利性。同时，OWE采用密钥交换算法（Diffie-Hellman）在用户和Wi-Fi设备之间交换密钥，为用户与Wi-Fi网络的数据传输进行加密，保护用户数据的安全性。4.2WLAN主要安全手段4.WAPIWAPI是中国提出的、以802.11无线协议为基础的无线安全标准。WAPI能够提供比WEP和WPA更强的安全性，它采用双向认证，如图4-2所示，确保合法的终端接入合法的AP，从而保证数据的传输安全。图4-2WAPI认证4.2WLAN主要安全手段WAPI协议由以下两部分构成：无线局域网鉴别基础结构（WLANAuthenticationInfrastructure，WAI）：用于无线局域网中身份鉴别和密钥管理的安全方案；采用公开密钥密码体制，利用公钥证书对WLAN中的STA和AP进行认证。无线局域网保密基础结构（WLANPrivacyInfrastructure，WPI）：用于无线局域网中数据传输保护的安全方案；采用对称密码算法实现加解密操作；分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。4.3WLAN其它安全手段1.SSID隐藏SSID隐藏可将无线网络的逻辑名隐藏起来。AP启用SSID隐藏后，Sta扫描SSID时将无法获得SSID信息。因此，Sta必须手动设置与AP相同的SSID才能与AP进行关联。如果Sta出示的SSID与AP的SSID不同，那么AP将拒绝Sta接入。SSID隐藏适用于某些企业或机构需要支持大量访客接入的场景。企业园区无线网络可能存在多个SSID，如员工、访客等。为尽量避免访客连错网络的问题，园区通常会隐藏员工的SSID，同时广播访客SSID。此时访客尝试连接无线网络时只能看到访客SSID，从而减少访客了连接到员工网络的情况。尽管SSID隐藏可以在一定程度上防止普通用户搜索到无线网络，但只要入侵者使用二层无线协议分析软件拦截到任何合法Sta发送的帧，就能获得以明文形式传输的SSID。因此，只使用SSID隐藏策略来保证无线局域网安全是不行的。4.3WLAN其它安全手段2.黑白名单认证（MAC地址认证）黑白名单认证是一种基于端口和MAC地址对Sta的网络访问权限进行控制的认证方法，不需要Sta安装任何客户端软件。802.11设备都具有唯一的MAC地址，因此可以通过检验802.11设备数据分组的源MAC地址来判断其合法性，过滤不合法的MAC地址，仅允许特定的Sta发送的数据分组通过。MAC地址过滤要求预先在AP中输入合法的MAC地址列表，只有当Sta的MAC地址和合法MAC地址列表中的地址匹配时，AP才允许用户设备与之通信，实现MAC地址过滤。MAC地址认证如图4-3所示，Sta1的MAC地址不在AP的合法MAC地址列表中，因而不能接入AP；而Sta2和Sta3的MAC地址分别与合法MAC地址列表中的第4个、第3个MAC地址完全匹配，因而可以接入AP。图4-3

MAC地址认证示意图4.3WLAN其它安全手段白名单的概念与“黑名单”相对应。黑名单启用后，被列入黑名单的Sta不能通过。如果设立了白名单，则在白名单中的Sta会允许通过，没有在白名单列出的Sta将被拒绝访问。然而，由于很多无线网卡支持重新配置MAC地址，MAC地址很容易被伪造或复制。只要将MAC地址伪装成某个出现在允许列表中的Sta的MAC地址，就能轻易绕过MAC地址过滤。为所有Sta配置MAC地址过滤的工作量较大，而MAC地址又易于伪造，因此MAC地址过滤无法成为一种可靠的无线安全解决方案。项目规划设计项目拓扑公司管理员需要在AC上对内部办公网络office配置WLAN加密、隐藏SSID、全局白名单等功能，提高网络的安全性。而对外部来访用户网络不做改变。网络拓扑如图4-4所示。图4-4

办公室无线网络安全配置网络拓扑项目规划根据图4-3进行项目的业务规划，项目4的WLAN规划如下。

VAPVLANSSID安全加密文件是否广播guest-vap10guest-是office-vap20officewpa2否表4-2安全加密规划安全加密文件认证方式密码加密方式wpa2wpa212345678aes表4-1项目4WLAN规划项目实践任务4-1办公区网络的安全配置任务描述本任务中，AC的配置包括以下内容：（1）WLAN加密配置：对WLAN开启WPA2加密，配置无线密码，用户连接SSID时需要输入正确的密码才能连接无线网络。（2）隐藏SSID配置：将无线SSID调整为非广播模式，用户需要手动输入SSID才可连接无线网络。任务4-1办公区网络的安全配置任务操作1.WLAN加密配置创建安全加密配置文件，配置认证协议和PSK密码，将安全加密文件与VAP文件进行关联，对office信号开启加密。[AC]wlan//进入WALN视图[AC-wlan-view]security-profilenamewpa2//创建安全加密配置文件[AC-wlan-sec-prof-wpa2]securitywpa2pskpass-phrase12345678aes//认证协议WPA2，密钥为12345678，加密方式为高级加密标准（AdvancedEncryptionStandard，AES）[AC-wlan-vap-prof-wpa2]quit//退出[AC-wlan-view]vap-profilenameoffice-vap//进入VAP配置文件[AC-wlan-vap-prof-office-vap]security-profilewpa2//配置VAP关联安全加密文件[AC-wlan-vap-prof-office-vap]quit//退出2.

隐藏SSID配置将无线SSID调整为非广播模式任务4-1办公区网络的安全配置[AC]wlan//进入WALN视图[AC-wlan-view]ssid-profilenameoffice//进入office的ssid配置文件[AC-wlan-ssid-prof-office]ssid-hideenable//配置隐藏SSID[AC-wlan-ssid-prof-office]quit//退出任务4-1办公区网络的安全配置任务验证（1）在AC上使用“displayvapall”命令，查看所有VAP信息，如下所示可以看到内部办公网络的SSID的认证类型已经变为“WPA2-PSK”。[AC]displayvapallInfo:Thisoperationmaytakeafewseconds,pleasewait.WID:WLANID-----------------------------------------------------------------------------APIDAPname

RfIDWID

BSSID

Status

Authtype

STA

SSID-----------------------------------------------------------------------------1

BGS-AP4050-10

2

00E0-FC43-6AE1ON

WPA2-PSK

0

office1

BGS-AP4050-10

1

00E0-FC43-6AE0ON

Open

0

guest1

BGS-AP4050-11

2

00E0-FC43-6AF1ON

WPA2-PSK

0

office1

BGS-AP4050-11

1

00E0-FC43-6AF0ON

Open

0

guest2

BGS-AP4050-20

2

00E0-FCEA-5D81ON

WPA2-PSK

0

office2

BGS-AP4050-20

1

00E0-FCEA-5D80ON

Open

0

guest2

BGS-AP4050-21

2

00E0-FCEA-5D91ON

WPA2-PSK

0

office2

BGS-AP4050-21

1

00E0-FCEA-5D90ON

Open

0

guest-----------------------------------------------------------------------------Total:8任务4-1办公区网络的安全配置（2）在AC上使用“displayssid-profilenameoffice”命令，查看SSID配置文件信息，如下所示。可以看到“SSIDhide”状态为enable，表示已经隐藏了SSID。-------------------------------------------------------------------ProfileID

:2SSID

:officeSSIDhide

:enableAssociationtimeout(min)

:5MaxSTAnumber

:64ReachmaxSTASSIDhide

:enableLegacystation

:enableDTIMinterval

:1Beacon2.4Grate(Mbps)

:1Beacon5Grate(Mbps)

:6Deny-broadcast-probe

:disableProbe-response-retrynum

:1802.11r

:disable......任务4-2办公区网络的白名单配置任务描述本任务中，AC的配置包括以下内容：（1）全局白名单配置：进入sta-whitelist-profile将MAC地址添加到白名单，将白名单与VAP文件进行绑定，允许合法用户加入无线网络。任务4-2办公区网络的白名单配置任务操作1.全局白名单配置进入sta-whitelist-profile将MAC地址添加到白名单。[AC-wlan-view]sta-whitelist-profilenamewhitelist//创建白名单配置文件[AC-wlan-whitelist-prof-whitelist]sta-mac5489-981B-7B4A//允许接入WLAN的MAC地址，以测试PC1为准[AC-wlan-whitelist-prof-whitelist]quit//退出[AC-wlan-view]vap-profilenameoffice-vap//进入VAP配置文件[AC-wlan-vap-prof-office-vap]sta-access-modewhitelistwhitelist//指定Sta访问模式为白名单，选择白名单文件[AC-wlan-vap-prof-office-vap]quit//退出任务4-2办公区网络的白名单配置任务验证（1）在AC上使用“displaysta-whitelist-profilenamewhitelist”命令，查看白名单信息，如下所示。可以看到已经在白名单中添加了MAC地址“5489-981b-7b4a”。[AC]displaysta-whitelist-profilenamewhitelist--------------------------------------------------------------------------------Index

MAC

Description--------------------------------------------------------------------------------0

5489-981b-7b4a--------------------------------------------------------------------------------Total:1项目验证项目验证（1）PC1连接隐藏的网络（安全），输入“office”，单击“下一步”按钮，如图4-5所示。图4-5

PC1连接隐藏的网络项目验证（2）输入网络安全密钥，单击“下一步”按钮，如图4-6所示。图4-6

PC1输入网络安全密钥项目验证（3）按【Windows+X】组合键，在弹出的菜单中选择“WindowsPowerShell”命令，打开“Widnows

PowerShell”窗口，使用“ipconfig”命令查看获取的IP地址信息，如图4-7所示。图4-7

PC1使用“ipconfig”命令查看