《微企业无线局域网》-第4章 微企业无线局域网的安全配置

引入01.wlan安全问题03.wlan安全标准02.wlan安全对策04.wlan安全技术1.1wlan安全问题OnepointoneWLAN网络的安全需求无线链路的安全缺陷-物理信道的开放性；-网上涌现出相关的攻击软件；-除了信息的截取，还可以进行DoS攻击；-对比有线网络，更易于攻击，甚至是物理层。WLAN的安全问题1.窃听（Eavesdropping）-非授权者窃听无线站点和AP之间发送的无线电信号-被动攻击（难以检测）-比有线局域网的窃听更容易WLAN的安全问题2.非授权访问-方式1：入侵者伪装成授权用户，进入WLAN系统。对策：认证机制。-方式2：入侵者设置一个伪造AP欺骗无线站点，捕获用户名和登录口令。当一个无线站点进入一个新区时，它会基于信号强度和误码率来选择AP，比方式1更容易实现。WLAN的安全问题3.干扰和人为干扰-干扰：微波炉；-人为干扰：攻击者使用高功率的发射机；-后果：带宽（数据吞吐量）严重下降。WLAN的安全问题3.物理威胁-AP（被冰雪覆盖而导致阻塞）-电缆（被挖断）-天线（被风刮歪或刮断）-无线NIC-软件1.2wlan安全对策Onepointtwo安全手段1：SSID广播SSID验证无线工作站与无线AP的SSID相同，才能访问AP；如果出示SSID与AP的SSID不同，AP拒绝通过本服务区上网。SSID是一个简单口令，提供口令认证，实现安全保障。SSID隐藏SSID不在信标帧中广播。无线客户端扫描可用网络时，该无线接入点将不会在网络列表中显示。只能手工添加。安全手段2：安全认证和数据加密为了增强无线安全性，无线设备提供认证和加密两个安全机制：认证机制：用来对用户身份验证，限定特定用户（授权用户）使用网络资源。1加密机制：用来对无线链路数据加密，保证无线网络数据只被所期望用户接收和理解。21.3wlan安全标准Onepointthree安全技术发展在IEEE802.11i提出前，只有WEP（WiredEquivalentPrivacy，有线等效加密）认证方式，采用静态保密密钥，终端使用相同密钥访问无线，算法容易破解。为解决安全问题，Wi-Fi联盟制定WPA标准（Wi-FiProtectedAccess：Wi-Fi网络安全访问），替代WEP过渡方案，WPA认证有两种模式：802.1x认证模式和预先共享密钥PSK（Pre-SharedKey）模式。IEEE802.11i定义RSN（RobustSecurityNetwork：强健安全网络）发布，Wi-Fi联盟把WPA修订，重新推出与IEEE802.11i标准相同WPA2。数据加密技术-WEP-WPA身份认证技术-开放系统认证-MAC(基于MAC接入控制,AP上配置可接入MAC地址列表)-Web-Portal-802.1x无线网络安全技术1.4wlan安全认证OnepointfourAP

和STA连接过程用户接入管理802.11MAC层负责客户端与AP之间通讯，包括：扫描、接入、认证、加密、漫游和同步等无线接入过程三个阶段工作站连接AP传送数据帧前，经过三个阶段才能接入：认证阶段(Authentication)扫描阶段（SCAN）关联（Association）认证和关联过程APBAPA1.客户端发送接入请求的广播.2.APA和APB发送请求响应.客户端比对APA和APB的“服务质量”，假设选择APA。3.客户端向APA发送认证请求4.APA确认认证信息并返回5.客户端项APA发送关联请求6.APA确认关联请求配置WLAN安全FATAP的安全配置认证方式目前有WEP加密，PSK接入认证，802.1x接入认证，三种方式不可同时配置，可根据实际应用场景选用对应方式。E130outradio1/0POE电源Vlan10inradio2/0Gi0/1典型应用场景描述WEP加密较小型且对安全性要求不高WLAN中，使用静态WEP加密模式。PSK接入认证一些中小型企业网或家庭用户，使用基于预共享密钥接入认证方式。802.1x接入认证对安全要求较高或有统一管理需求，使用基于端口网络接入控制。FATAP安全：配置静态WEP模式Ruijie(config)#wlansec1Ruijie(config-wlansec)#securitystatic-wep-keyencryption40ascii112345----->必须配置，启用静态WEP加密模式及WEP密钥Ruijie(config-wlansec)#securitystatic-wep-keyauthenticationshare-key----->可选配置。启用静态WEP加密模式，默认链路验证方式为开放系统链路验证，使用该命令配置共享密钥链路验证方式。注意事项1、配置静态WEP模式1）链路验证方式必须在启用静态WEP加密模式之后才可以配置。2）在同一个WLAN安全模式下，静态WEP加密不可与其他认证加密同时配置。3）只有1个WLAN可配置静态WEP加密模式。配置PSK认证Ruijie(config)#wlansec1Ruijie(config-wlansec)#securitywpaenable----->配置WPA或RSN(WPA2)认证模式。Ruijie(config-wlansec)#securitywpaciphersaesenable----->配置WPA认证数据加密方式为AES。有TKIP和AES两种模式。Ruijie(config-wlansec)#securitywpaakmpskenable----->配置WPA接入认证方式为PSK。Ruijie(config-wlansec)#securitywpaakmpskset-keyascii12345678---->在配置PSK密码为12345678配置WPA/RSN认证注意事项1）使用WPA/RSN认证时，需要配置数据加密方式和接入认证方式。2）如果配置接入认证方式为PSK，需配置PSK密码。3）在同一个WLAN安全模式下，WPA/RSN认证模式不能与WEP模式同时配置。FATAP的安全配置internetE130outradio1/0POE电源Vlan10inradio2/0Gi0/110、配置WPA共享密钥认证。WS5708(config)#wlansec1WS5708(config-wlansec)#securitywpaenable//开启无线加密功能WS5708(config-wlansec)#securitywpaciphersaesenable//无线启用AES加密WS5708(config-wlansec)#securitywpaakmpskenable//无线启用共享密钥认证方式WS5708(config-wlansec)#securitywpaakmpskset-keyascii1234567890//无线密码，密码位数不能小于8位配置802.1x认证Ruijie(config)#wlansec1Ruijie(config-wlansec)#securitywpaenable----->配置WPA或RSN(WPA2