無線網(wǎng)安全和防范高效培訓(xùn)教材

1、無線網(wǎng)安全和防范高效培訓(xùn)教材本章內(nèi)容無線網(wǎng)絡(luò)安全概述 10. 1 10. 2 10. 3無線網(wǎng)絡(luò)主要信息安全技術(shù) 10. 4無線網(wǎng)絡(luò)設(shè)備 10. 5引導(dǎo)案例：為方便上網(wǎng)，半年前張女士在家中安置了一個(gè)無線路由器，最近她卻覺察網(wǎng)絡(luò)速度突然變得很慢。她相當(dāng)疑惑，因?yàn)闊o線路由器明明設(shè)置過密碼，按理說不可能被人竊用網(wǎng)絡(luò)。后來經(jīng)朋友檢查發(fā)現(xiàn)，張女士電腦的網(wǎng)上鄰居里多出一個(gè)陌生的電腦用戶!網(wǎng)絡(luò)被盜用已成不爭(zhēng)的事實(shí)。朋友告訴她，她的無線網(wǎng)絡(luò)已被一種叫“蹭網(wǎng)卡的裝置盯上了，因?yàn)槎嗔艘慌_(tái)電腦享用她的網(wǎng)絡(luò)資源，所以網(wǎng)絡(luò)速度明顯變慢。那么如何保障自己的無線網(wǎng)絡(luò)平安使用呢？本章將為大家解決這樣的技術(shù)難題。 無線網(wǎng)絡(luò)的安

2、全缺陷與解決方案 10. 1無線局域網(wǎng)平安的最大問題在于無線通信設(shè)備是在自由空間中進(jìn)行傳輸，而不是像有線網(wǎng)絡(luò)那樣是在一定的物理線纜上進(jìn)行傳輸，因此無法通過對(duì)傳輸媒介的接入控制來保證數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)的用戶獲取。所以，WLAN就面臨一系列的平安問題，而這些問題在有線網(wǎng)絡(luò)中并不存在。無線網(wǎng)絡(luò)存在的平安風(fēng)險(xiǎn)和平安問題主要包括：1來自網(wǎng)絡(luò)用戶的進(jìn)攻。2來自未認(rèn)證的用戶獲得存取權(quán)。3來自公司的竊聽泄密等。 針對(duì)以上威脅問題，從最初利用ESSID/SSIDService Set Identifier，也就是“效勞區(qū)標(biāo)識(shí)符匹配、MACMedia Access Control，介質(zhì)訪問控制限制，防止非法無線設(shè)

3、備入侵的訪問控制，到基于WEPWired Equivalent Privacy數(shù)據(jù)加密的解決方案，再到即將成為新標(biāo)準(zhǔn)的802.11i，以及從2003年12月1日起我國(guó)開始施行的WLAN產(chǎn)品的新標(biāo)準(zhǔn)WAPI無線局域網(wǎng)鑒別和保密根底結(jié)構(gòu)，無線網(wǎng)絡(luò)平安技術(shù)在很大的程度上已經(jīng)得到了改善，即使這樣，但要真正構(gòu)建端到端的平安無線網(wǎng)絡(luò)還任重道遠(yuǎn)。 無線網(wǎng)絡(luò)安全概述 10. 110.2無線局域網(wǎng)的標(biāo)準(zhǔn) 在眾多的無線局域網(wǎng)標(biāo)準(zhǔn)中，人們知道最多的是IEEE美國(guó)電子電氣工程師協(xié)會(huì)802.11系列，此外制定WLAN標(biāo)準(zhǔn)的組織還有ETSI歐洲電信標(biāo)準(zhǔn)化組織和HomeRF工作組，ETSI提出的標(biāo)準(zhǔn)有HiperLan和Hi

4、perLan2，HomeRF工作組的兩個(gè)標(biāo)準(zhǔn)是HomeRF和HomeRF2。在這三家組織所制定的標(biāo)準(zhǔn)中，IEEE的802.11標(biāo)準(zhǔn)系列由于它的以太網(wǎng)標(biāo)準(zhǔn)802.3在業(yè)界的影響力使得在業(yè)界一直得到最廣泛的支持，尤其在數(shù)據(jù)業(yè)務(wù)上。ETSI是一個(gè)歐洲組織，因此一直得到歐洲政府的支持，很多運(yùn)營(yíng)商也都很尊重它的GSM和UMTS蜂窩 標(biāo)準(zhǔn)，它在制定WLAN標(biāo)準(zhǔn)的時(shí)候更加關(guān)注語音業(yè)務(wù)。HomeRF作為一種為家庭網(wǎng)絡(luò)專門設(shè)計(jì)的標(biāo)準(zhǔn)在業(yè)界也有一定的影響力。 價(jià)格廉價(jià)的筆記本電腦、移動(dòng) 和手持式設(shè)備的日趨流行，以及Internet應(yīng)用程序和電子商務(wù)的快速開展，使用戶需要隨時(shí)進(jìn)行網(wǎng)絡(luò)連接。為滿足這些需求，可以使用兩

5、種方法將便攜式設(shè)備連接到網(wǎng)絡(luò)，而沒有電纜所帶來的不便。這兩種標(biāo)準(zhǔn)就是IEEE 802.11b和Bluetooth。IEEE802.11b是一種11Mb/s 無線標(biāo)準(zhǔn)，可為筆記本電腦或桌面電腦用戶提供完全的網(wǎng)絡(luò)效勞 10.2.1 IEEE的802.11標(biāo)準(zhǔn)系列 由于802.11在速率和傳輸距離上都不能滿足人們的需要，因此，IEEE小組又相繼推出了802.11b和802.11a兩個(gè)新標(biāo)準(zhǔn)。3者之間技術(shù)上的主要差異在于MAC子層和物理層。 802.11b物理層支持5.5Mpbs和11Mpbs兩個(gè)新速率。802.11標(biāo)準(zhǔn)在擴(kuò)頻時(shí)是一個(gè)11位調(diào)制芯片，而802.11b標(biāo)準(zhǔn)采用一種新的調(diào)制技術(shù)CCK完成。

6、 802.11b使用動(dòng)態(tài)速率漂移，可因環(huán)境變化，在11Mbps、5.5Mbps、2Mbps、1Mbps之間切換，且在2Mbps、1Mbps速率時(shí)與802.11兼容。802.11b的產(chǎn)品普及率最高，在眾多的標(biāo)準(zhǔn)中處于先導(dǎo)地位。見教材P 254 802.11g協(xié)議于2003年6月正式推出，它是在802.11b協(xié)議的根底上改進(jìn)的協(xié)議，支持2.4GHz工作頻率以及DSSS技術(shù)，并結(jié)合了802.11a協(xié)議高速的特點(diǎn)以及OFDM技術(shù)。這樣802.11g協(xié)議即可以實(shí)現(xiàn)11Mbps傳輸速率，保持對(duì)802.11b的兼容，又可以實(shí)現(xiàn)54Mbps高傳輸速率。 隨著人們對(duì)無線局域網(wǎng)數(shù)據(jù)傳輸?shù)囊螅?02.11g協(xié)議也

7、已經(jīng)慢慢普及到無線局域網(wǎng)中，和802.11b協(xié)議的產(chǎn)品一起占據(jù)了無線局域網(wǎng)市場(chǎng)的大局部。而且，局部加強(qiáng)型的802.11g產(chǎn)品已經(jīng)步入無線百兆時(shí)代。 歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)ETSI(European Telecommunications Standards Institute) HiperLan是歐盟在1992年提出的一個(gè)WLAN標(biāo)準(zhǔn)，HiperLan2是它的后續(xù)版本，HiperLan2局部建立在GSMGlobal System for Mobile Communications，全球移動(dòng)通訊系統(tǒng)根底上，使用頻段為5GHz。在物理層上HiperLan2和802.11a幾乎完全相同。它采用OFDM技術(shù)

8、，最大數(shù)據(jù)速率為54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太網(wǎng)根底上的，而是采用的TDMA結(jié)構(gòu)，形成是一個(gè)面向連接的網(wǎng)絡(luò)，HiperLan2的面向連接的特性使它很容易滿足QoSQuality of Service，效勞質(zhì)量要求，可以為每個(gè)連接分配一個(gè)指定的QoS，確定這個(gè)連接在帶寬、延遲、擁塞、比特錯(cuò)誤率等方面的要求。這種QoS支持與高傳輸速率一起保證了不同的數(shù)據(jù)序列如視頻、話音和數(shù)據(jù)等可以同時(shí)進(jìn)行高速傳輸。 10.2.2 ETSI的HiperLan2 10.2.3 HomeRF HomeRF是IEEE802.11與DECTDigital Enhanced Co

9、rdless Telecommunications 數(shù)字增強(qiáng)無繩通信的結(jié)合，使用這種技術(shù)能降低語音數(shù)據(jù)本錢。與前幾種技術(shù)一樣，使用開放的2.4GHz頻段。采用跳頻擴(kuò)頻FHSS技術(shù)，跳頻速率為50跳/秒, 共有75個(gè)帶寬為1MHz的跳頻信道。 HomeRF把共享無線接入?yún)f(xié)議SWAP作為未來家庭聯(lián)網(wǎng)的技術(shù)指標(biāo)，基于該協(xié)議的網(wǎng)絡(luò)是對(duì)等網(wǎng)，因此該協(xié)議主要針對(duì)家庭無線局域網(wǎng)。其數(shù)據(jù)通信采用簡(jiǎn)化的IEEE802.11協(xié)議標(biāo)準(zhǔn)，沿用類似與以太網(wǎng)技術(shù)中的沖突檢測(cè)的載波監(jiān)聽多址技術(shù)CSMA/CDCSMA/CA。語音通信采用DECTDigital Enhanced Cordless Telephony標(biāo)準(zhǔn)，使用T

10、DMA時(shí)分多址技術(shù)。 10.3.1 WEP協(xié)議 IEEE802.11標(biāo)準(zhǔn)中的WEPWired Equivalent Privacy協(xié)議是IEEE802.11b協(xié)議中最根本的無線平安加密措施，其主要用途包括提供接入控制，防止未授權(quán)用戶訪問網(wǎng)絡(luò)；對(duì)數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被攻擊者竊聽；防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造。此外，WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP時(shí)，AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，如果正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。AboveCable所有型號(hào)的AP都支持64位或與128位

11、的靜態(tài)WEP加密，有效地防止數(shù)據(jù)被竊聽盜用。 10.3無線局域網(wǎng)平安協(xié)議 10.3.2 IEEE 802.11i平安標(biāo)準(zhǔn) IEEE 802.11的i工作組致力于制訂被稱為IEEE 802.11i的新一代平安標(biāo)準(zhǔn)，這種平安標(biāo)準(zhǔn)為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了RSNRobust Security Network的概念，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。 IEEE 802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIPTemporal Key Integrity Protocol、CCMPCounterModeCBCMAC Protocol和

12、WRAPWireless Robust Authenticated Protocol三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法到達(dá)提高WLAN平安的目的。CCMP機(jī)制基于AESAdvanced Encryption Standard加密算法和CCMCounterModeCBCMAC認(rèn)證方式，使得WLAN的平安程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。由于AES對(duì)硬件要求比較高，因此CCMP無法通過在現(xiàn)有設(shè)備的根底上進(jìn)行升級(jí)實(shí)現(xiàn)。我國(guó)早在2003年5月份就提出了無線局域網(wǎng)國(guó)家標(biāo)準(zhǔn) GB15629.11 ，這是目前我國(guó)在這一領(lǐng)域

13、惟一獲得批準(zhǔn)的協(xié)議。標(biāo)準(zhǔn)中包含了全新的WAPIWLAN Authentication and Privacy Infrastructure平安機(jī)制，這種平安機(jī)制由 WAIWLAN Authentication Infrastructure和WPIWLAN Privacy Infrastructure兩局部組成，WAI和WPI分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和對(duì)傳輸?shù)臄?shù)據(jù)加密。WAPI能為用戶的WLAN系統(tǒng)提供全面的平安保護(hù)。WAPI平安機(jī)制包括兩個(gè)組成局部。 具體見教材P257。10.3.3 WAPI協(xié)議 擴(kuò)頻技術(shù)擴(kuò)頻技術(shù)是軍方為了通訊平安而首先提出的。它從一開始就被設(shè)計(jì)成為駐留在噪聲中，一直干擾和越

14、權(quán)接收的。擴(kuò)頻傳輸是將非常低的能量在一系列的頻率范圍中發(fā)送，明顯地區(qū)別于窄帶的無線電技術(shù)的集中所有能量在一個(gè)信號(hào)頻率中的方式進(jìn)行傳輸。通常有幾種方法來實(shí)現(xiàn)擴(kuò)頻傳輸，最常用的是直序擴(kuò)頻和跳頻擴(kuò)頻。一些無線局域網(wǎng)產(chǎn)品在ISM波段的2.42.4835GHz范圍內(nèi)傳輸信號(hào)，在這個(gè)范圍內(nèi)可以得到79個(gè)隔離的不同通道，無線信號(hào)被發(fā)送到成為隨機(jī)序列排列的每一個(gè)通道上例如通道1、32、67、42。無線電波每秒鐘變換頻率許屢次，將無線信號(hào)按順序發(fā)送到每一個(gè)通道上，并在每一通道上停留固定的時(shí)間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時(shí)間和跳頻圖案，系統(tǒng)外的站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同

15、的跳頻圖案、駐留時(shí)間和通道數(shù)量可以使相鄰的不相交的幾個(gè)無線網(wǎng)絡(luò)之間沒有相互干擾，也不用擔(dān)憂網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲。 10.4無線網(wǎng)絡(luò)主要信息平安技術(shù) 即在無線網(wǎng)的站點(diǎn)上使用口令控制，當(dāng)然未必局限于無線網(wǎng)。當(dāng)前一些主要的網(wǎng)絡(luò)操作系統(tǒng)和效勞器均提供了包括口令管理在內(nèi)的內(nèi)建多級(jí)平安效勞?？诹顟?yīng)處于嚴(yán)格的控制之下并經(jīng)常予以變更。由于WLAN的用戶包括移動(dòng)用戶，而移動(dòng)用戶傾向于把他們的筆記本電腦移來移去，因此，嚴(yán)格的口令策略等于增加了一個(gè)平安級(jí)別，它有助于確認(rèn)網(wǎng)站是否正被合法的用戶使用。 建議在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與Novell NetWare和Microsoft Windows

16、NT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動(dòng)設(shè)備的漫游用戶，所以精確的密碼策略是增加一個(gè)平安級(jí)別，這可以確保工作站只被授權(quán)人使用。 10.4.2 用戶認(rèn)證和口令控制 1. WEPWired Equivalent Privacy加密配置 WEP加密配置是確保經(jīng)過授權(quán)的WLAN用戶不被竊聽的驗(yàn)證算法，是IEEE協(xié)會(huì)為了解決無線網(wǎng)絡(luò)的平安性而在802.11中提出的解決方法。 數(shù)據(jù)加密 2.無線網(wǎng)絡(luò)加密技術(shù)之WPA-PSK(TKIP)無線網(wǎng)絡(luò)最初采用的平安機(jī)制是WEP(有線等效私密)，但是后來發(fā)現(xiàn)WEP是很不平安的，802.11組織開始著手制定新的平安標(biāo)準(zhǔn)，也就是后來的802.11

17、i協(xié)議。但是標(biāo)準(zhǔn)的制定到最后的發(fā)布需要較長(zhǎng)的時(shí)間，而且考慮到消費(fèi)者不會(huì)因?yàn)闉榱司W(wǎng)絡(luò)的平安性而放棄原來的無線設(shè)備，因此Wi-Fi聯(lián)盟在標(biāo)準(zhǔn)推出之前，在802.11i草案的根底上，制定了一種稱為WPA(Wi-FiProctedAccess)的平安機(jī)制，它使用TKIP(TemporalKeyIntegrity Protocol:臨時(shí)密鑰完整性協(xié)議)，它使用的加密算法還是WEP中使用的加密算法RC4，所以不需要修改原來無線設(shè)備的硬件，WPA針對(duì)WEP中存在的問題：IV(初始化向量)過短、密鑰管理過于簡(jiǎn)單、對(duì)消息完整性沒有有效的保護(hù)，通過軟件升級(jí)的方法提高網(wǎng)絡(luò)的平安性。 3. 無線網(wǎng)絡(luò)加密技術(shù)之WPA2

18、-PSK(AES) 在802.11i公布之后，Wi-Fi聯(lián)盟推出了WPA2，它支持AES(高級(jí)加密算法)，因此它需要新的硬件支持，它使用CCMP(計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議)。在WPA/WPA2中，PTK的生成依賴PMK，而PMK獲的有兩種方式，一個(gè)是PSK的形式就是預(yù)共享密鑰，在這種方式中PMK=PSK，而另一種方式中，需要認(rèn)證效勞器和站點(diǎn)進(jìn)行協(xié)商來產(chǎn)生PMK。IEEE802.11所制定的是技術(shù)性標(biāo)準(zhǔn),Wi-Fi聯(lián)盟所制定的是商業(yè)化標(biāo)準(zhǔn),而Wi-Fi所制定的商業(yè)化標(biāo)準(zhǔn)根本上也都符合IEEE所制定的技術(shù)性標(biāo)準(zhǔn)。WPA(Wi-FiProtectedAccess)事實(shí)上就是由Wi-Fi聯(lián)盟所

19、制定的平安性標(biāo)準(zhǔn),這個(gè)商業(yè)化標(biāo)準(zhǔn)存在的目的就是為了要支持IEEE802.11i這個(gè)以技術(shù)為導(dǎo)向的平安性標(biāo)準(zhǔn)。而WPA2其實(shí)就是WPA的第二個(gè)版本。WPA之所以會(huì)出現(xiàn)兩個(gè)版本的原因就在于Wi-Fi聯(lián)盟的商業(yè)化運(yùn)作。 10.5無線網(wǎng)絡(luò)設(shè)備 無線網(wǎng)卡 目前，常見的無線網(wǎng)卡大多為PCMCIA、PCI和USB三種類型。無線網(wǎng)卡是終端無線網(wǎng)絡(luò)的設(shè)備，是無線局域網(wǎng)的無線覆蓋下通過無線連接網(wǎng)絡(luò)進(jìn)行上網(wǎng)使用的無線終端設(shè)備。具體來說無線網(wǎng)卡就是使你的電腦可以利用無線來上網(wǎng)的一個(gè)裝置，但是有了無線網(wǎng)卡也還需要一個(gè)可以連接的無線網(wǎng)絡(luò)，如果你在家里或者所在地有無線路由器或者無線AP的覆蓋，就可以通過無線網(wǎng)卡以無線的方式

20、連接無線網(wǎng)絡(luò)可上網(wǎng)。 1.無線網(wǎng)卡標(biāo)準(zhǔn)上區(qū)分無線網(wǎng)卡按無線標(biāo)準(zhǔn)可定為IEEE 802.11b、IEEE 802.11a、IEEE 802.11g。在頻段上來說802.11a標(biāo)準(zhǔn)為5.8GHz頻段，802.11b、802.11g標(biāo)準(zhǔn)為2.4GHz頻段。從傳輸速率上來說802.11b使用了DSSS直接序列擴(kuò)頻或CCK補(bǔ)碼鍵控調(diào)制，傳輸速率為11Mbps，而802.11g和802.11a使用相同的OFDM正交頻分復(fù)用調(diào)制技術(shù)，使其傳輸速率是b的5倍，也就是54Mbps。兼容上來說802.11a不兼容802.11b，但是可以兼容802.11g，而802.11g和802.11b兩種標(biāo)準(zhǔn)可以相互兼容使用，

21、但在使用時(shí)仍需注意，802.11g的設(shè)備在802.11b的網(wǎng)絡(luò)環(huán)境下使用只能使用802.11b標(biāo)準(zhǔn)，其數(shù)據(jù)數(shù)率只能到達(dá)11Mbps。 2.無線網(wǎng)卡接口上區(qū)分 圖10-2 PCI接口無線網(wǎng)卡 圖10-3 PCMICA接口網(wǎng)卡 圖10-4 USB無線網(wǎng)卡圖10-5 MINI-PCI無線網(wǎng)卡3.無線網(wǎng)卡網(wǎng)絡(luò)制式上區(qū)分無線上網(wǎng)卡它是目前無線廣域通信網(wǎng)絡(luò)應(yīng)用廣泛的上網(wǎng)介質(zhì)。目前，由于我國(guó)只有中國(guó)移動(dòng)的GPRS和中國(guó)聯(lián)通的CDMA (1X)兩種網(wǎng)絡(luò)制式，所以常見的無線上網(wǎng)卡就包括CDMA無線上網(wǎng)卡和GPRS無線上網(wǎng)卡兩類。另外還有一種CDPD無線上網(wǎng)卡。 1CDMA無線上網(wǎng)卡CDMA(Code Divis

22、ion Multiple Access，碼分多址)無線上網(wǎng)卡是針對(duì)中國(guó)聯(lián)通的CDMA網(wǎng)絡(luò)推出來的上網(wǎng)連接設(shè)備。CDMA 允許所有的使用者同時(shí)使用全部頻帶，并且把其他使用者發(fā)出的訊號(hào)視為雜訊，完全不必考慮到訊號(hào)碰撞 (collision) 的問題。 中國(guó)聯(lián)通 CDMA1000 清華同方 TF CDMA6000 雅美達(dá) CDMA上網(wǎng)卡 2GPRS無線上網(wǎng)卡GPRS上網(wǎng)卡是針對(duì)中國(guó)移動(dòng)的GPRS網(wǎng)絡(luò)推出來的無線上網(wǎng)設(shè)備。GPRS的英文全稱為“General Packet Radio Service，中文含義為“通用分組無線效勞，它是利用“包交換Packet-Switched的概念所開展出的一套無線傳

23、輸方式。所謂的包交換就是將Date封裝成許多獨(dú)立的封包，再將這些封包一個(gè)一個(gè)傳送出去，形式上有點(diǎn)類似寄包裹，采用包交換的好處是只有在有資料需要傳送時(shí)才會(huì)占用頻寬，而且可以以傳輸?shù)馁Y料量計(jì)價(jià)，這對(duì)用戶來說是比較合理的計(jì)費(fèi)方式，因?yàn)橄馡nternet這類的數(shù)據(jù)傳輸大多數(shù)的時(shí)間頻寬是間置的。 3CDPD無線上網(wǎng)卡CDPD蜂窩數(shù)字分組數(shù)據(jù)-Cellular Digital Packet Data采用分組數(shù)據(jù)方式，是目前公認(rèn)的最正確無線公共網(wǎng)絡(luò)數(shù)據(jù)通信規(guī)程。它是建立在TCP/IP根底上的一種開放系統(tǒng)結(jié)構(gòu)，將開放式接口、高傳輸速度、用戶單元確定、空中鏈路加密、空中數(shù)據(jù)加密、壓縮數(shù)據(jù)糾錯(cuò)和重發(fā)和運(yùn)用世界標(biāo)準(zhǔn)

24、的IP尋址模式無線接入有力的結(jié)合在一起，提供同層網(wǎng)絡(luò)的無縫連接、多協(xié)議網(wǎng)絡(luò)效勞。CDPD具有速度快19.2kbps，數(shù)據(jù)平安性高等特點(diǎn)，它支持用戶越區(qū)切換和全網(wǎng)漫游、播送和群呼，支持移動(dòng)速度達(dá)100km/h的數(shù)據(jù)用戶，可與公用有線數(shù)據(jù)網(wǎng)絡(luò)互聯(lián)互通。10.5.2無線網(wǎng)橋Wireless Bridge 無線網(wǎng)橋Wireless Bridge的功能在于提供兩個(gè)點(diǎn)之間通信的無線鏈路，可以使用兩個(gè)或多個(gè)無線網(wǎng)橋?qū)⒈舜朔珠_的局域網(wǎng)連接在一起。如圖10-6所示是一款艾克賽爾AX9400EDU系列產(chǎn)品。 圖10-6 無線網(wǎng)橋 10.5.3天線 無線網(wǎng)絡(luò)互連需要配合使用天線Antenna。根據(jù)天線的功能特性，可

25、以分為定向天線，全向天線和扇區(qū)天線，分別適合點(diǎn)對(duì)點(diǎn)，點(diǎn)對(duì)多點(diǎn)和區(qū)域覆蓋使用。如圖10-7所示是一款家用無線網(wǎng)絡(luò)天線。 10.5.4 AP接入點(diǎn) APAccess Point一般俗稱為網(wǎng)絡(luò)橋接器，顧名思義即是當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無線局域網(wǎng)絡(luò)之橋梁，因此任何一臺(tái)裝有無線網(wǎng)卡之PC均可透過AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)之資源。除此之外，AP本身又兼具有網(wǎng)管之功能，可針對(duì)接有無線網(wǎng)絡(luò)卡之PC作必要之控管。如圖10-8是一款WAB102無線AP接入點(diǎn)。 10.6 無線網(wǎng)絡(luò)的平安缺陷與解決方案 無線網(wǎng)絡(luò)的平安缺陷 1 容易侵入無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送

26、有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。因?yàn)槿魏稳说挠?jì)算機(jī)都可以通過自己購置的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多部門未通過公司IT中心授權(quán)就自建無線局域網(wǎng)，用戶通過非法AP接入給網(wǎng)絡(luò)帶來很大平安隱患。如果你能買到Y(jié)agi外置天線和3-dB磁性HyperGain漫射天線硬盤，拿著它到各大寫字樓里走一圈，你也許就能進(jìn)入那些大公司的無線局域網(wǎng)絡(luò)里，做你想要做的一切。或者再簡(jiǎn)單一點(diǎn)，對(duì)于那些防范手段差的公司來說，用一塊802.11b無線網(wǎng)卡也可以進(jìn)入他們的網(wǎng)絡(luò)這種事時(shí)常在美國(guó)發(fā)生。 3 惡

27、意攻擊除通過欺騙幀進(jìn)行攻擊外，攻擊者還可以通過截獲會(huì)話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，通過監(jiān)測(cè)AP發(fā)出的播送幀發(fā)現(xiàn)AP的存在。然而，由于802.11沒有要求AP必須證明自己真是一個(gè)AP，攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，通過這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒有采用802.11i對(duì)每一個(gè)802.11 MAC幀進(jìn)行認(rèn)證的技術(shù)前，通過會(huì)話攔截實(shí)現(xiàn)的網(wǎng)絡(luò)入侵是無法防止的。 10.6.2 無線網(wǎng)絡(luò)平安防范措施 1、隱藏效勞設(shè)定標(biāo)識(shí)SSID我們購置一個(gè)無線路由器后，默認(rèn)的SSID一般都和該路由器的品牌相關(guān)聯(lián)，黑客可以輕松通過SSID知道路由器品牌。我們可以在無線路由的管理界面上，修改

28、這個(gè)SSID，改成自己喜歡的名字，這樣就在一定程度上隱蔽無線路由。 2、修改用戶名和密碼 一般路由器或中繼器設(shè)備制造商為了便于用戶設(shè)置這些設(shè)備建立起無線網(wǎng)絡(luò)，都提供了一個(gè)管理頁面工具，用來設(shè)置該設(shè)備的網(wǎng)絡(luò)地址以及帳號(hào)等信息。然而在設(shè)備出售時(shí)，制造商給每一個(gè)型號(hào)的設(shè)備提供的默認(rèn)用戶名和密碼都是一樣的，如果沒有修改設(shè)備的默認(rèn)的用戶名和密碼，就給黑客們提供了有機(jī)可乘。他們只要通過簡(jiǎn)單的掃描工具很容易就能找出這些設(shè)備的地址并嘗試用默認(rèn)的用戶名和密碼去登陸管理頁面，如果成功那么立即取得該路由器/交換機(jī)的控制權(quán)。 3、無線網(wǎng)絡(luò)加密加密可以使得沒有密鑰的人無法登錄到你的網(wǎng)絡(luò)上來，一般無線路由都提供兩種加密標(biāo)

29、準(zhǔn)：無線對(duì)等協(xié)議WEP和Wi-Fi保護(hù)接入WPA。WEP要比WPA老，但是不如WPA平安。目前破解“無線路由器密碼，指的就是破解WEP密碼。所以，采用WPA會(huì)更平安些，起碼給黑客制造更多的麻煩。 4、縮小IP地址范圍當(dāng)計(jì)算機(jī)連接到無線網(wǎng)絡(luò)的時(shí)候，無線路由器通常會(huì)分給一個(gè)IP地址，用他來瀏覽網(wǎng)頁或連接外部互聯(lián)網(wǎng)。通常情況下，無線路由器會(huì)給連接到無線網(wǎng)絡(luò)中來的每一臺(tái)機(jī)器分配一個(gè)IP，縮小IP地址范圍，就可以限制連接到無線網(wǎng)絡(luò)中計(jì)算機(jī)的數(shù)量。理想的情況下，假設(shè)我們網(wǎng)絡(luò)中的計(jì)算機(jī)使用了所有IP地址的話，無線路由器就不會(huì)為入侵者再分配IP地址了。 5、設(shè)置MAC地址過濾 在Windows系統(tǒng)中點(diǎn)選“開始

30、菜單，然后選“運(yùn)行，彈出的對(duì)話框中輸入“cmd ，回車后會(huì)出現(xiàn)命令行窗口。在命令行窗口中輸入 ipconfig /all。尋找名為“Physical Address的這一行，其后所顯示的地址即為該設(shè)備的MAC地址。每一個(gè)網(wǎng)絡(luò)設(shè)備都有唯一的被稱作MAC地址的ID。這樣可以在無線路由器上設(shè)定一個(gè)范圍的MAC地址，不屬于這個(gè)范圍的一律拒之門外。 10.6.3 無線網(wǎng)絡(luò)平安應(yīng)用實(shí)例下面以D-Link無線路由器說明無線局域網(wǎng)絡(luò)的平安配置，D-Link支持以下平安機(jī)制。支持遠(yuǎn)程管理。支持 64 / 128 ( 802 . 11G 位 WEP 無線加密，密碼支持HEX/ASCII雙模式。 提供使用者自訂的訪

31、問控制列表 ACL 機(jī)制，支持等過濾功能。支持 WPA 加密功能 WPATLS / TKIP 。 認(rèn)證Authentication的目的是確認(rèn)對(duì)方身份的合法性，以免與身份不明的對(duì)象溝通，泄漏了重要的機(jī)密。也就是雙方進(jìn)行通信之前，必須先經(jīng)過認(rèn)證的程序。D-Link有支持的認(rèn)證加密方有4種。 1 WEP加密WEP是一種對(duì)稱性的加密技術(shù)，用來加密在WLAN上傳送的資料，為資料保密提供了一定的平安性。WEP必須有相同WEP key的雙方TX及RX才可互相聽得懂。D-Link支持了兩種層級(jí)的WEP加密方式，分別為64位加密和128位加密，越長(zhǎng)的加密代表越平安?？梢赃x擇啟用/禁用WEP加密功能，在默認(rèn)情況

32、下，WEP加密功能是禁用的。WEP密碼可以輕易地變更無線加密設(shè)置以維護(hù)一個(gè)平安的網(wǎng)絡(luò)。方法很簡(jiǎn)單，只要選擇使用于加密網(wǎng)絡(luò)上的無線通信資料的指定密鑰值即可。在64位WEP加密下，必須輸入10個(gè)HEX數(shù)字或是5個(gè)ASCII碼。在128位WEP加密下，必須輸入26個(gè)HEX數(shù)字或是13個(gè)ASCII碼HEX數(shù)字范圍為0-9和A-F。 2. 802.lx平安協(xié)議它是利用憑證方式認(rèn)證的無線網(wǎng)絡(luò)的平安機(jī)制。平安模式密碼選擇加密的方式為64bit 或128bit。對(duì)于802.lx的設(shè)置主要有以下幾項(xiàng)：RADIUS效勞器IP地址。輸入RADISU效勞器的IP地址，供802.lx封包使用。RADIUS端口。RADISU效勞器所使用的通信端口，默認(rèn)標(biāo)準(zhǔn)802.lx RADISU效勞器通信端口為1812。RADIUS密碼。RADIUS效勞器上所設(shè)置的shared Key，此處必須設(shè)置相同的shared Key，D-Link才可與RADIUS效勞器驗(yàn)證溝通。 3.WPA-PSK密碼模式預(yù)先共享密鑰WPA-PSK，只需要在D-Lin