無線網(wǎng)安全與防范培訓(xùn)教材

第10章無線網(wǎng)平安與防范本章內(nèi)容無線網(wǎng)絡(luò)安全概述10.1無線局域網(wǎng)的標(biāo)準(zhǔn)

10.2無線局域網(wǎng)安全協(xié)議

10.3無線網(wǎng)絡(luò)主要信息安全技術(shù)

10.4無線網(wǎng)絡(luò)設(shè)備

10.5引導(dǎo)案例：

為方便上網(wǎng)，半年前張女士在家中安置了一個(gè)無線路由器，最近她卻覺察網(wǎng)絡(luò)速度突然變得很慢。她相當(dāng)疑惑，因?yàn)闊o線路由器明明設(shè)置過密碼，按理說不可能被人竊用網(wǎng)絡(luò)。后來經(jīng)朋友檢查發(fā)現(xiàn)，張女士電腦的‘網(wǎng)上鄰居’里多出一個(gè)陌生的電腦用戶!網(wǎng)絡(luò)被盜用已成不爭(zhēng)的事實(shí)。朋友告訴她，她的無線網(wǎng)絡(luò)已被一種叫“蹭網(wǎng)卡〞的裝置盯上了，因?yàn)槎嗔艘慌_(tái)電腦享用她的網(wǎng)絡(luò)資源，所以網(wǎng)絡(luò)速度明顯變慢。那么如何保障自己的無線網(wǎng)絡(luò)平安使用呢？本章將為大家解決這樣的技術(shù)難題。無線網(wǎng)絡(luò)的安全缺陷與解決方案10.1無線局域網(wǎng)平安的最大問題在于無線通信設(shè)備是在自由空間中進(jìn)行傳輸，而不是像有線網(wǎng)絡(luò)那樣是在一定的物理線纜上進(jìn)行傳輸，因此無法通過對(duì)傳輸媒介的接入控制來保證數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)的用戶獲取。所以，WLAN就面臨一系列的平安問題，而這些問題在有線網(wǎng)絡(luò)中并不存在。無線網(wǎng)絡(luò)存在的平安風(fēng)險(xiǎn)和平安問題主要包括：〔1〕來自網(wǎng)絡(luò)用戶的進(jìn)攻?！?〕來自未認(rèn)證的用戶獲得存取權(quán)。〔3〕來自公司的竊聽泄密等。針對(duì)以上威脅問題，從最初利用ESSID/SSID〔ServiceSetIdentifier，也就是“效勞區(qū)標(biāo)識(shí)符匹配〕、MAC〔MediaAccessControl，介質(zhì)訪問控制〕限制，防止非法無線設(shè)備入侵的訪問控制，到基于WEP〔WiredEquivalentPrivacy〕數(shù)據(jù)加密的解決方案，再到即將成為新標(biāo)準(zhǔn)的，以及從2003年12月1日起我國(guó)開始施行的WLAN產(chǎn)品的新標(biāo)準(zhǔn)WAPI〔無線局域網(wǎng)鑒別和保密根底結(jié)構(gòu)〕，無線網(wǎng)絡(luò)平安技術(shù)在很大的程度上已經(jīng)得到了改善，即使這樣，但要真正構(gòu)建端到端的平安無線網(wǎng)絡(luò)還任重道遠(yuǎn)。無線網(wǎng)絡(luò)安全概述

10.110.2無線局域網(wǎng)的標(biāo)準(zhǔn)在眾多的無線局域網(wǎng)標(biāo)準(zhǔn)中，人們知道最多的是IEEE〔美國(guó)電子電氣工程師協(xié)會(huì)〕系列，此外制定WLAN標(biāo)準(zhǔn)的組織還有ETSI〔歐洲電信標(biāo)準(zhǔn)化組織〕和HomeRF工作組，ETSI提出的標(biāo)準(zhǔn)有HiperLan和HiperLan2，HomeRF工作組的兩個(gè)標(biāo)準(zhǔn)是HomeRF和HomeRF2。在這三家組織所制定的標(biāo)準(zhǔn)中，IEEE的標(biāo)準(zhǔn)系列由于它的以太網(wǎng)標(biāo)準(zhǔn)在業(yè)界的影響力使得在業(yè)界一直得到最廣泛的支持，尤其在數(shù)據(jù)業(yè)務(wù)上。ETSI是一個(gè)歐洲組織，因此一直得到歐洲政府的支持，很多運(yùn)營(yíng)商也都很尊重它的GSM和UMTS蜂窩標(biāo)準(zhǔn)，它在制定WLAN標(biāo)準(zhǔn)的時(shí)候更加關(guān)注語音業(yè)務(wù)。HomeRF作為一種為家庭網(wǎng)絡(luò)專門設(shè)計(jì)的標(biāo)準(zhǔn)在業(yè)界也有一定的影響力。價(jià)格廉價(jià)的筆記本電腦、移動(dòng)和手持式設(shè)備的日趨流行，以及Internet應(yīng)用程序和電子商務(wù)的快速開展，使用戶需要隨時(shí)進(jìn)行網(wǎng)絡(luò)連接。為滿足這些需求，可以使用兩種方法將便攜式設(shè)備連接到網(wǎng)絡(luò)，而沒有電纜所帶來的不便。這兩種標(biāo)準(zhǔn)就是和Bluetooth。是一種11Mb/s無線標(biāo)準(zhǔn)，可為筆記本電腦或桌面電腦用戶提供完全的網(wǎng)絡(luò)效勞10.2.1IEEE的標(biāo)準(zhǔn)系列由于在速率和傳輸距離上都不能滿足人們的需要，因此，IEEE小組又相繼推出了和兩個(gè)新標(biāo)準(zhǔn)。3者之間技術(shù)上的主要差異在于MAC子層和物理層。物理層支持和11Mpbs兩個(gè)新速率。標(biāo)準(zhǔn)在擴(kuò)頻時(shí)是一個(gè)11位調(diào)制芯片，而標(biāo)準(zhǔn)采用一種新的調(diào)制技術(shù)CCK完成。使用動(dòng)態(tài)速率漂移，可因環(huán)境變化，在11Mbps、、2Mbps、1Mbps之間切換，且在2Mbps、1Mbps速率時(shí)與兼容。的產(chǎn)品普及率最高，在眾多的標(biāo)準(zhǔn)中處于先導(dǎo)地位。見教材P254協(xié)議于2003年6月正式推出，它是在協(xié)議的根底上改進(jìn)的協(xié)議，支持工作頻率以及DSSS技術(shù)，并結(jié)合了協(xié)議高速的特點(diǎn)以及OFDM技術(shù)。這樣協(xié)議即可以實(shí)現(xiàn)11Mbps傳輸速率，保持對(duì)的兼容，又可以實(shí)現(xiàn)54Mbps高傳輸速率。隨著人們對(duì)無線局域網(wǎng)數(shù)據(jù)傳輸?shù)囊?，協(xié)議也已經(jīng)慢慢普及到無線局域網(wǎng)中，和協(xié)議的產(chǎn)品一起占據(jù)了無線局域網(wǎng)市場(chǎng)的大局部。而且，局部加強(qiáng)型的產(chǎn)品已經(jīng)步入無線百兆時(shí)代。歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)〔ETSI〕(EuropeanTelecommunicationsStandardsInstitute)HiperLan是歐盟在1992年提出的一個(gè)WLAN標(biāo)準(zhǔn)，HiperLan2是它的后續(xù)版本，HiperLan2局部建立在GSM〔GlobalSystemforMobileCommunications，全球移動(dòng)通訊系統(tǒng)〕根底上，使用頻段為5GHz。在物理層上HiperLan2和幾乎完全相同。它采用OFDM技術(shù)，最大數(shù)據(jù)速率為54Mbps。它和最大的不同是HiperLan2不是建立在以太網(wǎng)根底上的，而是采用的TDMA結(jié)構(gòu)，形成是一個(gè)面向連接的網(wǎng)絡(luò)，HiperLan2的面向連接的特性使它很容易滿足QoS〔QualityofService，效勞質(zhì)量〕要求，可以為每個(gè)連接分配一個(gè)指定的QoS，確定這個(gè)連接在帶寬、延遲、擁塞、比特錯(cuò)誤率等方面的要求。這種QoS支持與高傳輸速率一起保證了不同的數(shù)據(jù)序列〔如視頻、話音和數(shù)據(jù)等〕可以同時(shí)進(jìn)行高速傳輸。10.2.2ETSI的HiperLan210.2.3HomeRFHomeRF是與DECT〔DigitalEnhancedCordlessTelecommunications數(shù)字增強(qiáng)無繩通信〕的結(jié)合，使用這種技術(shù)能降低語音數(shù)據(jù)本錢。與前幾種技術(shù)一樣，使用開放的頻段。采用跳頻擴(kuò)頻〔FHSS〕技術(shù)，跳頻速率為50跳/秒,共有75個(gè)帶寬為1MHz的跳頻信道。HomeRF把共享無線接入?yún)f(xié)議〔SWAP〕作為未來家庭聯(lián)網(wǎng)的技術(shù)指標(biāo)，基于該協(xié)議的網(wǎng)絡(luò)是對(duì)等網(wǎng)，因此該協(xié)議主要針對(duì)家庭無線局域網(wǎng)。其數(shù)據(jù)通信采用簡(jiǎn)化的協(xié)議標(biāo)準(zhǔn)，沿用類似與以太網(wǎng)技術(shù)中的沖突檢測(cè)的載波監(jiān)聽多址技術(shù)〔CSMA/CD〕CSMA/CA。語音通信采用DECT〔DigitalEnhancedCordlessTelephony〕標(biāo)準(zhǔn)，使用TDMA時(shí)分多址技術(shù)。10.3.1WEP協(xié)議標(biāo)準(zhǔn)中的WEP〔WiredEquivalentPrivacy〕協(xié)議是協(xié)議中最根本的無線平安加密措施，其主要用途包括提供接入控制，防止未授權(quán)用戶訪問網(wǎng)絡(luò)；對(duì)數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被攻擊者竊聽；防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造。此外，WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP時(shí)，AP會(huì)發(fā)出一個(gè)ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，如果正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。AboveCable所有型號(hào)的AP都支持64位或〔與〕128位的靜態(tài)WEP加密，有效地防止數(shù)據(jù)被竊聽盜用。無線局域網(wǎng)平安協(xié)議10.3.2IEEE802.11i平安標(biāo)準(zhǔn)的i工作組致力于制訂被稱為的新一代平安標(biāo)準(zhǔn)，這種平安標(biāo)準(zhǔn)為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了RSN〔RobustSecurityNetwork〕的概念，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。規(guī)定使用認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP〔TemporalKeyIntegrityProtocol〕、CCMP〔Counter－Mode／CBC－MACProtocol〕和WRAP〔WirelessRobustAuthenticatedProtocol〕三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法到達(dá)提高WLAN平安的目的。CCMP機(jī)制基于AES〔AdvancedEncryptionStandard〕加密算法和CCM〔Counter－Mode／CBC－MAC〕認(rèn)證方式，使得WLAN的平安程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。由于AES對(duì)硬件要求比較高，因此CCMP無法通過在現(xiàn)有設(shè)備的根底上進(jìn)行升級(jí)實(shí)現(xiàn)。我國(guó)早在2003年5月份就提出了無線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11，這是目前我國(guó)在這一領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。標(biāo)準(zhǔn)中包含了全新的WAPI〔WLANAuthenticationandPrivacyInfrastructure〕平安機(jī)制，這種平安機(jī)制由WAI〔WLANAuthenticationInfrastructure〕和WPI〔WLANPrivacyInfrastruc－ture〕兩局部組成，WAI和WPI分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和對(duì)傳輸?shù)臄?shù)據(jù)加密。WAPI能為用戶的WLAN系統(tǒng)提供全面的平安保護(hù)。WAPI平安機(jī)制包括兩個(gè)組成局部。具體見教材P257。10.3.3WAPI協(xié)議

擴(kuò)頻技術(shù)擴(kuò)頻技術(shù)是軍方為了通訊平安而首先提出的。它從一開始就被設(shè)計(jì)成為駐留在噪聲中，一直干擾和越權(quán)接收的。擴(kuò)頻傳輸是將非常低的能量在一系列的頻率范圍中發(fā)送，明顯地區(qū)別于窄帶的無線電技術(shù)的集中所有能量在一個(gè)信號(hào)頻率中的方式進(jìn)行傳輸。通常有幾種方法來實(shí)現(xiàn)擴(kuò)頻傳輸，最常用的是直序擴(kuò)頻和跳頻擴(kuò)頻。一些無線局域網(wǎng)產(chǎn)品在ISM波段的～范圍內(nèi)傳輸信號(hào)，在這個(gè)范圍內(nèi)可以得到79個(gè)隔離的不同通道，無線信號(hào)被發(fā)送到成為隨機(jī)序列排列的每一個(gè)通道上〔例如通道1、32、67、42……〕。無線電波每秒鐘變換頻率許屢次，將無線信號(hào)按順序發(fā)送到每一個(gè)通道上，并在每一通道上停留固定的時(shí)間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時(shí)間和跳頻圖案，系統(tǒng)外的站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時(shí)間和通道數(shù)量可以使相鄰的不相交的幾個(gè)無線網(wǎng)絡(luò)之間沒有相互干擾，也不用擔(dān)憂網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲。無線網(wǎng)絡(luò)主要信息平安技術(shù)即在無線網(wǎng)的站點(diǎn)上使用口令控制，當(dāng)然未必局限于無線網(wǎng)。當(dāng)前一些主要的網(wǎng)絡(luò)操作系統(tǒng)和效勞器均提供了包括口令管理在內(nèi)的內(nèi)建多級(jí)平安效勞?？诹顟?yīng)處于嚴(yán)格的控制之下并經(jīng)常予以變更。由于WLAN的用戶包括移動(dòng)用戶，而移動(dòng)用戶傾向于把他們的筆記本電腦移來移去，因此，嚴(yán)格的口令策略等于增加了一個(gè)平安級(jí)別，它有助于確認(rèn)網(wǎng)站是否正被合法的用戶使用。建議在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與NovellNetWare和MicrosoftWindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動(dòng)設(shè)備的漫游用戶，所以精確的密碼策略是增加一個(gè)平安級(jí)別，這可以確保工作站只被授權(quán)人使用。10.4.2用戶認(rèn)證和口令控制

1.WEP〔WiredEquivalentPrivacy〕加密配置WEP加密配置是確保經(jīng)過授權(quán)的WLAN用戶不被竊聽的驗(yàn)證算法，是IEEE協(xié)會(huì)為了解決無線網(wǎng)絡(luò)的平安性而在中提出的解決方法。數(shù)據(jù)加密2.無線網(wǎng)絡(luò)加密技術(shù)之WPA-PSK(TKIP)無線網(wǎng)絡(luò)最初采用的平安機(jī)制是WEP(有線等效私密)，但是后來發(fā)現(xiàn)WEP是很不平安的，組織開始著手制定新的平安標(biāo)準(zhǔn)，也就是后來的協(xié)議。但是標(biāo)準(zhǔn)的制定到最后的發(fā)布需要較長(zhǎng)的時(shí)間，而且考慮到消費(fèi)者不會(huì)因?yàn)闉榱司W(wǎng)絡(luò)的平安性而放棄原來的無線設(shè)備，因此Wi-Fi聯(lián)盟在標(biāo)準(zhǔn)推出之前，在草案的根底上，制定了一種稱為WPA(Wi-FiProctedAccess)的平安機(jī)制，它使用TKIP(TemporalKeyIntegrityProtocol:臨時(shí)密鑰完整性協(xié)議)，它使用的加密算法還是WEP中使用的加密算法RC4，所以不需要修改原來無線設(shè)備的硬件，WPA針對(duì)WEP中存在的問題：IV(初始化向量)過短、密鑰管理過于簡(jiǎn)單、對(duì)消息完整性沒有有效的保護(hù)，通過軟件升級(jí)的方法提高網(wǎng)絡(luò)的平安性。3.無線網(wǎng)絡(luò)加密技術(shù)之WPA2-PSK(AES)在公布之后，Wi-Fi聯(lián)盟推出了WPA2，它支持AES(高級(jí)加密算法)，因此它需要新的硬件支持，它使用CCMP(計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議)。在WPA/WPA2中，PTK的生成依賴PMK，而PMK獲的有兩種方式，一個(gè)是PSK的形式就是預(yù)共享密鑰，在這種方式中PMK=PSK，而另一種方式中，需要認(rèn)證效勞器和站點(diǎn)進(jìn)行協(xié)商來產(chǎn)生PMK。所制定的是技術(shù)性標(biāo)準(zhǔn),Wi-Fi聯(lián)盟所制定的是商業(yè)化標(biāo)準(zhǔn),而Wi-Fi所制定的商業(yè)化標(biāo)準(zhǔn)根本上也都符合IEEE所制定的技術(shù)性標(biāo)準(zhǔn)。WPA(Wi-FiProtectedAccess)事實(shí)上就是由Wi-Fi聯(lián)盟所制定的平安性標(biāo)準(zhǔn),這個(gè)商業(yè)化標(biāo)準(zhǔn)存在的目的就是為了要支持這個(gè)以技術(shù)為導(dǎo)向的平安性標(biāo)準(zhǔn)。而WPA2其實(shí)就是WPA的第二個(gè)版本。WPA之所以會(huì)出現(xiàn)兩個(gè)版本的原因就在于Wi-Fi聯(lián)盟的商業(yè)化運(yùn)作。10.5無線網(wǎng)絡(luò)設(shè)備無線網(wǎng)卡目前，常見的無線網(wǎng)卡大多為PCMCIA、PCI和USB三種類型。無線網(wǎng)卡是終端無線網(wǎng)絡(luò)的設(shè)備，是無線局域網(wǎng)的無線覆蓋下通過無線連接網(wǎng)絡(luò)進(jìn)行上網(wǎng)使用的無線終端設(shè)備。具體來說無線網(wǎng)卡就是使你的電腦可以利用無線來上網(wǎng)的一個(gè)裝置，但是有了無線網(wǎng)卡也還需要一個(gè)可以連接的無線網(wǎng)絡(luò)，如果你在家里或者所在地有無線路由器或者無線AP的覆蓋，就可以通過無線網(wǎng)卡以無線的方式連接無線網(wǎng)絡(luò)可上網(wǎng)。

1.無線網(wǎng)卡標(biāo)準(zhǔn)上區(qū)分無線網(wǎng)卡按無線標(biāo)準(zhǔn)可定為、、。在頻段上來說標(biāo)準(zhǔn)為頻段，、標(biāo)準(zhǔn)為頻段。從傳輸速率上來說使用了DSSS〔直接序列擴(kuò)頻〕或CCK〔補(bǔ)碼鍵控調(diào)制〕，傳輸速率為11Mbps，而和使用相同的OFDM〔正交頻分復(fù)用調(diào)制〕技術(shù)，使其傳輸速率是b的5倍，也就是54Mbps。兼容上來說不兼容，但是可以兼容，而和兩種標(biāo)準(zhǔn)可以相互兼容使用，但在使用時(shí)仍需注意，的設(shè)備在的網(wǎng)絡(luò)環(huán)境下使用只能使用標(biāo)準(zhǔn)，其數(shù)據(jù)數(shù)率只能到達(dá)11Mbps。2.無線網(wǎng)卡接口上區(qū)分

圖10-2PCI接口無線網(wǎng)卡圖10-3PCMICA接口網(wǎng)卡圖10-4USB無線網(wǎng)卡圖10-5MINI-PCI無線網(wǎng)卡3.無線網(wǎng)卡網(wǎng)絡(luò)制式上區(qū)分無線上網(wǎng)卡它是目前無線廣域通信網(wǎng)絡(luò)應(yīng)用廣泛的上網(wǎng)介質(zhì)。目前，由于我國(guó)只有中國(guó)移動(dòng)的GPRS和中國(guó)聯(lián)通的CDMA(1X)兩種網(wǎng)絡(luò)制式，所以常見的無線上網(wǎng)卡就包括CDMA無線上網(wǎng)卡和GPRS無線上網(wǎng)卡兩類。另外還有一種CDPD無線上網(wǎng)卡?！?〕CDMA無線上網(wǎng)卡CDMA(CodeDivisionMultipleAccess，碼分多址)無線上網(wǎng)卡是針對(duì)中國(guó)聯(lián)通的CDMA網(wǎng)絡(luò)推出來的上網(wǎng)連接設(shè)備。CDMA允許所有的使用者同時(shí)使用全部頻帶，并且把其他使用者發(fā)出的訊號(hào)視為雜訊，完全不必考慮到訊號(hào)碰撞(collision)的問題。中國(guó)聯(lián)通CDMA1000

清華同方TFCDMA6000

雅美達(dá)CDMA上網(wǎng)卡

〔2〕GPRS無線上網(wǎng)卡GPRS上網(wǎng)卡是針對(duì)中國(guó)移動(dòng)的GPRS網(wǎng)絡(luò)推出來的無線上網(wǎng)設(shè)備。GPRS的英文全稱為“GeneralPacketRadioService〞，中文含義為“通用分組無線效勞〞，它是利用“包交換〞〔Packet-Switched〕的概念所開展出的一套無線傳輸方式。所謂的包交換就是將Date封裝成許多獨(dú)立的封包，再將這些封包一個(gè)一個(gè)傳送出去，形式上有點(diǎn)類似寄包裹，采用包交換的好處是只有在有資料需要傳送時(shí)才會(huì)占用頻寬，而且可以以傳輸?shù)馁Y料量計(jì)價(jià)，這對(duì)用戶來說是比較合理的計(jì)費(fèi)方式，因?yàn)橄馡nternet這類的數(shù)據(jù)傳輸大多數(shù)的時(shí)間頻寬是間置的?！?〕CDPD無線上網(wǎng)卡CDPD〔蜂窩數(shù)字分組數(shù)據(jù)-CellularDigitalPacketData〕采用分組數(shù)據(jù)方式，是目前公認(rèn)的最正確無線公共網(wǎng)絡(luò)數(shù)據(jù)通信規(guī)程。它是建立在TCP/IP根底上的一種開放系統(tǒng)結(jié)構(gòu)，將開放式接口、高傳輸速度、用戶單元確定、空中鏈路加密、空中數(shù)據(jù)加密、壓縮數(shù)據(jù)糾錯(cuò)和重發(fā)和運(yùn)用世界標(biāo)準(zhǔn)的IP尋址模式無線接入有力的結(jié)合在一起，提供同層網(wǎng)絡(luò)的無縫連接、多協(xié)議網(wǎng)絡(luò)效勞。CDPD具有速度快〔〕，數(shù)據(jù)平安性高等特點(diǎn)，它支持用戶越區(qū)切換和全網(wǎng)漫游、播送和群呼，支持移動(dòng)速度達(dá)100km/h的數(shù)據(jù)用戶，可與公用有線數(shù)據(jù)網(wǎng)絡(luò)互聯(lián)互通。10.5.2無線網(wǎng)橋WirelessBridge無線網(wǎng)橋〔WirelessBridge〕的功能在于提供兩個(gè)點(diǎn)之間通信的無線鏈路，可以使用兩個(gè)或多個(gè)無線網(wǎng)橋?qū)⒈舜朔珠_的局域網(wǎng)連接在一起。如圖10-6所示是一款艾克賽爾AX9400EDU系列產(chǎn)品。圖10-6無線網(wǎng)橋10.5.3天線無線網(wǎng)絡(luò)互連需要配合使用天線〔Antenna〕。根據(jù)天線的功能特性，可以分為定向天線，全向天線和扇區(qū)天線，分別適合點(diǎn)對(duì)點(diǎn)，點(diǎn)對(duì)多點(diǎn)和區(qū)域覆蓋使用。如圖10-7所示是一款家用無線網(wǎng)絡(luò)天線。10.5.4AP接入點(diǎn)AP〔AccessPoint〕一般俗稱為網(wǎng)絡(luò)橋接器，顧名思義即是當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無線局域網(wǎng)絡(luò)之橋梁，因此任何一臺(tái)裝有無線網(wǎng)卡之PC均可透過AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)之資源。除此之外，AP本身又兼具有網(wǎng)管之功能，可針對(duì)接有無線網(wǎng)絡(luò)卡之PC作必要之控管。如圖10-8是一款WAB102無線AP接入點(diǎn)。10.6無線網(wǎng)絡(luò)的平安缺陷與解決方案無線網(wǎng)絡(luò)的平安缺陷1容易侵入無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。因?yàn)槿魏稳说挠?jì)算機(jī)都可以通過自己購(gòu)置的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多部門未通過公司IT中心授權(quán)就自建無線局域網(wǎng)，用戶通過非法AP接入給網(wǎng)絡(luò)帶來很大平安隱患。如果你能買到Y(jié)agi外置天線和3-dB磁性HyperGain漫射天線硬盤，拿著它到各大寫字樓里走一圈，你也許就能進(jìn)入那些大公司的無線局域網(wǎng)絡(luò)里，做你想要做的一切。或者再簡(jiǎn)單一點(diǎn)，對(duì)于那些防范手段差的公司來說，用一塊無線網(wǎng)卡也可以進(jìn)入他們的網(wǎng)絡(luò)——這種事時(shí)常在美國(guó)發(fā)生。3惡意攻擊除通過欺騙幀進(jìn)行攻擊外，攻擊者還可以通過截獲會(huì)話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，通過監(jiān)測(cè)AP發(fā)出的播送幀發(fā)現(xiàn)AP的存在。然而，由于沒有要求AP必須證明自己真是一個(gè)AP，攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，通過這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒有采用對(duì)每一個(gè)802.11MAC幀進(jìn)行認(rèn)證的技術(shù)前，通過會(huì)話攔截實(shí)現(xiàn)的網(wǎng)絡(luò)入侵是無法防止的。10.6.2無線網(wǎng)絡(luò)平安防范措施1、隱藏效勞設(shè)定標(biāo)識(shí)〔SSID〕我們購(gòu)置一個(gè)無線路由器后，默認(rèn)的SSID一般都和該路由器的品牌相關(guān)聯(lián)，黑客可以輕松通過SSID知道路由器品牌。我們可以在無線路由的管理界面上，修改這個(gè)SSID，改成自己喜歡的名字，這樣就在一定程度上隱蔽無線路由。2、修改用戶名和密碼一般路由器或中繼器設(shè)備制造商為了便于用戶設(shè)置這些設(shè)備建立起無線網(wǎng)絡(luò)，都提供了一個(gè)管理頁面工具，用來設(shè)置該設(shè)備的網(wǎng)絡(luò)地址以及帳號(hào)等信息。然而在設(shè)備出售時(shí)，制造商給每一個(gè)型號(hào)的設(shè)備提供的默認(rèn)用戶名和密碼都是一樣的，如果沒有修改設(shè)備的默認(rèn)的用戶名和密碼，就給黑客們提供了有機(jī)可乘。他們只要通過簡(jiǎn)單的掃描工具很容易就能找出這些設(shè)備的地址并嘗試用默認(rèn)的用戶名和密碼去登陸管理頁面，如果成功那么立即取得該路由器/交換機(jī)的控制權(quán)。3、無線網(wǎng)絡(luò)加密加密可以使得沒有密鑰的人無法登錄到你的網(wǎng)絡(luò)上來，一般無線路由都提供兩種加密標(biāo)準(zhǔn)：無線對(duì)等協(xié)議〔WEP〕和Wi-Fi保護(hù)接入〔WPA〕。WEP要比WPA老，但是不如WPA平安。目前破解“無線路由器密碼〞，指的就是破解WEP密碼。所以，采用WPA會(huì)更平安些，起碼給黑客制造更多的麻煩。4、縮小IP地址范圍當(dāng)計(jì)算機(jī)連接到無線網(wǎng)絡(luò)的時(shí)候，無線路由器通常會(huì)分給一個(gè)IP地址，用他來瀏覽網(wǎng)頁或連接外部互聯(lián)網(wǎng)。通常情況下，無線路由器會(huì)給連接到無線網(wǎng)絡(luò)中來的每一臺(tái)機(jī)器分配一個(gè)IP，縮小IP地址范圍，就可以限制連接到無線網(wǎng)絡(luò)中計(jì)算機(jī)的數(shù)量。理想的情況下，假設(shè)我們網(wǎng)絡(luò)中的計(jì)算機(jī)使用了所有IP地址的話，無線路由器就不會(huì)為入侵者再分配IP地址了。5、設(shè)置MAC地址過濾在Windows系統(tǒng)中點(diǎn)選“開始菜單〞，然后選“運(yùn)行〞，彈出的對(duì)話框中輸入“cmd〞，回車后會(huì)出現(xiàn)命令行窗口。在命令行窗口中輸入ipconfig/all。尋找名為“PhysicalAddress〞的這一行，其后所顯示的地址即為該設(shè)備的MAC地址。每一個(gè)網(wǎng)絡(luò)設(shè)備都有唯一的被稱作MAC地址的ID。這樣可以在無線路由器上設(shè)定一個(gè)范圍的MAC地址，不屬于這個(gè)范圍的一律拒之門外。10.6.3無線網(wǎng)絡(luò)平安應(yīng)用實(shí)例下面以D-Link無線路由器說明無線局域網(wǎng)絡(luò)的平安配置，D-Link支持以下平安機(jī)制。支持遠(yuǎn)程管理。支持64/128(802.11G〕位WEP無線加密，密碼支持HEX/ASCII雙模式。提供使用者自訂的訪問控制列表〔ACL〕機(jī)制，支持等過濾功能。支持WPA加密功能〔WPATLS/TKIP〕。認(rèn)證〔Authentication〕的目的是確認(rèn)對(duì)方身份的合法性，以免與身份不明的對(duì)象溝通，泄漏了重要的機(jī)密。也就是雙方進(jìn)行通信之前，必須先經(jīng)過認(rèn)證的程序。D-Link有支持的認(rèn)證〔加密〕方有4種。1WEP加密WEP是一種對(duì)稱性的加密技術(shù)，用來加密在WLAN上傳送的資料，為資料保密提供了一定的平安性。WEP必須有相同WEPkey的雙方〔TX及RX〕才可互相聽得懂。D-Link支持了兩種層級(jí)的WEP加密方式，分別為64位加密和128位加密，越長(zhǎng)的加密代表越平安?？梢赃x擇啟用/禁用WEP加密功能，在默認(rèn)情況下，WEP加密功能是禁用的。WEP密碼可以輕易地變更無線加密設(shè)置以維護(hù)一個(gè)平安的網(wǎng)絡(luò)。方法很簡(jiǎn)單，只要選擇使用于加密網(wǎng)絡(luò)上的無線通信資料的指定密鑰值即可。在64位WEP加密下，必須輸入10個(gè)HEX數(shù)字或是5個(gè)ASCII碼。在128位WEP加密下，必須輸入26個(gè)HEX數(shù)字或是13個(gè)ASCII碼〔HEX數(shù)字范圍為0-9和A-F〕。平安協(xié)議它是利用憑證方式認(rèn)證的無線網(wǎng)絡(luò)的平安機(jī)制。平安模式密碼選擇加密的方式為64bit或128bit。對(duì)于的設(shè)置主要有以下幾項(xiàng)：RADIUS效勞器IP地址。輸入RADISU效勞器的IP地址，供封包使用。RADIUS端口。RADISU效勞器所使用的通信端口，默認(rèn)標(biāo)準(zhǔn)802.lxRADISU效勞器通信端口為1812。RADIUS密碼。RADIUS效勞器上所設(shè)置的sharedKey，此處必須設(shè)置相同的sharedKey，D-Link才可與RADIUS效勞器驗(yàn)證溝通。密碼模式預(yù)先共享密鑰〔WPA-PSK〕，只需要在D-Link吐上輸入單一密碼。只要密碼相符，客戶端便會(huì)獲得無線網(wǎng)絡(luò)的存取權(quán)限。與WPA不同的是，使用WPA-PSK加密是不需要RADIUS效勞器做認(rèn)證的，只要在此輸入密鑰以供認(rèn)證使用即可，可設(shè)置的密鑰長(zhǎng)度為8~64個(gè)字符〔至少8個(gè)字符〕。當(dāng)然，不管選擇了以上何種的認(rèn)證〔加密〕方式，相對(duì)使用者的無線網(wǎng)卡也必須支持才行。密碼模式D-Link所支持的WPA-PSK密碼模式為HEX〔十六進(jìn)制數(shù)字〕及ASCII碼。使用者可以變更密碼模式以符合現(xiàn)有的無線網(wǎng)絡(luò)設(shè)置或是自定義自己的無線網(wǎng)絡(luò)設(shè)置。此處為輸入WPA-PSK加密所使用的密碼；假設(shè)密碼模式選擇為HEX的話，輸入64個(gè)0~9和A~F的十六進(jìn)制數(shù)字，假設(shè)密碼模式選擇為ASCII碼的話，輸入8~63個(gè)ASCII碼。在無線網(wǎng)卡上的密碼設(shè)置必須與此處相同。4.WPAWPA以和延伸認(rèn)證協(xié)議〔EAP〕作為其認(rèn)證機(jī)制的根底。認(rèn)證機(jī)制是由使用者提供某種形式的證明，然后存取網(wǎng)絡(luò)并以該證明來對(duì)