《信息安全》無線局域網(wǎng)安全與管理

無線局域網(wǎng)安全與管理案例經(jīng)常出差的小王登上班機，在登機口從工作人員手中拿到了一張登記卡，上面寫著：“親，你已經(jīng)登上了人工智能航班哦。”登機后，小王獲得了一張Wi-Fi密碼卡，飛機平飛后，用筆記本電腦或Pad搜索無線網(wǎng)絡(luò)，在登錄界面先輸入驗證碼，再輸入Wi-Fi密碼，小王不僅能上微博，還能在微博上通過微軟小冰向其他乘客或空乘“傳紙條”，大大拉近了在同一封閉空間中人們的距離。概述隨著無線網(wǎng)絡(luò)設(shè)備不斷推陳出新、傳輸速率全面邁進G+時代，無線局域網(wǎng)技術(shù)也在不斷發(fā)展，無線網(wǎng)絡(luò)在給人們工作生活帶來便利的同時，安全問題也越顯突出。本章將了解無線局域網(wǎng)的相關(guān)知識，學(xué)習(xí)無線局域網(wǎng)的技術(shù)與組建，認識無線局域網(wǎng)面臨的安全問題，掌握相應(yīng)的安全防護知識和措施。6.1無線局域網(wǎng)概述6.1.1無線局域網(wǎng) 6.1.2無線局域網(wǎng)的組建與典型設(shè)備 6.1.3無線局域網(wǎng)的優(yōu)點 6.1.4無線局域網(wǎng)的標(biāo)準(zhǔn) 無線局域網(wǎng)（WirelessLocalAreaNetwork，WLAN）是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。通俗地說，無線局域就是在不采用傳統(tǒng)電纜線的同時，實現(xiàn)傳統(tǒng)有線局域網(wǎng)的所有功能，而網(wǎng)絡(luò)卻能夠隨著實際需要移動或變化。6.1.1無線局域網(wǎng)（二）無線局域網(wǎng)的發(fā)展歷程1971年，美國夏威夷大學(xué)創(chuàng)造了無線電通信網(wǎng)絡(luò)ALOHNET，被認為是最早的無線局域網(wǎng)絡(luò)。20世紀(jì)70年代至90年代，無線局域網(wǎng)贏得特定市場的認可，成為有線以太網(wǎng)的有效補充。1990年11月，為了順應(yīng)無線局域網(wǎng)的發(fā)展需求，美國國際電子電機學(xué)會（IEEE）成立了802.11委員會，開始制定無線局域網(wǎng)標(biāo)準(zhǔn)。1999年，Wi-Fi聯(lián)盟成立。它的主要目的是在全球范圍內(nèi)推行WLAN產(chǎn)品的兼容認證，發(fā)展802.11技術(shù)。6.1.2無線局域網(wǎng)的組建與典型設(shè)備（一）無線局域網(wǎng)的組建1.組建方式網(wǎng)橋連接型。使用無線網(wǎng)橋的形式實現(xiàn)兩者之間的鏈接，極大的節(jié)省了線路，同時帶來了很大的方便。1.組建方式集線器接入型。要建設(shè)星型結(jié)構(gòu)的無線局域網(wǎng)，通過采用無線集線器進行組建。用這種結(jié)構(gòu)的無線局域網(wǎng)，一般都可以采用交換型的網(wǎng)絡(luò)工作方法，擁有網(wǎng)內(nèi)互換的特點。1.組建方式基站接入型。使用移動蜂窩通信網(wǎng)接入方式進行建設(shè)無線局域網(wǎng)，每個站點之間的信息鏈接可以經(jīng)過基站進行連通，實現(xiàn)數(shù)據(jù)之間的交互。無中心結(jié)構(gòu)。是針對上面的幾種情況而言的，這種結(jié)構(gòu)很容易實現(xiàn)任何的兩個點之間的聯(lián)系，這種結(jié)構(gòu)可以在一些公用的通信場所被使用。（二）無線局域網(wǎng)典型設(shè)備1.無線路由器無線路由器就是帶有無線覆蓋功能的路由器，它主要應(yīng)用于用戶上網(wǎng)和無線覆蓋，其好比是將單純性無線AP和寬帶路由器合二為一的擴展型產(chǎn)品。（二）無線局域網(wǎng)典型設(shè)備1.無線路由器極路由hiwifi360免費wifi（二）無線局域網(wǎng)典型設(shè)備2.無線網(wǎng)卡接收信號的無線網(wǎng)卡是無線局域網(wǎng)的基本單元，是必不可少的。是在無線局域網(wǎng)的信號覆蓋范圍內(nèi)，通過無線連接網(wǎng)絡(luò)進行上網(wǎng)而使用的無線終端設(shè)備。無線網(wǎng)卡與普通網(wǎng)卡相似，不同的是，它通過無線電波而不是物理電纜收發(fā)數(shù)據(jù)，無線網(wǎng)卡為了擴大有效范圍需要加上外部天線。臺式機專用的PCI接口無線網(wǎng)卡筆記本電腦專用的PCMCIA接口網(wǎng)卡筆記本電腦內(nèi)置的MINI-PCI無線網(wǎng)卡USB接口無線網(wǎng)卡2.無線網(wǎng)卡（二）無線局域網(wǎng)典型設(shè)備

3.無線接入點無線接入點（WirelessAccessPoint，AP）的作用是給無線網(wǎng)卡提供網(wǎng)絡(luò)信號。提供無線工作站對有線局域網(wǎng)和從有線局域網(wǎng)對無線工作站的訪問，在訪問接入點覆蓋范圍內(nèi)的無線工作站可以通過它進行相互通信。（二）無線局域網(wǎng)典型設(shè)備4.終端設(shè)備無線局域網(wǎng)的終端設(shè)備包括臺式計算機、筆記本電腦、個人數(shù)字助理（PersonalDigitalAssistant，PDA）等。其中，個人數(shù)字助理也稱為手持設(shè)備，含義廣泛，包括手機、平板、ipod等。6.1.3無線局域網(wǎng)的優(yōu)點便利性

（1）靈活性

（2）漫游

（3）移動性可承受性速度美觀性6.1.4無線局域網(wǎng)的標(biāo)準(zhǔn)1．IEEE802.11802.11是IEEE最初制定的一個無線局域網(wǎng)標(biāo)準(zhǔn)，主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶終端的無線接入，業(yè)務(wù)主要限于數(shù)據(jù)存取。由于802.11在速率和傳輸距離上都不能滿足人們的需要，因此，IEEE小組又相繼推出了802.11b和802.11a、

802.11g、

802.11n等新標(biāo)準(zhǔn)。802.11n標(biāo)準(zhǔn)于2009年發(fā)布，是目前吞吐量最高、支持頻段最多、功能最完善的802.11標(biāo)準(zhǔn)。6.1.4無線局域網(wǎng)的標(biāo)準(zhǔn)2.Bluetooth藍牙（Bluetooth）（IEEE802.15）是愛立信、IBM、英特爾、諾基亞和東芝5家公司共同倡導(dǎo)的一種全球無線技術(shù)標(biāo)準(zhǔn)，于1998年5月提出。Bluetooth是一種低成本、短距離的無線連接技術(shù)標(biāo)準(zhǔn)，也是一種低帶寬、短距離、低功耗的數(shù)據(jù)傳送技術(shù)，主要用于PDA、手機、筆記本電腦等設(shè)備。對于802.11來說，Bluetooth的出現(xiàn)不是為了競爭而是相互補充。藍牙比802.11更具移動性，藍牙成本低、體積小，可用于更多的設(shè)備。但是，藍牙主要是點對點的短距離無線發(fā)送技術(shù)，本質(zhì)上要么是RF（RadioFrequency，射頻），要么是紅外線。6.2無線局域網(wǎng)安全分析與技術(shù)6.2.1無線局域網(wǎng)安全現(xiàn)狀 6.2.2無線攻擊方法 6.2.3基本的無線局域網(wǎng)安全技術(shù) 6.2.1無線局域網(wǎng)安全現(xiàn)狀（一）無線局域網(wǎng)的現(xiàn)狀 1.信號傳播的開放性 2.執(zhí)行標(biāo)準(zhǔn)的缺陷 3.用戶安全意識淡薄6.2.1無線局域網(wǎng)安全現(xiàn)狀（二）無線局域網(wǎng)存在的主要安全問題與威脅

（1）易用性帶來了接入的隨意性

（2）操作系統(tǒng)存在大量的安全漏洞

（3）病毒泛濫

（4）主機狀態(tài)和行為的不可控性

（5）主機信息的任意篡改

（6）黑客的惡意攻擊6.2.2無線攻擊方法找到無線網(wǎng)絡(luò)連上找到的無線網(wǎng)絡(luò)抓取無線網(wǎng)絡(luò)上的信息

基本的無線局域網(wǎng)安全技術(shù)

服務(wù)區(qū)標(biāo)識符（SSID）匹配物理地址（MAC）過濾有線等效保密(WEP)端口訪問控制技術(shù)(IEEE802.1x)和可擴展認證協(xié)議(EAP)WPA(Wi-FiProtectedAccess)IEEE802.11i

6.2.3基本的無線局域網(wǎng)安全技術(shù)（一）服務(wù)集標(biāo)識符（SSID，ServiceSetID）通過對多個無線接入點AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進行區(qū)別限制。6.2.3基本的無線局域網(wǎng)安全技術(shù)（二）物理地址（MAC，MediaAccessController）過濾由于每個無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，是較低級別的授權(quán)認證。6.2.3基本的無線局域網(wǎng)安全技術(shù)（三）端口訪問控制技術(shù)（IEEE802.1x）和可擴展的身份驗證協(xié)議（EAP）IEEE802.1x并不是專為WLAN設(shè)計的，它是一種基于端口的訪問控制技術(shù)。當(dāng)無線工作站與AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認證結(jié)果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶上網(wǎng)。6.2.3基本的無線局域網(wǎng)安全技術(shù)（四）有線等效保密（WEP，WiredEquivalentProtection）在IEEE802.11中，定義了有線等效保密WEP標(biāo)準(zhǔn)來對無線傳送的數(shù)據(jù)進行加密，WEP的核心是在鏈路層采用RC4（RonRivestCipher4）對稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同時才能獲準(zhǔn)使用網(wǎng)絡(luò)的資源，從而防止非法用戶的監(jiān)聽以及非法用戶的訪問。WEP仍然存在許多缺陷，現(xiàn)在逐步由WPA所取代。6.2.3基本的無線局域網(wǎng)安全技術(shù)（五）Wi-Fi保護接入（WPA/WPA2）WPA改進了WEP所使用密鑰的安全性和算法，它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全，還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造。WPA標(biāo)準(zhǔn)是代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議，為802.11無線局域網(wǎng)提供更強大的安全性能。認證。加密。消息完整性校驗（MIC）6.2.3基本的無線局域網(wǎng)安全技術(shù)（六）IEEE802.11i為了進一步加強無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容，802.11工作組開發(fā)了作為新的安全標(biāo)準(zhǔn)的IEEE802.11i，并且致力于從長遠角度考慮解決IEEE802.11無線局域網(wǎng)的安全問題。IEEE802.11i標(biāo)準(zhǔn)中主要包含加密技術(shù)TKIP和AES，以及認證協(xié)議IEEE802.1x。IEEE802.11i協(xié)議使用了EAP以及802.1x，強迫使用者進行驗證以及交互驗證;并且使用了MIC（信息完整性編碼）檢測傳送的字節(jié)是否有被修改的情況;此外使用TKIP、CCMP和WRAP三種加密機制使加密的過程由原來的靜態(tài)變?yōu)閯討B(tài)，讓攻擊者更難以破解。6.2.4WAPI安全機制（一）WAPI安全概念（二）WAPI的優(yōu)劣6.2.4無線局域網(wǎng)中的移動設(shè)備安全與管理（一）移動設(shè)備Wi-Fi風(fēng)險（二）移動設(shè)備安全管理6.3無線局域網(wǎng)安全防護體系與策略6.3.1無線局域網(wǎng)安全防護體系結(jié)構(gòu)6.3.2無線局域網(wǎng)安全策略制定原則6.3.3無線局域網(wǎng)安全防御措施與部署6.3.3無線局域網(wǎng)安全防御措施與部署（一）無線局域網(wǎng)安全防御措施更改無線路由的默認密碼合理放置無線設(shè)備的位置MAC地址過濾禁用DHCP和SNMP設(shè)置修改默認的服務(wù)區(qū)標(biāo)識符（SSID）禁用SSID廣播使用WEP加密AP隔離802.1x協(xié)議路由器設(shè)置192.168.1.1更改無線路由器密碼路由器設(shè)置192.168.1.1MAC地址過濾路由器設(shè)置192.168.1.1禁用DHCP:動態(tài)主機設(shè)置協(xié)議（DynamicHostConfigurationProtocol,DHCP）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，啟用它你就可以在設(shè)置IP時選擇自動獲取方式。路由器設(shè)置192.168.1.1修改SSID和無線網(wǎng)絡(luò)密碼路由器設(shè)置192.168.1.1禁用SSID廣播路由器設(shè)置192.168.1.1使用WPA-PSK/WPA2-PSK加密模式，更安全6.4無線局域網(wǎng)的應(yīng)用與發(fā)展

6.4.1無線局域網(wǎng)的應(yīng)用 6.4.2無線局域網(wǎng)的問題與發(fā)展 6.4.1無線局域網(wǎng)的應(yīng)用無線技術(shù)給人們帶來的影響是無可爭議，應(yīng)用范圍非常廣泛。 1.企業(yè)應(yīng)用 2.交通運輸 3.零售行業(yè) 4.醫(yī)療行業(yè) 5.教育行業(yè)6.4.2無線局域網(wǎng)的問題與發(fā)展無線