第6课1-WLAN安全介绍

WLAN安全介绍学完本课程后，您将能够:理解WLAN安全规划的重要性列举常见的WLAN安全威胁理解WIDS/WIPS的技术原理列举常用的加密认证技术阐述用户安全接入技术WLAN安全概述WIDS/WIPS系统原理WLAN用户接入安全CAPWAP加密及用户授权管理WLAN概述WLAN，全称是WirelessLocalAreaNetwork，即无线局域网，和传统的有线接入方式相比无线局域网让网络使用更自由：无线局域网彻底摆脱了线缆和端口位置的束缚，用户不在为四处寻找有线端口和网线而苦恼，接入网络如喝咖啡般轻松和惬意。无线局域网具有便于携带，易于移动的优点，无论是在办公大楼、机场候机大厅、酒店，用户都可以随时随地自由接入网络办公、娱乐。为何要保护WLAN网络防止信息被窃取通过软件侦听无线信息通信内容反向解密防止未经授权的访问非法用户接入越权访问资源提供稳定高效的无线接入非法AP等信息干扰导致信号不稳定拒绝服务攻击导致WLAN不可用WLAN安全危害安全威胁DOS拒绝服务攻击数据易被窃取地址欺骗攻击安全协议WEP脆弱Rogue设备入侵WLAN安全概述WIDS/WIPS系统原理WLAN用户接入安全CAPWAP加密及用户授权管理WLAN安全边界防御安全无线干扰检测系统WIDS（WirelessIntrusionDetectionSystem）无线干扰防御系统WIPS（WirelessIntrusionPreventionSystem）用户接入安全链路认证用户接入认证数据加密业务安全WLAN边界安全威胁WLAN网络很容易受到各种网络威胁的影响，如中间人攻击、Ad-hoc网络、拒绝服务型攻击等。非法设备和非法攻击对于企业网络安全是一个很严重的威胁。泛洪攻击暴力PSK密码破解WeakIV攻击ACSpoof攻击非法设备非法攻击非法攻击ServerWIDS&WIPS功能概述WIDS(WirelessIntrusionDetectionSystem)无线入侵检测系统，依照一定的安全策略，对网络、系统的运行状况进行监视，分析用户的活动，判断入侵事件的类型，检测非法的网络。WIPS(WirelessIntrusionPreventionSystem)无线入侵防预系统，通过对无线网络的实时监测，对于检测到的入侵事情，攻击行为进行主动防御和预警。AP工作模式AP的工作模式可以分为两种：正常模式、监测模式。正常模式未开启空口扫描功能，用于传输普通的WLAN业务数据。开启空口扫描功能，不仅传输普通的WLAN业务数据，还具备了监控功能，可能会对传输普通的WLAN业务数据造成一定的影响。监测模式仅能实现监测功能，不能传输WLAN用户的数据。非法设备判断流程AP上报周边设备信息提取设备类型AP/无线网桥STAAd-hoc本AC接入AP？白名单中AP？本AC接入STA？对端是非法AP？非法AP/无线网桥非法STA非法Ad-hoc否否否是Rogue设备监测识别AP工作在监测模式时进行信道扫描，侦听周边无线设备发送的所有802.11帧，根据802.11MAC帧类型识别出周边的无线设备类型，根据非法AP&客户端检测流程识别出Rogue设备。主要监测设备：RogueAPRogueClientAdhoc终端无线网桥ACMonitorAPRogueAPRogue终端Ad-hoc无线网桥Rogue设备防范反制WIPS功能支持对RogueAP、RogueClient、Adhoc设备进行反制。CAPWAPACMonitorAPRogueAPRogue终端Ad-hocNormalAP解除关联帧解除关联帧WIDS/WIPS支持的其它功能WIDS泛洪攻击检测WIDSSpoof攻击检测WIDSWeakIV检测防暴力破解PSKAP认证技术AC支持对AP进行认证MAC认证（默认认证方式）SN认证不认证免认证白名单功能AP白名单WDSMESH白名单WLAN安全概述WIDS/WIPS系统原理WLAN用户接入安全CAPWAP加密及用户授权管理用户接入安全WLAN网络安全包括两个方面：用户身份验证—防止未授权访问网络资源。数据加密—以保护数据完整性和数据传输私密性。华为AC支持四种安全策略WEP—支持开放认证、sharekey认证；WEP加密WPA—支持PSK认证、EAP认证；TKIP、CCMP加密WPA2—支持PSK认证、EAP认证；TKIP、CCMP加密WAPI—支持PSK认证、基于证书的认证、椭圆曲线密码加密其它WLAN安全保护方式WLAN支持其它的安全保护技术可以和接入安全配合使用STA黑白名单用户隔离MAC认证WEBPortal认证防欺骗技术如DHCP

snooping、DAI、IPSGSTA黑白名单判断STA接入控制模式开始允许用户上线拒绝用户上线白名单列表是否为空报文源MAC地址是否在白名单列表报文源MAC地址是否在黑名单列表黑白名单可以过滤无线客户端，起到接入控制的作用；支持基于AP部署STA黑白名单；支持基于服务集部署STA黑白名单；一个AP或服务集上只能部署一个黑名单或一个白名单，不可同时部署。使能白名单功能未使能黑白名单功能使能黑名单功能是否否是否是MAC认证使用终端的MAC地址进行认证。客户端无需安装任何软件。支持GuestVLAN和用户组授权功能。支持和其它认证方式（如WPA-PSK等）配合使用。STAAPSwitchACRadiusServer创建MAC账号配置MAC认证进行MAC认证WEBPortal认证支持内置portal认证及外置portal认证：内置portal华为AC及华为交换机均支持；外置portal服务器可以使用TSM或eSight。支持二层认证或二层认证。支持逃生功能及用户授权管理。支持访客自主注册功能及访客管理。防欺骗技术DHCP

Snooping防止DHCP服务器仿冒攻击、DOS攻击防止DHCP报文泛洪攻击、仿冒攻击防止非DHCP用户攻击DAI（动态ARP检测）防止ARP欺骗攻击、泛红攻击要结合DHCP

Snooping使用IPSG（IP源保护）防止IP地址欺骗攻击APSwitchRouterACDHCPSnooping、DAI、IPSG部署在无线服务集上DHCPSnooping、DAI、IPSG部署在有线网络里WLAN安全概述WIDS/WIPS系统原理WLAN用户接入安全CAPWAP加密及用户授权管理CAPWAP加密CAPWAP的控制隧道可以使用DTLS进行加密DTLS加密可以保证AC下发的控制消息不被窃听DTLS支持两种认证方式证书的认证方式（出厂AC、AP已带）PSK密码的认证方式（默认是huawei_seccwp可改）基于VAP的用户隔离开启基于VAP的用户隔离后，在同一个VAP内，连接到此无线服务的所有无线用户之间的二层报文（单播/广播）将相互不能转发。这样就保证了用户业务的安全性和计费的准确性。APSwitchRouterAC基于用户组的用户隔离组间用户隔离组内用户隔离组间隔离+组内隔离APSwitchRouterACUsergroup2Usergroup1IntragroupUserIsolationRadiusserverIntergroupUserIsolationRouge设备监测和识别支持的设备有（

）？A.RogueAP B.RogueClientC.Adhoc终端 D.无线