无线局域网（WLAN）技术与应用教程（项目式微课版） 课件 项目5 校园WLAN安全性部署

项目5校园WLAN安全性部署无线无形信息随身无线局域网技术与实践项目教程（中职）目录WLAN安全威胁12WLAN认证技术无线局域网技术与实践项目教程WLAN加密技术34WLAN安全防护系统01WLAN安全威胁1WLAN安全威胁WLAN具有安装便捷、使用灵活、成本低和易于扩展等特点。从WLAN诞生到大规模应用的今天，有个问题始终是从业人员和用户非常关注和绕不开的话题，那么就是如何保证WLAN的安全性1WLAN安全威胁为何要保护WLAN网络防止信息被窃取通过软件侦听无线信息通信内容反向解密防止未经授权的访问非法用户接入越权访问资源提供稳定高效的无线接入非法AP等信息干扰导致信号不稳定拒绝服务攻击导致WLAN不可用1WLAN安全威胁WLAN安全危害安全威胁DOS拒绝服务攻击数据易被窃取未经授权使用网络服务安全协议WEP脆弱Rogue设备入侵02WLAN认证技术1WLAN认证技术WLAN认证针对WLAN面临的安全威胁，目前最常用的两种安全防御机制是认证和加密认证是指对用户的身份进行验证，要求用户提供能够证明其身份的凭据。只有通过身份验证的用户才可以接入无线网络并使用网络资源。无线安全认证有链路认证和用户接入认证两种方式2WLAN认证技术链路认证AP对STA的身份验证属于链路认证。链路认证没有传递或验证任何加密密钥，也没有进行双向认证早期的IEEE802.11标准定义了开放系统认证和共享密钥认证两种链路认证方式开放系统认证更像是对STA通信能力的认证，AP允许任何符合802.11标准的STA接入WLAN共享密钥认证要求STA和AP配置相同的共享密钥，双方通过交换几个报文验证STA的身份3WLAN认证技术用户接入认证用户接入认证是对用户的身份进行区分，并根据用户的身份授予用户不同的网络访问权限，授权用户访问不同的网络资源用户接入认证涉及密钥协商和数据加密，比链路认证的安全性要高用户接入认证的方式有MAC认证、PSK认证、Portal认证和802.1X认证等4WLAN认证技术用户接入认证－MAC认证使用终端的MAC地址进行认证客户端无需安装任何软件支持GuestVLAN和用户组授权功能支持和其它认证方式（如WPA-PSK等）配合使用STAAPSwitchACRadiusServer创建MAC账号配置MAC认证进行MAC认证5WLAN认证技术用户接入认证－PSK和PPSK认证在无线客户端和服务端配置相同的预共享密钥PSK认证的部署比较简单，安全性较差，容易受到暴力字典攻击使用PPSK认证时，连接到同一无线网络的用户拥有不同的密钥6WLAN认证技术用户接入认证－Portal认证又称为Web认证，只要在浏览器中输入账号信息提交认证即可在主动Portal认证方式下，用户主动访问位于Portal服务器上的认证页面并提交账号信息。在被动Portal认证方式下，用户通过HTTP协议访问公司外网时被强制重定向到Portal认证页面7WLAN认证技术用户接入认证－802.1X认证802.1X是关于用户接入网络的认证标准，主要解决网络接入认证和安全方面的问题。802.1X认证既能用于有线网络，也可以用于无线网络。802.1X认证体系具有典型的客户端/服务器架构，由请求方、认证方和认证服务器组成8WLAN认证技术AAAAAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的缩写，提供了认证、授权和计费3种功能认证：验证用户身份的合法性，判断用户是否可以获得网络的使用权。授权：根据认证结果对用户身份进行分类，确定用户可以使用哪些网络服务计费：记录用户使用网络服务过程中的所有操作，用于收集和记录用户对网络资源的使用情况，并实现基于时间、流量的计费需求8WLAN认证技术AAA系统架构03WLAN加密技术WLAN安全机制1WLAN安全机制WLAN网络安全包括两个方面用户身份验证—防止未授权访问网络资源数据加密—以保护数据完整性和数据传输私密性四种安全策略WEP—支持开放认证、sharekey认证；WEP加密WPA—支持PSK认证、EAP认证；TKIP、CCMP加密WPA2—支持PSK认证、EAP认证；TKIP、CCMP加密WAPI—支持PSK认证、基于证书的认证、椭圆曲线密码加密WEP-有线等效加密2WEPWEP采用RC4算法，算法易被破解WEP采用静态密钥，密钥分发维护困难WEP配置开放认证后，无线用户不经认证即可接入WEP开放认证+Webportal认证可以使用于访客接入场景其它场景不再推荐使用WEP协议WPA/WPA2-WIFI保护访问3WPA/WPA2WPA/WPA2联系两者均支持PSK认证或EAP认证两者均支持TKIP或CCMP加密WPA/WPA2使用注意事项使用PSK认证时，无需AAA服务器，适合中小型企业使用EAP认证时，需AAA服务器，安全性更高，适合大中型企业使用，支持PEAP、EAP-TLS等扩展认证类型如果部署802.11n网络+WPA/WPA2安全机制，要求加密类型必须是CCMP；如果采用TKIP则网络退回非802.11N网络WPA34WPA3WPA3在WPA2的基础上增加了一些新的功能，目的是实现更可靠的身份验证和提高数据加密强度提供对弱密码的强力保护简化显示界面较小或无显示界面的设备的配置过程和安全性通过个性化的数据加密来加强开放网络中的用户隐私使用改进的加密标准保护数据安全WAPI－无线局域网鉴别与保密基础结构5WAPI中国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准采用基于公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于无线设备的数字证书、证书鉴别、密钥协商和数据的加解密比WEP和WPA更安全，包括：WAI：用于WLAN中身份鉴别和密钥管理的安全方案WPI：用于WLAN中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能04WLAN安全防护系统1WLAN安全防护系统WIDS/WIPS提供对无线网络安全威胁的检测、识别、防护、反制等功能在家庭网络或小型企业网络中，可以使用基于设备黑白名单的接入方式在中小型企业网络中，可以启用WIDS的攻击检测功能，对网络中的泛洪攻击、弱向量和欺骗攻击进行检测在大中型企业中，一般启用WIDS/WIPS的检测、识别、防范和反制功能，最大限度保护网络的安全运行1WLAN安全防护系统WIDS/WIPS－AP工作模式AP的工作模式可以分为两种：正常模式、监测模式正常模式未开启空口扫描功能，用于传输普通的WLAN业务数据。开启空口扫描功能，不仅传输普通的WLAN业务数据，还具备了监控功能，可能会对传输普通的WLAN业务数据造成一定的影响监测模式仅能实现监测功能，不能传输WLAN用户的数据1WLAN安全防护系统WIDS/WIPS－非法设备判断流程AP上报周边设备信息提取设备类型AP/无线网桥STAAd-hoc本AC接入AP？白名单中AP？本AC接入STA？对端是非法AP？非法AP/无线网桥非法STA非法Ad-hoc否否否是1WLAN安全防护系统WIDS/WIPS－非法设备监测识别AP工作在监测模式时进行信道扫描，侦听周边无线设备发送的所有802.11帧，根据802.11MAC帧类型识别出周边的无线设备类型，根据非法AP、客户端检测流程识别出Rogue设备主要监测设备：RogueAP、RogueClientAdhoc终端、无线网桥ACMonitorAPRogueAPRogue终端Ad-hoc无线网桥1WLAN安全防护系统WIDS/WIPS－设备反制机制WIPS功能支持对RogueAP、RogueClient、Adhoc设备进行反制CAPWAPACMonitorAPRogueAPRogue终端Ad-hocNormalAP解除关联帧解除关联帧1WLAN安全防护系统设备反制机制－非法AP或干扰APAC确定非法AP或干扰AP的身份后，将非法AP或干扰AP告知监测AP。监测AP以非法AP或干扰AP的身份广播解除认证（Deauthentication）帧。解除认证帧用于中断已经建立的无线链路，AP和STA都可以发送解除认证帧以断开当前链路。接入非法AP或干扰AP的STA收到解除认证帧后，就会断开与非法AP或干扰AP的连接。这种反制机制可以阻止STA与非法AP或干扰AP的连接1WLAN安全防护系统设备反制机制－非法STA或干扰STAAC确定非法STA或干扰STA的身份后，将非法STA或干扰STA告知监测AP。监测AP以非法STA或干扰STA的身份发送单播解除认证帧。与非法STA或干扰STA连接的AP收到解除认证帧后，就会断开与非法STA或干扰STA的连接。通过这种反制机制，可以阻止AP与非法STA或干扰STA的连接1WLAN安全防护系统设备反制机制－Ad-hoc设备AC确定Ad-hoc设备的身份后，将Ad-hoc设备告知监测AP。监测AP以Ad-hoc设备的身份发送单播解除认证帧。接入Ad-hoc网络的STA收到解除认证帧后，就会断开与Ad-hoc设备的连接。通过这种反制机制，可以阻止STA与Ad-hoc设备的连接1WLAN安全防护系统WIDS/WIPS－非法攻击检测启用WIDS检测功能，对常见的泛洪攻击、弱向量和欺骗攻击等行为进行检测。通过将检测到的攻击设备加入动态黑名单，丢弃攻击设备的报文，以阻止攻击行为，提高网络安全性泛洪攻击检测弱向量检测欺骗攻击检测暴力破解攻击检测1WLAN安全防护系统非法攻击检测－泛洪攻击检测泛洪攻击是指AP在短时间内收到大量来自相同MAC地址的管理报文或空数据帧，导致AP的系统资源被攻击报文占用，无法处理合法的STA报文启用泛洪攻击检测后，AP持续监控每个STA的流量。如果超出预设的流量阈值（如每秒50个报文），可以认为该STA在网络中实施泛洪操作例如，将该STA加入动态黑名单。在动态黑名单老化之前，AP丢弃该STA的所有报文1WLAN安全防护系统非法攻击检测－弱向量检测WEP使用一个3字节的初始向量和相同的共享密钥一起加密报文如果使用弱向量，攻击者可以很容易地暴力破解出共享密钥进而访问网络资源弱向量检测通过识别WEP报文中的初始向量来预防这种攻击。AP根据相应的安全策略判断WEP报文中的初始向量是否为弱向量。当检测到包含弱向量的WEP报文时，AP向AC上报相关信息。用户可以启用其他安全策略，避免使用弱向量加密1WLAN安全防护系统非法攻击检测－欺骗攻击检测也称中间人攻击，是指攻击者（恶意AP或恶意用户）以合法设备的身份发送欺骗攻击报文，导致STA不能上线欺骗攻击报文主要包括解除关联帧和解除认证帧AP收到解除关联帧或解除认证