TCPIP路由交换技术（第二版）课件 项目12.1 了解WLAN安全技术

项目12组建安全的无线局域网授课教师：管秀君吉林交通职业技术学院学习目标

了解WLAN安全技术了解WLAN认证技术掌握WLAN安全策略

学会WLAN安全加密配置思维导图了解WLAN安全技术0

1了解WLAN认证技术02学会WLAN安全策略03无线FIT模式多SSID的安全加密04CONTENTS目录学习任务12.1了解WLAN安全技术12.1.1

WLAN的安全威胁数据容易被窃取、拦截、篡改无线信号容易被黑客或恶意用户窃取、篡改或拦截，从而引发一系列安全问题。例如，攻击者可以利用无线信号漏洞来窃取WLAN用户的账户、密码等个人敏感信息接入网络，或通过网络钓鱼等手段诱骗用户输入个人信息，再利用信息进行诈骗和其他不法行为。地址欺骗由于IEEE802.11系列协议中网络对数据帧不进行认证操作，所以攻击者通常会检测到授权设备(如AP)的MAC地址，并尝试冒充授权设备建立连接。MAC地址欺骗攻击主要利用了局域网内交换机的转发特性和MAC地址学习特性。这种攻击方式相对隐蔽，攻击者不会大规模地发送数据包，而是发送含有几个特定源MAC地址的数据包。由于交换机MAC地址表都具有一定的空间限制，当MAC地址表被占满后，就无法学习到新的MAC地址，因此，MAC地址的洪范就破坏了整个局域网的可用性。拒绝服务拒绝服务（Dos）攻击也是WLAN常见的一种网络攻击方式，其主要目的是通过发送大量无用的请求或数据包来占用系统资源，使系统无法处理合法用户的正常请求或数据流，从而导致系统过载、崩溃或拒绝服务。WEP秘钥攻击WEP密钥的攻击主要是由于其加密存在严重缺陷，使得攻击者可以在一定条件下破解密钥，从而获得对无线网络资源的访问权限。在WLAN中，当攻击者截获到AP区域内的数据包，同时获取到足够多的弱秘钥加密包，通过统计分析更多使用相同密钥流加密的密文，将密钥流与密文进行XOR操作，一旦其中一个明文已知，很容易就可以恢复所有其他的。Rogue设备入侵WLAN中的Rogue设备入侵是指未经授权的设备接入企业网络（如图12-2所示），例如攻击者将未经授权的RogueAP连接到授权网络上，出现恶意双胞胎AP，并通过RogueAP绕过企业网络的边界防护，在内网中畅行无阻。此外，隔壁邻居AP也是需要防备的一种Rogue设备，如在公司旁的餐馆、咖啡店内部署的外部AP，当员工使用企业授权过的移动客户端连接到这些咖啡店网络的邻居AP时，就能够绕过公司防火墙设置的边界安全和安全限制，将威胁不经意间带进企业内网。12.1.2

WLAN的安全措施WLAN的安全措施213加密技术加密技术是保障无线网络WIAN安全性的基础。通过对传输的数据进行加密，可以有效地防止数据被窃听或篡改。WEP加密WPA/WPA2加密认证机制为了防止未经授权的用户接入无线局域网，可以采用认证方法。常见的认证方法包括基于密码的认证基于MAC地址的认证基于证书的认证系统防护为为了防止恶意攻击，无线网络WIAN可采用防护措施无线入侵检测系统WIDS无线入侵防御系统WIPS加密技术——WEP加密WEP（WiredEquivalentPrivacy）是有线等效保密协议的简称，是一种无线网络加密技术，它是IEEE802.11标准的一部分，旨在为无线网络提供数据加密和基本的安全性。WEP使用RC4流式密码算法对数据进行加密，并采用CRC-32校验和来检测数据完整性。加密过程中，WEP使用一个共享密钥和一个初始化向量（IV）作为输入，通过密钥生成函数生成一个密钥流，然后与明文数据进行XOR运算，生成密文数据，接收端则使用相同的算法和密钥对密文数据进行解密，恢复出原始数据。加密技术——WPA/WPA2加密WPA/WPA2（Wi-FiProtectedAccess）是一种Wi-Fi安全访问保护协议，通过使用预设共享密钥（Pre-SharedKey，简称PSK）来保护无线局域网的通信安全，同时，通过使用AES（AdvancedEncryptionStandard，高级加密标准）算法对数据进行加密，确保数据的机密性。认证机制123基于密码的认证需要用户提供正确的用户名和密码，才能接入无线局域网，在密码策略上包括密码复杂度要求、密码过期机制和登录失败锁定等战。基于MAC地址的认证是将用户的MAC地址添加到无线局域网的访问控制列表中，只有在列表中的MAC地址才能访问无线局域网。基于证书的认证则是使用数字证书来验证用户的身份。系统防护——WIDS无线入侵检测系统WIDS01无线入侵检测系统WIDS工作的主要特点：无线网络的实时监测：无线入侵检测系统WIDS可以按照预设的安全规则和策略，对网络系统的运行状况进行监测；入侵检测与威胁识别：当监听到与预设规则相匹配的非法AP、网桥、STA和信道重合的干扰AP，或者非法的网络时，WIDS就会触发警报，并将相关信息发送给网络管理员，帮助管理员及时发现潜在的威胁，并采取相应的措施进行应对。系统防护——WIPS无线入侵防御系统WIPS02无线入侵防御系统WIPS的主要特点：无线网络的实时监测：通过监听无线信号，对无线网络进行实时的监控和检测。这种监测包括了对网络流量、设备行为以及异常事件的观察和分析。入侵检测与威胁识别：具有强大的入侵检测功能，能够通过分析收集到的数据包，识别出各种潜在的威胁和入侵行为。这些威胁包括恶意攻击、未经授权的访问、病毒传播等。自动防御与阻断：一旦检测到威胁或入侵行为，WIPS将立即启动自动防御机制。包括阻止恶意流量、隔离可疑设备、向管理员发送警报等措施，以防止威胁进一步扩大。动态安全策略：能够根据威胁的类型和严重程度，动态调整安全策略。例如，对于某些已知的恶意IP地址，WIPS可以自动将其加入黑名单，