无线网络安全及典型案例分析.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,1,1,1,Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,思科,无,无线,网,网络,安,安全,及,及典,型,型案,例,例,无线,网,网络,安,安全,第一,代,代802.11,B,安全,机,机制,（,（,基,基,本,本安,全,全）,第二,代,代802.1,X,安全,机,机制,（,（,增,增,强,强安,全,全）,2.,无,无,线,线网,络,络典,型,型案,例,例,AGENDA,虚拟专网,(VPN),没有,WEP,，,采用广播模式,公共接入,开放的接入,40,位和,128,位,静态密钥（,WEP),远程办公及,SOHO,基本的安全性,动态密钥管理,开放的,802.1x/EAP,标准验证,TKIP,、MIC、,AES,中型、大型企业,增强的安全性,公共网络安全,专业应用/商业旅行者,思科,安,安全,无,无线,局,局域,网,网机,制,制,四种,不,不同,级,级别,的,的,WLAN,安全,措,措施,：,：,没有,安,安全,、,、基,本,本安,全,全、,增,增强,安,安全,和,和专,业,业安,全,全,。

基本,安,安全,：,WEP,:,“,“,WiredEquivalentProtection,“,，一,种,种将,资,资料,加,加密,的,的处,理,理方,式,式，,WEP40bit,或,128bit,的,encryption,乃是,IEEE802.11,的标,准,准规,范,范透,透过,WEP,的处,理,理便,可,可让,我,我们,的,的资,料,料于,传,传输,中,中更,加,加安,全,全但,但静,态,态,WEP,密钥,是,是一,种,种在,会,会话,过,过程,中,中不,发,发生,变,变化,也,也不,针,针对,各,各个,用,用户,而,而变,化,化的,密,密钥,增强,安,安全,：,LEAP,，它,也,也被,称,称为,EAPCiscoWireless,（可,扩,扩展,身,身份,认,认证,协,协议,）,）,TKIP,、MIC,、,、,AE,S,专业,安,安全,：,：,VPN(,金融,机,机构,，,，需,要,要,VPN,终端,，,，造,价,价高,）,）,思科,安,安全,无,无线,局,局域,网,网机,制,制,1）,共,共享,的,的、,静,静态,的,的,WEP,密钥,没有,集,集中,的,的密,钥,钥管,理,理,不能,有,有效,抵,抵御,各,各种,安,安全,攻,攻击,2）,如,如果,客,客户,的,的适,配,配器,丢,丢失,或,或被,盗,盗，,需,需要,进,进行,大,大规,模,模的,密,密钥,重,重部,署,署,处理,器,器能,接,接入,网,网络,需要,对,对所,有,有的,WLAN,客户,机,机设,备,备进,行,行密,钥,钥重,部,部署,3）,缺,缺乏,综,综合,用,用户,管,管理,需要,独,独立,的,的用,户,户数,据,据库,，,，不,使,使用,RADIUS,能够,只,只通,过,过设,备,备特,性,性（,如,如,MAC,地址,）识,别,别用,户,户,4）,在,在802.11,B,中,验,验,证,证与,加,加密,是,是可,选,选的,(不,是,是必,需,需的),第一,代,代802.11,B,安全,机,机制,的,的特,点,点,(,基本,安,安全,）,）,MAC1+WEPkey,MAC2+WEPkey,在现,有,有的,WLAN,产品,中,中，,常,常用,的,的加,密,密方,法,法是,给,给用,户,户静,态,态分,配,配一,个,个密,钥,钥，,该,该密,钥,钥或,者,者存,储,储在,磁,磁盘,上,上或,者,者存,储,储在,无,无线,局,局域,网,网客,户,户适,配,配器,的,的存,储,储器,上,上。

这,这样,，,，拥,有,有客,户,户适,配,配器,就,就有,了,了,MAC,地址,和,和,WEP,密钥,并,并可,用,用它,接,接入,到,到接,入,入点,如,果,果多,个,个用,户,户共,享,享一,个,个客,户,户适,配,配器,，,，这,些,些用,户,户有,效,效地,共,共享,MAC,地址和,WEP,密钥1）当一,个,个客户适,配,配器丢失,或,或被窃的,时,时候，合,法,法用户没,有,有,MAC,地址和,WEP,密钥不能,接,接入，但,非,非法用户,可,可以网,络,络管理系,统,统不可能,检,检测到这,种,种问题，,因,因此用户,必,必须立即,通,通知网络,管,管理员接,接到通知,后,后，网络,管,管理员必,须,须改变接,入,入到,MAC,地址的安,全,全表和,WEP,密钥，并,给,给与丢失,或,或被窃的,客,客户适配,器,器使用相,同,同密钥的,客,客户适配,器,器重新编,码,码静态加,密,密密钥客,客户端越,多,多，重新,编,编码,WEP,密钥的数,量,量越大2）,IEEE802.11b,共享密钥,认,认证表采,用,用单向认,证,证，而不,是,是互相认,证,证接入,点,点鉴别用,户,户，但用,户,户不能鉴,别,别接入点,。

如果一,个,个虚假接,入,入点放在,无,无线局域,网,网内，它,可,可以通过,劫,劫持合法,用,用户的客,户,户适配器,进,进行拒绝,服,服务或攻,击,击,因此在用,户,户和认证,服,服务器之,间,间进行相,互,互认证是,需,需要的,第一代802.11,B,安全机制,的,的危险性,接入点,1,其它网络服务器与服务,2,4,加密,WEP,3,5,无线客户端,验证服务器,用户要求,接,接入，,AP,防止网络,接,接入；,加密的证,明,明材料被,发,发送给验,证,证服务器,；,；,验证服务,器,器验证用,户,户并给予,接,接入权；,AP端口,被,被启动，,动,动态WEP密钥被,分,分配给客,户,户（加密,）,）；,无线客户,端,端现在可,以,以安全地,访,访问普通,的,的网络服,务,务了；,6),Cisco LEAP,与,EAP-TLS,在每次（,重,重新）验,证,证时均会,生,生成一个,WEP,会话密钥,新的密钥,基,基于用户,信,信息与会,话,话信息,RADIUS,选项27,提,提供了会,话,话超时设,置,置,WLAN,环境中的,802.1,X,协议,（增强安,全,全）,协议：,LEAP,，它也被,称,称为,EAPCisco Wireless,（轻型可,扩,扩展身份,认,认证协议,）,）,标准：802.1,X,和有线的,RADIUS,访问,控制一致,增强安全,EAPCisco Wireless,的两个重,要,要优点,第一个优,点,点是客户,端,端和,RADIUS,服务器之,间,间的双向,认,认证机制,，,，这可以,有,有效地阻,止,止由伪装,的,的访问点,发,发动的,中间人,式攻击。

这,这也有助,于,于确保只,有,有合法的,客,客户端才,能,能连接合,法,法的、经,过,过授权的,无,无线访问,点,点EAPCisco Wireless,的第二个,优,优点是对,WLAN,的集中式,密,密钥管理,在成功,地,地认证了,客,客户端的,身,身份以后,，,，,RADIUS,服务器和,客,客户端将,获,获得一个,针,针对用户,的,的,WEP,密钥，,客,客户端,将,将在本,次,次登录,会,会话中,使,使用这,个,个密钥,802.1,x+,双向认,证,证+每,用,用户每,会,会话,WEP,密钥提,供,供足够,安,安全,“,Is802.1x&Mutualauth.+PeruserpersessionWEPgoodenough?”,SSID,概念：,1)服,务,务组标,识,识符（,SSID,：,Service SetIdentifier,），,它提供,一,一个最,底,底层的,接,接入控,制,制一,个,个,SSID,是一个,无,无线局,域,域网子,系,系统内,通,通用的,网,网络名,称,称,2),SSID,代表,VLAN,号，每,个,个,VLAN,必须用,不,不同的,SSID,它服务,于,于该子,系,系统内,的,的逻辑,段,段。

因,为,为,SSID,本身没,有,有安全,性,性，所,以,以用,SSID,作为接,入,入控制,是,是不够,安,安全的,接入,点,点作为,无,无线局,域,域网用,户,户的连,接,接设备,，,，通常,广,广播,SSID,3）,在,AP,上创建,所,所有,SSID,在每台,客,客户机,上,上分配,SSID,号无线网,络,络,VLAN,划分策,略,略,无线网,络,络,VLAN,划分策,略,略,思科无,线,线解决,方,方案之,独,独到之,处,处,业界最,高,高的硬,件,件性能,(数据,传,传输率,、,、覆盖,范,范围、,接,接收灵,敏,敏度,),；,高可用,性,性，可,扩,扩展性,，,，可升,级,级性,(,Load Balance,、,、Hot Stand-by、,802.11,b-802.11a/802.11g)；,业界最,高,高安全,性,性(,VLAN、PSPF,、,、802.1x/EAP、MIC,、,、TKIP,)；,QoS,支持各,种,种应用(,数据、,语,语音、,视,视频,)；,易于管,理,理（,WLSE,)；,便于部,署,署和实,施,施（,室外应,用,用距离,自,自动估,算,算工具,、,、,电,电源、,免,免费室,内,内勘察,工,工具、,无,无缝漫,游,游（2,层,层、3,层,层),),;支持,DHCP,Telnet,Http.,能够与,思,思科的,有,有线网,络,络设备,和,和网络,功,功能无,缝,缝结合,（,VLAN、VPN、QoS,、,、,网管、802.1,x,)，,思科是,业,业界唯,一,一一家,可,可以为,客,客户提,供,供从有,线,线到无,线,线全面,解,解决方,案,案的厂,家,家。

无线局,域,域网络,典,典型案,例,例,1.无,线,线组网,方,方式,2.,典,典型案,例,例1-7,AGENDA,无线局,域,域网的,几,几种组,网,网方式,建筑物,内,内（室,内,内）组,网,网方式:,对等网,结,结构,蜂窝结,构,构,建筑物,之,之间（,室,室外）,组,组网方,式,式:,点对点,结,结构,一点对,多,多点结,构,构,混合组,网,网方式,室内组,网,网方式-,单蜂窝,结,结构,无线工,作,作站,局域网,主,主干,无线接,入,入点,无线链,路,路,可以采,用,用 111,号,号信道(802.11,b,规范),中,中任意,一,一个没,有,有受到,干,干扰的,信,信道;,一个无,线,线接入,点,点推荐,接,接入不,超,超过20-30,个,个无线,客,客户端,以,提,提供满,意,意的访,问,问速率;,同一蜂,窝,窝范围,可,可以最,多,多部署3个无,线,线接入,点,点,分,分别采,用,用 1/6/11,号,号信,道,道,从,从而提,供,供高达33,Mbps,的总体,访,访问速,率,率,并,并可以,同,同时服,务,务更多,的,的用户.,无线,“,“蜂,窝,窝”,无线接,入,入点,无线工,作,作站,局域网,主,主干,无线,“,“蜂,窝,窝”,信道,1,信道6,无线工,作,作站,无线接,入,入点,无线,“,“蜂,窝,窝”,无线链,路,路,无线链,路,路,以太网,以太网,蜂窝之,间,间建议,有,有15%的重,叠,叠范围,便,于,于无线,工,工作站,在,在不同,的,的蜂窝,之,之间作,无,无缝漫,游,游.,室内组,网,网方式,多,蜂,蜂窝,结构,最远可,达,达几十,公,公里,(,可视距,离,离),局域网,无线网,桥,桥,天线,建筑物,A,建筑物,B,无线网,桥,桥,无线链,路,路,天线。