無線局域網(wǎng)（WLAN）技術與應用教程（項目式微課版） 課件 項目5 校園WLAN安全性部署

項目5校園WLAN安全性部署無線無形信息隨身無線局域網(wǎng)技術與實踐項目教程（中職）目錄WLAN安全威脅12WLAN認證技術無線局域網(wǎng)技術與實踐項目教程WLAN加密技術34WLAN安全防護系統(tǒng)01WLAN安全威脅1WLAN安全威脅WLAN具有安裝便捷、使用靈活、成本低和易于擴展等特點。從WLAN誕生到大規(guī)模應用的今天，有個問題始終是從業(yè)人員和用戶非常關注和繞不開的話題，那么就是如何保證WLAN的安全性1WLAN安全威脅為何要保護WLAN網(wǎng)絡防止信息被竊取通過軟件偵聽無線信息通信內(nèi)容反向解密防止未經(jīng)授權的訪問非法用戶接入越權訪問資源提供穩(wěn)定高效的無線接入非法AP等信息干擾導致信號不穩(wěn)定拒絕服務攻擊導致WLAN不可用1WLAN安全威脅WLAN安全危害安全威脅DOS拒絕服務攻擊數(shù)據(jù)易被竊取未經(jīng)授權使用網(wǎng)絡服務安全協(xié)議WEP脆弱Rogue設備入侵02WLAN認證技術1WLAN認證技術WLAN認證針對WLAN面臨的安全威脅，目前最常用的兩種安全防御機制是認證和加密認證是指對用戶的身份進行驗證，要求用戶提供能夠證明其身份的憑據(jù)。只有通過身份驗證的用戶才可以接入無線網(wǎng)絡并使用網(wǎng)絡資源。無線安全認證有鏈路認證和用戶接入認證兩種方式2WLAN認證技術鏈路認證AP對STA的身份驗證屬于鏈路認證。鏈路認證沒有傳遞或驗證任何加密密鑰，也沒有進行雙向認證早期的IEEE802.11標準定義了開放系統(tǒng)認證和共享密鑰認證兩種鏈路認證方式開放系統(tǒng)認證更像是對STA通信能力的認證，AP允許任何符合802.11標準的STA接入WLAN共享密鑰認證要求STA和AP配置相同的共享密鑰，雙方通過交換幾個報文驗證STA的身份3WLAN認證技術用戶接入認證用戶接入認證是對用戶的身份進行區(qū)分，并根據(jù)用戶的身份授予用戶不同的網(wǎng)絡訪問權限，授權用戶訪問不同的網(wǎng)絡資源用戶接入認證涉及密鑰協(xié)商和數(shù)據(jù)加密，比鏈路認證的安全性要高用戶接入認證的方式有MAC認證、PSK認證、Portal認證和802.1X認證等4WLAN認證技術用戶接入認證－MAC認證使用終端的MAC地址進行認證客戶端無需安裝任何軟件支持GuestVLAN和用戶組授權功能支持和其它認證方式（如WPA-PSK等）配合使用STAAPSwitchACRadiusServer創(chuàng)建MAC賬號配置MAC認證進行MAC認證5WLAN認證技術用戶接入認證－PSK和PPSK認證在無線客戶端和服務端配置相同的預共享密鑰PSK認證的部署比較簡單，安全性較差，容易受到暴力字典攻擊使用PPSK認證時，連接到同一無線網(wǎng)絡的用戶擁有不同的密鑰6WLAN認證技術用戶接入認證－Portal認證又稱為Web認證，只要在瀏覽器中輸入賬號信息提交認證即可在主動Portal認證方式下，用戶主動訪問位于Portal服務器上的認證頁面并提交賬號信息。在被動Portal認證方式下，用戶通過HTTP協(xié)議訪問公司外網(wǎng)時被強制重定向到Portal認證頁面7WLAN認證技術用戶接入認證－802.1X認證802.1X是關于用戶接入網(wǎng)絡的認證標準，主要解決網(wǎng)絡接入認證和安全方面的問題。802.1X認證既能用于有線網(wǎng)絡，也可以用于無線網(wǎng)絡。802.1X認證體系具有典型的客戶端/服務器架構，由請求方、認證方和認證服務器組成8WLAN認證技術AAAAAA是Authentication（認證）、Authorization（授權）和Accounting（計費）的縮寫，提供了認證、授權和計費3種功能認證：驗證用戶身份的合法性，判斷用戶是否可以獲得網(wǎng)絡的使用權。授權：根據(jù)認證結果對用戶身份進行分類，確定用戶可以使用哪些網(wǎng)絡服務計費：記錄用戶使用網(wǎng)絡服務過程中的所有操作，用于收集和記錄用戶對網(wǎng)絡資源的使用情況，并實現(xiàn)基于時間、流量的計費需求8WLAN認證技術AAA系統(tǒng)架構03WLAN加密技術WLAN安全機制1WLAN安全機制WLAN網(wǎng)絡安全包括兩個方面用戶身份驗證—防止未授權訪問網(wǎng)絡資源數(shù)據(jù)加密—以保護數(shù)據(jù)完整性和數(shù)據(jù)傳輸私密性四種安全策略WEP—支持開放認證、sharekey認證；WEP加密WPA—支持PSK認證、EAP認證；TKIP、CCMP加密WPA2—支持PSK認證、EAP認證；TKIP、CCMP加密WAPI—支持PSK認證、基于證書的認證、橢圓曲線密碼加密WEP-有線等效加密2WEPWEP采用RC4算法，算法易被破解WEP采用靜態(tài)密鑰，密鑰分發(fā)維護困難WEP配置開放認證后，無線用戶不經(jīng)認證即可接入WEP開放認證+Webportal認證可以使用于訪客接入場景其它場景不再推薦使用WEP協(xié)議WPA/WPA2-WIFI保護訪問3WPA/WPA2WPA/WPA2聯(lián)系兩者均支持PSK認證或EAP認證兩者均支持TKIP或CCMP加密WPA/WPA2使用注意事項使用PSK認證時，無需AAA服務器，適合中小型企業(yè)使用EAP認證時，需AAA服務器，安全性更高，適合大中型企業(yè)使用，支持PEAP、EAP-TLS等擴展認證類型如果部署802.11n網(wǎng)絡+WPA/WPA2安全機制，要求加密類型必須是CCMP；如果采用TKIP則網(wǎng)絡退回非802.11N網(wǎng)絡WPA34WPA3WPA3在WPA2的基礎上增加了一些新的功能，目的是實現(xiàn)更可靠的身份驗證和提高數(shù)據(jù)加密強度提供對弱密碼的強力保護簡化顯示界面較小或無顯示界面的設備的配置過程和安全性通過個性化的數(shù)據(jù)加密來加強開放網(wǎng)絡中的用戶隱私使用改進的加密標準保護數(shù)據(jù)安全WAPI－無線局域網(wǎng)鑒別與保密基礎結構5WAPI中國首個在計算機寬帶無線網(wǎng)絡通信領域自主創(chuàng)新并擁有知識產(chǎn)權的安全接入技術標準采用基于公鑰密碼體制的橢圓曲線密碼算法和對稱密碼體制的分組密碼算法，分別用于無線設備的數(shù)字證書、證書鑒別、密鑰協(xié)商和數(shù)據(jù)的加解密比WEP和WPA更安全，包括：WAI：用于WLAN中身份鑒別和密鑰管理的安全方案WPI：用于WLAN中數(shù)據(jù)傳輸保護的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護等功能04WLAN安全防護系統(tǒng)1WLAN安全防護系統(tǒng)WIDS/WIPS提供對無線網(wǎng)絡安全威脅的檢測、識別、防護、反制等功能在家庭網(wǎng)絡或小型企業(yè)網(wǎng)絡中，可以使用基于設備黑白名單的接入方式在中小型企業(yè)網(wǎng)絡中，可以啟用WIDS的攻擊檢測功能，對網(wǎng)絡中的泛洪攻擊、弱向量和欺騙攻擊進行檢測在大中型企業(yè)中，一般啟用WIDS/WIPS的檢測、識別、防范和反制功能，最大限度保護網(wǎng)絡的安全運行1WLAN安全防護系統(tǒng)WIDS/WIPS－AP工作模式AP的工作模式可以分為兩種：正常模式、監(jiān)測模式正常模式未開啟空口掃描功能，用于傳輸普通的WLAN業(yè)務數(shù)據(jù)。開啟空口掃描功能，不僅傳輸普通的WLAN業(yè)務數(shù)據(jù)，還具備了監(jiān)控功能，可能會對傳輸普通的WLAN業(yè)務數(shù)據(jù)造成一定的影響監(jiān)測模式僅能實現(xiàn)監(jiān)測功能，不能傳輸WLAN用戶的數(shù)據(jù)1WLAN安全防護系統(tǒng)WIDS/WIPS－非法設備判斷流程AP上報周邊設備信息提取設備類型AP/無線網(wǎng)橋STAAd-hoc本AC接入AP？白名單中AP？本AC接入STA？對端是非法AP？非法AP/無線網(wǎng)橋非法STA非法Ad-hoc否否否是1WLAN安全防護系統(tǒng)WIDS/WIPS－非法設備監(jiān)測識別AP工作在監(jiān)測模式時進行信道掃描，偵聽周邊無線設備發(fā)送的所有802.11幀，根據(jù)802.11MAC幀類型識別出周邊的無線設備類型，根據(jù)非法AP、客戶端檢測流程識別出Rogue設備主要監(jiān)測設備：RogueAP、RogueClientAdhoc終端、無線網(wǎng)橋ACMonitorAPRogueAPRogue終端Ad-hoc無線網(wǎng)橋1WLAN安全防護系統(tǒng)WIDS/WIPS－設備反制機制WIPS功能支持對RogueAP、RogueClient、Adhoc設備進行反制CAPWAPACMonitorAPRogueAPRogue終端Ad-hocNormalAP解除關聯(lián)幀解除關聯(lián)幀1WLAN安全防護系統(tǒng)設備反制機制－非法AP或干擾APAC確定非法AP或干擾AP的身份后，將非法AP或干擾AP告知監(jiān)測AP。監(jiān)測AP以非法AP或干擾AP的身份廣播解除認證（Deauthentication）幀。解除認證幀用于中斷已經(jīng)建立的無線鏈路，AP和STA都可以發(fā)送解除認證幀以斷開當前鏈路。接入非法AP或干擾AP的STA收到解除認證幀后，就會斷開與非法AP或干擾AP的連接。這種反制機制可以阻止STA與非法AP或干擾AP的連接1WLAN安全防護系統(tǒng)設備反制機制－非法STA或干擾STAAC確定非法STA或干擾STA的身份后，將非法STA或干擾STA告知監(jiān)測AP。監(jiān)測AP以非法STA或干擾STA的身份發(fā)送單播解除認證幀。與非法STA或干擾STA連接的AP收到解除認證幀后，就會斷開與非法STA或干擾STA的連接。通過這種反制機制，可以阻止AP與非法STA或干擾STA的連接1WLAN安全防護系統(tǒng)設備反制機制－Ad-hoc設備AC確定Ad-hoc設備的身份后，將Ad-hoc設備告知監(jiān)測AP。監(jiān)測AP以Ad-hoc設備的身份發(fā)送單播解除認證幀。接入Ad-hoc網(wǎng)絡的STA收到解除認證幀后，就會斷開與Ad-hoc設備的連接。通過這種反制機制，可以阻止STA與Ad-hoc設備的連接1WLAN安全防護系統(tǒng)WIDS/WIPS－非法攻擊檢測啟用WIDS檢測功能，對常見的泛洪攻擊、弱向量和欺騙攻擊等行為進行檢測。通過將檢測到的攻擊設備加入動態(tài)黑名單，丟棄攻擊設備的報文，以阻止攻擊行為，提高網(wǎng)絡安全性泛洪攻擊檢測弱向量檢測欺騙攻擊檢測暴力破解攻擊檢測1WLAN安全防護系統(tǒng)非法攻擊檢測－泛洪攻擊檢測泛洪攻擊是指AP在短時間內(nèi)收到大量來自相同MAC地址的管理報文或空數(shù)據(jù)幀，導致AP的系統(tǒng)資源被攻擊報文占用，無法處理合法的STA報文啟用泛洪攻擊檢測后，AP持續(xù)監(jiān)控每個STA的流量。如果超出預設的流量閾值（如每秒50個報文），可以認為該STA在網(wǎng)絡中實施泛洪操作例如，將該STA加入動態(tài)黑名單。在動態(tài)黑名單老化之前，AP丟棄該STA的所有報文1WLAN安全防護系統(tǒng)非法攻擊檢測－弱向量檢測WEP使用一個3字節(jié)的初始向量和相同的共享密鑰一起加密報文如果使用弱向量，攻擊者可以很容易地暴力破解出共享密鑰進而訪問網(wǎng)絡資源弱向量檢測通過識別WEP報文中的初始向量來預防這種攻擊。AP根據(jù)相應的安全策略判斷WEP報文中的初始向量是否為弱向量。當檢測到包含弱向量的WEP報文時，AP向AC上報相關信息。用戶可以啟用其他安全策略，避免使用弱向量加密1WLAN安全防護系統(tǒng)非法攻擊檢測－欺騙攻擊檢測也稱中間人攻擊，是指攻擊者（惡意AP或惡意用戶）以合法設備的身份發(fā)送欺騙攻擊報文，導致STA不能上線欺騙攻擊報文主要包括解除關聯(lián)幀和解除認證幀AP收到解除關聯(lián)幀或解除認證