《網(wǎng)絡安全技術》課件第11章

第11章無線局域網(wǎng)安全11.1無線局域網(wǎng)概述11.2基本的WLAN安全11.3WLAN安全協(xié)議11.4第三方安全技術11.5無線局域網(wǎng)組建實例習題

11.1無線局域網(wǎng)概述

無線局域網(wǎng)是高速發(fā)展的現(xiàn)代無線通信技術在計算機網(wǎng)絡中的應用。一般來講，凡是采用無線傳輸媒體的計算機局域網(wǎng)都可稱為無線局域網(wǎng)，它與有線主干網(wǎng)相結合可構成移動計算網(wǎng)絡，這種網(wǎng)絡傳輸速率高、覆蓋面大，是一種可傳輸多媒體信息的個人通信網(wǎng)絡，也是無線局域網(wǎng)的發(fā)展方向。

1.無線局域網(wǎng)硬件設備

無線局域網(wǎng)硬件設備由以下幾部分組成：

天線：發(fā)射和接收信號的設備，一般分為外置天線和內(nèi)置天線兩種。

無線網(wǎng)卡(WirelessNetworkInterfaceCard，WNIC)：完成網(wǎng)絡中IP數(shù)據(jù)包的封裝并發(fā)送到無線信道中，同時也從無線信道中接收數(shù)據(jù)并交給IP層處理。一般無線網(wǎng)卡有PCI接口、USB接口和筆記本PCMICA接口三種類型，可支持的速率一般為11Mb/s、22Mb/s、54Mb/s和108Mb/s。

站點(Station，STA)：無線客戶端，包含符合本部分與無線媒體的MAC和PHY接口的任何設備。例如，內(nèi)置無線網(wǎng)卡的PC、筆記本電腦或個人數(shù)字助理(PersonalDataAssistant，PDA)等。

接入點(AccessPoint，AP)：類似于有線局域網(wǎng)的集線器，是一種特殊的站點，在無線局域網(wǎng)中屬于數(shù)據(jù)幀的轉發(fā)設備，主要提供無線鏈路數(shù)據(jù)和有線鏈路數(shù)據(jù)的橋接功能，并具有一定的安全保障功能，同時也必須完成IEEE802.3數(shù)據(jù)幀和IEEE802.11數(shù)據(jù)幀之間的幀格式轉換。通常一個AP能夠同時提供幾十米或上百米的范圍內(nèi)多個用戶的接入，并且可以作為無線網(wǎng)絡和有線網(wǎng)絡的連接點。

2.無線局域網(wǎng)組網(wǎng)模式

基本的無線局域網(wǎng)有Infrastructure和Ad-hoc兩種模式。

(1)

Infrastructure模式：是使用兼容協(xié)議的無線網(wǎng)卡的用戶通過AP接入到網(wǎng)絡，AP用附帶的全向的天線發(fā)射信號，STA設備使用同樣的機制來接收信號，與AP建立連接。AP可以給用戶分配IP地址，或者將請求發(fā)送給基于網(wǎng)絡的DHCP服務器。STA接收IP地址并向AP發(fā)送數(shù)據(jù)，AP將數(shù)據(jù)轉發(fā)給網(wǎng)絡，并返回響應給網(wǎng)絡設備。基本的Infrastructure模式如圖11.1所示。(2)Ad-hoc模式：此模式不需要AP，通過把一組需要互連通信的無線網(wǎng)卡的相關參數(shù)設為同一個值來進行組網(wǎng)，是一種特殊的無線網(wǎng)絡應用模式。Ad-hoc組網(wǎng)模式如圖11.2所示。圖11.1Infrastructure模式

圖11.2Ad-hoc模式

3.無線局域網(wǎng)標準

802.11是IEEE最初制定的一個無線局域網(wǎng)標準，規(guī)范包括介質(zhì)訪問控制(MAC)和物理層的操作。由于802.11傳輸速率最高只能達到2Mb/s，所以，它主要用于數(shù)據(jù)的存取，而在速率和傳輸距離上都不能滿足用戶的需要，因此，IEEE又相繼推出了802.11a、802.11b和802.11g三個新標準。目前的網(wǎng)卡均支持此三種標準。三個標準的主要參數(shù)如表11.1所示。表11.1IEEE802.11a/b/g比較

4.無線局域網(wǎng)安全

總的來說，無線局域網(wǎng)安全主要包括以下幾個方面：

通過對用戶身份的認證來保護網(wǎng)絡，防止非法入侵；

通過對無線傳輸?shù)臄?shù)據(jù)進行加密，防止非法接收；

使用無線跳頻等技術，防止網(wǎng)絡被探測；

有效的管理合法用戶的身份，包括用戶名、口令、密鑰等；

保護無線網(wǎng)絡的基本設備，避免錯誤配置。

除了在無線局域網(wǎng)(WLAN)中采用各種認證技術和加密協(xié)議以外，對于全面保護WLAN安全還應包括防火墻技術、VPN技術、入侵檢測技術、PKI技術等綜合應用。

11.2基本的WLAN安全

無線局域網(wǎng)可以采用業(yè)務組標識符(ServiceSetIdentifier，SSID)、物理地址(MAC)過濾和控制AP信號發(fā)射區(qū)的方法來對接入AP的STA進行識別和限制，實現(xiàn)WLAN的基本安全保障。

1.業(yè)務組標識符(ServiceSetIdentifier，SSID)

SSID也可以寫為ESSID，最多可以由32個字符組成，相當于有線網(wǎng)絡中的組名或域名，無線客戶端必須出示正確的SSID才能訪問無線接入點AP。利用SSID可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，從而為無線局域網(wǎng)提供一定的安全性。SSID的配置如圖11.3所示。圖11.3AP常規(guī)配置然而，由于無線接入點AP會不斷向外廣播其SSID，這使得攻擊者很容易獲得SSID，從而使WLAN安全性下降。另外，一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道SSID，很容易共享給非法用戶。而且有的廠家支持“任何”SSID方式，只要無線客戶端處在AP范圍內(nèi)，那么它都會自動連接到AP，這將繞過SSID的安全功能。針對以上SSID安全問題，管理員可采取相應的安全配置，如在AP上設置禁止對外廣播其SSID，以此保證SSID對一般用戶檢測無線網(wǎng)絡時不可見，而且設置只有知道該SSID的客戶端才能接入；用戶在使用該AP接入網(wǎng)絡時應盡量避免將SSID隨便告知他人，以免被攻擊者獲??；取消某些廠家支持的“任何”SSID方式，避免客戶端自動連接到AP。AP禁止SSID廣播設置如圖11.4所示。圖11.4AP的隱藏SSID配置

2.物理地址(MAC)過濾

由于每個無線客戶端網(wǎng)卡都有一個唯一的物理地址標識，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證，要求AP中的MAC地址列表必須隨時更新。MAC地址過濾配置如圖11.5所示。圖11.5AP的接入控制由于目前MAC地址過濾都是手工操作，擴展能力很差，因此只適合于小型網(wǎng)絡規(guī)模。另外，非法用戶利用網(wǎng)絡偵聽手段很容易竊取合法的MAC地址，而MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進行非法接入。

3.控制AP信號發(fā)散區(qū)

無線網(wǎng)絡工作時會廣播出射頻(RadioFrequency，RF)信號，因此信號存在著距離的限制，這個虛擬的信號傳播的覆蓋區(qū)域就是“發(fā)散區(qū)”。如果對AP的信號不加限制，就可能使信息泄漏給遠程的攻擊者?？刂菩盘栃孤┯袔追N常用的方法，一種是將AP放在室內(nèi)的中央位置，如果需要在大的空間里安置幾個AP，則盡量使其位于建筑物中心的位置，或者盡可能遠離外墻。另外，可以通過控制信號強度來限制信號的傳輸距離，如某些高端的產(chǎn)品具有功率調(diào)節(jié)選項，而對于一般的產(chǎn)品可采取減少天線(有的AP產(chǎn)品有兩個天線)或調(diào)整天線方向的辦法來限制信號傳輸范圍。由以上分析可以看出，SSID、MAC地址過濾和AP信號控制只是對STA的接入做了簡單的控制，是WLAN中最基本的安全措施，還遠遠不能滿足WLAN的安全需求。

11.3WLAN安全協(xié)議

11.3.1WEP

為了保障無線局域網(wǎng)中實體間的通信免遭竊聽和其他攻擊，802.11協(xié)議中定義了有線等價保密(WiredEquivalentPrivacy，WEP)子協(xié)議，它規(guī)定了對無線通信數(shù)據(jù)進行加密的方法，并對無線網(wǎng)絡的訪問控制等方面做出了具體的規(guī)定。

1.

WEP協(xié)議設計

WEP設計的基本思想是：

通過使用RC4流密碼算法加密來保護數(shù)據(jù)的機密性；

支持64位或128位加密；

通過STA與AP共享同一密鑰實施接入控制；

通過CRC-32產(chǎn)生的完整性校驗值(IntegrityCheckValue，ICV)來保護數(shù)據(jù)的完整性。

2.

WEP協(xié)議認證方式

WEP協(xié)議規(guī)定了兩種認證方式：開放系統(tǒng)認證和共享密鑰認證。

開放系統(tǒng)認證：是802.11b默認的身份認證方法，它允許對每一個要求身份認證的用戶驗證身份。但由于是開放系統(tǒng)，系統(tǒng)不對認證數(shù)據(jù)進行加密，因此所有認證數(shù)據(jù)都是以明文形式傳輸?shù)?，而且即使用戶提供了錯誤的WEP密鑰，用戶照樣能夠和接入點連接并傳輸數(shù)據(jù)，只不過所有的傳輸數(shù)據(jù)都以明文形式傳輸。所以采用開放式系統(tǒng)認證只適合于簡單易用為主，沒有安全要求的場合。

共享密鑰認證：是通過檢驗AP和STA是否共享同一密鑰來實現(xiàn)的，該密鑰就是WEP的加密密鑰。密鑰生成有兩種方法，一種是采用ASCII，一種是采用十六進制。一般來說，對于40位的加密需要輸入5個ASCII或10個十六進制數(shù)，128位加密需輸入13個ASCII或26個十六進制數(shù)。一般用戶比較喜歡采用ASCII格式的密鑰，但這種密鑰容易被猜測，因此并不安全，建議采用十六進制的密鑰。IEEE802.11協(xié)議中沒有規(guī)定WEP中的共享密鑰SK如何產(chǎn)生和分發(fā)。一般產(chǎn)品中有兩種密鑰產(chǎn)生辦法：一種由用戶直接寫入，另一種由用戶輸入一個密鑰詞組，通過一個產(chǎn)生器(Generator)生成。用戶一般喜歡用第二種方式產(chǎn)生SK，而由于產(chǎn)生器設計的失誤使其安全性降低，又可能使窮舉攻擊成為可能。

3.

WEP的安全缺陷

WEP雖然通過加密提供網(wǎng)絡的安全性，但仍存在許多缺陷，具體主要體現(xiàn)在以下幾個方面：

認證缺陷：首先，采用開放系統(tǒng)認證的實質(zhì)是不進行用戶認證，任何接入WLAN的請求都被允許。其次，共享密鑰認證方法也存在安全漏洞，攻擊者通過截獲相關信息并經(jīng)過計算后能夠得到共享密鑰，而且此方法僅能夠認證工作站是否合法，確切地說是無線網(wǎng)卡是否合法，而無法區(qū)分使用同一臺工作站的不同用戶是否合法。

密鑰管理缺陷：由于用戶的加密密鑰必須與AP的密鑰相同，并且一個服務區(qū)內(nèi)的所有用戶都共享同一把密鑰，因此倘若一個用戶丟失密鑰，則將殃及到整個網(wǎng)絡。同時，WEP標準中并沒有規(guī)定共享密鑰的管理方案，通常是手工進行配置與維護，由于更換密鑰費時且麻煩，所以密鑰通常是長時間使用而很少更換，這也為攻擊者探測密鑰提供了可能。

WEP加密算法缺陷：包括RC4算法存在弱密鑰、CRC-32的機密信息修改容易等存在的缺陷使破譯WEP加密成為可能。目前，能夠截獲WLAN中無線傳輸數(shù)據(jù)的硬件設備已經(jīng)能夠在市場上買到，可以對截獲數(shù)據(jù)進行解密的黑客軟件也已經(jīng)能夠從因特網(wǎng)上下載，如airsort、wepcrack等，WEP協(xié)議面臨著前所未有的嚴峻挑戰(zhàn)，因此采用WEP協(xié)議并不能保證WLAN的安全。11.3.2802.1x

認證——端口訪問控制技術(IEEE802.1x)協(xié)議于2001年6月由IEEE正式公布，它是基于端口的網(wǎng)絡訪問控制方案，要求用戶經(jīng)過身份認證后才能夠訪問網(wǎng)絡設備。802.1x協(xié)議不僅能提供訪問控制功能，還能提供用戶認證和計費的功能，適合無線接入場合的應用，是所有IEEE802標準系列(包括WLAN)的整體安全體系結構。802.1x網(wǎng)絡訪問技術的實體一般由STA、AP和遠程撥號用戶認證服務(RemoteAuthenticationDial-InUserService，RADIUS)服務器三部分構成，其中AP提供了兩類端口：受控端口(ControlledPort)和非受控端口(UncontrolledPort)。STA通過AP的非受控端口傳送認證數(shù)據(jù)給RADIUS，一旦認證通過則可通過受控端口與AP進行數(shù)據(jù)交換。

802.1x定義客戶端到認證端采用局域網(wǎng)的EAP協(xié)議(EAPoverLAN，EAPOL)，認證端到認證服務器采用基于RADIUS協(xié)議的EAP協(xié)議(EAPoverRADIUS)。其中可擴展認證協(xié)議(ExtensibleAuthenticationProtocol，EAP)，即PPP擴展認證協(xié)議，是一個用于PPP認證的通用協(xié)議，可以支持多種認證方法。以STA、AP和RADIUS認證服務器為例，802.1x協(xié)議的認證過程如下：

(1)用戶通過AP的非受控端口向AP發(fā)送一個認證請求幀；

(2)

AP返回要求用戶提供身份信息的響應幀；

(3)用戶將自己的身份信息(例如用戶名、口令等)提交給AP；

(4)

AP將用戶身份信息轉交給RADIUS認證服務器；

(5)認證服務器驗證用戶身份的合法性，如果是非法用戶，發(fā)送拒絕接入的數(shù)據(jù)幀，反之，則發(fā)送包含加密信息的響應幀給AP。

(6)

AP將收到的RADIUS返回數(shù)據(jù)幀中包含的信息發(fā)給用戶。(7)合法用戶能夠計算出返回信息中的加密數(shù)據(jù)，通過AP與RADIUS經(jīng)過多次交換信息后，認證服務器最終向AP發(fā)送接受或拒絕用戶訪問的信息。

(8)

AP向用戶發(fā)送允許訪問或拒絕訪問的數(shù)據(jù)幀。如果認證服務器告知AP可以允許用戶接入，則AP為用戶打開一個受控端口，用戶可通過受控端口傳輸各種類型的數(shù)據(jù)流，如超文本傳輸協(xié)議HTTP、動態(tài)主機配置協(xié)議DHCP、文件傳輸協(xié)議FTP及郵局協(xié)議POP3等。11.3.3WPA

WPA(Wi-FiProtectedAccess)采用臨時密鑰完整性協(xié)議(TemporalKeyIntegrityProtocol，TKIP)實現(xiàn)數(shù)據(jù)加密，可以兼容現(xiàn)有的WLAN設備，認證技術則采用802.1x和EAP協(xié)議實現(xiàn)的雙向認證。

TKIP是WEP的改進方案，能夠提高破解難度，比如延長破解信息收集時間，但由于它并沒有脫離WEP的核心機制，而WEP算法的安全漏洞是由于WEP機制本身引起的，因此TKIP的改進措施并不能從根本上解決問題。而且由于TKIP采用了常?？梢杂煤唵蔚牟聹y方法攻破的Kerberos密碼，所以更易受攻擊。另一個嚴重問題是TKIP在加密/解密處理效率問題沒有得到任何改進，甚至更差。因此，TKIP只能作為一種臨時的過渡方案，而不能是最終方案。

在IEEE完成并公布IEEE802.11i無線局域網(wǎng)安全標準后，Wi-Fi聯(lián)盟也隨即公布了WPA第2版(WPA2)，支持其提出的AES加密算法。一般AP產(chǎn)品對WPA的支持如表11.2所示。表11.2WPA產(chǎn)品參數(shù)比較其中：

WPA－PSK和WPA2－PSK：即通常所說的WPA-Personal和WPA2-Personal，采用8～63個字符長度的預先共享密鑰(Pre-SharedKey，PSK)作為每個接入用戶的密碼口令，不需要RADIUS，適用于家庭和小型辦公室網(wǎng)絡，前者一般使用TKIP加密方法，而后者通常使用AES加密方法。采用PSK的WPA安全性比較差。

WPA和WPA2：即通常所稱的WPA-Enterprise和WPA2-Enterprise，使用802.1X認證服務器給每個用戶分配不同的密鑰，前者通常采用TKIP加密方法，而后者通常采用AES加密方法，需要RADIUS支持，適用于企業(yè)級的網(wǎng)絡，是比WPA－PSK加密更安全的訪問方式。11.3.4802.11i與WAPI

802.11i和我國的無線局域網(wǎng)標準WAPI同時向IEEE申請成為國際標準，2007年6月，IEEE標準委員會將802.11i確定為最新無線局域網(wǎng)安全標準。

1.?802.11i

802.11i標準通過使用CCM(Counter-Mode/CBC-MAC)認證方式和AES(AdvancedEncryptionStandard)加密算法構建的CCMP密碼協(xié)議來實現(xiàn)機密和認證兩種功能，更進一步加強了無線局域網(wǎng)的安全和對用戶信息的保護，安全性好，效率高，但由于它們與以往的WLAN設備不兼容，而且對硬件要求高，因此目前還未在WLAN產(chǎn)品中普遍使用。

2.

WAPI

無線局域網(wǎng)鑒別與保密基礎結構(WLANAuthenticationandPrivacyInfrastructure，WAPI)是由“中國寬帶無線IP標準工作組”負責起草的無線局域網(wǎng)國家標準，采用基于橢圓曲線公鑰密碼(EllipticCurveCryptography，ECC)的證書技術對WLAN系統(tǒng)中的STA和AP進行認證，而加密部分采用中國商用密碼管理辦公室認定的算法，包括對稱加密算法、HASH算法、WLAN隨機數(shù)算法、ECC算法等。WAPI具有全新的高可靠性安全認證與保密體制、完整的“用戶接入點”雙向認證、集中式或分布式認證管理、高強度的加密算法等優(yōu)點，能夠為用戶的WLAN系統(tǒng)提供全面的安全保護。

11.4第三方安全技術

由于無線網(wǎng)絡接入相比有線網(wǎng)絡接入更容易受到黑客的利用，因此必須加強對無線網(wǎng)絡的安全部署。除了利用AP自帶的認證和加密等安全功能以外，要想保證WLAN整體安全必須要結合第三方的安全技術，如采用防火墻、VPN技術對無線網(wǎng)絡用戶的接入控制和數(shù)據(jù)安全進行加強；在網(wǎng)絡內(nèi)部采用IDS技術對無線網(wǎng)絡用戶對訪問內(nèi)網(wǎng)進行分析等。

1.防火墻在WLAN中的應用

由于攻擊者能夠較容易地接入無線網(wǎng)絡，因此在設計整體網(wǎng)絡安全的時候，WLAN應被看做是與Internet一樣不安全的連接，需要結合防火墻技術將無線用戶和內(nèi)部用戶分開。一般來說，在為無線網(wǎng)絡接入選擇防火墻時，最好選用專業(yè)的硬件防火墻，也可選用主流的防火墻產(chǎn)品來保護現(xiàn)有的Internet連接，并將訪問點放在DMZ中，如將無線集線器或交換機放到DMZ區(qū)中，并結合訪問策略對無線訪問用戶進行限制。當然，這樣的網(wǎng)絡規(guī)劃有助于保護網(wǎng)絡內(nèi)部資源，但不能很好地保護無線網(wǎng)絡用戶，不過由于無線網(wǎng)絡的用戶群體一般比較小，因此他們實施另外的保護措施還不至于顯得非常復雜。WLAN通過防火墻接入LAN如圖11.6所示。圖11.6WLAN通過防火墻接入LAN

2.

VPN技術在WLAN中的應用

由于僅僅通過防火墻的實施還不能擋住攻擊者對無線網(wǎng)絡的嗅探，而WLAN自身的加密算法強度有限，因此還要配合VPN技術來保證無線網(wǎng)絡用戶安全訪問內(nèi)部網(wǎng)。無線訪問用戶在訪問內(nèi)部網(wǎng)絡時不僅接受防火墻規(guī)則的制約，而且在原有WALN加密數(shù)據(jù)的基礎上再增加VPN身份認證和加密隧道，能大大增強其訪問安全性。支持VPN技術的WLAN可以使用帶有VPN功能的防火墻或獨立的VPN服務器，如圖11.7所示。圖11.7WLAN通過VPN接入LAN

11.5無線局域網(wǎng)組建實例

【實驗背景】

無線局域網(wǎng)已經(jīng)成為最常用的網(wǎng)絡結構，利用AP和STA可以快速地架構局域網(wǎng)而不用會受到太多的空間限制。不過，如果不能對WLAN進行安全配置和管理，則可能給整個內(nèi)部網(wǎng)絡帶來安全威脅。

【實驗目的】

掌握常用的WLAN組建及安全管理。【實驗條件】

(1)

AP一臺；

(2)基于Windows的PC機兩臺，分別配備無線網(wǎng)卡。

【實驗任務】

(1)實現(xiàn)AP的安全配置；

(2)實現(xiàn)兩臺STA通過AP以Infrastructure模式互連；

(3)實現(xiàn)兩臺STA通過無線網(wǎng)卡以Ad-hoc模式互連?！緦嶒瀮?nèi)容】

1.無線網(wǎng)卡安裝

在兩臺PC機上分別安裝無線網(wǎng)卡，使其成為STA?；镜臒o線網(wǎng)卡安裝由于產(chǎn)品不同，安裝過程也會有所區(qū)別，這里不做詳細敘述。無線網(wǎng)卡安裝成功后可以在【網(wǎng)絡連接】窗口中管理并配置無線網(wǎng)卡，如圖11.8所示。圖11.8無線網(wǎng)絡連接

2.

AP連接

對于AP的管理連接分有線和無線兩種連接方式。本實驗以無線連接方式配置AP為例進行演示。

(1)首先將AP各部件按照說明書進行組合，并通過網(wǎng)線接入到上級交換機中(若只是實現(xiàn)STA通過AP互連，則AP可不必接入有線網(wǎng)絡)。(2)配置STA無線網(wǎng)卡IP地址。本實驗所用的AP說明書提供了其默認的初始IP配置為。因此，在STA1上右擊如圖11.8所示【網(wǎng)絡連接】窗口中的“無線網(wǎng)絡連接”→“屬性”，在“常規(guī)”選項卡中雙擊“Internet協(xié)議(TCP/IP)”，在【Internet協(xié)議(TCP/IP)屬性】窗口中選擇“使用下面的IP地址”，輸入與默認AP在同一網(wǎng)段的IP地址和網(wǎng)關地址，如圖11.9所示。圖11.9配置無線網(wǎng)絡連接IP地址(3)在【Internet協(xié)議(TCP/IP)屬性】窗口中兩次單擊“確定”按鈕后關閉無線網(wǎng)絡連接屬性窗口，完成無線網(wǎng)卡IP地址配置。

(4)右擊如圖11.8所示【網(wǎng)絡連接】窗口中的“無線網(wǎng)絡連接”圖標→“查看可用的無線連接”，可以看到檢測未啟用安全措施的無線網(wǎng)絡，如圖11.10所示。圖11.10AP建立的無線連接檢測(5)雙擊該AP默認的SSID，與AP建立連接，通常，默認的AP是沒有加密設置的，連接時可能會提示是否要連接不安全的無線網(wǎng)絡。先確認連接，等無線局域網(wǎng)連接成功后再進行安全加密。正常連接后，網(wǎng)絡屬性中會顯示當前的信號強度，如圖11.11所示。

(6)雙擊Windows窗口右下角的無線網(wǎng)絡連接圖標可以看到該無線網(wǎng)絡連接的詳細信息，如圖11.12所示。圖11.11與AP建立的無線網(wǎng)絡連接圖11.12無線網(wǎng)絡連接狀態(tài)信息

3.

AP配置

(1)在STA的IE中輸入AP的IP地址，即可看到AP的管理界面，在說明書上找到AP的初始密碼，輸入后單擊“登錄”，進入AP配置頁面。

(2)AP的常規(guī)配置界面如圖11.3所示。選擇“無線模式”為“AP模式”，用于建立Infrastructure網(wǎng)絡，允許SAT的連接，并配合其他功能可以方便的管理用戶。在“ESSID”中輸入新的字符串(出于安全考慮一般應該對AP默認的SSID進行更改以防止被試探連接，本實驗以默認的SSID/“Wireless”為例進行講解)。根據(jù)國家的不同選擇頻道參數(shù)，并可根據(jù)實際網(wǎng)絡需求選擇“模式”為802.11b、802.11g或混合模式。(3)

AP的安全配置。在“網(wǎng)絡鑒別方式”下拉菜單中選擇“共享密鑰”，在“數(shù)據(jù)加密”下拉菜單中選擇“WEP40”(若對加密要求高則應選擇“WEP128”)，然后在“Passphrase”對話框中輸入一個簡單的字符串，單擊其右側的“生成密鑰”按鈕，即可在密鑰序列中看到生成的密鑰，選擇其中的一個并告訴用戶作為加密密鑰。如圖11.13所示。

單擊“應用”按鈕，AP重新啟動，無線網(wǎng)絡適配器與AP連接斷開。圖11.13AP安全配置

4.

STA接入AP

(1)以安裝了Windows2003的STA為例，在如圖11.8所示【網(wǎng)絡連接】窗口中右擊“無線網(wǎng)絡連接”圖標→屬性，選擇“無線網(wǎng)絡配置”選項卡，選中AP網(wǎng)絡SSID，單擊“屬性”按鈕，選擇“網(wǎng)絡身份驗證”和“數(shù)據(jù)加密”方式，輸入“網(wǎng)絡密鑰”，所有設置應與AP中的設置保持一致，如圖11.14所示(注：如果在無線網(wǎng)絡配置中沒有找到需要連接的SSID，則可單擊“添加”按鈕，然后按次序?qū)懭敫鲄?shù))。

(2)單擊“確定”按鈕關閉所有