《網(wǎng)絡(luò)安全防護項目教程》 課件 項目9 局域網(wǎng)接入安全防護

了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標：知識目標技能目標態(tài)度目標會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強烈的安全意識養(yǎng)成勤學(xué)、好問、獨立思考和細心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力9.1任務(wù)概覽無線局域網(wǎng)采用無線介質(zhì)實現(xiàn)網(wǎng)絡(luò)連接和數(shù)據(jù)通信，在接入認證、訪問控制、數(shù)據(jù)加密等方面存在很大隱患，容易引發(fā)安全問題。（1）廣播SSID:為了區(qū)別于不同的無線局域網(wǎng)，一般都會設(shè)置一個SSID，默認情況下都是不斷向周圍客戶端廣播其SSID，方便無線客戶端識別和接入無線局域網(wǎng)。（2）弱密碼:使用無線接入的時候為了保證安全，設(shè)置了密碼，但采用的是簡單密碼，如位數(shù)較少，不超過6位；使用單純的數(shù)字、連續(xù)的數(shù)字、生日等作為密碼。（3）加密方式:采用設(shè)計相對簡單的WEP加密方式，該方式是基于挑戰(zhàn)與應(yīng)答的認證協(xié)議和加密協(xié)議，在設(shè)計上存在一些不足，如認證機制過于簡單，加解密采用同一個密鑰；單向認證，只能是無線網(wǎng)絡(luò)設(shè)備認證客戶端；采用的RC4加密算法存在“弱密鑰”問題；初始化向量只有24位，重復(fù)出現(xiàn)的幾率高。子任務(wù)9-1-1無線安全機制任務(wù)1無線接入安全任務(wù)9-1無線接入安全1．無線安全隱患（1）隱藏無線網(wǎng)絡(luò)SSID無線終端在接入網(wǎng)絡(luò)時，要求首先輸入SSID（ServiceSetIdentifier服務(wù)集標識），即網(wǎng)絡(luò)名稱，用來區(qū)分不同的無線網(wǎng)絡(luò)，最多可以有32個字符。SSID通常由無線路由器廣播，通過無線客戶端自帶的掃描功能可以查看當前區(qū)域內(nèi)的SSID。包括BSSID（基本服務(wù)集標識）和ESSID（擴展服務(wù)集標識）兩種情況。其中BSSID為接入點的MAC地址，不能夠被修改；而ESSID就是通常所說的SSID，可以根據(jù)要求進行修改。子任務(wù)9-1-1無線安全機制任務(wù)9-1無線接入安全2．無線安全基本防御為了避免無訪問權(quán)限的客戶端加入無線局域網(wǎng)，確保無線局域網(wǎng)的安全，通常采取的方法就是隱藏SSID，不選中“開啟SSID廣播”復(fù)選框，如圖1-1-1所示。隱藏SSID后，無線終端不知道網(wǎng)絡(luò)SSID就不能接入，需要手工設(shè)置才能進入相應(yīng)的網(wǎng)絡(luò)。子任務(wù)9-1-1無線安全機制圖1-1-1“無線網(wǎng)絡(luò)基本設(shè)置”對話框子任務(wù)9-1-1無線安全機制這種方式可以一定程度上保護無線網(wǎng)絡(luò)安全，但不能從根本上解決安全問題，容易被暴力破解、工具分析、Death攻擊方式攻破。暴力破解的難度主要在于SSID設(shè)置的長度、使用字符的類型，一般情況下使用的長度越長，破解越難；使用字符類型越多，破解越難。工具分析是通過無線抓包工具捕獲無線網(wǎng)絡(luò)數(shù)據(jù)包，然后通過分析數(shù)據(jù)包獲取無線局域網(wǎng)的SSID。Death攻擊是通過發(fā)送攻擊數(shù)據(jù)包，迫使無線設(shè)備接入點與客戶端的連接斷開，然后在客戶端重新連接的過程中獲取SSID。子任務(wù)9-1-1無線安全機制（2）MAC地址過濾任何無線網(wǎng)卡都存在唯一的MAC（MediaAccessControl）地址，為了提高無線局域網(wǎng)安全，通常會設(shè)置MAC地址過濾，只允許指定MAC地址的計算機接入無線局域網(wǎng)，如圖1-1-2所示設(shè)置，則可以避免非法客戶端接入無線網(wǎng)絡(luò)，只允許“MAC地址表”中的設(shè)備才能接入無線網(wǎng)絡(luò)。圖1-1-2“無線設(shè)備接入控制”界面子任務(wù)9-1-1無線安全機制（3）WPA加密該方式彌補了WEP加密的缺陷，采用TKIP協(xié)議增強了無線局域網(wǎng)的安全性，并推出了WPA2（見圖）標準以進一步提高安全性能。當然，該方式也不可避免的會遭到破解，但可通過密碼設(shè)置的復(fù)雜程度和定期更換密碼來進行加強。無線安全機制設(shè)置主要步驟如下。步驟1：找到無線網(wǎng)絡(luò)，鼠標右鍵，打開如圖1-1-3所示的“無線網(wǎng)絡(luò)連接狀態(tài)”對話框。子任務(wù)9-1-1無線安全機制任務(wù)9-1無線接入安全3．無線安全機制設(shè)置圖1-1-3“無線網(wǎng)絡(luò)連接狀態(tài)”對話框步驟2：單擊“屬性”按鈕，打開如圖1-1-4所示的“HNRPC_Teacher2無線網(wǎng)絡(luò)屬性”對話框，打開“連接”選項卡，根據(jù)具體情況設(shè)置連接情況。圖1-1-4“HNRPC_Teacher2無線網(wǎng)絡(luò)屬性”對話框-“連接”選項卡步驟3：單擊“安全”選項卡，打開如圖1-1-5所示的“HNRPC_Teacher2無線網(wǎng)絡(luò)屬性-安全”選項卡，設(shè)置“安全類型”和“加密類型”，然后單擊“確定”就可以讓設(shè)置生效。圖1-1-5“HNRPC_Teacher2無線網(wǎng)絡(luò)屬性”對話框-“安全”選項卡步驟4：單擊圖1-1-3的“屬性”按鈕，打開如圖1-1-6所示的“無線網(wǎng)絡(luò)連接屬性”對話框。圖1-1-6“無線網(wǎng)絡(luò)連接屬性”對話框步驟5：單擊“配置（C）…”按鈕，打開如圖1-1-7所示的“Intel（R）Wireless-N7625屬性”對話框，“Intel（R）Wireless-N7625”標識為網(wǎng)卡型號信息。圖1-1-7“Intel（R）Wireless-N7265屬性”對話框-“常規(guī)”選項卡步驟6：單擊“高級”選項卡，打開如圖1-1-8所示的“高級”選項卡，可設(shè)置“AdHoc信道802.11b/g”的信道，以方便區(qū)分其他無線局域網(wǎng)的信道使用，默認情況為“6”。圖1-1-8“Intel（R）Wireless-N7265屬性”對話框-“高級”選項卡子任務(wù)9-1-1無線安全機制為避免信道之間的干擾，存在多個無線AP設(shè)備的時候，相鄰設(shè)備的信道通常按“1-6-11”的情況設(shè)置，信道輻射范圍如圖1-1-9所示。還可根據(jù)實際需要對其他項進行設(shè)置，如“2-7-12”等。圖1-1-9信道與頻率關(guān)系圖了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標：知識目標技能目標態(tài)度目標會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強烈的安全意識養(yǎng)成勤學(xué)、好問、獨立思考和細心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力9.1任務(wù)概覽子任務(wù)9-1-2無線網(wǎng)絡(luò)設(shè)備安全無線網(wǎng)絡(luò)中常用的設(shè)備主要包括如下。（1）無線網(wǎng)卡無線網(wǎng)卡是無線信號的接收裝置，其作用是將無線終端設(shè)備連接到無線網(wǎng)絡(luò)。通常情況下可以直接接收信號，但有些提供了專門的無線網(wǎng)卡管理軟件，這就需要設(shè)置才能管理無線網(wǎng)路。（2）無線接入點無線接入點（AccessPoint，簡稱AP）是一個無線網(wǎng)絡(luò)的接入點，俗稱“熱點”。主要分為一體設(shè)備和純接入設(shè)備，一體設(shè)備是指有路由交換接入一體設(shè)備，執(zhí)行接入和路由工作，是無線網(wǎng)絡(luò)的核心；純接入設(shè)備只負責無線客戶端的接入，通常用于無線網(wǎng)絡(luò)的擴展，以擴大無線覆蓋范圍。1.無線局域網(wǎng)常用設(shè)備任務(wù)1無線接入安全任務(wù)9-1無線接入安全子任務(wù)9-1-2無線網(wǎng)絡(luò)設(shè)備安全（3）無線路由器無線路由器（WirelessRouter）是用于用戶上網(wǎng)、帶有無線覆蓋功能的路由器。一般支持專線xdsl/cable、動態(tài)xdsl、pptp四種接入方式，具有如dhcp服務(wù)、nat防火墻、mac地址過濾、動態(tài)域名等網(wǎng)絡(luò)管理功能。信號范圍一般為半徑50米，有的可達到半徑300米。無線路由器與無線AP的區(qū)別如表1-1-1所示。設(shè)備名稱功能接入應(yīng)用無線AP（“瘦”AP）將有線網(wǎng)絡(luò)轉(zhuǎn)換為無線網(wǎng)絡(luò)；或者說是WLAN與LAN之間的橋梁交換機或路由器上，接入的無線終端與原網(wǎng)絡(luò)處于同一子網(wǎng)大面積網(wǎng)絡(luò)覆蓋無線路由器（“胖”AP）是AP、路由交換功能的集合接寬帶線路（如ADSLModem）家庭、SOHO網(wǎng)絡(luò)表1-1-1無線路由器與無線AP的區(qū)別子任務(wù)9-1-2無線網(wǎng)絡(luò)設(shè)備安全無線接入點的安全通?？紤]把虛擬專用網(wǎng)和無線AP結(jié)合起來，主要有兩種，具體如表1-1-2所示。2.無線接入點安全表1-1-2AP接入網(wǎng)絡(luò)安裝位置序號安裝位置性能優(yōu)點缺點1AP安放在Windows服務(wù)器接口上使用L2TP和IpSec軟件為無線網(wǎng)路的通信加密，加強保密性使用內(nèi)置軟件，客戶端軟件變化小，容易設(shè)置和應(yīng)用，不需增加額外的服務(wù)器或者硬件成本增加了現(xiàn)有的服務(wù)器的額外負荷(根據(jù)提供服務(wù)AP數(shù)量和使用AP客戶數(shù)量不同，負荷不同)2使用內(nèi)置虛擬專用網(wǎng)網(wǎng)關(guān)服務(wù)的無線AP集成了AP和虛擬專用網(wǎng)功能易安裝、設(shè)置和管理；加密更加合理，避免了802.1x加密為虛擬專用網(wǎng)連接增加的費用預(yù)先將兩種功能封裝在一起

任務(wù)1無線接入安全任務(wù)1任務(wù)1子任務(wù)9-1-2無線網(wǎng)絡(luò)設(shè)備安全路由器廠家為了后期維護和管理的方便性，一般會采取在固件中預(yù)留后門的辦法，后門一般可以在中根據(jù)不同產(chǎn)品進行查找。盡管該方式給管理帶來了方便，但留下了安全隱患，無線路由器基礎(chǔ)的安全設(shè)置可以解除大部分的威脅。（1）修改路由器登陸用戶名和密碼一般無線路由器出廠默認登陸用戶名和密碼均為admin。建議修改登陸用戶名和密碼，防止非法用戶修改無線路由器的配置。密碼設(shè)置建議采用數(shù)字、大小寫字母、符號等形式的組合，增加密碼破解難度，避免出現(xiàn)123456、生日、手機號等簡單密碼。（2）修改路由器管理端口一般路由器管理端口默認為80。正常情況下，在瀏覽器url地址欄中輸入IP地址，就可以登陸管理界面。如果修改管理端口，登陸路由器管理界面時需要在IP地址后添加端口號，如：:8080。這樣其他用戶只有知道管理端口后才可以登陸路由器管理，大大增強了對路由器管理的安全性。3.無線路由器安全無線接入安全任務(wù)1任務(wù)1任務(wù)1子任務(wù)9-1-2無線網(wǎng)絡(luò)設(shè)備安全（3）禁用DHCP功能DHCP是DynamicHostConfigurationProtocol(動態(tài)主機分配協(xié)議)縮寫，在路由器上運行，主要功能就是幫助用戶隨機分配IP地址，省去了用戶手動設(shè)置IP地址、子網(wǎng)掩碼以及其他所需要的TCP/IP參數(shù)的麻煩。為了訪問方便和降低設(shè)置難度，一般路由器默認是開啟DHCP功能的，無線設(shè)備只要是在無線信號覆蓋范圍內(nèi)就能自動分配到IP地址，但這也給攻擊者提供了便利，可以通過自動分配的IP地址輕易獲得路由器的相關(guān)信息，安全隱患隨之產(chǎn)生。因此，從安全角度考慮需要禁用DHCP功能。禁用操作步驟如下所示。步驟1：進入無線路由器后，打開如圖1-1-10所示的DHCP服務(wù)器界面圖1-1-10DHCP服務(wù)器界面步驟2：在“DHCP服務(wù)器”后選擇“關(guān)”的單選項，單擊下方“保存”按鈕即可。子任務(wù)9-1-2無線網(wǎng)絡(luò)設(shè)備安全（4）修改LAN口IP為不常用網(wǎng)段一般無線路由器出廠默認LAN口IP為。如果不修改LAN口IP地址，即使關(guān)閉了DHCP服務(wù)器，非法用戶通過指定IP地址到192.168.1.X網(wǎng)段，網(wǎng)關(guān)設(shè)置為，則該用戶還是可以獲取上網(wǎng)資源。因此，建議修改LAN口IP地址為不常用網(wǎng)段。（5）開啟路由器防火墻通過防火墻中IP地址和MAC地址過濾，只允許自己的IP地址或者MAC地址連接Internet，可以防止非法接入者共享帶寬。（6）啟用WEP或WPA（WPA2）加密通訊數(shù)據(jù)默認情況下，無線路由器在出廠時無線加密功能都是關(guān)閉的，為了增加無線網(wǎng)絡(luò)安全性能，建議啟用此功能。注意：如果忘記了設(shè)定的密碼，可按住復(fù)位鍵，將設(shè)備恢復(fù)到出廠狀態(tài)即可。但一定要記得其他安全措施都需要重新設(shè)置。子任務(wù)9-1-2無線網(wǎng)絡(luò)設(shè)備安全目前無線路由器常用的加密技術(shù)有WEP、WPA、WPA2三種。這三種加密技術(shù)的聯(lián)系與區(qū)別如表1-1-3所示。任務(wù)1-2無線網(wǎng)絡(luò)設(shè)備安全表1-1-3無線加密技術(shù)比較序號名稱英文全稱中文含義說明1WEPWiredEquivalentPrivacy有線對等協(xié)議是加密能力最弱的一種2WPAWi-FiProtectedAccessWi-Fi保護接入改良的密鑰管理技術(shù)，支持TKIP（TemporalKeyIntegrityProtocol臨時密鑰完整性協(xié)議）加密；增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造；實現(xiàn)復(fù)雜，需要一臺radius服務(wù)器來分發(fā)和管理密鑰3WPA2Wi-FiProtectedAccessversion2WPA的增強型版本支持AES（AdvancedEncryptionStandard高級加密標準）加密，非法接入難（7）及時更新硬件驅(qū)動和系統(tǒng)補丁為了更好的支持無線網(wǎng)絡(luò)的使用和安全，使自己的設(shè)備能夠具備最新的各項功能，需要及時更新硬件驅(qū)動和系統(tǒng)補丁。新的版本在帶來新功能的同時也修復(fù)了一些安全漏洞，可以啟動路由器上自動更新功能或者登陸官方網(wǎng)站下載最新固件，然后手動更新。這樣可以杜絕黑客利用已知漏洞獲取信息。（8）禁用遠程訪問路由器的“遠程管理”功能給管理者提供了管理方便的同時也給黑客提供了一種攻擊途徑，應(yīng)選擇關(guān)閉，避免被黑客遠程攻擊。（9）隱藏SSID通常情況下，訪問無線網(wǎng)絡(luò)都是首先搜索網(wǎng)絡(luò)名字，在默認情況下，無線路由器是開啟“SSID廣播”的，這樣會只要在無線覆蓋范圍內(nèi)開啟無線設(shè)備，就會看到該區(qū)域的所有無線網(wǎng)絡(luò)，給攻擊者提供了連接便利，讓網(wǎng)絡(luò)安全性降低，建議隱藏SSID。子任務(wù)9-1-2無線網(wǎng)絡(luò)設(shè)備安全（10）設(shè)置IP過濾和MAC地址列表為了避免非法用戶連接到無線網(wǎng)絡(luò)中，建議將允許訪問網(wǎng)絡(luò)用戶的IP地址和MAC地址添加到訪問列表中，因為每個網(wǎng)卡的MAC地址是唯一的，可以通過設(shè)置MAC地址列表來提高安全性。在啟用了IP地址過濾功能后，只有IP地址在MAC列表中的用戶才能正常訪問無線網(wǎng)絡(luò)，其它的不在列表中的就自然無法連入網(wǎng)絡(luò)了。注意：在“過濾規(guī)則”中一定要選擇“僅允許已設(shè)MAC地址列表中已生效的MAC地址訪問無線網(wǎng)絡(luò)”選項，要不無線路由器就會阻止所有用戶連入網(wǎng)絡(luò)。對于家庭用戶來說這個方法非常實用，家中有幾臺電腦就在列表中添加幾臺即可，這樣既可以避免被“蹭網(wǎng)”，也可以防止攻擊者的入侵。子任務(wù)9-1-2無線網(wǎng)絡(luò)設(shè)備安全了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標：知識目標技能目標態(tài)度目標會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強烈的安全意識養(yǎng)成勤學(xué)、好問、獨立思考和細心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力9.1任務(wù)概覽子任務(wù)9-1-3無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)根據(jù)無線接入點功能不同，可實現(xiàn)不同的組網(wǎng)方式，通常有點對點、基礎(chǔ)結(jié)構(gòu)、多AP、無線網(wǎng)橋、無線中繼器、AP客戶端模式等。不管采用哪一種組網(wǎng)模式，其拓撲結(jié)構(gòu)基本可歸結(jié)為兩類，一是無中心拓撲（Ad-Hoc），另一是有中心拓撲（Infrastructure）。（1）結(jié)構(gòu)無中心拓撲結(jié)構(gòu)如圖1-1-11所示。圖1-1-11無中心拓撲結(jié)構(gòu)圖（2）特點●無中心拓撲是一種獨立的BSS（基本服務(wù)區(qū)）。●以自發(fā)方式構(gòu)成單區(qū)網(wǎng)絡(luò)，但無法接入到有線網(wǎng)絡(luò)中，只能獨立使用。●任意站點之間直接通信，不需要AP轉(zhuǎn)接，各客戶端的安全自行維護?！裨撏負浣Y(jié)構(gòu)只適用于少數(shù)用戶的組網(wǎng)環(huán)境。1．無中心拓撲任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-3無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)（1）結(jié)構(gòu)有中心拓撲結(jié)構(gòu)如圖1-1-12所示。圖1-1-12有中心拓撲結(jié)構(gòu)圖（2）特點有中心拓撲是一種最常見的無線網(wǎng)絡(luò)部署方式，無線客戶端之間通過AP轉(zhuǎn)接接入網(wǎng)絡(luò)。AP也是有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的連接媒介，通常可以覆蓋幾十至幾百用戶。2．有中心拓撲任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-3無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標：知識目標技能目標態(tài)度目標會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強烈的安全意識養(yǎng)成勤學(xué)、好問、獨立思考和細心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力9.1任務(wù)概覽子任務(wù)9-1-4VPN簡介用戶通過無線局域網(wǎng)交換信息時，需要保證信息的安全性，如VPN（Virtual?Private?Networking，虛擬專用網(wǎng)絡(luò)）等，該安全技術(shù)與IEEE802.11b無線標準結(jié)合起來，是目前較為理想的無線局域網(wǎng)絡(luò)的安全解決方案。虛擬專用網(wǎng)絡(luò)是一種使用Internet將一臺或多臺計算機連接到大型網(wǎng)絡(luò)的網(wǎng)絡(luò)，如商業(yè)網(wǎng)絡(luò)。VPN是經(jīng)過加密的網(wǎng)絡(luò)，在VPN客戶機與網(wǎng)關(guān)之間創(chuàng)建一個加密的、虛擬的點對點連接，保障經(jīng)過互聯(lián)網(wǎng)時的安全，只有授權(quán)的用戶才可以訪問它。如公司人員出差到外地或在家中，需要訪問公司企業(yè)網(wǎng)資源時采用VPN就避免了直接撥入時未加密的數(shù)據(jù)包容易被人監(jiān)聽或攔截的威脅。VPDN是虛擬撥號專用網(wǎng)絡(luò)的縮寫，全名為Virtual?Private?Dial-Up?Networks，是利用公眾電話網(wǎng)絡(luò)（PSTN+公用數(shù)據(jù)網(wǎng)）的架構(gòu)來構(gòu)筑企業(yè)的專用網(wǎng)絡(luò)，具體情況如圖1-1-13所示。1．什么是VPN圖1-1-13VPDN虛擬撥號專用網(wǎng)絡(luò)任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-4VPN簡介（1）網(wǎng)絡(luò)隧道技術(shù)(Tunnelling)網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，主要是利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能。（2）隧道協(xié)議目前，常用的網(wǎng)絡(luò)隧道協(xié)議主要有二層隧道協(xié)議和三層隧道協(xié)議。其中二層隧道協(xié)議用于傳輸二層網(wǎng)絡(luò)協(xié)議，主要應(yīng)用于構(gòu)建遠程訪問虛擬專網(wǎng)(AccessVPN)，如PPTP、L2TP和L2F(第2層轉(zhuǎn)發(fā))等；三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議，主要應(yīng)用于構(gòu)建企業(yè)內(nèi)部虛擬專網(wǎng)(IntranetVPN)和擴展的企業(yè)內(nèi)部虛擬專網(wǎng)(ExtranetVPN)，如IPoverIP及IPSEC隧道模式等。2．VPN關(guān)鍵技術(shù)任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-4VPN簡介AccessVPN是通過擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠程訪問，使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。適合于內(nèi)部有人員移動或遠程辦公需要的企業(yè)。（1）適用于用戶從離散地點訪問固定網(wǎng)絡(luò)資源，如從住所訪問辦公室內(nèi)的資源；（2）技術(shù)支持人員從客戶網(wǎng)絡(luò)內(nèi)訪問公司的數(shù)據(jù)庫查詢調(diào)試參數(shù)；（3）納稅企業(yè)從本企業(yè)內(nèi)接入互聯(lián)網(wǎng)，通過VPN進入當?shù)囟悇?wù)管理部門繳納稅金；（4）出差員工從外地酒店存取企業(yè)網(wǎng)數(shù)據(jù)，利用當?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。RADIUS服務(wù)器可對員工進行驗證和授權(quán)，保證連接的安全，遠程訪問VPN可以完全替代以往昂貴的遠程撥號接入，并加強了數(shù)據(jù)安全，同時負擔的電話費用大大降低；（5）想要提供B2C安全訪問服務(wù)的商家，也可以考慮AccessVPN。3.AccessVPN應(yīng)用環(huán)境任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-4VPN簡介了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標：知識目標技能目標態(tài)度目標會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強烈的安全意識養(yǎng)成勤學(xué)、好問、獨立思考和細心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力9.1任務(wù)概覽子任務(wù)9-1-5VPN配置用戶通過無線局域網(wǎng)交換信息時，需要保證信息的安全性，如VPN（Virtual?Private?Networking，虛擬專用網(wǎng)絡(luò)）等，該安全技術(shù)與IEEE802.11b無線標準結(jié)合起來，是目前較為理想的無線局域網(wǎng)絡(luò)的安全解決方案。某公司業(yè)務(wù)范圍較廣，總部位于深圳，有兩個分部，網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1-1-14所示。一方面員工出差較頻繁，不便于攜帶計算機，經(jīng)常使用手機、筆記本電腦等終端設(shè)備訪問公司的郵件服務(wù)器和文件服務(wù)器，另一方面分部和總部之間也經(jīng)常需要交換信息。1．項目背景分析圖1-1-14拓撲結(jié)構(gòu)圖任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-5VPN配置為了保證數(shù)據(jù)傳輸安全，公司選擇采用VPN技術(shù)。一方面解決員工無線訪問公司服務(wù)器的問題，另一方面解決分部和總部間的數(shù)據(jù)交換問題?！馪PTPVPN移動用戶使用手機、平板電腦、筆記本等終端設(shè)備與總部之間搭建PPTP或L2TPVPN，在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)，通過對傳輸數(shù)據(jù)加密和封裝，保證數(shù)據(jù)傳輸?shù)陌踩?，不用擔心與公司內(nèi)網(wǎng)通信的數(shù)據(jù)被第三方獲取。●訪問權(quán)限在路由器內(nèi)集成防火墻控制，可以設(shè)置接入用戶的訪問權(quán)限，避免用戶因權(quán)限過大而造成安全隱患。2．技術(shù)選擇任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-5VPN配置為了保護數(shù)據(jù)傳輸安全，需要設(shè)置VPN，因此要選擇具有VPN功能的路由器，如TP-LINK的TL-ER6110/6120不僅具有強大的數(shù)據(jù)處理能力，還支持VPN、IP/MAC地址綁定、常見攻擊防護等功能。3．設(shè)備選擇任務(wù)1任務(wù)1無線接入安全子任務(wù)9-1-5VPN配置L2TPVPN的配置請參照/detail_article_213.html完成。本項目以PPTPVPN配置為例進行說明，拓撲結(jié)構(gòu)如圖1-1-15所示。圖1-1-15出差員工訪問總部服務(wù)器結(jié)構(gòu)圖4．設(shè)備配置圖1-1-15出差員工訪問總部服務(wù)器結(jié)構(gòu)圖任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-5VPN配置1）服務(wù)器配置（1）配置環(huán)境配置環(huán)境如圖1-1-16所示。圖1-1-16PPTPVPN配置結(jié)構(gòu)圖子任務(wù)9-1-5VPN配置（2）配置內(nèi)容分析用戶需求，可使用PPTP（L2TP）VPN配置出差員工到總公司服務(wù)器的訪問。服務(wù)器所需設(shè)置內(nèi)容如表1-1-4所示。表1-1-4配置內(nèi)容配置項VPN類型加密（MPPE）賬號密碼地址池配置內(nèi)容PPTP開啟user123456-00子任務(wù)9-1-5VPN配置（3）配置步驟步驟1：配置PPTP隧道地址池登錄路由器管理界面，依次選擇VPN→PPTP/L2TP，如圖1-1-17所示。打開“隧道地址池管理”選項卡，單擊“新增”按鈕，在“地址池名稱”后輸入設(shè)置的名稱，如PPTP_Pool，在“地址池范圍”中輸入設(shè)置的地址范圍，如-00。圖1-1-17“隧道地址池管理”選項子任務(wù)9-1-5VPN配置步驟2：PPTP隧道設(shè)置打開“L2TP/PPTP隧道設(shè)置”選項卡，如圖1-1-17所示。●如果既要訪問公共網(wǎng)絡(luò)，又要訪問公司總部網(wǎng)絡(luò)，則需要選中“全局管理設(shè)置”的復(fù)選框。●在“隧道設(shè)置”中，選中“啟用”“PPTP”“服務(wù)器”單選框，在“用戶名”“密碼”對話框中輸入相應(yīng)內(nèi)容。“組網(wǎng)模式”通常有兩種，一是“PC到站點”，另一種是“站點到站點”。該項目中是出差員工訪問總部服務(wù)器，因此應(yīng)當選擇“PC到站點”的組網(wǎng)模式，具體原因如下，拓撲結(jié)構(gòu)如圖1-1-18所示。企業(yè)出差人員在移動辦公環(huán)境（如家里、酒店、戶外、咖啡廳等）中接入Internet，然后與總部網(wǎng)絡(luò)建立PPTPVPN隧道，實現(xiàn)訪問內(nèi)網(wǎng)資源的需求。這種情況應(yīng)選擇“PC到站點”的組網(wǎng)模式。圖1-1-18“PC到站點”組網(wǎng)模式如果是企業(yè)總部與分部間共享資源，則需要選擇“站點到站點”的組網(wǎng)模式，如圖1-1-19所示。隧道建立之后，只要防火墻允許，兩端局域網(wǎng)的辦公電腦無需任何VPN相關(guān)配置就可以直接訪問對端網(wǎng)絡(luò)。圖1-1-19“站點到站點”組網(wǎng)模式子任務(wù)9-1-5VPN配置2）VPN客戶端配置客戶端使用的操作系統(tǒng)不同，則配置存在些許差異，此處以Windows7為例來說明其配置過程。步驟1：依次打開“網(wǎng)絡(luò)和Internet”→“網(wǎng)絡(luò)和共享中心”，打開如圖1-1-21所示界面。圖1-1-21“網(wǎng)絡(luò)和共享中心”界面子任務(wù)9-1-5VPN配置步驟2：單擊“設(shè)置新的連接或網(wǎng)絡(luò)”，打開如圖1-1-22所示的“設(shè)置連接或網(wǎng)絡(luò)”對話框。圖1-1-22“設(shè)置連接或網(wǎng)絡(luò)”對話框步驟3：選中“連接到工作區(qū)”項，單擊“下一步”按鈕，打開如圖1-1-23所示的“連接到工作區(qū)”對話框。圖1-1-23“連接到工作區(qū)-你想如何連接”對話框步驟4：單擊“使用我的Internet連接（VPN）（I）”，打開如圖1-1-24所示對話框。圖1-1-24“連接到工作區(qū)-鍵入要連接的Internet地址”對話框步驟5：在“Internet地址（I）：”后的文本框中輸入VPN服務(wù)器的IP地址或者域名，“目標名稱（E）：”可根據(jù)具體情況設(shè)置，如圖1-1-25所示。設(shè)置完成后，“下一步”按鈕變成灰色，單擊“下一步”按鈕，輸入用戶名和密碼。圖1-1-25“連接到工作區(qū)-輸入您的用戶名和密碼”對話框步驟6：單擊“連接”按鈕，打開如圖1-1-26所示的“連接到工作區(qū)-正在連接到VPN連接…”對話框，進行PPTP撥號，撥號成功后就可以直接訪問總公司內(nèi)網(wǎng)郵件服務(wù)器與文件服務(wù)器了。圖1-1-26“連接到工作區(qū)-正在連接到VPN連接…”對話框通過上面的配置，客戶端就已添加完成，需要進行進一步的參數(shù)配置。3）客戶端連接屬性配置步驟1：打開“網(wǎng)絡(luò)和共享中心”，單擊“更改適配器設(shè)置”，打開如圖1-1-27所示的“網(wǎng)絡(luò)連接”界面。圖1-1-27“網(wǎng)絡(luò)連接”界面步驟2：找到并選中VPN客戶端，鼠標右鍵，單擊“屬性”，打開如圖1-1-28所示的“VPN連接屬性”對話框。圖1-1-28“VPN連接屬性”對話框了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標：知識目標技能目標態(tài)度目標會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強烈的安全意識養(yǎng)成勤學(xué)、好問、獨立思考和細心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力9.1任務(wù)概覽子任務(wù)9-2-1無線網(wǎng)絡(luò)設(shè)置無線終端連接到無線網(wǎng)絡(luò)需要無線網(wǎng)卡為媒介，需要滲透入無線網(wǎng)絡(luò)，首先要考慮如何能連接到無線網(wǎng)絡(luò)。子任務(wù)9-2-1無線網(wǎng)絡(luò)設(shè)置目前很多工具都集成了無線網(wǎng)絡(luò)的管理和破解功能，如KaliLinux、BackTrack等模擬器，對初學(xué)者和愛好者練習(xí)來說是非常好的，不需要個人重新去架設(shè)模擬環(huán)境就可以使用了。本任務(wù)中選擇BT工具來完成。1．環(huán)境準備任務(wù)1任務(wù)9-2WPA無線破解子任務(wù)9-2-1無線網(wǎng)絡(luò)設(shè)置（1）啟動無線網(wǎng)絡(luò)管理器啟動無線網(wǎng)絡(luò)管理器有兩種方法，一是命令行方式，另一種是圖形界面方式。方式一：命令行方式打開BT終端，在終端中輸入“wicd-gtk--no-tray”命令后回車，就可以打開無線網(wǎng)絡(luò)管理器。2．基本操作任務(wù)1任務(wù)9-2WPA無線破解子任務(wù)9-2-1無線網(wǎng)絡(luò)設(shè)置方式二：圖形界面方式步驟1：開啟BT工具步驟2：啟動完成后，輸入用戶名和密碼，如果需要使用圖形界面則需要再輸入“startx”,然后回車切換到圖形界面，如圖1-2-1所示。圖1-2-1菜單界面圖子任務(wù)9-2-1無線網(wǎng)絡(luò)設(shè)置依次單擊“Applications→Internet→WicdNetworkManager”，打開如圖1-2-2所示“Wicd網(wǎng)絡(luò)管理器”對話框。圖1-2-2“Wicd網(wǎng)絡(luò)管理器”對話框子任務(wù)9-2-1無線網(wǎng)絡(luò)設(shè)置測試時一般采用USB網(wǎng)卡，否則在BT中不能識別無線網(wǎng)卡。插入無線網(wǎng)卡后，開啟網(wǎng)卡，設(shè)置成監(jiān)聽模式，然后使用“ifconfig”命令是不是能查看到wlan0的網(wǎng)卡，如果看不到，則重新使用“ifconfig–a”命令。如果上述命令都不能完成，則可使用如下方法。依次單擊“Applications→BackTrack→ExploitationTools→WirelessExploitationTools→WLANExploitation→aircrack-ng”，打開如圖1-2-3所示對話框。圖1-2-3“aircrack-ng”菜單子任務(wù)9-2-1無線網(wǎng)絡(luò)設(shè)置進入命令窗口后，使用“airmon-ngstartwlan0”激活監(jiān)聽模式，“ifconfigwlan0up”加載網(wǎng)卡，如圖1-2-4所示。圖1-2-4激活無線網(wǎng)卡監(jiān)聽模式單擊圖中的“屬性”按鈕，打開“屬性”對話框，將其加密方式設(shè)置為“WPA”或“WPA2”，頻道也可進行相應(yīng)修改。設(shè)置完成后單擊“連接”按鈕，則可實現(xiàn)無線網(wǎng)絡(luò)的連接。了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標：知識目標技能目標態(tài)度目標會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強烈的安全意識養(yǎng)成勤學(xué)、好問、獨立思考和細心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力9.1任務(wù)概覽子任務(wù)9-2-2WPA破解（Aircrack-ng是一個與802.11標準無線網(wǎng)絡(luò)分析相關(guān)的安全軟件，可以監(jiān)視無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)、收集數(shù)據(jù)包，主要功能是進行網(wǎng)絡(luò)偵測、數(shù)據(jù)包嗅探、WEP和WPA/WPA2-PSK密碼破解等。Aircrack-ng包含了多款工具，如airmon-ng、airodump-ng、aireplay-ng等，其用法如圖1-2-5所示。圖1-2-5aircrack-ng用法子任務(wù)9-2-2WPA破解步驟1：查看無線網(wǎng)絡(luò)接口信息使用ifconfig查看無線網(wǎng)絡(luò)接口信息。找到如圖1-2-6所示wlan0項，掩蓋部分為網(wǎng)卡MAC地址信息。從圖示信息可發(fā)現(xiàn)，該設(shè)備沒有連入任何無線網(wǎng)絡(luò)中。1.準備階段任務(wù)1任務(wù)9-2WPA無限破解圖1-2-6wlan0圖示子任務(wù)9-2-2WPA破解（Aircrack-ng是一個與802.11標準無線網(wǎng)絡(luò)分析相關(guān)的安全軟件，可以監(jiān)視無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)、收集數(shù)據(jù)包，主要功能是進行網(wǎng)絡(luò)偵測、數(shù)據(jù)包嗅探、WEP和WPA/WPA2-PSK密碼破解等。Aircrack-ng包含了多款工具，如airmon-ng、airodump-ng、aireplay-ng等，其用法如圖1-2-5所示。圖1-2-5aircrack-ng用法下面以aircrack-ng破解WPA無線網(wǎng)絡(luò)密碼為例說明該工具的具體使用。整個過程可分為準備、探測、攻擊、破解4個階段，具體操作如下所示。子任務(wù)9-2-2WPA破解步驟2：開啟無線網(wǎng)卡監(jiān)視模式1）命令執(zhí)行執(zhí)行“root@bt:~#airmon-ngstartwlan0”命令后顯示如圖1-2-7所示信息。圖1-2-7無線網(wǎng)卡信息2）問題處理如果出現(xiàn)不能正常啟動的情況，可通過運行如下命令處理。（1）Ifconfigwlan0mondown#取消wlan0mon網(wǎng)卡模式（2）Iwconfigwlan0monmodemonitor#設(shè)置wlan0mon為監(jiān)視模式（3）Ifconfigwlan0monup#喚醒wlan0mon（4）Airmon-ngcheckkill#自動檢查沖突程序并強制關(guān)閉子任務(wù)9-2-2WPA破解其中，有的使用iwconfig命令，有的使用ifconfig命令，為什么呢？兩者的區(qū)別如表1-2-1所示。命令作用使用實例Ifconfig用于配置與顯示Linux內(nèi)核中網(wǎng)絡(luò)接口的網(wǎng)絡(luò)參數(shù)。該命令配置的網(wǎng)卡信息，在網(wǎng)卡重啟后配置就消失了。需要將配置信息永遠保存的話就要修改網(wǎng)卡的配置文件（1）Ifconfigeth0up/down啟動/關(guān)閉eth0網(wǎng)卡（2）ifconfigeth0hwether00:11:22:33:44:55修改MAC地址（3）ifconfigeth01netmaskbroadcast55配置IP地址iwconfig用于系統(tǒng)配置無線網(wǎng)絡(luò)設(shè)備或顯示無線網(wǎng)絡(luò)設(shè)備信息（1）iwconfigwlan0essid“test”設(shè)置essid為“test”（2）iwconfigwlan0channel3設(shè)置頻道為3（3）iwconfigwlan0ap00:11:22:33:44:55設(shè)置AP物理地址表1-2-1iwconfig和ifconfig的區(qū)別子任務(wù)9-2-2WPA破解步驟3：為了便于修改無線網(wǎng)卡MAC地址，首先使用“#airmon-ngstopwlan0”命令停止無線網(wǎng)絡(luò)接口，顯示“monitormodedisabled”（監(jiān)聽模式關(guān)閉），則說明無線網(wǎng)絡(luò)接口已停止。步驟4：修改無線網(wǎng)卡MAC地址。#macchanger–mac11:22:33:44:55:66wlan0執(zhí)行命令后偽造一個新的MAC地址，同時在下方出現(xiàn)“monitormodeenabledonmon0”信息，說明修改成功。其中mon0是mac802.11驅(qū)動監(jiān)聽模式的接口，如果是ath0則為ieee802.11驅(qū)動監(jiān)聽模式的接口。子任務(wù)9-2-2WPA破解該階段的主要目的是查看周圍無線網(wǎng)絡(luò)信息，并抓取數(shù)據(jù)包。1）捕獲數(shù)據(jù)包使用airodump-ng命令捕獲數(shù)據(jù)包，獲取無線路由器的MAC信息等。其命令格式為“airodump-ng–bssid網(wǎng)絡(luò)名字–channel信道wlan0(無線網(wǎng)卡)”，執(zhí)行后獲取附近無線網(wǎng)絡(luò)的信息，顯示情況如表1-2-2所示。2.探測階段任務(wù)1任務(wù)9-2WPA無線破解表1-2-2捕獲包信息BSSIDPWRRX0Beacons#Data#/SchMBENCCIPHERAUTHESSID11:22:33:44:55:66-470197955524354eWPA2CCMPPSKTESTBSSIDSTATIONPWRRateLostFramesProbe

11:22:33:44:55:66B0:FC:36:5F:39:43-290-103

子任務(wù)9-2-2WPA破解從表中可發(fā)現(xiàn)，無線網(wǎng)卡11:22:33:44:55:66（無線客戶端MAC地址）連接到MAC地址為B0:FC:36:5F:39:43的無線路由器的無線網(wǎng)絡(luò)中，該無線網(wǎng)絡(luò)名為test，工作在3信道，采用wpa2的加密方式。其中各參數(shù)的含義如表1-2-3所示。任務(wù)1任務(wù)9-2WPA無線破解WPA無線破解參數(shù)含義BSSIDAP的mac地址，如果顯示為notassociated，說明終端沒有連接上，如果為unassociate，說明正在搜索能夠連接的APPWR信號強度，信號值越高說明離AP的距離越近，當客戶端的值為-1時，說明客戶端不在網(wǎng)卡能監(jiān)聽到的范圍內(nèi)，如所有客戶端都為-1，則說明網(wǎng)卡的驅(qū)動不支持信號水平報告。RXQ接收質(zhì)量，用過去10秒鐘內(nèi)成功接收到分組（管理和數(shù)據(jù)幀）的百分比來衡量BeaconsAP發(fā)出的通告編號，每個接入點（AP）在最低速率（1M）時差不多每秒會發(fā)送10個左右的beacon，因此，在很遠的地方就能被發(fā)現(xiàn)#Data被捕獲到的數(shù)據(jù)分組數(shù)量（如果是WEP，則代表初始化向量IV（InitializationVectors））#/s過去10秒內(nèi)每秒捕獲數(shù)據(jù)分組的數(shù)量CH信道號（從beacon中獲取）MBAP所支持的最大速率。MB為11表示是802.11b；MB為22表示是802.11b+；更高就是802.11gENC加密算法體系。OPN表示無加密，“WEP?”=WEP或者更高（沒有足夠的數(shù)據(jù)來選擇（WEP與WPA/WPA2）），WEP后沒有？則表明靜態(tài)或動態(tài)WEP，如果出現(xiàn)TKIP或CCMP，表明是WPA/WPA2CIPHER檢測到的加密算法，CCMP、WRAAP、TKIP、WEP、WEP40或者WEP104中的一個。通常情況下TKIP與WPA結(jié)合使用，CCMP與WPA2結(jié)合使用。AUTH使用的認證協(xié)議。MGT（WPA/WPA2使用獨立的認證服務(wù)器，平時我們常說的802.1x，radius，eap等）、SKA（WEP的共享密鑰）、PSK（WPA/WPA