6无线网络安全(new)课件.pptx

《6无线网络安全(new)课件.pptx》由会员分享，可在线阅读，更多相关《6无线网络安全(new)课件.pptx（64页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、无线局域网安全无线局域网安全q无线局域网安全性无线局域网安全性q无线局域网安全技术无线局域网安全技术vMAC地址和地址和SSID匹配匹配vIEEE802.11的安全技术的安全技术vIEEE802.1x协议协议vWPAvIEEE802.11ivVPN技术技术q无线局域网安全策略无线局域网安全策略无线局域网安全问题无线局域网安全问题qWLAN以空气做为媒介、通过电波进行传输的，很容以空气做为媒介、通过电波进行传输的，很容易出现电波泄露，导致数据被窃听。易出现电波泄露，导致数据被窃听。q安全问题已成为影响无线局域网进一步扩充市场的主要安全问题已成为影响无线局域网进一步扩充市场的主要障碍。障碍。v希腊

2、雅典举办的希腊雅典举办的2004年奥运会，国际奥委会正式宣布年奥运会，国际奥委会正式宣布WIFI网网络因安全无法保证而无缘奥运会。络因安全无法保证而无缘奥运会。v在美国，负责研究核武器以及国家防御技术的国家实验室关闭在美国，负责研究核武器以及国家防御技术的国家实验室关闭了已有的两个无线计算机网络并宣布禁止使用了已有的两个无线计算机网络并宣布禁止使用WLAN.v美国的调查机构曾将无线天线架在汽车外，沿着繁华的商业街美国的调查机构曾将无线天线架在汽车外，沿着繁华的商业街走一圈，结果发现短短几千米内就连接到走一圈，结果发现短短几千米内就连接到30家家WLAN环境，只环境，只有不到一半的用户采用了加密

3、措施。有不到一半的用户采用了加密措施。攻击类型攻击类型q网络窃听和网络通信量分析网络窃听和网络通信量分析q身份假冒身份假冒v假冒客户端假冒客户端入侵者通过非法获取入侵者通过非法获取SSID从而接入从而接入AP，如果，如果AP中设置了中设置了MAC地址过滤地址过滤，入侵者通过窃听授权客户端的，入侵者通过窃听授权客户端的MAC地址，地址，然后篡改计算机的然后篡改计算机的MAC地址来冒充授权客户端。地址来冒充授权客户端。v假冒假冒方式一：入侵者将一个真实非法放置在被入侵的网络方式一：入侵者将一个真实非法放置在被入侵的网络中，让授权客户端自动地连接到这个上来。中，让授权客户端自动地连接到这个上来。方式

4、二：采用诸如方式二：采用诸如HostAP等专用软件将入侵者的计算机伪等专用软件将入侵者的计算机伪装成装成AP。攻击类型攻击类型q重放攻击、中间人攻击、信息篡改重放攻击、中间人攻击、信息篡改v重放攻击重放攻击：通过截获授权客户端对：通过截获授权客户端对AP的验证信息，然后通的验证信息，然后通过对验证过程信息的重放而达到非法访问过对验证过程信息的重放而达到非法访问AP的目的。的目的。v中间人攻击中间人攻击对授权客户端和对授权客户端和AP进行双重欺骗，进而对信息进行双重欺骗，进而对信息窃听和篡改。窃听和篡改。q拒绝服务攻击拒绝服务攻击v利用网络在频率、带宽、认证方式上的弱点，对网络进行利用网络在频率

5、、带宽、认证方式上的弱点，对网络进行频率干扰、带宽消耗或是耗尽安全服务设备的资源，导致频率干扰、带宽消耗或是耗尽安全服务设备的资源，导致网络合法用户无法使用网络服务。网络合法用户无法使用网络服务。无线局域网的安全性定义无线局域网的安全性定义q无线局域网的安全性定义无线局域网的安全性定义v机密性机密性Confidentiality无线局域网中传输的信息不会被未经授权的用户获取，这无线局域网中传输的信息不会被未经授权的用户获取，这主要通过各种数据加密方式来实现。主要通过各种数据加密方式来实现。v完整性完整性Integrity数据在传输过程中不会被篡改或删除，这主要通过数据校数据在传输过程中不会被篡

6、改或删除，这主要通过数据校验技术来实现。验技术来实现。v真实性真实性Authenticity指数据来源的可靠性，用于保证合法用户的身份不会被非指数据来源的可靠性，用于保证合法用户的身份不会被非法用户所冒充。法用户所冒充。无线局域网的安全技术无线局域网的安全技术MAC过滤和过滤和SSID匹配匹配qMAC过滤过滤在无线局域网的每一个在无线局域网的每一个APAP中维护一组允许访问的中维护一组允许访问的MACMAC地址列表，地址列表，MACMAC地址不在清单中的用户，接入点将拒绝其接入请求。地址不在清单中的用户，接入点将拒绝其接入请求。只适合于只适合于小型网络规模小型网络规模。vMAC地址易截取并冒充

7、。地址易截取并冒充。v属硬件认证而非用户认证。属硬件认证而非用户认证。qSSID匹配匹配 SSIDSSID是相邻的无线接入点（是相邻的无线接入点（APAP）区分的标志）区分的标志，无线接入用户必无线接入用户必须设定须设定SSIDSSID才能和才能和APAP通信。无线客户端必须出示正确的通信。无线客户端必须出示正确的SSIDSSID才能访才能访问无线问无线APAP。vSSIDSSID广播广播vSSIDSSID易窃取易窃取WEP(WiredEquivalentPrivacy)q19971997年，年，IEEEIEEE推出了第一个真正意义上的无线局域网安全措施推出了第一个真正意义上的无线局域网安全措

8、施WEPWEP协协议，旨在提供与有线网络等效的数据机密性。议，旨在提供与有线网络等效的数据机密性。qWEPWEP使用使用RC4RC4加密算法，这是一种对称的流密码，支持可变长度的密钥加密算法，这是一种对称的流密码，支持可变长度的密钥（4040位或位或104104位），在链路层加密数据和访问控制。位），在链路层加密数据和访问控制。q定义两种共享密钥：定义两种共享密钥：v多播多播/全局密钥：保护从无线全局密钥：保护从无线APAP到它所连接的所有无线客户端的多播和广到它所连接的所有无线客户端的多播和广播通信播通信v单播会话密钥：保护无线客户端与无线单播会话密钥：保护无线客户端与无线APAP之间的单播

9、通信之间的单播通信RC4流密码的运作流程流密码的运作流程WEP的数据处理的数据处理WEP加密机制存在的问题加密机制存在的问题q缺少密钥管理机制缺少密钥管理机制v密钥共享，手工分发，更换费时。密钥共享，手工分发，更换费时。q完整性校验值完整性校验值(ICV)算法易受攻击算法易受攻击vCRC32用于检测传输噪声和普通错误的算法。用于检测传输噪声和普通错误的算法。qRC4加密算法存在弱点加密算法存在弱点vRC4加密算法中存在弱密码。弱密钥加密算法中存在弱密码。弱密钥（Weakkey）是指因为它）是指因为它的独特数学特性能够被很容易破坏的的独特数学特性能够被很容易破坏的密码密码密钥。收集到足够的密钥。

10、收集到足够的使用弱密码的包后，很容易破解使用弱密码的包后，很容易破解WEP密钥。密钥。AT&T的的AdamStubblefield等人在程序上实现了一种攻击，等人在程序上实现了一种攻击，不论是采用不论是采用40位密钥还是位密钥还是128位密钥的位密钥的WEP都可以在两三都可以在两三个小时内被破解。个小时内被破解。IEEE802.1x协议协议q20世纪世纪90年代后期，年代后期，IEEE802LAN/WAN委员会为委员会为解解决无线局域网的安全问题决无线局域网的安全问题而提出了而提出了802.1x协议。协议。qIEEE802.1x协议作为局域网端口的一个普通接入控制协议作为局域网端口的一个普通接

11、入控制机制应用在以太网中，主要解决以太网内机制应用在以太网中，主要解决以太网内认证和安全认证和安全方面的问题。方面的问题。q全称全称“基于端口的网络访问控制协议基于端口的网络访问控制协议”(PortBasedNetworkAccessControlProtocol)。使用交换式局域网。使用交换式局域网基础结构的物理特性对基础结构的物理特性对连接到局域网端口的设备连接到局域网端口的设备进行进行身份验证。身份验证。qIEEE802.1x本身不提供实际的认证机制，需要和上层本身不提供实际的认证机制，需要和上层认证协议（认证协议（EAP）配合来实现）配合来实现用户认证和密钥分发用户认证和密钥分发。EA

12、PqEAP（ExtensibleAuthenticationProtocol）允许无线终端支持不）允许无线终端支持不同的认证类型，能与后台不同的认证服务器进行通信。同的认证类型，能与后台不同的认证服务器进行通信。EAP能够运行于任何的链路层以及使用各种身份验证方式802.1x架构架构802.11网络中的网络中的802.1x交换范例交换范例IEEE802.1x的缺点的缺点q802.1x采用的采用的用户认证信息用户认证信息仅仅是用户名与口令，仅仅是用户名与口令，在存储、使用和认证信息传递中可能泄漏、丢失，在存储、使用和认证信息传递中可能泄漏、丢失，存在很大安全隐患。存在很大安全隐患。q无线接入点无

13、线接入点AP与与RADIUS服务器之间用于认证的服务器之间用于认证的共享密钥是静态的，且是手工管理，也存在一定的共享密钥是静态的，且是手工管理，也存在一定的安全隐患。安全隐患。WPA（Wi-Fi保护访问）保护访问）qWPA是是IEEE802.11i的一个子集，在的一个子集，在802.11i正式发布之前，正式发布之前，WPA被作为代替被作为代替WEP的无线安全标准协议。的无线安全标准协议。qWPA是继承是继承WEP基本原理而又解决了基本原理而又解决了WEP缺点的一种新技术。缺点的一种新技术。qWPA显著改善了显著改善了WEP的安全性能，并可与原有采用的安全性能，并可与原有采用WEP协议的协议的W

14、IFI产品兼容产品兼容,只需更新无线设备中的固件和无线客户端即可。只需更新无线设备中的固件和无线客户端即可。q核心内容是核心内容是TKIP，采用，采用TKIP和和MIC解决解决WEP弱点弱点vTKIPTemporalKeyIntegrityProtocol暂时密钥完整协议暂时密钥完整协议vMICMessageIntegrityCode消息完整性代码消息完整性代码TKIP（TemporalKeyIntegrityProtocol）WEP和和WPA比较比较WPA存在的问题存在的问题q不能向后兼容某些遗留设备和操作系统。不能向后兼容某些遗留设备和操作系统。q对硬件要求较高，除非无线产品集成了具有运行

15、对硬件要求较高，除非无线产品集成了具有运行WPA和和加快该协议处理速度的硬件，否则加快该协议处理速度的硬件，否则WPA将降低网络性将降低网络性能。能。qTKIP并非完美的最终解决方案。并非完美的最终解决方案。v基于基于RC4加密算法，没有脱离加密算法，没有脱离WEP的核心机制。的核心机制。v加加/解码处理效率没有得到任何改进。解码处理效率没有得到任何改进。802.11iq2004年年6月，月，IEEE正式通过了无线局域网安全标准正式通过了无线局域网安全标准802.11i。q802.11i的网络构架的网络构架v过渡安全网络（过渡安全网络（TransitionSecuriyNetwork，TSN）

16、TSN兼容现有的、使用兼容现有的、使用WEP方式工作的设备，平稳向方式工作的设备，平稳向802.11i过渡。过渡。v强健的安全网络（强健的安全网络（RobustSecurityNetwork，RSN）RSN支持全新的支持全新的802.11i安全标准，并且针对安全标准，并且针对WEP加密机制的加密机制的各种缺陷做了多方面的改进，增强了无线局域网中的数据加各种缺陷做了多方面的改进，增强了无线局域网中的数据加密和认证性能。密和认证性能。WPA和和WPA2的比较的比较AES(AdvancedEncryptionStandard)qAES由美国国家标准与由美国国家标准与技术研究院技术研究院（NIST）于

17、）于2001年年11月月26日发布于日发布于FIPSPUB197，并在，并在2002年年5月月26日成为有日成为有效的标准。效的标准。2006年，高年，高级加密标准已然成为对级加密标准已然成为对称密钥加密中最流行的称密钥加密中最流行的算法之一。算法之一。qAESAES算法是块密码，使算法是块密码，使用大小为用大小为128128比特的固比特的固定消息块，加密密钥的定消息块，加密密钥的长度为长度为128128比特、比特、192192比比特或特或256256比特。比特。AESAES加密解密流程加密解密流程AES(AdvancedEncryptionStandard)qAES密码操作四个关键步骤（密码

18、操作在密码操作四个关键步骤（密码操作在44字节的阵列上）：字节的阵列上）：vS盒变换盒变换：阵列中的每个字节用：阵列中的每个字节用S盒中的字节代替，盒中的字节代替，S盒是一个固定的盒是一个固定的8bit的查找表。的查找表。v行变换行变换：44阵列中的每一行移位一个偏移量，数组中每行移位的偏阵列中的每一行移位一个偏移量，数组中每行移位的偏移量的大小不同。移量的大小不同。v列变换列变换：利用线性变换将阵列中每列的：利用线性变换将阵列中每列的4个字节混合，从而产生新的个字节混合，从而产生新的4列的输出字节。列的输出字节。v与扩展密码异或与扩展密码异或：通过密钥安排表从加密密钥中提取出第二个：通过密钥

19、安排表从加密密钥中提取出第二个44阵阵列该阵列被称为子密钥，两个列该阵列被称为子密钥，两个44阵列异或一起产生下一轮的开始阵阵列异或一起产生下一轮的开始阵列。列。分组密码的计数模式分组密码的计数模式密码分组链接消息认证代码密码分组链接消息认证代码(CBC-MAC)CipherblockchainingmessageauthenticationcodeAES-CCMPVPN技术技术qVPN简介简介qVPN的功能的功能qVPN的工作原理的工作原理VPNqIPVPN(VirtualPrivateNetwork，虚拟专用网，虚拟专用网)就是利就是利用开放的公众网络建立用开放的公众网络建立专用数据传输通

20、道专用数据传输通道，将远程的，将远程的分支机构、移动办公人员等连接起来。分支机构、移动办公人员等连接起来。IP/MPLS网网中心站点中心站点分支机构分支机构移动办公人员移动办公人员VPN技术技术总公司总公司租用专线我们有很多分公司，如果用租用专线租用专线的方式把他们和总公司连起来，需要花很多钱想节约成本的话，可以用VPN来连接分公司分公司分公司分公司分公司分公司隧道机制隧道机制qIPVPN可以理解为：通过隧道技术在公众可以理解为：通过隧道技术在公众IP/MPLS网网络上仿真一条点到点的专线络上仿真一条点到点的专线。q隧道是利用一种协议来传输另外一种协议的技术，共涉隧道是利用一种协议来传输另外一

21、种协议的技术，共涉及三种协议，包括：乘客协议、隧道协议和承载协议。及三种协议，包括：乘客协议、隧道协议和承载协议。被封装的原始IP包新增加的IP头IPSec头乘客协议乘客协议隧道协隧道协议议承载协承载协议议原始IP包经过IPSec封装后隧道带来的好处隧道带来的好处q隧道保证了隧道保证了VPN中分组的封装方式及使用的地址与承载中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关网络的封装方式及使用地址无关Internet被封装的原始IP包新增加的IP头IPSec头私网地址私网地址公网地址公网地址中心站点中心站点Internet根据这个地址路由可以使用私网地址，感觉双方是用专用通道连接起

22、来的，而不是Internet隧道隧道按隧道类型对按隧道类型对VPN分类分类隧道协议如下：隧道协议如下：q第二层隧道协议，如第二层隧道协议，如L2TPq第三层隧道协议，如第三层隧道协议，如IPSecq介于第二层和第三层之间的隧道协议，如介于第二层和第三层之间的隧道协议，如MPLSVPNL2TPqL2TP封装的乘客协议是位于第二层的封装的乘客协议是位于第二层的PPP协议。协议。原始数据包新增加的IP头L2TP头可以是IP、IPX和AppleTalkPPP封装原始数据包PPP头L2TP封装原始数据包PPP头可以是IP、ATM和帧中继qL2TP没有对数据进行加密。没有对数据进行加密。L2TP的典型应用

23、的典型应用-VPDNL2TP连接PPP连接用户发起用户发起PPP连接到接入服务器连接到接入服务器接入服务器封装用户的接入服务器封装用户的PPP会话到会话到L2TP隧道，隧道，L2TP隧道穿过公共隧道穿过公共IP网络，终止于电信网络，终止于电信VPDN机房的机房的LNS用户的用户的PPPsession经企业内部的认证服务器认证通过后即可访问企经企业内部的认证服务器认证通过后即可访问企业内部网络资源业内部网络资源IPSecqIPSec只能工作在只能工作在IP层，要求乘客协议和承载协议都是层，要求乘客协议和承载协议都是IP协议协议被封装的原始IP包新增加的IP头IPSec头必须是必须是IP协协议议必

24、须是必须是IP协协议议qIPSec可以对被封装的数据包进行加密和摘要等，可以对被封装的数据包进行加密和摘要等，以进一步提高数据传输的安全性以进一步提高数据传输的安全性MPLSVPN的基本工作模式的基本工作模式q在入口边缘路由器为每个包加上在入口边缘路由器为每个包加上MPLS标签，核心路由标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原来的恢复原来的IP包包。MPLS网网P1P2PE1PE2CE1CE210.1.1.1MPLS标签10.1.1.110.1.1.1MPLSVPN的特点的特点qMPLS标签位于二层和三层之间标签位于二

25、层和三层之间三层包头MPLS 标签二层包头二层包头三层包头MPLS封装三种三种VPN的比较的比较L2TPIPSecMPLSVPN隧道协议类型隧道协议类型第二层第二层第三层第三层第二层和第三层第二层和第三层之间之间是否支持数据加密是否支持数据加密不支持不支持支持支持不支持不支持对设备的要求对设备的要求只要求边缘设只要求边缘设备支持备支持L2TP只要求边缘设只要求边缘设备支持备支持IPSec要求边缘设备和要求边缘设备和核心设备都支持核心设备都支持MPLSVPN功能功能q数据机密性保护数据机密性保护q数据完整性保护数据完整性保护q数据源身份认证数据源身份认证q重放攻击保护重放攻击保护拨号服务器拨号服

26、务器PSTNPSTN Internet Internet 区域区域InternetInternet边界路由器边界路由器内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专线SSNSSN区域区域WWW Mail DNS密文密文传输明文传输明文传输数据机密性保护数据机密性保护内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专线原始数据包对原始数据包进行Hash加密后的数据包加密后的数据包摘要摘要Hash摘要摘要对原始数据包进行加密加密后的数据包加密后的数据包加密

27、加密后的数据包加密后的数据包摘要摘要加密后的数据包加密后的数据包摘要摘要摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性数据完整性保护数据完整性保护内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专线原始数据包对原始数据包进行HashHash摘要摘要加密摘要摘要摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过数据源身份认证数据源身份认证保留负载长度认证数据（

28、完整性校验值ICV）变长序列号安全参数索引（SPI）下一头部填充（0255字节）下一头部填充长度认证数据（变长的）负载数据（变长的）序列号安全参数索引（SPI）AH协议头ESP协议头SA建立之初，序列号初始化为0，使用该SA传递的第一个数据包序列号为1，序列号不允许重复，因此每个SA所能传递的最大IP报文数为2321，当序列号达到最大时，就需要建立一个新的SA，使用新的密钥。重放攻击保护重放攻击保护VPN技术技术qVPN简介简介qVPN的功能的功能qVPN的工作原理的工作原理加密密钥解密密钥加密密钥解密密钥两者相等可相互推导v 分组密码算法：操作单位是固定长度的明文比特串DES算法：Data

29、Encryption Standard(老算法)，密钥=56位CDMA算法：Commercial Data Masking Facility，密钥=40位3DES算法：Triple Data Encryption Standard IDEA算法：International Data Encryption Algorithm（新算法），密钥=128位v 流密码算法：每次只操作一个比特对称密码算法对称密码算法公钥私钥 公钥私钥不可相互推导常用的公钥算法：1.RSA公钥算法：用于加密、签名、身份认证等2.Diffie Hellman 算法：用于在非安全通道上安全的建立共享秘密，但无法实现身份认证v公

30、钥算法的缺点：1.速度慢2.难于用硬件实现3.因此它很少用于大量数据的加密，主要用于密钥交换和身份认证不相等非对称密钥算法非对称密钥算法 在一个非安全的通道上安全地建立一个共享密钥Internet事先双方协商两个公共数值，非常大的素数m和整数g做计算 X=ga mod m发送X=ga mod m产生一个很大的数 b产生一个很大的数 a做计算 Y=gb mod m发送Y=gb mod mKA=Yamodm=gabmodmKB=Xbmodm=gabmodm两者相等得出共享密钥得出共享密钥Key=gabmodmHostAHostBDiffie-Hellman密钥交换算法密钥交换算法哈希函数哈希函数q

31、特点：输入是变长的数据，输出是定长的数据特点：输入是变长的数据，输出是定长的数据HASH值；值；q主要应用方向：数据完整性校验和身份认证技术主要应用方向：数据完整性校验和身份认证技术q有用的有用的HASH函数必须是单向的，即正向计算很容易，求逆极其函数必须是单向的，即正向计算很容易，求逆极其困难，就像还原捣碎的土豆困难，就像还原捣碎的土豆q常用的常用的HASH函数：函数：MD5、SHA1，这两种，这两种HASH函数都没有函数都没有密钥输入，其中密钥输入，其中MD5的输出为的输出为128位、位、SHA1的输出为的输出为160位位qMAC：输出结果不仅依赖输入消息，同时还依赖密钥的：输出结果不仅依

32、赖输入消息，同时还依赖密钥的HASH函数叫做消息认证代码；函数叫做消息认证代码；IPSec中使用的是中使用的是MAC，而不是直接使，而不是直接使用用MD5或者或者SHA1填充填充负负载载IP头部头部AH共享密钥HASH运算(MD5)输入要发送的消息输入共享密钥得到128位的定长输出将输出结果填入到AH头部的认证数据字段加密加密MD5填充填充负负载载IP头部头部AH共享密钥HASH运算(SHA1)输入要发送的消息输入共享密钥得到160位的定长输出将输出结果填入到AH头部的认证数据字段加密加密SHA-1填充填充负负载载IP头部头部私钥进行HASH运算输入要发送的消息用私钥加密HASH输出结果得到定

33、长输出将数字签名附在数据报的后面供对方验证身份得到数字签名数字签名（数字签名（DSS）InternetBobAliceHacker将自己的公钥发给Bob，谎称是Alice的将自己的公钥发给Alice，谎称是Bob的用Bob的“公钥”加密消息发给Bob用用Bob的的“公钥公钥”加密消息发给加密消息发给Bob将消息截获，并解密将消息截获，并解密然后用然后用Bob真正的公钥加密，重新发给真正的公钥加密，重新发给Bob收到消息，但已经被黑客看过为了防止这种“中间人”攻击，消除上述安全隐患，提出了数字证书的概念，数字证书将身份标识与公钥绑定在一起，并由可信任的第三方权威机构用其私钥签名，这样就可验证期有

34、效性数字证书和证书权威机构数字证书和证书权威机构VPN与与802.11i的比较的比较q因升级问题，因升级问题，IEEE802.11i在今后较长时间内并不能完全代替在今后较长时间内并不能完全代替VPN。v较老设备需要升级才能承受较老设备需要升级才能承受802.11i带来的额外处理需求。带来的额外处理需求。qIEEE802.11i的认证与加密方式并不优于的认证与加密方式并不优于VPN。v为了兼容现有大部分设备，为了兼容现有大部分设备，802.11i仍然支持原先的仍然支持原先的RC4加密算法。加密算法。802.11i是基于用是基于用户名和密码的身份认证，户名和密码的身份认证，VPN是数字证书认证方式

35、。是数字证书认证方式。q企业网络需要企业网络需要VPN来防范高级入侵来防范高级入侵。v为了充分保证安全性，很多企业网络都采取了用为了充分保证安全性，很多企业网络都采取了用VPN网关隔离无线网络和核心网络网关隔离无线网络和核心网络的解决方案，的解决方案，VPN网关只向拥有有效软件证书或令牌的用户授权。网关只向拥有有效软件证书或令牌的用户授权。q对于远程用户来说，对于远程用户来说，VPN仍是必须的安全保障。仍是必须的安全保障。v802.11i的推出削弱了的推出削弱了VPN在企业无线局域网内部的应用，但对于安全性要求较高的在企业无线局域网内部的应用，但对于安全性要求较高的商用网或军用网用户来说，仍有

36、必要将商用网或军用网用户来说，仍有必要将VPN技术与其他无线安全技术相结合。技术与其他无线安全技术相结合。v对于远程接入用户，对于远程接入用户，VPN是极好的安全保障。是极好的安全保障。无线局域网中无线局域网中VPN服务器的实现服务器的实现无线局域网单独防火墙解决方案无线局域网单独防火墙解决方案无线局域网中无线局域网中VPN服务器的实现服务器的实现无线局域网双重防火墙解决方案无线局域网双重防火墙解决方案无线局域网安全策略无线局域网安全策略从多个方面入手解决无线局域网的安全问题：从多个方面入手解决无线局域网的安全问题：q无线无线AP的放置与安全措施的放置与安全措施qDoS(DenialofSer

37、vice)攻击防范策略攻击防范策略q无线局域网嗅探防范策略无线局域网嗅探防范策略qIDS(IntrusionDetectionSystem)技术技术无线无线AP的放置与安全措施的放置与安全措施q无线无线AP的物理位置与信号强度的物理位置与信号强度v无线无线AP必须放置在攻击者很难非法篡改其设置的地方必须放置在攻击者很难非法篡改其设置的地方v通过调整通过调整AP天线的长度和发射功率限制无线信号的覆盖范围天线的长度和发射功率限制无线信号的覆盖范围v测量信号的强度，精确确定接入点的放置位置。测量信号的强度，精确确定接入点的放置位置。q无线无线AP的安全措施的安全措施v隐藏隐藏SSIDv启动启动WEP

38、的的128位密钥模式位密钥模式v禁用禁用DHCP服务服务v启用启用MAC地址过滤地址过滤v及时更新无线及时更新无线AP的固件的固件v适时关闭无线适时关闭无线AP无线无线DoS攻击的类型攻击的类型q无线无线DoS攻击的类型攻击的类型v应用层应用层攻击者通过向应用程序发送大量的合法请求来降低程序的服务效攻击者通过向应用程序发送大量的合法请求来降低程序的服务效率，阻止其向其他合法用户提供服务。率，阻止其向其他合法用户提供服务。v传输层传输层攻击者通过发送大量的链接请求来攻击主机的操作系统，降低其攻击者通过发送大量的链接请求来攻击主机的操作系统，降低其服务效率。服务效率。v网络层网络层攻击者通过发送大

39、量的数据来攻击网络的脆弱结构，降低网络服攻击者通过发送大量的数据来攻击网络的脆弱结构，降低网络服务器的服务效率。务器的服务效率。v链路层链路层主要针对安全设置较低的网络。主要针对安全设置较低的网络。v物理层物理层利用工作在该波段的噪声设备产生足够强的噪声信号进行冲击，利用工作在该波段的噪声设备产生足够强的噪声信号进行冲击，使使WLAN物理层瘫痪。物理层瘫痪。防范防范DoS攻击攻击q防范防范DoS攻击的有效措施很多，包括：攻击的有效措施很多，包括：v实现和升级防火墙；实现和升级防火墙；v采用最新的杀毒软件；采用最新的杀毒软件；v安装更新的安全补丁；安装更新的安全补丁；v加强密码的保护；加强密码的

40、保护；v配置配置DoS检测工具；检测工具；v关掉网络设备等关掉网络设备等q最有效的方法：隔离计算机，断掉它连接的所有网络。最有效的方法：隔离计算机，断掉它连接的所有网络。q有效设计建筑物，屏蔽室内、外无线信号等。有效设计建筑物，屏蔽室内、外无线信号等。无线局域网嗅探防范策略无线局域网嗅探防范策略q网络嗅探是一种利用计算机网络接口截获网络中数据网络嗅探是一种利用计算机网络接口截获网络中数据报文的技术。报文的技术。q无线局域网嗅探防范策略无线局域网嗅探防范策略v加强网络访问控制加强网络访问控制控制无线控制无线AP的信号覆盖范围的信号覆盖范围v将网络设置为封闭系统将网络设置为封闭系统关闭关闭SSID

41、广播功能，禁止非授权访问广播功能，禁止非授权访问v采用可靠的加密协议采用可靠的加密协议采用采用802.11i的的AES加密算法，或加密算法，或VPN方式加密方式加密v使用一次性口令技术使用一次性口令技术IDS(IntrusionDetectionSystem)技术技术q入侵检测技术入侵检测技术v一种检测计算机网络中违反安全策略行为的技术，能够及时发现并一种检测计算机网络中违反安全策略行为的技术，能够及时发现并报告网络系统中的未授权访问或异常现象。报告网络系统中的未授权访问或异常现象。v监视和分析用户及系统的活动，识别、反映已知网络攻击的活动模监视和分析用户及系统的活动，识别、反映已知网络攻击的

42、活动模式，并向网络管理人员报警。式，并向网络管理人员报警。qIDS产品种类产品种类v基于主机的基于主机的IDS（HIDS）采用主机上的文件（特别是日志文件或主机收发的网络数据包）采用主机上的文件（特别是日志文件或主机收发的网络数据包）作为数据源，侧重于对攻击的事后分析。作为数据源，侧重于对攻击的事后分析。v基于网络的基于网络的IDS（NIDS）被放置在重要的网段，采用原始的网络数据包作为数据源，对每被放置在重要的网段，采用原始的网络数据包作为数据源，对每一个数据包或可疑的数据包进行特征分析，能在不影响使用性能一个数据包或可疑的数据包进行特征分析，能在不影响使用性能的情况下检测入侵事件，并对入侵

43、事件进行响应。的情况下检测入侵事件，并对入侵事件进行响应。v混合式混合式IDS综合了综合了HIDS和和NIDS的结构特点，既可发现网络中的攻击信息，的结构特点，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。也可从系统日志中发现异常情况。1、有时候读书是一种巧妙地避开思考的方法。3月-233月-23Monday,March 6,20232、阅读一切好书如同和过去最杰出的人谈话。13:17:1113:17:1113:173/6/2023 1:17:11 PM3、越是没有本领的就越加自命不凡。3月-2313:17:1113:17Mar-2306-Mar-234、越是无能的人，越喜欢挑剔别人

44、的错儿。13:17:1113:17:1113:17Monday,March 6,20235、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2313:17:1113:17:11March 6,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。06三月20231:17:11下午13:17:113月-237、最具挑战性的挑战莫过于提升自我。三月231:17下午3月-2313:17March 6,20238、业余生活要有意义，不要越轨。2023/3/613:17:1113:17:1106 March 20239、一个人即使已登上顶峰，也仍要自强不息。1:17:11下午1:17下午

45、13:17:113月-2310、你要做多大的事情，就该承受多大的压力。3/6/2023 1:17:11 PM13:17:1106-3月-2311、自己要先看得起自己，别人才会看得起你。3/6/2023 1:17 PM3/6/2023 1:17 PM3月-233月-2312、这一秒不放弃，下一秒就会有希望。06-Mar-2306 March 20233月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Monday,March 6,202306-Mar-233月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。3月-2313:17:1106 March 202313:17谢谢大家谢谢大家