无线局域网安全管理课件

第第4 4章章 目录目录第4章 无线局域网安全管理4.1 WLAN安全概述4.2 有线等效保密(WEP)4.3 Wi-Fi保护访问(WPA)4.4 802.11i4.5 WEB认证技术4.6 WAPI技术4.7 WLAN 认证4.8 WLAN IDS学习目标学习目标通过学习本章，读者应达到如下目标：（1）了解无线网络的安全措施（2）掌握无线网络中的WEP加密（3）掌握基于端口的访问控制标准IEEE 802.1x（4）理解远程验证拨号用户服务（RADIUS）（5）掌握无线网络中EAP协议的应用（6）掌握无线网络中WPA（Wi-Fi保护访问）应用（7）掌握无线网络中Web认证的应用（8）掌握无线网络中基于MAC地址认证的应用（9）能够熟练应用无线网络的二层隔离和广播禁用功能（10）了解WPA2标准（11）了解WAPI标准4.1 WLAN4.1 WLAN安全概述安全概述4.1 WLAN4.1 WLAN安全概述安全概述由于无线局域网信道开放的特点，由于无线局域网信道开放的特点，使得攻击者能够很容易的进行窃听，恶使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无意修改并转发，因此安全性成为阻碍无线局域网发展的最重要因素。虽然对无线局域网发展的最重要因素。虽然对无线局域网的需求不断增长，但同时也让线局域网的需求不断增长，但同时也让许多潜在的用户因为不能够得到可靠的许多潜在的用户因为不能够得到可靠的安全保护而对最终是否采用无线局域网安全保护而对最终是否采用无线局域网系统而犹豫不决。系统而犹豫不决。（1）WLAN安全技术物理地址（MAC）过滤服务区标识符(SSID)匹配有线对等保密（WEP）端口访问控制技术（IEEE802.1x）WPA(Wi-Fi Protected Access)IEEE 802.11iWAPI 4.1 WLAN4.1 WLAN安全概述安全概述安全安全级别典型典型场合合使用技使用技术初初级安全安全小型企业家庭用户WPA-PSK+隐藏SSID+MAC地址绑定中中级安全安全仓库物流医院学校餐饮娱乐IEEE802.1x认证+TKIP加密专业级安全安全各类公共场合网络运营商大中型企业金融机构用户隔离技术IEEE802.11iRadius认证和计费+PORTAL页面推送（对运营商）（2）无线局域网安全策略的应用4.1 WLAN4.1 WLAN安全概述安全概述（3）无线局域网安全内容合法性：确保访问网络资源的用户身份是合法的。机密性：确保所传递的信息即使被截获了，截获者也无法获得原始的数据。完整性：如果所传递的信息被篡改，接收者能够检测到4.1.1 WLAN安全标准（1）标准的制定IEEE 802.11工作组最初制定的IEEE802.11-1999协议的WEP机制存在诸多缺陷。IEEE 802.11在2002年成立了802.11i工作组，提出了AES-CCM等新的安全机制。我国的国家标准化组织针对802.11和802.11i标准中的不足，对WLAN的安全标准进行了改进，制定了WAPI标准。4.1 WLAN4.1 WLAN安全概述安全概述（2）802.11 b中的WEP协议 02.11 b中的WEP协议1999年，IEEE在802.11b中提出了WLAN认证与加密的WEP协议，它是WLAN最初使用的安全协议。WEP 协议的设计初衷是为网络业务流提供安全保证，使得无线网络的安全达到与有线网络同样的安全等级。WEP安全机制包括了：身份认证采用了Open system认证和共享密钥认证；数据加密采用RC4算法；完整性校验采用了ICV；密钥管理不支持动态协商，密钥只能静态配置，完全不适合在企业等大规模部署场景。4.1 WLAN4.1 WLAN安全概述安全概述（3）IEEE 802.11i标准认证基于成熟的802.1x、Radius体系IEEE802.11i标准中定义了如下内容：数据加密采用TKIP和AES-CCM完整性校验采用了Michael和CBC算法基于4次握手过程实现了密钥的动态协商。4.1 WLAN4.1 WLAN安全概述安全概述（4）WAPI标准认证基于WAPI独有的WAI协议，使用证书作为身份凭证；数据加密采用SMS4算法；完整性校验采用了SMS4算法；基于3次握手过程完成单播密钥协商，两次握手过程完成组播密钥协商。4.1 WLAN4.1 WLAN安全概述安全概述4.1.2 WLAN安全威胁分析（1）WLAN安全威胁未经授权的接入指的是在开放式的WLAN系统中，非指定用户也可以接入AP，导致合法用户可用的带宽减少，并对合法用户的安全产生威胁。MAC地址欺骗对于使用了MAC地址过滤的AP,也可以通过抓取无线包，来获取合法用户的MAC地址，从而通过AP的验证，来非法获取资源。4.1 WLAN4.1 WLAN安全概述安全概述无线窃听对于WLAN来说，所有的数据都是可以监听到的，无线窃听不仅可以窃听到AP和STA的MAC，而且可以在网络间伪装一个AP，来获取STA的身份验证信息。企业级入侵相比传统的有线网络，WLAN更容易成为入侵内网的入口。大多数企业的防火墙都在WLAN系统前方，如果黑客成功的攻破了WLAN系统，则基本认为成功地进入了企业的内网，而有线网络黑客往往找不到合适的接入点，只有从外网进行入侵。4.1 WLAN4.1 WLAN安全概述安全概述（2）WLAN安全系统的要求机密性这是安全系统的最基本要求，它可以为数据、语音、地址等提供保密性能，不同的用户，不同的业务和数据，有不同的安全级别要求。合法性只有被确定合法并给予授权的用户才能得到相应的服务。这需要用户识别（Identification）和身份验证(Authentication)。数据完整性协议应保证用户数据的完整并鉴定数据来源。4.1 WLAN4.1 WLAN安全概述安全概述不可否认性数据的发送方不能否认它发送过的信息，否则认为不合法；访问控制：应在接入端对STA的IP、MAC等进行维护，控制其接入。可用性WLAN应该具有一些对用户接入、流量控制等一系列措施，使所有合法接入者得到较好的用户体验。健壮性k一个WLAN系统应该不容易崩溃,具有较好的容错性及恢复机制。4.1 WLAN4.1 WLAN安全概述安全概述RC4RC4加密算法是大名鼎鼎的RSA三人组中的头号人物Ron Rivest在1987年设计的密钥长度可变的流加密算法簇。之所以称其为簇，是由于其核心部分的S-box长度可任意，但一般为256字节。该算法的速度可以达到DES加密的10倍左右，且具有很高级别的非线性。RC4起初是用于保护商业机密的。但是在1994年9月，它的算法被发布在互联网上，就不再有什么商业机密了。4.1 WLAN4.1 WLAN安全概述安全概述4.1.3 WLAN加密和认证简介（1）WLAN的加密技术高级加密数据标准AES(Advanced Encryption Standard)是美国国家标准技术研究所选择Rijndael作为美国政府加密标准（AES）的加密算法，AES取代早期的数据加密标准（DES）。Rijndael由比利时计算机科学家Vincent Rijmen和Joan Daemen开发，它可以使用128位、192位或者256位的密钥长度，使得它比56位的DES更健壮可靠。Rijndael也有一个非常小的版本（52位），适合用在蜂窝电话、个人数字处理器（PDA）和其他的小设备上。4.1 WLAN4.1 WLAN安全概述安全概述加密模式加密模式 WEPWEPTKIPTKIPCCMPCCMP加密算法RC4RC4AES密钥长度40/104bits128bits128bits密钥有效期24-bit IV48-bit IV48-bit IV数据校验算法CRC-32Michael Michael密钥管理CCMCCM无（2）无线网络的加密模式4.1 WLAN4.1 WLAN安全概述安全概述认证方式开放开放认证共享密共享密钥认证802.1x802.1x认证WPAWPA认证数据加密类型无 WEPWEPWEPTKIP AES（3）无线网络认证方式的加密类型4.1 WLAN4.1 WLAN安全概述安全概述4.2 4.2 有线等效保密（有线等效保密（WEPWEP）（1 1）WEPWEP的概念的概念WEP(Wired Equivalent PrivacyWEP(Wired Equivalent Privacy，有线，有线等效保密等效保密)是当初是当初19991999年通过的年通过的802.11b802.11b标准的一部分标准的一部分,当初是为了使当初是为了使WLANWLAN的网络达到和有线网络一致的机的网络达到和有线网络一致的机密性而就此命名的。密性而就此命名的。（2 2）WEPWEP的加密算法的加密算法WEPWEP使用使用RC4RC4（Rivest CipherRivest Cipher）串流加）串流加密算法达到机密性，并由密算法达到机密性，并由CRC32CRC32验证数验证数据完整性。据完整性。4.2 4.2 有线等效保密有线等效保密(WEP)(WEP)（3）WEP的安全性LAN天生比WLAN安全，因为LAN的物理结构对其有所保护，部分或全部网络埋在建筑物里面也可以防止未授权的访问。经由无线电波的WLAN没有同样的物理结构，因此容易受到攻击、干扰。WEP的目标就是通过对无线电波里的数据加密提供安全性，如同端到端发送一样。4.2 4.2 有线等效保密有线等效保密(WEP)(WEP)（4）WEP的密钥长度标准的64比特WEP使用40比特的钥匙接上24比特的初始化向量成为RC4用的钥匙。在起草原始的WEP标准的时候，美国政府在加密技术的输出限制中限制了钥匙的长度，一旦这个限制放宽之后，所有的主要业者都用104比特的钥匙实现了128比特的WEP延伸协定。4.2 4.2 有线等效保密有线等效保密(WEP)(WEP)（5）WEP的密钥模式用户输入WEP共享密码可以用ASCII和HEX两种方式来输入。ASCII为字符模式，即输入5个（64bit模式）或13个（128bit模式）字符。HEX模式为十六进制模式，即输入10个（64bit模式）或26个（128bit模式）从0-9及A-F之间的字符。4.2 4.2 有线等效保密有线等效保密(WEP)(WEP)（6）WEP的验证机制4.2 4.2 有线等效保密有线等效保密(WEP)(WEP)4.3 Wi-Fi4.3 Wi-Fi访问保护（访问保护（WPAWPA）WPAWPA全名为全名为Wi-Fi Protected AccessWi-Fi Protected Access，有有WPAWPA和和WPA2WPA2两个标准，是一种保护无两个标准，是一种保护无线计算机网络（线计算机网络（Wi-FiWi-Fi）安全的系统。）安全的系统。WPA WPA 实现了实现了IEEE 802.11iIEEE 802.11i标准的大部分，标准的大部分，是在是在802.11i 802.11i 完备之前替代完备之前替代WEPWEP的过渡的过渡方案。方案。WPA2WPA2实现了实现了802.11i 802.11i 的强制性元素，特的强制性元素，特别是别是MichaelMichael算法由公认彻底安全的算法由公认彻底安全的CCMPCCMP讯息认证码所取代、而讯息认证码所取代、而RC4RC4也被也被AESAES取代。取代。4.3 Wi-Fi4.3 Wi-Fi保护访问保护访问(WPA)(WPA)4.4 802.11i4.4 802.11i标准标准4.4.1 802.11i4.4.1 802.11i的安全机制的安全机制802.11i802.11i定义了定义了RSNRSN（Robust Security Robust Security NetworkNetwork）的概念，增强了）的概念，增强了WLANWLAN中的数中的数据加密和认证性能，并且针对据加密和认证性能，并且针对WEPWEP加密加密机制的各种缺陷做了多方面的改进。机制的各种缺陷做了多方面的改进。802.11i802.11i规定使用规定使用802.1x802.1x认证和密钥管认证和密钥管理方式，在数据加密方面，定义了理方式，在数据加密方面，定义了TKIPTKIP、CCMPCCMP和和WRAPWRAP三种加密机制。三种加密机制。4.4 802.11i4.4 802.11i标准标准上上层认证机制（机制（EAP）IEEE802.11XTKIPCCMP4.4.2 802.1x认证体系802.11i体系结构4.4 802.11i4.4 802.11i标准标准（1）基于端口的网络接入控制802.1x协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。“基于端口的网络接入控制”是指在局域网接入设备的端口对所接入的设备进行认证和控制。如果连接到端口上的设备能够通过认证，则端口就对它开放，终端设备就被允许访问局域网中的资源；如果连接到端口上的设备不能通过认证，则端口就对它关闭，终端设备就不能访问局域网中的资源。4.4 802.11i4.4 802.11i标准标准（2）802.1x认证体系结构 4.4 802.11i4.4 802.11i标准标准（3）EAP（可扩展认证协议）IEEE 802.1x本身并不提供实际的认证机制，需要和EAP配合来实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型，能与后台不同的认证服务器进行通信，如远程接入用户服务（RADIUS）。EAP有三个特点：一是双向认证机制，这一机制有效地消除了中间人攻击（MITM）。4.4 802.11i4.4 802.11i标准标准（4）无线局域网中的802.1x认证无线终端向AP发出请求，试图与AP进行通信；AP将有关无线终端用户身份的加密数据发送给验证服务器进行用户身份认证；验证服务器确认用户身份后，AP允许该用户接入；建立网络连接后授权用户就可以通过AP访问网络资源。4.4 802.11i4.4 802.11i标准标准（4）无线局域网中的802.1x认证4.4 802.11i4.4 802.11i标准标准4.4.3 TKIP（临时密钥完整性协议）（1）TKIP的特点TKIP（临时密钥完整性协议）的一个重要特性，是它变化每个数据包所使用的密钥。利用TKIP传送的每一个数据包都具有独有的48位序列号，这个序列号在每次传送新数据包时递增，并被用作初始化向量和密钥的一部分。TKIP解决了WEP的的“碰撞攻击”问题，在使用不同的密钥时，不会出现碰撞。TKIP以数据包序列号作为初始化向量，还解决了WEP的“重放攻击问题”。4.4 802.11i4.4 802.11i标准标准（2）TKIP的算法TKIP虽然与WEP同样都是基于RC4加密算法，但却引入了4个新算法 扩展的48位初始化向量（IV）和IV顺序规则（IV Sequencing Rules）；每包密钥构建机制（per-packet key construction）；Michael消息完整性代码（Message Integrity Code，MIC）；密钥重新获取和分发机制。4.4 802.11i4.4 802.11i标准标准（3）TKIP密钥的生成方式 4.4 802.11i4.4 802.11i标准标准4.4.4 CCMP802.11i还规定了一个基于AES（高级加密标准）加密算法的CCMP（Counter-Mode/CBC-MAC Protocol，计数模式/CBC-MAC模式）数据加密模式。CCMP采用CBC-MAC机制提供完整性保护机制。与TKIP相同，CCMP也采用48位初始化向量（IV）和IV顺序规则，其消息完整检测算法采用CCM算法。4.4 802.11i4.4 802.11i标准标准4.5 Web4.5 Web认证技术认证技术4.5.1 Web4.5.1 Web认证系统的组成认证系统的组成4.5 Web4.5 Web认证技术认证技术（1）接入控制器（Access Controller）实现用户强制Portal、业务控制，接收Portal Server发起的认证请求，完成用户认证功能。（2）门户网站（Portal Server）推送认证页面及用户使用状态页面，接收WLAN用户的认证信息，向AC发起用户认证请求以及用户下线通知。（3）中心认证服务器和AC一同完成用户认证，并为用户使用的网络信息提供后台计费系统。4.5 Web4.5 Web认证技术认证技术4.5.2 Web认证的CHAP认证过程4.5 Web4.5 Web认证技术认证技术4.5.3 Web认证的PAP认证过程4.5 Web4.5 Web认证技术认证技术4.6 WAPI4.6 WAPI技术技术4.6.1 4.6.1 产生产生WAPIWAPI的背景的背景由于无线通信使用开放性的无线信道资由于无线通信使用开放性的无线信道资源作为传输媒质，导致非法用户很容源作为传输媒质，导致非法用户很容易发起对易发起对WLANWLAN网络的攻击或窃取用户网络的攻击或窃取用户的机密信息。如何保证的机密信息。如何保证WLANWLAN网络的安网络的安全性一直是全性一直是WLANWLAN技术应用所面临的最技术应用所面临的最大难点之一。大难点之一。4.6 WAPI4.6 WAPI技术技术IEEE标准组织及Wi-Fi联盟为此一直进行着努力，先后推出了WEP、802.11i(WPA、WPA2)等安全标准，逐步实现了WLAN网络安全性的提升。但802.11i并 不 是 WLAN安 全 标 准 的 终 极。针 对802.11i标准的不完善之处，比如缺少对WLAN设备身份的安全认证，中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的安全机制来实现无线局域网的安全。4.6 WAPI4.6 WAPI技术技术WAPI 的优越性 WAPI 的优越性集中体现在以下几个方面：双向身份鉴别。基于数字证书确保安全性。完善的鉴别协议。4.6.2 WAPI基本功能（1）WAPI 的优越性4.6 WAPI4.6 WAPI技术技术（2）WAPI 的的鉴别流程 4.6 WAPI4.6 WAPI技术技术无线客户端首先和WLAN设备进行802.11链路协商。WLAN设备触发对无线客户端的鉴别处理。鉴别服务器进行证书鉴别。无线客户端和WLAN设备进行密钥协商。4.6 WAPI4.6 WAPI技术技术（3）完整的WAPI鉴别协议交互过程4.6 WAPI4.6 WAPI技术技术4.7 WLAN4.7 WLAN认证认证4.7.1 4.7.1 链路认证链路认证（1 1）开放系统认证）开放系统认证开放系统认证是使用开放系统认证是使用缺省的认证机制，缺省的认证机制，也是最简单的认证也是最简单的认证算法，即不认证。算法，即不认证。4.7 WLAN4.7 WLAN认证认证（2）共享密钥认证共享密钥认证需要客户端和设备端配置相同的共享密钥。4.7 WLAN4.7 WLAN认证认证4.7.2 用户接入认证（1）PSK认证PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥，如果密钥相同，PSK接入认证成功；如果密钥不同，PSK接入认证失败。4.7 WLAN4.7 WLAN认证认证（2）MAC地址认证MAC地址认证是一种基于端口和MAC地址的对用户的网络访问权限进行控制的认证方法。MAC地址认证分为以下两种方式：本地MAC地址认证基于RADIUS服务器的MAC地址认证4.7 WLAN4.7 WLAN认证认证本地MAC地址认证当选用本地认证方式进行MAC地址认证时，需要在设备上预先配置允许访问的MAC地址列表，如果客户端的MAC地址不在允许访问的MAC地址列表，将拒绝其接入请求。4.7 WLAN4.7 WLAN认证认证基于RADIUS服务器的MAC地址认证当MAC接入认证发现当前接入的客户端为未知客户端时，会主动向RADIUS服务器发起认证请求，在RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问无线网络以及相应的授权信息。4.7 WLAN4.7 WLAN认证认证基于RADIUS服务器的MAC地址认证4.7 WLAN4.7 WLAN认证认证（3）802.1x认证802.1x协议是一种基于端口的网络接入控制协议，该技术也是用于WLAN的一种增加网络安全的解决方案。4.7 WLAN4.7 WLAN认证认证4.8 WLAN IDS4.8 WLAN IDS4.8.1 WLAN IDS4.8.1 WLAN IDS简介简介（1 1）WLAN IDSWLAN IDS介绍介绍802.11802.11网络很容易受到各种网络威胁的网络很容易受到各种网络威胁的影响，如未经授权的影响，如未经授权的APAP用户、用户、Ad-hocAd-hoc网络、拒绝服务型攻击等。网络、拒绝服务型攻击等。RogueRogue设备设备对于企业网络安全来说更是一个很严对于企业网络安全来说更是一个很严重的威胁。重的威胁。4.8 WLAN IDS4.8 WLAN IDS无线入侵检测系统（Wireless Intrusion Detection System，WIDS）可以对有恶意的用户攻击行为和入侵行为进行早期检测，保护企业网络和用户不被无线网络上未经授权的设备访问。WIDS可以在不影响网络性能的情况下对无线网络进行监测，从而提供对各种攻击的实时防范。4.8 WLAN IDS4.8 WLAN IDS（2）WIDS的常用术语Rogue AP网络中未经授权或者有恶意的AP，它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在安全漏洞，黑客就有机会危害无线网络安全。Rogue Client非法客户端，网络中未经授权或者有恶意的客户端，类似于Rogue AP。4.8 WLAN IDS4.8 WLAN IDSRogue Wireless Bridge非法无线网桥，网络中未经授权或者有恶意的网桥。Monitor AP这种AP在无线网络中通过扫描或监听无线介质，检测无线网络中的Rogue设备。一个AP可以同时作为接入AP和Monitor AP，也可以只作为Monitor AP。4.8 WLAN IDS4.8 WLAN IDSAd-hoc mode把无线客户端的工作模式设置为Ad-hoc模式，Ad-hoc终端可以不需要任何设备支持而直接进行通讯。4.8 WLAN IDS4.8 WLAN IDS4.8.2 无线入侵检测系统架构（1）集中式无线入侵检测系统通常用于连接单独的Sensors搜集数据并转发到存储和处理数据的中央系统中。（2）分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告。比较适合较小规模的无线局域网，因为它价格便宜且易于管理。当过多的Sensors需要检测时，Sensors的数据处理将被禁用。多线程处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。4.8 WLAN IDS4.8 WLAN IDS4.8.3 检测Rogue设备（1）Monitor APAP需要扫描WLAN中的设备，此时AP仅作监测AP，不作接入AP。当AP工作在Monitor模式时，该AP提供的所有WLAN服务都将关闭。4.8 WLAN IDS4.8 WLAN IDS4.8.3 检测Rogue设备（1）Monitor AP4.8 WLAN IDS4.8 WLAN IDS（2）Hybrid AP AP既作接入AP又作Monitor APAP可以扫描WLAN中的设备，也可以传输WLAN数据4.8 WLAN IDS4.8 WLAN IDS（3）Hybrid AP 4.8 WLAN IDS4.8 WLAN IDS4.8.4 检测IDS攻击（1）Flooding攻击检测(Flooding（泛洪）攻击是指攻击者在短时间内发送大量的同种类型的报文，导致WLAN设备被攻击者发送的泛洪报文淹没而无法处理真正合法用户的请求。WIDS攻击检测通过持续地监控每台设备的流量大小来预防这种泛洪攻击。4.8 WLAN IDS4.8 WLAN IDS当流量超出网络管理者设置的上限时，该设备被认为要在网络内泛洪从而被锁定。WIDS检测到Flooding攻击时，此时如果开启了动态黑名单功能，则发起攻击的无线客户端将被添加到动态黑名单中，从而保证WLAN系统不再被该设备攻击，保障网络安全。4.8 WLAN IDS4.8 WLAN IDS（2）Spoof攻击检测 Spoof（欺骗）攻击是指攻击者以其他设备的名义发送仿冒报文。例如：一个仿冒的解除认证报文会导致无线客户端下线。WIDS通过对广播解除认证和对广播解除关联报文进行检测，当接收到这类报文时将立刻被定义为欺骗攻击并被记录到日志中。4.8 WLAN IDS4.8 WLAN IDS（3）Weak IV检测 Weak IV（Weak Initialization Vector，弱初始化向量）攻击是指在WLAN 使用WEP加密的过程中，攻击者通过截获带有弱初始化向量的报文，破解出共享密钥并最终窃取加密信息的一种攻击行为。WIDS通过识别每个WEP报文的IV来预防这种攻击，当一个带有弱初始化向量的报文被检测到时，WIDS即判定这是个攻击漏洞，将立刻将这个检测结果记录到日志中。4.8 WLAN IDS4.8 WLAN IDS星际网络公司无线局域网安全项目星际网络公司无线局域网安全项目【项目需求】小赵对公司相关部门进行了无线网络安全需求调查，获得如下需求：公司的顾客需要访问公司的网站获取公司的信息。客户服务中心建立了一个客户资源网，该中心的员工需要从该网站获取客户的相关信息。运行维护中心建立了一个运行维护网站，该中心员工需要登录该网站处理顾客的反馈信息。技术支持中心建立了一个产品研发技术网站，该中心员工可从该网站共享产品技术问题的解决办法。网络管理中心人员可通过无线方式对网络进行管理和维护。为了减少网络的流量，增加网络的安全性，不允许用户之间通过无线网络进行资源传递。公司的每个部门的无线网络只允许本部门的人员进行访问。星际网络公司无线局域网安全项目星际网络公司无线局域网安全项目【项目分析】【项目分析】为了保证公司不同部门之间信息的安全，公司将不为了保证公司不同部门之间信息的安全，公司将不同部门划分为不同的同部门划分为不同的VLANVLAN。部门名称部门名称VLAN网络网络一般用户一般用户10192.168.10.0客户服务中心客户服务中心20192.168.20.0运行维护中心运行维护中心30192.168.30.0 销售中心销售中心40192.168.40.0 技术支持中心技术支持中心50192.168.50.0 网络管理中心网络管理中心1192.168.100.0所有所有AP200192.168.200.0星际网络公司无线局域网安全项目星际网络公司无线局域网安全项目小赵根据公司无线网络的需求，对不同的无线网络确定了SSID，并制定了相应的安全策略。部门名称部门名称SSID安安 全全 顾客顾客Xjwlgs无无二层二层隔离隔离客户服务中心客户服务中心 xjwlgs-serviceWEP加密加密隐藏隐藏SSID运行维护中心运行维护中心 xjwlgs-operationWPA销售中心销售中心xjwlgs-saleWeb认证认证技术支持中心技术支持中心 xjwlgs-technology802.1x(radius)认证认证网络管理中心网络管理中心 xjwlgs-networkMAC认证认证星际网络公司无线局域网安全项目星际网络公司无线局域网安全项目【项目设备】DHCP/DNS/RADIUS服务器（1台）Web服务器（1台）无线访问点MP-71/42（1台）无线交换机MXR-2（1台）二层交换机（1台）三层交换机（1台）路由器（1台）有无线网卡的计算机（2台以上）项目项目4 4：星际网络公司无线局域网安全：星际网络公司无线局域网安全【项目拓扑】项目项目4 4：星际网络公司无线局域网安全：星际网络公司无线局域网安全任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网（1 1）任务分析）任务分析网络工程师小赵在所建设的无线网络项目中，要根据网络工程师小赵在所建设的无线网络项目中，要根据企业需求，对无线网络的路由器、交换机、服务器企业需求，对无线网络的路由器、交换机、服务器和无线控制器等设备进行基本配置，为企业网络安和无线控制器等设备进行基本配置，为企业网络安全的实施创造条件。全的实施创造条件。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网（2）任务实施在服务器SD上配置DHCP服务为每个VLAN创建DHCP服务。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网对于AP所在VLAN要配置作用域043选项，其值为无线控制器的IP地址192.168.100.001，这样无线AP才知道与哪个无线控制器建立联系。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网在服务器SD上配置DNS服务配置域名服务器，添加区域，并将每个服务器添加到区域中。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网配置公司Web服务器SE在服务器SE上配置IIS，建立一个的简单网站。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网对路由器进行基本配置主要配置F0/0接口的地址、Loopback 0接口地址和静态路由。操作操作命令命令命名路由器命名路由器Rhostname R进入入F0/0接口模式接口模式interface FastEthernet 0/0配置配置IP地址地址ip address 12.1.1.2 255.255.255.252进入入loop0接口模式接口模式interface Loopback 0配置配置IP地址地址ip address 1.1.1.1 255.255.255.255配置静配置静态路由路由ip route 192.168.0.0 255.255.0.0 12.1.1.1任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网配置三层交换机SW创建vlan 10Switch(config)#hostname switch1Switch1(config)#vlan 10 /创建vlan 10Switch1(config-vlan)#name guests /命名vlan 10任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网创建其余VLANvlan名称名称vlan名称名称1networkcenter40salecenter10guests50technologycenter20servicecenter200ap30operationcenter任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网启用dhcp中继功能 操作操作命令命令启用启用 DHCP 服务服务添加全局服务器添加全局服务器地址地址service dhcp ip helper-address 192.168.1.2 任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网设置接口F0/1为trunk模式。int fa 0/1 switchport mode trunk设置F0/1、F0/2、F0/3、F0/4、F0/5、F0/23接口为trunk模式。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网开启端口F0/11的路由功能，并配置端口IP地址。开启端口F0/11的三层路由功能interface FastEthernet 0/11 no switchport给端口配IPip address 192.168.1.1 255.255.255.252 说明description connect to dhcp、DNS、RADIUS server任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网开启其余端口的路由功能，并配置端口IP地址。端口端口IPIP地址地址说明明F0/12192.168.1.5/30connect to Web serverF0/13192.168.1.9/30connect to guestcenter serverF0/14192.168.1.13/30connect to operationcenter connect to operationcenter serverserverF0/15192.168.1.17/30connect to salecenter serverconnect to salecenter serverF0/16192.168.1.21/30connect to technologycenter connect to technologycenter serverserverF0/2412.1.1.1/30connect to route任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网创建vlan虚拟接口1创建虚拟接口vlan 1interface vlan 1设置虚拟接口vlan 1的ip ip address 192.168.100.254 255.255.255.0任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网创建其余vlan虚拟接口VLANIPIP1010192.168.10.254/242020192.168.20.254/243030192.168.30.254/244040192.168.40.254/245050192.168.50.254/24200200192.168.200.254/24任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网配置二层交换机操作操作命令命令更名交更名交换机名称机名称为SW1hostname SW1创建建 vlan 200vlan 200命名命名为apname ap进入入F0/1接口模式接口模式Interface FastEthernet 0/1设置接口置接口F 0/1为trunk模式模式switchport mode trunk进入入F0/11接口模式接口模式将将F0/11划分到划分到Vlan200interface FastEthernet 0/11switchport access vlan 200任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网操作操作命令命令进入入0/12接口模式接口模式将将0/12划分到划分到Vlan200interface FastEthernet 0/12switchport access vlan 200进入入F0/13接口模式接口模式将将F0/13划分到划分到Vlan200interface FastEthernet 0/13switchport access vlan 200进入入F0/14接口模式接口模式将将F0/14划分到划分到Vlan200interface FastEthernet 0/14switchport access vlan 200进入入F0/15接口模式接口模式将将F0/15划分到划分到Vlan200interface FastEthernet 0/15switchport access vlan 200任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网配置无线控制器创建VLAN 任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网添加AP 任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网配置开放的无线服务 在菜单“Configuration”下，选择“Services”。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网点击“Create New Service”按钮，输入开放服务的信息。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网点击“Finish”按钮，完成WEP无线服务的添加。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网打开无线网卡，搜寻无线网络，会发现“xjwlgs”的SSID。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网7.配置无线控制器选中无线网络xjwlgs,点击“”按钮，便连接到该无线网络。任务任务1 1 组建企业基本无线局域网组建企业基本无线局域网任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息（1 1）任务分析）任务分析无线网络工程师小赵发现客户服务中心的无线网络，直接可无线网络工程师小赵发现客户服务中心的无线网络，直接可以接入，没有任何认证加密手段，由于无线网络不像有以接入，没有任何认证加密手段，由于无线网络不像有线网，有严格的物理范围，例如，要接入有线网络必须线网，有严格的物理范围，例如，要接入有线网络必须要有一根网线插上，而无线网不同，无线信号可能会广要有一根网线插上，而无线网不同，无线信号可能会广播到公司办公室以外的地方，无论是公司大楼，还是其播到公司办公室以外的地方，无论是公司大楼，还是其他公司，都可以搜到，这样收到信号的人就可以随意的他公司，都可以搜到，这样收到信号的人就可以随意的接入到无线网络里来，很不安全。接入到无线网络里来，很不安全。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息为了保证客户服务中心的安全，他采用WEP加密的方式来对无线网进行加密及接入控制，只有输入正确密钥才可以接入到无线网络里来，并且空中的数据传输也是加密的。这样做主要是为了防止非法用户连接进来、防止无线信号被窃听。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息（2）任务实施配置WEP无线服务在菜单“Configuration”下，选择“services”。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息点击“Create New Service”按钮，为客户服务中心创建ssid为xjwlgs-service的无线服务xjwlgs-wep。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息点击“Next”按钮，选择Static WEP。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息点击“Next”按钮，在WEP key1中输入密码。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息点击“Finish”按钮，完成WEP无线服务的添加。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息测试无线客户端连接情况打开无线网卡，搜寻无线网络，会发现名为“xjwlgs-service”的SSID。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息选中无线网络xjwlgs-service,点击“连接”按钮，此时会提示输入WEP密钥，输入密钥。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息点击“连接”按钮，无线客户端便可以正确连接到无线网络xjwlgs-service，此时，无线客户端能够Ping通默认网关192.168.20.254。任务任务2 2 使用使用WEPWEP加密保护客户中心信息加密保护客户中心信息任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息（1 1）任务分析）任务分析无线无线网络工程师小赵为了保证客户服务中心的无线无线网络工程师小赵为了保证客户服务中心的安全，采用安全性较高的安全，采用安全性较高的WAPWAP加密的方式来对无加密的方式来对无线网进行加密及接入控制。线网进行加密及接入控制。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息（2）任务实施配置WPA无线服务在菜单“Configuration”下，选择“services”。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息点击“Create New Service”按钮，为运行维护中心创建ssid为xjwlgs-operation的无线服务xjwlgs-wpa。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息点击“Next”按钮，选择Encryption为“Yes”。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息点击“Next”按钮，选择WPA。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息点击“Next”按钮，然后选择TKIP，在Pre-shared key1中输入密码。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息点击“Generate”按钮，生成对预共享密钥的加密。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息点击“Finish”按钮，完成WPA无线服务的添加。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息测试无线连接打开无线网卡，搜寻无线网络，会发现名为“xjwlgs-operation”的SSID。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息选中无线网络xjwlgs-operation,点击“连接”按钮，输入WPA-PSK密钥。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息点击“连接”按钮，无线客户端便可以正确连接到无线网络xjwlgs-operation。任务任务3:3:使用使用WPAWPA加密保护运行维护中心信息加密保护运行维护中心信息任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息（1 1）任务分析）任务分析由于销售中心人员较多，人员流动大，销售人员网由于销售中心人员较多，人员流动大，销售人员网络基础较差，小赵决定对销售中心采用基于络基础较差，小赵决定对销售中心采用基于WebWeb方式实现对用户的身份进行认证，认证信息保存方式实现对用户的身份进行认证，认证信息保存到控制器中到控制器中,销售人员无需安装任何软件就可实销售人员无需安装任何软件就可实现对部门的无线网络访问。现对部门的无线网络访问。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息（2）任务实施配置Web用户在菜单“Configuration”下，选择“Services”。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息点击“Create New Service”按钮，为销售中心创建ssid为xjwlgs-sale的无线服务xjwlgs-Web，选择Encryption为“Yes”,选 择 Authenticat ion Type为“User authentication（Web）”。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息点击“Next”按钮，选择WEP。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息点击“Next”按钮，然后输入密码。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息点击“Finish”按钮，完成Web无线服务的添加。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息配置Web用户在菜单“Configuration”下，选择“Users”。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息点击“Create New Group”按钮，输入组名sale-users，选择VLAN为salecenter。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息点击“Finish”按钮，完成组的创建。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息选择Users标签，点击“Create New User”按钮，输入用户名，选择组为sale-users，选择VLAN为salecenter，选择SSID为xjwlgs-sale，输入密码。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息点击“Finish”按钮，完成用户的添加。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息测试无线连接打开无线网卡，搜寻无线网络，会发现名为“xjwlgs-sale”的SSID。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息选中无线网络xjwlgs-sale,点击“连接”按钮，输入网络密钥。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息点击“连接”按钮,无线客户端便可以正确连接到无线网络,但无线网络xjwlgs-sale的连接状态是“未连接”。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息在客户端输入Web网址，便会提示用户输入用户名和密码。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息输入用户信息，点击“Login”按钮，便会弹出安全警报窗口。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息点击“是”按钮，便进入公司网站。任务任务4:4:使用使用WebWeb加密保护销售中心信息加密保护销售中心信息任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息（1 1）任务分析）任务分析由于技术部门的人员多，人员流动比较大，技术人由于技术部门的人员多，人员流动比较大，技术人员有一定的网络基础，为了只允许技术部门的人员有一定的网络基础，为了只允许技术部门的人员对技术中心的无线网络进行访问，小赵设计员对技术中心的无线网络进行访问，小赵设计WinradiusWinradius认证服务器，采用认证服务器，采用802.1x802.1x实现对用户实现对用户的身份进行认证，需要在技术人员的计算机上安的身份进行认证，需要在技术人员的计算机上安装锐捷的无线网络安全认证客户端。装锐捷的无线网络安全认证客户端。任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息（2）任务实施配置WinRadius服务器下载WinRadius软件并进行解压。任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息双击“WinRadius.exe”程序，打开WinRadius窗口。任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息选择“设置”“系统”菜单，弹出系统设置窗口，在窗口中可更改radius 服务器的NAS密钥、认证端口和计费端口。任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息选择“设置”“数据库”菜单，点击“自动配置ODBC”按钮，自动生成ODBC实现和数据库的连接。任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息选择“操作”“添加”账号菜单，弹出添加账号窗口，在窗口中输入账户信息。任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息选择“操作“查询”菜单，弹出查询信息窗口。任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息点击“确定”按钮，便显示出刚才添加的账户信息。任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息添加RADIUS服务器在菜单“Configuration”下，选择“RADIUS”。任务任务5:5:利用利用802.1x+RADIUS802.1x+RADIUS保护技术中心信息保护技术中心信息点击“Add RADIUS Server”按钮，在弹出的窗口中输入RADIUS服务器的信息。任务