资源描述
第第10章章 无线网安全与防范无线网安全与防范 本章内容本章内容无线网络安全概述无线网络安全概述 10.1无线局域网的标准无线局域网的标准 10.2无线局域网安全协议无线局域网安全协议 10.3无线网络主要信息无线网络主要信息安全技术安全技术 10.4无线网络设备无线网络设备 10.5引导案例:引导案例:为方便上网,半年前张女士在家中安置了一个为方便上网,半年前张女士在家中安置了一个无线路由器,最近她却发觉网络速度突然变得无线路由器,最近她却发觉网络速度突然变得很慢。她相当疑惑,因为无线路由器明明设置很慢。她相当疑惑,因为无线路由器明明设置过密码,按理说不可能被人窃用网络。后来经过密码,按理说不可能被人窃用网络。后来经朋友检查发现,张女士电脑的朋友检查发现,张女士电脑的网上邻居网上邻居里里多出一个陌生的电脑用户多出一个陌生的电脑用户!网络被盗用已成不争网络被盗用已成不争的事实。朋友告诉她,她的无线网络已被一种的事实。朋友告诉她,她的无线网络已被一种叫叫“蹭网卡蹭网卡”的装置盯上了,因为多了一台电的装置盯上了,因为多了一台电脑享用她的网络资源,所以网络速度明显变慢。脑享用她的网络资源,所以网络速度明显变慢。那么如何保障自己的无线网络安全使用呢?本那么如何保障自己的无线网络安全使用呢?本章将为大家解决这样的技术难题。章将为大家解决这样的技术难题。无线网络的安全缺无线网络的安全缺陷与解决方案陷与解决方案 10.1无线局域网安全的最大问题在于无线通信设备是在自由空间中进行传输,而不是像有线网络那样是在一定的物理线缆上进行传输,因此无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取。所以,WLAN就面临一系列的安全问题,而这些问题在有线网络中并不存在。无线网络存在的安全风险和安全问题主要包括:(1)来自网络用户的进攻。)来自网络用户的进攻。(2)来自未认证的用户获得存取权。)来自未认证的用户获得存取权。(3)来自公司的窃听泄密等。)来自公司的窃听泄密等。针对以上威胁问题,从最初利用ESSID/SSID(Service Set Identifier,也就是“服务区标识符匹配)、MAC(Media Access Control,介质访问控制)限制,防止非法无线设备入侵的访问控制,到基于WEP(Wired Equivalent Privacy)数据加密的解决方案,再到即将成为新标准的802.11i,以及从2003年12月1日起我国开始施行的WLAN产品的新标准WAPI(无线局域网鉴别和保密基础结构),无线网络安全技术在很大的程度上已经得到了改善,即使这样,但要真正构建端到端的安全无线网络还任重道远。无线网络安全概述无线网络安全概述 10.110.2无无线局域网的局域网的标准准 在众多的无线局域网标准中,人们知道最多的是IEEE(美国电子电气工程师协会)802.11系列,此外制定WLAN标准的组织还有ETSI(欧洲电信标准化组织)和HomeRF工作组,ETSI提出的标准有HiperLan和HiperLan2,HomeRF工作组的两个标准是HomeRF和HomeRF2。在这三家组织所制定的标准中,IEEE的802.11标准系列由于它的以太网标准802.3在业界的影响力使得在业界一直得到最广泛的支持,尤其在数据业务上。ETSI是一个欧洲组织,因此一直得到欧洲政府的支持,很多运营商也都很尊重它的GSM和UMTS蜂窝电话标准,它在制定WLAN标准的时候更加关注语音业务。HomeRF作为一种为家庭网络专门设计的标准在业界也有一定的影响力。价格便宜的笔记本电脑、移动电话和手持式设备的日趋流行,以及Internet应用程序和电子商务的快速发展,使用户需要随时进行网络连接。为满足这些需求,可以使用两种方法将便携式设备连接到网络,而没有电缆所带来的不便。这两种标准就是IEEE 802.11b和Bluetooth。IEEE802.11b是一种11Mb/s 无线标准,可为笔记本电脑或桌面电脑用户提供完全的网络服务 10.2.1 IEEE的的802.11标准系列标准系列 由于802.11在速率和传输距离上都不能满足人们的需要,因此,IEEE小组又相继推出了802.11b和802.11a两个新标准。3者之间技术上的主要差别在于MAC子层和物理层。802.11b物理层支持5.5Mpbs和11Mpbs两个新速率。802.11标准在扩频时是一个11位调制芯片,而802.11b标准采 用 一 种 新 的 调 制 技 术C C K完成。802.11b使用动态速率漂移,可因环境变化,在11Mbps、5.5Mbps、2Mbps、1Mbps之间切换,且在2Mbps、1Mbps速率时与802.11兼容。802.11b的产品普及率最高,在众多的标准中处于先导地位。见教材P 254 802.11g协议于2003年6月正式推出,它是在802.11b协议的基础上改进的协议,支持2.4GHz工作频率以及DSSS技术,并结合了802.11a协议高速的特点以及OFDM技术。这样802.11g协议即可以实现11Mbps传输速率,保持对802.11b的兼容,又可以实现54Mbps高传输速率。随着人们对无线局域网数据传输的要求,802.11g协议也已经慢慢普及到无线局域网中,和802.11b协议的产品一起占据了无线局域网市场的大部分。而且,部分加强型的802.11g产品已经步入无线百兆时代。l 欧洲电信标准化协会(ETSI)(European Telecommunications Standards Institute)lHiperLan是欧盟在1992年提出的一个WLAN标准,HiperLan2是它的后续版本,HiperLan2部分建立在GSM(Global System for Mobile Communications,全球移动通讯系统)基础上,使用频段为5GHz。在物理层上HiperLan2和802.11a几乎完全相同。它采用OFDM技术,最大数据速率为54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太网基础上的,而是采用的TDMA结构,形成是一个面向连接的网络,HiperLan2的面向连接的特性使它很容易满足QoS(Quality of Service,服务质量)要求,可以为每个连接分配一个指定的QoS,确定这个连接在带宽、延迟、拥塞、比特错误率等方面的要求。这种QoS支持与高传输速率一起保证了不同的数据序列(如视频、话音和数据等)可以同时进行高速传输。10.2.2 ETSI的的HiperLan2 10.2.3 HomeRF HomeRF是IEEE802.11与DECT(Digital Enhanced Cordless Telecommunications 数字增强无绳通信)的结合,使用这种技术能降低语音数据成本。与前几种技术一样,使用开放的2.4GHz频段。采用跳频扩频(FHSS)技术,跳频速率为50跳/秒,共有75个带宽为1MHz的跳频信道。HomeRF把共享无线接入协议(把共享无线接入协议(SWAP)作为未来家庭联)作为未来家庭联网的技术指标,基于该协议的网络是对等网,因此该协议主要网的技术指标,基于该协议的网络是对等网,因此该协议主要针对家庭无线局域网。其数据通信采用简化的针对家庭无线局域网。其数据通信采用简化的IEEE802.11协议协议标准,沿用类似与以太网技术中的冲突检测的载波监听多址技标准,沿用类似与以太网技术中的冲突检测的载波监听多址技术(术(CSMA/CD)CSMA/CA。语音通信采用。语音通信采用DECT(Digital Enhanced Cordless Telephony)标准,使用)标准,使用TDMA时分多时分多址技术。址技术。10.3.1 WEP协议协议 IEEE802.11标准中的标准中的WEP(Wired Equivalent Privacy)协议)协议是是IEEE802.11b协议中最基本的无线安全加密措施,其主要用协议中最基本的无线安全加密措施,其主要用途包括提供接入控制,防止未授权用户访问网络;对数据进行途包括提供接入控制,防止未授权用户访问网络;对数据进行加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意纂加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意纂改或伪造。此外,改或伪造。此外,WEP也提供认证功能,当加密机制功能启用,也提供认证功能,当加密机制功能启用,客户端要尝试连接上客户端要尝试连接上AP时,时,AP会发出一个会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。进行认证比对,如果正确无误,才能获准存取网络的资源。AboveCable所有型号的所有型号的AP都支持都支持64位或(与)位或(与)128位的静态位的静态WEP加密,有效地防止数据被窃听盗用。加密,有效地防止数据被窃听盗用。10.3无线局域网安全协议无线局域网安全协议 10.3.2 IEEE 802.11i安全安全标准准 l IEEE 802.11的的i工作组致力于制订被称为工作组致力于制订被称为IEEE 802.11i的新的新一代安全标准,这种安全标准为了增强一代安全标准,这种安全标准为了增强WLAN的数据加密和认证的数据加密和认证性能,定义了性能,定义了RSN(Robust Security Network)的概念,并且)的概念,并且针对针对WEP加密机制的各种缺陷做了多方面的改进。加密机制的各种缺陷做了多方面的改进。l IEEE 802.11i规定使用规定使用802.1x认证和密钥管理方式,在数据认证和密钥管理方式,在数据加密方面,定义了加密方面,定义了TKIP(Temporal Key Integrity Protocol)、)、CCMP(CounterModeCBCMAC Protocol)和)和WRAP(Wireless Robust Authenticated Protocol)三种加密)三种加密机制。其中机制。其中TKIP采用采用WEP机制里的机制里的RC4作为核心加密算法,可以作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。安全的目的。CCMP机制基于机制基于AES(Advanced Encryption Standard)加密算法和)加密算法和CCM(CounterModeCBCMAC)认证方式,使得认证方式,使得WLAN的安全程度大大提高,是实现的安全程度大大提高,是实现RSN的强制的强制性要求。由于性要求。由于AES对硬件要求比较高,因此对硬件要求比较高,因此CCMP无法通过在现无法通过在现有设备的基础上进行升级实现。有设备的基础上进行升级实现。我国早在2003年5月份就提出了无线局域网国家标准 GB15629.11,这是目前我国在这一领域惟一获得批准的协议。标准中包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安全机制,这种安全机制由 WAI(WLAN Authentication Infrastructure)和WPI(WLAN Privacy Infrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAPI能为用户的WLAN系统提供全面的安全保护。WAPI安全机制包括两个组成部分。具体具体见教材教材P257。10.3.3 WAPI协议协议 10.4.1扩频技术扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中,一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送,明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。通常有几种方法来实现扩频传输,最常用的是直序扩频和跳频扩频。一些无线局域网产品在ISM波段的2.42.4835GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、32、67、42)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,也不用担心网络上的数据被其他用户截获。10.4无线网络主要信息安全技术无线网络主要信息安全技术 即在无线网的站点上使用口令控制,当然未必局限于即在无线网的站点上使用口令控制,当然未必局限于无线网。当前一些主要的网络操作系统和服务器均提供了包无线网。当前一些主要的网络操作系统和服务器均提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于制之下并经常予以变更。由于WLAN的用户包括移动用户,的用户包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。是否正被合法的用户使用。建议在无线网络的适配器端使用网络密码控制。这与建议在无线网络的适配器端使用网络密码控制。这与Novell NetWare和和Microsoft Windows NT提供的密码管理提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以精确的密码策略是增加一个安全级别,这可漫游用户,所以精确的密码策略是增加一个安全级别,这可以确保工作站只被授权人使用。以确保工作站只被授权人使用。10.4.2 用户认证和口令控制用户认证和口令控制 1.WEP(Wired Equivalent Privacy)加)加密配置密配置 WEP加密配置是确保经过授权的加密配置是确保经过授权的WLAN用户不被用户不被窃听的验证算法,是窃听的验证算法,是IEEE协会为了解决无线网络的安全协会为了解决无线网络的安全性而在性而在802.11中提出的解决办法。中提出的解决办法。10.4.3数据加密数据加密 2.无无线网网络加密技加密技术之之WPA-PSK(TKIP)无无线网网络最初采用的安全机制是最初采用的安全机制是WEP(有有线等效私密等效私密),但,但是后来是后来发现WEP是很不安全的,是很不安全的,802.11组织开始着手制定开始着手制定新的安全新的安全标准,也就是后来的准,也就是后来的802.11i协议。但是。但是标准的制准的制定到最后的定到最后的发布需要布需要较长的的时间,而且考,而且考虑到消到消费者不会者不会因因为为了网了网络的安全性而放弃原来的无的安全性而放弃原来的无线设备,因此,因此Wi-Fi联盟在盟在标准推出之前,在准推出之前,在802.11i草案的基草案的基础上,制定了上,制定了一种称一种称为WPA(Wi-FiProctedAccess)的安全机制,它使的安全机制,它使用用TKIP(TemporalKeyIntegrity Protocol:临时密密钥完整完整性性协议),它使用的加密算法,它使用的加密算法还是是WEP中使用的加密算法中使用的加密算法RC4,所以不需要修改原来无,所以不需要修改原来无线设备的硬件,的硬件,WPA针对WEP中存在的中存在的问题:IV(初始化向量初始化向量)过短、密短、密钥管理管理过于于简单、对消息完整性没有有效的保消息完整性没有有效的保护,通,通过软件升件升级的方的方法提高网法提高网络的安全性。的安全性。3.无无线网网络加密技加密技术之之WPA2-PSK(AES)在802.11i颁布之后,Wi-Fi联盟推出了WPA2,它支持AES(高级加密算法),因此它需要新的硬件支持,它使用CCMP(计数器模式密码块链消息完整码协议)。在WPA/WPA2中,PTK的生成依赖PMK,而PMK获的有两种方式,一个是PSK的形式就是预共享密钥,在这种方式中PMK=PSK,而另一种方式中,需要认证服务器和站点进行协商来产生PMK。IEEE802.11所制定的是技术性标准,Wi-Fi联盟所制定的是商业化标准,而Wi-Fi所制定的商业化标准基本上也都符合IEEE所制定的技术性标准。WPA(Wi-FiProtectedAccess)事实上就是由Wi-Fi联盟所制定的安全性标准,这个商业化标准存在的目的就是为了要支持IEEE802.11i这个以技术为导向的安全性标准。而WPA2其实就是WPA的第二个版本。WPA之所以会出现两个版本的原因就在于Wi-Fi联盟的商业化运作。10.5无无线网网络设备 10.5.1无线网卡 目前,常见的无线网卡大多为PCMCIA、PCI和USB三种类型。无线网卡是终端无线网络的设备,是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置,但是有了无线网卡也还需要一个可以连接的无线网络,如果你在家里或者所在地有无线路由器或者无线AP的覆盖,就可以通过无线网卡以无线的方式连接无线网络可上网。1.无线网卡标准上区分无线网卡按无线标准可定为IEEE 802.11b、IEEE 802.11a、IEEE 802.11g。在频段上来说802.11a标准为5.8GHz频段,802.11b、802.11g标准为2.4GHz频段。从传输速率上来说802.11b使用了DSSS(直接序列扩频)或CCK(补码键控调制),传输速率为11Mbps,而802.11g和802.11a使用相同的OFDM(正交频分复用调制)技术,使其传输速率是b的5倍,也就是54Mbps。兼容上来说802.11a不兼容802.11b,但是可以兼容802.11g,而802.11g和802.11b两种标准可以相互兼容使用,但在使用时仍需注意,802.11g的设备在802.11b的网络环境下使用只能使用802.11b标准,其数据数率只能达到11Mbps。2.无线网卡接口上区分 图10-2 PCI接口无线网卡 图10-3 PCMICA接口网卡 图10-4 USB无线网卡图10-5 MINI-PCI无线网卡3.无线网卡网络制式上区分无线上网卡它是目前无线广域通信网络应用广泛的上网介质。目前,由于我国只有中国移动的GPRS和中国联通的CDMA(1X)两种网络制式,所以常见的无线上网卡就包括CDMA无线上网卡和GPRS无线上网卡两类。另外还有一种CDPD无线上网卡。(1)CDMA无线上网卡CDMA(Code Division Multiple Access,码分多址)无线上网卡是针对中国联通的CDMA网络推出来的上网连接设备。CDMA 允许所有的使用者同时使用全部频带,并且把其他使用者发出的讯号视为杂讯,完全不必考虑到讯号碰撞(collision)的问题。中国联通 CDMA1000 清华同方 TF CDMA6000 雅美达 CDMA上网卡(2)GPRS无线上网卡GPRS上网卡是针对中国移动的GPRS网络推出来的无线上网设备。GPRS的英文全称为“General Packet Radio Service”,中文含义为“通用分组无线服务”,它是利用“包交换”(Packet-Switched)的概念所发展出的一套无线传输方式。所谓的包交换就是将Date封装成许多独立的封包,再将这些封包一个一个传送出去,形式上有点类似寄包裹,采用包交换的好处是只有在有资料需要传送时才会占用频宽,而且可以以传输的资料量计价,这对用户来说是比较合理的计费方式,因为像Internet这类的数据传输大多数的时间频宽是间置的。(3)CDPD无线上网卡CDPD(蜂窝数字分组数据-Cellular Digital Packet Data)采用分组数据方式,是目前公认的最佳无线公共网络数据通信规程。它是建立在TCP/IP基础上的一种开放系统结构,将开放式接口、高传输速度、用户单元确定、空中链路加密、空中数据加密、压缩数据纠错和重发和运用世界标准的IP寻址模式无线接入有力的结合在一起,提供同层网络的无缝连接、多协议网络服务。CDPD具有速度快(19.2kbps),数据安全性高等特点,它支持用户越区切换和全网漫游、广播和群呼,支持移动速度达100km/h的数据用户,可与公用有线数据网络互联互通。10.5.2无无线网网桥Wireless Bridge 无线网桥(Wireless Bridge)的功能在于提供两个点之间通信的无线链路,可以使用两个或多个无线网桥将彼此分开的局域网连接在一起。如图10-6所示是一款艾克赛尔AX9400EDU系列产品。图10-6 无线网桥 10.5.3天天线 无线网络互连需要配合使用天线(Antenna)。根据天线的功能特性,可以分为定向天线,全向天线和扇区天线,分别适合点对点,点对多点和区域覆盖使用。如图10-7所示是一款家用无线网络天线。10.5.4 AP接入点接入点 AP(Access Point)一般俗称为网络桥接器,顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁,因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外,AP本身又兼具有网管之功能,可针对接有无线网络卡之PC作必要之控管。如图10-8是一款WAB102无线AP接入点。10.6 无无线网网络的安全缺陷与解决方案的安全缺陷与解决方案 10.6.1无无线网网络的安全缺陷的安全缺陷 1 容易侵入无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。如果你能买到Yagi外置天线和3-dB磁性HyperGain漫射天线硬盘,拿着它到各大写字楼里走一圈,你也许就能进入那些大公司的无线局域网络里,做你想要做的一切。或者再简单一点,对于那些防范手段差的公司来说,用一块802.11b无线网卡也可以进入他们的网络这种事时常在美国发生。3 恶意攻意攻击除通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。10.6.2 无无线网网络安全防范措施安全防范措施 1、隐藏服务设定标识(SSID)我们购买一个无线路由器后,默认的SSID一般都和该路由器的品牌相关联,黑客可以轻松通过SSID知道路由器品牌。我们可以在无线路由的管理界面上,修改这个SSID,改成自己喜欢的名字,这样就在一定程度上隐蔽无线路由。2、修改用户名和密码 一般路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具,用来设置该设备的网络地址以及帐号等信息。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样的,如果没有修改设备的默认的用户名和密码,就给黑客们提供了有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面,如果成功则立即取得该路由器/交换机的控制权。3、无线网络加密加密可以使得没有密钥的人无法登录到你的网络上来,一般无线路由都提供两种加密标准:无线对等协议(WEP)和Wi-Fi保护接入(WPA)。WEP要比WPA老,但是不如WPA安全。目前破解“无线路由器密码”,指的就是破解WEP密码。所以,采用WPA会更安全些,起码给黑客制造更多的麻烦。4、缩小IP地址范围当计算机连接到无线网络的时候,无线路由器通常会分给一个IP地址,用他来浏览网页或连接外部互联网。通常情况下,无线路由器会给连接到无线网络中来的每一台机器分配一个IP,缩小IP地址范围,就可以限制连接到无线网络中计算机的数量。理想的情况下,假如我们网络中的计算机使用了所有IP地址的话,无线路由器就不会为入侵者再分配IP地址了。5、设置MAC地址过滤 在Windows系统中点选“开始菜单”,然后选“运行”,弹出的对话框中输入“cmd”,回车后会出现命令行窗口。在命令行窗口中输入 ipconfig/all。寻找名为“Physical Address”的这一行,其后所显示的地址即为该设备的MAC地址。每一个网络设备都有唯一的被称作MAC地址的ID。这样可以在无线路由器上设定一个范围的MAC地址,不属于这个范围的一律拒之门外。10.6.3 无无线网网络安全安全应用用实例例下面以D-Link无线路由器说明无线局域网络的安全配置,D-Link支持以下安全机制。支持远程管理。支持 64/128(802.11G)位 WEP 无线加密,密码支持HEX/ASCII双模式。提供使用者自订的访问控制列表(ACL)机制,支持等过滤功能。支持 WPA 加密功能(WPATLS/TKIP)。认证(Authentication)的目的是确认对方身份的合法性,以免与身份不明的对象沟通,泄漏了重要的机密。也就是双方进行通信之前,必须先经过认证的程序。D-Link有支持的认证(加密)方有4种。1 WEP加密WEP是一种对称性的加密技术,用来加密在WLAN上传送的资料,为资料保密提供了一定的安全性。WEP必须有相同WEP key的双方(TX及RX)才可互相听得懂。D-Link支持了两种层级的WEP加密方式,分别为64位加密和128位加密,越长的加密代表越安全。可以选择启用/禁用WEP加密功能,在默认情况下,WEP加密功能是禁用的。WEP密码可以轻易地变更无线加密设置以维护一个安全的网络。方法很简单,只要选择使用于加密网络上的无线通信资料的指定密钥值即可。在64位WEP加密下,必须输入10个HEX数字或是5个ASCII码。在128位WEP加密下,必须输入26个HEX数字或是13个ASCII码(HEX数字范围为0-9和A-F)。2.802.lx安全协议它是利用凭证方式认证的无线网络的安全机制。安全模式密码选择加密的方式为64bit 或128bit。对于802.lx的设置主要有以下几项:RADIUS服务器IP地址。输入RADISU服务器的IP地址,供802.lx封包使用。RADIUS端口。RADISU服务器所使用的通信端口,默认标准802.lx RADISU服务器通信端口为1812。RADIUS密码。RADIUS服务器上所设置的shared Key,此处必须设置相同的shared Key,D-Link才可与RADIUS服务器验证沟通。3.WPA-PSK密码模式预先共享密钥(WPA-PSK),只需要在D-Link吐上输入单一密码。只要密码相符,客户端便会获得无线网络的存取权限。与WPA不同的是,使用WPA-PSK加密是不需要 RADIUS服务器做认证的,只要在此输入密钥以供认证使用即可,可设置的密钥长度为864 个字符(至少8个字符)。当然,不管选择了以上何种的认证(加密)方式,相对使用者的无线网卡也必须支持才行。密码模式D-Link所支持的WPA-PSK密码模式为HEX(十六进制数字)及ASCII码。使用者可以变更密码模式以符合现有的无线网络设置或是自定义自己的无线网络设置。此处为输入 WPA-PSK 加密所使用的密码;若密码模式选择为 HEX 的话,输入64个09 和A F的十六进制数字,若密码模式选择为ASCII码的话,输入863 个ASCII码。在无线网卡上的密码设置必须与此处相同。4.WPAWPA以802.lx和延伸认证协议(EAP)作为其认证机制的基础。认证机制是由使用者提供某种形式的证明,然后存取网络并以该证明来对照合法使用者数据库(RADIUS服务器)进行检查。只要进入网络,就必须通过这样的认证过程。D-Link支持WPA-EAP及 WPA-TMP。所以在设置WPA之前,必须已安装并设置好RADIUS服务器(如Windows 2000 Server),以供D-Link欣连接设置使用。主要有以下几项:RADIUS服务器IP地址。输入RADISU服务器的IP地址,供802.lx封包使用。RADIUS 端口。RADISU服务器所使用的通信端口,默认标准802.lx RADISU服务器通信端口为1812。RADIUS密码。RADIUS服务器上所设置的shared Key,此处必须设置相同的shared Key,D-Link才可与RADIUS服务器验证沟通。以下是WEP的加密设置实例 SSID:可自行设置此无线接入点的名称,在搜寻基站时较好辨识,默认为default,可以修改为DLINK。频道:无线接入点目前使用的频道,默认为6,目前采用的共有11个频道供切换,若无线信号弱或收不到信号时,可切换使用其他频道来改善。安全模式:选择WEP加密分为WEP、802.lx、WPA-PSK和WPA共4种,大部分所使用的加密为WEP。WEP加密:选择64bit。密码模式:选择HEX。密码l:输入HELLO123。以上范例以HEX密钥类型为例,在“密码1”文本框中输入 10个字符,可包括09或AF。在“密码1”到“密码4”文本框中可输入不同的加密密码,方便切换使用以确保无线网络的安全性,必须注意的是计算机端无线网卡的加密必须选择相同字段且输入相同密码才能通过认证。案例实现案例实现 1无无线网网络安全分析安全分析由于无线局域网自身的特点,它的无线信号很容易被发现。入侵者只需要给电脑安装无线网卡以及无线天线就可以搜索到附近的无线局域网,获取SSID、信道、是否加密等信息。很多家用无线局域网一般不会进行相应的安全设置,很容易接入他人的无线网络。而且更糟糕的是,“蹭网卡”的出现,可以捕捉方圆几公里甚至几十公里的无线信号,而且其相配套的破解软件,会很容易破解简单的加密方式,而获得网络使用权。此外,由于无线局域网不对数据帧进行认证操作,这样,入侵者可以通过欺骗帧去重新定向数据流,搅乱ARP缓存表(表里的IP地址与MAC地址是一一对应的)。入侵者可以轻易获得网络中站点的MAC地址,例如,通过Network Stumbler软件就可以获取信号接收范围内无线网络中的无线网卡的MAC地址,而且可以通过MAC地址修改工具来将本机的MAC地址改为无线局域网合法的MAC地址,或者通过修改注册表来修改MAC地址。具体见书P267
展开阅读全文