无线网络安全机制课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,第六章 无线网络的安全机制,6.1 无线网络概述,6.2 无线网络结构与技术实现,6.3 IEEE 802.11标准,6.4 无线网络的安全性,第六章 无线网络的安全机制6.1 无线网络概述,1,计算机无线联网方式是有线联网方式的一种补充，它是在有线网的基础上发展起来的，使联网的计算机可以自由移动，能快速、方便的解决以有线方式不易实现的信道连接问题。,然而，,由于无线网络采用空间传播的电磁波作为信息的载体，因此与有线网络不同，若辅以专业设备，任何人都有条件窃听或干扰信息，可见在无线网络中，网络安全是至关重要的。,6.1 无线网络概述,计算机无线联网方式是有线联网方式的一种补充，它是在有线网的基,2,6.1.1 无线网络的概念及特点,通常计算机组网的传输媒介主要依赖铜缆和光缆，构成有线局域网。,但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。,特别是当要把相距较远的节点联系起来时，敷设专用通信线路的布线施工难度大、费用高、耗时长，和正在迅速扩大的连网需求形成了严重的矛盾。,无线局域网WLAN（Wireless Local Area Network）就是为解决有线网络以上问题而出现的。,解决这一难题迅速和最有效的方法是采用新型计算机无线通信和无线计算机网络系统。,6.1.1 无线网络的概念及特点通常计算机组网的传输媒介主要,3,6.1.2无线网络的分类,1.无线个人网：主要用于个人用户工作空间，典型距离覆盖几米，可以与计算机同步传输文件，访问本地外围设备，如打印机等。,目前主要技术包括蓝牙（Bluetooth）和红外（IrDA）。,蓝牙,最新的无线网络技术,距离6M左右,全方位辐射,速度较快.现在主要应用于手机。,红外,很早就有的无线技术,使用时得两个红外设置面对面,距离小,速度慢，现在基本淘汰。,6.1.2无线网络的分类1.无线个人网：主要用于个人用户工作,4,2.无线局域网：主要用于宽带家庭、大楼内部以及园区内部，典型距离覆盖几十米至上百米。目前主要技术为802.11系列。,3.无线LAN-to-LAN网桥：主要用于大楼之间的联网通信，典型距离为几公里，许多无线网桥采用802.11b技术。,4.无线城域网和广域网：覆盖城域和广域环境，主要用语Internet访问，但提供的带宽比有线网络技术要低很多。,2.无线局域网：主要用于宽带家庭、大楼内部以及园区内部，典型,5,6.1.3无线组网技术分类,无线网络所用到的三种技术可概括如下。,（1）蓝牙技术,蓝牙技术是由移动通信公司与移动计算公司联合起来开发的传输范围约为6m左右的短距离无线通信标准，用来设计在便携式计算机、移动电话以及其他的移动设备之间建立起一种小型、经济、短距离的无线链路。,能在包括移动电话、PDA、无线耳机、笔记本电脑、相关外设等众多设备之间进行无线信息交换。蓝牙的标准是IEEE802.15，工作在2.4GHz 频带，带宽为1Mb/s。,6.1.3无线组网技术分类无线网络所用到的三种技术可概括如下,6,（2）IEEE 802.11,IEEE 802.11是IEEE 最初制定的一个无线网络标准，主要用于解决办公室局域网和校园网，用户与用户终端的无线接入。,IEEE 802.11技术的应用将继续成为热点。,一方面产品价格将继续下降，另一方面无线技术的通信安全问题会得到较好的解决。,IEEE 802.11i、IEEE 802.11x标准的推出以及其他安全解决方案如VPN的面市，也会促使那些犹豫不决的用户去采用无线局域网技术；,另外，支持更快数据传输速率的IEEE 802.11n产品会进一步推动该市场。,（2）IEEE 802.11,7,（3）HomeRF技术,HomeRF（家庭射频）技术是无绳电话技术（数字式增强型无绳电话或者简称为DECT：Digital Enhanced Cordless Telephone）和无线局域网（WLAN）技术相互融合发展的产物。,无线局域网IEEE802.11采用CSMA/CA（载波监听多点接入/冲突避免）方式，特别适合于数据业务；而DECT使用TDMA（时分多路复用）方式，特别适合于话音通信，将二者进行融合构成家庭射频使用的共享无线应用协议（SWAP：Shared Wireless Access Protocol）。,SWAP使用TDMACSMA/CA方式，适合话音和数据业务，并且特地为家庭小型网络进行了优化。,（3）HomeRF技术,8,家庭射频系统的设计目的就是为了在家用电器设备之间传送话音和数据，并且能够与公众交换电话网（PSTN）和互联网进行交互式操作。,在这三种技术中，IEEE802.11比较适于办公室中的企业无线网络，HomeRF可应用于家庭中的移动数据和语音设备与主机之间的通信，而蓝牙技术则可以应用与任何可以用无线方式替代线缆的场合。,家庭射频系统的设计目的就是为了在家用电器设备之间传送话音和数,9,6.1.4无线网络的应用领域,在国内，WLAN的技术和产品在实际应用领域还是比较新的。,就目前来看，无线网络已经在教育、金融、健康、旅馆、以及零售业、制造业等各方面有了广泛的应用。,医疗 使用附带无线局域网络产品的手提式计算机取得实时信息，医护人 员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟 延及误诊等，而提升对伤患照顾的品质。,6.1.4无线网络的应用领域在国内，WLAN的技术和产品在实,10,餐饮及零售 餐饮服务业可使用无线局域网络产品，直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。,零售商促销时，可使用无线局域网络产品设置临时收银柜台。这个好像国内很少，星巴克咖啡厅里面都有无线网络供顾客使用。,企业 当企业内的员工使用无线局域网络产品时，不管他们在办公室的任何一个角落，有无线局域网络产品，就能随意地发电子邮件、分享档案及上网络浏览。,餐饮及零售 餐饮服务业可使用无线局域网络产品，直接从餐桌即,11,监视系统 一般位于远方且需受监控现场之场所，由于布线之困难，可藉由无线网络将远方之影像传回主控站。,展示会场 诸如一般的电子展，计算机展，由于网络需求极高，而且布线又会让会场显得凌乱，因此若能使用无线网络，则是再好不过的选择。,WLAN可使工作人员在极短的时间内，方便地得到计算机网络的服务，和Internet连接并获得所需要的资料，也可以使用移动计算机互通信息、传递稿件和制作报告。,监视系统 一般位于远方且需受监控现场之场所，由于布线之困,12,移动办公系统 在这方面无线技术也有广泛的应用前景。,在办公环境中使用WLAN，可以使办公用的计算机具有移动能力，在网络范围内可以实现计算机漫游。,各种业务人员、部门负责人和工程技术专家，只要有移动终端或笔记本电脑，无论是在办公室、资料室、洽谈室，甚至在宿舍都可通过WLAN随时查阅资料、获取信息。,领导和管理人员可以在网络范围的任何地点发布指示，通知事项，联系业务。也就是说可以随时随地进行移动办公。,移动办公系统 在这方面无线技术也有广泛的应用前景。,13,6.2 无线网络结构与技术实现,无线局域网可以在普通局域网基础上通过无线Hub、无线接入站（Access Point，AP,亦译作网络桥接器）、无线网桥、无线Modem及无线网卡等来实现，以无线网卡最为普遍，使用最多。,与有线网络一样，无线局域网同样也需要传送介质。,但它不是使用双绞线或者光纤，而是使用红外（IR）或者射频（RF）波段,无线局域网一般普遍采用扩频微波技术。,无线局域网有两种拓扑结构：对等网络和结构化网络。,6.2 无线网络结构与技术实现无线局域网可以在普通局域网基础,14,（1）对等网络也称Ad-hoc网络，它覆盖的服务区被称为独立基本服务区。,（2）结构化网络由无线访问点（AP）、无线工作站（STA）以及分布式系统（DSS）构成，覆盖的区域分基本服务区（BSS）和扩展服务区（ESS）。,（1）对等网络也称Ad-hoc网络，它覆盖的服务区被称为独立,15,6.3 IEEE 802.11标准,无线标准,802.11b,802.11a 8,802.11g,工作频段,2.4GHz,5GHz,2.4GHz,最大数据率,11Mbps,54Mbps,54Mbps,调制技术,DSSS/CCK,OFDM,OFDM,覆盖范围,较大,较大,较大,6.3 IEEE 802.11标准无线标准 802.11b,16,6.4 无线网络的安全性,（1）无线网技术的安全性级别定义。,第一级，扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据。,第二级，采取网络隔离及网络认证措施。,第三级，设置严密的用户口令及认证措施，防止非法用户入侵。,第四级，设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容,6.4 无线网络的安全性（1）无线网技术的安全性级别定义。,17,（2）常见的无线网络的安全加密措施。,第一，服务区标示符（SSID）。,无线工作站必须出示正确的SSID才能访问AP，因此可以认为SSID是一个简单的口令，从而提供一定的安全。,如果配置AP向外广播其SSID，那么安全程度将下降；由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。,第二，运用扩展服务集标识号(ESSID)。,用户为扩大带宽而连接多个AP，它们的ESSID必须设置成一致而跳频序列不一样。而所有这些设置都受P安装者定码的控制。因此，有了32位字符的ESSID和3位字符的跳频序列，您会发现对于那些试图经由局域网的无线网段进入局域网的人来讲，想推断出确切的ESSID和跳频序列有多么困难。,（2）常见的无线网络的安全加密措施。,18,第三，物理地址（MAC）过滤。,每个无线工作站网卡都有唯一的物理地址标示，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。,物理地址过滤属于硬件认证，而不是用户认证。,第四，连线对等保密(WEP)。,在链路层采用RC4对称加密技术，钥匙长40位，从而防止非授权用户的监听以及非法用户的访问。,用户的加密钥匙必须与AP的钥匙相同，并且一个服务区内的所有用户都共享同一把钥匙。,第三，物理地址（MAC）过滤。,19,第五，虚拟专用网络(VPN)。,虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已经采用VPN技术。,VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。,采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。,第六，端口访问控制技术（802.1x）。,该技术是用于无线网络的一种增强型网络安全解决方案。,当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。,如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。,第五，虚拟专用网络(VPN)。,20,（3）无线网安全机制的隐患,802.11b标准能提供完整的保密机制给无线局域网络使用，却隐藏安全隐患。,无线局域网络ESSID的安全性；,40位的加密安全性；,共享密钥泄露；,采用Access Control List的便利性。,（3）无线网安全机制的隐患802.11b标准能提供完整的保密,21,6.4.2 典型WLAN的使用及其安全性,（1）访客级。,如果打算提供非正式或者无监管的Internet接入，则可能会受到不受控制的访问及AP直接连接到Internet。,这类WLAN可能不需要实施WEP链路安全措施或者访问加密/签名，并且允许所有不同厂商的WLAN卡能够互操作。,使用这种服务的公司会使来宾非常愉快，但要承担雇员对它进行滥用、使企业暴露在Internet上的风险。,6.4.2 典型WLAN的使用及其安全性 （1）访客级。,22,（2）进行访问登记。,这是为Internet接入提供基本服务的一个折中。,其使用W