網絡安全鄭萬波網絡安全9

《網絡安全鄭萬波網絡安全9》由會員分享，可在線閱讀，更多相關《網絡安全鄭萬波網絡安全9（79頁珍藏版）》請在裝配圖網上搜索。

1、LOGO第第 9 講講LOGO2LOGO3LOGO4LOGO5LOGO6無線局域網概述1 無線局域網的概念和特點 p 無線局域網的概念 無線局域網（Wireless Local Area Network，即WLAN）是利用無線通信技術，在一定的局部范圍內建立的網絡，是計算機網絡與無線通信技術相結合的產物。它以無線傳輸媒體作為傳輸介質，提供傳統(tǒng)有線局域網的功能，并能使用戶實現(xiàn)隨時、隨地的網絡接入。之所以稱其是局域網，是因為受到無線連接設備與計算機之間距離的限制而影響傳輸范圍，必須在區(qū)域范圍之內才可以組網。LOGO7無線局域網概述v 無線局域網的特點（1）安裝便捷、維護方便安裝便捷、維護方便 免去

2、或減少了網絡布線的工作量，一般只要安裝一個或多個接入點（Access Point，AP）設備，就可以建立覆蓋整個建筑物或區(qū)域的局域網。（2）使用靈活、移動簡單使用靈活、移動簡單 一旦無線局域網建成后，在無線網的信號覆蓋范圍內任何一個位置都可以接入網絡。使用無線局域網不僅可以減少與布線相關的一些費用，還可以為用戶提供靈活性更高、移動性更強的信息獲取方法。（3）易于擴展、大小自如易于擴展、大小自如 有多種配置方式，能夠根據(jù)需要靈活選擇，能勝任從只有幾個用戶的小型局域網到上千用戶的大型網絡。LOGO無線局域網無線局域網標準標準v 無線局域網 WLAN 技術定義在 IEEE 802.11 規(guī)范說明系列

3、中。IEEE 802.11標準定義了三種物理層介質：跳頻擴展頻譜FHSS（Frequency Hopping Spread Spectrum）直接序列擴展頻譜DSSS（Direct Sequence Spread Spectrum）紅外線。v 所有這些說明都采用以太網協(xié)議和載波監(jiān)聽多路訪問/沖突避免技術（CSMA/CA）替代了CSMA/CD來實現(xiàn)鏈路共享。LOGO802.11棧結構LOGO無線局域網種類v（1）802.11：應用于無線局域網，在 2.4 GHz 波段中傳輸速率為 1 Mbps 或 2 Mbps。既支持跳頻技術 FHSS 也支持直接序列擴頻 DSSS。v（2）802.11a：80

4、2.11 的擴展說明，在 5GHz 波段，傳輸速率為 54 Mbps。802.11a 支持正交頻分復用 OFDM 編碼方式，而不支持 FHSS 或 DSSS。802.11a 應用于無線 ATM 系統(tǒng)并用于接入集線器 access hubs。v（3）802.11b：又稱為 802.11 高速率或 Wi-Fi，802.11 的擴展說明，在 2.4 GHz波段中傳輸速率為 11 Mbps（也可能降低為 5.5 Mbps、2 Mbps 或 1 Mbps）。802.11b 只支持 DSSS。802.11b 是原 802.11 標準的修訂版，其無線功能的性能不亞于以太網。v（4）802.11g：支持短距離

5、無線傳輸，在 2.4 GHz 波段中傳輸速率為 20 Mbps 到 54 Mbps。802.11g 支持 OFDM 編碼方式。LOGOCSMA/CA協(xié)議協(xié)議vIEEE 802.11的MAC層采用CSMA/CA（載波偵聽多路訪問/沖突避免）協(xié)議進行無線介質的共享訪問。CSMA/CA與CSMA/CD的區(qū)別在于：CSMA/CD是帶有沖突檢測的載波偵聽多路訪問，發(fā)送包的同時可以檢測到信道上有無沖突；CSMA/CA是帶有沖突避免的載波偵聽多路訪問，發(fā)送包的同時不能檢測到信道上有無沖突，只能盡量“避免”。LOGOv IEEE 802.11的載波偵聽機制與IEEE 802.3的載波偵聽機制基本相同。要發(fā)送數(shù)

6、據(jù)的站點首先要偵聽無線信道，如果信道處于“空閑”狀態(tài)，則等待一個很短的時間（IFS），若信道仍然空閑，它就可以發(fā)送數(shù)據(jù)。如果信道上有信號傳播，它就推遲自己的數(shù)據(jù)發(fā)送而繼續(xù)偵聽直到信道空閑。當一幀傳輸結束后，站點再等待一個IFS時間，如果在此時間內信道忙，站點便執(zhí)行二進制指數(shù)退避算法并繼續(xù)偵聽信道，如果信道空閑便可以傳送下一幀。接收端收到完整的數(shù)據(jù)報則回發(fā)一個ACK，接收端如果收到，則完成一次數(shù)據(jù)收發(fā)；否則發(fā)送端重傳。v CSMA/CA協(xié)議的關鍵在于沖突避免CA（Collision Avoidance）。IEEE 802.11的沖突避免采用了三種機制來實現(xiàn)：預約信道、正向確認和RTS/CTS機制

7、LOGO13無線局域網概述2 無線局域網標準 v IEEE802.11x標準標準（1）IEEE802.11 1990年IEEE802標準化委員會成立IEEE802.11無線局域網(WLAN)標準工作組，主要為研究1Mbps和2Mbps數(shù)據(jù)速率、工作在2.4GHz開放頻段的無線設備和網絡發(fā)展的全球標準，并于1997年6月公布了該標準，它是第一代無線局域網標準之一。該標準定義了物理層和媒體訪問控制(MAC)規(guī)范，允許無線局域網及無線設備制造商建立互操作網絡設備。后來又相繼公布了802.11b和802.11a，這兩個標準是對802.11的補充。LOGO14無線局域網概述2 無線局域網標準 v IEE

8、E802.11x標準標準（2）IEEE802.11b IEEE802.11b標準規(guī)定無線局域網工作頻段在2.42.4835GHz，數(shù)據(jù)傳輸速率達到11Mbps，傳輸距離控制在50150英寸。IEEE802.11b已成為當前主流的無線局域網標準，被多數(shù)廠商所采用，所推出的產品廣泛應用在辦公室、家庭、賓館、車站、機場等眾多場合。LOGO 802.11b標準標準功能速度動態(tài)速率轉換使用范圍可靠性互用性電源管理漫游支持加載平衡可伸縮性安全性特點2.4ghz直接序列擴頻無線電提供最大為11mbps的數(shù)據(jù)傳輸速率，無須直線傳播當射頻情況變差時，降低數(shù)據(jù)傳輸速率為5.5mbps、2mbps和1mbps802

9、.11b支持以百米為單位的范圍（在室外為；在辦公環(huán)境中最長為）與以太網類似的連接協(xié)議和數(shù)據(jù)包確認提供可靠的數(shù)據(jù)傳送和網絡帶寬的有效使用與以前的標準不同的是，802.11b只允許一種標準的信號發(fā)送技術。weca將認證產品的互用性 802.11b網絡接口卡可轉到休眠模式，訪問點將信息緩沖到客戶，延長了筆記本電腦的電池壽命 當用戶在樓房或公司部門之間移動時，允許在訪問點之間進行無縫連接802.11b NIC更改與之連接的訪問點，以提高性能（例如，當前的訪問點流量較擁擠，或發(fā)出低質量的信號時）最多三個訪問點可以同時定位于有效使用范圍中，以支持上百個用戶同時支持語音和數(shù)據(jù)內置式鑒定和加密LOGO16無線

10、局域網概述2 無線局域網標準 v IEEE802.11x標準標準（3）IEEE802.11a 802.11a標準規(guī)定無線局域網工作頻段在5.158.825GHz，數(shù)據(jù)傳輸速率達到54Mbps，傳輸距離控制在10100m。802.11a標準的優(yōu)點是傳輸速度快，可達54Mbps，完全能滿足語音、數(shù)據(jù)、圖像等業(yè)務的需要。缺點是無法與802.11b兼容，使一些早購買802.11b標準的無線網絡設備在新的802.11a網絡中不能用。LOGO17無線局域網概述2 無線局域網標準 v IEEE802.11x標準標準（4）IEEE802.11g最早推出的是802.11b，它的傳輸速率為11Mbps，因為它的連

11、接速度比較低，隨后推出了802.11a標準，它的連接速度可達54Mbps。但由于兩者互不兼容，所以IEEE又正式推出了完全兼容802.11b且與802.11a速率上兼容的802.11g標準，這樣通過802.11g，原有的802.11b和802.11a兩種標準的設備就可以在同一網絡中使用。LOGO18無線局域網概述2 無線局域網標準 v HomeRF（家庭網絡）標準（家庭網絡）標準 HomeRF（RF意思是射頻）無線標準是由HomeRF工作組開發(fā)的，旨在家庭范圍內，使計算機與其他電子設備之間實現(xiàn)無線通信的開放性工業(yè)標準。2001年8月推出HomeRF 2.0版，集成了語音和數(shù)據(jù)傳送技術，工作頻段

12、在10GHz，數(shù)據(jù)傳輸速率達到10Mbps，在WLAN的安全性方面主要考慮訪問控制和加密技術。LOGO19無線局域網概述2 無線局域網標準 v 藍牙（藍牙（Bluetooth）標準）標準 對于802.11來說，藍牙(IEEE 802.15)技術的出現(xiàn)不是為了競爭而是相互補充。“藍牙”是一種先進的近距離無線數(shù)字通信的技術標準，其目標是實現(xiàn)最高數(shù)據(jù)傳輸速度1Mbps（有效傳輸速率為721kbps）、傳輸距離為10厘米10米，通過增加發(fā)射功率可達到100米。從目前的藍牙產品來看，藍牙主要應用在手機、筆記本計算機等數(shù)字終端設備之間的通信和以上設備與Internet的連接。藍牙系統(tǒng)也嵌入微波爐、洗衣機、

13、電冰箱、空調等傳統(tǒng)家用電器。LOGO20無線局域網概述3 無線局域網的拓撲結構 v 無中心拓撲結構無中心拓撲結構 該結構又稱對等模式，每臺計算機只需一塊無線網卡就能實現(xiàn)無線數(shù)據(jù)傳輸。要求網中任意兩點均可直接通信。采用這種結構的網絡一般使用公用廣播信道，而信道接入控制協(xié)議多采用CSMA類型的多址接入?yún)f(xié)議。這種結構的優(yōu)點是網絡抗毀性好、建網容易且費用較低。但當網中用戶數(shù)（站點數(shù)）過多時，信道競爭成為限制網絡性能的瓶頸。LOGO21無線局域網概述v 蜂窩系統(tǒng)中是以信道來區(qū)分通信對象的，一個信道只容納一個用戶進行通話，許多同時通話的用戶，互相以信道來區(qū)分，這就是多址。移動通信系統(tǒng)是一個多信道同時工作的

14、系統(tǒng)，具有廣播和大面積覆蓋的特點。在移動通信環(huán)境的電波覆蓋區(qū)內，如何建立用戶之間的無線信道的連接，是多址接入方式的問題。解決多址接入問題的方法叫多址接入技術。v 具體來說：從移動通信網的構成可以看出，大部分移動通信系統(tǒng)都有一個或幾個基站和若干個移動臺。基站要和許多移動臺同時通信，因而基站通常是多路的，有多個信道，而每個移動臺只供一個用戶使用，是單路的。許多用戶同時通話，以不同的信道分隔，防止相互干擾，各用戶信號通過某些特定的方式進行信道的復用，從而建立各自的信道，以實現(xiàn)雙邊通信的聯(lián)接稱多址聯(lián)接。多址聯(lián)接方式是移動通信網體制范疇，關系到系統(tǒng)容量、小區(qū)構成、頻譜和信道利用效率以及系統(tǒng)復雜性。v 蜂

15、窩是指移動網的組網形狀像蜂窩煤一樣，蜂窩通信系統(tǒng)經歷了第一代（1G），第二代（2G），并正向第三代（3G）發(fā)展，和第4代（4G）邁進。LOGO22無線局域網概述3 無線局域網的拓撲結構 v 有中心拓撲結構有中心拓撲結構 該結構又稱中心模式，以接入點AP為中心，所有的基站通信都要通過AP轉接，需要一個無線接入點，N塊無線網卡。該結構的優(yōu)點是當網絡業(yè)務量增大時網絡吞吐性能及網絡時延性能的惡化并不劇烈，網絡中地點布局受環(huán)境限制小。弱點是抗毀性差，中心站點的故障易導致整個網絡癱瘓，且中心站點的引入增加了網絡成本。在實際應用中，無線局域網往往與有線主干網結合起來使用。這時，中心站點充當無線局域網與有線主

16、干網的轉接器。LOGO23無線局域網的組建1 無線局域網的主要設備 v 無線網卡無線網卡 無線網卡安裝在計算機上，用于計算機之間或計算機與無線AP、路由器之間的無線連接。其作用和功能跟普通網卡一樣，是用來連接到局域網上的，差別在于前者的數(shù)據(jù)傳送是借助無線電波，而后者則是通過實際的網絡線。根據(jù)接口類型的不同，無線網卡主要分為3種類型，即PCMCIA無線網卡、PCI無線網卡和USB無線網卡。LOGO24無線局域網的組建1 無線局域網的主要設備 v 無線接入器無線接入器 無線接入器有3種基本類型：無線收發(fā)器、無線網橋和無線路由器。無線收發(fā)器又稱無線AP，其作用類似于集線器或交換機，是無線局域網的核心

17、。它是無線終端接入有線骨干網的接入點，典型覆蓋距離在幾十米至上百米。LOGO25無線局域網的組建1 無線局域網的主要設備 v 無線接入器無線接入器無線寬帶路由器=無線AP+寬帶路由器 （路由器+交換機+防火墻）：無線AP功能 無線網絡接入點 寬帶接入功能 接入Internet（LAN/ADSL）路由器功能 網絡互連功能（局域網網關）交換機功能 局域網組網 防火墻功能 安全措施（含過濾、ACL、NAT等）LOGO26無線局域網的組建1 無線局域網的主要設備 v 無線接入器無線接入器 無線網橋可以用于連接兩個或多個獨立的網段，這些網段通常位于不同的建筑內，相距幾百米到幾十公里，所以說它可以廣泛應用

18、在不同建筑物間的互聯(lián)。它通常是用于室外，使用無線網橋不可能只使用一個，必需兩個以上，而AP可以單獨使用。無線網橋功率大，傳輸距離遠（最大可達約50km），抗干擾能力強等，不自帶天線，一般配備拋物面天線實現(xiàn)長距離的點對點連接。LOGO27無線局域網的組建1 無線局域網的主要設備 v 無線天線無線天線 當計算機與無線AP或其他計算機相距較遠時，隨著信號的減弱，或者傳輸速率明顯下降，或者根本無法實現(xiàn)與AP或其他計算機間通訊，此時，就必須借助于無線天線對所接收或發(fā)送的信號進行增益。增益表示天線功率放大倍數(shù)，數(shù)值越大表示信號的放大倍數(shù)就越大，也就是說當增益數(shù)值越大，信號越強，傳輸質量就越好。增益的單位是

19、：dB。LOGO28無線局域網的組建2 無線局域網的組網模式 v Ad-Hoc模式，即點對點無線網絡模式，即點對點無線網絡 Ad-Hoc網絡是一種點對點的對等式移動網絡，不需要具有控制轉換功能的無線AP，所有的終端設備都能對等地相互通信，如右圖所示。在Ad-Hoc模式的局域網中，一個基站會自動設置為初始站，并對網絡進行初始化，使所有同域（SSID相同）的基站成為一個局域網。LOGO29無線局域網的組建2 無線局域網的組網模式 v Ad-Hoc模式，即點對點無線網絡模式，即點對點無線網絡 基站是固定的高功率多信道雙向無線電發(fā)送機。典型的被應用于低功率信道雙向無線通訊，如移動電話、無線路由器等。當

20、使用手機打電話時，信號就會同時由附近的一個基站發(fā)送和接收。通過基站，電話被接入到移動電話網的有線網絡中。中國移動的基站采用小區(qū)制，覆蓋范圍幾KM；而聯(lián)通采用大區(qū)制，可以覆蓋幾十KM，輻射的頻率大小和能量決定覆蓋范圍。SSID(Service Set Identifier)：服務集標識。SSID技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡，每一個子網絡都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網絡，從而防止未被授權的用戶進入。SSID用來區(qū)分不同的網絡，無線網卡設置了不同的SSID就可以進入不同網絡，SSID通常由AP廣播出來，通過XP自帶的掃描功能可以查看當前區(qū)

21、域內的SSID。出于安全考慮可以不廣播SSID，此時用戶就要手工設置SSID才能進入相應的網絡。簡單說，SSID就是一個局域網的名稱，只有設置為名稱相同SSID的值的電腦才能互相通信。LOGO30無線局域網的組建2 無線局域網的組網模式 v Infrastructure模式，即集中控制式網絡模式，即集中控制式網絡 集中控制式模式網絡，是一種整合有線與無線局域網架構的應用模式。在這種模式中，無線網卡與無線AP進行無線連接，再通過無線AP與有線網絡建立連接。Infrastructure模式網絡還可以分為3種模式：室內移室內移動辦公，室外點對點和室外點對多點。動辦公，室外點對點和室外點對多點。LOG

22、O31無線局域網的組建u 室內移動辦公室內移動辦公 這種方式以星型拓撲為基礎，以AP為中心，所有的基站通信都要通過AP接轉。由于AP有以太網接口，這樣，既能以AP為中心獨立建立一個無線局域網，也能以AP作為一個有線局域網的擴展部分，如圖所示。LOGO32無線局域網的組建u 室外點對點室外點對點 A網與B網分別為兩個有線局域網，在距離較遠無法布線的情況下，可通過兩臺無線網橋將兩個有線局域網連在一起，通過網橋上的RJ-45接口與有線的交換機相連。LOGO33無線局域網的組建u 室外點對多點室外點對多點 A是有線中心局域網，B、C、D分別是外圍的3個有線局域網。在無線設備上中心點需要全向天線，其它各

23、點采用定向天線，此方案適用于總部與多個分部的局域網連接，其傳輸速率為11Mbps，傳輸距離小于10km，工作頻率為2.4GHz。LOGO3411.3 無線局域網的配置1 配置無線AP 這里以TL-WR641G 108M無線路由器為例，首先介紹AP的配置，TL-WR641G默認設置IP為192.168.1.1（不同的AP其默認IP不同），用戶名和密碼均為admin，如果配置信息丟失，可以在啟動時按Reset恢復默認設置。無線AP的配置一般是通過一臺計算機，利用Web方式進行，具體操作是：LOGO35無線局域網的配置1 配置無線AP第第1步：給無線步：給無線AP通電通電 將無線AP自帶的交直流電源

24、線一端插入220V電源插座，另一端插入無線AP的電源接口，使其接通電源。第第2步：給計算機安裝網卡驅動程序步：給計算機安裝網卡驅動程序 將無線網卡插入計算機，系統(tǒng)自動提示發(fā)現(xiàn)新硬件，根據(jù)屏幕提示進行網卡驅動程序的安裝。安裝過程完成后，在計算機【設備管理器】里面可以看到網卡驅動正常安裝。如下頁圖所示。LOGO36無線局域網的配置LOGO37無線局域網的配置1 配置無線AP第第3步：計算機連接無線步：計算機連接無線AP 網卡驅動安裝完成，計算機屏幕右下方出現(xiàn)處于斷開狀態(tài)的“無線連接”圖標，單擊鼠標右鍵，出現(xiàn)如下左圖所示。單擊【查看可用的無線網絡（V）】，出現(xiàn)如下右圖所示，顯示查找到的無線AP。單擊

25、【連接】按鈕，計算機與選擇的無線AP建立連接，計算機屏幕右下的“無線連接”圖標變?yōu)橐堰B接狀態(tài)。LOGO38無線局域網的配置1 配置無線AP第第4步：配置無線步：配置無線AP 打開配置用計算機的瀏覽器（如IE），在地址欄內輸入：http:/192.168.1.1，單擊回車鍵，出現(xiàn)如下左圖所示。輸入用戶名和密碼（這里默認均為admin），單擊【確定】按鈕，顯示如下右圖所示瀏覽器的界面。該圖左邊列出了無線AP配置的項目，單擊【無線參數(shù)】選項，出現(xiàn)無線網絡基本配置對話框，如下頁圖所示。LOGO39無線局域網的配置v SSID：用于識別無線設備的服務集標志符?？刹捎媚J值TP-LINK，也可根據(jù)自己的喜

26、好更改。v 頻道：用于確定本網絡工作的頻率段，選擇范圍從111，默認是6。v 模式：用于設置AP的工作模式，一般不必做改動，默認就可以。v 開啟無線功能：使TL-WR641G的無線功能打開或關閉。v 允許SSID廣播：默認情況下AP都是向周圍空間廣播SSID通告自己的存在，這種情況下無線網卡都可以搜索到這個AP的存在。v 開啟安全設置：對無線網絡安全設置。在右圖對話框內配置完無線AP的基本參數(shù)后單擊【保存】。這時，會在WR641G周圍生成一個無線網絡，該網絡的SSID標識符是“TP-LINK”，工作信道是6，網絡沒有加密，可以提供給無線網卡來連接。LOGO40無線局域網的配置2 無線局域網的組

27、建實例：Ad-Hoc（點對點）模式無線局域網的組建（點對點）模式無線局域網的組建 一般的無線網卡在室內環(huán)境下傳輸距離通常為40m左右，當超過此有效傳輸距離就不能實現(xiàn)彼此之間的通信。因此，該種模式比較適合一些小規(guī)模甚至臨時性的無線局域網互連需求。這里以兩臺計算機為例，介紹組建Ad-Hoc無線局域網的具體過程（無線網卡以USB接口的TL-WN320G為例）。其中，要求兩臺計算機共享一條帶寬接入Internet。第第1步：步：把USB接口的無線網卡接到其中的一臺計算機上，機器提示找到新硬件，根據(jù)屏幕提示安裝無線網卡的驅動程序。第第2步：步：鼠標右擊桌面的“網上鄰居”圖標，選擇“屬性”選項，可以看到該

28、機除了原有的連接外網的圖標之外，還新增加了一個“無線網絡連接”圖標，這就是無線網卡對應的連接圖標。LOGO41無線局域網的配置2 無線局域網的組建實例：Ad-Hoc（點對點）模式無線局域網（點對點）模式無線局域網的組建的組建第第3步：步：設置無線網絡 無線網卡驅動程序安裝完成后，在屏幕右下角出現(xiàn)一個閃動的圖標。鼠標雙擊“無線網絡圖標”，出現(xiàn)右圖所示的無線網絡配置對話框。在網絡模式選項框內，選擇“對等（Ad-Hoc）”，在網絡名稱（SSID）選項框內，勾擇“自動掃描網絡名稱”。其他的設置采用默認設置，完成后單擊【連接】按鈕并關閉該對話框。LOGO42無線局域網的配置2 無線局域網的組建實例：Ad

29、-Hoc（點對點）（點對點）模式無線局域網的組建模式無線局域網的組建第第4步：步：設置第一臺計算機的IP地址 右擊桌面的“網上鄰居”圖標，選擇【屬性】，右擊“無線網絡連接”，選擇【屬性】，在出現(xiàn)的對話框中雙擊“Internet協(xié)議（TCP/IP）”，彈出屬性對話框，選擇“使用下面的IP地址”，并在“IP地址”文本框中輸入“192.168.0.1”，“子網掩碼”由系統(tǒng)自動生成（255.255.255.0），默認網關和其它選項均可不設，單擊【確定】按鈕。LOGO43無線局域網的配置2 無線局域網的組建實例：Ad-Hoc（點對點）模式無線局域網的組建（點對點）模式無線局域網的組建第第5步：步：設置第

30、二臺計算機 重復上述第1步第4步，對第二臺計算機完成無線網絡的配置。不同之處有兩點：在第3步設置無線網絡完成后，單擊【連接】按鈕時，由于已經存在一個設置好的無線對等網絡終端，所以，第二臺計算機通過自動搜索找到第一臺無線終端，二者并自動建立連接，構成對等網絡，狀態(tài)如下圖所示。在第4步設置第二臺計算機的IP地址時，需將該機的IP地址設置為192.168.0.2192.168.0.254之間的任何一個即可，完成后單擊【確定】按鈕。LOGO44無線局域網的配置2 無線局域網的組建實例：Ad-Hoc（點對點）模式無（點對點）模式無線局域網的組建線局域網的組建第第6步：步：對等網絡的資源共享 分別在兩臺計

31、算機上完成以下操作（以Windows XP系統(tǒng)為例）：鼠標右擊“我的電腦”，單擊【屬性】，在彈出的“系統(tǒng)屬性”窗口中單擊“計算機名”選項卡里的【更改】按鈕，在“工作組”里輸入任意工作組名稱，單擊【確定】按鈕。這樣，在兩臺計算機的“網上鄰居”中，就可以看到另一臺計算機。設置好共享文件，兩臺計算機就能夠共享資源了。LOGO45無線局域網的配置2 無線局域網的組建實例：Ad-Hoc（點對點）模式無線局域網的組建（點對點）模式無線局域網的組建第第7步：步：利用校園網共享連接接入Internet 其中，第一臺計算機要求安裝有兩塊網卡，有線網卡通過網線接入校園網，無線網卡與第二臺計算機組成無線對等網絡。在

32、第一臺計算機上做如下設置：右擊桌面的“網上鄰居”，選擇【屬性】，右擊“本地連接”，選擇【屬性】，再單擊“高級”選項卡，出現(xiàn)如下頁左圖所示對話框。在“Internet連接共享”內容框內，勾選“允許其他網絡用戶通過此計算機的Internet連接來連接”復選框，單擊【確定】按鈕，顯示如下頁右圖所示提示框，單擊【是】按鈕完成設置。在第二臺計算機的“無線網絡連接”屬性對話框中，選擇“Internet協(xié)議（TCP/IP）”，單擊【屬性】按鈕，出現(xiàn)屬性設置窗口，在“默認網關”文本框內輸入第一臺計算機的IP地址（即“192.168.0.1”），并在“首選DNS服務器”文本框中也輸入“192.168.0.1”，

33、單擊“確定”按鈕。完成設置。至此，Ad-Hoc結構的無線局域網就組建完成 。LOGO46無線局域網的配置LOGO47v無線局域網的安全問題無線局域網的安全問題v無線局域網安全技術無線局域網安全技術 LOGO48v 隨著移動電話、個人數(shù)字助理、筆記本計算機、掌上計算機等各種便攜式終端的迅速發(fā)展，可以隨時隨地進行通信的無線網絡日益受到重視，無線網絡為移動計算提供了支撐環(huán)境。相對于有線網絡，無線網絡為用戶提供便利性的同時，也為基于無線鏈路和智能移動終端蓄意破環(huán)、篡改、竊聽、假冒、泄露和非法訪問信息資源的各種惡意行為提供了方便。因此，無線網絡比有線網絡存在更多的安全隱患和威脅。v 此外，由于無線網絡本

34、身體系結構復雜、傳輸速率慢、信號易受干擾、安全隱患多、通信成本高等固有的局限性，目前有線網絡仍然是計算機網絡的主體，無線網絡只是有線網絡的補充，主要用于不便布線和要求移動計算的場合。LOGO49v存在的威脅 竊聽：任何人都可以用一臺帶無線網卡的PC機或者廉價的無線掃描器進行竊聽，但是發(fā)送者和預期的接收者無法知道傳輸是否被竊聽，且無法檢測竊聽。修改替換：在無線局域網中，較強節(jié)點可以屏蔽較弱節(jié)點，用自已的數(shù)據(jù)取代，甚至會代替其他節(jié)點作出反應。傳遞信任：當公司網絡包括一部分無線局域網時，就會為攻擊者提供一個不需要物理安裝的接口用于網絡入侵。因此，參與通信的雙方都應該能相互認證。LOGO50無線網絡面

35、臨的安全問題無線網絡面臨的安全問題基礎結構攻擊：基礎結構攻擊是基于系統(tǒng)中存在的漏洞如軟件bugs、錯誤配置、硬件故障等發(fā)起的攻擊。針對這種攻擊進行的保護幾乎是不可能的，所能做的就是盡可能地降低破壞所造成的損失。拒絕服務：無線局域網存在一種比較特殊的拒絕服務攻擊，攻擊者可以發(fā)送與無線局域網相同頻率的干擾信號來干擾網絡的正常運行，從而導致正常的用戶無法使用網絡。置信攻擊：通常情況下，攻擊者可以將自己偽造成基站。當攻擊者擁有一個很強的發(fā)送設備時，就可以讓移動設備嘗試登錄到他的網絡，通過分析竊取密鑰和口令，以便發(fā)動針對性的攻擊。LOGO51無線網絡面臨的安全問題無線網絡面臨的安全問題v 戰(zhàn)爭驅車探測

36、無線網絡攻擊步驟與有線網絡攻擊類似，第一步是發(fā)現(xiàn)目標無線網絡。多數(shù)機構都使用防火墻作為內部網絡的第一道安全防線，但內部網中私自與Internet連接的調制解調器給內部網安全留下了隱患，使用戰(zhàn)爭撥號器（war dialers）軟件隨機撥打電話號碼，能夠迅速發(fā)現(xiàn)接入Internet的調制解調器，人們將尋找隱藏調制解調器的方法稱為戰(zhàn)爭撥號（war dialing）技術，其中，戰(zhàn)爭撥號中的戰(zhàn)爭（war）一詞取自著名電影真假戰(zhàn)爭（war games）。由于探測WLAN的方法有些類似戰(zhàn)爭撥號技術，人們將攜帶移動設備驅車到處轉悠尋找WLAN的方法稱為戰(zhàn)爭驅車（war driving）技術。目前網絡上有Win

37、dows、Unix、Linux和Mac OS操作系統(tǒng)平臺下運行的多種無線局域網探測和定位軟件，其中最著名的WLAN探測和定位軟件是由Marius Milner開發(fā)的Netstumbler。無線網絡面臨的安全問題無線網絡面臨的安全問題LOGO53無線網絡面臨的安全問題無線網絡面臨的安全問題v 使用車載筆記本電腦，配合多種高靈敏度無線網卡，加上天線強化，實現(xiàn)探測、遠程破解及入侵無線接入點的黑客行為。LOGO54無線網絡面臨的安全問題無線網絡面臨的安全問題LOGO551.服務集標識符v SSID是相鄰的無線接入點（AP）區(qū)分的標志，無線接入用戶必須設定SSID才能和AP通信。通常SSID須事先設置于

38、所有使用者的無線網卡及AP中。嘗試連接到無線網絡的系統(tǒng)在被允許進入之前必須提供SSID，這是唯一標識網絡的字符串。SSID只是一個簡單的口令身份認證機制。v SSID對于網絡中所有用戶都是相同的字符串，其安全性差，人們可以輕易地從每個信息包的明文里竊取到它。v 2600黑客雜志網站收集了幾乎所有廠商的默認SSID和WEP密鑰。v 無線路由器一般都會提供允許SSID廣播功能。如果不想讓自己的無線網絡被別人通過SSID名稱搜索到，那么最好“禁止SSID廣播”。此時無線網絡仍然可以使用，只是不會出現(xiàn)在其他人所搜索到的可用網絡列表中。通過禁止SSID廣播設置后，無線網絡的效率會受到一定的影響，但可換取

39、安全性的提高。LOGO56LOGO572.物理地址過濾v 每個無線工作站的網卡都有唯一的物理地址，應用媒體訪問控制（MAC）技術，可在無線局域網的每一個AP設置一個許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點將拒絕其接入請求。媒體訪問控制屬于硬件認證，而不是用戶認證。媒體訪問控制只適合于小型網絡規(guī)模。這是因為：MAC地址在網上是明碼模式傳送，只要監(jiān)聽網絡便可從中截取或盜用該MAC地址，進而偽裝使用者潛入企業(yè)或組織內部偷取機密資料。部分無線網卡允許通過軟件來更改其MAC地址，因此可通過訪問控制的檢查從而獲取訪問受保護網絡的權限。LOGO583.有線對等保密v 有線等效保密（

40、WEP）是常見的資料加密措施，WEP安全技術源自于名為RC4的RSA數(shù)據(jù)加密技術，以滿足用戶更高層次的網絡安全需求。只有當無線客戶端的密鑰和服務設置標識SSID（service set identity）與接入點完全相同時，客戶端才能接入WLAN，從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。它包括多種不同的實現(xiàn)方式：無加密表示數(shù)據(jù)以明文方式傳輸，無加密不提供任何保密性。40位和104位等密鑰長度分別向用戶提供不同加密強度選擇。LOGO59LOGO60LOGO61v WEP目的是向無線局域網提供與有線網絡相同級別的安全保護，它用于保障無線通信信號的安全，即保密性和完整性。但WEP提供的密鑰機制存

41、在許多缺陷，表現(xiàn)在：密鑰是手工輸入與維護，更換密鑰費時和困難，密鑰通常長時間使用而很少更換，若一個用戶丟失密鑰，則將危及到整個網絡。WEP標準支持每個信息包的加密功能，但不支持對每個信息包的驗證。v 針對WEP的不足之處，對WEP加以擴展，提出了動態(tài)安全鏈路技術（DSL）。DSL采用了128 位動態(tài)分配的密鑰，每一個會話都自動生成一把密鑰，并且在同一個會話期間，對于每256個數(shù)據(jù)包，密鑰將自動改變一次。LOGO624.Wi-Fi保護接入v Wi-Fi保護性接入（WPA）是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號的編號，分

42、別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認證功能。v WPA標準在保持Wi-Fi認證產品硬件可用性的基礎上，解決802.11在數(shù)據(jù)加密、接入認證和密鑰管理等方面存在的缺陷。LOGO802.11i 臨時密鑰完整性協(xié)議TKIP63LOGO802.11i 消息認證碼協(xié)議CCMP64LOGO655.國家標準WAPIv WAPI(（Wireless LAN Authentication and Privacy Infrastructure）無線局域網鑒別和

43、保密基礎結構，是一種安全協(xié)議，同時也是中國無線局域網安全強制性標準。國家標準WAPI，即無線局域網鑒別與保密基礎結構，它是針對IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網國家標準GB15629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法，分別用于WLAN設備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。v WAPI的主要特點是采用基于公鑰密碼體系的證書機制，真正實現(xiàn)了移動終端（MT）與無線接入點（AP）間雙向鑒別。另外，它充分考慮了市場應用，

44、從應用模式上可分為單點式和集中式。采用WAPI可以扭轉目前WLAN多種安全機制并存且互不兼容的現(xiàn)狀，從而解決安全和兼容性問題。LOGOWAPI 的優(yōu)越性與其他無線局域網安全機制（如802.11i）相比，WAPI 的優(yōu)越性集中體現(xiàn)在以下幾個方面：v 雙向身份鑒別在WAPI安全體制下，無線客戶端和WLAN設備二者處于對等地位，二者身份的相互鑒別在公信的鑒別服務器控制下實現(xiàn)。雙向鑒別機制既可防止假冒的無線客戶端接入WLAN網絡，同時也可杜絕假冒的WLAN設備偽裝成合法的設備。而在其它安全體制下，只能實現(xiàn)WLAN設備對無線客戶端的單向鑒別，缺乏有效的WLAN設備身份鑒別手段。v 數(shù)字證書身份憑證WAP

45、I 強制使用數(shù)字證書作為無線客戶端和WLAN設備的身份憑證，既方便了安全管理，又提升了安全性。對于無線客戶端申請或取消入網，管理員只需要頒發(fā)新的證書或取消當前證書。這些操作均可以在證書服務器上完成，管理非常方便。其它安全機制沒有強制要求用戶使用數(shù)字證書，當使用用戶名和口令作為用戶的身份憑證時，由于用戶身份憑證簡單，易被盜取和仿冒。v 完善的鑒別協(xié)議在WAPI 中使用數(shù)字證書作為用戶身份憑證，在鑒別過程中采用橢圓曲線簽名算法，并使用安全的消息雜湊算法保障消息的完整性，攻擊者難以對進行鑒別的信息進行修改和偽造，所以安全等級度高。在其它安全體制中，鑒別協(xié)議本身存在一定缺陷，鑒別成功信息的完整性校驗不

46、夠安全，鑒別消息易被篡改或偽造。66LOGO加密封裝67v WPI封裝過程封裝過程 數(shù)據(jù)發(fā)送時，WPI的封裝過程為：v 1.利用加密密鑰和數(shù)據(jù)分組序號PN，通過工作在OFB模式的加密算法對MSDU(包括SNAP)數(shù)據(jù)進行加密，得到MSDU密文；v 2.利用完整性校驗密鑰與數(shù)據(jù)分組序號PN，通過工作在CBC-MAC模式的校驗算法對完整性校驗數(shù)據(jù)進行計算，得到完整性校驗碼MIC；v 3.封裝后再組幀發(fā)送。v WPI解封裝過程：解封裝過程：數(shù)據(jù)接收時，WPI的解封裝過程為：v 1.判斷數(shù)據(jù)分組序號PN是否有效，若無效，則丟棄該數(shù)據(jù)；v 2.利用完整性校驗密鑰與數(shù)據(jù)分組序號PN，通過工作在CBC-MA

47、C模式的校驗算法對完整性校驗數(shù)據(jù)進行本地計算，若計算得到的值與分組中的完整性校驗碼MIC不同，則丟棄該數(shù)據(jù)；v 3.利用解密密鑰與數(shù)據(jù)分組序號PN，通過工作在OFB模式的解密算法對分組中的MSDU密文進行解密，恢復出MSDU明文；v 4.去封裝后將MSDU明文遞交至上層處理。LOGOv這里簡要描述WAPI協(xié)議的整個鑒別及密鑰協(xié)商過程。圖1中AP為提供無線接入服務的WLAN設備，鑒別服務器主要幫助無線客戶端和無線設備進行雙向身份認證，而AAA服務器主要提供計費服務。68LOGO(1)無線客戶端首先和WLAN設備進行802.11鏈路協(xié)商該過程遵循802.11標準中定義的協(xié)商過程。無線客戶端主動發(fā)送

48、探測請求消息或偵聽WLAN設備發(fā)送的Beacon幀，藉此查找可用的網絡，支持WAPI安全機制的AP將會回應或發(fā)送攜帶有WAPI信息的探測應答消息或Beacon幀。在搜索到可用網絡后，無線客戶端繼續(xù)發(fā)起鏈路認證交互和關聯(lián)交互。(2)WLAN設備觸發(fā)對無線客戶端的鑒別處理無線客戶端成功關聯(lián)到WLAN設備后，設備在判定該用戶為WAPI用戶時，則會向無線客戶端發(fā)送鑒別激活觸發(fā)消息，觸發(fā)無線客戶端發(fā)起WAPI鑒別交互過程。(3)鑒別服務器進行證書鑒別無線客戶端在發(fā)起接入鑒別后，WLAN設備會向遠端的鑒別服務器發(fā)起證書鑒別，鑒別請求消息中同時包含有無線客戶端和WLAN設備的證書信息。鑒別服務器對二者身份進

49、行鑒別，并將驗證結果發(fā)給WLAN設備。WLAN設備和無線客戶端任何一方如果發(fā)現(xiàn)對方身份非法，將主動中止無線連接。(4)無線客戶端和WLAN設備進行密鑰協(xié)商WLAN設備經鑒別服務器認證成功后，設備會發(fā)起與無線客戶端的密鑰協(xié)商交互過程，先協(xié)商出用于加密單播報文的單播密鑰，然后再協(xié)商出用于加密組播報文的組播密鑰。69LOGO完整的WAPI鑒別協(xié)議交互過程70LOGO基于痩基于痩AP方案實施無線安全方案實施無線安全71LOGO726.端口訪問控制技術v 端口訪問控制技術(802.1x)是由IEEE定義的，用于以太網和無線局域網中的端口訪問與控制。該協(xié)議定義了認證和授權，可以用于局域網，也可以用于城域網

50、。802.1x引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。EAP采用更多的認證機制，如MD5、一次性口令等等，從而提供更高級別的安全。v 802.1x認證層次包括兩方面：客戶端到認證端，認證端到認證服務器。802.1x定義客戶端到認證端采用EAP over LAN 協(xié)議，認證端到認證服務器采用EAP over RADIUS協(xié)議。LOGO73v 802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問站點要內嵌802.1x認證代理，同時它還作為Radius客戶端，將用戶的認證信息轉發(fā)給Radius服務器。當無線工作站STA與無線訪問點AP關聯(lián)后，是否可以使用AP的服務要取決于802.1x的認

51、證結果。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統(tǒng)及計費，特別適合于公共無線接入解決方案。v 但是802.1x采用的用戶認證信息僅僅是用戶名與口令，在存儲、使用和認證信息傳遞中可能泄漏、丟失，存在很大安全隱患。加上無線接入點AP與RADIUS服務器之間用于認證的共享密鑰是靜態(tài)的，且是手工管理，也存在一定的安全隱患。LOGO747.虛擬專用網絡v VPN，通過隧道和加密技術保證專用數(shù)據(jù)的網絡安全性。無線LAN也可以采用該安全框架，即安裝兩道防火墻：一個作為進入內部網的網關，另一個處于無線LAN和內部網之間，無線防火墻只允許VPN通信，如下頁圖所示。v 無線用戶可以向無線基礎

52、設施認證自己。實際上，把無線網絡和有線網絡隔離，只允許VPN通信經過，是利用了緩沖區(qū)的辦法來增強網絡安全性。此外，基于IPsec的VPN技術采用的IP層加密協(xié)議，可以防止通信被竊聽。LOGO75LOGO76LOGO77v 圖圖8.228.22無線虛擬專用網安全框架無線虛擬專用網安全框架LOGO78v VPN技術應用于無線網絡有其局限性，具體表現(xiàn)在：運行脆弱。因突發(fā)干擾或AP間越區(qū)切換等因素導致的無線鏈路質量波動或短時中斷是很常見的。吞吐量小。在一個VPN網絡里進行的任何交換必須經過一個VPN服務器，一臺典型的VPN服務器能夠達到30-50Mbps的數(shù)據(jù)吞吐量。擴展性差。改變一個VPN網絡的拓撲結構或內容，用戶將不得不重新規(guī)劃并進行網絡配置。LOGO