第8章 无线网络安全,学习目标,领会无线局域网安全的基本技术； 掌握锐捷无线交换机的基本配置； 掌握无线网络WEP、MAC802.1X和WEB认证的配置； 掌握无线路由器禁用广播和DHCP的配置； 掌握无线路由器MAC地址和IP地址过滤的配置。,学习内容,8.1 无线局域网安全技术 8.2 实训8-1：锐捷无线交换机的基本配置 8.3 锐捷无线交换机的安全配置 8.4 无线路由器的安全配置,8.1 无线局域网安全技术,8.1 无线局域网安全技术,无线局域网的安全需要做好以下四方面的工作。 1强化无线节点的管理密码 2禁止使用点对点工作模式 3拒绝广播无线网络标识符 4采用加密法保护无线信号,8.1 无线局域网安全技术,WLAN的安全技术 (1)物理地址(MAC)过滤 (2)服务区标识符(SSID)匹配 (3)有线对等保密(WEP) (4)端口访问控制技术(IEEE802.1x) (5)WPA(Wi-Fi接入保护) (6)IEEE 802.11i标准 (7)WAPI,8.1 无线局域网安全技术,WLAN安全策略的应用,8.1 无线局域网安全技术,WLAN的安全威胁根源 由于无线局域网信道开放的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线局域网发展的最重要因素。虽然对无线局域网的需求不断增长，但同时也让许多潜在的用户因为不能够得到可靠的安全保护而对最终是否采用无线局域网系统而犹豫不决。,8.1 无线局域网安全技术,WLAN安全威胁种类 未经授权的接入 指的是在开放式的WLAN系统中，非指定用户也可以接入AP，导致合法用户可用的带宽减少，并对合法用户的安全产生威胁。 MAC地址欺骗 对于使用了MAC地址过滤的AP,也可以通过抓取无线包，来获取合法用户的MAC地址，从而通过AP的验证，来非法获取资源。 无线窃听 对于WLAN来说，所有的数据都是可以监听到的，无线窃听不仅可以窃听到AP和STA的MAC，而且可以在网络间伪装一个AP，来获取STA的身份验证信息。 企业级入侵 相比传统的有线网络，WLAN更容易成为入侵内网的入口。大多数企业的防火墙都在WLAN系统前方，如果黑客成功的攻破了WLAN系统，则基本认为成功地进入了企业的内网，而有线网络黑客往往找不到合适的接入点，只有从外网进行入侵。,8.1 无线局域网安全技术,WLAN安全的技术标准 机密性 这是安全系统的最基本要求，它可以为数据、语音、地址等提供保密性能，不同的用户，不同的业务和数据，有不同的安全级别要求。 合法性 只有被确定合法并给予授权的用户才能得到相应的服务。这需要用户身份和身份验证。 数据完整性 协议应保证用户数据的完整并鉴定数据来源。,8.1 无线局域网安全技术,WLAN安全的技术标准 不可否认性 数据的发送方不能否认它发送过的信息，否则认为不合法； 访问控制： 应在接入端对STA的IP、MAC等进行维护，控制其接入。 可用性 WLAN应该具有一些对用户接入、流量控制等一系列措施，使所有合法接入者得到较好的用户体验。 健壮性 一个WLAN系统应该不容易崩溃,具有较好的容错性及恢复机制 。,8.2 实训8-1：锐捷无线交换机的基本配置,8.3 锐捷无线交换机的安全配置,8.3 锐捷无线交换机的安全配置,实训8-2：无线网络的WEP认证 实训8-3：无线网络的mac认证 实训8-4：无线网络的802.1x认证 实训8-5：无线网络的web认证,8.4 无线路由器的安全配置,8.4 无线路由器的安全配置,实训8-6：无线路由器的网络连接 实训8-7：设置网络密钥 实训8-8：禁用SSID广播 实训8-9：禁用DHCP 实训8-10：启用MAC地址、IP地址过滤,Thank You !,