第10章無線網(wǎng)安全與防范

本章內(nèi)容無線網(wǎng)絡(luò)安全概述10.1無線局域網(wǎng)的標準

10.2無線局域網(wǎng)安全協(xié)議

10.3無線網(wǎng)絡(luò)主要信息安全技術(shù)

10.4無線網(wǎng)絡(luò)設(shè)備

10.5引導(dǎo)案例：

為方便上網(wǎng)，半年前張女士在家中安置了一個無線路由器，最近她卻發(fā)覺網(wǎng)絡(luò)速度突然變得很慢。她相當疑惑，因為無線路由器明明設(shè)置過密碼，按理說不可能被人竊用網(wǎng)絡(luò)。后來經(jīng)朋友檢查發(fā)現(xiàn)，張女士電腦的‘網(wǎng)上鄰居’里多出一個陌生的電腦用戶!網(wǎng)絡(luò)被盜用已成不爭的事實。朋友告訴她，她的無線網(wǎng)絡(luò)已被一種叫“蹭網(wǎng)卡”的裝置盯上了，因為多了一臺電腦享用她的網(wǎng)絡(luò)資源，所以網(wǎng)絡(luò)速度明顯變慢。那么如何保障自己的無線網(wǎng)絡(luò)安全使用呢？本章將為大家解決這樣的技術(shù)難題。

無線網(wǎng)絡(luò)的安全缺陷與解決方案10.1無線局域網(wǎng)安全的最大問題在于無線通信設(shè)備是在自由空間中進行傳輸，而不是像有線網(wǎng)絡(luò)那樣是在一定的物理線纜上進行傳輸，因此無法通過對傳輸媒介的接入控制來保證數(shù)據(jù)不會被未經(jīng)授權(quán)的用戶獲取。所以，WLAN就面臨一系列的安全問題，而這些問題在有線網(wǎng)絡(luò)中并不存在。無線網(wǎng)絡(luò)存在的安全風(fēng)險和安全問題主要包括：（1）來自網(wǎng)絡(luò)用戶的進攻。（2）來自未認證的用戶獲得存取權(quán)。（3）來自公司的竊聽泄密等。針對以上威脅問題，從最初利用ESSID/SSID（ServiceSetIdentifier，也就是“服務(wù)區(qū)標識符匹配）、MAC（MediaAccessControl，介質(zhì)訪問控制）限制，防止非法無線設(shè)備入侵的訪問控制，到基于WEP（WiredEquivalentPrivacy）數(shù)據(jù)加密的解決方案，再到即將成為新標準的802.11i，以及從2003年12月1日起我國開始施行的WLAN產(chǎn)品的新標準WAPI（無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)），無線網(wǎng)絡(luò)安全技術(shù)在很大的程度上已經(jīng)得到了改善，即使這樣，但要真正構(gòu)建端到端的安全無線網(wǎng)絡(luò)還任重道遠。

無線網(wǎng)絡(luò)安全概述

10.110.2無線局域網(wǎng)的標準在眾多的無線局域網(wǎng)標準中，人們知道最多的是IEEE（美國電子電氣工程師協(xié)會）802.11系列，此外制定WLAN標準的組織還有ETSI（歐洲電信標準化組織）和HomeRF工作組，ETSI提出的標準有HiperLan和HiperLan2，HomeRF工作組的兩個標準是HomeRF和HomeRF2。在這三家組織所制定的標準中，IEEE的802.11標準系列由于它的以太網(wǎng)標準802.3在業(yè)界的影響力使得在業(yè)界一直得到最廣泛的支持，尤其在數(shù)據(jù)業(yè)務(wù)上。ETSI是一個歐洲組織，因此一直得到歐洲政府的支持，很多運營商也都很尊重它的GSM和UMTS蜂窩電話標準，它在制定WLAN標準的時候更加關(guān)注語音業(yè)務(wù)。HomeRF作為一種為家庭網(wǎng)絡(luò)專門設(shè)計的標準在業(yè)界也有一定的影響力。

價格便宜的筆記本電腦、移動電話和手持式設(shè)備的日趨流行，以及Internet應(yīng)用程序和電子商務(wù)的快速發(fā)展，使用戶需要隨時進行網(wǎng)絡(luò)連接。為滿足這些需求，可以使用兩種方法將便攜式設(shè)備連接到網(wǎng)絡(luò)，而沒有電纜所帶來的不便。這兩種標準就是IEEE802.11b和Bluetooth。IEEE802.11b是一種11Mb/s無線標準，可為筆記本電腦或桌面電腦用戶提供完全的網(wǎng)絡(luò)服務(wù)

10.2.1IEEE的802.11標準系列由于802.11在速率和傳輸距離上都不能滿足人們的需要，因此，IEEE小組又相繼推出了802.11b和802.11a兩個新標準。3者之間技術(shù)上的主要差別在于MAC子層和物理層。802.11b物理層支持5.5Mpbs和11Mpbs兩個新速率。802.11標準在擴頻時是一個11位調(diào)制芯片，而802.11b標準采用一種新的調(diào)制技術(shù)CCK完成。802.11b使用動態(tài)速率漂移，可因環(huán)境變化，在11Mbps、5.5Mbps、2Mbps、1Mbps之間切換，且在2Mbps、1Mbps速率時與802.11兼容。802.11b的產(chǎn)品普及率最高，在眾多的標準中處于先導(dǎo)地位。見教材P254802.11g協(xié)議于2003年6月正式推出，它是在802.11b協(xié)議的基礎(chǔ)上改進的協(xié)議，支持2.4GHz工作頻率以及DSSS技術(shù)，并結(jié)合了802.11a協(xié)議高速的特點以及OFDM技術(shù)。這樣802.11g協(xié)議即可以實現(xiàn)11Mbps傳輸速率，保持對802.11b的兼容，又可以實現(xiàn)54Mbps高傳輸速率。隨著人們對無線局域網(wǎng)數(shù)據(jù)傳輸?shù)囊螅?02.11g協(xié)議也已經(jīng)慢慢普及到無線局域網(wǎng)中，和802.11b協(xié)議的產(chǎn)品一起占據(jù)了無線局域網(wǎng)市場的大部分。而且，部分加強型的802.11g產(chǎn)品已經(jīng)步入無線百兆時代。

歐洲電信標準化協(xié)會（ETSI）(EuropeanTelecommunicationsStandardsInstitute)

HiperLan是歐盟在1992年提出的一個WLAN標準，HiperLan2是它的后續(xù)版本，HiperLan2部分建立在GSM（GlobalSystemforMobileCommunications，全球移動通訊系統(tǒng)）基礎(chǔ)上，使用頻段為5GHz。在物理層上HiperLan2和802.11a幾乎完全相同。它采用OFDM技術(shù)，最大數(shù)據(jù)速率為54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太網(wǎng)基礎(chǔ)上的，而是采用的TDMA結(jié)構(gòu)，形成是一個面向連接的網(wǎng)絡(luò)，HiperLan2的面向連接的特性使它很容易滿足QoS（QualityofService，服務(wù)質(zhì)量）要求，可以為每個連接分配一個指定的QoS，確定這個連接在帶寬、延遲、擁塞、比特錯誤率等方面的要求。這種QoS支持與高傳輸速率一起保證了不同的數(shù)據(jù)序列（如視頻、話音和數(shù)據(jù)等）可以同時進行高速傳輸。10.2.2ETSI的HiperLan210.2.3HomeRF

HomeRF是IEEE802.11與DECT（DigitalEnhancedCordlessTelecommunications數(shù)字增強無繩通信）的結(jié)合，使用這種技術(shù)能降低語音數(shù)據(jù)成本。與前幾種技術(shù)一樣，使用開放的2.4GHz頻段。采用跳頻擴頻（FHSS）技術(shù)，跳頻速率為50跳/秒,共有75個帶寬為1MHz的跳頻信道。

HomeRF把共享無線接入?yún)f(xié)議（SWAP）作為未來家庭聯(lián)網(wǎng)的技術(shù)指標，基于該協(xié)議的網(wǎng)絡(luò)是對等網(wǎng)，因此該協(xié)議主要針對家庭無線局域網(wǎng)。其數(shù)據(jù)通信采用簡化的IEEE802.11協(xié)議標準，沿用類似與以太網(wǎng)技術(shù)中的沖突檢測的載波監(jiān)聽多址技術(shù)（CSMA/CD）CSMA/CA。語音通信采用DECT（DigitalEnhancedCordlessTelephony）標準，使用TDMA時分多址技術(shù)。

10.3.1WEP協(xié)議IEEE802.11標準中的WEP（WiredEquivalentPrivacy）協(xié)議是IEEE802.11b協(xié)議中最基本的無線安全加密措施，其主要用途包括提供接入控制，防止未授權(quán)用戶訪問網(wǎng)絡(luò)；對數(shù)據(jù)進行加密，防止數(shù)據(jù)被攻擊者竊聽；防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造。此外，WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，如果正確無誤，才能獲準存取網(wǎng)絡(luò)的資源。AboveCable所有型號的AP都支持64位或（與）128位的靜態(tài)WEP加密，有效地防止數(shù)據(jù)被竊聽盜用。10.3無線局域網(wǎng)安全協(xié)議

10.3.2IEEE802.11i安全全標準IEEE802.11的i工作組致力力于制訂被被稱為IEEE802.11i的新一代安安全標準，，這種安全全標準為了了增強WLAN的數(shù)據(jù)加密密和認證性性能，定義義了RSN（RobustSecurityNetwork）的概念，，并且針對對WEP加密機制的的各種缺陷陷做了多方方面的改進進。IEEE802.11i規(guī)定使用802.1x認證和密鑰鑰管理方式式，在數(shù)據(jù)據(jù)加密方面面，定義了了TKIP（TemporalKeyIntegrityProtocol）、CCMP（Counter－Mode／CBC－MACProtocol）和WRAP（WirelessRobustAuthenticatedProtocol）三種加密密機制。其其中TKIP采用WEP機制里的RC4作為核心加加密算法，，可以通過過在現(xiàn)有的的設(shè)備上升升級固件和和驅(qū)動程序序的方法達達到提高WLAN安全的目的的。CCMP機制基于AES（AdvancedEncryptionStandard）加密算法法和CCM（Counter－Mode／CBC－MAC）認證方式式，使得WLAN的安全程度度大大提高高，是實現(xiàn)現(xiàn)RSN的強制性要要求。由于于AES對硬件要求求比較高，，因此CCMP無法通過在在現(xiàn)有設(shè)備備的基礎(chǔ)上上進行升級級實現(xiàn)。我國早在2003年5月份就提出出了無線局局域網(wǎng)國家家標準GB15629.11，這是目前前我國在這這一領(lǐng)域惟惟一獲得批批準的協(xié)議議。標準中中包含了全全新的WAPI（WLANAuthenticationandPrivacyInfrastructure）安全機制制，這種安安全機制由由WAI（WLANAuthenticationInfrastructure）和WPI（WLANPrivacyInfrastruc－ture）兩部分組組成，WAI和WPI分別實現(xiàn)對對用戶身份份的鑒別和和對傳輸?shù)牡臄?shù)據(jù)加密密。WAPI能為用戶的的WLAN系統(tǒng)提供全全面的安全全保護。WAPI安全機制包包括兩個組組成部分。。具體見教材材P257。10.3.3WAPI協(xié)議10.4.1擴頻技術(shù)擴頻技術(shù)是是軍方為了了通訊安全全而首先提提出的。它它從一開始始就被設(shè)計計成為駐留留在噪聲中中，一直干干擾和越權(quán)權(quán)接收的。。擴頻傳輸輸是將非常常低的能量量在一系列列的頻率范范圍中發(fā)送送，明顯地地區(qū)別于窄窄帶的無線線電技術(shù)的的集中所有有能量在一一個信號頻頻率中的方方式進行傳傳輸。通常常有幾種方方法來實現(xiàn)現(xiàn)擴頻傳輸輸，最常用用的是直序序擴頻和跳跳頻擴頻。。一些無線局局域網(wǎng)產(chǎn)品品在ISM波段的2.4～2.4835GHz范圍內(nèi)傳輸輸信號，在在這個范圍圍內(nèi)可以得得到79個隔離的不不同通道，，無線信號號被發(fā)送到到成為隨機機序列排列列的每一個個通道上（（例如通道道1、32、67、42……）。無線電電波每秒鐘鐘變換頻率率許多次，，將無線信信號按順序序發(fā)送到每每一個通道道上，并在在每一通道道上停留固固定的時間間，在轉(zhuǎn)換換前要覆蓋蓋所有通道道。如果不不知道在每每一通道上上停留的時時間和跳頻頻圖案，系系統(tǒng)外的站站點要接收收和譯碼數(shù)數(shù)據(jù)幾乎是是不可能的的。使用不不同的跳頻頻圖案、駐駐留時間和和通道數(shù)量量可以使相相鄰的不相相交的幾個個無線網(wǎng)絡(luò)絡(luò)之間沒有有相互干擾擾，也不用用擔(dān)心網(wǎng)絡(luò)絡(luò)上的數(shù)據(jù)據(jù)被其他用用戶截獲。。10.4無線網(wǎng)絡(luò)主主要信息安安全技術(shù)即在無線網(wǎng)網(wǎng)的站點上上使用口令令控制，當當然未必局局限于無線線網(wǎng)。當前前一些主要要的網(wǎng)絡(luò)操操作系統(tǒng)和和服務(wù)器均均提供了包包括口令管管理在內(nèi)的的內(nèi)建多級級安全服務(wù)務(wù)。口令應(yīng)應(yīng)處于嚴格格的控制之之下并經(jīng)常常予以變更更。由于WLAN的用戶包括括移動用戶戶，而移動動用戶傾向向于把他們們的筆記本本電腦移來來移去，因因此，嚴格格的口令策策略等于增增加了一個個安全級別別，它有助助于確認網(wǎng)網(wǎng)站是否正正被合法的的用戶使用用。建議在無線線網(wǎng)絡(luò)的適適配器端使使用網(wǎng)絡(luò)密密碼控制。。這與NovellNetWare和MicrosoftWindowsNT提供的密碼碼管理功能能類似。由由于無線網(wǎng)網(wǎng)絡(luò)支持使使用筆記本本或其他移移動設(shè)備的的漫游用戶戶，所以精精確的密碼碼策略是增增加一個安安全級別，，這可以確確保工作站站只被授權(quán)權(quán)人使用。。10.4.2用戶認證和和口令控制制1.WEP（WiredEquivalentPrivacy）加密配置置WEP加密配置是是確保經(jīng)過過授權(quán)的WLAN用戶不被竊竊聽的驗證證算法，是是IEEE協(xié)會為了解解決無線網(wǎng)網(wǎng)絡(luò)的安全全性而在802.11中提出的解解決辦法。。10.4.3數(shù)據(jù)加密2.無線網(wǎng)絡(luò)加加密技術(shù)之之WPA-PSK(TKIP)無線網(wǎng)絡(luò)最初初采用的安全全機制是WEP(有線等效私密密)，但是后來發(fā)發(fā)現(xiàn)WEP是很不安全的的，802.11組織開始著手手制定新的安安全標準，也也就是后來的的802.11i協(xié)議。但是標標準的制定到到最后的發(fā)布布需要較長的的時間，而且且考慮到消費費者不會因為為為了網(wǎng)絡(luò)的的安全性而放放棄原來的無無線設(shè)備，因因此Wi-Fi聯(lián)盟在標準推推出之前，在在802.11i草案的基礎(chǔ)上上，制定了一一種稱為WPA(Wi-FiProctedAccess)的安全機制，，它使用TKIP(TemporalKeyIntegrityProtocol:臨時密鑰完整整性協(xié)議)，它使用的加加密算法還是是WEP中使用的加密密算法RC4，所以不需要要修改原來無無線設(shè)備的硬硬件，WPA針對WEP中存在的問題題：IV(初始化向量)過短、密鑰管管理過于簡單單、對消息完完整性沒有有有效的保護，，通過軟件升升級的方法提提高網(wǎng)絡(luò)的安安全性。3.無線網(wǎng)絡(luò)加密密技術(shù)之WPA2-PSK(AES)在802.11i頒布之后，Wi-Fi聯(lián)盟推出了WPA2，它支持AES(高級加密算法法)，因此它需要要新的硬件支支持，它使用用CCMP(計數(shù)器模式密密碼塊鏈消息息完整碼協(xié)議議)。在WPA/WPA2中，PTK的生成依賴PMK，而PMK獲的有兩種方方式，一個是是PSK的形式就是預(yù)預(yù)共享密鑰，，在這種方式式中PMK=PSK，而另一種方方式中，需要要認證服務(wù)器器和站點進行行協(xié)商來產(chǎn)生生PMK。IEEE802.11所制定的是技技術(shù)性標準,Wi-Fi聯(lián)盟所制定的的是商業(yè)化標標準,而Wi-Fi所制定的商業(yè)業(yè)化標準基本本上也都符合合IEEE所制定的技術(shù)術(shù)性標準。WPA(Wi-FiProtectedAccess)事實上就是由由Wi-Fi聯(lián)盟所制定的的安全性標準準,這個商業(yè)化標標準存在的目目的就是為了了要支持IEEE802.11i這個以技術(shù)為為導(dǎo)向的安全全性標準。而而WPA2其實就是WPA的第二個版本本。WPA之所以會出現(xiàn)現(xiàn)兩個版本的的原因就在于于Wi-Fi聯(lián)盟的商業(yè)化化運作。10.5無線線網(wǎng)絡(luò)設(shè)備10.5.1無線網(wǎng)卡目前，常見的的無線網(wǎng)卡大大多為PCMCIA、PCI和USB三種類型。無線網(wǎng)卡是終終端無線網(wǎng)絡(luò)絡(luò)的設(shè)備，是是無線局域網(wǎng)網(wǎng)的無線覆蓋蓋下通過無線線連接網(wǎng)絡(luò)進進行上網(wǎng)使用用的無線終端端設(shè)備。具體體來說無線網(wǎng)網(wǎng)卡就是使你你的電腦可以以利用無線來來上網(wǎng)的一個個裝置，但是是有了無線網(wǎng)網(wǎng)卡也還需要要一個可以連連接的無線網(wǎng)網(wǎng)絡(luò)，如果你你在家里或者者所在地有無無線路由器或或者無線AP的覆蓋，就可可以通過無線線網(wǎng)卡以無線線的方式連接接無線網(wǎng)絡(luò)可可上網(wǎng)。1.無線網(wǎng)卡標準準上區(qū)分無線網(wǎng)卡按無無線標準可定定為IEEE802.11b、IEEE802.11a、IEEE802.11g。在頻頻段段上上來來說說802.11a標準準為為5.8GHz頻段段，，802.11b、802.11g標準準為為2.4GHz頻段段。。從從傳傳輸輸速速率率上上來來說說802.11b使用用了了DSSS（直直接接序序列列擴擴頻頻））或或CCK（補補碼碼鍵鍵控控調(diào)調(diào)制制）），，傳傳輸輸速速率率為為11Mbps，而而802.11g和802.11a使用用相相同同的的OFDM（正正交交頻頻分分復(fù)復(fù)用用調(diào)調(diào)制制））技技術(shù)術(shù)，，使使其其傳傳輸輸速速率率是是b的5倍，，也也就就是是54Mbps。兼容容上上來來說說802.11a不兼兼容容802.11b，但但是是可可以以兼兼容容802.11g，而而802.11g和802.11b兩種種標標準準可可以以相相互互兼兼容容使使用用，，但但在在使使用用時時仍仍需需注注意意，，802.11g的設(shè)設(shè)備備在在802.11b的網(wǎng)網(wǎng)絡(luò)絡(luò)環(huán)環(huán)境境下下使使用用只只能能使使用用802.11b標準準，，其其數(shù)數(shù)據(jù)據(jù)數(shù)數(shù)率率只只能能達達到到11Mbps。2.無線線網(wǎng)網(wǎng)卡卡接接口口上上區(qū)區(qū)分分圖10-2PCI接口口無無線線網(wǎng)網(wǎng)卡卡圖圖10-3PCMICA接口口網(wǎng)網(wǎng)卡卡圖10-4USB無線線網(wǎng)卡卡圖10-5MINI-PCI無線線網(wǎng)網(wǎng)卡卡3.無線線網(wǎng)網(wǎng)卡卡網(wǎng)網(wǎng)絡(luò)絡(luò)制制式式上上區(qū)區(qū)分分無線線上上網(wǎng)網(wǎng)卡卡它它是是目目前前無無線線廣廣域域通通信信網(wǎng)網(wǎng)絡(luò)絡(luò)應(yīng)應(yīng)用用廣廣泛泛的的上上網(wǎng)網(wǎng)介介質(zhì)質(zhì)。。目目前前，，由由于于我我國國只只有有中中國國移移動動的的GPRS和中中國國聯(lián)聯(lián)通通的的CDMA(1X)兩種種網(wǎng)網(wǎng)絡(luò)絡(luò)制制式式，，所所以以常常見見的的無無線線上上網(wǎng)網(wǎng)卡卡就就包包括括CDMA無線線上上網(wǎng)網(wǎng)卡卡和和GPRS無線線上上網(wǎng)網(wǎng)卡卡兩兩類類。。另另外外還還有有一一種種CDPD無線線上上網(wǎng)網(wǎng)卡卡。。（1）CDMA無線線上上網(wǎng)網(wǎng)卡卡CDMA(CodeDivisionMultipleAccess，碼碼分分多多址址)無線線上上網(wǎng)網(wǎng)卡卡是是針針對對中中國國聯(lián)聯(lián)通通的的CDMA網(wǎng)絡(luò)絡(luò)推推出出來來的的上上網(wǎng)網(wǎng)連連接接設(shè)設(shè)備備。。CDMA允許許所所有有的的使使用用者者同同時時使使用用全全部部頻頻帶帶，，并并且且把把其其他他使使用用者者發(fā)發(fā)出出的的訊訊號號視視為為雜雜訊訊，，完完全全不不必必考考慮慮到到訊訊號號碰碰撞撞(collision)的問問題題。。中國國聯(lián)聯(lián)通通CDMA1000清華華同同方方TFCDMA6000雅美美達達CDMA上網(wǎng)網(wǎng)卡卡（2）GPRS無線線上上網(wǎng)網(wǎng)卡卡GPRS上網(wǎng)網(wǎng)卡卡是是針針對對中中國國移移動動的的GPRS網(wǎng)絡(luò)絡(luò)推推出出來來的的無無線線上上網(wǎng)網(wǎng)設(shè)設(shè)備備。。GPRS的英英文文全全稱稱為為““GeneralPacketRadioService””，中中文文含含義義為為““通通用用分分組組無無線線服服務(wù)務(wù)””，，它它是是利利用用““包包交交換換””（（Packet-Switched）的的概概念念所所發(fā)發(fā)展展出出的的一一套套無無線線傳傳輸輸方方式式。。所所謂謂的的包包交交換換就就是是將將Date封裝裝成成許許多多獨獨立立的的封封包包，，再再將將這這些些封封包包一一個個一一個個傳傳送送出出去去，，形形式式上上有有點點類類似似寄寄包包裹裹，，采采用用包包交交換換的的好好處處是是只只有有在在有有資資料料需需要要傳傳送送時時才才會會占占用用頻頻寬寬，，而而且且可可以以以以傳傳輸輸?shù)牡馁Y資料料量量計計價價，，這這對對用用戶戶來來說說是是比比較較合合理理的的計計費費方方式式，，因因為為像像Internet這類的數(shù)據(jù)傳傳輸大多數(shù)的的時間頻寬是是間置的。（3）CDPD無線上網(wǎng)卡CDPD（蜂窩數(shù)字分分組數(shù)據(jù)-CellularDigitalPacketData）采用分組數(shù)數(shù)據(jù)方式，是是目前公認的的最佳無線公公共網(wǎng)絡(luò)數(shù)據(jù)據(jù)通信規(guī)程。。它是建立在在TCP/IP基礎(chǔ)上的一種種開放系統(tǒng)結(jié)結(jié)構(gòu)，將開放放式接口、高高傳輸速度、、用戶單元確確定、空中鏈鏈路加密、空空中數(shù)據(jù)加密密、壓縮數(shù)據(jù)據(jù)糾錯和重發(fā)發(fā)和運用世界界標準的IP尋址模式無線線接入有力的的結(jié)合在一起起，提供同層層網(wǎng)絡(luò)的無縫縫連接、多協(xié)協(xié)議網(wǎng)絡(luò)服務(wù)務(wù)。CDPD具有速度快（（19.2kbps），數(shù)據(jù)安全全性高等特點點，它支持用用戶越區(qū)切換換和全網(wǎng)漫游游、廣播和群群呼，支持移移動速度達100km/h的數(shù)據(jù)用戶，，可與公用有有線數(shù)據(jù)網(wǎng)絡(luò)絡(luò)互聯(lián)互通。。10.5.2無線網(wǎng)橋WirelessBridge無線網(wǎng)橋（WirelessBridge）的功能在于于提供兩個點點之間通信的的無線鏈路，，可以使用兩兩個或多個無無線網(wǎng)橋?qū)⒈吮舜朔珠_的局局域網(wǎng)連接在在一起。如圖圖10-6所示是一款艾艾克賽爾AX9400EDU系列產(chǎn)品。圖10-6無線網(wǎng)橋10.5.3天線無線網(wǎng)絡(luò)互連連需要配合使使用天線（Antenna）。根據(jù)天線線的功能特性性，可以分為為定向天線，，全向天線和和扇區(qū)天線，，分別適合點點對點，點對對多點和區(qū)域域覆蓋使用。。如圖10-7所示是一款家家用無線網(wǎng)絡(luò)絡(luò)天線。10.5.4AP接入入點AP（AccessPoint）一般俗稱為為網(wǎng)絡(luò)橋接器器，顧名思義義即是當作傳傳統(tǒng)的有線局局域網(wǎng)絡(luò)與無無線局域網(wǎng)絡(luò)絡(luò)之橋梁，因因此任何一臺臺裝有無線網(wǎng)網(wǎng)卡之PC均可透過AP去分享有線局局域網(wǎng)絡(luò)甚至至廣域網(wǎng)絡(luò)之之資源。除此此之外，AP本身又兼具有有網(wǎng)管之功能能，可針對接接有無線網(wǎng)絡(luò)絡(luò)卡之PC作必要之控管管。如圖10-8是一款WAB102無線AP接入點。10.6無無線網(wǎng)絡(luò)的的安全缺陷與與解決方案10.6.1無線網(wǎng)絡(luò)的安安全缺陷1容易侵入無線局域網(wǎng)非非常容易被發(fā)發(fā)現(xiàn)，為了能能夠使用戶發(fā)發(fā)現(xiàn)無線網(wǎng)絡(luò)絡(luò)的存在，網(wǎng)網(wǎng)絡(luò)必須發(fā)送送有特定參數(shù)數(shù)的信標幀，，這樣就給攻攻擊者提供了了必要的網(wǎng)絡(luò)絡(luò)信息。入侵侵者可以通過過高靈敏度天天線從公路邊邊、樓宇中以以及其他任何何地方對網(wǎng)絡(luò)絡(luò)發(fā)起攻擊而而不需要任何何物理方式的的侵入。因為為任何人的計計算機都可以以通過自己購購買的AP，不經(jīng)過授權(quán)權(quán)而連入網(wǎng)絡(luò)絡(luò)。很多部門門未通過公司司IT中心授權(quán)就自自建無線局域域網(wǎng)，用戶通通過非法AP接入給網(wǎng)絡(luò)帶帶來很大安全全隱患。如果果你能買到Y(jié)agi外置天線和3-dB磁性HyperGain漫射天線硬盤盤，拿著它到到各大寫字樓樓里走一圈，，你也許就能能進入那些大大公司的無線線局域網(wǎng)絡(luò)里里，做你想要要做的一切。?；蛘咴俸唵螁我稽c，對于于那些防范手手段差的公司司來說，用一一塊802.11b無線網(wǎng)卡也可可以進入他們們的網(wǎng)絡(luò)——這種事時常在在美國發(fā)生。。3惡意攻擊除通過欺騙幀幀進行攻擊外外，攻擊者還還可以通過截截獲會話幀發(fā)發(fā)現(xiàn)AP中存在的認證證缺陷，通過過監(jiān)測AP發(fā)出的廣播幀幀發(fā)現(xiàn)AP的存在。然而而，由于802.11沒有要求AP必須證明自己己真是一個AP，攻擊者很容容易裝扮成AP進入網(wǎng)絡(luò)，通通過這樣的AP，攻擊者可以以進一步獲取取認證身份信信息從而進入入網(wǎng)絡(luò)。在沒沒有采用802.11i對每一個802.11MAC幀進行認證的的技術(shù)前，通通過會話攔截截實現(xiàn)的網(wǎng)絡(luò)絡(luò)入侵是無法法避免的。10.6.2無線線網(wǎng)絡(luò)安全防防范措施1、隱藏服務(wù)務(wù)設(shè)定標識（（SSID））我們購買一個個無線路由器器后，默認的的SSID一一般都和該路路由器的品牌牌相關(guān)聯(lián)，黑黑客可以輕松松通過SSID知道路由由器品牌。我我們可以在無無線路由的管管理界面上，，修改這個SSID，改改成自己喜歡歡的名字，這這樣就在一定定程度上隱蔽蔽無線路由。。2、修改用戶戶名和密碼一般路由器或或中繼器設(shè)備備制造商為了了便于用戶設(shè)設(shè)置這些設(shè)備備建立起無線線網(wǎng)絡(luò)，都提提供了一個管管理頁面工具具，用來設(shè)置置該設(shè)備的網(wǎng)網(wǎng)絡(luò)地址以及及帳號等信息息。然而在設(shè)設(shè)備出售時，，制造商給每每一個型號的的設(shè)備提供的的默認用戶名名和密碼都是是一樣的，如如果沒有修改改設(shè)備的默認認的用戶名和和密碼，就給給黑客們提供供了有機可乘乘。他們只要要通過簡單的的掃描工具很很容易就能找找出這些設(shè)備備的地址并嘗嘗試用默認的的用戶名和密密碼去登陸管管理頁面，如如果成功則立立即取得該路路由器/交換換機的控制權(quán)權(quán)。3、無線網(wǎng)絡(luò)絡(luò)加密加密可以使得得沒有密鑰的的人無法登錄錄到你的網(wǎng)絡(luò)絡(luò)上來，一般般無線路由都都提供兩種加加密標準：無無線對等協(xié)議議（WEP））和Wi-Fi保護接入入（WPA））。WEP要要比WPA老老，但是不如如WPA安全全。目前破解解“無線路由由器密碼”，，指的就是破破解WEP密密碼。所以，，采用WPA會更安全些些，起碼給黑黑客制造更多多的麻煩。4、縮小IP地址范圍當計算機連接接到無線網(wǎng)絡(luò)絡(luò)的時候，無無線路由器通通常會分給一一個IP地址址，用他來瀏瀏覽網(wǎng)頁或連連接外部互聯(lián)聯(lián)網(wǎng)。通常情情況下，無線線路由器會給給連接到無線線網(wǎng)絡(luò)中來的的每一臺機器器分配一個IP，縮小IP地址范圍圍，就可以限限制連接到無無線網(wǎng)絡(luò)中計計算機的數(shù)量量。理想的情情況下，假如如我們網(wǎng)絡(luò)中中的計算機使使用了所有IP地址的話話，無線路由由器就不會為為入侵者再分分配IP地址址了。5、設(shè)置MAC地址過濾濾在Windows系統(tǒng)中中點選“開始始菜單”，然然后選“運行行”，彈出的的對話框中輸輸入“cmd”，回車車后會出現(xiàn)命命令行窗口。。在命令行窗窗口中輸入ipconfig/all。尋尋找名為“PhysicalAddress”的這一行行，其后所顯顯示的地址即即為該設(shè)備的的MAC地址址。每一個網(wǎng)網(wǎng)絡(luò)設(shè)備都有有唯一的被稱稱作MAC地地址的ID。。這樣可以在在無線路由器器上設(shè)定一個個范圍的MAC地址，不不屬于這個范范圍的一律拒拒之門外。10.6.3無線線網(wǎng)絡(luò)安全應(yīng)應(yīng)用實例下面以以D-Link無線路路由器器說明明無線線局域域網(wǎng)絡(luò)絡(luò)的安安全配配置，，D-Link支持以以下安安全機機制。。支持遠遠程管管理。。支持64/128(802.11G）位WEP無線加加密，，密碼碼支持持HEX/ASCII雙模式式。提供使使用者者自訂訂的訪訪問控控制列列表（（ACL）機制制，支支持等等過濾濾功能能。支持WPA加密功功能（（WPATLS/TKIP）。認證（（Authentication）的目目的是是確認認對方方身份份的合合法性性，以以免與與身份份不明明的對對象溝溝通，，泄漏漏了重重要的的機密密。也也就是是雙方方進行行通信信之前前，必必須先先經(jīng)過過認證證的程程序。。D-Link有支持持的認認證（（加密密）方方有4種。1WEP加密WEP是一種種對稱稱性的的加密密技術(shù)術(shù)，用用來加加密在在WLAN上傳送送的資資料，，為資資料保保密提提供了了一定定的安安全性性。WEP必須有有相同同WEPkey的雙方方（TX及RX）才可可互相相聽得得懂。。D-Link支持了了兩種種層級級的WEP加密方方式，，分別別為64位加密密和128位加密密，越越長的的加密密代表表越安安全。?？梢砸赃x擇擇啟用用/禁用WEP加密功功能，，在默默認情情況下下，WEP加密功功能是是禁用用的。。WEP密碼可可以輕輕易地地變更更無線線加密密設(shè)置置以維維護一一個安安全的的網(wǎng)絡(luò)絡(luò)。方方法很很簡單單，只只要選選擇使使用于于加密密網(wǎng)絡(luò)絡(luò)上的的無線線通信信資料料的指指定密密鑰值值即可可。在在64位WEP加密下下，必必須輸輸入10個HEX數(shù)字或或是5個ASCII碼。在在128位WEP加密下下，必必須輸輸入26個HEX數(shù)字或或是13個ASCII碼（HEX數(shù)字范范圍為為0-9和A-F）。2.802.lx安全協(xié)協(xié)議它是利利用憑憑證方方式認認證的的無線線網(wǎng)絡(luò)絡(luò)的安安全機機制。。安全全模式式密碼碼選擇擇加密密的方方式為為64bit或128bit。對于于802.lx的設(shè)置置主要要有以以下幾幾項：：RADIUS服務(wù)器器IP地址。。輸入入RADISU服務(wù)器器的IP地址，，供802.lx封包使使用。。RADIUS端口。。RADISU服務(wù)器器所使使用的的通信信端口口，默默認標標準802.lxRADISU服務(wù)器器通信信端口口為1812。RADIUS密碼。。RADIUS服務(wù)器器上所所設(shè)置置的sharedKey，此處處必須須設(shè)置置相同同的sharedKey，D-Link才可與與RADIUS服務(wù)器器驗證證溝通通。3.WPA-PSK密碼模模式預(yù)先共共享密密鑰（（WPA-PSK），只只需要要在D-Link吐上輸輸入單單一密密碼。。只要要密碼碼相符符，客客戶端端便會會獲得得無線線網(wǎng)絡(luò)絡(luò)的存存取權(quán)權(quán)限。。與WPA不同的的是，，使用用WPA-PSK加密是是不需需要RADIUS服務(wù)器器做認認證的的，只只要在在此輸輸入密密鑰以以供認認證使使用即即可，，可設(shè)設(shè)置的的密鑰鑰長度度為8~64個字字符符（（至至少少8個字字符符））。。當當然然，，不不管管選選擇擇了了以以上上何何種種的的認認證證（（加加密密））方方式式，，相相對對使使用用者者的的無無線線網(wǎng)網(wǎng)卡卡也也必必須須支支持持才才行行。。密密碼碼模模式式D-Link所支支持持的的WPA-PSK密碼碼模模式式為為HEX（十十六六進進制制數(shù)數(shù)字字））及及ASCII碼。。使使用用者者可可以以變變更更密密碼碼模模式式以以符符合合現(xiàn)現(xiàn)有有的的無無線線網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)置置或或是是自自定定義義自自己己的的無無線線網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)置置。。此此處處為為輸輸入入WPA-PSK加密密所所使使用用的的密密碼碼；；若若密密碼碼模模式式選選擇擇為為HEX的話話，，輸輸入入64個0~9和A~F的十十六六進進制制數(shù)數(shù)字字，，若若密密碼碼模模式式選選擇擇為為ASCII碼的的話話，，輸輸入入8~63個ASCII碼。。在在無無線線網(wǎng)網(wǎng)卡卡上上的的密密碼碼設(shè)設(shè)置置必必須須與與此此處處相相同同。。4.WPAWPA以802.lx和延延伸伸認認證證協(xié)協(xié)議議（（EAP）作作為為其其認認證證機機制制的的基基礎(chǔ)礎(chǔ)。。認認證證機機制制是是由由使使用用者者提提供供某某種種形形式式的的證證明明，，然然后后存存取取網(wǎng)網(wǎng)絡(luò)絡(luò)并并以以該該證證明明來來對對照照合合法法使使用用者者數(shù)數(shù)據(jù)據(jù)庫庫（（RADIUS服務(wù)務(wù)器器））進進行行檢檢查查。。只只要要進進入入網(wǎng)網(wǎng)絡(luò)絡(luò)，，就就必必須須通通過過這這樣樣的的認認證證過過程程。。D-Link支持持WPA-EAP及WPA-TMP。所所以以在在設(shè)設(shè)置置WPA之前前，，必必須須已已安安裝裝并并設(shè)設(shè)置置好好RADIUS服務(wù)務(wù)器器（（如如Windows2000Server），，以以供供D-Link欣連連接接設(shè)設(shè)置置使使用用。。主主要要有有以以下下幾幾項項：：RADIUS服務(wù)務(wù)器器IP地址址。。輸輸入入RADISU服務(wù)器的IP地址，供802.lx封包使用。RADIUS端口。RADISU服務(wù)器所使用用的通信端口口，默認標準準802.lxRADISU服務(wù)器通信端端口為1812。RADIUS密碼。RADIUS服務(wù)器上所設(shè)設(shè)置的sharedKey，此處必須設(shè)設(shè)置相同的sharedKey，D-Link才可與RADIUS服務(wù)器驗證溝溝通。以下是WEP的加密設(shè)置實實例SSID：可自行設(shè)置置此無線接入入點的名稱，，在搜尋基站站時較好辨識識，默認為default，可以修改為為DLINK。頻道：無線接接入點目前使使用的頻道，，默認為6，目前采用的的共有11個頻道供切換換，若無線信信號弱或收不不到信號時，，可切換使用用其他頻道來來改善。安全模式：選選擇WEP加密分為WEP、802.lx、WPA-PSK和WPA共4種，大部分所所使用的加密密為WEP。WEP加密：選擇64bit。密碼模式：選選擇HEX。密碼l：輸入HELLO123。以上范例以以HEX密鑰類型為例例，在“密碼碼1”文本框中輸入入10個字符，可包包括0~9或A~F。在“密碼1”到“密碼4”文本框中可輸輸入不同的加加密密碼，方方便切換使用用以確保無線線網(wǎng)絡(luò)的安全全性，必須注注意的是計算算機端無線網(wǎng)網(wǎng)卡的加密必必須選擇相同同字段且輸入入相同密碼才才能通過認證證。案例實現(xiàn)1．無線網(wǎng)絡(luò)安安全分析由于無線局域域網(wǎng)自身的特特點，它的無無線信號很容容易被發(fā)現(xiàn)。。入侵者只需需要給電腦安安裝無線網(wǎng)卡卡以及無線天天線就可以搜搜索到附近的的無線局域網(wǎng)網(wǎng)，獲取SSID、信道、是否否加密等信息息。很多家用用無線局域網(wǎng)網(wǎng)一般不會進進行相應(yīng)的安安全設(shè)置，很很容易接入他他人的無線網(wǎng)網(wǎng)絡(luò)。而且更更糟糕的是，，“蹭網(wǎng)卡””的出現(xiàn)，可可以捕捉方圓圓幾公里甚至至幾十公里的的無線信號，，而且其相配配套的破解軟軟件，會很容容易破解簡單單的加密方式式，而獲得網(wǎng)網(wǎng)絡(luò)使用權(quán)。。此外，由于無無線局域網(wǎng)不不對數(shù)據(jù)幀進進行認證操作作，這樣，入入侵者可以通通過欺騙幀去去重新定向數(shù)數(shù)據(jù)流，攪亂亂ARP緩存表(表里的IP地址與MAC地址是一一對對應(yīng)的)。入侵者可以以輕易獲得網(wǎng)網(wǎng)絡(luò)中站點的的MAC地址，例如，，通過NetworkStumbler軟件就可以獲獲取信號接收收范圍內(nèi)無線線網(wǎng)絡(luò)中的無無線網(wǎng)卡的MAC地址，而且可可以通過MAC地址修改工具具來將本機的的MAC地址改為無線線局域網(wǎng)合法法的MAC地址，或者通通過修改注冊冊表來修改MAC地址。具體見書P2679、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Tuesday,December13,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。19:35:1419:35:1419:3512/13/20227:35:14PM11、以我獨獨沈久，，愧君相相見頻。。。12月-2219:35:1419:35Dec-2213-Dec-2212、故人江江海別，，幾度隔隔山川。。。19:35:1419:35:1419:35Tuesday,December13,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2219:35:1419:35:14December13,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。13十十二二月月20227:35:14下下午午19:35:1412月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月227:35下午午12月-2219:35December13,202216、行動出出成果，，工作出出財富。。。2022/1