《網(wǎng)絡(luò)安全技術(shù)與實訓(xùn)（微課版）（第6版）》教案人民郵電出版社教師授課教案章節(jié)標(biāo)題第9章無線局域網(wǎng)安全單元標(biāo)題無線局域網(wǎng)安全授課時長2學(xué)時教學(xué)目標(biāo)知識目標(biāo)能力目標(biāo)素質(zhì)目標(biāo)（含思政目標(biāo)）了解無線網(wǎng)絡(luò)的概況、概念及課程體系；初步了解有關(guān)無線網(wǎng)絡(luò)的常見威脅和安全機制。能夠識別無線網(wǎng)絡(luò)的拓撲和設(shè)備；能夠?qū)o線網(wǎng)絡(luò)設(shè)備進行基礎(chǔ)的配置。培養(yǎng)學(xué)生對無線網(wǎng)絡(luò)的安全意識；培養(yǎng)學(xué)生的工匠精神。教學(xué)過程：（主要教學(xué)環(huán)節(jié)、時間分配）一、課程簡介(5’)1.課程簡介2.引入新課二、講授新課（80’）（1）無線局域網(wǎng)常見拓撲和設(shè)備（2）無線局域網(wǎng)的常見威脅（3）無線網(wǎng)絡(luò)的安全機制三、小結(jié)(4’)四、布置作業(yè)(1’)重點難點：無線網(wǎng)絡(luò)的安全機制、無線網(wǎng)絡(luò)的常見威脅教學(xué)方法、手段：多媒體教學(xué)；案例法；小組討論；雨課堂推送拓展學(xué)習(xí)資料。課后作業(yè)：課后實訓(xùn)17WPA2PSK無線破解、教學(xué)后記：1.教學(xué)環(huán)境要求：需要授課教師使用Win7主機進行授課，并使用無線路由器搭建一個無線網(wǎng)絡(luò)2.教學(xué)引入方式：從家用路由器引入到無線安全3.學(xué)生知識儲備：學(xué)生應(yīng)具備家用路由器的配置，無線網(wǎng)絡(luò)的加密方式設(shè)置

一、創(chuàng)設(shè)情境，引出本節(jié)內(nèi)容導(dǎo)入：家用路由器的安全設(shè)置、常用無線終端的安全問題引入無線網(wǎng)絡(luò)安全。思政內(nèi)容融入點：培養(yǎng)學(xué)生無線網(wǎng)絡(luò)的安全意識。進入重點知識的講解9.1無線網(wǎng)絡(luò)概述： 無線局域網(wǎng)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。無線局域網(wǎng)（WirelessLocal-AreaNetwork，WLAN）在不采用傳統(tǒng)電纜線的同時，依然能夠提供傳統(tǒng)有線局域網(wǎng)的所有功能，無線局域網(wǎng)技術(shù)具有傳統(tǒng)局域網(wǎng)無法比擬的靈活性。無線網(wǎng)絡(luò)的信號完全暴露在空中，只要在信號到達的范圍就可以接收，因此無線網(wǎng)絡(luò)的安全性成為應(yīng)用上最嚴(yán)峻的挑戰(zhàn)。9.1.1常見的拓撲與設(shè)備IEEE802.11定義了無線網(wǎng)的基本設(shè)備構(gòu)成，它包括移動終端和無線接入點（AccessPoint，AP）。無線局域網(wǎng)絡(luò)還包括無線網(wǎng)橋、無線寬帶路由器、天線等。部署一個WLAN可以采用以下幾種基本的拓撲結(jié)構(gòu)：對等拓撲、基本拓撲和擴展拓撲。對等拓撲由獨立式基本服務(wù)組（IndependentBasicServiceSet，IBSS）組成。構(gòu)建對等拓撲時用的網(wǎng)絡(luò)設(shè)備是無線網(wǎng)卡，如圖所示。

基本拓撲由基本服務(wù)組（BasicServiceSet，BSS）組成。構(gòu)建基本拓撲的無線網(wǎng)絡(luò)設(shè)備是無線網(wǎng)卡和無線接入點。AP相當(dāng)于有線局域網(wǎng)中的集線器，有些AP可以提供網(wǎng)橋的功能，部署安全的策略，如圖所示。擴展拓撲由擴展服務(wù)組（ExtendedServiceSet，ESS）組成。構(gòu)建擴展拓撲使用的網(wǎng)絡(luò)設(shè)備有無線網(wǎng)卡或普通網(wǎng)卡（接入局域網(wǎng)）、無線AP，在這個架構(gòu)中無線AP擔(dān)任網(wǎng)橋的角色，如圖所示。9.1.2無線局域網(wǎng)常見的攻擊無線網(wǎng)絡(luò)的許多攻擊在本質(zhì)上與有線網(wǎng)絡(luò)類似，攻擊方式主要概括為3種。第一種是對于Wi-Fi節(jié)點的滲透，通過密碼破解等手段進入目標(biāo)無線網(wǎng)中；第二種為干擾正常的無線局域網(wǎng)，使其無法正常工作；第三種是Wi-Fi釣魚攻擊。一般來說，入侵者入侵一個無線網(wǎng)絡(luò)時大體采取以下步驟。（1）發(fā)現(xiàn)目標(biāo)（2）查找漏洞（3）破壞網(wǎng)絡(luò)（1）發(fā)現(xiàn)目標(biāo)針對無線網(wǎng)絡(luò)制定了成千上萬現(xiàn)有的識別與攻擊的技術(shù)和實用程序，黑客也相應(yīng)地擁有許多攻擊無線網(wǎng)絡(luò)的方法，如NetworkStumbler和Kismet。NetworkStumbler是基于Windows的工具，可以非常容易地發(fā)現(xiàn)一定范圍內(nèi)廣播出來的無線信號，還可以判斷哪些信號或噪聲信息可以用來作為站點測量，但是它無法顯示那些沒有廣播SSID的無線網(wǎng)絡(luò)。對于無線安全而言，關(guān)注AP常規(guī)性的廣播信息是非常重要的。Kismet會發(fā)現(xiàn)并顯示沒有被廣播的那些SSID，而這些信息對于發(fā)現(xiàn)無線網(wǎng)絡(luò)是非常關(guān)鍵的。（2）查找漏洞攻擊者發(fā)現(xiàn)目標(biāo)無線網(wǎng)絡(luò)后，就開始分析目標(biāo)網(wǎng)絡(luò)中存在的弱點。如果目標(biāo)網(wǎng)絡(luò)關(guān)閉了加密功能（這是最簡單的情況），攻擊者可以非常容易地對任何無線網(wǎng)絡(luò)連接的資源進行訪問。如果目標(biāo)網(wǎng)絡(luò)啟動了WEP加密功能，攻擊者就需要識別出一些基本的信息。例如，利用NetworkStumbler或者其他的網(wǎng)絡(luò)發(fā)現(xiàn)工具，識別出SSID、MAC地址、網(wǎng)絡(luò)名稱，以及其他任何可能以明文形式傳送的分組。如果搜索結(jié)果中含有廠商的信息，黑客甚至可以破壞無線通信網(wǎng)絡(luò)上使用的默認密鑰。（3）破壞網(wǎng)絡(luò)發(fā)現(xiàn)了目標(biāo)網(wǎng)絡(luò)的弱點以后，黑客就開始想盡辦法去破壞網(wǎng)絡(luò)。一般對無線網(wǎng)絡(luò)的攻擊主要包含竊聽、欺騙、接管和拒絕服務(wù)等，具體可以分為以下4個方面。①竊聽攻擊者通過對傳輸介質(zhì)的監(jiān)聽非法地獲取傳輸?shù)男畔?。竊聽是對無線網(wǎng)絡(luò)最常見的攻擊方法。②欺騙和非授權(quán)訪問“欺騙”是指攻擊者裝扮成一個合法用戶非法地訪問受害者的資源，以獲取某種利益或達到破壞目的。③網(wǎng)絡(luò)接管與篡改“網(wǎng)絡(luò)接管”是指接管無線網(wǎng)絡(luò)或者會話過程。常用的接管方法有兩種。一種是將合法用戶的IP地址與攻擊者的MAC地址綁定，另一種是攻擊者部署一個發(fā)射強度足夠高的AP，可以導(dǎo)致終端用戶無法區(qū)別出哪一個是真正使用的AP④拒絕服務(wù)攻擊在無線網(wǎng)絡(luò)中，DoS威脅包括攻擊者阻止合法用戶建立連接，以及攻擊者通過向網(wǎng)絡(luò)或指定網(wǎng)絡(luò)單元發(fā)送大量數(shù)據(jù)來破壞合法用戶的正常通信。9.1.3WEP協(xié)議的威脅在IEEE802.11標(biāo)準(zhǔn)中，有線等效保密（WiredEquivalentPrivacy，WEP）協(xié)議是一種保密協(xié)議，主要用于無線局域網(wǎng)（WLAN）中兩臺無線設(shè)備間對無線傳輸數(shù)據(jù)進行加密。它是所有經(jīng)過Wi-Fi認證的無線局域網(wǎng)產(chǎn)品所支持的一種安全標(biāo)準(zhǔn)。WEP特性使用了RSA數(shù)據(jù)安全性公司開發(fā)的RC4算法。目前，大部分無線網(wǎng)絡(luò)設(shè)備都采用該加密技術(shù)，一般支持64/128位WEP加密，有的可支持高達256位WEP加密。WEP協(xié)議存在許多弱點，可以讓入侵者較容易地破解。它主要存在以下幾個問題。①由于算法的原因，當(dāng)入侵者捕獲數(shù)據(jù)包后，可以通過工具計算出密鑰。②WEP協(xié)議中沒有具體地規(guī)定何時使用不同的密鑰。③一般廠商都會設(shè)置默認的密鑰，而用戶一般不修改，所以只要入侵者得到密鑰列表就可以輕松入侵網(wǎng)絡(luò)。④對于密鑰如何分發(fā)，如何在泄露后更改密鑰，如何定期地實現(xiàn)密鑰更新、密鑰備份、密鑰恢復(fù)等問題，WEP協(xié)議都沒有解決，把這個問題留給各大廠商，無疑會造成安全問題。針對上述問題，建議采取下列方法，來保障WEP協(xié)議更安全。①使用多組WEP密碼（KEY）。使用一組固定WEP密碼，將會非常不安全，使用多組WEP密碼會提高安全性，然而WEP密碼是保存在無線設(shè)備的Flash中的，所以只要網(wǎng)絡(luò)上的任何一個設(shè)備被控制，那網(wǎng)絡(luò)就無安全性可言了。②使用最高級的加密方式，當(dāng)前的加密技術(shù)提供64位和128位加密方法，應(yīng)盡量使用128位加密，這樣WEP加密會將資料加密后傳送，使得竊聽者無法知道資料的真實內(nèi)容。③定期更換密碼。

9.2無線安全機制9.2.1服務(wù)集標(biāo)識符服務(wù)集標(biāo)識符（ServiceSetID，SSID）被稱為第一代無線安全，它會被輸入AP和客戶端中，只有客戶端的SSID與AP一致時才能接入AP中。當(dāng)網(wǎng)絡(luò)中存在多個無線接入點AP時，可以設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才允許其訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進行區(qū)別限制。這在一定程度上限制了非法用戶的接入，但是IEEE標(biāo)準(zhǔn)要求廣播SSID，這樣所有覆蓋在范圍之內(nèi)的無線終端都可以發(fā)現(xiàn)AP的SSID。一般的策略是在產(chǎn)品中關(guān)閉SSID的廣播，防止無關(guān)人員獲取AP的信息。但是很多無線嗅探器工具可以很容易地在WLAN數(shù)據(jù)中捕獲有效的SSID，因此單靠SSID限制用戶接入只能提供較低級別的安全。9.2.2MAC地址過濾MAC地址過濾屬于硬件認證，而不是用戶認證。它針對每個無線工作站的網(wǎng)卡都有唯一的物理地址，在AP中手動維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。MAC地址過濾方案要求AP中的MAC地址列表必須隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的漫游，而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認證。9.2.3WEP安全機制WEP在鏈路層采用RC4對稱加密技術(shù)，用戶的密鑰只有與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止未授權(quán)用戶的監(jiān)聽和非法用戶的訪問。WEP安全機制通常會和設(shè)備里的開放系統(tǒng)認證或共享密鑰認證這兩種用戶認證機制結(jié)合起來使用。9.2.4WPA安全機制為了克服WEP的不足，IEEE802.11i工作小組制定了新一代安全標(biāo)準(zhǔn)，即過渡安全網(wǎng)絡(luò)（TransitionSecurityNetwork，TSN）和強健安全網(wǎng)絡(luò)（RobustSecurityNetwork，RSN）。它使用兩種驗證方式。①802.1X及RADIUS進行身份驗證（簡稱WPA-EAP），該方式設(shè)置比較復(fù)雜，不便于個人用戶的使用。②預(yù)共享密鑰（簡稱WPA-PSK），在AP和客戶端輸入主密鑰（masterkey）用來作為開始的認證和編碼使用，然后動態(tài)交換自動生成更新密鑰，從而提高安全性。由于它的設(shè)置簡單，因此非常適合于個人用戶的使用。9.2.5WAPI安全機制WAPI是我國自主制定的無線安全標(biāo)準(zhǔn)，它采用橢圓曲線密碼算法和對稱密碼體制，分別用于WLAN設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加密，從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。與其他無線局域網(wǎng)安全體制相比，WAPI的優(yōu)越性主要體現(xiàn)在以下4個方面：使用數(shù)字證書進行身份驗證。真正實現(xiàn)雙向鑒別，確保了客戶端和A