《網(wǎng)絡(luò)安全技術(shù)與實訓(xùn)（微課版）（第6版）》教案人民郵電出版社教師授課教案章節(jié)標(biāo)題第9章無線局域網(wǎng)安全單元標(biāo)題無線局域網(wǎng)安全授課時長2學(xué)時教學(xué)目標(biāo)知識目標(biāo)能力目標(biāo)素質(zhì)目標(biāo)（含思政目標(biāo)）了解無線網(wǎng)絡(luò)的概況、概念及課程體系；初步了解有關(guān)無線網(wǎng)絡(luò)的常見威脅和安全機制。能夠識別無線網(wǎng)絡(luò)的拓?fù)浜驮O(shè)備；能夠?qū)o線網(wǎng)絡(luò)設(shè)備進(jìn)行基礎(chǔ)的配置。培養(yǎng)學(xué)生對無線網(wǎng)絡(luò)的安全意識；培養(yǎng)學(xué)生的工匠精神。教學(xué)過程：（主要教學(xué)環(huán)節(jié)、時間分配）一、課程簡介(5’)1.課程簡介2.引入新課二、講授新課（80’）（1）無線局域網(wǎng)常見拓?fù)浜驮O(shè)備（2）無線局域網(wǎng)的常見威脅（3）無線網(wǎng)絡(luò)的安全機制三、小結(jié)(4’)四、布置作業(yè)(1’)重點難點：無線網(wǎng)絡(luò)的安全機制、無線網(wǎng)絡(luò)的常見威脅教學(xué)方法、手段：多媒體教學(xué)；案例法；小組討論；雨課堂推送拓展學(xué)習(xí)資料。課后作業(yè)：課后實訓(xùn)17WPA2PSK無線破解、教學(xué)后記：1.教學(xué)環(huán)境要求：需要授課教師使用Win7主機進(jìn)行授課，并使用無線路由器搭建一個無線網(wǎng)絡(luò)2.教學(xué)引入方式：從家用路由器引入到無線安全3.學(xué)生知識儲備：學(xué)生應(yīng)具備家用路由器的配置，無線網(wǎng)絡(luò)的加密方式設(shè)置

一、創(chuàng)設(shè)情境，引出本節(jié)內(nèi)容導(dǎo)入：家用路由器的安全設(shè)置、常用無線終端的安全問題引入無線網(wǎng)絡(luò)安全。思政內(nèi)容融入點：培養(yǎng)學(xué)生無線網(wǎng)絡(luò)的安全意識。進(jìn)入重點知識的講解9.1無線網(wǎng)絡(luò)概述： 無線局域網(wǎng)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。無線局域網(wǎng)（WirelessLocal-AreaNetwork，WLAN）在不采用傳統(tǒng)電纜線的同時，依然能夠提供傳統(tǒng)有線局域網(wǎng)的所有功能，無線局域網(wǎng)技術(shù)具有傳統(tǒng)局域網(wǎng)無法比擬的靈活性。無線網(wǎng)絡(luò)的信號完全暴露在空中，只要在信號到達(dá)的范圍就可以接收，因此無線網(wǎng)絡(luò)的安全性成為應(yīng)用上最嚴(yán)峻的挑戰(zhàn)。9.1.1常見的拓?fù)渑c設(shè)備IEEE802.11定義了無線網(wǎng)的基本設(shè)備構(gòu)成，它包括移動終端和無線接入點（AccessPoint，AP）。無線局域網(wǎng)絡(luò)還包括無線網(wǎng)橋、無線寬帶路由器、天線等。部署一個WLAN可以采用以下幾種基本的拓?fù)浣Y(jié)構(gòu)：對等拓?fù)洹⒒就負(fù)浜蛿U(kuò)展拓?fù)?。對等拓?fù)溆瑟毩⑹交痉?wù)組（IndependentBasicServiceSet，IBSS）組成。構(gòu)建對等拓?fù)鋾r用的網(wǎng)絡(luò)設(shè)備是無線網(wǎng)卡，如圖所示。

基本拓?fù)溆苫痉?wù)組（BasicServiceSet，BSS）組成。構(gòu)建基本拓?fù)涞臒o線網(wǎng)絡(luò)設(shè)備是無線網(wǎng)卡和無線接入點。AP相當(dāng)于有線局域網(wǎng)中的集線器，有些AP可以提供網(wǎng)橋的功能，部署安全的策略，如圖所示。擴(kuò)展拓?fù)溆蓴U(kuò)展服務(wù)組（ExtendedServiceSet，ESS）組成。構(gòu)建擴(kuò)展拓?fù)涫褂玫木W(wǎng)絡(luò)設(shè)備有無線網(wǎng)卡或普通網(wǎng)卡（接入局域網(wǎng)）、無線AP，在這個架構(gòu)中無線AP擔(dān)任網(wǎng)橋的角色，如圖所示。9.1.2無線局域網(wǎng)常見的攻擊無線網(wǎng)絡(luò)的許多攻擊在本質(zhì)上與有線網(wǎng)絡(luò)類似，攻擊方式主要概括為3種。第一種是對于Wi-Fi節(jié)點的滲透，通過密碼破解等手段進(jìn)入目標(biāo)無線網(wǎng)中；第二種為干擾正常的無線局域網(wǎng)，使其無法正常工作；第三種是Wi-Fi釣魚攻擊。一般來說，入侵者入侵一個無線網(wǎng)絡(luò)時大體采取以下步驟。（1）發(fā)現(xiàn)目標(biāo)（2）查找漏洞（3）破壞網(wǎng)絡(luò)（1）發(fā)現(xiàn)目標(biāo)針對無線網(wǎng)絡(luò)制定了成千上萬現(xiàn)有的識別與攻擊的技術(shù)和實用程序，黑客也相應(yīng)地?fù)碛性S多攻擊無線網(wǎng)絡(luò)的方法，如NetworkStumbler和Kismet。NetworkStumbler是基于Windows的工具，可以非常容易地發(fā)現(xiàn)一定范圍內(nèi)廣播出來的無線信號，還可以判斷哪些信號或噪聲信息可以用來作為站點測量，但是它無法顯示那些沒有廣播SSID的無線網(wǎng)絡(luò)。對于無線安全而言，關(guān)注AP常規(guī)性的廣播信息是非常重要的。Kismet會發(fā)現(xiàn)并顯示沒有被廣播的那些SSID，而這些信息對于發(fā)現(xiàn)無線網(wǎng)絡(luò)是非常關(guān)鍵的。（2）查找漏洞攻擊者發(fā)現(xiàn)目標(biāo)無線網(wǎng)絡(luò)后，就開始分析目標(biāo)網(wǎng)絡(luò)中存在的弱點。如果目標(biāo)網(wǎng)絡(luò)關(guān)閉了加密功能（這是最簡單的情況），攻擊者可以非常容易地對任何無線網(wǎng)絡(luò)連接的資源進(jìn)行訪問。如果目標(biāo)網(wǎng)絡(luò)啟動了WEP加密功能，攻擊者就需要識別出一些基本的信息。例如，利用NetworkStumbler或者其他的網(wǎng)絡(luò)發(fā)現(xiàn)工具，識別出SSID、MAC地址、網(wǎng)絡(luò)名稱，以及其他任何可能以明文形式傳送的分組。如果搜索結(jié)果中含有廠商的信息，黑客甚至可以破壞無線通信網(wǎng)絡(luò)上使用的默認(rèn)密鑰。（3）破壞網(wǎng)絡(luò)發(fā)現(xiàn)了目標(biāo)網(wǎng)絡(luò)的弱點以后，黑客就開始想盡辦法去破壞網(wǎng)絡(luò)。一般對無線網(wǎng)絡(luò)的攻擊主要包含竊聽、欺騙、接管和拒絕服務(wù)等，具體可以分為以下4個方面。①竊聽攻擊者通過對傳輸介質(zhì)的監(jiān)聽非法地獲取傳輸?shù)男畔ⅰ８`聽是對無線網(wǎng)絡(luò)最常見的攻擊方法。②欺騙和非授權(quán)訪問“欺騙”是指攻擊者裝扮成一個合法用戶非法地訪問受害者的資源，以獲取某種利益或達(dá)到破壞目的。③網(wǎng)絡(luò)接管與篡改“網(wǎng)絡(luò)接管”是指接管無線網(wǎng)絡(luò)或者會話過程。常用的接管方法有兩種。一種是將合法用戶的IP地址與攻擊者的MAC地址綁定，另一種是攻擊者部署一個發(fā)射強度足夠高的AP，可以導(dǎo)致終端用戶無法區(qū)別出哪一個是真正使用的AP④拒絕服務(wù)攻擊在無線網(wǎng)絡(luò)中，DoS威脅包括攻擊者阻止合法用戶建立連接，以及攻擊者通過向網(wǎng)絡(luò)或指定網(wǎng)絡(luò)單元發(fā)送大量數(shù)據(jù)來破壞合法用戶的正常通信。9.1.3WEP協(xié)議的威脅在IEEE802.11標(biāo)準(zhǔn)中，有線等效保密（WiredEquivalentPrivacy，WEP）協(xié)議是一種保密協(xié)議，主要用于無線局域網(wǎng)（WLAN）中兩臺無線設(shè)備間對無線傳輸數(shù)據(jù)進(jìn)行加密。它是所有經(jīng)過Wi-Fi認(rèn)證的無線局域網(wǎng)產(chǎn)品所支持的一種安全標(biāo)準(zhǔn)。WEP特性使用了RSA數(shù)據(jù)安全性公司開發(fā)的RC4算法。目前，大部分無線網(wǎng)絡(luò)設(shè)備都采用該加密技術(shù)，一般支持64/128位WEP加密，有的可支持高達(dá)256位WEP加密。WEP協(xié)議存在許多弱點，可以讓入侵者較容易地破解。它主要存在以下幾個問題。①由于算法的原因，當(dāng)入侵者捕獲數(shù)據(jù)包后，可以通過工具計算出密鑰。②WEP協(xié)議中沒有具體地規(guī)定何時使用不同的密鑰。③一般廠商都會設(shè)置默認(rèn)的密鑰，而用戶一般不修改，所以只要入侵者得到密鑰列表就可以輕松入侵網(wǎng)絡(luò)。④對于密鑰如何分發(fā)，如何在泄露后更改密鑰，如何定期地實現(xiàn)密鑰更新、密鑰備份、密鑰恢復(fù)等問題，WEP協(xié)議都沒有解決，把這個問題留給各大廠商，無疑會造成安全問題。針對上述問題，建議采取下列方法，來保障WEP協(xié)議更安全。①使用多組WEP密碼（KEY）。使用一組固定WEP密碼，將會非常不安全，使用多組WEP密碼會提高安全性，然而WEP密碼是保存在無線設(shè)備的Flash中的，所以只要網(wǎng)絡(luò)上的任何一個設(shè)備被控制，那網(wǎng)絡(luò)就無安全性可言了。②使用最高級的加密方式，當(dāng)前的加密技術(shù)提供64位和128位加密方法，應(yīng)盡量使用128位加密，這樣WEP加密會將資料加密后傳送，使得竊聽者無法知道資料的真實內(nèi)容。③定期更換密碼。

9.2無線安全機制9.2.1服務(wù)集標(biāo)識符服務(wù)集標(biāo)識符（ServiceSetID，SSID）被稱為第一代無線安全，它會被輸入AP和客戶端中，只有客戶端的SSID與AP一致時才能接入AP中。當(dāng)網(wǎng)絡(luò)中存在多個無線接入點AP時，可以設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才允許其訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進(jìn)行區(qū)別限制。這在一定程度上限制了非法用戶的接入，但是IEEE標(biāo)準(zhǔn)要求廣播SSID，這樣所有覆蓋在范圍之內(nèi)的無線終端都可以發(fā)現(xiàn)AP的SSID。一般的策略是在產(chǎn)品中關(guān)閉SSID的廣播，防止無關(guān)人員獲取AP的信息。但是很多無線嗅探器工具可以很容易地在WLAN數(shù)據(jù)中捕獲有效的SSID，因此單靠SSID限制用戶接入只能提供較低級別的安全。9.2.2MAC地址過濾MAC地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。它針對每個無線工作站的網(wǎng)卡都有唯一的物理地址，在AP中手動維護(hù)一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。MAC地址過濾方案要求AP中的MAC地址列表必須隨時更新，可擴(kuò)展性差，無法實現(xiàn)機器在不同AP之間的漫游，而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。9.2.3WEP安全機制WEP在鏈路層采用RC4對稱加密技術(shù)，用戶的密鑰只有與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止未授權(quán)用戶的監(jiān)聽和非法用戶的訪問。WEP安全機制通常會和設(shè)備里的開放系統(tǒng)認(rèn)證或共享密鑰認(rèn)證這兩種用戶認(rèn)證機制結(jié)合起來使用。9.2.4WPA安全機制為了克服WEP的不足，IEEE802.11i工作小組制定了新一代安全標(biāo)準(zhǔn)，即過渡安全網(wǎng)絡(luò)（TransitionSecurityNetwork，TSN）和強健安全網(wǎng)絡(luò)（RobustSecurityNetwork，RSN）。它使用兩種驗證方式。①802.1X及RADIUS進(jìn)行身份驗證（簡稱WPA-EAP），該方式設(shè)置比較復(fù)雜，不便于個人用戶的使用。②預(yù)共享密鑰（簡稱WPA-PSK），在AP和客戶端輸入主密鑰（masterkey）用來作為開始的認(rèn)證和編碼使用，然后動態(tài)交換自動生成更新密鑰，從而提高安全性。由于它的設(shè)置簡單，因此非常適合于個人用戶的使用。9.2.5WAPI安全機制WAPI是我國自主制定的無線安全標(biāo)準(zhǔn)，它采用橢圓曲線密碼算法和對稱密碼體制，分別用于WLAN設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加密，從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。與其他無線局域網(wǎng)安全體制相比，WAPI的優(yōu)越性主要體現(xiàn)在以下4個方面：使用數(shù)字證書進(jìn)行身份驗證。真正實現(xiàn)雙向鑒別，確保了客戶端和AP之間的雙向驗證。采取集中式密鑰管理，局域網(wǎng)內(nèi)的證書由統(tǒng)一的AS負(fù)責(zé)管理。完善的鑒別協(xié)議，由于采取了橢圓曲線密碼算法，保障了信息的完整性，安全強度高。三、歸納總結(jié)，隨堂練習(xí)（1）對課堂上講解的無線網(wǎng)絡(luò)的拓?fù)浜驮O(shè)備、無線網(wǎng)絡(luò)安全機制和常見威脅知識點進(jìn)行總結(jié)。（2）練習(xí)無線網(wǎng)絡(luò)的連接和斷開、無線路由器的基本功能設(shè)置。四、布置作業(yè)（1）完成課后實訓(xùn)17WPA2PSK無線破解、（2）上網(wǎng)查閱無線基礎(chǔ)相關(guān)資料，鞏固本節(jié)的學(xué)習(xí)內(nèi)容。教師授課教案章節(jié)標(biāo)題第9章無線局域網(wǎng)安全單元標(biāo)題無線局域網(wǎng)安全授課時長2學(xué)時教學(xué)目標(biāo)知識目標(biāo)能力目標(biāo)素質(zhì)目標(biāo)（含思政目標(biāo)）了解無線路由器的安全機制；了解無線網(wǎng)絡(luò)安全機制的理論知識。掌握藍(lán)牙工作原理和主要威脅能夠?qū)o線路由器進(jìn)行安全配置；配置和發(fā)現(xiàn)藍(lán)牙設(shè)備；能夠?qū)o線路由器的加密方式進(jìn)行配置。培養(yǎng)學(xué)生精益求精的工匠精神；培養(yǎng)學(xué)生的團(tuán)隊合作意識。教學(xué)過程：（主要教學(xué)環(huán)節(jié)、時間分配）一、舊知復(fù)習(xí)(5’)1.復(fù)習(xí)無線網(wǎng)絡(luò)概述2.引入新課二、講授新課（80’）（1）無線路由器的安全機制（2）無線路由器的安全設(shè)置（3）藍(lán)牙的原理和設(shè)置三、小結(jié)(4’)四、布置作業(yè)(1’)重點難點：無線路由器的安全機制和設(shè)置、藍(lán)牙安全的設(shè)置教學(xué)方法、手段：多媒體教學(xué)；案例法；小組討論；雨課堂推送拓展學(xué)習(xí)資料。課后作業(yè)：實訓(xùn)18藍(lán)牙設(shè)備嗅探教學(xué)后記：1.教學(xué)環(huán)境要求：需要授課教師使用Win10主機（最好安裝aircrack-ng工具）進(jìn)行授課。2.教學(xué)引入方式：從無線終端接入過程引入到無線密碼破解實驗，引入無線網(wǎng)絡(luò)安全技術(shù)。3.學(xué)生知識儲備：學(xué)生應(yīng)具備家用路由器的相關(guān)安全配置。

一、創(chuàng)設(shè)情境，引出本節(jié)內(nèi)容導(dǎo)入：家用路由器如何設(shè)置才安全；遠(yuǎn)程辦公通過無線VPN要如何實現(xiàn)。思政內(nèi)容融入點：通過無線網(wǎng)絡(luò)工程師典型案例，培養(yǎng)學(xué)生的工匠精神。進(jìn)入重點知識的講解9.3無線路由器的安全9.3.1無線路由器通用參數(shù)配置目前，各大品牌廠商在無線路由器的配置設(shè)計方面增加了密鑰、禁止SSID廣播等多種手段，以保證無線網(wǎng)絡(luò)的安全。如圖所示為無線路由結(jié)構(gòu)圖。（1）設(shè)置網(wǎng)絡(luò)密鑰Wi-Fi保護(hù)接入（Wi-FiProtectedAccess，WPA）是改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全，還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造。WPA的功能是替代WEP協(xié)議。過去的無線LAN之所以不太安全，是因為在標(biāo)準(zhǔn)加密技術(shù)WEP中存在一些缺點。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析，也幾乎無法計算出通用密鑰。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中此前倍受指責(zé)的缺點得以全部解決。（2）禁用SSID廣播無線路由器一般都會提供“允許SSID廣播”功能。如果不想讓個人的無線網(wǎng)絡(luò)被別人通過SSID名稱搜索到，那么最好“禁止SSID廣播”。禁用后的無線網(wǎng)絡(luò)仍然可以使用，只是不會出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中。通過禁止SSID廣播設(shè)置后，無線網(wǎng)絡(luò)的效率會受到一定的影響，但以此可換取安全性的提高。（3）禁用DHCPDHCP功能可在無線局域網(wǎng)內(nèi)自動為每臺計算機分配IP地址，不需要用戶設(shè)置IP地址、子網(wǎng)掩碼，以及其他所需要的TCP/IP參數(shù)。如果啟用了DHCP功能，那么其他人就能很容易地使用你的無線網(wǎng)絡(luò)。因此，禁用DHCP功能對無線網(wǎng)絡(luò)而言很有必要。在無線路由器的“DHCP服務(wù)器”設(shè)置項下將DHCP服務(wù)器設(shè)定為“不啟用”即可。（4）啟用MAC地址、IP地址過濾在無線路由器的設(shè)置項中，啟用MAC地址過濾功能時，要注意的是，在“過濾規(guī)則”中一定要選擇“僅允許已設(shè)MAC地址列表中已生效的MAC地址訪問無線網(wǎng)絡(luò)”這類選項。另外，如果在無線局域網(wǎng)中禁用了DHCP功能，那么建議為每臺使用無線服務(wù)的計算機都設(shè)置一個固定的IP地址，然后將這些IP地址都輸入IP地址允許列表中。啟用了無線路由器的IP地址過濾功能后，只有IP地址在列表中的用戶才能正常訪問網(wǎng)絡(luò)，其他人則無法訪問。9.3.2無線路由器安全管理1．安全管理路由器為了保障路由器管理界面無線密碼及其他配置信息的安全，請將管理員密碼修改為不常見的密碼。如圖所示為無線路由器賬號管理界面。2．勿使用第三方管理軟件使用第三方的管理軟件管理路由器，可能會導(dǎo)致路由器功能異常、數(shù)據(jù)泄密等。請使用瀏覽器登錄路由器Web界面來管理。3．多重?zé)o線設(shè)置防護(hù)網(wǎng)絡(luò)安全如使用傳統(tǒng)界面的路由器，請在無線安全設(shè)置中選擇WPA-PSK/WPA2-PSK，加密算法選擇AES，并設(shè)置不少于8位的密碼。4．設(shè)置無線接入控制無線接入控制是無線安全的更高級措施，設(shè)置無線接入控制后，僅允許特定的終端接入無線網(wǎng)絡(luò)。這樣，非法終端即便輸入正確的無線密碼，也無法連接上無線網(wǎng)絡(luò)。5．設(shè)置訪客網(wǎng)絡(luò)訪客網(wǎng)絡(luò)與主人網(wǎng)絡(luò)是路由器發(fā)出的兩個無線信號，兩個無線網(wǎng)絡(luò)獨立開，并且訪客網(wǎng)絡(luò)可以根據(jù)需求定時開關(guān)，也可以針對訪客設(shè)置相關(guān)權(quán)限，很好地保障了主人網(wǎng)絡(luò)的安全。6．一鍵禁用非法終端可以經(jīng)常觀察路由器管理界面的終端狀態(tài)，通過查看已連接設(shè)備列表與實際所連接的設(shè)備情況是否一致，來判斷是否被蹭網(wǎng)。若有可疑設(shè)備接入了自己的網(wǎng)絡(luò)，可以在“設(shè)備管理”中一鍵禁用不允許接入的設(shè)備。7．規(guī)范使用習(xí)慣①不使用Wi-Fi萬能鑰匙等蹭網(wǎng)軟件。該軟件會將用戶的無線網(wǎng)絡(luò)名稱及密碼上傳到蹭網(wǎng)服務(wù)器，從而共享給大眾，使得人人都可以通過蹭網(wǎng)軟