前言：

我自己的學(xué)習(xí)筆記，并不一定和考試內(nèi)容有關(guān)。（自用）有興趣的朋友可以閱讀，也許對你的學(xué)習(xí)或者工作有幫助。

筆記：

WLAN概述

Wlan，全稱是wireless local area network，即無線局域網(wǎng)，和傳統(tǒng)的有限接入方式相比無線局域網(wǎng)使用更自由。

無線局域網(wǎng)徹底擺脫了線纜和端口位置的束縛，用戶不在為四處尋找有線端口和網(wǎng)線而苦惱，接入網(wǎng)絡(luò)如喝咖啡般輕松和愜意。

無線局域網(wǎng)具有便于攜帶，易于移動的優(yōu)點，無論是在辦公大樓、機場候機大廳、酒店、用戶都可以隨時隨地自由接入網(wǎng)絡(luò)辦公、娛樂。

所謂無線網(wǎng)絡(luò)，顧名思義就是利用無線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò)。WIAN技術(shù)為用戶提供更好的移動性、靈活性和擴展性，在難以重新布線的區(qū)域提供快速而經(jīng)濟有效的局域網(wǎng)接入，無線網(wǎng)橋可用于為遠程站點和用戶提供局域網(wǎng)接入。但是，當用戶對WLAN的期望日益升高時，其安全問題隨著應(yīng)用的深入表露無遺，并成為制約WLAN發(fā)展的主要瓶頸。

?一、威脅無線局域網(wǎng)的因素

??????? 首先，由于WLAN是以無線電波作為上網(wǎng)的傳輸媒介，因此無線網(wǎng)絡(luò)難以限制網(wǎng)絡(luò)資源的物理訪問，無線網(wǎng)絡(luò)信號可以傳播到預(yù)期的方位以外的地域，具體情況要根據(jù)建筑材料和環(huán)境而定。這樣，網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點，使入侵者有機可乘，可以在預(yù)期范圍以外的地方訪問WLAN，竊聽網(wǎng)絡(luò)中的數(shù)據(jù)；在入侵者擁有了網(wǎng)絡(luò)訪問權(quán)以后，有機會入侵WLAN，應(yīng)用各種攻擊手段對無線網(wǎng)絡(luò)進行攻擊。其次，由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計算機網(wǎng)絡(luò)，所以計算機病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計算機，甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴重的后果。因此，WLAN中存在的安全威脅因素主要是：竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等。? ??

為何要保護WLAN網(wǎng)絡(luò)

防止信息被竊取

通過軟件偵聽無線信息

通信內(nèi)容反向解密

防止未經(jīng)授權(quán)的訪問

非法用戶接入

越權(quán)訪問資源

提供穩(wěn)定高效的無線接入

非法AP等信息干擾導(dǎo)致信號不穩(wěn)定

拒絕服務(wù)攻擊導(dǎo)致WLAN不可用

WLAN安全所面臨的威脅

二、無線局域網(wǎng)的安全措施

??1. 采用無線加密協(xié)議防止未授權(quán)用戶

????????保護無線網(wǎng)絡(luò)安全的最基本手段是加密，通過簡單的設(shè)置AP和無線網(wǎng)卡等設(shè)備，就可以啟用WEP加密。無線加密協(xié)議(WEP)是對無線網(wǎng)絡(luò)上的流量進行加密的一種標準方法。許多無線設(shè)備商為了方便安裝產(chǎn)品，交付設(shè)備時關(guān)閉了WEP功能。但一旦采用這種做法，黑客就能利用無線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對WEP密鑰進行更換，有條件的情況下啟用獨立的認證服務(wù)為WEP自動分配密鑰。另外，一個必須注意的問題就是，用于標志每個無線網(wǎng)絡(luò)的服務(wù)者身份(SSID)，在部署無線網(wǎng)絡(luò)的時候一定要將出廠時的缺省SSID更換為自定義的SSID。

????????2. 改變服務(wù)集標識符并且禁止SSID廣播

????????SSID是無線接入的身份標識符，用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設(shè)備制造商設(shè)置的，并且每個廠商都用自己的缺省值。例如，3COM 的設(shè)備都用“101”。因此，知道這些標識符的黑客可以很容易不經(jīng)過授權(quán)就享受你的無線服務(wù)。你需要給你的每個無線接入點設(shè)置一個唯一并且難以推測的SSID。

????????3. 靜態(tài)IP與MAC地址綁定

????????無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態(tài)IP地址分配，這對無線網(wǎng)絡(luò)來說是有安全隱患的，“不法”分子只要找到了無線網(wǎng)絡(luò)，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了局域網(wǎng)絡(luò)中。因此，建議關(guān)閉DHCP服務(wù)，為每臺電腦分配固定的靜態(tài)IP地址，然后再把這個IP地址與該電腦網(wǎng)卡的MAC地址進行綁定，這樣就能大大提升網(wǎng)絡(luò)的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當于兩重關(guān)卡。設(shè)置方法如下：首先，在無線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”。然后激活“固定DHCP”功能，把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計算機描述”)、以后要固定使用的IP地址、其網(wǎng)卡的MAC地址，都如實填寫好，最后點“執(zhí)行”就可以了。

????????4. VPN技術(shù)在無線網(wǎng)絡(luò)中的應(yīng)用

????????對于高安全要求或大型的無線網(wǎng)絡(luò)，VPN方案是一個更好的選擇。因為在大型無線網(wǎng)絡(luò)中，維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務(wù)。VPN服務(wù)器提供網(wǎng)絡(luò)的認證和加密。與WEP機制和MAC地址過濾接入不同，VPN方案具有較強的擴充、升級性能，可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)。

????????5. 無線入侵檢測系統(tǒng)

????????無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似，但無線入侵檢測系統(tǒng)增加了無線局域網(wǎng)的檢測和對破壞系統(tǒng)反應(yīng)的特性。侵入竊密檢測軟件對于阻攔雙面惡魔攻擊來說，是必須采取的一種措施。如今入侵檢測系統(tǒng)已用于無線局域網(wǎng)，來監(jiān)視分析用戶的活動，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對異常的網(wǎng)絡(luò)流量進行報警。無線入侵檢測系統(tǒng)不但能找出入侵者，還能加強策略。通過使用強有力的策略，會使無線局域網(wǎng)更安全。無線入侵檢測系統(tǒng)還能檢測到MAC地址欺騙。它是通過一種順序分析，找出那些偽裝WAP的無線上網(wǎng)用戶。無線入侵檢測系統(tǒng)可以通過提供商來購買，為了發(fā)揮無線入侵檢測系統(tǒng)的優(yōu)良性能，他們同時還提供無線入侵檢測系統(tǒng)的解決方案。

????????6. 采用身份驗證和授權(quán)

????????當攻擊者了解網(wǎng)絡(luò)的SSID、網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時，他們可以嘗試建立與AP關(guān)聯(lián)。目前，有3種方法在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在于，如果您沒有其他的保護或身份驗證機制，那么您的無線網(wǎng)絡(luò)將是完全開放的，就像其名稱所表示的。共享機密身份驗證機制類似于“口令—響應(yīng)”身份驗證系統(tǒng)。在STA與AP共享同一個WEP密鑰時使用這一機制，STA向AP發(fā)送申請，然后AP發(fā)回口令；接著，STA利用口令和加密的響應(yīng)進行回復(fù)。這種方法的漏洞在于，口令是通過明文傳輸給STA的，因此如果有人能夠同時截取口令和響應(yīng)，那么他們就可能找到用于加密的密鑰。這時，可以采用其他的身份驗證／授權(quán)機制，使用802.1x、VPN或證書對無線網(wǎng)絡(luò)用戶進行身份驗證和授權(quán)，使用客戶端證書，使攻擊者幾乎無法獲得訪問權(quán)限。

????????7. 其他安全措施

????????除了以上敘述的安全措施手段，我們還要采取一些其他的技術(shù)。例如，設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號被盜聽也難以理解其中的內(nèi)容；加強企業(yè)內(nèi)部管理，加強WLAN的安全性。

WLAN安全方面的注意事項。

　　常見無線安全做法是隱藏SSID，但這很容易被發(fā)現(xiàn)?！爸皇且驗槟銢]有顯示你的SSID并不意味著你是安全的，”Huber稱，這個做法也有問題，因為它讓客戶端更難連接。

　　MAC地址過濾是另一個不能提高安全性的常見做法，MAC地址很容易被欺騙。MAC過濾唯一的作用是在外部網(wǎng)格網(wǎng)絡(luò)。

　　Huber建議盡可能使用雙因素身份驗證，無線加密的最佳做法是WPA2Enterprise，這結(jié)合了AES/CCMP與802.1x可擴展身份驗證協(xié)議(EAP)。

　　如果可能的話，企業(yè)SSID應(yīng)放在5GHz網(wǎng)絡(luò)，2.4GHz作為訪客網(wǎng)絡(luò)。

　　她還談到蘋果iOS和Android兩個頂級移動平臺的風(fēng)險。與iOS不同，Android設(shè)備的軟件更新很少廣泛部署。Android用戶通常會在不知情情況下授予應(yīng)用程序?qū)υO(shè)備的控制或者完全控制權(quán)限，這可能帶來很大風(fēng)險。

　　企業(yè)有很多辦法可控制連接到WLAN的設(shè)備，例如通過移動設(shè)備管理軟件，這可通過各種方式限制或者限制訪問，并部署安全機制。

WIDS/WIPS

• 工作模式配置為monitor模式的射頻，如果已部署WDS或Mesh業(yè)務(wù)，則射頻實際生效模式為normal模式。

• 如果在射頻上配置了WIDS、頻譜分析、背景探測或終端定位功能，則該射頻無法用來配置WDS網(wǎng)橋或Mesh鏈路。

• AP的工作模式為normal模式，周期性掃描時正常業(yè)務(wù)可能有短暫的中斷，且只能在WLAN業(yè)務(wù)使用的信道上進行反制。如果需要全信道反制，則需要將工作模式配置為monitor，此時WLAN正常業(yè)務(wù)不可用。

WIDS/WIPS

• 工作模式配置為monitor模式的射頻，如果已部署WDS或Mesh業(yè)務(wù)，則射頻實際生效模式為normal模式。

• 如果在射頻上配置了WIDS、頻譜分析、背景探測或終端定位功能，則該射頻無法用來配置WDS網(wǎng)橋或Mesh鏈路。

• AP的工作模式為normal模式，周期性掃描時正常業(yè)務(wù)可能有短暫的中斷，且只能在WLAN業(yè)務(wù)使用的信道上進行反制。如果需要全信道反制，則需要將工作模式配置為monitor，此時WLAN正常業(yè)務(wù)不可用

  配置WLAN安全的前提條件以及注意事項

  WIDS/WIPS

• 工作模式配置為monitor模式的射頻，如果已部署WDS或Mesh業(yè)務(wù)，則射頻實際生效模式為normal模式。

• 如果在射頻上配置了WIDS、頻譜分析、背景探測或終端定位功能，則該射頻無法用來配置WDS網(wǎng)橋或Mesh鏈路。

• AP的工作模式為normal模式，周期性掃描時正常業(yè)務(wù)可能有短暫的中斷，且只能在WLAN業(yè)務(wù)使用的信道上進行反制。如果需要全信道反制，則需要將工作模式配置為monitor，此時WLAN正常業(yè)務(wù)不可用。

  安全策略
  

• AP7030DE、AP7050DE和AP9330DN不支持WAPI。

WLAN安全方面的常識性概念

l?邊界防御安全

無線干擾檢測系統(tǒng)（wids：wireless intrusion detection system）

無線干擾防御系統(tǒng)（wips：wireless intrusionprevention system）

l?用戶接入安全

鏈路認證

用戶接入認證

數(shù)據(jù)加密

l?業(yè)務(wù)安全

WLAN邊界安全威脅

Wlan網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響，如中間人攻擊、AD-hoc網(wǎng)絡(luò)、拒絕服務(wù)型攻擊等。

非法設(shè)備和非法攻擊對于企業(yè)網(wǎng)絡(luò)安全時一個很嚴重的威脅。

?

暴力PSK密碼破解：采用枚舉法進行攻擊；

泛洪攻擊：發(fā)送大量的報文出去

欺騙攻擊（snoof攻擊）：冒充別人。例如arp欺騙

WIDS&WIPS功能概述

WIDS（wireless intrusion detection system）

無線入侵檢測系統(tǒng)：

依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀態(tài)進行監(jiān)視，分析用戶的活動，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)

WIPS（wireless intrusion prevention system）

無線入侵防御系統(tǒng)。通過對無線網(wǎng)絡(luò)的實時監(jiān)測，對于監(jiān)測到的入侵事件，攻擊行為進行主動防御和預(yù)警。

AP的工作模式可以分為兩種：正常模式、監(jiān)測模式

正常模式

未開啟空口掃面功能，用于傳輸普通的wlan業(yè)務(wù)數(shù)據(jù)；

開啟空口掃面功能：不僅傳輸普通的WLAN業(yè)務(wù)數(shù)據(jù)，還具備了監(jiān)控功能，可能會對傳輸普通的wlan業(yè)務(wù)數(shù)據(jù)造成一定的影響

監(jiān)控模式

僅能實現(xiàn)監(jiān)測功能，不能傳輸wlan用戶的數(shù)據(jù)。

非法設(shè)備判斷流程

?

圖 3

TO DS:STATION TO AP(UPLOAD)

FROM DS: STATION FROM AP (DOWN)

終端向ap發(fā)送數(shù)據(jù)幀：TO DS=1，F(xiàn)ROM DS=0；

從AP向終端傳輸數(shù)據(jù)：TO DS=0，F(xiàn)ROM DS=1；

網(wǎng)橋連接：TO DS=1，F(xiàn)ROM DS=1；

AD-HOC:TO DS=0，F(xiàn)ROM DS=0；

非法設(shè)備判判斷流程：

1.?網(wǎng)橋判斷：白名單

2.?Station判斷：非法終端

3.?所有的熱點連接都屬于非法

ROGUE設(shè)備防范反制

WIPE功能支持對Rogue ap、Rogue client、Ad hoc設(shè)備進行反制

?

圖 4

WIDS/WIPS支持的其它功能

WIDS泛洪攻擊監(jiān)測

WIDS spoof 攻擊監(jiān)測

WIDS Weak IV檢測

防爆力破解PSK

AC支持對AP進行認證（綁定AP）

AC支持對AP進行認證

(1)?MAC認證

(2)?SN認證

(3)?不認證

免認證白名單功能

(1)?AP白名單

(2)?WDS

(3)?Mesh白名單

用戶接入安全

WLAN網(wǎng)絡(luò)安全包括兩個方面：

用戶身份驗證—防止未授權(quán)訪問網(wǎng)絡(luò)資源（用戶認證）

數(shù)據(jù)加密—以保護數(shù)據(jù)完整性和數(shù)據(jù)傳輸私密性（數(shù)據(jù)加密）

華為AC支持四種安全策略：

WEP —支持開放認證、share KEY認證；WEP（wired Equivalent Privacy有線等效保密）加密；

WAP（Wireless Application Protocol）—支持PSK認證、EAP認證；tkip、ccmp加密

WAP2—支持PSK認證、EAP認證；tkip、ccmp加密

WAPI—支持PSK認證、基于證書的認證、橢圓曲線密碼加密

EAP(Extensible Authentication Protocol)：可擴展的身份驗證協(xié)議

Wep—有線等效加密

Wep采用RC4算法，算法易被破解

WEP采用靜態(tài)密匙，密匙分發(fā)維護困難

Wep配置開放認證后，無線用戶不經(jīng)認證即可接入

WEP開放認證+web portal認證可以使用于訪客接入場景

其他場景不再推薦使用WEP協(xié)議

參考資料：

1.大型網(wǎng)絡(luò)WLAN設(shè)計方案_文檔之家 (doczj.com)

http://www.doczj.com/doc/8186e605bc1e650e52ea551810a6f524ccbfcb9b.html

2、WLAN設(shè)計和安全技巧 (qianjia.com)

http://www.qianjia.com/html/2017-09/07_275988.html

3、WLAN簡介及其安全性分析 (renrendoc.com) https://www.renrendoc.com/paper/161876172.html

4、計算機網(wǎng)絡(luò)11.5--無線局域網(wǎng)安全_hujian0714的博客-CSDN博客?

https://blog.csdn.net/hujian001136/article/details/106297602?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7ERate-1.pc_relevant_paycolumn_v3&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7ERate-1.pc_relevant_paycolumn_v3&utm_relevant_index=2

5、wlan安全概述_江餅人愛學(xué)習(xí)的博客-CSDN博客https://blog.csdn.net/sherlockmj/article/details/114081501

6、智慧城市WLAN安全不容忽視_邁點網(wǎng) (meadin.com)https://www.meadin.com/mt/86769.html

7、WLAN中的安全措施 - 百度文庫 (baidu.com)https://wenku.baidu.com/view/d2e036d03d1ec5da50e2524de518964bce84d221.html