WLAN学习笔记整理(持续更新中)
前言:
我自己的学习笔记,并不一定和考试内容有关。(自用)有兴趣的朋友可以阅读,也许对你的学习或者工作有帮助。
笔记:
WLAN概述
Wlan,全称是wireless local area network,即无线局域网,和传统的有限接入方式相比无线局域网使用更自由。
无线局域网彻底摆脱了线缆和端口位置的束缚,用户不在为四处寻找有线端口和网线而苦恼,接入网络如喝咖啡般轻松和惬意。
无线局域网具有便于携带,易于移动的优点,无论是在办公大楼、机场候机大厅、酒店、用户都可以随时随地自由接入网络办公、娱乐。
所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约WLAN发展的主要瓶颈。
一、威胁无线局域网的因素
首先,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定。这样,网络覆盖范围内都成为了WLAN的接入点,使入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据;在入侵者拥有了网络访问权以后,有机会入侵WLAN,应用各种攻击手段对无线网络进行攻击。其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
为何要保护WLAN网络
防止信息被窃取
通过软件侦听无线信息
通信内容反向解密
防止未经授权的访问
非法用户接入
越权访问资源
提供稳定高效的无线接入
非法AP等信息干扰导致信号不稳定
拒绝服务攻击导致WLAN不可用
WLAN安全所面临的威胁
二、无线局域网的安全措施
1. 采用无线加密协议防止未授权用户
保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外,一个必须注意的问题就是,用于标志每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。
2. 改变服务集标识符并且禁止SSID广播
SSID是无线接入的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM 的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。
3. 静态IP与MAC地址绑定
无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。设置方法如下:首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”)、以后要固定使用的IP地址、其网卡的MAC地址,都如实填写好,最后点“执行”就可以了。
4. VPN技术在无线网络中的应用
对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中,维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。VPN服务器提供网络的认证和加密。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
5. 无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网,来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析,找出那些伪装WAP的无线上网用户。无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良性能,他们同时还提供无线入侵检测系统的解决方案。
6. 采用身份验证和授权
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令—响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制,STA向AP发送申请,然后AP发回口令;接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于,口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。这时,可以采用其他的身份验证/授权机制,使用802.1x、VPN或证书对无线网络用户进行身份验证和授权,使用客户端证书,使攻击者几乎无法获得访问权限。
7. 其他安全措施
除了以上叙述的安全措施手段,我们还要采取一些其他的技术。例如,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理,加强WLAN的安全性。
WLAN安全方面的注意事项。
常见无线安全做法是隐藏SSID,但这很容易被发现。“只是因为你没有显示你的SSID并不意味着你是安全的,”Huber称,这个做法也有问题,因为它让客户端更难连接。
MAC地址过滤是另一个不能提高安全性的常见做法,MAC地址很容易被欺骗。MAC过滤唯一的作用是在外部网格网络。
Huber建议尽可能使用双因素身份验证,无线加密的最佳做法是WPA2Enterprise,这结合了AES/CCMP与802.1x可扩展身份验证协议(EAP)。
如果可能的话,企业SSID应放在5GHz网络,2.4GHz作为访客网络。
她还谈到苹果iOS和Android两个顶级移动平台的风险。与iOS不同,Android设备的软件更新很少广泛部署。Android用户通常会在不知情情况下授予应用程序对设备的控制或者完全控制权限,这可能带来很大风险。
企业有很多办法可控制连接到WLAN的设备,例如通过移动设备管理软件,这可通过各种方式限制或者限制访问,并部署安全机制。
WIDS/WIPS
工作模式配置为monitor模式的射频,如果已部署WDS或Mesh业务,则射频实际生效模式为normal模式。
如果在射频上配置了WIDS、频谱分析、背景探测或终端定位功能,则该射频无法用来配置WDS网桥或Mesh链路。
AP的工作模式为normal模式,周期性扫描时正常业务可能有短暂的中断,且只能在WLAN业务使用的信道上进行反制。如果需要全信道反制,则需要将工作模式配置为monitor,此时WLAN正常业务不可用。
WIDS/WIPS
工作模式配置为monitor模式的射频,如果已部署WDS或Mesh业务,则射频实际生效模式为normal模式。
如果在射频上配置了WIDS、频谱分析、背景探测或终端定位功能,则该射频无法用来配置WDS网桥或Mesh链路。
AP的工作模式为normal模式,周期性扫描时正常业务可能有短暂的中断,且只能在WLAN业务使用的信道上进行反制。如果需要全信道反制,则需要将工作模式配置为monitor,此时WLAN正常业务不可用
配置WLAN安全的前提条件以及注意事项
WIDS/WIPS
工作模式配置为monitor模式的射频,如果已部署WDS或Mesh业务,则射频实际生效模式为normal模式。
如果在射频上配置了WIDS、频谱分析、背景探测或终端定位功能,则该射频无法用来配置WDS网桥或Mesh链路。
AP的工作模式为normal模式,周期性扫描时正常业务可能有短暂的中断,且只能在WLAN业务使用的信道上进行反制。如果需要全信道反制,则需要将工作模式配置为monitor,此时WLAN正常业务不可用。
安全策略
AP7030DE、AP7050DE和AP9330DN不支持WAPI。
WLAN安全方面的常识性概念
l 边界防御安全
无线干扰检测系统(wids:wireless intrusion detection system)
无线干扰防御系统(wips:wireless intrusionprevention system)
l 用户接入安全
链路认证
用户接入认证
数据加密
l 业务安全
WLAN边界安全威胁
Wlan网络很容易受到各种网络威胁的影响,如中间人攻击、AD-hoc网络、拒绝服务型攻击等。
非法设备和非法攻击对于企业网络安全时一个很严重的威胁。
暴力PSK密码破解:采用枚举法进行攻击;
泛洪攻击:发送大量的报文出去
欺骗攻击(snoof攻击):冒充别人。例如arp欺骗
WIDS&WIPS功能概述
WIDS(wireless intrusion detection system)
无线入侵检测系统:
依照一定的安全策略,对网络、系统的运行状态进行监视,分析用户的活动,判断入侵事件的类型,检测非法的网络
WIPS(wireless intrusion prevention system)
无线入侵防御系统。通过对无线网络的实时监测,对于监测到的入侵事件,攻击行为进行主动防御和预警。
AP的工作模式可以分为两种:正常模式、监测模式
正常模式
未开启空口扫面功能,用于传输普通的wlan业务数据;
开启空口扫面功能:不仅传输普通的WLAN业务数据,还具备了监控功能,可能会对传输普通的wlan业务数据造成一定的影响
监控模式
仅能实现监测功能,不能传输wlan用户的数据。
非法设备判断流程
图 3
TO DS:STATION TO AP(UPLOAD)
FROM DS: STATION FROM AP (DOWN)
终端向ap发送数据帧:TO DS=1,FROM DS=0;
从AP向终端传输数据:TO DS=0,FROM DS=1;
网桥连接:TO DS=1,FROM DS=1;
AD-HOC:TO DS=0,FROM DS=0;
非法设备判判断流程:
1. 网桥判断:白名单
2. Station判断:非法终端
3. 所有的热点连接都属于非法
ROGUE设备防范反制
WIPE功能支持对Rogue ap、Rogue client、Ad hoc设备进行反制
图 4
WIDS/WIPS支持的其它功能
WIDS泛洪攻击监测
WIDS spoof 攻击监测
WIDS Weak IV检测
防爆力破解PSK
AC支持对AP进行认证(绑定AP)
AC支持对AP进行认证
(1) MAC认证
(2) SN认证
(3) 不认证
免认证白名单功能
(1) AP白名单
(2) WDS
(3) Mesh白名单
用户接入安全
WLAN网络安全包括两个方面:
用户身份验证—防止未授权访问网络资源(用户认证)
数据加密—以保护数据完整性和数据传输私密性(数据加密)
华为AC支持四种安全策略:
WEP —支持开放认证、share KEY认证;WEP(wired Equivalent Privacy有线等效保密)加密;
WAP(Wireless Application Protocol)—支持PSK认证、EAP认证;tkip、ccmp加密
WAP2—支持PSK认证、EAP认证;tkip、ccmp加密
WAPI—支持PSK认证、基于证书的认证、椭圆曲线密码加密
EAP(Extensible Authentication Protocol):可扩展的身份验证协议
Wep—有线等效加密
Wep采用RC4算法,算法易被破解
WEP采用静态密匙,密匙分发维护困难
Wep配置开放认证后,无线用户不经认证即可接入
WEP开放认证+web portal认证可以使用于访客接入场景
其他场景不再推荐使用WEP协议
参考资料:
1.大型网络WLAN设计方案_文档之家 (doczj.com)
http://www.doczj.com/doc/8186e605bc1e650e52ea551810a6f524ccbfcb9b.html
2、WLAN设计和安全技巧 (qianjia.com)
http://www.qianjia.com/html/2017-09/07_275988.html
3、WLAN简介及其安全性分析 (renrendoc.com) https://www.renrendoc.com/paper/161876172.html
4、计算机网络11.5--无线局域网安全_hujian0714的博客-CSDN博客
https://blog.csdn.net/hujian001136/article/details/106297602?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7ERate-1.pc_relevant_paycolumn_v3&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7ERate-1.pc_relevant_paycolumn_v3&utm_relevant_index=2
5、wlan安全概述_江饼人爱学习的博客-CSDN博客https://blog.csdn.net/sherlockmj/article/details/114081501
6、智慧城市WLAN安全不容忽视_迈点网 (meadin.com)https://www.meadin.com/mt/86769.html
7、WLAN中的安全措施 - 百度文库 (baidu.com)https://wenku.baidu.com/view/d2e036d03d1ec5da50e2524de518964bce84d221.html
