无线局域网应用技术项目6：微企业无线局域网的安全配置课件.pptx

1、微企业无线局域网的安全配置微企业无线局域网的安全配置项目背景描述项目背景描述l中锐网络科技有限公司实现了内部员工的移动办公需求，为了方便中锐网络科技有限公司实现了内部员工的移动办公需求，为了方便员工使用，在网络建设初期并没有对网络进行接入控制，这导致了员工使用，在网络建设初期并没有对网络进行接入控制，这导致了非公司内部员工不需要输入用户名和密码就可以接入网络，进而接非公司内部员工不需要输入用户名和密码就可以接入网络，进而接入公司内网。由于外来人员接入公司内部网络不仅带来了公司信息入公司内网。由于外来人员接入公司内部网络不仅带来了公司信息安全的隐患问题，同时随着接入人数的增加，公司无线网络也变的

2、安全的隐患问题，同时随着接入人数的增加，公司无线网络也变的越来越慢。为了解决以上问题，公司要求网络管理员加强对无线网越来越慢。为了解决以上问题，公司要求网络管理员加强对无线网络的安全管理，仅允许内部员工访问。络的安全管理，仅允许内部员工访问。需求分析需求分析l微型企业无线网络通常仅使用微型企业无线网络通常仅使用FAT AP进行组网，因此，这种组网方进行组网，因此，这种组网方式通常可以通过以下几种方式来构建一个安全的无线网络：式通常可以通过以下几种方式来构建一个安全的无线网络：对公司无线实施安全加密认证，内部员工访问公司无线网络需要输入密码才可以关联无线SSID；为了避免所有人都可以搜索到公司的

3、无线SSID信号，对无线网络实施隐藏SSID功能，防止无线信号外泄；为了防止非本公司的无线终端访问公司内部网络从而造成信息泄露，对现有无线网络配置黑白名单，仅需云注册的无线终端接入到网络。n wlan安全问题安全问题n wlan安全对策安全对策n wlan安全标准安全标准n wlan安全技术安全技术引入引入WLAN网络的安全需求网络的安全需求l无线链路的安全缺陷无线链路的安全缺陷物理信道的开放性；网上涌现出相关的攻击软件；除了信息的截取，还可以进行DoS攻击；对比有线网络，更易于攻击，甚至是物理层。WLAN的安全问题的安全问题l窃听（窃听（Eavesdropping）非授权者窃听无线站点和AP

4、之间发送的无线电信号被动攻击（难以检测）比有线局域网的窃听更容易WLAN的安全问题的安全问题l非授权访问非授权访问方式1：入侵者伪装成授权用户，进入WLAN系统。对策：认证机制。方式2：入侵者设置一个伪造AP欺骗无线站点，捕获用户名和登录口令。当一个无线站点进入一个新区时，它会基于信号强度和误码率来选择AP，比方式1更容易实现。2022-8-WLAN的安全问题的安全问题l干扰和人为干扰干扰和人为干扰干扰：微波炉；人为干扰：攻击者使用高功率的发射机；后果：带宽（数据吞吐量）严重下降。2022-8-WLAN的安全问题的安全问题l物理威胁物理威胁AP（被冰雪覆盖而导致阻塞）电缆（被挖断）天线（被风刮

5、歪或刮断）无线NIC软件2022-8-n wlan安全问题安全问题n wlan安全对策安全对策n wlan安全标准安全标准n wlan安全技术安全技术引入引入安全手段安全手段1：SSID广播广播lSSID验证验证无线工作站与无线AP的SSID相同，才能访问AP；如果出示SSID与AP的SSID不同，AP拒绝通过本服务区上网。SSID是一个简单口令，提供口令认证，实现安全保障。lSSID隐藏隐藏SSID不在信标帧中广播。无线客户端扫描可用网络时，该无线接入点将不会在网络列表中显示。只能手工添加。安全手段安全手段2：安全认证和数据加密：安全认证和数据加密l为了增强无线安全性，无线设备提供认证和加密

6、两个安全机制：为了增强无线安全性，无线设备提供认证和加密两个安全机制：1、认证机制：用来对用户身份验证，限定特定用户（授权用户）使用网络资源。2、加密机制：用来对无线链路数据加密，保证无线网络数据只被所期望用户接收和理解。n wlan安全问题安全问题n wlan安全对策安全对策n wlan安全标准安全标准n wlan安全技术安全技术引入引入安全技术发展安全技术发展l在在IEEE 802.11i提出前，只有提出前，只有WEP（Wired Equivalent Privacy，有线等效加密）认证方式，有线等效加密）认证方式，采用静态保密密钥，终端使用相同密钥访问无线，算法容易破解。采用静态保密密钥

7、，终端使用相同密钥访问无线，算法容易破解。l为解决安全问题，为解决安全问题，Wi-Fi 联盟制定联盟制定WPA标准（标准（Wi-Fi Protected Access：Wi-Fi 网络安全访网络安全访问），替代问），替代WEP过渡方案，过渡方案，WPA认证有两种模式：认证有两种模式：802.1x认证模式和预先共享密钥认证模式和预先共享密钥PSK（Pre-Shared Key）模式。）模式。lIEEE 802.11i定义定义RSN（Robust Security Network：强健安全网络）发布，：强健安全网络）发布，Wi-Fi联盟把联盟把WPA修订，重新推出与修订，重新推出与IEEE 802

8、.11i标准相同标准相同WPA2。802.11安全体系安全体系WEP（802.11b，2000年）802.11i(2004.6通过)802.11i工作组（2001.5成立）采用AES取代RC4使用802.1x协议进行用户认证Wi-Fi访问保护（WPA）中国WAPIWPA：2003WPA2：2004在IEEE 802.11i前，市场对WLAN安全要求迫切，Wi-Fi联盟联合802.11i任务组提出WPA（Wi-Fi Protected Access）标准。WPA对WEP不足改进，兼容802.11i和现有WEP标准。开放环境基本MAC限制WEP802.11i(WPA/WPA2)WAPIWLAN安全

9、技术发展历史安全技术发展历史无线网络安全技术无线网络安全技术l数据加密技术数据加密技术WEPWPAl身份认证技术身份认证技术开放系统认证MAC (基于MAC接入控制,AP上配置可接入MAC地址列表)Web-P802.11安全认证机制安全认证机制lIEEE 802.11定义两种认证：定义两种认证：开放系统认证 (Open System Authentication)-默认的认证机制-认证以明文形式进行-适合安全要求较低场所共享密钥认证(Shared Key Authentication)-可选的认证机制-必须能执行WEPn wlan安全问题安全问题n wlan安全对策安全对策n wlan安全标准

10、安全标准n wlan安全认证安全认证引入引入WEPWEP协议协议lWEPWEP（Wired Equivalent PrivacyWired Equivalent Privacy，有线等效保密）协议，对，有线等效保密）协议，对无线传输数据加密，防止非法窃听，侵入无线网络。无线传输数据加密，防止非法窃听，侵入无线网络。WEP加密算法，采用RC4算法，对用户数据加密。客户端与AP共享密钥，密钥长度有40位至256位两种。802.11b定义无线局域网安全协议。密钥容易被破解WEP协议认证方式协议认证方式l开放式系统认证开放式系统认证（Open System）顾名思义，不需要密钥验证就可以连接。l共有键

11、认证（共有键认证（Shared Key）客户端向AP发送认证请求。AP回一个明文。客户端利用预存密钥对明文加密，再次向AP发出认证请求。AP对数据包解密，比较明文，并决定是否接受请求。WEPWEP协议认证：协议认证：开放系统认证开放系统认证l使用开放系统认证工作站，都能被成功认证（使用开放系统认证工作站，都能被成功认证（空认证空认证）；）；l顾名思义，不需要密钥验证就可以连接。顾名思义，不需要密钥验证就可以连接。l认证过程只有两步：认证过程只有两步：认证请求 认证响应请求帧请求帧验证算法标识=“开放系统”验证处理序列号=1验证帧验证帧验证算法标识=“开放系统”验证处理序列号=2验证请求的结果W

12、EP协议认证：开放系统认证协议认证：开放系统认证l开放式系统认证开放式系统认证（Open System）WEP协议认证：共享密钥认证协议认证：共享密钥认证l备注：备注：802.11提供单向认证：提供单向认证：只认证工作站的合法性没有认证AP的合法性 客户端向AP发送认证请求 AP向客户端发送明文挑战帧客户端用共享WEP密钥加密该挑战，并返回给AP AP发送认证响应AP解密帧WEP协议加密、解密过程协议加密、解密过程WEP协议缺点：加密破解协议缺点：加密破解l非法客户通过非法客户通过ARP攻击来抓获足够的数据包攻击来抓获足够的数据包WEP协议算法缺陷协议算法缺陷l密钥流算法（密钥流算法（RC4）

13、l初始化向量（初始化向量（IV）l数据完整性校验算法（数据完整性校验算法（CRC-32）WEP使用基于CRC-32算法，检测传输噪声和普通错误算法。但CRC-32是信息线性函数，攻击者可以篡改加密信息和ICV，使信息表面上看起来可信。能够篡改加密数据包，使各种非常简单攻击成为可能。WEP的安全缺陷的安全缺陷l使用手工分发密钥使用手工分发密钥lWEP-40实质上的密钥长度只有实质上的密钥长度只有40位位l当密钥流重用时，流密码极易受到攻击当密钥流重用时，流密码极易受到攻击l密钥不能及时更新，导致字典攻击密钥不能及时更新，导致字典攻击l错误的使用错误的使用CRC作为完整性校验作为完整性校验lRC4

14、本身的脆弱性，即使本身的脆弱性，即使WEP-104也不是真正安全也不是真正安全WPA(Wi-Fi Protected Access)安全协议安全协议lIEEE 802.11i工作组致力新一代安全标准工作组致力新一代安全标准IEEE 802.11i 研发，针对研发，针对WEP加密缺陷做改进，增强加密缺陷做改进，增强WLAN数据加密和认证性能。数据加密和认证性能。WPA（Wi-Fi联盟，WEP到IEEE 802.11i过渡方案）WAPI（无线网鉴别和保密基础结构，中国）IEEE 802.11i与与WPAlIEEE 802.11i安全体系：安全体系：RSN（坚固安全网络）TSN（过渡安全网络）：支持

15、WEP设备RSN，使现有网络方便的迁移到RSNlWPA在802.11i获得批准以前，由Wi-Fi联盟提出：保护接入（WPA）体系暂时替代RSN，它不是IEEE标准，是802.11i草案中一部分，WPA是802.11i安全标准一个子集。Wi-Fi联盟要求，兼容WPA设备，在802.11i获批后，升级到与802.11i兼容。WPA安全协议安全协议lWPA数据加密算法数据加密算法TKIP；Temporal Key Integrity Protocol（临时密钥完整性协议）AES；Advanced Encryption Standard（高级加密标准）lWPA密钥长度密钥长度输入863个字符或64个十

16、六进制数2022-8-13802.11i发展历程：发展历程：WPA/WPA2lWPA(Wi-Fi Protected Access)采用TKIP加密协议。TKIP仍使用RC4算法，使用48位初始化向量（IV）、128位密钥和动态变化密钥，加入对重传攻击防范，并对校验机制等做重大改进。支持802.1x与PSK认证方式lWPA2:WPA2 是 WPA 第二个版本，支持AES(高级加密算法)，因此需要新硬件支持，它使用CCMP(计数器模式密码块链消息完整码协议)。WPA加密改进加密改进lWPA继承继承WEP加密原理，解决加密原理，解决WEP缺点；缺点；采用动态密钥，IV密钥以0开始随每个后续帧而递增

17、 增加消息完整性检查（MIC）防止数据包伪造 支持密钥自动更新WPA加密改进加密改进l认证方面：认证方面：WPA采用是802.1x+EAP认证方式，通过第三方AAA服务器（Radius服务器）进行可扩展性认证。l加密方面加密方面:WPA采用“临时密钥完整性协议”（TKIP）新认证/加密机制：利用Radius服务器分发密钥作数据加密，但这个机制只存在于Enterprise模式下，对于WPA-PSK并不支持；l另外，将密钥头长度增加至另外，将密钥头长度增加至48位，增加解密难度，但由于其实际加位，增加解密难度，但由于其实际加密方式仍是密方式仍是RC4，因此被破解威胁仍然是存在。，因此被破解威胁仍然

18、是存在。WPA2lWPA2 包括包括 WPA2PSK（共享密钥模式）WPA2RADIUS （证书模式）l在加密方面在加密方面WPA2支持两种加密方式支持两种加密方式 AES TKIPWEP与与WPA2对比对比WEPWPA2-PSK安全性不安全，易破解除暴力破解，尚未有破解方法加密算法RC4AES，128位加密算法连接单次，Open System和Shared Key模式四次握手，只能Open System模式密钥静态，无派生动态，任意两设备间密钥不一样完整性校验CRC-32，线性算法，易篡改CCM，密码区块链信息认证，对MIC加密，无法篡改初始化向量24位，线序排列48位数据包编号身份认证无I

19、EEE 802.1x身份认证重播保护无数据包编号作为计数重播保护对比对比特点特点WEP802.11iWAPI认证设备单向主要为单向双向认证方式简单密码PSK或802.1x数字证书认证算法开放 共享密钥EAP椭圆曲线算法加密算法RC4TKIP/CMCC分组加密(SMS4)密 钥 静态 动态动态安全性低高最高项目拓扑图项目拓扑图项目拓扑项目拓扑VLAN规划规划项目规划项目规划l根据如上拓扑图进行项目的业务规划，根据如上拓扑图进行项目的业务规划，相应的相应的VLAN规划、设备管规划、设备管理规划、端口互联规划、理规划、端口互联规划、IP规划、规划、WLAN规划、规划、radio规划如下：规划如下：设

20、备管理规划设备管理规划项目规划项目规划l根据如上拓扑图进行项目的业务规划，根据如上拓扑图进行项目的业务规划，相应的相应的VLAN规划、设备管规划、设备管理规划、端口互联规划、理规划、端口互联规划、IP规划、规划、WLAN规划、规划、radio规划如下：规划如下：端口互联规划端口互联规划项目规划项目规划l根据如上拓扑图进行项目的业务规划，根据如上拓扑图进行项目的业务规划，相应的相应的VLAN规划、设备管规划、设备管理规划、端口互联规划、理规划、端口互联规划、IP规划、规划、WLAN规划、规划、radio规划如下：规划如下：IP规划规划项目规划项目规划l根据如上拓扑图进行项目的业务规划，根据如上拓

21、扑图进行项目的业务规划，相应的相应的VLAN规划、设备管规划、设备管理规划、端口互联规划、理规划、端口互联规划、IP规划、规划、WLAN规划、规划、radio规划如下：规划如下：WLAN规划规划项目规划项目规划l根据如上拓扑图进行项目的业务规划，根据如上拓扑图进行项目的业务规划，相应的相应的VLAN规划、设备管规划、设备管理规划、端口互联规划、理规划、端口互联规划、IP规划、规划、WLAN规划、规划、radio规划如下：规划如下：Radio规划规划项目规划项目规划l根据如上拓扑图进行项目的业务规划，根据如上拓扑图进行项目的业务规划，相应的相应的VLAN规划、设备管规划、设备管理规划、端口互联规

22、划、理规划、端口互联规划、IP规划、规划、WLAN规划、规划、radio规划如下：规划如下：黑白名单规划黑白名单规划项目规划项目规划l根据如上拓扑图进行项目的业务规划，根据如上拓扑图进行项目的业务规划，相应的相应的VLAN规划、设备管规划、设备管理规划、端口互联规划、理规划、端口互联规划、IP规划、规划、WLAN规划、规划、radio规划如下：规划如下：配置思路配置思路l1.在交换机配置远程管理、在交换机配置远程管理、VLAN和和IP地址、端口和地址、端口和DHCP服务，并服务，并禁止销售部访问财务部；禁止销售部访问财务部；l2.在在AP上配置工作模式、上配置工作模式、VLAN和和IP地址、上

23、联接口封装地址、上联接口封装802.1Q、WLAN和天线；和天线；配置步骤与实践操作配置步骤与实践操作l步骤步骤1：交换机配置：交换机配置Telnet管理服务管理服务Ruijieenable进入特权模式Ruijie#configure terminal进入全局模式Ruijie(config)#hostname L3SW修改设备名称L3SW(config)#username admin password ZhonRui配置远程登陆L3SW(config)#enable password ZhongRui设置特权密码L3SW(config)#line vty 0 4进入虚拟链路L3SW(confi

24、g-line)#login local采用本地用户登录L3SW(config)#exit退出配置步骤与实践操作配置步骤与实践操作l步骤步骤2：在核心设备上创建：在核心设备上创建vlan配置配置AP管理网关及用户网关管理网关及用户网关IP地址；地址；L3SW(config)#vlan 99创建AP管理vlanL3SW(config-vlan)#exit退出L3SW(config)#vlan 10创建用户管理vlanL3SW(config-vlan)#exit退出L3SW(config)#interface vlan 99进入vlan 99端口配置模式L3SW(config-if-VLAN99)#

25、ip address 192.168.99.51 255.255.255.0配置AP管理地址网关L3SW(config-if-VLAN99)#exit退出接口模式L3SW(config)#interface vlan 10进入vlan 10端口配置模式L3SW(config-if-VLAN10)#ip address 192.168.10.254 255.255.255.0配置用户管理地址网关L3SW(config-if-VLAN 10)#exit退出接口模式配置步骤与实践操作配置步骤与实践操作l步骤步骤3：在核心设备上开启：在核心设备上开启DHCP服务功能，创建用户服务功能，创建用户DHCP

26、地址池；地址池；L3SW(config)#service dhcp该命令默认不启用，交换机必须配置L3SW(config)#ip dhcp pool vlan10创建DHCP地址池，VLAN10为地址池名字L3SW(dhcp-config)#network 192.168.10.0 255.255.255.0子网掩码要和所设置IP地址的子网掩码一致，这里都是/24位掩码L3SW(dhcp-config)#dns-server 8.8.8.8设置分配给客户端的DNS地址L3SW(dhcp-config)#default-router 192.168.10.254设置分配给用户的网关地址，这个要和

27、核心设备上所设置的IP地址一致，为192.168.10.254L3SW(dhcp-config)#exit退出配置步骤与实践操作配置步骤与实践操作l步骤步骤4：配置交换机与：配置交换机与AP互连接口为互连接口为Trunk；L3SW(config)#interface gi0/1进入端口配置模式L3SW(config-if)#switchport mode trunk配置端口模式为trunkL3SW(config-if)#switchport trunk native vlan 99配置接口默认vlan 为99（需要与AP接口封装VLAN对应）L3SW(config-if)#exit退出接口模式

28、配置步骤与实践操作配置步骤与实践操作l步骤步骤5：使用：使用console登陆到登陆到AP：注：如果有提示输入密码，默认：注：如果有提示输入密码，默认密码为密码为ruijie,将将AP模式切换为胖模式切换为胖AP；Password:ruijieConsole进入APRuijieap-mode fat出厂为瘦模式，需切换为胖模式配置步骤与实践操作配置步骤与实践操作l步骤步骤6：启用：启用AP的的telnet功能，便于设备进行远程管理；功能，便于设备进行远程管理；Password:ruijieConsole进入APRuijieap-mode fat出厂为瘦模式，需要切换为胖模式Ruijie#con

29、figure terminal进入全局模式Ruijie(config)#hostname AP修改设备名称AP(config)#username admin password ZhongRui配置远程管理用户名密码AP(config)#enable password ZhongRui设置特权密码AP(config)#line vty 0 4创建虚拟链路配置步骤与实践操作配置步骤与实践操作l步骤步骤7：配置：配置AP的管理地址和默认路由；的管理地址和默认路由；AP(config)#vlan 99创建AP管理vlanAP(config)#exit退出AP(config)#vlan 10创建无线用户

30、vlanAP(config)#exit退出AP(config)#interface bvi 99进入VLAN 99接口AP(config-if-bvi)#ip address 192.168.99.52 255.255.255.0配置VLAN 99的IP地址AP(config-if-bvi)#exit退出AP(config)#ip route 0.0.0.0 0.0.0.0 192.168.99.51配置AP的默认网关配置步骤与实践操作配置步骤与实践操作l步骤步骤8：配置以太网接口封装：配置以太网接口封装VLAN；AP(config)#interface gigabitEthernet 0/1

31、进入端口配置模式配置端口G0/1AP(config-if-GigabitEthernet 0/1)#encapsulation dot1Q 99接口封装VLAN 99（需要与上联设备的native vlan相对应）AP(config-if-GigabitEthernet 0/1)#exit退出AP(config)#interface gigabitEthernet 0/1.10进入端口配置模式配置端口G0/1.10AP(config-if-GigabitEthernet 0/1)#encapsulation dot1Q 10接口封装VLAN 10AP(config-if-GigabitEthe

32、rnet 0/1)#exit退出配置步骤与实践操作配置步骤与实践操作l步骤步骤9：定义无线网络：定义无线网络SSID并配置无线并配置无线AP射频卡模块；射频卡模块；AP(config)#dot11 wlan 1创建WLAN 1AP(dot11-wlan-config)#ssid ZhongRui命名SSIDAP(dot11-wlan-config)#exit退出AP(config)#interface dot11radio 1/0 进入射频卡1/0AP(config-subif)#encapsulation dot1Q 10必须封装vlan 并且此vlan要和以太物理接口一致AP(config

33、-if-Dot11radio 1/0)#wlan-id 1SSID和射频卡进行关联AP(config-if-Dot11radio 1/0)#exit退出AP(config)#interface dot11radio 2/0进入射频卡2/0AP(config-subif)#encapsulation dot1Q 10封装VLANAP(config-if-Dot11radio 2/0)#wlan-id 1SSID和射频卡进行关联AP(config-if-Dot11radio 2/0)#exit退出AP(config)#dot11 wlan 1创建WLAN 1AP(dot11-wlan-config

34、)#ssid ZhongRui命名SSIDAP(dot11-wlan-config)#exit退出AP(config)#interface dot11radio 1/0 进入射频卡1/配置步骤与实践操作配置步骤与实践操作l步骤步骤10：开启加密功能和设置密码开启加密功能和设置密码；AP(config)#wlansec 1进入WLAN 1的安全配置模式（仅对WLAN 1生效）AP(config-wlansec)#security rsn enable开启无线加密功能AP(config-wlansec)#security rsn ciphers aes enable无线启用AES加密AP(conf

35、ig-wlansec)#security rsn akm psk enable无线启用共享密钥认证方式AP(config-wlansec)#security rsn akm psk set-key ascii ZhongRui配置无线密码配置步骤与实践操作配置步骤与实践操作l步骤步骤11：将无线将无线SSID调整为非广播模式调整为非广播模式；AP(config)#dot11 wlan 1进入WLAN 1AP(dot11-wlan-config)#no broadcast-ssid关闭无线网络广播配置步骤与实践操作配置步骤与实践操作l步骤步骤12：配置全局白名单配置全局白名单；AP(config

36、)#wids进入WIDS模式AP(config-wids)#whitelist mac-address 0023.cdaa.402e允许接入无线网络的MAC地址，MAC地址以测试PC为准。AP(config-wids)#static-blacklist mac-address 6809.27b0.169f 禁止接入无线网络的MAC地址，MAC地址以测试PC为准。项目验证项目验证l（1）在在“打开网络与共享中打开网络与共享中心心”，点击进入，点击进入“网络与共享网络与共享中心中心”项目验证项目验证l（2）点击点击“管理无线网络管理无线网络”选择选择“添加添加”进入手动连接无进入手动连接无线网络点

37、击线网络点击“手动创建网络手动创建网络配置文件配置文件”项目验证项目验证l（3）打开打开“手动连接到无线手动连接到无线网络网络”输入网络名输入网络名“ZhongRui”,选择安全类型选择安全类型“WPA2-个人个人”，输入安全秘，输入安全秘钥钥“ZhongRui”并勾选自动并勾选自动启动此连接及即使网络未进启动此连接及即使网络未进行广播也连接，点击下一步行广播也连接，点击下一步项目验证项目验证l（4）终端用户终端用户MAC地址加地址加入到白名单中可以正常关联入到白名单中可以正常关联到到SSID查看非广播查看非广播SSID关联关联状态状态,并并Ping通无线网关通无线网关项目验证项目验证l（5）黑名单终端用户无法关黑名单终端用户无法关联到联到SSID项目小结项目小结l无线安全的配置包括对无线安全的配置包括对WIFI开启开启WPA2加密，设置预共享密钥，将加密，设置预共享密钥，将SSID设置为隐藏，并配置白名单允许合法用户接入和配置黑名单禁设置为隐藏，并配置白名单允许合法用户接入和配置黑名单禁止非法用户接入。止非法用户接入。