无线网络安全及典型案例
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
802.11b 802.11b->802.11a /802.11g); /802.11g);
3. 业界最高安全性(VLAN、PSPF、802.1x/EAP、MIC、TKIP…); 业界最高安全性(VLAN、PSPF、802.1x/EAP、MIC、TKIP… 4. QoS支持各种应用(数据、语音、视频); QoS支持各种应用 数据、语音、 支持各种应用( 5. 易于管理(WLSE…); 易于管理(WLSE… 6. 便于部署和实施(室外应用距离自动估算工具、在线电源、免费室 便于部署和实施(室外应用距离自动估算工具、在线电源、 内勘察工具、无缝漫游( 支持DHCP,Telnet,Http.. 内勘察工具、无缝漫游(2层、3层)…);支持DHCP,Telnet,Http.. 7. 能够与思科的有线网络设备和网络功能无缝结合(VLAN、VPN、 VLAN、VPN、 QoS、网管、802.1x QoS、网管、802.1x…),思科是业界唯一一家可以为客户提供从 有线到无线全面解决方案的厂家。 有线到无线全面解决方案的厂家。
802.1x+双向认证+每用户每会话WEP密钥提供足够安全 802.1x+双向认证+每用户每会话WEP密钥提供足够安全 x+双向认证 WEP
• EAP Cisco Wireless 的两个重要优点
“ Is 802.1x & Mutual auth. + • 第一个优点是客户端和 第一个优点是客户端和RADIUS服务器Per user per session WEP good 服务器 enough?” 之间的双向认证机制, 之间的双向认证机制,这可以有效地阻 止由伪装的访问点发动的"中间人 中间人"式攻 止由伪装的访问点发动的 中间人 式攻 击。这也有助于确保只有合法的客户端 才能连接合法的、 才能连接合法的、经过授权的无线访问 点。 • EAP Cisco Wireless的第二个优点是 的第二个优点是 的集中式密钥管理。 对WLAN的集中式密钥管理。在成功地 的集中式密钥管理 认证了客户端的身份以后, 认证了客户端的身份以后,RADIUS服 服 务器和客户端将获得一个针对用户的 WEP密钥,客户端将在本次登录会话 密钥, 密钥 中使用这个密钥。
无线网络VLAN 无线网络VLAN 划分策略
思科无线解决方案之独到之处
1. 业界最高的硬件性能(数据传输率、覆盖范围、接收灵敏度…); 数据传输率、覆盖范围、接收灵敏度… 2. 高可用性,可扩展性,可升级性(Load Balance、Hot Stand-by、 高可用性,可扩展性, Balance、 Stand-by、
局域网主干
2.
无线接入点
蜂窝” 无线 “蜂窝”
3.
无线链路
无线工作站
室内组网方式– 多蜂窝结构 室内组网方式 多蜂窝结构
局域网主干
以太网
无线接入点
以太网
无线接入点 无线 “蜂窝 ”
信道 1
无线链路 无线链路
无线 “蜂窝 ”
信道 6
无线工作站
无线工作站
•蜂窝之间建议有 蜂窝之间建议有15%的重叠范 蜂窝之间建议有 的重叠范 围, 便于无线工作站在不同的蜂 窝之间作无缝漫游. 窝之间作无缝漫游
思科无线网络安全及典型案例
1
ຫໍສະໝຸດ Baidu
AGENDA
1. 无线网络安全
第一代 802.11B 安全机制 ( 基本安全) 802.11B 基本安全) 802.1X 增强安全) 第二代 802.1X 安全机制 ( 增强安全)
2. 无线网络典型案例
思科安全无线局域网机制
增强的安全性 基本的安全性 开放的接入
没有WEP, 没有WEP, WEP 采用广播模式 40位和128位 40位和128位 位和128 静态密钥( 静态密钥(WEP)
AGENDA
无线局域网络典型案例
1.无线组网方式 1.无线组网方式 2. 典型案例1---7 典型案例1---7
无线局域网的几种组网方式
•建筑物内(室内)组网方式: 建筑物内(室内)组网方式 建筑物内
•对等网结构 对等网结构 •蜂窝结构 蜂窝结构
•建筑物之间(室外)组网方式: 建筑物之间(室外)组网方式 建筑物之间
处理器能接入网络 需要对所有的WLAN客户机设备进行密钥重部署
• 3)缺乏综合用户管理 )
需要独立的用户数据库,不使用RADIUS 能够只通过设备特性(如MAC地址)识别用户
• 4)在802.11B中, 验证与加密是可选的 ) 中 (不是必需的 不是必需的) 不是必需的
第一代802.11B 安全机制的危险性 第一代
室外组网方式– 室外组网方式 点对点
建筑物 A
无线链路
天线 天线
建筑物 B
最远可达几十公里
(可视距离 可视距离) 可视距离
无线网桥 无线网桥
局域网
局域网
•若采用思科的无线网桥 若采用思科的无线网桥(100mW功率 配合 功率), 增益天线, 若采用思科的无线网桥 功率 配合21dBi增益天线 在2 Mbps下最 增益天线 下最 远可达40公里 英里); 公里(25英里 下可达18.5公里 公里(11.5英里 英里); 远可达 公里 英里 11Mbps下可达 下可达 公里 英里 •同一区域最多同时部署 对无线网桥 提供最高达 同一区域最多同时部署3对无线网桥 的数据传输速率. 同一区域最多同时部署 对无线网桥, 提供最高达33Mbps的数据传输速率 的数据传输速率
无线网络VLAN 无线网络VLAN 划分策略
SSID概念: SSID概念: 概念 1)服务组标识符( ),它提 1)服务组标识符(SSID:Service Set Identifier),它提 服务组标识符 : ), 供一个最底层的接入控制。一个SSID是一个无线局域网 供一个最底层的接入控制。一个 是一个无线局域网 子系统内通用的网络名称 2)SSID 代表VLAN VLAN号 每个VLAN 必须用不同的SSID 2)SSID 代表VLAN号,每个VLAN 必须用不同的SSID 它服务于该子系统内的逻辑段。因为SSID本身没有安全 它服务于该子系统内的逻辑段。因为 本身没有安全 所以用SSID作为接入控制是不够安全的。接入点作 作为接入控制是不够安全的。 性,所以用 作为接入控制是不够安全的 为无线局域网用户的连接设备,通常广播SSID。 为无线局域网用户的连接设备,通常广播 。 3)在AP上创建所有 上创建所有SSID,在每台客户机上分配 在每台客户机上分配SSID号。 ) 上创建所有 在每台客户机上分配 号
WLAN环境中的 环境中的802.1X协议 (增强安全) 环境中的 协议 增强安全)
5 1) 2) 3) 4) 1 无线客户端 2 用户要求接入,AP防止网络接入; 用户要求接入,AP防止网络接入; 防止网络接入 加密的证明材料被发送给验证服务 器; 验证服务器验证用户并给予接入权 ; AP端口被启动 动态WEP 端口被启动, WEP密钥被分配 AP端口被启动,动态WEP密钥被分配 给客户(加密); 给客户(加密); 无线客户端现在可以安全地访问普 通的网络服务了; 通的网络服务了; LEAP与EAP在每次( Cisco LEAP与EAP-TLS 在每次(重 验证时均会生成一个WEP WEP会话密 新)验证时均会生成一个WEP会话密 钥 – – 新的密钥基于用户信息与会话 信息 选项27 27提供了会话超 RADIUS 选项27提供了会话超 时设置
安全机制的特点(基本安全 基本安全) 第一代 802.11B 安全机制的特点 基本安全)
• 1)共享的、静态的WEP密钥 )共享的、静态的 密钥
没有集中的密钥管理 不能有效抵御各种安全攻击
• 2)如果客户的适配器丢失或被盗,需要进行 )如果客户的适配器丢失或被盗, 大规模的密钥重部署
MAC1+ WEP key MAC2+ WEP key
室外组网方式– 室外组网方式 网桥中继
信道 1
信道 3
室外组网方式– 室外组网方式 点对多点
以太网
建筑物 A
无线网桥
全向天线
无线链路 无线链路
建筑物 B
定向天线 无线网桥 定向天线
建筑物 C
无线网桥
以太网 以太网
无线局域网组网方式– 无线局域网组网方式 混合结构
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密 钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样, 拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多 个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。 地址和WEP密 1)当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和 当一个客户适配器丢失或被窃的时候,合法用户没有 地址和 密 钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题, 钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此 用户必须立即通知网络管理员。接到通知后, 用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到 MAC地址的安全表和 地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同 密钥, 地址的安全表和 密钥 密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥 密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码 密钥 的数量越大。 的数量越大。 2)IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴 ) 共享密钥认证表采用单向认证, 共享密钥认证表采用单向认证 而不是互相认证。 别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内, 别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内, 它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。 因此在用户和认证服务器之间进行相互认证是需要的
加密WEP 加密
4 其它网络服务器与服务
~
接入点
3
5) 6)
验证服务器
~
增强安全
协议: 轻型可扩展身份认证协议) 协议:LEAP,它也被称为 ,它也被称为EAP Cisco Wireless (轻型可扩展身份认证协议) 标准: 和有线的RADIUS 访问控制一致 标准:802.1X, 和有线的RADIUS 访问控制一致
四种不同级别的WLAN安全措施: 安全措施: 四种不同级别的 安全措施 没有安全、基本安全、增强安全和专业安全 没有安全、基本安全、增强安全和专业安全。 基本安全: 基本安全 WEP : “ Wired Equivalent Protection “,一种将资料加密的处理方
式,WEP 40bit或128bit 的encryption 乃是IEEE 802.11的标准规范。透过WEP的 处理便可让我们的资料于传输中更加安全。但静态WEP密钥是一种在会话过程中 不发生变化也不针对各个用户而变化的密钥。 增强安全: 可扩展身份认证协议) 增强安全 LEAP,它也被称为 ,它也被称为EAP Cisco Wireless (可扩展身份认证协议) TKIP、MIC、 AES 、 、 专业安全: 金融机构, 终端, 专业安全:VPN (金融机构,需要 金融机构 需要VPN终端,造价高) 终端 造价高)
动态密钥管理 开放的802.1x/EAP 802.1x/EAP标准验证 开放的802.1x/EAP标准验证 TKIP、MIC、 TKIP、MIC、 AES
公共接入 公共网络 安全
虚拟专网 (VPN)
远程办公及SOHO 远程办公及SOHO
中型、 中型、大型企业
专业应用/ 专业应用/商业旅行者
思科安全无线局域网机制
•点对点结构 点对点结构 •一点对多点结构 一点对多点结构
•混合组网方式 混合组网方式
室内组网方式室内组网方式 单蜂窝结构
1.
可以采用 1 ~ 11 号信道 (802.11b规范 中任意一 规范)中任意一 规范 个没有受到干扰的信道; 个没有受到干扰的信道 一个无线接入点推荐接 入不超过20 入不超过 - 30个无线 个无线 客户端, 客户端 以提供满意的 访问速率; 访问速率 同一蜂窝范围可以最多 部署3个无线接入点 个无线接入点, 部署 个无线接入点 分 别采用 1 / 6 / 11 号信 道, 从而提供高达 33Mbps的总体访问速 的总体访问速 率, 并可以同时服务更 多的用户. 多的用户
3. 业界最高安全性(VLAN、PSPF、802.1x/EAP、MIC、TKIP…); 业界最高安全性(VLAN、PSPF、802.1x/EAP、MIC、TKIP… 4. QoS支持各种应用(数据、语音、视频); QoS支持各种应用 数据、语音、 支持各种应用( 5. 易于管理(WLSE…); 易于管理(WLSE… 6. 便于部署和实施(室外应用距离自动估算工具、在线电源、免费室 便于部署和实施(室外应用距离自动估算工具、在线电源、 内勘察工具、无缝漫游( 支持DHCP,Telnet,Http.. 内勘察工具、无缝漫游(2层、3层)…);支持DHCP,Telnet,Http.. 7. 能够与思科的有线网络设备和网络功能无缝结合(VLAN、VPN、 VLAN、VPN、 QoS、网管、802.1x QoS、网管、802.1x…),思科是业界唯一一家可以为客户提供从 有线到无线全面解决方案的厂家。 有线到无线全面解决方案的厂家。
802.1x+双向认证+每用户每会话WEP密钥提供足够安全 802.1x+双向认证+每用户每会话WEP密钥提供足够安全 x+双向认证 WEP
• EAP Cisco Wireless 的两个重要优点
“ Is 802.1x & Mutual auth. + • 第一个优点是客户端和 第一个优点是客户端和RADIUS服务器Per user per session WEP good 服务器 enough?” 之间的双向认证机制, 之间的双向认证机制,这可以有效地阻 止由伪装的访问点发动的"中间人 中间人"式攻 止由伪装的访问点发动的 中间人 式攻 击。这也有助于确保只有合法的客户端 才能连接合法的、 才能连接合法的、经过授权的无线访问 点。 • EAP Cisco Wireless的第二个优点是 的第二个优点是 的集中式密钥管理。 对WLAN的集中式密钥管理。在成功地 的集中式密钥管理 认证了客户端的身份以后, 认证了客户端的身份以后,RADIUS服 服 务器和客户端将获得一个针对用户的 WEP密钥,客户端将在本次登录会话 密钥, 密钥 中使用这个密钥。
无线网络VLAN 无线网络VLAN 划分策略
思科无线解决方案之独到之处
1. 业界最高的硬件性能(数据传输率、覆盖范围、接收灵敏度…); 数据传输率、覆盖范围、接收灵敏度… 2. 高可用性,可扩展性,可升级性(Load Balance、Hot Stand-by、 高可用性,可扩展性, Balance、 Stand-by、
局域网主干
2.
无线接入点
蜂窝” 无线 “蜂窝”
3.
无线链路
无线工作站
室内组网方式– 多蜂窝结构 室内组网方式 多蜂窝结构
局域网主干
以太网
无线接入点
以太网
无线接入点 无线 “蜂窝 ”
信道 1
无线链路 无线链路
无线 “蜂窝 ”
信道 6
无线工作站
无线工作站
•蜂窝之间建议有 蜂窝之间建议有15%的重叠范 蜂窝之间建议有 的重叠范 围, 便于无线工作站在不同的蜂 窝之间作无缝漫游. 窝之间作无缝漫游
思科无线网络安全及典型案例
1
ຫໍສະໝຸດ Baidu
AGENDA
1. 无线网络安全
第一代 802.11B 安全机制 ( 基本安全) 802.11B 基本安全) 802.1X 增强安全) 第二代 802.1X 安全机制 ( 增强安全)
2. 无线网络典型案例
思科安全无线局域网机制
增强的安全性 基本的安全性 开放的接入
没有WEP, 没有WEP, WEP 采用广播模式 40位和128位 40位和128位 位和128 静态密钥( 静态密钥(WEP)
AGENDA
无线局域网络典型案例
1.无线组网方式 1.无线组网方式 2. 典型案例1---7 典型案例1---7
无线局域网的几种组网方式
•建筑物内(室内)组网方式: 建筑物内(室内)组网方式 建筑物内
•对等网结构 对等网结构 •蜂窝结构 蜂窝结构
•建筑物之间(室外)组网方式: 建筑物之间(室外)组网方式 建筑物之间
处理器能接入网络 需要对所有的WLAN客户机设备进行密钥重部署
• 3)缺乏综合用户管理 )
需要独立的用户数据库,不使用RADIUS 能够只通过设备特性(如MAC地址)识别用户
• 4)在802.11B中, 验证与加密是可选的 ) 中 (不是必需的 不是必需的) 不是必需的
第一代802.11B 安全机制的危险性 第一代
室外组网方式– 室外组网方式 点对点
建筑物 A
无线链路
天线 天线
建筑物 B
最远可达几十公里
(可视距离 可视距离) 可视距离
无线网桥 无线网桥
局域网
局域网
•若采用思科的无线网桥 若采用思科的无线网桥(100mW功率 配合 功率), 增益天线, 若采用思科的无线网桥 功率 配合21dBi增益天线 在2 Mbps下最 增益天线 下最 远可达40公里 英里); 公里(25英里 下可达18.5公里 公里(11.5英里 英里); 远可达 公里 英里 11Mbps下可达 下可达 公里 英里 •同一区域最多同时部署 对无线网桥 提供最高达 同一区域最多同时部署3对无线网桥 的数据传输速率. 同一区域最多同时部署 对无线网桥, 提供最高达33Mbps的数据传输速率 的数据传输速率
无线网络VLAN 无线网络VLAN 划分策略
SSID概念: SSID概念: 概念 1)服务组标识符( ),它提 1)服务组标识符(SSID:Service Set Identifier),它提 服务组标识符 : ), 供一个最底层的接入控制。一个SSID是一个无线局域网 供一个最底层的接入控制。一个 是一个无线局域网 子系统内通用的网络名称 2)SSID 代表VLAN VLAN号 每个VLAN 必须用不同的SSID 2)SSID 代表VLAN号,每个VLAN 必须用不同的SSID 它服务于该子系统内的逻辑段。因为SSID本身没有安全 它服务于该子系统内的逻辑段。因为 本身没有安全 所以用SSID作为接入控制是不够安全的。接入点作 作为接入控制是不够安全的。 性,所以用 作为接入控制是不够安全的 为无线局域网用户的连接设备,通常广播SSID。 为无线局域网用户的连接设备,通常广播 。 3)在AP上创建所有 上创建所有SSID,在每台客户机上分配 在每台客户机上分配SSID号。 ) 上创建所有 在每台客户机上分配 号
WLAN环境中的 环境中的802.1X协议 (增强安全) 环境中的 协议 增强安全)
5 1) 2) 3) 4) 1 无线客户端 2 用户要求接入,AP防止网络接入; 用户要求接入,AP防止网络接入; 防止网络接入 加密的证明材料被发送给验证服务 器; 验证服务器验证用户并给予接入权 ; AP端口被启动 动态WEP 端口被启动, WEP密钥被分配 AP端口被启动,动态WEP密钥被分配 给客户(加密); 给客户(加密); 无线客户端现在可以安全地访问普 通的网络服务了; 通的网络服务了; LEAP与EAP在每次( Cisco LEAP与EAP-TLS 在每次(重 验证时均会生成一个WEP WEP会话密 新)验证时均会生成一个WEP会话密 钥 – – 新的密钥基于用户信息与会话 信息 选项27 27提供了会话超 RADIUS 选项27提供了会话超 时设置
安全机制的特点(基本安全 基本安全) 第一代 802.11B 安全机制的特点 基本安全)
• 1)共享的、静态的WEP密钥 )共享的、静态的 密钥
没有集中的密钥管理 不能有效抵御各种安全攻击
• 2)如果客户的适配器丢失或被盗,需要进行 )如果客户的适配器丢失或被盗, 大规模的密钥重部署
MAC1+ WEP key MAC2+ WEP key
室外组网方式– 室外组网方式 网桥中继
信道 1
信道 3
室外组网方式– 室外组网方式 点对多点
以太网
建筑物 A
无线网桥
全向天线
无线链路 无线链路
建筑物 B
定向天线 无线网桥 定向天线
建筑物 C
无线网桥
以太网 以太网
无线局域网组网方式– 无线局域网组网方式 混合结构
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密 钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样, 拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多 个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。 地址和WEP密 1)当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和 当一个客户适配器丢失或被窃的时候,合法用户没有 地址和 密 钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题, 钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此 用户必须立即通知网络管理员。接到通知后, 用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到 MAC地址的安全表和 地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同 密钥, 地址的安全表和 密钥 密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥 密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码 密钥 的数量越大。 的数量越大。 2)IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴 ) 共享密钥认证表采用单向认证, 共享密钥认证表采用单向认证 而不是互相认证。 别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内, 别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内, 它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。 因此在用户和认证服务器之间进行相互认证是需要的
加密WEP 加密
4 其它网络服务器与服务
~
接入点
3
5) 6)
验证服务器
~
增强安全
协议: 轻型可扩展身份认证协议) 协议:LEAP,它也被称为 ,它也被称为EAP Cisco Wireless (轻型可扩展身份认证协议) 标准: 和有线的RADIUS 访问控制一致 标准:802.1X, 和有线的RADIUS 访问控制一致
四种不同级别的WLAN安全措施: 安全措施: 四种不同级别的 安全措施 没有安全、基本安全、增强安全和专业安全 没有安全、基本安全、增强安全和专业安全。 基本安全: 基本安全 WEP : “ Wired Equivalent Protection “,一种将资料加密的处理方
式,WEP 40bit或128bit 的encryption 乃是IEEE 802.11的标准规范。透过WEP的 处理便可让我们的资料于传输中更加安全。但静态WEP密钥是一种在会话过程中 不发生变化也不针对各个用户而变化的密钥。 增强安全: 可扩展身份认证协议) 增强安全 LEAP,它也被称为 ,它也被称为EAP Cisco Wireless (可扩展身份认证协议) TKIP、MIC、 AES 、 、 专业安全: 金融机构, 终端, 专业安全:VPN (金融机构,需要 金融机构 需要VPN终端,造价高) 终端 造价高)
动态密钥管理 开放的802.1x/EAP 802.1x/EAP标准验证 开放的802.1x/EAP标准验证 TKIP、MIC、 TKIP、MIC、 AES
公共接入 公共网络 安全
虚拟专网 (VPN)
远程办公及SOHO 远程办公及SOHO
中型、 中型、大型企业
专业应用/ 专业应用/商业旅行者
思科安全无线局域网机制
•点对点结构 点对点结构 •一点对多点结构 一点对多点结构
•混合组网方式 混合组网方式
室内组网方式室内组网方式 单蜂窝结构
1.
可以采用 1 ~ 11 号信道 (802.11b规范 中任意一 规范)中任意一 规范 个没有受到干扰的信道; 个没有受到干扰的信道 一个无线接入点推荐接 入不超过20 入不超过 - 30个无线 个无线 客户端, 客户端 以提供满意的 访问速率; 访问速率 同一蜂窝范围可以最多 部署3个无线接入点 个无线接入点, 部署 个无线接入点 分 别采用 1 / 6 / 11 号信 道, 从而提供高达 33Mbps的总体访问速 的总体访问速 率, 并可以同时服务更 多的用户. 多的用户