第4章 无线局域网安全管理详解.ppt

（3）802.1x认证 802.1x协议是一种基于端口的网络接入控制协议，该技术也是用于WLAN的一种增加网络安全的解决方案。 4.7 WLAN认证 4.8 WLAN IDS 4.8.1 WLAN IDS简介 （1）WLAN IDS介绍 802.11网络很容易受到各种网络威胁的影响，如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rogue设备对于企业网络安全来说更是一个很严重的威胁。 无线入侵检测系统（Wireless Intrusion Detection System，WIDS）可以对有恶意的用户攻击行为和入侵行为进行早期检测，保护企业网络和用户不被无线网络上未经授权的设备访问。WIDS可以在不影响网络性能的情况下对无线网络进行监测，从而提供对各种攻击的实时防范。 4.8 WLAN IDS （2）WIDS的常用术语 Rogue AP 网络中未经授权或者有恶意的AP，它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在安全漏洞，黑客就有机会危害无线网络安全。 Rogue Client 非法客户端，网络中未经授权或者有恶意的客户端，类似于Rogue AP。 Rogue Wireless Bridge 非法无线网桥，网络中未经授权或者有恶意的网桥。 Monitor AP 这种AP在无线网络中通过扫描或监听无线介质，检测无线网络中的Rogue设备。一个AP可以同时作为接入AP和Monitor AP，也可以只作为Monitor AP。 ⑤Ad-hoc mode 把无线客户端的工作模式设置为Ad-hoc模式，Ad-hoc终端可以不需要任何设备支持而直接进行通讯。 4.8 WLAN IDS 4.8.2 无线入侵检测系统架构 （1）集中式无线入侵检测系统 通常用于连接单独的Sensors搜集数据并转发到存储和处理数据的中央系统中。 （2）分散式无线入侵检测系统 通常包括多种设备来完成IDS的处理和报告。 比较适合较小规模的无线局域网，因为它价格便宜且易于管理。当过多的Sensors需要检测时，Sensors的数据处理将被禁用。 多线程处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。 4.8 WLAN IDS 4.8.3 检测Rogue设备 （1）Monitor AP AP需要扫描WLAN中的设备，此时AP仅作监测AP，不作接入AP。 当AP工作在Monitor模式时，该AP提供的所有WLAN服务都将关闭。 4.8 WLAN IDS （2）Hybrid AP AP既作接入AP又作Monitor AP AP可以扫描WLAN中的设备，也可以传输WLAN数据 4.8 WLAN IDS 4.8.4 检测IDS攻击 （1）Flooding攻击检测 (Flooding（泛洪）攻击是指攻击者在短时间内发送大量的同种类型的报文，导致WLAN设备被攻击者发送的泛洪报文淹没而无法处理真正合法用户的请求。 WIDS攻击检测通过持续地监控每台设备的流量大小来预防这种泛洪攻击。 当流量超出网络管理者设置的上限时，该设备被认为要在网络内泛洪从而被锁定。 WIDS检测到Flooding攻击时，此时如果开启了动态黑名单功能，则发起攻击的无线客户端将被添加到动态黑名单中，从而保证WLAN系统不再被该设备攻击，保障网络安全。 4.8 WLAN IDS （2）Spoof攻击检测 Spoof（欺骗）攻击是指攻击者以其他设备的名义发送仿冒报文。例如：一个仿冒的解除认证报文会导致无线客户端下线。 WIDS通过对广播解除认证和对广播解除关联报文进行检测，当接收到这类报文时将立刻被定义为欺骗攻击并被记录到日志中。 4.8 WLAN IDS （3）Weak IV检测 Weak IV（Weak Initialization Vector，弱初始化向量）攻击是指在WLAN 使用WEP加密的过程中，攻击者通过截获带有弱初始化向量的报文，破解出共享密钥并最终窃取加密信息的一种攻击行为。 WIDS通过识别每个WEP报文的IV来预防这种攻击，当一个带有弱初始化向量的报文被检测到时，WIDS即判定这是个攻击漏洞，将立刻将这个检测结果记录到日志中。 4.8 WLAN IDS 无线局域网技术项目教程 * 加密模式 ? WEP TKIP CCMP 加密算法 RC4 RC4 AES 密钥长度 40 /104bits 128bits 128bits 密钥有效期 24-bit IV 48-bit IV 48-bit IV 数据校验算法 CRC-32 Michael Michael 密钥管理 CCM CCM 无 （2）无线网络的加密模式 4.1 WLAN安全概述 认证 方式 开放 认证 共享密钥 认证 802.1x 认证