无线网络安全及典型案例

111思科无线网络安全及典型案例1.无线网络安全第一代802.11B安全机制（基本安全）第二代802.1X安全机制（增强安全）2.无线网络典型案例AGENDA虚拟专网(VPN)没有WEP，采用广播模式公共接入开放的接入40位和128位静态密钥（WEP)远程办公及SOHO基本的安全性动态密钥管理开放的802.1x/EAP标准验证TKIP、MIC、AES中型、大型企业增强的安全性公共网络安全专业应用/商业旅行者思科安全无线局域网机制四种不同级别的WLAN安全措施：没有安全、基本安全、增强安全和专业安全。基本安全：WEP:“WiredEquivalentProtection“，一种将资料加密的处理方式，WEP40bit或128bit的encryption乃是IEEE802.11的标准规范。透过WEP的处理便可让我们的资料于传输中更加安全。但静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。增强安全：LEAP，它也被称为EAPCiscoWireless（可扩展身份认证协议）TKIP、MIC、AES专业安全：VPN(金融机构，需要VPN终端，造价高）思科安全无线局域网机制•1）共享的、静态的WEP密钥没有集中的密钥管理不能有效抵御各种安全攻击•2）如果客户的适配器丢失或被盗，需要进行大规模的密钥重部署处理器能接入网络需要对所有的WLAN客户机设备进行密钥重部署•3）缺乏综合用户管理需要独立的用户数据库，不使用RADIUS能够只通过设备特性（如MAC地址）识别用户•4）在802.11B中,验证与加密是可选的(不是必需的)第一代802.11B安全机制的特点(基本安全）MAC1+WEPkeyMAC2+WEPkey在现有的WLAN产品中，常用的加密方法是给用户静态分配一个密钥，该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样，拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器，这些用户有效地共享MAC地址和WEP密钥。1）当一个客户适配器丢失或被窃的时候，合法用户没有MAC地址和WEP密钥不能接入，但非法用户可以。网络管理系统不可能检测到这种问题，因此用户必须立即通知网络管理员。接到通知后，网络管理员必须改变接入到MAC地址的安全表和WEP密钥，并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多，重新编码WEP密钥的数量越大。2）IEEE802.11b共享密钥认证表采用单向认证，而不是互相认证。接入点鉴别用户，但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内，它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。因此在用户和认证服务器之间进行相互认证是需要的第一代802.11B安全机制的危险性~~接入点1其它网络服务器与服务24加密WEP35无线客户端验证服务器1)用户要求接入，AP防止网络接入；2)加密的证明材料被发送给验证服务器；3)验证服务器验证用户并给予接入权；4)AP端口被启动，动态WEP密钥被分配给客户（加密）；5)无线客户端现在可以安全地访问普通的网络服务了；6)CiscoLEAP与EAP-TLS在每次（重新）验证时均会生成一个WEP会话密钥–新的密钥基于用户信息与会话信息–RADIUS选项27提供了会话超时设置WLAN环境中的802.1X协议（增强安全）协议：LEAP，它也被称为EAPCiscoWireless（轻型可扩展身份认证协议）标准：802.1X,和有线的RADIUS访问控制一致增强安全•EAPCiscoWireless的两个重要优点•第一个优点是客户端和RADIUS服务器之间的双向认证机制，这可以有效地阻止由伪装的访问点发动的中间人式攻击。这也有助于确保只有合法的客户端才能连接合法的、经过授权的无线访问点。•EAPCiscoWireless的第二个优点是对WLAN的集中式密钥管理。在成功地认证了客户端的身份以后，RADIUS服务器和客户端将获得一个针对用户的WEP密钥，客户端将在本次登录会话中使用这个密钥。802.1x+双向认证+每用户每会话WEP密钥提供足够安全“Is802.1x&Mutualauth.+PeruserpersessionWEPgoodenough?”SSID概念：1)服务组标识符（SSID：ServiceSetIdentifier），它提供一个最底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称2)SSID代表VLAN号，每个VLAN必须用不同的SSID它服务于该子系统内的逻辑段。因为SSID本身没有安全性，所以用SSID作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备，通常广播SSID。3）在AP上创建所有SSID,在每台客户机上分配SSID号。无线网络VLAN划分策略无线网络VLAN划分策略思科无线解决方案之独到之处1.业界最高的硬件性能(数据传输率、覆盖范围、接收灵敏度…)；2.高可用性，可扩展性，可升级性(LoadBalance、HotStand-by、802.11b-802.11a/802.11g)；3.业界最高安全性(VLAN、PSPF、802.1x/EAP、MIC、TKIP…)；4.QoS支持各种应用(数据、语音、视频)；5.易于管理（WLSE…)；6.便于部署和实施（室外应用距离自动估算工具、在线电源、免费室内勘察工具、无缝漫游（2层、3层)…);支持DHCP,Telnet,Http..7.能够与思科的有线网络设备和网络功能无缝结合（VLAN、VPN、QoS、网管、802.1x…)，思科是业界唯一一家可以为客户提供从有线到无线全面解决方案的厂家。无线局域网络典型案例1.无线组网方式2.典型案例1---7AGENDA无线局域网的几种组网方式•建筑物内（室内）组网方式:•对等网结构•蜂窝结构•建筑物之间（室外）组网方式:•点对点结构•一点对多点结构•混合组网方式室内组网方式-单蜂窝结构无线工作站局域网主干无线接入点无线链路1.可以采用1~11号信道(802.11b规范)中任意一个没有受到干扰的信道;2.一个无线接入点推荐接入不超过20-30个无线客户端,以提供满意的访问速率;3.同一蜂窝范围可以最多部署3个无线接入点,分别采用1/6/11号信道,从而提供高达33Mbps的总体访问速率,并可以同时服务更多的用户.无线“蜂窝”无线接入点无线工作站局域网主干无线“蜂窝”信道1信道6无线工作站无线接入点无线“蜂窝”无线链路无线链路以太网以太网•蜂窝之间建议有15%的重叠范围,便于无线工作站在不同的蜂窝之间作无缝漫游.室内组网方式–多蜂窝结构最远可达几十公里(可视距离)局域网无线网桥天线建筑物A建筑物B无线网桥无线链路天线局域网•若采用思科的无线网桥(100mW功率),配合21dBi增益天线,在2Mbps下最远可达40公里(25英里);11Mbps下可达18.5公里(11.5英里);•同一区域最多同时部署3对无线网桥,提供最高达33Mbps的数据传输速率.室外组网方式–点对点信道1信道3室外组网方式–网桥中继以太网无线网桥建筑物B建筑物C建筑物A定向天线全向天线无线网桥无线网桥以太网以太网定向天线无线链路无线链路室外组网方式–点对多点无线局域网组网方式–混合结构主干网无线网桥全向天线建筑物A建筑物B无线网桥无线链路定向天线局域网无线工作站无线接入点A无线链路无线链路无线链路无线接入点B无线接入点无线工作站1.建筑B内的无线接入点汇聚其客户端的网络流量,经由与以太网相连的无线网桥,发送到远程的建筑A处的网络主干中去;2.无线客户端以及无线接入点设备也可以直接与建筑物A的无线网桥互联(此时无线网桥提供无线接入点的功能),访问主干网络资源.(1)AB两点之间可视；没有障碍物阻挡；无电磁干扰，或干扰小；AB两点之间距离符合网桥设备通讯距离的要求。可采用点对点方式直接传输：A大楼放置一台无线网桥，顶部放置一面定向天线；B大楼同样放置一台无线网桥，顶部放置一面定向天线。两地的无线网桥分别通过馈线与本地天线连接后，两点的无线通讯可迅速搭建起来。无线网桥分别通过超五类双绞线连接各地的网络交换机。这样两处的网络即可连为一体。室外组网方式说明–点对点(2)AB两点之间不可视，但两者之间可以通过一座C楼间接可视。并且AC两点，BC两点之间满足网桥设备通讯的要求。我们采用中继方式，C楼作为中继点。AB各放置网桥，定向天线。C点可选方式有：放置一台网桥和一面全向天线，这种方式适合对传输带宽要求不高，距离较近的情况；放置两台网桥和两面定向天线，这种方式优点在于：传输距离远，信号强，带宽和传输质量有保证。(由客户需求和实际情况而定)。室外组网方式说明–三点互连(3)：A点,B点之间不可视，但两者之间间距较近，仅几公里，且两者之间有多座建筑物。根据实际情况，可采用信号反射方案，将A点B点互连。AB点分别放置无线网桥，定向天线。定向天线A发射的微波信号通过CD两座建筑反射后与定向天线B建立起通信。室外组网方式说明–点对点无线网络设计原则1、定义WLAN需求：结合楼层结构设计及建筑类型确定可能的接入点位置。影响无线传输的主要因素：(1)：两点之间的距离。(2)：两点可视状况，可视分为光可视，和无线可视。可视呈度直接影响传输距离和效果。(3)：电磁干扰情况。可进行测试。2、WLAN的损耗：基本损耗换算:dB=10log(输入信号功率/输出信号功率)3、规划网络大小：数据速率：仅当一帧发送时的速率，如11Mbps，多帧时由于路由协议开销及共享媒体接入延时，每个用户不能连续发送数据。吞吐量：不计协议、管理帧的发送信息速率。对802.11B约为6Mbps。应用所需带宽：4、最小化802.11干扰问题常见干扰源：微波炉、无绳电话、蓝牙设备及其它无线LAN设备对WLAN干扰最为严重的设备是2.4G无绳电话,其次为10英尺内的微波炉，再次是蓝牙设备如笔记本和PDA。网络应用的需求苏州农机局的办公室位于办公楼的三层，已经有20台电脑，分布在6个房间内，在主机房他们决定采用中国电信的adsl，内部局域网他们考虑了采用无线网络，如果采用有线网络，由于大楼没有预留线槽，所以必须在墙上打洞破坏办公室的装修，关键是他们可能在几个月后搬到5层办公，这样将会浪费一笔投资，而且很耽误时间；如果采用无线网络，完全不用布线，安装将会非常方便快捷，而且11M带宽完全满足他们的上网要求。解决方案针对他们的系统，清华同方设计了两种方案，一是楼内覆盖，在走廊中央放置一个AP,覆盖整个楼层；另外是楼外覆盖方案，在楼的南侧（即办公大楼的后面）放置一个AP,增加室外天线覆盖整个大楼。由于无线网络应用比较特殊，实施前一般需要仔细测试现场的环境，比如墙体的厚度，房间的格局，是否有外界干扰，经过测试，发现，1个AP是无法覆盖他们的全部办公室，在离AP较近的几个房间无线信号非常好，但是边缘的几个房间虽然距离AP只有20米左右，但是由于微波是直线传播，所以微波都是小角度穿透几面墙体，墙体将减弱信号，如下图d3最长，信号也就最弱，如果墙体为钢筋混凝土，则会更弱。最终采用楼外覆盖技术，这样用户搬到5楼都不用改变网络就可以使用，系统使用1个AP,20个usb无线网卡，方案如下图：典型无线案例分析(一)典型无线案例分析(一)方案A:楼内覆盖方案B:楼外覆盖项目实施距离楼南侧有20米的位置，树立了一个铁杆，并安置了一个防雨箱，采用了以太网供电技术，把一条约80米长双绞线放入PVC管中，从3楼引入到防雨箱中，通过网线传递信息和设备用电，然后用一段很短（约3米长）的射频电缆将信号传递到顶部的天线上。说明一下，微波信号工作在2.4Ghz,在射频电缆的衰耗很大，所以尽量减少射频电缆的长度。（使用1/2英寸的射频电缆，一般在20米左右，超过20米可能需要增加信号放大器），顶部放置了一个12dbi的全向天线，经过测试，发现信号只有40%，虽然可以使用，但是不是很理想，最后将全向天线改变为50度扇区天线，信号立刻提升到70%（因为距离远，且穿