11网络技术1班37张胜实验1112Word下载.docx

1、WPA（Wi-Fi保护访问）安全技术的设置6、任务五：IEEE802.11i安全设置7、任务六：WAPI安全设置8、任务七：VPN技术在无线局域网中的安全应用设置9、写出两种形式的实验报告：写出电子稿的实验报告，要求按实验报告格式排版。10、电子稿写好后，以主题“班级名+学号后两位数字+中文姓名+实验11,12”和附件“学号后两位数字+中文姓名+实验11、12”形式发到QQ邮箱：smxszcn。目录一、 MAC过滤和SSID匹配设置 1 1. 无线路由器的配置 1 2. 无线网卡设置 2 3. 配置MAC地址过滤 3二、 IEEE802.11的WEP安全设置 4 1. 配置WEP密码 4三、

2、IEEE802.1x协议设置 5四、 WPA（Wi-Fi保护访问）安全技术的设置 6五、 IEEE802.11i安全设置 71. 国家标准（WAPI） 102. 端口访问控制技术（802.1x） 103. 无线局域网安全防范措施 10七、 VPN技术在无线局域网中的安全应用设置 121. 无线网络在校园中的应用 122. VPN的种类 12结果综述：（写出对本实验的体会及收获） 131、MAC过滤和SSID匹配设置1. 无线路由器的配置（1）将无线路由器的某个LAN口与PC1机的网卡相接，配置该本地连接的IP与网关，如图1-1.1所示：IP: 192.168.1.10 255.255.255.

3、0 GATEWAY: 192.168.1.1首选DNS：172.18.0.10 备选DNS：61.177.7.1图1-1.1本地连接配置（2）在PC1上接好无线路由器，在IE中键入 http:/192.168.1.1 用户名：admin 密码:admin。（不同厂家的不同，如D-LINK为http:/192.168.0.50，用户名：空，IP: 192.168.0.101 255.255.255.0 GATEWAY: 192.168. 0.254 ），如图1-1.2所示：图1-1.2登录无线路由器（3）无线路由器的SSID： aaa, 频道：6，如图1-1.3所示：图1-1.3SSID设置2.

4、 无线网卡设置1、开始/管理工具/服务/启用wireleee configuration，如图1-2.1所示：图1-2.1无线网络配置2、在PC2上安装无线网卡，如图1-2.2所示：图1-2.2无线网络连接3、配置无线SSID：aaa，如图1-2.3所示：图1-2.3无线SSID配置5、配置好后，先禁用无线连接再启用无线连接，并设置成访问点网络，如图1-2.4所示：图1-2.4访问点网络设置在PC1上ping192.168.1.20（PC2通）3. 配置MAC地址过滤1、连接/MCA过滤/拒绝/MAC表：（名称：PC2, MAC地址：00-1E-8C-4B-39-30（查看无线网卡的标签或说明

5、书）/新增，如图1-3.1所示：图1-3.1MAC地址过滤2、再在PC1上ping192.168.1.20（PC2不通）2、IEEE802.11的WEP安全设置 1. 配置WEP密码1、开启WEP安全设置，如图2-1.1所示：图2-1.1开启WEP安全设置2、单击无线网络连接，查看连接，输入密码3、IEEE802.1x协议设置IEEE 802.1x则是一种基于端口的访问控制协议新的宽带认证方式，其对认证方式和认证体系结构进行了优化，解决了传统PPPoE和Web/Portal认证方式带来的问题，很适合在宽带以太网中使用。IEEE 802.1协议的体系结构包括三个重要的部分：Supplicant

6、System客户端、Authenticator System认证系统。 而在对IEEE802.1X+动态IP和IEEE802.1X+静态IP宽带上网方式进行设置时，只需掌握以下要点即可。如果ISP给您提供的是IEEE802.1X+动态IP上网方式，您可以自动从ISP获取IP地址;而如果ISP给您提供的是IEEE802.1X+静态IP上网方式，ISP会给您提供WAN口静态IP地址信息，但无论哪一种方式，首先用ISP给您提供的认证用户名和认证密码通过IEEE802.1X认证是必需，这时只需在登陆框中正确填入ISP提供的认证用户名和密码，然后点击登录按钮，便可登录服务器进行IEEE802.1X认证，

7、如图3-1所示：图3-1登录WAN口设置当IEEE802.1X认证登录成功后，如果是动态IP方式单击更新按钮，路由器将更新从ISP获取的WAN口IP地址、子网掩码、网关以及DNS服务器设置。而如果是静态IP方式，则需手工填入IP地址、子网掩码、网关以及DNS服务器等信息。一切搞定后，便可正常上网冲浪。4、WPA（Wi-Fi保护访问）安全技术的设置1. 路由器上的设置打开路由器的“无线设置”“基本设置”：“安全认证类型”设置为WPA-PSK。“加密方法”有三种选择：自动选择、TKIP、AES，WPA-PSK密钥设置和无线网卡上的设置是要求一致的；2. 客户端无线网卡上的设置在“用户文件管理”里面

8、选中当前使用的配置文件，点击“修改”：在“安全”里面，把安全设置选为“WPA Passphrase”。然后点击“配置”：这里输入的预共享密钥可一定要和路由器里面设置的一样，连接成功后，显现数据加密类型为“AES”（路由器设为自动选择，当你在路由器里面强制选择为TKIP加密算法时，这里会显示为TKIP），W2K3中无法设置。5、IEEE802.11i安全设置1. 无线网络安全设置之一：DHCP功能DHCP 是 Dynamic HostConfiguration Protocol（动态主机分配协议）缩写，主要功能就是帮助用户随机分配IP地址，省去了用户手动设置IP地址、子网掩码以及其他所需要的TC

9、P/IP 参数的麻烦。这本来是方便用户的功能，但却被很多别有用心的人利用。一般的路由器DHCP功能是默认开启的，这样所有在信号范围内的无线设备都能自动分配到IP地址，这就留下了极大的安全隐患。攻击者可以通过分配的IP地址轻易得到很多你的路由器的相关信息，所以禁用DHCP功能非常必要。2. 无线网络安全设置之二：加密现在很多的无线路由器都拥有了无线加密功能，这是无线路由器的重要保护措施，通过对无线电波中的数据加密来保证传输数据信息的安全。一般的无线路由器或AP都具有WEP加密和WPA加密功能，WEP一般包括64位和128位两种加密类型，只要分别输入10个或26个16进制的字符串作为加密密码就可以

10、保护无线网络。WEP协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络，但WEP密钥一般是是保存在Flash中，所以有些黑客可以利用你网络中的漏洞轻松进入你的网络。WEP加密出现的较早，现在基本上都已升级为WPA加密，WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有无线局域网系统的数据保护和访问控制水平；WPA加强了生成加密密钥的算法，黑客即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。WPA的出现使得网络传输更加的安全可靠。无线路由器中无线加密选项目前无线路由器里带有的加密模式主要有：WEPWPA-PSK（TKIP）WP

11、A2-PSK（AES）WPA-PSK（TKIP）+WPA2-PSK（AES）WEP（有线等效加密）WEP是Wired Equivalent Privacy的简称，802.11b标准里定义的一个用于无线局域网（WLAN）的安全性协议。WEP被用来提供和有线lan同级的安全性。LAN天生比WLAN安全，因为LAN的物理结构对其有所保护，部分或全部网络埋在建筑物里面也可以防止未授权的访问。经由无线电波的WLAN没有同样的物理结构，因此容易受到攻击、干扰。WEP的目标就是通过对无线电波里的数据加密提供安全性，如同端-端发送一样。WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。如果你的

12、无线基站支持MAC过滤，推荐你连同WEP一起使用这个特性（MAC过滤比加密安全得多）。尽管从名字上看似乎是一个针对有线网络的安全选项，其实并不是这样。WEP标准在无线网络的早期已经创建，目标是成为无线局域网WLAN的必要的安全防护层，但是WEP的表现无疑令人非常失望。它的根源在于设计上存在缺陷。在使用WEP的系统中，在无线网络中传输的数据是使用一个随机产生的密钥来加密的。但是，WEP用来产生这些密钥的方法很快就被发现具有可预测性，这样对于潜在的入侵者来说，就可以很容易的截取和破解这些密钥。即使是一个中等技术水平的无线黑客也可以在两到三分钟内迅速的破解WEP加密。IEEE802.11的动态有线等

13、效保密（WEP）模式是二十世纪九十年代后期设计的，当时功能强大的加密技术作为有效的武器受到美国严格的出口限制。由于害怕强大的加密算法被破解，无线网络产品是被被禁止出口的。然而，仅仅两年以后，动态有线等效保密模式就被发现存在严重的缺点。但是二十世纪九十年代的错误不应该被当着无线网络安全或者IEEE 802.11标准本身，无线网络产业不能等待电气电子工程师协会修订标准，因此他们推出了动态密钥完整性协议TKIP（动态有线等效保密的补丁版本）。尽管WEP已经被证明是过时且低效的，但是今天在许多现代的无线访问点和无线路由器中，它依然被支持的加密模式。不仅如此，它依然是被个人或公司所使用的最多的加密方法之

14、一。如果你正在使用WEP加密，如果你对你的网络的安全性非常重视的话，那么以后尽可能的不要再使用WEP，因为那真的不是很安全。WPA-PSK（TKIP）无线网络最初采用的安全机制是WEP（有线等效加密），但是后来发现WEP是很不安全的，802.11组织开始着手制定新的安全标准，也就是后来的802.11i协议。但是标准的制定到最后的发布需要较长的时间，而且考虑到消费者不会因为为了网络的安全性而放弃原来的无线设备，因此Wi-Fi联盟在标准推出之前，在802.11i草案的基础上，制定了一种称为WPA（Wi-Fi Procted Access）的安全机制，它使用TKIP（临时密钥完整性协议），它使用的加

15、密算法还是WEP中使用的加密算法RC4，所以不需要修改原来无线设备的硬件，WPA针对WEP中存在的问题：IV过短、密钥管理过于简单、对消息完整性没有有效的保护，通过软件升级的方法提高网络的安全性。WPA的出现给用户提供了一个完整的认证机制，AP根据用户的认证结果决定是否允许其接入无线网络中；认证成功后可以根据多种方式（传输数据包的多少、用户接入网络的时间等）动态地改变每个接入用户的加密密钥。另外，对用户在无线中传输的数据包进行MIC编码，确保用户数据不会被其他用户更改。作为802.11i标准的子集，WPA的核心就是IEEE802.1x和TKIP（Temporal Key Integrity P

16、rotocol）。WPA考虑到不同的用户和不同的应用安全需要，例如：企业用户需要很高的安全保护（企业级），否则可能会泄露非常重要的商业机密；而家庭用户往往只是使用网络来浏览 Internet、收发E-mail、打印和共享文件，这些用户对安全的要求相对较低。为了满足不同安全要求用户的需要，WPA中规定了两种应用模式：企业模式，家庭模式（包括小型办公室）。根据这两种不同的应用模式，WPA的认证也分别有两种不同的方式。对于大型企业的应用，常采用“802.1x+ EAP”的方式，用户提供认证所需的凭证。但对于一些中小型的企业网络或者家庭用户，WPA也提供一种简化的模式，它不需要专门的认证服务器。这种模

17、式叫做“WPA预共享密钥（WPA-PSK）”，它仅要求在每个WLAN节点（AP、无线路由器、网卡等）预先输入一个密钥即可实现。这个密钥仅仅用于认证过程，而不用于传输数据的加密。数据加密的密钥是在认证成功后动态生成，系统将保证“一户一密”，不存在像WEP那样全网共享一个加密密钥的情形，因此大大地提高了系统的安全性。WPA2-PSK（AES）在802.11i颁布之后，Wi-Fi联盟推出了WPA2，它支持AES（高级加密算法），因此它需要新的硬件支持，它使用CCMP（计数器模式密码块链消息完整码协议）。在WPA/WPA2中，PTK的生成依赖PMK，而PMK获的有两种方式，一个是PSK的形式就是预共享

18、密钥，在这种方式中PMK=PSK，而另一种方式中，需要认证服务器和站点进行协商来产生PMK。IEEE802.11所制定的是技术性标准，Wi-Fi联盟所制定的是商业化标准，而Wi-Fi所制定的商业化标准基本上也都符合IEEE所制定的技术性标准。WPA（Wi-Fi Protected Access）事实上就是由Wi-Fi联盟所制定的安全性标准，这个商业化标准存在的目的就是为了要支持IEEE 802.11i这个以技术为导向的安全性标准。而WPA2其实就是WPA的第二个版本。WPA之所以会出现两个版本的原因就在于Wi-Fi联盟的商业化运作。想要破解？难度不小我们知道802.11i这个任务小组成立的目的

19、就是为了打造一个更安全的无线局域网，所以在加密项目里规范了两个新的安全加密协定TKIP与CCMP（有些无线网路设备中会以AES、AES-CCMP的字眼来取代CCMP）。其中TKIP虽然针对WEP的弱点作了重大的改良，但保留了RC4演算法和基本架构，言下之意，TKIP亦存在着RC4本身所隐含的弱点。因而802.11i再打造一个全新、安全性更强、更适合应用在无线局域网环境的加密协定-CCMP。所以在CCMP就绪之前，TKIP就已经完成了。但是要等到CCMP完成，再发布完整的IEEE802.11i标准，可能尚需一段时日，而Wi-Fi联盟为了要使得新的安全性标准能够尽快被布署，以消弭使用者对无线局域网

20、安全性的疑虑，进而让无线局域网的市场可以迅速扩展开来，因而使用已经完成TKIP的IEEE 802.11i第三版草案（IEEE 802.11i draft 3）为基准，制定了WPA。而于IEEE完成并公布IEEE802.11i无线局域网安全标准后，Wi-Fi联盟也随即公布了WPA第2版（WPA2）。WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP（选择性项目）/TKIPWPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP（选择性项目）/TKIP/CCMP还有最后一种加密模式就是WPA-PSK（TKIP）+WPA

21、2-PSK（AES），这是目前无线路由里最高的加密模式，目前这种加密模式因为兼容性的问题，还没有被很多用户所使用。目前最广为使用的就是WPA-PSK（TKIP）和WPA2-PSK（AES）两种加密模式。相信在经过加密之后的无线网络，一定能够让我们的用户安心放心的上网冲浪。无线网络安全设置之三：SSID广播简单来说，SSID便是你给自己的无线网络所取的名字。在搜索无线网络时，你的网络名字就会显示在搜索结果中。一旦攻击者利用通用的初始化字符串来连接无线网络，极容易入侵到你的无线网络中来，所以笔者强烈建议你关闭SSID广播。还要注意，由于特定型号的访问点或路由器的缺省SSID在网上很容易就能搜索到，

22、比如“netgear，linksys等”，因此一定要尽快更换掉。对于一般家庭来说选择差别较大的命名即可。关闭SSID后再搜索无线网络你会发现由于没有进行SSID广播，该无线网络被无线网卡忽略了，尤其是在使用Windows XP管理无线网络时，可以达到“掩人耳目”的目的，使无线网络不被发现。不过关闭SSID会使网络效率稍有降低，但安全性会大大提高，因此关闭SSID广播还是非常值得的。无线网络安全设置之四：IP过滤和MAC地址列表由于每个网卡的MAC地址是唯一的，所以可以通过设置MAC地址列表来提高安全性。在启用了IP地址过滤功能后，只有IP地址在MAC列表中的用户才能正常访问无线网络，其它的不在

23、列表中的就自然无法连入网络了。另外需要注意在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”选项，要不无线路由器就会阻止所有用户连入网络。对于家庭用户来说这个方法非常实用，家中有几台电脑就在列表中添加几台即可，这样既可以避免邻居“蹭网”也可以防止攻击者的入侵。无线网络安全设置之五：主动更新搜索并安装所使用的无线路由器或无线网卡的最新固件或驱动更新，消除以前存在的漏洞。还有下载安装所使用的操作系统在无线功能上的更新，比如Windows XP SP3或Vista SP1等，这样可以更好的支持无线网络的使用和安全，使自己的设备能够具备最新的各项功能。无线网络的速度

24、越来越快，无线网络也该越来越安全。其实只要进行上述简单的几个设置就可以把你的安全等级提升不少。无线网络环境不是连接上这么简单，把安全工作做到家才能使使用更安心畅快。六、WAPI安全设置 1. 国家标准（WAPI）WAPI（WLANAuthenticationandPrivacyInfrastructure），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥

25、密码体系的证书机制，真正实现了移动终端（MT）与无线接入点（AP）间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。与现有计费技术兼容的服务，可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后，无须再对后台的AAA服务器进行设置，安装、组网便捷，易于扩展，可满足家庭、企业、运营商等多种应用模式。2. 端口访问控制技术（802.1x）该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802

26、.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。3. 无线局域网安全防范措施1、采用端口访问技术（802.1x）进行控制，防止非授权的非法接入和访问。2、采用128位WEP加密技术，并不使用产商自带的WEP密钥。3、对于密度等级高的网络采用VPN进行连接。4、对AP和网卡设置复杂的SSID，并根据需求确定是否需要漫游来确定是否需要MAC绑定。5、禁止AP向外广播其SSID。6、修改

27、缺省的AP密码，Intel的AP的默认密码是Intel。7、布置AP的时候要在公司办公区域以外进行检查，防止AP的覆盖范围超出办公区域（难度比较大），同时要让保安人员在公司附近进行巡查，防止外部人员在公司附近接入网络。8、禁止员工私自安装AP，通过便携机配置无线网卡和无线扫描软件可以进行扫描。9、如果网卡支持修改属性需要密码功能，要开启该功能，防止网卡属性被修改。10、配置设备检查非法进入公司的2.4G电磁波发生器，防止被干扰和DOS11、制定无线网络管理规定，规定员工不得把网络设置信息告诉公司外部人员，禁止设置P2P的Adhoc网络结构12、跟踪无线网络技术，特别是安全技术（如802.11i

28、对密钥管理进行了规定），对网络管理人员进行知识培训。4. WAPI 的工作过程 在一个采用了WAPI安全关联机制的WLAN 中，当Client需要访问该WLAN 时，通过被动侦听AP 的信 标（Beacon）帧或主动发送探询帧（主动探询过程如 图 1-2所示）以识别AP所采用的安全策略： 若 AP 采用证书鉴别方式，AP 将发送鉴别激活分组启动证书鉴别过程，当证书鉴别过程成功结束后，AP 和 Client 再进行单播密钥协商和组播密钥通告； 若 AP 采用预共享密钥鉴别方式，AP 将与 Client 直接进行单播密钥协商和组播密钥通告。（1） 探询请求 （2） 探询响应（WAPI信息元素） （

29、3） 链路验证请求 （4） 链路验证响应 （5） 关联请求（WAPI信息元素） （6） 关联响应 7、VPN技术在无线局域网中的安全应用设置1. 无线网络在校园中的应用无线网络作为有线网络在校园园区的补充和扩展,可以最终实现校园内网络的全面覆盖,特别是为校园内大型会议室、综合教学楼、体育场馆等一些不易布置过多信息点的场所提供便捷的网络接入,实现校园内信息的随身化。同时,无线网络架设较之有线网络更方便,灵活,可以更好地适应校园内网络结构的变化。但由于无线网络使用公用频段以及无线信号的空中传输特性,使得无线网络中的无线链路中传输的信息很容易被窃听、篡改和入侵,甚至整个网络的瘫痪，因此建设一个可信任

30、的无线局域网络成为校园网络建设中的一个重要需求。VPN是无线网络建设当中解决无线通信安全问题的一个很好的方案。在众多的VPN实现技术当中,由IETF制定的IP层安全标准IPSec协议被广泛应用,以实现加密、认证、数据完整性和机密性等安全功能。通过IPSecVPN网关实现无线局域网的安全接入可以满足校园网WLAN的建设要求。2IPSecVPN概述2.1IPSec的安全功能VPN（VirtualPrivateNetwork）虚拟专用网是一种采用隧道技术,加密技术和身份认证,访问控制等方法在公共网络上构建专用网络的技术。2. VPN的种类VPN技术也分为多种，如L2TP，PPTP，IPSecVPN和SSLVPN等。IPSecVPN是目前应用最广泛的方案，它可以采用几乎所有的加密算法，被大多数公司和组织认可。但是它也有一些难以解决的问题。SSLVPN作为新出现的一种VPN技术由于实施方便，客户端要求低等诸多优点在VPN市场上占有重要角色。而且SSLVPN也能很好地解决IPSecVPN所面临的难题，具有很好的市场前景。本课题就是以SSL作为无线局域网VPN的设计方案。 本文首先分析了基于802.11协议的无线局域网的技术特点和IPSec与SSLVPN技术的优缺点，然后对PKI公钥基础设施和基于证书验证的机制进行了研究，针对无线局域网的特点采用一些新的技术来提高其传输方面的不足。提出一