WLAN 安全

 

1.有哪些方式可以维护WLAN的安全？

-身份验证：确认合法客户端与受信任接入点关联在一起。

-加密：在传输和接收数据时保护数据。

-系统防护：追踪并减少未授权访问和网络攻击

认证

1.什么是开放系统认证？

开放系统认证（Open system authentication）是缺省使用的认证机制，是最简单的认证算法，即不认证?。

认证请求→认证成功

2.什么是MAC认证？

MAC地址认证：在设备上预先配置允许访问的MAC地址列表，如果客户端的MAC地址不在允许访问的MAC地址列表，将被拒绝其接入请求。

3.什么是共享密钥认证？

共享密钥认证（Shared-key authentication）必须使用WEP加密方式，要求STA和AP使用相同的共享密钥（key），通常被称为静态WEP密钥。

4.什么是IEEE802X认证？

IEEE802X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。

在802X架构中，只有具备了以下三个元素才能完成基于端口的访问控制的用户认证和授权。

--客户端

--认证者

--认证服务器

802.1X体系本身不是一个完整的认证机制，而是一个通用架构。

802.1X体系使用EAP（Exten sible Authentication Protocol）认证协议。

EAP认证协议有四种类型：EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP。

5.什么是PSK认证？

PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥，可以通过是否能够对协商的消息成功解密，来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同，从而完成服务端和客户端的互相认证。

6.什么是Portal认证？

Portal认证也称Web认证。客户端使用标准Web（例如IE），填入用户名、密码信息，页面提交后，由Web服务器和设备配合完成用户的认证。

Portal认证体系结构：

加密

1.什么是WLAN加密？

在WLAN用户通过认证后并赋予访问权限后，网络必须保护用户所传送的数据不被窥视。主要的方法是对数据报文进行加密，保证只有特定的设备可以对接收到的报文成功解密。

2.WLAN加密方式有哪些？

----WEP加密：

最早的无限加密技术，整个网络公用一个共享密钥，一旦丢失，整个网络都很危险

IV向量太短，大量监听用户数据报文后，WEP加密很容易被破解

RC4加密算法过于简单

-TKLP加密（WPA）：

针对WEP改良的WPA，核心算法还是RC4对称流加密算法，在WEP基础上提出了临时密钥完整性协议TKIP（Tempora Key Integrity Protocol）加密算法，采用了802.1x的身份验证框架，支持EAP-PEAP、EAP-TLS等认证方式。

-CCMP加密（WPA2）：

区别于WPA，WPA2采用安全性更高的区块链密码锁链-信息真实性检查码协议CCMP（Counter Mode with CBC-MAC Protocol）加密算法。

WPA/WPA2安全策略涉及了链路认证阶段、接入认证阶段、密钥协商和数据加密阶段。

链路认证阶段分为开放式系统认证和共享式密钥认证，WPA/WPA2仅支持开放式系统认证（理上用户站点向接入点发出认证请求，仅仅是一个请求，不含任何用户名、口令等信息，就可以获得认证。开放系统认证的主要功能是让站点互相感知对方的存在，以便进一步建立通信关系来建立关联）。

3.什么是WPA/WPA2企业版？

采用WPA/WPA2-802.1X的接入认证方式，使用RADIUS（一种用于在需要认证其链接的网络访问服务器）服务器和可扩展认证协议EAP（Extensible Authentication Protocol扩展的身份验证协议，是一系列验证方式的集合。）进行认证。用户提供认证所需的凭证，如用户名和密码，通过特定的用户认证服务器（一般是RADIUS服务器）来实现对用户的接入认证。

在大型企业中，通常采用WPA/WPA2企业版的认证方式。WPA/WPA2支持基于EAP-TLS和EAP-PEAP的802.1X认证方式。

4.什么是WPA/WPA2个人版？

对一些小型的企业网络或者家庭用户，部署一台专用的认证服务器代价过于昂贵，维护也很复杂，因此，WPA/WPA2提供了一种简化的模式，即WPA/WPA2预共享密钥（WPA/WPA2-PSK）模式，它不需要专门的认证服务器，仅要求在每个WLAN节点（WLAN服务端、无线路由器、网卡等）预先输入一个预共享密钥即可，只要密钥吻合，客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程，而不用于加密过程，因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。

802.1X认证支持对有线用户和无线用户进行身份证，而PSK认证则是专门针对无限用户的认证方法。

PSK认证需要事先在STA和AC端配置相同的预共享密钥，然后通过是否能够对协商的消息成功解密，来确定STA配置的预共享密钥是否和AC配置的预共享密钥相同，从而完成STA和AC的互相认证，如果密钥协商成功，表明PSK接入认证成功；如果密钥协商失败，表明PSK接入认证失败。

密钥协商阶段

- 在802.11i里定义了两种密钥层次模型，一种是成对密钥层次结构，主要用来保护STA与AP之间往来的数据；一种是群组密钥层次结构，主要用来描述STA与AP之间的广播或组播数据。

- 密钥协商阶段是根据接入认证生成的成对主钥PMK（Pairwise Master Key）产生成对临时密钥PTK（Pairwise Transient Key）和群组临时密钥GTK（Group Temporal Key）。PTK用来加密单播报文，GTK用来加密组播和广播无线报文。

- 针对PSK认证，根据设置预共享密钥的方式不同（通过命令行可以选择设置预共享密钥的方式），生成的PMK方式也不同；

- 如果设置的预共享密钥是十六进制，则预共享密钥是PMK

- 如果设置的预共享密钥是字符串，则PMK是利用预共享密钥和SSID通过哈希算法计算出来的。

TKLP加密

TKIP：临时密钥完整性协议（Temporal Key Integrity Protocol）