剪不断理还乱的无线安全
关于无线安全认证的二三事...
关于无线安全认证的二三事
------剪不断理还乱的无线安全
随着现在市面各种蹭网工具、无线破解软件等恶意软件层出不穷,无线网络的安全性日益重要,那一个健全无线网络它的安全性是怎么体现的呢?提起来无线网络的安全性大家的脑海里面是不是出现了什么WEP、WPA/WPA2、PSK、1X、PORTAL等等一大堆的东西,然后就混在一起变成了浆糊…
不要怕,我们接下来就对这些东西层层解剖,帮你理理清楚,让你从容面对各种安全策略。大家都知道无线的接入过程大体上分为扫描-认证-关联-通信四个阶段,而一个健全的无线网络在每个环节都要有对应的保障机制。
虽然看起来咱们用户在使用无线网络的时候,输入了一个密码就接入成功了,但其实从发起接入请求到正常通信的详细流程还是很有讲究的,大致经过下面几个阶段,扫描信号---链路认证---关联---获取IP---接入认证/数据加密---接入网络,其中获取IP可能发生在接入认证前,比如portal认证;也可能发生在接入认证之后,比如MAC认证。
现在理清了无线的接入过程,咱们再具体来看每一步都可以通过什么样的机制去保障无线安全的:
扫描阶段:无线的信号识别是通过扫描ssid获取的,就是我们常说的搜索发现无线名称。实际上这个搜索有两种方式,一种是主动模式即STA发送probe帧,AP对其进行响应。通常情况下STA会在各个信道上进行广播探寻(proberequest),AP接到后会给以回应(probe reponse),并携带自己的SSID、协商速率等信息。另一种是被动模式即STA接收AP发送的beacon帧,AP会固定地在自己的覆盖范围内发送beacon来提供无线服务。一般来说,STA同时支持主被动模式来扫描无线信号,至于具体使用哪一种方法,这取决于STA网卡。
隐藏SSID:
在一些场景内,无线网络不加密或只针对内部人员开放的时候,我们可以通过人为控制搜索方式来进行接入用户的初步甄选,实现的手段是在AP发送的beacon帧中不携带SSID的名称,并且不会对STA的广播请求作出回应。仅仅只对STA发送指定ssid的probe帧进行回应,即我们常见的使用手工输入ssid连接无线。第一次进入该区域时,无线网卡是没办法搜索到这个信号的,这就要求用户必须知道这个无线网络的SSID和密码,才能手动创建并发起连接。第二次进入该无线环境的时候才会直接显示在搜索列表里。而其他人的无线网卡搜索列表中将永远无法显示该无线网络,直到你知道了该网络的SSID和密码等相关信息。
好啦,那我们就先说到这里,更多关于认证、关于加密、关于安全的内容请看下期:
关于无线安全认证的二三事--------那些不得不说的经典安全策略。
华三SOHO服务大本营
- - - - - - - - - - - - - - - - - - - -
关注我吧|给你更多体验
微信ID:H3C_SOHO
长按二维码关注我
关注 华三SOHO服务大本营
微信扫一扫关注公众号
