一、了解无线网络

今天使用的最常见的无线标准是Wi-fi。Wi-fi实际上是一套由电气和电子工程师协会(IEEE)管理的标准,它描述了无线设备如何相互通信和与无线接入点通信的技术细节。使用标准是绝对必要的,因为如果没有标准,无线设备就不会说同样的语言。标准化使任何Wi-Fi设备能够与世界各地的任何Wi-Fi网络一起工作。

Wi-fi的工作原理是用无线电发射器和接收器(Radio transmitters and receivers) 取代有线网络的电线和电缆。每个支持Wi-Fi的设备都包含一个无线电收发器,能够在一个或多个标准Wi-Fi频段上进行通信。从智能手机到笔记本电脑,再到连接互联网的烟雾探测器,每个设备都包含一个小芯片,还有一个天线,用于发射和接收wi-fi信号。大多数wi-fi网络也与本地网络相连,而本地网络又与互联网相连。这使得无线设备不仅可以相互通信,还可以与位于互联网上任何地方的有线设备和系统进行通信。这种类型的通信需要在无线网络和有线网络之间建立连接。家庭和商业网络使用无线接入点(Wireless access points),即WAPs,来进行这种连接。

这些接入点包含强大的天线、发射器和接收器,使它们能够在大范围内广播wi-fi信号。它们还用电缆连接到传统的有线网络。然后,该地区的无线设备可以与接入点通信,以连接到其他网络。有许多不同版本的802.11标准的wi-fi,使用越来越复杂的无线技术来提供更高的带宽和更远的覆盖范围。

  1. 最早的wi-fi版本,即802.11标准,于1997年发布,它只允许每秒2兆比特的通信;
  2. 两年后,802.11b标准将这一速度提高了五倍多,允许每秒11兆比特的通信;
  3. 2003年发布的802.11g将最大带宽提高到平均每秒22兆比特;
  4. 而802.11n通过使用被称为多输入、多输出或MIMO天线的特殊天线,在2009年将带宽极大地提高到每秒600兆比特;
  5. 现在,802.11ac标准允许Wi-Fi网络的通信速度超过每秒一千兆位。

关于Wi-Fi信号需要记住的一个重要事情是,它们是无线电传输,因此,它们可以被任何拥有合适天线和接收器的人接收。与有线网络不同,无线信号从许多不同的方向传播出去。这就引入了新的安全问题,因为网络管理员必须防止窃听攻击。

二、无线加密(Wireless encryption)

网络管理员为无线网络添加加密,以保护通信免受窃听。无线加密是网络安全的一个最佳做法。加密将网络通信的真实内容隐藏起来,不让那些没有解密钥匙的人看到。

1.WEP
解决这个问题的最初方法是一种被称为 "有有线等效保密(Wired Equivalent Privacy) "的技术,或称WEP。WEP被使用了很长时间,但现在人们知道它存在一些非常严重的安全漏洞,这些问题非常严重,以至于安全专家不再认为WEP是安全的,它永远不应该在现代网络上使用。

2.WPA
一种称为Wi-Fi保护接入(Wi-Fi Protected Access)的较新技术,即WPA,早在2003年就取代了WEP。WPA的第一个版本,即WPA,使用了临时密钥完整性协议(Temporal Key Integrity Protocol),即TKIP),以增加WEP所没有的安全性。TKIP改变了每个数据包的加密密钥,防止攻击者在长期监控网络后发现密钥。然而,正如许多安全技术所发生的那样,WPA的漏洞现在已被发现,使其成为在现代无线网络中使用的一个糟糕的选择。2004年,WPA2作为WPA的升级版被发布。WPA2不是简单地在旧的WEP标准上增加安全性,而是使用了一种基于高级加密标准(或AES)的加密协议。这个协议有一个非常长的名字:Counter Mode Cipher Block Chaining Message Authentication Code Protocol。但我们只需要知道它是CCMP。随后,安全研究人员发现了WPA2的一些潜在问题,但它仍然被认为是安全的,并被广泛使用。从2020年起,新的无线设备需要支持WPA3标准。WPA3也支持CCMP协议,但它增加了一项新的技术,称为 “等值同时认证(Simultaneous Authentication of Equals)”,或SAE。SAE是一个安全的密钥交换协议,基于Diffie-Hellman技术,为加密的无线通信提供一个更安全的初始设置。

总结一下,我们不应该运行未加密的网络,因为它们肯定容易被窃听,原来的WEP标准非常不安全,基本上相当于运行一个未加密的网络。最初的WPA标准现在也被认为是不安全的,我们现在应该运行WPA2无线加密标准和/或最新的WPA3标准。

三、无线认证(Wireless authentication)

虽然有些无线网络是为了让任何想使用它们的人公开访问,但大多数无线网络限制了对授权用户的访问。有三种主要的机制来验证无线网络的用户:预共享密钥(Pre-shared keys)、企业认证(Enterprise authentication)和强制门户(Captive portals)

1.预共享密钥(Pre-shared keys)
预共享密钥是最简单的一种无线认证,它们通常被用于家庭WI-FI网络。在预共享密钥方法中,网络使用一个加密密钥来控制访问。每当用户希望将设备连接到网络时,他们必须在设备上输入该预共享密钥。预共享密钥可以直接输入一个64个字符的十六进制字符串,但这是一个非常不方便的方法。相反,大多数使用预共享密钥的网络要求用户输入一个由8到13个ASCII字符组成的密码。然后,网络使用PBKDF2密钥拉伸功能,将ASCII密码转换成更长更强的网络加密密钥。预共享密钥工作得很好,但它们确实有很大的局限性,使它们无法在大型网络中使用。首先,改变网络加密密钥是一个巨大的负担。每次密钥改变时,用户必须重新配置所有的无线设备以使用新的密钥。第二,使用共享密钥不方便识别个人用户和限制用户身份的访问。例如,如果一个用户离开了组织,网络管理员没有办法撤销该用户的无线网络访问,除非改变组织中所有无线设备的预共享密钥。

2.企业认证(Enterprise authentication)
更常见的无线认证方式是通过使用企业认证。在这种方法中,企业运行一个验证服务器(Authentication server) 来验证用户的证书,并确保只有授权用户才能访问网络。并且,在这种方法中,用户不需要输入预共享密钥,而是输入他们个人的用户名和密码或提供其他凭证来访问网络。 企业认证在这些网络上使用可Extensible authentication protocol或EAP进行认证。其实,EAP是一个广泛的认证框架,实际上有一百多个不同的变化。主要的版本如下:。

  1. 轻量级可扩展认证协议(Lightweight extensible authentication protocol)或EAP-LEAP是思科公司创建的EAP的一个版本,依赖于MS-CHAP认证协议。目前,LEAP不是一种安全的认证方法,不应使用;
  2. 当思科想取代LEAP协议时,他们创造了一个EAP的变体,称为EAP-FAST。这个协议取代了LEAP,它仍然被认为是安全的;
  3. EAP-MD5变体依赖于不安全的MD5散列函数,它不应该被使用;
  4. EAP-PEAP采用标准的EAP变体,并在TLS隧道内保护它们,是安全的;
  5. EAP-TLS变体使用传输层安全来保护EAP通信,它被认为是高度安全的;
  6. EAP-TTLS,同样是使用TLS隧道保护相对不安全的内层认证方法,是安全的。

具体的不同之处和认真步骤可以查看:https://blog.csdn.net/banrieen/article/details/51437260

3.强制门户(Captive portals)
无线认证的最后一种方法是使用强制门户。当其他技术无法实现时,我们可以还有强制门户提供认证。当用户使用强制门户连接到网络时,他们会被重定向到一个网页,该网页要求他们在获得网络访问权之前进行认证。

四、无线信号的传播(Wireless signal propagation)

无线电波会受到其运行区域的许多不同特性的影响。建筑材料、天线位置、功率水平和许多其他特征都可以改变无线信号的流动或传播。我们可以使用许多不同类型的无线天线。虽然有些机构使用内置在无线接入点中的简单天线,但也有其他选择。与无线接入点(WAP)一起使用的基本天线被称为全向天线(Omnidirectional antennas)

它们向各个方向平等地发射无线电波。在某些情况下,网络管理员可能希望将无线信号指向一个特定的方向,例如当他们在两座大楼之间建立一个点对点的网络。这通过将功率集中在一个方向,这就可以使用定向天线(Directional antenna)

802.11ac网络包括一项被称为波束成形(Beamforming) 的新技术。通过波束成形,接入点使用多个看起来像简单的全向天线的天线来检测连接到无线接入点的设备的位置,然后它们将信号引向该设备的方向。我们可以把波束成形看作是一个虚拟的定向天线,它可以根据设备的位置根据需要进行转移。

在一个设施中放置天线和接入点是一个高度专业的网络领域。建筑物的许多不同特性会影响无线信号的传播,工程师必须考虑到这些因素,以防止出现死角,同时还要确保物理上相邻的接入点不会相互干扰。虽然可以根据理论设计画出草图并放置接入点,但放置无线接入点的最佳方法是进行地勘(Site Survey),使用专门的硬件和软件来测量信号强度并提供最佳的无线信号覆盖。这些调查通常会产生一个热图(Hot map),以图形方式说明强覆盖区域和需要改善的区域。

Wi-fi标准支持使用不同的无线电频率,称为信道(channels)。我们通常可以通过调整你在大楼里使用的频道来改善你的无线覆盖,以避免与附近其他企业使用的频道重叠。最后,网络工程师有能力操纵每个接入点传输的功率水平,以调整覆盖范围并防止干扰。这些功率水平可以手动调整,也可以由无线控制器自动管理。

五、无线网络设备(Wireless networking equipment)

无线接入点本身可以以胖模式(Fat)或瘦模式(Thin)运行。

  1. 胖AP点包含操作无线网络所需的所有硬件和软件。它们能够独立运行或与其他接入点协调工作。当管理员想对胖AP的配置进行改变时,他们会连接到该接入点并改变配置。这可能是通过一个集中的管理工具完成的。
  2. 瘦AP自身的功能要少得多。它们只是处理无线通信的无线电设备,但它们依靠无线控制器来完成繁重的工作。无线接入控制器(AC),即AC位于数据中心或布线柜中,充当瘦AP的大脑。除了使无线网络更容易管理外,AC还可以通过协调各个接入点的功率水平、天线模式和其他信号特性来改善性能,从而优化覆盖范围并减少干扰

最后,企业可以使用无线扫描工具来扫描流氓无线网络并测试这些网络的安全性。Aircrack-ng工具可以测试各种各样的无线网络安全问题。

整理资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601

Security+ 学习笔记43 无线网络相关推荐

  1. 数通学习笔记1 - 数据通信网络基础

    数通学习笔记1 - 数据通信网络基础 数据通信网络基础 数通学习笔记1 - 数据通信网络基础 前言 一.通信与网络 1. 什么是通信.什么是网络通信? 2. 信息传递过程 3. 数据通信网络 二.网络 ...

  2. Linux+javaEE学习笔记之Linux网络环境配置

    Linux+javaEE学习笔记之Linux网络环境配置 网络知识简单介绍: Ip地址是:IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物 ...

  3. #今日论文推荐# 爱丁堡大学等首篇《移动无线网络中的深度学习》综述论文,67页pdf涵盖570篇文献阐述深度学习在移动无线网络中的应用最佳实践

    #今日论文推荐# 爱丁堡大学等首篇<移动无线网络中的深度学习>综述论文,67页pdf涵盖570篇文献阐述深度学习在移动无线网络中的应用最佳实践 移动设备的迅速普及以及移动应用和服务的日益普 ...

  4. Neutron学习笔记2-- Neutron的网络实现模型

    Neutron学习笔记2-- Neutron的网络实现模型 Neutron的三类节点 计算节点 网络节点 控制节点 Neutron将在这三类节点中进行部署,Neutron在各个计算节点,网络节点中运行 ...

  5. 大唐杯学习笔记(1)—— 5G网络架构与组网部署

    目录 一.名词汇总 1.核心网与接入网 2.5G网络架构 3.核心网架构演进 (1)2G核心网 (1)3G,4G核心网 4.4G核心网架构 5.5G核心网架构 6.5G接入网网架构 7.主要网元功能 ...

  6. 影像组学视频学习笔记(43)-标准差、标准误及95%置信区间CI、Li‘s have a solution and plan.

    作者:北欧森林 链接:https://www.jianshu.com/p/f09d0f97592f 来源:简书,已获授权转载 本笔记来源于B站Up主: 有Li 的影像组学系列教学视频 本节(43)主要 ...

  7. 学习笔记(09):Python网络编程并发编程-模拟ssh远程执行命令-代码实现

    立即学习:https://edu.csdn.net/course/play/24458/296239?utm_source=blogtoedu 1.服务器端:接收客户端发送的命令,subprocess ...

  8. python 网页爬虫作业调度_第3次作业-MOOC学习笔记:Python网络爬虫与信息提取

    1.注册中国大学MOOC 2.选择北京理工大学嵩天老师的<Python网络爬虫与信息提取>MOOC课程 3.学习完成第0周至第4周的课程内容,并完成各周作业. 4.提供图片或网站显示的学习 ...

  9. Security+ 学习笔记44 网络攻击

    一.拒绝服务攻击(Denial of service attacks) CIA三要素描述了信息安全的三个目标,即保密性.完整性和可用性.攻击者使用的大多数攻击技术都集中在破坏数据的保密性或完整性上. ...

  10. RHCE 学习笔记(22) 网络用户

    这一节主要学习了ldap的基本知识,并了解两个产品openldap和IPA的基本配置. ldap是轻量目录访问协议,以树的形式保存数据,支持跨平台的操作. 熟悉windows的管理员对活动目录并不陌生 ...

最新文章

  1. 论防止爆T的重要性:N相关孪生素数
  2. 11月最热论文Top10、五大学科最热论文Top3!
  3. 物体抓取位姿估計算法綜述_基于深度学习的物体抓取位置估计
  4. 了解 Apache ActiveMQ
  5. python将图像转换为8位单通道_【图像处理】OpenCV系列三十五--- equalizeHist函数详解...
  6. java list数组排序_浅谈对象数组或list排序及Collections排序原理
  7. mysql 5.5.39 安装_CentOS7.2安装mysql5.5.39
  8. [css] 如何阻止:hover、:active等鼠标行为状态的触发?
  9. 算法(7)-leetcode-explore-learn-数据结构-数组-小结
  10. delphi中richedit中光标如何定位到最后_嵌入式开发之Linux系统中Vi编辑器的使用
  11. php 预防循环发短信_php短信接口发送短信失败,罪魁祸首原来在这里
  12. [Linux]gocron定时任务平台的部署
  13. 热门项目:高精度图像分类全流程开发
  14. URAL - 1966 - Cycling Roads(并检查集合 + 判刑线相交)
  15. 分数的计算机应用教案,计算机应用实训实验
  16. 图片上传限制文件类型
  17. PHP分类输出代码,PHP无限分类代码,支持数组格式化、直接输出菜单两种方式_php技巧...
  18. 机器学习与医学应用基础(超星尔雅学习通)--答案
  19. Tortoise SVN Clean up失败的解决方法
  20. Spark的Windows本地化部署完整方案

热门文章

  1. 深度学习14-实战三-Google涂鸦识别挑战项目(上)
  2. Linux查看、处理文件方法
  3. LeetCode刷题——283. 移动零
  4. 深入理解OracleExadata
  5. 4.7 Spark SQL 数据分析流程
  6. 8.13 Prototypical Networks 原型网络
  7. 随机采样和随机模拟:吉布斯采样Gibbs Sampling实现文档分类
  8. Machine Learning - II. Linear Regression with One Variable单变量线性回归 (Week 1)
  9. python web框架 - Django
  10. 力扣-811 子域名访问计数