教委教材样本.doc

《教委教材样本.doc》由会员分享，可在线阅读，更多相关《教委教材样本.doc（15页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第12章规划和实施无线网络的安全措施本章概述由于无线网络的便利性，在企业中得到了越来越广泛的应用。但是，因为信号是以广播方式发送的，因此无法从物理上保护传输数据的介质。如果未对无线网络进行安全防护，入侵者可以利用此漏洞非法接入网络，在本章中概要说明了。在实现无线网络前精心规划保护数据的方法，保证有效的无线网络安全。学习完相关课程之后，学生需要重点掌握客户端无线安全的指导方针。教学目标l 掌握安全无线 LAN（WLAN）以及无线基本架构的组件和功能特性l 掌握 802.1x 身份验证及其工作原理l 能够规划安全的 WLAN 基本架构l 能够实现安全的 WLAN 基本架构l 能够对 WLAN 错误

2、和组件进行故障排除教学重点l 实现 802.1x 身份验证：类型、用途和组件、工作原理、硬件要求、最佳实践l 规划安全的 WLAN 策略：规划 PKI 的方法、证书模板、IAS 基本架构、RADIUS 日志、AP位置和设置的方法、远程访问连接策略l 实现安全 WLAN：IAS 配置、WAP、备份和导出、IAS 远程访问策略、无线网络策略、无线网络策略设置、无线接入点设置l 无线网络故障排除：工具、故障排除步骤教学难点l 学生不一定使用过WLANl 学生对于IAS服务器没有深刻的了解教学资源课本知识点12.1保护无线网络安全简介12.2实现 802.1x 身份验证12.3规划安全的 WLAN 策

3、略12.4实现安全 WLAN12.5无线网络故障排除习题习题1-对应知识（12.1.2）习题2-对应知识（12.1.5）习题3-对应知识（12.2.4）习题4-对应知识（12.2.3）习题5-对应知识（12.5.3）习题6-对应知识（12.2.5）习题7-对应知识（12.1.4）习题8-对应知识（12.2.1）习题9-对应知识（12.3.3）习题10-对应知识（12.3.5）教学指导手册包新版幻灯片教师光盘:/Powerpnt/2823A_12.ppt多媒体视频无习题解答教师光盘:/tPrep/answer/Answer12.doc先修知识在正式开始学习本章内容以前，学生须具备下列知识基础。知

4、识基础推荐补充网络基本概念、服务器基本应用和知识 网络常见协议的概念和使用 Internet的使用和电子邮件服务 常见的网络服务 建议学时课堂教学1课时+实验教学1课时教学过程12.1 保护无线网络安全简介教学提示 ：本节主要达到以下目的：l 介绍无线网络的好处，讨论无线网络面临的威胁。l 掌握企业中不同的无线网络标准以及可用于保护无线网络的相关安全措施。l 掌握如何通过安全措施降低无线网络安全风险的指导方针。l 通过教师的介绍掌握企业中无线网络架构的构架。教学内容教学方法教学提示讲授：由于现在无线应用越来越广泛，例如Intel 迅驰的CPU中就内置了无线支持组件，基本上现在所有新出厂的笔记本

5、电脑都支持无线网络，为什么无线网络应用这么广泛，这里教师可以安排一个课堂讨论：讨论无线网络在学生日常生活中的应用。教师在讨论过程中可以提示，例如现在很多星巴克咖啡馆、飞机场都提供无线访问接入。讲解课本：12.1.1阅书：12.1.1幻灯：第6页参考：无线网络是一种使用红外光或无线电频率信号在家中或跨越长距离连接计算机或其他设备的方式。通常用于无线网络的设备包括台式计算机、便携式计算机、手持电脑、个人数字助理 (PDA)、移动电话、手写输入计算机和寻呼机。在许多情况下，无线网络非常有用。例如，如果您身边没有计算机，可以使用移动电话阅读和回复电子邮件。如果您带着便携式计算机旅行，可以通过机场、医院

6、和其他公共场所中安装的无线访问点连接到 Internet。您还可以在两台计算机或计算机和其他设备之间同步数据和传输文件。无线局域网 (WLAN) 常常在公司大楼、校园大楼或机场中使用。WLAN 也可以在家庭网络或小型办公网络中使用。有两种类型的 WLAN：使用访问点来连接网络上的计算机和设备的局域网。这种网络也称为基础结构网络。 在有限区域中有若干个用户的计算机到计算机局域网（也称为对等网），如会议室。这种网络不使用访问点。 讲授：什么事情都有利有弊，自然安全就是无线网络中一个非常值得重视的环节，首先看看常见针对无线网络的安全威胁都有哪些，由于其中大部分内容在其他章节已经提及，这里简单针对无线

7、网络提及即可。 讲解课本：12.1.2阅书：12.1.2幻灯：第7页参考：当您的计算机在无线网络的有效范围内时，Windows XP 向您发送一条消息，该消息出现在屏幕上的通知区域。您可以单击该消息，查看无线网络列表，然后选择要连接到的无线网络。如果您正在旅行，可以通过输入城市、州或省以及该区域的邮政编码，查看您所在区域中的可用无线网络的列表讲授：如同我们在介绍SSL知识时候，看到现在支持的SSL2.0 和SSL3.0的标准，无线网络也有支持的相关标准，如果有时间教师可以通过提问方式询问802.1的相关标准有哪些同学知道，B和G之间的区别是什么？顺便提醒一下我们推荐现在购买无线网卡起码要支持8

8、02.1G这个标准。常见问题是：WIN2000如何支持802。1X？-需要安装SP4或802。1X修补程序建议教师可以根据最新安全标准给出学生一个表格加强学生对于802.1x 标准的理解：802.11：定义了无线网络传输概念的基准规范（频率2.45GHz,传输速度为1Mbps,2Mbps）802.11a：传输的速度增加到54Mbps802.11b：增加传输速度11 Mbps,5.5Mbps支持，传输范围较好，但容易受到无线信号的干扰802.11g：54 Mbps，范围比802.11b要窄802.11i(WPA2)：为无线网络建立了认证和加密处理的标准 讲解课本：12.1.3阅书：12.1.3幻

9、灯：第8页参考：什么是802。1X？-是一个标准，它定义了基于端口的访问控制机制，用于对网络访问进行身份验证以及（可选）管理用来保护通信的密钥 802。11B增加了哪几个传输速度-5。5/11M讲授：既然有矛自然就有相关的盾，我们看看推荐的相关指导方针，在看相关指导方针时候我们来看两个有趣的事实：有多少个人计算机曾经感染病毒？-88%安全的最大隐患是什么？-精通电脑知识的内部人员所以针对无线网络管理中除了书中提及之外，企业内部员工的管理也是值得我们注意的地方。讲解课本：12.1.4阅书：12.1.4幻灯：第9页讲授：简单了解了无线网络的优点和缺点以及相关标准，那么就要具体实施无线网络安全，但是

10、先不要着急，我们先看看对无线网络基础架构了解多少，看看相关名词是否清楚。如果学生较少使用无线网络，教师可以针对其中一些名词在PCHOME等网站下载相关图片，通过图片配合文字给学生以解释，效果会更好。由于基础架构部分是本章一个重点，希望教师在这里多花费一些时间进行介绍。 讲解课本：12.1.5阅书：12.1.5幻灯：第10页参考：微软本身就是全球最大的一个利用无线网络的公司，我们也可以看看相关规模。采用 802.1X 和可扩展身份验证协议 (Extensible Authentication Protocol，EAP) 传输层安全 (Transport Layer Security，TLS)。超

11、过 24,000 个无线设备。超过 4,000 个无线访问点。本节小结：本节主要介绍了无线网络的基础概念、包含架构，标准、常见安全威胁等内容。参考：Step-by-Step Guide for Setting Up Secure Wireless Access in a Test Lab12.2 实现 802.1x 身份验证教学提示 ：本节主要达到以下目的：l 掌握 802.1x 身份验证的各种类型，从而为后续选择企业合适的验证方案做准备。l 掌握 802.1x 身份验证的用途和组件，从而了解相关 802.1.x 身份验证的工作原理。l 了解在企业中如果需要实现 802.1x 身份验证的客户端

12、、服务器和硬件相关要求，了解应用实现 802.1x 身份验证的最佳操作。教学内容教学方法教学提示讲授：在前面的安全实施建议中我们提出安全验证，再来回顾一下802.1x的概念，802.1X - 是一个IEEE标准，它定义了基于端口的访问控制机制，用于对网络访问进行身份验证以及（可选）管理用来保护通信的密钥，注意身份验证和加密是一个主要关注的内容。 这两个概念与我们为保护无线网络建议的两种方法有着密切的关系。 简单来说，第一种方法是使用驻留在专用防火墙中（后）的 IPSec VPN 的解决方案，通过防火墙隔离无线网络和 Intranet。 另一种方法是将 802.1x 身份验证和后端 Intern

13、et Authentication Server 结合起来使用，同时使用动态 WEP 密钥来进行加密。 这两种方法都使用基于客户端证书的强身份验证，关于RADIUS概念，这部分内容我们在远程接入中已经提及它是我们在VPN接入中一个非常重要的内容。对于EAP 安全类型包括 EAP-TLS、具有 EAP-TLS 的受保护的 EAP (PEAP) 和 Microsoft 质询握手身份验证协议版本 2 (MS-CHAPv2)，具体内容我们可以参考书本和幻灯片。讲解课本：12.2.1阅书：12.2.1幻灯：第13页参考：EAP-TLS 是一种双重身份验证方法，这意味着客户端和服务器都向对方证明自己的身份

14、。在 EAP-TLS 交换过程中，远程访问客户端发送其用户证书，而远程访问服务器发送其计算机证书。如果其中一个证书未发送或无效，则连接将终止。EAP-TLS 身份验证过程中，将为 Microsoft 点对点加密 (MPPE) 生成共享的机密加密密钥远程身份验证拨入用户服务 (RADIUS)基于客户端和服务器并由 Internet 服务供应商 (ISP) 在非 Windows 品牌操作系统远程服务器上广泛使用的安全身份验证协议。RADIUS 是当今最流行的身份验证和授权拨号及隧道网络用户的方法。讲授：针对验证和加密这一节的相关基础概念比较多，可以配合第一节无线网络架构中相关概念进行讲解。 讲解课

15、本：12.2.2阅书：12.2.2幻灯：第14页参考：针对无线AP，我们可以配置SSID，但是配置时候需要注意以下内容：被动识别 SSID 的方法是通过侦听网络流量，寻找三种类型的数据包。 第一种称为“信标 (beacon)”。 AP 会定期地发送信标帧，通常每 100 毫秒一个。 通过信标帧，STA 能够知道这里存在一个可用的 AP。 信标帧也可以包含 SSID。 第二种数据包是“探测请求和响应”，第三种是“关联请求和响应”。 所有这些数据包都包含有 SSID，用于识别附近的 BSS 或 IBSS。 只要黑客在适当的范围内，您的无线网络基本上是没有可能隐藏起来的。 当然，也存在一些极端的方法

16、，例如使用金属或其他限制无线信号的材料来包围整个网络周边。参考来源自TECHNET的无线网络安全一文。讲授：在802.1x-EAP-TLS 身份验证工作原理讲解时候配合幻灯片动画需要明确不同证书的含义和相关如何利用证书来进行身份验证。 讲解课本：12.2.3阅书：12.2.3幻灯：第15页讲授：相关身份验证和加密必须配合相关硬件来实现，所以这里就需要回顾在安装 Windows 操作系统时候需要注意相关HCL概念，在无线网络硬件选择时候同样需要考虑相关HCL的概念。 讲解课本：12.2.4阅书：12.2.1幻灯：第16页讲授：在这里学生应该发现活动目录在企业中实施信息安全管理中重要意义，非常便捷

17、的管理不同类型的计算机。 讲解课本：12.2.5阅书：12.2.1幻灯：第17页本节小结：总结一下本节内容就是介绍了802.1X中非常重要的身份验证和加密概念，其中关于证书的使用可能是相关难点，但是我们推荐用户在将来客户端的选择上尽量选择Windows XP Professional。参考：Windows Server 2003 Wireless Networking12.3 规划安全的 WLAN 策略教学提示 ：本节主要达到以下目的：l 掌握如何基于企业需要为实现 WLAN 来规划 PKI 的方法。l 掌握在企业中为WLAN中设计PKI时候创建证书模板的注意事项都有哪些。l 了解企业中相关规

18、划 IAS 基本架构的指导方针和如何配置使用 RADIUS 日志的指导方针。l 了解为实现WLAN安全时候掌握实现 WLAN 时无线接入点位置的规划方法。l 了解远程访问策略以及基本配置规则。教学内容教学方法教学提示讲授：在上一节我们清楚的看到证书在整个无线标准中的重要性，所以规划企业的PKI就非常重要，其实不仅仅如此我们在上一章中提及的SSL会话中相关CA机构的安全措施是极其严格的。提问：使用PKI方式进行部署针对小型企业存在主要问题是什么？成本比较高，维护成本同时也比较高。阅书：12.3.1幻灯：第20页参考：为了加深学生印象，教师可以在培训中使用802.11 网络审核工具（如 Airsn

19、ort）来加深学生对于安全威胁的印象，同时也可以哪些相关措施能够防御这种类型的审核工具。讲授：相关PKI部署方式在微软TECHNET网站也有相关白皮书可以参考。 讲解课本：12.3.1参考：在实际企业运作中对于根证书的物理安全措施都比较严格。讲授：部署证书的下一点就是证书模板的概念，为什么需要使用证书模板，这里教师需要讲述清楚，因为我们不可能要求每个企业中的用户都对于证书的期限、密钥长度都了如指掌，因此在实际配置中用户可能对于这些概念就会产生混淆，为了减少管理员指导的时间，我们可以采用证书模板这样的方式，那么一个证书模板包含哪些内容我们可以查看幻灯片。 讲解课本：12.3.2阅书：12.3.2

20、幻灯：第21页讲授：关于RADIUS概念，我们可以把它理解成为一个代理，帮助我们把相关用户验证请求等内容传递给相关服务器，这样就大大减少由于每个无线接入点都是验证服务器而带来的风险因素，同时也方便用户管理服务器对于相关账户的集中管理。 讲解课本：12.3.3阅书：12.3.3幻灯：第22页注意：现在很多防火墙提供的验证方式都有RADIUS这样方式。讲授：为什么需要相关负载均衡的概念，教师可以这样讲述如同每年卖国库券，购买的用户都很多，如果只通过一个点去卖，必然用户等待的时间很长，但是目前的方式是国家交给各大银行进行销售，这样就非常方便人民购买，对于RADIUS也是这样，如果在上班时间，所有用户

21、都通过一个点进行验证访问，必然也会非常慢，所以这里就提出相关负载均衡方案，当然现在也有第三方的相关软件或硬件解决方案。 讲解课本：12.3.4阅书：12.3.4幻灯：第23页本节小结：本节归于一个企业中无线网络规划和部署非常重要，试想一下现在笔记本电脑价格越来越便宜，很多公司员工都习惯于移动办公，因此你设置了无线 AP，但是如何防范进入公司的客户笔记本计算机没有正确密钥就无法访问公司网络，如何保证同一座大厦中其他楼层的员工不会通过渗透攻击的方式尝试获得你企业中的信息，同时在保证企业无线网络安全的同时又能够保证企业内部员工使用网络的便利性，都是本节所关注的内容。参考：为了加深学生对于本节的概念，

22、教师可以询问如果由学生在家中已经使用了相关无线AP，他是如何加强相关无线安全，同时能够防范邻居也能够借助他家中的AP进行相关资源访问，通过这样的讨论来帮助学生理解相关内容。12.4 实现安全 WLAN教学提示 ：本节主要达到以下目的：l 掌握在企业中无线网络中出于安全考虑可以配置 IAS，同时掌握相关ISA的安装，如何配置无线接入点（WAP）配置为 RADIUS 客户端。l 掌握在IAS服务器配置完成之后，如何基于企业目的了解相关远程访问策略的工作原理和配置方法。l 了解基于ISA如何配置相关 WAP 设置。l 了解基于企业运维目的，掌握相关备份和导出 IAS 配置的方法。教学内容教学方法教学

23、提示讲授：在了解相关无线网络安全概念和相关安全威胁之后，本节就进入相关实战场景，首先基于相关用户控制我们可以使用IAS在企业中进行相关验证和策略配置。在配置之前首先了解配置的目的和配置步骤，这里要提醒学生服务器、客户端配置方法是不同的。 讲解课本：12.4.1阅书：12.4.1幻灯：第29页参考：EAP-TLS 通过基于证书的传输层安全 (TLS) 在采用强加密方法的无线客户端和 RADIUS 服务器间进行相互身份验证，并生成了保护无线传输的加密密钥。这是使用 802.1X 最受欢迎、最安全的 EAP 方法之一。它要求在客户端和 RADIUS 服务器上有公钥证书。通过这段内容再次加深学生印象对

24、于为什么要在企业中配置IAS。讲授：本节以实际操作为主，建议教师可以准备相关无线AP来进行相关配置以便加深学生印象。 讲解课本：12.4.2阅书：12.4.2幻灯：第30页讲授：备份和恢复通常都容易被学生忽视，教师可以花费一定时间来配置无线访问策略，如果不小心相关策略都被破坏，例如IAS所在的服务器硬件出现故障，通过备份的策略进行恢复是最快的恢复企业运作的方式。 讲解课本：12.4.4阅书：12.4.4幻灯：第32页参考：教师可以通过911事件导致很多很多公司倒闭就是因为相关公司信息资产丢失造成的。如果有时间也可以介绍异地容灾的相关概念，配合书中为什么提及备份的相关内容建议在异地也要保存的概念

25、。本节小结：本节介绍了在企业为了快速针对无线接入点进行相关身份验证或者访问策略设置，我们可以通过IAS来进行配置，其实在现在很多硬件AP都能够支持作为IAS的客户端进行配置使用。参考：Wi-Fi Alliance12.5 无线网络故障排除教学提示 ：本节主要达到两个目的。l 掌握网络连接文件夹、跟踪和无线监视器的作用。l 掌握企业中常见由于 IAS 问题的而导致无线网络访问故障时候可以采用的排除工具，同时掌握常见 IAS 错误现象。教学内容教学方法教学提示讲授：无线网络不正常通常也是企业常见问题，本节就介绍常见问题和相关排错工具和方法注意：提示学生本节的内容同样可以用于家庭的配置中。讲授：关于

26、常见排错工具的使用，建议教师通过现场演示帮助学生理解如何进行使用。另外一种的教学方式也可能在上一节配置时候出现问题，使用本节提供的相关工具和检查方法来进行现场排错，这里简单总结即可。 讲解课本：12.5.1阅书：12.5.1幻灯：第40页参考：可能学生比较习惯使用WEP，WEP仍然存在一个重要问题。WEP密钥的确认和分发未定义，必须通过独立于802.11的安全通道进行分发。实际上，这只是一个必须手动地同时为无线AP和客户端配置（使用键盘）的文本字符串。显而易见，这种密钥分发机制无法很好地扩展至企业组织。本节小结：本节介绍了在企业中当无线客户端无法连接到网络中如何进行相关故障排查和利用相关工具进

27、行快速排查的方法。参考：Securing Wireless LANs with Certificate Services案例学习请配合书中提及相关知识给出小型办事处、中型组织、大型组织在使用无线安全方案中相关客户身份验证和相关密码要求选项以及推荐的加密方法，建议以表格给出：具体内容可以参考下表：无线网络解决方案典型环境是否需要其他基础结构组件用于客户端身份验证的证书用于客户端身份验证的密码典型的数据加密方法具有预共享密钥的 Wi-Fi 受保护访问 (WPA-PSK) 小型办公室/家庭办公室 (SOHO)无否是 使用 WPA 加密密钥向网络进行身份验证WPA基于密码的无线网络安全性小型组织至中型

28、组织Internet 验证服务 (IAS)IAS 服务器所需的证书否 然而，将颁发一个证书来验证 IAS 服务器是WPA 或动态 WEP基于证书的无线网络安全性中型组织至大型组织Internet 验证服务 (IAS)证书服务 是否 使用证书，但可以被修改为要求提供密码WPA 或动态 WEP示范教学如何在企业无线网络安全策略部署中向组策略安全组添加计算机和用户，用以简化管理员的操作负担？向无线网络组策略安全组添加计算机1.在“Active Directory 用户和计算机”中，找到与要应用的无线网络策略相对应的 Wireless Network Policy - Computer 安全组。您必须

29、作为对此组具有“修改成员身份”权限的用户进行登录。2.向选定的安全组添加计算机。向远程访问策略安全组添加用户1.登录到管理计算机，要求作为 Domain Administrators 组成员登录，或者使用具有修改 Remote Access Policy - Wireless Users 安全组成员身份所需的安全权限的其他帐户登录。2.在“Active Directory 用户和计算机”中，找到与控制无线 LAN 访问的远程访问策略相对应的 Remote Access Policy - Wireless Users 安全组。3.将用户添加到选定的安全组。将计算机添加到远程访问策略安全组1.登录

30、到管理计算机上，要求作为 Domain Administrators 组成员登录，或者使用具有修改 Remote Access Policy - Wireless Computers 安全组成员身份所需的安全权限的其他帐户登录。2.在“Active Directory 用户和计算机”中，找到与控制无线 LAN 访问的远程访问策略相对应的 Remote Access Policy - Wireless Users 安全组。3.向选定的安全组中添加计算机。相关内容可以参考微软TECHNET知识库文章：如何向组策略安全组添加计算机和用户总结经过本章的学习，我们了解了下列的知识和内容。l 掌握安全无线

31、 LAN（WLAN）以及无线基本架构的组件和功能特性l 掌握 802.1x 身份验证及其工作原理l 规划安全的 WLAN 基本架构l 实现安全的 WLAN 基本架构l 对 WLAN 错误和组件进行故障排除在下一章中，我们将学习保护远程访问安全案例教学本章内容对应案例Windows2003部分9.3无线网络管理和配置随堂练习1. 你是 shixun 的安全管理员。网络由一个叫做 的单一活动目录域组成。所有服务器运行 Windows Server 2003 ，所有客户机运行 Windows XP Professional 。你使用组策略对象（GPOs）来管理客户计算机。Shixun 有一个无线 L

32、AN（WLAN），有 50 个用户使用便携式计算机。管理者报告说在以后六个月中将在此网络中新增500名用户使用便携式计算机。这些用户有对 WLAN 的访问权限。为了陈述安全问题，管理者要求便携式计算机用户使用智能卡登陆。你需要策划一个 WAN 执行策略来满足管理需求。你想在不影响组策略应用程序的情况下来实现这个目标。你该执行哪三步措施？（每个正确答案代表了部分解决方法。选择三个）A配置 WLAN 硬件来支持 IEEE 802.1x。B配置 WLAN 硬件来支持 128 位无线对等私有（WEP）密钥。C执行 Internet 验证服务（IAS）架构。D执行公钥架构（PKI）。E执行路由和远程访问架构。F在所有便携式计算机上执行 IPSec 策略。答案: A, C, D布置作业l 完成书后习题l 复习教师在课堂中提及的一些资源，如果宿舍有计算机的可以尝试访问相关互联网资源进行相关资源了解。