Presentation is loading. Please wait.

Presentation is loading. Please wait.

資策會數位教育研究所 楊宏文 (Hubert Yang)

Published by汉 郜 Modified 7年之前

Similar presentations

Presentation on theme: "資策會數位教育研究所 楊宏文 (Hubert Yang)"— Presentation transcript:

1 資策會數位教育研究所 楊宏文 (Hubert Yang) hwyang@iii.org.tw
Network Security 資策會數位教育研究所 楊宏文 (Hubert Yang)

2 大綱 802.11 Protocol Architecture 802.11 Access Process
Network Security Architecture Network Security Analysis and Troubleshooting Network Security Policy Basics Network Security

3 [Part 1] 802.11 Protocol Architecture
[Part 1] Protocol Architecture

4 BSS Basic Service Set (基本服務組) 包含以下兩種模式: 802.11網路最基礎的元件組合
Id-BSS (Independent BSS / IBSS) 屬於封閉式網路 If-BSS (Infrastructure BSS / BSS) Network Security

5 獨立式BSS ad hoc 網路(因應臨時需求所建置)。 譯為「電腦對電腦(臨機操作)網路」。 Peer-to-Peer
Network Security

6 IBSS模式中的outbound 由某STA執行Routing 網際網路連線共用(ICS) 橋接器連線 啟動路由
Network Security

7 架構式BSS 由一個以上的AP與用戶端所組成,亦稱為Basic Service Area。 所有流量均藉由AP來轉送。
Network Security

8 節點間的互通與禁止 Network Security

9 BSSID 基本服務識別碼,藉以識別BSS。 由48個2進位數值 / 6個位元組數值(MAC Address)所構成。
BSSID = AP的網卡卡號。 對獨立式基本服務組(IBSS)而言 BSSID = 隨機的網卡卡號。 Network Security

10 問題與討論 BSSID的存在意義? 加強識別資訊 Network Security

11 關於BSS的配置 在同一個BSS中,允許以下配置 切割多重subnet 多重使用者認證機制 Network Security

12 ESS Extended Service Set (延伸性服務組) 由多個BSS組成,使用相同SSID可支援漫遊。
Overlap Roaming 的要件之一 Network Security

13 ESSID 延伸服務識別碼,藉以識別ESS。 大小寫有別,由2-32個字元(Bytes)所構成的唯一識別碼。
工作站與AP間的Associate 有相同SSID方可進行Associate 大小寫有別,由2-32個字元(Bytes)所構成的唯一識別碼。 企業級AP可支援多達16個SSID 每個radio各8個SSID Network Security

14 SSID過濾 或稱為Close System SSID使用原則: 最基本的安全存取控制方式。 取消SSID廣播。 不使用預設的SSID。
建構ESS時,SSID應相同。 Network Security

15 於AP端設定SSID 分別針對11a或11g設定SSID Network Security

16 問題與討論 多重SSID(MSSID)的意義何在? 以虛擬AP方式提供差異性服務 Network Security

17 於用戶端設定SSID 僅與特定AP結合 可與任意AP結合 Network Security

18 評選存取點的依據 依慣用網路的順序。 依發現的順序。 依訊號強弱。 (RSSI或dB) Network Security

19 BSSID vs. ESSID SSID 用途 唯一性 字元 長度 BSSID 識別單一BSS YES 16進位 數值 48 ESSID
NO (Bytes) 2-32 Network Security

20 包含SSID的訊框 Beacon -Passive Scan Probe Request -Active Scan
Probe Response -Active Scan Association Request Re-association Request Network Security

21 Disassociation Attack
問題與討論 如果你是駭客,如何竊取封閉網路的SSID? Disassociation Attack RF Jamming Network Security

22 [Part 2] Access Process

23 使用WLAN的流程 掃描(Scanning) 加入(Joining) 授權(Authentication) 結合(Association)
Network Security

24 與掃描相關的訊框 Beacon Probe request Probe response 802.11 Network Security
The Beacon Tower Network Security

25 Beacon Beacon management frame 的簡稱 由AP送出的frame,藉以進行通訊管理。
時間戳記 (以利同步時間) 展頻參數 (DS的頻道或FH的Hop/dwell) SSID資訊 (管理者可封鎖此資訊) 流量指示TIM (工作站進入省電模式時的資料暫存) 速率支援資訊 [例外]在臨機操作(Ad hoc)網路中,該frame則由工作站發出。 Network Security

26 問題與討論 對於一個已經完成結合程序的工作站而言,若管理者將AP的SSID廣播功能關閉,將造成啥影響? 沒有影響
Network Security

27 Locating a WLAN 被動式掃描 主動式掃描 AP每100ms(kµs)送出一次Beacon。
由STA逐一對各頻道送出probe request。 若帶有SSID值時,可以進入封閉的系統。 相對功耗較大。 Network Security

28 可調整的Beacon間隔 l kµs = 1(103) (l0–6) s = 1 (10–3) s = 1ms
Network Security

29 Passive Scanning Client端在每一個頻道聽取Beacon。 評選AP。 確認之後再啟動驗證與結合的程序。
Beacons Network Security

30 圖示Passive Scanning Network Security

31 問題與討論 與AP結合之後還需要Passive Scanning? 若所結合的AP效能下降至低於門檻值, 應尋求新的網路服務。 X
Beacons X 若所結合的AP效能下降至低於門檻值, 應尋求新的網路服務。 Network Security

32 關閉被動掃描 Network Security

33 Active Scanning STA向某AP發出Probe Request AP回應Probe Response(與Beacon類似)
其中可能包含SSID,用以與關閉SSID廣播的AP結合 AP回應Probe Response(與Beacon類似) 不含TIM 也可能不含SSID Probe Request Probe Request Probe Request Network Security

34 圖示Active Scanning Network Security

35 問題與討論 需要網路時,掃描到多個無線網路,應該高興嗎? 未必。因為干擾源亦同步增加 Network Security

36 Joining a WLAN 兩個程序: 驗證(Authentication) 結合(Association)
Network Security

37 驗證 誰來驗證? 驗證什麼? AP或無線交換設備 驗證主機(RADIUS)搭配集中式帳號資料庫 網卡卡號是否合格(MAC filter)
帳號是否合格 加密金鑰是否正確 數位憑證是否正確 Network Security

38 [Part 3] 802.11 Network Architecture
[Part 3] Network Architecture

39 無線交換器/控制器 使用輕量級無線存取協定(LWAPP) 與thin AP搭配 L2設備 Network Security

40 認識LWAPP Lightweight Access Point Protocol 2002年由Airespace與NTT DoCoMo提出
由IETF所提出的標準化草案 易於管理 提高安全 高度行動力 Network Security

41 精簡型AP 與Wireless Switch/Control 搭配的AP稱為”Lightweight AP”或”Thin AP”
先從無線網路交換器下載韌體與設定檔 支援 , Clause 33 PoE 相較於Lightweight AP的其他AP,稱為”Autonomous AP”或”Fat AP” Network Security

42 Fat與Thin Centralized Mobility Controller “Fat” Access Points “Thin”
Policy Mobility Forwarding Encryption Authentication Management “Fat” Access Points 802.11a/b/g Antennas Network Security

43 部署LWAPP系統 動態通道指定 降低建置成本 集中電源控制 支援快速遞移 落實負載平衡 防制阻斷攻擊 中央認證管理 提供安全通訊
偵測非法設備 Network Security

44 動態頻道控制 Network Security

45 動態功率調整 Network Security

46 負載平衡 3 2 Move 1,2 and 3 1 Network Security

47 鎖定非法設備 Locate the rogue AP Rogue AP Air Monitors
Network Security

48 WLAN交換器的安全機制 802.1q VLAN tagging 單一VLAN內,多重SSID 各VLAN之安全政策 跨VLAN路由
使用者或群組安全政策 SSID廣播管制 Network Security

49 無線交換器廠商 Cisco Airespace Aruba Chantry Networks Reefedge
Trapeza Networks Symbol Technologies Network Security

50 [Part 4] 802.11 Network Security Architecture
[Part 4] Network Security Architecture

51 RSN Robust security network
兩節點使用four-way handshake程序來完成認證,並藉以結合者稱為RSNA。 僅允許建立RSNAs的網路稱為RSN Confidentiality Integrity Authentication Network Security

52 安全標準 Pre-RSNA RSNA 開放系統認證 共享金鑰認證 WEP TKIP/RC4 IEEE 802.11i CCMP/AES
IEEE 802.1X(AKM) PSK 數位憑證 TSN Network Security

53 開放系統認證 互傳authentication管理性訊框。 1.提出結合要求 2.驗證並允諾結合 Status code=0 (成功)
Network Security

54 共用金鑰(PSK)驗證 又稱為 Challenge-Response Authentication 工作站與AP均設定同一組WEP金鑰。
1.提出結合要求 2. 挑戰文字(128bits) 3.以WEP Key將文字加密 4.以WEP key解密驗證並回應結合 Network Security

55 共用金鑰驗證並不安全 若將WEP Key用於驗證階段,駭客可輕易破解WEP Key。 1.提出結合要求 2.(隨機)128bits挑戰文字
Network Security

56 WEP Wired Equivalent Privacy IEEE 802.11-2007承認,pre-RSNA無法符合安全目標。
提供相當於有線網路等級的安全性。 分為WEP-40與WEP-104兩種長度。 IEEE 承認,pre-RSNA無法符合安全目標。 僅能預防casual eavesdropping 無法抵禦malicious eavesdropping Network Security

57 WEP Key STA與AP須指定相同的Key,方可結合。 WEP Algorithm將WEP Key用在驗證及加密兩階段,形成安全弱點。
802.11允許設定四組金鑰。 可以HEX或ASCII的格式輸入Key值。 WEP Algorithm將WEP Key用在驗證及加密兩階段,形成安全弱點。 建議僅用於資料加密。 Network Security

58 手動指定WEP金鑰 40 Bit 金鑰 104 Bit 金鑰 輸入10個16進位數值(0-9, a-f, or A-F)
Ex. 234F4B67AD 104 Bit 金鑰 輸入26個16進位數值(0-9, a-f, or A-F) Ex. 6C89DAB421FE34DF FD Network Security

59 AP 端設定金鑰 Network Security

60 用戶端設定金鑰 靜態WEP Key Network Security

61 用戶端對驗證方式的選擇 Network Security

62 WEP的原理 將IV與WEP key串接。 以RC4進行PRNG加密,產生keystream
= 64bit = 128bit = 152bit (非標準) 以RC4進行PRNG加密,產生keystream IV值隨封包傳給接收端,藉以進行逆向工程,搭配WEP key產生keystream。 Network Security

63 圖解 WEP 加密 + 802.11 Network Security IV IV 24 bits IV WEP key RC4 PRNG
密文 WEP key Keystream 40, 104 bits ICV 32 bits 明文 明文 CRC32 + CRC IV 初始向量值 CRC 循環冗餘檢查 PRNG 亂數產生器 ICV 完整性檢查碼 Network Security

64 WEP的弱點 屬靜態金鑰。 僅保護data payload,未加密表頭。 IV值僅24bits。 以明碼傳送IV值。
若pcap的封包(interesting frame)夠多,密文岌岌可危。 Network Security

65 WEP面臨的威脅 Brute force attack Dictionary attack Weak IV attack 搭配分散式攻擊
高速電腦形成威脅 Dictionary attack 以常用字為基礎 Weak IV attack 又稱bit-flipping attack Network Security

66 WEP面臨的威脅(cont.) Reinjection attack Storage attack 注入ARP封包,產生流量
WZC雖將金鑰以加密方式儲存在登錄資訊中,然某些工具(ex. wzcook)可逕自金鑰儲存區偷出金鑰。 Network Security

67 IEEE 802.11第8款 2004年通過,成為IEEE802.11i 要求使用具備RSN技術的認證技術 RSN技術關鍵 802.1X
passphrase-to-preshared key mapping RSN技術關鍵 Four-way handshake PMK, GTK Network Security

68 TKIP加密 Temporal key Integrity Protocol 搭配RC4 encryption
改良自WEP(亦稱WEPv2) 加長靜態金鑰為128bits 加長IV為24bits 以MIC輔助ICV (Integrity Check Value) WiFi聯盟提供WPA認證測試。 Network Security

69 MIC Message Integrity Check 在data與之間插入一個8byte的欄位 使用frame counter,
常簡稱為'Michael‘ 在data與之間插入一個8byte的欄位 可確保整個frame的完整性。 使用frame counter, 可避免bit-flipping attacks Network Security

70 PSK認證 使用Pairwise Master Key為預先金鑰 推出PMK後,執行four-way handshake
PMK源自於預先輸入的金鑰(PSK)或EAP 長度256bits 推出PMK後,執行four-way handshake 推導512-bit的Pairwise Transient Key PTK係用來保護unicast 以Group Temporal Key對multicast與broadcast進行保密 PMK PTK Network Security

71 四向式交握 申請者 驗證者 802.11 Network Security PMK PMK
Authentication nonce (ANonce) 1 PTK 推導PTK 驗證MIC PTK 推導PTK 驗證MIC(PMK) 再生成MIC ˇ MIC Supplicant nonce (SNonce) MIC 2 ˇ MIC Authentication nonce (ANonce) RSC, GTK, MIC 3 驗證MIC 安裝金鑰 MIC 4 安裝金鑰 Network Security

72 CCMP 11i要求使用的加密方法。 搭配AES encryption。 使用Rijndael密碼系統 金鑰長度為128bits
加長MIC達64bits 對硬體要求較高 Network Security

73 (用戶端)使用PSK ex. gu7YjhU67BbrYYZ89klop09 Network Security

74 WPA vs. WPA2 Wi-Fi認證 驗證方法 密碼組 加密演算 WPA-PSK passphase TKIP RC4
WPA-Enterprise 802.1X WPA2-PSK CCMP AES WPA2-Enterprise Network Security

75 問題與討論 使用WPA2-Enterprise可以保障OSI哪一 層的安全? Data-link
Network Security

76 IEEE 802.1X 由IETF的EAP (可延伸身份認證協定) 延伸而來,形成AAA model。 係port-based認證機制
可執行PAE (port access entity) control 重要屬性 三個Protocol Authentication Entity 控制埠 認證流程 Network Security

77 802.1X通訊埠 Uncontrolled port (不受控埠) Controlled port (受控埠)
完成認證程序前,禁止data流量 Controlled port (受控埠) 完成認證程序後,方產生連結 搭配WLAN的是Virtual port Network Security

78 三個PAE Supplicant (申請者) Authenticator (驗證者)
提出連線要求 Authenticator (驗證者) 要求並接受Supplicant所提的認證要求 Authentication Server (認證伺服器) 對Authenticator提供認證服務的機制 Network Security

79 通用802.1X架構 (AS) 驗證伺服器 申請者 驗證者 802.11 Network Security
EAP over Wireless EAP over RADIUS 要求表明身份 提供身份識別 (轉送)身份識別 (轉送)要求認證資訊 要求認證資訊 提供認證資訊 (轉送)認證資訊 回傳核可資訊 Network Security

80 常見之AS協定 RADIUS TACACS+ Remote Authentication dial-in user service
Terminal Access Controller Access Control System Network Security

81 WLAN switches/controllers
問題與討論 哪些設備可以扮演認證伺服器(AS)的角色? EWG, EEG, AP or WLAN switches/controllers Network Security

82 AS + local DB 使用內建使用者資料庫 小規模企業可採用之 RADIUS Network Security

83 AS + External DB 連結外部使用者資料庫 Microsoft AD Novell eDirectory LDAP
Network Security

84 802.1X認證模式 一次密碼 (EAP-MD5) 保護性EAP (PEAP) 輕量級EAP (LEAP) FAST
資格認證 (EAP-TLS) 穿隧資格認證 (EAP-TTLS) SIM認證(EAP-SIM) Network Security

85 EAP比較 MD5 TLS TTLS PEAP LEAP FAST 需要用戶端憑證 否 是 不定 需要伺服器憑證 驗證用戶端密碼 使用PAC
交互認證 金鑰管理 憑證保護力 Network Security

86 (用戶端)使用EAP-PEAP Network Security

87 (用戶端)使用EAP-LEAP Network Security

88 (用戶端)使用EAP-FAST Network Security

89 (用戶端)使用EAP-TLS Network Security

90 數位憑證 憑證內容包含個體識別資訊與一把金鑰 核發方式 由憑證授權單位核發X509憑證 由Cisco設備核發 內部CA
外部Third-party CA (ex ) 由Cisco設備核發 Protected Access Credential TLS PEAP FAST Network Security

91 匯整比較 Before 11i After 11i 身份辨識 資料加密 身份辨識 資料加密 開放系統認證 共享金鑰認證 (pre-RSNA)
WEP (pre-RSNA) TKIP After 11i 身份辨識 802.1X PSK 資料加密 CCMP Network Security

92 TSN Transition Security Network 允許pre-RSNA與RSNA並存
基於Legacy equipment不支援RSNA 過渡期應用 安全強度堪慮 Network Security

93 [Part 5] 認識WLAN攻擊

94 常見攻擊手法 Eavesdropping Hijacking Man-in-the-middle Denial of service
Management interface exploits Encryption cracking Authentication cracking MAC spoofing Peer-to-peer attacks Social engineering Network Security

95 非經意竊聽 常用工具 Easy Wi-Fi Radar MiniStumbler MacStumbler KisMac
NetStumbler KisMet Network Security

96 惡意竊聽 OmniPeek Personal AiroPeek Network Instrument Observer
AirMagnet Laptop Analyzer Javvin CAPSA WireShark CommView for Wi-Fi Network Security

97 攔截(中間人攻擊) X SSID: III Deauthentication STA Server Attacker
(Software AP) Network Security

98 問題與討論 攔截者要的是什麼? 入侵被駭者電腦 進行阻斷式攻擊 Network Security

99 微軟用戶端工具弱點 “自動”連線慣用網路 若清單內網路皆不可得 所儲存的密碼易遭竊 依順序嘗試 “自動” 搜尋 “新訊號” !!
Network Security

100 給使用者的忠告 未使用時,應關閉無線網路訊號。 避免使用Microsoft WZC設定無線網路。 改用third-party用戶端工具
Network Security

101 阻絕服務 Physical Layer DoS MAC layer DoS 802.11w 將嘗試解決 RF Jamming
Data Flooding Management Frame Injection PS-Pool floods 802.11w 將嘗試解決 Network Security

102 Intentional DoS 訊號產生器(PSG) 阻斷器(Jammer) 802.11介面卡 軟體式 & 硬體式 功率高達1000mW
若處於Continuous transmit state,可佔據medium,影響他人CCA 稱為Queensland Attack Network Security

103 Unintentional DoS 來自於同處於2.4GHz ISM的生活應用 RF video camera Baby monitor
無線電話 微波爐 Network Security

104 封包產生器 Network Security

105 如何避免DoS 善用頻譜分析儀 P802.11w提供robust mgt. frame 尋找干擾源 鎖定rogue AP
Network Security

106 滲透管理介面 Serial (強化實體安全) Web-based (HTTPS) SNMP (SNMP v3) telnet (SSH2)
Network Security

107 預防管理介面滲透 Network Security

108 密碼與身份破解 密碼破解法--如WEP cracking 身份破解法--如WPA cracking 較高檔的設備已經補強weak IV弱點
搭配強式密碼可以提高破解難度 身份破解法--如WPA cracking 建議採用full authentication infra-structure 或搭配較長的PSK可以提高破解難度 Network Security

109 MAC欺騙 裝置管理員 修改Windows Registry機碼 SMAC spoofing tool
Network Security

110 使用者如何避免點對點攻擊 使用端點安全防護工具 關閉Windows file sharing功能 避免存取ad hoc網路
若SSID名為III,他一定是 個AP嗎? Network Security

111 使用者如何避免點對點攻擊 禁止節點間的通連 Cisco的PSPF功能(Public Secure Packet Forwarding)
Network Security

112 社交工程 以影響力或說服力來欺騙他人以獲得有用的資訊。 電話詐騙 惡意程式 附件圖片 網路釣魚 即時通訊詐騙
Network Security

113 RBAC NAC WAC VPN VLAN WIPS
[Part 6] 其他安全措施 RBAC NAC WAC VPN VLAN WIPS

114 角色存取控制 依使用者身分提供權限控管 可在WLAN交換器上實施 Firewall-type filter
Layer 2 permission Layer 3 permission Bandwidth-limiting permission 可在WLAN交換器上實施 Guest的頻寬128kbps, port 80 Network Security

115 Profile-based防火牆 依設定檔內容(使用者/群組…)提供權限控管 可在WLAN交換器上實施
Network Security

116 網路存取控制 在WLAN交換器上整合NAC policy 常見之NAC system 確認用戶端設備符合資安要求 Microsoft NAP
ConSentry NAC Extreme Sentriant AG Cisco NAC Appliance Network Security

117 Captive Portal Web-based Access Control (WAC) 網頁認證,進入網際網路的唯一入口
管制IP之使用 藉由流量重導(redirect),控制合法或非法的存取 為EWG或Wireless Controller的功能 搭配VPN可避免帳號或密碼被窺探 Network Security

118 網頁認證framework Network Security

119 VPN Virtual Private Network 用以強化無線用戶端 “在公司外” 的安全性
Network Security

120 VPN功能與協定 功能 身分認證 資料加密 權限控管 協定 PPTP L2TP IPSec Network Security

121 VPN的分類 VPDN (Dialup Network) VPRN (Remote Network) 動態連線
用戶向NAS (Network Access Server)發出PPP 連線請求 VPRN (Remote Network) 固定連線 Network Security

122 VLAN Virtual LAN (802.1Q) 將實體網路切割為多個互不相通的邏輯網段(Broadcast domain)。 認證方式
加密方法 用戶數目 QoS Network Security

123 VLAN成員劃分 L1 VLAN: L2 VLAN: L3 VLAN:IP-Based Higher Layer VLAN:
Port-Based SSID-Based L2 VLAN: MAC Address-Based Protocol-Based L3 VLAN:IP-Based Higher Layer VLAN: Application-Based VLAN Network Security

124 多重虛擬無線網路 SSID/VLAN 每個VLAN各自獨立,並具備差異性權限 訪客 各部門員工
Network Security

125 VLAN trunk VLAN Trunk VLAN1 VLAN2 VLAN2 VLAN1 Network Security

126 authentication server
問題與討論 以下哪一個角色係VLAN aware的device? supplicant (申請者) authenticator (驗證者) authentication server (驗證伺服器) Network Security

127 IDS & IPS Intrusion Detection System Intrusion Prevention System
是一種監測封包進出、比對入侵型態、預防入侵攻擊,並能適時提出警告的防禦系統。 Intrusion Prevention System 發現入侵行為時,可依網路管理者所設定之安全政策採取必要措施(如丟棄資料封包或中斷連線..)之防禦系統。 Network Security

128 WIPS的feature 可偵測企業內部到底有哪些無線設備與活動 可進行企業內部資產分類 可定義並遵循企業安全政策與定義
可進行無線網路的監控與入侵偵測與防護 針對任何不法連線或攻擊,會啟動警報,並主動阻斷連線 具備任何無線裝置與設備的定位功能(dashboard) 提供分析報表 Network Security

129 WIPS的行動方案 誘捕rouge client 防堵rouge client 防堵rouge AP 停用Ethernet port
使rouge client連結到合法AP 防堵rouge client 持續送deauth frame 防堵rouge AP 透過附近AP送deauth,形成干擾 停用Ethernet port 使用SNMP Network Security

130 WIPS種類 集中式(Centralized) 分散式(Distributed)
由(Thin) Sensor進行流量的監控與資料的收集工作,後端中控伺服器設備作交叉比對 分散式(Distributed) 由(Fat) Sensor完成流量偵測與分析報告 Network Security

131 Centralized WIPS Network Security

132 Distributed WIPS Network Security

133 WIPS的比較 類型 優點 代表廠商 集中式 偵測精確度高 系統擴充性高 分散式 高效能 低頻寬消耗
Network Security

134 折衷式WIPS Bluesocket BlueSecure 共享構造分析技術(Shared Constituent Analysis)
Sensor僅傳輸與非法連線、入侵攻擊或效能失常有關的關鍵指標(key indicators)傳送給後端伺服器引擎 由伺服器管理特徵碼(Signature)的更新 Network Security

135 Mobile WIPS 用於移動式偵測與安全稽核 Network Security

136 Layered Security 應用層 表示層 會談層 傳輸層 網路層 資料鏈結層 實體層
HTTPS, SFTP, SSH2, WAC, NAC, RBAC 表示層 會談層 傳輸層 網路層 VPN, VLAN, RBAC 資料鏈結層 Encryption, 802.1x, VLAN, NAC, RBAC, WIPS 實體層 實體安全, VLAN Network Security

137 [Part 7] 管理面的安全議題 L7安全管理 非法設備管理

138 L7安全管理模式 使用HTTPS或關閉HTTP管理模式 以SSH2取代Telnet FTP搭配SSL 使用SNMPv3 AP將啟用內建的憑證
強化authentication and privacy control Network Security

139 Rouge Management 常見的Rouge AP型態 如何鎖定Rouge AP 軟體模擬 口袋型AP 頻譜分析
EAP authentication 埠口掃描(port 80 & 23) 無線控制器 Network Security

140 阻擋Rouge AP 停用乙太網路連接埠 加強連接埠安全(MAC filter) 政策宣導 導入NAC技術 使用無線控制技術
ex. Cisco Unified Wireless Network ex. Aruba Mobile Management System Network Security

141 [Part 8] WLAN分析系統 協定分析工具 RF頻譜分析儀 分散式頻譜分析儀

142 協定分析軟體 手持式 膝上型/桌上型 CommView for Wi-Fi PPC MiniStumbler
OmniPeek Personal CommView for Wi-Fi AiroPeek NX Network Security

143 為何需要協定分析? 擷取封包 了解無線網路問題 從L2~L7對資料進行解碼分析 若搭配金鑰亦可解密 (WEP, WPA-Personal)
Frame retransmission Heavy fragmentation Frame corruption Network Security

144 CommView for Wi-Fi Network Security

145 封包分析-Open System Network Security

146 封包分析-Open System Network Security

147 頻譜分析儀 軟體式 硬體式 MetaGeek WiSpy Chanalyzer Fluke AnalyzeAir Cisco Cognio
AirMagnet 硬體式 Willtek Anritsu Agilent HP Network Security

148 RF頻譜分析儀 Willtek 9101 100kHz ~ 4GHz FHSS, DSSS, HR/DSSS, ERP
Network Security

149 頻譜分析軟體 Wi-Spy 2.4x Chanalyzer 3.1 USB adapter USD$399 視覺化分析工具
Network Security

150 為何需要頻譜分析 Site survey Security audit 偵測干擾源 確認干擾物是什麼 發現rouge AP
發現PHY DoS攻擊 Network Security

151 分散式頻譜分析 Distributed RF Spectrum Analyzer (Cisco Network)
Network Security

152 [Part 9] WLAN安全政策 一般性安全政策 功能性安全政策

153 一般性安全政策 建置與管理網路安全的概略說明,包含: 主管機關 適用對象 違規處份 風險評估 影響性分析 安全稽核
Network Security

154 功能性安全政策 描述用來達成特定安全功能的具體方案 由一系列的文件所組成 密碼政策 訓練需求 可接受使用政策(AUP) 連線要求 加密標準
電子郵件的使用 網際網路的使用 資產管理 Network Security

155 對SOHO無線安全的基線管理 將AP與client的韌體及軟體版本更新 採用支援WPA2規格的產品 啟用WPA2-Personal驗證模式
改變出廠設定值(SSID, 管理帳密…) 使用強式密碼 Network Security

156 對SMB無線安全的基線管理 將AP與client的韌體及軟體版本更新 採用支援WPA2規格的產品
以WPA2-Personal或WPA2-Enterprise進行驗證 將安全能力較低的設備,以VLAN隔開 無線條碼機,無線網路電話… Network Security

157 對大企業無線安全的基線管理 著手撰寫各式安全政策的文件 執行定期安全稽核 採用WPA2-Enterprise驗證模式 以VLAN區隔使用者
導入WIPS系統 導入NAC系統 Network Security

158 實體安全 入口警衛 監視器(即使是fake,亦有功效) 教育訓練 將未使用的埠口停用 訊號範圍管制 使用可上鎖的enclosure
對Console Port施以密碼保護 Network Security

159 定期演練 定期進行安全稽核 教育訓練 penetration test (滲透測試) 資產盤點 Vulnerability analysis
Network Security

160 [Part 10] WLAN安全神話 沒魚蝦也好的措施? 無線網路不夠安全?

161 被過度神化的安全作法 MAC filtering SSID hiding 改良式WEP Network Security

162 無線網路不夠安全? 妥善運用安全技術,無線網路比有線網路更為安全 IEEE 802.11i IEEE 802.1X
Network Security

163 Wi-Fi連線無障礙設定 公共網路自保之道 家用網路安全準則
附錄 Wi-Fi連線無障礙設定 公共網路自保之道 家用網路安全準則

164 附錄 - Wi-Fi Protected setup

165 何謂WPS Wi-Fi連線無障礙設定 WPS的兩個角色 WPS認證 提供跨品牌設備間可用之簡易安全設定
由AP自動將SSID及WPA/WPA2加密金鑰派送給無線用戶端電腦 WPS的兩個角色 登錄者(Registrar): AP 參與者(Enrollee): STA Network Security

166 WPS的模式 WPS-PIN WPS-PBC Personal Information Number 管理者預先在AP上登錄無線網卡的PIN
用戶端可直接連線 WPS-PBC Push Button Configuration 從AP按下連線按鈕的2分鐘內,用戶端亦按鈕即可。 Network Security

167 主動告知WPS環境 Network Security

168 登錄者設定 Network Security

169 參與者設定(PBC) Network Security

170 參與者設定(PIN) Network Security

171 WPS的協定 Discovery Protocol Registration Protocol
用以確認Registrar與Enrollee的存在 Registration Protocol 用來指派加密資訊(金鑰/SSID…) Network Security

172 附錄 -公共網路自保之道

173 公共網路自保之道(1) 取消不必要的網路元件 完成系統更新 Client for Microsoft Network
File and Printer sharing for Microsoft Networks 完成系統更新 Microsoft Update 自動更新 Network Security

174 公共網路自保之道(2) 啟用VPN連線 停用非必要之網路服務 universal plug and play device host
Routing & Remote Access remote registry (*) SSDP Discovery Service Clipbook Terminal Services Network Security

175 公共網路自保之道(3) 啟動防火牆 採用強式密碼 執行埠口檢查 不允許例外
>>> Port scan Network Security

176 公共網路自保之道(4) 僅連線慣用網路 使用”隨選”模式連線 Network Security

177 公共網路自保之道(5) 啟用安全警示工具 Network Security

178 附錄 -家用網路安全準則

179 家用網路安全準則(1) 將AP裝設在安全的地點。 執行AP與STA的韌體更新。 更改預設IP位址。 採用最強的認證與加密機制。
對管理者帳號配置強式密碼。 (若可能)更改預設管理者帳號。 定期更改安全設定。 Network Security

180 家用網路安全準則(2) 取消SSID廣播。(SSID cloaking) 更改預設SSID,並注意命名規則。 在SSID最後加入空白符號。
啟動MAC過濾機制。 停用DHCP功能。 儘可能調低AP功率。 使用不重疊頻道。 Network Security

181 家用網路安全準則(3) (若可能)使用5GHz頻段。 在STA安裝Anti-Spyware軟體。 啟用個人防火牆。 不將設定方式透露給外人。
不用時,將AP電源關閉。 Network Security

182 課後練習

183 Q1 試問RSN的最低要求安全技術門檻為何? CCMP/AES PAC EAP TKIP/RC4
Network Security

184 Q2 IEEE 802.11建議選用的最高安全標準為何? CCMP/AES PAC EAP TKIP/RC4
Network Security

185 Q3 網路釣魚是以下哪一種攻擊的手法? 社交工程 竊聽 中間人攻擊 攔截 Network Security

186 Q4 802.1X/EAP可利用以下哪些資訊來驗證使用者? PAC User name MAC X.509 certification
Network Security

187 Q5 ABC公司建置了WPA2-Enterprise,並採用POP3/SSL收發Email。請問,該公司應用了OSI哪幾層的加密? 第一層
第二層 第三層 第七層 Network Security

188 Q6 XYZ公司在內部ERP-OFDM(802.11g)網路使用802.1X/EAP-FAST來保護資料傳輸。請問如果要從無線網路熱點連回公司,使用哪個安全協定最為恰當? PEAP-MS-CHAPv2 L2TP/IPSec WPA2-Personal EAP-TTLS Network Security

189 Q7 以下哪些項目屬於pre-RSNA技術,可以提供加密與認證服務? WEP TKIP/RC4 PSK CCMP/AES
Network Security

190 Q8 如果使用強式密碼,可以抵禦以下哪兩種攻擊手法? Dictionary Brute Force Spoofing Jamming
Network Security

191 Q9 無線網管系統可以使用哪一種協定,來集中控管不同廠商的自主性AP? SNMP ICMP L2TP/IP Sec SMB
Network Security

192 Q10 在無線網路中可以使用以下哪些VPN協定以進行IPX通訊? EAP-PEAP SSH L2TP/IPSec PPTP
Network Security

193 Q11 在802.11-1999(R2003)標準中定義以下哪些安全機制來提供安全的作業環境? VPN WEP PSK 802.1X/EAP
Network Security

194 Q12 以下哪些規格可以使用TKIP協定? WEP WPA WPA2 802.11i Network Security

195 Q13 以下哪一種攻擊手法不容易為管理人員所察覺? Eavesdropping Denial of Service
Man-in-the-Middle Jamming Network Security

196 Q14 以下哪些安全措施可以避免入侵者從您的DHCP伺服器取得IP位址? 802.1X/EAP-TTLS PPTP VPN
IPSec VPN WPA-Personal Network Security

197 Q15 以下哪兩個軟體工具經常被用來偵查SSIDs,訊號強度,頻道與安全等級等無線網路環境? NetStumbler WinSniffer
Kismet ShareEnum Network Security

198 The End

Download ppt "資策會數位教育研究所 楊宏文 (Hubert Yang)"

Similar presentations

Speaker: 黃柏燁  Introduction Wireless Network ◦ 基本的無線傳輸概念 ◦ 介紹目前無線傳輸的標準 ◦ 介紹各種常用的無線傳輸方式  Introduction Wireless Network.

Speaker: 黃柏燁  Introduction Wireless Network ◦ 基本的無線傳輸概念 ◦ 介紹目前無線傳輸的標準 ◦ 介紹各種常用的無線傳輸方式  Introduction Wireless Network.
教育局資訊科技教育組 2014.3.25. 程序表講者 簡介計劃目的 佘孟先生 ( 教育局資訊科技教育組總課程發展主任 ) 使用津貼安排 傅永洪先生 ( 教育局資訊科技教育組高級行政主任 ) 專業發展課程 卓偉嘉先生 ( 教育局資訊科技教育組高級課程發展主任 ) 技術顧問及項目管理服務 林詠宜女士.

教育局資訊科技教育組 程序表講者 簡介計劃目的 佘孟先生 ( 教育局資訊科技教育組總課程發展主任 ) 使用津貼安排 傅永洪先生 ( 教育局資訊科技教育組高級行政主任 ) 專業發展課程 卓偉嘉先生 ( 教育局資訊科技教育組高級課程發展主任 ) 技術顧問及項目管理服務 林詠宜女士.
中小學網管人員面對個資安全世代之探討 Location:台中市大甲區順天國小 Speaker:麥毅廷 Date:2012/06/06

中小學網管人員面對個資安全世代之探討 Location:台中市大甲區順天國小 Speaker:麥毅廷 Date:2012/06/06
Information Security Fundamentals and Practices 資訊安全概論與實務

Information Security Fundamentals and Practices 資訊安全概論與實務
课程名称 培训目标 学完本课程后,您应该能: 区分AP技术 描述CAPWAP隧道协议 华为技术有限公司 版权所有 未经许可不得扩散.

课程名称 培训目标 学完本课程后,您应该能: 区分AP技术 描述CAPWAP隧道协议 华为技术有限公司 版权所有 未经许可不得扩散.
電子商務安全防護 線上交易安全機制.

電子商務安全防護 線上交易安全機制.
資訊安全管理 與 個人資訊安全防護 日期:99年12月01日 13:30~16:30 地點:e化專科教室 主講人:黃尚文.

資訊安全管理 與 個人資訊安全防護 日期:99年12月01日 13:30~16:30 地點:e化專科教室 主講人:黃尚文.
第十四章 無線通訊安全 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。

第十四章 無線通訊安全 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用

第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案

NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案
高雄應用科技大學 有線網路建置實習(IV)

高雄應用科技大學 有線網路建置實習(IV)
第五章 資訊科技基礎建設與新興科技.

第五章 資訊科技基礎建設與新興科技.
基於WiFi Direct實作具自我組織能力之跨群組訊息傳遞系統

基於WiFi Direct實作具自我組織能力之跨群組訊息傳遞系統
文档资料对外部客户使用前请删除该页实名信息

文档资料对外部客户使用前请删除该页实名信息
PART III 10 無線網狀網路簡介與佈建  無線網狀網路的架構  SEE 網狀網路  無線網狀網路之網路規劃技術

PART III 10 無線網狀網路簡介與佈建  無線網狀網路的架構  SEE 網狀網路  無線網狀網路之網路規劃技術
第09章 无线网络 讲师:韩立刚 QQ:458717185 QQ教学群:247549141.

第09章 无线网络 讲师:韩立刚 QQ: QQ教学群:
實驗 9: 無線安全網路之建設.

實驗 9: 無線安全網路之建設.
第 4 章 网络层.

第 4 章 网络层.
网络协议及架构安全 培训机构名称 讲师名字.

网络协议及架构安全 培训机构名称 讲师名字.
企業如何建置安全的作業系統 Windows XP 網路安全

企業如何建置安全的作業系統 Windows XP 網路安全

Similar presentations

Ads by Google