無線網(wǎng)絡(luò)技術(shù)基礎(chǔ)

1、無線局域網(wǎng)（WLAN）設(shè)計與實現(xiàn)第七章 無線局域網(wǎng)安全內(nèi)蒙古商貿(mào)職業(yè)學(xué)院計算機系2009-2010第一學(xué)期07網(wǎng)絡(luò)一班、二班內(nèi)容概要v無線局域網(wǎng)安全的嚴峻挑戰(zhàn)v無線局域網(wǎng)基本的安全措施v無線局域網(wǎng)的安全技術(shù)一 無線局域網(wǎng)安全的嚴峻挑戰(zhàn)v1.無線局域網(wǎng)安全的現(xiàn)狀v2.無線局域網(wǎng)的常見攻擊方式1.無線局域網(wǎng)安全的現(xiàn)狀v無線局域網(wǎng)安全問題的獨特之處在于信道開放，用戶不必與網(wǎng)絡(luò)進行“可視”的連接。這使攻擊者偽裝合法用戶更加容易，同時微波信號在空氣中傳播也會因多種原因?qū)е滦盘枔p失。v目前，無線局域網(wǎng)絡(luò)產(chǎn)品主要采用的是IEEE 802.11b國際標準，大多應(yīng)用DSSS直接序列擴頻通信技術(shù)進行數(shù)據(jù)傳輸，該技

2、術(shù)能有效防止數(shù)據(jù)在無線傳輸過程中丟失、干擾、信息阻塞及破壞等問題。 2.無線局域網(wǎng)的常見攻擊方式v1）竊聽v2）非法登錄v3）干擾攻擊1）竊聽v竊聽是無線局域網(wǎng)被動攻擊的有效類型。在網(wǎng)絡(luò)上竊取數(shù)據(jù)又稱為嗅探。v無線網(wǎng)絡(luò)中無線信道的開放性給網(wǎng)絡(luò)嗅探帶來極大方便。在無線局域網(wǎng)中網(wǎng)絡(luò)嗅探對信息安全的威脅來自被動性和非干擾性，執(zhí)行監(jiān)聽程序的竊聽過程中只是被動的接收網(wǎng)絡(luò)中傳輸?shù)男畔?，不會跟其他的主機交換信息，也不修改在網(wǎng)絡(luò)中傳輸?shù)男畔?。使網(wǎng)絡(luò)嗅探具有很強的隱蔽性，讓網(wǎng)絡(luò)信息失密變得不容易發(fā)現(xiàn)。2）非法登錄v無線局域網(wǎng)的非法登錄過程是通過一個無線接入點AP連接到一個無線局域網(wǎng)上。v主動攻擊：一個用戶為了

3、更深入地穿透或進入一個網(wǎng)絡(luò)，或為了獲取對于服務(wù)器的訪問，以得到有價值的數(shù)據(jù)，或為了惡意的目的使用公司的Internet訪問，甚至改變網(wǎng)絡(luò)的界面配置，改變無線局域網(wǎng)自身。例如，一個黑客可以通過設(shè)定的MAC地址過濾實施惡意攻擊。3）干擾攻擊v干擾攻擊會讓無線局域網(wǎng)癱瘓。黑客使用高功率的微波信號發(fā)送器或掃描發(fā)送器實施有目的的干擾攻擊；一個不可移除和沒有惡意的源頭對無線局域網(wǎng)的干擾；黑客使用另外一個無線接入點AP構(gòu)建新的無線局域網(wǎng)，通過發(fā)送比合法無線接入點更高的信號，有效搶奪移動工作站。二 無線局域網(wǎng)基本的安全措施v1.信息過濾措施v2.訪問認證機制v3.數(shù)據(jù)加密1.信息過濾措施v信息過濾是能夠使用的

4、基本的安全機制。常用的信息過濾機制有：物理地址MAC過濾服務(wù)集標識符SSID過濾協(xié)議端口過濾v前兩種用于簡單的無線接入點AP，是早期無線局域網(wǎng)最主要的安全措施，第三種是建立在路由的基礎(chǔ)上。1）物理地址MAC過濾v每個無線工作站網(wǎng)卡都由惟一的物理地址(MAC)地址標示。網(wǎng)絡(luò)管理員可在無線接入點AP中手工維護一組允許訪問或不允許訪問的MAC地址列表，以實現(xiàn)物理地址的訪問過濾。v若企業(yè)中的AP數(shù)量太多，為實現(xiàn)整個企業(yè)中所有AP統(tǒng)一的無線網(wǎng)卡MAC地址認證，現(xiàn)在的AP也支持無線網(wǎng)卡MAC地址的集中遠程接入撥號用戶Radius認證。MAC過濾的缺陷v物理地址過濾屬于硬件認證，而非用戶認證，要求AP中的M

5、AC地址控制表需隨時更新，并是手工操作，若用戶增加，可擴展性差，只適用于小型網(wǎng)絡(luò)。vMAC地址可被盜用或非法偽造，獲取對無線局域網(wǎng)的非法訪問，是較低級別的授權(quán)認證。2）服務(wù)集標識符SSID過濾v無線工作站必須出示正確的SSID，與無線接入點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，則AP將拒絕他通過本服務(wù)區(qū)上網(wǎng)。因此SSID是一個簡單的口令，從而提供口令認證機制，實現(xiàn)一定的安全保障。v無線局域網(wǎng)接入點AP對此項技術(shù)的支持就是可不讓AP廣播其SSID號，這樣無線工作站端必須主動提供正確SSID號才能與AP進行關(guān)聯(lián)。3）協(xié)議端口過濾v協(xié)議端口過濾是無線局域設(shè)備中比較

6、高級的一種安全機制。無線局域網(wǎng)能夠過濾通過網(wǎng)絡(luò)傳輸基于27層協(xié)議的數(shù)據(jù)包。過濾出每一個協(xié)議和任何直接的信息協(xié)議，可限制用戶使用某些功能。v設(shè)置協(xié)議過濾，控制共享介質(zhì)的使用方面非常有效。2.IEEE 802.11安全機制vIEEE 802.11標準規(guī)定的無線局域網(wǎng)連接過程有4個步驟：掃描、連接、鏈路驗證和關(guān)聯(lián)。通常，無線客戶端會掃描整個周圍環(huán)境尋找適合接入的無線接入點。實現(xiàn)數(shù)據(jù)傳輸時，無線局域網(wǎng)要求一定的安全機制作為保障。vIEEE 802.11標準規(guī)定的安全機制訪問認證機制數(shù)據(jù)加密機制有線等效加密WEP訪問認證機制v訪問認證是無線局域網(wǎng)中一個工作站向另一個工作站或無線接入點AP證明其身份的機制

7、。vIEEE 802.11標準中定義了兩種類型的用戶訪問認證機制：（1）開放式驗證（2）共享密鑰驗證（1）開放式驗證v開放式驗證是無線局域網(wǎng)設(shè)備的默認狀態(tài)，使用該驗證方法，一個無線客戶端僅有一個正確的SSID就可以關(guān)聯(lián)任何使用開放式系統(tǒng)驗證的無線接入點AP，驗證過程如下：無線局域網(wǎng)的無線客戶端請求到要關(guān)聯(lián)的無線接入點；無線接入點對于無線客戶端的鑒別響應(yīng)。（2）共享密鑰驗證v共享密鑰驗證要求雙方必須有一個公共密鑰，這個過程只能在使用WEP機制的工作站之間進行，避免明文傳輸。v使用共享密鑰驗證的鑒別過程如下：無線客戶端向無線接入點發(fā)送驗證請求；無線接入點發(fā)布一個隨機產(chǎn)生的無格式的文本，從無線接入點

8、清晰地發(fā)送到無線客戶端；無線客戶端響應(yīng)這個請求，并使用自身的密鑰加密該請求，將其發(fā)回無線接入點；無線接入點解釋明白無線客戶端的加密響應(yīng)，識別通過一個匹配的WEP的密鑰加密請求文本。訪問認證的狀態(tài)關(guān)系狀態(tài)1：未驗證，未關(guān)聯(lián)狀態(tài)2：已驗證，未關(guān)聯(lián)狀態(tài)3：已驗證，已關(guān)聯(lián)解除鏈路驗證解除關(guān)聯(lián)鏈路驗證成功關(guān)聯(lián)或重新關(guān)聯(lián)成功解除鏈路驗證（驗證結(jié)束）1類幀1類、2類幀1類、2類、3類幀數(shù)據(jù)加密機制WEPv有線等效保密WEP協(xié)議用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。WEP使用64位密鑰或128位密鑰，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。vWEP加密采用靜態(tài)的密鑰，各WLAN終端使用相同的密鑰訪問

9、無線網(wǎng)絡(luò)。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接AP時，AP會發(fā)出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，只有正確無誤，才能獲準存取網(wǎng)絡(luò)的資源。WEP機制的缺陷v只驗證無線客戶端設(shè)備，缺乏使用者身份驗證機制v采用靜態(tài)密鑰，缺乏動態(tài)的數(shù)據(jù)加密三 無線局域網(wǎng)安全技術(shù)v1.IEEE 802.1x協(xié)議(WEP/EAP)v2.IEEE 802.1i協(xié)議(WAP)v3.無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPIv4.VPN安全解決方案1.IEEE 802.1x協(xié)議v端口訪問技術(shù)802.1x協(xié)議是一種局域網(wǎng)接入控制協(xié)議。主要解決無

10、線局域網(wǎng)用戶的接入驗證問題。它是WLAN的一種增強性網(wǎng)絡(luò)安全解決方案。v當無線客戶端與無線接入點AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認證結(jié)果。如果認證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網(wǎng)。v802.1x要求無線客戶端安裝802.1x客戶端軟件，無線接入點要內(nèi)嵌802.1x認證代理，同時它還作為遠程接入撥號用戶Radius客戶端，將用戶的認證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。IEEE 802.1x協(xié)議的三要素v客戶端客戶端（服務(wù)請求者）。一般安裝在用戶的工作站上，當用戶有上網(wǎng)需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)统鲞B接請求。 v認

11、證系統(tǒng)認證系統(tǒng)（驗證者）。一般是無線接入點AP，也是網(wǎng)絡(luò)節(jié)點，其主要作用是完成用戶認證信息的上傳、下達工作，并根據(jù)認證的結(jié)果打開或關(guān)閉端口。 v認證服務(wù)器認證服務(wù)器（驗證服務(wù)者）。通過檢驗客戶端發(fā)送來的身份標識（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認證結(jié)果向交換機發(fā)出打開或保持端口關(guān)閉的狀態(tài)。IEEE 802.1x協(xié)議工作過程要求驗證要求驗證驗證結(jié)果驗證結(jié)果提供驗證資料提供驗證資料根據(jù)檢驗結(jié)果根據(jù)檢驗結(jié)果決定是否提供決定是否提供服務(wù)服務(wù)可擴展驗證協(xié)議EAPv802.1x融合EAP，即EAPOL(WLAN中稱做EAPOW)在申請者和近端認證AP之間運行；認證AP與遠

12、端認證服務(wù)器同樣運行EAP協(xié)議，EAP幀中封裝認證數(shù)據(jù)再將該協(xié)議承載在其他高層協(xié)議中，如RADIUS，以利于穿越多種網(wǎng)絡(luò)到達認證服務(wù)器，成為EAPoverRADIUS。 EAP認證的優(yōu)點vEAP認證對IEEE802.11標準起到三方面改進。雙向認證機制，有效地消除了中間人攻擊(MITM)，如假冒的AP和遠端認證服務(wù)器。集中化認證管理和動態(tài)分配加密密鑰機制。解決了管理上的難度WEP使用RC4給網(wǎng)絡(luò)里的所有AP和客戶分發(fā)靜態(tài)密鑰很繁瑣，每一次無線設(shè)備丟失，網(wǎng)絡(luò)必須重新配置密鑰以防止非法用戶利用丟失的設(shè)備進行非法登錄。能夠定義集中策略控制，當會話超時時將觸發(fā)重新認證和生成新的密鑰。IEEE802.1

13、 x協(xié)議的優(yōu)點v802.1 x認證的突出優(yōu)點就是實現(xiàn)簡單、認證效率高、安全可靠。無需多業(yè)務(wù)網(wǎng)管設(shè)備，就能保證IP網(wǎng)絡(luò)的無縫相連。同時消除了網(wǎng)絡(luò)認證計費瓶頸和單點故障。解決了采用多業(yè)務(wù)網(wǎng)關(guān)，不便于視頻業(yè)務(wù)開展的難題。在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證，大大降低了整個網(wǎng)絡(luò)的建網(wǎng)成本。2.IEEE 802.11i安全標準v該標準增強了WLAN的數(shù)據(jù)加密和認證性能，并且針對WEP加密機制的各種缺陷做了多方面的改進，增強了無線局域網(wǎng)的鑒別性能和數(shù)據(jù)加密。兩個安全協(xié)議的對比WEPTKIPIEEE 802.11x/EAPTKIPIEEE 802.11i主要內(nèi)容vWi-Fi保護接入（WPA）v健全的安全網(wǎng)絡(luò)RSN Wi

14、-Fi保護接入（WPA）vWPA在IEEE 802.11i 標準確定前是代替WEP的無線安全標準協(xié)議。WPA是IEEE 802.11i的一個子集，其核心就是IEEE 802.1x和暫時密鑰完整協(xié)議TKIP。vWPA采用新的加密算法以及用戶認證機制，加強了生成加密密鑰的算法，即使黑客收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰，解決了WEP破解容易的缺點。vWPA不能向后兼容某些遺留設(shè)備和操作系統(tǒng)。如果無線局域網(wǎng)沒有運行WPA和加快該協(xié)議處理速度的硬件，WPA將降低網(wǎng)絡(luò)性能。 WPA2vWPA2是Wi-Fi聯(lián)盟發(fā)布的第二代WPA標準。WPA2與后來發(fā)布的802.11i具有類似的特性，它

15、們最重要的共性是預(yù)驗證，即在用戶對延遲毫無察覺的情況下實現(xiàn)安全快速漫游，同時采用CCMP加密包來替代TKIP。 健全的安全網(wǎng)絡(luò)RSNvRSN是接入點與移動設(shè)備之間的動態(tài)協(xié)商認證和加密算法。802.11i的認證方案是基于802.1x和EAP，加密算法是AES。動態(tài)協(xié)商認證和加密算法使RSN可以與最新的安全水平保持同步，不斷提供保護無線局域網(wǎng)傳輸信息所需要的安全性。與WEP和WPA相比，RSN更可靠，但RSN不能很好地在遺留設(shè)備上運行。 3.國家標準GR15629.11 WAPIvWAPI即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它針對IEEE802.11中WEP協(xié)議安全問題，是2003年在中國無線局域網(wǎng)國

16、家標準GB15629.11中提出的WLAN安全解決方案。同時，本方案已由ISO/IEC授權(quán)的機構(gòu)IEEE注冊權(quán)威機構(gòu)審查并獲得認可，分配了用于WAPI協(xié)議的以太類型字段，這也是我國目前在該領(lǐng)域惟一獲得批準的協(xié)議。 WAPI的特點v采用基于公鑰密碼體系的證書機制，真正實現(xiàn)了移動終端(MT)與無線接入點(AP)間雙向鑒別。v用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用。AP設(shè)置好證書后，無須再對后臺服務(wù)器進行設(shè)置，安裝、組網(wǎng)便捷，易于擴展。v支持Windows98/2K/XP、Linux等操作系統(tǒng)。v提供與現(xiàn)有計費技術(shù)兼容的服務(wù)，可實現(xiàn)按時計費、按流量計費、包月等多種計費方式

17、。v滿足家庭、企業(yè)、運營商等多種應(yīng)用模式。v在不同場合應(yīng)用形式相同，使用方便，用戶易接受。WAPI的組成v無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAIv無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPIv其中，WAI采用基于橢圓曲線的公鑰證書體制，無線客戶端STA和接入點AP通過鑒別服務(wù)器AS進行雙向身份鑒別。而在對傳輸數(shù)據(jù)的保密方面，WPI采用了國家商用密碼管理委員會辦公室提供的對稱密碼算法進行加密和解密，充分保障了數(shù)據(jù)傳輸?shù)陌踩PN安全解決方案vVPN是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道極其加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性。VPN可以替代連線對等加密解決方案以及物理地址過濾解決方案。v采用VPN技術(shù)的另外一個好處就是可以提供基于Radius的用戶認證