企業(yè)內(nèi)遠(yuǎn)距多點無線區(qū)域網(wǎng)路安全之架構(gòu)設(shè)計解析課件

企業(yè)內(nèi)遠(yuǎn)距多點無線區(qū)域網(wǎng)路安全之架構(gòu)設(shè)計國立中央大學(xué)資訊管理研究所碩士論文研究生:許乾豪 指導(dǎo)教授:陳奕明博士民國92年6月21日企業(yè)內(nèi)遠(yuǎn)距多點無線區(qū)域網(wǎng)路安全之架構(gòu)設(shè)計國立中央大學(xué)1Outline前言無線網(wǎng)路的概況研究目的概述無線網(wǎng)路現(xiàn)有的安全機(jī)制常見之企業(yè)無線網(wǎng)路架構(gòu)安全機(jī)制的選擇評量表未來方向Outline前言2前言儘管本篇的研究結(jié)果之一是其設(shè)計的網(wǎng)路架構(gòu)與決策演算法,但是我對此一來沒興趣二來也不勝認(rèn)同,因此沒有在這兩方面多作介紹,本投影片主軸會放在無線網(wǎng)路安全機(jī)制的介紹上前言儘管本篇的研究結(jié)果之一是其設(shè)計的網(wǎng)路架構(gòu)與決策演算法,3無線網(wǎng)路的概況具機(jī)動性,便利性,安裝快速,覆蓋範(fàn)圍廣,價格亦降至可接受範(fàn)圍.據(jù)NOP世界科技研究機(jī)構(gòu)針對美國使用無線網(wǎng)路之企業(yè)調(diào)查,採用無線網(wǎng)路可提升企業(yè)生產(chǎn)力達(dá)22%.安全性仍然堪慮–無線電波於空氣中傳播,易被攔截/竊聽/盜用,目前尚未有足夠之安全機(jī)制,且各家推行之機(jī)制並未統(tǒng)一,使網(wǎng)路管理者無所適從.各家之安全機(jī)制往往未考量企業(yè)之遠(yuǎn)距多點的配置需求.儘管有利,但是由於安全上考量,許多企業(yè)遲遲不敢運用無線網(wǎng)路於企業(yè)中.無線網(wǎng)路的概況具機(jī)動性,便利性,安裝快速,覆蓋範(fàn)圍廣,4研究目的分析各種無線網(wǎng)路安全機(jī)制探討在遠(yuǎn)距多點的網(wǎng)路架構(gòu)下,所應(yīng)考慮使用的安全機(jī)制設(shè)計一套評量安全機(jī)制選擇之演算法研究目的分析各種無線網(wǎng)路安全機(jī)制5企業(yè)網(wǎng)路類型單一據(jù)點企業(yè)網(wǎng)路同一建築物,LocalLAN短距多點企業(yè)網(wǎng)路企業(yè)大樓分佈於特定範(fàn)圍,子母公司使用專線連結(jié)遠(yuǎn)距多點企業(yè)網(wǎng)路大樓距離遠(yuǎn)(如跨國),使用ATM,FrameRelay,VPN等方式彼此連結(jié)企業(yè)網(wǎng)路類型單一據(jù)點企業(yè)網(wǎng)路6引入無線網(wǎng)路之考量產(chǎn)品數(shù)量多,各家有各家的產(chǎn)品特性,但相容性往往不佳.尚未有標(biāo)準(zhǔn)化之足夠強固之安全機(jī)制需要有中央控管之認(rèn)證機(jī)制維持各端點一致的安全性降低建置成本效能降低對使用者之使用差異性引入無線網(wǎng)路之考量產(chǎn)品數(shù)量多,各家有各家的產(chǎn)品特性,但相7現(xiàn)有之安全機(jī)制HardwareBasedSSIDMACWEPVLANFirewallSoftwareBased802.1xSSLHybridPPPOEVPN現(xiàn)有之安全機(jī)制HardwareBased8SSID(ServiceSetIdentifier)802.11定義的識別方式,分為Opensystemauthentication跟Closesystemauthentication.前者AP會主動回應(yīng)自身之SSID給使用者,可以視為完全開放後者AP不會主動通知自身之SSID,使用者必須要知道AP端的SSID才能與AP連線SSID的傳送並未經(jīng)過加密,會因為封包竊聽而洩漏,因此幾乎不具安全效果.限定MAC位址(MediumAccessControl)透過在AP上指定可連線之mac位址,以限定特定的網(wǎng)卡裝置才可與AP通訊.同樣會因為竊聽而外流,入侵者可以發(fā)送偽裝封包來向AP連線.SSID(ServiceSetIdentifier)9WEP(WiredEquivalentPrivacy)定義於802.11,負(fù)責(zé)加密通訊資料.為對稱加密系統(tǒng),以RC4演算法為核心透過一24位元初始向量加上40-104位元之WEPKey產(chǎn)生秘鑰,只要變動初始向量就可以改變祕鑰.由於使用靜態(tài)之WEPkey,長度只有24位元,且沒有訂定完善之金鑰管理機(jī)制,初始向量在網(wǎng)路傳輸時沒有加密,因此很容易被分析法破解.網(wǎng)路上已經(jīng)有流傳可在五小時內(nèi)解開WEPKey之工具.WEP(WiredEquivalentPrivacy)10VLAN(VisualLocalAreaNetwork)將同一交換器上的流量分割為數(shù)個不同網(wǎng)段,以達(dá)到隔離的效果.跨VLAN交通必須經(jīng)由Router轉(zhuǎn)送.但本身不具加密能力.可透過某些廠牌AP,將指定SSID之流量分送到不同之VLAN.Firewall由於無線網(wǎng)路很容易被存取,因此應(yīng)該被視為不安全的區(qū)域,透過強固的防火牆規(guī)則加以過濾.VLAN(VisualLocalAreaNetwor11802.1x為IEEE2001年6月通過之標(biāo)準(zhǔn),為Port-BaseNetworkAccessControl,利用802.11存取特性,提供點對點連網(wǎng)之認(rèn)證與授權(quán)方法,以防止未經(jīng)授權(quán)者侵入.認(rèn)證流程:一開始AP只容許認(rèn)證封包通過,使用者(Supplicant)發(fā)送連線要求給AP(Authenticator),AP轉(zhuǎn)送要求到AuthenticationServer,Server回應(yīng)認(rèn)證要求給使用者,使用者送出驗證訊息,Server驗證通過,AP與使用者建立連結(jié)並開始使用網(wǎng)路.802.1x12續(xù)802.1x只允許經(jīng)過驗證之使用者連上網(wǎng)路,安全性提高許多在未使用交互認(rèn)證的情況下,有可能遭受中間人攻擊(ManintheMiddleAttack).續(xù)802.1x13SSL(SecureSocketLayer)這裡指的是透過加密的網(wǎng)頁介面所作的認(rèn)證.用意是提供一友善的使用者介面.有遭受偽裝的可能性PPPOE(PointtoPointProtocoloverEthernet)有線網(wǎng)路常用之身分驗證機(jī)制,採用PPP建立連線通道.可選擇加密方式在無線網(wǎng)路上容易遭受偽裝之PADT封包終止連線,成為DoS攻擊漏洞.VPN(VisualPrivateNetwork)使用IPsec,PPTP,L2PT等加密通道以確保完整性與私密性.使用者與VPN閘道器互相驗證並建立加密通道.安全性與彈性比WEP更加良好加密運算需要的處理能力較高SSL(SecureSocketLayer)14部署位置示例部署位置示例15部署考量重點JingshaHe在1997年IEEE期刊所發(fā)表之PerformanceandManageabilityDesigninanEnterpriseNetworkSecuritySystem專文中提出了在設(shè)計一個安全的企業(yè)網(wǎng)路必需當(dāng)使用者自LAN或WAN存取網(wǎng)路資源時，能保護(hù)網(wǎng)路上所有的成員，同時必須滿足以下七項安全需求構(gòu)面：網(wǎng)路認(rèn)證(Networkauthentication)使用者憑證控制(Usercredentialscontrol)存取授權(quán)(Accessauthorization)資料保密及完整性(Dataconfidentialityandintegrity)稽核(Auditing)效能(Performance)管理性(Manageability)。部署考量重點JingshaHe在1997年IEEE期162000年IEEE期刊SecurityArchitectureforWirelessforWirelessLANs:Corporate&PublicEnvironment一般性的要求管理性(Manageability),降低負(fù)擔(dān)完成性(Implementation),容易部署效能(Performance),不拖累效能針對企業(yè)網(wǎng)路的安全考量封閉式系統(tǒng),使用者與設(shè)備須可信賴認(rèn)證,進(jìn)入無線網(wǎng)路區(qū)域者須認(rèn)證才可存取存取控制,使用者使用之資源須被管控延展性,存取開放資源時不須降低安全等級私密性,第三者無法擷取/解譯資料可調(diào)整之安全等級,可依使用者需求調(diào)整2000年IEEE期刊SecurityArchitect17常見的攻擊方式首先是探查足夠的目標(biāo)資訊,透過掃描擷取無線電波取得SSID,MAC,AP等訊息,之後擬定攻擊計畫.Sniffing,乃是透過ARPSpoofing欺騙交換器將想監(jiān)聽位址的封包送過來,是一種主動式的竊聽,可透過高等級的加密措施避免.DoS(DenialofService),或稱阻絕服務(wù)攻擊.此攻擊並非要竊取或修改,而是單純的擾亂並阻擋正常的服務(wù),可從三個層面下手,此種攻擊是難以預(yù)防的.Physical層:使用EMI電磁干擾來造成使用者/AP無法正常收送訊號Data-Link層:利用使用者會優(yōu)先連結(jié)訊號較強之AP的特性,在要蓋臺之AP旁邊架設(shè)一訊號強大的偽AP以導(dǎo)向使用者到錯誤的AP.Network層:發(fā)送大量假造之合法封包直接癱瘓AP常見的攻擊方式首先是探查足夠的目標(biāo)資訊,透過掃描擷取無線電18SessionHijacking,攻擊者經(jīng)由竊聽解開了連線加密後,使用阻斷服務(wù)工具阻止原使用者的訊息發(fā)送,並且把自己偽裝成原使用者繼續(xù)向AP通訊.此時攻擊者即擁有該使用者之權(quán)限.可使用強大之加密通道如VPN避免.ManintheMiddle,攻擊者位於使用者與AP之間,對使用者冒充AP端,同時對AP端冒充使用者.使合法使用者與AP在不知情的狀況下繼續(xù)通訊,攻擊者可以在通訊中安插資料/修改/竊聽.可以使用雙向驗證避免.偽裝AP,攻擊者建立一假AP,使用與合法AP相同之SSID,當(dāng)不知情之使用者連結(jié)上了,即使用一般電腦常見的漏洞進(jìn)行攻擊並植下木馬以伺機(jī)攻入企業(yè)網(wǎng)路.可以使用雙向認(rèn)證避免使用者登入假AP.SessionHijacking,攻擊者經(jīng)由竊聽解開了連19常見之企業(yè)無線網(wǎng)路規(guī)劃將無線區(qū)域網(wǎng)路直接部署於企業(yè)網(wǎng)路內(nèi)此模式無線網(wǎng)路直接連結(jié)於企業(yè)內(nèi)部網(wǎng)路以防火牆區(qū)隔公司無線網(wǎng)路區(qū)段與外部公司網(wǎng)段此模式使用防火牆區(qū)隔無線網(wǎng)域/公司網(wǎng)路/分公司網(wǎng)路以防火牆區(qū)隔無線網(wǎng)路網(wǎng)段此模式透過專線將各公司無線網(wǎng)段連結(jié)在一起常見之企業(yè)無線網(wǎng)路規(guī)劃將無線區(qū)域網(wǎng)路直接部署於企業(yè)網(wǎng)路內(nèi)20評量表評量表21企業(yè)安全機(jī)制之決策演算法企業(yè)安全機(jī)制之決策演算法22個人意見絕對安全的演算法/網(wǎng)路架構(gòu)/政策?沒有打不破的盾最脆弱的還是人應(yīng)該要根據(jù)環(huán)境,你所要保護(hù)的事物的價值,以及預(yù)算來作安全策略,不是套用某些公式與架構(gòu)–尤其是你無法驗證他的時候.個人意見絕對安全的演算法/網(wǎng)路架構(gòu)/政策?23額外的安全問題Ad-Hocmode控制無線訊號範(fàn)圍使用者的安全控管WPA從2