計算機網(wǎng)絡安全教程 第4版 課件 ch10 無線網(wǎng)絡網(wǎng)絡安全

第十章無線網(wǎng)絡網(wǎng)絡安全

內(nèi)容提要：無線網(wǎng)絡安全的特點Wi-Fi和無線局域網(wǎng)安全

移動終端安全無線安全技術及應用小結10.1無線網(wǎng)絡安全的特點1.無線網(wǎng)絡概述無線網(wǎng)絡是無線設備之間以及無線設備與有線網(wǎng)絡之間的一種網(wǎng)絡結構。根據(jù)覆蓋范圍、傳輸速率和用途的不同，無線網(wǎng)絡可以分為4類：無線廣域網(wǎng)、無線城域網(wǎng)、無線局域網(wǎng)和無線個人網(wǎng)。返回本章首頁2.無線網(wǎng)絡特點與有線網(wǎng)絡相比，無線網(wǎng)絡有其自身的特點，這些特點往往也是威脅無線網(wǎng)絡安全的重要因素。使用無線介質有限的帶寬電源管理返回本章首頁3.無線網(wǎng)絡面臨的安全威脅無線網(wǎng)絡面臨的威脅主要來自5個方面：無線電信號干擾非法接入網(wǎng)絡欺騙和會話攔截網(wǎng)絡監(jiān)聽網(wǎng)絡阻塞攻擊返回本章首頁10.2Wi-Fi和無線局域網(wǎng)安全1.Wi-Fi和無線局域網(wǎng)概述無線局域網(wǎng)（WLAN）是指在一個局部區(qū)域內(nèi)計算機之間通過無線鏈路進行通信的網(wǎng)絡，是計算機網(wǎng)絡與無線通信技術相結合的產(chǎn)物。隨著筆記本電腦和PAD、手機等移動終端設備的廣泛使用和無線通信技術的快速發(fā)展，無線局域網(wǎng)在社會生活中的作用越來越重要。返回本章首頁WLAN由無線網(wǎng)卡、無線接入點（AccessPoint，AP）、計算機和有關設備組成。返回本章首頁在WLAN標準中，應用最廣泛的是IEEE802.11系列標準。常用的標準主要有IEEE802.11b，IEEE802.lla，IEEE802.1lg，IEEE802.1ln等。其中，802.11b是IEEE于1999年批準的標準，也被稱為Wi-Fi。Wi-Fi是WirelessFidelity的縮寫，即無線保真。Wi-Fi是由Wi-Fi聯(lián)盟持有的無線局域網(wǎng)實現(xiàn)方式的標識，即遵循IEEE802.11系列協(xié)議的無線局域網(wǎng)實現(xiàn)方式。返回本章首頁2.無線局域網(wǎng)安全機制2001年5月802.11工作組成立了802.11i任務組，專門負責制定WLAN的安全標準。與WLAN有關的安全機制主要包括WEP、WPA和WPA2等協(xié)議標準。返回本章首頁WEP（WiredEquivalentPrivacy）WEP即有線等價保密。WEP協(xié)議的設計目標是保護傳輸數(shù)據(jù)的機密性、完整性和提供對WLAN的訪問控制，但是由于協(xié)議設計者對于RC4加密算法的不正確使用，使得WEP實際上無法達到其期望目標。WEP采用一個初始向量（IV）和密鑰（KEY）生成一個中間密鑰，然后用該中間密鑰加密信息。WEP加密采用的密鑰長度為40bits，IV的長度為24bits。返回本章首頁WPAWPA標準是Wi-Fi聯(lián)盟聯(lián)合IEEE802.11i任務組的專家共同提出的，在該標準中數(shù)據(jù)加密使用臨時密鑰完整性協(xié)議（TemporaryKeyIntegrityProtocol，TKIP），認證有兩種可選模式：一種是使用802.1x協(xié)議進行認證，適用于企業(yè)用戶；另一種稱為預先共享密鑰（Pre-SharedKey，PSK）模式，采取用戶在WLAN的所有設備中手工輸人共享密鑰的辦法來進行認證，適用于家庭用戶。返回本章首頁WPA標準專門對WEP協(xié)議的不足之處進行了有針對性的改進，對于802.lli標準和WEP都具有兼容性。WPA標準是802.11i標準正式實施以前WLAN安全采用的過渡方案。WPA依然采用RC4算法對數(shù)據(jù)進行加密，為了增強數(shù)據(jù)安全性，將密鑰長度增加到128bits，且IV長度增加到48bits。返回本章首頁WPA2WPA2是對WPA的增強，實際上是802.11i的完整實現(xiàn)。802.11i標準包括一組魯棒性很強的安全標準集，包括802.1X身份驗證和基于端口的訪問控制，AES加密模塊和CCMP，用來保持關聯(lián)性的跟蹤，并提供保密、完整性和源身份驗證。返回本章首頁應用模式WPAWPA2企業(yè)應用模式身份認證：IEEE802.1x/EAP身份認證：IEEE802.1x/EAP加密：TKIP/MIC加密：AES-CCMP個人應用模式身份認證：PSK身份認證：PSK加密：TKIP/MIC加密：AES-CCMP10.3移動終端安全1.iOS安全iOS是蘋果公司為移動設備開發(fā)的操作系統(tǒng)，主要用于iPhone，iPodTouch，iPad和AppleTV。iOS是從MacOSX衍生而來的類Unix操作系統(tǒng)。iOS最吸引用戶的就是其電子市場（AppStore），集中管理應用程序以供用戶下載。返回本章首頁iOS安全機制為了保證用戶的安全，蘋果為iOS設計了一套安全機制。主要由下面幾部分構成：（1）可信引導（2）程序簽名（3）沙盒和權限管理（4）密鑰鏈和數(shù)據(jù)保護返回本章首頁iOS安全隱患在iOS系統(tǒng)安全體制之下，仍然存在很多安全隱患和問題，主要包括：（1）利用引導過程的缺陷對設備進行“越獄”。用戶使用這種技術及軟件可以獲得iOS的最高訪問權限，甚至可以解開運營商對手機網(wǎng)絡的限制。普通用戶利用這些工具就可以對其設備進行“越獄”，獲得管理員權限，然后就能訪問文件系統(tǒng)、執(zhí)行非官方簽名的應用程序。返回本章首頁用戶對iOS設備進行越獄，主動破壞iOS系統(tǒng)的安全保護機制，實際上是對iOS系統(tǒng)數(shù)據(jù)安全最大的威協(xié)。相比使用AppStore，用戶更加容易受到惡意軟件的影響，同時惡意軟件也可以獲得最高權限，從而對系統(tǒng)進行全面的控制，竊取用戶隱私和數(shù)據(jù)。返回本章首頁返回本章首頁功能未越獄越獄自啟動運行無法實現(xiàn)可以實現(xiàn)獲取聯(lián)系人可以實現(xiàn)可以實現(xiàn)獲取短信、通話記錄無法實現(xiàn)可以實現(xiàn)破解郵件、網(wǎng)絡密碼無法實現(xiàn)可以實現(xiàn)GPS后臺追蹤需要用戶授權不需要用戶授權通話、短信攔截無法實現(xiàn)可以實現(xiàn)后臺錄音無法實現(xiàn)可以實現(xiàn)越獄前后，iOS應用程序所能實現(xiàn)的一些功能對比。（2）手機隱私泄露問題。不同于其他平臺，手機操作系統(tǒng)需要保護手機中存儲的手機號碼、通訊錄、短信、地址之類的隱私信息。蘋果公司則主要依靠自己的軟件審查機制來保證iOS平臺上軟件的安全性，只有經(jīng)過審查的應用程序才能發(fā)布到AppStore上，嚴格的檢查將惡意程序阻止在系統(tǒng)之外。但是，由于這個審查過程和方法的細節(jié)并未公開，用戶無法完全信任蘋果的這套機制能夠確保的用戶數(shù)據(jù)的安全。返回本章首頁（3）安全漏洞和惡意程序。在BlackHatUSA2009上研究者演示了如何用短信來得到iPhone的控制權。而iPhone中Safari漏洞也是黑客一直用來攻擊的對象。返回本章首頁iOS安全加固由于在未越獄iOS系統(tǒng)中的應用不能對系統(tǒng)進行深層次的操作，因此正常的應用軟件不能實現(xiàn)一般安全軟件系統(tǒng)的掃描、攔截、監(jiān)控等功能。目前在AppStore上銷售的安全軟件多以通訊錄備份、電池管理等功能為主的手機管理軟件。而在越獄過的iOS系統(tǒng)中，雖然iOS系統(tǒng)本身的安全機制受到破壞，但應用程序卻有能力實現(xiàn)對iOS系統(tǒng)更深入的安全防護。返回本章首頁返回本章首頁360安全衛(wèi)士（iphone版）是專門針對iOS系統(tǒng)的管理軟件，但是需要先對iOS進行越獄才能全面地發(fā)揮作用。360安全衛(wèi)士（iphone版）的主要功能包括流量監(jiān)控、安全備份、系統(tǒng)信息查詢、號碼歸屬地查詢、照片保險箱、密碼保險箱等。iPhone及iPad安全使用指南美國家安全局2012年發(fā)布了《iPhone及iPad安全使用指南》，該指南提供了在iOS下運行的iPhone及iPad的安全管理基本知識，提出了保持物理安全、及時升級iOS系統(tǒng)、不要“越獄”、開啟自動鎖屏及密碼功能、不要加入到不熟悉的無線網(wǎng)絡、在不需要時關閉藍牙、關閉地點設置等10項安全建議。返回本章首頁返回本章首頁（1）保持物理安全（2）及時升級iOS系統(tǒng)（3）不要“越獄”（4）開啟自動鎖屏及密碼功能（5）不要加入到不熟悉的無線網(wǎng)絡（6）在不需要時關閉藍牙（7）關閉地點設置（8）上網(wǎng)瀏覽器的設置（9）電子郵件的設置（10）使用iPhone的設置軟件2.Android安全Android簡介2007年11月5日Google公司正式發(fā)布了基于Linux內(nèi)核的開源操作系統(tǒng)Android?，F(xiàn)已成為全球市場占有份額最高的智能手機操作系統(tǒng)。Android的流行使其已成為眾多惡意軟件的攻擊目標，針對Android的木馬、Rootkit和應用層特權提升攻擊等安全威脅不斷出現(xiàn)。返回本章首頁Android組件模型Android是一個移動設備軟件棧，其系統(tǒng)架構包含多個層次，主要有應用層、應用框架層、Android運行時和系統(tǒng)庫以及Linux內(nèi)核。Android中的應用都是用Java語言編寫，然后生成Dalvik虛擬機可執(zhí)行的apk文件。Android應用由一個或多個不同的組件構成，這些組件主要包括四種類型:Activity、Service、BroadcastReceiver、ContentProvider。返回本章首頁返回本章首頁Activity是用戶接口的容器，表現(xiàn)為可視化的用戶接口。Service在后臺運行，它沒有可視化的用戶接口，通常完成一些無需用戶干預的操作。BroadcastReceiver用于接收和響應應用關心的廣播消息。ContentProvider提供了一種應用間共享數(shù)據(jù)的方法。Android安全機制（1）權限機制Android應用框架層提供了限制組件間訪問的強制訪問控制機制，系統(tǒng)中定義了一系列安全操作相關的權限標簽，應用需要在配置文件（Manifest.xml）中利用這些標簽聲明自己所需的權限，當用戶同意授權后，該應用下屬的所有組件將會繼承應用聲明的所有權限。同時，組件也可以利用權限標簽限制能夠與其交互的組件范圍。返回本章首頁返回本章首頁Android支持普通（normal）、危險（dangerous）、簽名（signature）以及簽名或系統(tǒng)（SignatureOrSystem）四種權限保護級別。危險級別的權限在應用程序安裝時會在屏幕上列出，而普通級別的權限是隱藏在折疊目錄或屏幕上的。簽名級別的權限只有在請求權限的應用程序與聲明權限的程序是用相同的證書簽名時才被授權。返回本章首頁（2）沙盒機制為了保障每個應用運行過程中不被其他應用影響，Android系統(tǒng)為每個應用在運行過程中提供了一個沙盒。其具體實現(xiàn)是，Android系統(tǒng)為每個應用提供一個Dalvik虛擬機實例，使其獨立地運行于一個進程，并且為每一個應用創(chuàng)建一個對應于Linux底層的用戶名，并設置用戶ID。利用這個用戶ID可以保護應用的文件、數(shù)據(jù)和內(nèi)存。返回本章首頁如果希望2個應用共享權限、數(shù)據(jù)，可以通過設置sharedUserID來聲明2個應用使用同一個用戶ID，運行于同一進程，并共享其資源和權限。但是聲明使用sharedUserID的應用必須有相同的用戶簽名。這種機制不但可以在應用運行過程中保障其獨立性，還可以提高系統(tǒng)的魯棒性。當單個應用運行出現(xiàn)問題時，可以消除其虛擬機實例來保障整個系統(tǒng)的安全運行。返回本章首頁（3）簽名機制所有Android應用都要被打包成*.apk文件，這個文件在發(fā)布時都必須被簽名，與通常在信息安全領域中使用數(shù)字證書的用途不同，Android利用數(shù)字簽名來標識應用的作者和在應用間建立信任關系，而不是用來判定應用是否應該被安裝。而且，這個數(shù)字證書并不需要權威的數(shù)字證書簽名機構認證，而是由開發(fā)者來進行控制和使用的，用來進行應用包的自我認證的。Android安全缺陷（1）Android通過PackageInstaller在應用安裝時檢查應用所需的權限，并提示用戶，由用戶做出抉擇。但是，如果用戶想使用該應用的功能，就必須同意應用申請的全部權限，否則PackageInstaller將拒絕安裝該應用。（2）Android沒有對已授予應用的權限的使用范圍進行限制。比如應用申請了讀聯(lián)系人數(shù)據(jù)的權限，那么它就可以讀取全部的聯(lián)系人數(shù)據(jù)，而不能根據(jù)聯(lián)系人分組區(qū)別對待。返回本章首頁返回本章首頁（3）由于所有權限都是在安裝時進行檢查并授予的，所以資源的訪問不能根據(jù)用戶的位置、時間等不同而進行動態(tài)的限制。（4）用戶撤銷已授予某個應用權限的唯一方法就是卸載該應用。以上安全缺陷不僅降低了Android平臺的可用性，同時導致平臺容易遭受應用層權限提升攻擊，具體又可分為混淆代理人攻擊和共謀攻擊。Android安全配置為了保障運行Android系統(tǒng)的移動終端的安全，對其進行安全配置是非常必要的，比較方便的配置方式是使用專業(yè)的Android系統(tǒng)配置管理軟件。常用配置管理軟件有LBE安全大師、360手機衛(wèi)士等。下面以LBE安全大師為例來介紹Android系統(tǒng)的安全配置。返回本章首頁返回本章首頁（1）LBE安全大師簡介LBE安全大師是Android平臺上首款主動式防御軟件，第一款具備實時監(jiān)控與攔截能力的手機安全軟件。LBE安全大師基于業(yè)界首創(chuàng)的Android平臺API攔截技術，能夠實時監(jiān)控與攔截系統(tǒng)中的敏感操作，動態(tài)攔截來自已知和未知的各種威脅，避免各類吸費軟件，廣告軟件乃至木馬病毒竊取移動終端內(nèi)的隱私信息。返回本章首頁LBE安全大師能夠為系統(tǒng)中每一個應用的每一個敏感操作指定權限，包括允許、拒絕和提示。通過此項功能，用戶可以關閉某些應用申請的額外權限，阻止應用內(nèi)嵌廣告代碼的執(zhí)行而保留應用功能不受影響。返回本章首頁（2）權限管理LBE安全大師提供了免root直接進行權限管理的配置模式，同時提供了專業(yè)的權限配置推薦，給用戶權威的配置指導，簡化了權限配置過程。返回本章首頁（3）病毒查殺基于安天AVLSDK反病毒引擎，具有業(yè)內(nèi)領先的病毒查殺率和極低的病毒誤報率，提供快速及深度無掃描方式，強化檢測所有已安裝軟件，真正做到無死角病毒檢測。返回本章首頁（4）騷擾攔截LBE安全大師的騷擾攔截功能內(nèi)置智能識別算法，可使用黑白名單、關鍵字和自定義攔截模式等方式自動攔截特定的騷擾來電和短信，可以在絕大多數(shù)手機上實現(xiàn)無響鈴攔截，陌生來電延遲3秒響鈴，避免騷擾來電和詐騙電話。10.4無線安全技術及應用1.常用無線網(wǎng)絡安全技術訪問控制技術利用MAC地址訪問控制和服務區(qū)認證ID（SSID）技術來防止非法的無線設備入侵。數(shù)據(jù)加密技術數(shù)據(jù)加密是無線網(wǎng)絡安全的基礎，對傳輸?shù)臄?shù)據(jù)進行加密是為了防止其在未授權的情況下數(shù)據(jù)被泄露、破壞或篡改。返回本章首頁端口訪問技術IEEE802.1x協(xié)議是一種基于端口訪問的控制協(xié)議，能夠實現(xiàn)對局域網(wǎng)設備的安全認證和授權。該技術是用于無線網(wǎng)絡的一種增強性網(wǎng)絡安全解決方案。802.1x除提供端口控制訪問能力之外，還提供基于用戶的認證系統(tǒng)，使得網(wǎng)絡管理者能更容易控制網(wǎng)絡接入。返回本章首頁數(shù)據(jù)校驗技術校驗是為了確保傳輸數(shù)據(jù)的完整性，防止數(shù)據(jù)在傳輸?shù)倪^程中被非法截取后而進行惡意修改的行為。返回本章首頁2.無線網(wǎng)絡安全技術應用修改無線路由器的默認賬號和密碼無線路由器出廠時設置的默認賬戶與密碼通常都比較簡單，而且眾所周知。因此必須及時修改無線路由器的默認賬號和密碼，并且要定期進行變更，防止非法用戶登錄無線路由器，修改相關參數(shù)，從而可以對無線局域網(wǎng)內(nèi)的用戶進行訪問和攻擊。返回本章首頁設置服務區(qū)標識符（SSID）SSID是用來區(qū)分不同的無線網(wǎng)絡。AP和無線路由器默認情況下會向所有的無線客戶端廣播自己的SSID號，從而方便用戶接入相應的無線網(wǎng)絡。廣播SSID的功能在方便正常用戶的同時也給非法用戶接入網(wǎng)絡創(chuàng)造了條件，因此應及時取消AP和無線路由器的“允許SSID廣播”功能，使得非法用戶不能搜索到SSID號，從而降低網(wǎng)絡被入侵的幾率，增加網(wǎng)絡的安全性。返回本章首頁啟用無線網(wǎng)絡的加密設置無線設備上都具有WEP加密、WPA加密和WPA2加密功能，其中WPA2使用256位的密鑰，而且數(shù)據(jù)包在廣播過程中，WPA2加密密鑰不斷變化，具有更好的安全性，應優(yōu)先啟用WPA2加密功能。返回本章首頁設置MA