無(wú)線網(wǎng)絡(luò)技術(shù)及管理

無(wú)線網(wǎng)絡(luò)技術(shù)及管理主講人蔣融融講師浙江播送電視大學(xué)信息與工程學(xué)院1.第九講無(wú)線局域網(wǎng)平安2.內(nèi)容概要無(wú)線局域網(wǎng)平安的嚴(yán)峻挑戰(zhàn)無(wú)線局域網(wǎng)根本的平安措施無(wú)線局域網(wǎng)的平安技術(shù)3.一無(wú)線局域網(wǎng)平安的嚴(yán)峻挑戰(zhàn)1.無(wú)線局域網(wǎng)平安的現(xiàn)狀2.無(wú)線局域網(wǎng)的常見(jiàn)攻擊方式4.1.無(wú)線局域網(wǎng)平安的現(xiàn)狀無(wú)線局域網(wǎng)平安問(wèn)題的獨(dú)特之處在于信道開(kāi)放，用戶不必與網(wǎng)絡(luò)進(jìn)行“可視〞的連接。這使攻擊者偽裝合法用戶更加容易，同時(shí)微波信號(hào)在空氣中傳播也會(huì)因多種原因?qū)е滦盘?hào)損失。目前，無(wú)線局域網(wǎng)絡(luò)產(chǎn)品主要采用的是IEEE802.11b國(guó)際標(biāo)準(zhǔn)，大多應(yīng)用DSSS直接序列擴(kuò)頻通信技術(shù)進(jìn)行數(shù)據(jù)傳輸，該技術(shù)能有效防止數(shù)據(jù)在無(wú)線傳輸過(guò)程中喪失、干擾、信息阻塞及破壞等問(wèn)題。5.2.無(wú)線局域網(wǎng)的常見(jiàn)攻擊方式1〕竊聽(tīng)2〕非法登錄3〕干擾攻擊6.1〕竊聽(tīng)竊聽(tīng)是無(wú)線局域網(wǎng)被動(dòng)攻擊的有效類型。在網(wǎng)絡(luò)上竊取數(shù)據(jù)又稱為嗅探。無(wú)線網(wǎng)絡(luò)中無(wú)線信道的開(kāi)放性給網(wǎng)絡(luò)嗅探帶來(lái)極大方便。在無(wú)線局域網(wǎng)中網(wǎng)絡(luò)嗅探對(duì)信息平安的威脅來(lái)自被動(dòng)性和非干擾性，執(zhí)行監(jiān)聽(tīng)程序的竊聽(tīng)過(guò)程中只是被動(dòng)的接收網(wǎng)絡(luò)中傳輸?shù)男畔ⅲ粫?huì)跟其他的主機(jī)交換信息，也不修改在網(wǎng)絡(luò)中傳輸?shù)男畔Ｊ咕W(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，讓網(wǎng)絡(luò)信息失密變得不容易發(fā)現(xiàn)。7.2〕非法登錄無(wú)線局域網(wǎng)的非法登錄過(guò)程是通過(guò)一個(gè)無(wú)線接入點(diǎn)AP連接到一個(gè)無(wú)線局域網(wǎng)上。主動(dòng)攻擊：一個(gè)用戶為了更深入地穿透或進(jìn)入一個(gè)網(wǎng)絡(luò)，或?yàn)榱双@取對(duì)于效勞器的訪問(wèn)，以得到有價(jià)值的數(shù)據(jù)，或?yàn)榱藧阂獾哪康氖褂霉镜腎nternet訪問(wèn)，甚至改變網(wǎng)絡(luò)的界面配置，改變無(wú)線局域網(wǎng)自身。例如，一個(gè)黑客可以通過(guò)設(shè)定的MAC地址過(guò)濾實(shí)施惡意攻擊。8.3〕干擾攻擊干擾攻擊會(huì)讓無(wú)線局域網(wǎng)癱瘓。黑客使用高功率的微波信號(hào)發(fā)送器或掃描發(fā)送器實(shí)施有目的的干擾攻擊；一個(gè)不可移除和沒(méi)有惡意的源頭對(duì)無(wú)線局域網(wǎng)的干擾；黑客使用另外一個(gè)無(wú)線接入點(diǎn)AP構(gòu)建新的無(wú)線局域網(wǎng)，通過(guò)發(fā)送比合法無(wú)線接入點(diǎn)更高的信號(hào)，有效搶奪移開(kāi)工作站。9.二無(wú)線局域網(wǎng)根本的平安措施1.信息過(guò)濾措施2.訪問(wèn)認(rèn)證機(jī)制3.數(shù)據(jù)加密10.1.信息過(guò)濾措施信息過(guò)濾是能夠使用的根本的平安機(jī)制。常用的信息過(guò)濾機(jī)制有：物理地址MAC過(guò)濾效勞集標(biāo)識(shí)符SSID過(guò)濾協(xié)議端口過(guò)濾前兩種用于簡(jiǎn)單的無(wú)線接入點(diǎn)AP，是早期無(wú)線局域網(wǎng)最主要的平安措施，第三種是建立在路由的根底上。11.1〕物理地址MAC過(guò)濾每個(gè)無(wú)線工作站網(wǎng)卡都由惟一的物理地址(MAC)地址標(biāo)示。網(wǎng)絡(luò)管理員可在無(wú)線接入點(diǎn)AP中手工維護(hù)一組允許訪問(wèn)或不允許訪問(wèn)的MAC地址列表，以實(shí)現(xiàn)物理地址的訪問(wèn)過(guò)濾。假設(shè)企業(yè)中的AP數(shù)量太多，為實(shí)現(xiàn)整個(gè)企業(yè)中所有AP統(tǒng)一的無(wú)線網(wǎng)卡MAC地址認(rèn)證，現(xiàn)在的AP也支持無(wú)線網(wǎng)卡MAC地址的集中遠(yuǎn)程接入撥號(hào)用戶Radius認(rèn)證。

12.13.MAC過(guò)濾的缺陷物理地址過(guò)濾屬于硬件認(rèn)證，而非用戶認(rèn)證，要求AP中的MAC地址控制表需隨時(shí)更新，并是手工操作，假設(shè)用戶增加，可擴(kuò)展性差，只適用于小型網(wǎng)絡(luò)。MAC地址可被盜用或非法偽造，獲取對(duì)無(wú)線局域網(wǎng)的非法訪問(wèn)，是較低級(jí)別的授權(quán)認(rèn)證。14.2〕效勞集標(biāo)識(shí)符SSID過(guò)濾無(wú)線工作站必須出示正確的SSID，與無(wú)線接入點(diǎn)AP的SSID相同，才能訪問(wèn)AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕他通過(guò)本效勞區(qū)上網(wǎng)。因此SSID是一個(gè)簡(jiǎn)單的口令，從而提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定的平安保障。無(wú)線局域網(wǎng)接入點(diǎn)AP對(duì)此項(xiàng)技術(shù)的支持就是可不讓AP播送其SSID號(hào)，這樣無(wú)線工作站端必須主動(dòng)提供正確SSID號(hào)才能與AP進(jìn)行關(guān)聯(lián)。

15.16.3〕協(xié)議端口過(guò)濾協(xié)議端口過(guò)濾是無(wú)線局域設(shè)備中比較高級(jí)的一種平安機(jī)制。無(wú)線局域網(wǎng)能夠過(guò)濾通過(guò)網(wǎng)絡(luò)傳輸基于2～7層協(xié)議的數(shù)據(jù)包。過(guò)濾出每一個(gè)協(xié)議和任何直接的信息協(xié)議，可限制用戶使用某些功能。設(shè)置協(xié)議過(guò)濾，控制共享介質(zhì)的使用方面非常有效。17.18.2.IEEE802.11平安機(jī)制IEEE802.11標(biāo)準(zhǔn)規(guī)定的無(wú)線局域網(wǎng)連接過(guò)程有4個(gè)步驟：掃描、連接、鏈路驗(yàn)證和關(guān)聯(lián)。通常，無(wú)線客戶端會(huì)掃描整個(gè)周圍環(huán)境尋找適合接入的無(wú)線接入點(diǎn)。實(shí)現(xiàn)數(shù)據(jù)傳輸時(shí)，無(wú)線局域網(wǎng)要求一定的平安機(jī)制作為保障。IEEE802.11標(biāo)準(zhǔn)規(guī)定的平安機(jī)制訪問(wèn)認(rèn)證機(jī)制數(shù)據(jù)加密機(jī)制－－有線等效加密WEP19.訪問(wèn)認(rèn)證機(jī)制訪問(wèn)認(rèn)證是無(wú)線局域網(wǎng)中一個(gè)工作站向另一個(gè)工作站或無(wú)線接入點(diǎn)AP證明其身份的機(jī)制。IEEE802.11標(biāo)準(zhǔn)中定義了兩種類型的用戶訪問(wèn)認(rèn)證機(jī)制：〔1〕開(kāi)放式驗(yàn)證〔2〕共享密鑰驗(yàn)證20.〔1〕開(kāi)放式驗(yàn)證開(kāi)放式驗(yàn)證是無(wú)線局域網(wǎng)設(shè)備的默認(rèn)狀態(tài)，使用該驗(yàn)證方法，一個(gè)無(wú)線客戶端僅有一個(gè)正確的SSID就可以關(guān)聯(lián)任何使用開(kāi)放式系統(tǒng)驗(yàn)證的無(wú)線接入點(diǎn)AP，驗(yàn)證過(guò)程如下：無(wú)線局域網(wǎng)的無(wú)線客戶端請(qǐng)求到要關(guān)聯(lián)的無(wú)線接入點(diǎn)；無(wú)線接入點(diǎn)對(duì)于無(wú)線客戶端的鑒別響應(yīng)。21.〔2〕共享密鑰驗(yàn)證共享密鑰驗(yàn)證要求雙方必須有一個(gè)公共密鑰，這個(gè)過(guò)程只能在使用WEP機(jī)制的工作站之間進(jìn)行，防止明文傳輸。使用共享密鑰驗(yàn)證的鑒別過(guò)程如下：無(wú)線客戶端向無(wú)線接入點(diǎn)發(fā)送驗(yàn)證請(qǐng)求；無(wú)線接入點(diǎn)發(fā)布一個(gè)隨機(jī)產(chǎn)生的無(wú)格式的文本，從無(wú)線接入點(diǎn)清晰地發(fā)送到無(wú)線客戶端；無(wú)線客戶端響應(yīng)這個(gè)請(qǐng)求，并使用自身的密鑰加密該請(qǐng)求，將其發(fā)回?zé)o線接入點(diǎn)；無(wú)線接入點(diǎn)解釋明白無(wú)線客戶端的加密響應(yīng)，識(shí)別通過(guò)一個(gè)匹配的WEP的密鑰加密請(qǐng)求文本。22.23.訪問(wèn)認(rèn)證的狀態(tài)關(guān)系狀態(tài)1：未驗(yàn)證，未關(guān)聯(lián)狀態(tài)2：已驗(yàn)證，未關(guān)聯(lián)狀態(tài)3：已驗(yàn)證，已關(guān)聯(lián)解除鏈路驗(yàn)證解除關(guān)聯(lián)鏈路驗(yàn)證成功關(guān)聯(lián)或重新關(guān)聯(lián)成功解除鏈路驗(yàn)證〔驗(yàn)證結(jié)束〕1類幀1類、2類幀1類、2類、3類幀24.數(shù)據(jù)加密機(jī)制WEP有線等效保密WEP協(xié)議用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用64位密鑰或128位密鑰，采用RSA開(kāi)發(fā)的RC4對(duì)稱加密算法，在鏈路層加密數(shù)據(jù)。WEP加密采用靜態(tài)的密鑰，各WLAN終端使用相同的密鑰訪問(wèn)無(wú)線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接AP時(shí)，AP會(huì)發(fā)出一個(gè)ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，只有正確無(wú)誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。25.WEP機(jī)制的缺陷只驗(yàn)證無(wú)線客戶端設(shè)備，缺乏使用者身份驗(yàn)證機(jī)制采用靜態(tài)密鑰，缺乏動(dòng)態(tài)的數(shù)據(jù)加密26.三無(wú)線局域網(wǎng)平安技術(shù)1.IEEE802.1x協(xié)議(WEP/EAP)2.IEEE802.1i協(xié)議(WAP)3.無(wú)線局域網(wǎng)鑒別與保密根底結(jié)構(gòu)WAPI4.VPN平安解決方案27.1.IEEE802.1x協(xié)議端口訪問(wèn)技術(shù)802.1x協(xié)議是一種局域網(wǎng)接入控制協(xié)議。主要解決無(wú)線局域網(wǎng)用戶的接入驗(yàn)證問(wèn)題。它是WLAN的一種增強(qiáng)性網(wǎng)絡(luò)平安解決方案。當(dāng)無(wú)線客戶端與無(wú)線接入點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的效勞要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò)，那么AP為無(wú)線工作站翻開(kāi)這個(gè)邏輯端口，否那么不允許用戶上網(wǎng)。802.1x要求無(wú)線客戶端安裝802.1x客戶端軟件，無(wú)線接入點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為遠(yuǎn)程接入撥號(hào)用戶Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius效勞器。28.IEEE802.1x協(xié)議的三要素客戶端〔效勞請(qǐng)求者〕。一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時(shí)，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)?huì)送出連接請(qǐng)求。認(rèn)證系統(tǒng)〔驗(yàn)證者〕。一般是無(wú)線接入點(diǎn)AP，也是網(wǎng)絡(luò)節(jié)點(diǎn)，其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果翻開(kāi)或關(guān)閉端口。認(rèn)證效勞器〔驗(yàn)證效勞者〕。通過(guò)檢驗(yàn)客戶端發(fā)送來(lái)的身份標(biāo)識(shí)〔用戶名和口令〕來(lái)判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)效勞，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出翻開(kāi)或保持端口關(guān)閉的狀態(tài)。

29.IEEE802.1x協(xié)議工作過(guò)程要求驗(yàn)證驗(yàn)證結(jié)果提供驗(yàn)證資料根據(jù)檢驗(yàn)結(jié)果斷定是否提供效勞30.可擴(kuò)展驗(yàn)證協(xié)議EAP802.1x融合EAP，即EAPOL(WLAN中稱做EAPOW)在申請(qǐng)者和近端認(rèn)證AP之間運(yùn)行；認(rèn)證AP與遠(yuǎn)端認(rèn)證效勞器同樣運(yùn)行EAP協(xié)議，EAP幀中封裝認(rèn)證數(shù)據(jù)再將該協(xié)議承載在其他高層協(xié)議中，如RADIUS，以利于穿越多種網(wǎng)絡(luò)到達(dá)認(rèn)證效勞器，成為EAPoverRADIUS。31.EAP認(rèn)證的優(yōu)點(diǎn)EAP認(rèn)證對(duì)IEEE802.11標(biāo)準(zhǔn)起到三方面改進(jìn)。雙向認(rèn)證機(jī)制，有效地消除了中間人攻擊(MITM)，如假冒的AP和遠(yuǎn)端認(rèn)證效勞器。集中化認(rèn)證管理和動(dòng)態(tài)分配加密密鑰機(jī)制。解決了管理上的難度—WEP使用RC4給網(wǎng)絡(luò)里的所有AP和客戶分發(fā)靜態(tài)密鑰很繁瑣，每一次無(wú)線設(shè)備喪失，網(wǎng)絡(luò)必須重新配置密鑰以防止非法用戶利用喪失的設(shè)備進(jìn)行非法登錄。能夠定義集中策略控制，當(dāng)會(huì)話超時(shí)時(shí)將觸發(fā)重新認(rèn)證和生成新的密鑰。32.IEEE802.1x協(xié)議的優(yōu)點(diǎn)802.1x認(rèn)證的突出優(yōu)點(diǎn)就是實(shí)現(xiàn)簡(jiǎn)單、認(rèn)證效率高、平安可靠。無(wú)需多業(yè)務(wù)網(wǎng)管設(shè)備，就能保證IP網(wǎng)絡(luò)的無(wú)縫相連。同時(shí)消除了網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障。解決了采用多業(yè)務(wù)網(wǎng)關(guān)，不便于視頻業(yè)務(wù)開(kāi)展的難題。在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，大大降低了整個(gè)網(wǎng)絡(luò)的建網(wǎng)本錢(qián)。

33.2.IEEE802.11i平安標(biāo)準(zhǔn)該標(biāo)準(zhǔn)增強(qiáng)了WLAN的數(shù)據(jù)加密和認(rèn)證性能，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)，增強(qiáng)了無(wú)線局域網(wǎng)的鑒別性能和數(shù)據(jù)加密。34.兩個(gè)平安協(xié)議的比照WEPTKIPIEEE802.11x/EAPTKIP35.IEEE802.11i主要內(nèi)容Wi-Fi保護(hù)接入〔WPA〕健全的平安網(wǎng)絡(luò)RSN36.Wi-Fi保護(hù)接入〔WPA〕WPA在IEEE802.11i標(biāo)準(zhǔn)確定前是代替WEP的無(wú)線平安標(biāo)準(zhǔn)協(xié)議。WPA是IEEE802.11i的一個(gè)子集，其核心就是IEEE802.1x和暫時(shí)密鑰完整協(xié)議TKIP。WPA采用新的加密算法以及用戶認(rèn)證機(jī)制，加強(qiáng)了生成加密密鑰的算法，即使黑客收集到分組信息并對(duì)其進(jìn)行解析，也幾乎無(wú)法計(jì)算出通用密鑰，解決了WEP破解容易的缺點(diǎn)。WPA不能向后兼容某些遺留設(shè)備和操作系統(tǒng)。如果無(wú)線局域網(wǎng)沒(méi)有運(yùn)行WPA和加快該協(xié)議處理速度的硬件，WPA將降低網(wǎng)絡(luò)性能。37.WPA2WPA2是Wi-Fi聯(lián)盟發(fā)布的第二代WPA標(biāo)準(zhǔn)。WPA2與后來(lái)發(fā)布的802.11i具有類似的特性，它們最重要的共性是預(yù)驗(yàn)證，即在用戶對(duì)延遲毫無(wú)覺(jué)察的情況下實(shí)現(xiàn)平安快速漫游，同時(shí)采用CCMP加密包來(lái)替代TKIP。38.健全的平安網(wǎng)絡(luò)RSNRSN是接入點(diǎn)與移動(dòng)設(shè)備之間的動(dòng)態(tài)協(xié)商認(rèn)證和加密算法。802.11i的認(rèn)證方案是基于802.1x和EAP，加密算法是AES。動(dòng)態(tài)協(xié)商認(rèn)證和加密算法使RSN可以與最新的平安水平保持同步，不斷提供保護(hù)無(wú)線局域網(wǎng)傳輸信息所需要的平安性。與WEP和WPA相比，RSN更可靠，但RSN不能很好地在遺留設(shè)備上運(yùn)行。39.3.國(guó)家標(biāo)準(zhǔn)GR15629.11WAPIWAPI即無(wú)線局域網(wǎng)鑒別與保密根底結(jié)構(gòu)，它針對(duì)IEEE802.11中WEP協(xié)議平安問(wèn)題，是2003年在中國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11中提出的WLAN平安解決方案。同時(shí)，本方案已由ISO/IEC授權(quán)的機(jī)構(gòu)IEEE注冊(cè)權(quán)威機(jī)構(gòu)審查并獲得認(rèn)可，分配了用于WAPI協(xié)議的以太類型字段，這也是我國(guó)目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。40.WAPI的特點(diǎn)采用基于公鑰密碼體系的證書(shū)機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端(MT)與無(wú)線接入點(diǎn)(AP)間雙向鑒別。用戶只要安裝一張證書(shū)就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用。AP設(shè)置好證書(shū)后，無(wú)須再對(duì)后臺(tái)效勞器進(jìn)行設(shè)置，安裝、組網(wǎng)便捷，易于擴(kuò)展。支持Windows98/2K/XP、Linux等操作系統(tǒng)。提供與現(xiàn)有計(jì)費(fèi)技術(shù)兼容的效勞，可實(shí)現(xiàn)按時(shí)計(jì)費(fèi)、按流量計(jì)費(fèi)、包月等多種計(jì)費(fèi)方式。滿足家庭、企業(yè)、運(yùn)營(yíng)商等多種應(yīng)用模式。在不同場(chǎng)合應(yīng)用形式相同，使用方便，用戶易接受。41.WAPI的組成無(wú)線局域網(wǎng)鑒別根底結(jié)構(gòu)WAI無(wú)線局域網(wǎng)保密根底結(jié)構(gòu)WPI其中，WAI采用基于橢圓曲線的公鑰證書(shū)體制，無(wú)線客戶端STA和接入點(diǎn)AP通過(guò)鑒別效勞器AS進(jìn)行雙向身份鑒別。而在對(duì)傳輸數(shù)據(jù)的保密方面，WPI采用了國(guó)家商用密碼管理委員會(huì)辦公室提供的對(duì)稱密碼算法進(jìn)行加密和解密，充分保障了數(shù)據(jù)傳輸?shù)钠桨病?/p>

42.VPN平安解決方案VPN是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道極其加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)平安性。VPN可以替代連線對(duì)等加密解決方案以及物理地址過(guò)濾解決方案。采用VPN技術(shù)的另外一個(gè)好處就是可以提供基于Radius的用戶認(rèn)證以及計(jì)費(fèi)。它不屬于8