無線局域網(wǎng)安全技術(shù).ppt

1、8.7 無線局域網(wǎng)安全技術(shù),8.7.1 無線局域網(wǎng)的安全問題 8.7.2 無線局域網(wǎng)安全技術(shù),8.7.1無線局域網(wǎng)的安全問題,物理安全 無線設(shè)備包括站點(diǎn)（STA）和接入點(diǎn)（AP）。站點(diǎn)通常由一臺(tái)PC機(jī)或筆記本電腦加上一塊無線網(wǎng)絡(luò)接口卡構(gòu)成；接入點(diǎn)通常由一個(gè)無線輸出口和一個(gè)有線的網(wǎng)絡(luò)接口構(gòu)成，其作用是提供無線和有線網(wǎng)絡(luò)之間的橋接。物理安全是關(guān)于這些無線設(shè)備自身的安全問題，主要表現(xiàn)在： 無線設(shè)備存在許多的限制，這將對(duì)存儲(chǔ)在這些設(shè)備的數(shù)據(jù)和設(shè)備間建立的通信鏈路安全產(chǎn)生潛在的影響。與個(gè)人計(jì)算機(jī)相比，無線設(shè)備如個(gè)人數(shù)字助理等，存在如電池壽命短、顯示器小等缺陷。 無線設(shè)備雖有一定的保護(hù)措施，但這些保護(hù)措施

2、總是基于最小信息保護(hù)需求的。因此，必須加強(qiáng)無線設(shè)備的各種防護(hù)措施。,8.7.1 無線局域網(wǎng)的安全問題,2. 存在的威脅 由無線局域網(wǎng)的傳輸介質(zhì)的特殊性，使得信息在傳輸過程中具有更多的不確定性，受到影響更大，主要表現(xiàn)在： 竊聽。任何人都可以用一臺(tái)帶無線網(wǎng)卡的PC機(jī)或者廉價(jià)的無線掃描器進(jìn)行竊聽，但是發(fā)送者和預(yù)期的接收者無法知道傳輸是否被竊聽，且無法檢測(cè)竊聽。 修改替換。在無線局域網(wǎng)中，較強(qiáng)節(jié)點(diǎn)可以屏蔽較弱節(jié)點(diǎn)，用自已的數(shù)據(jù)取代，甚至?xí)嫫渌?jié)點(diǎn)作出反應(yīng)。 傳遞信任。當(dāng)公司網(wǎng)絡(luò)包括一部分無線局域網(wǎng)時(shí)，就會(huì)為攻擊者提供一個(gè)不需要物理安裝的接口用于網(wǎng)絡(luò)入侵。因此，參與通信的雙方都應(yīng)該能相互認(rèn)證。,8.

3、7.2 無線網(wǎng)絡(luò)面臨的安全問題,基礎(chǔ)結(jié)構(gòu)攻擊?；A(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞如軟件臭蟲、錯(cuò)誤配置、硬件故障等。但是針對(duì)這種攻擊進(jìn)行的保護(hù)幾乎是不可能的，所能做的就是盡可能地降低破壞所造成的損失。 拒絕服務(wù)。無線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊，攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號(hào)來干擾網(wǎng)絡(luò)的正常運(yùn)行，從而導(dǎo)致正常的用戶無法使用網(wǎng)絡(luò)。 置信攻擊。通常情況下，攻擊者可以將自己偽造成基站。當(dāng)攻擊者擁有一個(gè)很強(qiáng)的發(fā)送設(shè)備時(shí)，就可以讓移動(dòng)設(shè)備嘗試登錄到他的網(wǎng)絡(luò)，通過分析竊取密鑰和口令，以便發(fā)動(dòng)針對(duì)性的攻擊。,8.7.2 無線局域網(wǎng)安全技術(shù),1. 服務(wù)集標(biāo)識(shí)符 服務(wù)集標(biāo)識(shí)符（SSID）技術(shù)

4、將一個(gè)無線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)，每一個(gè)子網(wǎng)都需要獨(dú)立的身份驗(yàn)證，只有通過身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)，同時(shí)對(duì)資源的訪問權(quán)限進(jìn)行區(qū)別限制。SSID是相鄰的無線接入點(diǎn)（AP）區(qū)分的標(biāo)志，無線接入用戶必須設(shè)定SSID才能和AP通信。通常SSID須事先設(shè)置于所有使用者的無線網(wǎng)卡及A P中。嘗試連接到無線網(wǎng)絡(luò)的系統(tǒng)在被允許進(jìn)入之前必須提供SSID，這是唯一標(biāo)識(shí)網(wǎng)絡(luò)的字符串。 但是SSID對(duì)于網(wǎng)絡(luò)中所有用戶都是相同的字符串，其安全性差，人們可以輕易地從每個(gè)信息包的明文里竊取到它。,8.7.2 無線局域網(wǎng)安全技術(shù),2. 物理地址過濾 每個(gè)無線工作站的網(wǎng)卡

5、都有唯一的物理地址，應(yīng)用媒體訪問控制（MAC）技術(shù)，可在無線局域網(wǎng)的每一個(gè)AP設(shè)置一個(gè)許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點(diǎn)將拒絕其接入請(qǐng)求。但媒體訪問控制只適合于小型網(wǎng)絡(luò)規(guī)模。這是因?yàn)椋?MAC地址在網(wǎng)上是明碼模式傳送，只要監(jiān)聽網(wǎng)絡(luò)便可從中截取或盜用該MAC地址，進(jìn)而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機(jī)密資料。 部分無線網(wǎng)卡允許通過軟件來更改其MAC地址，可通過編程將想用的地址寫入網(wǎng)卡就可以冒充這個(gè)合法的MAC地址，因此可通過訪問控制的檢查而獲取訪問受保護(hù)網(wǎng)絡(luò)的權(quán)限。 媒體訪問控制屬于硬件認(rèn)證，而不是用戶認(rèn)證。,8.7.2 無線局域網(wǎng)安全技術(shù),3. 有線對(duì)等保密 有

6、線等效保密（WEP）是常見的資料加密措施，WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。在鏈路層采用RC4對(duì)稱加密技術(shù)，當(dāng)用戶的加密密鑰與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。 WEP的工作原理是通過一組40位或128位的密鑰作為認(rèn)證口令，當(dāng)WEP功能啟動(dòng)時(shí)，每臺(tái)工作站都使用這個(gè)密鑰，將準(zhǔn)備傳輸?shù)馁Y料加密運(yùn)算形成新的資料，并透過無線電波傳送，另一工作站在接收到資料時(shí)，也利用同一組密鑰來確認(rèn)資料并做解碼動(dòng)作，以獲得原始資料。,8.7.2 無線局域網(wǎng)安全技術(shù),WEP目的是向無線局域網(wǎng)提供與有線網(wǎng)絡(luò)相同級(jí)別的安全保

7、護(hù)，它用于保障無線通信信號(hào)的安全，即保密性和完整性。但WEP提供了40位長度的密鑰機(jī)制存在許多缺陷，表現(xiàn)在： 40位的密鑰現(xiàn)在很容易破解。 密鑰是手工輸入與維護(hù)，更換密鑰費(fèi)時(shí)和困難，密鑰通常長時(shí)間使用而很少更換，若一個(gè)用戶丟失密鑰，則將危及到整個(gè)網(wǎng)絡(luò)。 WEP標(biāo)準(zhǔn)支持每個(gè)信息包的加密功能，但不支持對(duì)每個(gè)信息包的驗(yàn)證。 現(xiàn)在針對(duì)WEP的不足之處，對(duì)WEP加以擴(kuò)展，提出了動(dòng)態(tài)安全鏈路技術(shù)（DSL）。DSL采用了128 位動(dòng)態(tài)分配的密鑰，每一個(gè)會(huì)話都自動(dòng)生成一把密鑰，并且在同一個(gè)會(huì)話期間，對(duì)于每256個(gè)數(shù)據(jù)包，密鑰將自動(dòng)改變一次。,8.7.2 無線局域網(wǎng)安全技術(shù),4. Wi-Fi保護(hù)接入 Wi-Fi

8、保護(hù)性接入（WPA）是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。 WPA標(biāo)準(zhǔn)采用了TKIP、EAP和802.1X等技術(shù)，在保持Wi-Fi認(rèn)證產(chǎn)品硬件可用性的基礎(chǔ)上，解決802.11在數(shù)據(jù)加密、接入認(rèn)證和密鑰管理等方面存在的缺陷。,8.7.2 無線網(wǎng)絡(luò)的安全技術(shù),5. 國家標(biāo)準(zhǔn)WAPI 國家標(biāo)準(zhǔn)WAPI（WAPI），即

9、無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對(duì)IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對(duì)稱密鑰密碼體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。 WAPI的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端（MT）與無線接入點(diǎn)（AP）間雙向鑒別。另外，它充分考慮了市場(chǎng)應(yīng)用，從應(yīng)用模式上可分為單點(diǎn)式和集中式。采用WAPI可以徹底扭轉(zhuǎn)目前WLAN多種安全機(jī)制并存且互

10、不兼容的現(xiàn)狀，從而根本上解決安全和兼容性問題。,8.7.3 無線網(wǎng)絡(luò)的安全技術(shù),6. 端口訪問控制技術(shù) 端口訪問控制技術(shù)(802.1x)是由IEEE定義的，用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認(rèn)證和授權(quán)，可以用于局域網(wǎng)，也可以用于城域網(wǎng)。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。EAP采用更多的認(rèn)證機(jī)制，如MD5、一次性口令等等，從而提供更高級(jí)別的安全。 802.1x是運(yùn)行在無線網(wǎng)設(shè)備關(guān)聯(lián)，其認(rèn)證層次包括兩方面：客戶端到認(rèn)證端，認(rèn)證端到認(rèn)證服務(wù)器。802.1x定義客戶端到認(rèn)證端采用EAP over LAN 協(xié)議，認(rèn)證端到認(rèn)證服務(wù)器采用EAP over RADIUS

11、協(xié)議。,8.7.2 無線網(wǎng)絡(luò)的安全技術(shù),802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問站點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，特別適合于公共無線接入解決方案。 但是802.1x采用的用戶認(rèn)證信息僅僅是用戶名與口令，在存儲(chǔ)、使用和認(rèn)證信息傳遞中可能泄漏、丟失，存在很大安全隱患。加上無線接入點(diǎn)AP與RADIUS服務(wù)器之間用于認(rèn)認(rèn)證的共享密鑰是靜態(tài)的，且

12、是手工管理，也存在一定的安全隱患。,8.7.2 無線網(wǎng)絡(luò)的安全技術(shù),7. 虛擬專用網(wǎng)絡(luò) 虛擬專用網(wǎng)絡(luò)（VPN，Virtual Private Network）指使用互聯(lián)網(wǎng)連接物理上分散的系統(tǒng)來模擬單一專用網(wǎng)的安全方式，通過隧道和加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性。保護(hù)內(nèi)部網(wǎng)免遭公共互聯(lián)網(wǎng)攻擊的技術(shù)是VPN防火墻。同樣無線LAN，也可以采用該安全框架，即安裝兩道防火墻：一個(gè)作為進(jìn)入內(nèi)部網(wǎng)的網(wǎng)關(guān)，另一個(gè)處于無線LAN和內(nèi)部網(wǎng)之間，無線防火墻只允VPN通信，如圖8.22所示。 無線用戶可以向無線基礎(chǔ)設(shè)施認(rèn)證自己。實(shí)際上，把無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)隔離，只允許VPN通信經(jīng)過，是利用了緩沖區(qū)的辦法來增強(qiáng)網(wǎng)絡(luò)安全性。此外，基于IPsec的VPN技術(shù)采用的IP層加密協(xié)議，可以防止通信被竊聽。,8.7.2 無線網(wǎng)絡(luò)的安全技術(shù),圖8.22無線虛擬專用網(wǎng)安全框架,8.7.3 無線網(wǎng)絡(luò)的安全技術(shù),VPN可以替代無線對(duì)等加密解決方案和物理地址過濾解決方案，也可以與WEP協(xié)議互補(bǔ)使用。但是VPN技術(shù)應(yīng)用于無線網(wǎng)絡(luò)也有其局限性，具體表現(xiàn)在： 運(yùn)行脆弱。因突發(fā)干擾或AP間越區(qū)切換等因素導(dǎo)致的無線鏈路質(zhì)量波動(dòng)或短時(shí)中斷是很