無線網絡安全4093935195.ppt

1、第9章 無線網絡安全,9.1 無線網絡技術概述 9.2無線網絡的安全問題 9.3無線網絡的WEP機制 9.4無線VPN技術 9.5 藍牙安全,9.1 無線網絡技術概述 9.1.1 無線局域網的優(yōu)勢 9.1.2 無線局域網規(guī)格標準 9.1.3 無線網絡設備,9.1 無線網絡技術概述,所謂的無線網絡(Wireless LAN / WLAN)，是指用戶以電腦透過區(qū)域空間的無線網卡(Wireless Card / PCMCIA卡)結合存取橋接器(Access Point)進行區(qū)域無線網絡連結，再加上一組無線上網撥接賬號即可上網進行網絡資源的利用。 簡單地說，無線局域網與一般傳統的以太網絡（Ethern

2、et）的概念并沒有多大的差異，只是無線局域網將用戶端接取網絡的線路傳輸部分轉變成無線傳輸之形式，但是卻具備有線網絡缺乏的行動性，然而之所以稱其是局域網，則是因為會受到橋接器與電腦之間距離的遠近限制而影響傳輸范圍，所以必須要在區(qū)域范圍內才可以連上網絡。,9.1.1 無線局域網的優(yōu)勢,1.無線局域網不須要受限于網絡可連線端點數之多寡，就可輕松地在無線局域網中增加新的使用者數目； 2.使用無線局域網時不必受限于網絡線的長短與插槽，節(jié)省有線網絡布線的人力與物力成本，從此擺脫被網絡線糾纏的夢魘； 3.相較于時下流行的GPRS手機與CDMA手機，無線局域網具有高速寬頻上網的特性，它可提供11 Mbps，約

3、200倍于一般調制解調器（Modem 56Kbps）的傳輸速度，可滿足使用者對大量的圖像、影音傳輸的需求； 4.對于上班族與經常需要離開辦公座位開會的主管人員來說，使用無線局域網就可不用再擔心找不到上網的插座。此外，透過無線局域網，使用者可以在信號涵蓋的范圍內自由的筆記本電腦等設備，隨時隨地的與網絡保持連結； 5.除了“無線”可以免去實體網絡線布線的困擾之外，另外，在網絡發(fā)生錯誤的時候，也不用慢慢尋找出損壞的線路，只要檢查訊號發(fā)送與接收端的訊號是否正常即可。,9.1.2 無線局域網規(guī)格標準,1.802.11b規(guī)格 2.802.11a規(guī)格 3.HyperLAN規(guī)格 4.藍牙(Bluetooth)

4、技術,9.1.3 無線網絡設備,1.無線AP,2.無線路由器,3.無線網卡,9.2無線網絡的安全問題,9.2.1 無線網絡標準的安全性 9.2.2 無線網絡安全性的影響因素 9.2.3 無線網絡常見的攻擊 9.2.4 無線網絡安全對策,9.2.1 無線網絡標準的安全性,IEEE 802.11b標準定義了兩種方法實現無線局域網的接入控制和加密：系統ID(SSID)和有線對等加密(WEP)。 1.認證,圖9-6共享密鑰認證,2.WEP WEP的目標是： 接入控制：防止未授權用戶接入網絡，他們沒有正確的WEP密鑰。 加密：通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。 IEEE 802.1

5、1b標準提供了兩種用于無線局域網的WEP加密方案。 第一種方案可提供四個缺省密鑰以供所有的終端共享包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后，就可以與子系統內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。 第二種方案中是在每一個客戶適配器建立一個與其他用戶聯系的密鑰表。該方案比第一種方案更加安全，但隨著終端數量的增加給每一個終端分配密鑰很困難。,9.2.2 無線網絡安全性的影響因素,1.硬件設備 2.虛假接入點 3.其他安全問題,認證的全部過程,9.2.3 無線網絡常見的攻擊,1.WEP中存在的弱點 （1）整體設計：在無線環(huán)境中，不使用保密措施是

6、具有很大風險的，但WEP協議只是802.11設備實現的一個可選項。 （2） 加密算法：WEP中的IV（Initialization Vector，初始化向量）由于位數太短和初始化復位設計，容易出現重用現象，從而被人破解密鑰。而對用于進行流加密的RC4算法，在其頭256個字節(jié)數據中的密鑰存在弱點，目前還沒有任何一種實現方案修正了這個缺陷。此外用于對明文進行完整性校驗的CRC（Cyclic Redundancv Check，循環(huán)冗余校驗）只能確保數據正確傳輸，并不能保證其未被修改，岡而并不是安全的校驗碼。 （3）密鑰管理：802.11標準指出， WEP使用的密鑰需要接受一個外部密鑰管理系統的控制。

7、通過外部控制?？梢詼p少Iv的沖突數量，使得無線網絡難以攻破。但問題在于這個過程形式非常復雜，并且需要手工操作。因而很多網絡的部署者更傾向于使用缺省的WEP密鑰，這使黑客為破解密鑰所作的工作量大大減少了。另一些高級的解決方案需要使用額外資源，如RADIUS和Cisco的LEAP，其花費是很昂貴的。 （4）用戶行為：許多用戶都不會改變缺省的配置選項，這令黑客很容易推斷出或猜出密鑰。,2.執(zhí)行搜索 NetStumbler 是第一個被廣泛用來發(fā)現無線網絡的軟件。據統計，有超過50的無線網絡是不使用加密功能的。通常即使加密功能處于活動狀態(tài)，AP（wireless Access Point，無線基站）廣播

8、信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網絡名稱、SSID（Secure Set Identife ，安全集標識符）等。,3.竊聽、截取和監(jiān)聽,竊聽是指偷聽流經網絡的計算機通信的電子形式。它是以被動和無法覺察的方式人侵檢測設備的。即使網絡不對外廣播網絡信息，只要能夠發(fā)現任何明文信息，攻擊者仍然可以使用一些網絡工具，如Eth real 和TCPDump來監(jiān)聽和分析通信量，從而識別出可以破壞的信息。使用虛擬專用網、SSL（Secure Sockets Lave 安全套接字層）和SSH（Secure Shel1）有助于防止無線攔截。,4.欺騙和非授權訪問,因為TCP/IP協議的設計原

9、因，幾乎無法防止MACIP地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是，因為巨大的管理負擔，這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對付已經出現過的欺騙。當試圖連接到網絡上的時候，簡單地通過讓另外一個節(jié)點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。許多無線設備提供商允許終端用戶通過使用設備附帶的配置工具，重新定義網卡的 MAC地址。使用外部雙因子身份驗證，如RADIUS或SecurID，可以防止非授權用戶訪問無線網及其連接的資源，并且在實現的時候，應該對需要經過強驗證才能訪問資源的訪問進行嚴格的限制。,5.網絡接管與篡改,同樣因為TCP/I

10、P協議設計的原因，某些技術可供攻擊者接管與其他資源建立的網絡連接。如果攻擊者接管了某個AP，那么所有來自無線網的通信量都會傳到攻擊者的機器上，包括其他用戶試圖訪問合法網絡主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網或無線網進行遠程訪問，而且這種攻擊通常不會引起用戶的重視，用戶通常是在毫無防范的情況下輸人自己的身份驗證信息，甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后，仍像是看待自己機器上的錯誤一樣看待它們，這讓攻擊者可以繼續(xù)接管連接，而不必擔心被別人發(fā)現。,6.拒絕服務攻擊,無線信號傳輸的特性和專門使用擴頻技術，使得無線網絡特別容易受到DoS（Denial of Servi

11、ce，拒絕服務）攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網絡幾乎所有的資源，使得合法用戶無法獲得這些資源。要造成這類的攻擊，最簡單的辦法是通過讓不同的設備使用相同的頻率，從而造成無線頻譜內出現沖突。另一個可能的攻擊手段是發(fā)送大量非法（或合法）的身份驗證請求。第三種手段，如果攻擊者接管AP，并且不把通信量傳遞到恰當的目的地，那么所有的網絡用戶都將無法使用網絡。為了防止DoS攻擊，可以做的事情很少。無線攻擊者可以利用高性能的方向性天線，從很遠的地方攻擊無線網。已經獲得有線網訪問權的攻擊者，可以通過發(fā)送多達無線AP無法處理的通信量來攻擊它。此外為了獲得與用戶的網絡配置發(fā)生沖突的網絡，只要利用Ne

12、tStumbler就可以做到。,7.惡意軟件 憑借技巧定制的應用程序，攻擊者可以直接到終端用戶上查找訪問信息，例如訪問用戶系統的注冊表或其他存儲位置，以便獲取WEP密鑰并把它發(fā)送回到攻擊者的機器上。注意讓軟件保持更新，并且遏制攻擊的可能來源（Web瀏覽器、電子郵件、運行不當的服務器服務等），這是唯一可以獲得的保護措施。 8.偷竊用戶設備 只要得到了一塊無線網網卡，攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜，他丟失的不僅僅是電腦本身，還包括設備上的身份驗證信息，如網絡的SSID 及密鑰。而對于別有用心的攻擊者而言，這些往往比電腦本身更有價值。,9.2.

13、4 無線網絡安全對策,1.分析威脅 2.設計和部署安全網絡 3.實現WEP 4.過濾MAC 5.過濾協議 6.使用封閉系統和網絡 7.分配IP 8.使用VPN,9.3無線網絡的WEP機制,9.3.1 WEP機制簡介 9.3.2 WEP在無線路由器上的應用,9.3.1 WEP機制簡介,1.什么是WEP WEP（Wired Equivalent Privacy）無線等效保密協議是由802.11 標準定義的，是最基本的無線安全加密措施，用于在無線局域網中保護鏈路層數據，其主要用途是： （1）提供接入控制，防止未授權用戶訪問網絡； （2）WEP 加密算法對數據進行加密，防止數據被攻擊者竊聽； （3）防

14、止數據被攻擊者中途惡意篡改或偽造。,2.WEP的原理,WEP加密的算法如圖所示，過程如下：,3.WEP的缺陷,（1）缺少密鑰管理 用戶的加密密鑰必須與AP的密鑰相同，并且一個服務區(qū)內的所有用戶都共享同一把密鑰。WEP標準中并沒有規(guī)定共享密鑰的管理方案，通常是手工進行配置與維護。由于同時更換密鑰的費時與困難，所以密鑰通常長時間使用而很少更換，倘若一個用戶丟失密鑰，則將殃及到整個網絡。 （2）ICV算法不合適 WEP ICV是一種基于CRC-32 的用于檢測傳輸噪音和普通錯誤的算法。CRC-32 是信息的線性函數，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV，使信息表面上看起來是可信的。能

15、夠篡改即加密數據包使各種各樣的非常簡單的攻擊成為可能。 （3）RC4算法存在弱點 在RC4中，人們發(fā)現了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個好密碼所應具有的相關性。在24位的IV 值中，有9000多個弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網絡中。,9.3.2 WEP在無線路由器上的應用,1.無線路由器配置,單獨密鑰的使用,MAC地址過濾功能開啟顯示,IPconfig/all命令執(zhí)行結果,網卡TL-WN620G的配置,用戶配置文件管理高級選項,用戶配置文件管理安全選項,設置共享密鑰,網卡和無線路由器建立連接界面,9.4無線V

16、PN技術,9.4.1 無線VPN技術 9.4.2 Win2003的VPN服務器搭建,9.4.1 無線VPN技術,1.什么是VPN？ 虛擬專用網（VPN，Virtual Private Network）是一種利用公共網絡來構建的私人專用網絡技術，不是真的專用網絡，但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節(jié)點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態(tài)組成的。,2.VPN的安全性,（1）隧道技術 （2）加解密技術 （3）密鑰管

17、理技術 （4）使用者與設備身份認證技術,3.VPN網絡的可用性,通過VPN，企業(yè)可以以更低的成本連接遠程辦事機構、出差人員以及業(yè)務合作伙伴關鍵業(yè)務。虛擬網組成之后，遠程用戶只需擁有本地ISP的上網權限，就可以訪問企業(yè)內部資源，這對于流動性大、分布廣泛的企業(yè)來說很有意義，特別是當企業(yè)將VPN服務延伸到合作伙伴方時，便能極大地降低網絡的復雜性和維護費用。 VPN技術的出現及成熟為企業(yè)實施ERP、財務軟件、移動辦公提供了最佳的解決方案。 一方面，VPN利用現有互聯網，在互聯網上開拓隧道，充分利用企業(yè)現有的上網條件，無需申請昂貴的DDN專線，運營成本低。另一方面，VPN利用IPSEC等加密技術，使在通

18、道內傳輸的數據，有著高達168位的加密措施，充分保證了數據在VPN通道內傳輸的安全性。,4.VPN網絡的可管理性,隨著技術的進步，各種VPN軟硬件解決方案都包含了路由、防火墻、VPN網關等三方面的功能，企業(yè)或政府通過購買VPN設備，達到一物多用的功效，既滿足了遠程互聯的要求，而且還能在相當程度上防止黑客的攻擊、并能根據時間、IP、內容、Mac地址、服務內容、訪問內容等多種服務來限制企業(yè)公司內部員工上網時的行為，一舉多得。 VPN設備的安裝調試、管理、維護都極為簡單，而且都支持遠程管理，大多數VPN硬件設備甚至可通過中央管理器進行集中式的管理維護。出差人員也可以通過客戶端軟件與中心的VPN設備建

19、立VPN通道，從而達到訪問中心數據等資源的目的。讓互聯無處不在，極大地方便了企業(yè)及政府的數據、語音、視頻等方面的應用。,9.4.2 Win2003的VPN服務器搭建,無線VPN拓撲結構圖,1.系統前期準備工作,2.開啟VPN和NAT服務,3.配置NAT服務,VPN網關（PPTP）編輯服務設置,4.根據需要設置VPN服務,WAN端口屬性,本地服務器IP設置,5.設置遠程訪問策略，允許指定用戶撥入,IP地址范圍設置,“計算機管理”對話框,添加用戶對話框,添加組對話框,6.設置動態(tài)域名,我們把動態(tài)域名放在這里來說。因為一般企業(yè)接入互聯網應該有固定IP，這樣客戶機便可隨時隨地對服務端進行訪問；而如果你

20、是家庭用戶采用的 ADSL寬帶接入的話，那一般都是每次上網地址都不一樣的動態(tài)IP，所以需在VPN服務器上安裝動態(tài)域名解析軟件，才能讓客戶端在網絡中找到服務端并隨時可以撥入。筆者常用的動態(tài)域名解析軟件為：花生殼，可以在下載，其安裝及注意事項請參閱相關資料.,7.VPN客戶端配置,新建連接向導對話框,選擇連接類型對話框,選擇連接“虛擬專用網絡連接”對話框,連接名稱設置對話框,VPN連接窗口,VPN服務器選擇,9.5 藍牙安全,9.5.1藍牙應用協議棧 （1）射頻協議（RF/Radio Protocol）：定義了藍牙發(fā)送器和接收器的各個參數，包括發(fā)送器的調制特性，接收器的靈敏度、抗干擾性能、互調特性

21、和接收信號強度指示等。 （2）基帶/鏈路控制協議（Baseband/LC Protocol）：定義了基帶部分協議和其他低層鏈路功能，是藍牙技術的核心。 （3）鏈路管理協議（LMP）：用于鏈路的建立、安全和控制，為此定義了許多過程來完成不同的功能。 （4）主機控制器接口（HCI：Host Controller Interface）協議：描述了主機控制接口功能上的標準，提供了一個基帶控制器和鏈路管理器（LM）得知硬件狀態(tài)和控制寄存器命令的接口，在藍牙中起著中間層的作用：向下給鏈路控制器協議和鏈路管理協議提供接口，提供一個訪問藍牙基帶的統一方法。是在硬件和軟件都包含的部分。,（5）邏輯鏈路控制和適配

22、協議（L2CAP：Logical Link Control and Adaptation Protocol）：支持高層協議復用、幀的組裝和拆分、傳送QoS信息。L2CAP提供面各連接和非連接兩種業(yè)務，允許高層最多達64kbit/s的數據，以一種有限狀態(tài)機（FSM）的方式來進行控制，目前只支持異步無連接鏈路（ACL）。 （6）服務發(fā)現協議（SDP：Service Discover Protocol）：如何發(fā)現藍牙設備所提供服務的協議，使高層應用能夠得知可提供的服務。在兩個藍牙設備第一次通信時，需要通過SDP來了解對方能夠提供何種服務，并將自己可提供的服務通知對方。 （7）高層協議：包括串口通信協

23、議（RFCOMM）、電話控制協議（TCS）、對象交換協議（OBEX）、控制命令（AT-Command）、電子商務標準協議（vCard和vCalender）和PPP，IP，TCP，UDP等相關的Internet協議以及WAP協議。其中，串口通信協議是ETSI TS07.10標準的子集，并且加入了藍牙特有的部分；電話控制協議使用了一個以比特為基礎的協議，定義了在藍牙設備之間建立語音和數據呼叫的控制信令，對象交換協議提供了與IrDA協議系列相同的特性，并且使各種應用可以在IrDA協議棧和藍牙協議棧上使用。,9.5.2藍牙系統安全性要求,（1）藍牙設備地址（BD_ADDR）：是一個對每個藍牙單元唯一的48位IEEE地址。 （2）個人確認碼（PIN：Personal IdentificationNumber）：是由藍牙單元提供的1-16位（八進制）數字，可以固定或者由用戶選擇。一般來講，這個PIN碼是隨單元一起提供的一個固定數字。但當該單元有人機接口時，用戶可以任意選擇PIN的值，從而進入通信單元。藍牙基帶標準中要求PIN的值是可以改變的。 （3）鑒權字：是長度為128位的數字，用于系統的鑒