无线网络安全体系架构分析.doc

无线网络安全体系架构分析无线网络安全体系架构分析Aruba Networks Inc.2008.11目 录1.前言32.无线网络安全体系架构53.无线网络中的用户数据安全认证与加密63.1802.1x EAP认证73.2AESCCMP加密算法193.2.1WPA2 的加密功能193.2.2WPA2 临时密钥203.2.3WPA2 加密和解密过程213.3认证与加密的具体实现及其安全性分析273.3.1认证及加解密点的部署273.3.2终端设备合法性确认：314.无线网络安全深层次分析324.1用户分级策略管理324.2非法入侵的检测和防范334.2.1客户端非法入侵334.2.2非法和仿冒AP334.2.3无线终端Ad-hoc模式连接345.结束语361. 前言802.11无线网络在今天对于广大的网络用户来说已经不是什么新鲜事物了。由于其彻底解除了传统以太网线缆对用户接入的束缚，使用户能够更加便利地接入和使用网络（这有点类似于移动电话与传统固定电话的比较），因而可以大大提高企业员工的工作效率（据microsoft的一份内部调查显示，其员工普遍反映使用无线网络每周至少可节约5小时以上的工作时间）。而且显而易见，无线网络与传统的有线以太网络相比，无论是Capex（建设成本）还是Opex（运维成本）都具有巨大的优势。正是由于无线网络具有如此显著的优势，因此其诞生以来一直受到网络用户的关注和青睐。但是广大用户尤其是对网络安全非常重视的企业用户，在考虑使用无线网络时，普遍存在一种顾虑。即无线网络是否真的安全？这种顾虑正是基于无线网络的基本物理特征：无线网络是以电磁波来发送数据，其传输介质是围绕在我们周围的空气！这就意味着无线网络的传输介质是开放的。任何人在该电磁波的覆盖范围内均可以接收到无线网络发送的数据（只要拥有相应的无线设备）！而我们传统的网络安全体系是建立在这样一个基础之上：即网络传输介质（以太网端口及线缆）是受到企业的围墙和大门保护的。未经授权的人员从物理上就无法接入企业内部网络！所以，无线网络从我们传统的网络安全体系来说存在一个巨大的风险，即第三者可以监听网络数据！也可以尝试闯入我们的网络！那么无线网络技术如何来防范这种风险呢？答案便是采用认证和加密技术，对所有接入无线网络的用户进行身份认证，对所有无线网络数据进行加密。使第三者完全无法利用其监听到的数据，也无法闯入我们的网络（因为其无法通过认证获得网络连接）。正如我们在Internet网络上使用IPSec或SSL VPN技术一样。除了采用认证及加密技术来防范无线网络数据被非法窃听，在无线网络安全体系架构中还需要考虑一些更深层次的安全问题。如用户通过认证合法接入网络之后的安全权限管理、接入带宽管理及QoS管理。这也是目前在有线网络中令IT管理人员头痛不已，苦无良策的问题。此外在无线网络安全体系架构中还应该考虑到对伴随着无线网络技术的发展而出现的一系列针对无线网络的攻击、入侵行为的检测及防范。2. 无线网络安全体系架构首先无线安全防护体系应该是一个独立的安全防护体系，这个安全防护体系应该是根据无线网络特性而专门设计的完整体系结构。而不应该是用传统有线网络的安全防护手段及设备来解决无线网络中的安全问题。正如我们在前言中提到的，传统有线网络的安全体系架构是建立在对内部网络及用户的信任基础之上的。虽然随着不断发生的内部网络安全事件使IT管理人员意识到其实内部用户也并不是完全可信，但是要在本身就是以这种信任关系为基础的传统安全体系中解决该问题是相当困难的。因为我们传统的有线网络安全体系架构中还存在一个问题：在网络中我们只是基于网络层信息来进行网络安全策略的实施和管理，如vlan或IP子网地址，而没有用户的概念。虽然如今802.1x认证也可以部署在有线网络之中，但是绝大多数的实现也只是用于决定是否允许用户接入而已，若要利用认证来实现基于用户身份的安全策略分级管理则非常困难，因为这涉及到Radius授权、动态安全策略应用等一系列难题。普通的无线网络解决方案中同样存在上述问题。普通的无线安全防护体系通常只包括无线用户的认证和加密，用来解决在开放的空气介质中传输数据的安全问题。除此之外的所有安全问题都要依赖于有线网络来解决，而这对于有线网络安全体系来说更加困难。这对于那些对网络安全防护等级要求较高的用户，例如：银行，保险，证券等行业来说是不可接受的。一套严密的无线网络安全体系应该包括以下几个部分：1） 无线用户的认证：无线用户的认证可以保证只有合法用户接入网络，并可用于识别无线用户的不同登录身份；2） 无线数据加密：无线数据加密可以保证无线数据在空口传输过程中的数据安全；3） 基于用户身份的分级策略管理：结合用户认证身份实现与用户身份绑定的基于用户身份角色的状态防火墙安全策略，可以对通过认证的合法用户进行分级安全策略管理；4） 无线入侵防护：无线入侵防护可以保护无线网络不受外来的专门针对无线环境的攻击，使无线网络可以稳定可靠地运行。3. 无线网络中的用户数据安全认证与加密正如我们在前言中所看到的，802.11无线网络的物理特征决定了其不可能阻止未经授权的第三者监听网络数据，用户的接入也并不能受到企业围墙的大门的保护（因为电磁波的辐射可能会超出围墙范围）。因此802.11无线网络技术自诞生伊始便采用了用户数据加密和认证技术来保证无线网络的安全。诚然，在802.11无线网络技术的发展初期所采用的一些技术在后来的技术发展过程中被发现存在漏洞或者被破解。如众所周知的WEP静态密钥RC4弱加密算法，以及前段时间德国Darmstadt理工大学的博士生ErikTews与其同事MartinBeck所公布的对TKIP（对WEP进行了一定的改进，仍然采用RC4加密算法，但是引入了动态密钥机制）的破解方法。这些消息在一定程度上更加加剧了用户对802.11无线网络安全性的顾虑。但是我们从技术发展的角度来看，正是这些技术人员（通常我们称这种技术人员为黑客）对一些技术瑕疵的不断研究和探索，促进了该项技术本身的不断进步。在802.11无线网络领域也是如此，其实早在2004年6月24日，IEEE就公布了802.11i无线网络安全标准，引入了采用802.1x EAP认证及AESCCMP(Counter-Mode/CBC-MAC Protocol)加密算法。相应的Wi-Fi联盟无线网络标准为WPA2。如果无线网络用户真正关心安全并且按照该标准来实施自己的无线网络，其实完全不必为其安全担忧。我们只能说，真正的安全隐患来自于不恰当的设计和实施（很多用户至今仍然在使用WEP甚至根本未经加密的开放式无线网络）。下面我们来重点分析一下802.1x EAP认证及WPA2 AESCCMP(Counter-Mode/CBC-MAC Protocol)加密算法的安全性。3.1 802.1x EAP认证网络管理员和网络用户都关心网络访问权限和安全性。网络管理员希望确保请求访问网络的客户端确实是其本身是已授权用户而非冒名顶替的用户。而网络用户所希望的是当笔记本电脑连接到无线网络时，他确实连接到了自己的网络而不是由黑客建成，用于收集用户信息的假冒网络。对网络管理员和用户来说，他们最基本的需要是对网络的信任。在2004 年12月 13 日，IEEE 发布了 802.1X 标准“基于端口的网络访问控制”。 可以访问/getieee802/802.1.html 获取相关信息。802.1X 标准对于尝试连接到局域网的设备，提供了认证和授权的方法。防止认证和授权失败的用户访问局域网。由于无法将 WLAN 像有线网一样从物理上放到围墙后或用门锁上，这使他们更加容易受到攻击。无线局域网的管理员是第一批实施 802.1X 的人。现在 802.1X 的应用，已经扩展到有线网络，作为补充的安全措施。IEEE 802.1X 是在有线或无线局域网上传递 EAP 的标准。802.1X把 EAP 消息封装在以太网帧中。封装的 EAP 包被称为局域网上的 EAP 或 EAPOL (EAP Over LAN)。IEEE 802.1X 定义三个必要的角色完成认证交换。1. 认证者是网络设备（例如：接入点、交换机），希望在允许访问前增强认证。2. 请求者是网络终端设备（例如客户端 PC、PDA），正在请求访问。3. 认证服务器，典型的是 RADIUS 服务器，执行必要的认证功能，代替认证者检查请求者的认证证书，指示是否请求者已被授权访问认证者的服务。仅管一台设备可能既是认证者又是认证服务器，但通常情况下，它们都是独立的设备。独立的认证服务器最有效是当大多数的认证工作可以在被请求者（无线笔记本电脑）上实现时，认证服务器可以具有较小的处理能力和内存，节省成本。 以下是通过 802.1x 成功认证的典型过程。一旦请求者检测到已激活的链接，则启动本过程（例如笔记本电脑和接入点关联）。 现在存在许多版本的 EAP。他们的差别在于论证(challenge)过程的复杂性和安全性的不同。一些论证过程仅认证客户端，而其他论证则需要客户端和网络互相认证。一些论证要求对请求和响应加密。最常见的 EAP 类型是建立在交换机、路由器和操作系统上的，因为在这些环境中通常最容易实现。以下表格列出了与 802.1x 共同使用的一些常见的 EAP 类型。 以下是两个最常用 EAP 类型的认证过程举例：EAP-TLS和 PEAP-MSCHAP-V2。在第一个例子中，我们将添加无线局域网关联过程和 IP 地址解析过程，因为这些过程与认证过程都是最典型的客户端登录过程。 而在第二个例子中，由于这两个过程是相同的，所以我们将其略掉了。例 1：包含 EAP TLS 认证的 WLAN 登录过程802.11 关联过程 802.1X EAP-TLS 认证过程 ：由于在认证过程中使用数字证书，并以公钥/私钥非对称加密体系保护随后的密钥协商。因此认证交互过程及其后的无线网络数据交换具有完美的防窃听能力，不会将任何有用的信息泄露给非法窃听者。认证成功后的DHCP IP 地址解析过程 ：例 2：802.1X PEAP-MS-CHAP-V2 认证过程本例中，仅描述了PEAP-MS-CHAP-V2 认证过程。WLAN 关联和 DCHP 过程不变。PEAP-MS-CHAP-V2由于允许用户使用用户名/密码进行身份认证，因而较EAP-TLS更加易于实现。但是如何让用户安全地提交用户名/密码而不被第三者窃听到是一个首先要解决的问题。PEAP-MS-CHAP-V2采用了分两阶段认证的方法来解决这个问题。第一个阶段实际上是一次EAP-TLS认证过程，这样可以让通信双方安全地交换信息而不必担心被第三者窃听。只是在PEAP的实现中，允许客户以匿名身份完成第一阶段。这样就只有一件事情是未决的，就是只认证了服务器身份，而未认证客户的身份。与标准的EAP-TLS过程不同的是，PEAP第一阶段认证并不是以认证成功来结束，而是用在该阶段协商形成的密钥进行加密，进入一个全新的EAP会话，即第二阶段的认证。而第二阶段认证的核心思想就是让客户端在一个受加密保护的安全通道中提交认证。这样即便是采用了安全等级远低于数字证书的用户名/密码方法来认证客户端。PEAP仍然提供了很高的安全性，防止用户名/密码被窃听。总结：认证、证明身份的过程，是网络安全的基本途径。通过执行 IEEE 802.1X 认证，网络管理员能够有效控制对网络的访问。选择 EAP 类型时要考虑；有些 EAP 是为无线和有线局域网开发的，另一些只能用于其中一种网络。在对类型进行选择前，事先做一些研究，因为它们各自有自己的优势和不足。理解认证和登录相关的过程，将帮助您对用户访问问题进行故障诊断。同时，对新出现的安全问题保持关注是维持网络安全的最好的方法。3.2 AESCCMP加密算法IEEE 802.11i 标准用“高级加密标准”(AES) 的一种特定模式 -“计数器模式密码块链接消息身份验证代码”(CBC-MAC) 协议 (CCMP) 正式取代了原 IEEE 802.11 标准中的“有线对等保密”(WEP)。CCMP 既可以实现数据机密性（加密），又可以实现数据完整性。本文介绍了使用 AES CCMP 的 WPA2 实现的详细信息，此实现可对 802.11 无线帧进行加密、解密以及数据完整性验证。它使用 AES 块加密算法，密钥的长度限制为 128 位。AES-CCMP 结合了两种复杂的加密技术(counter mode 和 CBC-MAC)，从而在移动客端和 AP 之间提供一种健壮的安全协议。AES 自身是一种很健壮的加密算法，而且 counter mode可以使得窃听者难于监听，并且 CBC-MAC 信息完整性方法确保信息没有被篡改。 3.2.1 WPA2 的加密功能原有 IEEE 802.11 标准中的 WEP 存在加密弊端。下表说明了 WPA2 是如何解决这些弊端的。WEP 弊端WPA2 是如何解决这些弊端的初始化向量 (IV) 太短在 AES CCMP 中，IV 被替换为“数据包编号”字段，并且其大小将倍增至 48 位。不能保证数据完整性采用 WEP 加密的校验和计算已替换为可严格实现数据完整性的 AES CBC-MAC 算法。CBC-MAC 算法计算得出一个 128 位的值，然后 WPA2 使用高阶 64 位作为消息完整性代码 (MIC)。WPA2 采用 AES 计数器模式加密方式对 MIC 进行加密。使用主密钥而非派生密钥与 WPA 和“临时密钥完整性协议”(TKIP) 类似，AES CCMP 使用一组从主密钥和其他值派生的临时密钥。主密钥是从“可扩展身份验证协议-传输层安全性”(EAP-TLS) 或“受保护的 EAP”(PEAP) 802.1X 身份验证过程派生而来的。不重新生成密钥AES CCMP 自动重新生成密钥以派生新的临时密钥组。无重播保护AES CCMP 使用“数据包编号”字段作为计数器来提供重播保护。3.2.2 WPA2 临时密钥WEP 对单播数据加密使用单一密钥，对多播和广播数据加密通常分别使用单独的密钥，与 WEP 不同的是，WPA2 对各个无线客户端无线 AP 对（即成对临时密钥）使用由四个不同密钥构成的一组密钥，而对多播和广播通信量使用由两个不同密钥构成的一组密钥。用于单播数据和 EAP over LAN (EAPOL)-Key 消息的成对密钥组由下列密钥构成：数据加密密钥：用于加密单播帧的 128 位密钥。数据完整性密钥：用于计算单播帧 MIC 的 128 位密钥。EAPOL-Key 加密密钥：用于加密 EAPOL-Key 消息的 128 位密钥。EAPOL-Key 完整性密钥：用于计算 EAPOL-Key 消息 MIC 的 128 位密钥。WPA2 使用与 WPA 相同的四次握手进程派生成对临时密钥。3.2.3 WPA2 加密和解密过程AES CCMP 使用 CBC-MAC 来计算 MIC 和 AES 计数器模式以加密 802.11 有效负载和 MIC。为了计算 MIC 值，AES CBC-MAC 将使用下列过程：1.使用 AES 和数据完整性密钥加密第一个 128 位块。这将产生一个 128 位的结果 (Result1)。2.对 Result1 与正在进行 MIC 计算的后 128 位数据执行异或 (XOR) 操作。这将产生一个 128 位的结果 (XResult1)。3.使用 AES 和数据完整性密钥对 XResult1 进行加密。这将产生 Result2。4.对 Result2 与后 128 位数据执行 XOR。这将产生 XResult2。在步骤 3-4 中对数据的其余 128 位块重复同样操作。最终结果中的高阶 64 位即 WPA2 MIC。下图说明了 MIC 的计算过程。为了计算 IEEE 802.11 帧的 MIC，WPA2 将构造以下内容：第一个块是一个 128 位的块，将在本文后面对其进行介绍。MAC 报头是指 802.11 MAC 报头，其在传送过程中可进行更改的字段值被设置为 0。CCMP 报头 8 字节长，包含 48 位的“数据包编号”字段和其他字段。此外还增加了填充字节（设置为 0），以确保直至明文数据的整个数据块部分恰好为整数个 128 位块。数据是 802.11 有效负载的明文（未加密）部分。此外还增加了填充字节（设置为 0），以确保包括明文数据的 MIC 数据块部分恰好为整数个 128 位块。WPA2 的数据完整性与 WEP 和 WPA 的均不相同，它可同时为 802.11 报头（除可更改字段外）和 802.11 有效负载提供数据完整性。MIC 计算的第一个块由下列内容组成：“标志”字段（8 位）被设置为 01011001，它包含各种标志，如指出 802.11 帧中使用的 MIC 长为 64 位的标志。“优先级”字段（8 位）被设置为 0，留待今后使用。“源地址”（48 位）取自 802.11 MAC 报头。“数据包编号”（48 位）取自 CCMP 报头。明文数据的字节长度（16 位）。AES 计数器模式加密算法使用下列过程：1.使用 AES 和数据加密密钥加密第一个 128 位计数器。这将产生一个 128 位的结果 (Result1)。2.对 Result1 与正在进行加密的第一个 128 位块数据执行异或 (XOR) 操作。这将产生第一个 128 位加密块。3.增加计数器的值并使用 AES 和数据加密密钥对其进行加密。这将产生 Result2。4.对 Result2 与后 128 位数据执行 XOR。这将产生第二个 128 位加密块。AES 计数器模式对数据的其余 128 位块重复步骤 3-4，直到最后一个块为止。对于最后一个块，AES 计数器模式将对已加密的计数器与剩余的位执行 XOR 操作，从而产生与最后一个数据块长度相同的加密数据。下图说明了 AES 计数器模式过程。AES 计数器模式的第一个计数器值由下列内容组成：“标志”字段（8 位）被设置为 01011001，与用于 MIC 计算的“标志”值相同。“优先级”字段（8 位）被设置为 0，留待今后使用。“源地址”（48 位）取自 802.11 MAC 报头。“数据包编号”（48 位）取自 CCMP 报头。“计数器”字段（16 位）被设置为 1，并且仅当 802.11 有效负载被分为较小的有效负载时才会增加。请注意，此“计数器”字段与 AES 计数器模式加密算法中使用的 128 位计数器值不同。为了加密单播数据帧，WPA2 将使用下列过程：1.将第一个块、802.11 MAC 报头、CCMP 报头、数据长度和填充字段输入到 CBC-MAC 算法，同时输入数据完整性密钥以产生 MIC。2.将第一个计数器值与数据与计算的 MIC 数据组合输入到“AES 计数器”模式加密算法，同时输入数据加密密钥以产生加密数据和 MIC。3.将包含“数据包编号”的 CCMP 报头添加到 802.11 有效负载的加密部分，并使用 802.11 报头和报尾封装结果。下图说明了单播数据帧的 WPA2 加密过程。为了解密单播数据帧及验证数据完整性，WPA2 将使用下列过程：1.根据 802.11 和 CCMP 报头中的值确定第一个计数器值。2.将第一个计数器值和 802.11 有效负载的加密部分输入到 AES 计数器模式解密算法，同时输入数据加密密钥以产生加密数据和 MIC。在解密时，AES 计数器模式将对已加密的计数器值与已加密的数据块执行 XOR 操作，以产生解密数据块。3.将第一个块、802.11 MAC 报头、CCMP 报头、数据长度和填充字段输入到 AES CBC-MAC 算法，同时输入数据完整性密钥以计算 MIC。4.将 MIC 的计算值与解密后的 MIC 值进行比较。如果 MIC 值不匹配，WPA2 将自行丢弃该数据。如果 MIC 值匹配，WPA2 将把该数据传递到更高的网络层进行处理。下图说明了单播数据帧的 WPA2 解密过程。3.3 认证与加密的具体实现及其安全性分析802.11i无线网络安全体系架构本身是非常安全的。但是这并不意味着每一个具体的设计和实施方案就一定安全，并完全符合用户的预期。这里面主要存在两个问题：即认证及加解密点的部署和终端设备合法性的确认。3.3.1 认证及加解密点的部署在绝大多数的无线网络解决方案中，认证点及数据加解密均在AP上实施。这样存在两个明显的问题：其一是分散部署在网络边缘的AP很有可能被人盗走从而泄露相关的网络安全配置信息；其二是分散在每个AP上的独立加解密密钥为用户在AP间的漫游带来了很大的困难，有时用户在AP间漫游切换时甚至不得不重新认证从而丢失网络连接。针对这个问题，Aruba提供了一种更加安全和高效的解决方案，即将用户认证及数据加解密集中在网络中心的无线控制器上实施。这样不仅为用户提供了更加完善的端到端的安全保护，同时也使用户能够更加快速灵活地在多个AP之间漫游（这在企业级无线网络之中尤其当部署关键型业务应用时至关重要）。传统的AP分布式加密过程如下图所示：由于加解密点在AP上，而不是在后端的控制器上，因此加密数据在AP解密后，后续的传输没有安全保护。而Aruba解决方案中在无线控制器上中心加解密密过程如下图所示：由于加解密点不在AP上，而在后端的无线控制器上，因此整个加密过程，从无线终端，经过AP，穿越整个有线网络，一直到后端的无线控制器，整个路径都是安全的。另外，AP分布式加密还存在另一个严重的问题，即密钥的分发和管理。由于AP分布式加密的加解密点在AP上，因此密钥需要保存在AP上。理论上，每个AP都要保存所有无线用户的密钥。这将造成一下3个问题：1） 密钥的管理复杂；2） 无线用户漫游切换时间长；3） 存在安全隐患AP分布式加密的密钥管理入下图所示：而控制器中心加密可以很好地解决上述问题。控制器中心的密钥管理入下图所示：3.3.2 终端设备合法性确认：以上我们所提到的用户认证都是集中于用户身份的确认。但是在现实的企业网络环境中我们也需要确认接入网络的用户使用的合法的经过认证的终端设备。这一点在实施了AD域管理的用户网络中部署无线网络时可以通过在认证阶段强制实施机器认证实现。802.1x机器认证使用AD上计算机名及其SID来认证每一台接入网络的设备，确保每台终端都是加入了AD域的合法计算机。4. 无线网络安全深层次分析通过上一章的分析，我们已经看到按照802.11i标准构建的采用802.1x认证及AES-CCMP加密的WPA2网络是足以抵御部署在开放网络介质中所带来的信息泄露风险的。那么我们照此实施了无线网络部署之后是否就可以高枕无忧了呢？并不尽然，其实我们还是要考虑一些深层次的安全问题。4.1 用户分级策略管理在传统的网络安全体系架构中，用户接入网络之后，其在内部网络中的行为是基本不受控制的。因为我们的传统网络安全体系架构是建立在这样一个基本前提之上的：即对内部网络及其用户的信任。因此我们通常所采取的安全措施基本上都是为了防范外部入侵而设置的一些固定位置的安全检查点（如防火墙），而缺乏对内部用户安全权限的约束与管理。当然另一方面这也是由于在每个楼层交换机端口上实施这些管理策略太过困难，尽管现在很多用户已经考虑在有线网络中实施802.1x认证，以避免仅仅依靠为每个交换机端口静态划分vlan，然后在网络核心为每个vlan设定访问策略来实现安全管理策略（如果用户恰巧接入了一个错误的端口，那么这种静态的安全策略就完全无能为力了）。而且在有线网络中实施802.1x也得到很多交换机厂商的支持，但是绝大部分的实施都仅仅能够实现用户身份认证从而决定是否允许用户接入而已，为每个用户分配安全策略仍然是一件及其复杂的事情，而且需要多个系统的协调配合（如Radius服务器的授权）。与之相比，Aruba无线网络安全体系架构提供了一种基于用户身份角色来实施用户安全策略管理的方法。Aruba在其无线控制器上集成了经过ICSA（国际计算机安全联盟）认证的用户状态防火墙，并将其与无线网络用户认证相结合。从而可以灵活地为每个接入无线网络的用户分配身份角色并关联相应的安全策略、带宽策略及QoS策略。实现完全以用户为中心的、不依赖与网络层的用户安全策略管理。4.2 非法入侵的检测和防范4.2.1 客户端非法入侵今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当遭受到无线DOS攻击时，就会误以为是无线信号受干扰或AP出现不稳定情况。这些攻击导致正常用户的无线连接中断，但网管中心全然不知，间接影响无线网系统的品质。ARUBA 无线系统的特点是无线控制器由专有的网络处理器和加密处理器组成，且内置一个无线入侵检测模块，实时检测异常的无线数据