无线局域网设计与实现 第七章 无线局.ppt

无线局域网 WLAN 设计与实现第七章无线局域网安全 内容概要 无线局域网安全的严峻挑战无线局域网基本的安全措施无线局域网的安全技术 一无线局域网安全的严峻挑战 1 无线局域网安全的现状2 无线局域网的常见攻击方式 1 无线局域网安全的现状 无线局域网安全问题的独特之处在于信道开放 用户不必与网络进行 可视 的连接 这使攻击者伪装合法用户更加容易 同时微波信号在空气中传播也会因多种原因导致信号损失 目前 无线局域网络产品主要采用的是IEEE802 11b国际标准 大多应用DSSS直接序列扩频通信技术进行数据传输 该技术能有效防止数据在无线传输过程中丢失 干扰 信息阻塞及破坏等问题 2 无线局域网的常见攻击方式 1 窃听2 非法登录3 干扰攻击 1 窃听 窃听是无线局域网被动攻击的有效类型 在网络上窃取数据又称为嗅探 无线网络中无线信道的开放性给网络嗅探带来极大方便 在无线局域网中网络嗅探对信息安全的威胁来自被动性和非干扰性 执行监听程序的窃听过程中只是被动的接收网络中传输的信息 不会跟其他的主机交换信息 也不修改在网络中传输的信息包 使网络嗅探具有很强的隐蔽性 让网络信息失密变得不容易发现 2 非法登录 无线局域网的非法登录过程是通过一个无线接入点AP连接到一个无线局域网上 主动攻击 一个用户为了更深入地穿透或进入一个网络 或为了获取对于服务器的访问 以得到有价值的数据 或为了恶意的目的使用公司的Internet访问 甚至改变网络的界面配置 改变无线局域网自身 例如 一个黑客可以通过设定的MAC地址过滤实施恶意攻击 3 干扰攻击 干扰攻击会让无线局域网瘫痪 黑客使用高功率的微波信号发送器或扫描发送器实施有目的的干扰攻击 一个不可移除和没有恶意的源头对无线局域网的干扰 黑客使用另外一个无线接入点AP构建新的无线局域网 通过发送比合法无线接入点更高的信号 有效抢夺移动工作站 二无线局域网基本的安全措施 1 信息过滤措施2 访问认证机制3 数据加密 1 信息过滤措施 信息过滤是能够使用的基本的安全机制 常用的信息过滤机制有 物理地址MAC过滤服务集标识符SSID过滤协议端口过滤前两种用于简单的无线接入点AP 是早期无线局域网最主要的安全措施 第三种是建立在路由的基础上 1 物理地址MAC过滤 每个无线工作站网卡都由惟一的物理地址 MAC 地址标示 网络管理员可在无线接入点AP中手工维护一组允许访问或不允许访问的MAC地址列表 以实现物理地址的访问过滤 若企业中的AP数量太多 为实现整个企业中所有AP统一的无线网卡MAC地址认证 现在的AP也支持无线网卡MAC地址的集中远程接入拨号用户Radius认证 MAC过滤的缺陷 物理地址过滤属于硬件认证 而非用户认证 要求AP中的MAC地址控制表需随时更新 并是手工操作 若用户增加 可扩展性差 只适用于小型网络 MAC地址可被盗用或非法伪造 获取对无线局域网的非法访问 是较低级别的授权认证 2 服务集标识符SSID过滤 无线工作站必须出示正确的SSID 与无线接入点AP的SSID相同 才能访问AP 如果出示的SSID与AP的SSID不同 则AP将拒绝他通过本服务区上网 因此SSID是一个简单的口令 从而提供口令认证机制 实现一定的安全保障 无线局域网接入点AP对此项技术的支持就是可不让AP广播其SSID号 这样无线工作站端必须主动提供正确SSID号才能与AP进行关联 3 协议端口过滤 协议端口过滤是无线局域设备中比较高级的一种安全机制 无线局域网能够过滤通过网络传输基于2 7层协议的数据包 过滤出每一个协议和任何直接的信息协议 可限制用户使用某些功能 设置协议过滤 控制共享介质的使用方面非常有效 2 IEEE802 11安全机制 IEEE802 11标准规定的无线局域网连接过程有4个步骤 扫描 连接 链路验证和关联 通常 无线客户端会扫描整个周围环境寻找适合接入的无线接入点 实现数据传输时 无线局域网要求一定的安全机制作为保障 IEEE802 11标准规定的安全机制访问认证机制数据加密机制 有线等效加密WEP 访问认证机制 访问认证是无线局域网中一个工作站向另一个工作站或无线接入点AP证明其身份的机制 IEEE802 11标准中定义了两种类型的用户访问认证机制 1 开放式验证 2 共享密钥验证 1 开放式验证 开放式验证是无线局域网设备的默认状态 使用该验证方法 一个无线客户端仅有一个正确的SSID就可以关联任何使用开放式系统验证的无线接入点AP 验证过程如下 无线局域网的无线客户端请求到要关联的无线接入点 无线接入点对于无线客户端的鉴别响应 2 共享密钥验证 共享密钥验证要求双方必须有一个公共密钥 这个过程只能在使用WEP机制的工作站之间进行 避免明文传输 使用共享密钥验证的鉴别过程如下 无线客户端向无线接入点发送验证请求 无线接入点发布一个随机产生的无格式的文本 从无线接入点清晰地发送到无线客户端 无线客户端响应这个请求 并使用自身的密钥加密该请求 将其发回无线接入点 无线接入点解释明白无线客户端的加密响应 识别通过一个匹配的WEP的密钥加密请求文本 访问认证的状态关系 状态1 未验证 未关联 状态2 已验证 未关联 状态3 已验证 已关联 解除链路验证 解除关联 链路验证成功 关联或重新关联成功 解除链路验证 验证结束 1类帧 1类 2类帧 1类 2类 3类帧 数据加密机制WEP 有线等效保密WEP协议用于在无线局域网中保护链路层数据 WEP使用64位密钥或128位密钥 采用RSA开发的RC4对称加密算法 在链路层加密数据 WEP加密采用静态的密钥 各WLAN终端使用相同的密钥访问无线网络 WEP也提供认证功能 当加密机制功能启用 客户端要尝试连接AP时 AP会发出一个ChallengePacket给客户端 客户端再利用共享密钥将此值加密后送回存取点以进行认证比对 只有正确无误 才能获准存取网络的资源 WEP机制的缺陷 只验证无线客户端设备 缺乏使用者身份验证机制采用静态密钥 缺乏动态的数据加密 三无线局域网安全技术 1 IEEE802 1x协议 WEP EAP 2 IEEE802 1i协议 WAP 3 无线局域网鉴别与保密基础结构WAPI4 VPN安全解决方案 1 IEEE802 1x协议 端口访问技术802 1x协议是一种局域网接入控制协议 主要解决无线局域网用户的接入验证问题 它是WLAN的一种增强性网络安全解决方案 当无线客户端与无线接入点AP关联后 是否可以使用AP的服务要取决于802 1x的认证结果 如果认证通过 则AP为无线工作站打开这个逻辑端口 否则不允许用户上网 802 1x要求无线客户端安装802 1x客户端软件 无线接入点要内嵌802 1x认证代理 同时它还作为远程接入拨号用户Radius客户端 将用户的认证信息转发给Radius服务器 IEEE802 1x协议的三要素 客户端 服务请求者 一般安装在用户的工作站上 当用户有上网需求时 激活客户端程序 输入必要的用户名和口令 客户端程序将会送出连接请求 认证系统 验证者 一般是无线接入点AP 也是网络节点 其主要作用是完成用户认证信息的上传 下达工作 并根据认证的结果打开或关闭端口 认证服务器 验证服务者 通过检验客户端发送来的身份标识 用户名和口令 来判别用户是否有权使用网络系统提供的网络服务 并根据认证结果向交换机发出打开或保持端口关闭的状态 IEEE802 1x协议工作过程 要求验证 验证结果 提供验证资料 根据检验结果决定是否提供服务 可扩展验证协议EAP 802 1x融合EAP 即EAPOL WLAN中称做EAPOW 在申请者和近端认证AP之间运行 认证AP与远端认证服务器同样运行EAP协议 EAP帧中封装认证数据再将该协议承载在其他高层协议中 如RADIUS 以利于穿越多种网络到达认证服务器 成为EAPoverRADIUS EAP认证的优点 EAP认证对IEEE802 11标准起到三方面改进 双向认证机制 有效地消除了中间人攻击 MITM 如假冒的AP和远端认证服务器 集中化认证管理和动态分配加密密钥机制 解决了管理上的难度 WEP使用RC4给网络里的所有AP和客户分发静态密钥很繁琐 每一次无线设备丢失 网络必须重新配置密钥以防止非法用户利用丢失的设备进行非法登录 能够定义集中策略控制 当会话超时时将触发重新认证和生成新的密钥 IEEE802 1x协议的优点 802 1x认证的突出优点就是实现简单 认证效率高 安全可靠 无需多业务网管设备 就能保证IP网络的无缝相连 同时消除了网络认证计费瓶颈和单点故障 解决了采用多业务网关 不便于视频业务开展的难题 在二层网络上实现用户认证 大大降低了整个网络的建网成本 2 IEEE802 11i安全标准 该标准增强了WLAN的数据加密和认证性能 并且针对WEP加密机制的各种缺陷做了多方面的改进 增强了无线局域网的鉴别性能和数据加密 两个安全协议的对比 WEP TKIP IEEE802 11x EAP TKIP IEEE802 11i主要内容 Wi Fi保护接入 WPA 健全的安全网络RSN Wi Fi保护接入 WPA WPA在IEEE802 11i标准确定前是代替WEP的无线安全标准协议 WPA是IEEE802 11i的一个子集 其核心就是IEEE802 1x和暂时密钥完整协议TKIP WPA采用新的加密算法以及用户认证机制 加强了生成加密密钥的算法 即使黑客收集到分组信息并对其进行解析 也几乎无法计算出通用密钥 解决了WEP破解容易的缺点 WPA不能向后兼容某些遗留设备和操作系统 如果无线局域网没有运行WPA和加快该协议处理速度的硬件 WPA将降低网络性能 WPA2 WPA2是Wi Fi联盟发布的第二代WPA标准 WPA2与后来发布的802 11i具有类似的特性 它们最重要的共性是预验证 即在用户对延迟毫无察觉的情况下实现安全快速漫游 同时采用CCMP加密包来替代TKIP 健全的安全网络RSN RSN是接入点与移动设备之间的动态协商认证和加密算法 802 11i的认证方案是基于802 1x和EAP 加密算法是AES 动态协商认证和加密算法使RSN可以与最新的安全水平保持同步 不断提供保护无线局域网传输信息所需要的安全性 与WEP和WPA相比 RSN更可靠 但RSN不能很好地在遗留设备上运行 3 国家标准GR15629 11WAPI WAPI即无线局域网鉴别与保密基础结构 它针对IEEE802 11中WEP协议安全问题 是2003年在中国无线局域网国家标准GB15629 11中提出的WLAN安全解决方案 同时 本方案已由ISO IEC授权的机构IEEE注册权威机构审查并获得认可 分配了用于WAPI协议的以太类型字段 这也是我国目前在该领域惟一获得批准的协议 WAPI的特点 采用基于公钥密码体系的证书机制 真正实现了移动终端 MT 与无线接入点 AP 间双向鉴别 用户只要安装一张证书就可在覆盖WLAN的不同地区漫游 方便用户使用 AP设置好证书后 无须再对后台服务器进行设置 安装 组网便捷 易于扩展 支持Windows98 2K XP Linux等操作系统 提供与现有计费技术兼容的服务 可实现按时计费 按流量计费 包月等多种计费方式 满足家庭 企业 运营商等多种应用模式 在不同场合应用形式相同 使用方便 用户易接受 WAPI的组成 无线局域网鉴别基础结构WAI无线局域网保密基础结构WPI其中 WAI采用基于椭圆曲线的公钥证书体制 无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别 而在对传输数据的保密方面 WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密 充分保障了数据传输的安全 VPN安全解决方案 VPN是指在一个公共IP网络平台上通过隧道极其加密技术保证专用数据的网络安全性 VPN可以替代连线对等加密解决方案以及物理地址过滤解决方案 采用VPN技术的另外一个好处就是可以提供基于Radius的用户认证以