信息安全与技术课件09(清华大学).ppt

信息安全与技术 清华大学出版社 第9章无线网安全与防御技术 9 1无线网络安全概述及无线网络设备 9 1 1无线网络安全概述9 1 2无线网络设备 9 1 1无线网络安全概述 无线局域网 WirelessLocalAreaNetwork 即WLAN 是指以无线信道作传输媒介的计算机局域网 是有线联网方式的重要补充和延伸 并逐渐成为计算机网络中一个至关重要的组成部分 广泛适用于需要可移动数据处理或无法进行物理传输介质布线的领域 随着IEEE802 11无线网络标准的制定与发展 使无线网络技术更加成熟与完善 并已成功的广泛应用于众多行业 产品主要包括 无线接入点 无限网卡 无线路由器 无线网关 无线网桥等 近年来无线网络的应用却日渐增加 特别是当无线网络技术与Internet相结合时 其迸发出的能力是所有人都无法估计的 射频无线鼠标 WAP手机上网等都具有无线网络的特征 目前最为热门的三大无线技术是WiFi 蓝牙以及HomeRF 9 1 1无线网络安全概述 无限网络存在许多的安全性问题 主要表现在以下几个方面 所有常规有线网络存在的安全威胁和隐患都存在 外部人员可以通过无线网络绕过防火墙 对公司网络进行非授权存取 无线网络传输的信息没有加密或者加密很弱 易被窃取 窜改和插入 无线网络易被拒绝服务攻击 DOS 和干扰 内部员工可以设置无线网卡为P2P模式与外部员工连接 无线网络的安全产品相对较少 技术相对比较新 9 1 2无线网络设备 在无线局域网里 常见的设备有无线网卡 无线网桥 无线天线 AP接入点等 无线网卡 作用类似于以太网中的网卡 作为无线局域网的接口 实现与无线局域网的连接 无线网卡根据接口类型的不同 主要分为三种类型 即PCMCIA无线网卡 PCI无线网卡和USB无线网卡 AP接入点AP是英文ACCESSPOINT 它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问 在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信 9 1 2无线网络设备 无线网桥无线网桥顾名思义就是无线网络的桥接 它可在两个或多个网络之间搭起通信的桥梁 无线网桥亦是无线AP的一种分支 无线网桥除了具备上述有线网桥的基本特点之外 比其它有线网络设备更方便部署 无线天线当计算机与无线AP或其他计算机相距较远时 随着信号的减弱 或者传输速率明显下降 或者根本无法实现与AP或其他计算机之间通讯 此时 就必须借助于无线天线对所接收或发送的信号进行增益 放大 无线终端设备无线移动终端一般指的是用户直接使用并具有无线网络接入能力的数字终端 目前市面上主要有迅驰笔记本电脑 带有WLAN无线网卡的台式PC机 具有WLAN接入功能的手机 PDA等等 甚至现在还有带WLAN通信功能的摄像 监控设备 9 2无线局域网的标准 9 2 1IEEE的802 11标准系列9 2 2ETSI的HiperLan29 2 3HomeRF 9 2无线局域网的标准 目前国际上有三大标准家族 他们是美国IEEE802 11家族 欧洲ETSI高性能局域网HIPERLAN系列和日本ARIB移动多媒体接入通信MMAC 其它类似标准还有美国HomeRF共享无线接入协议SWAP 2003年5月 两项WLAN中国标准已正式颁布 这两项国家标准在原则采用IEEE802 11 802 11b系列标准前提下 在充分考虑和兼顾WLAN产品互连互通的基础上 针对WLAN的安全问题 给出了技术解决方案和规范要求 这里面 IEEE802 11系列标准是WLAN的主流标准 9 2 1IEEE的802 11标准系列 在1997年 经过了7年的工作以后 IEEE发布了802 11协议 这也是在无线局域网领域内的第一个国际上被认可的协议 在1999年9月 他们又提出了802 11b HighRate 协议 用来对802 11协议进行补充 802 11b在802 11的1Mbps和2Mbps速率下又增加了5 5Mbps和11Mbps两个新的网络吞吐速率 后来又演进到802 11g的54Mbps 直至今日802 11n的300Mbps以上 IEEE802 11标准是无线网络技术发展的一个里程碑IEEE802 11 WirelessFidelity Wi Fi 无线相容认证 标准定义物理层和媒体访问控制 MAC 规范 物理层定义了数据传输的信号特征和调制 定义了两个RF传输方法和一个红外线传输方法 RF传输标准是跳频扩频和直接序列扩频 工作在2 4000 2 4835GHz频段 IEEE802 11aIEEE802 11b802 11eIEEE802 11g802 11h802 11i 9 2 1IEEE的802 11标准系列 1 IEEE802 11工作方式802 11定义了两种类型的设备 一种是无线站 通常是通过一台PC机器加上一块无线网络接口卡构成的 另一个称为无线接入点 AccessPoint AP 它的作用是提供无线和有线网络之间的桥接 一个无线接入点通常由一个无线输出口和一个有线的网络接口 802 3接口 构成 桥接软件符合802 1d桥接协议 接入点就像是无线网络的一个无线基站 将多个无线的接入站聚合到有线的网络上 无线的终端可以是802 11PCMCIA卡 PCI接口 ISA接口的 或者是在非计算机终端上的嵌入式设备 例如802 11手机 802 11定义了两种模式 Infrastructure模式和Adhoc模式 在Infrastructure模式中 如图9 1 无线网络至少有一个和有线网络连接的无线接入点 还包括一系列无线的终端站 这种配置成为一个BSS BasicServiceSet基本服务集合 一个扩展服务集合 ESSExtendedServiceSet 是由两个或者多个BSS构成的一个单一子网 由于很多无线的使用者需要访问有线网络上的设备或服务 文件服务器 打印机 互联网链接 他们都会采用这种Infrastructure模式 9 2 1IEEE的802 11标准系列 2 IEEE802 11物理层在802 11最初定义的三个物理层包括了两个扩展频谱技术和一个红外传播规范 无线传输的频道定义在2 4GHz的ISM波段内 这个频段 在各个国家无线管理机构中 都是非注册使用频段 这样 使用802 11的客户端设备就不需要任何无线许可 扩展频谱技术保证了802 11的设备在这个频段上的可用性和可靠的吞吐量 这项技术还可以保证同其他使用同一频段的设备不互相影响 802 11无线标准定义的传输速率是1Mbps和2Mbps 可以使用跳频序列扩频技术 frequencyhoppingspreadspectrum FHSS 和直接序列扩频技术 directsequencespreadspectrum DSSS 需要指出的是 FHSS和DSSS技术在运行机制上是完全不同的 所以采用这两种技术的设备没有互操作性 9 2 1IEEE的802 11标准系列 3 802 11b的增强物理层802 11b在无线局域网协议中最大的贡献就在于它在802 11协议的物理层增加了两个新的速度 5 5Mbps和11Mbps 为了实现这个目标 DSSS被选作该标准的唯一的物理层传输技术 这是由于FHSS在不违反FCC原则的基础上无法再提高速度了 这个决定使得802 11b可以和1Mbps和2M的802 11bpsDSSS系统互操作 但是无法和1Mbps和2Mbps的FHSS系统一起工作 在802 11b标准中 一种更先进的编码技术被采用了 在这个编码技术中 抛弃了原有的11位Barker序列技术 而采用了CCK ComplementaryCodeKeying 技术 它的核心编码中有一个64个8位编码组成的集合 在这个集合中的数据有特殊的数学特性使得他们能够在经过干扰或者由于反射造成的多方接受问题后还能够被正确地互相区分 5 5Mbps使用CCK串来携带4位的数字信息 而11Mbps的速率使用CCK串来携带8位的数字信息 两个速率的传送都利用QPSK作为调制的手段 不过信号的调制速率为1 375MSps 这也是802 11b获得高速的机理 9 2 1IEEE的802 11标准系列 4 802 11数字链路层802 11的数据链路层由两个之层构成 逻辑链路层LLC LogicLinkControl 和媒体控制层MAC MediaAccessControl 802 11使用和802 2完全相同的LLC之层和802协议中的48位MAC地址 这使得无线和有线之间的桥接非常方便 但是MAC地址只对无线局域网唯一 9 2 2ETSI的HiperLan2 1 HiperLan2简介HiperLan是ETSI EuropeanTelecomStandardsInstitute 欧洲电信标准学会 的RES10工作组在1992年提出的一个WLAN标准 HiperLan2是它的后续版本 HiperLan2部分建立在GSM基础上 使用频段为5GHz 在物理层上HiperLan2和802 11a几乎完全相同 它采用OFDM技术 最大数据速率为54Mbps 实际应用吞吐率最低也能保持在20Mbps左右 为视频和话音一类的实时应用提供了新的途径 它和802 11a最大的不同是HiperLan2不是建立在以太网基础上的 而是采用的TDMA结构 形成是一个面向连接的网络 其传输结构能够对多种类型的网络基础结构 包括以太网 IP ATM和PPP 提供连接 而且对每一种连接都具有安全认证和加密功能 HiperLan2的面向连接的特性使它很容易满足QoS要求 可以为每个连接分配一个指定的QoS 确定这个连接在带宽 延迟 拥塞 比特错误率等方面的要求 这种QoS支持与高传输速率一起保证了不同的数据序列 如视频 话音和数据等 可以同时进行高速传输 将开辟诸如视频信号分配到家庭等多种全新的应用业务 9 2 2ETSI的HiperLan2 2 HIPERLAN2的主要特点第一是高速数据传输 第二是面向链接的机制 第三是QoS支持 第四是自动频率分配 第五是安全性支持 第六是移动性支持 第七是网络与应用的独立性 第八是节能管理 9 2 3HomeRF HomeRF工作组是由美国家用射员会领导 于1997年成立的 其主要工作任务是为家庭用户建立具有互操作性的话音和数据通信网 HomeRF无线标准是由HomeRF工作组开发的开放性行业标准 基于原始的802 11的FHSS版本 顾名思义 HomeRF是为家庭网络设计的 RFRadioFrequency意思是射频 是一种将家中的PC和用户电子设备之间实现无线数字通信的开放性工业标准 目的是在家庭范围内 使计算机与其他电子设备之间实现无线通信 它推出HomeRF的标准集成了语音和数据传送技术 工作频段为2 4GHz 数据传输速率达到100Mbit s 在WLAN的安全性方面主要考虑访问控制和加密技术 HomeRF的特点是安全可靠 成本低廉 简单易行 不受墙壁和楼层的影响 传输交互式语音数据采用TDMA技术 传输高速数据分组则采用CSMA CA技术 无线电干扰影响小 支持流媒体 但其推广一直不力 目前已基本退出历史舞台 9 3无线局域网安全协议 为解决无线局域网络安全问题 网络安全专家先后提出了有线等效保密 WiredEquivalentPrivacy WEP 方案 过渡期间的Wi Fi保护存取 Wi FiProtectedAccess WPA 标准和已成为新标准的802 11i 我国在2003年5月提出的无线局域网鉴别和保密基础结构 WLANAuthenticationandPrivacyInfrastructure WAPI 国家标准GB15629 11 现在 无线局域网络安全已经得到很大程度的改善 但是要真正构建端到端的安全无线网络依然任重道远 9 3无线局域网安全协议 9 3 1WEP协议9 3 2IEEE802 11i安全标准9 3 3WAPI协议 9 3 1WEP协议 1 WEP简介在1999年通过的IEEE802 11标准中的WEP WiredEquivalentPrivacy 协议是IEEE802 11b协议中最基本的无线安全加密措施 其主要用途包括提供接入控制 防止未授权用户访问网络 对数据进行加密 防止数据被攻击者窃听 防止数据被攻击者中途恶意纂改或伪造 此外 WEP也提供认证功能 当加密机制功能启用 客户端要尝试连接上AP时 AP会发出一个ChallengePacket给客户端 客户端再利用共享密钥将此值加密后送回存取点以进行认证比对 如果正确无误 才能获准存取网络的资源 AboveCable所有型号的AP都支持64位或 与 128位的静态WEP加密 有效地防止数据被窃听盗用 9 3 1WEP协议 2 WEP加密解密过程WEP为等效加密 即加密和解密的密钥相同 为了保护数据 WEP使用RCA算法来加密从无线接入点或者无线网卡发送出去的数据包 RCA是一个同步流式加密系统 这种加密机制将一个短密钥扩展成一个任意长度的伪随机密钥流 发送端再用这个生成的伪随机密钥流与报文进行异或运算 产生密文 接收端用相同的密钥产生同样的密钥流 并且用这个密钥流对密文进行异或运算得到原始报文 9 3 1WEP协议 WEP加密过程 9 3 1WEP协议 WEP解密过程 9 3 1WEP协议 3 WEP协议隐患由于WEP采用密钥长度可变的RC4流密码算法来保护数据传输 而在实际应用中 密钥经常基于用户所选择的密码 这就大大降低了密钥的安全有效长度 一些计算机专安全专家已经发现了危及WLAN安全的安全隐患 9 3 2IEEE802 11i安全标准 IEEE802 11的i工作组致力于制订被称为IEEE802 11i的新一代安全标准 这种安全标准为了增强WLAN的数据加密和认证性能 定义了RSN RobustSecurityNetwork 的概念 并且针对WEP加密机制的各种缺陷做了多方面的改进 IEEE802 11i规定使用802 1x认证和密钥管理方式 在数据加密方面 定义了TKIP TemporalKeyIntegrityProtocol CCMP Counter Mode CBC MACProtocol 和WRAP WirelessRobustAuthenticatedProtocol 三种加密机制 其中TKIP采用WEP机制里的RC4作为核心加密算法 可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的 CCMP机制基于AES AdvancedEncryptionStandard 加密算法和CCM Counter Mode CBC MAC 认证方式 使得WLAN的安全程度大大提高 是实现RSN的强制性要求 由于AES对硬件要求比较高 因此CCMP无法通过在现有设备的基础上进行升级实现 9 3 3WAPI协议 我国早在2003年5月份就提出了无线局域网国家标准GB15629 11 这是目前我国在这一领域惟一获得批准的协议 标准中包含了全新的WAPI WLANAuthenticationandPrivacyInfrastructure 安全机制 这种安全机制由WAI WLANAuthenticationInfrastructure 和WPI WLANPrivacyInfrastruc ture 两部分组成 WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密 WAPI能为用户的WLAN系统提供全面的安全保护 WAPI安全机制包括两个组成部分 WAI采用公开密钥密码体制 利用证书来对WLAN系统中的STA和AP进行认证 WAI定义了一种名为ASU AuthenticationServiceUnit 的实体 用于管理参与信息交换各方所需要的证书 包括证书的产生 颁发 吊销和更新 证书里面包含有证书颁发者 ASU 的公钥和签名以及证书持有者的公钥和签名 这里的签名采用的是WAPI特有的椭圆曲线数字签名算法 是网络设备的数字身份凭证 9 4无线网络主要信息安全技术 9 4 1服务集标识符 SSID 9 4 2802 11的认证机制9 4 3无线网卡物理地址 MAC 过滤9 4 4数据加密 9 4 1服务集标识符 SSID 服务集标识符SSID ServiceSetIdentifier 将一个无线局域网分为几个不同的子网络 每一个子网络都有其对应的身份标识 SSID 只有无线终端设置了配对的SSID才接入相应的子网络 防止未被授权的用户进入本网络 同时对资源的访问权限进行区别限制 SSID是相邻的无线接入点 AP 区分的标志 无线接入用户必须设定SSID才能和AP通信 通常SSID须事先设置于所有使用者的无线网卡及AP中 尝试连接到无线网络的系统在被允许进入之前必须提供SSID 这是唯一标识网络的字符串 所以可以认为SSID是一个简单的口令 提供了口令认证机制 实现了一定的安全性 但是SSID对于网络中所有用户都是相同的字符串 其安全性差 人们可以轻易地从每个信息包的明文里窃取到它 企业级无线应用绝不能只依赖这种技术做安全保障 而只能作为区分不同无线服务区的标识 9 4 2802 11的认证机制 1 802 1x认证技术802 1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案 基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证 如果认证失败 则禁止该设备访问LAN资源 尽管802 1x标准最初是为有线以太网设计制定的 但它也适用于符合802 11标准的无线局域网 且被视为是WLAN的一种增强性网络安全解决方案 802 1x体系结构包括三个主要的组件 请求方 Supplicant 提出认证申请的用户接入设备 在无线网络中 通常指待接入网络的无线客户机STA 认证方 Authenticator 允许客户机进行网络访问的实体 在无线网络中 通常指访问接入点AP 认证服务器 AuthenticationSever 为认证方提供认证服务的实体 认证服务器对请求方进行验证 然后告知认证方该请求者是否为授权用户 认证服务器可以是某个单独的服务器实体 也可以不是 后一种情况通常是将认证功能集成在认证方Authenticator中 9 4 2802 11的认证机制 共享密钥认证 客户端需要放送与接入点预存密钥匹配的密钥 他是可选的认证机制 802 11提供的共享密钥认证是单向认证 即只认证工作站的合法性 没有认证AP的合法性 共享密钥认证过程有4个步骤 1 客户端向接入点发送认证请求 2 接入点发回一个明文 3 客户端利用预存的密钥对明文加密 再次向接入点发出认证请求 4 接入点对数据包进行解密 比较明文 并决定是否接受请求 9 4 2802 11的认证机制 3 802 11认证机制的优点802 11认证技术的优点主要表现在以下几个方面 802 1x协议仅仅关注受控端口的打开与关闭 接入认证通过之后 IP数据包在二层普通MAC帧上传送 由于是采用Radius协议进行认证 所以可以很方便地与其他认证平台进行对接 提供基于用户的计费系统 9 4 2802 11的认证机制 4 802 11认证技术的缺点802 11认证技术的缺点主要表现在以下几个方面 只提供用户接入认证机制 没有提供认证成功之后的数据加密 一般只提供单向认证它提供STA与RADIUS服务器之间的认证 而不是与AP之间的认证用户的数据仍然是使用的RC4进行加密 9 4 3无线网卡物理地址 MAC 过滤 每个无线工作站网卡都由唯一的物理地址 MAC 标识 该物理地址编码方式类似于以太网物理地址 是48位 网络管理员可在无线局域网访问点AP中手工维护一组允许通过AP访问网络地址列表 以实现基于物理地址的访问过滤 MAC地址是每块网卡固定的物理地址 它在网卡出厂时就已经设定 MAC地址过滤的策略就是使无线路由器只允许部分MAC地址的网络设备进行通讯 或者禁止那些黑名单中的MAC地址访问 9 4 3无线网卡物理地址 MAC 过滤 MAC地址过滤的优点 简化了访问控制 可以接受或拒绝预先设定的用户 被过滤的MAC不能进行访问 提供了第2层的防护 但MAC地址过滤缺点 因为 这个方案要求AP中的MAC地址列表必需随时更新 可扩展性差 而且MAC地址在理论上可以伪造 因此这也是较低级别的授权认证 物理地址过滤属于硬件认证 而不是用户认证 这种方式要求AP中的MAC地址列表必需随时更新 目前都是手工操作 如果用户增加 则扩展能力很差 因此只适合于小型网络规模 9 4 4数据加密 1 连线对等保密 WEP 在链路层采用RC4对称加密技术 用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源 从而防止非授权用户的监听以及非法用户的访问 WEP提供了40位 有时也称为64位 和128位长度的密钥机制 但是它仍然存在许多缺陷 例如一个服务区内的所有用户都共享同一个密钥 一个用户丢失钥匙将使整个网络不安全 而且40位的钥匙在今天很容易被破解 钥匙是静态的 要手工维护 扩展能力差 目前为了提高安全性 建议采用128位加密钥匙 9 4 4数据加密 2 Wi Fi保护接入 WPA WPA Wi FiProtectedAccess 是继承了WEP基本原理而又解决了WEP缺点的一种新技术 由于加强了生成加密密钥的算法 因此即便收集到分组信息并对其进行解析 也几乎无法计算出通用密钥 其原理为根据通用密钥 配合表示电脑MAC地址和分组信息顺序号的编号 分别为每个分组信息生成不同的密钥 然后与WEP一样将此密钥用于RC4加密处理 通过这种处理 所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成 无论收集到多少这样的数据 要想破解出原始的通用密钥几乎是不可能的 WPA还追加了防止数据中途被篡改的功能和认证功能 由于具备这些功能 WEP中此前倍受指责的缺点得以全部解决 WPA不仅是一种比WEP更为强大的加密方法 而且有更为丰富的内涵 作为802 11i标准的子集 WPA包含了认证 加密和数据完整性校验三个组成部分 是一个完整的安全性方案 9 5无线网络的安全缺陷与解决方案 9 5 1无线网络的安全缺陷9 5 2无线网络的安全防范措施 9 5 1无线网络的安全缺陷 WLAN所面临的安全威胁主要有以下几类 1 网络窃听一般说来 大多数网络通信都是以明文 非加密 格式出现的 这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解 读取 通信 这类攻击是企业管理员面临的最大安全问题 如果没有基于加密的强有力的安全服务 数据就很容易在空气中传输时被他人读取并利用 2 AP中间人欺骗在没有足够的安全防范措施的情况下 是很容易受到利用非法AP进行的中间人欺骗攻击 解决这种攻击的通常做法是采用双向认证方法 即网络认证用户 同时用户也认证网络 和基于应用层的加密认证 如HTTPS WEB 3 WEP破解现在互联网上存在一些程序 能够捕捉位于AP信号覆盖区域内的数据包 收集到足够的WEP弱密钥加密的包 并进行分析以恢复WEP密钥 根据监听无线通信的机器速度 WLAN内发射信号的无线主机数量 以及由于802 11帧冲突引起的IV重发数量 最快可以在两个小时内攻破WEP密钥 9 5 1无线网络的安全缺陷 4 MAC地址欺骗即使AP起用了MAC地址过滤 使未授权的黑客的无线网卡不能连接AP 这并不意味着能阻止黑客进行无线信号侦听 通过某些软件分析截获的数据 能够获得AP允许通信的设备的MAC地址 这样黑客就能利用MAC地址伪装等手段入侵网络了 5 窃取网络资源有些用户喜欢从邻近的无线网络访问互联网 即使他们没有什么恶意企图 但仍会占用大量的网络带宽 严重影响网络性能 而更多的不速之客会利用这种连接从公司范围内发送邮件 或下载盗版内容 这会产生一些法律问题 9 5 2无线网络的安全防范措施 下面介绍几种对无线网络安全技术实现的措施 采用强力的密码 严禁广播服务集合标识符 SSID 采用有效的无线加密方式 可能的话 采用不同类型的加密 对介质访问控制 MAC 地址进行控制 关闭无线网络接口 对网络入侵者进行监控 确保核心的安全 9 5 2无线网络的安全防范措施 WLAN所面临的安全威胁主要有以下几类 1 网络窃听一般说来 大多数网络通信都是以明文 非加密 格式出现的 这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解 读取 通信 这类攻击是企业管理员面临的最大安全问题 如果没有基于加密的强有力的安全服务 数据就很容易在空气中传输时被他人读取并利用 2 AP中间人欺骗在没有足够的安全防范措施的情况下 是很容易受到利用非法AP进行的中间人欺骗攻击 解决这种攻击的通常做法是采用双向认证方法 即网络认证用户 同时用户也认证网络 和基于应用层的加密认证 如HTTPS WEB 3 WEP破解现在互联网上存在一些程序 能够捕捉位于AP信号覆盖区域内的数据包 收集到足够的WEP弱密钥加密的包 并进行分析以恢复WEP密钥 根据监听无线通信的机器速度 WLAN内发射信号的无线主机数量 以及由于802 11帧冲突引起的IV重发数量 最快可以在两个小时内攻破WEP密钥 9 5 2无线网络的安全防范措施 WLAN所面临的安全威胁主要有以下几类 1 网络窃听一般说来 大多数网络通信都是以明文 非加密 格式出现的 这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解 读取 通信 这类攻击是企业管理员面临的最大安全问题 如果没有基于加密的强有力的安全服务 数据就很容易在空气中传输时被他人读取并利用 2 AP中间人欺骗在没有足够的安全防范措施的情况下 是很容易受到利用非法AP进行的中间人欺骗