WLAN安全ppt课件

WLAN的安全 1 WLAN概述2 WLAN的安全需求3 WEP协议4 WAPI5 IEEE802 1X6 IEEE802 11i 1 1 WLAN概述 WLAN 就是无线局域网 其实就是IEEE802 11b的别称 是一种短程无线传输技术 能够在300米范围内支持互联网接入的无线电信号 随著技术的发展 以及IEEE802 11a及IEEE802 11g等标准的出现 现在IEEE802 11这个标准已被统称作Wi Fi 目前Wi Fi的最新标准是802 11n 802 11的不同标准可以使得WLAN的接入速率达到11M或54M 现在最新的802 11n理论速度是300Mbps 实测达到150Mbps 比3G的上网速度明显快 2 1 WLAN概述 WLAN的优点安装部署灵活性好 即插即用 接入方便自由移动应用前景广最有前景的Internet接入网技术之一到2005年 有超过80 的笔记本电脑配有WLAN接口ISP在机场 大型会议中心 商业中心 甚至咖啡店等热点场所提供WLAN接入 3 WLAN技术的发展进程 4 WLAN 蓝牙和3G 5 无线局域网关注点 802 11 无管理 MAC认证 WEP加密 无漫游 低速无线接入 802 11a b 简单配置管理 WPA认证TKIP加密 L2漫游 无线数据接入 802 11g 集中管理 射频环境管理 WPA认证802 11i加密 L2 L3漫游 语音 数据 视频无线接入 802 11n 更强大的全网管理 动态认证安全接入 任意位置接入 综合业务的无线承载 作为有线的简单补充 实现无线基本接入功能 1998年 2000年 2004年 未来 2M 54 11M 54M 600M 主要的接入层技术之一 扩展丰富增值业务功能 带宽 管理 安全 漫游 增值 规模应用 6 802 11网络的基本元素 BSS 能互相进行无线通信的STA可以组成一个BSS BasicServiceSet BSS是802 11网络的基本结构 1208E BSS1 1208E BSS2 STA1 STA2 STA3 STA5 STA6 STA4 7 802 11网络的基本元素 ESS ESS ExtendedServiceSet 是采用相同的SSID的多个BSS形成的更大规模的虚拟BSS DS ESS BSS2 AP2 Servicesetidentify SSID1 BSS1 AP1 Servicesetidentify SSID1 1208E 1208E 8 802 11网络的基本元素 SSID和BSSID AP1 AP2 BSSID1SSID SSID marketing SSID marketing ESS BSSID1SSID SSID是一个ESS的网络标识BSSID是一个BSS的标识 1208E 1208E 9 802 11组网模式 Adhoc 10 802 11组网模式 单一BSS 以太网 1208E 11 以太网 802 11组网模式 多个BSS 1208E 1208E 12 2 WLAN的安全需求 无线链路的安全缺陷物理信道的开放性网上涌现出相关的攻击软件除了信息的截取 还可以进行DoS攻击 对比有线网络 更易于攻击 甚至是物理层安全机制SSID ServiceSetIdentifier a32 character的唯一标识 Proberequest proberesponse beacon帧中包含SSID基于MAC的接入控制AP上具有可接入的MAC地址列表WEP 13 服务集标识符SSID过滤 无线工作站必须出示正确的SSID 与无线接入点AP的SSID相同 才能访问AP 如果出示的SSID与AP的SSID不同 则AP将拒绝他通过本服务区上网 因此SSID是一个简单的口令 从而提供口令认证机制 实现一定的安全保障 无线局域网接入点AP对此项技术的支持就是可不让AP广播其SSID号 这样无线工作站端必须主动提供正确SSID号才能与AP进行关联 14 15 3 WEP 无线对等保密 协议 接入认证 共享密钥认证保密性加密算法是可选的 Optional 基于RC4PRNG RSADataSecurityInc 发明 一个40 104bit密钥一个24bit的初始向量 IV 完整性校验ICV 使用CRC32 16 802 11的认证 基于WEP Opensystemauthentication开放系统认证是802 11的缺省设置 不进行认证Sharedkeyauthentication共享密钥认证使用一个共享的密钥 完成AP对接入点的认证 STA AP 认证请求 挑战码 128bytes 挑战码回应 确认成功 失败 工作站向AP发出认证请求AP收到初始认证帧之后 回应一个认证帧 其中包含128字节的挑战码工作站将挑战码植入认证帧 并用共享密钥对其加密 然后发送给APAP解密 并检查返回的挑战码是否相同 以次判断验证是否通过 17 802 11加密 WEP加密 STA AP 加密报文 IV值 IV 静态Key Key生成器 Key流 XOR 用户数据明文 发送的加密报文 IV 静态Key Key生成器 Key流 XOR 用户数据明文 接收的加密报文 1208E 18 WEP加密本身面临的威胁 暴力以及字典攻击法猜出使用者所选取的密钥已知或者猜测原文攻击法利用已知的部分明文信息和WEP重复使用IV的弱点解出其他加密包密钥弱点攻击法利用RC4决定密钥算法的漏洞CRC功能不可靠 它具有线性性质 可以轻易构造CRC CRC A B CRC A CRC B 19 从加密到安全 WEP够了吗 整个网络公用一个共享密钥 一旦丢失 整个网络都很危险IV向量太短 大量监听用户数据报文后 WEP加密很容易被破解RC4加密算法本身过于简单 解决办法 增加一种密钥管理机制采用更强壮的加密算法 20 802 11的安全增强 使用128 bitWEP密钥 这个已经被广泛应用 40bit的密钥安全性很差标准的密钥交换 exchange 和分发 distribution 802 11的共享密钥机制很不安全 可以用一系列协议来完成 例如RADIUS Kerberos SSL TLS和IPsec 使用带有密钥的MAC进行数据完整性校验 双向认证 抵抗中间人窃取数据或者会话劫持采用其他安全协议 21 4 WAPI 无线LAN认证和保密基础设施 WLANAuthenticationandPrivacyInfrastructure 是我国2003年5月发布的 由ISO IEC授权的IEEERegistrationAuthority审查获得认可无线LAN安全标准WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和对成密钥体制的分组密码算法 实现了设备的身份鉴别 链路验证 访问控制和用户信息在无线传输状态下的加密保护 22 5 IEEE802 1X Port BasedNetworkAccessControl基于端口网络接入控制ExtensibleauthenticationviaEAP可扩展的认证PPP的扩展 通用协议 支持多种认证 例如Kerberos one time password 证书等RFC2284Requiresclientsupport需要客户端的支持 23 802 1x标准简介 802 1x是基于端口的网络接入控制协议 它提供了一个认证过程框架 支持多种认证协议在802 1x中 不同的认证协议统一使用EAP封装格式 也就是说 802 1x只是对认证进行控制 是接入认证的手段 具体认证还需要其它认证协议 基于端口的网络接入控制 是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制 连接在端口上的用户设备如果能通过认证 就可以访问局域网中的资源 如果不能通过认证 则无法访问局域网中的资源 相当于物理连接被断开 EAP的类型包括 EAP MD5 最早的EAP认证类型 它是基于用户名 密码方式的认证 认证过程与CHAP认证过程基本相同 EAP TLS 是一种基于证书的认证方式 它是对用户端和认证服务器端进行双向证书认证的认证方式PEAP 是一种基于证书的认证方式 服务器侧采用证书认证 客户端侧采用用户名密码认证 5 IEEE802 1X 24 EAP ExtensibleAccessProtocol EAP最初设计用来PPP的接入认证但是被许多其他接入认证所使用WLAN IEEE802 1X Bluetooth IETFEAP工作组http www ietf org html charters eap charter html计费 授权EAP的组成很多Request Response对 由网络发出请求以EAP Request Identity请求开始以网络回应的EAP Success或EAP Failure而结束 25 EAP 802 1x融合EAP 即EAPOL WLAN中称做EAPOW 在申请者和近端认证AP之间运行 认证AP与远端认证服务器同样运行EAP协议 EAP帧中封装认证数据再将该协议承载在其他高层协议中 如RADIUS 以利于穿越多种网络到达认证服务器 成为EAPoverRADIUS 26 802 1x认证实体 LAN AuthenticatorPAE ServicesOfferedbyAuthenticator e gBridgeRelay Authenticator sSystem AuthenticationServer sSystem AuthenticationServer SupplicantPAE Supplicant sSystem 未受控端口 受控端口 MACEnable PortAuthorize PAE PortAccessEntity端口接入实体 27 6 IEEE802 11i 增加了Key的生成 管理以及传递的机制每用户使用独立的Key通过安全的传递方法传递用户数据加密使用的Key增加了两类对称加密算法 加密强度大大增强TKIP TKIP核心仍然是RC4算法 改进了WEP的某些缺陷 加强安全性CCMP 核心为AES算法 28 两个安全协议的对比 WEP TKIP IEEE802 11x EAP TKIP 29 VulnerabilityofUsingSSIDs SSIDcanbeobtainedbyeavesdropping 30 MACAddressFilteringinAPs 31 MACAddressAuthenticationVulnerabilities MACAddressSpoofingValidMACaddressescanbeobservedbyaprotocolanalyzer TheMACsofsomeWLANNICscanbeoverwritten 32 802 1x认证 EAP Ethernet EAPOL Start EAP Response Identity Radius Access Challenge EAP Response credentials Accessbloc