无线局域网安全防护机制.ppt

无线局域网安全分析与防护,第3章无线局域网安全防护机制,无线局域网安全技术,1无线局域网的安全问题2无线局域网安全技术,3.1无线局域网的安全问题,物理安全无线设备包括站点（STA）和接入点（AP）。站点通常由一台PC机或笔记本电脑加上一块无线网络接口卡构成；接入点通常由一个无线输出口和一个有线的网络接口构成，其作用是提供无线和有线网络之间的桥接。物理安全是关于这些无线设备自身的安全问题，主要表现在：无线设备存在许多的限制，这将对存储在这些设备的数据和设备间建立的通信链路安全产生潜在的影响。与个人计算机相比，无线设备如个人数字助理等，存在如电池寿命短、显示器小等缺陷。无线设备虽有一定的保护措施，但这些保护措施总是基于最小信息保护需求的。因此，必须加强无线设备的各种防护措施。,3.1无线局域网的安全问题,2.存在的威胁由无线局域网的传输介质的特殊性，使得信息在传输过程中具有更多的不确定性，受到影响更大，主要表现在：窃听。任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听，但是发送者和预期的接收者无法知道传输是否被窃听，且无法检测窃听。修改替换。在无线局域网中，较强节点可以屏蔽较弱节点，用自已的数据取代，甚至会代替其他节点作出反应。传递信任。当公司网络包括一部分无线局域网时，就会为攻击者提供一个不需要物理安装的接口用于网络入侵。因此，参与通信的双方都应该能相互认证。,3.1无线网络面临的安全问题,基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。但是针对这种攻击进行的保护几乎是不可能的，所能做的就是尽可能地降低破坏所造成的损失。拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击，攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行，从而导致正常的用户无法使用网络。置信攻击。通常情况下，攻击者可以将自己伪造成基站。当攻击者拥有一个很强的发送设备时，就可以让移动设备尝试登录到他的网络，通过分析窃取密钥和口令，以便发动针对性的攻击。,无线网络的安全目标,1）提供接入控制2）确保连接的保密与完好3）防止拒绝服务攻击（DoS）,3.2无线局域网安全技术,服务集标识符（SSID）无线网卡物理地址（MAC）过滤有线等价保密（WEP）端口访问控制技术和可扩展认证协议（EAP）WPA（Wi-Fi保护访问）技术高级无线安全标准IEEE802.11i,3.2无线局域网安全技术,1.服务集标识符（SSID）服务集标识符（SSID）技术将一个无线局域网分为几个需要不同身份验证的子网，每一个子网都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络，同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点（AP）区分的标志，无线接入用户必须设定SSID才能和AP通信。通常SSID须事先设置于所有使用者的无线网卡及AP中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID，这是唯一标识网络的字符串。但是SSID对于网络中所有用户都是相同的字符串，其安全性差，人们可以轻易地从每个信息包的明文里窃取到它。,服务集标识符（SSID）,3.2无线局域网安全技术,3.有线对等保密有线等效保密（WEP）是常见的资料加密措施，WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术，当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP的工作原理是通过一组64（40）位或128位的密钥作为认证口令，当WEP功能启动时，每台工作站都使用这个密钥，将准备传输的资料加密运算形成新的资料，并透过无线电波传送，另一工作站在接收到资料时，也利用同一组密钥来确认资料并做解码动作，以获得原始资料。,WEP加密和解密过程,WEP是WiredEquivalentPrivacy的简称，有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。不过密码分析学家已经找出WEP好几个弱点，因此在2003年被Wi-FiProtectedAccess(WPA)淘汰，又在2004年由完整的IEEE802.11i标准（又称为WPA2）所取代。WEP虽然有些弱点，但也足以吓阻非专业人士的窥探了。,WEP,经由无线电波的WLAN没有同样的物理结构，因此容易受到攻击、干扰。WEP的目标就是通过对无线电波里的数据加密提供安全性，如同端-端发送一样。WEP特性里使用了rsa数据安全性公司开发的rc4ping算法。如果你的无线基站支持MAC过滤，推荐你连同WEP一起使用这个特性(MAC过滤比加密安全得多)。,WEP有2种认证方式：开放式系统认证（opensystemauthentication）和共有键认证（sharedkeyauthentication）。开放式系统认证：顾名思义，就是开放型的认证方式，只要密码正确即可。共有键认证：客户端需要放送与接入点预存密钥匹配的密钥。,共有键认证一共有4个步骤1.客户端向接入点发送认证请求。2.接入点发回一个明文。3.客户端利用预存的密钥对明文加密，再次向接入点发出认证请求。4.接入点对数据包进行解密，比较明文，并决定是否接受请求。综上所述，共有键认证的安全性高于开放式系统认证，但是就目前的技术而言，完全可以无视这种认证。,3.2无线局域网安全技术有线等效保密（WEP）,WEP目的是向无线局域网提供与有线网络相同级别的安全保护，它用于保障无线通信信号的安全，即保密性和完整性。但WEP提供了40位长度的密钥机制存在许多缺陷，表现在：40位的密钥现在很容易破解。密钥是手工输入与维护，更换密钥费时和困难，密钥通常长时间使用而很少更换，若一个用户丢失密钥，则将危及到整个网络。WEP标准支持每个信息包的加密功能，但不支持对每个信息包的验证。许多WEP系统要求钥匙得用十六进制格式指定，有些用户会选择在有限的0-9A-F的十六进制字符集中可以拼成英文词的钥匙，如C0DEC0DEC0DEC0DE，这种钥匙很容易被猜出来。在2005年，美国联邦调查局的一组人展示了用公开可得的工具可以在三分钟内破解一个用WEP保护的网络。,对WEP安全问题的对策,对WEP安全问题最广为推荐的解法是换到WPA或WPA2，不论哪个都比WEP安全。另一种方案是用某种穿隧协定，如IPsec。,3.2用户认证机制,无线网络中身份识别的方式有三种：开放系统认证封闭系统认证共享密钥认证分两大类：无加密认证、加密认证,3.2用户认证机制,无加密认证：主要以SSID作为最基本的认证方式，又分为两种：开放系统认证只要搜索到无线AP的SSID，就能连接进去。封闭系统认证只有知道网络名称SSID的才能进入。弊病？,3.2用户认证机制,加密认证：共享密钥认证缺点？,3.3访问控制列表,另一个保证安全的机制是基于用户网卡MAC地址。AP拒绝MAC地址不在列表中的站点接入，并可用来限制网络中的用户数。优点：简单、易行,3.3访问控制列表,物理地址过滤每个无线工作站的网卡都有唯一的物理地址，可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单，MAC地址不在清单中的用户，接入点将拒绝其接入请求。但媒体访问控制只适合于小型网络规模。这是因为：MAC地址在网上是明码模式传送，只要监听网络便可从中截取或盗用该MAC地址，进而伪装使用者潜入企业或组织内部偷取机密资料。部分无线网卡允许通过软件来更改其MAC地址，可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址，因此可通过访问控制的检查而获取访问受保护网络的权限。媒体访问控制属于硬件认证，而不是用户认证。,物理地址过滤,3.4密钥管理,IEEE802.11并没有严格的密钥管理。方法：1.提供4个密钥窗口，终端或AP能使用其中任意一个作为密钥2.密钥映射表：每个MAC地址有一个单独的密钥缺点：手动变更密钥十分麻烦。解决方法：第三方方案，使用额外安全机制（如SSL）、双因子身份验证等,3.5IEEE802.1x认证技术,IEEE在2001正式颁布了IEEE802.1x标准，用于基于以太的局域网、城域网和各种宽带接入手段的用户/设备接入认证。这种认证采用基于以太网端口的用户访问控制技术，只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接、网络层路由、Internet接入等业务)，既可以克服PPPoE方式的诸多问题，又避免了引入集中式宽带接入服务器所带来的巨大投资。,802.1x,端口访问控制技术(802.1x)是由IEEE定义的，用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权，可以用于局域网，也可以用于城域网。802.1x引入了PPP协议定义的扩展认证协议EAP。EAP采用更多的认证机制，如MD5、一次性口令等等，从而提供更高级别的安全。802.1x是运行在无线网设备关联，其认证层次包括两方面：客户端到认证端，认证端到认证服务器。802.1x定义客户端到认证端采用EAPoverLAN协议，认证端到认证服务器采用EAPoverRADIUS协议。,802.1x,802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。,802.1x,802.1x要求无线工作站安装802.1x客户端软件，无线访问站点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。但是802.1x采用的用户认证信息仅仅是用户名与口令，在存储、使用和认证信息传递中可能泄漏、丢失，存在很大安全隐患。加上无线接入点AP与RADIUS服务器之间用于认认证的共享密钥是静态的，且是手工管理，也存在一定的安全隐患。,无线局域网安全技术,4.Wi-Fi保护接入Wi-Fi保护性接入（WPA）是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。WPA标准采用了TKIP、EAP和802.1X等技术，在保持Wi-Fi认证产品硬件可用性的基础上，解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。,EAP身份验证方法,使用可扩展的身份验证协议(EAP)，任意身份验证机制都可以对远程访问连接进行身份验证。通过远程VPN客户端和验证程序（ISA服务器或RADIUS服务器）协商要使用的确切身份验证方案。ISA服务器包括默认情况下支持MessageDigest5Challenge(MD5-Challenge)和EAP-TransportLevelSecurity(EAP-TLS)。,EAP,EAP允许远程VPN客户端和验证程序之间进行开端对话。对话由对身份验证信息的验证程序请求和远程VPN客户端的响应组成。例如，当EAP与安全标记卡一起使用时，验证程序可以单独查询远程访问客户端的名称、PIN和卡标记值。经过提问和回答一轮查询之后，远程访问客户端将通过身份验证的另一个级别。正确回答所有问题之后，将对远程访问客户端进行身份验证。特定的EAP身份验证方案称为EAP类型。远程访问客户端和验证程序必须支持相同的EAP类型才能成功进行身份验证。,3.2无线网络的安全技术,5.国家标准WAPI国家标准WAPI（WAPI），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。WAPI的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端（MT）与无线接入点（AP）间双向鉴别。另外，它充分考虑了市场应用，从应用模式上可分为单点式和集中式。采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状，从而根本上解决安全和兼容性问题。,3.2无线网络的安全技术,7.虚拟专用网络虚拟专用网络（VPN，VirtualPrivateNet