无线局域啊、网络安全

1、1. 无线局域网的安全保障自从无线局域网诞生之日起，安全性隐患与其灵活便捷的优势就一直共存，安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性，IEEE 802.11系列标准从多个层次定义了安全性控制手段。1.1 SSID访问控制服务集标识符(Service Set Identifier，SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID，也称业务组标识符，是一个WLAN的标识码，相当于有线局域网的工作组（WORKGROUP）。无线工作站只有出示正确的SSID才能接入WLAN，因此可以认为SSID是一个简单的口令，通过对AP点和网

2、卡设置复杂的SSID（服务集标识符），并根据需求确定是否需要漫游来确定是否需要MAC地址绑定，同时禁止AP向外广播SSID。严格来说SSID不属于安全机制，只不过，可以用它作为一种实现访问控制的手段。1.2 MAC地址过滤MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件认证，而不是用户认证。MAC地址过滤这种很常用的接入控制技术，在运营商铺设的有线网络中也经常使用，即只允许合法的MAC地址终端接入网络。用无线局域网中，AP只允许合法的MAC地址终端接入BSS，从而避免了非法用户的接入。这种方式要求AP中的MAC地址列表必须及时更新，但是目前都是通过手工操作完成，因此

3、扩展能力差，只适合小型网络规模，同时这种方法的效率也会随着终端数目的增加而降低。1.3 802.11的认证服务802.11站点（AP或工作站）在与另一个站点通信之前都必须进行认证服务，两个站点能否通过认证是能否相互通信的根据。802.11标准定义了两种认证服务：开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保密协议（Wires Equivalent Privacy，WEP）。2.WLAN安全的增强性技术随着WLAN应用的进一步发展，802.11规定的安全方案难以满足高端用户的需求。为了推进WLAN的发展和应用，业界积极研究，开发了很多增强WLAN安全性的方法。2.1 80

4、2.1x扩展认证协议IEEE 802.1x使用标准安全协议（如RADIUS）提供集中的用户标识、身份验证、动态密钥管理。基于802.1x认证体系结构，其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此执行下，作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身 份验证，并且为会话生成唯一密钥。然后，客户机与AP激活WEP，利

5、用密钥进行通信。为了进一步提高安全性，IEEE 802.1x扩展认证协议采用了WEP2算法，即将启动源密钥由64位提升为128位。移动节点可被要求周期性地重新认证以保持一定的安全级。2.2WPA保护机制Wi-Fi Protected Access（WPA，Wi-Fi保护访问）是Wi-Fi联盟提出的一种新的安全方式，以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制，方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。(1) 认证WPA要求用户必须提供某种形式的证据来证明它是合法用户，才能拥有对某些网络资源的访问权，并且这是是强制性的。WPA的

6、认证分为两种：第一种采用802.1x+EAP（Extensible Authentication Protocol）的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器来实现。另一种为WPA预共享密钥方式，要求在每个无线局域网节点（AP、STA等）预先输入一个密钥，只要密钥吻合就可以获得无线局域网的访问权。(2) 加密WPA采用TKIP（Temporal Key Integrity Protocol，临时密钥完整性协议）为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性

7、。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。(3) 消息完整性校验除了保留802.11的CRC校验外，WPA为每个数据分组又增加了一个8个字节的消息完整性校验值，以防止攻击者截获、篡改及重发数据报文。2.3 VPN的应用目前许多企业以及运营商已经采用虚拟专用网（VPN）技术。虚拟专用网（VPN）技术是指在一个公共IP网络平台上通过隧道以及加密技术保

8、证专用数据的网络安全性，其本身并不属于802.11标准定义，但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于RADIUS的用户认证以及计费。可以通过购置带VPN功能防火墙，在无线基站和AP之间建立VPN隧道，这样整个无线网的安全性得到极大的提高，能够有效地保护数据的完整性、可信性和不可抵赖性。VPN技术作为一种比较可靠的网络安全解决方案，在有线网络中，尤其是企业有线网络应用中得到了一定程度的采用，然而无线网络的应用特点在很大程度上阻碍了VPN技术的应用，如吞吐量性能瓶颈、网络的扩展性问题、成本问题等。2.4 WAPI鉴别与保密无线局域网鉴别与保密基础结构（WLAN Auth

9、entication and Privacy Infrastructure，WAPI）是我国无线局域网国家标准制定的，由无线局域网鉴别基础结构（WLAN Authentication Infrastructure，WAI）和无线局域网保密基础结构（WLAN Privacy Infrastructure ，WPI）组成。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。在WAPI中，身份鉴别的基本功能是实现对接入设备用户证书和其身份的鉴

10、别，若鉴别成功则允许接入网络，否则解除其关联，鉴别流程包含下列几个步骤：1) 鉴别激活：当STA登录至AP时，由AP向STA发送认证激活以启动认证过程；2) 接入鉴别请求：工作站STA向AP发出接入认证请求，将STA证书与STA的当前系统时间（接入认证请求时间）发往AP；3) 证书鉴别请求：AP收到STA接入认证请求后，向AS（认证服务器）发出证书认证请求，将STA证书、接入认证请求时间、AP证书及用AP的私钥对上述字段的签名，构成认证请求报文发送给AS。4) 证书鉴别响应：AS收到AP的证书认证请求后，验证AP的签名以及AP和STA证书的合法性。验证完毕后，AS将STA证书认证结果信息(包括

11、STA证书、认证结果及AS对它们的签名)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间及AS对它们的签名)构成证书认证响应报文发回给AP。5) 接入鉴别响应：AP对AS返回的证书认证响应进行签名验证，得到STA证书的认证结果。AP将STA证书认证结果信息、AP证书认证结果信息以及AP对它们的签名组成接入认证响应报文回送至STA。STA验证AS的签名后，得到AP证书的认证结果。STA根据该认证结果决定是否接入该AP。至此，工作站STA与AP之间完成了双向的证书鉴别过程。为了更大程度上保证WLAN的安全需求，还可以进行私钥的验证，以确认AP和工作站STA是否是证书的合法持有者，私

12、钥验证由请求和响应组成。当工作站STA与接入点AP成功进行证书鉴别后，便可进行会话密钥的协商。会话密钥协商包括密钥协商请求和密钥协商响应。密钥协商请求可以由AP或STA中的任意一方发起，另一方进行响应。为了进一步提高通信的保密性能，在通信一段时间或交换一定数量的报文后，工作站STA与AP之间应该重新进行会话密钥的协商来确定新的会话密钥。3. WLAN存在的安全问题 由于无线网络的传输方式和物理结构等原因，导致其在安全问题上较有线网络更容易受到威胁，主要表现在： 3.1容易泄漏，无线局域网络主要采用无线通信方式，其数据包更容易被截获，由于不能在物理空间上的严格界定， 所以传输的信息很容易被泄漏，

13、任何能接受到信号的人，都可进入并解码破译。而事实上很多无线局域网络在默认状态下是没有加密的。 3.2易受干扰，由于目前802. 1l协议规定的工作频段的开放性，广泛用于很多电子产品，因此容易互相干扰，造成无法通信或者通信中断，如果恶意用户通过干扰器对特定无线网络进行拒绝服务攻击或者干扰，那么这个干扰源不是很容易就能查出来的。 3.3入侵容易，无线网络的接入点在设计上要求其具有公开、易获取的特性，以方便合法接入者，但这也为入侵者提供了必要的信息，利用这些信息，入侵者可以在能够接受信号的任何地方进入网络或发起攻击，即使被入侵检测系统发现也很难定位，在不改变原有安全配置的情况下，难以阻止入侵的继续。

14、虽然，802. 11 在安全方面规定了WEP 加密，但是WEP 加密是不安全的，WEP 的脆弱可能使整个网络受到更大的威胁。 3.4地址欺骗与会话拦截，由于802.11无线局域网对数据帧不进行认证操作，通过非常简单的方法 就可以获得网络中站点的MAC地址，然后通过欺骗帧改变ARP 表，进行地址欺骗攻击。同时，攻击者还可以通过截获会话帧发现AP 中存在的认证缺陷，装扮成AP 进入网络，进一步获取认证身份信息从而进入网络4.无线局域网安全防范措施4.1建立更安全的网络构架 采用何种网络构架对于无线网络的安全具有决定性的作用，随着人们对无线网络的安全 问题 越来越重视，许多新的技术被集成到无线局域网

15、上，我们这里仅给出一种采用典型端口访问技术和VPN技术相结合的范例，见图1。 (1)采用端口访问技术(802.1x)进行控制，防止非授权的非法接入和访问。802.1x在端口上实现基于MAC地址的认证方式。做到IP与MAC地址的绑定，防止了用户的假冒。通过EAP协议可以与RADIUS服务器进行通信，提供便捷的认证方式。 (2)对于密度等级高的网络采用VPN进行连接， 目前 广泛应用于局域网络及远程接入等领域的虚拟专用网(VPN)安全技术。与802.11b标准所采用的安全技术不同，在IP网络中，VPN主要采用IPSec技术来保障数据传输的安全。对于安全性要求更高的用户，将现有的VPN安全技术与80

16、2.11b安全技术结合起来，是目前较为理想的无线局域网络的安全解决方案。 图1 一个安全的无线局域网构架 4.2 无线接入点的安全措施 (1)在有条件的情况下，可以采用支持WPA规范的设备，WPA标准作为一种可替代WEP的无线安全技术，考虑到了不同的用户和不同的应用安全需要，在 企业 模式下，通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。家庭模式(包括小型办公室)下，在AP(或者无线路由器)以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。 (2)如果只能选择WEP加密技术，则最好采用128位WEP加密，并不要使用设备自带的WEP密钥。 （3）禁止AP向外广播其

17、SSID，并设置复杂的SSID，由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。而且目前有的客户端跳过SSID安全功能，自动连接到AP。所以这些措施是比较脆弱的，但如果配置AP向外广播其SSID，那么安全程度还将下降。 （4） 设置MAC过滤，在AP 中可以设定哪些MAC 地址不能与AP 通信，这样可防止非法网卡登录到AP 上，也可以防止非法客户机访问AP 下的无线网客户机。但应该知道，实际上MAC是很容易被假冒的。 (5)注意对AP的管理，修改缺省的AP密码，各种主流AP产品的默认管理密码已为人们熟知，应修改缺省的密码，以防非法闯入。 4.3 无线终

18、端上的安全措施 系统管理员如果需要防止无线终端上的网络设置泄漏，可以选用支持修改属性需要密码的网卡，要开启该功能，防止网卡属性被修改和信息泄漏。 与在传统网络中相比，无线终端更应当注意安装防火墙等安全软件，并及时更新系统漏洞补丁。 4.4管理与培训 安全与管理是两个需要同等重视的问题，而且是互相 影响 互相推动的。 对于大型网络，我们应该制定周密的计划，支持多种安全策略应对不同的情况、，从而提高无线局域网的性能，并能在企业无线局域网内支持新的移动模式。 可以采用第三方的软件公司提供的软件解决方案，在一个统一的平台和界面上管理多种策略和各种类型的无线网络，实施监控和记录 历史 数据，从而实现一个

19、安全、可靠的无线网络。 制定无线网络管理的相关规定，包括使用无线网络的指导性规定和特别的禁则，比如，规定员工不得把网络设置信息告诉公司外部人员，禁止设置P2P的Ad hoc网络结构等。 对网络管理人员进行知识培训。普及无线网络的安全知识，加深员工的安全意识，明白违规使用无线网络的危害性。 5 无线局域网的七大安全难题及解决5.1问题一：容易侵入 无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。 解决方案：加强网络访问

20、控制 容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏，当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面，最好考虑通过VPN技术连接到主干网络，更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型，借助于企业网已经存在的用户数据库，将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。 5.2问题二 ：非法的AP 无线局域网易于访问和配置简单的特性，使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的A

21、P，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。 解决方案：定期进行的站点审查 像其他许多网络一样，无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可增加发现非法配置站点的存在几率，但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。 5.3问题三：经授权使用服务 一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照

22、默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式，未经授权擅自使用网络资源不仅会增加带宽费用，更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款，可能会导致ISP中断服务。 解决方案：加强安全认证 最好的防御方法就是阻止未被认证的用户进入网络，由于访问特权是基于用户身份的，所以通过加密办法对认证过程进行加密是进行认证的前提，通过VPN技术能够有效地保护通过电波传输的网络流量。 一旦网络成功配置，严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试，以确保网络设备使用了安全认证机制，并确保网络设备的配置正常。 5.4

23、问题四：服务和性能的限制 无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。 无线带宽可以被几种方式吞噬：来自有线网络远远超过无线网络带宽的网络流量，如果攻击者从快速以太网发送大量的Ping流量，就会轻易地吞噬AP有限的带宽；如果发送广播流量，就会同时阻塞多个AP；攻击者可以在同无线网络相同的无线信道内发送信号，这样被攻击的网络就会通过CSMA/CA机制进行自动适应，同样影响无线网络的传输；另外，传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。 解决方案：网络检测 定位性能故障应当

24、从监测和发现问题入手，很多AP可以通过SNMP报告统计信息，但是信息十分有限，不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型，帮助进行故障定位。 5.5问题五：地址欺骗和会话拦截 由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱，通过非常简单的方法，攻击者可以轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使用。 除攻击者通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。 解决方案：同重要网络隔离 在802.11i被正式批准之前，MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。 5.6问题六 ：流量分析与流量侦听 802.11无法防止攻击者采用被动方式监听网络流量，而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。