无线网络安全new

无线局域网安全无线局域网安全无线局域网安全性无线局域网安全技术MAC地址和SSID匹配IEEE802.11的安全技术IEEE802.1x协议WPAIEEE802.11iVPN技术无线局域网安全策略无线局域网安全问题WLAN以空气做为媒介、通过电波进行传输的，很容易出现电波泄露，导致数据被窃听。安全问题已成为影响无线局域网进一步扩充市场的主要障碍。希腊雅典举办的2004年奥运会，国际奥委会正式宣布WIFI网络因安全无法保证而无缘奥运会。在美国，负责研究核武器以及国家防御技术的国家实验室关闭了已有的两个无线计算机网络并宣布禁止使用WLAN.美国的调查机构曾将无线天线架在汽车外，沿着繁华的商业街走一圈，结果发现短短几千米内就连接到30家WLAN环境，只有不到一半的用户采用了加密措施。攻击类型网络窃听和网络通信量分析身份假冒假冒客户端

入侵者通过非法获取SSID从而接入AP，如果AP中设置了MAC地址过滤，入侵者通过窃听授权客户端的MAC地址，然后篡改计算机的MAC地址来冒充授权客户端。假冒ＡＰ方式一：入侵者将一个真实ＡＰ非法放置在被入侵的网络中，让授权客户端自动地连接到这个ＡＰ上来。方式二：采用诸如HostAP等专用软件将入侵者的计算机伪装成AP。攻击类型重放攻击、中间人攻击、信息篡改重放攻击：通过截获授权客户端对AP的验证信息，然后通过对验证过程信息的重放而达到非法访问AP的目的。中间人攻击对授权客户端和AP进行双重欺骗，进而对信息窃听和篡改。拒绝服务攻击利用网络在频率、带宽、认证方式上的弱点，对网络进行频率干扰、带宽消耗或是耗尽安全服务设备的资源，导致网络合法用户无法使用网络服务。无线局域网的安全性定义无线局域网的安全性定义机密性Confidentiality无线局域网中传输的信息不会被未经授权的用户获取，这主要通过各种数据加密方式来实现。完整性Integrity数据在传输过程中不会被篡改或删除，这主要通过数据校验技术来实现。真实性Authenticity指数据来源的可靠性，用于保证合法用户的身份不会被非法用户所冒充。无线局域网的安全技术MAC过滤和SSID匹配MAC过滤

在无线局域网的每一个AP中维护一组允许访问的MAC地址列表，MAC地址不在清单中的用户，接入点将拒绝其接入请求。只适合于小型网络规模。MAC地址易截取并冒充。属硬件认证而非用户认证。SSID匹配

SSID是相邻的无线接入点（AP）区分的标志，无线接入用户必须设定SSID才能和AP通信。无线客户端必须出示正确的SSID才能访问无线AP。SSID广播SSID易窃取WEP(WiredEquivalentPrivacy)1997年，IEEE推出了第一个真正意义上的无线局域网安全措施WEP协议，旨在提供与有线网络等效的数据机密性。WEP使用RC4加密算法，这是一种对称的流密码，支持可变长度的密钥（40位或104位），在链路层加密数据和访问控制。定义两种共享密钥：多播/全局密钥：保护从无线AP到它所连接的所有无线客户端的多播和广播通信单播会话密钥：保护无线客户端与无线AP之间的单播通信RC4流密码的运作流程WEP的的数数据据处处理理WEP加加密密机机制制存存在在的的问问题题缺少少密密钥钥管管理理机机制制密钥钥共共享享，，手手工工分分发发，，更更换换费费时时。。完整整性性校校验验值值(ICV)算算法法易易受受攻攻击击CRC32用用于于检检测测传传输输噪噪声声和和普普通通错错误误的的算算法法。。RC4加加密密算算法法存存在在弱弱点点RC4加加密密算算法法中中存存在在弱弱密密码码。。弱弱密密钥钥（（Weakkey））是是指指因因为为它它的的独独特特数数学学特特性性能能够够被被很很容容易易破破坏坏的的密码码密钥钥。。收收集集到到足足够够的的使使用用弱弱密密码码的的包包后后，，很很容容易易破破解解WEP密密钥钥。。AT&T的的AdamStubblefield等等人人在在程程序序上上实实现现了了一一种种攻攻击击，，不不论论是是采采用用40位位密密钥钥还还是是128位位密密钥钥的的WEP都都可可以以在在两两三三个个小小时时内内被被破破解解。。IEEE802.1x协协议议20世世纪纪90年年代代后后期期，，IEEE802LAN/WAN委委员员会会为为解决决无无线线局局域域网网的的安安全全问问题题而提提出出了了802.1x协协议议。。IEEE802.1x协协议议作作为为局局域域网网端端口口的的一一个个普普通通接接入入控控制制机机制制应应用用在在以以太太网网中中，，主主要要解解决决以以太太网网内内认证证和和安安全全方面面的的问问题题。。全称称““基基于于端端口口的的网网络络访访问问控控制制协协议议””(PortBasedNetworkAccessControlProtocol)。。使使用用交交换换式式局局域域网网基基础础结结构构的的物物理理特特性性对对连接接到到局局域域网网端端口口的的设设备备进行行身身份份验验证证。。IEEE802.1x本本身身不不提提供供实实际际的的认认证证机机制制，，需需要要和和上上层层认认证证协协议议（（EAP））配配合合来来实实现现用户户认认证证和和密密钥钥分分发发。EAPEAP（（ExtensibleAuthenticationProtocol））允允许许无无线线终终端端支支持持不不同同的的认认证证类类型型，，能能与与后后台台不不同同的的认认证证服服务务器器进进行行通通信信。。EAP能能够够运运行行于于任任何何的的链链路路层层以及及使使用用各各种种身身份份验验证证方方式式802.1x架架构构802.11网网络络中中的的802.1x交交换换范范例例IEEE802.1x的的缺缺点点802.1x采采用用的的用户户认认证证信信息息仅仅仅是是用用户户名名与与口口令令，，在在存存储储、、使使用用和和认认证证信信息息传传递递中中可可能能泄泄漏漏、、丢丢失失，，存存在在很很大大安安全全隐隐患患。。无线线接接入入点点AP与与RADIUS服服务务器器之之间间用用于于认认证证的的共共享享密密钥钥是是静静态态的的，，且且是是手手工工管管理理，，也也存存在在一一定定的的安安全全隐隐患患。。WPA（（Wi-Fi保保护护访访问问））WPA是是IEEE802.11i的的一一个个子子集集，，在在802.11i正正式式发发布布之之前前，，WPA被被作作为为代代替替WEP的的无无线线安安全全标标准准协协议议。。WPA是是继继承承WEP基基本本原原理理而而又又解解决决了了WEP缺缺点点的的一一种种新新技技术术。。WPA显显著著改改善善了了WEP的的安安全全性性能能，，并并可可与与原原有有采采用用WEP协协议议的的WIFI产产品品兼兼容容,只只需需更更新新无无线线设设备备中中的的固固件件和和无无线线客客户户端端即即可可。。核心内容是TKIP，采采用TKIP和MIC解解决WEP弱弱点TKIP———TemporalKeyIntegrityProtocol暂时密密钥完整协议议MIC——MessageIntegrityCode消息完整整性代码TKIP（TemporalKeyIntegrityProtocol）WEP和WPA比较WPA存在的的问题不能向后兼容容某些遗留设设备和操作系系统。对硬件要求较较高，除非无无线产品集成成了具有运行行WPA和加加快该协议处处理速度的硬硬件，否则WPA将降低低网络性能。。TKIP并非非完美的最终终解决方案。。基于RC4加加密算法，没没有脱离WEP的核心机机制。加/解码处理理效率没有得得到任何改进进。802.11i2004年6月，IEEE正式通过过了无线局域域网安全标准准802.11i。802.11i的网络构构架过渡安全网络络（TransitionSecuriyNetwork，TSN）TSN兼容现现有的、使用用WEP方式式工作的设备备，平稳向802.11i过渡。强健的安全网网络（RobustSecurityNetwork，RSN））RSN支持全全新的802.11i安安全标准，并并且针对WEP加密机制制的各种缺陷陷做了多方面面的改进，增增强了无线局局域网中的数数据加密和认认证性能。WPA和WPA2的比较较AES(AdvancedEncryptionStandard)AES由美国国国家标准与与技术研究院院（NIST）于2001年11月26日发发布于FIPSPUB197，，并在2002年5月26日成为有有效的标准。。2006年年，高级加密密标准已然成成为对称密钥钥加密中最流流行的算法之之一。AES算法是是块密码，使使用大小为128比特的的固定消息块块，加密密钥钥的长度为128比特、、192比特特或256比比特。AES加密解解密流程AES(AdvancedEncryptionStandard)AES密码操操作四个关键键步骤（密码码操作在4××4字节的阵阵列上）：S盒变换：阵列中的每每个字节用S盒中的字节节代替，S盒盒是一个固定定的8bit的查找表。。行变换：4×4阵列列中的每一行行移位一个偏偏移量，数组组中每行移位位的偏移量的的大小不同。。列变换：利用线性变变换将阵列中中每列的4个个字节混合，，从而产生新新的4列的输输出字节。与扩展密码异异或：通过密钥安安排表从加密密密钥中提取取出第二个4×4阵列该该阵列被称为为子密钥，两两个4×4阵阵列异或一起起产生下一轮轮的开始阵列列。分组密码的计计数模式密码分组链接接消息认证代代码(CBC-MAC)CipherblockchainingmessageauthenticationcodeAES-CCMPVPN技术VPN简介VPN的功能能VPN的工作作原理VPNIPVPN(VirtualPrivateNetwork，虚拟专用用网)就是利利用开放的公公众网络建立立专用数据传输输通道，将远程的分分支机构、移移动办公人员员等连接起来来。IP/MPLS网中心站点分支机构移动办公人员员VPN技术总公司租用专线我们有很多分分公司，如果果用租用专线的方式把他们们和总公司连连起来，需要要花很多钱想节约成本的的话，可以用用VPN来连接分公司分公司分公司隧道机制IPVPN可以理解为为：通过隧道道技术在公众众IP/MPLS网络上上仿真一条点点到点的专线线。隧道是利用一一种协议来传传输另外一种种协议的技术术，共涉及三三种协议，包包括：乘客协协议、隧道协协议和承载协协议。被封装的原始始IP包新增加的IP头IPSec头头乘客协议隧道协议承载协议原始IP包经过IPSec封装后隧道带来的好好处隧道保证了VPN中分组组的封装方式式及使用的地地址与承载网网络的封装方方式及使用地地址无关Internet被封装的原始始IP包新增加的IP头IPSec头头私网地址公网地址中心站点Internet根据这这个地址路由由可以使用私网网地址，感觉觉双方是用专专用通道连接接起来的，而而不是Internet隧道按隧道类型对对VPN分类类隧道协议如下下：第二层隧道协协议，如L2TP第三层隧道协协议，如IPSec介于第二层和和第三层之间间的隧道协议议，如MPLSVPNL2TPL2TP封装装的乘客协议议是位于第二二层的PPP协议。原始数据包新增加的IP头L2TP头可以是IP、、IPX和AppleTalkPPP封装原始数据包PPP头L2TP封装装原始数据包PPP头可以是IP、、ATM和帧帧中继L2TP没有有对数据进行行加密。L2TP的典典型应用--VPDNL2TP连接接PPP连接用户发起PPP连接到接接入服务器接入服务器封封装用户的PPP会话到到L2TP隧隧道，L2TP隧道穿过过公共IP网网络，终止于于电信VPDN机房的LNS用户的PPPsession经企企业内部的认认证服务器认认证通过后即即可访问企业业内部网络资资源IPSecIPSec只只能工作在IP层，要求求乘客协议和和承载协议都都是IP协议议被封装的原始始IP包新增加的IP头IPSec头头必须是IP协议必须是IP协议IPSec可可以对被封装装的数据包进进行加密和摘摘要等，以进进一步提高数数据传输的安安全性MPLSVPN的基本本工作模式在入口边缘路路由器为每个个包加上MPLS标签，，核心路由器器根据标签值值进行转发，，出口边缘路路由器再去掉掉标签，恢复复原来的IP包。MPLS网P1P2PE1PE2CE1CE2MPLS标签签MPLSVPN的特点点MPLS标签签位于二层和和三层之间三层包头MPLS标标签二层包头二层包头三层包头MPLS封装装三种VPN的的比较L2TPIPSecMPLSVPN隧道协议类型第二层第三层第二层和第三层之间是否支持数据加密不支持支持不支持对设备的要求只要求边缘设备支持L2TP只要求边缘设备支持IPSec要求边缘设备和核心设备都支持MPLSVPN功能数据机密性保保护数据完整性保保护数据源身份认认证重放攻击保护护拨号服务器PSTN

Internet区域Internet边界路由器内部工作子网网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线SSN区域WWWMailDNS密文传输明文传输明文传输数据机密性保保护内部工作子网网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包包进行Hash加密后的数据包摘要Hash摘要对原始数据包包进行加密加密后的数据据包加密加密后的数据包摘要加密后的数据据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行行比较，验证证数据的完整整性数据完整性保保护内部工作子网网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包包进行HashHash摘要加密摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较较私钥原始数据包DSSDSS将数字签名附附在原始包后后面供对方验验证签名得到数字签名名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过数据源身份认认证保留负载长度认证数据（完整性校验值ICV）变长序列号安全参数索引（SPI）下一头部填充（0~255字节）下一头部填充长度认证数据（变长的）负载数据（变长的）序列号安全参数索引（SPI）AH协议头ESP协议头头SA建立之初初，序列号初初始化为0，，使用该SA传递的第一一个数据包序序列号为1，，序列号不允允许重复，因因此每个SA所能传递的的最大IP报报文数为232—1，当序列列号达到最大大时，就需要要建立一个新新的SA，使使用新的密钥钥。重放攻击保护护VPN技术VPN简介VPN的功能能VPN的工作作原理加密密钥解密密钥加密密钥解密密钥两者相等可相互推导分组密码算法法：操作单位位是固定长度度的明文比特特串DES算法：：DataEncryptionStandard(老算法)，密钥=56位CDMA算法法：CommercialDataMaskingFacility，密密钥=40位位3DES算法法：TripleDataEncryptionStandardIDEA算法法：InternationalDataEncryptionAlgorithm（新算法）），密钥=128位流密码算法：：每次只操作作一个比特对称密码算法法公钥私钥公钥私钥不可相互推导导常用的公钥算算法：RSA公钥算算法：用于加加密、签名、、身份认证等等Diffie—Hellman算算法：用于于在非安全通通道上安全的的建立共享秘秘密，但无法法实现身份认认证公钥算法的缺缺点：速度慢难于用硬件实实现因此它很少用用于大量数据据的加密，主主要用于密钥钥交换和身份份认证不相等非对称密钥算算法在一个非安全全的通道上安安全地建立一一个共享密钥钥Internet事先双方协商商两个公共数数值，非非常大的素数数m和整数g做计算X=gamodm发送X=gamodm产生一个很大大的数b产生一个很大大的数a做计算Y=gbmodm发送Y=gbmodmKA=Yamodm=gabmodmKB=Xbmodm=gabmodm两者相等得出共享密钥钥Key=gabmodmHostAHostBDiffie-Hellman密钥钥交换算法哈希函数特点：输入是是变长的数据据，输出是定定长的数据HASH值；；主要应用方向向：数据完整整性校验和身身份认证技术术有用的HASH函数必须须是单向的，，即正向计算算很容易，求求逆极其困难难，就像还原原捣碎的土豆豆常用的HASH函数：MD5、SHA—1，这这两种HASH函数都没没有密钥输入入，其中MD5的输出为为128位、、SHA—1的输出为160位MAC：输出出结果不仅依依赖输入消息息，同时还依依赖密钥的HASH函数数叫做消息认认证代码；IPSec中中使用的是是MAC，而而不是直接使使用MD5或或者SHA——1填充负载IP头部AH共享密钥HASH运算算(MD5)输入要发送的消息输入共享密钥得到128位的定长输出将输出结果填入到AH头部的认证数据字段加密MD5填充负载IP头部AH共享密钥HASH运算算(SHA—1)输入要发送的消息输入共享密钥得到160位的定长输出将输出结果填入到AH头部的认证数据字段加密SHA-1填充负载IP头部私钥进行HASH运算输入要发送的消息用私钥加密HASH输出出结果得到定长输出将数字签名附在数据报的后面供对方验证身份得到数字签名名数字签名（DSS）InternetBobAliceHacker将自己的公钥钥发给Bob，谎称是Alice的的将自己的公钥钥发给Alice，谎谎称是Bob的用Bob的““公钥”加密密消息发给Bob用Bob的““公钥”加密密消息发给Bob将消息截获，，并解密然后用Bob真正的公钥钥加密，重新新发给Bob收到消息，但但已经被黑客客看过为了防止这种种“中间人””攻击，消除除上述安全隐隐患，提出了了数字证书的概念，数字字证书将身份标识与公公钥绑定在一起，并由由可信任的第三方权威机机构用其私钥签名，这样就可验验证期有效性性数字证书和证证书权威机构构VPN与802.11i的比较因升级问题，，IEEE802.11i在今后较较长时间内并并不能完全代代替VPN。。较老设备需要要升级才能承承受802.11i带来来的额外处理理需求。IEEE802.11i的认证与与加密方式并并不优于VPN。为了兼容现有有大部分设备备，802.11i仍然然支持原先的的RC4加密密算法。802.11i是基于用户户名和密码的的身份认证，，VPN是数数字证书认证证方式。企业网络络需要VPN来来防范高高级入侵侵。为了充分分保证安安全性，，很多企企业网络络都采取取了用VPN网网关隔离离无线网网络和核核心网络络的解决决方案，，VPN网关只只向拥有有有效软软件证书书或令牌牌的用户户授权。。对于远程程用户来来说，VPN仍仍是必须须的安全全保障。。802.11i的推出出削弱了了VPN在企业业无线局局域网内内部的应应用，但但对于安安全性要要求较高高的商用用网或军军用网用用户来说说，仍有有必要将将VPN技术与与其他无无线安全全技术相相结合。。对于远程程接入用用户，VPN是是极好的的安全保保障。无线局域域网中VPN服服务器的的实现无线局域域网单独独防火墙墙解决方方案无线局域域网中VPN服服务器的的实现无线局域域网双重重防火墙墙解决方方案无线局域域网安全全策略从多个方方面入手手解决无无线局域域网的安安全问题题：无线AP的放置置与安全全措施DoS(DenialofService)攻击防防范策略略无线局域域网嗅探探防范策策略IDS(IntrusionDetectionSystem)技术无线AP的放置置与安全全措施无线AP的物理理位置与与信号强强度无线AP必须放放置在攻攻击者很很难非法法篡改其其设置的的地方通过调整整AP天天线的长长度和发发射功率率限制无无线信号号的覆盖盖范围测量信号号的强度度，精确确确定接接入点的的放置位位置。无线AP的安全全措施隐藏SSID启动WEP的128位位密钥模模式禁用DHCP服服务启用MAC地址址过滤及时更新新无线AP的固固件适时关闭闭无线AP无线DoS攻击击的类型型无线DoS攻击击的类型型应用层攻击者通通过向应应用程序序发送大大量的合合法请求求来降低低程序的的服务效效率，阻阻止其向向其他合合法用户户提供服服务。传输层攻击者通通过发送送大量的的链接请请求来攻攻击主机机的操作作系统，，降低其其服务效效率。网络层攻击者通过过发送大量量的数据来来攻击网络络的脆弱结结构，降低低网络服务务器的服务务效率。链路层主要针对安安全设置较较低的网络络。物理层利用工作在在该波段的的噪声设备备产生足够够强的噪声声信号进行行冲击，使使WLAN物理层瘫瘫痪。防范DoS攻击防范DoS攻击的有有效措施很很多，包括括：实现和升级级防火墙；；采用最新的的杀毒软件件；安装更新的的安全补丁丁；加强密码的的保护；配置DoS检测工具具；关掉网络设设备等最有效的方方法：隔离离计算机，，断掉它连连接的所有有网络。有效设计建建筑物，屏屏蔽室内、、外无线信信号等。无线局域网网嗅探防范范策略网络嗅探是是一种利用用计算机网网络接口截截获网络中中数据报文文的技术。。无线局局域网网嗅探探防范范策略略加强网网络访访问控控制控制无无线AP的的信号号覆盖盖范围围将网络络设置置为封封闭系系统关闭SSID广广播功功能，，禁止止非授授权访访问采用可可靠的的加密密协议议采用802.11i的AES加密密算法法，或或VPN方方式加加密使用一一次性性口令令技术术IDS(IntrusionDetectionSystem)技术术入侵检检测技技术一种检检测计计算机机网络络中违违反安安全策策略行行为的的技术术，能能够及及时发发现并并报告告网络络系统统中的的未授授权访访问或或异常常现象象。监视和和分析析用户户及系系统的的活动动，识识别、、反映映已知知网络络攻击击的活活动模模式，，并向向网络络管理理人员员报警警。IDS产品品种类类基于主主机的的IDS（（HIDS）采用主主机上上的文文件（（特别别是日日志文文件或或主机机收发发的网网络数数据包包）作作为数数据源源，侧侧重于于对攻攻击的的事后后分析析。基于网网络的的IDS（（NIDS）被放置置在重重要的的网段段，采采用原原始的的网络络数据据包作作为数数据源源，对对每一一个数数据包包或可可疑的的数据据包进进行特特征分分析，，能在在不影影响使使用性性能的的情况况下检检测入入侵事事件，，并对对入侵侵事件件进行行响应应。混合式式IDS综合了了HIDS和NIDS的的结构构特点点，既既可发发现网网络中中的攻攻击信信息，，也可可从系系统日日志中中发现现异常常情况况。9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Tuesday,December13,202210、雨中黄叶树树，灯下白头头人。。19:35:2319:35:2319:3512/13/20227:35:23PM11、以我独沈久久，愧君相见见频。。12月-2219:35:2319:35Dec-2213-Dec-2212、故人江海别别，几度隔山山川。。19:35:2319:35:2319:35Tuesday,December13,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2219:35:2319:35:23December13,202214、他乡生白白发，旧国国见青山。。。13十二二月20227:35:23下下午19:35:2312月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月227:35下下午12月-2219:35December13,202216、行动出成成果，工作作出财富。。。2022/12/1319:35:2319:35:2313December202217、做前，，能够环环视四周周；做时时，你只只能或者者最好沿沿着以脚脚为起点点的射线线向前。。。7:35:23下午午7:35下午午19:35:2312月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Tuesday,December13,202210、很多事情努努力了未必有有结果，但是是不努力却什什么改变也没没有。。19:35:2319:35:2319:3512/13/20227:35:23PM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月月-2219:35:2419:35Dec-2213-Dec-2212、世世间间成成事事，，不不求求其其绝绝对对圆圆满满，，留留一