《计算机网络安全原理》第5章 无线网络安全

本PPT是电子工业出版社出版的教材《计算机网络安全原理》配套教学PPT（部分内容的深度和广度在教材的基础上有所扩展），作者：吴礼发本PPT可能直接或间接采用了网上资源、公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！本PPT可免费使用、修改，使用时请保留此页。声明第五章无线网络安全无线网络（WirelessNetwork）是指所有不使用物理连接实现的通信网络，种类非常多，如无线局域网、无线城域网、无线广域网、短波通信网、卫星通信网等。由于无线网络频段和空间的开放性使得其更容易遭受干扰、非法接入和窃听的安全威胁无线网络内容提纲移动通信安全2无线局域网安全1无线局域网无线局域网1997，第一个无线局域网标准IEEE802.11定义了媒体访问控制层（MAC层）和物理层采用CSMA/CA（CarrierSenseMultipleAccess/CollisionAvoidance）1999，两个补充版本IEEE802.11a,802.11b1999，工业界成立了Wi-Fi联盟（Wi-FiAlliance）2000年以后，802.11c,802.11d,802.11e,802.11f,802.11g,802.11h,802.11i,802.11j,802.11k,…,802.11z，802.11aa,802.11ab,802.11ac无线局域网其它标准欧洲：HiperLAN1及HiperLAN2美国：HomeRF2.0中国：无线局域网鉴别与保密基础架构（WirelessLANAuthenticationandPrivacyInfrastructure,WAPI），与IEEE标准相比，差别在认证和加密上。自2004年6月起，凡是在我国进行销售的无线局域网设备，包括进口设备都必须符合这套标准无线局域网组成：STA,AP,WM,DS组成国家或国际ISPAPSTASTASTABSSSTA连接AP包括三个阶段：扫描、认证和关联连接过程APSTA通过扫描选择AP（采用侦听Beacon帧或发送Probe帧）认证（Authentication）关联（Association）频段的开放性和无线空间的开放性给无线局域网带来的安全问题主要有信道干扰窃听或嗅探伪造AP重放攻击无线局域网安全问题无线局域网的安全措施主要针对这三种攻击，措施包括：认证、完整性检测和加密，以保障通信的机密性、完整性和真实性有线保密等效协议（WiredEquivalentPrivacy,WEP)是IEEE802.11b中定义的第一个用于保护无线局域网通信安全的协议，目的是防止非法用户窃听或侵入无线网络，保证信息传输的机密性、完整性和通信对象的真实性WEP协议认证方式开放系统认证：即无认证，STA向AP发送“authentication”报文，而AP同样回复“authentication”，并将statuscode字段置0，允许STA接入，然后就可以进行通信和转发数据WEP协议认证方式共享密钥认证WEP协议问题：单向认证，即只能AP向STA认证。如果黑客伪装成AP，则STA易受假冒AP的攻击通信加密WEP协议加密过程解密过程WEP协议WEP协议安全性分析密文逆向分析：RC4算法问题密钥破解数据完整性问题：CRC问题WEP协议2003年，IEEE802.11g：WPA协议，引入临时密钥完整性协议（TemporalKeyIntegrityProtocol,TKIP）。相比WEP，TKIP在安全方面主要有两点增强：增加了密钥长度，虽然仍用RC4，但将密钥长度从40位增加到128位，从而防止类似WEP网络在短时间内被攻破的风险；二是使用比CRC强得多的消息完整性检验码MIC(MessageIntegrityCode)WPA协议TKIP：加密过程WPA协议TKIP：解密过程WPA协议与WEP相比，有几方面提高MIC值有唯一性，取代CRC，大幅提高了数据传输的完整性保护能力动态变换密钥：每个STA每次与AP进行通联时，会使用动态生成的临时密钥使用TSC来抗重放攻击WPA协议2004年，IEEE802.11i对WPA进行了更新，称为WPA2。不再使用RC4，改用AES加密算法加密协议为CCMP（CTRmodewithCBC-MACProtocol）CTR简称“计数器模式”，用于提供数据保密性CBC-MAC(Cipher-BlockChainingMessageAuthenticationCode,密码块链消息认证码），用于认证和数据完整性保护WPA2协议CCMP：加密过程WPA2协议CCMP：解密过程WPA2协议认证方式，两种：802.1x认证方式：主要面向企业的认证，需要认证服务器参与WPA-PSK认证方式：主要面向个人用户WPA2协议802.1x认证方式WPA2协议802.1x认证方式WPA2协议认证方式，两种：802.1x认证方式：首先进行MSK（MainSessionKey，主会话密钥）交互，然后使用MSK派生出GMK（GroupMasterKey，组播主密钥）和PMK（PairwiseMasterKey，成对主密钥），采用双向认证，即AP对STA认证、STA也对AP进行认证。面向企业用户，需要认证服务器参与WPA2协议认证方式选择EAP中继方式：设备端处理更简单，支持更多的认证方法，缺点则是认证服务器必须支持EAP，且处理能力要足够强。对于常用的EAP-TLS、EAP-TTLS、EAP-PEAP三种认证方式，EAP-TLS需要在客户端和服务器上加载证书，安全性最高，EAP-TTLS、EAP-PEAP需要在服务器上加载证书，但不需要在客户端加载证书，部署相对灵活，安全性较EAP-TLS低。802.1x认证方式认证方式选择EAP终结方式：现有的RADIUS服务器基本均支持PAP和CHAP认证，无需升级服务器，但设备端的工作比较繁重，因为在这种认证方式中，设备端不仅要从来自客户端的EAP报文中提取客户端认证信息，还要通过标准的RAIUDS协议对这些信息进行封装，且不能支持除MD5-Challenge之外的其它EAP认证方法。802.1x认证方式中继认证流程802.1x认证方式终结认证流程802.1x认证方式802.1x认证方式：EAP-TLSWPA2协议WPA-PSK认证方式：采用预共享密钥(PresharedKey)进行认证，主要面向个人用户。这种方式下，AP和STA之间预共享有相同的PMK，认证过程需经过4次握手WPA2协议4次握手WPA2协议WPA-PSK认证方式：WPA2协议WPA-PSK认证方式：PTK计算方法WPA2协议APMAC地址ANonceSNonceSTAMAC地址PMK(256b)伪随机数生成器TKIPPTK(512b)EAPOLKCK(128b)EAPOLKEK(128b)TKIPTK(128b)TKIPMIC(128b)EAPOLKCK(128b)EAPOLKEK(128b)CCMPTK(128b)CCMPPTK(384b)802.11帧结构WPA2认证过程抓包分析分析环境：AP的SSID为evilpan，BSSID为66x6，WPA2密码为12345678，所连接的客户端为苹果手机WPA中四次握手协议为EAPOL(ExtensibleauthenticationprotocoloverLAN)，可以直接在Wireshark等工具中使用eapol过滤出来WPA2认证过程抓包分析分析环境：AP的SSID为evilpan，BSSID为66x6，WPA2密码为12345678，所连接的客户端为苹果手机AP会一直向周围广播宣告自己的存在，这样STA才知道周围有哪些热点，并选其中的一个进行连接。广播的数据称为BeaconFrame其中包括了热点的BSSID（即MAC地址）和ESSID（即热点名）WPA2认证过程抓包分析PMK如果使用PSK(Pre-SharedKey)认证，那么PMK实际上就是PSK。而PSK则是通过Wi-Fi密码计算出来的WPA2认证过程抓包分析握手1：AP向客户端发送随机数ANonceWPA2认证过程抓包分析握手1：AP向客户端发送随机数Anonce收到ANonce后，客户端有PMK、ANonce、Snonce（客户端自行生成的随机数），以及双方的MAC地址信息。通过这些信息，计算PTK：WPA2认证过程抓包分析握手2：客户端生成PTK后，带着自己生成的SNonce发送给AP，目的是为了让AP使用同样的方法计算出PTK，从而确保双方在后续加密中使用正确的秘钥WPA2认证过程抓包分析握手2：客户端生成PTK后，带着自己生成的SNonce发送给APWPA2认证过程抓包分析握手3：AP收到握手2发送的SNonce之后，就可以计算出PTK，并用PTK加密GTK后，发送给客户端，同样带有MIC校验WPA2认证过程抓包分析握手3：AP收到握手2发送的SNonce之后，就可以算出PTK，并用PTK加密GTK后，发送给客户端，同样带有MIC校验WPA2认证过程抓包分析握手4：双方都有了后续加密通信所需要的PTK和GTK，第四次握手仅仅是STA告诉AP秘钥已经收到，并无额外数据WPA2认证过程抓包分析握手4：双方都有了后续加密通信所需要的PTK和GTK，第四次握手仅仅是STA告诉AP秘钥已经收到，并无额外数据WPA2认证过程抓包分析暴力破解的本质是获取PSK，根据上面介绍握手的流程，作为一个未验证终端，我们实际能获取到的是ANonce、SNonce、MAC地址以及加密的内容和MIC，通过不断变换PSK/PMK计算PTK并验证MIC从而寻找真实密码WPA2暴力破解破解工具aircrack-ngWPA2暴力破解WPA2暴力破解暴力破解需要获取4路握手包，也就是说有个前提是需要有客户端去连接。通过一些手段，比如伪造Deauth可以让目标强制掉线重连从而获取握手包，但不管怎样都需要有客户端在线才行。WPA2暴力破解Wi-Fi渗透测试过程示例Wi-Fi渗透测试过程示例Wi-Fi渗透测试过程示例Wi-Fi渗透测试过程示例Wi-Fi渗透测试过程示例Wi-Fi渗透测试过程示例PMKID攻击是hashcat的作者在2018年提出的，他发现在一些AP的第一次握手数据包中，包含了额外的EAPOL字段RSN(RobustSecurityNetwork)，其中包含PMKIDRSNPMKID攻击如果返回包含有RSNPMKID，那么就可以在无需客户端在线的情况下发起本地的暴力破解。事实上，非常多路由器在第一次握手的EAPOL包中都会包含这个字段RSNPMKID攻击监听客户端发送的DirectedProbeRequest，然后伪造对应的热点信息，让客户端认为这是个之前连接过的热点，从而进行接入KARMA&MANA攻击KARMA&MANA攻击“KRACK”攻击：WPA2应用很长一段时间以来，被认为是很安全的。但是，2017年10月比利时安全研究员MathyVanhoef发现WPA2协议存在密钥重装漏洞（KRA,KeyReinstallationAttacks）：WPA2协议四次握手协商加密密钥过程中第3个消息报文可被篡改重放，可导致中间人重置重放计数器(replaycounter)和随机数值(nonce)，重放给STA端，使STA安装上不安全的加密密钥KRACK攻击“KRACK”攻击KRACK攻击KRACK攻击的实际操作层面上，根据协议的具体实现略有不同。右边是一种可能的实现方式KRACK攻击USENIXSecurity20202018年6月，Wi-Fi联盟又推出WPA3，在WPA2的基础上做了一些安全增强防暴力破解口令简化设备配置流程（以更好支持IoT设备）个性化数据加密提高加密强度：192位的CNSA等级算法WPA3协议内容提纲移动通信安全2无线局域网安全1移动通信系统移动通信系统面向全球移动通信的移动网络（或移动通信系统）最初只提供话音通信服务，经过多年的发展，支持的业务扩展到了话音、数据、视频、多媒体业务，网络体制也从第一代的模拟通信（1G）发展数字通信模式的2G、3G、4G和5G，通信能力也由窄带发展到宽带通信，网络安全防护技术也在不断的提升，以适应不同应用的需求移动系统移动网络采用严格的分层结构，一般包括核心网（CoreNetwork,CN）、接入网（AccessNetwork,AN）和用户设备（UserEquipment,UE）三部分移动通信系统2G网络结构图2G安全PSTN/ISDNBTSBSCOMCMSCVLRHLRAUCEIRMobilityMgtVoiceTrafficMS2G网络安全：支持匿名性、认证性、用户数据完整性和信号完整性，存在问题：认证是单向的，只有网络对用户的认证，而没有用户对网络的认证，因此存在安全隐患，非法基站（伪基站）作为中间人可以欺骗用户，窃取用户信息加密不是端到端的，只在无线信道部分加密，即在移动站和基站收发台之间加密，在固定网明文传输没有考虑数据完整性保护的问题，数据在传输过程中被篡改也难以发现2G安全2G网络安全：支持匿名性、认证性、用户数据完整性和信号完整性，存在问题：加密算法问题，安全性不够用户匿名性泄露，伪基站可以通过发送身份认证请求给目的终端以获得其IMSI码抗拒绝服务攻击能力弱2G安全3G网络第三代移动通信技术将无线通信和互联网等多媒体通信技术有机结合起来，除了能够提供话音、短消息等传统业务外，最重要的变化是提供以移动宽带多媒体业务为主的互联网接入服务3种国际标准：美国的CDMA2000（继承自CDMA）、欧洲的WCDMA、中国的TD-SCDMA（均继承自GSM，统称为UMTS（UniversalMobileTelecommunicationsSystem）3G安全3G网络结构3G安全3G网络安全：3GPP制定的3G安全框架3G安全用户应用提供商应用（IV）应用层USIM归属环境（HE）（I）业务层接入网络（AN）传输层（III）移动设备（ME）服务网（SN）（I）（II）（I）（I）（I）3G网络安全：3GPP在制定UMTS安全认证机制时，充分考虑到GSM网络的单向认证可能导致的伪基站、密钥长度短、没有完整性检验等问题，提出了全新的认证和密钥产生机制AKA(AuthenticationandKeyAgreement)，使终端获得对网络的认证能力以及抗重放攻击的能力，并可以产生加密和完整性保护所需的密钥3G安全4G移动通信技术通常指的是LTE（LongTermEvolution），包括频分双工长期演进（FrequencyDivisionDuplexingLongTermEvolution,FDD-LTE）和时分长期演进（TimeDivisionLongTermEvolution,TD-LTE）两种空中接口技术，以及与其对应的SAE（SystemArchitectureEvolution）核心网技术。4G接入网更加扁平化，核心网全IP化。4G安全4G网络结构4G安全4G网络安全层次