10无线网安全与防范

第10章无线网安全与防范本章内容无线网络安全概述10.1无线局域网的标准10.2无线局域网安全协议10.3无线网络主要信息安全技术10.4无线网络设备10.5引导案例：为方便上网，半年前张女士在家中安置了一个无线路由器，最近她却发觉网络速度突然变得很慢。她相当疑惑，因为无线路由器明明设置过密码，按理说不可能被人窃用网络。后来经朋友检查发现，张女士电脑的‘网上邻居’里多出一个陌生的电脑用户!网络被盗用已成不争的事实。朋友告诉她，她的无线网络已被一种叫“蹭网卡”的装置盯上了，因为多了一台电脑享用她的网络资源，所以网络速度明显变慢。那么如何保障自己的无线网络安全使用呢？本章将为大家解决这样的技术难题。无线网络的安全缺陷与解决方案10.1•无线局域网安全的最大问题在于无线通信设备是在自由空间中进行传输，而不是像有线网络那样是在一定的物理线缆上进行传输，因此无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取。所以，WLAN就面临一系列的安全问题，而这些问题在有线网络中并不存在。无线网络存在的安全风险和安全问题主要包括：•（1）来自网络用户的进攻。•（2）来自未认证的用户获得存取权。•（3）来自公司的窃听泄密等。针对以上威胁问题，从最初利用ESSID/SSID（ServiceSetIdentifier，也就是“服务区标识符匹配）、MAC（MediaAccessControl，介质访问控制）限制，防止非法无线设备入侵的访问控制，到基于WEP（WiredEquivalentPrivacy）数据加密的解决方案，再到即将成为新标准的802.11i，以及从2003年12月1日起我国开始施行的WLAN产品的新标准WAPI（无线局域网鉴别和保密基础结构），无线网络安全技术在很大的程度上已经得到了改善，即使这样，但要真正构建端到端的安全无线网络还任重道远。无线网络安全概述10.110.2无线局域网的标准在众多的无线局域网标准中，人们知道最多的是IEEE（美国电子电气工程师协会）802.11系列，此外制定WLAN标准的组织还有ETSI（欧洲电信标准化组织）和HomeRF工作组，ETSI提出的标准有HiperLan和HiperLan2，HomeRF工作组的两个标准是HomeRF和HomeRF2。在这三家组织所制定的标准中，IEEE的802.11标准系列由于它的以太网标准802.3在业界的影响力使得在业界一直得到最广泛的支持，尤其在数据业务上。ETSI是一个欧洲组织，因此一直得到欧洲政府的支持，很多运营商也都很尊重它的GSM和UMTS蜂窝电话标准，它在制定WLAN标准的时候更加关注语音业务。HomeRF作为一种为家庭网络专门设计的标准在业界也有一定的影响力。价格便宜的笔记本电脑、移动电话和手持式设备的日趋流行，以及Internet应用程序和电子商务的快速发展，使用户需要随时进行网络连接。为满足这些需求，可以使用两种方法将便携式设备连接到网络，而没有电缆所带来的不便。这两种标准就是IEEE802.11b和Bluetooth。IEEE802.11b是一种11Mb/s无线标准，可为笔记本电脑或桌面电脑用户提供完全的网络服务10.2.1IEEE的802.11标准系列由于802.11在速率和传输距离上都不能满足人们的需要，因此，IEEE小组又相继推出了802.11b和802.11a两个新标准。3者之间技术上的主要差别在于MAC子层和物理层。802.11b物理层支持5.5Mpbs和11Mpbs两个新速率。802.11标准在扩频时是一个11位调制芯片，而802.11b标准采用一种新的调制技术CCK完成。802.11b使用动态速率漂移，可因环境变化，在11Mbps、5.5Mbps、2Mbps、1Mbps之间切换，且在2Mbps、1Mbps速率时与802.11兼容。802.11b的产品普及率最高，在众多的标准中处于先导地位。见教材P254802.11g协议于2003年6月正式推出，它是在802.11b协议的基础上改进的协议，支持2.4GHz工作频率以及DSSS技术，并结合了802.11a协议高速的特点以及OFDM技术。这样802.11g协议即可以实现11Mbps传输速率，保持对802.11b的兼容，又可以实现54Mbps高传输速率。随着人们对无线局域网数据传输的要求，802.11g协议也已经慢慢普及到无线局域网中，和802.11b协议的产品一起占据了无线局域网市场的大部分。而且，部分加强型的802.11g产品已经步入无线百兆时代。欧洲电信标准化协会（ETSI）(EuropeanTelecommunicationsStandardsInstitute)HiperLan是欧盟在1992年提出的一个WLAN标准，HiperLan2是它的后续版本，HiperLan2部分建立在GSM（GlobalSystemforMobileCommunications，全球移动通讯系统）基础上，使用频段为5GHz。在物理层上HiperLan2和802.11a几乎完全相同。它采用OFDM技术，最大数据速率为54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太网基础上的，而是采用的TDMA结构，形成是一个面向连接的网络，HiperLan2的面向连接的特性使它很容易满足QoS（QualityofService，服务质量）要求，可以为每个连接分配一个指定的QoS，确定这个连接在带宽、延迟、拥塞、比特错误率等方面的要求。这种QoS支持与高传输速率一起保证了不同的数据序列（如视频、话音和数据等）可以同时进行高速传输。10.2.2ETSI的HiperLan210.2.3HomeRFHomeRF是IEEE802.11与DECT（DigitalEnhancedCordlessTelecommunications数字增强无绳通信）的结合，使用这种技术能降低语音数据成本。与前几种技术一样，使用开放的2.4GHz频段。采用跳频扩频（FHSS）技术，跳频速率为50跳/秒,共有75个带宽为1MHz的跳频信道。HomeRF把共享无线接入协议（SWAP）作为未来家庭联网的技术指标，基于该协议的网络是对等网，因此该协议主要针对家庭无线局域网。其数据通信采用简化的IEEE802.11协议标准，沿用类似与以太网技术中的冲突检测的载波监听多址技术（CSMA/CD）CSMA/CA。语音通信采用DECT（DigitalEnhancedCordlessTelephony）标准，使用TDMA时分多址技术。10.3.1WEP协议IEEE802.11标准中的WEP（WiredEquivalentPrivacy）协议是IEEE802.11b协议中最基本的无线安全加密措施，其主要用途包括提供接入控制，防止未授权用户访问网络；对数据进行加密，防止数据被攻击者窃听；防止数据被攻击者中途恶意纂改或伪造。此外，WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。AboveCable所有型号的AP都支持64位或（与）128位的静态WEP加密，有效地防止数据被窃听盗用。10.3无线局域网安全协议10.3.2IEEE802.11i安全标准IEEE802.11的i工作组致力于制订被称为IEEE802.11i的新一代安全标准，这种安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（RobustSecurityNetwork）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP（TemporalKeyIntegrityProtocol）、CCMP（Counter－Mode／CBC－MACProtocol）和WRAP（WirelessRobustAuthenticatedProtocol）三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES（AdvancedEncryptionStandard）加密算法和CCM（Counter－Mode／CBC－MAC）认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。我国早在2003年5月份就提出了无线局域网国家标准GB15629.11，这是目前我国在这一领域惟一获得批准的协议。标准中包含了全新的WAPI（WLANAuthenticationandPrivacyInfrastructure）安全机制，这种安全机制由WAI（WLANAuthenticationInfrastructure）和WPI（WLANPrivacyInfrastruc－ture）两部分组成，WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAPI能为用户的WLAN系统提供全面的安全保护。WAPI安全机制包括两个组成部分。具体见教材P257。10.3.3WAPI协议•10.4.1扩频技术•扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中，一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送，明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。通常有几种方法来实现扩频传输，最常用的是直序扩频和跳频扩频。•一些无线局域网产品在ISM波段的2.4～2.4835GHz范围内传输信号，在这个范围内可以得到79个隔离的不同通道，无线信号被发送到成为随机序列排列的每一个通道上（例如通道1、32、67、42……）。无线电波每秒钟变换频率许多次，将无线信号按顺序发送到每一个通道上，并在每一通道上停留固定的时间，在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案，系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰，也不用担心网络上的数据被其他用户截获。10.4无线网络主要信息安全技术即在无线网的站点上使用口令控制，当然未必局限于无线网。当前一些主要的网络操作系统和服务器均提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于WLAN的用户包括移动用户，而移动用户倾向于把他们的笔记本电脑移来移去，因此，严格的口令策略等于增加了一个安全级别，它有助于确认网站是否正被合法的用户使用。建议在无线网络的适配器端使用网络密码控制。这与NovellNetWare和MicrosoftWindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户，所以精确的密码策略是增加一个安全级别，这可以确保工作站只被授权人使用。10.4.2用户认证和口令控制1.WEP（WiredEquivalentPrivacy）加密配置WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法，是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。10.4.3数据加密•2.无线网络加密技术之WPA-PSK(TKIP)•无线网络最初采用的安全机制是WEP(有线等效私密)，但是后来发现WEP是很不安全的，802.11组织开始着手制定新的安全标准，也就是后来的802.11i协议。但是标准的制定到最后的发布需要较长的时间，而且考虑到消费者不会因为为了网络的安全性而放弃原来的无线设备，因此Wi-Fi联盟在标准推出之前，在802.11i草案的基础上，制定了一种称为WPA(Wi-FiProctedAccess)的安全机制，它使用TKIP(TemporalKeyIntegrityProtocol:临时密钥完整性协议)，它使用的加密算法还是WEP中使用的加密算法RC4，所