第三章(下)_无线局域网安全

无线局域网安全内容无线网络安全概况无线局域网一般安全技术无线网络的安全进程802.1x认证过程步骤802.11i技术1.无线网络安全概况无线就意味着会让人接触到数据。与此同时，要将无线局域网发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用，任何人在视距范围之内都可以截获和插入数据。安全性又包括两个方面，一是访问控制，另一个就是保密性。访问控制确保敏感的数据仅由获得授权的用户访问。保密性则确保传送的数据只被目标接收人接收和理解。无线网络安全威胁●所有常规有线网络存在的安全威胁和隐患都存在；●外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；●无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入；●无线网络易被拒绝服务攻击（DOS）和干扰；●内部员工可以设置无线网卡为P2P模式与外部员工连接；●无线网络的安全产品相对较少,技术相对比较新。常规安全威胁分析由于无线网络只是在传输方式上和传统的有些网络有区别，所以常规的安全风险如病毒，恶意攻击，非授权访问等都是存在的，这就要求继续加强常规方式上的安全措施。非授权访问威胁分析无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点，对这个入口的管理不像传统网络那么容易。正因为如此，未授权实体可以在公司外部或者内部进入网络：首先，未授权实体进入网络浏览存放在网络上的信息，或者是让网络感染上病毒。其次，未授权实体进入网络，利用该网络作为攻击第三方网络的跳板。第三，入侵者对移动终端发动攻击，或为了浏览移动终端上的信息，或为了通过受危害的移动设备访问网络，第四，入侵者和公司员工勾结，通过无线交换数据。2.无线局域网一般安全技术服务集标识符通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。但是这只是一个简单的口令，所有使用该网络的人都知道该SSID，很容易泄漏，只能提供较低级别的安全；而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具得到这个SSID。物理地址（MAC，MediaAccessController）过滤由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差，无法实现机器在不同AP之间的漫游；而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。连线对等保密（WEP，WiredEquivalentProtection）在链路层采用RC4对称加密技术，用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷，可以在几个小时内被破解。虚拟专用网络（VPN，VirtualPrivateNetwork）VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，它不属于802.11标准定义；但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于Radius的用户认证以及计费。端口访问控制技术（802.1x）该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户上网。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于无线接入解决方案。扩展频谱技术扩展频谱技术在50年前第一次被军方公开介绍，它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去，与窄带射频相反，它将所有的能量集中到一个单一的频点。扩展濒谱的实现方式有多种，最常用的两种是直接序列和跳频序列加强企业内部管理制度对于内部员工主动泄密的情况，没有十分好的安全策略，只能通过管理制度进行限制。采用的安全方法如下：采用端口访问技术（802.1x）进行控制，防止非授权的非法接入和访问。对于密度等级高的网络采用VPN进行连接。布置AP的时候要在公司办公区域以外进行检查，通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域，同时要让保安人员在公司附近进行巡查，防止外部人员在公司附近接入网络。禁止员工私自安装AP，通过笔记本配置无线网卡和无线扫描软件可以进行扫描。制定无线网络管理规定，规定员工不得把网络设置信息告诉公司外部人员，禁止设置P2P的Adhoc网络结构跟踪无线网络技术，特别是安全技术（如802.11i规范了TKIP和AES），对网络管理人员进行知识培训。3.无线网络安全进程（1）在无线局域网的早期发展阶段，物理地址（MAC）过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表，实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID，才能访问AP，通过提供口令认证机制，实现一定的无线安全。（2）物理地址过滤和服务区标识符匹配只能解决有限的安全问题。为了进一步解决安全问题，有线等效保密（WiredEquivalentPrivacy，WEP）协议被推到台前。WEP用于在无线局域网中保护链路层数据。WEP使用40位、64位和128位钥匙，采用RC4对称加密算法，在链路层加密数据和访问控制。WEP具有很好的互操作性，所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。（3）WEP的密钥机制存在被破译的安全隐患，势必要被趋于完善的其他安全技术所取代。端口访问控制技术（PortBasedNetworkAccessControl，IEEE802.1x）和可扩展认证协议（ExtensibleAuthenticationProtocol，EAP）可以看成是完善的安全技术出现之前的过渡方案。IEEE802.1x标准定义了基于端口的网络访问控制，可以提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证失败，使用以太网交换机端口来发送和接收帧的行为就会被拒绝。虽然这个标准是为有线以太网络设计的，但是经过改编后可以在IEEE802.11无线局域网上应用。EAP不专属于某一厂商，它能够弥补WEP的弱点，并且同时能够解决在接入点之间的移动性问题。EAP还解决了VPN瓶颈问题，使用户能够以有线网络的速度进行工作。不过，配置EAP不是一件容易的事情，这也就是为什么PEAP受到欢迎的原因。PEAP是由微软，思科和RSASecurity共同开发，致力于简化客户端、服务器端以及目录的端到端整合。(4)Wi-Fi保护接入（Wi-FiProtectedAccess，WPA）是作为通向802.11i道路的不可缺失的一环而出现，并成为在IEEE802.11i标准确定之前代替WEP的无线安全标准协议。WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x和暂时密钥完整协议(TemporalKeyIntegrityProtocol，TKIP）。WPA使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA采用新的加密算法以及用户认证机制，满足WLAN的安全需求。WPA沿用了WEP的基本原理同时又克服了WEP缺点。由于加强了生成加密密钥的算法，即使黑客收集到分组信息并对其进行解析，也几乎无法计算出通用密钥，解决了WEP倍受指责的缺点。不过，WPA不能向后兼容某些遗留设备和操作系统。此外，除非无线局域网具有运行WPA和加快该协议处理速度的硬件，否则WPA将降低网络性能。WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性，它们最重要的共性是预验证，即在用户对延迟毫无察觉的情况下实现安全快速漫游，同时采用CCMP加密包来替代TKIP。(5)2004年6月，802.11工作组正式发布了IEEE802.11i，以加强无线网络的安全性和保证不同无线安全技术之间的兼容性，802.11i标准包括WPA和RSN两部分。WPA在文章前面已经提过。RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x和EAP，加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步，不断提供保护无线局域网传输信息所需要的安全性。与WEP和WPA相比，RSN更可靠，但是RSN不能很好地在遗留设备上运行。4.802.1x认证过程步骤802.1x的认证过程如下：1.最初的802.1x通讯开始以一个非认证客户端设备尝试去连接一个认证端(如AP)，客户端发送一个EAP起始消息。然后开始客户端认证的一连串消息交换。2.AP回复EAP-请求身份消息。3.客户端发送给认证服务器的EAP的响应信息包里包含了身份信息。AP通过激活一个只允许从客户端到AP有线端的认证服务器的EAP包的端口,并关闭了其它所有的传输，像HTTP、DHCP和POP3包，直到AP通过认证服务器来验证用户端的身份。（例如：RADIUS）4.认证服务器使用一种特殊的认证算法去验证客户端身份。同样它也可以通过使用数字认证或其他类型一些EAP认证。5.认证服务器会发送同意或拒绝信息给这个AP。6.AP发送一个EAP成功信息包（或拒绝信息包）给客户端。7.如果认证服务器认可这客户端，那么AP将转换这客户端的端口到授权状态并转发其它的通信。最重要的是，这个AP的软件是支持认证服务器里特定的EAP类型的，并且用户端设备的操作系统里或“Supplicant”（客户端设备）应用软件也要支持它。AP为802.1x消息提供了“透明传输”。这就意味着你可以指定任一EAP类型，而不需要去升级一个自适应802.1x的AP。5.802.11i技术新一代安全标准IEEE802.11i定义了RSN（RobustSecurityNetwork）的概念，增强了WLAN中的数据加密和认证性能，并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP（TemporalKeyIntegrityProtocol）、CCMP（Counter-Mode/CBC-MACProtocol）和WRAP（WirelessRobustAuthenticatedProtocol）三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES（AdvancedEncryptionStandard）加密算法和CCM（Counter-Mode/CBC-MAC）认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。802.11i协议结构如图1所示。TKIPTKIP虽然与WEP同样都是基于RC4加密算法，但却引入了4个新算法：●扩展的48位初始化向量（IV）和IV顺序规则（IVSequencingRules）；●每包密钥构建机制（per-packetkeyconstruction）；●Michael消息完整性代码（MessageIntegrityCode，MIC）；●密钥重新获取和分发机制。TKIP并不直接使用由PT