无线局域网安全技术

8.7 无线局域网安全技术,8.7.1 无线局域网的安全问题 8.7.2 无线局域网安全技术,8.7.1无线局域网的安全问题,物理安全 无线设备包括站点（STA）和接入点（AP）。站点通常由一台PC机或笔记本电脑加上一块无线网络接口卡构成；接入点通常由一个无线输出口和一个有线的网络接口构成，其作用是提供无线和有线网络之间的桥接。物理安全是关于这些无线设备自身的安全问题，主要表现在： 无线设备存在许多的限制，这将对存储在这些设备的数据和设备间建立的通信链路安全产生潜在的影响。与个人计算机相比，无线设备如个人数字助理等，存在如电池寿命短、显示器小等缺陷。 无线设备虽有一定的保护措施，但这些保护措施总是基于最小信息保护需求的。因此，必须加强无线设备的各种防护措施。,8.7.1 无线局域网的安全问题,2. 存在的威胁 由无线局域网的传输介质的特殊性，使得信息在传输过程中具有更多的不确定性，受到影响更大，主要表现在： 窃听。任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听，但是发送者和预期的接收者无法知道传输是否被窃听，且无法检测窃听。 修改替换。在无线局域网中，较强节点可以屏蔽较弱节点，用自已的数据取代，甚至会代替其他节点作出反应。 传递信任。当公司网络包括一部分无线局域网时，就会为攻击者提供一个不需要物理安装的接口用于网络入侵。因此，参与通信的双方都应该能相互认证。,8.7.2 无线网络面临的安全问题,基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。但是针对这种攻击进行的保护几乎是不可能的，所能做的就是尽可能地降低破坏所造成的损失。 拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击，攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行，从而导致正常的用户无法使用网络。 置信攻击。通常情况下，攻击者可以将自己伪造成基站。当攻击者拥有一个很强的发送设备时，就可以让移动设备尝试登录到他的网络，通过分析窃取密钥和口令，以便发动针对性的攻击。,8.7.2 无线局域网安全技术,1. 服务集标识符 服务集标识符（SSID）技术将一个无线局域网分为几个需要不同身份验证的子网，每一个子网都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络，同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点（AP）区分的标志，无线接入用户必须设定SSID才能和AP通信。通常SSID须事先设置于所有使用者的无线网卡及A P中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID，这是唯一标识网络的字符串。 但是SSID对于网络中所有用户都是相同的字符串，其安全性差，人们可以轻易地从每个信息包的明文里窃取到它。,8.7.2 无线局域网安全技术,2. 物理地址过滤 每个无线工作站的网卡都有唯一的物理地址，应用媒体访问控制（MAC）技术，可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单，MAC地址不在清单中的用户，接入点将拒绝其接入请求。但媒体访问控制只适合于小型网络规模。这是因为： MAC地址在网上是明码模式传送，只要监听网络便可从中截取或盗用该MAC地址，进而伪装使用者潜入企业或组织内部偷取机密资料。 部分无线网卡允许通过软件来更改其MAC地址，可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址，因此可通过访问控制的检查而获取访问受保护网络的权限。 媒体访问控制属于硬件认证，而不是用户认证。,8.7.2 无线局域网安全技术,3. 有线对等保密 有线等效保密（WEP）是常见的资料加密措施，WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术，当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。 WEP的工作原理是通过一组40位或128位的密钥作为认证口令，当WEP功能启动时，每台工作站都使用这个密钥，将准备传输的资料加密运算形成新的资料，并透过无线电波传送，另一工作站在接收到资料时，也利用同一组密钥来确认资料并做解码动作，以获得原始资料。,8.7.2 无线局域网安全技术,WEP目的是向无线局域网提供与有线网络相同级别的安全保护，它用于保障无线通信信号的安全，即保密性和完整性。但WEP提供了40位长度的密钥机制存在许多缺陷，表现在： 40位的密钥现在很容易破解。 密钥是手工输入与维护，更换密钥费时和困难，密钥通常长时间使用而很少更换，若一个用户丢失密钥，则将危及到整个网络。 WEP标准支持每个信息包的加密功能，但不支持对每个信息包的验证。 现在针对WEP的不足之处，对WEP加以扩展，提出了动态安全链路技术（DSL）。DSL采用了128 位动态分配的密钥，每一个会话都自动生成一把密钥，并且在同一个会话期间，对于每256个数据包，密钥将自动改变一次。,8.7.2 无线局域网安全技术,4. Wi-Fi保护接入 Wi-Fi保护性接入（WPA）是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。 WPA标准采用了TKIP、EAP和802.1X等技术，在保持Wi-Fi认证产品硬件可用性的基础上，解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。,8.7.2 无线网络的安全技术,5. 国家标准WAPI 国家标准WAPI（WAPI），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 WAPI的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端（MT）与无线接入点（AP）间双向鉴别。另外，它充分考虑了市场应用，从应用模式上可分为单点式和集中式。采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状，从而根本上解决安全和兼容性问题。,8.7.3 无线网络的安全技术,6. 端口访问控制技术 端口访问控制技术(802.1x)是由IEEE定义的，用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权，可以用于局域网，也可以用于城域网。802.1x引入了PPP协议定义的扩展认证协议EAP。EAP采用更多的认证机制，如MD5、一次性口令等等，从而提供更高级别的安全。 802.1x是运行在无线网设备关联，其认证层次包括两方面：客户端到认证端，认证端到认证服务器。802.1x定义客户端到认证端采用EAP over LAN 协议，认证端到认证服务器采用EAP over RADIUS协议。,8.7.2 无线网络的安全技术,802.1x要求无线工作站安装802.1x客户端软件，无线访问站点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。 但是802.1x采用的用户认证信息仅仅是用户名与口令，在存储、使用和认证信息传递中可能泄漏、丢失，存在很大安全隐患。加上无线接入点AP与RADIUS服务器之间用于认认证的共享密钥是静态的，且是手工管理，也存在一定的安全隐患。,8.7.2 无线网络的安全技术,7. 虚拟专用网络 虚拟专用网络（VPN，Virtual Private Network）指使用互联网连接物理上分散的系统来模拟单一专用网的安全方式，通过隧道和加密技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的技术是VPN防火墙。同样无线LAN，也可以采用该安全框架，即安装两道防火墙：一个作为进入内部网的网关，另一个处于无线LAN和内部网之间，无线防火墙只允VPN通信，如图8.22所示。 无线用户可以向无线基础设施认证自己。实际上，把无线网络和有线网络隔离，只允许VPN通信经过，是利用了缓冲区的办法来增强网络安全性。此外，基于IPsec的VPN技术采用的IP层加密协议，可以防止通信被窃听。,8.7.2 无线网络的安全技术,图8.22无线虚拟专用网安全框架,8.7.3 无线网络的安全技术,VPN可以替代无线对等加密解决方案和物理地址过滤解决方案，也可以与WEP协议互补使用。但是VPN技术应用于无线网络也有其局限性，具体表现在： 运行脆弱。因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是很常见的 。 吞吐量小。在一个VPN网络里进行的任何交换必须经过一个VPN服务器，一台典型的VPN服务器能够达到30-50 Mbps的数据吞吐量。 通用性差。VPN技术在国内、甚至在国际上没有一个统一的开发标准。 扩展性差。改变一个VPN网络的拓扑结构或内容，用户将不得不重新规划并进行网络配置。 成本高。上述3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另外， VPN产品价格就很高。,