無(wú)線網(wǎng)絡(luò)技術(shù)基礎(chǔ)

1、無(wú)線局域網(wǎng)（WLAN）設(shè)計(jì)與實(shí)現(xiàn)第七章 無(wú)線局域網(wǎng)安全內(nèi)蒙古商貿(mào)職業(yè)學(xué)院計(jì)算機(jī)系2009-2010第一學(xué)期07網(wǎng)絡(luò)一班、二班內(nèi)容概要v無(wú)線局域網(wǎng)安全的嚴(yán)峻挑戰(zhàn)v無(wú)線局域網(wǎng)基本的安全措施v無(wú)線局域網(wǎng)的安全技術(shù)一 無(wú)線局域網(wǎng)安全的嚴(yán)峻挑戰(zhàn)v1.無(wú)線局域網(wǎng)安全的現(xiàn)狀v2.無(wú)線局域網(wǎng)的常見(jiàn)攻擊方式1.無(wú)線局域網(wǎng)安全的現(xiàn)狀v無(wú)線局域網(wǎng)安全問(wèn)題的獨(dú)特之處在于信道開放，用戶不必與網(wǎng)絡(luò)進(jìn)行“可視”的連接。這使攻擊者偽裝合法用戶更加容易，同時(shí)微波信號(hào)在空氣中傳播也會(huì)因多種原因?qū)е滦盘?hào)損失。v目前，無(wú)線局域網(wǎng)絡(luò)產(chǎn)品主要采用的是IEEE 802.11b國(guó)際標(biāo)準(zhǔn)，大多應(yīng)用DSSS直接序列擴(kuò)頻通信技術(shù)進(jìn)行數(shù)據(jù)傳輸，該技

2、術(shù)能有效防止數(shù)據(jù)在無(wú)線傳輸過(guò)程中丟失、干擾、信息阻塞及破壞等問(wèn)題。 2.無(wú)線局域網(wǎng)的常見(jiàn)攻擊方式v1）竊聽(tīng)v2）非法登錄v3）干擾攻擊1）竊聽(tīng)v竊聽(tīng)是無(wú)線局域網(wǎng)被動(dòng)攻擊的有效類型。在網(wǎng)絡(luò)上竊取數(shù)據(jù)又稱為嗅探。v無(wú)線網(wǎng)絡(luò)中無(wú)線信道的開放性給網(wǎng)絡(luò)嗅探帶來(lái)極大方便。在無(wú)線局域網(wǎng)中網(wǎng)絡(luò)嗅探對(duì)信息安全的威脅來(lái)自被動(dòng)性和非干擾性，執(zhí)行監(jiān)聽(tīng)程序的竊聽(tīng)過(guò)程中只是被動(dòng)的接收網(wǎng)絡(luò)中傳輸?shù)男畔?，不?huì)跟其他的主機(jī)交換信息，也不修改在網(wǎng)絡(luò)中傳輸?shù)男畔?。使網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，讓網(wǎng)絡(luò)信息失密變得不容易發(fā)現(xiàn)。2）非法登錄v無(wú)線局域網(wǎng)的非法登錄過(guò)程是通過(guò)一個(gè)無(wú)線接入點(diǎn)AP連接到一個(gè)無(wú)線局域網(wǎng)上。v主動(dòng)攻擊：一個(gè)用戶為了

3、更深入地穿透或進(jìn)入一個(gè)網(wǎng)絡(luò)，或?yàn)榱双@取對(duì)于服務(wù)器的訪問(wèn)，以得到有價(jià)值的數(shù)據(jù)，或?yàn)榱藧阂獾哪康氖褂霉镜腎nternet訪問(wèn)，甚至改變網(wǎng)絡(luò)的界面配置，改變無(wú)線局域網(wǎng)自身。例如，一個(gè)黑客可以通過(guò)設(shè)定的MAC地址過(guò)濾實(shí)施惡意攻擊。3）干擾攻擊v干擾攻擊會(huì)讓無(wú)線局域網(wǎng)癱瘓。黑客使用高功率的微波信號(hào)發(fā)送器或掃描發(fā)送器實(shí)施有目的的干擾攻擊；一個(gè)不可移除和沒(méi)有惡意的源頭對(duì)無(wú)線局域網(wǎng)的干擾；黑客使用另外一個(gè)無(wú)線接入點(diǎn)AP構(gòu)建新的無(wú)線局域網(wǎng)，通過(guò)發(fā)送比合法無(wú)線接入點(diǎn)更高的信號(hào)，有效搶奪移動(dòng)工作站。二 無(wú)線局域網(wǎng)基本的安全措施v1.信息過(guò)濾措施v2.訪問(wèn)認(rèn)證機(jī)制v3.數(shù)據(jù)加密1.信息過(guò)濾措施v信息過(guò)濾是能夠使用的

4、基本的安全機(jī)制。常用的信息過(guò)濾機(jī)制有：物理地址MAC過(guò)濾服務(wù)集標(biāo)識(shí)符SSID過(guò)濾協(xié)議端口過(guò)濾v前兩種用于簡(jiǎn)單的無(wú)線接入點(diǎn)AP，是早期無(wú)線局域網(wǎng)最主要的安全措施，第三種是建立在路由的基礎(chǔ)上。1）物理地址MAC過(guò)濾v每個(gè)無(wú)線工作站網(wǎng)卡都由惟一的物理地址(MAC)地址標(biāo)示。網(wǎng)絡(luò)管理員可在無(wú)線接入點(diǎn)AP中手工維護(hù)一組允許訪問(wèn)或不允許訪問(wèn)的MAC地址列表，以實(shí)現(xiàn)物理地址的訪問(wèn)過(guò)濾。v若企業(yè)中的AP數(shù)量太多，為實(shí)現(xiàn)整個(gè)企業(yè)中所有AP統(tǒng)一的無(wú)線網(wǎng)卡MAC地址認(rèn)證，現(xiàn)在的AP也支持無(wú)線網(wǎng)卡MAC地址的集中遠(yuǎn)程接入撥號(hào)用戶Radius認(rèn)證。MAC過(guò)濾的缺陷v物理地址過(guò)濾屬于硬件認(rèn)證，而非用戶認(rèn)證，要求AP中的M

5、AC地址控制表需隨時(shí)更新，并是手工操作，若用戶增加，可擴(kuò)展性差，只適用于小型網(wǎng)絡(luò)。vMAC地址可被盜用或非法偽造，獲取對(duì)無(wú)線局域網(wǎng)的非法訪問(wèn)，是較低級(jí)別的授權(quán)認(rèn)證。2）服務(wù)集標(biāo)識(shí)符SSID過(guò)濾v無(wú)線工作站必須出示正確的SSID，與無(wú)線接入點(diǎn)AP的SSID相同，才能訪問(wèn)AP；如果出示的SSID與AP的SSID不同，則AP將拒絕他通過(guò)本服務(wù)區(qū)上網(wǎng)。因此SSID是一個(gè)簡(jiǎn)單的口令，從而提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定的安全保障。v無(wú)線局域網(wǎng)接入點(diǎn)AP對(duì)此項(xiàng)技術(shù)的支持就是可不讓AP廣播其SSID號(hào)，這樣無(wú)線工作站端必須主動(dòng)提供正確SSID號(hào)才能與AP進(jìn)行關(guān)聯(lián)。3）協(xié)議端口過(guò)濾v協(xié)議端口過(guò)濾是無(wú)線局域設(shè)備中比較

6、高級(jí)的一種安全機(jī)制。無(wú)線局域網(wǎng)能夠過(guò)濾通過(guò)網(wǎng)絡(luò)傳輸基于27層協(xié)議的數(shù)據(jù)包。過(guò)濾出每一個(gè)協(xié)議和任何直接的信息協(xié)議，可限制用戶使用某些功能。v設(shè)置協(xié)議過(guò)濾，控制共享介質(zhì)的使用方面非常有效。2.IEEE 802.11安全機(jī)制vIEEE 802.11標(biāo)準(zhǔn)規(guī)定的無(wú)線局域網(wǎng)連接過(guò)程有4個(gè)步驟：掃描、連接、鏈路驗(yàn)證和關(guān)聯(lián)。通常，無(wú)線客戶端會(huì)掃描整個(gè)周圍環(huán)境尋找適合接入的無(wú)線接入點(diǎn)。實(shí)現(xiàn)數(shù)據(jù)傳輸時(shí)，無(wú)線局域網(wǎng)要求一定的安全機(jī)制作為保障。vIEEE 802.11標(biāo)準(zhǔn)規(guī)定的安全機(jī)制訪問(wèn)認(rèn)證機(jī)制數(shù)據(jù)加密機(jī)制有線等效加密WEP訪問(wèn)認(rèn)證機(jī)制v訪問(wèn)認(rèn)證是無(wú)線局域網(wǎng)中一個(gè)工作站向另一個(gè)工作站或無(wú)線接入點(diǎn)AP證明其身份的機(jī)制

7、。vIEEE 802.11標(biāo)準(zhǔn)中定義了兩種類型的用戶訪問(wèn)認(rèn)證機(jī)制：（1）開放式驗(yàn)證（2）共享密鑰驗(yàn)證（1）開放式驗(yàn)證v開放式驗(yàn)證是無(wú)線局域網(wǎng)設(shè)備的默認(rèn)狀態(tài)，使用該驗(yàn)證方法，一個(gè)無(wú)線客戶端僅有一個(gè)正確的SSID就可以關(guān)聯(lián)任何使用開放式系統(tǒng)驗(yàn)證的無(wú)線接入點(diǎn)AP，驗(yàn)證過(guò)程如下：無(wú)線局域網(wǎng)的無(wú)線客戶端請(qǐng)求到要關(guān)聯(lián)的無(wú)線接入點(diǎn)；無(wú)線接入點(diǎn)對(duì)于無(wú)線客戶端的鑒別響應(yīng)。（2）共享密鑰驗(yàn)證v共享密鑰驗(yàn)證要求雙方必須有一個(gè)公共密鑰，這個(gè)過(guò)程只能在使用WEP機(jī)制的工作站之間進(jìn)行，避免明文傳輸。v使用共享密鑰驗(yàn)證的鑒別過(guò)程如下：無(wú)線客戶端向無(wú)線接入點(diǎn)發(fā)送驗(yàn)證請(qǐng)求；無(wú)線接入點(diǎn)發(fā)布一個(gè)隨機(jī)產(chǎn)生的無(wú)格式的文本，從無(wú)線接入點(diǎn)

8、清晰地發(fā)送到無(wú)線客戶端；無(wú)線客戶端響應(yīng)這個(gè)請(qǐng)求，并使用自身的密鑰加密該請(qǐng)求，將其發(fā)回?zé)o線接入點(diǎn)；無(wú)線接入點(diǎn)解釋明白無(wú)線客戶端的加密響應(yīng)，識(shí)別通過(guò)一個(gè)匹配的WEP的密鑰加密請(qǐng)求文本。訪問(wèn)認(rèn)證的狀態(tài)關(guān)系狀態(tài)1：未驗(yàn)證，未關(guān)聯(lián)狀態(tài)2：已驗(yàn)證，未關(guān)聯(lián)狀態(tài)3：已驗(yàn)證，已關(guān)聯(lián)解除鏈路驗(yàn)證解除關(guān)聯(lián)鏈路驗(yàn)證成功關(guān)聯(lián)或重新關(guān)聯(lián)成功解除鏈路驗(yàn)證（驗(yàn)證結(jié)束）1類幀1類、2類幀1類、2類、3類幀數(shù)據(jù)加密機(jī)制WEPv有線等效保密WEP協(xié)議用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用64位密鑰或128位密鑰，采用RSA開發(fā)的RC4對(duì)稱加密算法，在鏈路層加密數(shù)據(jù)。vWEP加密采用靜態(tài)的密鑰，各WLAN終端使用相同的密鑰訪問(wèn)

9、無(wú)線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接AP時(shí)，AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，只有正確無(wú)誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。WEP機(jī)制的缺陷v只驗(yàn)證無(wú)線客戶端設(shè)備，缺乏使用者身份驗(yàn)證機(jī)制v采用靜態(tài)密鑰，缺乏動(dòng)態(tài)的數(shù)據(jù)加密三 無(wú)線局域網(wǎng)安全技術(shù)v1.IEEE 802.1x協(xié)議(WEP/EAP)v2.IEEE 802.1i協(xié)議(WAP)v3.無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPIv4.VPN安全解決方案1.IEEE 802.1x協(xié)議v端口訪問(wèn)技術(shù)802.1x協(xié)議是一種局域網(wǎng)接入控制協(xié)議。主要解決無(wú)

10、線局域網(wǎng)用戶的接入驗(yàn)證問(wèn)題。它是WLAN的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。v當(dāng)無(wú)線客戶端與無(wú)線接入點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò)，則AP為無(wú)線工作站打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。v802.1x要求無(wú)線客戶端安裝802.1x客戶端軟件，無(wú)線接入點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為遠(yuǎn)程接入撥號(hào)用戶Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。IEEE 802.1x協(xié)議的三要素v客戶端客戶端（服務(wù)請(qǐng)求者）。一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時(shí)，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)?huì)送出連接請(qǐng)求。 v認(rèn)

11、證系統(tǒng)認(rèn)證系統(tǒng)（驗(yàn)證者）。一般是無(wú)線接入點(diǎn)AP，也是網(wǎng)絡(luò)節(jié)點(diǎn)，其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。 v認(rèn)證服務(wù)器認(rèn)證服務(wù)器（驗(yàn)證服務(wù)者）。通過(guò)檢驗(yàn)客戶端發(fā)送來(lái)的身份標(biāo)識(shí)（用戶名和口令）來(lái)判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。IEEE 802.1x協(xié)議工作過(guò)程要求驗(yàn)證要求驗(yàn)證驗(yàn)證結(jié)果驗(yàn)證結(jié)果提供驗(yàn)證資料提供驗(yàn)證資料根據(jù)檢驗(yàn)結(jié)果根據(jù)檢驗(yàn)結(jié)果決定是否提供決定是否提供服務(wù)服務(wù)可擴(kuò)展驗(yàn)證協(xié)議EAPv802.1x融合EAP，即EAPOL(WLAN中稱做EAPOW)在申請(qǐng)者和近端認(rèn)證AP之間運(yùn)行；認(rèn)證AP與遠(yuǎn)

12、端認(rèn)證服務(wù)器同樣運(yùn)行EAP協(xié)議，EAP幀中封裝認(rèn)證數(shù)據(jù)再將該協(xié)議承載在其他高層協(xié)議中，如RADIUS，以利于穿越多種網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器，成為EAPoverRADIUS。 EAP認(rèn)證的優(yōu)點(diǎn)vEAP認(rèn)證對(duì)IEEE802.11標(biāo)準(zhǔn)起到三方面改進(jìn)。雙向認(rèn)證機(jī)制，有效地消除了中間人攻擊(MITM)，如假冒的AP和遠(yuǎn)端認(rèn)證服務(wù)器。集中化認(rèn)證管理和動(dòng)態(tài)分配加密密鑰機(jī)制。解決了管理上的難度WEP使用RC4給網(wǎng)絡(luò)里的所有AP和客戶分發(fā)靜態(tài)密鑰很繁瑣，每一次無(wú)線設(shè)備丟失，網(wǎng)絡(luò)必須重新配置密鑰以防止非法用戶利用丟失的設(shè)備進(jìn)行非法登錄。能夠定義集中策略控制，當(dāng)會(huì)話超時(shí)時(shí)將觸發(fā)重新認(rèn)證和生成新的密鑰。IEEE802.1

13、 x協(xié)議的優(yōu)點(diǎn)v802.1 x認(rèn)證的突出優(yōu)點(diǎn)就是實(shí)現(xiàn)簡(jiǎn)單、認(rèn)證效率高、安全可靠。無(wú)需多業(yè)務(wù)網(wǎng)管設(shè)備，就能保證IP網(wǎng)絡(luò)的無(wú)縫相連。同時(shí)消除了網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障。解決了采用多業(yè)務(wù)網(wǎng)關(guān)，不便于視頻業(yè)務(wù)開展的難題。在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，大大降低了整個(gè)網(wǎng)絡(luò)的建網(wǎng)成本。2.IEEE 802.11i安全標(biāo)準(zhǔn)v該標(biāo)準(zhǔn)增強(qiáng)了WLAN的數(shù)據(jù)加密和認(rèn)證性能，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)，增強(qiáng)了無(wú)線局域網(wǎng)的鑒別性能和數(shù)據(jù)加密。兩個(gè)安全協(xié)議的對(duì)比WEPTKIPIEEE 802.11x/EAPTKIPIEEE 802.11i主要內(nèi)容vWi-Fi保護(hù)接入（WPA）v健全的安全網(wǎng)絡(luò)RSN Wi

14、-Fi保護(hù)接入（WPA）vWPA在IEEE 802.11i 標(biāo)準(zhǔn)確定前是代替WEP的無(wú)線安全標(biāo)準(zhǔn)協(xié)議。WPA是IEEE 802.11i的一個(gè)子集，其核心就是IEEE 802.1x和暫時(shí)密鑰完整協(xié)議TKIP。vWPA采用新的加密算法以及用戶認(rèn)證機(jī)制，加強(qiáng)了生成加密密鑰的算法，即使黑客收集到分組信息并對(duì)其進(jìn)行解析，也幾乎無(wú)法計(jì)算出通用密鑰，解決了WEP破解容易的缺點(diǎn)。vWPA不能向后兼容某些遺留設(shè)備和操作系統(tǒng)。如果無(wú)線局域網(wǎng)沒(méi)有運(yùn)行WPA和加快該協(xié)議處理速度的硬件，WPA將降低網(wǎng)絡(luò)性能。 WPA2vWPA2是Wi-Fi聯(lián)盟發(fā)布的第二代WPA標(biāo)準(zhǔn)。WPA2與后來(lái)發(fā)布的802.11i具有類似的特性，它

15、們最重要的共性是預(yù)驗(yàn)證，即在用戶對(duì)延遲毫無(wú)察覺(jué)的情況下實(shí)現(xiàn)安全快速漫游，同時(shí)采用CCMP加密包來(lái)替代TKIP。 健全的安全網(wǎng)絡(luò)RSNvRSN是接入點(diǎn)與移動(dòng)設(shè)備之間的動(dòng)態(tài)協(xié)商認(rèn)證和加密算法。802.11i的認(rèn)證方案是基于802.1x和EAP，加密算法是AES。動(dòng)態(tài)協(xié)商認(rèn)證和加密算法使RSN可以與最新的安全水平保持同步，不斷提供保護(hù)無(wú)線局域網(wǎng)傳輸信息所需要的安全性。與WEP和WPA相比，RSN更可靠，但RSN不能很好地在遺留設(shè)備上運(yùn)行。 3.國(guó)家標(biāo)準(zhǔn)GR15629.11 WAPIvWAPI即無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它針對(duì)IEEE802.11中WEP協(xié)議安全問(wèn)題，是2003年在中國(guó)無(wú)線局域網(wǎng)國(guó)

16、家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。同時(shí)，本方案已由ISO/IEC授權(quán)的機(jī)構(gòu)IEEE注冊(cè)權(quán)威機(jī)構(gòu)審查并獲得認(rèn)可，分配了用于WAPI協(xié)議的以太類型字段，這也是我國(guó)目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。 WAPI的特點(diǎn)v采用基于公鑰密碼體系的證書機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端(MT)與無(wú)線接入點(diǎn)(AP)間雙向鑒別。v用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用。AP設(shè)置好證書后，無(wú)須再對(duì)后臺(tái)服務(wù)器進(jìn)行設(shè)置，安裝、組網(wǎng)便捷，易于擴(kuò)展。v支持Windows98/2K/XP、Linux等操作系統(tǒng)。v提供與現(xiàn)有計(jì)費(fèi)技術(shù)兼容的服務(wù)，可實(shí)現(xiàn)按時(shí)計(jì)費(fèi)、按流量計(jì)費(fèi)、包月等多種計(jì)費(fèi)方式

17、。v滿足家庭、企業(yè)、運(yùn)營(yíng)商等多種應(yīng)用模式。v在不同場(chǎng)合應(yīng)用形式相同，使用方便，用戶易接受。WAPI的組成v無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAIv無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPIv其中，WAI采用基于橢圓曲線的公鑰證書體制，無(wú)線客戶端STA和接入點(diǎn)AP通過(guò)鑒別服務(wù)器AS進(jìn)行雙向身份鑒別。而在對(duì)傳輸數(shù)據(jù)的保密方面，WPI采用了國(guó)家商用密碼管理委員會(huì)辦公室提供的對(duì)稱密碼算法進(jìn)行加密和解密，充分保障了數(shù)據(jù)傳輸?shù)陌踩PN安全解決方案vVPN是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道極其加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性。VPN可以替代連線對(duì)等加密解決方案以及物理地址過(guò)濾解決方案。v采用VPN技術(shù)的另外一個(gè)好處就是可以提供基于Radius的用戶認(rèn)證