WLAN安全學習課件

WLAN的安全1.WLAN概述2．WLAN的安全需求3．WEP協(xié)議4.WAPI5.IEEE802.1X6.IEEE802.11i1.WLAN概述WLAN,就是無線局域網(wǎng)，其實就是IEEE802.11b的別稱，是一種短程無線傳輸技術(shù)，能夠在300米范圍內(nèi)支持互聯(lián)網(wǎng)接入的無線電信號。隨著技術(shù)的發(fā)展，以及IEEE802.11a及IEEE802.11g等標準的出現(xiàn)，現(xiàn)在IEEE802.11這個標準已被統(tǒng)稱作Wi-Fi。目前Wi-Fi的最新標準是802.11n。802.11的不同標準可以使得WLAN的接入速率達到11M或54M,現(xiàn)在最新的802.11n理論速度是300Mbps，實測達到150Mbps，比3G的上網(wǎng)速度明顯快。1.WLAN概述WLAN的優(yōu)點安裝部署靈活性好(即插即用)，接入方便自由移動應(yīng)用前景廣最有前景的Internet接入網(wǎng)技術(shù)之一到2005年，有超過80％的筆記本電腦配有WLAN接口ISP在機場、大型會議中心、商業(yè)中心、甚至咖啡店等熱點場所提供WLAN接入WLAN技術(shù)的發(fā)展進程802.11802.11b802.11a802.11g標準發(fā)布時間July1997Sept1999Sept1999June2003合法頻寬83.5MHz83.5MHz325MHz83.5MHz頻率范圍

2.400-2.483GHz2.400-2.483GHz5.150-5.350GHz5.725-5.850GHz2.400-2.483GHz非重疊信道

33123物理發(fā)送速率1,21,2,5.5,116,9,12,18,

24,36,48,546,9,12,18,

24,36,48,54理論上的最大UDP吞吐量(1500byte)1.7Mbps7.1Mbps30.9Mbps30.9Mbps理論上的TCP/IP吞吐量(1500byte)1.6Mbps5.9Mbps24.4Mbps24.4MbpsWLAN、藍牙和3GWLAN藍牙3G工作頻段2.4/5GHz2.4GHz2GHz范圍50~150米5~10米跨地區(qū)帶寬11M~54Mbps1M~2Mbps最高2Mbps業(yè)務(wù)能力主要是數(shù)據(jù)話音/數(shù)據(jù)話音/數(shù)據(jù)費用較低較低極高頻率技術(shù)FH/DSSSFH跳頻碼分設(shè)備以數(shù)據(jù)/pc為中心-以電信運營為中心無線局域網(wǎng)關(guān)注點

802.11無管理MAC認證、WEP加密無漫游低速無線接入802.11a/b簡單配置管理WPA認證TKIP加密L2漫游無線數(shù)據(jù)接入802.11g集中管理、射頻環(huán)境管理WPA認證802.11i加密L2、L3漫游語音、數(shù)據(jù)、視頻無線接入802.11n更強大的全網(wǎng)管理動態(tài)認證安全接入任意位置接入綜合業(yè)務(wù)的無線承載作為有線的簡單補充，實現(xiàn)無線基本接入功能1998年2000年2004年未來2M54/11M54M600M主要的接入層技術(shù)之一，擴展豐富增值業(yè)務(wù)功能：帶寬、管理、安全、漫游、增值規(guī)模應(yīng)用802.11網(wǎng)絡(luò)的基本元素-BSS能互相進行無線通信的STA可以組成一個BSS（BasicServiceSet）BSS是802.11網(wǎng)絡(luò)的基本結(jié)構(gòu)1208EBSS11208EBSS2STA1STA2STA3STA5STA6STA4802.11網(wǎng)絡(luò)的基本元素–ESSESS(ExtendedServiceSet)是采用相同的SSID的多個BSS形成的更大規(guī)模的虛擬BSSDSESSBSS2AP2Servicesetidentify(SSID1)BSS1AP1Servicesetidentify(SSID1)1208E1208E802.11網(wǎng)絡(luò)的基本元素–SSID和BSSIDAP1AP2BSSID1<->SSIDSSID＝“marketing”SSID＝“marketing”ESSBSSID1<->SSIDSSID是一個ESS的網(wǎng)絡(luò)標識BSSID是一個BSS的標識1208E1208E802.11組網(wǎng)模式–Adhoc802.11組網(wǎng)模式–單一BSS以太網(wǎng)1208E以太網(wǎng)802.11組網(wǎng)模式–多個BSS1208E1208E2．WLAN的安全需求無線鏈路的安全缺陷物理信道的開放性網(wǎng)上涌現(xiàn)出相關(guān)的攻擊軟件除了信息的截取，還可以進行DoS攻擊，對比有線網(wǎng)絡(luò)，更易于攻擊，甚至是物理層安全機制SSID(ServiceSetIdentifier,a32-character的唯一標識)Proberequest/proberesponse/beacon幀中包含SSID基于MAC的接入控制AP上具有可接入的MAC地址列表WEP服務(wù)集標識符SSID過濾無線工作站必須出示正確的SSID，與無線接入點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，則AP將拒絕他通過本服務(wù)區(qū)上網(wǎng)。因此SSID是一個簡單的口令，從而提供口令認證機制，實現(xiàn)一定的安全保障。無線局域網(wǎng)接入點AP對此項技術(shù)的支持就是可不讓AP廣播其SSID號，這樣無線工作站端必須主動提供正確SSID號才能與AP進行關(guān)聯(lián)。

3.WEP（無線對等保密）協(xié)議接入認證——共享密鑰認證保密性加密算法是可選的(Optional)基于RC4PRNG(RSADataSecurityInc.發(fā)明)一個40/104bit密鑰一個24bit的初始向量(IV)完整性校驗ICV(使用CRC32)802.11的認證——基于WEPOpensystemauthentication開放系統(tǒng)認證是802.11的缺省設(shè)置，不進行認證Sharedkeyauthentication共享密鑰認證使用一個共享的密鑰，完成AP對接入點的認證STAAP認證請求挑戰(zhàn)碼(128bytes)挑戰(zhàn)碼回應(yīng)確認成功/失敗工作站向AP發(fā)出認證請求AP收到初始認證幀之后，回應(yīng)一個認證幀，其中包含128字節(jié)的挑戰(zhàn)碼工作站將挑戰(zhàn)碼植入認證幀，并用共享密鑰對其加密，然后發(fā)送給APAP解密，并檢查返回的挑戰(zhàn)碼是否相同，以次判斷驗證是否通過802.11加密-WEP加密STAAP加密報文＋IV值IV靜態(tài)KeyKey生成器Key流XOR用戶數(shù)據(jù)明文發(fā)送的加密報文IV靜態(tài)KeyKey生成器Key流XOR用戶數(shù)據(jù)明文接收的加密報文1208EWEP加密本身面臨的威脅暴力以及字典攻擊法猜出使用者所選取的密鑰已知或者猜測原文攻擊法利用已知的部分明文信息和WEP重復(fù)使用IV的弱點解出其他加密包密鑰弱點攻擊法利用RC4決定密鑰算法的漏洞CRC功能不可靠，它具有線性性質(zhì)，可以輕易構(gòu)造CRC：CRC(A+B)=CRC(A)+CRC(B).從加密到安全WEP夠了嗎？整個網(wǎng)絡(luò)公用一個共享密鑰，一旦丟失，整個網(wǎng)絡(luò)都很危險IV向量太短，大量監(jiān)聽用戶數(shù)據(jù)報文后，WEP加密很容易被破解RC4加密算法本身過于簡單

解決辦法？增加一種密鑰管理機制采用更強壯的加密算法

802.11的安全增強使用128-bitWEP密鑰.這個已經(jīng)被廣泛應(yīng)用，40bit的密鑰安全性很差

標準的密鑰交換(exchange)和分發(fā)(distribution).802.11的共享密鑰機制很不安全，可以用一系列協(xié)議來完成，例如RADIUS,Kerberos,SSL/TLS和IPsec.使用帶有密鑰的MAC進行數(shù)據(jù)完整性校驗.雙向認證.抵抗中間人竊取數(shù)據(jù)或者會話劫持采用其他安全協(xié)議4.WAPI無線LAN認證和保密基礎(chǔ)設(shè)施

(WLANAuthenticationandPrivacyInfrastructure)是我國2003年5月發(fā)布的，由ISO/IEC授權(quán)的IEEERegistrationAuthority審查獲得認可無線LAN安全標準

WAPI采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和對成密鑰體制的分組密碼算法，實現(xiàn)了設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護5.IEEE802.1XPort-BasedNetworkAccessControl基于端口網(wǎng)絡(luò)接入控制ExtensibleauthenticationviaEAP可擴展的認證PPP的擴展，通用協(xié)議，支持多種認證，例如Kerberos、one-time-password、證書等RFC2284Requiresclientsupport需要客戶端的支持802.1x標準簡介:802.1x是基于端口的網(wǎng)絡(luò)接入控制協(xié)議,它提供了一個認證過程框架，支持多種認證協(xié)議在802.1x中，不同的認證協(xié)議統(tǒng)一使用EAP封裝格式。也就是說：802.1x只是對認證進行控制，是接入認證的手段，具體認證還需要其它認證協(xié)議?；诙丝诘木W(wǎng)絡(luò)接入控制：是指在局域網(wǎng)接入控制設(shè)備的端口這一級對所接入的設(shè)備進行認證和控制。連接在端口上的用戶設(shè)備如果能通過認證，就可以訪問局域網(wǎng)中的資源；如果不能通過認證，則無法訪問局域網(wǎng)中的資源——相當于物理連接被斷開。

EAP的類型包括:

EAP-MD5：最早的EAP認證類型。它是基于用戶名，密碼方式的認證。認證過程與CHAP認證過程基本相同。

EAP-TLS：是一種基于證書的認證方式，它是對用戶端和認證服務(wù)器端進行雙向證書認證的認證方式

PEAP

：是一種基于證書的認證方式，服務(wù)器側(cè)采用證書認證，客戶端側(cè)采用用戶名密碼認證5.IEEE802.1XEAP（ExtensibleAccessProtocol

）EAP最初設(shè)計用來PPP的接入認證但是被許多其他接入認證所使用WLAN(IEEE802.1X),Bluetooth,…IETFEAP工作組/html.charters/eap-charter.html計費,授權(quán)EAP的組成很多Request/Response對;由網(wǎng)絡(luò)發(fā)出請求以EAP-Request/Identity請求開始以網(wǎng)絡(luò)回應(yīng)的EAP-Success或EAP-Failure而結(jié)束EAP802.1x融合EAP，即EAPOL(WLAN中稱做EAPOW)在申請者和近端認證AP之間運行；認證AP與遠端認證服務(wù)器同樣運行EAP協(xié)議，EAP幀中封裝認證數(shù)據(jù)再將該協(xié)議承載在其他高層協(xié)議中，如RADIUS，以利于穿越多種網(wǎng)絡(luò)到達認證服務(wù)器，成為EAPoverRADIUS。802.1x認證實體LANAuthenticatorPAEServicesOfferedbyAuthenticator(e.gBridgeRelay)Authenticator’sSystemAuthenticationServer’sSystemAuthenticationServerSupplicantPAESupplicant’sSystem未受控端口受控端口MACEnablePortAuthorizePAE:PortAccessEntity端口接入實體6.IEEE802.11i增加了Key的生成、管理以及傳遞的機制每用戶使用獨立的Key通過安全的傳遞方法傳遞用戶數(shù)據(jù)加密使用的Key增加了兩類對稱加密算法，加密強度大大增強TKIP：TKIP核心仍然是RC4算法，改進了WEP的某些缺陷，加強安全性CCMP：核心為AES算法兩個安全協(xié)議的對比WEPTKIPIEEE802.11x/EAPTKIPVulnerabilityofUsingSSIDsSSIDca