第1章-第3講-無(wú)線局域網(wǎng)絡(luò)安全-(2)課件

1.3無(wú)線局域網(wǎng)安全一、無(wú)線局域網(wǎng)發(fā)展中面臨的問(wèn)題1、標(biāo)準(zhǔn)問(wèn)題（1）藍(lán)牙技術(shù)與802.11協(xié)議的兼容問(wèn)題（2）802.11協(xié)議族內(nèi)部的兼容問(wèn)題（3）歐洲標(biāo)準(zhǔn)、美國(guó)標(biāo)準(zhǔn)以及其它標(biāo)準(zhǔn)的兼容問(wèn)題2、射頻問(wèn)題（1）不同局域網(wǎng)之間的信號(hào)干擾（2）不同無(wú)線網(wǎng)絡(luò)之間的干擾（3）無(wú)線電頻譜的使用與管理問(wèn)題3、無(wú)線局域網(wǎng)的安全問(wèn)題無(wú)線網(wǎng)絡(luò)除了要抵抗無(wú)線網(wǎng)絡(luò)的傳統(tǒng)攻擊外，還要能阻止無(wú)線網(wǎng)絡(luò)的特殊攻擊，這主要是因?yàn)闊o(wú)線網(wǎng)絡(luò)具有如下幾個(gè)方面的特點(diǎn)。（1）無(wú)線網(wǎng)絡(luò)的開(kāi)放性使得更容易受到惡意攻擊。（2）無(wú)線網(wǎng)絡(luò)的移動(dòng)性使得安全管理難度更大。（3）無(wú)線網(wǎng)絡(luò)動(dòng)態(tài)變化的拓?fù)浣Y(jié)構(gòu)使得安全方案的實(shí)施難度更加大（4）無(wú)線網(wǎng)絡(luò)傳輸信號(hào)的不穩(wěn)定性帶來(lái)的問(wèn)題。二、無(wú)線局域網(wǎng)的安全問(wèn)題（一）無(wú)線局域網(wǎng)的安全目標(biāo)（1）保密性無(wú)線局域網(wǎng)的安全是指保護(hù)無(wú)線局域網(wǎng)的硬件、軟件和數(shù)據(jù)，防止在無(wú)線局域網(wǎng)上處理、存儲(chǔ)或者傳輸?shù)臄?shù)據(jù)的故意或者偶然的泄露、更改、破壞或者非授權(quán)訪問(wèn)，保證系統(tǒng)聯(lián)系可靠安全的運(yùn)行，其最終目標(biāo)是通過(guò)各種技術(shù)和管理手段實(shí)現(xiàn)無(wú)線局域網(wǎng)絡(luò)及其信息系統(tǒng)的保密性、完整性、認(rèn)證性、可授權(quán)性、不可否認(rèn)性等。另外還要求安全方案具有可用性和高效性。保密性要求指的是數(shù)據(jù)在無(wú)線局域網(wǎng)上處理、存儲(chǔ)或傳輸?shù)倪^(guò)程中，防止數(shù)據(jù)的未授權(quán)的公開(kāi)和泄露。（2）完整性要求在無(wú)線局域網(wǎng)中存儲(chǔ)和傳輸?shù)母鞣N類(lèi)信息數(shù)據(jù)的精確性和可靠性，防止信息的丟失和被惡意篡改。（3）認(rèn)證性認(rèn)證性是指實(shí)體提供了聲稱(chēng)其身份的保證，以防止其他實(shí)體假冒。在通信過(guò)程中，認(rèn)證性只對(duì)認(rèn)證時(shí)的主體身份提供確認(rèn)保證，為了獲得認(rèn)證的持續(xù)保證，需要將認(rèn)證服務(wù)和數(shù)據(jù)完整性結(jié)合起來(lái)。（4）可授權(quán)性可授權(quán)性的目標(biāo)是防止無(wú)線局域網(wǎng)中的任何資源（計(jì)算資源、通信資源或者信息資源等）進(jìn)行非授權(quán)訪問(wèn)。（5）不可否認(rèn)性不可否認(rèn)性也叫不可抵賴性，是防止發(fā)送放或者接受方抵賴所傳輸信息的一種安全服務(wù)。當(dāng)接受方收到一條消息后，能夠提供足夠的證據(jù)想第三方證明這個(gè)信息的確來(lái)自某個(gè)發(fā)送方。（6）可用性可用性是指可被授權(quán)的合法用戶在使用局域網(wǎng)時(shí)，系統(tǒng)能夠提供完全滿足使用者要求的各種信息和資源服務(wù)，而不會(huì)不合理地對(duì)這些要求進(jìn)行拒絕揮著不能滿足用戶的合法要求。（7）高效性由于無(wú)線局域網(wǎng)各種資源的限制，因此設(shè)計(jì)的安全方案必須在可接受的時(shí)間內(nèi)提供所期望的安全服務(wù)。7，網(wǎng)絡(luò)泛洪當(dāng)入侵者發(fā)送大量的無(wú)關(guān)的消息時(shí)，會(huì)發(fā)生網(wǎng)絡(luò)泛洪，從而使得系統(tǒng)忙于處理偽造的消息而耗盡資源或者使信道無(wú)法使用，進(jìn)而無(wú)法對(duì)合法用戶提供服務(wù)。

由于受到以上收受到的威脅，從安全目標(biāo)上看，將會(huì)導(dǎo)致以下安全風(fēng)險(xiǎn)（1）竊取信息（2）非授權(quán)使用資源（3）拒絕服務(wù)（4）竊取服務(wù)三、安全業(yè)務(wù)（1）連接訪問(wèn)控制訪問(wèn)控制是第一道防線，以阻止非授權(quán)用戶建立連接，并阻止所有消息從非授權(quán)源節(jié)點(diǎn)到達(dá)目的地。（2）對(duì)等實(shí)體認(rèn)證對(duì)等實(shí)體認(rèn)證是與應(yīng)用的安全登錄等效的，允許一方對(duì)另一方運(yùn)用密碼技術(shù)實(shí)行強(qiáng)制認(rèn)證，稱(chēng)為抵御入侵的第二道防線。（3）數(shù)據(jù)來(lái)源認(rèn)證數(shù)據(jù)源認(rèn)證通過(guò)確認(rèn)接收的消息的確來(lái)自聲稱(chēng)的發(fā)送者，它可以用在所有關(guān)聯(lián)過(guò)程中的消息交換過(guò)程。（4）完整性業(yè)務(wù)完整性業(yè)務(wù)能夠檢測(cè)消息是否保持原樣，防止消息被惡意或者偶然的修改或者丟失。完整性業(yè)務(wù)有以下3種形式：1，部分域完整性；2，整體消息的完整性；3，會(huì)話完整性（5）機(jī)密性機(jī)密性業(yè)務(wù)防止無(wú)線局域網(wǎng)中傳輸、存儲(chǔ)和處理的信息被未授權(quán)訪問(wèn)，主要包括下面三種：1、部分域的機(jī)密性；2、整天消息的機(jī)密性；3、業(yè)務(wù)流的機(jī)密性（6）不可否認(rèn)性不可否認(rèn)防止實(shí)體否認(rèn)曾經(jīng)發(fā)送過(guò)或者接收過(guò)消息，包括兩個(gè)方面，一是數(shù)據(jù)來(lái)源的不可否認(rèn)性；二是，接收的不可否認(rèn)性。（7）訪問(wèn)控制訪問(wèn)控制是指對(duì)無(wú)線局域網(wǎng)中的服務(wù)和資源進(jìn)行權(quán)限分配。在網(wǎng)絡(luò)層，訪問(wèn)控制保證只有受權(quán)方才能與無(wú)線服務(wù)器建立會(huì)話。在應(yīng)層，訪問(wèn)控制保證只有受權(quán)實(shí)體才能與網(wǎng)絡(luò)建立關(guān)聯(lián)，訪問(wèn)系統(tǒng)資源。（8）安全警報(bào)（9）安全審計(jì)四、無(wú)線局域網(wǎng)安全研究現(xiàn)狀1.服務(wù)集標(biāo)識(shí)符

服務(wù)集標(biāo)識(shí)符（SSID）技術(shù)將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)，每一個(gè)子網(wǎng)都需要獨(dú)立的身份驗(yàn)證，只有通過(guò)身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)，同時(shí)對(duì)資源的訪問(wèn)權(quán)限進(jìn)行區(qū)別限制。SSID是相鄰的無(wú)線接入點(diǎn)（AP）區(qū)分的標(biāo)志，無(wú)線接入用戶必須設(shè)定SSID才能和AP通信。通常SSID須事先設(shè)置于所有使用者的無(wú)線網(wǎng)卡及AP中。嘗試連接到無(wú)線網(wǎng)絡(luò)的系統(tǒng)在被允許進(jìn)入之前必須提供SSID，這是唯一標(biāo)識(shí)網(wǎng)絡(luò)的字符串。但是SSID對(duì)于網(wǎng)絡(luò)中所有用戶都是相同的字符串，其安全性差，人們可以輕易地從每個(gè)信息包的明文里竊取到它。

2.物理地址過(guò)濾每個(gè)無(wú)線工作站的網(wǎng)卡都有唯一的物理地址，應(yīng)用媒體訪問(wèn)控制（MAC）技術(shù)，可在無(wú)線局域網(wǎng)的每一個(gè)AP設(shè)置一個(gè)許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點(diǎn)將拒絕其接入請(qǐng)求。但媒體訪問(wèn)控制只適合于小型網(wǎng)絡(luò)規(guī)模。這是因?yàn)椋篗AC地址在網(wǎng)上是明碼模式傳送，只要監(jiān)聽(tīng)網(wǎng)絡(luò)便可從中截取或盜用該MAC地址，進(jìn)而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機(jī)密資料。部分無(wú)線網(wǎng)卡允許通過(guò)軟件來(lái)更改其MAC地址，可通過(guò)編程將想用的地址寫(xiě)入網(wǎng)卡就可以冒充這個(gè)合法的MAC地址，因此可通過(guò)訪問(wèn)控制的檢查而獲取訪問(wèn)受保護(hù)網(wǎng)絡(luò)的權(quán)限。媒體訪問(wèn)控制屬于硬件認(rèn)證，而不是用戶認(rèn)證。3.有線對(duì)等保密有線等效保密（WEP）是常見(jiàn)的資料加密措施，WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。在鏈路層采用RC4對(duì)稱(chēng)加密技術(shù)，當(dāng)用戶的加密密鑰與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽(tīng)以及非法用戶的訪問(wèn)。WEP的工作原理是通過(guò)一組40位或128位的密鑰作為認(rèn)證口令，當(dāng)WEP功能啟動(dòng)時(shí)，每臺(tái)工作站都使用這個(gè)密鑰，將準(zhǔn)備傳輸?shù)馁Y料加密運(yùn)算形成新的資料，并透過(guò)無(wú)線電波傳送，另一工作站在接收到資料時(shí)，也利用同一組密鑰來(lái)確認(rèn)資料并做解碼動(dòng)作，以獲得原始資料。

WEP目的是向無(wú)線局域網(wǎng)提供與有線網(wǎng)絡(luò)相同級(jí)別的安全保護(hù)，它用于保障無(wú)線通信信號(hào)的安全，即保密性和完整性。但WEP提供了40位長(zhǎng)度的密鑰機(jī)制存在許多缺陷，表現(xiàn)在：40位的密鑰現(xiàn)在很容易破解。密鑰是手工輸入與維護(hù)，更換密鑰費(fèi)時(shí)和困難，密鑰通常長(zhǎng)時(shí)間使用而很少更換，若一個(gè)用戶丟失密鑰，則將危及到整個(gè)網(wǎng)絡(luò)。WEP標(biāo)準(zhǔn)支持每個(gè)信息包的加密功能，但不支持對(duì)每個(gè)信息包的驗(yàn)證?，F(xiàn)在針對(duì)WEP的不足之處，對(duì)WEP加以擴(kuò)展，提出了動(dòng)態(tài)安全鏈路技術(shù)（DSL）。DSL采用了128位動(dòng)態(tài)分配的密鑰，每一個(gè)會(huì)話都自動(dòng)生成一把密鑰，并且在同一個(gè)會(huì)話期間，對(duì)于每256個(gè)數(shù)據(jù)包，密鑰將自動(dòng)改變一次。

4.Wi-Fi保護(hù)接入Wi-Fi保護(hù)性接入（WPA）是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過(guò)這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。WPA標(biāo)準(zhǔn)采用了TKIP、EAP和802.1X等技術(shù)，在保持Wi-Fi認(rèn)證產(chǎn)品硬件可用性的基礎(chǔ)上，解決802.11在數(shù)據(jù)加密、接入認(rèn)證和密鑰管理等方面存在的缺陷。5.國(guó)家標(biāo)準(zhǔn)WAPI國(guó)家標(biāo)準(zhǔn)WAPI（WAPI），即無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對(duì)IEEE802.11中WEP協(xié)議安全問(wèn)題，在中國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。WAPI采用公開(kāi)密鑰體制的橢圓曲線密碼算法和對(duì)稱(chēng)密鑰密碼體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書(shū)、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)。WAPI的主要特點(diǎn)是采用基于公鑰密碼體系的證書(shū)機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端（MT）與無(wú)線接入點(diǎn)（AP）間雙向鑒別。另外，它充分考慮了市場(chǎng)應(yīng)用，從應(yīng)用模式上可分為單點(diǎn)式和集中式。采用WAPI可以徹底扭轉(zhuǎn)目前WLAN多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從而根本上解決安全和兼容性問(wèn)題。6.端口訪問(wèn)控制技術(shù)端口訪問(wèn)控制技術(shù)(802.1x)是由IEEE定義的，用于以太網(wǎng)和無(wú)線局域網(wǎng)中的端口訪問(wèn)與控制。該協(xié)議定義了認(rèn)證和授權(quán)，可以用于局域網(wǎng)，也可以用于城域網(wǎng)。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。EAP采用更多的認(rèn)證機(jī)制，如MD5、一次性口令等等，從而提供更高級(jí)別的安全。802.1x是運(yùn)行在無(wú)線網(wǎng)設(shè)備關(guān)聯(lián)，其認(rèn)證層次包括兩方面：客戶端到認(rèn)證端，認(rèn)證端到認(rèn)證服務(wù)器。802.1x定義客戶端到認(rèn)證端采用EAPoverLAN協(xié)議，認(rèn)證端到認(rèn)證服務(wù)器采用EAPoverRADIUS協(xié)議。802.1X的認(rèn)證過(guò)程802.1x要求無(wú)線工作站安裝802.1x客戶端軟件，無(wú)線訪問(wèn)站點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。當(dāng)無(wú)線工作站STA與無(wú)線訪問(wèn)點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。802.1x除提供端口訪問(wèn)控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，特別適合于公共無(wú)線接入解決方案。但是802.1x采用的用戶認(rèn)證信息僅僅是用戶名與口令，在存儲(chǔ)、使用和認(rèn)證信息傳遞中可能泄漏、丟失，存在很大安全隱患。加上無(wú)線接入點(diǎn)AP與RADIUS服務(wù)器之間用于認(rèn)認(rèn)證的共享密鑰是靜態(tài)的，且是手工管理，也存在一定的安全隱患。

7.虛擬專(zhuān)用網(wǎng)絡(luò)虛擬專(zhuān)用網(wǎng)絡(luò)（VPN，VirtualPrivateNetwork）指使用互聯(lián)網(wǎng)連接物理上分散的系統(tǒng)來(lái)模擬單一專(zhuān)用網(wǎng)的安全方式，通過(guò)隧道和加密技術(shù)保證專(zhuān)用數(shù)據(jù)的網(wǎng)絡(luò)安全性。保護(hù)內(nèi)部網(wǎng)免遭公共互聯(lián)網(wǎng)攻擊的技術(shù)是VPN防火墻。同樣無(wú)線LAN，也可以采用該安全框架，即安裝兩道防火墻：一個(gè)作為進(jìn)入內(nèi)部網(wǎng)的網(wǎng)關(guān)，另一個(gè)處于無(wú)線LAN和內(nèi)部網(wǎng)之間，無(wú)線防火墻只允VPN通信.無(wú)線用戶可以向無(wú)線基礎(chǔ)設(shè)施認(rèn)證自己。實(shí)際上，把無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)隔離，只允許VPN通信經(jīng)過(guò)，是利用了緩沖區(qū)的辦法來(lái)增強(qiáng)網(wǎng)絡(luò)安全性。此外，基于IPsec的VPN技術(shù)采用的IP層加密協(xié)議，可以防止通信被竊聽(tīng)。圖無(wú)線虛擬專(zhuān)用網(wǎng)安全框架VPN可以替代無(wú)線對(duì)等加密解決方案和物理地址過(guò)濾解決方案，也可以與WEP協(xié)議互補(bǔ)使用。但是VPN技術(shù)應(yīng)用于無(wú)線網(wǎng)絡(luò)也有其局限性，具體表現(xiàn)在：運(yùn)行脆弱。