第1章-第3講無線局域網(wǎng)絡(luò)安全課件

1.3無線局域網(wǎng)安全一、無線局域網(wǎng)發(fā)展中面臨的問題1、標(biāo)準(zhǔn)問題（1）藍(lán)牙技術(shù)與802.11協(xié)議的兼容問題（2）802.11協(xié)議族內(nèi)部的兼容問題（3）歐洲標(biāo)準(zhǔn)、美國標(biāo)準(zhǔn)以及其它標(biāo)準(zhǔn)的兼容問題2、射頻問題（1）不同局域網(wǎng)之間的信號干擾（2）不同無線網(wǎng)絡(luò)之間的干擾（3）無線電頻譜的使用與管理問題3、無線局域網(wǎng)的安全問題無線網(wǎng)絡(luò)除了要抵抗無線網(wǎng)絡(luò)的傳統(tǒng)攻擊外，還要能阻止無線網(wǎng)絡(luò)的特殊攻擊，這主要是因為無線網(wǎng)絡(luò)具有如下幾個方面的特點。（1）無線網(wǎng)絡(luò)的開放性使得更容易受到惡意攻擊。（2）無線網(wǎng)絡(luò)的移動性使得安全管理難度更大。（3）無線網(wǎng)絡(luò)動態(tài)變化的拓?fù)浣Y(jié)構(gòu)使得安全方案的實施難度更加大（4）無線網(wǎng)絡(luò)傳輸信號的不穩(wěn)定性帶來的問題。二、無線局域網(wǎng)的安全問題（一）無線局域網(wǎng)的安全目標(biāo)（1）保密性無線局域網(wǎng)的安全是指保護(hù)無線局域網(wǎng)的硬件、軟件和數(shù)據(jù)，防止在無線局域網(wǎng)上處理、存儲或者傳輸?shù)臄?shù)據(jù)的故意或者偶然的泄露、更改、破壞或者非授權(quán)訪問，保證系統(tǒng)聯(lián)系可靠安全的運(yùn)行，其最終目標(biāo)是通過各種技術(shù)和管理手段實現(xiàn)無線局域網(wǎng)絡(luò)及其信息系統(tǒng)的保密性、完整性、認(rèn)證性、可授權(quán)性、不可否認(rèn)性等。另外還要求安全方案具有可用性和高效性。保密性要求指的是數(shù)據(jù)在無線局域網(wǎng)上處理、存儲或傳輸?shù)倪^程中，防止數(shù)據(jù)的未授權(quán)的公開和泄露。（2）完整性要求在無線局域網(wǎng)中存儲和傳輸?shù)母鞣N類信息數(shù)據(jù)的精確性和可靠性，防止信息的丟失和被惡意篡改。（3）認(rèn)證性認(rèn)證性是指實體提供了聲稱其身份的保證，以防止其他實體假冒。在通信過程中，認(rèn)證性只對認(rèn)證時的主體身份提供確認(rèn)保證，為了獲得認(rèn)證的持續(xù)保證，需要將認(rèn)證服務(wù)和數(shù)據(jù)完整性結(jié)合起來。（4）可授權(quán)性可授權(quán)性的目標(biāo)是防止無線局域網(wǎng)中的任何資源（計算資源、通信資源或者信息資源等）進(jìn)行非授權(quán)訪問。（5）不可否認(rèn)性不可否認(rèn)性也叫不可抵賴性，是防止發(fā)送放或者接受方抵賴所傳輸信息的一種安全服務(wù)。當(dāng)接受方收到一條消息后，能夠提供足夠的證據(jù)想第三方證明這個信息的確來自某個發(fā)送方。（6）可用性可用性是指可被授權(quán)的合法用戶在使用局域網(wǎng)時，系統(tǒng)能夠提供完全滿足使用者要求的各種信息和資源服務(wù)，而不會不合理地對這些要求進(jìn)行拒絕揮著不能滿足用戶的合法要求。（7）高效性由于無線局域網(wǎng)各種資源的限制，因此設(shè)計的安全方案必須在可接受的時間內(nèi)提供所期望的安全服務(wù)。（二）無線局域網(wǎng)的安全威脅與風(fēng)險1、無授權(quán)訪問無授權(quán)訪問是指入侵者能夠訪問未授權(quán)的資源或者收集有關(guān)信息。通過無授權(quán)訪問，入侵者可以查看、刪除、或者修改機(jī)密消息，造成信息泄露、完整性破壞和非法使用。2、竊聽竊聽指入侵者通過監(jiān)聽信道來獲取信息。3、偽裝偽裝是指入侵者偽裝成其它實體或者授權(quán)用戶，對非授權(quán)的信息進(jìn)行訪問；或者是偽裝成接入點，以接收合法用戶的信息。4、篡改信息當(dāng)非授權(quán)用戶訪問系統(tǒng)資源時會篡改信息，從而破壞信息的完整性。5、否認(rèn)否認(rèn)是指接收或者服務(wù)的一方事后否認(rèn)曾經(jīng)發(fā)送過請求或者接收過信息或者服務(wù)。6、重放、重路由、錯誤路由和刪除消息重放攻擊是指攻擊者將復(fù)制的有效信息事后重新發(fā)送或者重用這些消息以訪問某種資源。重路由攻擊是指攻擊者改變消息路由以便捕獲有關(guān)信息。錯誤路由攻擊能夠?qū)⑾⒙酚傻藉e誤的目的節(jié)點，而刪除信息是指攻擊者在消息達(dá)到目的前將消息刪除。7，網(wǎng)絡(luò)泛洪當(dāng)入侵者發(fā)送大量的無關(guān)的消息時，會發(fā)生網(wǎng)絡(luò)泛洪，從而使得系統(tǒng)忙于處理偽造的消息而耗盡資源或者使信道無法使用，進(jìn)而無法對合法用戶提供服務(wù)。

由于受到以上收受到的威脅，從安全目標(biāo)上看，將會導(dǎo)致以下安全風(fēng)險（1）竊取信息（2）非授權(quán)使用資源（3）拒絕服務(wù)（4）竊取服務(wù)三、安全業(yè)務(wù)（1）連接訪問控制訪問控制是第一道防線，以阻止非授權(quán)用戶建立連接，并阻止所有消息從非授權(quán)源節(jié)點到達(dá)目的地。（2）對等實體認(rèn)證對等實體認(rèn)證是與應(yīng)用的安全登錄等效的，允許一方對另一方運(yùn)用密碼技術(shù)實行強(qiáng)制認(rèn)證，稱為抵御入侵的第二道防線。（3）數(shù)據(jù)來源認(rèn)證數(shù)據(jù)源認(rèn)證通過確認(rèn)接收的消息的確來自聲稱的發(fā)送者，它可以用在所有關(guān)聯(lián)過程中的消息交換過程。（4）完整性業(yè)務(wù)完整性業(yè)務(wù)能夠檢測消息是否保持原樣，防止消息被惡意或者偶然的修改或者丟失。完整性業(yè)務(wù)有以下3種形式：1，部分域完整性；2，整體消息的完整性；3，會話完整性（5）機(jī)密性機(jī)密性業(yè)務(wù)防止無線局域網(wǎng)中傳輸、存儲和處理的信息被未授權(quán)訪問，主要包括下面三種：1、部分域的機(jī)密性；2、整天消息的機(jī)密性；3、業(yè)務(wù)流的機(jī)密性（6）不可否認(rèn)性不可否認(rèn)防止實體否認(rèn)曾經(jīng)發(fā)送過或者接收過消息，包括兩個方面，一是數(shù)據(jù)來源的不可否認(rèn)性；二是，接收的不可否認(rèn)性。（7）訪問控制訪問控制是指對無線局域網(wǎng)中的服務(wù)和資源進(jìn)行權(quán)限分配。在網(wǎng)絡(luò)層，訪問控制保證只有受權(quán)方才能與無線服務(wù)器建立會話。在應(yīng)層，訪問控制保證只有受權(quán)實體才能與網(wǎng)絡(luò)建立關(guān)聯(lián)，訪問系統(tǒng)資源。（8）安全警報（9）安全審計四、無線局域網(wǎng)安全研究現(xiàn)狀1.服務(wù)集標(biāo)識符

服務(wù)集標(biāo)識符（SSID）技術(shù)將一個無線局域網(wǎng)分為幾個需要不同身份驗證的子網(wǎng)，每一個子網(wǎng)都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)，同時對資源的訪問權(quán)限進(jìn)行區(qū)別限制。SSID是相鄰的無線接入點（AP）區(qū)分的標(biāo)志，無線接入用戶必須設(shè)定SSID才能和AP通信。通常SSID須事先設(shè)置于所有使用者的無線網(wǎng)卡及AP中。嘗試連接到無線網(wǎng)絡(luò)的系統(tǒng)在被允許進(jìn)入之前必須提供SSID，這是唯一標(biāo)識網(wǎng)絡(luò)的字符串。但是SSID對于網(wǎng)絡(luò)中所有用戶都是相同的字符串，其安全性差，人們可以輕易地從每個信息包的明文里竊取到它。

2.物理地址過濾每個無線工作站的網(wǎng)卡都有唯一的物理地址，應(yīng)用媒體訪問控制（MAC）技術(shù)，可在無線局域網(wǎng)的每一個AP設(shè)置一個許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點將拒絕其接入請求。但媒體訪問控制只適合于小型網(wǎng)絡(luò)規(guī)模。這是因為：MAC地址在網(wǎng)上是明碼模式傳送，只要監(jiān)聽網(wǎng)絡(luò)便可從中截取或盜用該MAC地址，進(jìn)而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機(jī)密資料。部分無線網(wǎng)卡允許通過軟件來更改其MAC地址，可通過編程將想用的地址寫入網(wǎng)卡就可以冒充這個合法的MAC地址，因此可通過訪問控制的檢查而獲取訪問受保護(hù)網(wǎng)絡(luò)的權(quán)限。媒體訪問控制屬于硬件認(rèn)證，而不是用戶認(rèn)證。3.有線對等保密有線等效保密（WEP）是常見的資料加密措施，WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。在鏈路層采用RC4對稱加密技術(shù)，當(dāng)用戶的加密密鑰與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP的工作原理是通過一組40位或128位的密鑰作為認(rèn)證口令，當(dāng)WEP功能啟動時，每臺工作站都使用這個密鑰，將準(zhǔn)備傳輸?shù)馁Y料加密運(yùn)算形成新的資料，并透過無線電波傳送，另一工作站在接收到資料時，也利用同一組密鑰來確認(rèn)資料并做解碼動作，以獲得原始資料。

WEP目的是向無線局域網(wǎng)提供與有線網(wǎng)絡(luò)相同級別的安全保護(hù)，它用于保障無線通信信號的安全，即保密性和完整性。但WEP提供了40位長度的密鑰機(jī)制存在許多缺陷，表現(xiàn)在：40位的密鑰現(xiàn)在很容易破解。密鑰是手工輸入與維護(hù)，更換密鑰費時和困難，密鑰通常長時間使用而很少更換，若一個用戶丟失密鑰，則將危及到整個網(wǎng)絡(luò)。WEP標(biāo)準(zhǔn)支持每個信息包的加密功能，但不支持對每個信息包的驗證?，F(xiàn)在針對WEP的不足之處，對WEP加以擴(kuò)展，提出了動態(tài)安全鏈路技術(shù)（DSL）。DSL采用了128位動態(tài)分配的密鑰，每一個會話都自動生成一把密鑰，并且在同一個會話期間，對于每256個數(shù)據(jù)包，密鑰將自動改變一次。

4.Wi-Fi保護(hù)接入Wi-Fi保護(hù)性接入（WPA）是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號的編號，分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。WPA標(biāo)準(zhǔn)采用了TKIP、EAP和802.1X等技術(shù)，在保持Wi-Fi認(rèn)證產(chǎn)品硬件可用性的基礎(chǔ)上，解決802.11在數(shù)據(jù)加密、接入認(rèn)證和密鑰管理等方面存在的缺陷。5.國家標(biāo)準(zhǔn)WAPI國家標(biāo)準(zhǔn)WAPI（WAPI），即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。WAPI的主要特點是采用基于公鑰密碼體系的證書機(jī)制，真正實現(xiàn)了移動終端（MT）與無線接入點（AP）間雙向鑒別。另外，它充分考慮了市場應(yīng)用，從應(yīng)用模式上可分為單點式和集中式。采用WAPI可以徹底扭轉(zhuǎn)目前WLAN多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從而根本上解決安全和兼容性問題。6.端口訪問控制技術(shù)端口訪問控制技術(shù)(802.1x)是由IEEE定義的，用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認(rèn)證和授權(quán)，可以用于局域網(wǎng)，也可以用于城域網(wǎng)。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。EAP采用更多的認(rèn)證機(jī)制，如MD5、一次性口令等等，從而提供更高級別的安全。802.1x是運(yùn)行在無線網(wǎng)設(shè)備關(guān)聯(lián)，其認(rèn)證層次包括兩方面：客戶端到認(rèn)證端，認(rèn)證端到認(rèn)證服務(wù)器。802.1x定義客戶端到認(rèn)證端采用EAPoverLAN協(xié)議，認(rèn)證端到認(rèn)證服務(wù)器采用EAPoverRADIUS協(xié)議。802.1X的認(rèn)證過程802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問站點要內(nèi)嵌802.1x認(rèn)證代理，同時它還作為Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。當(dāng)無線工作站STA與無線訪問點AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計費，特別適合于公共無線接入解決方案。但是802.1x采用的用戶認(rèn)證信息僅僅是用戶名與口令，在存儲、使用和認(rèn)證信息傳遞中可能泄漏、丟失，存在很大安全隱患。加上無線接入點AP與RADIUS服務(wù)器之間用于認(rèn)認(rèn)證的共享密鑰是靜態(tài)的，且是手工管理，也存在一定的安全隱患。

7.虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)（VPN，VirtualPrivateNetwork）指使用互聯(lián)網(wǎng)連接物理上分散的系統(tǒng)來模擬單一專用網(wǎng)的安全方式，通過隧道和加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性。保護(hù)內(nèi)部網(wǎng)免遭公共互聯(lián)網(wǎng)攻擊的技術(shù)是VPN防火墻。同樣無線LAN，也可以采用該安全框架，即安裝兩道防火墻：一個作為進(jìn)入內(nèi)部網(wǎng)的網(wǎng)關(guān)，另一個處于無線LAN和內(nèi)部網(wǎng)之間，無線防火墻只允VPN通信.無線用戶可以向無線基礎(chǔ)設(shè)施認(rèn)證自己。實際上，把無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)隔離，只允許VPN通信經(jīng)過，是利用了緩沖區(qū)的辦法來增強(qiáng)網(wǎng)絡(luò)安全性。此外，基于IPsec的VPN技術(shù)采用的IP層加密協(xié)議，可以防止通信被竊聽。圖無線虛擬專用網(wǎng)安全框架VPN可以替代無線對等加密解決方案和物理地址過濾解決方案，也可以與WEP協(xié)議互補(bǔ)使用。但是VPN技術(shù)應(yīng)用于無線網(wǎng)絡(luò)