《无线网络安全机制课件.ppt》由会员分享,可在线阅读,更多相关《无线网络安全机制课件.ppt(41页珍藏版)》请在三一办公上搜索。
1、第六章 无线网络的安全机制,6.1 无线网络概述6.2 无线网络结构与技术实现6.3 IEEE 802.11标准6.4 无线网络的安全性,计算机无线联网方式是有线联网方式的一种补充,它是在有线网的基础上发展起来的,使联网的计算机可以自由移动,能快速、方便的解决以有线方式不易实现的信道连接问题。然而,由于无线网络采用空间传播的电磁波作为信息的载体,因此与有线网络不同,若辅以专业设备,任何人都有条件窃听或干扰信息,可见在无线网络中,网络安全是至关重要的。,6.1 无线网络概述,6.1.1 无线网络的概念及特点,通常计算机组网的传输媒介主要依赖铜缆和光缆,构成有线局域网。但有线网络在某些场合要受到布
2、线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相距较远的节点联系起来时,敷设专用通信线路的布线施工难度大、费用高、耗时长,和正在迅速扩大的连网需求形成了严重的矛盾。无线局域网WLAN(Wireless Local Area Network)就是为解决有线网络以上问题而出现的。解决这一难题迅速和最有效的方法是采用新型计算机无线通信和无线计算机网络系统。,6.1.2无线网络的分类,1.无线个人网:主要用于个人用户工作空间,典型距离覆盖几米,可以与计算机同步传输文件,访问本地外围设备,如打印机等。目前主要技术包括蓝牙(Bluetooth)和红外(IrDA)。蓝牙,最新
3、的无线网络技术,距离6M左右,全方位辐射,速度较快. 现在主要应用于手机。 红外,很早就有的无线技术,使用时得两个红外设置面对面,距离小,速度慢, 现在基本淘汰。,2.无线局域网:主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米。目前主要技术为802.11系列。 3.无线LAN-to-LAN网桥:主要用于大楼之间的联网通信,典型距离为几公里,许多无线网桥采用802.11b技术。4.无线城域网和广域网:覆盖城域和广域环境,主要用语Internet访问,但提供的带宽比有线网络技术要低很多。,6.1.3无线组网技术分类,无线网络所用到的三种技术可概括如下。(1) 蓝牙技术蓝牙技术是
4、由移动通信公司与移动计算公司联合起来开发的传输范围约为6m左右的短距离无线通信标准,用来设计在便携式计算机、移动电话以及其他的移动设备之间建立起一种小型、经济、短距离的无线链路。能在包括移动电话、PDA、无线耳机、笔记本电脑、相关外设等众多设备之间进行无线信息交换。蓝牙的标准是IEEE802.15,工作在2.4GHz 频带,带宽为1Mb/s。,(2)IEEE 802.11IEEE 802.11是IEEE 最初制定的一个无线网络标准,主要用于解决办公室局域网和校园网,用户与用户终端的无线接入。 IEEE 802.11技术的应用将继续成为热点。一方面产品价格将继续下降,另一方面无线技术的通信安全问
5、题会得到较好的解决。IEEE 802.11i、IEEE 802.11x标准的推出以及其他安全解决方案如VPN的面市,也会促使那些犹豫不决的用户去采用无线局域网技术;另外,支持更快数据传输速率的IEEE 802.11n产品会进一步推动该市场。,(3) HomeRF技术HomeRF(家庭射频)技术是无绳电话技术(数字式增强型无绳电话或者简称为DECT:Digital Enhanced Cordless Telephone)和无线局域网(WLAN)技术相互融合发展的产物。无线局域网IEEE802.11采用CSMA/CA(载波监听多点接入/冲突避免)方式,特别适合于数据业务;而DECT使用TDMA(时
6、分多路复用)方式,特别适合于话音通信,将二者进行融合构成家庭射频使用的共享无线应用协议(SWAP:Shared Wireless Access Protocol)。SWAP使用TDMACSMA/CA方式,适合话音和数据业务,并且特地为家庭小型网络进行了优化。,家庭射频系统的设计目的就是为了在家用电器设备之间传送话音和数据,并且能够与公众交换电话网(PSTN)和互联网进行交互式操作。在这三种技术中,IEEE802.11比较适于办公室中的企业无线网络,HomeRF可应用于家庭中的移动数据和语音设备与主机之间的通信,而蓝牙技术则可以应用与任何可以用无线方式替代线缆的场合。,6.1.4无线网络的应用领
7、域,在国内,WLAN的技术和产品在实际应用领域还是比较新的。就目前来看,无线网络已经在教育、金融、健康、旅馆、以及零售业、制造业等各方面有了广泛的应用。 医疗 使用附带无线局域网络产品的手提式计算机取得实时信息,医护人 员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟 延及误诊等,而提升对伤患照顾的品质。,餐饮及零售 餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时,可使用无线局域网络产品设置临时收银柜台。这个好像国内很少,星巴克咖啡厅里面都有无线网络供顾客使用。 企业 当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个
8、角落,有无线局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。, 监视系统 一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网络将远方之影像传回主控站。 展示会场 诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是再好不过的选择。WLAN可使工作人员在极短的时间内,方便地得到计算机网络的服务,和Internet连接并获得所需要的资料,也可以使用移动计算机互通信息、传递稿件和制作报告。, 移动办公系统 在这方面无线技术也有广泛的应用前景。在办公环境中使用WLAN,可以使办公用的计算机具有移动能力,在网络范围内可以实现计算机漫游
9、。各种业务人员、部门负责人和工程技术专家,只要有移动终端或笔记本电脑,无论是在办公室、资料室、洽谈室,甚至在宿舍都可通过WLAN随时查阅资料、获取信息。领导和管理人员可以在网络范围的任何地点发布指示,通知事项,联系业务。也就是说可以随时随地进行移动办公。,6.2 无线网络结构与技术实现,无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(Access Point,AP,亦译作网络桥接器)、无线网桥、无线Modem及无线网卡等来实现,以无线网卡最为普遍,使用最多。与有线网络一样,无线局域网同样也需要传送介质。但它不是使用双绞线或者光纤,而是使用红外(IR)或者射频(RF)波段,无线局域网
10、一般普遍采用扩频微波技术。无线局域网有两种拓扑结构:对等网络和结构化网络。,(1)对等网络也称Ad-hoc网络,它覆盖的服务区被称为独立基本服务区。(2)结构化网络由无线访问点(AP)、无线工作站(STA)以及分布式系统(DSS)构成,覆盖的区域分基本服务区(BSS)和扩展服务区(ESS)。,6.3 IEEE 802.11标准,6.4 无线网络的安全性,(1)无线网技术的安全性级别定义。第一级,扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据。第二级,采取网络隔离及网络认证措施。第三级,设置严密的用户口令及认证措施,防止非法用户入侵。第四级,设置附加的第三方数据加密方案,即使信号被盗听也
11、难以理解其中的内容,(2)常见的无线网络的安全加密措施。,第一,服务区标示符(SSID)。无线工作站必须出示正确的SSID才能访问AP,因此可以认为SSID是一个简单的口令,从而提供一定的安全。如果配置AP向外广播其SSID,那么安全程度将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。第二,运用扩展服务集标识号(ESSID)。用户为扩大带宽而连接多个AP,它们的ESSID必须设置成一致而跳频序列不一样。而所有这些设置都受P安装者定码的控制。因此,有了32位字符的ESSID和3位字符的跳频序列,您会发现对于那些试图经由局域网的无线网段进入局域网的
12、人来讲,想推断出确切的ESSID和跳频序列有多么困难。,第三,物理地址(MAC)过滤。每个无线工作站网卡都有唯一的物理地址标示,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。第四,连线对等保密(WEP)。 在链路层采用RC4对称加密技术,钥匙长40位,从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必须与AP的钥匙相同,并且一个服务区内的所有用户都共享同一把钥匙。,第五,虚拟专用网络(VPN)。 虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技
13、术。VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。第六,端口访问控制技术(802.1x)。该技术是用于无线网络的一种增强型网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。,(3)无线网安全机制的隐患,802.11b标准能提供完整的保密机制给无线局域网络使用,却隐藏安全隐患。无线局域网络ESSID的安全性;40位的加密安全性;共享密钥泄露;采用Access Control Lis
14、t的便利性。,6.4.2 典型WLAN的使用及其安全性,(1)访客级。如果打算提供非正式或者无监管的Internet接入,则可能会受到不受控制的访问及AP直接连接到Internet。这类WLAN可能不需要实施WEP链路安全措施或者访问加密/签名,并且允许所有不同厂商的WLAN卡能够互操作。使用这种服务的公司会使来宾非常愉快,但要承担雇员对它进行滥用、使企业暴露在Internet上的风险。,(2)进行访问登记。这是为Internet接入提供基本服务的一个折中。其使用WEP安全措施和简单的口令认证。这样就可以为Internet接入有选择地使用AP,并且可以防止未经许可的访客偶然进入,当然对蓄意闯入
15、的黑客起不了作用。,(3)私有的Intranet访问。在这种保守的解决方法中,AP使用RADIUS进行比较强的链路加密和签名。其安全性和保密性不错,但由于缺少强链路加密的标准,采用这种方法不能实现互操作。到2002年,它将成为单一厂商的解决方案,企业必须锁定一个厂商,以确保能够受到保护。,(4)私有VPN接入。这是对创建私有接入合乎情理的折中。AP通过企业的VPN网关接到WLAN的入口,只有拥有合法的企业签名、运行适当的VPN的用户才能被允许通过AP接入。链路加密固然很重要,但合法的VPN会话保证也减少了窥探和攻击的危险。由于在AP上存在着对等攻击(peer attacks)的危险,采用这种方
16、法的企业必须确保用户的PC装有同级别的抗病毒程序和个人防火墙,同时还要求用户都使用VPN。不能允许Split tunneling,因为以前已经证明这对VPN用户是一个严重的威胁,AP上的所有用户都有可能成为黑客的俘虏。,(5)访问别人的公共WLAN服务。那些为移动用户提供无线网卡的企业和自己购买网卡的用户最终会发现他们能够获得公共的WLAN服务,但同时也冒着使自己公司的系统暴露的危险。任何允许移动用户使用无线网卡的企业必须确保用户安装了防病毒软件和个人防火墙。由于大多数公司都有合适的防病毒软件,个人防火墙也可以和无线网卡打包发给用户。,6.4.3对无线网络的入侵方法,对无线网络进行入侵首先可以
17、采用射频干扰的方法在信号级切断信息传播的通道。不管是有意还是无意,只要噪声的功率大于信号功率,在接收端信噪比差到一定程度,就会出现误码,甚至无线传输链路彻底中断。黑客入侵无线网络的主要手法如下: 方法一:利用现在的开放网络。过程:黑客扫瞄所有开放型的无线接入点(无线路由器和无线AP),其中,部分网络的确是专供大众使用,但多数则是因为使用者没有做好安全设置,门户大开。企图:免费上网、透过你的网络攻击第三方、探索其它人的网络。,方法二:侦测入侵无线存取设备。过程:黑客先在某一企图网络或公共地点设置一个伪装的无线存取设备,好让受害者误以为该处有无线网络可使用。若黑客的伪装设备讯号强过真正无线存取设备
18、的讯号,受害者计算机便会选择讯号较强的伪装设备连上网络。此时,黑客便可等着收取受害者键入的密码,或将病毒码输入受害者计算机中。企图:侦测入侵、盗取密码或身份,取得网络权限。,方法三:WEP加密入侵。过程:黑客侦测WEP安全协议漏洞,破解无线存取设备与客户之间的通讯。若黑客只是采取监视方式的被动式攻击,可能得花上好几天的时间才能破解,但有些主动式的攻击手法只需数小时便可破解。企图:非法侦测入侵、盗取密码或身份,取得网络权限。,方法四:偷天换日入侵。过程:跟第二种方式类似,黑客架设一个伪装的无线存取设备,以及与企图网络相同的及虚拟私人网络(VPN)服务器(如SSH)。若受害者要连接服务器时,冒牌服
19、务器会送出响应讯息,使得受害者连上冒牌的服务器。很多用户都没有开启安全功能,把自己主动暴露在黑客的面前,这是十分危险的。其实大家只要通过改变你的路由器缺省管理员密码、禁止SSID广播、设置使用WEP和WPA等各种加密,同时使用MAC地址过滤,就能够获得相对安全的无线网络环境。不论在咖啡店这样的公共场所,还是在公司或家里,我们应该将无线安全设置变成一种日常的行为规范,养成良好的习惯,这样才能最大限度的保护网络安全。,6.4.4 防范无线网络的入侵措施,防止无线网络受到黑客入侵的十项防范措施:(1)正确放置网络的接入点设备。 在网络配置中,要确保无线接入点放置在防火墙范围之外。(2)利用MAC阻止
20、黑客入侵。利用基于MAC地址的ACL(访问控制列表)确保只有经过注册的设备才能进入网络。MAC过滤技术就如同给系统的门前再加一把锁,设置的障碍越多,越会使得黑客知难而退,不得不转而寻求其他低安全的网络。(3)有效管理无线网络的ID。 所有无线局域网都有一个缺省SSID或网络名。立即更改这个名字,用文字和数字符号来表示。如果企业具有网络管理能力,应该定期更改SSID,这要取消SSID自动播放功能。,(4)保证WEP协议的重要性。WEP是802.11b无线局域网的标准网络安全协议。在传输信息时,WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后,应立即更改WEP密钥的缺
21、省值。最理想的方式是WEP的密码能够在用户登陆后进行动态改变,基于会话和用户的WEP密码管理技术能够实现最优保护,为网络增加另外一层防范。 (5)要清楚地认识到WEP协议不是万能的。不能将加密保障都寄希望于WEP协议。WEP只是多层网络安全措施中的一层,虽然这项技术在数据加密中具有相当重要的作用,但整个网络的安全不应该只依赖这一层的安全性能。,(6)采用VPN技术。 VPN是最好的网络技术之一,如果每一项安全措施都是阻挡黑客进入网络前门的门锁,那么,VPN则是保护网络后门安全的关键。VPN具有比WEP协议更高层的网络安全性(第三层),能够支持用户和网络间端到端的安全隧道连接。(7)提高已有的R
22、ADIUS服务能力。企业的IT网络管理员能够将无线局域网集成到已经存在的RADIUS架构来简化对用户的管理。这样不仅能实现无线网络的认证,而且还能保证无线用户与远程用户使用同样的认证方法和帐号。,(8)简化网络安全管理 ,集成无线和有线网络安全策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平,降低管理成本。(9)认识到WLAN设备不全都一样。尽管802.11b是一个标准协议,所有获得Wi-Fi标志认证的设备都可以进行基本功能的通信,但不是所有这样的无线设备都完全对等。虽然Wi-Fi认证保证了设备间的互操作能力,但许多生产商的设备
23、都不包括增强的网络安全功能。,(10)不能让非专业人员构建无线网络。尽管现在的无线局域网的构建已经相当方便,非专业人员可以在自己的办公室安装无线路由器和接入点设备,但是,他们在安装过程很少考虑到网络的安全性,只要通过网络探测工具扫描网络就能够给黑客留下入侵的后门。因而,在没有专业系统管理员同意和参与的情况下,要限制无线网络的构建,这样才能够保证无线网络的安全。,6.4.5无线网攻击工具进攻方法及防范,对无线网安全攻防应该都需要一套工具,Internet上有很多免费的工具。1. 找到无线网络 找到无线网络是攻击的第一步,这里推荐两款常用工具:(1)Network Stumbler a.k.a N
24、etStumbler。这个基于Windows的工具可以非常容易地发现一定范围内广播出来的无线信号,还可以判断哪些信号或噪音信息可以用来做站点测量。(2)Kismet。NetStumbler缺乏的一个关键功能就是显示那些没有广播SSID的无线网络。如果将来想成为无线安全专家,您就应该认识到访问点(Access Points)会常规性地广播这个信息。Kismet会发现并显示没有被广播的那些SSID,而这些信息对于发现无线网络是非常关键的。,2. 连上找到的无线网络发现了一个无线网络后,下一步就是努力连上它。如果该网络没有采用任何认证或加密安全措施,可以很轻松地连上它的SSID。如果SSID没有被广
25、播,可以用这个SSID的名称创建一个文件。如果无线网络采用了认证和/或加密措施,需要以下工具中的某一个。 (1)Airsnort。这个工具非常好用,可以用来嗅探并破解WEP密钥。很多人都用WEP,当然比什么都不用要好。在用这个工具时你会发现它捕获大量抓来的数据包,来破解WEP密钥。还有其它的工具和方法,可以用来强制无线网络上产生的流量去缩短破解密钥所需时间,不过Airsnort并不具有这个功能。,(2)CowPatty。这个工具被用作暴力破解WPA-PSK,因为家庭无线网络很少用WEP。这个程序非常简单地尝试一个文章中各种不同的选项,来看是否某一个刚好和预共享的密钥相符。(3)ASLeap。如
26、果某无线网络用的是LEAP,这个工具可以搜集通过网络传输的认证信息,并且这些抓取的认证信息可能会被破解。LEAP不对认证信息提供保护,这也正是LEAP可以被攻击的主要原因。,3.抓取无线网上的信息不管是不是直接连到了无线网络,只要所在的范围内有无线网络存在,就会有信息传递。要看到这些信息,需要一个工具。这就是Ethereal。毫无疑问,这个工具非常有价值。Ethereal可以扫描无线和以太网信息,还具备非常强的过滤能力。它还可以嗅探出802.11管理信息,也可被用作嗅探非广播SSID。,4.防范这些工具知道怎样使用上述工具是非常重要的,不过,知道怎样防范这些工具、保护自己的无线网络安全更重要。
27、防范NetStumbler:不要广播自己的SSID,保证自己的WLAN受高级认证和加密措施的保护。防范Kismet:没有办法让Kismet找不到自己的WLAN,所以一定要保证有高级认证和加密措施。防范Airsnort:使用128比特的,而不是40比特的WEP加密密钥,这样可以让破解需要更长时间。如果自己的设备支持的话,使用WPA或WPA2,不要使用WEP。,防范Cowpatty:选用一个长的复杂的WPA共享密钥。密钥的类型要不太可能存在于黑客归纳的文件列表中,这样破坏者猜测用户的密钥就需要更长的时间。如果是在交互场合,不要用共享密钥使用WPA,用一个好的EAP类型保护认证,限制账号退出之前不正确猜测的数目。防范ASLeap:使用长的复杂的认证,或者转向EAP-FAST或另外的EAP类型。防范Ethereal:使用加密,这样任何被嗅探出的信息就很难或几乎不可能被破解。WPA2,使用AES算法,普通黑客是不可能破解的。WEP也会加密数据。在一般不提供加密的公共无线网络区域,使用应用层的加密,像Simplite,来加密IM会话,或使用SSL。对于需要交互的用户,使用IPSec VPN,并关闭分隧道功能。这就强制所有的流量都必须通过加密隧道,可能是被DES、3DES或AES加密的。,
