《无线网络技术及管理.ppt》由会员分享,可在线阅读,更多相关《无线网络技术及管理.ppt(46页珍藏版)》请在三一办公上搜索。
1、无线网络技术及管理,主讲人 蒋融融 讲师浙江广播电视大学信息与工程学院,第九讲 无线局域网安全,无线网络技术及管理,3,内容概要,无线局域网安全的严峻挑战无线局域网基本的安全措施无线局域网的安全技术,无线网络技术及管理,4,一 无线局域网安全的严峻挑战,1.无线局域网安全的现状2.无线局域网的常见攻击方式,无线网络技术及管理,5,1.无线局域网安全的现状,无线局域网安全问题的独特之处在于信道开放,用户不必与网络进行“可视”的连接。这使攻击者伪装合法用户更加容易,同时微波信号在空气中传播也会因多种原因导致信号损失。目前,无线局域网络产品主要采用的是IEEE 802.11b国际标准,大多应用DSS
2、S直接序列扩频通信技术进行数据传输,该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。,无线网络技术及管理,6,2.无线局域网的常见攻击方式,1)窃听2)非法登录3)干扰攻击,无线网络技术及管理,7,1)窃听,窃听是无线局域网被动攻击的有效类型。在网络上窃取数据又称为嗅探。无线网络中无线信道的开放性给网络嗅探带来极大方便。在无线局域网中网络嗅探对信息安全的威胁来自被动性和非干扰性,执行监听程序的窃听过程中只是被动的接收网络中传输的信息,不会跟其他的主机交换信息,也不修改在网络中传输的信息包。使网络嗅探具有很强的隐蔽性,让网络信息失密变得不容易发现。,无线网络技术及管理,8,
3、2)非法登录,无线局域网的非法登录过程是通过一个无线接入点AP连接到一个无线局域网上。主动攻击:一个用户为了更深入地穿透或进入一个网络,或为了获取对于服务器的访问,以得到有价值的数据,或为了恶意的目的使用公司的Internet访问,甚至改变网络的界面配置,改变无线局域网自身。例如,一个黑客可以通过设定的MAC地址过滤实施恶意攻击。,无线网络技术及管理,9,3)干扰攻击,干扰攻击会让无线局域网瘫痪。黑客使用高功率的微波信号发送器或扫描发送器实施有目的的干扰攻击;一个不可移除和没有恶意的源头对无线局域网的干扰;黑客使用另外一个无线接入点AP构建新的无线局域网,通过发送比合法无线接入点更高的信号,有
4、效抢夺移动工作站。,无线网络技术及管理,10,二 无线局域网基本的安全措施,1.信息过滤措施2.访问认证机制3.数据加密,无线网络技术及管理,11,1.信息过滤措施,信息过滤是能够使用的基本的安全机制。常用的信息过滤机制有:物理地址MAC过滤服务集标识符SSID过滤协议端口过滤前两种用于简单的无线接入点AP,是早期无线局域网最主要的安全措施,第三种是建立在路由的基础上。,无线网络技术及管理,12,1)物理地址MAC过滤,每个无线工作站网卡都由惟一的物理地址(MAC)地址标示。网络管理员可在无线接入点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。若企业中的AP
5、数量太多,为实现整个企业中所有AP统一的无线网卡MAC地址认证,现在的AP也支持无线网卡MAC地址的集中远程接入拨号用户Radius认证。,无线网络技术及管理,13,无线网络技术及管理,14,MAC过滤的缺陷,物理地址过滤属于硬件认证,而非用户认证,要求AP中的MAC地址控制表需随时更新,并是手工操作,若用户增加,可扩展性差,只适用于小型网络。MAC地址可被盗用或非法伪造,获取对无线局域网的非法访问,是较低级别的授权认证。,无线网络技术及管理,15,2)服务集标识符SSID过滤,无线工作站必须出示正确的SSID,与无线接入点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不
6、同,则AP将拒绝他通过本服务区上网。因此SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全保障。无线局域网接入点AP对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端必须主动提供正确SSID号才能与AP进行关联。,无线网络技术及管理,16,无线网络技术及管理,17,3)协议端口过滤,协议端口过滤是无线局域设备中比较高级的一种安全机制。无线局域网能够过滤通过网络传输基于27层协议的数据包。过滤出每一个协议和任何直接的信息协议,可限制用户使用某些功能。设置协议过滤,控制共享介质的使用方面非常有效。,无线网络技术及管理,18,无线网络技术及管理,19,2.IEEE 802.
7、11安全机制,IEEE 802.11标准规定的无线局域网连接过程有4个步骤:扫描、连接、链路验证和关联。通常,无线客户端会扫描整个周围环境寻找适合接入的无线接入点。实现数据传输时,无线局域网要求一定的安全机制作为保障。IEEE 802.11标准规定的安全机制访问认证机制数据加密机制有线等效加密WEP,无线网络技术及管理,20,访问认证机制,访问认证是无线局域网中一个工作站向另一个工作站或无线接入点AP证明其身份的机制。IEEE 802.11标准中定义了两种类型的用户访问认证机制:(1)开放式验证(2)共享密钥验证,无线网络技术及管理,21,(1)开放式验证,开放式验证是无线局域网设备的默认状态
8、,使用该验证方法,一个无线客户端仅有一个正确的SSID就可以关联任何使用开放式系统验证的无线接入点AP,验证过程如下:无线局域网的无线客户端请求到要关联的无线接入点;无线接入点对于无线客户端的鉴别响应。,无线网络技术及管理,22,(2)共享密钥验证,共享密钥验证要求双方必须有一个公共密钥,这个过程只能在使用WEP机制的工作站之间进行,避免明文传输。使用共享密钥验证的鉴别过程如下:无线客户端向无线接入点发送验证请求;无线接入点发布一个随机产生的无格式的文本,从无线接入点清晰地发送到无线客户端;无线客户端响应这个请求,并使用自身的密钥加密该请求,将其发回无线接入点;无线接入点解释明白无线客户端的加
9、密响应,识别通过一个匹配的WEP的密钥加密请求文本。,无线网络技术及管理,23,无线网络技术及管理,24,访问认证的状态关系,状态1:未验证,未关联,状态2:已验证,未关联,状态3:已验证,已关联,解除链路验证,解除关联,链路验证成功,关联或重新关联成功,解除链路验证(验证结束),1类帧,1类、2类帧,1类、2类、3类帧,无线网络技术及管理,25,数据加密机制WEP,有线等效保密WEP协议用于在无线局域网中保护链路层数据。WEP使用64位密钥或128位密钥,采用RSA开发的RC4对称加密算法,在链路层加密数据。WEP加密采用静态的密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证
10、功能,当加密机制功能启用,客户端要尝试连接AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,只有正确无误,才能获准存取网络的资源。,无线网络技术及管理,26,WEP机制的缺陷,只验证无线客户端设备,缺乏使用者身份验证机制采用静态密钥,缺乏动态的数据加密,无线网络技术及管理,27,三 无线局域网安全技术,1.IEEE 802.1x协议(WEP/EAP)2.IEEE 802.1i协议(WAP)3.无线局域网鉴别与保密基础结构WAPI4.VPN安全解决方案,无线网络技术及管理,28,1.IEEE 802.1x协议,端口访问技术8
11、02.1x协议是一种局域网接入控制协议。主要解决无线局域网用户的接入验证问题。它是WLAN的一种增强性网络安全解决方案。当无线客户端与无线接入点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。802.1x要求无线客户端安装802.1x客户端软件,无线接入点要内嵌802.1x认证代理,同时它还作为远程接入拨号用户Radius客户端,将用户的认证信息转发给Radius服务器。,无线网络技术及管理,29,IEEE 802.1x协议的三要素,客户端(服务请求者)。一般安装在用户的工作站上,当用户有上网需求时,激活客
12、户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。认证系统(验证者)。一般是无线接入点AP,也是网络节点,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。认证服务器(验证服务者)。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。,无线网络技术及管理,30,IEEE 802.1x协议工作过程,要求验证,验证结果,提供验证资料,根据检验结果决定是否提供服务,无线网络技术及管理,31,可扩展验证协议EAP,802.1x融合EAP,即EAPOL(WLAN中称做EAP
13、OW)在申请者和近端认证AP之间运行;认证AP与远端认证服务器同样运行EAP协议,EAP帧中封装认证数据再将该协议承载在其他高层协议中,如RADIUS,以利于穿越多种网络到达认证服务器,成为EAPoverRADIUS。,无线网络技术及管理,32,EAP认证的优点,EAP认证对IEEE802.11标准起到三方面改进。双向认证机制,有效地消除了中间人攻击(MITM),如假冒的AP和远端认证服务器。集中化认证管理和动态分配加密密钥机制。解决了管理上的难度WEP使用RC4给网络里的所有AP和客户分发静态密钥很繁琐,每一次无线设备丢失,网络必须重新配置密钥以防止非法用户利用丢失的设备进行非法登录。能够定
14、义集中策略控制,当会话超时时将触发重新认证和生成新的密钥。,无线网络技术及管理,33,IEEE802.1 x协议的优点,802.1 x认证的突出优点就是实现简单、认证效率高、安全可靠。无需多业务网管设备,就能保证IP网络的无缝相连。同时消除了网络认证计费瓶颈和单点故障。解决了采用多业务网关,不便于视频业务开展的难题。在二层网络上实现用户认证,大大降低了整个网络的建网成本。,无线网络技术及管理,34,2.IEEE 802.11i安全标准,该标准增强了WLAN的数据加密和认证性能,并且针对WEP加密机制的各种缺陷做了多方面的改进,增强了无线局域网的鉴别性能和数据加密。,无线网络技术及管理,35,两
15、个安全协议的对比,WEP,TKIP,IEEE 802.11x/EAP,TKIP,无线网络技术及管理,36,IEEE 802.11i主要内容,Wi-Fi保护接入(WPA)健全的安全网络RSN,无线网络技术及管理,37,Wi-Fi保护接入(WPA),WPA在IEEE 802.11i 标准确定前是代替WEP的无线安全标准协议。WPA是IEEE 802.11i的一个子集,其核心就是IEEE 802.1x和暂时密钥完整协议TKIP。WPA采用新的加密算法以及用户认证机制,加强了生成加密密钥的算法,即使黑客收集到分组信息并对其进行解析,也几乎无法计算出通用密钥,解决了WEP破解容易的缺点。WPA不能向后兼
16、容某些遗留设备和操作系统。如果无线局域网没有运行WPA和加快该协议处理速度的硬件,WPA将降低网络性能。,无线网络技术及管理,38,WPA2,WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性,它们最重要的共性是预验证,即在用户对延迟毫无察觉的情况下实现安全快速漫游,同时采用CCMP加密包来替代TKIP。,无线网络技术及管理,39,健全的安全网络RSN,RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x和EAP,加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步,不断提供保护无
17、线局域网传输信息所需要的安全性。与WEP和WPA相比,RSN更可靠,但RSN不能很好地在遗留设备上运行。,无线网络技术及管理,40,3.国家标准GR15629.11 WAPI,WAPI即无线局域网鉴别与保密基础结构,它针对IEEE802.11中WEP协议安全问题,是2003年在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时,本方案已由ISO/IEC授权的机构IEEE注册权威机构审查并获得认可,分配了用于WAPI协议的以太类型字段,这也是我国目前在该领域惟一获得批准的协议。,无线网络技术及管理,41,WAPI的特点,采用基于公钥密码体系的证书机制,真正实现了移动终端
18、(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。AP设置好证书后,无须再对后台服务器进行设置,安装、组网便捷,易于扩展。支持Windows98/2K/XP、Linux等操作系统。提供与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。满足家庭、企业、运营商等多种应用模式。在不同场合应用形式相同,使用方便,用户易接受。,无线网络技术及管理,42,WAPI的组成,无线局域网鉴别基础结构WAI无线局域网保密基础结构WPI其中,WAI采用基于椭圆曲线的公钥证书体制,无线客户端STA和接入点AP通过鉴别服务器AS进行双向身
19、份鉴别。而在对传输数据的保密方面,WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密,充分保障了数据传输的安全。,无线网络技术及管理,43,VPN安全解决方案,VPN是指在一个公共IP网络平台上通过隧道极其加密技术保证专用数据的网络安全性。VPN可以替代连线对等加密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处就是可以提供基于Radius的用户认证以及计费。它不属于802.11标准定义,属于增强型网络解决方案。,无线网络技术及管理,44,对于安全性要求高的用户,将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。,无线网络技术及管理,45,WLAN应用特点对VLAN的阻碍,运行的脆弱性吞吐量性能瓶颈通用性问题网络的扩展性问题成本问题,无线网络技术及管理,46,结论,各种无线网络的运用必将越来越进步与普遍,所以只要有资料讯号在无线中传送,安全的保护机制将是大家第一个要面对的问题,唯有确保万无一失的数据传输,才能满足人们在一定区域内实现不间断移动办公的要求,为我们创造了一个安全自由的空间,这也将为服务商带来无限的商机。,
