《《网络安全-郑万波》网络安全.ppt》由会员分享,可在线阅读,更多相关《《网络安全-郑万波》网络安全.ppt(79页珍藏版)》请在三一办公上搜索。
1、网络安全,第 9 讲,2,无线局域网,无线网络技术进展无线局域网技术无线局域网概述 无线局域网的组建无线局域网的配置无线局域网安全技术无线局域网的安全问题 无线局域网安全技术,无线网络技术进展,3,4,5,6,无线局域网概述,1 无线局域网的概念和特点 无线局域网的概念 无线局域网(Wireless Local Area Network,即WLAN)是利用无线通信技术,在一定的局部范围内建立的网络,是计算机网络与无线通信技术相结合的产物。它以无线传输媒体作为传输介质,提供传统有线局域网的功能,并能使用户实现随时、随地的网络接入。之所以称其是局域网,是因为受到无线连接设备与计算机之间距离的限制而
2、影响传输范围,必须在区域范围之内才可以组网。,7,无线局域网概述,无线局域网的特点(1)安装便捷、维护方便 免去或减少了网络布线的工作量,一般只要安装一个或多个接入点(Access Point,AP)设备,就可以建立覆盖整个建筑物或区域的局域网。(2)使用灵活、移动简单 一旦无线局域网建成后,在无线网的信号覆盖范围内任何一个位置都可以接入网络。使用无线局域网不仅可以减少与布线相关的一些费用,还可以为用户提供灵活性更高、移动性更强的信息获取方法。(3)易于扩展、大小自如 有多种配置方式,能够根据需要灵活选择,能胜任从只有几个用户的小型局域网到上千用户的大型网络。,无线局域网标准,无线局域网 WL
3、AN 技术定义在 IEEE 802.11 规范说明系列中。IEEE 802.11标准定义了三种物理层介质:跳频扩展频谱FHSS(Frequency Hopping Spread Spectrum)直接序列扩展频谱DSSS(Direct Sequence Spread Spectrum)红外线。所有这些说明都采用以太网协议和载波监听多路访问/冲突避免技术(CSMA/CA)替代了CSMA/CD来实现链路共享。,802.11栈结构,无线局域网种类,(1)802.11:应用于无线局域网,在 2.4 GHz 波段中传输速率为 1 Mbps 或 2 Mbps。既支持跳频技术 FHSS 也支持直接序列扩频
4、DSSS。(2)802.11a:802.11 的扩展说明,在 5GHz 波段,传输速率为 54 Mbps。802.11a 支持正交频分复用 OFDM 编码方式,而不支持 FHSS 或 DSSS。802.11a 应用于无线 ATM 系统并用于接入集线器 access hubs。(3)802.11b:又称为 802.11 高速率或 Wi-Fi,802.11 的扩展说明,在 2.4 GHz波段中传输速率为 11 Mbps(也可能降低为 5.5 Mbps、2 Mbps 或 1 Mbps)。802.11b 只支持 DSSS。802.11b 是原 802.11 标准的修订版,其无线功能的性能不亚于以太网。
5、(4)802.11g:支持短距离无线传输,在 2.4 GHz 波段中传输速率为 20 Mbps 到 54 Mbps。802.11g 支持 OFDM 编码方式。,CSMA/CA协议,IEEE 802.11的MAC层采用CSMA/CA(载波侦听多路访问/冲突避免)协议进行无线介质的共享访问。CSMA/CA与CSMA/CD的区别在于:CSMA/CD是带有冲突检测的载波侦听多路访问,发送包的同时可以检测到信道上有无冲突;CSMA/CA是带有冲突避免的载波侦听多路访问,发送包的同时不能检测到信道上有无冲突,只能尽量“避免”。,IEEE 802.11的载波侦听机制与IEEE 802.3的载波侦听机制基本相
6、同。要发送数据的站点首先要侦听无线信道,如果信道处于“空闲”状态,则等待一个很短的时间(IFS),若信道仍然空闲,它就可以发送数据。如果信道上有信号传播,它就推迟自己的数据发送而继续侦听直到信道空闲。当一帧传输结束后,站点再等待一个IFS时间,如果在此时间内信道忙,站点便执行二进制指数退避算法并继续侦听信道,如果信道空闲便可以传送下一帧。接收端收到完整的数据报则回发一个ACK,接收端如果收到,则完成一次数据收发;否则发送端重传。CSMA/CA协议的关键在于冲突避免CA(Collision Avoidance)。IEEE 802.11的冲突避免采用了三种机制来实现:预约信道、正向确认和RTS/C
7、TS机制,13,无线局域网概述,2 无线局域网标准 IEEE802.11x标准(1)IEEE802.11 1990年IEEE802标准化委员会成立IEEE802.11无线局域网(WLAN)标准工作组,主要为研究1Mbps和2Mbps数据速率、工作在2.4GHz开放频段的无线设备和网络发展的全球标准,并于1997年6月公布了该标准,它是第一代无线局域网标准之一。该标准定义了物理层和媒体访问控制(MAC)规范,允许无线局域网及无线设备制造商建立互操作网络设备。后来又相继公布了802.11b和802.11a,这两个标准是对802.11的补充。,14,无线局域网概述,2 无线局域网标准 IEEE802
8、.11x标准(2)IEEE802.11b IEEE802.11b标准规定无线局域网工作频段在2.42.4835GHz,数据传输速率达到11Mbps,传输距离控制在50150英寸。IEEE802.11b已成为当前主流的无线局域网标准,被多数厂商所采用,所推出的产品广泛应用在办公室、家庭、宾馆、车站、机场等众多场合。,802.11b标准,16,无线局域网概述,2 无线局域网标准 IEEE802.11x标准(3)IEEE802.11a 802.11a标准规定无线局域网工作频段在5.158.825GHz,数据传输速率达到54Mbps,传输距离控制在10100m。802.11a标准的优点是传输速度快,可
9、达54Mbps,完全能满足语音、数据、图像等业务的需要。缺点是无法与802.11b兼容,使一些早购买802.11b标准的无线网络设备在新的802.11a网络中不能用。,17,无线局域网概述,2 无线局域网标准 IEEE802.11x标准(4)IEEE802.11g最早推出的是802.11b,它的传输速率为11Mbps,因为它的连接速度比较低,随后推出了802.11a标准,它的连接速度可达54Mbps。但由于两者互不兼容,所以IEEE又正式推出了完全兼容802.11b且与802.11a速率上兼容的802.11g标准,这样通过802.11g,原有的802.11b和802.11a两种标准的设备就可以
10、在同一网络中使用。,18,无线局域网概述,2 无线局域网标准 HomeRF(家庭网络)标准 HomeRF(RF意思是射频)无线标准是由HomeRF工作组开发的,旨在家庭范围内,使计算机与其他电子设备之间实现无线通信的开放性工业标准。2001年8月推出HomeRF 2.0版,集成了语音和数据传送技术,工作频段在10GHz,数据传输速率达到10Mbps,在WLAN的安全性方面主要考虑访问控制和加密技术。,19,无线局域网概述,2 无线局域网标准 蓝牙(Bluetooth)标准 对于802.11来说,蓝牙(IEEE 802.15)技术的出现不是为了竞争而是相互补充。“蓝牙”是一种先进的近距离无线数字
11、通信的技术标准,其目标是实现最高数据传输速度1Mbps(有效传输速率为721kbps)、传输距离为10厘米10米,通过增加发射功率可达到100米。从目前的蓝牙产品来看,蓝牙主要应用在手机、笔记本计算机等数字终端设备之间的通信和以上设备与Internet的连接。蓝牙系统也嵌入微波炉、洗衣机、电冰箱、空调等传统家用电器。,20,无线局域网概述,3 无线局域网的拓扑结构 无中心拓扑结构 该结构又称对等模式,每台计算机只需一块无线网卡就能实现无线数据传输。要求网中任意两点均可直接通信。采用这种结构的网络一般使用公用广播信道,而信道接入控制协议多采用CSMA类型的多址接入协议。这种结构的优点是网络抗毁性
12、好、建网容易且费用较低。但当网中用户数(站点数)过多时,信道竞争成为限制网络性能的瓶颈。,21,无线局域网概述,蜂窝系统中是以信道来区分通信对象的,一个信道只容纳一个用户进行通话,许多同时通话的用户,互相以信道来区分,这就是多址。移动通信系统是一个多信道同时工作的系统,具有广播和大面积覆盖的特点。在移动通信环境的电波覆盖区内,如何建立用户之间的无线信道的连接,是多址接入方式的问题。解决多址接入问题的方法叫多址接入技术。具体来说:从移动通信网的构成可以看出,大部分移动通信系统都有一个或几个基站和若干个移动台。基站要和许多移动台同时通信,因而基站通常是多路的,有多个信道,而每个移动台只供一个用户使
13、用,是单路的。许多用户同时通话,以不同的信道分隔,防止相互干扰,各用户信号通过某些特定的方式进行信道的复用,从而建立各自的信道,以实现双边通信的联接称多址联接。多址联接方式是移动通信网体制范畴,关系到系统容量、小区构成、频谱和信道利用效率以及系统复杂性。蜂窝是指移动网的组网形状像蜂窝煤一样,蜂窝通信系统经历了第一代(1G),第二代(2G),并正向第三代(3G)发展,和第4代(4G)迈进。,22,无线局域网概述,3 无线局域网的拓扑结构 有中心拓扑结构 该结构又称中心模式,以接入点AP为中心,所有的基站通信都要通过AP转接,需要一个无线接入点,N块无线网卡。该结构的优点是当网络业务量增大时网络吞
14、吐性能及网络时延性能的恶化并不剧烈,网络中地点布局受环境限制小。弱点是抗毁性差,中心站点的故障易导致整个网络瘫痪,且中心站点的引入增加了网络成本。在实际应用中,无线局域网往往与有线主干网结合起来使用。这时,中心站点充当无线局域网与有线主干网的转接器。,23,无线局域网的组建,1 无线局域网的主要设备 无线网卡 无线网卡安装在计算机上,用于计算机之间或计算机与无线AP、路由器之间的无线连接。其作用和功能跟普通网卡一样,是用来连接到局域网上的,差别在于前者的数据传送是借助无线电波,而后者则是通过实际的网络线。根据接口类型的不同,无线网卡主要分为3种类型,即PCMCIA无线网卡、PCI无线网卡和US
15、B无线网卡。,24,无线局域网的组建,1 无线局域网的主要设备 无线接入器 无线接入器有3种基本类型:无线收发器、无线网桥和无线路由器。无线收发器又称无线AP,其作用类似于集线器或交换机,是无线局域网的核心。它是无线终端接入有线骨干网的接入点,典型覆盖距离在几十米至上百米。,无线收发器,25,无线局域网的组建,1 无线局域网的主要设备 无线接入器无线宽带路由器=无线AP+宽带路由器(路由器+交换机+防火墙):无线AP功能 无线网络接入点 宽带接入功能 接入Internet(LAN/ADSL)路由器功能 网络互连功能(局域网网关)交换机功能 局域网组网 防火墙功能 安全措施(含过滤、ACL、NA
16、T等),26,无线局域网的组建,1 无线局域网的主要设备 无线接入器 无线网桥可以用于连接两个或多个独立的网段,这些网段通常位于不同的建筑内,相距几百米到几十公里,所以说它可以广泛应用在不同建筑物间的互联。它通常是用于室外,使用无线网桥不可能只使用一个,必需两个以上,而AP可以单独使用。无线网桥功率大,传输距离远(最大可达约50km),抗干扰能力强等,不自带天线,一般配备抛物面天线实现长距离的点对点连接。,27,无线局域网的组建,1 无线局域网的主要设备 无线天线 当计算机与无线AP或其他计算机相距较远时,随着信号的减弱,或者传输速率明显下降,或者根本无法实现与AP或其他计算机间通讯,此时,就
17、必须借助于无线天线对所接收或发送的信号进行增益。增益表示天线功率放大倍数,数值越大表示信号的放大倍数就越大,也就是说当增益数值越大,信号越强,传输质量就越好。增益的单位是:dB。,28,无线局域网的组建,2 无线局域网的组网模式 Ad-Hoc模式,即点对点无线网络 Ad-Hoc网络是一种点对点的对等式移动网络,不需要具有控制转换功能的无线AP,所有的终端设备都能对等地相互通信,如右图所示。在Ad-Hoc模式的局域网中,一个基站会自动设置为初始站,并对网络进行初始化,使所有同域(SSID相同)的基站成为一个局域网。,29,无线局域网的组建,2 无线局域网的组网模式 Ad-Hoc模式,即点对点无线
18、网络 基站是固定的高功率多信道双向无线电发送机。典型的被应用于低功率信道双向无线通讯,如移动电话、无线路由器等。当使用手机打电话时,信号就会同时由附近的一个基站发送和接收。通过基站,电话被接入到移动电话网的有线网络中。中国移动的基站采用小区制,覆盖范围几KM;而联通采用大区制,可以覆盖几十KM,辐射的频率大小和能量决定覆盖范围。SSID(Service Set Identifier):服务集标识。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,从而防止未被授权的用户进入。SSID用来区分不同的网络
19、,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。,30,无线局域网的组建,2 无线局域网的组网模式 Infrastructure模式,即集中控制式网络 集中控制式模式网络,是一种整合有线与无线局域网架构的应用模式。在这种模式中,无线网卡与无线AP进行无线连接,再通过无线AP与有线网络建立连接。Infrastructure模式网络还可以分为3种模式:
20、室内移动办公,室外点对点和室外点对多点。,31,无线局域网的组建,室内移动办公 这种方式以星型拓扑为基础,以AP为中心,所有的基站通信都要通过AP接转。由于AP有以太网接口,这样,既能以AP为中心独立建立一个无线局域网,也能以AP作为一个有线局域网的扩展部分,如图所示。,32,无线局域网的组建,室外点对点 A网与B网分别为两个有线局域网,在距离较远无法布线的情况下,可通过两台无线网桥将两个有线局域网连在一起,通过网桥上的RJ-45接口与有线的交换机相连。,33,无线局域网的组建,室外点对多点 A是有线中心局域网,B、C、D分别是外围的3个有线局域网。在无线设备上中心点需要全向天线,其它各点采用
21、定向天线,此方案适用于总部与多个分部的局域网连接,其传输速率为11Mbps,传输距离小于10km,工作频率为2.4GHz。,34,11.3 无线局域网的配置,1 配置无线AP 这里以TL-WR641G 108M无线路由器为例,首先介绍AP的配置,TL-WR641G默认设置IP为(不同的AP其默认IP不同),用户名和密码均为admin,如果配置信息丢失,可以在启动时按Reset恢复默认设置。无线AP的配置一般是通过一台计算机,利用Web方式进行,具体操作是:,35,无线局域网的配置,1 配置无线AP第1步:给无线AP通电 将无线AP自带的交直流电源线一端插入220V电源插座,另一端插入无线AP的
22、电源接口,使其接通电源。第2步:给计算机安装网卡驱动程序 将无线网卡插入计算机,系统自动提示发现新硬件,根据屏幕提示进行网卡驱动程序的安装。安装过程完成后,在计算机【设备管理器】里面可以看到网卡驱动正常安装。如下页图所示。,36,无线局域网的配置,37,无线局域网的配置,1 配置无线AP第3步:计算机连接无线AP 网卡驱动安装完成,计算机屏幕右下方出现处于断开状态的“无线连接”图标,单击鼠标右键,出现如下左图所示。单击【查看可用的无线网络(V)】,出现如下右图所示,显示查找到的无线AP。单击【连接】按钮,计算机与选择的无线AP建立连接,计算机屏幕右下的“无线连接”图标变为已连接状态。,38,无
23、线局域网的配置,1 配置无线AP第4步:配置无线AP 打开配置用计算机的浏览器(如IE),在地址栏内输入:,单击回车键,出现如下左图所示。输入用户名和密码(这里默认均为admin),单击【确定】按钮,显示如下右图所示浏览器的界面。该图左边列出了无线AP配置的项目,单击【无线参数】选项,出现无线网络基本配置对话框,如下页图所示。,39,无线局域网的配置,SSID:用于识别无线设备的服务集标志符。可采用默认值TP-LINK,也可根据自己的喜好更改。频道:用于确定本网络工作的频率段,选择范围从111,默认是6。模式:用于设置AP的工作模式,一般不必做改动,默认就可以。开启无线功能:使TL-WR641
24、G的无线功能打开或关闭。允许SSID广播:默认情况下AP都是向周围空间广播SSID通告自己的存在,这种情况下无线网卡都可以搜索到这个AP的存在。开启安全设置:对无线网络安全设置。在右图对话框内配置完无线AP的基本参数后单击【保存】。这时,会在WR641G周围生成一个无线网络,该网络的SSID标识符是“TP-LINK”,工作信道是6,网络没有加密,可以提供给无线网卡来连接。,40,无线局域网的配置,2 无线局域网的组建实例:Ad-Hoc(点对点)模式无线局域网的组建 一般的无线网卡在室内环境下传输距离通常为40m左右,当超过此有效传输距离就不能实现彼此之间的通信。因此,该种模式比较适合一些小规模
25、甚至临时性的无线局域网互连需求。这里以两台计算机为例,介绍组建Ad-Hoc无线局域网的具体过程(无线网卡以USB接口的TL-WN320G为例)。其中,要求两台计算机共享一条带宽接入Internet。第1步:把USB接口的无线网卡接到其中的一台计算机上,机器提示找到新硬件,根据屏幕提示安装无线网卡的驱动程序。第2步:鼠标右击桌面的“网上邻居”图标,选择“属性”选项,可以看到该机除了原有的连接外网的图标之外,还新增加了一个“无线网络连接”图标,这就是无线网卡对应的连接图标。,41,无线局域网的配置,2 无线局域网的组建实例:Ad-Hoc(点对点)模式无线局域网的组建第3步:设置无线网络 无线网卡驱
26、动程序安装完成后,在屏幕右下角出现一个闪动的图标。鼠标双击“无线网络图标”,出现右图所示的无线网络配置对话框。在网络模式选项框内,选择“对等(Ad-Hoc)”,在网络名称(SSID)选项框内,勾择“自动扫描网络名称”。其他的设置采用默认设置,完成后单击【连接】按钮并关闭该对话框。,42,无线局域网的配置,2 无线局域网的组建实例:Ad-Hoc(点对点)模式无线局域网的组建第4步:设置第一台计算机的IP地址 右击桌面的“网上邻居”图标,选择【属性】,右击“无线网络连接”,选择【属性】,在出现的对话框中双击“Internet协议(TCP/IP)”,弹出属性对话框,选择“使用下面的IP地址”,并在“
27、IP地址”文本框中输入“192.168.0.1”,“子网掩码”由系统自动生成(),默认网关和其它选项均可不设,单击【确定】按钮。,43,无线局域网的配置,2 无线局域网的组建实例:Ad-Hoc(点对点)模式无线局域网的组建第5步:设置第二台计算机 重复上述第1步第4步,对第二台计算机完成无线网络的配置。不同之处有两点:在第3步设置无线网络完成后,单击【连接】按钮时,由于已经存在一个设置好的无线对等网络终端,所以,第二台计算机通过自动搜索找到第一台无线终端,二者并自动建立连接,构成对等网络,状态如下图所示。在第4步设置第二台计算机的IP地址时,需将该机的IP地址设置为192.168.0.2之间的
28、任何一个即可,完成后单击【确定】按钮。,44,无线局域网的配置,2 无线局域网的组建实例:Ad-Hoc(点对点)模式无线局域网的组建第6步:对等网络的资源共享 分别在两台计算机上完成以下操作(以Windows XP系统为例):鼠标右击“我的电脑”,单击【属性】,在弹出的“系统属性”窗口中单击“计算机名”选项卡里的【更改】按钮,在“工作组”里输入任意工作组名称,单击【确定】按钮。这样,在两台计算机的“网上邻居”中,就可以看到另一台计算机。设置好共享文件,两台计算机就能够共享资源了。,45,无线局域网的配置,2 无线局域网的组建实例:Ad-Hoc(点对点)模式无线局域网的组建第7步:利用校园网共享
29、连接接入Internet 其中,第一台计算机要求安装有两块网卡,有线网卡通过网线接入校园网,无线网卡与第二台计算机组成无线对等网络。在第一台计算机上做如下设置:右击桌面的“网上邻居”,选择【属性】,右击“本地连接”,选择【属性】,再单击“高级”选项卡,出现如下页左图所示对话框。在“Internet连接共享”内容框内,勾选“允许其他网络用户通过此计算机的Internet连接来连接”复选框,单击【确定】按钮,显示如下页右图所示提示框,单击【是】按钮完成设置。在第二台计算机的“无线网络连接”属性对话框中,选择“Internet协议(TCP/IP)”,单击【属性】按钮,出现属性设置窗口,在“默认网关”
30、文本框内输入第一台计算机的IP地址(即“192.168.0.1”),并在“首选DNS服务器”文本框中也输入“192.168.0.1”,单击“确定”按钮。完成设置。至此,Ad-Hoc结构的无线局域网就组建完成。,46,无线局域网的配置,47,无线局域网的安全问题无线局域网安全技术,无线局域网安全技术,48,无线局域网的安全问题,随着移动电话、个人数字助理、笔记本计算机、掌上计算机等各种便携式终端的迅速发展,可以随时随地进行通信的无线网络日益受到重视,无线网络为移动计算提供了支撑环境。相对于有线网络,无线网络为用户提供便利性的同时,也为基于无线链路和智能移动终端蓄意破环、篡改、窃听、假冒、泄露和非
31、法访问信息资源的各种恶意行为提供了方便。因此,无线网络比有线网络存在更多的安全隐患和威胁。此外,由于无线网络本身体系结构复杂、传输速率慢、信号易受干扰、安全隐患多、通信成本高等固有的局限性,目前有线网络仍然是计算机网络的主体,无线网络只是有线网络的补充,主要用于不便布线和要求移动计算的场合。,49,无线局域网的安全问题,存在的威胁 窃听:任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听,但是发送者和预期的接收者无法知道传输是否被窃听,且无法检测窃听。修改替换:在无线局域网中,较强节点可以屏蔽较弱节点,用自已的数据取代,甚至会代替其他节点作出反应。传递信任:当公司网络包括一部分无
32、线局域网时,就会为攻击者提供一个不需要物理安装的接口用于网络入侵。因此,参与通信的双方都应该能相互认证。,50,无线网络面临的安全问题,基础结构攻击:基础结构攻击是基于系统中存在的漏洞如软件bugs、错误配置、硬件故障等发起的攻击。针对这种攻击进行的保护几乎是不可能的,所能做的就是尽可能地降低破坏所造成的损失。拒绝服务:无线局域网存在一种比较特殊的拒绝服务攻击,攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行,从而导致正常的用户无法使用网络。置信攻击:通常情况下,攻击者可以将自己伪造成基站。当攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录到他的网络,通过分析窃取密钥和
33、口令,以便发动针对性的攻击。,51,无线网络面临的安全问题,战争驱车探测无线网络攻击步骤与有线网络攻击类似,第一步是发现目标无线网络。多数机构都使用防火墙作为内部网络的第一道安全防线,但内部网中私自与Internet连接的调制解调器给内部网安全留下了隐患,使用战争拨号器(war dialers)软件随机拨打电话号码,能够迅速发现接入Internet的调制解调器,人们将寻找隐藏调制解调器的方法称为战争拨号(war dialing)技术,其中,战争拨号中的战争(war)一词取自著名电影真假战争(war games)。由于探测WLAN的方法有些类似战争拨号技术,人们将携带移动设备驱车到处转悠寻找WL
34、AN的方法称为战争驱车(war driving)技术。目前网络上有Windows、Unix、Linux和Mac OS操作系统平台下运行的多种无线局域网探测和定位软件,其中最著名的WLAN探测和定位软件是由Marius Milner开发的Netstumbler。,无线网络面临的安全问题,53,无线网络面临的安全问题,使用车载笔记本电脑,配合多种高灵敏度无线网卡,加上天线强化,实现探测、远程破解及入侵无线接入点的黑客行为。,战争驱车探测,54,无线网络面临的安全问题,国外无线热点地图,55,无线局域网安全技术,1.服务集标识符SSID是相邻的无线接入点(AP)区分的标志,无线接入用户必须设定SSI
35、D才能和AP通信。通常SSID须事先设置于所有使用者的无线网卡及AP中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID,这是唯一标识网络的字符串。SSID只是一个简单的口令身份认证机制。SSID对于网络中所有用户都是相同的字符串,其安全性差,人们可以轻易地从每个信息包的明文里窃取到它。2600黑客杂志网站收集了几乎所有厂商的默认SSID和WEP密钥。无线路由器一般都会提供允许SSID广播功能。如果不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。此时无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。通过禁止SSID广播设置后,无线网络的
36、效率会受到一定的影响,但可换取安全性的提高。,56,无线局域网安全技术,57,无线局域网安全技术,2.物理地址过滤每个无线工作站的网卡都有唯一的物理地址,应用媒体访问控制(MAC)技术,可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。媒体访问控制属于硬件认证,而不是用户认证。媒体访问控制只适合于小型网络规模。这是因为:MAC地址在网上是明码模式传送,只要监听网络便可从中截取或盗用该MAC地址,进而伪装使用者潜入企业或组织内部偷取机密资料。部分无线网卡允许通过软件来更改其MAC地址,因此可通过访问控制的检查从而获取访问受保护网
37、络的权限。,58,无线局域网安全技术,3.有线对等保密有线等效保密(WEP)是常见的资料加密措施,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。只有当无线客户端的密钥和服务设置标识SSID(service set identity)与接入点完全相同时,客户端才能接入WLAN,从而防止非授权用户的监听以及非法用户的访问。它包括多种不同的实现方式:无加密表示数据以明文方式传输,无加密不提供任何保密性。40位和104位等密钥长度分别向用户提供不同加密强度选择。,59,60,61,无线局域网安全技术,WEP目的是向无线局域网提供与有线网络相同级别的安全保护,它用
38、于保障无线通信信号的安全,即保密性和完整性。但WEP提供的密钥机制存在许多缺陷,表现在:密钥是手工输入与维护,更换密钥费时和困难,密钥通常长时间使用而很少更换,若一个用户丢失密钥,则将危及到整个网络。WEP标准支持每个信息包的加密功能,但不支持对每个信息包的验证。针对WEP的不足之处,对WEP加以扩展,提出了动态安全链路技术(DSL)。DSL采用了128 位动态分配的密钥,每一个会话都自动生成一把密钥,并且在同一个会话期间,对于每256个数据包,密钥将自动改变一次。,62,无线局域网安全技术,4.Wi-Fi保护接入Wi-Fi保护性接入(WPA)是继承了WEP基本原理而又解决了WEP缺点的一种新
39、技术。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。WPA标准在保持Wi-Fi认证产品硬件可用性的基础上,解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。,802.11i 临时密钥完整性协议TKIP,63,802.11i 消息认证码协议CCMP,64,65,无线网络的安全技术,5.国家标准WAPIWAPI((Wireless LAN Authenticati
40、on and Privacy Infrastructure)无线局域网鉴别和保密基础结构,是一种安全协议,同时也是中国无线局域网安全强制性标准。国家标准WAPI,即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。WAPI的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动
41、终端(MT)与无线接入点(AP)间双向鉴别。另外,它充分考虑了市场应用,从应用模式上可分为单点式和集中式。采用WAPI可以扭转目前WLAN多种安全机制并存且互不兼容的现状,从而解决安全和兼容性问题。,WAPI 的优越性,与其他无线局域网安全机制(如802.11i)相比,WAPI 的优越性集中体现在以下几个方面:双向身份鉴别在WAPI安全体制下,无线客户端和WLAN设备二者处于对等地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可防止假冒的无线客户端接入WLAN网络,同时也可杜绝假冒的WLAN设备伪装成合法的设备。而在其它安全体制下,只能实现WLAN设备对无线客户端的单向鉴别
42、,缺乏有效的WLAN设备身份鉴别手段。数字证书身份凭证WAPI 强制使用数字证书作为无线客户端和WLAN设备的身份凭证,既方便了安全管理,又提升了安全性。对于无线客户端申请或取消入网,管理员只需要颁发新的证书或取消当前证书。这些操作均可以在证书服务器上完成,管理非常方便。其它安全机制没有强制要求用户使用数字证书,当使用用户名和口令作为用户的身份凭证时,由于用户身份凭证简单,易被盗取和仿冒。完善的鉴别协议在WAPI 中使用数字证书作为用户身份凭证,在鉴别过程中采用椭圆曲线签名算法,并使用安全的消息杂凑算法保障消息的完整性,攻击者难以对进行鉴别的信息进行修改和伪造,所以安全等级度高。在其它安全体制
43、中,鉴别协议本身存在一定缺陷,鉴别成功信息的完整性校验不够安全,鉴别消息易被篡改或伪造。,66,加密封装,67,WPI封装过程 数据发送时,WPI的封装过程为:1.利用加密密钥和数据分组序号PN,通过工作在OFB模式的加密算法对MSDU(包括SNAP)数据进行加密,得到MSDU密文;2.利用完整性校验密钥与数据分组序号PN,通过工作在CBC-MAC模式的校验算法对完整性校验数据进行计算,得到完整性校验码MIC;3.封装后再组帧发送。WPI解封装过程:数据接收时,WPI的解封装过程为:1.判断数据分组序号PN是否有效,若无效,则丢弃该数据;2.利用完整性校验密钥与数据分组序号PN,通过工作在CB
44、C-MAC模式的校验算法对完整性校验数据进行本地计算,若计算得到的值与分组中的完整性校验码MIC不同,则丢弃该数据;3.利用解密密钥与数据分组序号PN,通过工作在OFB模式的解密算法对分组中的MSDU密文进行解密,恢复出MSDU明文;4.去封装后将MSDU明文递交至上层处理。,这里简要描述WAPI协议的整个鉴别及密钥协商过程。图1中AP为提供无线接入服务的WLAN设备,鉴别服务器主要帮助无线客户端和无线设备进行双向身份认证,而AAA服务器主要提供计费服务。,68,(1)无线客户端首先和WLAN设备进行802.11链路协商该过程遵循802.11标准中定义的协商过程。无线客户端主动发送探测请求消息
45、或侦听WLAN设备发送的Beacon帧,藉此查找可用的网络,支持WAPI安全机制的AP将会回应或发送携带有WAPI信息的探测应答消息或Beacon帧。在搜索到可用网络后,无线客户端继续发起链路认证交互和关联交互。(2)WLAN设备触发对无线客户端的鉴别处理无线客户端成功关联到WLAN设备后,设备在判定该用户为WAPI用户时,则会向无线客户端发送鉴别激活触发消息,触发无线客户端发起WAPI鉴别交互过程。(3)鉴别服务器进行证书鉴别无线客户端在发起接入鉴别后,WLAN设备会向远端的鉴别服务器发起证书鉴别,鉴别请求消息中同时包含有无线客户端和WLAN设备的证书信息。鉴别服务器对二者身份进行鉴别,并将
46、验证结果发给WLAN设备。WLAN设备和无线客户端任何一方如果发现对方身份非法,将主动中止无线连接。(4)无线客户端和WLAN设备进行密钥协商WLAN设备经鉴别服务器认证成功后,设备会发起与无线客户端的密钥协商交互过程,先协商出用于加密单播报文的单播密钥,然后再协商出用于加密组播报文的组播密钥。,69,完整的WAPI鉴别协议交互过程,70,基于痩AP方案实施无线安全,71,72,无线网络的安全技术,6.端口访问控制技术端口访问控制技术(802.1x)是由IEEE定义的,用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权,可以用于局域网,也可以用于城域网。802.1x引入了PPP协
47、议定义的扩展认证协议EAP。EAP采用更多的认证机制,如MD5、一次性口令等等,从而提供更高级别的安全。802.1x认证层次包括两方面:客户端到认证端,认证端到认证服务器。802.1x定义客户端到认证端采用EAP over LAN 协议,认证端到认证服务器采用EAP over RADIUS协议。,73,无线网络的安全技术,802.1x要求无线工作站安装802.1x客户端软件,无线访问站点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。802.1x
48、除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。但是802.1x采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中可能泄漏、丢失,存在很大安全隐患。加上无线接入点AP与RADIUS服务器之间用于认证的共享密钥是静态的,且是手工管理,也存在一定的安全隐患。,74,无线网络的安全技术,7.虚拟专用网络VPN,通过隧道和加密技术保证专用数据的网络安全性。无线LAN也可以采用该安全框架,即安装两道防火墙:一个作为进入内部网的网关,另一个处于无线LAN和内部网之间,无线防火墙只允许VPN通信,如下页图所示。无线用户可以向无线基础设施认证自己。实
49、际上,把无线网络和有线网络隔离,只允许VPN通信经过,是利用了缓冲区的办法来增强网络安全性。此外,基于IPsec的VPN技术采用的IP层加密协议,可以防止通信被窃听。,75,76,77,无线网络的安全技术,图8.22无线虚拟专用网安全框架,78,无线网络的安全技术,VPN技术应用于无线网络有其局限性,具体表现在:运行脆弱。因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是很常见的。吞吐量小。在一个VPN网络里进行的任何交换必须经过一个VPN服务器,一台典型的VPN服务器能够达到30-50Mbps的数据吞吐量。扩展性差。改变一个VPN网络的拓扑结构或内容,用户将不得不重新规划并进行网络配置。,Thank You!,
