第1章-第3讲无线局域网络安全.ppt

1.3 无线局域网安全,一、无线局域网发展中面临的问题,1、标准问题,（1）蓝牙技术与802.11协议的兼容问题,（2）802.11协议族内部的兼容问题,（3）欧洲标准、美国标准以及其它标准的兼容问题,2、射频问题,（1）不同局域网之间的信号干扰,（2）不同无线网络之间的干扰,（3）无线电频谱的使用与管理问题,3、无线局域网的安全问题,无线网络除了要抵抗无线网络的传统攻击外，还要能阻止无线网络的特殊攻击，这主要是因为无线网络具有如下几个方面的特点。,（1）无线网络的开放性使得更容易受到恶意攻击。,（2）无线网络的移动性使得安全管理难度更大。,（3）无线网络动态变化的拓扑结构使得安全方案的实施 难度更加大,（4）无线网络传输信号的不稳定性带来的问题。,二、无线局域网的安全问题,（一）无线局域网的安全目标,（1）保密性,无线局域网的安全是指保护无线局域网的硬件、软件和数据，防止在无线局域网上处理、存储或者传输的数据的故意或者偶然的泄露、更改、破坏或者非授权访问，保证系统联系可靠安全的运行，其最终目标是通过各种技术和管理手段实现无线局域网络及其信息系统的保密性、完整性、认证性、可授权性、不可否认性等。另外还要求安全方案具有可用性和高效性。,保密性要求指的是数据在无线局域网上处理、存储或传输的过程中，防止数据的未授权的公开和泄露。,（2）完整性 要求在无线局域网中存储和传输的各种类信息数据的精确性和可 靠性，防止信息的丢失和被恶意篡改 。,（3）认证性 认证性是指实体提供了声称其身份的保证，以防止其他实体假冒。在通信过程中，认证性只对认证时的主体身份提供确认保证，为了获得认证的持续保证，需要将认证服务和数据完整性结合起来。,（4）可授权性 可授权性的目标是防止无线局域网中的任何资源（计算资源、通信资源或者信息资源等）进行非授权访问。,（5）不可否认性 不可否认性也叫不可抵赖性，是防止发送放或者接受方抵赖所传输信息的一种安全服务。当接受方收到一条消息后，能够提供足够的证据想第三方证明这个信息的确来自某个发送方。,（6）可用性 可用性是指可被授权的合法用户在使用局域网时，系统能够提供完全满足使用者要求的各种信息和资源服务，而不会不合理地对这些要求进行拒绝挥着不能满足用户的合法要求。,（7）高效性 由于无线局域网各种资源的限制，因此设计的安全方案必须在可接受的时间内提供所期望的安全服务 。,（二）无线局域网的安全威胁与风险,1、无授权访问 无授权访问是指入侵者能够访问未授权的资源或者收集有关信息。通过无授权访问，入侵者可以查看、删除、或者修改机密消息，造成信息泄露、完整性破坏和非法使用。,2、窃听 窃听指入侵者通过监听信道来获取信息。,3、伪装 伪装是指入侵者伪装成其它实体或者授权用户，对非授权的信息进行访问；或者是伪装成接入点，以接收合法用户的信息。,4、篡改信息 当非授权用户访问系统资源时会篡改信息，从而破坏信息的完整性。,5、否认 否认是指接收或者服务的一方事后否认曾经发送过请求或者接收过信息或者服务。,6、重放、重路由、错误路由和删除消息 重放攻击是指攻击者将复制的有效信息事后重新发送或者重用这些消息以访问某种资源。重路由攻击是指攻击者改变消息路由以便捕获有关信息。错误路由攻击能够将消息路由到 错误的目的节点，而删除信息是指攻击者在消息达到目的前将消息删除。,7，网络泛洪 当入侵者发送大量的无关的消息时，会发生网络泛洪，从而使得系统忙于处理伪造的消息而耗尽资源或者使信道无法使用，进而无法对合法用户提供服务。,由于受到以上收受到的威胁，从安全目标上看，将会导致以下安全风险,（1）窃取信息,（2）非授权使用资源,（3）拒绝服务,（4）窃取服务,三、安全业务,（1）连接访问控制 访问控制是第一道防线，以阻止非授权用户建立连接，并阻止所有消息从非授权源节点到达目的地。,（2）对等实体认证 对等实体认证是与应用的安全登录等效的，允许一方对另一方运用密码技术实行强制认证，称为抵御入侵的第二道防线。,（3）数据来源认证 数据源认证通过确认接收的消息的确来自声称的发送者，它可以用在所有关联过程中的消息交换过程。,（4）完整性业务 完整性业务能够检测消息是否保持原样，防止消息被恶意或者偶然的修改或者丢失。完整性业务有以下3种形式：1，部分域完整性；2，整体消息的完整性；3，会话完整性,（5）机密性 机密性业务防止无线局域网中传输、存储和处理的信息被未授权访问，主要包括下面三种：1、部分域的机密性；2、整天消息的机密性；3、业务流的机密性,（6）不可否认性 不可否认防止实体否认曾经发送过或者接收过消息，包括两个方面，一是数据来源的不可否认性；二是，接收的不可否认性。,（7）访问控制 访问控制是指对无线局域网中的服务和资源进行权限分配。在网络层，访问控制保证只有受权方才能与无线服务器建立会话。在应层，访问控制保证只有受权实体才能与网络建立关联，访问系统资源。,（8）安全警报 （9）安全审计,四、无线局域网安全研究现状,1. 服务集标识符 服务集标识符（SSID）技术将一个无线局域网分为几个需要不同身份验证的子网，每一个子网都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络，同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点（AP）区分的标志，无线接入用户必须设定SSID才能和AP通信。通常SSID须事先设置于所有使用者的无线网卡及A P中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID，这是唯一标识网络的字符串。 但是SSID对于网络中所有用户都是相同的字符串，其安全性差，人们可以轻易地从每个信息包的明文里窃取到它。,2. 物理地址过滤 每个无线工作站的网卡都有唯一的物理地址，应用媒体访问控制（MAC）技术，可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单，MAC地址不在清单中的用户，接入点将拒绝其接入请求。但媒体访问控制只适合于小型网络规模。这是因为： MAC地址在网上是明码模式传送，只要监听网络便可从中截取或盗用该MAC地址，进而伪装使用者潜入企业或组织内部偷取机密资料。 部分无线网卡允许通过软件来更改其MAC地址，可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址，因此可通过访问控制的检查而获取访问受保护网络的权限。 媒体访问控制属于硬件认证，而不是用户认证。,3. 有线对等保密 有线等效保密（WEP）是常见的资料加密措施，WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术，当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。 WEP的工作原理是通过一组40位或128位的密钥作为认证口令，当WEP功能启动时，每台工作站都使用这个密钥，将准备传输的资料加密运算形成新的资料，并透过无线电波传送，另一工作站在接收到资料时，也利用同一组密钥来确认资料并做解码动作，以获得原始资料。,WEP目的是向无线局域网提供与有线网络相同级别的安全保护，它用于保障无线通信信号的安全，即保密性和完整性。但WEP提供了40位长度的密钥机制存在许多缺陷，表现在： 40位的密钥现在很容易破解。 密钥是手工输入与维护，更换密钥费时和困难，密钥通常长时间使用而很少更换，若一个用户丢失密钥，则将危及到整个网络。 WEP标准支持每个信息包的加密功能，但不支持对每个信息包的验证。 现在针对WEP的不足之处，对WEP加以扩展，提出了动态安全链路技术（DSL）。DSL采用了128 位动态分配的密钥，每一个会话都自动生成一把密钥，并且在同一个会话期间，对于每256个数据包，密钥将自动改变一次。,4. Wi-Fi保护接入 Wi-Fi保护性接入（WPA）是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。 WPA标准采用了TKIP、EAP和802.1X等技术，在保持Wi-Fi认证产品硬件可用性的基础上，解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。,5. 国家标准WAPI 国家标准WAPI（WAPI），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 WAPI的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端（MT）与无线接入点（AP）间双向鉴别。另外，它充分考虑了市场应用，从应用模式上可分为单点式和集中式。采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状，从而根本上解决安全和兼容性问题。,6. 端口访问控制技术 端口访问控制技术(802.1x)是由IEEE定义的，用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权，可以用于局域网，也可以用于城域网。802.1x引入了PPP协议定义的扩展认证协议EAP。EAP采用更多的认证机制，如MD5、一次性口令等等，从而提供更高级别的安全。 802.1x是运行在无线网设备关联，其认证层次包括两方面：客户端到认证端，认证端到认证服务器。802.1x定义客户端到认证端采用EAP over LAN 协议，认证端到认证服务器采用EAP over RADIUS协议。,802.1X的认证过程,802.1x要求无线工作站安装802.1x客户端软件，无线访问站点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。 但是802.1x采用的用户认证信息仅仅是用户名与口令，在存储、使用和认证信息传递中可能泄漏、丢失，存在很大安全隐患。加上无线接入点AP与RADIUS服务器之间用于认认证的共享密钥是静态的，且是手工管理，也存在一定的安全隐患。,7. 虚拟专用网络 虚拟专用网络（VPN，Virtual Private Network）指使用互联网连接物理上分散的系统来模拟单一专用网的安全方式，通过隧道和加密技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的技术是VPN防火墙。同样无线LAN，也可以采用该安全框架，即安装两道防火墙：一个作为进入内部网的网关，另一个处于无线LAN和内部网之间，无线防火墙只允VPN通信. 无线用户可以向无线基础设施认证自己。实际上，把无线网络和有线网络隔离，只允许VPN通信经过，是利用了缓冲区的办法来增强网络安全性。此外，基于IPsec的VPN技术采用的IP层加密协议，可以防止通信被窃听。,图 无线虚拟专用网安全框架,VPN可以替代无线对等加密解决方案和物理地址过滤解决方案，也可以与WEP协议互补使用。但是VPN技术应用于无线网络也有其局限性，具体表现在： 运行脆弱。因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是很常见的 。 吞吐量小。在一个VPN网络里进行的任何交换必须经过一个VPN服务器，一台典型的VPN服务器能够达到30-50 Mbps的数据吞吐量。 通用性差。VPN技术在国内、甚至在国际上没有一个统一的开发标准。 扩展性差。改变一个VPN网络的拓扑结构或内容，用户将不得不重新规划并进行网络配置。 成本高。上述3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另外， VPN产品价格就很高。,