无线网安全与防范培训教材

第10章无线网平安与防范本章内容无线网络安全概述10.1无线局域网的标准

10.2无线局域网安全协议

10.3无线网络主要信息安全技术

10.4无线网络设备

10.5引导案例：

为方便上网，半年前张女士在家中安置了一个无线路由器，最近她却觉察网络速度突然变得很慢。她相当疑惑，因为无线路由器明明设置过密码，按理说不可能被人窃用网络。后来经朋友检查发现，张女士电脑的‘网上邻居’里多出一个陌生的电脑用户!网络被盗用已成不争的事实。朋友告诉她，她的无线网络已被一种叫“蹭网卡〞的装置盯上了，因为多了一台电脑享用她的网络资源，所以网络速度明显变慢。那么如何保障自己的无线网络平安使用呢？本章将为大家解决这样的技术难题。无线网络的安全缺陷与解决方案10.1无线局域网平安的最大问题在于无线通信设备是在自由空间中进行传输，而不是像有线网络那样是在一定的物理线缆上进行传输，因此无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取。所以，WLAN就面临一系列的平安问题，而这些问题在有线网络中并不存在。无线网络存在的平安风险和平安问题主要包括：〔1〕来自网络用户的进攻。〔2〕来自未认证的用户获得存取权。〔3〕来自公司的窃听泄密等。针对以上威胁问题，从最初利用ESSID/SSID〔ServiceSetIdentifier，也就是“效劳区标识符匹配〕、MAC〔MediaAccessControl，介质访问控制〕限制，防止非法无线设备入侵的访问控制，到基于WEP〔WiredEquivalentPrivacy〕数据加密的解决方案，再到即将成为新标准的，以及从2003年12月1日起我国开始施行的WLAN产品的新标准WAPI〔无线局域网鉴别和保密根底结构〕，无线网络平安技术在很大的程度上已经得到了改善，即使这样，但要真正构建端到端的平安无线网络还任重道远。无线网络安全概述

10.110.2无线局域网的标准在众多的无线局域网标准中，人们知道最多的是IEEE〔美国电子电气工程师协会〕系列，此外制定WLAN标准的组织还有ETSI〔欧洲电信标准化组织〕和HomeRF工作组，ETSI提出的标准有HiperLan和HiperLan2，HomeRF工作组的两个标准是HomeRF和HomeRF2。在这三家组织所制定的标准中，IEEE的标准系列由于它的以太网标准在业界的影响力使得在业界一直得到最广泛的支持，尤其在数据业务上。ETSI是一个欧洲组织，因此一直得到欧洲政府的支持，很多运营商也都很尊重它的GSM和UMTS蜂窝标准，它在制定WLAN标准的时候更加关注语音业务。HomeRF作为一种为家庭网络专门设计的标准在业界也有一定的影响力。价格廉价的笔记本电脑、移动和手持式设备的日趋流行，以及Internet应用程序和电子商务的快速开展，使用户需要随时进行网络连接。为满足这些需求，可以使用两种方法将便携式设备连接到网络，而没有电缆所带来的不便。这两种标准就是和Bluetooth。是一种11Mb/s无线标准，可为笔记本电脑或桌面电脑用户提供完全的网络效劳10.2.1IEEE的标准系列由于在速率和传输距离上都不能满足人们的需要，因此，IEEE小组又相继推出了和两个新标准。3者之间技术上的主要差异在于MAC子层和物理层。物理层支持和11Mpbs两个新速率。标准在扩频时是一个11位调制芯片，而标准采用一种新的调制技术CCK完成。使用动态速率漂移，可因环境变化，在11Mbps、、2Mbps、1Mbps之间切换，且在2Mbps、1Mbps速率时与兼容。的产品普及率最高，在众多的标准中处于先导地位。见教材P254协议于2003年6月正式推出，它是在协议的根底上改进的协议，支持工作频率以及DSSS技术，并结合了协议高速的特点以及OFDM技术。这样协议即可以实现11Mbps传输速率，保持对的兼容，又可以实现54Mbps高传输速率。随着人们对无线局域网数据传输的要求，协议也已经慢慢普及到无线局域网中，和协议的产品一起占据了无线局域网市场的大局部。而且，局部加强型的产品已经步入无线百兆时代。欧洲电信标准化协会〔ETSI〕(EuropeanTelecommunicationsStandardsInstitute)HiperLan是欧盟在1992年提出的一个WLAN标准，HiperLan2是它的后续版本，HiperLan2局部建立在GSM〔GlobalSystemforMobileCommunications，全球移动通讯系统〕根底上，使用频段为5GHz。在物理层上HiperLan2和几乎完全相同。它采用OFDM技术，最大数据速率为54Mbps。它和最大的不同是HiperLan2不是建立在以太网根底上的，而是采用的TDMA结构，形成是一个面向连接的网络，HiperLan2的面向连接的特性使它很容易满足QoS〔QualityofService，效劳质量〕要求，可以为每个连接分配一个指定的QoS，确定这个连接在带宽、延迟、拥塞、比特错误率等方面的要求。这种QoS支持与高传输速率一起保证了不同的数据序列〔如视频、话音和数据等〕可以同时进行高速传输。10.2.2ETSI的HiperLan210.2.3HomeRFHomeRF是与DECT〔DigitalEnhancedCordlessTelecommunications数字增强无绳通信〕的结合，使用这种技术能降低语音数据本钱。与前几种技术一样，使用开放的频段。采用跳频扩频〔FHSS〕技术，跳频速率为50跳/秒,共有75个带宽为1MHz的跳频信道。HomeRF把共享无线接入协议〔SWAP〕作为未来家庭联网的技术指标，基于该协议的网络是对等网，因此该协议主要针对家庭无线局域网。其数据通信采用简化的协议标准，沿用类似与以太网技术中的冲突检测的载波监听多址技术〔CSMA/CD〕CSMA/CA。语音通信采用DECT〔DigitalEnhancedCordlessTelephony〕标准，使用TDMA时分多址技术。10.3.1WEP协议标准中的WEP〔WiredEquivalentPrivacy〕协议是协议中最根本的无线平安加密措施，其主要用途包括提供接入控制，防止未授权用户访问网络；对数据进行加密，防止数据被攻击者窃听；防止数据被攻击者中途恶意纂改或伪造。此外，WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。AboveCable所有型号的AP都支持64位或〔与〕128位的静态WEP加密，有效地防止数据被窃听盗用。无线局域网平安协议10.3.2IEEE802.11i平安标准的i工作组致力于制订被称为的新一代平安标准，这种平安标准为了增强WLAN的数据加密和认证性能，定义了RSN〔RobustSecurityNetwork〕的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。规定使用认证和密钥管理方式，在数据加密方面，定义了TKIP〔TemporalKeyIntegrityProtocol〕、CCMP〔Counter－Mode／CBC－MACProtocol〕和WRAP〔WirelessRobustAuthenticatedProtocol〕三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法到达提高WLAN平安的目的。CCMP机制基于AES〔AdvancedEncryptionStandard〕加密算法和CCM〔Counter－Mode／CBC－MAC〕认证方式，使得WLAN的平安程度大大提高，是实现RSN的强制性要求。由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的根底上进行升级实现。我国早在2003年5月份就提出了无线局域网国家标准GB15629.11，这是目前我国在这一领域惟一获得批准的协议。标准中包含了全新的WAPI〔WLANAuthenticationandPrivacyInfrastructure〕平安机制，这种平安机制由WAI〔WLANAuthenticationInfrastructure〕和WPI〔WLANPrivacyInfrastruc－ture〕两局部组成，WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAPI能为用户的WLAN系统提供全面的平安保护。WAPI平安机制包括两个组成局部。具体见教材P257。10.3.3WAPI协议

扩频技术扩频技术是军方为了通讯平安而首先提出的。它从一开始就被设计成为驻留在噪声中，一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送，明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。通常有几种方法来实现扩频传输，最常用的是直序扩频和跳频扩频。一些无线局域网产品在ISM波段的～范围内传输信号，在这个范围内可以得到79个隔离的不同通道，无线信号被发送到成为随机序列排列的每一个通道上〔例如通道1、32、67、42……〕。无线电波每秒钟变换频率许屡次，将无线信号按顺序发送到每一个通道上，并在每一通道上停留固定的时间，在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案，系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰，也不用担忧网络上的数据被其他用户截获。无线网络主要信息平安技术即在无线网的站点上使用口令控制，当然未必局限于无线网。当前一些主要的网络操作系统和效劳器均提供了包括口令管理在内的内建多级平安效劳。口令应处于严格的控制之下并经常予以变更。由于WLAN的用户包括移动用户，而移动用户倾向于把他们的笔记本电脑移来移去，因此，严格的口令策略等于增加了一个平安级别，它有助于确认网站是否正被合法的用户使用。建议在无线网络的适配器端使用网络密码控制。这与NovellNetWare和MicrosoftWindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户，所以精确的密码策略是增加一个平安级别，这可以确保工作站只被授权人使用。10.4.2用户认证和口令控制

1.WEP〔WiredEquivalentPrivacy〕加密配置WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法，是IEEE协会为了解决无线网络的平安性而在中提出的解决方法。数据加密2.无线网络加密技术之WPA-PSK(TKIP)无线网络最初采用的平安机制是WEP(有线等效私密)，但是后来发现WEP是很不平安的，组织开始着手制定新的平安标准，也就是后来的协议。但是标准的制定到最后的发布需要较长的时间，而且考虑到消费者不会因为为了网络的平安性而放弃原来的无线设备，因此Wi-Fi联盟在标准推出之前，在草案的根底上，制定了一种称为WPA(Wi-FiProctedAccess)的平安机制，它使用TKIP(TemporalKeyIntegrityProtocol:临时密钥完整性协议)，它使用的加密算法还是WEP中使用的加密算法RC4，所以不需要修改原来无线设备的硬件，WPA针对WEP中存在的问题：IV(初始化向量)过短、密钥管理过于简单、对消息完整性没有有效的保护，通过软件升级的方法提高网络的平安性。3.无线网络加密技术之WPA2-PSK(AES)在公布之后，Wi-Fi联盟推出了WPA2，它支持AES(高级加密算法)，因此它需要新的硬件支持，它使用CCMP(计数器模式密码块链消息完整码协议)。在WPA/WPA2中，PTK的生成依赖PMK，而PMK获的有两种方式，一个是PSK的形式就是预共享密钥，在这种方式中PMK=PSK，而另一种方式中，需要认证效劳器和站点进行协商来产生PMK。所制定的是技术性标准,Wi-Fi联盟所制定的是商业化标准,而Wi-Fi所制定的商业化标准根本上也都符合IEEE所制定的技术性标准。WPA(Wi-FiProtectedAccess)事实上就是由Wi-Fi联盟所制定的平安性标准,这个商业化标准存在的目的就是为了要支持这个以技术为导向的平安性标准。而WPA2其实就是WPA的第二个版本。WPA之所以会出现两个版本的原因就在于Wi-Fi联盟的商业化运作。10.5无线网络设备无线网卡目前，常见的无线网卡大多为PCMCIA、PCI和USB三种类型。无线网卡是终端无线网络的设备，是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置，但是有了无线网卡也还需要一个可以连接的无线网络，如果你在家里或者所在地有无线路由器或者无线AP的覆盖，就可以通过无线网卡以无线的方式连接无线网络可上网。

1.无线网卡标准上区分无线网卡按无线标准可定为、、。在频段上来说标准为频段，、标准为频段。从传输速率上来说使用了DSSS〔直接序列扩频〕或CCK〔补码键控调制〕，传输速率为11Mbps，而和使用相同的OFDM〔正交频分复用调制〕技术，使其传输速率是b的5倍，也就是54Mbps。兼容上来说不兼容，但是可以兼容，而和两种标准可以相互兼容使用，但在使用时仍需注意，的设备在的网络环境下使用只能使用标准，其数据数率只能到达11Mbps。2.无线网卡接口上区分

图10-2PCI接口无线网卡图10-3PCMICA接口网卡图10-4USB无线网卡图10-5MINI-PCI无线网卡3.无线网卡网络制式上区分无线上网卡它是目前无线广域通信网络应用广泛的上网介质。目前，由于我国只有中国移动的GPRS和中国联通的CDMA(1X)两种网络制式，所以常见的无线上网卡就包括CDMA无线上网卡和GPRS无线上网卡两类。另外还有一种CDPD无线上网卡。〔1〕CDMA无线上网卡CDMA(CodeDivisionMultipleAccess，码分多址)无线上网卡是针对中国联通的CDMA网络推出来的上网连接设备。CDMA允许所有的使用者同时使用全部频带，并且把其他使用者发出的讯号视为杂讯，完全不必考虑到讯号碰撞(collision)的问题。中国联通CDMA1000

清华同方TFCDMA6000

雅美达CDMA上网卡

〔2〕GPRS无线上网卡GPRS上网卡是针对中国移动的GPRS网络推出来的无线上网设备。GPRS的英文全称为“GeneralPacketRadioService〞，中文含义为“通用分组无线效劳〞，它是利用“包交换〞〔Packet-Switched〕的概念所开展出的一套无线传输方式。所谓的包交换就是将Date封装成许多独立的封包，再将这些封包一个一个传送出去，形式上有点类似寄包裹，采用包交换的好处是只有在有资料需要传送时才会占用频宽，而且可以以传输的资料量计价，这对用户来说是比较合理的计费方式，因为像Internet这类的数据传输大多数的时间频宽是间置的。〔3〕CDPD无线上网卡CDPD〔蜂窝数字分组数据-CellularDigitalPacketData〕采用分组数据方式，是目前公认的最正确无线公共网络数据通信规程。它是建立在TCP/IP根底上的一种开放系统结构，将开放式接口、高传输速度、用户单元确定、空中链路加密、空中数据加密、压缩数据纠错和重发和运用世界标准的IP寻址模式无线接入有力的结合在一起，提供同层网络的无缝连接、多协议网络效劳。CDPD具有速度快〔〕，数据平安性高等特点，它支持用户越区切换和全网漫游、播送和群呼，支持移动速度达100km/h的数据用户，可与公用有线数据网络互联互通。10.5.2无线网桥WirelessBridge无线网桥〔WirelessBridge〕的功能在于提供两个点之间通信的无线链路，可以使用两个或多个无线网桥将彼此分开的局域网连接在一起。如图10-6所示是一款艾克赛尔AX9400EDU系列产品。图10-6无线网桥10.5.3天线无线网络互连需要配合使用天线〔Antenna〕。根据天线的功能特性，可以分为定向天线，全向天线和扇区天线，分别适合点对点，点对多点和区域覆盖使用。如图10-7所示是一款家用无线网络天线。10.5.4AP接入点AP〔AccessPoint〕一般俗称为网络桥接器，顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁，因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外，AP本身又兼具有网管之功能，可针对接有无线网络卡之PC作必要之控管。如图10-8是一款WAB102无线AP接入点。10.6无线网络的平安缺陷与解决方案无线网络的平安缺陷1容易侵入无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。因为任何人的计算机都可以通过自己购置的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大平安隐患。如果你能买到Yagi外置天线和3-dB磁性HyperGain漫射天线硬盘，拿着它到各大写字楼里走一圈，你也许就能进入那些大公司的无线局域网络里，做你想要做的一切。或者再简单一点，对于那些防范手段差的公司来说，用一块无线网卡也可以进入他们的网络——这种事时常在美国发生。3恶意攻击除通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的播送帧发现AP的存在。然而，由于没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用对每一个802.11MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法防止的。10.6.2无线网络平安防范措施1、隐藏效劳设定标识〔SSID〕我们购置一个无线路由器后，默认的SSID一般都和该路由器的品牌相关联，黑客可以轻松通过SSID知道路由器品牌。我们可以在无线路由的管理界面上，修改这个SSID，改成自己喜欢的名字，这样就在一定程度上隐蔽无线路由。2、修改用户名和密码一般路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络，都提供了一个管理页面工具，用来设置该设备的网络地址以及帐号等信息。然而在设备出售时，制造商给每一个型号的设备提供的默认用户名和密码都是一样的，如果没有修改设备的默认的用户名和密码，就给黑客们提供了有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面，如果成功那么立即取得该路由器/交换机的控制权。3、无线网络加密加密可以使得没有密钥的人无法登录到你的网络上来，一般无线路由都提供两种加密标准：无线对等协议〔WEP〕和Wi-Fi保护接入〔WPA〕。WEP要比WPA老，但是不如WPA平安。目前破解“无线路由器密码〞，指的就是破解WEP密码。所以，采用WPA会更平安些，起码给黑客制造更多的麻烦。4、缩小IP地址范围当计算机连接到无线网络的时候，无线路由器通常会分给一个IP地址，用他来浏览网页或连接外部互联网。通常情况下，无线路由器会给连接到无线网络中来的每一台机器分配一个IP，缩小IP地址范围，就可以限制连接到无线网络中计算机的数量。理想的情况下，假设我们网络中的计算机使用了所有IP地址的话，无线路由器就不会为入侵者再分配IP地址了。5、设置MAC地址过滤在Windows系统中点选“开始菜单〞，然后选“运行〞，弹出的对话框中输入“cmd〞，回车后会出现命令行窗口。在命令行窗口中输入ipconfig/all。寻找名为“PhysicalAddress〞的这一行，其后所显示的地址即为该设备的MAC地址。每一个网络设备都有唯一的被称作MAC地址的ID。这样可以在无线路由器上设定一个范围的MAC地址，不属于这个范围的一律拒之门外。10.6.3无线网络平安应用实例下面以D-Link无线路由器说明无线局域网络的平安配置，D-Link支持以下平安机制。支持远程管理。支持64/128(802.11G〕位WEP无线加密，密码支持HEX/ASCII双模式。提供使用者自订的访问控制列表〔ACL〕机制，支持等过滤功能。支持WPA加密功能〔WPATLS/TKIP〕。认证〔Authentication〕的目的是确认对方身份的合法性，以免与身份不明的对象沟通，泄漏了重要的机密。也就是双方进行通信之前，必须先经过认证的程序。D-Link有支持的认证〔加密〕方有4种。1WEP加密WEP是一种对称性的加密技术，用来加密在WLAN上传送的资料，为资料保密提供了一定的平安性。WEP必须有相同WEPkey的双方〔TX及RX〕才可互相听得懂。D-Link支持了两种层级的WEP加密方式，分别为64位加密和128位加密，越长的加密代表越平安。可以选择启用/禁用WEP加密功能，在默认情况下，WEP加密功能是禁用的。WEP密码可以轻易地变更无线加密设置以维护一个平安的网络。方法很简单，只要选择使用于加密网络上的无线通信资料的指定密钥值即可。在64位WEP加密下，必须输入10个HEX数字或是5个ASCII码。在128位WEP加密下，必须输入26个HEX数字或是13个ASCII码〔HEX数字范围为0-9和A-F〕。平安协议它是利用凭证方式认证的无线网络的平安机制。平安模式密码选择加密的方式为64bit或128bit。对于的设置主要有以下几项：RADIUS效劳器IP地址。输入RADISU效劳器的IP地址，供封包使用。RADIUS端口。RADISU效劳器所使用的通信端口，默认标准802.lxRADISU效劳器通信端口为1812。RADIUS密码。RADIUS效劳器上所设置的sharedKey，此处必须设置相同的sharedKey，D-Link才可与RADIUS效劳器验证沟通。密码模式预先共享密钥〔WPA-PSK〕，只需要在D-Link吐上输入单一密码。只要密码相符，客户端便会获得无线网络的存取权限。与WPA不同的是，使用WPA-PSK加密是不需要RADIUS效劳器做认证的，只要在此输入密钥以供认证使用即可，可设置的密钥长度为8~64个字符〔至少8个字符〕。当然，不管选择了以上何种的认证〔加密〕方式，相对使用者的无线网卡也必须支持才行。密码模式D-Link所支持的WPA-PSK密码模式为HEX〔十六进制数字〕及ASCII码。使用者可以变更密码模式以符合现有的无线网络设置或是自定义自己的无线网络设置。此处为输入WPA-PSK加密所使用的密码；假设密码模式选择为HEX的话，输入64个0~9和A~F的十六进制数字，假设密码模式选择为ASCII码的话，输入8~63个ASCII码。在无线网卡上的密码设置必须与此处相同。4.WPAWPA以和延伸认证协议〔EAP〕作为其认证机制的根底。认证机制是由使用者提供某种形式的证明，然后存取网络并以该证明来对