无线网络技术及管理

无线网络技术及管理主讲人蒋融融讲师浙江播送电视大学信息与工程学院1.第九讲无线局域网平安2.内容概要无线局域网平安的严峻挑战无线局域网根本的平安措施无线局域网的平安技术3.一无线局域网平安的严峻挑战1.无线局域网平安的现状2.无线局域网的常见攻击方式4.1.无线局域网平安的现状无线局域网平安问题的独特之处在于信道开放，用户不必与网络进行“可视〞的连接。这使攻击者伪装合法用户更加容易，同时微波信号在空气中传播也会因多种原因导致信号损失。目前，无线局域网络产品主要采用的是IEEE802.11b国际标准，大多应用DSSS直接序列扩频通信技术进行数据传输，该技术能有效防止数据在无线传输过程中丧失、干扰、信息阻塞及破坏等问题。5.2.无线局域网的常见攻击方式1〕窃听2〕非法登录3〕干扰攻击6.1〕窃听窃听是无线局域网被动攻击的有效类型。在网络上窃取数据又称为嗅探。无线网络中无线信道的开放性给网络嗅探带来极大方便。在无线局域网中网络嗅探对信息平安的威胁来自被动性和非干扰性，执行监听程序的窃听过程中只是被动的接收网络中传输的信息，不会跟其他的主机交换信息，也不修改在网络中传输的信息包。使网络嗅探具有很强的隐蔽性，让网络信息失密变得不容易发现。7.2〕非法登录无线局域网的非法登录过程是通过一个无线接入点AP连接到一个无线局域网上。主动攻击：一个用户为了更深入地穿透或进入一个网络，或为了获取对于效劳器的访问，以得到有价值的数据，或为了恶意的目的使用公司的Internet访问，甚至改变网络的界面配置，改变无线局域网自身。例如，一个黑客可以通过设定的MAC地址过滤实施恶意攻击。8.3〕干扰攻击干扰攻击会让无线局域网瘫痪。黑客使用高功率的微波信号发送器或扫描发送器实施有目的的干扰攻击；一个不可移除和没有恶意的源头对无线局域网的干扰；黑客使用另外一个无线接入点AP构建新的无线局域网，通过发送比合法无线接入点更高的信号，有效抢夺移开工作站。9.二无线局域网根本的平安措施1.信息过滤措施2.访问认证机制3.数据加密10.1.信息过滤措施信息过滤是能够使用的根本的平安机制。常用的信息过滤机制有：物理地址MAC过滤效劳集标识符SSID过滤协议端口过滤前两种用于简单的无线接入点AP，是早期无线局域网最主要的平安措施，第三种是建立在路由的根底上。11.1〕物理地址MAC过滤每个无线工作站网卡都由惟一的物理地址(MAC)地址标示。网络管理员可在无线接入点AP中手工维护一组允许访问或不允许访问的MAC地址列表，以实现物理地址的访问过滤。假设企业中的AP数量太多，为实现整个企业中所有AP统一的无线网卡MAC地址认证，现在的AP也支持无线网卡MAC地址的集中远程接入拨号用户Radius认证。

12.13.MAC过滤的缺陷物理地址过滤属于硬件认证，而非用户认证，要求AP中的MAC地址控制表需随时更新，并是手工操作，假设用户增加，可扩展性差，只适用于小型网络。MAC地址可被盗用或非法伪造，获取对无线局域网的非法访问，是较低级别的授权认证。14.2〕效劳集标识符SSID过滤无线工作站必须出示正确的SSID，与无线接入点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝他通过本效劳区上网。因此SSID是一个简单的口令，从而提供口令认证机制，实现一定的平安保障。无线局域网接入点AP对此项技术的支持就是可不让AP播送其SSID号，这样无线工作站端必须主动提供正确SSID号才能与AP进行关联。

15.16.3〕协议端口过滤协议端口过滤是无线局域设备中比较高级的一种平安机制。无线局域网能够过滤通过网络传输基于2～7层协议的数据包。过滤出每一个协议和任何直接的信息协议，可限制用户使用某些功能。设置协议过滤，控制共享介质的使用方面非常有效。17.18.2.IEEE802.11平安机制IEEE802.11标准规定的无线局域网连接过程有4个步骤：扫描、连接、链路验证和关联。通常，无线客户端会扫描整个周围环境寻找适合接入的无线接入点。实现数据传输时，无线局域网要求一定的平安机制作为保障。IEEE802.11标准规定的平安机制访问认证机制数据加密机制－－有线等效加密WEP19.访问认证机制访问认证是无线局域网中一个工作站向另一个工作站或无线接入点AP证明其身份的机制。IEEE802.11标准中定义了两种类型的用户访问认证机制：〔1〕开放式验证〔2〕共享密钥验证20.〔1〕开放式验证开放式验证是无线局域网设备的默认状态，使用该验证方法，一个无线客户端仅有一个正确的SSID就可以关联任何使用开放式系统验证的无线接入点AP，验证过程如下：无线局域网的无线客户端请求到要关联的无线接入点；无线接入点对于无线客户端的鉴别响应。21.〔2〕共享密钥验证共享密钥验证要求双方必须有一个公共密钥，这个过程只能在使用WEP机制的工作站之间进行，防止明文传输。使用共享密钥验证的鉴别过程如下：无线客户端向无线接入点发送验证请求；无线接入点发布一个随机产生的无格式的文本，从无线接入点清晰地发送到无线客户端；无线客户端响应这个请求，并使用自身的密钥加密该请求，将其发回无线接入点；无线接入点解释明白无线客户端的加密响应，识别通过一个匹配的WEP的密钥加密请求文本。22.23.访问认证的状态关系状态1：未验证，未关联状态2：已验证，未关联状态3：已验证，已关联解除链路验证解除关联链路验证成功关联或重新关联成功解除链路验证〔验证结束〕1类帧1类、2类帧1类、2类、3类帧24.数据加密机制WEP有线等效保密WEP协议用于在无线局域网中保护链路层数据。WEP使用64位密钥或128位密钥，采用RSA开发的RC4对称加密算法，在链路层加密数据。WEP加密采用静态的密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，只有正确无误，才能获准存取网络的资源。25.WEP机制的缺陷只验证无线客户端设备，缺乏使用者身份验证机制采用静态密钥，缺乏动态的数据加密26.三无线局域网平安技术1.IEEE802.1x协议(WEP/EAP)2.IEEE802.1i协议(WAP)3.无线局域网鉴别与保密根底结构WAPI4.VPN平安解决方案27.1.IEEE802.1x协议端口访问技术802.1x协议是一种局域网接入控制协议。主要解决无线局域网用户的接入验证问题。它是WLAN的一种增强性网络平安解决方案。当无线客户端与无线接入点AP关联后，是否可以使用AP的效劳要取决于802.1x的认证结果。如果认证通过，那么AP为无线工作站翻开这个逻辑端口，否那么不允许用户上网。802.1x要求无线客户端安装802.1x客户端软件，无线接入点要内嵌802.1x认证代理，同时它还作为远程接入拨号用户Radius客户端，将用户的认证信息转发给Radius效劳器。28.IEEE802.1x协议的三要素客户端〔效劳请求者〕。一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。认证系统〔验证者〕。一般是无线接入点AP，也是网络节点，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果翻开或关闭端口。认证效劳器〔验证效劳者〕。通过检验客户端发送来的身份标识〔用户名和口令〕来判别用户是否有权使用网络系统提供的网络效劳，并根据认证结果向交换机发出翻开或保持端口关闭的状态。

29.IEEE802.1x协议工作过程要求验证验证结果提供验证资料根据检验结果断定是否提供效劳30.可扩展验证协议EAP802.1x融合EAP，即EAPOL(WLAN中称做EAPOW)在申请者和近端认证AP之间运行；认证AP与远端认证效劳器同样运行EAP协议，EAP帧中封装认证数据再将该协议承载在其他高层协议中，如RADIUS，以利于穿越多种网络到达认证效劳器，成为EAPoverRADIUS。31.EAP认证的优点EAP认证对IEEE802.11标准起到三方面改进。双向认证机制，有效地消除了中间人攻击(MITM)，如假冒的AP和远端认证效劳器。集中化认证管理和动态分配加密密钥机制。解决了管理上的难度—WEP使用RC4给网络里的所有AP和客户分发静态密钥很繁琐，每一次无线设备丧失，网络必须重新配置密钥以防止非法用户利用丧失的设备进行非法登录。能够定义集中策略控制，当会话超时时将触发重新认证和生成新的密钥。32.IEEE802.1x协议的优点802.1x认证的突出优点就是实现简单、认证效率高、平安可靠。无需多业务网管设备，就能保证IP网络的无缝相连。同时消除了网络认证计费瓶颈和单点故障。解决了采用多业务网关，不便于视频业务开展的难题。在二层网络上实现用户认证，大大降低了整个网络的建网本钱。

33.2.IEEE802.11i平安标准该标准增强了WLAN的数据加密和认证性能，并且针对WEP加密机制的各种缺陷做了多方面的改进，增强了无线局域网的鉴别性能和数据加密。34.两个平安协议的比照WEPTKIPIEEE802.11x/EAPTKIP35.IEEE802.11i主要内容Wi-Fi保护接入〔WPA〕健全的平安网络RSN36.Wi-Fi保护接入〔WPA〕WPA在IEEE802.11i标准确定前是代替WEP的无线平安标准协议。WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x和暂时密钥完整协议TKIP。WPA采用新的加密算法以及用户认证机制，加强了生成加密密钥的算法，即使黑客收集到分组信息并对其进行解析，也几乎无法计算出通用密钥，解决了WEP破解容易的缺点。WPA不能向后兼容某些遗留设备和操作系统。如果无线局域网没有运行WPA和加快该协议处理速度的硬件，WPA将降低网络性能。37.WPA2WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性，它们最重要的共性是预验证，即在用户对延迟毫无觉察的情况下实现平安快速漫游，同时采用CCMP加密包来替代TKIP。38.健全的平安网络RSNRSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x和EAP，加密算法是AES。动态协商认证和加密算法使RSN可以与最新的平安水平保持同步，不断提供保护无线局域网传输信息所需要的平安性。与WEP和WPA相比，RSN更可靠，但RSN不能很好地在遗留设备上运行。39.3.国家标准GR15629.11WAPIWAPI即无线局域网鉴别与保密根底结构，它针对IEEE802.11中WEP协议平安问题，是2003年在中国无线局域网国家标准GB15629.11中提出的WLAN平安解决方案。同时，本方案已由ISO/IEC授权的机构IEEE注册权威机构审查并获得认可，分配了用于WAPI协议的以太类型字段，这也是我国目前在该领域惟一获得批准的协议。40.WAPI的特点采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。AP设置好证书后，无须再对后台效劳器进行设置，安装、组网便捷，易于扩展。支持Windows98/2K/XP、Linux等操作系统。提供与现有计费技术兼容的效劳，可实现按时计费、按流量计费、包月等多种计费方式。满足家庭、企业、运营商等多种应用模式。在不同场合应用形式相同，使用方便，用户易接受。41.WAPI的组成无线局域网鉴别根底结构WAI无线局域网保密根底结构WPI其中，WAI采用基于椭圆曲线的公钥证书体制，无线客户端STA和接入点AP通过鉴别效劳器AS进行双向身份鉴别。而在对传输数据的保密方面，WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密，充分保障了数据传输的平安。

42.VPN平安解决方案VPN是指在一个公共IP网络平台上通过隧道极其加密技术保证专用数据的网络平安性。VPN可以替代连线对等加密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处就是可以提供基于Radius的用户认证以及计费。它不属于8