版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、8.7 无线局域网安全技术,8.7.1 无线局域网的安全问题 8.7.2 无线局域网安全技术,8.7.1无线局域网的安全问题,物理安全 无线设备包括站点(STA)和接入点(AP)。站点通常由一台PC机或笔记本电脑加上一块无线网络接口卡构成;接入点通常由一个无线输出口和一个有线的网络接口构成,其作用是提供无线和有线网络之间的桥接。物理安全是关于这些无线设备自身的安全问题,主要表现在: 无线设备存在许多的限制,这将对存储在这些设备的数据和设备间建立的通信链路安全产生潜在的影响。与个人计算机相比,无线设备如个人数字助理等,存在如电池寿命短、显示器小等缺陷。 无线设备虽有一定的保护措施,但这些保护措施
2、总是基于最小信息保护需求的。因此,必须加强无线设备的各种防护措施。,8.7.1 无线局域网的安全问题,2. 存在的威胁 由无线局域网的传输介质的特殊性,使得信息在传输过程中具有更多的不确定性,受到影响更大,主要表现在: 窃听。任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听,但是发送者和预期的接收者无法知道传输是否被窃听,且无法检测窃听。 修改替换。在无线局域网中,较强节点可以屏蔽较弱节点,用自已的数据取代,甚至会代替其他节点作出反应。 传递信任。当公司网络包括一部分无线局域网时,就会为攻击者提供一个不需要物理安装的接口用于网络入侵。因此,参与通信的双方都应该能相互认证。,8.
3、7.2 无线网络面临的安全问题,基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。但是针对这种攻击进行的保护几乎是不可能的,所能做的就是尽可能地降低破坏所造成的损失。 拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击,攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行,从而导致正常的用户无法使用网络。 置信攻击。通常情况下,攻击者可以将自己伪造成基站。当攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录到他的网络,通过分析窃取密钥和口令,以便发动针对性的攻击。,8.7.2 无线局域网安全技术,1. 服务集标识符 服务集标识符(SSID)技术
4、将一个无线局域网分为几个需要不同身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络,同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点(AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。通常SSID须事先设置于所有使用者的无线网卡及A P中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID,这是唯一标识网络的字符串。 但是SSID对于网络中所有用户都是相同的字符串,其安全性差,人们可以轻易地从每个信息包的明文里窃取到它。,8.7.2 无线局域网安全技术,2. 物理地址过滤 每个无线工作站的网卡
5、都有唯一的物理地址,应用媒体访问控制(MAC)技术,可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。但媒体访问控制只适合于小型网络规模。这是因为: MAC地址在网上是明码模式传送,只要监听网络便可从中截取或盗用该MAC地址,进而伪装使用者潜入企业或组织内部偷取机密资料。 部分无线网卡允许通过软件来更改其MAC地址,可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址,因此可通过访问控制的检查而获取访问受保护网络的权限。 媒体访问控制属于硬件认证,而不是用户认证。,8.7.2 无线局域网安全技术,3. 有线对等保密 有
6、线等效保密(WEP)是常见的资料加密措施,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术,当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。 WEP的工作原理是通过一组40位或128位的密钥作为认证口令,当WEP功能启动时,每台工作站都使用这个密钥,将准备传输的资料加密运算形成新的资料,并透过无线电波传送,另一工作站在接收到资料时,也利用同一组密钥来确认资料并做解码动作,以获得原始资料。,8.7.2 无线局域网安全技术,WEP目的是向无线局域网提供与有线网络相同级别的安全保
7、护,它用于保障无线通信信号的安全,即保密性和完整性。但WEP提供了40位长度的密钥机制存在许多缺陷,表现在: 40位的密钥现在很容易破解。 密钥是手工输入与维护,更换密钥费时和困难,密钥通常长时间使用而很少更换,若一个用户丢失密钥,则将危及到整个网络。 WEP标准支持每个信息包的加密功能,但不支持对每个信息包的验证。 现在针对WEP的不足之处,对WEP加以扩展,提出了动态安全链路技术(DSL)。DSL采用了128 位动态分配的密钥,每一个会话都自动生成一把密钥,并且在同一个会话期间,对于每256个数据包,密钥将自动改变一次。,8.7.2 无线局域网安全技术,4. Wi-Fi保护接入 Wi-Fi
8、保护性接入(WPA)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。 WPA标准采用了TKIP、EAP和802.1X等技术,在保持Wi-Fi认证产品硬件可用性的基础上,解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。,8.7.2 无线网络的安全技术,5. 国家标准WAPI 国家标准WAPI(WAPI),即
9、无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 WAPI的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。另外,它充分考虑了市场应用,从应用模式上可分为单点式和集中式。采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互
10、不兼容的现状,从而根本上解决安全和兼容性问题。,8.7.3 无线网络的安全技术,6. 端口访问控制技术 端口访问控制技术(802.1x)是由IEEE定义的,用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权,可以用于局域网,也可以用于城域网。802.1x引入了PPP协议定义的扩展认证协议EAP。EAP采用更多的认证机制,如MD5、一次性口令等等,从而提供更高级别的安全。 802.1x是运行在无线网设备关联,其认证层次包括两方面:客户端到认证端,认证端到认证服务器。802.1x定义客户端到认证端采用EAP over LAN 协议,认证端到认证服务器采用EAP over RADIUS
11、协议。,8.7.2 无线网络的安全技术,802.1x要求无线工作站安装802.1x客户端软件,无线访问站点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。 但是802.1x采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中可能泄漏、丢失,存在很大安全隐患。加上无线接入点AP与RADIUS服务器之间用于认认证的共享密钥是静态的,且
12、是手工管理,也存在一定的安全隐患。,8.7.2 无线网络的安全技术,7. 虚拟专用网络 虚拟专用网络(VPN,Virtual Private Network)指使用互联网连接物理上分散的系统来模拟单一专用网的安全方式,通过隧道和加密技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的技术是VPN防火墙。同样无线LAN,也可以采用该安全框架,即安装两道防火墙:一个作为进入内部网的网关,另一个处于无线LAN和内部网之间,无线防火墙只允VPN通信,如图8.22所示。 无线用户可以向无线基础设施认证自己。实际上,把无线网络和有线网络隔离,只允许VPN通信经过,是利用了缓冲区的办法来增强网络安全性。此外,基于IPsec的VPN技术采用的IP层加密协议,可以防止通信被窃听。,8.7.2 无线网络的安全技术,图8.22无线虚拟专用网安全框架,8.7.3 无线网络的安全技术,VPN可以替代无线对等加密解决方案和物理地址过滤解决方案,也可以与WEP协议互补使用。但是VPN技术应用于无线网络也有其局限性,具体表现在: 运行脆弱。因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是很
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论