8.7无线局域网安全技术 8.7.1无线局域网的安全问题 8.7.2无线局域网安全技术 ●四南大字画字
8.7 无线局域网安全技术 8.7.1 无线局域网的安全问题 8.7.2 无线局域网安全技术
8.7.1无线局域网的安全问题 1.物理安全 无线设备包括站点(STA)和接入点(AP)。站点通常由一台 PC机或笔记本电脑加上一块无线网络接口卡构成;接入点通常由一个 无线输出口和一个有线的网络接口构成,其作用是提供无线和有线网 络之间的桥接。物理安全是关于这些无线设备自身的安全问题,主要 表现在: 无线设备存在许多的限制,这将对存储在这些设备的数据和 设备间建立的通信链路安全产生潜在的影响。与个人计算机相比, 无线设备如个人数字助理等,存在如电池寿命短、显示器小等缺 陷 无线设备虽有一定的保护措施,但这些保护措施总是基于最 小信息保护需求的。因此,必须加强无线设备的各种防护措施。 第8章网络安全
第8章 网络安全 8.7.1无线局域网的安全问题 1. 物理安全 无线设备包括站点(STA)和接入点(AP)。站点通常由一台 PC机或笔记本电脑加上一块无线网络接口卡构成;接入点通常由一个 无线输出口和一个有线的网络接口构成,其作用是提供无线和有线网 络之间的桥接。物理安全是关于这些无线设备自身的安全问题,主要 表现在: ➢ 无线设备存在许多的限制,这将对存储在这些设备的数据和 设备间建立的通信链路安全产生潜在的影响。与个人计算机相比, 无线设备如个人数字助理等,存在如电池寿命短、显示器小等缺 陷。 ➢ 无线设备虽有一定的保护措施,但这些保护措施总是基于最 小信息保护需求的。因此,必须加强无线设备的各种防护措施
8.71无线局域网的安全问题 2.存在的威胁 由无线局域网的传输介质的特殊性,使得信息在传输过程中具有 更多的不确定性,受到影响更大,主要表现在 窃听。任何人都可以用一台带无线网卡的PC机或者廉价的无 线扫描器进行窃听,但是发送者和预期的接收者无法知道传输是 否被窃听,且无法检测窃听 修改替换。在无线局域网中,较强节点可以屏蔽较弱节点, 用自已的数据取代,甚至会代替其他节点作出反应。 传递信任。当公司网络包括一部分无线局坷网时,就会为攻 击者提供一个不需要物理安装的接口用于网络入侵。因此,参与 通信的双方都应该能相互认证。 第8章网络安全
第8章 网络安全 8.7.1 无线局域网的安全问题 2. 存在的威胁 由无线局域网的传输介质的特殊性,使得信息在传输过程中具有 更多的不确定性,受到影响更大,主要表现在: ➢ 窃听。任何人都可以用一台带无线网卡的PC机或者廉价的无 线扫描器进行窃听,但是发送者和预期的接收者无法知道传输是 否被窃听,且无法检测窃听。 ➢ 修改替换。在无线局域网中,较强节点可以屏蔽较弱节点, 用自已的数据取代,甚至会代替其他节点作出反应。 ➢ 传递信任。当公司网络包括一部分无线局域网时,就会为攻 击者提供一个不需要物理安装的接口用于网络入侵。因此,参与 通信的双方都应该能相互认证
8.72无线网络面临的安全问题 基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软 件臭虫、错误配置、硬件故障等。但是针对这种攻击进行的保护 几乎是不可能的,所能做的就是尽可能地降低破坏所造成的损失 拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击 攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的 正常运行,从而导致正常的用户无法使用网络。 置信攻击。通常情况下,攻击者可以将自己伪造成基站。当 攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录 到他的网络,通过分析窃取密钥和口令,以便发动针对性的攻击 第8章网络安全
第8章 网络安全 8.7.2 无线网络面临的安全问题 ➢ 基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软 件臭虫、错误配置、硬件故障等。但是针对这种攻击进行的保护 几乎是不可能的,所能做的就是尽可能地降低破坏所造成的损失。 ➢ 拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击, 攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的 正常运行,从而导致正常的用户无法使用网络。 ➢ 置信攻击。通常情况下,攻击者可以将自己伪造成基站。当 攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录 到他的网络,通过分析窃取密钥和口令,以便发动针对性的攻击
8.72无线局域网安全技术 服务集标识符 服务集标识符(SsD)技术将一个无线局域网分为几个需要不同 身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份 验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网 络,同时对资源的访问权限进行区别限制。SS|D是相邻的无线接入点 (AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。通常 SS|D须事先设置于所有使用者的无线网卡及AP中。尝试连接到无线 网络的系统在被允许进入之前必须提供SSID,这是唯一标识网络的字 符串。 但是SSD对于网络中所有用户都是相同的字符串,其安全性差, 人们可以轻易地从每个信息包的明文里窃取到它。 第8章网络安全
第8章 网络安全 8.7.2 无线局域网安全技术 1. 服务集标识符 服务集标识符(SSID)技术将一个无线局域网分为几个需要不同 身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份 验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网 络,同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点 (AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。通常 SSID须事先设置于所有使用者的无线网卡及A P中。尝试连接到无线 网络的系统在被允许进入之前必须提供SSID,这是唯一标识网络的字 符串。 但是SSID对于网络中所有用户都是相同的字符串,其安全性差, 人们可以轻易地从每个信息包的明文里窃取到它
8.72无线局域网安全技术 2物理地址过滤 每个无线工作站的网卡都有唯一的物理地址,应用媒体访问控制 (MAG)技术,可在无线局域网的每一个AP设置一个许可接入的用户的 MAC地址清单,MAc地址不在清单中的用户,接入点将拒绝其接入请求 但媒体访问控制只适合于小型网络规模。这是因为 MAC地址在网上是明码模式传送,只要监听网络便可从中截 取或盗用该MAc地址,进而伪装使用者潜入企业或组织内部偷 取机密资料。 部分无线网卡允许通过软件来更改其MAC地址,可通过编程 将想用的地址写入网卡就可以冒充这个合法的MAC地址,因此 可通过访问控制的检查而获取访问受保护网络的权限。 媒体访问控制属于硬件认证,而不是用户认证。 第8章网络安全
第8章 网络安全 8.7.2 无线局域网安全技术 2. 物理地址过滤 每个无线工作站的网卡都有唯一的物理地址,应用媒体访问控制 (MAC)技术,可在无线局域网的每一个AP设置一个许可接入的用户的 MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。 但媒体访问控制只适合于小型网络规模。这是因为: ➢ MAC地址在网上是明码模式传送,只要监听网络便可从中截 取或盗用该MAC地址,进而伪装使用者潜入企业或组织内部偷 取机密资料。 ➢ 部分无线网卡允许通过软件来更改其MAC地址,可通过编程 将想用的地址写入网卡就可以冒充这个合法的MAC地址,因此 可通过访问控制的检查而获取访问受保护网络的权限。 ➢ 媒体访问控制属于硬件认证,而不是用户认证
8.72无线局域网安全技术 3.有线对等保密 有线等效保密(wEP)是常见的资料加密措施,WEP安全技术源自 于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。 在链路层采用R4对称加密技术,当用户的加密密钥与AP的密钥相同时 才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户 的访问。 WEP的工作原理是通过一组40位或128位的密钥作为认证口令,当 NEP功能启动时,每台工作站都使用这个密钥,将准备传输的资料加密 运算形成新的资料,并透过无线电波传送,另一工作站在接收到资料 时,也利用同一组密钥来确认资料并做解码动作,以获得原始资料。 第8章网络安全
第8章 网络安全 8.7.2 无线局域网安全技术 3. 有线对等保密 有线等效保密(WEP)是常见的资料加密措施,WEP安全技术源自 于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。 在链路层采用RC4对称加密技术,当用户的加密密钥与AP的密钥相同时 才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户 的访问。 WEP的工作原理是通过一组40位或128位的密钥作为认证口令,当 WEP功能启动时,每台工作站都使用这个密钥,将准备传输的资料加密 运算形成新的资料,并透过无线电波传送,另一工作站在接收到资料 时,也利用同一组密钥来确认资料并做解码动作,以获得原始资料
8.72无线局域网安全技术 WEP目的是向无线局域网提供与有线网络相同级别的安全保护,它 用于保障无线通信信号的安全,即保密性和完整性。但WP提供了40位 长度的密钥机制存在许多缺陷,表现在 40位的密钥现在很容易破解。 密钥是手工输入与维护,更换密钥费时和困难,密钥通常长 时间使用而很少更换,若一个用户丢失密钥,则将危及到整个网 络。 WEP标准支持每个信息包的加密功能,但不支持对每个信息 包的验证。 现在针对WEP的不足之处,对WEP加以扩展,提出了动态安全链路 技术(DSL)。DSL采用了128位动态分配的密钥,每一个会话都自动 生成一把密钥,并且在同一个会话期间,对于每256个数据包,密钥将 自动改变一次。 第8章网络安全
第8章 网络安全 8.7.2 无线局域网安全技术 WEP目的是向无线局域网提供与有线网络相同级别的安全保护,它 用于保障无线通信信号的安全,即保密性和完整性。但WEP提供了40位 长度的密钥机制存在许多缺陷,表现在: ➢ 40位的密钥现在很容易破解。 ➢ 密钥是手工输入与维护,更换密钥费时和困难,密钥通常长 时间使用而很少更换,若一个用户丢失密钥,则将危及到整个网 络。 ➢ WEP标准支持每个信息包的加密功能,但不支持对每个信息 包的验证。 现在针对WEP的不足之处,对WEP加以扩展,提出了动态安全链路 技术(DSL)。DSL采用了128 位动态分配的密钥,每一个会话都自动 生成一把密钥,并且在同一个会话期间,对于每256个数据包,密钥将 自动改变一次
8.72无线局域网安全技术 4.Wi-F保护接入 WF保护性接入(WPA)是继承了WEP基本原理而又解决了WEP 缺点的一种新技术。其原理为根据通用密钥,配合表示电脑MAC地址和 分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与 WEP一样将此密钥用RC4加密处理。通过这种处理,所有客户端的所有 分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止 数据中途被篡改的功能和认证功能。 WPA标准采用了TKP、EAP和8021X等技术,在保持ⅥF认证产品 硬件可用性的基础上,解决802.11在数据加密、接入认证和密钥管理等 方面存在的缺陷。 第8章网络安全
第8章 网络安全 8.7.2 无线局域网安全技术 4. Wi-Fi保护接入 Wi-Fi保护性接入(WPA)是继承了WEP基本原理而又解决了WEP 缺点的一种新技术。其原理为根据通用密钥,配合表示电脑MAC地址和 分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与 WEP一样将此密钥用RC4加密处理。通过这种处理,所有客户端的所有 分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止 数据中途被篡改的功能和认证功能。 WPA标准采用了TKIP、EAP和802.1X等技术,在保持Wi-Fi认证产品 硬件可用性的基础上,解决802.11在数据加密、接入认证和密钥管理等 方面存在的缺陷
8.72无线网络的安全技术 5.国家标准WAP 国家标准WAPI(WAP),即无线局域网鉴别与保密基础结构, 它是针对EE802.11中WvEP协议安全问题,在中国无线局域网国家标 准GB15629.11中提出的WLAN安全解决方案。WAP采用公开密钥体 制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法,分别用 于ⅥLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现 设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下 的加密保护。 WAP的主要特点是采用基于公钥密码体系的证书机制,真正实现 了移动终端(MT)与无线接入点(AP)间双向鉴别。另外,它充分 考虑了市场应用,从应用模式上可分为单点式和集中式。采用WAP可 以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状,从而根 本上解决安全和兼容性问题。 第8章网络安全
第8章 网络安全 8.7.2 无线网络的安全技术 5. 国家标准WAPI 国家标准WAPI(WAPI),即无线局域网鉴别与保密基础结构, 它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标 准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体 制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法,分别用 于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现 设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下 的加密保护。 WAPI的主要特点是采用基于公钥密码体系的证书机制,真正实现 了移动终端(MT)与无线接入点(AP)间双向鉴别。另外,它充分 考虑了市场应用,从应用模式上可分为单点式和集中式。采用WAPI可 以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状,从而根 本上解决安全和兼容性问题