企業(yè)內遠距多點無線區(qū)域網路安全之架構設計國立中央大學資訊管理研究所碩士論文研究生:許乾豪 指導教授:陳奕明博士民國92年6月21日企業(yè)內遠距多點無線區(qū)域網路安全之架構設計國立中央大學1Outline前言無線網路的概況研究目的概述無線網路現有的安全機制常見之企業(yè)無線網路架構安全機制的選擇評量表未來方向Outline前言2前言儘管本篇的研究結果之一是其設計的網路架構與決策演算法,但是我對此一來沒興趣二來也不勝認同,因此沒有在這兩方面多作介紹,本投影片主軸會放在無線網路安全機制的介紹上前言儘管本篇的研究結果之一是其設計的網路架構與決策演算法,3無線網路的概況具機動性,便利性,安裝快速,覆蓋範圍廣,價格亦降至可接受範圍.據NOP世界科技研究機構針對美國使用無線網路之企業(yè)調查,採用無線網路可提升企業(yè)生產力達22%.安全性仍然堪慮–無線電波於空氣中傳播,易被攔截/竊聽/盜用,目前尚未有足夠之安全機制,且各家推行之機制並未統(tǒng)一,使網路管理者無所適從.各家之安全機制往往未考量企業(yè)之遠距多點的配置需求.儘管有利,但是由於安全上考量,許多企業(yè)遲遲不敢運用無線網路於企業(yè)中.無線網路的概況具機動性,便利性,安裝快速,覆蓋範圍廣,4研究目的分析各種無線網路安全機制探討在遠距多點的網路架構下,所應考慮使用的安全機制設計一套評量安全機制選擇之演算法研究目的分析各種無線網路安全機制5企業(yè)網路類型單一據點企業(yè)網路同一建築物,LocalLAN短距多點企業(yè)網路企業(yè)大樓分佈於特定範圍,子母公司使用專線連結遠距多點企業(yè)網路大樓距離遠(如跨國),使用ATM,FrameRelay,VPN等方式彼此連結企業(yè)網路類型單一據點企業(yè)網路6引入無線網路之考量產品數量多,各家有各家的產品特性,但相容性往往不佳.尚未有標準化之足夠強固之安全機制需要有中央控管之認證機制維持各端點一致的安全性降低建置成本效能降低對使用者之使用差異性引入無線網路之考量產品數量多,各家有各家的產品特性,但相7現有之安全機制HardwareBasedSSIDMACWEPVLANFirewallSoftwareBased802.1xSSLHybridPPPOEVPN現有之安全機制HardwareBased8SSID(ServiceSetIdentifier)802.11定義的識別方式,分為Opensystemauthentication跟Closesystemauthentication.前者AP會主動回應自身之SSID給使用者,可以視為完全開放後者AP不會主動通知自身之SSID,使用者必須要知道AP端的SSID才能與AP連線SSID的傳送並未經過加密,會因為封包竊聽而洩漏,因此幾乎不具安全效果.限定MAC位址(MediumAccessControl)透過在AP上指定可連線之mac位址,以限定特定的網卡裝置才可與AP通訊.同樣會因為竊聽而外流,入侵者可以發(fā)送偽裝封包來向AP連線.SSID(ServiceSetIdentifier)9WEP(WiredEquivalentPrivacy)定義於802.11,負責加密通訊資料.為對稱加密系統(tǒng),以RC4演算法為核心透過一24位元初始向量加上40-104位元之WEPKey產生秘鑰,只要變動初始向量就可以改變祕鑰.由於使用靜態(tài)之WEPkey,長度只有24位元,且沒有訂定完善之金鑰管理機制,初始向量在網路傳輸時沒有加密,因此很容易被分析法破解.網路上已經有流傳可在五小時內解開WEPKey之工具.WEP(WiredEquivalentPrivacy)10VLAN(VisualLocalAreaNetwork)將同一交換器上的流量分割為數個不同網段,以達到隔離的效果.跨VLAN交通必須經由Router轉送.但本身不具加密能力.可透過某些廠牌AP,將指定SSID之流量分送到不同之VLAN.Firewall由於無線網路很容易被存取,因此應該被視為不安全的區(qū)域,透過強固的防火牆規(guī)則加以過濾.VLAN(VisualLocalAreaNetwor11802.1x為IEEE2001年6月通過之標準,為Port-BaseNetworkAccessControl,利用802.11存取特性,提供點對點連網之認證與授權方法,以防止未經授權者侵入.認證流程:一開始AP只容許認證封包通過,使用者(Supplicant)發(fā)送連線要求給AP(Authenticator),AP轉送要求到AuthenticationServer,Server回應認證要求給使用者,使用者送出驗證訊息,Server驗證通過,AP與使用者建立連結並開始使用網路.802.1x12續(xù)802.1x只允許經過驗證之使用者連上網路,安全性提高許多在未使用交互認證的情況下,有可能遭受中間人攻擊(ManintheMiddleAttack).續(xù)802.1x13SSL(SecureSocketLayer)這裡指的是透過加密的網頁介面所作的認證.用意是提供一友善的使用者介面.有遭受偽裝的可能性PPPOE(PointtoPointProtocoloverEthernet)有線網路常用之身分驗證機制,採用PPP建立連線通道.可選擇加密方式在無線網路上容易遭受偽裝之PADT封包終止連線,成為DoS攻擊漏洞.VPN(VisualPrivateNetwork)使用IPsec,PPTP,L2PT等加密通道以確保完整性與私密性.使用者與VPN閘道器互相驗證並建立加密通道.安全性與彈性比WEP更加良好加密運算需要的處理能力較高SSL(SecureSocketLayer)14部署位置示例部署位置示例15部署考量重點JingshaHe在1997年IEEE期刊所發(fā)表之PerformanceandManageabilityDesigninanEnterpriseNetworkSecuritySystem專文中提出了在設計一個安全的企業(yè)網路必需當使用者自LAN或WAN存取網路資源時，能保護網路上所有的成員，同時必須滿足以下七項安全需求構面：網路認證(Networkauthentication)使用者憑證控制(Usercredentialscontrol)存取授權(Accessauthorization)資料保密及完整性(Dataconfidentialityandintegrity)稽核(Auditing)效能(Performance)管理性(Manageability)。部署考量重點JingshaHe在1997年IEEE期162000年IEEE期刊SecurityArchitectureforWirelessforWirelessLANs:Corporate&PublicEnvironment一般性的要求管理性(Manageability),降低負擔完成性(Implementation),容易部署效能(Performance),不拖累效能針對企業(yè)網路的安全考量封閉式系統(tǒng),使用者與設備須可信賴認證,進入無線網路區(qū)域者須認證才可存取存取控制,使用者使用之資源須被管控延展性,存取開放資源時不須降低安全等級私密性,第三者無法擷取/解譯資料可調整之安全等級,可依使用者需求調整2000年IEEE期刊SecurityArchitect17常見的攻擊方式首先是探查足夠的目標資訊,透過掃描擷取無線電波取得SSID,MAC,AP等訊息,之後擬定攻擊計畫.Sniffing,乃是透過ARPSpoofing欺騙交換器將想監(jiān)聽位址的封包送過來,是一種主動式的竊聽,可透過高等級的加密措施避免.DoS(DenialofService),或稱阻絕服務攻擊.此攻擊並非要竊取或修改,而是單純的擾亂並阻擋正常的服務,可從三個層面下手,此種攻擊是難以預防的.Physical層:使用EMI電磁干擾來造成使用者/AP無法正常收送訊號Data-Link層:利用使用者會優(yōu)先連結訊號較強之AP的特性,在要蓋臺之AP旁邊架設一訊號強大的偽AP以導向使用者到錯誤的AP.Network層:發(fā)送大量假造之合法封包直接癱瘓AP常見的攻擊方式首先是探查足夠的目標資訊,透過掃描擷取無線電18SessionHijacking,攻擊者經由竊聽解開了連線加密後,使用阻斷服務工具阻止原使用者的訊息發(fā)送,並且把自己偽裝成原使用者繼續(xù)向AP通訊.此時攻擊者即擁有該使用者之權限.可使用強大之加密通道如VPN避免.ManintheMiddle,攻擊者位於使用者與AP之間,對使用者冒充AP端,同時對AP端冒充使用者.使合法使用者與AP在不知情的狀況下繼續(xù)通訊,攻擊者可以在通訊中安插資料/修改/竊聽.可以使用雙向驗證避免.偽裝AP,攻擊者建立一假AP,使用與合法AP相同之SSID,當不知情之使用者連結上了,即使用一般電腦常見的漏洞進行攻擊並植下木馬以伺機攻入企業(yè)網路.可以使用雙向認證避免使用者登入假AP.SessionHijacking,攻擊者經由竊聽解開了連19常見之企業(yè)無線網路規(guī)劃將無線區(qū)域網路直接部署於企業(yè)網路內此模式無線網路直接連結於企業(yè)內部網路以防火牆區(qū)隔公司無線網路區(qū)段與外部公司網段此模式使用防火牆區(qū)隔無線網域/公司網路/分公司網路以防火牆區(qū)隔無線網路網段此模式透過專線將各公司無線網段連結在一起常見之企業(yè)無線網路規(guī)劃將無線區(qū)域網路直接部署於企業(yè)網路內20評量表評量表21企業(yè)安全機制之決策演算法企業(yè)安全機制之決策演算法22個人意見絕對安全的演算法/網路架構/政策?沒有打不破的盾最脆弱的還是人應該要根據環(huán)境,你所要保護的事物的價值,以及預算來作安全策略,不是套用某些公式與架構–尤其是你無法驗證他的時候.個人意見絕對安全的演算法/網路架構/政策?23額外的安全問題Ad-Hocmode控制無線訊號範圍使用者的安全控管WPA從2003年4月開始,目的是取代漏洞百出的WEP,秘鑰改為由802.1x之伺服器管理並散佈到各客戶端.使用128位元之key與48位元之初始向量,支援TKIP(可變動臨時秘鑰).使用Michael取代了CRC矯驗碼.WPA2為Wi-Fi聯(lián)盟驗證通過之802.11i標準形式,Michael由更強大之CCMP取代,核心的RC4演算法也被AES取代.於2005/5/1推出額外的安全問題Ad-Hocmode24TheEndTheEnd25企業(yè)內遠距多點無線區(qū)域網路安全之架構設計國立中央大學資訊管理研究所碩士論文研究生:許乾豪 指導教授:陳奕明博士民國92年6月21日企業(yè)內遠距多點無線區(qū)域網路安全之架構設計國立中央大學26Outline前言無線網路的概況研究目的概述無線網路現有的安全機制常見之企業(yè)無線網路架構安全機制的選擇評量表未來方向Outline前言27前言儘管本篇的研究結果之一是其設計的網路架構與決策演算法,但是我對此一來沒興趣二來也不勝認同,因此沒有在這兩方面多作介紹,本投影片主軸會放在無線網路安全機制的介紹上前言儘管本篇的研究結果之一是其設計的網路架構與決策演算法,28無線網路的概況具機動性,便利性,安裝快速,覆蓋範圍廣,價格亦降至可接受範圍.據NOP世界科技研究機構針對美國使用無線網路之企業(yè)調查,採用無線網路可提升企業(yè)生產力達22%.安全性仍然堪慮–無線電波於空氣中傳播,易被攔截/竊聽/盜用,目前尚未有足夠之安全機制,且各家推行之機制並未統(tǒng)一,使網路管理者無所適從.各家之安全機制往往未考量企業(yè)之遠距多點的配置需求.儘管有利,但是由於安全上考量,許多企業(yè)遲遲不敢運用無線網路於企業(yè)中.無線網路的概況具機動性,便利性,安裝快速,覆蓋範圍廣,29研究目的分析各種無線網路安全機制探討在遠距多點的網路架構下,所應考慮使用的安全機制設計一套評量安全機制選擇之演算法研究目的分析各種無線網路安全機制30企業(yè)網路類型單一據點企業(yè)網路同一建築物,LocalLAN短距多點企業(yè)網路企業(yè)大樓分佈於特定範圍,子母公司使用專線連結遠距多點企業(yè)網路大樓距離遠(如跨國),使用ATM,FrameRelay,VPN等方式彼此連結企業(yè)網路類型單一據點企業(yè)網路31引入無線網路之考量產品數量多,各家有各家的產品特性,但相容性往往不佳.尚未有標準化之足夠強固之安全機制需要有中央控管之認證機制維持各端點一致的安全性降低建置成本效能降低對使用者之使用差異性引入無線網路之考量產品數量多,各家有各家的產品特性,但相32現有之安全機制HardwareBasedSSIDMACWEPVLANFirewallSoftwareBased802.1xSSLHybridPPPOEVPN現有之安全機制HardwareBased33SSID(ServiceSetIdentifier)802.11定義的識別方式,分為Opensystemauthentication跟Closesystemauthentication.前者AP會主動回應自身之SSID給使用者,可以視為完全開放後者AP不會主動通知自身之SSID,使用者必須要知道AP端的SSID才能與AP連線SSID的傳送並未經過加密,會因為封包竊聽而洩漏,因此幾乎不具安全效果.限定MAC位址(MediumAccessControl)透過在AP上指定可連線之mac位址,以限定特定的網卡裝置才可與AP通訊.同樣會因為竊聽而外流,入侵者可以發(fā)送偽裝封包來向AP連線.SSID(ServiceSetIdentifier)34WEP(WiredEquivalentPrivacy)定義於802.11,負責加密通訊資料.為對稱加密系統(tǒng),以RC4演算法為核心透過一24位元初始向量加上40-104位元之WEPKey產生秘鑰,只要變動初始向量就可以改變祕鑰.由於使用靜態(tài)之WEPkey,長度只有24位元,且沒有訂定完善之金鑰管理機制,初始向量在網路傳輸時沒有加密,因此很容易被分析法破解.網路上已經有流傳可在五小時內解開WEPKey之工具.WEP(WiredEquivalentPrivacy)35VLAN(VisualLocalAreaNetwork)將同一交換器上的流量分割為數個不同網段,以達到隔離的效果.跨VLAN交通必須經由Router轉送.但本身不具加密能力.可透過某些廠牌AP,將指定SSID之流量分送到不同之VLAN.Firewall由於無線網路很容易被存取,因此應該被視為不安全的區(qū)域,透過強固的防火牆規(guī)則加以過濾.VLAN(VisualLocalAreaNetwor36802.1x為IEEE2001年6月通過之標準,為Port-BaseNetworkAccessControl,利用802.11存取特性,提供點對點連網之認證與授權方法,以防止未經授權者侵入.認證流程:一開始AP只容許認證封包通過,使用者(Supplicant)發(fā)送連線要求給AP(Authenticator),AP轉送要求到AuthenticationServer,Server回應認證要求給使用者,使用者送出驗證訊息,Server驗證通過,AP與使用者建立連結並開始使用網路.802.1x37續(xù)802.1x只允許經過驗證之使用者連上網路,安全性提高許多在未使用交互認證的情況下,有可能遭受中間人攻擊(ManintheMiddleAttack).續(xù)802.1x38SSL(SecureSocketLayer)這裡指的是透過加密的網頁介面所作的認證.用意是提供一友善的使用者介面.有遭受偽裝的可能性PPPOE(PointtoPointProtocoloverEthernet)有線網路常用之身分驗證機制,採用PPP建立連線通道.可選擇加密方式在無線網路上容易遭受偽裝之PADT封包終止連線,成為DoS攻擊漏洞.VPN(VisualPrivateNetwork)使用IPsec,PPTP,L2PT等加密通道以確保完整性與私密性.使用者與VPN閘道器互相驗證並建立加密通道.安全性與彈性比WEP更加良好加密運算需要的處理能力較高SSL(SecureSocketLayer)39部署位置示例部署位置示例40部署考量重點JingshaHe在1997年IEEE期刊所發(fā)表之PerformanceandManageabilityDesigninanEnterpriseNetworkSecuritySystem專文中提出了在設計一個安全的企業(yè)網路必需當使用者自LAN或WAN存取網路資源時，能保護網路上所有的成員，同時必須滿足以下七項安全需求構面：網路認證(Networkauthentication)使用者憑證控制(Usercredentialscontrol)存取授權(Accessauthorization)資料保密及完整性(Dataconfidentialityandintegrity)稽核(Auditing)效能(Performance)管理性(Manageability)。部署考量重點JingshaHe在1997年IEEE期412000年IEEE期刊SecurityArchitectureforWirelessforWirelessLANs:Corporate&PublicEnvironment一般性的要求管理性(Manageability),降低負擔完成性(Implementation),容易部署效能(Performance),不拖累效能針對企業(yè)網路的安全考量封閉式系統(tǒng),使用者與設備須可信賴認證,進入無線網路區(qū)域者須認證才可存取存取控制,使用者使用之資源須被管控延展性,存取開放資源時不須降低安全等級私密性,第三者無法擷取/解譯資料可調整之安全等級,可依使用者需求調整2000年IEEE期刊SecurityArchitect42常見的攻擊方式首先是探查足夠的目標資訊,透過掃描擷取無線電波取得SSID,MAC,AP等訊息,之後擬定攻擊計畫.Sniffing,乃是透過ARPSpoofing欺騙交換器將想監(jiān)聽位址的封包送過來,是一種主動式的竊聽,可透過高等級的加密措施避免.DoS(DenialofService),或稱阻絕服務攻擊.此攻擊並非要竊取或修改,而是單純的擾亂並阻擋正常的服務,可從三個層面下手,此種攻擊是難以預防的.Physical層:使用EMI電磁干擾來造成使用者/AP無法正常收送訊號Data-Link層:利用使用者會優(yōu)先連結訊號較強之AP的特性,在要蓋臺之AP旁邊架設一訊號強大的偽AP以導向使用者到錯誤的AP.Network層:發(fā)送大量假造之合法封包直接癱瘓AP常見的攻擊方式首先是探查足夠的目標資訊,透過掃描擷取無線電43SessionHijacking,攻擊者經由竊聽解開了連線加密後,