分類號學號J200764231學校代碼10487密級碩士學位論文某企業(yè)無線網(wǎng)絡平安方案學位申請人：學科專業(yè)：工程管理指導教師：辯論日期：2010年11月04日AThesisSubmittedinPartialFulfillmentoftheRequirementsfortheDegreeofMasterofEngineeringProgramResearchandImplementationonWirelessNetworkSecurityforanEnterpriseCandidate:Major:ProjectManagementSupervisor:HuazhongWuhan,September,2010獨創(chuàng)性聲明本人聲明所呈交的學位論文是我個人在導師指導下進行的研究工作及取得的研究成果。盡我所知，除文中已經(jīng)標明引用的內容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的研究成果。對本文的研究做出奉獻的個人和集體，均已在文中以明確方式標明。本人完全意識到本聲明的法律結果由本人承當。學位論文作者簽名：日期：年月日學位論文版權使用授權書本學位論文作者完全了解學校有關保存、使用學位論文的規(guī)定，即：學校有權保存并向國家有關部門或機構送交論文的復印件和電子版，允許論文被查閱和借閱。本人授權華中科技大學可以將本學位論文的全部或局部內容編入有關數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制手段保存和匯編本學位論文。保密□，在________年解密后適用本授權書。本論文屬于不保密√?！舱堅谝陨戏娇騼却颉啊獭薄硨W位論文作者簽名：指導教師簽名：日期：年月日日期：年月摘要無線網(wǎng)絡的便捷、經(jīng)濟和高適用性越來越多成為中小企業(yè)的選擇。無線網(wǎng)絡的廣泛應用，無線技術迅猛開展，伴隨著無線網(wǎng)絡日益嚴重的平安問題。無線網(wǎng)絡翻開了允許攻擊者超越物理平安界限進入內網(wǎng)的后門，無線網(wǎng)絡面臨巨大的平安風險，這些風險主要來自于網(wǎng)絡內外的竊聽，來自于黑客的攻擊，來自于合法用戶的不當行為。針對這種平安狀況，需要對無線網(wǎng)絡的平安措施進行分析，在企業(yè)選擇無線網(wǎng)絡方案時作為考慮的內容。通過對無線網(wǎng)絡平安機制的研究，找到適合中小企業(yè)的平安方案，降低各種無線網(wǎng)絡平安風險，提高企業(yè)網(wǎng)絡的平安性。根據(jù)美國系統(tǒng)工程專家霍爾的三維方法論，提出了無線網(wǎng)絡平安系統(tǒng)工程三維結構。按照這個系統(tǒng)工程理論能系統(tǒng)解決無線網(wǎng)絡的平安問題。在研究具體平安方案時，首先從各種攻擊風險的角度對非平安的因素進行分析，從而提出各種平安手段，提出切實可靠的企業(yè)無線網(wǎng)絡平安措施，也是無線網(wǎng)絡平安系統(tǒng)工程三維結構中知識維的主要內容。最后根據(jù)需求分析推薦了該企業(yè)無線網(wǎng)絡拓撲結構的改良方案，詳細闡述了該方案的設計和實施，包括對VPN無線網(wǎng)關的選擇和設置、無線IDS的部署等?；跓o線網(wǎng)絡功能和用戶平安分析，通過非平安因素測試，企業(yè)的無線網(wǎng)絡平安性有極大提高，無線網(wǎng)絡結構適合于企業(yè)需要，平安方案切實有效。關鍵詞：網(wǎng)絡平安，平安協(xié)議，無線虛擬專用網(wǎng)絡，無線入侵檢測系統(tǒng)，無線攻擊AbstractThewirelessnetworkisconvenient,economicalandhighsuitable,andchosenbymoreandmoresmallandmedium-sizedenterprises.Thewirelessnetworkspreadswidelyandthewirelesstechnologydevelopsrapidly,followingbywirelessnetworksecurityproblemdaybyday.Inthewirelessnetworkenabletheaggressortooverstepthephysicalmarginofsafetytoenterthebackdoorofintranet.Wirelessnetworkfaceswithhugesecurityrisk.Theserisksmainlycomefromtheinterceptionsofnetworkinsideoroutside,fromhacker'sattacks,fromthevalidatedusers’illegalbehavior.Inviewofthiskindofsafecondition,itneedstoconducttheresearchtothewirelessnetworksafetymeasures,whichcanbechosenbytheenterprises.Throughthewirelessnetworksafetymechanismresearch,wecanfindthesafetyprogramfortheappropriatesmallandmedium-sizedenterprise,reduceeachkindofwirelessnetworksecurityrisk,andenhancetheenterprisesafetyperformance.AccordingtotheAmericansystemsengineeringexpertHall'sthree-dimensiontheory,itproposesthewirelessnetworksecuritysystemsengineeringthree-dimensionalstructure.Itcansolveproblemscomprehensivelyofthewirelessnetworksecurityaccordingtothissystemsengineeringtheory.Whenresearchtheconcretesafetymechanism,itcarriesontheanalysisfromeachkindofattackrisk'sangletotheunsafefactor,thusproposeseachsafetymethod,effectivesecuritymechanismforenterprisewirelessnetwork.Thosearealsothemaincontentofknowledgeinthewirelessnetworksecuritysystemsengineeringthree-dimensionalstructure.Finallyitrecommendsthisenterprisewirelessnetworktopologyimprovementprogramthroughthedemandanalysis.Itelaboratesthisplandesignandtheimplementationindetail,includingtoVPNwirelessgateway'schoiceandestablishment,wirelessIDSdeploymentandsoon.Throughthenon-safetyfactortest,enterprise'swirelessnetworksecurityhastheenormousenhancementbasedonanalysisonthewirelessnetworkfunctionandtheuser.Thewirelessnetworkarchitecturesuitsintheenterpriseneed,safetymechanismpracticaleffective.Keywords:NetworkSecurity,SecurityProtocol,WirelessVPN,WirelessIDS,WirelessAttack目錄TOC\o"1-2"\h\z\u摘要IAbstractII1緒論1.1課題研究的背景和意義 (1)1.2國內外研究概況 (3)1.3論文的主要工作 (7)1.4論文的組織結構 (9)2無線網(wǎng)絡平安系統(tǒng)工程理論2.1無線平安系統(tǒng)工程三維模型 (10)2.2邏輯維 (11)2.3時間維 (13)2.4知識維 (14)2.5本章小結 (17)3某企業(yè)無線網(wǎng)絡平安方案設計3.1企業(yè)原網(wǎng)絡拓撲結構(18)3.2非平安因素分析 (19)3.3無線網(wǎng)絡平安設計 (27)3.4本章小結 (35)4無線網(wǎng)絡平安方案實施4.1企業(yè)無線網(wǎng)具體方案設計 (37)4.2方案實施 (39)4.3本章小結 (51)5無線網(wǎng)絡平安機制有效性5.1對象平安性分析 (53)5.2非平安因素分析 (53)5.3方案有效性測試 (55)5.4網(wǎng)絡改造實際效果 (57)5.5本章小結 (58)6總結及展望6.1工作總結 (59)6.2工作展望 (60)致謝 (61)參考文獻 (62)1緒論1.1課題研究的背景和意義無線網(wǎng)絡應用廣泛狹義上的無線網(wǎng)絡指的就是一般意義上的無線局域網(wǎng)〔WirelessLocalAreaNetwork，WLAN〕，以802.11b/g/n標準。而廣義上的無線網(wǎng)絡不僅包含WLAN，還有無線個人局域網(wǎng)〔WPAN〕和無線廣域網(wǎng)〔WWAN〕。無線局域網(wǎng)是高速開展的現(xiàn)代無線通信技術在計算機網(wǎng)絡中的應用，它采用無線多址信道的有效方式支持計算機之間的通信，并為通信的移動化、個人化和多媒體應用提供實現(xiàn)的手段。隨著個人數(shù)據(jù)通信的開展，功能強大的便攜式數(shù)據(jù)終端以及多媒體終端得到了廣泛應用。為了實現(xiàn)任何人在任何時間、任何地點均能進行數(shù)據(jù)通信的目標，要求傳統(tǒng)的計算機網(wǎng)絡由有線向無線、由定向向移動、由單一向多媒體開展，順應這一需求的無線局域網(wǎng)技術得到了普遍的開展和關注。無線局域網(wǎng)以其方便、快捷、廉價等諸多優(yōu)勢，在企事業(yè)單位、家庭和公共熱點地區(qū)等領域中取得了巨大的成功。隨著無線技術逐步成熟，無線城市建設浪潮席卷全球。美國費城于2004年7月首次提出無線費城方案，開始建設基于Wi-Fi802.11b標準的Mesh網(wǎng)絡。隨后全球各大城市紛紛提出方案或著手建設無線城市。到2006年12月已有超過400個城市開始或方案建設無線寬帶城域網(wǎng)，用以提供公共網(wǎng)絡的需要。而到2009年，這一數(shù)量已經(jīng)到達600個。這些城市包括美國的華盛頓、紐約、舊金山、洛杉磯、波特蘭、費城、邁阿密、奧蘭多等，英國的倫敦，德國的漢堡，加拿大的安大概，澳大利亞的帕斯，新西蘭的惠靈頓，以色列的耶路撒冷，荷蘭的阿姆斯特丹，新加坡及中國的香港、臺北等。如今，這股浪潮也已經(jīng)涉及中國大陸，北京、天津、上海、廣州等城市均開始考慮建設類似工程。天津市政府將在濱海新區(qū)率先建設無線寬帶覆蓋網(wǎng)絡，在無線城市建設方面“先行一步”。上海的建設規(guī)劃將從嘉定汽車城開始，著眼于市政效勞，采用無線寬帶網(wǎng)絡進行新城城區(qū)全覆蓋，以無所不在的綜合無線信息網(wǎng)絡平臺支撐公共平安、城市管理、應急聯(lián)動、公共效勞、商務旅游、生活學習等信息化應用。1.1.2無線技術支持無線局域網(wǎng)的技術主要包括：Bluetooth〔藍牙〕、Zigbee、超頻波段〔UWB〕、IrDa〔紅外〕、HomeRF等。其中藍牙已經(jīng)廣泛應用到無線傳感器網(wǎng)絡中，其傳輸功耗很低，同時也廣泛應用于無線設備〔如PDA、、智能〕、圖像處理設備〔照相機、打印機、掃描儀〕、平安產(chǎn)品〔身份識別、智能卡、票據(jù)管理〕、休閑娛樂〔MP3、游戲機耳機〕、汽車產(chǎn)品〔GPS、平安氣囊、動力系統(tǒng)〕、家用電器〔電視機、音響、錄像機〕等等。無線廣域網(wǎng)一般指移動及數(shù)據(jù)效勞所使用的數(shù)字移動通訊網(wǎng)絡，由電信運營商所經(jīng)營。目前主要技術采用GSM、CDMA及現(xiàn)在比較熱的3G或3.5G，其連線能力可涵蓋相當廣泛的地理區(qū)域，在全球范圍都普遍采用。1.1.相對于有線網(wǎng)絡的穩(wěn)定高速，無線網(wǎng)絡的便捷、經(jīng)濟和高適用性越來越多成為中小企業(yè)的伴隨選擇。無論是有線網(wǎng)絡還是無線網(wǎng)絡都受到平安問題的困擾，而無線網(wǎng)絡翻開了一個允許攻擊者超越物理平安界限進入內網(wǎng)的后門，無線網(wǎng)絡面臨巨大的平安風險，這些風險主要來自于網(wǎng)絡內外的竊聽，來自于黑客的攻擊，來自于未經(jīng)授權的用戶獲得提權，來自于無線病毒的威脅[1]。無線傳輸?shù)慕橘|是共享的，正是由于這個原因，相對于有線網(wǎng)絡來說，通過無線網(wǎng)絡發(fā)送和接收數(shù)據(jù)時就更容易被竊聽。比方目前無線局域網(wǎng)使用2.4GHz范圍的無線電波進行網(wǎng)絡通信，任何人使用一臺帶無線網(wǎng)卡的PC或無線掃描器都可以進行竊聽[2]。這種竊聽可能來自外部，也可能來自內部。對無線AP來說，它無法知道是否有操縱無線設備的人在網(wǎng)絡所在的建筑物里。無線網(wǎng)絡規(guī)模大了，對黑客來說他們實施攻擊的時機就更多了。隨著技術的進步，目前黑客在攻擊時不需要非常昂貴的硬件和高超的技術，而只需要一臺PC和一個免費軟件就可以實現(xiàn)了。通過攜帶筆記本電腦和IEEE802.11以太網(wǎng)卡能夠輕易找到未加保護的無線局域網(wǎng)，隨之可以方便訪問內網(wǎng)或釋放病毒以及發(fā)動匿名攻擊。現(xiàn)在無線病毒已經(jīng)能夠攔截藍牙設備數(shù)據(jù)、損壞移動、PDA及以無線局域網(wǎng)連接的PC等裝置。這些日益增長的平安風險使得研究無線網(wǎng)絡平安變得日益重要，對企業(yè)來說，無線網(wǎng)絡平安工作慢慢成為一項常規(guī)工作。1.2國內外研究概況無線網(wǎng)絡目前主要的平安技術與概念平安技術一般包括訪問控制技術和保密性。前者對于無線網(wǎng)絡特點來說，無線意味著共享接收數(shù)據(jù)。因此更多的平安解決方案都是解決數(shù)據(jù)傳輸過程中的平安性。效勞裝置標識符無線客戶端必須出示正確的SSID才能訪問無線接入點AP，利用效勞裝置標識符〔ServicesSetIdentifier，SSID〕可以很好得進行用戶群分組，防止任意漫游帶來的平安和訪問性能的問題[3]。因此可以認為SSID是一個簡單的口令，為無線局域網(wǎng)提供一定的平安性。另一方面，AP向外播送SSID，使其平安程度下降。在一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，非法用戶也可能得到。物理地址過濾每個無線客戶端網(wǎng)卡都有唯一的MAC地址，在AP設置中手工維護一組允許訪問的MAC地址列表[4]，實現(xiàn)物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址表是最新的，目前地址表大都是手工操作；如果用戶增加，那么擴展能力很差，只適合于小型網(wǎng)絡規(guī)模。無線網(wǎng)絡加密模式有線等效保密〔WiredEquivalentPrivacy，WEP〕協(xié)議是對在兩臺設備間無線傳輸?shù)臄?shù)據(jù)進行加密的方式[5]，用以防止非法用戶竊聽或侵入無線網(wǎng)絡。WEP是1999年9月通過的IEEE802.11標準的一局部，使用RC4(RivestCipher)[6]串流加密技術到達機密性，并使用CRC-32校驗到達資料正確性[7]。WPA〔Wi-FiProtectedAccess〕是一種基于標準的可互操作的無線網(wǎng)絡平安性增強解決方案[8]，可大大增強現(xiàn)有以及未來無線局域網(wǎng)系統(tǒng)的數(shù)據(jù)保護和訪問控制水平。WPA源于正在制定中的IEEE802.11i標準[9]并與WEP保持兼容。WPA可提高平安性能，并且只有授權的網(wǎng)絡用戶才可以訪問WLAN網(wǎng)絡。其他隨著無線網(wǎng)絡技術的高速開展，也出現(xiàn)了很多無線網(wǎng)絡平安技術。朗訊〔Lucent〕公司定義了一個成為封閉網(wǎng)絡的特殊的訪問控制機制，網(wǎng)管可以使用開放或封閉網(wǎng)絡，這種機制只適合于朗訊自己的產(chǎn)品。另外如虛擬專用網(wǎng)絡〔VPN〕、RADIUS效勞[10]、入侵檢測系統(tǒng)、個人防火墻、基于生物特征識別技術、智能卡和雙因素身份認證等，都是隨之開展起來的技術[11]。1.2.2無線網(wǎng)絡a〕主要理論與研究成果1〕網(wǎng)絡加密協(xié)議在無線網(wǎng)絡平安問題研究之初，理所當然把原來應用于有線網(wǎng)絡的平安保密協(xié)議套用到無線網(wǎng)絡中去[12]，但是這種套用的效果，從WLAN平安標準[13]的開展情況看，遠遠不能滿足需要。IEEE制定開展了一系列的平安協(xié)議[14]，以消除WLAN的平安問題。2〕網(wǎng)絡攻擊手段被動攻擊：竊聽者可以被動攔截竊聽所有的無線數(shù)據(jù)流[15]，人為使初始化變量發(fā)生變化，只要將這兩個具有相同初始化變量的數(shù)據(jù)包進行邏輯處理，就可以得到兩條消息明文的異或值，從而推斷原始的數(shù)據(jù)內容。主動攻擊：即注入數(shù)據(jù)流，假設攻擊者知道加密消息的明文，可以利用的加密構建正確的加密包，即構建新的消息、計算校驗碼、更改初始加密消息的數(shù)據(jù)從而偽造出新消息的明文、然后將這個包發(fā)送到接入點或移動終端，對AP來說，偽造的數(shù)據(jù)包被當作一個正常的數(shù)據(jù)包。如果這些非法數(shù)據(jù)流量太大，就會使網(wǎng)絡負荷過重[16]，出現(xiàn)嚴重堵塞甚至癱瘓。播送監(jiān)聽：AP與HUB相連而不是與交換機相連，那么所有通過HUB的網(wǎng)絡業(yè)務流將會在整個無線局域網(wǎng)里播送。由于向所有與之連接的裝置包括無線接入點播送所有數(shù)據(jù)包，這樣攻擊者可以監(jiān)聽到網(wǎng)絡中的敏感數(shù)據(jù)[17]。：拒絕效勞攻擊，使用非法業(yè)務流覆蓋無線網(wǎng)絡頻段，合法用戶或AP就無法接收合法數(shù)據(jù)流[18]。使用簡易的設備和工具，攻擊者很容易對2.4G頻段實施泛洪〔flooding〕攻擊，破壞信號特性，直至導致無線局域網(wǎng)完全停止工作。這種破壞有些是來自于外部的攻擊，有些來自于內部的疏忽造成網(wǎng)絡癱瘓。不管是有線網(wǎng)絡還是無線網(wǎng)絡，拒絕效勞攻擊都是網(wǎng)絡平安的最大危險源。AP欺詐：一般的終端用戶不是平安專家，都沒有對無線局域網(wǎng)帶來的平安風險有足夠的認識。因此許多用戶沒經(jīng)過任何認證或許可，私自購置AP接入公共網(wǎng)絡[19]，同樣，一個部門也可能隨時脫離某個無線局域網(wǎng)而不需要系統(tǒng)確認。3〕虛擬專用網(wǎng)絡〔VPN〕虛擬專用網(wǎng)絡〔VirtualPrivateNetwork，VPN〕技術是目前快速增長的一種平安技術，用來在公共網(wǎng)絡根底設施上建立一個虛擬的專用通道，進行平安的數(shù)據(jù)傳輸[20]。幾年來，VPN技術已經(jīng)使得企業(yè)可以利用Internet進行遠程訪問。目前，VPN技術主要應用在下面三種不同的場合：遠程訪問、局域網(wǎng)間連接和特殊網(wǎng)絡。對于平安等級較高的商業(yè)網(wǎng)絡來說，VPN是替代WEP和MAC地址過濾的較為理想的無線接入的平安方案。在VPN平安方案中，VPN為接入用戶提供了一條專用的平安接入隧道到內部網(wǎng)絡。客戶端與內部網(wǎng)絡被AP和VPN效勞器之間的局域網(wǎng)和VPN效勞器隔開。VPN效勞器負責客戶端的認證和傳輸加密，同時作為內部網(wǎng)絡的網(wǎng)關。在無線VPN方面，劉剛進行了移動無線場景下遠程訪問VPN系統(tǒng)研究[21]；高文峰結合VPN技術與無線網(wǎng)絡數(shù)據(jù)平安技術[22]；孫建華研究了基于無線VPN的網(wǎng)絡圖像傳輸控制系統(tǒng)[23]；蘭振平對基于EAP與VPN的WLAN平安機制進行過研究[24]；李征分析了基于LINUX內核和OpenS/WAN加密算法的無線VPN路由器[25]。VPN漸漸成為一種無線平安應用手段。4〕RADIUS效勞RADIUS〔RemoteAuthenticationDial-inUserServer，遠程撥號用戶認證協(xié)議〕以C/S模式工作，實現(xiàn)了對訪問網(wǎng)絡用戶的身份認證、授權、計費等增強的效勞功能[26]。其客戶端多為網(wǎng)絡訪問效勞器〔NAS〕，主要用于將用戶信息傳遞給RADIUS效勞器，RADIUS對用戶進行認證，并返回用戶的網(wǎng)絡訪問配置信息[27]。5〕入侵檢測系統(tǒng)入侵檢測系統(tǒng)〔IntrusionDetectionSystem，IDS〕是一種用來檢測是否存在未經(jīng)授權的用戶試圖訪問網(wǎng)絡或已經(jīng)訪問網(wǎng)絡，甚至已經(jīng)危及網(wǎng)絡平安的有效工具，對于WLAN而言，IDS可能基于主機，也可能基于網(wǎng)絡[28~31]。對IDS的研究中，張翔針對開放源代碼入侵檢測系統(tǒng)snort進行過分析研究[32]；張宇對Snort源碼分析與研究[33]；孫國學探討了無線局域網(wǎng)入侵檢測系統(tǒng)解決方案[34]；胡康興進行過基于特征學習的網(wǎng)絡入侵檢測的研究[35]?？梢?，對IDS的研究越來越深入。6〕其他其他如個人防火墻、基于生物特征識別、智能卡和雙因素身份認證，多是從硬件或軟件方面對身份進行認證。b〕網(wǎng)絡平安系統(tǒng)工程CNNS理論1〕提出從信息平安學的角度來說，一般的有線或無線網(wǎng)絡平安漏洞也包括管理漏洞、軟件漏洞、結構漏洞和信任漏洞，針對網(wǎng)絡的漏洞攻擊也是利用了系統(tǒng)的上述平安漏洞。只有分析種種和這些系統(tǒng)漏洞相關的技術因素、管理因素和人員因素，才能防止被非法入侵。2001年，深圳安絡科技公司通過分析黑客對系統(tǒng)非法攻擊實際過程的規(guī)律，提出了一種網(wǎng)絡平安系統(tǒng)工程方法論，建立了一個比較全面的網(wǎng)絡平安工程三維結構理論模型，還公布了《CNNS網(wǎng)絡平安系統(tǒng)工程理論模型和方法論》。該方案是一個面向企業(yè)網(wǎng)絡平安的系統(tǒng)工程，構建出相對時間而言的立體防御體系。網(wǎng)絡系統(tǒng)平安會隨時間推移而平安性不斷下降的特點，安絡公司根據(jù)這一原理特點提出了一種網(wǎng)絡平安系統(tǒng)工程方法實現(xiàn)論。這是國內信息平安界首次建立的網(wǎng)絡平安解決方案理論模型，主要針對黑客入侵，并能與外部加密、防病毒等信息平安系統(tǒng)進行良好銜接。而根據(jù)美國聯(lián)邦調查局的統(tǒng)計數(shù)據(jù)，80%以上的信息平安事件是由于系統(tǒng)存在平安漏洞而遭到內網(wǎng)或外部的黑客入侵造成的。經(jīng)過這幾年開展，安絡科技公司開發(fā)了第二代網(wǎng)絡平安系統(tǒng)在線檢測儀〔CNNSscanner〕和CNNS賬號口令集中管理系統(tǒng)，前者更是獲得了軍用信息平安產(chǎn)品認證證書。2)模型結構CNNS三維結構將整個網(wǎng)絡系統(tǒng)平安工程的活動過程分為產(chǎn)品工具庫的部署安裝、效勞的組織和實施步驟等緊密銜接的五個模塊和五個階段，同時還考慮了必要的要素和措施來保持這些平安活動，這樣就形成了知識維、邏輯維和時間維的三維空間結構。其中知識維表示實現(xiàn)平安系統(tǒng)所需要的工具庫和知識庫產(chǎn)品或技術，邏輯維是指知識的有效運用，解決現(xiàn)有平安問題并把現(xiàn)有系統(tǒng)平安狀況提升到理想狀況所要進行的工作內容和邏輯步驟，而時間維那么在特定的一段時間內對保持系統(tǒng)平安需要所進行的工作。知識維和邏輯維所組成的平面，可以把系統(tǒng)的平安狀況提升到當前平安技術所能到達的目前的平安適用狀態(tài)，而時間維那么對這個平安狀態(tài)予以保持。隨著網(wǎng)絡平安技術和攻擊技術日新月異，每年世界網(wǎng)絡平安形勢都會有較大的變化，因此一般每年企業(yè)內部對網(wǎng)絡應用一般都會進行新的規(guī)劃，一般整個立體解決方案的最正確時效為一年。這樣每年根據(jù)此模型重新分析整個系統(tǒng)的平安形勢，提出平安問題，必要時可更新知識維和邏輯維組成新的平面工程。1.3論文的主要工作網(wǎng)絡平安是一項綜合、全面、長期和相對時效的學科，對無線網(wǎng)絡來說同樣如此，而無線網(wǎng)絡相對有線網(wǎng)絡又存在更多來自于互聯(lián)模型中多層次的平安威脅。在系統(tǒng)工程理論模型根底上，本課題提出了無線網(wǎng)絡平安系統(tǒng)工程理論模型，作為本文的理論根底，介紹了涉及無線網(wǎng)絡平安三維模型的邏輯維、時間維和知識維的各項內容，其中知識維作為本文的主要內容。本課題接著研究了無線網(wǎng)絡存在的平安問題，并特別針對某中小企業(yè)的無線網(wǎng)絡非平安因素方面進行了大量的研究和實踐工作，分析了該企業(yè)無線網(wǎng)絡存在的各種有可能被利用的漏洞，如各種無線協(xié)議加密協(xié)議的破解，通過偽造合法用戶的MAC地址來突破MAC地址過濾，通過無線嗅探截獲效勞裝置標識符，以及各種更高級別威脅如截獲數(shù)據(jù)包和拆包、對無線客戶端的掃描和滲透、拒絕效勞攻擊和“戰(zhàn)爭駕駛”等。隨后，本文就以無線網(wǎng)絡平安系統(tǒng)工程理論模型為理論根底，以某中小企業(yè)無線網(wǎng)絡為對象，提出了知識維的各種有效提高網(wǎng)絡平安性能的措施。加密協(xié)議方面，采用高級別的加密和動態(tài)平安密碼；無線入侵檢測系統(tǒng)的實施部署；無線虛擬專用網(wǎng)絡的應用；以及其他針對無線網(wǎng)絡平安的最新技術，能在一定程度上提高無線網(wǎng)絡的平安性。最后在這些平安措施中，考慮該企業(yè)的實際情況，推薦了較適宜低本錢的無線網(wǎng)絡改良方案?？偟恼f來，本文的主要工作包括：介紹了無線網(wǎng)絡平安的各種概念和根本理論。這些根本理論包括一般系統(tǒng)工程理論和一般網(wǎng)絡平安系統(tǒng)工程模型等。其中，本課題的重點在知識維的各種平安措施研究。分析某典型無線網(wǎng)絡存在的非平安因素，對各種機制進行模型設計。對某中小企業(yè)的無線網(wǎng)絡結構及存在的各種可能的非平安因素等進行分析實踐，模擬這些非平安因素的攻擊手段，以及各種高級平安應用。以無線網(wǎng)絡平安系統(tǒng)工程理論為根底分析各種平安技術，提出改良方案，給出實施方案建議，對方案進行分析測試。根據(jù)系統(tǒng)工程模型，本文給出了無線網(wǎng)絡平安系統(tǒng)工程的模型。該模型從系統(tǒng)工程的角度全面概括了各種針對無線網(wǎng)絡的平安措施，特別是在應用性較強的知識維方面，包含了無線網(wǎng)絡加密、無線入侵檢測系統(tǒng)、無線虛擬專用系統(tǒng)等平安措施。最后在這些研究的根底上提出針對該企業(yè)的無線網(wǎng)絡改良方案。1.4論文的組織結構本文在組織結構上共分為六個局部。第一章介紹了無線網(wǎng)絡平安方案的課題研究背景，以及國內外的根本研究情況。第二章在系統(tǒng)工程霍爾模型根底上提出了無線網(wǎng)絡平安系統(tǒng)工程模型的根本結構，詳細介紹邏輯維、時間維和知識維的各項內容。第三章介紹了某中小企業(yè)的組織結構和無線網(wǎng)絡拓撲結構，然后對無線網(wǎng)絡中存在的各種可能的非平安因素等進行分析實踐，模擬這些非平安因素的攻擊手段，以及各種高級平安應用。接著以無線網(wǎng)絡平安系統(tǒng)工程的模型為理論根底，對無線網(wǎng)絡加密、無線入侵檢測系統(tǒng)、無線虛擬專用系統(tǒng)等平安措施進行初步設置或模型設計。第四章在上述平安措施中，考慮該企業(yè)的實際情況，推薦了較適宜低本錢的無線網(wǎng)絡改良方案，給出實施方案建議并進行實施。第五章對推薦方案的平安性進行分析試驗，確認其有效性。第六章對本課題的研究工作進行了總結，并分析了課題研究中的難點，提出了展望。2無線網(wǎng)絡平安系統(tǒng)工程理論2.1無線平安系統(tǒng)工程三維模型著名的美國系統(tǒng)工程專家霍爾，于1969年提出了一般系統(tǒng)工程的三維方法論。相比安絡科技公司的CNNS，霍爾模型的范疇更廣泛，模型結構見圖2.1，模型分別以涉及的學科知識、系統(tǒng)部署的邏輯順序和隨著開展系統(tǒng)隨之前進開展的各個方面組成了三個維度的立體結構?；魻柲Ｐ偷某霈F(xiàn)，統(tǒng)一了解決大型復雜系統(tǒng)的管理問題的思想方法，因此現(xiàn)在已經(jīng)在各種行業(yè)和世界各國得到廣泛應用。圖2.1系統(tǒng)工程理論霍爾三維模型無線網(wǎng)絡平安系統(tǒng)工程隸屬于一般網(wǎng)絡平安系統(tǒng)工程，大局部可以套用CNNS三維模型。但對無線網(wǎng)絡來說，除了有線網(wǎng)絡中的各種漏洞以外，還存在更多無線傳輸中特有的加密破解、數(shù)據(jù)監(jiān)聽、盜用MAC地址沖突及其他可以用來攻擊的缺陷。分析對這些缺陷和漏洞的攻擊手段，特提出無線網(wǎng)絡平安系統(tǒng)工程W-CNNS的三維模型。模型主要結構如圖2.2所示。圖中邏輯維按照系統(tǒng)工程解決步驟，依次為系統(tǒng)規(guī)劃、分析設計、產(chǎn)品部署、調試優(yōu)化、和培訓維護，為企業(yè)無線網(wǎng)絡平安效勞根底建設。時間維是考慮隨著時間推移，知識維的更新，邏輯維的滯后，進行定期或不定期的跟蹤，或對特殊事件的響應，最后形成管理機制。知識維主要選取了與無線網(wǎng)絡平安最重要的幾個漏洞攻擊手段和技術最相關的幾個因素，加密協(xié)議、入侵檢測、虛擬專用網(wǎng)絡〔VPN〕和其他，作為本平安系統(tǒng)所需要的工具庫和知識庫。圖2.2無線網(wǎng)絡平安系統(tǒng)工程W-CNNS三維模型2.2邏輯維2.2.1當無線網(wǎng)絡平安系統(tǒng)已經(jīng)不滿足開展需求時，建立新系統(tǒng)或者改造舊系統(tǒng)的要求成為必要。系統(tǒng)規(guī)劃就是對當前形勢進行判斷，首先對相關人員進行調查研究，根據(jù)需要和可能性，初步擬定系統(tǒng)的幾種備選方案，并對這些方案進行可行性研究論證，包括技術上、經(jīng)濟上和社會上的，最后給出建議結論，經(jīng)由專家組進行系統(tǒng)討論，形成可行性研究報告，作為系統(tǒng)設計和實施等各個階段的指導性文件。2.2.2系統(tǒng)分析主要是對無線網(wǎng)絡平安系統(tǒng)進行邏輯設計的階段，根據(jù)系統(tǒng)設計任務書所確定的范圍進行詳細調查，收集各方面信息，分析得到的數(shù)據(jù)。分析系統(tǒng)的信息流和系統(tǒng)功能，構造出新系統(tǒng)的平安模型，確定系統(tǒng)工作流程，形成系統(tǒng)方案。根據(jù)系統(tǒng)分析得到的平安模型和設計要求進行物理設計即系統(tǒng)設計。根據(jù)邏輯功能的要求，考慮實際條件，進行具體設計，確定系統(tǒng)的實施方案。主要設計任務包括：系統(tǒng)模塊結構設計、平安機制的選用和設計、文件或數(shù)據(jù)庫設計、密碼體制工程化設計、密鑰管理設計、輸入輸出設計、對話設計、計算機處理過程設計、選擇系統(tǒng)的硬件設備和系統(tǒng)軟件等。此外，還要進行程序模塊和處理過程設計。系統(tǒng)設計完成系統(tǒng)分析說明書和平安系統(tǒng)選擇方案報告或實施方案設計報告，作為系統(tǒng)建設實施的必要條件。在分析設計階段中，有一些工作需要反復進行，比方需要反復對用戶的需求進行調查和分析，一旦發(fā)現(xiàn)問題，就需要對前一個過程進行修改，甚至重新設計。因為平安系統(tǒng)是一個復雜系統(tǒng)，系統(tǒng)需求和用戶的理解不可能一步到位，需求和設計需要反復磨合，反復磋商，逐漸形成滿意和平衡的方案。2.2.3產(chǎn)品部署是新系統(tǒng)建立或舊系統(tǒng)改造的實施階段，將理論模型變成實際的物理系統(tǒng)的過程。系統(tǒng)分析設計結果經(jīng)有關管理部門審批后即可組織進行方案實施，部署設計產(chǎn)品。2.2.4系統(tǒng)工程類產(chǎn)品部署一般都要進行系統(tǒng)調試和優(yōu)化，對系統(tǒng)性能是否滿足設計和需求進行實際驗證，也是用戶初步認識、了解和熟悉系統(tǒng)的過程。對調試驗證過程和結果進行系統(tǒng)優(yōu)化，到達滿足設計要求和用戶需求，完成驗收。2.2.5無線網(wǎng)絡平安系統(tǒng)通過驗收后交付使用，在投入運行后，系統(tǒng)還需要不斷維護和管理，根據(jù)需要和使用情況修改程序，增加系統(tǒng)功能。系統(tǒng)運行狀況也是時間維定期升級的要求，工作質量和經(jīng)濟效益是否優(yōu)化，作為系統(tǒng)升級的設計需求。對用戶和維護人員的技術培訓能保證系統(tǒng)正常運行，減少溝通中的技術誤解，防止非技術問題。2.3時間維2.3.1無線網(wǎng)絡平安系統(tǒng)投入運行后，加強必要的管理，建立相應的管理機制，才能發(fā)揮系統(tǒng)的功能有效，保證平安性。由于往往許多平安隱患都來自系統(tǒng)內部，任何先進技術都代替不了完善的管理。一般管理機制對象分為組織管理、技術管理和人事管理。對無線網(wǎng)絡平安系統(tǒng)的技術層面來說，管理機制主要集中在以下幾個方面：軟件平安〔包括操作系統(tǒng)、應用軟件、數(shù)據(jù)庫等的采購、安裝、使用、更新和維護等〕、設備平安〔包括平安設備的購置、使用、維護和報廢等〕、介質平安〔包括介質的存放、保密等級、使用、復制和銷毀等〕、密鑰管理〔包括密鑰的生成、分配、應用、保存、備份、泄密處理、歸檔和銷毀等〕。2.3.2任何系統(tǒng)架構從誕生開始必可防止存在這樣那樣的缺陷和漏洞，定期進行系統(tǒng)升級可以有效保持平安系統(tǒng)的可靠運行和平安系統(tǒng)。具體包括硬件設備的升級或驅動程序的更新，平安系統(tǒng)的整體升級，操作系統(tǒng)更新〔或補丁〕，應用軟件的升級更新，數(shù)據(jù)庫的更新和數(shù)據(jù)優(yōu)化，以及其他能保證平安完善和適用的更新措施。從時間唯來說，無線網(wǎng)絡平安系統(tǒng)更新能對系統(tǒng)平安狀態(tài)予以保持。隨著無線網(wǎng)絡技術的開展和黑客技術的更新，系統(tǒng)面臨新的平安形勢，根據(jù)邏輯維和技術維重新分析平安系統(tǒng)的問題，解決更新問題，組成新的平面工程。2.3.3對平安事件的響應也是時間唯的重要內容，因為無線網(wǎng)絡平安系統(tǒng)不可能是絕對平安的。當特殊事件〔如系統(tǒng)本身、內部人員或外部入侵引起的事故〕發(fā)生時，需要給予及時適當?shù)捻憫胧?。完備的事件響應需要事先制定較完善的特殊事件響應機制和方案，比方確定響應小組人員，明確響應事件目標，準備響應的工具〔如數(shù)據(jù)恢復或備份、文件監(jiān)控和比較、網(wǎng)絡分析和嗅探、掃描或入侵檢測等〕，按照響應方案實施。2.3.4其他能隨著時間推移，保持無線網(wǎng)絡平安系統(tǒng)適用性的措施。2.4知識維無線網(wǎng)絡平安系統(tǒng)工程所涉及的知識范圍，除了系統(tǒng)工程的一般根底社科和人文學，和網(wǎng)絡平安系統(tǒng)工程的平安知識產(chǎn)品，更有無線網(wǎng)絡平安特有的如無線加密協(xié)議、無線網(wǎng)絡標識、無線信號嗅探、截獲與拆包、掃描與滲透及其他無線攻擊方式。特別是近幾年，世界無線技術飛速開展，無線網(wǎng)絡平安技術日新月異，無線攻擊手段日益豐富，并且簡單有效，獲取方便，無線網(wǎng)絡平安產(chǎn)品的品種良多，都是知識維的工程。2.4.11)WEPWEP即有線等效密碼，是802.11b標準里用于無線局域網(wǎng)最初的平安性協(xié)議，使用的是RSA數(shù)據(jù)平安性公司開發(fā)的rc4prng算法。由于害怕算法被破解，而作為強大的加密技術受到美國嚴格的出口限制。不久即被動態(tài)密鑰完整性協(xié)議TKIP(動態(tài)有線等效保密的補丁版本)所替代，因為WEP被發(fā)現(xiàn)是很不平安的。2)WPA-PSK(TKIP)WPA(Wi-FiProctedAccess)平安機制使用TKIP(臨時密鑰完整性協(xié)議)，使用的加密算法還是WEP中使用的加密算法RC4，所以產(chǎn)品不需要修改原來無線設備的硬件，WPA針對WEP中存在的問題：IV過短、密鑰管理過于簡單、對消息完整性沒有有效的保護，通過軟件升級的方法提高網(wǎng)絡的平安性。WPA的出現(xiàn)給用戶提供了一個完整的認證機制，AP根據(jù)用戶的認證結果斷定是否允許其接入無線網(wǎng)絡中;認證成功后可以根據(jù)多種方式(傳輸數(shù)據(jù)包的多少、用戶接入網(wǎng)絡的時間等)動態(tài)地改變每個接入用戶的加密密鑰。另外，對用戶在無線中傳輸?shù)臄?shù)據(jù)包進行MIC編碼，確保用戶數(shù)據(jù)不會被其他用戶更改。作為802.11i標準的子集，WPA的核心就是IEEE802.1x和TKIP(TemporalKeyIntegrityProtocol)。3)WPA2-PSK(AES)802.11i公布之后，Wi-Fi聯(lián)盟推出了WPA2，它支持AES(高級加密算法)，因此它需要新的硬件支持，它使用CCMP(計數(shù)器模式密碼塊鏈消息完整碼協(xié)議)。在WPA/WPA2中，PTK的生成依賴PMK，而PMK獲的有兩種方式，一個是PSK的形式就是預共享密鑰，在這種方式中PMK=PSK，而另一種方式中，需要認證效勞器和站點進行協(xié)商來產(chǎn)生PMK。IEEE802.11所制定的是技術性標準,Wi-Fi聯(lián)盟所制定的是商業(yè)化標準,而Wi-Fi所制定的商業(yè)化標準根本上也都符合IEEE所制定的技術性標準。WPA事實上就是由Wi-Fi聯(lián)盟所制定的平安性標準,這個商業(yè)化標準存在的目的就是為了要支持IEEE802.11i這個以技術為導向的平安性標準。而WPA2其實就是WPA的第二個版本。WPA之所以會出現(xiàn)兩個版本的原因就在于Wi-Fi聯(lián)盟的商業(yè)化運作。2.4.由于無線網(wǎng)絡物理平安界限的先天缺乏，無線入侵更加方便，因此入侵檢測系統(tǒng)設置顯得尤為重要。有線網(wǎng)絡入侵響應、入侵檢測工具和規(guī)那么大局部都適合于無線網(wǎng)絡平安系統(tǒng)，而無線網(wǎng)絡的入侵檢測系統(tǒng)也有專有的工具和特定規(guī)那么。無線網(wǎng)絡入侵檢測，是為了保護無線網(wǎng)絡平安而設計、配置的能夠及時發(fā)現(xiàn)并報告網(wǎng)絡系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測無線計算機網(wǎng)絡中違反平安策略行為的技術，而違反平安策略的行為包括入侵〔非法用戶的違規(guī)行為〕和濫用〔合法用戶的違規(guī)行為〕。無線網(wǎng)絡入侵檢測系統(tǒng)〔W-IDS〕那么利用審計記錄識別出任何不希望的活動，從而到達限制這些活動、保護系統(tǒng)平安的目的。其效果是，使管理員在入侵對系統(tǒng)造成危害之前能檢測到，并利用報警和防護系統(tǒng)〔如防火墻等〕防御入侵；在入侵過程中，能減少入侵所造成的損失；在被入侵后，能收集到入侵者的相關信息和對系統(tǒng)造成的破壞記錄，作為防范系統(tǒng)的知識，添加到知識庫內，以增強系統(tǒng)飛防范能力。2.4.3由于有線網(wǎng)絡技術的開展成熟，其速度和穩(wěn)定性是無線網(wǎng)絡所不可比較的，因此無線網(wǎng)絡很少離開有線網(wǎng)絡而組成獨立的虛擬專用網(wǎng)絡系統(tǒng)。但對整個VPN來說，某一條或多條虛擬專用線路節(jié)點是由無線網(wǎng)絡系統(tǒng)組成的。而這往往成為VPN的薄弱環(huán)節(jié)。一般組建虛擬專用網(wǎng)，是為了實現(xiàn)建立私有的平安通信通道，方便遠程用戶能夠穩(wěn)定、平安地連接到企業(yè)內部網(wǎng)絡，訪問內部資源。虛擬專用網(wǎng)主要包括VPN效勞器、客戶端、內網(wǎng)和遠程訪問隧道協(xié)議。無線VPN一般是把無線AP放入企業(yè)內部的某一網(wǎng)段中，并將這一網(wǎng)段用防火墻保護起來，防止內部網(wǎng)的其他局部與無線AP連接起來，然后讓所有的無線客戶端使用虛擬專用網(wǎng)絡軟件，使整個無線網(wǎng)絡平安系統(tǒng)更平安。因此，基于無線網(wǎng)絡的VPN實際上是傳統(tǒng)有線網(wǎng)絡VPN的延伸，通過無線接入點或無線路由器的中轉，使得外部用戶可以通過VPN連接到內部網(wǎng)絡，從而訪問內部資源。作為一種平安機制，無線VPN可以有效將原本透明和開放的無線網(wǎng)絡提升到一個高平安的階段。2.4.4其他無線網(wǎng)絡平安涉及的學科和知識范圍，特別是無線網(wǎng)絡相對于一般系統(tǒng)工程和有線網(wǎng)絡平安所特有的知識和產(chǎn)品。2.5本章小結在系統(tǒng)工程三維模型的根底上提出的無線網(wǎng)絡平安系統(tǒng)工程，傳承了CNNS的主要內容，以無線為特點，以企業(yè)為對象，全面系統(tǒng)解決無線網(wǎng)絡的平安問題。根絕三維結構模型，分別闡述了邏輯維、時間維和知識維的主要內容。邏輯維主要包括無線網(wǎng)絡系統(tǒng)規(guī)劃、分析設計、產(chǎn)品部署、調試優(yōu)化和培訓維護這幾方面的內容，是一個平安的無線網(wǎng)絡從規(guī)劃、設計到部署、調試和維護的整個過程。時間維主要概述了管理機制、定期升級、事件響應和其他方面。時間維的各方面內容是隨著科學技術的開展，需要對系統(tǒng)進行應用累積更新升級，對特殊事件的響應留下的數(shù)據(jù)經(jīng)驗作為完善和補充的依據(jù)，以有效提高和維持無線網(wǎng)絡的平安性。知識維闡述了無線網(wǎng)絡平安學科、知識技術或產(chǎn)品，如無線加密協(xié)議、無線入侵檢測系統(tǒng)、無線虛擬專用系統(tǒng)等，明確了本文的主要內容。3某企業(yè)無線網(wǎng)絡平安方案設計3.1企業(yè)原網(wǎng)絡拓撲結構該企業(yè)為國內藝術制造行業(yè)比較知名的中小型企業(yè)，共有員工近百人，兩個基地，其中市中心分為總辦、營銷部、財務部和倉庫四個部門；地處郊區(qū)的生產(chǎn)基地分為廠辦、技術質量部和生產(chǎn)部，生產(chǎn)部下設造型、熔煉和后道三個車間。一般臺式機采用有線入網(wǎng)，筆記本電腦或PDA采用無線Wi-Fi入網(wǎng)。目前組織結構如下：總辦3臺臺式機，2部筆記本或PDA營銷部4臺臺式機，2部筆記本市中心商務基地財務部2臺臺式機，1部筆記本貨物倉庫1臺臺式機廠辦2臺臺式機，1部筆記本或PDA郊區(qū)生產(chǎn)基地技術質量部2臺臺式機，1部筆記本生產(chǎn)部2臺臺式機造型車間1臺臺式機熔煉車間后道車間企業(yè)兩個基地目前的網(wǎng)絡拓撲如圖3.1和圖3.2所示。圖3.1市中心商務基地網(wǎng)絡拓撲結構圖3.2郊區(qū)生產(chǎn)基地網(wǎng)絡拓撲結構從以上網(wǎng)絡結構圖可以看出，該企業(yè)無線網(wǎng)絡接入根本處于無保護狀態(tài)，特別是郊區(qū)生產(chǎn)基地，特別容易攻破無線寬帶路由器，從而導致整個網(wǎng)絡癱瘓。本文將通過對無線網(wǎng)絡平安漏洞作攻擊和破解，以闡述無線網(wǎng)絡的各種非平安因素。如無特別說明，本文將在如下環(huán)境下試驗：無線路由器：LinksysWRT-無線客戶端：華碩K40AB筆記本，內置無線網(wǎng)卡，WindowsXPSP3無線攻擊：臺式機AMDAthlon64*24000+2.11GHz,3G內存，外置KINAMAXUSB無線網(wǎng)卡〔RTL8187L芯片〕，BackTrack4Linux系統(tǒng)3.2非平安因素分析通過對無線網(wǎng)絡的常用攻擊，研究無線網(wǎng)絡中的非平安因素[36]。3.2.1WEP加密由于其先天缺乏，可以利用簡單的便攜式設備和免費軟件輕易破解。WPA也被證明存在漏洞，但是對于大多數(shù)無線網(wǎng)絡來說已經(jīng)足夠平安，其破解途徑大多是探測網(wǎng)絡，使用工具抓取無線數(shù)據(jù)包，或者進行D.O.S攻擊加速數(shù)據(jù)流破解，再比較密碼字典，到達破解的目的。下面在實踐操作中進行攻擊模擬操作。WEP加密破解先將無線AP作如圖3.3設置：加密方式選擇WEP，密碼設為64位ASCII碼5個1，同樣無線客戶端作相應設置，正常連接AP，并適中選擇內容和速度下載，使客戶端和AP保持數(shù)據(jù)傳輸。圖3.3無線AP密碼設置在無線攻擊端，試驗調用工具Aircrack-ng破解。破解過程如下：首先輸入命令：ifconfig–a，顯示攻擊端所有網(wǎng)絡接口狀況，能看到名為wlan0的無線網(wǎng)卡，接著輸入命令：ifconfigwlan0up，對無線網(wǎng)卡載入驅動。接下來將無線網(wǎng)卡激活至監(jiān)聽模式，同樣在Linux下的工具Aircrack-ng調用命令：airmon-ngstartwlan0。這時候就可以開始探測和無線數(shù)據(jù)抓包工作了。先進行探測，獲取當前目標無線網(wǎng)絡概況，包括AP的SSID、MAC地址、工作頻道、無線客戶端的MAC地址及數(shù)量，輸入命令：airodump-ngmon0，得到以下結果：鎖定目標AP的SSID：scqtdown，MAC地址〔略〕，工作頻道6，無線客戶端的MAC地址〔略〕。下面記錄監(jiān)聽抓包的數(shù)據(jù)：airodump-ng–wluohui–c6mon0，即創(chuàng)立了luohui-01.cap的抓包數(shù)據(jù)文件?！?w：寫入數(shù)據(jù)文件-c后面跟頻段號〕翻開另外一個shell窗口，輸入命令：aircrack-ngluohui-01.cap，開始破解數(shù)據(jù)中隱藏的WEP密碼，經(jīng)過幾分鐘的破解后就可以看到“KEYFOUND”的提示，緊跟在后面的是16進制形式字符，再后面的ASCII局部就是密碼了。結果圖3.4所示。圖3.4簡單WEP密碼破解結果復雜密碼：把加密方式同樣選擇WEP，密碼設為復雜64位ASCII碼Af34!@HJKfgt6，同樣無線客戶端作相應設置，正常連接AP，并適中選擇內容和速度下載，使客戶端和AP保持數(shù)據(jù)傳輸。在無線攻擊端，同樣調用工具Aircrack-ng破解試驗。經(jīng)過幾十分鐘也破解成功，結果如圖3.5所示。圖3.5復雜WEP密碼破解結果2〕WPA加密破解先將無線AP設置如圖3.6所示。圖3.6無線AP設置WPA密碼加密方式選擇WPA-PSK/WPA2-PSK，密碼設luohuiyan，保存后重新啟動AP。同樣無線客戶端作相應設置，正常連接AP，并適中選擇內容和速度下載，使客戶端和AP保持數(shù)據(jù)傳輸。在無線攻擊端，試驗調用工具Aircrack-ng破解。破解過程如下：首先輸入命令：ifconfig–a，顯示攻擊端所有網(wǎng)絡接口狀況，能看到名為wlan0的無線網(wǎng)卡，接著輸入命令：ifconfigwlan0up，對無線網(wǎng)卡載入驅動。接下來將無線網(wǎng)卡激活至監(jiān)聽模式，同樣在Linux下的工具Aircrack-ng調用命令：airmon-ngstartwlan0。這時候同樣進行探測和無線數(shù)據(jù)抓包工作。先進行探測，獲取當前目標無線網(wǎng)絡概況，包括AP的SSID、MAC地址、工作頻道、無線客戶端的MAC地址及數(shù)量，輸入命令：airodump-ngmon0，得到以下結果：鎖定目標AP的SSID：scqtdown，MAC地址〔略〕，工作頻道6，無線客戶端的MAC地址〔略〕。下面記錄監(jiān)聽抓包的數(shù)據(jù)：airodump-ng–wluohui–c6mon0，即創(chuàng)立了luohui-02.cap的抓包數(shù)據(jù)文件?！?w：寫入數(shù)據(jù)文件-c后面跟頻段號〕這時候進行Deauth攻擊，加速破解過程，以獲得破解所需的WPA-PSK握手驗證的整個完整數(shù)據(jù)包，其原理是Deauth數(shù)據(jù)包會將已經(jīng)連接到無線AP的合法客戶端強制斷開，而客戶端會自動重新連接無線AP，破解監(jiān)聽端就有時機捕獲到包含WPA-PSK握手驗證的完整數(shù)據(jù)包。其命令為：aireplay-ng-01–a(AP的MAC)–c(客戶端MAC)mon0〔-0采用Deauth攻擊模式，后面接攻擊次數(shù)；-a后面跟AP的MAC地址；-c后面跟客戶端的MAC地址〕翻開另外一個shell窗口，輸入命令：aircrack-ng–wdicluohui-02.cap〔-w后面跟預先制作好的字典〕，開始破解數(shù)據(jù)中WPA密碼，經(jīng)過幾十分鐘的破解后就可以看到“KEYFOUND”的提示。結果如圖3.7所示。圖3.7WPA密碼破解結果相對于WEP協(xié)議漏洞，WPA協(xié)議本身的問題還沒有完全暴露出來，其破綻還是在無線的開放式特點上，破解方式還是原始的暴力破解，破解效率和速度受破解端的硬件和字典符合性限制。按照單機在WPA破解速度150key/s〔即每秒調試的密碼數(shù)量〕，破解5位WPA密碼最壞預期也要4天以上。于是對高速WPA密碼破解技術也應運而生，最根本的有“內存-時間平衡”法[37~39]，即使用大型查找表對加密的密碼和由人輸入的文本進行匹配，從而加速解密過程，這意味著使用大量內存的破解者能迅速減少破解所需的時間。2006年舉行的RECON平安會議上，一位來自Openciphers組織的名為DavidHulton的平安人員演示了使用WPA-PSKHashTables破解的詳細技術細節(jié)，通過預運算的方式，提前運算生成WPA-PSK加密Hash，從而建立WPA-PSKHashTables，將以前30~150key/s的普通單機速度高了200~3000倍，最高速度到達80000key/s，成為無線加密真正的終結，因為這樣的HashTables甚至可以通過互聯(lián)網(wǎng)自由下載到。3.2.2MAC通過MAC地址過濾能增強無線網(wǎng)絡的平安性，不過攻擊者也能通過技術手段偽造合法MAC地址。步驟是先獲取合法用戶的MAC地址，然后更改自己的MAC來偽造身份，重新載入網(wǎng)卡后連接到無線AP。前面3.2.1章節(jié)可以看到，很容易獲得合法用戶的MAC地址，需要改變的是攻擊者的MAC來偽造身份。有些無線網(wǎng)卡自帶功能，可以通過網(wǎng)卡配置直接修改，其他網(wǎng)卡也可以通過工具來修改。例如在Windows各種版本的操作系統(tǒng)下，SMAC能修改幾乎任何網(wǎng)卡的MAC地址，如圖3.8所示，將“本地連接”網(wǎng)卡MAC地址更新為“AA-BB-CC-11-22-33”圖3.8用SMAC偽造網(wǎng)卡MAC3.2.3針對無線AP設置關閉SSID播送后，攻擊破解也有Deauth攻擊法、抓包分析法及暴力破解法。因此雖然在一定程度上關閉SSID能防范無線探測，但是并沒有想象中的那么平安。同理，對大多數(shù)具備DHCP功能的AP來說，網(wǎng)管如果關閉了DHCP效勞，同樣可以進行無線嗅探后使用工具截獲。例如前面提到的Deauth攻擊后監(jiān)聽抓包，得到WPA握手數(shù)據(jù)。3.2.4當無線網(wǎng)絡上沒有客戶端連接，有線網(wǎng)絡上也沒有客戶端連接；無線網(wǎng)絡上沒有，有線網(wǎng)絡上有客戶端連接；無線客戶端有連接，但根本沒有或存在少量的網(wǎng)絡流量。以上出現(xiàn)的情況稱為“無客戶端活動環(huán)境”。攻擊者在一直等待無線客戶端網(wǎng)絡活動的出現(xiàn)，以便于注入攻擊的實現(xiàn)，但這也許會是一個漫長的過程。從幾方面考慮攻擊的可能：比方采用在802.11報文中插入預先定義內容來偽造數(shù)據(jù)流，迫使無線接入點產(chǎn)生大量的交互報文；或者發(fā)送攻擊包來強制斷開已連接的無線客戶端，來到達偽造連接請求迫使無線接入點響應的目的。這些都是攻擊思路。3.2.5通過偽造AP進行進行欺騙攻擊到達截獲數(shù)據(jù)報文，破解出目標AP的加密密碼后，攻擊者很方便使用各種工具進行攔截數(shù)據(jù)和解密。通過對截獲的數(shù)據(jù)進行分析，可能獲取到MSN、QQ等賬戶信息及局部聊天記錄、郵件賬戶及密碼、論壇賬戶及密碼、FTP和Telnet等的賬戶及密碼。同的過程，很容易得到截獲的加密數(shù)據(jù)包。需要做的是兩個過程，首先進行解密，生成解密數(shù)據(jù)包，再對解密后的數(shù)據(jù)包進行搜索分析，獲得“有用”的信息。這里使用著名的無線掃描和破解工具Cain&Abel，中文翻譯為“該隱與亞伯”〔在《圣經(jīng)》中指亞當和夏娃的兩個兒子，因為兄弟相殘而一死一貶〕。這款工具可以在Windows環(huán)境下對加密數(shù)據(jù)報文進行解密并輸出〔由于很多殺毒軟件認為Cain&Abel是木馬或病毒軟件，本文圖略〕。通過國外的著名免費軟件Wireshark，在Windows環(huán)境下運行，輸入經(jīng)過解密的報文文件，輸入適宜的關鍵字，如：輸入“msnms”的協(xié)議關鍵字，可以獲得MSN的賬戶ID、IP地址和聊天內容〔明文〕；輸入“pass”、“password”、“pwd”、“key”及其他關鍵字，也可能截獲Email、qq號、論壇賬戶/密碼、瀏覽的網(wǎng)站、當前殺毒軟件的版本、當前操作系統(tǒng)版本等明文信息。這款Wireshark軟件在網(wǎng)絡平安方面應用比較廣泛，特別是網(wǎng)絡平安和信息資訊平安，以及網(wǎng)絡通訊協(xié)議方面，因此不再截圖說明。.7D.O.S全稱DenyofService，即拒絕效勞攻擊，是網(wǎng)絡攻擊中最常見的一種。通過成心攻擊網(wǎng)絡協(xié)議的缺陷，或直接通過某種手段耗盡攻擊對象的資源，目的是讓目標無法提供正常的效勞或資源訪問，使目標系統(tǒng)效勞停止響應甚至崩潰。無線D.O.S就是把該攻擊延伸到了無線網(wǎng)絡上來。常見幾種類型有：AuthDOS攻擊、DeauthFlood攻擊、Disassociate攻擊及RF干擾攻擊。如AuthDOS就是身份驗證攻擊，就是利用攻擊者利用偽造的MAC發(fā)送大量的虛假連接請求到AP，最終導致AP的連接列表出現(xiàn)錯誤，合法用戶的正常連接被破壞。DeauthFlood攻擊和Disassociate攻擊那么是發(fā)送大量取消身份驗證數(shù)據(jù)報文或取消關聯(lián)幀來到達相同的目的。而RF干擾攻擊更是利用無線信號發(fā)射或收信設備，進行硬件信號干擾，到達類似“信號屏蔽”的目的。前者著名的攻擊工具有MDK3，工作在Linux系統(tǒng)下，而通過Wireshark，也可監(jiān)測到這些異常攻擊。后者利用家用的微波爐，靠近無線AP工作，就可到達干擾無線信號的效果。3.2.8War-Driving稱之為“戰(zhàn)爭駕駛”，指在車輛內部使用諸如筆記本電腦、PDA等便攜設備，通過駕駛車輛、在目標區(qū)域往返等行為來進行Wi-Fi無線接入點探測。在國外，由于War-Driving概念在幾年前就早已深化，一些公開或地下的無線黑客組織或網(wǎng)站通過種種方式，繪制出本城市、州、甚至國家的詳細無線接入點的分布圖，為評估本國無線網(wǎng)絡平安，改良無線入侵與防護思路提供了很好的依據(jù)。例如這個網(wǎng)站目前〔2010年9月〕已經(jīng)把超過25,600,000個無線網(wǎng)絡收錄到它的數(shù)據(jù)庫里。War-Driving可以說是威脅無線網(wǎng)絡平安到了瘋狂的地步，可以預見未來的某一天，將開展到有人的地方就有“免費的”無線網(wǎng)絡。3.3無線網(wǎng)絡平安方案設計無線網(wǎng)絡平安系統(tǒng)工程給企業(yè)無線網(wǎng)絡的平安方案選擇奠定了全面的理論根底，按照這個系統(tǒng)工程的理論，實現(xiàn)知識維的各項措施，按照邏輯維的步驟部署，并執(zhí)行時間維的有效更新管理，將有效提升企業(yè)的無線平安能力。加密協(xié)議選用和密碼強化設置由于WEP的先天缺乏，加上無線網(wǎng)絡的開放互聯(lián)，因此WEP協(xié)議從平安角度來說可以被淘汰和摒棄。在AP設置時采用WPA/WPA2加密協(xié)議，可以從一定程度上提高破解難度，增加破解所需的時間。很多經(jīng)典的老式〔生產(chǎn)時間較遠〕無線路由器或AP只提供對128位WEP密碼的支持，還不支持WPA平安協(xié)議加密，二手市場上有，已淘汰?，F(xiàn)在市場上銷售的家用或商用的無線路由器或無線AP一般都支持WEP、WPA、WPA2。加密密碼設置同其他一般密碼一樣，其平安強度和密碼位數(shù)、復雜程度成正比。一般管理員和用戶都明白這個道理，可是在實際操作的時候都過于相信沒有惡意攻擊者會對他們的網(wǎng)絡平安造成威脅，因此在SSID名稱和WPA加密密碼設成了如下的簡單密碼：AP默認的SSID。純數(shù)字或純字母〔包括生日、人名字母〕。6位以下的任意字符組合。其他常用計算機術語。強化密碼的原那么有：密碼長度超過8位字符；沒有固定單詞、詞組、人名和生日的規(guī)律組合；選擇大寫字母、小寫字母、數(shù)字和特殊符號的任意3種以上；定期更換或使用動態(tài)更新的方式。進過強化的密碼被暴力破解的可能性極大降低，破解所需的代價那么大大增加，再配合動態(tài)更新，破解的價值幾乎為零。入侵檢測系統(tǒng)模型設計1、部署與架構分析企業(yè)網(wǎng)絡結構特點，兩地都是地理位置比較集中，考慮在無線入口各部署一套無線IDS。集中傳感器盡量設置在覆蓋無線網(wǎng)絡的地理中心，特別是信號收集能涵蓋全部合法用戶，一般只有一個AP的就置于AP附近，兩個以上的根據(jù)需要增加RF傳感器。集中傳感器依靠雙網(wǎng)卡工作，分別為有線網(wǎng)卡和無線網(wǎng)卡，其中有線網(wǎng)卡連接控制臺，無線網(wǎng)卡那么用于捕獲無線網(wǎng)絡數(shù)據(jù)包。2、系統(tǒng)方案集中傳感器對監(jiān)聽到的數(shù)據(jù)包進行處理和過濾，并判斷無線信號的方位和強度，然后將屬于IDS敏感數(shù)據(jù)包的相關信息和無線網(wǎng)絡的邊界信息傳送到控制臺?？刂婆_中的IDS分析模塊對接收到的信息進行分析，與規(guī)那么數(shù)據(jù)庫中的規(guī)那么進行匹配，根據(jù)規(guī)那么中的邏輯字段回復狀態(tài)字段，比方“通過”、“警報”、“審計”、“再確認”等措施。而控制臺中的定位模塊對無線網(wǎng)絡中的無線設備進行實時定位，并將位置坐標計算反響給系統(tǒng)。其總體結構圖如圖3.9所示。圖3.9一套IDS原理總體結構圖3、功能W-IDS主要的作用和一般IDS比較類似，都是用于防火墻作用的補充，功能是監(jiān)測和分析經(jīng)過網(wǎng)關的數(shù)據(jù)報文，通過比對規(guī)那么從而發(fā)現(xiàn)疑似攻擊行為的異常數(shù)據(jù)包，采用記錄并報警甚至拒絕通過的方法到達保護網(wǎng)絡平安的目的。而W-IDS主要不同點在于設置集中傳感器。傳感器的作用有：無線數(shù)據(jù)監(jiān)控。實踐方案過程中，集中傳感器收集信號的覆蓋面積問題成為一個關鍵。一般來說，無線信號覆蓋的范圍總是指接收和發(fā)送，而側重于發(fā)送范圍。而集中傳感器只負責接收監(jiān)聽信號，不發(fā)送無線信號，因而經(jīng)過信號放大機制，能保證覆蓋無線信號全范圍監(jiān)聽。無線設備定位。集中傳感器在物理形態(tài)上大都是多面體形狀，加上對無線信號的強弱和方位的敏感度，因此集中傳感器能對無線信號方位作出大致判斷。單個傳感器在地理條件無限制的前提下可以利用信號強弱，經(jīng)過比照而準確定位無線設備。實際部署中大多是用多個〔3個~4個〕傳感器計算定位坐標。4、發(fā)現(xiàn)非法接入從對象來說非法接入主要是指非法AP接入點和未授權WU〔無線用戶〕接入，這是IDS有效針對入侵最根本的一步。對中小企業(yè)來說，合法AP的MAC地址、無線網(wǎng)卡SSID名、與該AP連接的用戶名及對應的MAC地址、靜態(tài)IP地址分配，組成企業(yè)的合法設備/用戶列表〔ACL〕。發(fā)現(xiàn)AP的MAC地址與列表不匹配〔或重復〕及連接異常時，認為出現(xiàn)了非法AP〔多由員工私設〕。同樣，當用戶MAC地址與IP和列表不匹配〔或重復〕及連接異常時，系統(tǒng)認定出現(xiàn)了未授權WU〔無線用戶〕。5、規(guī)那么數(shù)據(jù)庫對有線IDS來說，依靠“特征”集合匹配，IDS才能有效捕捉到入侵行為。因此現(xiàn)在大局部IDS產(chǎn)品都是基于特征檢測。對無線網(wǎng)絡來說，其保持平安性的特征指標有如下幾點：是否存在未授權的無線設備。非法設備的位置是否確定。入侵數(shù)據(jù)包的特征和行為的匹配特征。網(wǎng)絡中的合法設備是否平安。數(shù)據(jù)流量是否正常〔是否影響正常通信〕。平安的無線網(wǎng)絡數(shù)據(jù)報文都是經(jīng)過了加密后的密文，在分析這些數(shù)據(jù)報文之前要先經(jīng)過解密，然后再與特征數(shù)據(jù)庫進行比對。另外，成熟的IDS產(chǎn)品已經(jīng)建立了大量可以直接利用的特征規(guī)那么數(shù)據(jù)庫，不需要管理員另外開發(fā)。隨著數(shù)據(jù)倉庫和數(shù)據(jù)挖掘技術的開展，現(xiàn)在很多規(guī)那么數(shù)據(jù)庫具備了特征學習的功能，可以自動添加規(guī)那么。6、入侵響應1〕準備工作：為了防止在遭受攻擊時作出草率決定，充分的準備工作是必要的。首先提前準備一份應急響應方案方案，組建應急響應小組并分清小組各成員的責任。硬件上，準備好空白磁盤或其他備份介質，保持網(wǎng)絡通信或數(shù)據(jù)傳輸環(huán)境，以便在特殊情況下確保訪問到介質，從而更新被破壞的系統(tǒng)或數(shù)據(jù)。軟件上應急小組除了要了解較新的入侵技術外，還要準備網(wǎng)絡環(huán)境的相關內容，清楚外網(wǎng)入口、路由器、防火墻、AP等關鍵設備在網(wǎng)絡中的位置，這些關鍵系統(tǒng)之間的物理邏輯聯(lián)系，否那么無法維護更新。事先定制響應策略，并在響應結束后進行審查，對整個入侵響應的過程、人員的責任落實和組員溝通信息進行及時更新并確保正確和有效。對新進的組員應反響在組織結構和組織策略上，并使新進的組員明確知曉責任并獲得書面指導資料。2〕入侵檢測：實現(xiàn)入侵檢測主要依靠掌握非法入侵的特征值，對非法行為形成入侵檢測規(guī)那么。例如：拒絕效勞攻擊〔DoS〕大局部的核心技術是向目標AP不間斷發(fā)送無意義的數(shù)據(jù)包，因此可以假定非本地主機在一定的時間內發(fā)送了超過一定數(shù)量的數(shù)據(jù)包，可以初步判定為攻擊源。又如：對非法監(jiān)聽者的判定，可以分析哪些網(wǎng)卡的狀態(tài)處于混雜模式。還如：對偽造AP的判別，除了有合法AP的列表外，還可以分析AP數(shù)據(jù)包的序列號。3〕查看與恢復：通常網(wǎng)絡操作系統(tǒng)中設有各種日志文件〔包括入侵檢測系統(tǒng)日志〕，利用日志查看工具，用戶或管理員可以查看分析用戶行為和系統(tǒng)時間。特別是平安日志，記錄了與系統(tǒng)登陸和資源訪問相關的事件，比方有效或無效的系統(tǒng)登陸次數(shù)，訪問、創(chuàng)立和刪除的文件及其他對象等。這有助于管理員對正常用戶的訪問習慣和非法用戶的手法及破壞對象進行掌握，對設置系統(tǒng)規(guī)那么、恢復被破壞的系統(tǒng)和數(shù)據(jù)都是最有用的依據(jù)?；謴拖到y(tǒng)除了重新安裝的方法以外，重要的是平時做好備份，以將損失降低到最小、恢復工作最容易為標準。7、無線定位利用無線傳感器對信號強度和方位的敏感特點而開展的無線定位技術，可以對非法AP和非法WU進行及時定位。對本企業(yè)來說，并未方案配置多個傳感器進行實時定位，只能用手持式無線信號檢測設備進行信號追蹤。對長期入侵或企圖破壞的非法入侵者，無線定位能從源頭上揪出破壞者。無線虛擬專用網(wǎng)絡方案設計1、VPN與AP結合方案因為市場上大多數(shù)家用級別的路由器或無線路由器都提供了對虛擬效勞器的支持，而Windows操作系統(tǒng)也提供VPN客戶端登陸，因此構建一般概念的VPN〔PPTP〕有線網(wǎng)絡顯得比較容易。一般異地集團或分支機設想實現(xiàn)本地化辦公，VPN是最好的選擇。有線VPN網(wǎng)絡的平安性能也通過VPN網(wǎng)關和防火墻得以保證?？墒乔闆r涉及到無線虛擬專用網(wǎng)絡〔W-VPN〕，就正好相反了。多個異地無線客戶端接入采用混合VPN和無線網(wǎng)絡平安技術的企業(yè)網(wǎng)絡解決方案。用戶登陸因特網(wǎng)由虛擬專用網(wǎng)絡的網(wǎng)關提供加密保護，而無線AP為本地無線客戶端提供了無線局域網(wǎng)的平安連接。網(wǎng)絡拓撲上無線網(wǎng)絡是封閉的〔物理上是開放的〕，可以在第二層及以上進行加密操作，到達訪問控制和認證的目的。這個拓撲結構通過集中的遠程用戶撥號認證系統(tǒng)RADIUS身份驗證模式，可以將VPN網(wǎng)關和所有的AP共享。VPN網(wǎng)關和無線AP將網(wǎng)絡接入設備提出的遠程用戶撥號認證系統(tǒng)RADIUS身份驗證的請求給遠程用戶撥號認證系統(tǒng)RADIUS的效勞器進行檢查核實。這樣保證了無論是無線網(wǎng)絡用戶還是其他VPN用戶，都是真正平安的單一登錄，而不會造成硬件設備的浪費?；旌蟅PN和無線AP的解決方案一般是兩種，第一種就是把無線AP設置在Windows效勞器的接口上，使用Windows內置的虛擬專用網(wǎng)軟件增加無線通信的覆蓋范圍。由于使用了內置的軟件，不需要額外增加效勞器或硬件費用，因此為大多數(shù)企業(yè)所采用。另外的好處是管理應用方便，缺乏是增加了效勞器的負荷，也許將影響到效勞器執(zhí)行其它任務的效果。比方，負荷可能會影響到防火墻、入侵檢測等功能。分析有線VPN，每個有線客戶端在網(wǎng)絡拓撲中的位置根本上是一致的，受到外部網(wǎng)絡攻擊的方式和幾率根本上是相等的，當無線客戶端采用相同的PPTP、IPSec或SSL等協(xié)議方式接入VPN時，無線客戶端受到無線監(jiān)聽、密碼破解、信息泄露和主動攻擊等方式和幾率大大增加，成為內網(wǎng)的平安薄弱環(huán)節(jié)。充分考慮無線網(wǎng)絡的不平安性，推薦第二種方案，即使用包含內置VPN網(wǎng)關效勞的無線AP。如著名的SonicWall公司就提供這種解決方案〔高端產(chǎn)品，價格很高，不適合中小企業(yè)〕。這種解決方案集成了AP和VPN功能，使應用無線網(wǎng)絡和VPN平安性能更加高。另外一個優(yōu)點是，這種集成設備預先將兩種功能封裝在一起，安裝配置起來特別容易，而且設定平安策略也簡易，因為每一個無線連接都統(tǒng)一使用VPN，統(tǒng)一平安配置策略。當然，其弱點也很明顯，首先集成產(chǎn)品的價格很貴，而且新購置的集成網(wǎng)關只能滿足無線局域網(wǎng)子網(wǎng)的需求，從長期來看，如果無線技術升級比較困難。2、VPN中的無線用戶真正平安的無線VPN產(chǎn)品不適合中小企業(yè)，因此，在方案上建議對VPN中的無線用戶客戶端進行加強平安策略。以該企業(yè)VPN網(wǎng)絡為例，按照最常見的VPN組網(wǎng)改良市區(qū)和郊區(qū)的連接，硬件為小型VPN網(wǎng)關路由器，采用IPSec協(xié)議連接，客戶端以PPTPVPN方式接入，包括無線AP接入的客戶端。如圖3.10所示，有線局部的危險源來自英特網(wǎng)探測，比方IPSecScan這款工具，可以在有線網(wǎng)絡上掃描探測VPN設備，可以掃描IP段，定位VPN設備的IP地址。而IKE-Scan能檢測IKE〔InternetKeyExchange〕效勞傳輸特性，其原理是記錄了主要大量主流VPN產(chǎn)品的指紋特性如Cisco、Checkpoint、Watchguard等，在獲取VPN效勞器地址后，將偽造的IKE數(shù)據(jù)包分發(fā)給VPN網(wǎng)絡中的每一臺主機，并獲取反響證明主機的存在，對這些反響的數(shù)據(jù)包和的指紋特性進行比照，得到加密參數(shù)和算法類型。在配合其他攻擊的同時，用上文提到的Cain&Abel可以截獲PSK數(shù)據(jù)報文，同樣利用暴力字典破解。這和有線VPN是相通的，傳統(tǒng)的有線網(wǎng)絡中的VPN面臨的平安隱患，在無線VPN中依然存在。圖3.10VPN中的有線攻擊源當無線客戶端接入AP，并以IPSec加密協(xié)議登陸網(wǎng)絡，就相當于在相對平安的VPN中設了一個后門，監(jiān)聽無線信號，截獲VPN交互數(shù)據(jù)包，進而破解VPN客戶端的用戶名和密碼。無線信號的開放性特點決定了，無線客戶端的接入成為VPN的平安薄弱環(huán)節(jié)，如圖3.11所示。甚至在實際工作中，有的用戶為了讓自己登陸方便，將VPN用戶名和密碼設置為自動保存，而每次使用VPN客戶端登陸時雙擊快捷方式就會讓系統(tǒng)自動登陸到遠程的VPN效勞器。殊不知保存的VPN用戶名和密碼記錄在注冊表中，當攻擊者破解無線密碼，進而利用客戶端的系統(tǒng)漏洞攻占了主機獲得管理權限，通過遠程控制調用工具，VPN用戶名和密碼可以直接從注冊表中復原出。圖3.11無線客戶端成為VPN的平安薄弱環(huán)節(jié)因此，基于主機〔客戶端〕的防火墻、IDS和用戶平安意識習慣，才是中小企業(yè)無線VPN相對平安的手段。對有條件和信息平安要求很高的重點單位，集成VPN網(wǎng)關AP也是平安方案之一，值得考慮。其他可能的方案1、WAPI協(xié)議無線網(wǎng)絡平安的根底還是在協(xié)議平安上，自2009年6月獲得國際ISO會議多國與會成員一致同意，成為以獨立文本形式推進的挑戰(zhàn)Wi-Fi的國際標準。中國推出的WAPI協(xié)議在國內或許將成為替代前述平安協(xié)議的國家標準，并已經(jīng)開始在國際上獲得大品牌支持。WEP應用最早，支持度最高，從破解的難易度來說，平安性最差；WAP應用較晚，范圍較廣，從協(xié)議本身來說還沒有找到直接的漏洞，只能通過暴力字典破解；WAPI還談不上應用，范圍也局限在國內的無線網(wǎng)絡，特別是通訊業(yè)和局部筆記本產(chǎn)品，都使用了該協(xié)議，從應用時間和范圍來講，平安性相對較高。采用WAPI協(xié)議[40]的AP對無線客戶端的身份鑒別流程如圖3.12所示，無線客戶端發(fā)射探測請求，查找可用無線網(wǎng)絡，無線AP反響WAPI數(shù)據(jù)包進行回應，然后進行認證交互和關聯(lián)，這時，無線AP向因特網(wǎng)的認證效勞器發(fā)送包含AP和客戶端證書的信息，經(jīng)過鑒別認證后發(fā)送結果信息給AP，以此決定無線客戶端的合法性。圖3.12WAPI協(xié)議身份鑒別流程結構和其他無線協(xié)議相比較，WAPI在協(xié)議本身具有一定的技術優(yōu)勢。它強制使用數(shù)字證書，是當今互聯(lián)網(wǎng)上相對平安的技術之一；另外，它采用雙向身份鑒別機制，即同時防止假冒的無線AP或非法的無線客戶端；最后，采用橢圓形曲線簽名算法，鑒別協(xié)議本身比較完善。2、無線網(wǎng)絡隔離一般的網(wǎng)絡隔離技術用于內網(wǎng)與外網(wǎng)、外網(wǎng)與因特網(wǎng)之間，主要原理是用兩套獨立的系統(tǒng)分別連接平安和非平安的網(wǎng)絡，保證在平安和非平安網(wǎng)絡的數(shù)據(jù)交換時，兩套系統(tǒng)是分別斷開的，從而能鑒別數(shù)據(jù)交換中的數(shù)據(jù)平安。在無線網(wǎng)絡中如果對信息平安有特殊的需要，同樣可以使用網(wǎng)絡隔離技術，僅用無線AP組成內網(wǎng)局域網(wǎng)，當內部數(shù)據(jù)需要通過效勞器向外部交換時，通過存儲介質和數(shù)據(jù)控制臺實現(xiàn)網(wǎng)絡隔離和傳輸數(shù)據(jù)流，能通過數(shù)據(jù)交換的系統(tǒng)平安檢測，流程如圖3.13所示。當外部數(shù)據(jù)需要向內部傳輸時，那么方向相反。[41]圖3.13網(wǎng)絡隔離內網(wǎng)數(shù)據(jù)向外網(wǎng)交換3.4本章小結首先介紹了某中小企業(yè)的組織結構和原來使用的網(wǎng)絡拓撲結構，盡管該企業(yè)結構很精簡，但網(wǎng)絡結構很具有代表性。通過對無線網(wǎng)絡平安漏洞作攻擊和破解，闡述了無線網(wǎng)絡的各種非平安因素，這些主要的非平安威脅有：加密協(xié)議容易遭到破解、MAC地址容易偽造、SSID方便嗅探獲取、無客戶端環(huán)境也能破解、數(shù)據(jù)包被截獲和拆解、網(wǎng)線網(wǎng)絡客戶端被掃描和滲透，以及拒絕效勞攻擊和“戰(zhàn)爭駕駛”等高級別威脅。接著對無線網(wǎng)絡方案進行設計，從知識維各個方面，包括加密設置、無線入侵檢測系統(tǒng)、無線虛擬專用系