1、8.7 無線局域網(wǎng)安全技術,8.7.1 無線局域網(wǎng)的安全問題 8.7.2 無線局域網(wǎng)安全技術,8.7.1無線局域網(wǎng)的安全問題,物理安全 無線設備包括站點（STA）和接入點（AP）。站點通常由一臺PC機或筆記本電腦加上一塊無線網(wǎng)絡接口卡構成；接入點通常由一個無線輸出口和一個有線的網(wǎng)絡接口構成，其作用是提供無線和有線網(wǎng)絡之間的橋接。物理安全是關于這些無線設備自身的安全問題，主要表現(xiàn)在： 無線設備存在許多的限制，這將對存儲在這些設備的數(shù)據(jù)和設備間建立的通信鏈路安全產(chǎn)生潛在的影響。與個人計算機相比，無線設備如個人數(shù)字助理等，存在如電池壽命短、顯示器小等缺陷。 無線設備雖有一定的保護措施，但這些保護措施

2、總是基于最小信息保護需求的。因此，必須加強無線設備的各種防護措施。,8.7.1 無線局域網(wǎng)的安全問題,2. 存在的威脅 由無線局域網(wǎng)的傳輸介質的特殊性，使得信息在傳輸過程中具有更多的不確定性，受到影響更大，主要表現(xiàn)在： 竊聽。任何人都可以用一臺帶無線網(wǎng)卡的PC機或者廉價的無線掃描器進行竊聽，但是發(fā)送者和預期的接收者無法知道傳輸是否被竊聽，且無法檢測竊聽。 修改替換。在無線局域網(wǎng)中，較強節(jié)點可以屏蔽較弱節(jié)點，用自已的數(shù)據(jù)取代，甚至會代替其他節(jié)點作出反應。 傳遞信任。當公司網(wǎng)絡包括一部分無線局域網(wǎng)時，就會為攻擊者提供一個不需要物理安裝的接口用于網(wǎng)絡入侵。因此，參與通信的雙方都應該能相互認證。,8.

3、7.2 無線網(wǎng)絡面臨的安全問題,基礎結構攻擊?；A結構攻擊是基于系統(tǒng)中存在的漏洞如軟件臭蟲、錯誤配置、硬件故障等。但是針對這種攻擊進行的保護幾乎是不可能的，所能做的就是盡可能地降低破壞所造成的損失。 拒絕服務。無線局域網(wǎng)存在一種比較特殊的拒絕服務攻擊，攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號來干擾網(wǎng)絡的正常運行，從而導致正常的用戶無法使用網(wǎng)絡。 置信攻擊。通常情況下，攻擊者可以將自己偽造成基站。當攻擊者擁有一個很強的發(fā)送設備時，就可以讓移動設備嘗試登錄到他的網(wǎng)絡，通過分析竊取密鑰和口令，以便發(fā)動針對性的攻擊。,8.7.2 無線局域網(wǎng)安全技術,1. 服務集標識符 服務集標識符（SSID）技術

4、將一個無線局域網(wǎng)分為幾個需要不同身份驗證的子網(wǎng)，每一個子網(wǎng)都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網(wǎng)絡，防止未被授權的用戶進入本網(wǎng)絡，同時對資源的訪問權限進行區(qū)別限制。SSID是相鄰的無線接入點（AP）區(qū)分的標志，無線接入用戶必須設定SSID才能和AP通信。通常SSID須事先設置于所有使用者的無線網(wǎng)卡及A P中。嘗試連接到無線網(wǎng)絡的系統(tǒng)在被允許進入之前必須提供SSID，這是唯一標識網(wǎng)絡的字符串。 但是SSID對于網(wǎng)絡中所有用戶都是相同的字符串，其安全性差，人們可以輕易地從每個信息包的明文里竊取到它。,8.7.2 無線局域網(wǎng)安全技術,2. 物理地址過濾 每個無線工作站的網(wǎng)卡

5、都有唯一的物理地址，應用媒體訪問控制（MAC）技術，可在無線局域網(wǎng)的每一個AP設置一個許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點將拒絕其接入請求。但媒體訪問控制只適合于小型網(wǎng)絡規(guī)模。這是因為： MAC地址在網(wǎng)上是明碼模式傳送，只要監(jiān)聽網(wǎng)絡便可從中截取或盜用該MAC地址，進而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機密資料。 部分無線網(wǎng)卡允許通過軟件來更改其MAC地址，可通過編程將想用的地址寫入網(wǎng)卡就可以冒充這個合法的MAC地址，因此可通過訪問控制的檢查而獲取訪問受保護網(wǎng)絡的權限。 媒體訪問控制屬于硬件認證，而不是用戶認證。,8.7.2 無線局域網(wǎng)安全技術,3. 有線對等保密 有

6、線等效保密（WEP）是常見的資料加密措施，WEP安全技術源自于名為RC4的RSA數(shù)據(jù)加密技術，以滿足用戶更高層次的網(wǎng)絡安全需求。在鏈路層采用RC4對稱加密技術，當用戶的加密密鑰與AP的密鑰相同時才能獲準存取網(wǎng)絡的資源，從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。 WEP的工作原理是通過一組40位或128位的密鑰作為認證口令，當WEP功能啟動時，每臺工作站都使用這個密鑰，將準備傳輸?shù)馁Y料加密運算形成新的資料，并透過無線電波傳送，另一工作站在接收到資料時，也利用同一組密鑰來確認資料并做解碼動作，以獲得原始資料。,8.7.2 無線局域網(wǎng)安全技術,WEP目的是向無線局域網(wǎng)提供與有線網(wǎng)絡相同級別的安全保

7、護，它用于保障無線通信信號的安全，即保密性和完整性。但WEP提供了40位長度的密鑰機制存在許多缺陷，表現(xiàn)在： 40位的密鑰現(xiàn)在很容易破解。 密鑰是手工輸入與維護，更換密鑰費時和困難，密鑰通常長時間使用而很少更換，若一個用戶丟失密鑰，則將危及到整個網(wǎng)絡。 WEP標準支持每個信息包的加密功能，但不支持對每個信息包的驗證。 現(xiàn)在針對WEP的不足之處，對WEP加以擴展，提出了動態(tài)安全鏈路技術（DSL）。DSL采用了128 位動態(tài)分配的密鑰，每一個會話都自動生成一把密鑰，并且在同一個會話期間，對于每256個數(shù)據(jù)包，密鑰將自動改變一次。,8.7.2 無線局域網(wǎng)安全技術,4. Wi-Fi保護接入 Wi-Fi

8、保護性接入（WPA）是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號的編號，分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認證功能。 WPA標準采用了TKIP、EAP和802.1X等技術，在保持Wi-Fi認證產(chǎn)品硬件可用性的基礎上，解決802.11在數(shù)據(jù)加密、接入認證和密鑰管理等方面存在的缺陷。,8.7.2 無線網(wǎng)絡的安全技術,5. 國家標準WAPI 國家標準WAPI（WAPI），即

9、無線局域網(wǎng)鑒別與保密基礎結構，它是針對IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標準GB15629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法，分別用于WLAN設備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。 WAPI的主要特點是采用基于公鑰密碼體系的證書機制，真正實現(xiàn)了移動終端（MT）與無線接入點（AP）間雙向鑒別。另外，它充分考慮了市場應用，從應用模式上可分為單點式和集中式。采用WAPI可以徹底扭轉目前WLAN多種安全機制并存且互

10、不兼容的現(xiàn)狀，從而根本上解決安全和兼容性問題。,8.7.3 無線網(wǎng)絡的安全技術,6. 端口訪問控制技術 端口訪問控制技術(802.1x)是由IEEE定義的，用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認證和授權，可以用于局域網(wǎng)，也可以用于城域網(wǎng)。802.1x引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。EAP采用更多的認證機制，如MD5、一次性口令等等，從而提供更高級別的安全。 802.1x是運行在無線網(wǎng)設備關聯(lián)，其認證層次包括兩方面：客戶端到認證端，認證端到認證服務器。802.1x定義客戶端到認證端采用EAP over LAN 協(xié)議，認證端到認證服務器采用EAP over RADIUS

11、協(xié)議。,8.7.2 無線網(wǎng)絡的安全技術,802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問站點要內(nèi)嵌802.1x認證代理，同時它還作為Radius客戶端，將用戶的認證信息轉發(fā)給Radius服務器。當無線工作站STA與無線訪問點AP關聯(lián)后，是否可以使用AP的服務要取決于802.1x的認證結果。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統(tǒng)及計費，特別適合于公共無線接入解決方案。 但是802.1x采用的用戶認證信息僅僅是用戶名與口令，在存儲、使用和認證信息傳遞中可能泄漏、丟失，存在很大安全隱患。加上無線接入點AP與RADIUS服務器之間用于認認證的共享密鑰是靜態(tài)的，且

12、是手工管理，也存在一定的安全隱患。,8.7.2 無線網(wǎng)絡的安全技術,7. 虛擬專用網(wǎng)絡 虛擬專用網(wǎng)絡（VPN，Virtual Private Network）指使用互聯(lián)網(wǎng)連接物理上分散的系統(tǒng)來模擬單一專用網(wǎng)的安全方式，通過隧道和加密技術保證專用數(shù)據(jù)的網(wǎng)絡安全性。保護內(nèi)部網(wǎng)免遭公共互聯(lián)網(wǎng)攻擊的技術是VPN防火墻。同樣無線LAN，也可以采用該安全框架，即安裝兩道防火墻：一個作為進入內(nèi)部網(wǎng)的網(wǎng)關，另一個處于無線LAN和內(nèi)部網(wǎng)之間，無線防火墻只允VPN通信，如圖8.22所示。 無線用戶可以向無線基礎設施認證自己。實際上，把無線網(wǎng)絡和有線網(wǎng)絡隔離，只允許VPN通信經(jīng)過，是利用了緩沖區(qū)的辦法來增強網(wǎng)絡安全性。此外，基于IPsec的VPN技術采用的IP層加密協(xié)議，可以防止通信被竊聽。,8.7.2 無線網(wǎng)絡的安全技術,圖8.22無線虛擬專用網(wǎng)安全框架,8.7.3 無線網(wǎng)絡的安全技術,VPN可以替代無線對等加密解決方案和物理地址過濾解決方案，也可以與WEP協(xié)議互補使用。但是VPN技術應用于無線網(wǎng)絡也有其局限性，具體表現(xiàn)在： 運行脆弱。因突發(fā)干擾或AP間越區(qū)切換等因素導致的無線鏈路質量波動或短時中斷是很