8.7 无线局域网安全技术
8.7.1 无线局域网的安全问题
8.7.2 无线局域网安全技术
第 8章 网络安全
8.7.1无线局域网的安全问题
1,物理安全
无线设备包括 站点 ( STA) 和接入点 ( AP) 。 站点通常由 一台
PC机或笔记本电脑加上一块无线网络接口卡构成; 接入点通常由 一个
无线输出口和一个有线的网络接口构成, 其作用是 提供无线和有线网
络之间的桥接 。 物理安全是关于这些无线设备自身的安全问题, 主要
表现在:
? 无线设备存在许多的限制, 这将对存储在这些设备的数据和
设备间建立的通信链路安全产生潜在的影响 。 与个人计算机相比,
无线设备如个人数字助理等, 存在如电池寿命短, 显示器小等缺
陷 。
? 无线设备虽有一定的保护措施, 但这些保护措施总是基于最
小信息保护需求的 。 因此, 必须加强无线设备的各种防护措施 。
第 8章 网络安全
8.7.1 无线局域网的安全问题
2,存在的威胁
由无线局域网的传输介质的特殊性,使得信息在传输过程中具有
更多的不确定性,受到影响更大,主要表现在:
? 窃听 。任何人都可以用一台带无线网卡的 PC机或者廉价的无
线扫描器进行窃听,但是发送者和预期的接收者无法知道传输
是否被窃听,且无法检测窃听。
? 修改替换。 在无线局域网中,较强节点可以屏蔽较弱节点,
用自已的数据取代,甚至会代替其他节点作出反应。
? 传递信任。 当公司网络包括一部分无线局域网时,就会为攻
击者提供一个不需要物理安装的接口用于网络入侵。因此,参
与通信的双方都应该能相互认证。
第 8章 网络安全
8.7.2 无线网络面临的安全问题
? 基础结构攻击。 基础结构攻击是基于系统中存在的漏洞如软
件臭虫、错误配臵、硬件故障等。但是针对这种攻击进行的保护
几乎是不可能的,所能做的就是尽可能地降低破坏所造成的损失。
? 拒绝服务。 无线局域网存在一种比较特殊的拒绝服务攻击,
攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的
正常运行,从而导致正常的用户无法使用网络。
? 臵信攻击。 通常情况下,攻击者可以将自己伪造成基站。当
攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录
到他的网络,通过分析窃取密钥和口令,以便发动针对性的攻击。
第 8章 网络安全
8.7.2 无线局域网安全技术
1,服务集标识符
服务集标识符( SSID)技术 将一个无线局域网分为几个需要不同
身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份
验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网
络,同时对资源的访问权限进行区别限制。 SSID是相邻的无线接入点
( AP)区分的标志,无线接入用户必须设定 SSID才能和 AP通信。通常
SSID须事先设置于所有使用者的无线网卡及 A P中。尝试连接到无线
网络的系统在被允许进入之前必须提供 SSID,这是唯一标识网络的字
符串。
但是 SSID对于网络中所有用户都是相同的字符串,其安全性差,
人们可以轻易地从每个信息包的明文里窃取到它。
第 8章 网络安全
8.7.2 无线局域网安全技术
2,物理地址过滤
每个无线工作站的网卡都有唯一的物理地址,应用 媒体访问控制
( MAC)技术,可在无线局域网的每一个 AP设置一个许可接入的用户的
MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。
但媒体访问控制只适合于小型网络规模。这是因为:
? MAC地址在网上是明码模式传送,只要监听网络便可从中截
取或盗用该 MAC地址,进而伪装使用者潜入企业或组织内部偷取
机密资料。
? 部分无线网卡允许通过软件来更改其 MAC地址,可通过编程
将想用的地址写入网卡就可以冒充这个合法的 MAC地址,因此可
通过访问控制的检查而获取访问受保护网络的权限。
? 媒体访问控制属于硬件认证,而不是用户认证。
第 8章 网络安全
8.7.2 无线局域网安全技术
3,有线对等保密
有线等效保密( WEP) 是常见的资料加密措施,WEP安全技术源自
于名为 RC4的 RSA数据加密技术,以满足用户更高层次的网络安全需求。
在链路层采用 RC4对称加密技术,当用户的加密密钥与 AP的密钥相同时
才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户
的访问。
WEP的工作原理 是通过一组 40位或 128位的密钥作为认证口令,当
WEP功能启动时,每台工作站都使用这个密钥,将准备传输的资料加密
运算形成新的资料,并透过无线电波传送,另一工作站在接收到资料
时,也利用同一组密钥来确认资料并做解码动作,以获得原始资料。
第 8章 网络安全
8.7.2 无线局域网安全技术
WEP目的是 向无线局域网提供与有线网络相同级别的安全保护,它
用于保障无线通信信号的安全,即保密性和完整性。 但 WEP提供了 40位
长度的密钥机制存在许多缺陷,表现在:
? 40位的密钥现在很容易破解。
? 密钥是手工输入与维护,更换密钥费时和困难,密钥通常长
时间使用而很少更换,若一个用户丢失密钥,则将危及到整个
网络。
? WEP标准支持每个信息包的加密功能,但不支持对每个信息
包的验证。
现在针对 WEP的不足之处,对 WEP加以扩展,提出了 动态安全链路
技术( DSL)。 DSL采用了 128 位动态分配的密钥,每一个会话都自动
生成一把密钥,并且在同一个会话期间,对于每 256个数据包,密钥将
自动改变一次。
第 8章 网络安全
8.7.2 无线局域网安全技术
4,Wi-Fi保护接入
Wi-Fi保护性接入( WPA) 是继承了 WEP基本原理而又解决了 WEP
缺点的一种新技术。 其原理为 根据通用密钥,配合表示电脑 MAC地址和
分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与
WEP一样将此密钥用 RC4加密处理。通过这种处理,所有客户端的所有
分组信息所交换的数据将由各不相同的密钥加密而成。 WPA还具有防止
数据中途被篡改的功能和认证功能。
WPA标准采用了 TKIP,EAP和 802.1X等技术,在保持 Wi-Fi认证产品
硬件可用性的基础上,解决 802.11在数据加密、接入认证和密钥管理等
方面存在的缺陷。
第 8章 网络安全
8.7.2 无线网络的安全技术
5,国家标准 WAPI
国家标准 WAPI( WAPI),即无线局域网鉴别与保密基础结构,
它是针对 IEEE802.11中 WEP协议安全问题,在中国无线局域网国家
标准 GB15629.11中提出的 WLAN安全解决方案。 WAPI采用 公开密钥
体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法,分别
用于 WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实
现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态
下的加密保护。
WAPI的主要特点是 采用基于公钥密码体系的证书机制,真正实现
了移动终端( MT)与无线接入点( AP)间双向鉴别。 另外,它充分
考虑了市场应用,从应用模式上可分为单点式和集中式。采用 WAPI可
以彻底扭转目前 WLAN多种安全机制并存且互不兼容的现状,从而根
本上解决安全和兼容性问题。
第 8章 网络安全
8.7.3 无线网络的安全技术
6,端口访问控制技术
端口访问控制技术 (802.1x)是 由 IEEE定义的,用于以太网和无线
局域网中的端口访问与控制。该协议定义了认证和授权,可以用于局
域网,也可以用于城域网。 802.1x引入了 PPP协议定义的扩展认证协
议 EAP。 EAP采用更多的认证机制,如 MD5、一次性口令等等,从而
提供更高级别的安全。
802.1x是运行在无线网设备关联,其认证层次包括两方面,客户
端到认证端,认证端到认证服务器。 802.1x定义客户端到认证端采用
EAP over LAN 协议,认证端到认证服务器采用 EAP over RADIUS协
议。
第 8章 网络安全
8.7.2 无线网络的安全技术
802.1x要求 无线工作站安装 802.1x客户端软件,无线访问站点要
内嵌 802.1x认证代理,同时它还作为 Radius客户端,将用户的认证信
息转发给 Radius服务器。当无线工作站 STA与无线访问点 AP关联后,
是否可以使用 AP的服务要取决于 802.1x的认证结果。 802.1x除提供端
口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合
于公共无线接入解决方案。
但是 802.1x采用的用户认证信息 仅仅是用户名与口令,在存储、
使用和认证信息传递中可能泄漏、丢失,存在很大安全隐患。加上无
线接入点 AP与 RADIUS服务器之间用于认认证的共享密钥是静态的,
且是手工管理,也存在一定的安全隐患。
第 8章 网络安全
8.7.2 无线网络的安全技术
7,虚拟专用网络
虚拟专用网络( VPN,Virtual Private Network) 指使用互联网连
接物理上分散的系统来模拟单一专用网的安全方式,通过隧道和加密
技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的
技术是 VPN防火墙。 同样无线 LAN,也可以采用该安全框架,即安装
两道防火墙,一个作为进入内部网的网关,另一个处于无线 LAN和内
部网之间,无线防火墙只允 VPN通信,如图 8.22所示。
无线用户可以向无线基础设施认证自己。实际上,把无线网络和
有线网络隔离,只允许 VPN通信经过,是利用了缓冲区的办法来增强
网络安全性。此外,基于 IPsec的 VPN技术 采用的 IP层加密协议,可以
防止通信被窃听。
第 8章 网络安全
8.7.2 无线网络的安全技术
图 8.22 无线虚拟专用网安全框架
第 8章 网络安全
8.7.3 无线网络的安全技术
VPN可以替代无线对等加密解决方案和物理地址过滤解决方案,
也可以与 WEP协议互补使用。但是 VPN技术应用于无线网络也有其局
限性,具体表现在:
? 运行脆弱。 因突发干扰或 AP间越区切换等因素导致的无线链
路质量波动或短时中断是很常见的 。
? 吞吐量小。 在一个 VPN网络里进行的任何交换必须经过一个
VPN服务器,一台典型的 VPN服务器能够达到 30-50 Mbps的数据
吞吐量。
? 通用性差。 VPN技术在国内、甚至在国际上没有一个统一的
开发标准。
? 扩展性差。 改变一个 VPN网络的拓扑结构或内容,用户将不
得不重新规划并进行网络配臵。
? 成本高。 上述 3个问题实际在不同程度上直接导致了用户网
络架设的成本攀升。另外,VPN产品价格就很高。
8.7.1 无线局域网的安全问题
8.7.2 无线局域网安全技术
第 8章 网络安全
8.7.1无线局域网的安全问题
1,物理安全
无线设备包括 站点 ( STA) 和接入点 ( AP) 。 站点通常由 一台
PC机或笔记本电脑加上一块无线网络接口卡构成; 接入点通常由 一个
无线输出口和一个有线的网络接口构成, 其作用是 提供无线和有线网
络之间的桥接 。 物理安全是关于这些无线设备自身的安全问题, 主要
表现在:
? 无线设备存在许多的限制, 这将对存储在这些设备的数据和
设备间建立的通信链路安全产生潜在的影响 。 与个人计算机相比,
无线设备如个人数字助理等, 存在如电池寿命短, 显示器小等缺
陷 。
? 无线设备虽有一定的保护措施, 但这些保护措施总是基于最
小信息保护需求的 。 因此, 必须加强无线设备的各种防护措施 。
第 8章 网络安全
8.7.1 无线局域网的安全问题
2,存在的威胁
由无线局域网的传输介质的特殊性,使得信息在传输过程中具有
更多的不确定性,受到影响更大,主要表现在:
? 窃听 。任何人都可以用一台带无线网卡的 PC机或者廉价的无
线扫描器进行窃听,但是发送者和预期的接收者无法知道传输
是否被窃听,且无法检测窃听。
? 修改替换。 在无线局域网中,较强节点可以屏蔽较弱节点,
用自已的数据取代,甚至会代替其他节点作出反应。
? 传递信任。 当公司网络包括一部分无线局域网时,就会为攻
击者提供一个不需要物理安装的接口用于网络入侵。因此,参
与通信的双方都应该能相互认证。
第 8章 网络安全
8.7.2 无线网络面临的安全问题
? 基础结构攻击。 基础结构攻击是基于系统中存在的漏洞如软
件臭虫、错误配臵、硬件故障等。但是针对这种攻击进行的保护
几乎是不可能的,所能做的就是尽可能地降低破坏所造成的损失。
? 拒绝服务。 无线局域网存在一种比较特殊的拒绝服务攻击,
攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的
正常运行,从而导致正常的用户无法使用网络。
? 臵信攻击。 通常情况下,攻击者可以将自己伪造成基站。当
攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录
到他的网络,通过分析窃取密钥和口令,以便发动针对性的攻击。
第 8章 网络安全
8.7.2 无线局域网安全技术
1,服务集标识符
服务集标识符( SSID)技术 将一个无线局域网分为几个需要不同
身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份
验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网
络,同时对资源的访问权限进行区别限制。 SSID是相邻的无线接入点
( AP)区分的标志,无线接入用户必须设定 SSID才能和 AP通信。通常
SSID须事先设置于所有使用者的无线网卡及 A P中。尝试连接到无线
网络的系统在被允许进入之前必须提供 SSID,这是唯一标识网络的字
符串。
但是 SSID对于网络中所有用户都是相同的字符串,其安全性差,
人们可以轻易地从每个信息包的明文里窃取到它。
第 8章 网络安全
8.7.2 无线局域网安全技术
2,物理地址过滤
每个无线工作站的网卡都有唯一的物理地址,应用 媒体访问控制
( MAC)技术,可在无线局域网的每一个 AP设置一个许可接入的用户的
MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。
但媒体访问控制只适合于小型网络规模。这是因为:
? MAC地址在网上是明码模式传送,只要监听网络便可从中截
取或盗用该 MAC地址,进而伪装使用者潜入企业或组织内部偷取
机密资料。
? 部分无线网卡允许通过软件来更改其 MAC地址,可通过编程
将想用的地址写入网卡就可以冒充这个合法的 MAC地址,因此可
通过访问控制的检查而获取访问受保护网络的权限。
? 媒体访问控制属于硬件认证,而不是用户认证。
第 8章 网络安全
8.7.2 无线局域网安全技术
3,有线对等保密
有线等效保密( WEP) 是常见的资料加密措施,WEP安全技术源自
于名为 RC4的 RSA数据加密技术,以满足用户更高层次的网络安全需求。
在链路层采用 RC4对称加密技术,当用户的加密密钥与 AP的密钥相同时
才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户
的访问。
WEP的工作原理 是通过一组 40位或 128位的密钥作为认证口令,当
WEP功能启动时,每台工作站都使用这个密钥,将准备传输的资料加密
运算形成新的资料,并透过无线电波传送,另一工作站在接收到资料
时,也利用同一组密钥来确认资料并做解码动作,以获得原始资料。
第 8章 网络安全
8.7.2 无线局域网安全技术
WEP目的是 向无线局域网提供与有线网络相同级别的安全保护,它
用于保障无线通信信号的安全,即保密性和完整性。 但 WEP提供了 40位
长度的密钥机制存在许多缺陷,表现在:
? 40位的密钥现在很容易破解。
? 密钥是手工输入与维护,更换密钥费时和困难,密钥通常长
时间使用而很少更换,若一个用户丢失密钥,则将危及到整个
网络。
? WEP标准支持每个信息包的加密功能,但不支持对每个信息
包的验证。
现在针对 WEP的不足之处,对 WEP加以扩展,提出了 动态安全链路
技术( DSL)。 DSL采用了 128 位动态分配的密钥,每一个会话都自动
生成一把密钥,并且在同一个会话期间,对于每 256个数据包,密钥将
自动改变一次。
第 8章 网络安全
8.7.2 无线局域网安全技术
4,Wi-Fi保护接入
Wi-Fi保护性接入( WPA) 是继承了 WEP基本原理而又解决了 WEP
缺点的一种新技术。 其原理为 根据通用密钥,配合表示电脑 MAC地址和
分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与
WEP一样将此密钥用 RC4加密处理。通过这种处理,所有客户端的所有
分组信息所交换的数据将由各不相同的密钥加密而成。 WPA还具有防止
数据中途被篡改的功能和认证功能。
WPA标准采用了 TKIP,EAP和 802.1X等技术,在保持 Wi-Fi认证产品
硬件可用性的基础上,解决 802.11在数据加密、接入认证和密钥管理等
方面存在的缺陷。
第 8章 网络安全
8.7.2 无线网络的安全技术
5,国家标准 WAPI
国家标准 WAPI( WAPI),即无线局域网鉴别与保密基础结构,
它是针对 IEEE802.11中 WEP协议安全问题,在中国无线局域网国家
标准 GB15629.11中提出的 WLAN安全解决方案。 WAPI采用 公开密钥
体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法,分别
用于 WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实
现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态
下的加密保护。
WAPI的主要特点是 采用基于公钥密码体系的证书机制,真正实现
了移动终端( MT)与无线接入点( AP)间双向鉴别。 另外,它充分
考虑了市场应用,从应用模式上可分为单点式和集中式。采用 WAPI可
以彻底扭转目前 WLAN多种安全机制并存且互不兼容的现状,从而根
本上解决安全和兼容性问题。
第 8章 网络安全
8.7.3 无线网络的安全技术
6,端口访问控制技术
端口访问控制技术 (802.1x)是 由 IEEE定义的,用于以太网和无线
局域网中的端口访问与控制。该协议定义了认证和授权,可以用于局
域网,也可以用于城域网。 802.1x引入了 PPP协议定义的扩展认证协
议 EAP。 EAP采用更多的认证机制,如 MD5、一次性口令等等,从而
提供更高级别的安全。
802.1x是运行在无线网设备关联,其认证层次包括两方面,客户
端到认证端,认证端到认证服务器。 802.1x定义客户端到认证端采用
EAP over LAN 协议,认证端到认证服务器采用 EAP over RADIUS协
议。
第 8章 网络安全
8.7.2 无线网络的安全技术
802.1x要求 无线工作站安装 802.1x客户端软件,无线访问站点要
内嵌 802.1x认证代理,同时它还作为 Radius客户端,将用户的认证信
息转发给 Radius服务器。当无线工作站 STA与无线访问点 AP关联后,
是否可以使用 AP的服务要取决于 802.1x的认证结果。 802.1x除提供端
口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合
于公共无线接入解决方案。
但是 802.1x采用的用户认证信息 仅仅是用户名与口令,在存储、
使用和认证信息传递中可能泄漏、丢失,存在很大安全隐患。加上无
线接入点 AP与 RADIUS服务器之间用于认认证的共享密钥是静态的,
且是手工管理,也存在一定的安全隐患。
第 8章 网络安全
8.7.2 无线网络的安全技术
7,虚拟专用网络
虚拟专用网络( VPN,Virtual Private Network) 指使用互联网连
接物理上分散的系统来模拟单一专用网的安全方式,通过隧道和加密
技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的
技术是 VPN防火墙。 同样无线 LAN,也可以采用该安全框架,即安装
两道防火墙,一个作为进入内部网的网关,另一个处于无线 LAN和内
部网之间,无线防火墙只允 VPN通信,如图 8.22所示。
无线用户可以向无线基础设施认证自己。实际上,把无线网络和
有线网络隔离,只允许 VPN通信经过,是利用了缓冲区的办法来增强
网络安全性。此外,基于 IPsec的 VPN技术 采用的 IP层加密协议,可以
防止通信被窃听。
第 8章 网络安全
8.7.2 无线网络的安全技术
图 8.22 无线虚拟专用网安全框架
第 8章 网络安全
8.7.3 无线网络的安全技术
VPN可以替代无线对等加密解决方案和物理地址过滤解决方案,
也可以与 WEP协议互补使用。但是 VPN技术应用于无线网络也有其局
限性,具体表现在:
? 运行脆弱。 因突发干扰或 AP间越区切换等因素导致的无线链
路质量波动或短时中断是很常见的 。
? 吞吐量小。 在一个 VPN网络里进行的任何交换必须经过一个
VPN服务器,一台典型的 VPN服务器能够达到 30-50 Mbps的数据
吞吐量。
? 通用性差。 VPN技术在国内、甚至在国际上没有一个统一的
开发标准。
? 扩展性差。 改变一个 VPN网络的拓扑结构或内容,用户将不
得不重新规划并进行网络配臵。
? 成本高。 上述 3个问题实际在不同程度上直接导致了用户网
络架设的成本攀升。另外,VPN产品价格就很高。