《《无线通信网的安全》PPT课件》由会员分享,可在线阅读,更多相关《《无线通信网的安全》PPT课件(167页珍藏版)》请在金锄头文库上搜索。
1、第15章 无线通信网的安全,15.1 无线和有线的区别 15.2 存在的威胁和漏洞 15.3 蓝牙协议 15.4 无线应用协议(Wireless Application Protocol) 15.5 无线局域网的安全,15.6 协议堆栈 15.7 无线局域网的安全机制 15.8 IEEE802.1x 15.9 受保护的EAP-漫游用户的强身份认证解决方案 15.10 IEEE802.11i 15.11 WPA(WiFi Protected Access)规范,15.1 无线和有线的区别,虽然无线通信设备有其特殊的限制(见15.1.2节),但大都仍可采用标准的安全技术。例如无线领域中的认证、授权
2、和审计原理与传统的有线通信方式中的基本一致。前面各章节中有关安全的设计、配置原则(系统、网络的监视和管理)同样也适用于无线通信环境,但是,无线通信在某些领域中还是有别于有线通信的。本节将逐一介绍这些区别并向读者介绍与这些技术相关的安全本质。,15.1.1 物理安全 在讨论无线通信时,物理安全是非常重要的。从定义上来看,我们可以把那些可以使一个组织实现无线数据通信的所有类型的设备统称为移动设备(Mobile)。这就增加了失窃的风险,因为在一个安全组织的物理范围之外也可以使用这些设备。虽然这些设备有一些保护措施,但是设计的保护措施总是基于最小信息保护需求的。例如:以前存储在如蜂窝电话设备中的那些数
3、据都不能认为达到敏感保密等级。,无线数据设备能存储企业信息,如E-mail、数据库瞬态图和价格列表,也能存储敏感的客户数据,如病人的医疗记录。如果包含企业或客户机密信息的设备被盗,小偷就可以无限期地对设备拥有惟一的访问权。这样小偷就有可能系统地破坏设备的安全机制,从而获得被保护的数据。,对一个企业而言,物理安全的重要性依赖于存储在设备中的数据保密级别。如传统的蜂窝电话或个人数字助理(PDA)可能会保存个人电话本或联系地址数据库,这就有可能直接把电话号码、E-mail地址、特定人或特定合作伙伴的邮政编码泄漏给攻击者。这本身的威胁并不大,更大的风险在于金融应用场合,例如在电话和无线PDA失效(挂失
4、)之前,可能已经有大量的非授权电话呼叫。,更进一步讲,无线技术会增加存储在设备上的数据容量,同时还会增加这些用于访问企业网络设备的访问类型。蜂窝电话可以存储E-mail、小型版本的数据库甚至文档。此外,你还能远程访问企业网络。通过使用无线局域网和无线调制解调器,使得笔记本不需要和网络进行物理连接,只要采用目前的无线通信协议就可访问企业网络。这些风险的存在并不意味着就不能用这些技术,而是说应该考虑其需要独特的物理安全。,笔记本锁、现在的PDA锁是降低设备被偷风险的基本物理安全需求。用户认证和对设备上数据进行加密能在设备被偷的情况下严格限制对数据的访问。我们必须认识到,无线设备的物理层安全非常重要
5、,这可使我们本章讨论的技术得到广泛认可和应用。,15.1.2 设备局限性 目前,无线设备所存在的众多限制,会对存储在这些设备上的数据和设备间建立的通信链路安全产生潜在的影响。相比于个人计算机,无线设备,如个人数字助理(PDA)和移动电话存在以下几方面的限制:, 电池寿命短; 显示器小; 有限的/不同的输入方法(触摸屏与键盘); 通信链路带宽窄; 内存容量小; CPU处理速度低。,上面所列各条是大致按它们对安全的影响从小到大的顺序排列的。虽然小显示器对运行于设备上的应用程序有所影响,但显然这对安全连接的影响非常小。不可预知的执行时间(等待时间:latency)以及不能保证数据包的收发顺序等都会影
6、响加密方法。这些限制中,影响最大的是移动设备的内存容量小和CPU处理速度慢,这些因素使得我们通常不愿意选择加密操作。,15.2 存在的威胁和漏洞,在无线局域网环境中,我们需要研究与传统有线LAN环境中存在的相同的安全问题。但是对于无线信道,还需要特别强调一些其特有的安全问题。以下是一些目前已知的主动攻击类型9:, 社会工程(Social Engineering) 扮演(Impersonation) 漏洞利用(Exploits) 数据驱动(Data Driven) 传递信任(Transitive Trust) 基础结构(Infrastructure) 拒绝服务(Denial of Service
7、),15.2.1 窃听 在无线电环境中窃听非常容易。当通过无线电通道发送消息时,任何人只要拥有合适的接收机并在传输的范围内就能窃听消息,而且发送者和预期的接收者无法知道传输是否被窃听,这种窃听根本无法检测。 无线通信所采用的频段和收发设备的功率对传输的范围有很大影响。当采用2 MHz或5 MHz的无线电频段,收发设备的功率达到1 W(这是目前无线LAN的标准),在没有专门的电磁屏蔽情况下,无线LAN通信可在所运行网络的建筑物外被窃听到,因此不能认为网络只运行在本单位的办公大楼里。,在无线LAN环境下窃听很容易,这使得保证网络流量的机密性是个非常昂贵的过程。所有的无线LAN标准都考虑了这个问题,
8、并由MAC实体通过某种链路级加密实现,但是利用这些算法获得的安全性对许多应用而言是不够的。,15.2.2 传递信任 当公司网络包括一部分无线LAN时,就会为攻击者提供一个不需要物理安装的接口用于网络入侵。在有线网络中,我们总能通过物理线路从我们的计算机追踪到下一网络节点,但在无线网络环境下,通信双方之间并没有这么一条路径。这使得有效的认证机制对无线LAN安全显得尤为关键。在所有的情况下,参与传输的双方都应该能相互认证。,无线LAN可用来作为传递信任的跳板。如果攻击者能欺骗一个无线LAN,让它信任攻击者所控制的移动设备,则在企业网所有防火墙内部就有了敌方的一个网络节点,并且从此以后很难阻止敌方的
9、行动。这种攻击可以通过使用与我们的网络设备相兼容的标准无线LAN硬件来实现,而有效阻止这种攻击的方法就是移动设备访问无线LAN的强认证机制。要发现不成功的攻击必须依赖于这些不成功攻击企图的日志,但即使发现这种攻击企图也很难确定是否存在真正的攻击。因为在正常操作情况下,无线电信道的高比特误码率(Bit Error Rate)以及来自其它无线LAN移动设备的登录都可能产生不成功登录的日志。,另外一种传递信任攻击是专门针对无线网络的,这种攻击是欺骗移动设备,让移动设备相信攻击者所控制的基站。当移动设备开机时,一般会首先登录具有最强信号的网络,如果登录失败,就按信号功率顺序登录其它网络。如果攻击者有一
10、个大发射功率的基站,他就能欺骗移动设备首先登录攻击者所控制的网络。这时存在两种可能性:正常用户成功登录被攻击者所控制的网络,攻击者从而找出密码、秘密密钥等;攻击者仅仅拒绝用户的登录企图但记录登录过程中所有的消息,并通过分析这些消息找出网络中进行认证时的秘密密钥或密码。,在没有有关网络服务详细信息的情况下,前一种攻击很难实现并很容易被检测到。后一种攻击方式所需要的只是与我们的设备兼容的标准基站硬件(可能有专门的天线)。这种方式很难检测到,这是因为移动设备一般不向上层报告不成功的登录企图(即使在正常环境下也会存在大量的不成功登录企图)。针对这种攻击的惟一保护措施是有效的认证机制,它允许移动设备在不
11、泄漏登录网络所使用的秘密密钥或密码的前提下认证基站。,15.2.3 基础结构 基础结构攻击是基于系统中存在的漏洞:软件臭虫(Bug)、错误配置、硬件故障等。这种情况同样也会出现在无线LAN中。但是针对这种攻击进行保护几乎是不可能的除非发生了,否则你不可能知道有臭虫的存在。所以能做的就是尽可能地降低破坏所造成的损失。,15.2.4 拒绝服务 无线电传输的本质使得无线LAN很容易受到拒绝服务攻击。如果攻击者拥有一个功率强大的收发设备,他就能很容易地产生一个无线电干扰信号,使得无线LAN不能利用无线电信道进行通信。这种攻击可在我们的站点外发起,如街道的停车场或下一街区的公寓。发起这种攻击所需要的设备
12、很容易以可承受的价格从任何一家电子商店买到,并且任何一个短波无线电爱好者都会拥有搭建这种设备的能力。,针对这种攻击的保护非常困难和昂贵。惟一完全的解决方法是把我们的无线网络放在法拉第笼子里(只有在很少的情况下才会这么用)。官方可以很容易地对发射干扰的收发设备定位,因此在被发现之前攻击者的时间是有限的。 另一方面,无线LAN相对有线LAN而言不容易受到其它类型的拒绝服务攻击。例如,只要把线路剪断就可把一个固定的LAN节点隔离开,这在无线环境中是不可能的。如果攻击者切断了整个站点的电源,则所有有线网络就都没用了,但用笔记本电脑或其它电池供电的计算机构成的AD-Hoc无线网络(各计算机之间直接进行通
13、信)仍可正常使用。,15.3 蓝 牙 协 议,蓝牙是为个人区域网络(Personal Area Networks,PAN)应用和需要短距离通信的应用设计的一种通信协议。蓝牙规范最初定义的设备通信范围为10米。这个协议主要用于扩展远程通信能力并减少对电缆的依赖。它工作于网络协议层次的物理层以及链路层,高层应用支持由其它知名协议提供。这些协议包括无线应用协议(WAP)、点对点协议(PPP)和IP(TCP/UDP)协议。,蓝牙专业组为蓝牙协议定义了大量的使用模型。这些使用模型不仅指明了协议潜在的应用场合,而且还可以帮助我们理解协议所需的安全级别。已公布的使用模型包括: 互联网网桥(Internet
14、Bridge):在这个模型中,一台PC机使用移动电话访问互联网。PC机使用蓝牙协议与移动设备通信;接下来移动设备采用与连接PC机的有线调制解调器同样的方式拨号上互联网。这个应用模型中的蓝牙协议支持PPP,因而可以传输IP数据包。, 同步(Synchronization):这个使用模型的关键是建立一个PAN来对E-mail、日历和联系人数据进行同步,这是典型的个人信息管理(PIM)应用和设备。 3合1电话(Three-in-one Phone):采用这种使用模型的设备一般作为:(a) 连接到公共交换电话网络的无绳电话;(b) 设备和设备之间通信的内部通信电话;(c) 连接到公共蜂窝基础设施的蜂窝
15、电话。 这只是为蓝牙协议开发的三种使用模型。实际的使用模型非常多,一般每一种使用模型都需要不同的信息安全方法。蓝牙协议已经制定了不同的安全需求。,15.3.1 蓝牙安全 蓝牙规范中提供了三种安全模式:无安全级、服务级和安全级。安全模式指明了需要实现的安全程度。在无安全模式下,设备没有任何安全措施。这适合于少量不需要安全性的应用模型。有安全的模式需要在任何链路连接建立之前实现安全。在蓝牙设备的作用范围内,这在目前的大多数使用模型中已经足够。将来开发的设备将需要“always-on”安全模式。,蓝牙设备最常用的配置是采用服务强制安全,即服务级(模式2)的安全。服务强制安全使得安全的需求建立在应用的
16、基础上。这种模式认可了这样一个事实:某个用户的设备可能扮演不同的角色,实现不同的功能。如在使用vCard应用/功能进行名片交换时,强制设备实现安全是不合适的,而同样的设备如果用在不可信环境下的电子商务中,就需要实现安全。下面将着重讨论蓝牙的模式2安全。,蓝牙安全是在链路层实现的,是基于可信设备的概念。一个设备企图和另一个设备建立链路,第二个设备要么对第一个设备是可信的,要么是不可信的。如果认为是可信的,第二个设备就会自动获得对第一个设备的链路访问;如果认为是不可信的,就会调用粒度更小的、基于服务的认证和授权机制。,此时,服务可以要求三种不同的安全级别:认证和授权、认证或不认证。这种安全模型使得不同安全需求的服务共存于同一设备上。例如,访问vCard应用时,交换联系人信息可以定义为不需要认证或授权的服务。同一设备还可支持文件传输或数据库交易服务,这些服务很有可能需要认证和授权。蓝牙安全模型包括这样一条规定:当与不可信设备建立链路,并允许其访问某一项服务时,不能自动地允许其访问任何其它服务,它也不能自动改变外来设备的状态(
