《6无线网络安全(new)精编版》由会员分享,可在线阅读,更多相关《6无线网络安全(new)精编版(64页珍藏版)》请在金锄头文库上搜索。
1、,无线局域网安全,无线局域网安全性 无线局域网安全技术 MAC地址和SSID匹配 IEEE 802.11的安全技术 IEEE 802.1x协议 WPA IEEE 802.11i VPN技术 无线局域网安全策略,无线局域网安全问题,WLAN以空气做为媒介、通过电波进行传输的,很容易出现电波泄露,导致数据被窃听。 安全问题已成为影响无线局域网进一步扩充市场的主要障碍。 希腊雅典举办的2004年奥运会,国际奥委会正式宣布WIFI网络因安全无法保证而无缘奥运会。 在美国,负责研究核武器以及国家防御技术的国家实验室关闭了已有的两个无线计算机网络并宣布禁止使用WLAN. 美国的调查机构曾将无线天线架在汽车
2、外,沿着繁华的商业街走一圈,结果发现短短几千米内就连接到30家WLAN环境,只有不到一半的用户采用了加密措施。,攻击类型,网络窃听和网络通信量分析 身份假冒 假冒客户端 入侵者通过非法获取SSID从而接入AP,如果AP中设置了MAC地址过滤,入侵者通过窃听授权客户端的MAC地址,然后篡改计算机的MAC地址来冒充授权客户端。 假冒 方式一:入侵者将一个真实非法放置在被入侵的网络中,让授权客户端自动地连接到这个上来。 方式二:采用诸如HostAP等专用软件将入侵者的计算机伪装成AP。,攻击类型,重放攻击、中间人攻击、信息篡改 重放攻击:通过截获授权客户端对AP的验证信息,然后通过对验证过程信息的重
3、放而达到非法访问AP的目的。 中间人攻击 对授权客户端和AP进行双重欺骗,进而对信息窃听和篡改。 拒绝服务攻击 利用网络在频率、带宽、认证方式上的弱点,对网络进行频率干扰、带宽消耗或是耗尽安全服务设备的资源,导致网络合法用户无法使用网络服务。,无线局域网的安全性定义,无线局域网的安全性定义 机密性 Confidentiality 无线局域网中传输的信息不会被未经授权的用户获取,这主要通过各种数据加密方式来实现。 完整性 Integrity 数据在传输过程中不会被篡改或删除,这主要通过数据校验技术来实现。 真实性 Authenticity 指数据来源的可靠性,用于保证合法用户的身份不会被非法用户
4、所冒充。,无线局域网的安全技术,MAC过滤和SSID匹配,MAC过滤 在无线局域网的每一个AP中维护一组允许访问的MAC地址列表,MAC地址不在清单中的用户,接入点将拒绝其接入请求。只适合于小型网络规模。 MAC地址易截取并冒充。 属硬件认证而非用户认证。 SSID匹配 SSID是相邻的无线接入点(AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。无线客户端必须出示正确的SSID才能访问无线AP。 SSID广播 SSID易窃取,WEP(Wired Equivalent Privacy),1997年,IEEE推出了第一个真正意义上的无线局域网安全措施WEP协议,旨在提供与有线网络等效
5、的数据机密性。 WEP使用RC4加密算法,这是一种对称的流密码,支持可变长度的密钥(40位或104位),在链路层加密数据和访问控制。 定义两种共享密钥: 多播/全局密钥:保护从无线AP到它所连接的所有无线客户端的多播和广播通信 单播会话密钥:保护无线客户端与无线AP之间的单播通信,RC4流密码的运作流程,WEP的数据处理,WEP加密机制存在的问题,缺少密钥管理机制 密钥共享,手工分发,更换费时。 完整性校验值(ICV)算法易受攻击 CRC32用于检测传输噪声和普通错误的算法。 RC4加密算法存在弱点 RC4加密算法中存在弱密码。弱密钥 (Weakkey)是指因为它的独特数学特性能够被很容易破坏
6、的密码密钥。收集到足够的使用弱密码的包后,很容易破解WEP密钥。 AT&T的Adam Stubblefield等人在程序上实现了一种攻击,不论是采用40位密钥还是128位密钥的WEP都可以在两三个小时内被破解。,IEEE 802.1x协议,20世纪90年代后期,IEEE 802 LAN/WAN委员会为解决无线局域网的安全问题而提出了802.1x协议。 IEEE 802.1x协议作为局域网端口的一个普通接入控制机制应用在以太网中,主要解决以太网内认证和安全方面的问题。 全称“基于端口的网络访问控制协议”(Port Based Network Access Control Protocol)。使用
7、交换式局域网基础结构的物理特性对连接到局域网端口的设备进行身份验证。 IEEE 802.1x本身不提供实际的认证机制,需要和上层认证协议(EAP)配合来实现用户认证和密钥分发。,EAP,EAP(Extensible Authentication Protocol)允许无线终端支持不同的认证类型,能与后台不同的认证服务器进行通信。,EAP能够运行于任何的链路层 以及使用各种身份验证方式,802.1x架构,802.11网络中的802.1x交换范例,IEEE 802.1x的缺点,802.1x采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中可能泄漏、丢失,存在很大安全隐患。 无线接入
8、点AP与RADIUS服务器之间用于认证的共享密钥是静态的,且是手工管理,也存在一定的安全隐患。,WPA(Wi-Fi保护访问),WPA是IEEE 802.11i的一个子集,在802.11i正式发布之前,WPA被作为代替WEP的无线安全标准协议。 WPA是继承WEP基本原理而又解决了WEP缺点的一种新技术。 WPA显著改善了WEP的安全性能,并可与原有采用WEP协议的WIFI产品兼容, 只需更新无线设备中的固件和无线客户端即可。 核心内容是TKIP,采用TKIP和MIC解决WEP弱点 TKIPTemporal Key Integrity Protocol 暂时密钥完整协议 MICMessage I
9、ntegrity Code消息完整性代码,TKIP( Temporal Key Integrity Protocol ),WEP和WPA比较,WPA存在的问题,不能向后兼容某些遗留设备和操作系统。 对硬件要求较高,除非无线产品集成了具有运行WPA和加快该协议处理速度的硬件,否则WPA将降低网络性能。 TKIP并非完美的最终解决方案。 基于RC4加密算法,没有脱离WEP的核心机制。 加/解码处理效率没有得到任何改进。,802.11i,2004年6月,IEEE正式通过了无线局域网安全标准802.11i。 802.11i的网络构架 过渡安全网络(Transition Securiy Network,
10、TSN) TSN兼容现有的、使用WEP方式工作的设备,平稳向802.11i过渡。 强健的安全网络(Robust Security Network,RSN) RSN支持全新的802.11i安全标准,并且针对WEP加密机制的各种缺陷做了多方面的改进,增强了无线局域网中的数据加密和认证性能。,WPA和WPA2的比较,AES (Advanced Encryption Standard),AES由美国国家标准与技术研究院 (NIST)于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成为有效的标准。2006年,高级加密标准已然成为对称密钥加密中最流行的算法之一。 AES算法
11、是块密码,使用大小为128比特的固定消息块,加密密钥的长度为128比特、192比特或256比特。,AES加密解密流程,AES (Advanced Encryption Standard),AES密码操作四个关键步骤(密码操作在44字节的阵列上): S盒变换:阵列中的每个字节用S盒中的字节代替,S盒是一个固定的8bit的查找表。 行变换:44阵列中的每一行移位一个偏移量,数组中每行移位的偏移量的大小不同。 列变换:利用线性变换将阵列中每列的4个字节混合,从而产生新的4列的输出字节。 与扩展密码异或:通过密钥安排表从加密密钥中提取出第二个44阵列该阵列被称为子密钥,两个44阵列异或一起产生下一轮的
12、开始阵列。,分组密码的计数模式,密码分组链接消息认证代码(CBC-MAC),Cipher block chaining message authentication code,AES-CCMP,VPN技术,VPN简介 VPN的功能 VPN的工作原理,VPN,IP VPN (Virtual Private Network,虚拟专用网)就是利用开放的公众网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。,IP/MPLS网,中心站点,分支机构,移动办公人员,VPN技术,总公司,租用专线,我们有很多分公司,如果用租用专线的方式把他们和总公司连起来,需要花很多钱,想节约成本的话,可以用
13、VPN来连接,分公司,分公司,分公司,隧道机制,IP VPN可以理解为:通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线 。 隧道是利用一种协议来传输另外一种协议的技术,共涉及三种协议,包括:乘客协议、隧道协议和承载协议。,被封装的原始IP包,新增加的IP头,IPSec头,乘客协议,隧道协议,承载协议,原始IP包,经过IPSec封装后,隧道带来的好处,隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关,Internet,被封装的原始IP包,新增加的IP头,IPSec头,私网地址,公网地址,中心站点,Internet根据这个地址路由,可以使用私网地址,感觉双
14、方是用专用通道连接起来的,而不是Internet,隧道,按隧道类型对VPN分类,隧道协议如下: 第二层隧道协议,如L2TP 第三层隧道协议,如IPSec 介于第二层和第三层之间的隧道协议,如MPLS VPN,L2TP,L2TP封装的乘客协议是位于第二层的PPP协议。,原始数据包,新增加的IP头,L2TP头,可以是IP、IPX和AppleTalk,PPP封装,原始数据包,PPP头,L2TP封装,原始数据包,PPP头,可以是IP、ATM和帧中继,L2TP没有对数据进行加密。,L2TP的典型应用-VPDN,L2TP连接,PPP连接,用户发起PPP连接到接入服务器 接入服务器封装用户的PPP会话到L2
15、TP隧道,L2TP隧道穿过公共IP网络,终止于电信VPDN机房的LNS 用户的PPP session经企业内部的认证服务器认证通过后即可访问企业内部网络资源,IPSec,IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议,被封装的原始IP包,新增加的IP头,IPSec头,必须是 IP协议,必须是 IP协议,IPSec可以对被封装的数据包进行加密和摘要等,以进一步提高数据传输的安全性,MPLS VPN的基本工作模式,在入口边缘路由器为每个包加上MPLS标签,核心路由器根据标签值进行转发,出口边缘路由器再去掉标签,恢复原来的IP包 。,MPLS网,P1,P2,PE1,PE2,CE1,C
16、E2,10.1.1.1,MPLS标签,10.1.1.1,10.1.1.1,MPLS VPN的特点,MPLS标签位于二层和三层之间,三层包头,MPLS 标签,二层包头,二层包头,三层包头,MPLS封装,三种VPN的比较,VPN功能,数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护,内部工作子网,管理子网,一般子网,内部WWW,重点子网,下属机构,DDN/FR X.25专线,密文传输,明文传输,明文传输,数据机密性保护,内部工作子网,管理子网,一般子网,内部WWW,重点子网,下属机构,DDN/FR X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较,验证数据的完整性,数据完整性保护,内部工作子网,管理子网,一般子网,内部WWW,重点子网,下属机构,DDN/FR X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始数据包,Has
