《无线局域网-第九章》由会员分享,可在线阅读,更多相关《无线局域网-第九章(14页珍藏版)》请在金锄头文库上搜索。
1、2019/3/4,移动通信重点实验室-景小荣,1,第9章 无线局域网的安全,无线网络是未来的发展趋势,随着无线局域网技术的发展,无线用户的增加,所面临的安全问题将进一步表现出来,有必要对这方面的内容进行介绍。,无线局域网安全问题的引入,网络安全问题:1、当初网络主要作为资源共享; 2、新的挑战如何在容许经授权的人在使用它的同时保护敏感信息。,2019/3/4,移动通信重点实验室-景小荣,2,网络安全的概念 是指一种能够识别和消除不安全因素的能力。,网络安全基础知识,信息安全的三大原则 机密性 完整性 可用性,实现三大原则的可靠措施 虽然在身份识别与资源使用方法中容许不可否认性,但是要确保对授权
2、访问进行合理的身份验证; 通过审计追踪和日志,追随所有活动的来龙去脉。 AAA原则:身份验证(authentication),授权(authorization)和审计/可说明性(audit/accoutablity),2019/3/4,移动通信重点实验室-景小荣,3,保证完整性 对于需要更高安全级别的数据来说只对其加密是远远不够的,因为数据仍然可能被非法篡改或者破解。 解决完整性问题:校验和,循环冗余校验 存在问题:如果有人对我们发送的数据流非常熟悉,有可能更改数据,并加入适当的校验,看起来没有任何错误。-数据注射 解决措施:通过一系列功能更强的加密算法来解决这个问题,目前802.11中使用的
3、RC4加密给黑客引入了足够的信息。,保证机密性 防止在发送者和接收者之间的通信受到有意或无意的未经授权的访问。主要是防止数据在传输过程中被他人窃取,在无线环境,监控和窃取信息变得更容易了。 解决方案:加密。现有的无线局域网采用的是RC4流加密对网络中传输的分组进行加密;并采用有线等价加密协议(WEP)来保护进入无线网络所需的身份验证。,2019/3/4,移动通信重点实验室-景小荣,4,保证可用性 确保适当的人员能够以一种实时的方式对数据或计算机资源进行访问是可靠的和可用的。,身份验证 身份验证就是为信息的发送者和接收者提供互相验证,证明双方就是你的合作伙伴。,保证不可否认性 是防止参与交易的全
4、部或者部分的抵赖。具有2个含义: 1. 在身份验证的过程中,它是一种以不可改变的关系为数据的完整性和起源提供服务,而这种关系可以由第3方在任何时候验证。 2. 在身份验证过程中,它是一种可以保证获得真正高可靠性,并且无法反驳。,2019/3/4,移动通信重点实验室-景小荣,5,使用加密 加密的好处:保证数据的机密性、完整性和可用性,也可用于身份验证。 机密性、完整性(HASH算法)、签名认证(不可否认性),审计追踪 审计提供了办法来追踪和记录网络和系统的活动,并可以将这些活动和具体的账号联系起来,万一遇到错误和故障,审计追踪可以在恢复数据完整性的时候起到非常重要的作用。 通常形式:日志 一个合
5、格的审计人员应该从两个方面考虑问题: 1、从黑客角度,寻找网络的漏洞,对网络资源加以保护。 2、从雇员和管理者的角度思考,寻找最佳途径即保障安全又不影响商业运作效率。,2019/3/4,移动通信重点实验室-景小荣,6,评价安全策略 一个好的安全策略应该帮助你建立一个安全框架,包括资源、重要信息和系统本身,可以检测出每一种危险(或者至少可以对付已经出现和已经认识到的威胁),并且可以保证数据的机密性、完整性和可用性。 1 系统分类 对系统和数据进行分类,通常分为3类,级别一:最重要;级别二:较重要;级别三:日常工作。 2 指定风险系数 定义:是指一个黑客攻击某种资源的可能性及危害程度。 对于每种资
6、源我们都要定义其风险系数,越重要,风险系数越大。 3 策略实施 一旦确认了资源,而且确定了其保护级别,则你必须对对应的资源确定一个合适的安全侧罗。安全策略包括购买防火墙和采用加密技术等硬件和软件措施。,2019/3/4,移动通信重点实验室-景小荣,7,概述 1 无线网络比起有线网络来说,安全性成为更关系的问题。 2 无线局域网最大的优点也是其缺点-开放和易接入。,无线局域网中常见的攻击和弱点,WEP IEEE 802.11标准中提供了安全服务,服务范围局限于站与站之间的数据交换,内容为加密、验证、与层管理实体相联系的访问控制。未来保证无线LAN的安全,IEEE引入了 有线等价加密 算法。,WE
7、P的特点 强壮的(安全性取决于密钥的长度和变化的频率) 自同步的(对每一个消息来说都是自同步的,便于数据链路层加密) 高效的(软件,硬件均可实现) 可出口的 可选的(标准内可选)(但经wi-fi认证的必须能够实现WEP),2019/3/4,移动通信重点实验室-景小荣,8,WEP弱点 缺少密钥管理和密钥长度太短;IV太小;ICV(Integrity check value )算法不合适;RC4本身缺点;认证信息易于伪造。,WEP加密 1、发送端,WEP首先利用一种综合算法,对MAC帧中未加密的帧体逐字段加密,生成4字节的综合检测值,检测值和数据一起发送,接收端通过对检测值进行检查,以检查非法的数
8、据改动。 2、将共享密钥和24bit的初始向量(IV)输入伪随机生成器产生一个序列(明文+综合检查值的长度) 3、伪随机码对明文和综合检查值逐位异或,完成对数据的加密。IV和密文同时通过信道传输。 4、接收端,WEP利用IV和共用密钥进行解密,复原加密的键序 5、进一步,计算综合检测值,来确认是否该帧是否和随帧发来的值相互匹配。,2019/3/4,移动通信重点实验室-景小荣,9,WEP密钥管理问题 密钥设计和使用方面存在的问题 用户行为中的弱点 用户在进行无线网络设置时通常采用生成厂家的Default设置(SSID和WEP),使得黑客很容易接入到网络;此外可以采用MAC地址过滤,但其同样也存在
9、一定问题:数据管理(局域网管理员要一直持有准许介入该网络的MAC地址数据库),黑客可以通过无线嗅探器来监听无线通讯,很容易的从用户数据中得到MAC地址。,黑客是如何通过搜搜发现和估计无线网络的 1 发现目标(利用识别无线网络的软件NetStumbler软件可以发现AP和AP广播出来的信息如SSID);2 发现目标存在的弱点,比如有些系统没加密,这样黑客就可以进入系统,如果使用了WEP通过,黑客仍然可以采用一些软件获得SSID 网络名等参数;3 利用弱点。,2019/3/4,移动通信重点实验室-景小荣,10,窃听,截获和监听 窃听是指偷听流经网络的计算机通信的电子形式,电子窃听是以被动和无法觉察
10、的方式入侵检测设备的;黑客可以利用许多可以选择的的工具来攻击和监控你的网络的。 防止窃听与监听 保护无线网络免受攻击者窃听的唯一方式是在所有可能的地方都对会话过程加密:使用SSL(安全套接字层),使用安全shell,使用完全拷贝而不是FTP协议。,2019/3/4,移动通信重点实验室-景小荣,11,欺骗与非授权访问 欺骗就是攻击者利用它可以骗过你的网络设备,使得他们错误地认为来自它们的链接是网络中一个合法的和经过同意的机器发送的。 欺骗方式:定义无线网络或网卡的MAC地址;身份验证欺骗(利用WEP和共享密钥认证过程中存在的弱点进行) 防止欺骗和非授权攻击 静态MAC地址,但不适宜采用; 最好的
11、措施是利用外部身份验证资源,可以防止非授权用户接入WLAN.,2019/3/4,移动通信重点实验室-景小荣,12,网络接管与篡改 由于Tcp/IP设计的原因,某些欺骗容许攻击者接管为无线网上其他资源建立的网络链接。 当Tcp/IP 分组经过交换机、路由器和AP时,每个设备都会查看目标IP地址,并和该设备知道的附件设备的IP地址比较,如果地址表中没该IP,那么就把该分组传递给缺省网关。 如果攻击者装扮成缺省网关,这就可以截获信息,然后将剩余的信息(或者经过篡改)发给目的主机。 防止网络接管与篡改 定义静态MAC/IP地址;利用专业工具如ArpWatch,拒绝服务和泛洪攻击 攻击者发送与无线局域网相同频率的干扰信号来干扰网络的正常运行,从而导致用户无法使用网络。其中一种最早的拒绝服务就是ping泛洪。,2019/3/4,移动通信重点实验室-景小荣,13,偷窃设备 利用无线网卡的静态密钥、MAC地址和WEP非法接入网络。,2019/3/4,移动通信重点实验室-景小荣,14,无线网络安全对策,
