《访问控制攻击》由会员分享,可在线阅读,更多相关《访问控制攻击(5页珍藏版)》请在金锄头文库上搜索。
1、访问控制攻击:这些攻击使用无线或者规避无线局域网访问控制方法,比如APMAC过滤器和 802.1X端口访问控制,进而试图穿透网络。APMAC过滤器:无线MAC地址过滤功能通过MAC地址允许或拒绝无线网络中的计算机访问 广域网,有效控制无线网络内用户的上网权限。如果您开启了无线网络的MAC地址过滤功 能,并且过滤规则选择了 “禁止列表中生效规则之外的MAC地址访问本无线网络”,而过滤 列表中又没有任何生效的条目,那么任何主机都不可以访问本无线网络。端口访问控制:当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1X的认证 结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许
2、用户上网。802.1X除提 供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解 决方案。802.1X认证过程:整802.1X的认证过程可以描述如下: 客户端向接入设备发送一个EAPoL-Start报文,开始802.1X认证接入;接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名; 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认 证服务器; 认证服务器产生一个Cha
3、llenge,通过接入设备将RADIUS Access-Challenge报文发送给客 户端,其中包含有 EAP-Request/MD5-Challenge;(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证; 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的 Challenged-Pass-word,在 EAP-Response/MD5-Challenge 回应给接入设备; 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由R
4、ADIUS 服务器进行认证;(9) RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功、 失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。 如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规 划的IP地址;(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;(12) RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕.驾驶攻击:驾驶攻击也称为接入点映射,这是一种在驾车围绕企业或住所邻里时扫描无线网 络名称的活动。要想进行
5、驾驶攻击你就要具备一辆车、一台电脑(膝上型电脑)、一个工作 在混杂模式下的无线以太网网卡,还有一个装在车顶部或车内的天线。因为一个无线局域网 可能仅局限于一栋办公楼的范围内,外部使用者就有可能会入侵网络,获得免费的企业内部 网络连接,还可能获得公司的一些记录和其他一些资源。用全方位天线和全球定位系统,驾 驶攻击者就能够系统地将802.11b无线接入点映射地址映射。有无线局域网地公司迫使增 加保证只有有访问权利地用户才能接入网络地安全装置。安全装置包括使用有线对等保密(WEP)加密标准、互联网加密协议或者Wi-Fi受保护地访问,再加上防火墙或非军事区 的使用。欺骗性接入点:在防火墙内部安装不安全
6、的接入点,在受信任网络中创建开放后门。假接入 点(AP)构成了一个特别棘手的问题,因为在许多公共热点,你并不知道可靠的AP和登 录网页应该的样子。如果你被欺骗,连接到一个假的接入点,“恶魔双子星”会在最佳位置 来发动对你的攻击。一个假的接入点可以显示热点的登录页面,看起来像一个合法的登录页, 以获得你的信用卡号码。它可以截取虚拟个人网络(VPN)连接请求,并试图伪装成合法的VPN网管。它甚至可以尝试模仿任何你可能尝试访问的SSL保护的网站。在所有这些攻击中,假的接入点(和服务器)正视图利用你的疏忽来验证你在和谁通信一一从热点AP和登 录网站,到VPN网关和SSL服务器。因此,你最好的防御措施就
7、是坚持在你提供任何敏感 信息(如密码,信用卡号码)前对服务器身份进行验证。点对点连接:直接连接到不安全的站点,避开安全的接入点,进而攻击站点。MAC欺骗:MAC地址欺骗目前很多网络都使用Hub进行连接的,众所周知,数据包经过 Hub传输到其他网段时,Hub只是简单地把数据包复制到其他端口。因此,对于利用Hub 组成的网络来说,没有安全而言,数据包很容易被用户拦截分析并实施网络攻击(MAC地 址欺骗、IP地址欺骗及更高层面的信息骗取等)。为了防止这种数据包的无限扩散,人们越 来越倾向于运用交换机来构建网络,交换机具有MAC地址学习功能,能够通过VLAN等技 术将用户之间相互隔离,从而保证一定的网
8、络安全性。交换机队于某个目的MAC地址明确 的单址包不会像Hub那样将该单址包简单复制到其他端口上,而是只发到起对应的特定的 端口上。如同一般的计算机需要维持一张ARP高速缓冲表一样,每台交换机里面也需要维 持一张MAC地址(有时是MAC地址和VLAN)与端口映射关系的缓冲表,称为地址表,正 是依靠这张表,交换机才能将数据包发到对应端口。地址表一般是交换机通过学习构造出来 的。学习过程如下:(1)交换机取出每个数据包的源MAC地址,通过算法找到相应的位置, 如果是新地址,则创建地址表项,填写相应的端口信息、生命周期时间等;(2)如果此地址已经存在,并且对应端口号也相同,则刷新生命周期时间;(3
9、)如果此地址已经存在,但对应端口号不同,一般会改写端口号,刷新生命周期时间;(4)如果某个地址项在生命周期时间内没有被刷新,则将被老化删除。如同ARP缓冲表 存在地址欺骗的问题,交换机里的这种MAC地址表也存在地址欺骗问题。在实际应用中, 人们已经发现早期设计的许多交换机都存在这个问题,以Cisco2912交换机为例,阐明一 下如何进行MAC地址欺骗。如图所示,两个用户PcA和PcB分别连接Cisco2912的portA 和portB两个端口。P&rtC OD_OO.CC_GC.CG_C:C MtEmetpcrtApcrtBHuL HubPcBOa_DO.AA.AA.AA.AA假定 PcA 的
10、 MAC 的地址是 00.00.AA.AA.AA.AAPcB 的 MAC 的地址是 00.00.BB.BB.BB.BB在正常的情况下,Cisco2912里会保存如下的一对映射关系:(00.00.AA.AA.AA.AA) portA(00.00.BB.BB.BB.BB) portB(00.00.CC.CC.CC.CC) portC依据这个映射关系,Cisco2912把从PortC上收到的发给PcA的包通过PortA发出,而 不会从PortB发出。但是如果我们通过某种手段使交换机改变了这个映射关系,则 Cisco2912就会将数据包转发到不应该去的端口,导致用户无法正常访问Internet等服务。
11、 最为简单的一种方法就是用户PcB构造一种数据包,该包的源MAC地址不再是自己的MAC 地址 00.00.BB.BB.BB.BB,而是 PcA 的 MAC 地址 00.00.AA.AA.AA.AA,从上面的地 址学习过程可以看出,Cisco2912就会错误的认为MAC地址00.00.AA.AA.AA.AA是从 portB2上来的,因此映射关系也就改为:(00.00.AA.AA.AA.AA)portB(00.00.BB.BB.BB.BB) portB 这样,Cisco2912 就会错误地把从 PortC 上收到的 目的地址为MAC A的数据包通过PortB发出,而不再发给PortA.。显然,如果
12、PcB 一直 在发这种特意构造的包。用户PcA就无法通过Cisco2912正常访问Internet。更为严重 的是,如果用户PcB构造portC上联设备(如路由器)的MAC地址(00.00.CC.CC.CC.CC ),则会导致Cisco 2912下面所有的用户无法正常访问Internet等业务。网络中的上述问题主要集中在二层交换机,因此二层交换机的设计必须考虑到MAC地址学 习的这种潜在的安全隐患。对此,提出以下安全策略。MAC地址与端口的绑定。基于IP 地址欺骗,人们普遍的做法是采用IP地址与MAC地址进行绑定。MAC地址原来被认为是 硬件地址,一般不可更改,所以把IP地址同MAC地址组合到
13、一起管理就成为一种可行的 办法,但是认为作为主机标识的MAC地址不能更改这种观点其实是错误的,如前所述,利 用网络工具或者修改注册表的办法很容易就会更改某台主机的MAC地址。所以,为了防止 MAC地址欺骗,防止交换机中MAC地址映射表混乱,最有效的办法就是实现MAC地址与 交换机端口的绑定。这样,用户就无法通过更改MAC地址来进行某种恶意的攻击或者有效 地防止某些环路导致的MAC地址重复。绑定可以实现手工静态绑定,也可以实现自动静态 绑定。实现手工静态绑定需要网络管理员手工将用户的MAC地址和端口号输入到网络里去, 对于一个较大规模的网络,这项工作显然不够轻松,而且非常容易出错。对于自动静态绑
14、定, 可以如下实现:在交换机刚开始工作时,不设置绑定命令,而是由交换机自动进行MAC 地址学习,建立一张MAC地址与端口号的映射关系,等网络稳定之后,在通过网络管理界 面配置绑定命令,一旦绑定命令生效,交换机自动将原来的映射关系绑定起来,在没有收到 解除绑定命令时,该映射关系一直存在。这样,仅仅需要网络管理人员通过一条命令就可以 实现所有的MAC地址同端口的静态绑定关系,不再需要手工一个个MAC地址的输入。当 然,随着后期用户的不断加入,可以选择某段时间内集中进行这种绑定命令操作,从而有效 地节省人力和保障网络安全。通过上面的阐述我们可以看出:解决IP地址欺骗最有效的措 施是采用端口、MAC地
15、址和IP地址三者同时绑定。通过上述分析,我们可以看出,对于二 层交换机而言,最大的安全隐患存在于MAC地址的学习过程。为了有效防止某种恶意攻击 的MAC地址欺骗行为,我们在进行交换机设计时必须考虑一定的安全策略。无线网络可能受到的攻击分为两类,一类是关于网络访问控制、数据机密性保护和数据完整 性保护进行的攻击。这类攻击在有线环境下也会发生;另一类则是由无线介质本身的特性决 定的,基于无线通信网络设计、部署和维护的独特方式而进行的攻击。1 WEP中存在的弱点IEEE(Institute ofElectrical and Electronics Engineers,电气与电子工程师学会) 制定的8
16、02.11标准最早是在1999年发布的,它描述了 WLAN(Wireless Local Area Network,无线局域网)和 WMAN(Wireless Metropolitan Area Network 无线城域网) 的MAC(Medium Access Control介质访问控制)和物理层的规范。为了防止出现无线网 络用户偶然窃听的情况和提供与有线网络中功能等效的安全措施, IEEE引入了 WEP (Wired Equivalent Privacy有线等价保密)算法。和许多新技术一样,最初设计的WEP 被人们发现了许多严重的弱点。专家们利用已经发现的弱点,攻破了WEP声称具有的所有 安全控制功能。总的来说,WEP存在如下弱点:1)整体设计:在无线环境中,不使用保密措施是具有很大风险的,但WEP协议只是 802.11设备实现的一个可选项。2)
