无线局域网安全技术
于无线媒体的开放性,窃听是无线通信常见的问题,使得无线网络的安全性比有线网络更受到关注。对接入局域网的用户必须进行接入控制和消息加密。
8.7.1 无线局域网的安全问题
与有线网络相比较,无线局域网的安全问题集中在以下两方面:
1. 物理安全
无线设备包括站点(STAStation)和接入点(APAccess Point)。站点通常由一台PC机或笔记本电脑加上一块无线网络接口卡构成;接入点通常由一个无线输出口和一个有线的网络接口构成,其作用是提供无线和有线网络之间的桥接。物理安全是关于这些无线设备自身的安全问题。首先,无线设备存在许多的限制,这将对存储在这些设备的数据和设备间建立的通信链路安全产生潜在的影响。与个人计算机相比,无线设备如个人数字助理(PDA)和移动电话等,存在如电池寿命短、显示器小等缺陷。其次,无线设备虽有一定的保护措施,但是这些保护措施总是基于最小信息保护需求的。因此,有必要加强无线设备的各种防护措施。
2. 存在的威胁
由无线局域网的传输介质的特殊性,使得信息在传输过程中具有更多的不确定性,受到影响更大,主要表现在:
1窃听由于无线局域网使用2.5G范围的无线电播进行网络通讯,任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听,但是发送者和预期的接收者无法知道传输是否被窃听,且无法检测窃听。
2修改替换在无线局域网中,较强节点可以屏蔽较弱节点,用自已的数据取代,甚至会代替其他节点作出反应。
3传递信任。当公司网络包括一部分无线局域网时,就会为攻击者提供一个不需要物理安装的接口用于网络入侵。但在无线网络环境下,受攻击却不能通过一条确定的路径到这个接口。因此,参与通信的双方都应该能相互认证。
春天的童话
4基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。这种情况下也会出现在无线LAN中。但是针对这种攻击进行的保护几乎是不可能
的,所能做的就是尽可能地降低破坏所造成的损失。
5拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击,攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行,从而导致正常的用户无法使用网络。
6置信攻击。通常情况下,攻击者可以将自己伪造成。当攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录到他的网络,通过分析窃取密钥和口令,以便发动针对性的攻击。
8.7.2 无线局域网安全技术
无线局域网具有随时连线、成本低廉、速度快、部署简易、美观和机动性强等优势。无线网是以电磁波为介质传输资料,资料传输范围不如有线网容易控制,任何人都有条件窃听或干扰信息。因此,我们应该充分考虑其安全性,采用各种可能的安全技术,常用到有:
1. 服务集标识符
服务集标识符(SSIDService Set Identifier)技术将一个无线局域网分为几个需要不同身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络,同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点(AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。通常SSID须事先设置于所有使用者的无线网卡及A P尝试连接到无线网络的系统在被允许进入之前必须提供SSID,这是唯一标识网络的字符串。
但是SSID对于网络中所有用户都是相同的字符串,其安全性差,人们可以轻易地从每个信息包的明文里窃取到它SSID实际是一个简单口令,可以提供一定的安全,但如果配置集成灶一线品牌AP向外广播其SSID,那么安全程度还将下降。
2. 媒体访问控制
由于每个无线工作站的网卡都有唯一的物理地址,应用媒体访问控制(MACMedia Access Control技术,可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单,MAC软件工程就业前景地址不在清单中的用户,接入点将拒绝其接入请求。但因为MAC地址在网上是明码模式传送,只要监听网络便可从中截取或盗用该MAC地址,进而伪装使用者潜入企业
或组织内部偷取机密资料。其次部分无线网卡允许通过软件来更改其MAC地址,可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址,因此可通过访问控制的检查而获取访问受保护网络的权限。另外,媒体访问控制属于硬件认证而不是用户认证。这种方式要求AP中的MAC地址列表更新是手工操作,MAC地址扩展困难。因此,媒体访问控制只适合于小型网络规模。
3. 有线等效保密
有线等效保密(WEPWired Equivalent Privacy是常见的资料加密措施,WEP安全技术源自于名为RC4RSA数据加密技术,以满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术,当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。其工作原理通过一组40位或128位的密钥作为认证口令WEP功能启动时每台工作站都使用这个密钥将准备传输的资料加密运算形成新的资料并透过无线电波传送另一工作站在接收到资料时也利用同一组密钥来确认资料并做解码动作以获得原始资料。
WEP目的是向无线局域网提供与有线网络相同级别的安全保护,它用于保障无线通信信号
的安全,即保密性和完整性。WEP提供了40位长度的密钥机制,它存在许多缺陷。首先,40位的密钥现在很容易破解。加上密钥是手工输入与维护,更换密钥费时和困难,所以密钥通常长时间使用而很少更换,若一个用户丢失密钥,则将危及到整个网络。其次,WEP标准支持每个信息包的加密功能,但不支持对每个信息包的验证。黑客可以从对已知数据包的响应来重构信息流,从而能够发送欺骗信息包。
现在针对WEP的不足之处,对WEP加以扩展,提出了动态安全链路技术(DSLDanamic Security link。DSL采用了128 位密钥,但与WEP 截然不同的是,DSL采用的密钥是动态分配的。它针对每一个会话(Session)都自动生成一把密钥,并且在同一个会话期间,对于每256个数据包,密钥将自动改变一次。采用DSL时,要求无线访问点AP中维护一个用户访问列表,而在用户端请求访问网络时进行用户名/口令的认证,只有认证通过之后才能连通。显然,采用DSL数据传输的保密性将大大增强。
4.  Wi-Fi保护性接入
Wi-Fi保护性接入(WPAWi-Fi Protected Access是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序
号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。
WPA标准采用了TKIP(Temporal Key Integrity Protocol)、EAP和802.1X等技术,在保持Wi-Fi认证产品硬件可用性的基础上,解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。因此,WPA在提高数据加密能力、增强了网络安全性和接入控制能力方面具有重要意义。WPA是一种比WEP更为强大的加密方法。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
5. 国家标准WAPI
国家标准WAPIWAPI Authentication and Privacy Infrastructure,即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状
态下的加密保护。
WAPI的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT,Movable Terminator)与无线接入点(AP)间双向鉴别。另外,它充分考虑了市场应用,从应用模式上可分为单点式和集中式两种:单点式主要用于家庭和小型公司的小范围应用;集中式主要用于热点地区和大型企业,可以和运营商的管理系统结合起来,共同搭建安全的无线应用平台。采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状,从而根本上解决安全和兼容性问题
6.青岛金沙滩 端口访问控制技术
端口访问控制技术(802.1x)是由IEEE定义的,用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权,可以用于局域网,也可以用于城域网。802.1x引入了PPPPoint-to-Point Protocol)协议定义的扩展认证协议EAP号修改(Extensible Authentication Protocol。EAP采用更多的认证机制,如MD5、一次性口令等等,从而提供更高级别的安全。
802.1x是运行在无线网设备关联,其认证层次包括两方面:客户端到认证端,认证端到认证服务器。802.1x定义客户端到认证端采用EAP over LAN 协议,认证端到认证服务器采用EAP over RADIUS(Remote Authentication Dial In User Service) 协议。   
802.1x要求无线工作站安装802.1x客户端软件,无线访问站点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
但是802.1x采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中可能泄漏、丢失,存在很大安全隐患。加上无线接入点AP与RADIUS服务器之间用于认认证的共享密钥是静态的,且是手工管理,也存在一定的安全隐患。
7. 虚拟专用网络
虚拟专用网络(VPNVirtual Private Network指使用互联网连接物理上分散的系统来模
apn设置拟单一专用网的安全方式,通过隧道和加密技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的技术是VPN防火墙。同样无线LAN,我们也可以采用该安全框架,即安装两道防火墙:一个作为进入内部网的网关,另一个处于无线LAN和内部网之间,无线防火墙只允VPN通信,如图8.23所示。同样地,无线用户可以向无线基础设施认证自己。实际上,把无线网络和有线网络隔离,只允许VPN通信经过,是利用了缓冲区的办法来增强网络安全性。此外,基于IPsecVPN技术采用的IP层加密协议,可以防止通信被窃听。
VPN可以替代无线对等加密解决方案和物理地址过滤解决方案,也可以与WEP协议互补使用。但是VPN技术应用于无线网络也有其局限性,具体表现在:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。