无线局域网安全性解决方案
姓名:x 一、前言传统的计算机网络由有线向无线、由固定向移动的发展已成为必然,无线局域网技术应运而生。作为对有线网络的一个有益的补充,无线网络同样面临着无处不在的完全威胁,尤其是当无线网络的安全性设计不够完善时,此问题更加严重。企业无线网络的使用已经是相当普及了,我们对于企业无线网络安全性就应该提高其使用效率,在这种情况下,我们使用无线网络就应该作为对有线网络的一个有益的补充,无线网络同样面临着无处不在的完全威胁,尤其是当无线网络的安全性设计不够完善时,此问题更加严重。
二、无线局域网安全的演变无线网络在安全性方面,先天就比有线网络脆弱虽然有线网络也存在很多安全问题。这是因为无线信号以空气为介质,直接向四面八方广播,任何人都可以很方便的捕获到所传输的信息,或者说被信息捕获到。而有线网络具有比较密闭的载体网线,虽然网线也不是很硬,但是起码我没见过有人通过剪断网线来截取资料。经过多年的努力,无线网络的安全性逐渐发展,具备了不亚于有线网络的安全性,下面将逐步介绍。需要注意的是,这里说的安全性,是指网络协议本身的安全性,而不涉及到具体的操作系统和具体的应用。因为对于具体的系统和应用来说,协议层的安全是基础,系统以及应用安全处于更上层。对于任何载体来说都是一样的,与载体无关。
1、无安全措施最初的无线网络,还没有采取任何的保密措施,一个无线网络就相当于一个公共的广场,任何人都可以直接进入。这是由它的使用领域决定的,当时无线网络主要用来进行条形码扫描等等,只需要考虑灵活方便,不去关注安全问题。随着使用范围越来越广,一些比较敏感的信息需要通过无线网络传输,IEEE开始制定了初步的安全协议,防止信息被恶意攻击者轻易截获。WEP 是无线网络最开始使用的安全协议,即有线等效协议,全称为Wire Equal Protocol,是所有经过Wi-Fi认证的无线局域网所支持的一项标准功能。WEP提供基本的安全性保证,防止有意的窃听,它使用一套基于40位共享加密密钥的RC4对称加密算法对网络中所有通过无线传送的数据进行加密,密钥直接部署在AP和客户端,不需要公开传输,从而对网络提供基本的传输加密。现在也支持128位的静态密钥,对传输加密的强度进行了增强。WEP也提供基本的认证功能,
当加密机制功能启用后,客户端尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用预先保存的共享密钥将此值加密后送回AP以进行认证比对,如果与AP自己进行加密后的数据一致,则该终端获准联入网络,存取网络资源。WEP协议存在非常多的缺陷,主要表现在密钥管理,传输安全等方面。首先,终端密钥必须和AP密钥相同,并且需要在多台终端上部署,用来进行基本的认证和加密。密钥没有统一管理部署的能力,更换密钥时需要手动更新AP和所有的终端,成本极大。倘若一个用户丢失密钥,就会殃及到整个网络的安全性。其次,在数据传输方面,RC4加密算法存在很多缺陷,攻击者收集到足够多的密文数据包后,就可以对它们进行分析,只须很少的尝试就可以计算出密钥,接入到网络之中。常见的网络嗅探工具,比如WireShark就具有捕获无线网络数据的能力,破解WEP算法的工具也非常常见,比较著名的就是Aircrack,包含在Auditor Security Collection LIVE CD工具盘中。此工具盘中包含有Kismet、Airodump、Void
11、Aireplay和Aircrack等多个工具,是一套完整的攻击工具。最后,WEP 中的数据完整性检验算法也不够强壮,WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,攻击者篡改加密信息后,可以很容易地修改ICV,通过解密端的检验。WEP只是一种基本的认证和传输加密协议,不适合在企业级环境中使用,现在一般使用在不注重安全性,且终端数目少的家庭网络中。
2、无线网络所面临的安全威胁安全威胁是指某个人、物或事件对某一资源的保密性、完整性、可用性或合法使用所造成的危险。安全威胁可以分为故意的和偶然的,故意的威胁又可以进一步分为主动的和被动的。被动威胁包括只对信息进行监听,而不对其进行修改。主动威胁包括对信息进行故意的篡改。无线网络与有线网络相比只是在传输方式上有所不同,所有常规有线网络存在的安全威胁在无线网络中也存在,因此要继续加强常规的网络安全措施,但无线网络与有线网络相比还存在一些特有的安全威胁,因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。总体来说,无线网络所面临的威胁主要表现下在以下几个方面。(1)信息重放:在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN 等
保护措施也难以避免。中间人攻击则对授权客户端和AP 进行双重欺骗,进而对信息进行窃取和篡改。(2)W E P 破解:现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP 信号覆盖区域内的数据包,收集到足够的WEP 弱密钥加密的包,并进行分析以恢复W E P 密钥。根据监听无线通信的机器速度、W L A N 内发射信号的无线主机数量,最快可以在两个小时内攻破W E P 密钥。
(3)网络窃听:一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。(4)假冒攻击:某个实体假装成另外一个实体访问无线网络,即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中,移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接,移动站必须通过无线信道传输其身份信息,身份信息在无线信道中传输时可能被窃听,当攻击者截获一合法用户的身份信息时,可利用该用户的身份侵入网络,这就是所谓的身份假冒攻击。(5)M A C 地址欺骗:通过网络窃听工具获取数据,从而进一步获得AP 允许通信的静态地址池,这样不法之徒就能利用M A C 地址伪装等手段合理接入网络。(6)拒绝服务:攻击者可能对A P 进行泛洪攻击,使AP 拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。(7)服务后抵赖:服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。
3、 WPA保护WPA(Wi-Fi Protected Access)技术是IEEE在2003年正式提出并推行的一项无线局域网安全技术,其目的是代替WEP协议,成为一个可提供企业级安全的无线网络认证传输协议。WPA是IEEE802、11i的子集,是在802、11i实施之前的一个临时过渡协议,其核心就是IEEE802、1x和TKIP。其中802、1x是基于端口的认证协议,TKIP则提供高安全级别的传输加密和完整性检测功能,组成一个完整的解决方案。1)
802、1x认证控制技术802、1x协议是由IEEE定义的,用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权,引入了PPP协议定义的扩
