无线局域网设计与实现 第七章 无线局域网安全.ppt
-
资源ID:66034525
资源大小:372.50KB
全文页数:45页
- 资源格式: PPT
下载积分:11.9金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
无线局域网设计与实现 第七章 无线局域网安全.ppt
无线局域网(WLAN)设计与实现第七章 无线局域网安全内容概要v无线局域网安全的严峻挑战v无线局域网基本的安全措施v无线局域网的安全技术一 无线局域网安全的严峻挑战v1.无线局域网安全的现状v2.无线局域网的常见攻击方式1.无线局域网安全的现状v无线局域网安全问题的独特之处在于信道开放,用户不必与网络进行“可视”的连接。这使攻击者伪装合法用户更加容易,同时微波信号在空气中传播也会因多种原因导致信号损失。v目前,无线局域网络产品主要采用的是IEEE 802.11b国际标准,大多应用DSSS直接序列扩频通信技术进行数据传输,该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。2.无线局域网的常见攻击方式v1)窃听v2)非法登录v3)干扰攻击1)窃听v窃听是无线局域网被动攻击的有效类型。在网络上窃取数据又称为嗅探。v无线网络中无线信道的开放性给网络嗅探带来极大方便。在无线局域网中网络嗅探对信息安全的威胁来自被动性和非干扰性,执行监听程序的窃听过程中只是被动的接收网络中传输的信息,不会跟其他的主机交换信息,也不修改在网络中传输的信息包。使网络嗅探具有很强的隐蔽性,让网络信息失密变得不容易发现。2)非法登录v无线局域网的非法登录过程是通过一个无线接入点AP连接到一个无线局域网上。v主动攻击:一个用户为了更深入地穿透或进入一个网络,或为了获取对于服务器的访问,以得到有价值的数据,或为了恶意的目的使用公司的Internet访问,甚至改变网络的界面配置,改变无线局域网自身。例如,一个黑客可以通过设定的MAC地址过滤实施恶意攻击。3)干扰攻击v干扰攻击会让无线局域网瘫痪。黑客使用高功率的微波信号发送器或扫描发送器实施有目的的干扰攻击;一个不可移除和没有恶意的源头对无线局域网的干扰;黑客使用另外一个无线接入点AP构建新的无线局域网,通过发送比合法无线接入点更高的信号,有效抢夺移动工作站。二 无线局域网基本的安全措施v1.信息过滤措施v2.访问认证机制v3.数据加密1.信息过滤措施v信息过滤是能够使用的基本的安全机制。常用的信息过滤机制有:物理地址MAC过滤服务集标识符SSID过滤协议端口过滤v前两种用于简单的无线接入点AP,是早期无线局域网最主要的安全措施,第三种是建立在路由的基础上。1)物理地址MAC过滤v每个无线工作站网卡都由惟一的物理地址(MAC)地址标示。网络管理员可在无线接入点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。v若企业中的AP数量太多,为实现整个企业中所有AP统一的无线网卡MAC地址认证,现在的AP也支持无线网卡MAC地址的集中远程接入拨号用户Radius认证。MAC过滤的缺陷v物理地址过滤属于硬件认证,而非用户认证,要求AP中的MAC地址控制表需随时更新,并是手工操作,若用户增加,可扩展性差,只适用于小型网络。vMAC地址可被盗用或非法伪造,获取对无线局域网的非法访问,是较低级别的授权认证。2)服务集标识符SSID过滤v无线工作站必须出示正确的SSID,与无线接入点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,则AP将拒绝他通过本服务区上网。因此SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全保障。v无线局域网接入点AP对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端必须主动提供正确SSID号才能与AP进行关联。3)协议端口过滤v协议端口过滤是无线局域设备中比较高级的一种安全机制。无线局域网能够过滤通过网络传输基于27层协议的数据包。过滤出每一个协议和任何直接的信息协议,可限制用户使用某些功能。v设置协议过滤,控制共享介质的使用方面非常有效。2.IEEE 802.11安全机制vIEEE 802.11标准规定的无线局域网连接过程有4个步骤:扫描、连接、链路验证和关联。通常,无线客户端会扫描整个周围环境寻找适合接入的无线接入点。实现数据传输时,无线局域网要求一定的安全机制作为保障。vIEEE 802.11标准规定的安全机制访问认证机制数据加密机制有线等效加密WEP访问认证机制v访问认证是无线局域网中一个工作站向另一个工作站或无线接入点AP证明其身份的机制。vIEEE 802.11标准中定义了两种类型的用户访问认证机制:(1)开放式验证(2)共享密钥验证(1)开放式验证v开放式验证是无线局域网设备的默认状态,使用该验证方法,一个无线客户端仅有一个正确的SSID就可以关联任何使用开放式系统验证的无线接入点AP,验证过程如下:无线局域网的无线客户端请求到要关联的无线接入点;无线接入点对于无线客户端的鉴别响应。(2)共享密钥验证v共享密钥验证要求双方必须有一个公共密钥,这个过程只能在使用WEP机制的工作站之间进行,避免明文传输。v使用共享密钥验证的鉴别过程如下:无线客户端向无线接入点发送验证请求;无线接入点发布一个随机产生的无格式的文本,从无线接入点清晰地发送到无线客户端;无线客户端响应这个请求,并使用自身的密钥加密该请求,将其发回无线接入点;无线接入点解释明白无线客户端的加密响应,识别通过一个匹配的WEP的密钥加密请求文本。访问认证的状态关系状态1:未验证,未关联状态2:已验证,未关联状态3:已验证,已关联解除链路验证解除关联链路验证成功关联或重新关联成功解除链路验证(验证结束)1类帧1类、2类帧1类、2类、3类帧数据加密机制WEPv有线等效保密WEP协议用于在无线局域网中保护链路层数据。WEP使用64位密钥或128位密钥,采用RSA开发的RC4对称加密算法,在链路层加密数据。vWEP加密采用静态的密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,只有正确无误,才能获准存取网络的资源。WEP机制的缺陷v只验证无线客户端设备,缺乏使用者身份验证机制v采用静态密钥,缺乏动态的数据加密三 无线局域网安全技术v1.IEEE 802.1x协议(WEP/EAP)v2.IEEE 802.1i协议(WAP)v3.无线局域网鉴别与保密基础结构WAPIv4.VPN安全解决方案1.IEEE 802.1x协议v端口访问技术802.1x协议是一种局域网接入控制协议。主要解决无线局域网用户的接入验证问题。它是WLAN的一种增强性网络安全解决方案。v当无线客户端与无线接入点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。v802.1x要求无线客户端安装802.1x客户端软件,无线接入点要内嵌802.1x认证代理,同时它还作为远程接入拨号用户Radius客户端,将用户的认证信息转发给Radius服务器。IEEE 802.1x协议的三要素v客户端客户端(服务请求者)。一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。v认证系统认证系统(验证者)。一般是无线接入点AP,也是网络节点,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。v认证服务器认证服务器(验证服务者)。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。IEEE 802.1x协议工作过程要求验证要求验证验证结果验证结果提供验证资料提供验证资料根据检验结果根据检验结果决定是否提供决定是否提供服务服务可扩展验证协议EAPv802.1x融合EAP,即EAPOL(WLAN中称做EAPOW)在申请者和近端认证AP之间运行;认证AP与远端认证服务器同样运行EAP协议,EAP帧中封装认证数据再将该协议承载在其他高层协议中,如RADIUS,以利于穿越多种网络到达认证服务器,成为EAPoverRADIUS。EAP认证的优点vEAP认证对IEEE802.11标准起到三方面改进。双向认证机制,有效地消除了中间人攻击(MITM),如假冒的AP和远端认证服务器。集中化认证管理和动态分配加密密钥机制。解决了管理上的难度WEP使用RC4给网络里的所有AP和客户分发静态密钥很繁琐,每一次无线设备丢失,网络必须重新配置密钥以防止非法用户利用丢失的设备进行非法登录。能够定义集中策略控制,当会话超时时将触发重新认证和生成新的密钥。IEEE802.1 x协议的优点v802.1 x认证的突出优点就是实现简单、认证效率高、安全可靠。无需多业务网管设备,就能保证IP网络的无缝相连。同时消除了网络认证计费瓶颈和单点故障。解决了采用多业务网关,不便于视频业务开展的难题。在二层网络上实现用户认证,大大降低了整个网络的建网成本。2.IEEE 802.11i安全标准v该标准增强了WLAN的数据加密和认证性能,并且针对WEP加密机制的各种缺陷做了多方面的改进,增强了无线局域网的鉴别性能和数据加密。两个安全协议的对比WEPTKIPIEEE 802.11x/EAPTKIPIEEE 802.11i主要内容vWi-Fi保护接入(WPA)v健全的安全网络RSN Wi-Fi保护接入(WPA)vWPA在IEEE 802.11i 标准确定前是代替WEP的无线安全标准协议。WPA是IEEE 802.11i的一个子集,其核心就是IEEE 802.1x和暂时密钥完整协议TKIP。vWPA采用新的加密算法以及用户认证机制,加强了生成加密密钥的算法,即使黑客收集到分组信息并对其进行解析,也几乎无法计算出通用密钥,解决了WEP破解容易的缺点。vWPA不能向后兼容某些遗留设备和操作系统。如果无线局域网没有运行WPA和加快该协议处理速度的硬件,WPA将降低网络性能。WPA2vWPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性,它们最重要的共性是预验证,即在用户对延迟毫无察觉的情况下实现安全快速漫游,同时采用CCMP加密包来替代TKIP。健全的安全网络RSNvRSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x和EAP,加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步,不断提供保护无线局域网传输信息所需要的安全性。与WEP和WPA相比,RSN更可靠,但RSN不能很好地在遗留设备上运行。3.国家标准GR15629.11 WAPIvWAPI即无线局域网鉴别与保密基础结构,它针对IEEE802.11中WEP协议安全问题,是2003年在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时,本方案已由ISO/IEC授权的机构IEEE注册权威机构审查并获得认可,分配了用于WAPI协议的以太类型字段,这也是我国目前在该领域惟一获得批准的协议。WAPI的特点v采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。v用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。AP设置好证书后,无须再对后台服务器进行设置,安装、组网便捷,易于扩展。v支持Windows98/2K/XP、Linux等操作系统。v提供与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。v满足家庭、企业、运营商等多种应用模式。v在不同场合应用形式相同,使用方便,用户易接受。WAPI的组成v无线局域网鉴别基础结构WAIv无线局域网保密基础结构WPIv其中,WAI采用基于椭圆曲线的公钥证书体制,无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别。而在对传输数据的保密方面,WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密,充分保障了数据传输的安全。VPN安全解决方案vVPN是指在一个公共IP网络平台上通过隧道极其加密技术保证专用数据的网络安全性。VPN可以替代连线对等加密解决方案以及物理地址过滤解决方案。v采用VPN技术的另外一个好处就是可以提供基于Radius的用户认证以及计费。v它不属于802.11标准定义,属于增强型网络解决方案。v对于安全性要求高的用户,将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。WLAN应用特点对VLAN的阻碍v运行的脆弱性v吞吐量性能瓶颈v通用性问题v网络的扩展性问题v成本问题结论v各种无线网络的运用必将越来越进步与普遍,所以只要有资料讯号在无线中传送,安全的保护机制将是大家第一个要面对的问题,唯有确保万无一失的数据传输,才能满足人们在一定区域内实现不间断移动办公的要求,为我们创造了一个安全自由的空间,这也将为服务商带来无限的商机。