2022年阻击无线游侠—802.11家族安全浅析.docx

《2022年阻击无线游侠—802.11家族安全浅析.docx》由会员分享，可在线阅读，更多相关《2022年阻击无线游侠—802.11家族安全浅析.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2022年阻击无线游侠802.11家族安全浅析说他们是无线局域网的游侠，应当是一种夸奖，因为他们仅仅以游荡为欢乐，而并非靠偷窃企业核心数据为生，每一个被挖掘出来的无线局域网漏洞，成为游侠们津津乐道的谈资。游侠比黑客还可怕这些游侠已经在美国小出名气。他们的装备如下，一台普一般通的笔记本电脑，一个特制的软件（为了平安起见，我们不在这里介绍该软件的名字），一个简洁的天线装置。游侠们将这些装备放在汽车上面，在城市里逛来逛去。他们在写字楼、酒店、各个街区里面找寻那些可以随意进入的无线局域网接入点，然后用红笔标注下来。一成天下来，他们手中的地图已经被红色圈点和连线所占据。这种地图，在游侠眼里变成了一张能够

2、自由进入这个城市无线局域网的通行证。游侠们把这样的活动称作“Wardriving”（冒险之旅）。曾经在某次冒险之旅过后，游侠们对25000个无线局域网接入点进行了探测，发觉其中72%的设备没有做任何的平安防护设置。一位日本网络专家也曾经尝试了这样的活动。在轻松地攻破无线局域网接入点之后，他写到：起先时还觉得好玩，渐渐这种好玩的感觉就变成了恐惊。假如站在构建接入点一方，即供应无线局域网服务的商家来讲，这种现状明显是特别令人恐惊的。到目前为止，缺少满足的平安爱护并没有阻碍无线局域网的普及。因为目前在美国或是日本，无线局域网的用户还是集中在个人消费类市场，或是供应无线上网的公共区域，这些地点对数据的

3、敏感性相对企业应用环境来说比较低。尽管如此，专家们还是惊呼“用户对网络平安的设置仅仅须要花费5分钟的时间，假如连这样的时间都不舍得用，拿不准他们（用户）是否还有其他用来爱护网络平安的措施。”企业是平安重灾区游侠们所作的事情还是在大街小巷上，一旦他们的视点转移到写字楼里面，转移到企业里面。那么吸引他们的可能就不是简洁的一次免费互联网的旅行了。而企业在无线局域网的平安防范方面，做的也并不令人满足。RSA平安公司的一个调查探讨显示，企业的IT管理部门的确忽视了无线局域网所带来的危急。这项探讨报告是依据来自英国伦敦市中心328个无线局域网AP（接入基站）进行的。三分之二的基站没有打开WEP（Wired

4、EquivalentProtection）。此外100台AP竟然正在向外部发送公司自己定义的认证信号，另外208台AP的安装还是基于默认设置。这项调查验证了多年以来，平安专家对无线局域网所预感的平安隐患。这项报告已经在2022年新奥尔良CTIA 2022会议上提出。“这个调查令我特别惊讶，公司为了运营管理的敏捷性，而转向了无线局域网，但他们却没有将平安上的风险考虑进去。这样的马虎是一种冒险，有可能将企业全部的系统牺牲殆尽。”英国信息平安探讨院平安专家PhilCracknell指出，（他参加了此次无线局域网调查）“那些无线局域网所散发出去的信号，是可以被黑客所利用。尽管消费用户仍旧在购买无线局域

5、网产品，但企业用户由于平安上的考虑正在放慢他们采纳无线局域网技术的步伐。“消费类市场的用户好像对平安隐患不是太在意。” Wi-Fi Alliance主席DennisEaton指出“在企业应用中，平安问题干脆会影响无线局域网产品的销售，直到用户找到相应的平安解决方案，他们才会真正考虑购买它。”WEP该被摒弃了WEP是应用在无线局域网的平安应用中，但长时间以来它的弱点始终受到人们的指责。“依靠一个简洁的平安协议，不足以劝服每一个人都去尝试无线局域网。”国际信息系统平安询问专家Kirschbaum指出。WEP缺少对突发性用户增长的验证，在核心管理实力、扩展性方面也不是很便利。WEP好像是目前无线局域

6、网平安防范的唯一出路，该技术可以通过HUB或是接入点传递加密数据，但它的加密特别简洁。Cisco的密码专家斯科特弗勒尔（Scott Fluhrer）和以色列魏茨曼科学探讨所（Weizmann Institute of Science）教授伊斯科马丁（Itsik Mantin）和阿迪萨莫尔（Adi Shamir）联合公开了他们的探讨论文Weaknesses in the Key Scheduling Algorithm of RC4（RC4密钥生成算法的弱点）分析了WEP的不足，并且还声明“只需15分钟即可破解WEP密码”。此外，尽管WEP在许多无线局域网产品之中是一个默认的平安选项，但事实上企

7、业许多用户没有真正对它进行实施和管理。在WEP中，信息加密过程中运用了被称为“RC4密钥”的密钥。RC4密钥就是运用像它的名字一样的名为“RC4”的加密算法，在客户端和接入点之间由共享信息而生成的。而且每个信息所生成的RC4密钥也不同。通过它就可以防止（信息被）窃听。但是，RC4密钥中存在一个很大的问题。这就是尽管信息不同生成的密钥也不同，但却可能很相像。假如利用这种相像性，就有可能去破译密钥。Wi-FiAlliance作为一个业内公认的无线网络标准组织，正在筹划一个临时性的平安标准。它就是Wi-Fi Protected Access（无线爱护访问，简称WPA）。作为一个临时的Wi-Fi Al

8、liance标准。它将比现有WEP的密钥更具平安性和爱护性。而且，该标准还将通过新的形式来限制用户访问无线局域网。Wi-Fi Alliance和IEEE草拟了WPA，期望能够更好的在无线局域网中供应平安技术。在今年第一个季度内，WPA认证正式启动。WPA的开发目标有两个，分别是“提高密码强度”和“增加用户认证功能”。为了提高密码强度，WPA采纳的是名为“TKIP（Temporal Key Integrity Protocol，短暂密钥集成协议）”的协议。TKIP由于在现有的WEP密码认证引擎中追加了“信息包单加密功能”、“信息检测（MIC）”、“具有序列功能的初始向量”和“密钥生胜利能”等4种

9、算法，因此提高了平安强度。WPA通过利用TKIP（Temporal Key Integrity Protocol）技术改进数据加密技术。TKIP技术通过供应一种增加型WEP加密引擎，从而弥补了原有WEP易受攻击的弱点。TKIP供应了48位初始化向量（原有WEP只供应了24位初始化向量）。运用48位初始化向量，可以增加密钥的数量，这样能够满意动态增长的用户需求。WPA通过802.1x和扩展校验协议，能够为企业级用户供应认证检验。WPA第2个版本，将会在2022年底或是2022年初正式面世。虽然WPA的用户所进行的认证管理也是在WEP基础上进行的，但WPA仍将会缓解那些针对WEP存在平安不足的指责

10、。另寻他路利用VPN（虚拟专用网络）技术可以确保无线局域网的平安，但它的成本也并非一般企业可以承受。虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络平安性，目前很多企业以及运营商已经采纳VPN技术。VPN技术不属于802.11标准定义，它是一种增加性网络解决方案。严格来讲，VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案，也可以与WEP协议互补运用。VPN协议包括其次层PPTP/L2TP协议以及第三层的IPsec协议。事实上，VPN只涉及发起端，终结端，因此对无线访问接入点来讲是透亮的，并不须要在无线访问点支持VPN。IPsec是标准的第三层平安协议，用于

11、爱护IP数据包或上层数据，它可以定义哪些数据流须要爱护，怎样爱护以及应当将这些受爱护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间，网络平安网关之间，或主机与网关之间。在无线局域网环境，主要采纳客户端到网关组网方式。Intel和CheckPoint软件公司在近日宣布他们将为笔记本电脑，共同开发VPN基准的增加型平安系统。这套系统重点是针对那些采纳了迅驰架构的笔记本电脑。两家公司表示他们将供应一种硬件平安系统，保证无线网络的平安访问。尤其是那些在公众场合享受无线局域网的用户。此项技术的关键地方是，无论笔记本访问哪个无线局域网基站，都可以自动供应VPN服务。新的Intel-CheckPoint解决方案将支持两方面的认证。它将结合TPM（信任平台模块）。TPM供应了加密操作，其中包括RSA加密解密算法，离散算法和随机代码产朝气制。Intel开发TPM的初衷是其对“可信任计算平台联盟”作出的贡献。Intel开发的迅驰技术包含了PentiumM移动处理器，855外围芯片组，PRO无线网络产品。该系统在耗电以及运算实力之间作出很到努力。Check Point将开发增加版的VPN-1 SecureClient软件。