如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
1、第11章无线局域网安全11.1无线局域网概述11.2基本的WLAN安全11.3WLAN安全协议11.4第三方安全技术11.5无线局域网组建实例习题11.1无线局域网概述无线局域网是高速发展的现代无线通信技术在计算机网络中的应用。一般来讲,凡是采用无线传输媒体的计算机局域网都可称为无线局域网,它与有线主干网相结合可构成移动计算网络,这种网络传输速率高、覆盖面大,是一种可传输多媒体信息的个人通信网络,也是无线局域网的发展方向。1.无线局域网硬件设备无线局域网硬件设备由以下几部分组成:天线:发射和接收信号的设备,一般分为外置天线和内置天线两种。无线网卡(WirelessNetwor
2、kInterfaceCard,WNIC):完成网络中IP数据包的封装并发送到无线信道中,同时也从无线信道中接收数据并交给IP层处理。一般无线网卡有PCI接口、USB接口和笔记本PCMICA接口三种类型,可支持的速率一般为11Mb/s、22Mb/s、54Mb/s和108Mb/s。站点(Station,STA):无线客户端,包含符合本部分与无线媒体的MAC和PHY接口的任何设备。例如,内置无线网卡的PC、笔记本电脑或个人数字助理(PersonalDataAssistant,PDA)等。接入点(AccessPoint,AP):类似于有线局域网的集线器,是一种特殊的站点,在无线局域
3、网中属于数据帧的转发设备,主要提供无线链路数据和有线链路数据的桥接功能,并具有一定的安全保障功能,同时也必须完成IEEE802.3数据帧和IEEE802.11数据帧之间的帧格式转换。通常一个AP能够同时提供几十米或上百米的范围内多个用户的接入,并且可以作为无线网络和有线网络的连接点。2.无线局域网组网模式基本的无线局域网有Infrastructure和Ad-hoc两种模式。(1)Infrastructure模式:是使用兼容协议的无线网卡的用户通过AP接入到网络,AP用附带的全向的天线发射信号,STA设备使用同样的机制来接收信号,与AP建立连接。AP可以给用户分配IP地址,或者将请求发送给基
5、存取,而在速率和传输距离上都不能满足用户的需要,因此,IEEE又相继推出了802.11a、802.11b和802.11g三个新标准。目前的网卡均支持此三种标准。三个标准的主要参数如表11.1所示。表11.1IEEE802.11a/b/g比较4.无线局域网安全总的来说,无线局域网安全主要包括以下几个方面:通过对用户身份的认证来保护网络,防止非法入侵;通过对无线传输的数据进行加密,防止非法接收;使用无线跳频等技术,防止网络被探测;有效的管理合法用户的身份,包括用户名、口令、密钥等;保护无线网络的基本设备,避免错误配置。除了在无线局域网(WLAN)中采用各种认证技术和加密协议以外,对于全面保护
6、WLAN安全还应包括防火墙技术、VPN技术、入侵检测技术、PKI技术等综合应用。11.2基本的WLAN安全无线局域网可以采用业务组标识符(ServiceSetIdentifier,SSID)、物理地址(MAC)过滤和控制AP信号发射区的方法来对接入AP的STA进行识别和限制,实现WLAN的基本安全保障。1.业务组标识符(ServiceSetIdentifier,SSID)SSID也可以写为ESSID,最多可以由32个字符组成,相当于有线网络中的组名或域名,无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的
7、问题,从而为无线局域网提供一定的安全性。SSID的配置如图11.3所示。图11.3AP常规配置然而,由于无线接入点AP会不断向外广播其SSID,这使得攻击者很容易获得SSID,从而使WLAN安全性下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道SSID,很容易共享给非法用户。而且有的厂家支持“任何”SSID方式,只要无线客户端处在AP范围内,那么它都会自动连接到AP,这将绕过SSID的安全功能。针对以上SSID安全问题,管理员可采取相应的安全配置,如在AP上设置禁止对外广播其SSID,以此保证SSID对一般用户检测无线网络时不可见,而且设置只有知道该SSID的客户端才能接入;
8、用户在使用该AP接入网络时应尽量避免将SSID随便告知他人,以免被攻击者获取;取消某些厂家支持的“任何”SSID方式,避免客户端自动连接到AP。AP禁止SSID广播设置如图11.4所示。图11.4AP的隐藏SSID配置2.物理地址(MAC)过滤由于每个无线客户端网卡都有一个唯一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证,要求AP中的MAC地址列表必须随时更新。MAC地址过滤配置如图11.5所示。图11.5AP的接入控制由于目前MAC地址过滤都是手工操作,扩展能力很差,因此只适合于小型网络规模。另外,非法用
9、户利用网络侦听手段很容易窃取合法的MAC地址,而MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。3.控制AP信号发散区无线网络工作时会广播出射频(RadioFrequency,RF)信号,因此信号存在着距离的限制,这个虚拟的信号传播的覆盖区域就是“发散区”。如果对AP的信号不加限制,就可能使信息泄漏给远程的攻击者。控制信号泄漏有几种常用的方法,一种是将AP放在室内的中央位置,如果需要在大的空间里安置几个AP,则尽量使其位于建筑物中心的位置,或者尽可能远离外墙。另外,可以通过控制信号强度来限制信号的传输距离,如某些高端的产品具有功率调节选项,而对于一般的产品可采取减
10、少天线(有的AP产品有两个天线)或调整天线方向的办法来限制信号传输范围。由以上分析可以看出,SSID、MAC地址过滤和AP信号控制只是对STA的接入做了简单的控制,是WLAN中最基本的安全措施,还远远不能满足WLAN的安全需求。11.3WLAN安全协议11.3.1WEP为了保障无线局域网中实体间的通信免遭窃听和其他攻击,802.11协议中定义了有线等价保密(WiredEquivalentPrivacy,WEP)子协议,它规定了对无线通信数据进行加密的方法,并对无线网络的访问控制等方面做出了具体的规定。1.WEP协议设计WEP设计的基本思想是:通过使用RC4流密码算法加密来保护数据的机
11、密性;支持64位或128位加密;通过STA与AP共享同一密钥实施接入控制;通过CRC-32产生的完整性校验值(IntegrityCheckValue,ICV)来保护数据的完整性。2.WEP协议认证方式WEP协议规定了两种认证方式:开放系统认证和共享密钥认证。开放系统认证:是802.11b默认的身份认证方法,它允许对每一个要求身份认证的用户验证身份。但由于是开放系统,系统不对认证数据进行加密,因此所有认证数据都是以明文形式传输的,而且即使用户提供了错误的WEP密钥,用户照样能够和接入点连接并传输数据,只不过所有的传输数据都以明文形式传输。所以采用开放式系统认证只适合于简单易用为主,没有安全要
12、求的场合。共享密钥认证:是通过检验AP和STA是否共享同一密钥来实现的,该密钥就是WEP的加密密钥。密钥生成有两种方法,一种是采用ASCII,一种是采用十六进制。一般来说,对于40位的加密需要输入5个ASCII或10个十六进制数,128位加密需输入13个ASCII或26个十六进制数。一般用户比较喜欢采用ASCII格式的密钥,但这种密钥容易被猜测,因此并不安全,建议采用十六进制的密钥。IEEE802.11协议中没有规定WEP中的共享密钥SK如何产生和分发。一般产品中有两种密钥产生办法:一种由用户直接写入,另一种由用户输入一个密钥词组,通过一个产生器(Generator)生成。用户一般喜欢用第二
15、2.1x)协议于2001年6月由IEEE正式公布,它是基于端口的网络访问控制方案,要求用户经过身份认证后才能够访问网络设备。802.1x协议不仅能提供访问控制功能,还能提供用户认证和计费的功能,适合无线接入场合的应用,是所有IEEE802标准系列(包括WLAN)的整体安全体系结构。802.1x网络访问技术的实体一般由STA、AP和远程拨号用户认证服务(RemoteAuthenticationDial-InUserService,RADIUS)服务器三部分构成,其中AP提供了两类端口:受控端口(ControlledPort)和非受控端口(UncontrolledPort)。STA
16、通过AP的非受控端口传送认证数据给RADIUS,一旦认证通过则可通过受控端口与AP进行数据交换。802.1x定义客户端到认证端采用局域网的EAP协议(EAPoverLAN,EAPOL),认证端到认证服务器采用基于RADIUS协议的EAP协议(EAPoverRADIUS)。其中可扩展认证协议(ExtensibleAuthenticationProtocol,EAP),即PPP扩展认证协议,是一个用于PPP认证的通用协议,可以支持多种认证方法。以STA、AP和RADIUS认证服务器为例,802.1x协议的认证过程如下:(1)用户通过AP的非受控端口向AP发送一个认证请求帧;(2)AP返
17、回要求用户提供身份信息的响应帧;(3)用户将自己的身份信息(例如用户名、口令等)提交给AP;(4)AP将用户身份信息转交给RADIUS认证服务器;(5)认证服务器验证用户身份的合法性,如果是非法用户,发送拒绝接入的数据帧,反之,则发送包含加密信息的响应帧给AP。(6)AP将收到的RADIUS返回数据帧中包含的信息发给用户。(7)合法用户能够计算出返回信息中的加密数据,通过AP与RADIUS经过多次交换信息后,认证服务器最终向AP发送接受或拒绝用户访问的信息。(8)AP向用户发送允许访问或拒绝访问的数据帧。如果认证服务器告知AP可以允许用户接入,则AP为用户打开一个受控端口,用户可通过受控端口传
19、采用了常常可以用简单的猜测方法攻破的Kerberos密码,所以更易受攻击。另一个严重问题是TKIP在加密/解密处理效率问题没有得到任何改进,甚至更差。因此,TKIP只能作为一种临时的过渡方案,而不能是最终方案。在IEEE完成并公布IEEE802.11i无线局域网安全标准后,Wi-Fi联盟也随即公布了WPA第2版(WPA2),支持其提出的AES加密算法。一般AP产品对WPA的支持如表11.2所示。表11.2WPA产品参数比较其中:WPAPSK和WPA2PSK:即通常所说的WPA-Personal和WPA2-Personal,采用863个字符长度的预先共享密钥(Pre-SharedKey,
20、PSK)作为每个接入用户的密码口令,不需要RADIUS,适用于家庭和小型办公室网络,前者一般使用TKIP加密方法,而后者通常使用AES加密方法。采用PSK的WPA安全性比较差。WPA和WPA2:即通常所称的WPA-Enterprise和WPA2-Enterprise,使用802.1X认证服务器给每个用户分配不同的密钥,前者通常采用TKIP加密方法,而后者通常采用AES加密方法,需要RADIUS支持,适用于企业级的网络,是比WPAPSK加密更安全的访问方式。11.3.4802.11i与WAPI802.11i和我国的无线局域网标准WAPI同时向IEEE申请成为国际标准,2007年6月,IEEE标
21、准委员会将802.11i确定为最新无线局域网安全标准。1.802.11i802.11i标准通过使用CCM(Counter-Mode/CBC-MAC)认证方式和AES(AdvancedEncryptionStandard)加密算法构建的CCMP密码协议来实现机密和认证两种功能,更进一步加强了无线局域网的安全和对用户信息的保护,安全性好,效率高,但由于它们与以往的WLAN设备不兼容,而且对硬件要求高,因此目前还未在WLAN产品中普遍使用。2.WAPI无线局域网鉴别与保密基础结构(WLANAuthenticationandPrivacyInfrastructure,WAPI)是由“中国宽
22、带无线IP标准工作组”负责起草的无线局域网国家标准,采用基于椭圆曲线公钥密码(EllipticCurveCryptography,ECC)的证书技术对WLAN系统中的STA和AP进行认证,而加密部分采用中国商用密码管理办公室认定的算法,包括对称加密算法、HASH算法、WLAN随机数算法、ECC算法等。WAPI具有全新的高可靠性安全认证与保密体制、完整的“用户接入点”双向认证、集中式或分布式认证管理、高强度的加密算法等优点,能够为用户的WLAN系统提供全面的安全保护。11.4第三方安全技术由于无线网络接入相比有线网络接入更容易受到黑客的利用,因此必须加强对无线网络的安全部署。除了利用AP自
23、带的认证和加密等安全功能以外,要想保证WLAN整体安全必须要结合第三方的安全技术,如采用防火墙、VPN技术对无线网络用户的接入控制和数据安全进行加强;在网络内部采用IDS技术对无线网络用户对访问内网进行分析等。1.防火墙在WLAN中的应用由于攻击者能够较容易地接入无线网络,因此在设计整体网络安全的时候,WLAN应被看做是与Internet一样不安全的连接,需要结合防火墙技术将无线用户和内部用户分开。一般来说,在为无线网络接入选择防火墙时,最好选用专业的硬件防火墙,也可选用主流的防火墙产品来保护现有的Internet连接,并将访问点放在DMZ中,如将无线集线器或交换机放到DMZ区中,并结合访问策
24、略对无线访问用户进行限制。当然,这样的网络规划有助于保护网络内部资源,但不能很好地保护无线网络用户,不过由于无线网络的用户群体一般比较小,因此他们实施另外的保护措施还不至于显得非常复杂。WLAN通过防火墙接入LAN如图11.6所示。图11.6WLAN通过防火墙接入LAN2.VPN技术在WLAN中的应用由于仅仅通过防火墙的实施还不能挡住攻击者对无线网络的嗅探,而WLAN自身的加密算法强度有限,因此还要配合VPN技术来保证无线网络用户安全访问内部网。无线访问用户在访问内部网络时不仅接受防火墙规则的制约,而且在原有WALN加密数据的基础上再增加VPN身份认证和加密隧道,能大大增强其访问安全性。支持
25、VPN技术的WLAN可以使用带有VPN功能的防火墙或独立的VPN服务器,如图11.7所示。图11.7WLAN通过VPN接入LAN11.5无线局域网组建实例【实验背景】无线局域网已经成为最常用的网络结构,利用AP和STA可以快速地架构局域网而不用会受到太多的空间限制。不过,如果不能对WLAN进行安全配置和管理,则可能给整个内部网络带来安全威胁。【实验目的】掌握常用的WLAN组建及安全管理。【实验条件】(1)AP一台;(2)基于Windows的PC机两台,分别配备无线网卡。【实验任务】(1)实现AP的安全配置;(2)实现两台STA通过AP以Infrastructure模式互连;(3)实现两台S
26、TA通过无线网卡以Ad-hoc模式互连。【实验内容】1.无线网卡安装在两台PC机上分别安装无线网卡,使其成为STA。基本的无线网卡安装由于产品不同,安装过程也会有所区别,这里不做详细叙述。无线网卡安装成功后可以在【网络连接】窗口中管理并配置无线网卡,如图11.8所示。图11.8无线网络连接2.AP连接对于AP的管理连接分有线和无线两种连接方式。本实验以无线连接方式配置AP为例进行演示。(1)首先将AP各部件按照说明书进行组合,并通过网线接入到上级交换机中(若只是实现STA通过AP互连,则AP可不必接入有线网络)。(2)配置STA无线网卡IP地址。本实验所用的AP说明书提供了其默认的初始IP配
27、置为192.168.1.1。因此,在STA1上右击如图11.8所示【网络连接】窗口中的“无线网络连接”“属性”,在“常规”选项卡中双击“Internet协议(TCP/IP)”,在【Internet协议(TCP/IP)属性】窗口中选择“使用下面的IP地址”,输入与默认AP在同一网段的IP地址和网关地址,如图11.9所示。图11.9配置无线网络连接IP地址(3)在【Internet协议(TCP/IP)属性】窗口中两次单击“确定”按钮后关闭无线网络连接属性窗口,完成无线网卡IP地址配置。(4)右击如图11.8所示【网络连接】窗口中的“无线网络连接”图标“查看可用的无线连接”,可以看到检测未启用安全
30、WEP40”(若对加密要求高则应选择“WEP128”),然后在“Passphrase”对话框中输入一个简单的字符串,单击其右侧的“生成密钥”按钮,即可在密钥序列中看到生成的密钥,选择其中的一个并告诉用户作为加密密钥。如图11.13所示。单击“应用”按钮,AP重新启动,无线网络适配器与AP连接断开。图11.13AP安全配置4.STA接入AP(1)以安装了Windows2003的STA为例,在如图11.8所示【网络连接】窗口中右击“无线网络连接”图标属性,选择“无线网络配置”选项卡,选中AP网络SSID,单击“属性”按钮,选择“网络身份验证”和“数据加密”方式,输入“网络密钥”,所有设置应
31、与AP中的设置保持一致,如图11.14所示(注:如果在无线网络配置中没有找到需要连接的SSID,则可单击“添加”按钮,然后按次序写入各参数)。(2)单击“确定”按钮关闭所有属性窗口,即可成功连接该无线网络。此时在【无线网络连接】窗口中可看到STA已连接到启用安全的无线网络,如图11.15所示。图11.14STA无线网络连接配置图11.15STA接入AP的无线网络5.AP其他功能的配置1)MAC地址过滤通过对接入的MAC地址进行限制可以防止非法主机的接入。(1)查看要限制的STA的IP地址:单击“开始”按钮“运行”,输入“cmd”打开DOS命令窗口,输入命令ipconfig/all,得到无线
32、网卡的MAC地址信息,如图11.16所示。(2)可以在如图11.5所示AP接入控制管理界面中添加允许或拒绝连接的STA的MAC地址,同时制定分配给该STA的带宽等参数。图11.16STA的MAC地址2)DHCP服务器功能为了便于更多的STA接入AP,可以启用AP的DHCP服务器,对接入的STA分配IP地址,如图11.17所示。3)SSID隐藏功能为了安全起见,可以隐藏AP的SSID,使一般的用户不能搜索到该无线网络,而只有知道该SSID的用户才能够接入,如图11.4所示。图11.17AP的DHCP服务器配置6.STA以Ad-hoc模式互连(1)在一台STA的【无线网络连接属性】窗口中的“无
33、线网络配置”选项卡中单击“添加”按钮,添加新的无线网络连接,选中“这是一个计算机到计算机(特定)的网络;没有使用无线访问点”,如图11.18所示。(2)单击“确定”按钮后可以在无线网络连接中看到新的无线网络,双击无线网络后进行连接,如图11.19所示。图11.18STA建立Ad-hoc无线网络配置图11.19Ad-hoc无线网络连接1(3)在另外一台STA(Windows2003)的无线网卡上设置好在同一网段的IP地址,在无线网络中可以看到刚增加的无线网络,设置好相同的参数后即可连接到此网络中,如图11.20所示。(4)两台STA互连后即可与有线网络连接一样进行资源共享和访问等操作。图11.20Ad-hoc无线网络连接2习题1.简述WLAN基本安全技术。2.简述WEP协议的认证技术原理及缺陷。3.简述802.1x的认证过程。4.实现WLAN利用防火墙技术进行安全接入LAN的网络构建。5.实现WLAN利用VPN技术进行安全接入LAN的网络构建。