无线网络安全解决方案.docx
- 文档编号:981811
- 上传时间:2022-10-14
- 格式:DOCX
- 页数:14
- 大小:90.99KB
无线网络安全解决方案.docx
《无线网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《无线网络安全解决方案.docx(14页珍藏版)》请在冰豆网上搜索。
无线网络安全解决方案
无线网络安全解决方案
无线网络安全解决方案
1.WLAN的应用现状
1.1Wi-Fi在全球范围迅速发展的趋势
无线局域网(WLAN)作为一种能够帮助移动人群保持网络连接的技术,在全球范围内受到来自多个领域用户的支持,当前已经获得迅猛发展。
无线局域网(WLAN)的发展主要从公共热点(在公共场所部署的无线局域网环境)和企业组织机构内部架设两个方向铺开。
世界范围内的公共无线局域网(WLAN)热点数量三年增加近60倍。
预计将从的14717个增长到的30多万个,用户数量增加四倍。
据IDC预测,到全球的WLAN用户将达到2460万,比增长近十倍;销售的全部笔记本电脑中只有10%支持WLAN,当前是31%,预计到,售出的笔记本电脑中将有80%具备无线支持能力。
在亚太区,这一发展势头同样强劲。
市场调查公司GartnerDataquest指出,公共无线局域网(WLAN)服务在亚太地区将保持强劲的发展势头。
至少在澳大利亚、香港、日本、新加坡、韩国和台湾这六大市场,热点的数量在迅速增加。
亚太地区只有1,625个热点,预计到,热点的数量将接近3.8万。
1.2在企业、学校等组织机构内部,笔记本电脑的普及也带动了无线局域网(WLAN)的普及。
以英特尔公司为例,全球79,000名员工中有65%以上的人使用笔记本电脑,其中80%以上的办公室都部署了无线局域网(WLAN),英特尔围绕具备无线能力的笔记本电脑如何改变其员工的生活习惯和工作效率进行了调查,结果表明,员工的工作效率平均每周提高了两小时以上,远远超过了所花费的升级成本,而且完成一般办公室任务的速度提高了37%。
另外,无线移动性还迅速改变了员工的工作方式,使其能够更加灵活自主地安排自己的工作。
2.WLAN面临的安全问题
由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(AccessPoint)所服务的区域中,任何一个无线客户端都能够接受到此接入点的电磁波信号,这样就可能包括一些恶意用户也能接收到其它无线数据信号。
这样恶意用户在无线局域网中相对于在有线局域网当中,去窃听或干扰信息就来得容易得多。
WLAN所面临的安全威胁主要有以下几类:
2.1网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者能够乘机监视并破解(读取)通信。
这类攻击是企业管理员面临的最大安全问题。
如果没有基于加密的强有力的安全服务,数据就很容易在空气中传输时被她人读取并利用。
2.2AP中间人欺骗
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。
解决这种攻击的一般做法是采用双向认证方法(即网络认证用户,同时用户也认证网络)和基于应用层的加密认证(如HTTPS+WEB)。
2.3WEP破解
现在互联网上存在一些程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。
根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,以及由于802.11帧冲突引起的IV重发数量,最快能够在两个小时内攻破WEP密钥。
2.4MAC地址欺骗
即使AP起用了MAC地址过滤,使未授权的黑客的无线网卡不能连接AP,这并不意味着能阻止黑客进行无线信号侦听。
经过某些软件分析截获的数据,能够获得AP允许通信的STA MAC地址,这样黑客就能利用MAC地址伪装等手段入侵网络了。
3.WLAN业界的安全技术
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞。
可是另一方面,由于WLAN标准是公开的,随着使用的推广,更多的专家参与了无线标准的制定,使其安全技术迅速成熟起来。
现在不只是在家庭,学校,中小企业里边WLAN得到广泛的应用,在安全最敏感的大企业,大银行户头(例如全球财富500强),政府机构,WLAN的安全可靠性也得到了认可,并大量地推广使用。
具体地讲,为了有效保障无线局域网(WLAN)的安全性,就必须实现以下几个安全目标:
1.提供接入控制:
验证用户,授权她们接入特定的资源,同时拒绝为XX的用户提供接入;
2.确保连接的保密与完好:
利用强有力的加密和校验技术,防止XX的用户窃听、插入或修改经过无线网络传输的数据;
3.防止拒绝服务(DoS)攻击:
确保不会有用户占用某个接入点的所有可用带宽,从而影响其它用户的正常接入。
无线局域网的安全技术这几年得到了快速的发展和应用。
下面是业界常见的无线网络安全技术:
●服务区标识符(SSID)匹配;
●无线网卡物理地址(MAC)过滤;
●有线等效保密(WEP);
●端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP);
●WPA(Wi-Fi保护访问)技术;
●高级的无线局域网安全标准——IEEE802.11i;
3.1SSID
SSID(ServiceSetIdentifier)将一个无线局域网分为几个不同的子网络,每一个子网络都有其对应的身份标识(SSID),只有无线终端设置了配正确SSID才接入相应的子网络。
因此能够认为SSID是一个简单的口令,提供了口令认证机制,实现了一定的安全性。
可是这种口令极易被无线终端探测出来,企业级无线应用绝不能只依赖这种技术做安全保障,而只能作为区分不同无线服务区的标识。
3.2MAC地址过滤
每个无线工作站网卡都由唯一的物理地址(MAC)标识,该物理地址编码方式类似于以太网物理地址,是48位。
网络管理员可在无线局域网访问点AP中手工维护一组(不)允许经过AP访问网络地址列表,以实现基于物理地址的访问过滤。
MAC地址过滤的好处和优势
●简化了访问控制
●接受或拒绝预先设定的用户
●被过滤的MAC不能进行访问
●提供了第2层的防护
MAC地址过滤的缺点
●当AP和无线终端数量较多时,大大增加了管理负担
●容易受到MAC地址伪装攻击
3.3802.11WEP
WEP
IEEE80211.b标准规定了一种被称为有线等效保密(WEP)的可选加密方案,其目的是为WLAN提供与有线网络相同级别的安全保护。
WEP是采用静态的有线等同保密密钥的基本安全方式。
静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。
WEP的好处和优势
WEP在传输上提供了一定的安全性和保密性,能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容,其优点在于:
●全部报文都使用校验和加密,提供了一些抵抗篡改的能力
●经过加密来维护一定的保密性,如果没有密钥,就难把报文解密
●WEP非常容易实现
●WEP为WLAN应用程序提供了非常基本的保护
WEP的缺点
●静态WEP密钥对于WLAN上的所有用户都是通用的
这意味着如果某个无线设备丢失或者被盗,所有其它设备上的静态WEP密钥都必须进行修改,以保持相同等级的安全性。
这将给网络的管理员带来非常费时费力的、不切实际的管理任务。
●缺少密钥管理
WEP标准中并没有规定共享密钥的管理方案,一般是手工进行配置与维护。
由于同时更换密钥的费时与困难,因此密钥一般长时间使用而很少更换。
●ICV算法不合适
ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。
CRC-32是信息的线性函数,这意味着攻击者能够篡改加密信息,并很容易地修改ICV,使信息表面上看起来是可信的。
●RC4算法存在弱点
在RC4中,人们发现了弱密钥。
所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。
攻击者收集到足够使用弱密钥的包后,就能够对它们进行分析,只须尝试很少的密钥就能够接入到网络中。
●认证信息易于伪造
基于WEP的共享密钥认证的目的就是实现访问控制,然而事实却截然相反,只要经过监听一次成功的认证,攻击者以后就能够伪造认证。
启动共享密钥认证实际上降低了网络的总体安全性,使猜中WEP密钥变得更为容易。
WEP2
为了提供更高的安全性,WiFi工作组提供了WEP2技术,该技术相比WEP算法,只是将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到128位。
然而WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度。
也就是说WEP2算法并没有起到提高安全性的作用。
3.4802.1x/EAP用户认证
802.1x认证技术
802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。
基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。
如果认证失败,则禁止该设备访问LAN资源。
尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合802.11标准的无线局域网,且被视为是WLAN的一种增强性网络安全解决方案。
802.1x体系结构包括三个主要的组件:
●请求方(Supplicant):
提出认证申请的用户接入设备,在无线网络中,一般指待接入网络的无线客户机STA。
●认证方(Authenticator):
允许客户机进行网络访问的实体,在无线网络中,一般指访问接入点AP。
●认证服务器(AuthenticationSever):
为认证方提供认证服务的实体。
认证服务器对请求方进行验证,然后告知认证方该请求者是否为授权用户。
认证服务器能够是某个单独的服务器实体,也能够不是,后一种情况一般是将认证功能集成在认证方Authenticator中。
802.1x草案为认证方定义了两种访问控制端口:
即"受控"端口和"非受控"端口。
"受控端口"分配给那些已经成功经过认证的实体进行网络访问;而在认证尚未完成之前,所有的通信数据流从"非受控端口"进出。
"非受控端口"只允许经过802.1X认证数据,一旦认证成功经过,请求方就能够经过"受控端口"访问LAN资源和服务。
下图列出802.1x认证前后的逻辑示意图。
802.1x技术是一种增强型的网络安全解决方案。
在采用802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为请求方,无线访问点AP内嵌802.1x认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。
802.1x认证一般包括以下几种EAP(ExtensibleAuthenticationProtocol)认证模式:
●EAP-MD5
●EAP-TLS(TransportLayerSecurity)
●EAP-TTLS(TunnelledTransportLayerSecurity)
●EAP-PEAP(ProtectedEAP)
●EAP-LEAP(LightweightEAP)
●EAP-SIM
802.1x认证技术的好处和优势
●802.1x协议仅仅关注受控端口的打开与关闭;
●接入认证经过之后,IP数据包在二层普通MAC帧上传送;
●由于是采用Radius协议进行认证,因此能够很方便地与其它认证平台进行对接;
●提供基于用户的计费系统。
802.1x认证技术的缺点
●只提供用户接入认证机制。
没有提供认证成功之后的数据加密。
●一般只提供单向认证
●它提供STA与RADIUS服务器之间的认证,而不是与AP之间的认证
●用户的数据依然是使用的RC4进行加密。
3.5WPA(802.11i)
802.11i——新一代WLAN安全标准
为了使WLAN技术从安全性得不到很好保障的困境中解脱出来,IEEE802.11的i工作组致力于制订被称为IEEE802.11i的新一代安全标准,这种安全标准是为了增强WLAN的数据加密和认证性能,定义了RSN(Robust
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 无线 网络安全 解决方案