成人在线你懂的-成人在线免费小视频-成人在线免费网站-成人在线免费视频观看-日韩精品国产一区二区-日韩精品国产一区

掃一掃
關(guān)注微信公眾號

企業(yè)無線局域網(wǎng)安全
2007-08-02   網(wǎng)絡(luò)

一、 前言以及版權(quán)

網(wǎng)絡(luò)本來是安全的,自從出現(xiàn)了研究網(wǎng)絡(luò)安全的人之后,網(wǎng)絡(luò)就越來越不安全了。希望更多的文章是用來防御,分析,而不是純粹的攻擊。本文可以任意轉(zhuǎn)載,但必須保證完整性,且不得私自用于商業(yè)用途。

這個文章本來是06年夏天就應(yīng)該貼出來的,可是后來寫了70%的時候忙別的事情搞忘記了,沒有繼續(xù)寫下去。這個周末突然記起無線局域網(wǎng)安全的事情,嚇一大跳。翻遍了硬盤也沒找到原稿,迫不得已之下,下午花一下午時間重新寫出來,重寫的肯定不可能和去年寫的一樣了,這是讓我非常郁悶的事情。

二、 無線局域網(wǎng)安全的演變

無線網(wǎng)絡(luò)在安全性方面,先天就比有線網(wǎng)絡(luò)脆弱——雖然有線網(wǎng)絡(luò)也存在很多安全問題。這是因為無線信號以空氣為介質(zhì),直接向四面八方廣播,任何人都可以很方便的捕獲到所傳輸?shù)男畔?,或者說被信息捕獲到。而有線網(wǎng)絡(luò)具有比較密閉的載體——網(wǎng)線,雖然網(wǎng)線也不是很硬,但是起碼我沒見過有人通過剪斷網(wǎng)線來截取資料。

經(jīng)過多年的努力,無線網(wǎng)絡(luò)的安全性逐漸發(fā)展,具備了不亞于有線網(wǎng)絡(luò)的安全性,下面將逐步介紹。需要注意的是,這里說的安全性,是指網(wǎng)絡(luò)協(xié)議本身的安全性,而不涉及到具體的操作系統(tǒng)和具體的應(yīng)用。因為對于具體的系統(tǒng)和應(yīng)用來說,協(xié)議層的安全是基礎(chǔ),系統(tǒng)以及應(yīng)用安全處于更上層。對于任何載體來說都是一樣的,與載體無關(guān)。

1. 無安全措施

最初的無線網(wǎng)絡(luò),還沒有采取任何的保密措施,一個無線網(wǎng)絡(luò)就相當于一個公共的廣場,任何人都可以直接進入。這是由它的使用領(lǐng)域決定的,當時無線網(wǎng)絡(luò)主要用來進行條形碼掃描等等,只需要考慮靈活方便,不去關(guān)注安全問題。

隨著使用范圍越來越廣,一些比較敏感的信息需要通過無線網(wǎng)絡(luò)傳輸,IEEE開始制定了初步的安全協(xié)議,防止信息被惡意攻擊者輕易截獲。

2. WEP保護

WEP是無線網(wǎng)絡(luò)最開始使用的安全協(xié)議,即有線等效協(xié)議,全稱為Wire Equal Protocol,是所有經(jīng)過Wi-Fi認證的無線局域網(wǎng)所支持的一項標準功能。

WEP提供基本的安全性保證,防止有意的竊聽, 它使用一套基于40位共享加密密鑰的RC4對稱加密算法對網(wǎng)絡(luò)中所有通過無線傳送的數(shù)據(jù)進行加密,密鑰直接部署在AP和客戶端,不需要公開傳輸,從而對網(wǎng)絡(luò)提供基本的傳輸加密。現(xiàn)在也支持128位的靜態(tài)密鑰,對傳輸加密的強度進行了增強。

WEP也提供基本的認證功能,當加密機制功能啟用后,客戶端嘗試連接上AP時,AP會發(fā)出一個Challenge Packet給客戶端,客戶端再利用預先保存的共享密鑰將此值加密后送回AP以進行認證比對,如果與AP自己進行加密后的數(shù)據(jù)一致,則該終端獲準聯(lián)入網(wǎng)絡(luò),存取網(wǎng)絡(luò)資源。

WEP協(xié)議存在非常多的缺陷,主要表現(xiàn)在密鑰管理,傳輸安全等方面。首先,終端密鑰必須和AP密鑰相同,并且需要在多臺終端上部署,用來進行基本的認證和加密。密鑰沒有統(tǒng)一管理部署的能力,更換密鑰時需要手動更新AP和所有的終端,成本極大。倘若一個用戶丟失密鑰,就會殃及到整個網(wǎng)絡(luò)的安全性。

其次,在數(shù)據(jù)傳輸方面,RC4加密算法存在很多缺陷,攻擊者收集到足夠多的密文數(shù)據(jù)包后,就可以對它們進行分析,只須很少的嘗試就可以計算出密鑰,接入到網(wǎng)絡(luò)之中。常見的網(wǎng)絡(luò)嗅探工具,比如WireShark就具有捕獲無線網(wǎng)絡(luò)數(shù)據(jù)的能力,破解WEP算法的工具也非常常見,比較著名的就是Aircrack,包含在Auditor Security Collection LIVE CD工具盤中。此工具盤中包含有KismetAirodump、Void11、Aireplay Aircrack等多個工具,是一套完整的攻擊工具。

最后,WEP中的數(shù)據(jù)完整性檢驗算法也不夠強壯,WEP ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數(shù),攻擊者篡改加密信息后,可以很容易地修改ICV,通過解密端的檢驗。

WEP只是一種基本的認證和傳輸加密協(xié)議,不適合在企業(yè)級環(huán)境中使用,現(xiàn)在一般使用在不注重安全性,且終端數(shù)目少的家庭網(wǎng)絡(luò)中。

3. WPA保護

WPAWi-Fi Protected Access)技術(shù)是IEEE2003年正式提出并推行的一項無線局域網(wǎng)安全技術(shù),其目的是代替WEP協(xié)議,成為一個可提供企業(yè)級安全的無線網(wǎng)絡(luò)認證傳輸協(xié)議。WPAIEEE802.11i的子集,是在802.11i實施之前的一個臨時過渡協(xié)議,其核心就是IEEE 802.1xTKIP。其中802.1x是基于端口的認證協(xié)議,TKIP則提供高安全級別的傳輸加密和完整性檢測功能,組成一個完整的解決方案。

1) 802.1x認證控制技術(shù)

802.1x協(xié)議是由IEEE定義的,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認證和授權(quán),引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。EAP(擴展認證協(xié)議)本身不提供認證功能,而是提供一個可擴展的基本認證框架,各公司可以在此框架的基礎(chǔ)之上發(fā)展出各種各樣的認證協(xié)議。比如EAP-TLSPEAPTTLS,LEAPEAP-MD5等各種認證協(xié)議,這些協(xié)議主要由微軟,思科,3com等公司提出并實現(xiàn)。

在使用802.1x端口控制技術(shù)的無線網(wǎng)絡(luò)中,當無線工作站與無線訪問點AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認證結(jié)果。認證通過上述的各種擴展認證協(xié)議進行,如果認證通過,則AP為無線工作站打開這個邏輯端口,否則不允許用戶上網(wǎng)。

802.1x提供一種靈活可信的認證控制技術(shù),可以使用各種擴展認證協(xié)議,包括證書和動態(tài)口令在內(nèi),因此是一種可以信賴的認證方法。

2) TKIP加密協(xié)議

WPA采用TKIPTemporal Key Integrity Protocol)為加密引入了新的機制,在用戶連接到AP,認證服務(wù)器接受了用戶身份之后,使用802.1x產(chǎn)生一個唯一的主密鑰處理會話。然后,TKIP把這個密鑰通過安全通道分發(fā)到AP和此用戶的客戶端,并建立起一個密鑰構(gòu)架和管理系統(tǒng),使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰,來加密每一個無線通訊數(shù)據(jù)報文。TKIP的密鑰構(gòu)架使WEP靜態(tài)單一的密鑰變成了500萬億個可用密鑰。由于使用了動態(tài)密鑰來進行傳輸加密,且密鑰長度有了增強,因此TKIP加密傳輸幾乎不可能被破解。

在消息完整性檢測方面,TKIP除了和WEP一樣繼續(xù)保留對每個數(shù)據(jù)分段進行CRC校驗外,還為每個數(shù)據(jù)分組都增加了一個8個字節(jié)的消息完整性校驗值。這和WEP對每個數(shù)據(jù)分段進行ICV校驗的目的不同:ICV的目的是為了保證數(shù)據(jù)在傳輸途中不會因為噪聲等物理因素導致報文出錯,因此采用相對簡單高效的CRC算法,但是攻擊者可以通過修改ICV值來使之和被篡改過的報文相吻合,可以說沒有任何安全的功能。而TKIP則是為了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。當MIC發(fā)生錯誤的時候, WPA會采取一系列的對策,比如立刻更換密鑰、暫停活動等,來阻止攻擊。

WAP協(xié)議在認證和傳輸,以及完整性檢測方面,達到了很高的安全級別,滿足了普通企業(yè)的需求。同時,802.1x認證技術(shù),認證數(shù)據(jù)可以方便的統(tǒng)一管理,降低了部署難度。因此WPA適合于一般的企業(yè)級應(yīng)用。

4. IEEE 802.11i保護以及WAPI

802.11iIEEE最新的無線網(wǎng)絡(luò)安全協(xié)議,包含802.1x認證技術(shù),TKIPAESAdvanced Encryption Standard)加密技術(shù)。而WAPI則由中國提出,采用公開密鑰密碼體制,利用證書來對無線局域網(wǎng)中的終端和AP進行認證。對這兩種最新的協(xié)議我并沒有完全理解,就不多說了,可以參考《解析新一代安全技術(shù)IEEE 802.11i、WPA和WAPI》一文。

5. 其他安全技術(shù)

這里的其他安全技術(shù)主要是指SSIDMAC地址過濾等技術(shù),這些技術(shù)由于不適合企業(yè)級應(yīng)用,并且安全性不高,理解容易,這里就不多提了。

三、 加強的安全與實例

從目前的各種技術(shù)的成熟角度,以及安全性來考慮,WPA是最好的選擇,使用802.1x進行身份認證,使用TKIP來加密傳輸,檢測完整性。但是對于更高的安全需求,就需要使用一些綜合的技術(shù)方法,來達到獨特的目的。

目前來說,對于認證,最安全的方法是使用一次性口令,通過不變的key加上每分鐘改變一次的隨機的硬件token作為密碼,可以達到防御任何監(jiān)聽,破解,記錄密碼的攻擊方法。802.1x使用了EAP擴展認證協(xié)議,因此也支持動態(tài)口令認證技術(shù),許多公司都有自己的實現(xiàn)。

對于數(shù)據(jù)的傳輸,TKIP雖然大幅提高了安全性,但是仍然只是對數(shù)據(jù)的加密,達不到一個安全的可信通道的要求。目前來說,VPN是這方面的最好選擇。

因此,我認為在需要高安全級別的無線網(wǎng)絡(luò)的環(huán)境中,使用動態(tài)口令認證,加上VPN安全通道傳輸是一個比較好的解決方案。在網(wǎng)絡(luò)中不是一臺RADIUS服務(wù)器,用來提供802.1x身份認證功能。在AP的后端,所有無線連接終結(jié)到一臺VPN設(shè)備。

當用戶連接到AP時,不需要任何的身份認證,但是由于隔離技術(shù),用戶是無法訪問或者攻擊到此AP上的其他用戶的。要訪問網(wǎng)絡(luò)資源,必須手動連接VPN服務(wù)器,此時進行動態(tài)口令的認證。認證成功,則打開邏輯端口,允許訪問。

四、 總結(jié)

本文就到此結(jié)束了,主要是介紹了一下我對企業(yè)級無線網(wǎng)絡(luò)安全的理解。這里的安全是網(wǎng)絡(luò)協(xié)議的安全,只是防范未授權(quán)用戶對無線網(wǎng)絡(luò)的攻擊。對于來自無線網(wǎng)絡(luò)內(nèi)部的攻擊,則屬于系統(tǒng)安全和應(yīng)用安全的范圍,不是無線網(wǎng)絡(luò)的安全協(xié)議解決的范疇之內(nèi)。

最后還是希望網(wǎng)絡(luò)越來越安全吧,這樣我上班也可以輕松一點。

熱詞搜索:

上一篇:不同的企業(yè)對無線網(wǎng)絡(luò)需不同的安全策略
下一篇:安全無限:捍衛(wèi)無線區(qū)域網(wǎng)絡(luò)的安全

分享到: 收藏
主站蜘蛛池模板: 雾里看花电视剧剧情介绍| 影库| 赵大勇| 恩乔| cctv5+体育台节目表| 学生基本情况分析| 韩国一级伦理片| 会议议程模板| 上门女婿电影完整版免费| 韩义生| 青春残酷物语| 克里斯蒂娜·阿奎莱拉| 西野翔电影| 《灿烂的季节》大结局| 山楂树简谱| 1905电影网免费电影| 龙的心电影完整版国语| 熊乃瑾个人资料| 白培中| 免费播放电影大全免费观看| 飞天少女猪| 成人在线免费播放视频| 放下一个人最狠的网名| 三浦亚沙妃| 云上的宝石| 绝顶五秒前| 腾格尔演的喜剧电影| 潘月彤| mc水观音| 女同性电影| 珠江电视台直播 珠江频道| 永恒族电影| 中国首富排行榜| 夜的命名术动漫| 《可爱的小鸟》阅读答案| 小镇追凶电影在线观看| 阿尔法电影| 阿尔罕布拉宫的回忆吉他谱| 廊桥遗梦演员表| 张凤妮| 二年级上册道法教学计划|