無線局域網(wǎng)安全技術(shù)白皮書
資源天下 2019/8/28 18:57:35
目錄
1. 無線局域網(wǎng)的安全威脅 1
2. 基本的無線局域網(wǎng)安全技術(shù) 1
2.1 物理地址( MAC )過濾 1
2.2 服務(wù)區(qū)標(biāo)識符 ( SSID ) 匹配 1
2.3 有線對等保密(WEP) 2
2.4 端口訪問控制技術(shù)(IEEE802.1x)和可擴展認(rèn)證協(xié)議(EAP) 4
2.5 WPA(Wi-Fi Protected Access) 6
2.6 IEEE 802.11i 8
2.7 CCMP加密 9
3. 無線局域網(wǎng)的安全策略 13
無線局域網(wǎng)(WLAN)具有安裝便捷、使用靈活、經(jīng)濟節(jié)約、易于擴展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點,因此無線局域網(wǎng)得到越來越廣泛的使用。但是由于無線局域網(wǎng)信道開放的特點,使得攻擊者能夠很容易的進行竊聽,惡意修改并轉(zhuǎn)發(fā),因此安全性成為阻礙無線局域網(wǎng)發(fā)展的最重要因素。雖然一方面對無線局域網(wǎng)需求不斷增長,但同時也讓許多潛在的用戶對不能夠得到可靠的安全保護而對最終是否采用無線局域網(wǎng)系統(tǒng)猶豫不決。
就目前而言,有很多種無線局域網(wǎng)的安全技術(shù),包括物理地址( MAC )過濾、服務(wù)區(qū)標(biāo)識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(shù)(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。面對如此多的安全技術(shù),應(yīng)該選擇哪些技術(shù)來解決無線局域網(wǎng)的安全問題,才能滿足用戶對安全性的要求。
1. 無線局域網(wǎng)的安全威脅
利用WLAN進行通信必須具有較高的通信保密能力。對于現(xiàn)有的WLAN產(chǎn)品,它的安全隱患主要有以下幾點:
(1)未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)
由于無線局域網(wǎng)的開放式訪問方式,非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源,不僅會占用寶貴的無線信道資源,增加帶寬費用,降低合法用戶的服務(wù)質(zhì)量,而且未經(jīng)授權(quán)的用戶沒有遵守運營商提出的服務(wù)條款,甚至可能導(dǎo)致法律糾紛。
(2)地址欺騙和會話攔截(中間人攻擊)
在無線環(huán)境中,非法用戶通過偵聽等手段獲得網(wǎng)絡(luò)中合法站點的MAC地址比有線環(huán)境中要容易得多,這些合法的MAC地址可以被用來進行惡意攻擊。
另外,由于IEEE802.11沒有對AP身份進行認(rèn)證,非法用戶很容易裝扮成AP進入網(wǎng)絡(luò),并進一步獲取合法用戶的鑒別身份信息,通過會話攔截實現(xiàn)網(wǎng)絡(luò)入侵。
(3)高級入侵(企業(yè)網(wǎng))
一旦攻擊者進入無線網(wǎng)絡(luò),它將成為進一步入侵其他系統(tǒng)的起點。多數(shù)企業(yè)部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞,只要攻破無線網(wǎng)絡(luò),就會使整個網(wǎng)絡(luò)暴露在非法用戶面前。
2. 基本的無線局域網(wǎng)安全技術(shù)
通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個方面。訪問控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進行訪問,而數(shù)據(jù)加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶所接收和理解。
下面對在無線局域網(wǎng)中常用的安全技術(shù)進行簡介。
2.1 物理地址( MAC )過濾
每個無線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC)標(biāo)識,可在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這種方法的效率會隨著終端數(shù)目的增加而降低,而且非法用戶通過網(wǎng)絡(luò)偵聽就可獲得合法的MAC地址表,而MAC地址并不難修改,因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。
圖2.1 MAC地址過濾
2.2 服務(wù)區(qū)標(biāo)識符 ( SSID ) 匹配
無線客戶端必需設(shè)置與無線訪問點AP相同的SSID ,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。利用SSID設(shè)置,可以很好地進行用戶群體分組,避免任意漫游帶來的安全和訪問性能的問題?梢酝ㄟ^設(shè)置隱藏接入點(AP)及SSID區(qū)域的劃分和權(quán)限控制來達到保密的目的,因此可以認(rèn)為SSID是一個簡單的口令,通過提供口令認(rèn)證機制,實現(xiàn)一定的安全。
圖2.2 服務(wù)區(qū)標(biāo)識匹配
2.3 有線對等保密(WEP)
在IEEE802.11中,定義了WEP來對無線傳送的數(shù)據(jù)進行加密,WEP的核心是采用的RC4算法。在標(biāo)準(zhǔn)中,加密密鑰長度有64位和1(未完,下一頁)
|