亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

企業(yè)無線局域網(wǎng)安全
2007-08-02   網(wǎng)絡(luò)

一、 前言以及版權(quán)

網(wǎng)絡(luò)本來是安全的,自從出現(xiàn)了研究網(wǎng)絡(luò)安全的人之后,網(wǎng)絡(luò)就越來越不安全了。希望更多的文章是用來防御,分析,而不是純粹的攻擊。本文可以任意轉(zhuǎn)載,但必須保證完整性,且不得私自用于商業(yè)用途。

這個(gè)文章本來是06年夏天就應(yīng)該貼出來的,可是后來寫了70%的時(shí)候忙別的事情搞忘記了,沒有繼續(xù)寫下去。這個(gè)周末突然記起無線局域網(wǎng)安全的事情,嚇一大跳。翻遍了硬盤也沒找到原稿,迫不得已之下,下午花一下午時(shí)間重新寫出來,重寫的肯定不可能和去年寫的一樣了,這是讓我非常郁悶的事情。

二、 無線局域網(wǎng)安全的演變

無線網(wǎng)絡(luò)在安全性方面,先天就比有線網(wǎng)絡(luò)脆弱——雖然有線網(wǎng)絡(luò)也存在很多安全問題。這是因?yàn)闊o線信號(hào)以空氣為介質(zhì),直接向四面八方廣播,任何人都可以很方便的捕獲到所傳輸?shù)男畔ⅲ蛘哒f被信息捕獲到。而有線網(wǎng)絡(luò)具有比較密閉的載體——網(wǎng)線,雖然網(wǎng)線也不是很硬,但是起碼我沒見過有人通過剪斷網(wǎng)線來截取資料。

經(jīng)過多年的努力,無線網(wǎng)絡(luò)的安全性逐漸發(fā)展,具備了不亞于有線網(wǎng)絡(luò)的安全性,下面將逐步介紹。需要注意的是,這里說的安全性,是指網(wǎng)絡(luò)協(xié)議本身的安全性,而不涉及到具體的操作系統(tǒng)和具體的應(yīng)用。因?yàn)閷?duì)于具體的系統(tǒng)和應(yīng)用來說,協(xié)議層的安全是基礎(chǔ),系統(tǒng)以及應(yīng)用安全處于更上層。對(duì)于任何載體來說都是一樣的,與載體無關(guān)。

1. 無安全措施

最初的無線網(wǎng)絡(luò),還沒有采取任何的保密措施,一個(gè)無線網(wǎng)絡(luò)就相當(dāng)于一個(gè)公共的廣場(chǎng),任何人都可以直接進(jìn)入。這是由它的使用領(lǐng)域決定的,當(dāng)時(shí)無線網(wǎng)絡(luò)主要用來進(jìn)行條形碼掃描等等,只需要考慮靈活方便,不去關(guān)注安全問題。

隨著使用范圍越來越廣,一些比較敏感的信息需要通過無線網(wǎng)絡(luò)傳輸,IEEE開始制定了初步的安全協(xié)議,防止信息被惡意攻擊者輕易截獲。

2. WEP保護(hù)

WEP是無線網(wǎng)絡(luò)最開始使用的安全協(xié)議,即有線等效協(xié)議,全稱為Wire Equal Protocol,是所有經(jīng)過Wi-Fi認(rèn)證的無線局域網(wǎng)所支持的一項(xiàng)標(biāo)準(zhǔn)功能。

WEP提供基本的安全性保證,防止有意的竊聽, 它使用一套基于40位共享加密密鑰的RC4對(duì)稱加密算法對(duì)網(wǎng)絡(luò)中所有通過無線傳送的數(shù)據(jù)進(jìn)行加密,密鑰直接部署在AP和客戶端,不需要公開傳輸,從而對(duì)網(wǎng)絡(luò)提供基本的傳輸加密。現(xiàn)在也支持128位的靜態(tài)密鑰,對(duì)傳輸加密的強(qiáng)度進(jìn)行了增強(qiáng)。

WEP也提供基本的認(rèn)證功能,當(dāng)加密機(jī)制功能啟用后,客戶端嘗試連接上AP時(shí),AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端,客戶端再利用預(yù)先保存的共享密鑰將此值加密后送回AP以進(jìn)行認(rèn)證比對(duì),如果與AP自己進(jìn)行加密后的數(shù)據(jù)一致,則該終端獲準(zhǔn)聯(lián)入網(wǎng)絡(luò),存取網(wǎng)絡(luò)資源。

WEP協(xié)議存在非常多的缺陷,主要表現(xiàn)在密鑰管理,傳輸安全等方面。首先,終端密鑰必須和AP密鑰相同,并且需要在多臺(tái)終端上部署,用來進(jìn)行基本的認(rèn)證和加密。密鑰沒有統(tǒng)一管理部署的能力,更換密鑰時(shí)需要手動(dòng)更新AP和所有的終端,成本極大。倘若一個(gè)用戶丟失密鑰,就會(huì)殃及到整個(gè)網(wǎng)絡(luò)的安全性。

其次,在數(shù)據(jù)傳輸方面,RC4加密算法存在很多缺陷,攻擊者收集到足夠多的密文數(shù)據(jù)包后,就可以對(duì)它們進(jìn)行分析,只須很少的嘗試就可以計(jì)算出密鑰,接入到網(wǎng)絡(luò)之中。常見的網(wǎng)絡(luò)嗅探工具,比如WireShark就具有捕獲無線網(wǎng)絡(luò)數(shù)據(jù)的能力,破解WEP算法的工具也非常常見,比較著名的就是Aircrack,包含在Auditor Security Collection LIVE CD工具盤中。此工具盤中包含有KismetAirodumpVoid11Aireplay Aircrack等多個(gè)工具,是一套完整的攻擊工具。

最后,WEP中的數(shù)據(jù)完整性檢驗(yàn)算法也不夠強(qiáng)壯,WEP ICV是一種基于CRC-32的用于檢測(cè)傳輸噪音和普通錯(cuò)誤的算法。CRC-32是信息的線性函數(shù),攻擊者篡改加密信息后,可以很容易地修改ICV,通過解密端的檢驗(yàn)。

WEP只是一種基本的認(rèn)證和傳輸加密協(xié)議,不適合在企業(yè)級(jí)環(huán)境中使用,現(xiàn)在一般使用在不注重安全性,且終端數(shù)目少的家庭網(wǎng)絡(luò)中。

3. WPA保護(hù)

WPAWi-Fi Protected Access)技術(shù)是IEEE2003年正式提出并推行的一項(xiàng)無線局域網(wǎng)安全技術(shù),其目的是代替WEP協(xié)議,成為一個(gè)可提供企業(yè)級(jí)安全的無線網(wǎng)絡(luò)認(rèn)證傳輸協(xié)議。WPAIEEE802.11i的子集,是在802.11i實(shí)施之前的一個(gè)臨時(shí)過渡協(xié)議,其核心就是IEEE 802.1xTKIP。其中802.1x是基于端口的認(rèn)證協(xié)議,TKIP則提供高安全級(jí)別的傳輸加密和完整性檢測(cè)功能,組成一個(gè)完整的解決方案。

1) 802.1x認(rèn)證控制技術(shù)

802.1x協(xié)議是由IEEE定義的,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認(rèn)證和授權(quán),引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAPEAP(擴(kuò)展認(rèn)證協(xié)議)本身不提供認(rèn)證功能,而是提供一個(gè)可擴(kuò)展的基本認(rèn)證框架,各公司可以在此框架的基礎(chǔ)之上發(fā)展出各種各樣的認(rèn)證協(xié)議。比如EAP-TLSPEAPTTLSLEAPEAP-MD5等各種認(rèn)證協(xié)議,這些協(xié)議主要由微軟,思科,3com等公司提出并實(shí)現(xiàn)。

在使用802.1x端口控制技術(shù)的無線網(wǎng)絡(luò)中,當(dāng)無線工作站與無線訪問點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。認(rèn)證通過上述的各種擴(kuò)展認(rèn)證協(xié)議進(jìn)行,如果認(rèn)證通過,則AP為無線工作站打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。

802.1x提供一種靈活可信的認(rèn)證控制技術(shù),可以使用各種擴(kuò)展認(rèn)證協(xié)議,包括證書和動(dòng)態(tài)口令在內(nèi),因此是一種可以信賴的認(rèn)證方法。

2) TKIP加密協(xié)議

WPA采用TKIPTemporal Key Integrity Protocol)為加密引入了新的機(jī)制,在用戶連接到AP,認(rèn)證服務(wù)器接受了用戶身份之后,使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話。然后,TKIP把這個(gè)密鑰通過安全通道分發(fā)到AP和此用戶的客戶端,并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng),使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰,來加密每一個(gè)無線通訊數(shù)據(jù)報(bào)文。TKIP的密鑰構(gòu)架使WEP靜態(tài)單一的密鑰變成了500萬億個(gè)可用密鑰。由于使用了動(dòng)態(tài)密鑰來進(jìn)行傳輸加密,且密鑰長(zhǎng)度有了增強(qiáng),因此TKIP加密傳輸幾乎不可能被破解。

在消息完整性檢測(cè)方面,TKIP除了和WEP一樣繼續(xù)保留對(duì)每個(gè)數(shù)據(jù)分段進(jìn)行CRC校驗(yàn)外,還為每個(gè)數(shù)據(jù)分組都增加了一個(gè)8個(gè)字節(jié)的消息完整性校驗(yàn)值。這和WEP對(duì)每個(gè)數(shù)據(jù)分段進(jìn)行ICV校驗(yàn)的目的不同:ICV的目的是為了保證數(shù)據(jù)在傳輸途中不會(huì)因?yàn)樵肼暤任锢硪蛩貙?dǎo)致報(bào)文出錯(cuò),因此采用相對(duì)簡(jiǎn)單高效的CRC算法,但是攻擊者可以通過修改ICV值來使之和被篡改過的報(bào)文相吻合,可以說沒有任何安全的功能。而TKIP則是為了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。當(dāng)MIC發(fā)生錯(cuò)誤的時(shí)候, WPA會(huì)采取一系列的對(duì)策,比如立刻更換密鑰、暫停活動(dòng)等,來阻止攻擊。

WAP協(xié)議在認(rèn)證和傳輸,以及完整性檢測(cè)方面,達(dá)到了很高的安全級(jí)別,滿足了普通企業(yè)的需求。同時(shí),802.1x認(rèn)證技術(shù),認(rèn)證數(shù)據(jù)可以方便的統(tǒng)一管理,降低了部署難度。因此WPA適合于一般的企業(yè)級(jí)應(yīng)用。

4. IEEE 802.11i保護(hù)以及WAPI

802.11iIEEE最新的無線網(wǎng)絡(luò)安全協(xié)議,包含802.1x認(rèn)證技術(shù),TKIPAESAdvanced Encryption Standard)加密技術(shù)。而WAPI則由中國提出,采用公開密鑰密碼體制,利用證書來對(duì)無線局域網(wǎng)中的終端和AP進(jìn)行認(rèn)證。對(duì)這兩種最新的協(xié)議我并沒有完全理解,就不多說了,可以參考《解析新一代安全技術(shù)IEEE 802.11i、WPA和WAPI》一文。

5. 其他安全技術(shù)

這里的其他安全技術(shù)主要是指SSIDMAC地址過濾等技術(shù),這些技術(shù)由于不適合企業(yè)級(jí)應(yīng)用,并且安全性不高,理解容易,這里就不多提了。

三、 加強(qiáng)的安全與實(shí)例

從目前的各種技術(shù)的成熟角度,以及安全性來考慮,WPA是最好的選擇,使用802.1x進(jìn)行身份認(rèn)證,使用TKIP來加密傳輸,檢測(cè)完整性。但是對(duì)于更高的安全需求,就需要使用一些綜合的技術(shù)方法,來達(dá)到獨(dú)特的目的。

目前來說,對(duì)于認(rèn)證,最安全的方法是使用一次性口令,通過不變的key加上每分鐘改變一次的隨機(jī)的硬件token作為密碼,可以達(dá)到防御任何監(jiān)聽,破解,記錄密碼的攻擊方法。802.1x使用了EAP擴(kuò)展認(rèn)證協(xié)議,因此也支持動(dòng)態(tài)口令認(rèn)證技術(shù),許多公司都有自己的實(shí)現(xiàn)。

對(duì)于數(shù)據(jù)的傳輸,TKIP雖然大幅提高了安全性,但是仍然只是對(duì)數(shù)據(jù)的加密,達(dá)不到一個(gè)安全的可信通道的要求。目前來說,VPN是這方面的最好選擇。

因此,我認(rèn)為在需要高安全級(jí)別的無線網(wǎng)絡(luò)的環(huán)境中,使用動(dòng)態(tài)口令認(rèn)證,加上VPN安全通道傳輸是一個(gè)比較好的解決方案。在網(wǎng)絡(luò)中不是一臺(tái)RADIUS服務(wù)器,用來提供802.1x身份認(rèn)證功能。在AP的后端,所有無線連接終結(jié)到一臺(tái)VPN設(shè)備。

當(dāng)用戶連接到AP時(shí),不需要任何的身份認(rèn)證,但是由于隔離技術(shù),用戶是無法訪問或者攻擊到此AP上的其他用戶的。要訪問網(wǎng)絡(luò)資源,必須手動(dòng)連接VPN服務(wù)器,此時(shí)進(jìn)行動(dòng)態(tài)口令的認(rèn)證。認(rèn)證成功,則打開邏輯端口,允許訪問。

四、 總結(jié)

本文就到此結(jié)束了,主要是介紹了一下我對(duì)企業(yè)級(jí)無線網(wǎng)絡(luò)安全的理解。這里的安全是網(wǎng)絡(luò)協(xié)議的安全,只是防范未授權(quán)用戶對(duì)無線網(wǎng)絡(luò)的攻擊。對(duì)于來自無線網(wǎng)絡(luò)內(nèi)部的攻擊,則屬于系統(tǒng)安全和應(yīng)用安全的范圍,不是無線網(wǎng)絡(luò)的安全協(xié)議解決的范疇之內(nèi)。

最后還是希望網(wǎng)絡(luò)越來越安全吧,這樣我上班也可以輕松一點(diǎn)。

熱詞搜索:

上一篇:不同的企業(yè)對(duì)無線網(wǎng)絡(luò)需不同的安全策略
下一篇:安全無限:捍衛(wèi)無線區(qū)域網(wǎng)絡(luò)的安全

分享到: 收藏