6无线网络安全(new)

无线局域网安全无线局域网安全无线局域网安全性无线局域网安全技术MAC地址和SSID匹配IEEE802.11的安全技术IEEE802.1x协议WPAIEEE802.11iVPN技术无线局域网安全策略无线局域网安全问题WLAN以空气做为媒介、通过电波进行传输的，很容易出现电波泄露，导致数据被窃听。安全问题已成为影响无线局域网进一步扩充市场的主要障碍。希腊雅典举办的2004年奥运会，国际奥委会正式宣布WIFI网络因安全无法保证而无缘奥运会。在美国，负责研究核武器以及国家防御技术的国家实验室关闭了已有的两个无线计算机网络并宣布禁止使用WLAN.美国的调查机构曾将无线天线架在汽车外，沿着繁华的商业街走一圈，结果发现短短几千米内就连接到30家WLAN环境，只有不到一半的用户采用了加密措施。攻击类型网络窃听和网络通信量分析身份假冒假冒客户端入侵者通过非法获取SSID从而接入AP，如果AP中设置了MAC地址过滤，入侵者通过窃听授权客户端的MAC地址，然后篡改计算机的MAC地址来冒充授权客户端。假冒ＡＰ方式一：入侵者将一个真实ＡＰ非法放置在被入侵的网络中，让授权客户端自动地连接到这个ＡＰ上来。方式二：采用诸如HostAP等专用软件将入侵者的计算机伪装成AP。攻击类型重放攻击、中间人攻击、信息篡改重放攻击：通过截获授权客户端对AP的验证信息，然后通过对验证过程信息的重放而达到非法访问AP的目的。中间人攻击对授权客户端和AP进行双重欺骗，进而对信息窃听和篡改。拒绝服务攻击利用网络在频率、带宽、认证方式上的弱点，对网络进行频率干扰、带宽消耗或是耗尽安全服务设备的资源，导致网络合法用户无法使用网络服务。无线局域网的安全性定义无线局域网的安全性定义机密性Confidentiality无线局域网中传输的信息不会被未经授权的用户获取，这主要通过各种数据加密方式来实现。完整性Integrity数据在传输过程中不会被篡改或删除，这主要通过数据校验技术来实现。真实性Authenticity指数据来源的可靠性，用于保证合法用户的身份不会被非法用户所冒充。无线局域网的安全技术WLAN安全机制MAC过滤和SSID匹配WEP(共享密钥认证、RC4加密算法)WPA(EAP认证、TKIP加密）IEEE802.11i(EAP认证,TKIP、AES加密)VPN技术中国WAPI标准MAC过滤和SSID匹配MAC过滤在无线局域网的每一个AP中维护一组允许访问的MAC地址列表，MAC地址不在清单中的用户，接入点将拒绝其接入请求。只适合于小型网络规模。MAC地址易截取并冒充。属硬件认证而非用户认证。SSID匹配SSID是相邻的无线接入点（AP）区分的标志，无线接入用户必须设定SSID才能和AP通信。无线客户端必须出示正确的SSID才能访问无线AP。SSID广播SSID易窃取WEP(WiredEquivalentPrivacy)1997年，IEEE推出了第一个真正意义上的无线局域网安全措施WEP协议，旨在提供与有线网络等效的数据机密性。WEP使用RC4加密算法，这是一种对称的流密码，支持可变长度的密钥（40位或104位），在链路层加密数据和访问控制。定义两种共享密钥：多播/全局密钥：保护从无线AP到它所连接的所有无线客户端的多播和广播通信单播会话密钥：保护无线客户端与无线AP之间的单播通信RC4流密码的运作流程WEP的数据处理WEP加密机制存在的问题缺少密钥管理机制密钥共享，手工分发，更换费时。完整性校验值(ICV)算法易受攻击CRC32用于检测传输噪声和普通错误的算法。RC4加密算法存在弱点RC4加密算法中存在弱密码。弱密钥（Weakkey）是指因为它的独特数学特性能够被很容易破坏的密码密钥。收集到足够的使用弱密码的包后，很容易破解WEP密钥。AT&T的AdamStubblefield等人在程序上实现了一种攻击，不论是采用40位密钥还是128位密钥的WEP都可以在两三个小时内被破解。IEEE802.1x协议20世纪90年代后期，IEEE802LAN/WAN委员会为解决无线局域网的安全问题而提出了802.1x协议。IEEE802.1x协议作为局域网端口的一个普通接入控制机制应用在以太网中，主要解决以太网内认证和安全方面的问题。全称“基于端口的网络访问控制协议”(PortBasedNetworkAccessControlProtocol)。使用交换式局域网基础结构的物理特性对连接到局域网端口的设备进行身份验证。IEEE802.1x本身不提供实际的认证机制，需要和上层认证协议（EAP）配合来实现用户认证和密钥分发。EAPEAP（ExtensibleAuthenticationProtocol）允许无线终端支持不同的认证类型，能与后台不同的认证服务器进行通信。EAPPPP802.3802.11TLSEAP/SIMTokencardMethodsLinklayersEAP能够运行于任何的链路层以及使用各种身份验证方式802.1x架构802.11网络中的802.1x交换范例IEEE802.1x的缺点802.1x采用的用户认证信息仅仅是用户名与口令，在存储、使用和认证信息传递中可能泄漏、丢失，存在很大安全隐患。无线接入点AP与RADIUS服务器之间用于认证的共享密钥是静态的，且是手工管理，也存在一定的安全隐患。WPA（Wi-Fi保护访问）WPA是IEEE802.11i的一个子集，在802.11i正式发布之前，WPA被作为代替WEP的无线安全标准协议。WPA是继承WEP基本原理而又解决了WEP缺点的一种新技术。WPA显著改善了WEP的安全性能，并可与原有采用WEP协议的WIFI产品兼容,只需更新无线设备中的固件和无线客户端即可。核心内容是TKIP，采用TKIP和MIC解决WEP弱点TKIP——TemporalKeyIntegrityProtocol暂时密钥完整协议MIC——MessageIntegrityCode消息完整性代码TKIP（TemporalKeyIntegrityProtocol）WEP和WPA比较WEP弊端WPA如何克服弊端IV太短在TKIP中，IV的大小增加了一倍，已达48位。弱数据完整性WPA使用专用于提供强数据完整性的算法Michael，可以计算64位消息完整性代码(MIC)值，该值是用TKIP加密的。使用主密钥，而不使用派生密钥TKIP使用一组从主密钥和其他值派生的临时密钥。RC4PRNG的输入的机密部分是通过数据包混合函数计算出来的，会随着帧的改变而改变。不重新生成密钥WPA自动重新生成密钥以派生新的临时密钥组。无重放保护TKIP将IV用作帧计数器以提供重放保护。WPA存在的问题不能向后兼容某些遗留设备和操作系统。对硬件要求较高，除非无线产品集成了具有运行WPA和加快该协议处理速度的硬件，否则WPA将降低网络性能。TKIP并非完美的最终解决方案。基于RC4加密算法，没有脱离WEP的核心机制。加/解码处理效率没有得到任何改进。802.11i2004年6月，IEEE正式通过了无线局域网安全标准802.11i。802.11i的网络构架过渡安全网络（TransitionSecuriyNetwork，TSN）TSN兼容现有的、使用WEP方式工作的设备，平稳向802.11i过渡。强健的安全网络（RobustSecurityNetwork，RSN）RSN支持全新的802.11i安全标准，并且针对WEP加密机制的各种缺陷做了多方面的改进，增强了无线局域网中的数据加密和认证性能。WPA和WPA2的比较企业模式个人模式WPA认证：IEEE802.1X/EAP认证：PSK加密：TKIP加密：TKIP完整性：MIC完整性：MIC认证：IEEE802.1X/EAP认证：PSK加密：AES-计数器模式加密：AES-计数器模式WPA2完整性：CBC-MAC（CCMP）完整性：CBC-MAC（CCMP)AES(AdvancedEncryptionStandard)AES由美国国家标准与技术研究院（NIST）于2001年11月26日发布于FIPSPUB197，并在2002年5月26日成为有效的标准。2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一。AES算法是块密码，使用大小为128比特的固定消息块，加密密钥的长度为128比特、192比特或256比特。128位数据分组与扩展密钥“异或”运算S盒变换行变换列变换与扩展密钥异或S盒变换行变换与扩展密钥异或128位加密数据128位加密数据与扩展密钥“异或”运算反S盒变换反行变换反S盒变换反行变换反列变换与扩展密钥异或128位解密数据AES加密解密流程AES(AdvancedEncryptionStandard)AES密码操作四个关键步骤（密码操作在4×4字节的阵列上）：S盒变换：阵列中的每个字节用S盒中的字节代替，S盒是一个固定的8bit的查找表。行变换：4×4阵列中的每一行移位一个偏移量，数组中每行移位的偏移量的大小不同。列变换：利用线性变换将阵列中每列的4个字节混合，从而产生新的4列的输出字节。与扩展密码异或：通过密钥安排表从加密密钥中提取出第二个4×4阵列该阵列被称为子密钥，两个4×4阵列异或一起产生下一轮的开始阵列。分组密码的计数模式数据块nAESXOR数据块数据块n+1AESXOR数据块数据块n+2AESXOR数据块数据块n+3AESXOR数据块数据块n+4AESXOR数据块数据块n+5AESXOR数据块数据块n+6AESXOR数据块消息计数器加密加密文本密码分组链接消息认证代码(CBC-MAC)128-bit开始块AES计数模式加密Result1128-bit开始块AES计数模式加密Result2XOR128-bit开始块AES计数模式加密Result3XOR128-bit开始块64bit丢弃XOR64bitMICMSBLSB...104-bit随机数8-bit标志16-bitDlen48-bitMAC地址48-bit分组序号前8-bitCipherblockchainingmessageauthenticationcodeAES-CCMP数据AES计数模式加密加密文本CBC-MACMIC数据CCMP头部MAC头部CCMP头部MAC头部CCMP头部GTKID分组序号VPN技术VPN简介VPN的功能VPN的工作原理VPNIPVPN(VirtualPrivateNetwork，虚拟专用网)就是利用开放的公众网络建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来。IP/MPLS网中心站点分支机构移动办公人员VPN技术总公司租用专线我们有很多分公司，如果用租用专线的方式把他们和总公司连起来，需要花很多钱想节约成本的话，可以用VPN来连接分公司分公司分公司隧道机制IPVPN可以理解为：通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线。隧道是利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括：乘客协议、隧道协议和承载协议。被封装的原始IP包新增加的IP头IPSec头乘客协议隧道协议承载协议原始IP包经过IPSec封装后隧道带来的好处隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关Internet被封装的原始IP包新增加的IP头IPSec头私网地址公网地址中心站点Internet根据这个地址路由可以使用私网地址，感觉双方是用专用通道连接起来的，而不是Internet隧道按隧道类型对VPN分类隧道协议如下：第二层隧道协议，如L2TP第三层隧道协议，如IPSec介于第二层和第三层之间的隧道协议，如MPLSVPNL2TPL2TP封装的乘客协议是位于第二层的PPP协议。原始数据包新增加的IP头L2TP头可以是IP、IPX和AppleTalkPPP封装原始数据包PPP头L2TP封装原始数据包PPP头可以是IP、A