搜索
WLAN安全技术中国科学技术大学软件学院WLAN简介WLAN=WirelessLocalAreaNetwork,1997年6月第一个WLAN标准由IEEE802.11正式颁布实施;把远程计算机用无线方式连入一个计算机网络中,作为网络的一个节点,使之能够获取网络上的所有服务;以无线方式入网的计算机具有一定程度的移动性,在一定的区域内移动但又随时和网络保持联系。WLAN由无线网卡、无线接入点AP、计算机和有关设备组成;WLAN可以采取的类型包括:网桥连接型、访问节点连接型、Hub接入型和无中心型;WLAN安全隐患因为通讯频率相同,任何一台带无线网卡的PC机或者无线扫描器就可以进行窃听;任意攻击者可以通过无线网卡进入网络或伪装成合法用户,因此WLAN很容易受到DoS攻击,AP会因拥塞而无法接收正常信号;WarDriving:街头的笔记本电脑可以随意接入安全防护措施弱的WLAN接入点;约70%的WLAN接入点都是没有任何安全措施的;带来的问题:黑客们的行为越来越难以被追踪;提纲WLAN安全机制基于IPSec的WLAN安全系统设计基于3GPPAKA的WLAN接入认证WLAN安全机制WLAN安全性:访问控制:确保敏感数据仅由获得授权的用户访问;保密性:确保传送的数据只被目标接收人接收和处理;为了弥补802.11标准的安全漏洞,802.11TGi(TaskGroupi)针对WLAN的安全开始制定新的标准802.11i;因为802.11i并不能满足这一需要,所以就出现向802.11i过渡的安全标准WPA,我国推出了自己的安全标准WAPI;802.11标准安全机制-直接序列扩频技术DSSS=DirectSequenceSpreadSpectrum直接序列扩频技术;将每一个位信息传送之后再附加另外一个位,以此提供容错功能和信息传递一致性;黑客还可以使用扩频分析仪去截取无线电波,也可用特定网卡去搜寻个频道内的数据;因此需要加密无线传输!!!802.11标准安全机制-有线等价保密协议WEP=WiredEquivalentPrivacy;加密原理:解密原理:采用RC4保证通信的安全性采用CRC32作为完整性检验其他802.11标准安全机制扩展服务集标识符(ESSID)每一个AP内都会写入一个服务区域认证ID,每当端点要连上AP,AP会检查其ESSID是否与其相同,如不符就拒绝给予服务;开发系统认证开发系统认证是802.11缺省的认证协议,需鉴别请求和鉴别应答两帧来完成,但任何计算机都可通过开放系统认证接入WLAN;共享密钥认证使用一个标准的询问和响应帧格式,其中包含一个用于认证的共享密钥;访问控制列表可将WLAN只设定为给特定节点使用,因为每张无线网卡都有惟一的MAC地址,只要将其分别输入AP即可,相反也可禁止某些MAC地址;密钥管理802.11其实没有实现严格意义上的密钥管理,只有少数开发商在他们的高端产品中实现了某一形式的密钥管理或密钥管理,有些情况下由于使用厂商的解决方案反而降低了安全性。WLAN安全机制改进802.11标准中给的安全机制并不能真正保证WLAN安全;802.11的i工作组致力于制订被称为802.11i的新一代安全标准;802.11i安全标准为增强WLAN的数据加密和认证性能,定义了RSN(RobustSecurityNetwork)的概念;由于802.11i的进展并不能满足这一需要,Wi-Fi联盟制定了WPA(Wi-FiProtectedAccess)标准,这是一种向802.11i过渡的中间标准。WPAWPA标准采用IEEE802.11i的草案,保证了与未来出现的协议的前向兼容;WPA采用802.1x和TKIP(临时密钥集成协议)来实现WLAN访问控制、密钥管理和数据加密;802.1x是一种基于端口的访问控制标准,用户必须通过了认证并获得授权后才能通过端口使用网络资源;TKIP也是基于RC4加密算法,但也引入了4个新算法:扩展的48位初始化向量IV和IV顺序规则;每包密钥构建机制(Per-packetKeyConstrction);Michael消息完整性代码;密钥重新获取和分发机制;802.1x认证协议802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入(微软的WindowsXP,以及cisco,北电,港湾等厂商的设备已经开始支持802.1X协议)。在802.1x出现之前,企业网上有线LAN应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-BasedAccessControl)而定义的一个标准。802.1x用途•802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。•802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)•802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通过。802.1X认证体系的结构PAE:认证机制中负责处理算法和协议的实体。EAP:ExtensibleAuthenticationProtocol802.1X认证体系的结构802.1X的认证体系分为三部分结构:◢SupplicantSystem,客户端(PC/网络设备)◢AuthenticatorSystem,认证系统◢AuthenticationServerSystem,认证服务器802.1X认证体系的结构◢SupplicantSystem,客户端(PC/网络设备)SupplicantSystem———Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain,MicrosoftWindowsXP802.1X认证体系的结构在win98下提供的客户端:在winXP下提供的客户端:802.1X认证体系的结构◢AuthenticatorSystem,认证系统AuthenticatorSystem———Switch(边缘交换机或无线接入设备)是根据客户的认证状态控制物理接入的设备switch在客户和认证服务器间充当代理角色(proxy)。switch与client间通过EAPOL协议进行通讯,switch与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上,以便穿越复杂的网络到达AuthenticationServer(EAPRelay);switch要求客户端提供identity,接收到后将EAP报文承载在Radius格式的报文中,再发送到认证服务器,返回等同;switch根据认证结果控制端口是否可用;802.1X认证体系的结构◢AuthenticationSeverSystem,认证服务器Authenticationserver———(认证服务器)对客户进行实际认证,认证服务器核实客户的identity,通知swtich是否允许客户端访问LAN和交换机提供的服务AuthenticationSever接受Authenticator传递的认证需求,认证完成后将认证结果下发给Authenticator,完成对端口的管理。由于EAP协议较为灵活,除了IEEE802.1x定义的端口状态外,AuthenticationServer实际上也可以用于认证和下发更多用户相关的信息,如VLAN、QOS、加密认证密钥、DHCP响应等。802.1X的认证过程授权非授权SUPPLICANTPAEAUTHENTICATORPAEAUTHENTICATIONSERVEREAP-Request/IdentityEAP-Response/IdentityEAP-Request/OTP,ChallengeEAP-Response/OTP,OTPpwEAP-SuccessreAuthentorizeEAPOL-LOGOFF802.1X的认证过程认证前后端口的状态802.1X的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1x认证时端口初始状态一般为非授权(unauthorized),在该状态下,除802.1X报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。802.1X的认证过程认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。基本的认证过程:802.1X的认证过程认证通过之后的保持:认证端Authenticator可以定时要求Client重新认证,时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。下线方式:物理端口Down;重新认证不通过或者超时;客户端发起EAP_Logoff帧;网管控制导致下线;802.1X的认证过程现在的设备(switch)端口有三种认证方式:ForceAuthorized:端口一直维持授权状态,switch的Authenticator不主动发起认证;ForceUnauthorized:端口一直维持非授权状态,忽略所有客户端发起的认证请求;Auto:激活802.1X,设置端口为非授权状态,同时通知设备管理模块要求进行端口认证控制,使端口仅允许EAPOL报文收发,当发生UP事件或接收到EAPOL-start报文,开始认证流程,请求客户端Identify,并中继客户和认证服务器间的报文。认证通过后端口切换到授权状态,在退出前可以进行重认证。802.1x/EPAIEEE802.1X并不能算是个标准,而是个架构(framework);架构或许很好理解,但是该以什么方式来实作?要选择那一种EAPmethod?有两种EAPmethod在目前业界有很多实作的案例,分别是EAP-TLS以及EAP-MD5-Challenge:EAP-TLS(传输层安全协议):EAP-TLS使用在基于证书的安全环境中,是一种安全信道的认证和加密协议,采用公钥证书加密体系在两端点之间提供双向认证、加密协商、密钥交换等服务;EAP-MD5(消息摘要5):EAP-MD5使用的挑战-握手协议,挑战和应答均以EAP消息形式发送,主要用于软件原型的构建和测试。802.11i使用802.1x认证和密钥管理方式;数据加密方面:TKIP(TemporalKeyIntergrityProtocol)采用WEP机制里的RC4作为核心加密算法,可通过在现有设备上升级固件和驱动程序的方法达到提高WLAN安全的目的;CCMP(Counter-Mode/CBC-MACProtocol)基于AES加密算法和CCM(Counter-Mode/CBC-MAC)认证方式;WRAP(WirelessRobustAuthenticatedProtocol)基于AES加密算法和OCB(OffsetCodeBook),是一种可选的加密机制;WAPIWAPI无线网络安全机制包括:WAI及WPI两部