无线局域网网络安全组建浅析.docx
《无线局域网网络安全组建浅析.docx》由会员分享,可在线阅读,更多相关《无线局域网网络安全组建浅析.docx(19页珍藏版)》请在冰豆网上搜索。
无线局域网网络安全组建浅析
无线局域网网络安全组建浅析
1.WLAN的应用现状
1.1Wi-Fi在全球范畴迅速进展的趋势
无线局域网(WLAN)作为一种能够关心移动人群保持网络连接的技术,在全球范畴内受到来自多个领域用户的支持,目前差不多获得迅猛进展。
无线局域网(WLAN)的进展要紧从公共热点(在公共场所部署的无线局域网环境)和企业组织机构内部架设两个方向铺开。
世界范畴内的公共无线局域网〔WLAN〕热点数量三年增加近60倍。
估量将从2002年的14717个增长到2006年的30多万个,用户数量增加四倍。
据IDC推测,到2004年全球的WLAN用户将达到2460万,比2002年增长近十倍;2002年销售的全部笔记本电脑中只有10%支持WLAN,目前是31%,估量到2005年,售出的笔记本电脑中将有80%具备无线支持能力。
在亚太区,这一进展势头同样强劲。
市场调查公司GartnerDataquest指出,公共无线局域网(WLAN)服务在亚太地区将保持强劲的进展势头。
至少在澳大利亚、香港、日本、新加坡、韩国和台湾这六大市场,热点的数量在迅速增加。
2002年亚太地区只有1,625个热点,估量到2007年,热点的数量将接近3.8万。
1.2在企业、学校等组织机构内部,笔记本电脑的普及也带动了无线局域网(WLAN)的普及。
以英特尔公司为例,全球79,000名职员中有65%以上的人使用笔记本电脑,其中80%以上的办公室都部署了无线局域网(WLAN),英特尔围绕具备无线能力的笔记本电脑如何改变其职员的生活适应和工作效率进行了调查,结果说明,职员的工作效率平均每周提高了两小时以上,远远超过了所花费的升级成本,而且完成一样办公室任务的速度提高了37%。
此外,无线移动性还迅速改变了职员的工作方式,使其能够更加灵活自主地安排自己的工作。
2.WLAN面临的安全问题
由于无线局域网采纳公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(AccessPoint)所服务的区域中,任何一个无线客户端都能够同意到此接入点的电磁波信号,如此就可能包括一些恶意用户也能接收到其他无线数据信号。
如此恶意用户在无线局域网中相关于在有线局域网当中,去窃听或干扰信息就来得容易得多。
WLAN所面临的安全威逼要紧有以下几类:
2.1网络窃听
一样说来,大多数网络通信差不多上以明文〔非加密〕格式显现的,这就会使处于无线信号覆盖范畴之内的攻击者能够乘机监视并破解〔读取〕通信。
这类攻击是企业治理员面临的最大安全问题。
假如没有基于加密的强有力的安全服务,数据就专门容易在空气中传输时被他人读取并利用。
2.2AP中间人欺诈
在没有足够的安全防范措施的情形下,是专门容易受到利用非法AP进行的中间人欺诈攻击。
解决这种攻击的通常做法是采纳双向认证方法〔即网络认证用户,同时用户也认证网络〕和基于应用层的加密认证〔如S+WEB〕。
2.3WEP破解
现在互联网上存在一些程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以复原WEP密钥。
依照监听无线通信的机器速度、WLAN内发射信号的无线主机数量,以及由于802.11帧冲突引起的IV重发数量,最快能够在两个小时内攻破WEP密钥。
2.4MAC地址欺诈
即使AP起用了MAC地址过滤,使未授权的黑客的无线网卡不能连接AP,这并不意味着能阻止黑客进行无线信号侦听。
通过某些软件分析截获的数据,能够获得AP承诺通信的STA MAC地址,如此黑客就能利用MAC地址假装等手段入侵网络了。
3.WLAN业界的安全技术
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞。
然而另一方面,由于WLAN标准是公布的,随着使用的推广,更多的专家参与了无线标准的制定,使其安全技术迅速成熟起来。
现在不只是在家庭,学校,中小企业里边WLAN得到广泛的应用,在安全最敏锐的大企业,大银行户头(例如全球财宝500强),政府机构,WLAN的安全可靠性也得到了认可,并大量地推广使用。
具体地讲,为了有效保证无线局域网(WLAN)的安全性,就必须实现以下几个安全目标:
1.提供接入操纵:
验证用户,授权他们接入特定的资源,同时拒绝为XX的用户提供接入;
2.确保连接的保密与完好:
利用强有力的加密和校验技术,防止XX的用户窃听、插入或修改通过无线网络传输的数据;
3.防止拒绝服务〔DoS〕攻击:
确保可不能有用户占用某个接入点的所有可用带宽,从而阻碍其他用户的正常接入。
无线局域网的安全技术这几年得到了快速的进展和应用。
下面是业界常见的无线网络安全技术:
●服务区标识符(SSID)匹配;
●无线网卡物理地址〔MAC〕过滤;
●有线等效保密〔WEP〕;
●端口访问操纵技术〔IEEE802.1x〕和可扩展认证协议〔EAP〕;
●WPA(Wi-Fi爱护访问)技术;
●高级的无线局域网安全标准——IEEE802.11i;
3.1SSID
SSID(ServiceSetIdentifier)将一个无线局域网分为几个不同的子网络,每一个子网络都有其对应的身份标识〔SSID〕,只有无线终端设置了配对的SSID才接入相应的子网络。
因此能够认为SSID是一个简单的口令,提供了口令认证机制,实现了一定的安全性。
然而这种口令极易被无线终端探测出来,企业级无线应用绝不能只依靠这种技术做安全保证,而只能作为区分不同无线服务区的标识。
3.2MAC地址过滤
每个无线工作站网卡都由唯独的物理地址〔MAC〕标识,该物理地址编码方式类似于以太网物理地址,是48位。
网络治理员可在无线局域网访问点AP中手工爱护一组〔不〕承诺通过AP访问网络地址列表,以实现基于物理地址的访问过滤。
MAC地址过滤的好处和优势
●简化了访问操纵
●同意或拒绝预先设定的用户
●被过滤的MAC不能进行访问
●提供了第2层的防护
MAC地址过滤的缺点
●当AP和无线终端数量较多时,大大增加了治理负担
●容易受到MAC地址假装攻击
3.3802.11WEP
WEP
IEEE80211.b标准规定了一种被称为有线等效保密〔WEP〕的可选加密方案,其目的是为WLAN提供与有线网络相同级别的安全爱护。
WEP是采纳静态的有线等同保密密钥的差不多安全方式。
静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。
WEP的好处和优势
WEP在传输上提供了一定的安全性和保密性,能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容,其优点在于:
●全部报文都使用校验和加密,提供了一些抗击篡改的能力
●通过加密来爱护一定的保密性,假如没有密钥,就难把报文解密
●WEP专门容易实现
●WEP为WLAN应用程序提供了专门差不多的爱护
WEP的缺点
●静态WEP密钥关于WLAN上的所有用户差不多上通用的
这意味着假如某个无线设备丢失或者被盗,所有其他设备上的静态WEP密钥都必须进行修改,以保持相同等级的安全性。
这将给网络的治理员带来专门费时费劲的、不切实际的治理任务。
●缺少密钥治理
WEP标准中并没有规定共享密钥的治理方案,通常是手工进行配置与爱护。
由于同时更换密钥的费时与困难,因此密钥通常长时刻使用而专门少更换。
●ICV算法不合适
ICV是一种基于CRC-32的用于检测传输噪音和一般错误的算法。
CRC-32是信息的线性函数,这意味着攻击者能够篡改加密信息,并专门容易地修改ICV,使信息表面上看起来是可信的。
●RC4算法存在弱点
在RC4中,人们发觉了弱密钥。
所谓弱密钥,确实是密钥与输出之间存在超出一个好密码所应具有的相关性。
攻击者收集到足够使用弱密钥的包后,就能够对它们进行分析,只须尝试专门少的密钥就能够接入到网络中。
●认证信息易于伪造
基于WEP的共享密钥认证的目的确实是实现访问操纵,然而事实却截然相反,只要通过监听一次成功的认证,攻击者以后就能够伪造认证。
启动共享密钥认证实际上降低了网络的总体安全性,使猜中WEP密钥变得更为容易。
WEP2
为了提供更高的安全性,WiFi工作组提供了WEP2技术,该技术相比WEP算法,只是将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到128位。
然而WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度。
也确实是说WEP2算法并没有起到提高安全性的作用。
3.4802.1x/EAP用户认证
802.1x认证技术
802.1x是针对以太网而提出的基于端口进行网络访问操纵的安全性标准草案。
基于端口的网络访问操纵利用物理层特性对连接到LAN端口的设备进行身份认证。
假如认证失败,那么禁止该设备访问LAN资源。
尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合802.11标准的无线局域网,且被视为是WLAN的一种增强性网络安全解决方案。
802.1x体系结构包括三个要紧的组件:
●要求方〔Supplicant〕:
提出认证申请的用户接入设备,在无线网络中,通常指待接入网络的无线客户机STA。
●认证方〔Authenticator〕:
承诺客户机进行网络访问的实体,在无线网络中,通常指访问接入点AP。
●认证服务器〔AuthenticationSever〕:
为认证方提供认证服务的实体。
认证服务器对要求方进行验证,然后告知认证方该要求者是否为授权用户。
认证服务器能够是某个单独的服务器实体,也能够不是,后一种情形通常是将认证功能集成在认证方Authenticator中。
802.1x草案为认证方定义了两种访问操纵端口:
即"受控"端口和"非受控"端口。
"受控端口"分配给那些差不多成功通过认证的实体进行网络访问;而在认证尚未完成之前,所有的通信数据流从"非受控端口"进出。
"非受控端口"只承诺通过802.1X认证数据,一旦认证成功通过,要求方就能够通过"受控端口"访问LAN资源和服务。
以下图列出802.1x认证前后的逻辑示意图。
802.1x技术是一种增强型的网络安全解决方案。
在采纳802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为要求方,无线访问点AP内嵌802.1x认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。
802.1x认证一样包括以下几种EAP(ExtensibleAuthenticationProtocol)认证模式:
●EAP-MD5
●EAP-TLS(TransportLayerSecurity)
●EAP-TTLS(TunnelledTransportLayerSecurity)
●EAP-PEAP(ProtectedEAP)
●EAP-LEAP(LightweightEAP)
●EAP-SIM
802.1x认证技术的好处和优势
●802.1x协议仅仅关注受控端口的打开与关闭;
●接入认证通过之后,IP数据包在二层一般MAC帧上传送;
●由因此采纳Radius协议进行认证,因此能够专门方便地与其他认证平台进行对接;
●提供基于用户的计费系统。
802.1x认证技术的缺点
●只提供用户接入认证机制。
没有提供认证成功之后的数据加密。
●一样只提供单向认证
●它提供STA与RADIUS服务器之间的认证,而不是与AP之间的认证
●用户的数据仍旧是使用的RC4进行加密。
3.5WPA(802.11i)
802.11i——新一代WLAN安全标准
为了使WLAN技术从安全性得不到专门好保证的逆境中解脱出来,IEEE802.11的i工作组致力于制订被称为IEEE802.11i的新一代安全标准,这种安全标准是为了增强WLAN的数据加密和认证性能,定义了RSN〔RobustSecurityNetwork〕的概念,同时针对WEP加密机制的各种缺陷做了多方面的改进。
IEEE802.11i规定使用802.1x认证和密钥治理方式,在数据加密方面,定义了TKIP〔TemporalKeyIntegrityProtocol〕、CCMP〔Counter-Mode/CBC-MACProtocol〕和WRAP〔WirelessRobustAuthenticatedProtocol〕三种加密机制。
其中TKIP采纳WEP机制里的RC4作为核心加密算法,能够通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。
CCMP机制基于AES〔AdvancedEncryptionStandard〕加密算法和CCM〔Counter-Mode/CBC-MAC〕认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。
WPA——向IEEE802.11i过渡的中间标准
然而,市场关于提高WLAN安全的需求是十分紧迫的,IEEE802.11i的进展并不能满足这一需要。
在这种情形下,Wi-Fi联盟制定了WPA〔Wi-FiProtectedAccess〕标准。
WPA是IEEE802.11i的一个子集,其核心确实是IEEE802.1x和TKIP。
WPA与IEEE802.11i的关系如以下图所示。
WPA与IEEE802.11i的关系
WPA采纳了802.1x和TKIP来实现WLAN的访问操纵、密钥治理与数据加密。
802.1x是一种基于端口的访问操纵标准。
TKIP尽管与WEP同样差不多上基于RC4加密算法,但却引入了4个新算法:
●扩展的48位初始化向量〔IV〕和IV顺序规那么〔IVSequencingRules〕;
●每包密钥构建机制〔per-packetkeyconstruction〕;
●Michael〔MessageIntegrityCode,MIC〕消息完整性代码;
●密钥重新猎取和分发机制。
WPA系统在工作的时候,先由AP向外公布自身对WPA的支持,在Beacons、ProbeResponse等报文中使用新定义的WPA信息元素〔InformationElement〕,这些信息元素中包含了AP的安全配置信息〔包括加密算法和安全配置等信息〕。
STA依照收到的信息选择相应的安全配置,并将所选择的安全配置表示在其发出的AssociationRequest和Re-AssociationRequest报文中。
WPA通过这种方式来实现STA与AP之间的加密算法以及密钥治理方式的协商。
在STA以WPA模式与AP建立关联之后,假如网络中有RADIUS服务器作为认证服务器,那么STA就使用802.1x方式进行认证;假如网络中没有RADIUS,STA与AP就会采纳预共享密钥〔PSK,Pre-SharedKey〕的方式。
在WPA中,AP支持WPA和WEP无线客户端的混合接入。
在STA与AP建立关联时,AP能够依照STA的AssociationRequest中是否带有WPA信息元素来确定哪些客户端支持使用WPA。
然而在混合接入的时候,所有WPA客户端所使用的加密算法都得使用WEP,这就降低了无线局域网的整体安全性。
尽管WPA在安全性方面相较WEP有了专门大的改善和加强,但WPA只是一个临时的过渡性方案,在WPA2〔802.11i〕中将会全面采纳AES加密机制机制。
4.企业/校园无线网安全解决方案
4.1无线网安全性现状
分析企业对无线网络的需求特点,安全因素被放在了首位,因安全方面的担忧而不愿采纳Wi-Fi,是目前专门多企业存在的现象。
实际上,目前大多数企业或校园无线网络提供的安全性如何?
能否满足企业或校园的需求呢?
由于历史缘故,大多数企业或校园的无线局域网要紧是依靠WEP方式对数据进行加密,数据加密后的微波信号即使被人截获,也不易破解,从而保证客户传输的数据安全性。
然而WEP存在着不理想的地点:
一是密钥共享。
由于每个人都明白密钥,那么密钥专门容易泄漏不易治理。
二是弱密钥缺陷,导致WEP不能专门好地抵御密码学破解攻击。
其次,假如AP不做任何安全设定,那么任何一个符合Wi-Fi的网卡都能够接入网络,因此大多数无线局域网的用户接入安全保证是采纳MAC地址操纵。
然而这种接入操纵方法关于大型企业或校园无线网,会存在治理苦恼、扩展能力受限制等问题。
另外,黑客还可能会使用MAC欺诈技术入侵网络。
因此关于企业或校园无线网络系统,假如不从整体上进行规划和设计,只孤立地采纳单一的某项安全技术是无法满足企业或校园的高安全性的要求的。
反而会造成无线网络不安全的印象,导致不能充分利用无线网络所能提供的诸多特性和优点来进行资源共享和提高工作效率。
下面就将介绍依照企业或校园无线网络应用的需求和要达到的目标,整体规划设计的一套适用于企业及校园的无线安全解决方案。
4.2解决方案概述
为了解决企业无线应用的首要难题——安全性,该解决方案采纳了WPA安全架构的设计。
同时,为了向企业外部来访的用户提供无线接入的灵活性和方便性,该方案还应用了基于英特尔架构的无线网络操纵器〔WNC〕和支持多SSID的AP〔Cisco1100/1230〕,使企业无线网络在保证企业信息安全的前提下,对多种接入认证方式提供了必要的支持。
为了使无线网络系统能满足企业或校园在功能性、灵活性和可扩展性方面的众多需求,中采纳OcamarWNC〔昂科无线网络操纵器〕作为无线网络治理和操纵设备。
昂科WNC除了实现了AC设备应该具备的接入操纵、身份认证等功能,还能够向企业提供策略路由、流量操纵、无线设备治理、用户治理和计费等极具价值的功能,这使其成为对企业和校园无线应用架构起关键作用的设备。
上海交通大学无线网案例
下面以上海交通大学校园无线网项目为例,具体地阐述典型的企业及校园无线解决方案:
上海交通大学是我国历史最悠久的高等学府之一。
近年来,随着学校教学规模逐步扩大,除拥有古色古香的百年徐家汇老校区外,还有现代化闵行新校区以及法华镇路校区、上中校区、七宝校区等五个位于上海不同位置的校区。
由于存在不同地点的校区,交大的教员和学生不得不在不同的校区来回,同时教学场所也经常在各校区之间变换。
这让校园网络显现了难题:
1、如何在不大幅度提高成本的情形下,校园网络覆盖五个不同位置的校区?
2、如何在校园的各个教学场所之间,提供无缝的网络连接,完成教学任务?
3、如何连接五个不同位置的校区,同时又提供足够的安全特性,保证安全通畅的网络连接?
4、如何充分利用现有的资源,关心教员和学生利用现代互联网技术,提高教学效率和学习效率?
针对学校面临的以上难题,对无线网络解决方案的要求确定如下:
1.无线网络信号覆盖五个不同位置的校区;
2.提供无缝的互联网IP连接特性,保持教学网络在校园之间无缝漫游;
3.保证无线网络安全性,对用户和资源访问权限进行治理;
4.对不同的无线用户提供不同的接入认证方式,并对其应用合适的路由策略;
5.普及基于无线连接的笔记本电脑,充分提高教学和学习效率。
为让网络应用的价值最大化,从而为上海交通大学五个分散的校区内构建一个统一的、易接入、稳固安全的校园无线网络环境。
针对解决方案的要求,通过多次比较和反复技术论证,决定为上海交通大学无线网络采纳以下的解决方案:
1.全面采纳基于英特尔公司迅驰移动技术的笔记本电脑作为无线终端,提高教与学的效率和移动便利,同时保证高速的互联网接入;
2.采纳符合802.11标准及通过Wi-Fi认证的无线网络产品,核心安全架构采纳WPA标准;
3.采纳具有多SSID和VLAN特性的CiscoAironet1200系列AP进行基础覆盖;
4.采纳昂科WNC无线网络接入操纵器作为无线校园网的安全接入产品,为网络安全和扩展提供保证;
5.采纳昂科WNMS无线网络治理系统,对整个无线网络的基础设施、用户、安全策略和相关资源进行统一治理和监控。
该解决方案还使得上海交大整个校园无线网络具有高度可扩展性和可升级性,为今后实现网络升级和扩展提供了极高的资源爱护。
整个方案由昂科信息技术〔上海〕公司提供系统集成和方案实施。
昂科信息技术〔上海〕在充分了解上海交大现有网络建设后,针对上海交大的实际情形,提出了校园无线网络的整体解决方案。
具体方案如拓扑图所示:
如图,各无线覆盖区域的AP就近接到接入层交换机上。
因为存在校内教师、学生和校外来访用户等不同的无线用户群,出于不同用户群对安全性、易用性要求不同的考虑,采取802.1x和WEB认证相结合的方式来提供用户身份认证。
为了区分这两种接入方式并将其分别关联到一个对应的VLAN,采纳了支持多SSID〔Multi-SSID〕和802.1qVLAN特性的CiscoAironet1200系列AP。
关于在校内的学生和教师用户,将采纳符合WPA安全架构的802.1x标准认证的接入方式,认证通过的用户将获得一个每用户唯独的主密钥,通过该主密钥客户端和负责接入的AP将依照TKIP方法动态生成每数据包唯独的加密密钥,通信双方以此进行通信加密。
在校园有线网L3分布层交换机上配置VLAN的子接口,利用该子接口作为那个SSID所代表的VLAN的网关,对其进行路由转发。
从而使通过认证的企业内部用户能够如同用有线接入一样访问整个企业网络,然而由于对无线通信进行了动态加密,保证了校园的敏锐数据在空中传输的安全,有效地解决了校园无线应用的首要问题。
关于用WEB方式认证的校外来访用户,当利用基于英特尔公司迅驰移动技术的笔记本电脑连接上无线接入点后,能够通过AC设备的DHCP服务或企业的专用DHCP服务器获得IP地址、网关和DNS信息,无须安装客户端软件,直截了当利用扫瞄器就能够通过充当WNC设备进行WEB方式认证,认证通过后就能够接入到Internet。
为保证整个园区网络的安全性,关于该SSID接入的用户必须以WNC作为其网关设备,因此L3分布层交换机无须对该SSID所代表的VLAN进行路由转发,从而统一该虚网的出口为昂科AC2020无线网络操纵器。
假如这些用户需要访问校园内部网络,能够通过在这一WNC设备上启用用户级的策略路由来实现。
如此在保证一定安全性的基础上方便了来访用户或漫游用户的接入,提高了无线网络的易用性和灵活性。
4.3解决方案特点
4.4.1安全性高
这套专门为大中型企业和校园定制的无线局域网系统支持符合WPA安全架构的802.1x认证方式,借助TKIP技术动态生成的数据加密密钥使空中无线数据通信如同在一条加密隧道中传输,保证了信息传输的高安全性。
而且通过利用OcamarWNC灵活的配置方式和支持多种认证接入方法的特性,还支持Web方式认证以及无线链路层的VPN加密方式PPTP、L2TP,以及支持协议过滤、策略路由、流量操纵等访问操纵策略,过滤掉非法的用户访问,确保网络的安全。
4.4.2支持多SSID和VLAN划分
CiscoAironet1200系列AP支持多SSID特性,每一个都能够映射到有线网络的一个VLAN,将符合802.1q标准的VLAN延伸到无线网络上。
网络治理员能够将无线网络上用户分组和网络分段治理与有限网络一同规划,大大减轻了治理负担、保证了企业安全策略的一致性。
4.3.4利用策略路由进行访问操纵
昂科WNC的策略路由功能关于拥有多个网络出口、多种用户群体的企业或组织机构有相当的应用价值。
针对不同的用户采纳不同的路由策略,能够专门好地划分和引导用户数据流,便于治理和资源分配。
在企业中,策略路由功能更是能够用来区分用户权限级别,以限制不同的用户访问不同的网络,从而强化了企业信息系统的安全性。
比如交大无线校园解决方案中,学校的网络有两个出口,一个连到中国教育科研网〔CERNET〕,另一个与Internet相连。
该案例中将校园无线用户分成两类,一是教师用户,一是学
升级会员 