无线局域网的安全技术与防范复习进程
第8章 无线局域网安全
使用最高级的加密方式,当前的加密技术 提供64位和128位加密方法,应尽量使用 128位加密,这样WEP加密会将资料加密 后传送,使得窃听者无法知道资料的真实 内容。 定期更换密码。
8.2 无线安全机制
1.服务集标识符 2.MAC地址过滤 3.WEP安全机制 4.WPA安全机制 5.WAPI安全机制
图8.8 DWL900AP+ 工作模式选择
④ 用AP管理工具打开WEP设置,选择 数据加密,并且选择开放系统认证,设 置64位为一个密码,如图8.9所示。
图8.9 DWL900AP+ WEP设置
⑤ 在PC2上安装DWL120无线网卡驱动,并 将无线网卡的模式设置为Infrastructure,如 图8.10所示。
图8.10 DWL900AP + 无线网卡配置界面
⑥ 修改SSID设置,并在无线网卡的加密 选项卡里设置一个与AP相同的密钥,如 图8.11所示。
图8.11 DWL900AP + 无线网卡WEP设置
⑦ 测试连接,双方可以Ping通。 ⑧ 在对等拓扑中,PC2和PC3的无线网 卡的模式要设置成802.11 AdHoc,如图 8.12所示。
一般厂商都会设置默认的密钥,而用户一 般不修改,所以只要入侵者得到密钥列表 就可以轻松入侵网络。 密钥如何分发,如何在泄露后更改密钥, 如何定期地实现密钥更新、密钥备份、密 钥恢复等问题,WEP协议都没有解决, 把这个问题留给各大厂商,无疑会造成安 全问题。
针对上述问题,建议采取下列方法, 来保障WEP协议更安全。 使用多组WEP密码(KEY)。使用一组固 定WEP密码,将会非常不安全,使用多组 WEP密码会提高安全性,然而WEP密码 是保存在无线设备的Flash中的,所以控制 网络上的任何一个设备,那就无安全可言 了。
51CTO下载-南开大学-无线局域网安全技术
第8章 网络安全
8.7.3 无线网络的安全技术
WEP的工作原理是通过一组40位或128位的密钥作为认证口令,当 WEP功能启动时,每台工作站都使用这个密钥,将准备传输的资料加密 运算形成新的资料,并透过无线电波传送,另一工作站在接收到资料 时,也利用同一组密钥来确认资料并做解码动作,以获得原始资料。
第8章 网络安全
8.7.2 无线局域网安全技术
第8章 网络安全
8.7.2 无线局域网安全技术
2. 物理地址过滤
每个无线工作站的网卡都有唯一的物理地址,应用媒体访问控制 (MAC)技术,可在无线局域网的每一个AP设置一个许可接入的用户的 MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。 但媒体访问控制只适合于小型网络规模。这是因为:
臵信攻击。通常情况下,攻击者可以将自己伪造成基站。当 攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录 到他的网络,通过分析窃取密钥和口令,以便发动针对性的攻击。
第8章 网络安全
8.7.2 无线局域网安全技术
1. 服务集标识符
服务集标识符(SSID)技术将一个无线局域网分为几个需要不同 身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份 验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网 络,同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点 (AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。通常 SSID须事先设置于所有使用者的无线网卡及A P中。尝试连接到无线 网络的系统在被允许进入之前必须提供SSID,这是唯一标识网络的字 符串。 但是SSID对于网络中所有用户都是相同的字符串,其安全性差, 人们可以轻易地从每个信息包的明文里窃取到它。
无线局域网的安全技术与防范复习进程
无线局域网的安全技术白皮书作者:寂静的海,岀处:IT专家网,责任编辑:张帅,2007-12-04 10:58无线局域网(WLAN)具有安装便捷、使用灵活、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。
但是由于无线局域网信道开放的特点,使得全性成为阻碍WLAN发展的最重要因素……无线局域网的安全无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。
但是由于无线局域网信道开放的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。
虽然一方面对无线局域网需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。
就目前而言,有很多种无线局域网的安全技术,包括物理地址(MAC)过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1X)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。
面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。
1、无线局域网的安全威胁利用WLAN进行通信必须具有较高的通信保密能力。
对于现有的WLAN产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款,甚至可能导致法律纠纷。
地址欺骗和会话拦截(中间人攻击)在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
WLAN安全技术及安全防范措施
无 线 局 域 网 络 产 品 的 IE 0 .l 列 标 准 主 要 有 8 2 1a (G z E E 8 2 1系 0 .l 5H一 19 年 获 得 通 过 ) 、 8 2 1b ( 1b s . G z19 年 获 得 通 过 ) 、 99 0 . l 1M p 24H 一 99
8 2 1d( 外 的规章 制度 )、82 1e ( 0.l 额 0 . l 服务 质量 )、82 1f ( 入 点间 0.i 接 协 议 IP )、8 2 ig (.G z 更高 的数 据速 率> 0b s2 0年 5 AP 0 . i 2 4H - 2M p一 03 月获得 通
这 些 功 能 ,W P 此 前 倍 受指 责 的缺 点 得 以全 部解 决 。W A 仅 是 一 种 比 E中 P不 W P 为 强大 的 加密 方法 ,而且 有 更为 丰 富的 内涵 作为 8 2 1 i E更 0 . i 标准 的子
11 1服 务集标 识S I S ri eS tI et fe ) 匹配 .. S D( ev c e dn i ir
0引畜
于用户 的认 证系 统及 计 费 ,特 别适 合 于公共 无线 接入 解决 方案 。
1 2 W A 的数据 加 密技 术 . L N
无线 数据 技 术 的迅速 发 展 ,使得 无 线局域 网 (LN 由于 部 署方 便 、 wA) 使 用灵 活 、技 术成 熟等 优 点 ,得 到 了广 泛 的应用 。有线 网 络和 无线 网络 有 着 不 同的传 输 方式 。有 线 网络 的 访 问控 制往 往 以物 理端 口接 入 方式 进行 监 控 ,数 据通 过 双绞 线 、光 纤等 介 质传 输 到特 定 的 目的地 ,有 线 网络 辐射 到 空气 中的 电磁信 号 强度 很 小 ,很难 被 窃 听 ,一般 情况 下 , 只有 在物 理链 路 遭 到 盗 用后 数据 才 有可 能泄 漏 。而无 线 网络 的数 据传 输 是利 用 电磁 波在 空 气 中辐 射传 播 ,只 要在 接 入 点 ( P ce sP i t A ,A cs o n )覆 盖 的范 围 内,所 有 的无 线 终端 都可 以接 收 到 无线 信 号 。无线 网 络 的这种 电磁辐 射 的传 输方 式 是无 线 网络 安全 保密 问题尤 为突 出 的主要 原 因。
无线局域网安全分析
无线局域网安全分析在当今数字化的时代,无线局域网(WLAN)已经成为我们生活和工作中不可或缺的一部分。
无论是在家庭、办公室还是公共场所,我们都依赖于 WLAN 来实现便捷的网络连接。
然而,随着无线局域网的广泛应用,其安全问题也日益凸显。
本文将对无线局域网的安全问题进行详细分析,并探讨相应的解决措施。
一、无线局域网的工作原理要理解无线局域网的安全问题,首先需要了解其工作原理。
无线局域网通过无线接入点(AP)将有线网络信号转换为无线信号,使得终端设备(如笔记本电脑、手机、平板电脑等)能够通过无线方式连接到网络。
在这个过程中,数据通过无线电波进行传输,这就为安全隐患的产生提供了可能。
二、无线局域网面临的安全威胁1、未经授权的访问未经授权的用户可以通过破解无线密码或者利用网络漏洞,接入到无线局域网中,获取网络资源,甚至窃取敏感信息。
2、无线信号的拦截与窃听由于无线信号在空气中传播,任何人在信号覆盖范围内都有可能拦截和窃听数据传输,导致信息泄露。
3、恶意软件和病毒的传播接入无线局域网的设备可能会受到恶意软件和病毒的攻击,从而影响整个网络的安全。
4、拒绝服务攻击(DoS)攻击者可以通过发送大量的无效请求,使无线接入点或网络设备瘫痪,导致正常用户无法使用网络服务。
5、网络钓鱼攻击者可以创建虚假的无线网络,诱导用户连接,从而获取用户的个人信息和密码。
三、无线局域网的安全技术1、加密技术目前常用的无线加密技术有 WEP(Wired Equivalent Privacy)、WPA(WiFi Protected Access)和 WPA2 等。
其中,WEP 加密安全性较低,容易被破解;WPA 和 WPA2 采用了更先进的加密算法,提供了更高的安全性。
2、访问控制通过设置 MAC 地址过滤、SSID 隐藏等方式,可以限制只有授权的设备能够接入无线局域网。
3、防火墙在无线接入点或网络中部署防火墙,可以防止外部的恶意攻击和非法访问。
无线局域网的安全与防范
无线局域网的安全与防范【摘要】随着无线技术和网络技术的发展,无线局域网正广泛应用于许多广播台站。
但是无线网络安全问题也一直困扰着我们,网络病毒、木马、黑客技术给无线网络的数据安全性带来最严格的挑战。
本文从无线局域网的破解原理入手,讨论无线局域网非法授权访问、信息易被窃、被篡、被干扰等安全隐患,并逐一给出具体的防范措施。
【关键词】无线网络;网络安全;加密技术1.引言安全的无线局域网,必须注重两方面,一是访问控制,另一个就是保密性。
访问控制确保敏感的数据仅由获得授权的用户访问。
保密性则确保传送的数据只被目标接收人接收和理解。
广播台站无线网络技术发展迅速,每天无线传输大量重要的、甚至保密的工作数据资料,拥有安全的无线网络工作环境迫在眉睫。
2.无线局域网2.1 无线局域网概述无线局域网(Wireless Local Area Networks),也被称为WLAN。
是指利用无线电波传输数据,并将设备连接到互联网、企事业网络以及应用程序的一种网络。
是通用无线接入的一个子集,可支持较高的传输速率(可达2Mbps~108Mbps)。
WLAN的最大优点就是实现了网络互连的可移动性,只要在有线网络的基础上通过无线接人点、无线网桥、无线网卡等无线设备就可使无线通信得以实现。
2.2 无线局域网的破解(1)WEP加密技术――破解方式:收集足够的Cap数据包(5万以上-15万),然后使用aircrack破解。
可以在无客户端情况下采用主动注入的方式破解。
(2)WPA加密技术――破解方式:收包含握手信息的Cap数据包,然后使用aircrack破解。
必须在合法的客户端在线的情况下抓包破解。
可主动攻击合法客户端使其掉线,合法客户端掉线后再与AP重新握手即可抓到包含握手信息的数据包。
或可守株待兔等待合法的客户端上线与AP握手。
3.无线局域网风险分析WlAN技术为用户提供更好的移动性、灵活性和扩展性,当用户对WLAN 的期望日益升高时,其安全问题随着应用的深入表露无遗。
无线局域网(WLAN)安全与加密技术
无线局域网(WLAN)安全与加密技术随着信息技术的飞速发展,无线局域网(WLAN)在我们的生活中扮演着越来越重要的角色。
然而,由于其无线传输的特性,WLAN的安全性和数据加密技术显得尤为重要。
本文将探讨WLAN的安全性问题以及常见的加密技术。
一、WLAN的安全性问题1.1 信号盗用和未授权接入WLAN的无线传输使得信号可以在范围内被拦截,这给信号的盗用和未授权接入带来了风险。
黑客可以通过窃取WLAN的信号,获取网络流量和敏感信息,甚至篡改用户的通信内容。
未授权接入也意味着陌生设备可以进入网络并进行恶意攻击或者非法访问。
1.2 数据泄露和窃听由于WLAN中的数据传输是通过无线信号进行的,网络中的敏感数据很容易被窃听或者泄露。
黑客可以通过窃听网络流量获取用户的个人信息、账户密码等敏感数据,从而进行各种形式的攻击。
1.3 无线网络干扰和拒绝服务恶意攻击者可以通过干扰WLAN信号,使得网络无法正常工作,从而导致服务不可用。
拒绝服务攻击可以对无线网络造成重大破坏,使得合法用户无法连接或者使用网络。
二、WLAN的加密技术为了解决WLAN的安全性问题,需要使用合适的加密技术来保护无线网络的安全。
2.1 WEP(有线等效隐私)加密WEP是最早期广泛使用的WLAN加密技术之一。
它使用64位或128位密钥对数据进行加密。
然而,WEP有着严重的安全弱点,易受到已知明文攻击和动态密钥攻击。
因此,现在已经不推荐使用WEP加密。
2.2 WPA(Wi-Fi保护访问)加密WPA是WEP的一个改进版本,提供更高的安全性。
WPA使用了预共享密钥(PSK)来加密数据传输,并采用临时密钥对数据进行动态加密。
WPA还使用了消息完整性校验(MIC),防止数据篡改。
尽管WPA比WEP更加安全,但仍然存在一些安全漏洞。
2.3 WPA2(Wi-Fi保护访问2)加密WPA2是目前最常用的WLAN加密技术,它是在WPA的基础上进一步改进而来的。
WPA2使用了更强大的加密算法(如AES)和更复杂的密钥管理协议,提供了更高的安全性。
第三章(下) 无线局域网安全
5. 802.11i技术
பைடு நூலகம்
新一代安全标准IEEE 802.11i定义了RSN (Robust Security Network)的概念, 增强了WLAN中的数据加密和认证性能, 并且针对WEP加密机制的各种缺陷做了 多方面的改进。
IEEE 802.11i规定使用802.1x认证和密钥管理 方式,在数据加密方面,定义了TKIP (Temporal Key Integrity Protocol)、CCMP (Counter-Mode/CBC-MAC Protocol)和WRAP (Wireless Robust Authenticated Protocol)三 种加密机制。其中TKIP采用WEP机制里的RC4 作为核心加密算法,可以通过在现有的设备上 升级固件和驱动程序的方法达到提高WLAN安 全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM (Counter-Mode/CBC-MAC)认证方式,使得 WLAN的安全程度大大提高,是实现RSN的强 制性要求。由于AES对硬件要求比较高,因此 CCMP无法通过在现有设备的基础上进行升级 实现。802.11i协议结构如图1所示。
EAP不专属于某一厂商,它能够弥补WEP 的弱点,并且同时能够解决在接入点之 间的移动性问题。EAP还解决了VPN瓶颈 问题,使用户能够以有线网络的速度进 行工作。不过,配置EAP不是一件容易的 事情,这也就是为什么PEAP受到欢迎的 原因。PEAP是由微软,思科和RSA Security共同开发,致力于简化客户端、 服务器端以及目录的端到端整合。
该技术也是用于无线局域网的一种增强性网 络安全解决方案。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认 证结果。如果认证通过,则AP为用户打开这 个逻辑端口,否则不允许用户上网。802.1x 除提供端口访问控制能力之外,还提供基于 用户的认证系统及计费,特别适合于无线接 入解决方案。
无线局域网面临的安全问题及防范措施
、
组4 0位 或 1 2 8位 的密 钥 作 为 认 证 口令 , 当 W E P功 能 启 动 时 , 每 台工作站都使用这个 密钥, 将准备传输 的资料加密运 算形成新 的资 料 ,并 透 过 无 线 电波 传 送 ,另 一 工 作站 在接 收 到 资料 时 ,也 利 用 同 一 组 密 钥 来 确 认 资 料 并 做 解 码 动 作 , 以获 得 原 始 资 料 。 WE P 目的是 向无线 局域 网提供 与有 线 网络 相 同级别 的安全 保 护 ,它用于保 障无线通信 信号的安全 ,即保密性和完整性。 ( 三 )采用 基于 I E E E 8 0 2 . 1 x端 口的协议 端 口访 问控 制 技 术 ( 8 0 2 . I x )是 由 I E E E 定 义 的 , 用 于 以 太 网和 无 线 局 域 网 中 的 端 口访 问与 控 制 , 属 于 增 强 型 网络 安全 解 决 方 案 。当无 线 工 作 站 S T A与无 线访问点 A P 关 联 后 ,是 否 可 以使
无 线局 域 网 面 临 的安 全 问题 及 防 范措施
赵 菲 陈瑞瑞
河南 郑 州 4 5 1 1 0 0) ( 郑州 i 工业应用技术 学院
摘 要 :无线局域 网具有 易安装 、易扩展 、易管理 、易维护 、 高移动性等特点 ,在数据 通信业务 中得到广泛应用 。但是 无线局 域 网在 给人们 带来 方便快捷 的同时 ,也给人们带来 了新 的安全 问题 。 本 文 将 对 无 线 局 域 网所 面 临 的安 全 威 胁 进 行 分 析 ,并提 出技 术 防 范
一
用 AP 的服 务 要 取 决于 8 0 2 . 1 x 的 认 证 结 果 。 如 果 认 证 通 过 , 则 A P为 S T A 打 开 这 个 逻 辑 端 口 ,否 则不 允许 用户 上 网 。8 0 2 . 1 x要
了解计算机网络中的无线局域网技术与安全
了解计算机网络中的无线局域网技术与安全计算机网络是现代社会不可或缺的一部分,无线局域网技术则是其中重要的组成部分。
本文将介绍计算机网络中的无线局域网技术以及相关的安全问题。
一、无线局域网技术的基本概念无线局域网(Wireless Local Area Network,简称WLAN)是指利用无线通信技术,实现在有限范围内的无线数据通信的局域网。
相比有线局域网,无线局域网具有灵活性高、布线简单等优势。
无线局域网技术的核心是无线信号传输和接收。
无线局域网技术又可以分为几个子技术,其中最常见的是Wi-Fi技术。
Wi-Fi技术是一种基于IEEE 802.11标准的无线局域网技术,用于在2.4GHz或5GHz频段进行无线数据通信。
目前,Wi-Fi技术已广泛应用于家庭、企业、公共场所等各个领域。
二、无线局域网技术的工作原理无线局域网技术的工作原理可以简单概括为以下几个步骤:1. 信号传输:发送端将数据转换为无线信号,并通过天线发送出去。
2. 信号接收:接收端的无线网卡接收到信号,并将其转换为数字信号。
3. 数据处理:接收端的无线网卡将接收到的数字信号转换为数据,并交给计算机处理。
4. 数据传输:计算机将处理后的数据传输给目标设备或网络。
三、无线局域网技术的安全问题随着无线局域网技术的普及,相关的安全问题也日益凸显。
以下是常见的无线局域网安全问题及对应的解决方案:1. 数据加密:无线局域网的数据传输通常采用无线加密协议来确保数据的安全。
常见的加密协议包括WEP、WPA和WPA2等。
使用较强的加密算法和复杂的密码可以有效防止数据被窃取。
2. 认证机制:为了防止未经授权的访问,无线局域网通常需要用户进行身份验证。
常见的认证机制包括预共享密钥(PSK)和802.1X认证等。
用户可以使用唯一的身份凭证来获得访问权限。
3. 防火墙和安全策略:通过使用防火墙和制定适当的安全策略,可以有效地保护无线局域网免受网络攻击的威胁。
无线局域网第5章无线局域网安全课件
WLAN安全概述 安全的小型无线局域网 安全的中型无线局域网 安全的大型无线局域网 802.1X认证的无线局域网
WLAN安全概述---安全威胁
未经授权的接入 MAC地址欺骗 无线窃听 企业级入侵
WLAN系统安全要求
机密性 合法性 数据完整性 不可否认性 访问控制 可用性健壮性
802.1X认证的无线局域网
安装与配置RADIUS服务器
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-证客户端-WIN7
配置802.1X认证客户端-WIN7
配置802.1X认证客户端-WIN7
小型802.1X认证无线局域网
中型802.1X认证无线局域网
大型802.1X认证无线局域网
总结
WLAN安全概述 安全的小型无线局域网 安全的中型无线局域网 安全的大型无线局域网 802.1X认证的无线局域网
或WPA 6)配置无线射频接口,并应用无线虚接口与无线
服务模板 7)无线终端接入WLAN,测试网络连通性
安全的大型无线局域网 WEP加密的WLAN
具体配置思路
1)配置FIT AC地址,并确保网络连通 2)在FIT AC上创建DHCP服务器,并配置地址池、
默认网关与DNS服务器地址,确保FIT AP自动获取 IP,并与AC相通 3)创建无线虚接口 4)配置FIT AP注册 5)配置无线服务模板,设置WEP加密,绑定无线 虚接口 6)配置无线射频接口,并应用无线服务模板 7)无线终端接入WLAN,测试网络连通性
第8章 无线局域网安全
第8章 无线局域网安全
8.1 8.2 8.3 8.4 8.5 8.6 8.7 WLAN安全技术简介 有线等效加密(WEP) Wi-Fi保护接入(WPA) IEEE 802.11i和WPA2 WLAN安全实施 无线热点安全 小结
8.4 IEEE 802.11i和WPA2
IEEE802.11i标准为802.11 WLAN定义安全加强,提 供更强大的加密、认证和密钥管理策略,以建立健 壮的安全网络(RSN)。 RSN的关键特征: 1)协商过程使设备关联期间每个选定的通信类型 都有合适的加密协议 2)密钥系统可以生成和管理两个层次的密钥(单播 的密钥对和多播的群密钥) 3)两个提高保密性的协议(TKIP和AES-CCMP) 11i还包含密钥缓冲和预认证机制,减少漫游站点和 接入点之间关联或重关联的时间。
用户认证
确认试图接入网络的用户与他们申明的身份一致
用户接入控制 只允许那些被认证可以接入的用户接入网络 数据加密 密钥管理 消息完整性 通过加密保证网络上传输的数据不被窃听或未授权 接入 建立、保护以及分配密钥来加密数据和其他信息 检查消息在传输过程中是否有被修改
8.1 WLAN安全技术简介
IEEE 802.11标准的最初版本只包括有限的认证和脆 弱的加密。(WEP) 802.11安全性增加的过渡性发展和部署是由Wi-Fi通 过出台WPA和WPA2来领导。 2004年802.11i标准获批,指出802.11最初版本的缺 点,为WPA和WPA2提供了基本标准。
8.4 IEEE 802.11i和WPA2
WPA2是Wi-Fi联盟对11i标准终稿的实现,取代了WPA
WPA和WPA2的比较
第8章 无线局域网安全
8.1 8.2 8.3 8.4 8.5 8.6 8.7 WLAN安全技术简介 有线等效加密(WEP) Wi-Fi保护接入(WPA) IEEE 802.11i和WPA2 WLAN安全实施 无线热点安全 小结
第9章-无线局域网安全技术
7
9.2 IEEE802.11无线局域网安全标 准及安全性分析
➢ 9.2.1 IEEE 802.11体系结构及关键概念 ➢ 9.2.2接入控制 ➢ 9.2.3 WEP 标准 ➢ 9.2.4 TKIP
2020/6/16
8
9.2.1 IEEE 802.11体系结构及关键概念
在IEEE 802.11标准中分别为工作站(STA)和访问接入 点(AP)定义了共计9种服务,它们是:
⑤认证服务器将会话密钥交给接入点AP。 ⑥AP激活端口状态,并开始使用会话密钥与STA进行通 信。
⑦一段时间后,认证服务器重新更新会话密钥。
2020/6/16
15
9.2.3 WEP 标准
WEP原理示意图
2020/6/16
16
1.针对RC4的攻击问题
在WEP中主要采用RC4作为加密算法,RC4 算法属于序 列密码,是RSA公司的一种经典的对称加密算法,RC4算法 通过对数字为0~255的256B(S盒)按照密钥重排来完成初 始化,然后再对这此字节不断重排产生密钥流。但由于初始 化和前几个密钥流字节的排列数量不够多,会产生算法上的 脆弱性。
2020/6/16
9
IEEE802.11 STA认证状态转换
2020/6/16
10
9.2.2 接入控制
1.开放系统认证 开 放 系 统 认 证 是 种 非 常 简 单 的 认 证 形 式 , 它 是 IEEE 802.11无线局域网默认的认证模式,其认证过程完全采用明 文进行认证,是在一种完全透明的状态下进行的,用户即使 不提供正确的密钥也可以与接入点相连。开放系统认证就其 本质而言是一个空的认证过程。因此,开放系统认证是一种 安全性极低的认证方式,任何想要接入BSS的STA,均可以 通过开放系统认证成功接入BSS。
无线局域网与无线局域网安全技术
无线局域网与无线局域网安全技术近几年来,无线局域网在技术上已经日渐成熟,应用日趋广泛,那么你知道无线局域网与无线局域网安全技术的知识吗?下面是店铺整理的一些关于无线局域网与无线局域网安全技术的修改资料,供你参考。
一、发展中的IEEE 802.1x无线局域网安全标准一开始,IEEE 802.11提供了一些基本的安全机制,这使得无线网日益增强的自由较少潜在威胁。
在802.11规范中通过有线同等保密(Wired Equivalent Privacy WEP)算法提供了附加的安全性。
这一安全机制的一个主要限制是:没有规定一个分配密钥的管理协议。
因此,脆弱的安全机制使它不足以阻挡任何人,更何况是黑客的攻击。
为了补救WEP在安全性上的不足,需要通过IEEE 802.1x协议。
802.1x是一个基于端口的标准草案。
网络接入控制提供以太网的网络接入的鉴权。
这种基于端口的网络接入控制使用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。
如果认证过程失败,端口接入将被阻止。
尽管此标准是为有线以太网设计,它也可用于802.11无线局域网。
对无线网络来说,802.1x支持远程拨号用户签名服务(Remote Authentication Dial-In Service RADIUS),接入点将采用对客户证书认证的RADIUS服务器作为网络接入的认证者。
802.1x还支持集中式的Kerberos用户签名、验证和记账,并且实现了更强的协议。
通信被允许通过一个逻辑"非控制端口"或信道来验证证书的有效性而通过一个逻辑"控制端口"来获得接入网络的密钥。
新标准为每个用户和每个会话准备不同的密匙,并且密匙支持128 bit的长度。
密钥管理协议因而得以添加到802.11的安全性中。
这种802.1x方式已被广泛采用而RADIUS鉴权的使用也在增加。
如果需要的话,RADIUS服务器可以查询一个本地认证数据库。
无线局域网技术的安全问题及防范措施
述 了无 线 局 域 网 的发 展 过 程 。 出 了无 线 局 域 网安 全研 究 的 必 要 性 , 出 了无 线 局 域 网技 术 的 安 全 问题 以及 防范 措 施 。 指 提
【 关键词】 :无线局域 网; 安全技术 ; 防范措施
O .引 言
的 向 高 速 无 线 局 域 网 过 渡 .延 长 了 I E 821b产 品 的使 用 寿 E E 0 .l
随 着 报 社 移 动 办公 模 式 的发 展 .笔 记本 电脑 已 成 为采 编人 命 , 低 用 户 的投 资 。 降 员 必备 的办 公 设 备 . 此 报 社 搭 建 了无 线局 域 网 。 享 受 WL N 1 为 在 A . 4其他 相关 协议 带 来 的方 便 、 捷 的 同时 . 安 全技 术 方 面也 给我 们 带 来 了新 的 快 在 I E 82工 作 组 今 后 将 继 续 对 8 .l系列 协议 进 行 探 讨 . E E0 2 0 1 挑 战 。 A 是 一 个 比 较新 的业 务 。 即 可满 足 各 类 便 捷 机 的入 并 计 划 推 出一 系 列 用 于完 善 无 线 局 域 网 应 用 的协 议 .其 中 主 要 WL N 它
维普资讯
福
建
电
脑
20 0 6年第 8期
无线局域 网技术 的安全问题及 防范措施
顾 江
( 福州 日报社 出版 网络 中心 福建福州 3 0 2 ) 50 5
【 摘
要】 :无线局域 网( AN) '算机 网络 与无 线通信技 术相 结合 的产物 。针对无 线局域 网技术 的发展状况 , 者祥 WL  ̄i l " 作
及 高 吞 吐 量 研 究 工作 组 的相 关 协 议 。 2 无 线 局 域 网技 术 的安 全 问 题 . WL N主 要 具 有 安 装 便 捷 、 用 灵 活 、 济 节 约 、 于 扩展 A 使 经 易 等 优 点 。 WL N 最大 的优 势 就 是 免 去 或 减 少 了网 络 布 线 的工 作 A 量 , 般 只 要 安 装 一 个 或 多 个 接 人 点 fcesP iO设 备 。 可 一 A cs o n 就 建 立 覆 盖 整 个建 筑 或 地 区 的局 域 网 络 。 有 线 网络 中 . 在 网络 设 备 的 安 放 位 置 受 网 络 信 息 点 位 置 的 限 制 。而 一 旦 WL N建 成 后 , A 在 无 线 网 的 信 号 覆 盖 区域 内任 何 一 个 位 置 都 可 以 接 入 网 络 。 WL N有 多 种配 置方 式 。 够 根 据 需 要 灵 活 选 择 。 这 样 , A A 能 WL N 就 能 胜 任 从 只 有 几 个 用 户 的 小 型 局 域 网到 上 千 用 户 的 大 型 网 相 关 标 准 的制 定 。1 9 9 7年 I E 8 2 1 标 准 出 台 了 . 的 制定 是 络 . 且 能 够 提 供 像 ” 游 fomiS” 有 线 网络 无 法 提 供 的 特 E E 0 .l 它 并 漫 R a n)等 无 线 局 域 网发 展 的里 程 碑 .它 是 由 大量 的局 域 网 以及 计 算 机专 性 。 家 审 定 通 过 的标 准 。 IE 8 .l 准 定 义 了单 一 的 MA E E0 1 标 2 C层 和 WL N在 为 用 户 带 来 巨 大便 利 的 同时 .也 存 在 着 许 多 安 全 多 样 的 物理 层 , 其物 理层 标 准 主 要 有 IE 8 .I ,和 g E E 0 1ba 2 。 上 的 问题 。 由 于 WL N通 过 无 线 电波 在 空 中 传 输 数 据 . 能采 A 不 1 1 I E8 2 1 b . EE 0 . 1 用 类 似 有 线 网络 那样 的通 过 保 护 通 信 线 路 的方 式 来 保 护 通 信 安 19 9 9年 9月 正 式 通 过 的 I E 8 2 1b标 准 是 I E 8 2 1 全 . 以 在 数 据 发 射 机 覆 盖 区域 内 的几 乎 任 何一 个 WL N 用 户 E E 0 .l E E 0 .l 所 A 协 议标 准 的扩 展 。它 可 以 支持 最 高 lMb s l p 的数 据 速 率 , 行 在 都 能接 触 到 这 些 数 据 . 将 WL N 发 射 的数 据 仅 仅 传 送 给 一 名 运 要 A 24 Hz IM 频 段 上 , .G 的 S 采用 的 调 制技 术是 C K。但 是 随着 用 户 目标 接 受 者 是 不 可 能 的 。虽 然 无 线 网 络 和 WL N 的应 用 扩 展 了 C A 不 断 增 长 的 对 数 据 速 率 的 要 求 .C 调 制 方式 就 不 再 是 一 种 合 网络 用 户 的 自由 , 安 装 时 间短 、 加 用 户 或 更 改 网 络 结 构 时灵 CK 它 增 适 的 方法 了 。 为 对 于直 接 序 列 扩 频 技 术 来 说 , 了取 得 较 高 的 活 、 因 为 经济 , 提 供 无线 覆 盖 范 围 内的 全功 能漫 游 服 务 。 可 然而 。 这种 数 据 速 率 , 达 到 扩 频 的 目的 。 取 的码 片 的速 率 就 要 更 高 , 并 选 这 自由也 同时 带来 了新 的挑 战 . 些 挑 战 其 中 就 包括 安 全 性 。目前 这 对 于现 有 的码 片 来 说 比较 困难 :对 于 接 收 端 的 R K A E接 收 机 来 使 用 最 广 泛 的 IE 0 .l E E8 1b标 准 提 供 了 的 安 全 技 术 手 段 有 : 2 业 说 。 高 速 数 据 速 率 的 情 况 下 , 了达 到 良好 的 时 间 分 集 效 果 , 务 组 标 识 符 (sD、 理 地 址 Ac过 滤 和 有 线 等 效 保 密 协 议 在 为 si 1物 1 要求 R K A E接 收 机有 更 复 杂 的结 构 。 硬 件 上不 易 实现 。 在 P。 ) 12 I E8 2 1 a . EE 0 . 1 21业 务 组 标 识符 (s3 . s i) I E 821a 作 5 I 频 段 上 . 用 O D 调 制 技 术 可 支 E E 0 .l 工 G- I z 使 FM 业 务 组 标识 符 ( I)无 线 客 户 端 必 须 出示 正 确 的 S I S D: S SD才 持 5 Mb s 传输 速率 821a与 8 .l 个 标 准都 存 在 着 能 访 问无 线 接人 点 A 。利用 S I 可 以 很好 地 进 行 用 户群 体 分 4 p的 0 .l 2 0 1b两 P SD。 各 自的优 缺 点 ,0 .l 8 21b的 优 势 在 于 价 格 低 廉 , 速 率 较 低 ( 高 组 , 免 任 意 漫 游 带 来 的安 全 和 访 问性 能 的 问题 , 而 为无 线 局 但 最 避 从 1Mbs : 821a优 势 在 于 传 输 速 率 快 ( 高 5 Mb s且 受 域 网提 供 一 定 的 安 全 性 然 而 无 线 接 人 点 A I p )而 0 .l 最 4 p) P周 期 向外 广 播 其 干 扰 少 。 价格 相对 较 高 。另 外 . l 但 1a与 lb工 作 在 不 同 的频 段 S I 使 安 全程 度下 降 。 外 。 般 情 况 下 。 户 自 己配 置 客户 端 l sD, 另 一 用 上 . 能 工 作 在 同一 A 不 P的 网络 里 。 因此 la与 lb互 不 兼 容 。 l l 系 统 。 以 很 多 人 都 知道 该 S I 很 容易 共 享 给 非 法用 户 。况 且 所 SD。 13 I . EEE 0 . l 8 21 g 有 的 厂 家 支 持 ay方 式 , 要 无 线 客 户 端 处 在 A n 只 P范 围 内 . 么 那 为 了解 决 上 述 问 题 .为 了进 一 步推 动无 线 局 域 网 的 发 展 . 它 都会 自动 连 接 到 A . 将 绕 过 S I 的安 全 功 能 。 P这 SD . c过 20 0 3年 7月 8 .l 作 组 批 准 了 8 21 E 准 , 的 标 准 终 于 22物理 地 址 A 1 滤 2 0 1工 0 .l 标 新 浮 出水 面成 为 人 们 对 无 线 局 域 网关 注 的焦 点 I E 821 E E 0 .l工作 物 理地 址 A 1 滤 : c过 每个 无 线 客 户 端 网卡都 由惟 一 的物 理 组 开 始定 义 新 的 物 理 层 标 准 I E 8 21E 该 草 案 与 以 前 的 82 地 址标 识 . 此 可 以在 A E E 0 .l。 0. 因 P中手 工 维 护 一 组 允 许 访 问 的 MA C地 1 协 议 标 准 相 比有 以 下 两 个 特 点 :其 在 2 G 频 段 使 用 OF M 址 列 表 , 现 物 理地 址 过 滤 。物 理 地 址 过 滤 属 于 硬 件 认 证 , 不 l . 4 D 实 而 调 制 技 术 ,使 数 据 传 输 速 率 提 高 到 2 M p 0 b s以 上 ; E 821g 是 用户 认 证 。这 种 方 式 要 求 A I E 0 .l E P中 的 MA C地 址 列 表 必需 随时 更 标 准 能 够 与 8 .l 2 0 1b的 WII 统互 相 连 通 .共 存 在 同一 A F系 P的 新 , 目前 都 是 手工 操 作 ; 如果 用 户 增 加 , 扩 展 能力 很 差 , 此 只 则 因 网络 里 . 障 了后 向 兼 容 性 。这 样 原 有 的 WL N系 统 可 以平 滑 适 合 于小 型 网络 规 模 。 保 A 另外 。 法 用 户 利 用 网 络侦 听 手 段 很 容 易 非
无线局域网的安全
无线局域网的安全在当今数字化的时代,无线局域网(WLAN)已经成为我们生活和工作中不可或缺的一部分。
无论是在家中享受休闲时光,还是在办公室里高效办公,我们都依赖于无线局域网来连接互联网,获取信息和进行交流。
然而,随着无线局域网的广泛应用,其安全问题也日益凸显。
如果不加以重视,可能会导致个人隐私泄露、企业数据丢失甚至国家安全受到威胁。
因此,了解无线局域网的安全问题并采取有效的防范措施至关重要。
首先,让我们来了解一下无线局域网的工作原理。
无线局域网是通过无线电波来传输数据的,这就意味着信号可以在一定范围内被任何具有接收能力的设备捕获。
当我们的设备连接到无线局域网时,会与无线路由器进行通信,交换数据。
如果这个通信过程没有得到妥善的保护,那么黑客就有可能截取这些数据,获取我们的敏感信息,比如密码、银行账号等。
那么,无线局域网面临哪些安全威胁呢?其中一个常见的威胁是未经授权的访问。
如果我们的无线网络没有设置密码或者密码过于简单,那么任何人都有可能连接到我们的网络,使用我们的网络资源,甚至窥探我们的网络活动。
此外,还有一种叫做“蹭网”的行为,即一些人故意寻找未加密的无线网络来免费使用,这不仅会影响我们的网络速度,还可能带来安全隐患。
另一个威胁是无线窃听。
由于无线信号的开放性,黑客可以在无线网络覆盖的范围内使用特殊设备来监听我们的通信内容。
他们可以获取我们发送和接收的数据包,通过分析这些数据包来获取有用的信息。
此外,恶意软件也是无线局域网面临的一大威胁。
当我们连接到不安全的无线网络时,可能会不小心下载到带有恶意软件的文件或程序。
这些恶意软件可以窃取我们的个人信息、控制我们的设备,甚至对我们的设备造成损坏。
为了保障无线局域网的安全,我们可以采取以下措施:第一,设置强密码。
密码应该包含字母、数字和特殊字符,并且长度不少于 8 位。
同时,定期更改密码也是一个好习惯。
第二,启用加密技术。
目前,常见的无线加密技术有 WEP、WPA和 WPA2 等。
无线局域网安全问题与防范技术
无线局域网安全问题与防范技术随着科技的不断发展,无线局域网(WLAN)已经成为我们日常工作和生活中必不可少的一部分。
然而,越来越多的人们对WLAN的安全性提出了质疑,因为WLAN通常是通过无线信号进行传输的,这意味着它可能会受到恶意攻击或者侵犯。
为了保障WLAN的安全性,我们需要深入了解WLAN安全问题,以及如何使用防范技术来保障WLAN的安全性。
无线局域网的安全问题:1. 无线信号泄露:WLAN 的数据传输是通过无线信号来实现的。
但是,这种无线信号会在一定的范围内传播,这就给攻击者留下了机会。
攻击者可以使用无线嗅探设备来窃取WLAN的无线信号,然后通过对信号的解密,获取需要的信息。
2. 弱密码:很多WLAN的用户使用的密码过于简单和容易猜测,这给攻击者提供了入侵的机会。
使用弱密码或者默认密码会使WLAN用户面临黑客攻击和其他安全威胁的风险。
3. 未设置加密:WLAN网络必须被加密才能保证数据的安全传输。
没有加密的网络易受到黑客攻击,攻击者可以很容易地访问网络上的所有数据。
4. 假冒访问点(AP):黑客可以设置假冒的AP来欺骗用户去连接,因为这些假冒的AP通常会以正常AP的标识出现并给用户提供无线连接。
用户连接到假冒的AP后,黑客就能够监视该用户的所有活动。
无线局域网的防范技术:1.使用安全协议:加密是WLAN安全的核心。
WPA(Wi-Fi Protected Access),WPA2和WEP(Wired Equivalent Privacy)是加密WLAN的三种协议。
WPA2是目前最安全的协议,使用WPA2协议,可为WLAN设置更多的安全选项,如主动身份验证和802.1x,以提高网络的安全性。
2.更新无线路由器的密码:更新无线路由器密码的重要性在于保障数据的安全性。
密码不应该简单地选用出生日期、个人信息等等。
3.采用MAC地址过滤:把WLAN路由器的MAC地址过滤选项打开,可以避免未授权的设备访问你的无线网络。
无线局域网安全防范措施
无线局域网安全防范措施无线局域网(Wireless Local Area Network,WLAN)具有可移动性、安装简单、高灵活性和扩展能力,作为对传统有线网络的延伸,在许多特殊环境中得到了广泛的应用。
随着无线数据网络解决方案的不断推出,“不论您在任何时间、任何地点都可以轻松上网”这一目标被轻松实现了。
由于无线局域网采用公共的电磁波作为载体,任何人都有条件窃听或干扰信息,因此对越权存取和窃听的行为也更不容易防备。
在2001年拉斯维加斯的黑客会议上,安全专家就指出,无线网络将成为黑客攻击的另一块热土。
一般黑客的工具盒包括一个带有无线网卡的微机和一片无线网络探测卡软件,被称为Netstumbler(下载)。
因此,我们在一开始应用无线网络时,就应该充分考虑其安全性。
常见的无线网络安全技术有以下几种:服务集标识符(SSID)通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。
因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。
由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。
目前有的厂家支持"任何(ANY)"SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
物理地址过滤(MAC)由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。
这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
物理地址过滤属于硬件认证,而不是用户认证。
这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
网络安全课中无线局域网安全问题及防范措施
网络服务器
验证服务器
无线客户端
接入点
④
③
②
①
⑤
图1 登录会话过程
具体过程如下:
①户要求接入,接入点防止网络接入;②加密证明材料被发往验证服务器;
③验证服务器验证用户并给予接入许可;
④接入点端口被启动,动态WEP 密钥被以加密的方式分配给客户;
⑤无线客户端现在可以安全访问网络服务了。
3.3 专业安全的防范措施
专业安全的防范是指针对大型企业、政府机关需要绝密安全的数据进行保护,这种级别的安全防范措施多采用虚拟专网技术(VPN )。
VPN 技术建立的是一个临时的隧道在公用网络里搭建了一个暂时的安全隧道,它综合了专用网络安全性和数据质量保证性的优点,以及公共网络结构的优,所谓虚拟是指用户不再需要占用实际的长途数据线路专用是指利用现有的不安全的公用网络环境,构建安全性明的网络资源存储在个人U 盘中。
3.3 信息失安全事故处理要得当3.3.1 采取措施恢复数据
当教师重要数据遭到破坏后,可以采取某些措施进行
恢复,不仅能恢复计算机硬盘中的数据、还能恢复U 盘等上接136页)。
第 11 章 无线局域网安全
(10)OK!进去了,此时,可以看到无线路由器的 界面了。继续,我们选择“设置向导” (建议新手都选。 择“设置向导”)点击“下一步”。如图 11-11 所示。 (11)在这里,由于我们大多数人都基本上是用的 ADSL 上网的。所以,我们就选择“ADSL 虚拟拨号 (PPPoE)。再点击“下一步””。 注意:有些朋友是接的大楼局域网,很有可能是动 态或静态 IP 的方式。具体问题就具体查看自己的情况了。 如图 11-12 所示。 (12)然后,输入你的 ADSL 上网的账号和密码。(就 是安装宽带时,工作人员给你的账号和密码,一般就是 在桌面上“宽带连接”的那个账号和密码)点击“下一 步”。如图 11-13 所示。 (13)到了这里,我们可以更改我们的 SSID 号。改 不改全看自己。我保持默认名字,再选择在“模式”这 栏选择你的无线网卡的模式。(无线网卡有 802.11b、 802.11g 两种,具体看自己的情况。不过现在的路由器都 有兼容 802.11b、802.11g 两种的模式)。 注意:如果你的网卡是 802.11b,而你的路由器设置 成 802.11g。那么无线就会问题。或者连接不上。 如图 11-14 所示 (14)我的笔记本的无线网卡就是 802.11g 的。所以 选择了 802.11g。再点“下一步”。如图 11-14 所示。 (15)最后,路由器提示完成。点击“完成”。如图
7、布置 AP 的时候要在公司办公区域以外进行检 查,防止 AP 的覆盖范围超出办公区域(难度比较大),同 时要让保安人员在公司附近进行巡查,防止外部人员在 公司附近接入网络。 8、禁止员工私自安装 AP,通过便携机配置无线 网卡和无线扫描软件可以进行扫描。 9、如果网卡支持修改属性需要密码功能,要开启 该功能,防止网卡属性被修改。 10、配置设备检查非法进入公司的 2.4G 电磁波发 生器,防止被干扰和 DOS 11、制定无线网络管理规定,规定员工不得把网 络设置信息告诉公司外部人员,禁止设置 P2P 的 Ad hoc 网络结构 12、跟踪无线网络技术,特别是安全技术( 如 802.11i 对密钥管理进行了规定),对网络管理人员进行知 识培训。 11.3 无线路由器的安全设置 11.3.1 无线路由器的初始设置:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无线局域网的安全技术白皮书作者: 寂静的海, 出处:IT专家网,责任编辑: 张帅,2007-12-04 10:58无线局域网(WLAN)具有安装便捷、使用灵活、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。
但是由于无线局域网信道开放的特点,使得全性成为阻碍WLAN发展的最重要因素……无线局域网的安全无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。
但是由于无线局域网信道开放的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。
虽然一方面对无线局域网需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。
就目前而言,有很多种无线局域网的安全技术,包括物理地址( MAC )过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。
面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。
1、无线局域网的安全威胁利用WLAN进行通信必须具有较高的通信保密能力。
对于现有的WLAN产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款,甚至可能导致法律纠纷。
地址欺骗和会话拦截(中间人攻击)在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
高级入侵(企业网)一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。
多数企业部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。
2、基本的无线局域网安全技术通常网络的安全性主要体现在访问控制和数据加密两个方面。
访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。
下面对在无线局域网中常用的安全技术进行简介。
物理地址( MAC )过滤每个无线客户端网卡都由唯一的48位物理地址(MAC)标识,可在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。
这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC地址来非法接入。
图1 MAC地址过滤服务区标识符( SSID ) 匹配无线客户端必需设置与无线访问点AP相同的SSID ,才能访问AP;如果出示的SSID 与AP的SSID不同,那么AP将拒绝它通过本服务区上网。
利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。
可以通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全。
图2 服务区标识匹配有线对等保密(WEP)在IEEE802.11中,定义了WEP来对无线传送的数据进行加密,WEP的核心是采用的RC4算法。
在标准中,加密密钥长度有64位和128位两种。
其中有24Bit的IV是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位。
WEP加密原理图如下:图3 WEP加密原理图1、AP先产生一个IV,将其同密钥串接(IV在前)作为WEP Seed,采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度)的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;3、将上述两步的结果按位异或生成加密数据;4、加密数据前面有四个字节,存放IV和Key ID,IV占前三个字节,Key ID在第四字节的高两位,其余的位置0;如果使用Key-mapping Key,则Key ID为0,如果使用Default Key,则Key ID为密钥索引(0-3其中之一)。
加密后的输出如下图所示。
图4 WEP加密后的MPDU格式加密前的数据帧格式示意如下:加密后的数据帧格式示意如下:WEP解密原理图如下:图5 WEP解密原理图1、找到解密密钥;2、将密钥和IV串接(IV在前)作为RC4算法的输入生成和待解密数据等长的密钥序列;3、将密钥序列和待解密数据按位异或,最后4个字节是ICV,前面是数据明文;4、对数据明文计算校验值ICV',并和ICV比较,如果相同则解密成功,否则丢弃该数据。
连线对等保密WEP协议是IEEE802.11标准中提出的认证加密方法。
它使用RC4流密码来保证数据的保密性,通过共享密钥来实现认证,理论上增加了网络侦听,会话截获等的攻击难度。
由于其使用固定的加密密钥和过短的初始向量,加上无线局域网的通信速度非常高,该方法已被证实存在严重的安全漏洞,在15分钟内就可被攻破。
现在已有专门的自由攻击软件(如airsnort)。
而且这些安全漏洞和WEP对加密算法的使用机制有关,即使增加密钥长度也不可能增加安全性。
另外,WEP缺少密钥管理。
用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。
WEP中没有规定共享密钥的管理方案,通常是手工进行配置与维护。
由于同时更换密钥的费时与困难,所以密钥通常很少更换,倘若一个用户丢失密钥,则会殃及到整个网络的安全。
ICV算法不合适。
WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。
CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV。
同时WEP还可以作为一种认证方法,认证过程如下:1.在无线接入点AP和工作站STA关联后,无线接入点AP随机产生一个挑战包,也就是一个字符串,并将挑战包发送给工作站STA。
2.工作站STA接收到挑战包后,用密钥加密挑战包,然后将加密后的密文,发送回无线接入点AP。
3.无线接入点也用密钥将挑战包加密,然后将自己加密后的密文与工作站STA加密后的密文进行比较,如果相同,则认为工作站STA合法,允许工作站STA利用网络资源;否则,拒绝工作站STA利用网络资源。
端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)IEEE802.1x 并不是专为WLAN设计的。
它是一种基于端口的访问控制技术。
该技术也是用于无线局域网的一种增强网络安全解决方案。
当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络。
IEEE802.1x 提供无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,存在一定的安全隐患。
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。
认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
图6 802.1x端口控制在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
认证系统:在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。
其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的服务,并根据认证结果向认证系统发出打开或保持端口关闭的状态。
在具有802.1x认证功能的无线网络系统中,当一个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
1.当用户有网络连接需求时打开802.1x客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。
此时,客户端程序将发出请求认证的报文给AP,开始启动一次认证过程。
2.AP收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
3.客户端程序响应AP发出的请求,将用户名信息通过数据帧送给AP。
AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
4.认证服务器收到AP转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给AP,由AP传给客户端程序。
5.客户端程序收到由AP传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过AP传给认证服务器。
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向AP发出打开端口的指令,允许用户的业务流通过端口访问网络。
否则,反馈认证失败的消息,并保持AP端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
图7 802.1x认证过程WPA (Wi-Fi Protected Access)WPA = 802.1x + EAP + TKIP + MIC在IEEE 802.11i 标准最终确定前,WPA标准是代替WEP的无线安全标准协议,为IEEE 802.11无线局域网提供更强大的安全性能。
WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。