企業無線區域網安全

team： pst（www.ph4nt0m.org）

一、前言以及版權

網路本來是安全的，自從出現了研究網路安全的人之後，網路就越來越不安全了。希望更多的文章是用來防禦，分析，而不是純粹的攻擊。本文可以任意**，但必須保證完整性，且不得私自用於商業用途。

這個文章本來是06年夏天就應該貼出來的，可是後來寫了70%的時候忙別的事情搞忘記了，沒有繼續寫下去。這個週末突然記起無線區域網安全的事情，嚇一大跳。翻遍了硬碟也沒找到原稿，迫不得已之下，下午花一下午時間重新寫出來，重寫的肯定不可能和去年寫的一樣了，這是讓我非常鬱悶的事情。

二、無線區域網安全的演變

無線網路在安全性方面，先天就比有線網路脆弱----雖然有線網路也存在很多安全問題。這是因為無線訊號以空氣為介質，直接向四面八方廣播，任何人都可以很方便的捕獲到所傳輸的資訊，或者說被資訊捕獲到。而有線網路具有比較密閉的載體----網線，雖然網線也不是很硬，但是起碼我沒見過有人通過剪斷網線來擷取資料。

經過多年的努力，無線網路的安全性逐漸發展，具備了不亞於有線網路的安全性，下面將逐步介紹。需要注意的是，這裡說的安全性，是指網路協議本身的安全性，而不涉及到具體的作業系統和具體的應用。因為對於具體的系統和應用來說，協議層的安全是基礎，系統以及應用安全處於更上層。對於任何載體來說都是一樣的，與載體無關。

無安全措施

最初的無線網路，還沒有採取任何的保密措施，乙個無線網路就相當於乙個公共的廣場，任何人都可以直接進入。這是由它的使用領域決定的，當時無線網路主要用來進行條形碼掃瞄等等，只需要考慮靈活方便，不去關注安全問題。

隨著使用範圍越來越廣，一些比較敏感的資訊需要通過無線網路傳輸，ieee開始制定了初步的安全協議，防止資訊被惡意攻擊者輕易截獲。

保護wep

wep是無線網路最開始使用的安全協議，即有線等效協議，全稱為wire equal protocol，是所有經過wi-fi認證的無線區域網所支援的一項標準功能。

wep提供基本的安全性保證，防止有意的竊聽，它使用一套基於40位共享加密金鑰的rc4對稱加密演算法對網路中所有通過無線傳送的資料進行加密，金鑰直接部署在ap和客戶端，不需要公開傳輸，從而對網路提供基本的傳輸加密。現在也支援128位的靜態金鑰，對傳輸加密的強度進行了增強。

wep也提供基本的認證功能，當加密機制功能啟用後，客戶端嘗試連線上ap時，ap會發出乙個challenge packet給客戶端，客戶端再利用預先儲存的共享金鑰將此值加密後送回ap以進行認證比對，如果與ap自己進行加密後的資料一致，則該終端獲准聯入網路，訪問網路資源。

wep協議存在非常多的缺陷，主要表現在金鑰管理，傳輸安全等方面。首先，終端金鑰必須和ap金鑰相同，並且需要在多台終端上部署，用來進行基本的認證和加密。金鑰沒有統一管理部署的能力，更換金鑰時需要手動更新ap和所有的終端，成本極大。倘若乙個使用者丟失金鑰，就會殃及到整個網路的安全性。

其次，在資料傳輸方面，rc4加密演算法存在很多缺陷，攻擊者收集到足夠多的密文資料報後，就可以對它們進行分析，只須很少的嘗試就可以計算出金鑰，接入到網路之中。常見的網路嗅探工具，比如wireshark就具有捕獲無線網路資料的能力，破解wep演算法的工具也非常常見，比較著名的就是aircrack，包含在auditor security collection live cd工具盤中。此工具盤中包含有ki**et、airodump、void11、aireplay 和aircrack等多個工具，是一套完整的攻擊工具。

最後，wep中的資料完整性檢驗演算法也不夠強壯，wep icv是一種基於crc-32的用於檢測傳輸噪音和普通錯誤的演算法。crc-32是資訊的線性函式，攻擊者篡改加密資訊後，可以很容易地修改icv，通過解密端的檢驗。

wep只是一種基本的認證和傳輸加密協議，不適合在企業級環境中使用，現在一般使用在不注重安全性，且終端數目少的家庭網路中。

保護wpa

wpa（wi-fi protected access）技術是ieee在2023年正式提出並推行的一項無線區域網安全技術，其目的是代替wep協議，成為乙個可提供企業級安全的無線網路認證傳輸協議。wpa是ieee802.11i的子集，是在802.11i實施之前的乙個臨時過渡協議，其核心就是ieee 802.1x和tkip。其中802.1x是基於埠的認證協議，tkip則提供高安全級別的傳輸加密和完整性檢測功能，組成乙個完整的解決方案。 1)

認證控制技術

802.1x

802.1x協議是由ieee定義的，用於乙太網和無線區域網中的埠訪問與控制。該協議定義了認證和授權，引入了ppp協議定義的擴充套件認證協議eap。eap（擴充套件認證協議）本身不提供認證功能，而是提供乙個可擴充套件的基本認證框架，各公司可以在此框架的基礎之上發展出各種各樣的認證協議。比如eap-tls，peap，ttls，leap，eap-md5等各種認證協議，這些協議主要由微軟，思科，3com等公司提出並實現。

在使用802.1x埠控制技術的無線網路中，當無線工作站與無線訪問點ap關聯後，是否可以使用ap的服務要取決於802.1x的認證結果。認證通過上述的各種擴充套件認證協議進行，如果認證通過，則ap為無線工作站開啟這個邏輯埠，否則不允許使用者上網。

802.1x提供一種靈活可信的認證控制技術，可以使用各種擴充套件認證協議，包括證書和動態口令在內，因此是一種可以信賴的認證方法。 2)

加密協議

tkip

wpa採用tkip（temporal key integrity protocol）為加密引入了新的機制，在使用者連線到ap，認證伺服器接受了使用者身份之後，使用802.1x產生乙個唯一的主金鑰處理會話。然後，tkip把這個金鑰通過安全通道分發到ap和此使用者的客戶端，並建立起乙個金鑰構架和管理系統，使用主金鑰為使用者會話動態產生乙個唯一的資料加密金鑰，來加密每乙個無線通訊資料報文。tkip的金鑰構架使wep靜態單一的金鑰變成了500萬億個可用金鑰。由於使用了動態金鑰來進行傳輸加密，且金鑰長度有了增強，因此tkip加密傳輸幾乎不可能被破解。

在訊息完整性檢測方面，tkip除了和wep一樣繼續保留對每個資料分段進行crc校驗外，還為每個資料分組都增加了乙個8個位元組的訊息完整性校驗值。這和wep對每個資料分段進行icv校驗的目的不同：icv的目的是為了保證資料在傳輸途中不會因為雜訊等物理因素導致報文出錯，因此採用相對簡單高效的crc演算法，但是攻擊者可以通過修改icv值來使之和被篡改過的報文相吻合，可以說沒有任何安全的功能。而tkip則是為了防止黑客的篡改而定製的，它採用michael演算法，具有很高的安全特性。當mic發生錯誤的時候， wpa會採取一系列的對策，比如立刻更換金鑰、暫停活動等，來阻止攻擊。

wap協議在認證和傳輸，以及完整性檢測方面，達到了很高的安全級別，滿足了普通企業的需求。同時，802.1x認證技術，認證資料可以方便的統一管理，降低了部署難度。因此wpa適合於一般的企業級應用。

保護以及wapi

ieee 802.11i

802.11i是ieee最新的無線網路安全協議，包含802.1x認證技術，tkip和aes（advanced encryption standard）加密技術。而wapi則由中國提出，採用公開金鑰密碼體制，利用證書來對無線區域網中的終端和ap進行認證。對這兩種最新的協議我並沒有完全理解，就不多說了，可以參考《解析新一代wlan安全

技術ieee 802.11i、wpa和wapi》一文。

其他安全技術

這裡的其他安全技術主要是指ssid，mac位址過濾等技術，這些技術由於不適合企業級應用，並且安全性不高，理解容易，這裡就不多提了。

三、加強的安全與例項

從目前的各種技術的成熟角度，以及安全性來考慮，wpa是最好的選擇，使用802.1x進行身份認證，使用tkip來加密傳輸，檢測完整性。但是對於更高的安全需求，就需要使用一些綜合的技術方法，來達到獨特的目的。

目前來說，對於認證，最安全的方法是使用一次性口令，通過不變的key加上每分鐘改變一次的隨機的硬體token作為密碼，可以達到防禦任何監聽，破解，記錄密碼的攻擊方法。802.1x使用了eap擴充套件認證協議，因此也支援動態口令認證技術，許多公司都有自己的實現。

對於資料的傳輸，tkip雖然大幅提高了安全性，但是仍然只是對資料的加密，達不到乙個安全的可信通道的要求。目前來說，vpn是這方面的最好選擇。

因此，我認為在需要高安全級別的無線網路的環境中，使用動態口令認證，加上vpn安全通道傳輸是乙個比較好的解決方案。在網路中不是一台radius伺服器，用來提供802.1x身份認證功能。在ap的後端，所有無線連線終結到一台vpn裝置。

當使用者連線到ap時，不需要任何的身份認證，但是由於隔離技術，使用者是無法訪問或者攻擊到此ap上的其他使用者的。要訪問網路資源，必須手動連線vpn伺服器，此時進行動態口令的認證。認證成功，則開啟邏輯埠，允許訪問。

四、總結

本文就到此結束了，主要是介紹了一下我對企業級無線網路安全的理解。這裡的安全是網路協議的安全，只是防範未授權使用者對無線網路的攻擊。對於來自無線網路內部的攻擊，則屬於系統安全和應用安全的範圍，不是無線網路的安全協議解決的範疇之內。

最後還是希望網路越來越安全吧，這樣我上班也可以輕鬆一點。

企業無線區域網安全

企業無線區域網的搭建

企業無線區域網的搭建

無線區域網實戰

企業無線區域網安全

企業無線區域網的搭建

企業無線區域網的搭建

無線區域網實戰

相關推薦