一、 wlan安全威脅
wlan以無線通道作為傳輸媒介,利用電磁波在空氣中收發資料實現了傳統有線區域網的功能。和傳統的有線接入方式相比,wlan網路布放和實施相對簡單,維護成本也相對低廉,因此應用前景十分廣闊。然而由於wlan傳輸媒介的特殊性和其固有的安全缺陷,使用者的資料面臨被竊聽和篡改的威脅,因此wlan的安全問題成為制約其推廣的最大問題。wlan網路常見的安全威脅有以下幾個方面。
1、 未經授權使用網路服務
最常見的wlan安全威脅就是未經授權的使用者非法使用wlan網路。非法使用者未經授權使用wlan網路,同授權使用者共享頻寬,會影響合法使用者的使用體驗,甚至可能洩露當前使用者的使用者資訊。
2、 非法ap
非法ap是未經授權部署在企業wlan網路裡,且干擾網路正常執行的ap(例如dos攻擊)。如果該非法ap配置了正確的wep(wired equivalent privacy,有線等效保密)金鑰,還可以捕獲客戶端資料。經過配置後,非法ap可為未授權使用者提供接入服務,可讓未授權使用者捕獲和偽裝資料報,最糟糕的是允許未經授權使用者訪問伺服器和檔案。
3、 資料安全
相對於以前的有線區域網,wlan網路採用無線通訊技術,使用者的各類資訊在無線中傳輸,更容易被竊聽、獲取。
4、 拒絕服務攻擊
這種攻擊方式不以獲取資訊為目的,黑客只是想讓目標機器停止提供服務。因為wlan採用微波傳輸資料,理論上只要在有訊號的範圍內攻擊者就可以發起攻擊,這種攻擊方式隱蔽性好,實現容易,防範困難,是黑客的終極攻擊方式。
二、 wlan認證技術
802.11無線網路一般作為連線802.3有線網路的入口使用。為保護入口的安全,必須採用有效的認證解決方案,以確保只有授權使用者才能通過無線接入點訪問網路資源。認證是驗證使用者身份與資格的過程,使用者必須表明自己的身份並提供可以證實其身份的憑證。安全性較高的認證系統採用多要素認證,使用者必須提供至少兩種不同的身份憑證。
1、 開放系統認證
開放系統認證不對使用者身份做任何驗證,整個認證過程中,通訊雙方僅需交換兩個認證幀:站點向ap傳送乙個認證幀,ap以此幀的源mac位址作為傳送端的身份證明,ap隨即返回乙個認證幀,並建立ap和客戶端的連線。因此,開放系統認證不要求使用者提供任何身份憑證,通過這種簡單的認證後就能與 ap建立關聯,進而獲得訪問網路資源的許可權。
開放系統認證是唯一的802.11要求必備的認證方法,是最簡單的認證方式,對於需要允許裝置快速進入網路的場景,可以使用開放系統認證。開放系統認證主要用於公共區域或熱點區域(如機場、酒店等)為使用者提供無線接入服務,適合使用者眾多的運營商部署大規模的wlan網路。
2、 共享秘鑰認證
共享金鑰認證要求使用者裝置必須支援有線等效加密,使用者裝置與ap必須配置匹配的靜態wep金鑰。如果雙方的靜態wep金鑰不匹配,使用者裝置也無法通過認證。共享金鑰認證過程中,採用共享金鑰認證的無線介面之間需要交換質詢與響應訊息,通訊雙方總共需要交換4個認證幀,如圖1所示。
圖1 共享金鑰認證過程② ap向使用者裝置返回包含明文質詢訊息的第二個認證幀,質詢訊息長度為128位元組,由wep金鑰流生成器利用隨機金鑰和初始向量產生。
③ 使用者裝置使用靜態 wep 金鑰將質詢訊息加密,並通過認證幀發給 ap。
④ ap收到幀③後,將使用靜態wep金鑰對其中的質詢訊息進行解密,並與原始質詢訊息進行比較。若二者匹配,ap 將會向使用者裝置傳送第四個也是最後乙個認證幀,確認使用者裝置成功通過認證;若二者不匹配或ap無法解密質詢訊息,ap將拒絕使用者裝置的認證請求。
使用者裝置成功通過共享金鑰認證後,將採用同一靜態wep金鑰加密隨後的802.11資料幀與ap通訊。
共享金鑰認證的安全性看似比開放系統認證要高,但是實際上前者存在著巨大的安全漏洞。如果入侵者截獲 ap 傳送的明文質詢訊息以及使用者裝置返回的加密質詢訊息,就可能從中提取出靜態wep金鑰。入侵者一旦掌握靜態wep金鑰,就可以解密所有資料幀,網路對入侵者將再無秘密可言。因此,wep共享秘鑰認證方式難以為企業無線區域網提供有效保護。
3、 服務集標識隱藏
ssid(service set identifier,服務集標識)隱藏,可將無線網路的邏輯名隱藏起來。
ap啟用ssid隱藏後,信標幀中的ssid欄位被置為空,無線客戶端通過被動掃瞄偵聽信標幀的使用者裝置將無法獲得ssid資訊。因此,無線終端必須手動設定與ap相同的ssid才能與ap進行關聯,如果使用者裝置出示的ssid與ap的ssid不同,那麼ap將拒絕它接入。
ssid 隱藏適用於某些企業或機構需要支援大量訪客接入的場景。企業園區無線網路可能存在多個ssid,如員工、財務、訪客等。為減少訪客連錯網路的問題,園區通常會隱藏員工、財務的ssid,同時廣播訪客ssid,此時訪客嘗試連線無線網路時只能看到訪客ssid,從而減少了連線到員工和財務人員網路的情況。
儘管 ssid 隱藏可以在一定程度上防止業餘黑客與普通使用者搜尋到無線網路,但只要入侵者使用二層無線協議分析軟體攔截到任何合法終端使用者傳送的幀,就能獲得以明文形式傳輸的ssid。因此,只使用ssid隱藏策略來保證無線區域網安全是不行的。
4、 黑白名單認證(mac位址認證)
白名單的概念與「黑名單」相對應。黑名單啟用後,被列入黑名單的使用者不能通過。如果設立了白名單,則在白名單中的使用者會允許通過,沒有在白名單列出的使用者將被拒絕訪問。
黑白名單認證是一種基於埠和mac位址對使用者的網路訪問許可權進行控制的認證方法,不需要使用者安裝任何客戶端軟體。802.11裝置都具有唯一的mac位址,因此可以通過檢驗802.11 裝置資料分組的源mac 位址來判斷其合法性,過濾不合法的mac位址,僅允許特定的使用者裝置傳送的資料分組通過。mac 位址過濾要求預先在ac 或「胖」ap中輸入合法的mac位址列表,只有當使用者裝置的mac位址和合法mac位址列表中的位址匹配,ap才允許使用者裝置與之通訊,實現實體地址過濾。如圖6-2所示,使用者裝置sta1的mac位址不在ac的合法mac位址列表中,因而不能接入ap;而使用者裝置sta2和sta3分別與合法mac位址列表中的第四個、第三個mac位址完全匹配,因而可以接入ap。
圖2 mac位址認證示意圖5、 psk認證
psk(preshared key,psk)認證有很多別稱,如wpa/wpa2-passphrase、wpa/wpa2-psk以及wpa/wpa2預共享金鑰等,它要求使用者使用乙個簡單的ascⅱ字串(8~63個字元長度,稱為密碼短語)作為金鑰。客戶端和服務端通過能否成功解密協商的訊息來確定本端配置的預共享金鑰是否和對端配置的預共享金鑰相同,從而完成服務端和客戶端的相互認證。
wpa/wpa2個人版定義的psk認證方法是一種弱認證方法,很容易受到暴力字典的攻擊。同時,由於密碼是靜態的,psk認證也容易受到社會工程學攻擊。雖然這種簡單的psk認證是為小型無線網路設計的,但實際上很多企業也使用 wpa/wpa2 個人版。由於所有wlan裝置上的psk都是相同的,如果使用者不小心將psk洩露給黑客,wlan的安全性將受到威脅。為保證安全,所有裝置就必須重新配置乙個新的psk。
三、 wlan加密技術
在wlan 使用者通過認證並被賦予訪問許可權後,網路必須保護使用者所傳送的資料不被洩露,其主要方法是對資料報文進行加密。wlan採用的加密技術主要有:wep加密、臨時金鑰完整性協議(temporal key integrity protocol,tkip)加密和計數器模式密碼塊鏈資訊認證碼協議(counter mode with cipher-block chaining message authentication code protocol,ccmp)加密等。
加密技術和認證技術
一 加密技術概述 加密技術是最常用的安全保密手段,資料加密技術的關鍵在於加密 解密演算法和金鑰管理。資料加密的基本過程就是對原來的為明文的檔案或資料按某種加密演算法進行處理,使其成為不可讀的一段 通常稱為 密文 密文 只能在輸入相應的金鑰之後才能顯示出原來的內容,通過這樣的途徑使資料不被竊取。在安全...
加密技術與金鑰安全管理
一起來聊聊資料的加密技術 那我們應該如何考慮資料的安全儲存?讓我們一起來聊聊資料的加密技術。單向雜湊加密 單向雜湊加密就是把任意長的輸入訊息串變化成固定長的輸出串且由輸出串難以得到輸入串的一種加密演算法。常見單向雜湊函式 利用單項雜湊加密的這個特性,可以進行密碼加密儲存。php 處理密碼的幾種方式 ...
java安全之加密技術
主要有 對稱加密演算法,基礎加密演算法,非對稱加密演算法。只有乙個金鑰key進行加密解密,可以逆向加解密。古代有名的加密演算法,將加密的資料進行一定的以為,屬於對稱加密,金鑰key 2 int 值 這種加密非常簡單,只需要對相應的明文移位就得到了加密後的密文,如 明文為abc,key 2 移2位 那...