系统集成论坛

标题: 如何让我们的无线网络更安全 [打印本页]

作者: shiwei 时间: 2010-7-28 17:07
标题: 如何让我们的无线网络更安全
无线网络安全方案
由于无线局域网采用公共的电磁波作为载体，因此与线缆网络不同，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全很重要。常见的无线网络安全问题如下：
服务区标示符(SSID)：
无线工作站必需出示正确的SSID 才能访问AP，因此可以认为SSID 是一个简单的口令，从而提供一定的安全。如果配置AP 向外广播其SSID，那末安全程度将下降；由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。在消费类产品中，例如在机场，很多人通过使用普通的迅驰PC就能实现对区域内AP的扫描，从而非法使用该AP的网络资源。有的厂家支持“任何”SSID 方式，只要无线工作站在任何AP 范围内，客户端都会自动连接到AP，这将跳过SSID 安全功能。
在SSID安全的保证中，一项基本的设置要求就是必须关闭SSID的广播，这样至少可以杜绝简单的扫描攻击。
物理地址（MAC）过滤：
每个无线工作站网卡都由唯一的物理地址标示，因此可以在AP 中手工维护一组允许访问的MAC 地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP 中的MAC地址列表必需随时更新，目前都是手工操作通常列表数目不超过40个；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。对于二代无线架构，MAC过滤是一种比较容易使用的方式。

由于无线信号的空间泄漏特性，以及802.11技术的普及，随之而来的无线网络安全问题也被广大用户普遍关注。如何在保证802.11WLAN的高带宽，便利访问的同时，增加强有力的安全特性？业界的厂商纷纷研究发展了802.11技术，增强了无线局域网安全的各个方面，并促成了诸如802.1x/EAP，802.11i，WPA/WPA2等标准的诞生，以及后续标准（如802.11w）的制定。
摩托罗拉在无线局域网安全技术和标准制定方面，扮演了极为重要的角色，是802.1x/EAP无线环境应用的最早支持厂商，并在无线安全标准工作组中占据领导地位。
与其他网络一样，WLAN的安全性主要集中于访问控制和隐私保护。健全的WLAN访问控制（也被称为身份验证）可以防止未经授权的用户通过接入点收发信息。严格的WLAN访问控制措施有助于确保合法的客户端基站只与可靠的接入点（而不是恶意的或者未经授权的接入点）建立联系。
WLAN隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个只供数据的预定接收者使用的密钥进行加密时，所传输的WLAN数据的隐私才视为得到了妥善保护。数据加密有助于确保数据在收发传输过程中不会遭到破坏。
但是，无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备AP的物理安全性，AP连接到有线网络交换机的安全认证，基于无线访问位置的物理防护手段，如何避免攻击，如何快速发现非法/假冒AP，对一个网络系统来讲也是十分重要的。
下面我们就结合保护区WLAN信息系统项目的无线网络结构，以及无线网络传输特点，进行详细说明。

1.3.1 无线通讯安全加密
在无线通讯传输过程中，所有数据包经过加密后在无线链路上进行传输。在现有的无线网络数据加密技术中，除了要考虑加密算法外，还应当考虑传输密钥的管理。摩托罗拉已经在产品方案上实施了TKIP/AES加密技术，可以有效改善无线链路的通讯安全。
TKIP（动态密钥完整性协议）加密机制
TKIP（动态密钥完整性协议）主要包括两个关键的对WEP（连线对等保护）的增强部分：
1、在所有WEP（连线对等保护）加密的数据包上采用报文完整性检测 (MIC) 功能，以更有效的保证数据帧的完整性；
2、针对所有的WEP（连线对等保护）加密的包实行基于每个数据包密匙的方式。
MIC主要是用来改善802.11低效率的 Integrity check function (ICV)，主要解决两个主要的不足：MIC对每个无线数据帧增加序列号，而AP将丢弃顺序错误的帧；另外在无线帧上增加MIC段，MIC段则提供了更高量级的帧的完整性检查。
有很多报告显示WEP（连线对等保护）密匙方式的弱点，报告了WEP在数据私密和加密上的很低功效性。在802.1X的重认证中采用WEP（连线对等保护）密匙旋转的办法可以减轻可能经受的网络攻击，但没有根本解决这些问题。802.11i的标准中WEP（连线对等保护）增强机制已经采纳了针对每个分组的WEP密匙。并且这些技术已经在摩托罗拉的WLAN设备中得以实施。

AES(高级加密标准)加密机制

AES(高级加密标准)是一种旨在替代TKIP（动态密钥完整性协议）和WEP中使用的RC4加密的加密机制。AES(高级加密标准)不存在任何已知攻击，而且加密强度远远高于TKIP和WEP（连线对等保护）。AES(高级加密标准)是一种极为安全的密码算法，目前的分析表明，需要2的120次方次计算才能破解一个AES(高级加密标准)密钥――还没有人真正做到这一点。
AES(高级加密标准)是一种区块加密法。这是一种对称性加密方法，加密和解密都使用同一个密钥，而且使用一组固定长度的比特――即所谓的“区块”。与使用一个密钥流对一个文本数据输入流进行加密的WEP（连线对等保护）不同，AES会独立地加密文本数据中的各个区块。AES(高级加密标准)标准规定了三种可选的密码长度（128、192和256比特），每个AES(高级加密标准)区块的大小为128比特。WPA2/802.11i使用128比特密钥长度。一轮WAP2/802.11i AES加密包括四个阶段。对于WPA2/802.11i，每轮会重复10次。
为了保护数据的保密性和真实性，AES采用了一种名为Counter-Mode/CBC-Mac (CCM)的新型结构模式。CCM会在Counter模式（CTR）下使用AES，以保护数据保密性，而AES采用CBC-MAC来提供数据完整性。这种对两种模式（CTR和CBC-MAC）使用同一个密钥的新型结构模式已经被NIST（特殊声明800-38C）和标准化组织（IETF RFC-3610）所采用。
CCM采用了一种48比特的IV。与TKIP一样，AES(高级加密标准)使用IV的方式与WEP加密模式有所不同。在CCM中，IV被用作用于制止重复攻击的加密和解密流程的输入信息。而且，因为IV空间被扩展到48比特，发生一次IV冲突所需的时间会以指数形式增长。这可以提供进一步的数据保护。
建议采用基于硬件的AES加密（和解密），因为AES需要进行大量的计算。摩托罗拉无线设备产品为AES提供了硬件支持。
1.3.2 防御潜在的无线网络攻击
WLAN可能会遭受多种类型的攻击。在使用802.1X-EAP、TKIP或AES(高级加密标准)时，可以防止网络遭受多种网络攻击的影响。如下表所示：
新的安全技术有助于制止网络攻击
[attach]1309[/attach]

1.3.3 非法AP和非法用户的发现和抑制
Rogue Device是指黑客在无线局域网中安放未经授权的AP或客户机提供对网络的无限制访问，通过欺骗得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。
在Rogue检测中，分为Rogue AP和Rogue Client，即假的AP和假的客户端两种情况。
Rogue AP的检测
通过侦听无线电波中的数据包来检测AP的存在，得到所有正在使用的AP，SSID和STA。要完成Rogue AP的检测，需要在网络中放置如下部件:①探测器Sensor/Probe，用于随时监测无线数据;②入侵检测系统IDS，用于收集探测器传来的数据，并能判断哪些是Rogue Device;③网络管理软件，用于与有线网络交流，判断出Rogue Device接入的交换机端口，并能断开该端口。
为了发现AP，分布于网络各处的探测器能完成数据包的捕获和解析的功能，它们能迅速地发现所有无线设备的操作，并报告给管理员或IDS系统，这种方式称为RF扫描。某些AP能够发现相邻区域的AP，我们只要查看各AP的相邻AP。当然通过网络管理软件，比如SNMP，也可以确定AP接入有线网络的具体物理地址。
发现AP后，可以根据合法AP认证列表(ACL)判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常，就可以认为是非法AP。
Rogue Client的检测
Rogue Client是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户，管理员只要多注意他们的异常行为，就不难识别假冒客户。其异常行为的特征主要有:①发送长持续时间(Duration)帧;②持续时间攻击;③探测“any SSID”设备;④非认证客户。
如果客户发送长持续时间/ID的帧，其他的客户必须要等到指定的持续时间(Duration)后才能使用无线媒介，如果客户持续不断地发送这样的长持续时间帧，这样就会使其他用户不能使用无线媒介而一直处于等待状态。
为了避免网络冲突，无线节点在一帧的指定时间内可以发送数据，根据802.11帧格式，在帧头的持续时间/ID域所指定的时间间隔内，为节点保留信道。网络分配矢量(NAV)存储该时间间隔值，并跟踪每个节点。只有当该持续时间值变为O后，其他节点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。如果攻击者成功持续发送了长持续时间的数据包，其他节点就必须等待很长时间，不能接受服务，从而造成对其他节点的拒绝服务。
如果AP允许客户以任意SSID接入网络，这将给攻击者带来很大的方便，如果发现有客户以任意SSID方式连接，就很可能是攻击者，管理员应该更改AP的设置，禁止以任意SSID方式接入。如果假冒客户在合法客户认证列表中出现，可以根据客户MAC地址和设备供应商标识进行判断，如果NIC的MAC地址或Vendor标识未在访问控制列表中，则可能是非法客户。
RF7000提供全面的网络安全特性，包括集成的基于MAC地址认证，入侵检测，AAA Radius服务器和为访客提供安全访问的Hotspot功能。状态包检测防火墙在提供流量优化的同时针对拒绝服务以及其他无线网络攻击进行防范保护，在发现有非法用户进行DOS攻击时可以自动将这些用户列入黑名单。
1.3.4 无线入侵保护系统
摩托罗拉提供最先进的无线入侵专业保护AirDefense系统。众所周知，美国国防部是全球最重视网络安全的组织机构，摩托罗拉AirDefense系统强大的功能得到美国国防部的高度认可，并在其办公场所得到部署。在中国部署在白云机场、中央电视台、Walmart和Fedex。
常见的无线入侵行为有以下几种：
欺诈设备信号在实体墙和防火墙周围进行传输
入侵者或黑客可以发动攻击(DoS), 或盗用身份信息
偶尔相关和恶意相关的设备可以窃听信息
热点区的无线网络诈骗或分析软件(AirSnarf, Hotspotter等)
具有无线网络功能的笔记本电脑的无线接口可能成为有线网络的一个后门, 使企业资源完全暴露
[attach]1311[/attach]

部署AirDefense系统至少需要一个无线传感器Sensor,这个专门的无线传感器可以可监控 40,000 – 60,000 平方英尺(3700 – 5600 平方米)范围内的所有设备。无线传感器硬件上与瘦AP产品AP300是一样的，只是软件Firmware有区别，两者可以通过专门的软件进行相互转换。部署示意图如下所示：

[attach]1310[/attach]
此外，AirDefense还提供入侵者跟踪功能，这对于快速定位和对入侵者进行必要措施非常有帮助。

作者: 小巨蛋 时间: 2010-10-12 03:01
1111111111111111111111111111111111

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)