无线局域网(WLAN)安全
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
微信公众号:计算机与网络安全
ID:Computer-network
一、无线局域网
无线局域网是用无线通信技术将终端设备互联起来,构成可以互相通信和实现资源共享的局域网络体系。无线局域网特点是通过无线的方式建立连接,利用无线技术在空中传输数据,从而使网络的构建和终端的移动更加灵活。无线局域网常规的有效使用距离在100 m以内。
无线局域网在一定程度上扔掉了有线网络必须依赖的网线。这样,用户可以坐在家里的任何一个角落,抱着笔记本电脑,享受网络的乐趣,而不像从前那样必须要迁就于网络接口的布线位置。
无线局域网包括2种基本的工作模式:如图1所示的带无线路由器工作模式和如图2所示的不带无线路由器工作模式。
图1 带无线路由器模式
图2 不带无线路由器模式
在带无线路由器工作模式下,通信需要一个专门的无线局域网设备:无线路由器;在不带无线路由器工作模式下,无线终端相互之间直接发送数据。在日常的使用中,用户基本上使用带无线路由器的模式。
全球范围内,无线局域网技术主要包括IEEE802.11系列、Hiper LAN技术、Home RF和蓝牙技术,目前,应用比较广泛是IEEE802.11系列和Hiper LAN。
(1)ISO/IEC802.11 系列标准技术:是美国电气和电子工程师协会(IEEE)颁布的无线局域网标准。IEEE802.11系列技术和产品的安全性一直没能很好地解决。近年来,IEEE802.11技术和产品不断爆出重大安全性问题,造成用户巨大的经济损失。
(2)Hiper LAN: Hiper LAN是以欧洲电信标准协会(ETSI)颁布的无线局域网标准为核心的技术和产品的总称。
二、无线局域网安全概述
安全是无线局域网面临的最大问题,这是由无线信号在空中几乎无边界的传播特性造成的,不论信号中的数据要发送的目的地是哪里,任何无线终端在无线信号覆盖的范围内都可以接收到。为了保证安全通信,无线局域网中应采取必要的安全技术,包括鉴别、加密、数据完整性保护等。
1、鉴别
鉴别提供了用户身份合法性的保证,这意味着当用户声称具有一个特定的身份时,鉴别技术将提供某种方法来证实这一声明是正确的。用户在登录无线局域网的时候,需要输入特定的密码或身份信息等来进行身份合法性的验证。
尽管不同的鉴别方式决定用户身份验证的具体流程不同,但基本功能是一致的。目前,无线局域网中采用的鉴别方式主要有基于浏览器页面的身份鉴别、基于密码的身份鉴别、基于数字证书的身份鉴别。
(1)基于浏览器页面的身份鉴别
基于浏览器页面的身份鉴别一个非常重要的特点是客户端只需要在浏览器上输入正确的接入信息凭证即可。这类身份鉴别的技术在公共场所(如机场、酒店、商场等地方)经常用到,用户输入手机号码,通过手机获得相关的登录验证码,然后将登录验证码输入到浏览器中即可使用网络服务。
这种身份鉴别技术属于安全性最低的一种方案,它只是在无线局域网的上层应用简单进行身份信息的对比,实现对用户使用某种服务的控制。基于浏览器页面的身份鉴别技术并没有融入密码学相关技术来实现身份信息的保密性和不可篡改性。在无线局域网底层没有调用任何安全技术的保护,所有通信信息明文传输,存在较大的安全风险。这种方案类似于所有访客,先进入大门,然后再用笔写下自己的联系方式。
(2)基于密码的身份鉴别
基于密码的身份鉴别是指用户利用手机或者笔记本电脑原始控制接入无线局域网的界面,输入所选择的无线网络的接入密码实现网络登录。这类身份鉴别的技术在家庭、办公室等场景经常用到。
这种身份鉴别技术属于安全性中等的一种方案,它通过绑定密码学的技术实现用户接入身份的鉴别,同时完成对通信数据的加密处理。这种技术的缺点在于密码容易传播,且所有人使用相同的密码,容易造成无法追溯或者“好人办坏事”的情况。这种方案类似于所有访客,使用同一张卡进入同一个大门。
(3)基于数字证书的身份鉴别
基于数字证书的身份鉴别是指用户登录到无线局域网之前,需要由特定的机构对用户的身份进行严格的审核,并为用户颁发数字证书,通过公钥加密技术对用户的公钥信息和用户的身份信息做数字签名,把用户的身份信息与公钥绑定在一起。用户使用证书进行身份鉴别时,可基于对权威鉴别机构的信赖而信赖证书所对应的实体身份,实现对身份的鉴别。
这种技术属于安全性最高的一种方案,它通过密码学的技术不但绑定用户接入身份的鉴别流程,而且还绑定用户身份本身,同时也完成对通信数据的加密处理。使用这样的方法,每个用户都有属于自己个人的接入凭证,无法抵赖。这种方案类似于所有访客,使用唯一标识自己身份的一张卡进入同一个大门。
2、加密
加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。通常需要选择特定的密码算法来实现。常见的密码算法如下。
(1)数据加密标准DES(Data Encryption Standard):DES的出现引起了学术界和企业界的广泛重视,许多厂家很快生产出实现DES算法的产品,但其最大的缺点在于DES的密钥太短,不能抵抗无穷搜索密钥攻击。
(2)高级加密标准AES(Advanced Encryption Standard):为了克服DES的缺点,美国国家标准和技术研究所(NIST)开始寻求高强度、高效率的替代算法,并于1997年推出AES标准。
(3)SM4:SM4是在国内正式使用并于2006年公布的第一个用于无线局域网的商用分组密码算法。WAPI的无线局域网保密基础结构(WPI, WLAN Privacy Infrastructure)采用对称密码算法SM4实现对MAC层MSDU的加、解密操作。
3、数据完整性保护
数据完整性保护,是使接收方能够确切地判断所接收到的消息在传输过程中是否遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏,还能采取某种措施从完整性中恢复出来。
三、无线局域网面临的安全问题
无线局域网已广泛应用于各行各业中,受到人们的青睐,并成为无线通信与互联网技术相结合的最热门技术。无线局域网的最大优点就是实现了网络互连的可移动性,它能大幅度提高用户访问信息的及时性和有效性,还可以克服有线限制引起的不便性。但因无线局域网应用具有很大的开放性,数据传播的范围较难控制,无线局域网面临非常严峻的安全问题。无线局域网面临的基本安全问题如下。
1、非法接入风险
主要是指通过未授权的设备接入无线网络,例如,企业内部一些员工,购买便宜小巧的无线路由器,通过有线以太网口接入网络,如果这些设备配置有问题,处于没加密或弱加密的条件下,那么整个网络的安全性就大打折扣,造成接入危险。或者是企业外部的非法用户与企业内部的合法无线路由器建立了连接,这也会使网络安全失控。
2、客户端连接不当
一些部署在工作区域周围的无线路由器可能没有做安全控制,企业内一些合法用户的无线网卡可能与这些外部无线路由器连接,一旦这个用户连接到外部无线路由器,企业的网络就处于风险之中。
3、窃听
一些黑客借助Wi-Fi分析器,会捕捉到所有的无线通信数据,如果信息没有保护,则可以阅读信号中传输的内容。如果黑客手段更高明一点,就可以伪装成合法用户,修改空中传输的网络数据等。
4、拒绝服务攻击
这种攻击方式,不以获取信息为目的,黑客只是想让用户无法访问网络服务而不断地发送信息,使合法用户的信息一直处于等待状态,无法正常工作。
上面所述的安全问题的解决,其核心在于安全机制和安全协议如何制定。当前主流的无线局域网技术Wi-Fi从技术发明和协议设计初期到现在,都不能有效解决这些问题。导致根据协议开发出来的所有产品,虽然来自不同的厂家,但均面临着随时被破解的危险。
四、无线局域网安全性
1、Wi-Fi初期安全技术WEP
Wi-Fi安全技术最初通过有线对等保密协议WEP(Wired Equivalent Privacy)来实现鉴别与数据加密,此类安全协议非常脆弱,可轻易从互联网上下载到破解软件,在几秒内破解。目前处于正在被淘汰的过程中。
2、Wi-Fi当前安全技术WPA/WPA2
为了使Wi-Fi技术从WEP可以被轻易破解这种被动局面中解脱出来,IEEE重新建立的工作组,开发了新的安全标准IEEE802.11i,标准中除了保留有原来的WEP之外,新添加了WPA/WPA2这2种技术。
不幸的是,由于WPA/WPA2依然采用不安全的设计理念,WPA技术在颁布之后就轻易又遭到破解,而当前针对WPA2的破解也已经从理论破解分析发展到了破解工具开发的阶段,在不久的将来,就会面对WEP和WPA被轻易破解的相同局面。
3、中国无线局域网安全标准WAPI
无线局域网鉴别和保密基础结构(WAPI,WLAN Authentication and Privacy Infrastructure)是中国唯一的无线局域网技术标准。WAPI 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护,旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。
WAPI由无线局域网鉴别基础结构(WAI, WLAN Authentication Infrastructure)和无线局域网保密基础结构(WPI, WLAN Privacy Infrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密。
WAPI整个系统由站点STA、接入点AP和认证服务单元ASU组成。其中,ASU用于帮助STA和AP完成身份鉴别等;STA与AP上都安装有ASU发放的公钥证书,作为自己的数字身份凭证。当STA登录到无线接入点AP时,在使用或访问网络之前必须通过ASU进行身份验证。根据验证的结果,只有持有合法证书的站点STA才能接入持有合法证书的无线接入点AP。这样,不仅可以防止非法STA接入AP而访问并占用网络资源,而且还可以防止STA登录到非法AP而造成信息泄露。
五、WAPI技术介绍
1、系统组成
在一个典型的WAPI系统中,WAPI用户STA通过WAPI无线路由器AP接入互联网。如图3所示。首先,STA与AP进行网络发现协商并开启WAPI功能,STA和AP启动身份鉴别过程,利用AS完成双向身份鉴别。当身份鉴别通过后,STA和AP进行密钥管理,协商用于保护通信数据的密钥,并利用协商出来的密钥加密通信数据。
图3 WAPI系统典型工作过程
2、WAPI 网络发现
在一个采用了WAPI安全的无线局域网中,当STA需要访问该无线局域网时,通过被动侦听AP的信标(Beacon)帧或主动发送探询帧(主动探询过程如图4所示)以识别AP所采用的安全策略。
图4 主动探询过程
(1)若AP采用WAPI证书鉴别方式,AP将发送鉴别激活分组启动证书鉴别过程,当证书鉴别过程成功结束后,AP和STA再进行单播密钥协商和组播密钥通告。
(2)若AP采用WAPI预共享密钥鉴别方式,AP将与STA直接进行单播密钥协商和组播密钥通告。
3、WAPI 的身份鉴别
WAPI 支持2种身份鉴别方式:证书鉴别方式和预共享密钥鉴别方式。
(1)证书鉴别方式
数字证书是一种经公钥基础设施(PKI, Public Key Infrastructure)证书授权中心签名的、包含公开密钥及用户相关信息的文件,是网络用户的数字身份凭证。WAPI 系统中所使用的用户证书为数字证书,通过ASU 对用户证书进行验证,可以唯一确定WAPI 用户的身份及其合法性。
证书鉴别是基于STA和AP双方的证书所进行的鉴别。鉴别前STA和AP必须预先拥有各自的证书,然后通过ASU对双方的身份进行鉴别,根据双方产生的临时公钥和临时私钥生成基密钥,并为随后的单播密钥协商和组播密钥通告做好准备。证书鉴别过程如图5所示。
图5 证书鉴别过程
(2)预共享密钥鉴别方式
预共享密钥鉴别是基于STA和AP双方的密钥所进行的鉴别。鉴别前STA和AP必须预先配置有相同的密钥,即预共享密钥。鉴别时直接将预共享密钥转换为基密钥,然后进行单播密钥协商和组播密钥通告。
4、WAPI 的密钥管理
STA 与 AP 之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护;AP 利用自己通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对其发送的广播/组播数据进行保护,而STA 则采用AP通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对收到的广播/组播数据进行解密。首先要进行单播密钥的协商,其过程如图6所示。
图6 单播密钥协商过程
当单播密钥协商完成后,再使用单播密钥协商过程所协商出的密钥进行组播密钥的通告,其过程如图7所示。
图7 组播通告过程
5、WAPI 的通信数据加密
WAPI对通信数据进行加、解密处理。WAPI密码套件中首选采用的分组密码算法为SM4,该算法的分组长度为128bit,密钥长度为128bit。完整性校验算法工作在CBC-MAC模式,数据保密采用的对称加密算法工作在OFB模式。
六、无线局域网(WAPI)安全配置实例
下面给出一个实例说明如何进行无线局域网安全配置。基本步骤如下。
(1)本配置实例中使用的是IWN A2410(WLR4038)无线路由器。
(2)本配置实例通过在无线路由器侧启用WAPI-Cert或者WAPI-PSK安全模式来达到对客户端数据进行保护的目的。
(3)主要配置内容如图8所示,包括:添加无线网络名称(SSID)、设定射频发射功率、无线工作模式、信道、SSID名称、该SSID绑定的网络接口(建议绑定到LAN口)、选择接入网络的安全类型(WAPI-Cert或WAPI-PSK)、密钥更新、MAC地址过滤、WMM选定等设备和接口配置。以上内容可实现开机“一键配置”。
图8 无线安全配置
微信公众号:计算机与网络安全
ID:Computer-network