WLAN威脅分析和安全對策

　　 
　　目 錄
　　
　　
　　前言 2
　　WLAN概述 2
　　網絡結構 3
　　無線威脅分析 4
　　1、 常規安全威脅分析 5
　　2、 非授權訪問威脅分析 5
　　3、 敏感信息泄漏威脅 7

　　4、 無線網絡易被拒絕服務攻擊（DOS）和干擾的威脅 10
　　5、 無線新技術也存在一定風險 10
　　無線網絡安全對策 11
　　
　　
　　
　　前言
　　無線網絡的歷史起源可以追溯到五十年前，當時美軍首先開始采用無線信號傳輸資料，并且采用相當高強度的加密技術。這項技術讓許多學者得到了一些靈感，1971年，夏威夷大學的研究員開創出了第一個基于封包式技術的被稱作ALOHNET的無線電通訊網絡，可以算是早期的無線局域網絡(Wireless Local Area Network，WLAN)。這最早的WLAN包括了7臺計算機，橫跨四座夏威夷的島嶼。從那時開始，無線局域網絡可說是正式誕生了。
　　目前的無線網絡主要是指無線局域網即WLAN，由于WLAN產品不需要鋪設通信電纜，可以靈活機動地應付各種網絡環境的設置變化。隨著網絡的普及和網絡技術的進步，WLAN在許多領域得到了充分的應用，從家庭應用、企業應用，到公眾網絡運營都有了無線局域網的身影。目前市場上也已經有了相應的WLAN產品，同時對于無線網絡的需求也日益強烈。
　　由于WLAN具有移動性和方便性以及WLAN的傳輸特性，使WLAN在傳統網絡威脅的基礎上，增加了一些新的威脅。本文在初步介紹WLAN的網絡建設的基礎上，重點分析了了WLAN的威脅以及對應的安全措施。
　　WLAN概述
　　無線局域網技術和產業可以追溯到80年代中期，美國聯邦通訊委員會（FCC）使用了擴頻技術，在隨后的幾年中發展的很慢，但是由于802.11b標準的制定，現在WLAN技術發展的很快。隨著無線網絡技術得越來越流行，也暴露出了許多安全問題。無線技術的流行主要由2 個因素得驅動：便利性和成本。無線局域網（WLAN）不需要把員工束縛在他們的桌子卻可以得到他們需要的數字資源。然而WLAN的便利性也導致了在有線網絡中不存在的安全問題。連接到一個網絡現在不再需要網線，相反，數據包是通過電磁波傳播的，任何有能力中間截取和解碼的人都可以得到。傳統的物理安全措施像墻和安全門禁在這個新的領域中都不再有效。下表說明了802.11的特性：
　　
　　特性 說明
　　物理層 直序擴頻（DSSS）調頻擴頻（FHSS）紅外（IR）
　　頻段 2.4GHz(ISM頻段,802.11b和802.11g) ,5GHz（802.11a）
　　速率 11Mbps,2Mbps,5.5Mbps(802.11b)55M(802.11a和802.11g)
　　安全 基于RC4的流加密算法，有限的密鑰管理
　　吞吐量 11M（802.11b）54M(802.11a,802.11g)
　　范圍 室內100米，室外300米左右
　　優點 無需布線，使用靈活方便，產品已經很多且成熟，價格已經下降
　　缺點 安全方面比較差，吞吐量會隨著用戶的增多和距離的加大而下降
　　
　　網絡結構
　　802．11b支持2種網絡結構，
　　1、基于AP的網絡結構，如圖1，該結構是有線網絡向無線網絡的擴展，可以通過放置多個AP來擴展無線覆蓋范圍，并允許便攜機在不同AP之間漫游。這種網絡還可以引申出類似的網絡結構，比如AP和AP之間通過無線相連。
　　
　　圖1
　　2、基于p2p的網絡結構，如圖2，該結構也稱為Ad Hoc網絡，這種模式下網絡不需要AP就可以實現，具有靈活方便的特定。
　　
　　
　　圖2
　　
　　無線威脅分析
　　由于無線局域網采用公共的電磁波作為載體，因此對越權存取和竊聽的行為也更不容易防備。無線局域網必須考慮的安全威脅有以下幾個個：
　　 所有常規有線網絡存在的安全威脅和隱患都存在
　　 外部人員可以通過無線網絡繞過防火墻，對公司網絡進行非授權存取
　　 無線網絡傳輸的信息沒有加密或者加密很弱，易被竊取、竄改和插入
　　 無線網絡易被拒絕服務攻擊（DOS）和干擾
　　 無線網絡的安全產品相對較少。
　　
　　下面將針對以上內容進行詳細分析：
　　1、 常規安全威脅分析
　　由于無線網絡只是在傳輸方式上和傳統的有些網絡有區別，所以常規的安全風險如病毒，惡意攻擊，非授權訪問等都是存在的，這就要求繼續加強常規方式上的安全措施。
　　2、 非授權訪問威脅分析
　　無線網絡中每個AP覆蓋的范圍都形成了通向網絡的一個新的入口。由于無線傳輸的特定，對這個入口的管理不像傳統網絡那么容易。正因為如此，未授權實體可以在公司外部或者內部進入網絡：首先，未授權實體進入網絡瀏覽存放在網絡上的信息，或者是讓網絡感染上病毒。其次，未授權實體進入網絡，利用該網絡作為攻擊第三方網絡的出發點（致使受危害的網絡卻被誤認為攻擊始發者）。第三，入侵者對移動終端發動攻擊，或為了瀏覽移動終端上的信息，或為了通過受危害的移動設備訪問網絡。
　　針對該威脅，常見的無線網絡安全技術有以下幾種：
　　服務集標識符（SSID）
　　通過對多個無線接入點AP設置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權限進行區別限制。但是這只是一個簡單的口令，所有使用該網絡的人都知道該SSID，很容易泄漏，只能提供較低級別的安全；而且如果配置AP向外廣播其SSID，那么安全程度還將下降，因為任何人都可以通過工具得到這個SSID。
　　物理地址（MAC）過濾
　　由于每個無線工作站的網卡都有唯一的物理地址，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新，可擴展性差，無法實現機器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。
　　連線對等保密（WEP）
　　在鏈路層采用RC4對稱加密技術，用戶的加密金鑰必須與AP的密鑰相同時才能獲準存取網絡的資源，從而防止非授權用戶的監聽以及非法用戶的訪問。WEP提供了40位（有時也稱為64位）和128位長度的密鑰機制，但是它仍然存在許多缺陷，例如一個服務區內的所有用戶都共享同一個密鑰，一個用戶丟失或者泄漏密鑰將使整個網絡不安全。而且由于WEP加密被發現有安全缺陷，可以在幾個小時內被破解。詳細分析見下面。
　　虛擬專用網絡（VPN）
　　VPN是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來抵抗無線網絡的不安全因素，同時還可以提供基于Radius的用戶認證以及計費。
　　端口訪問控制技術（802.1x）
　　該技術也是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶上網。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統及計費，特別適合于公司的無線接入解決方案。
　　
　　3、 敏感信息泄漏威脅
　　由于電磁波是共享的，所以要竊取信號，并通過竊取信號進行解碼特別容易。特別是WLAN默認都是不設置加密措施的，也就是任何能接受到信號的人，無論是公司內部還是公司外部都可以進行竊聽。根據802.11b協議一般AP的傳輸范圍都在100米到300米左右，而且能穿透墻壁，所以傳輸的信息很容易被泄漏。
　　雖然802.11規定了WEP加密，但是WEP加密也是不安全的：
　　WEP是IEEE 802.11 WLAN標準的一部分，它的主要作用是為無線網絡上的信息提供和有線網絡同一等級的機密性。有線網絡典型地是使用物理控制來阻止非授權用戶連接到網絡查看數據。在WLAN中，無需物理連接就可以連接到網絡，因此IEEE選擇在數據鏈路層使用加密來防止在網絡上進行未授權偷聽。這是通過用RC4加密算法進行加密完成的。WEP在每一個數據包中使用了完整性校驗字段用來保證數據在傳輸過程中沒有被竄改，在這使用了CRC－32校驗。
　　RC4是一種流式加密算法，由RSA 安全公司的設計，流式加密將固定長度的密鑰展開成為無限制的偽隨機數鍵值串。在WEP中明文通過和密鑰流進行異或產生密文。異或是一種布爾運算操作用來比較2 個數字是不是一樣，如果2 個數字是一樣的，得到0，否則得到1，下面的例子顯示了2進制的字符b和n的異或情況：
　　
　　01100010 字母b
　　01101110 字母n
　　00001100 異或的結果
　　
　　為了加密的目的，WEP要求每一個無線網絡連接共享一個密鑰，WEP不定義鑰匙管理技術，比如在一個網絡中使用多少個不同的鑰匙和多大頻率更換一次鑰匙的問題。實際上，網絡只使用一個或者很少幾個鑰匙，也很少進行更換。因為大多數廠商執行WEP的時候要求手工更換鑰匙。WEP算法根據密鑰和初始化向量（initialization vector IV）產生鑰匙流。IV用來確保后續的數據包用不同的鑰匙流來加密，即使使用同一個密鑰。IV是一個在數據包的頭上24位的字段，它是沒有加密的，如下：
　　
　　V = Initialization Vector
　　K = Secret Key
　　 +----------------------------+---------+
　　 | Plaintext Message | CRC |
　　 +----------------------------+---------+
　　 | Keystream = RC4(V,K) | XOR
　　 +--------------------------------------+
　　 +-----+--------------------------------------+
　　 | V | Ciphertext |
　　 +-----+--------------------------------------+
　　
　　 研究表明，使用24位的IV是不合適的，因為同樣的IV同樣的鑰匙流會在一個相當短的時間內重用。一個24位的字段包含2的24次方也就是16777216個可能的值，假設網絡流量是11M，傳輸1500字節的包，那

原文轉自：http://www.kjueaiud.com