信息安全与技术09(清华大学)教案.ppt

9.4.2 802.11的认证机制 3．802.11认证机制的优点 802.11认证技术的优点主要表现在以下几个方面： 802.1x协议仅仅关注受控端口的打开与关闭； 接入认证通过之后，IP数据包在二层普通MAC帧上传送； 由于是采用Radius协议进行认证，所以可以很方便地与其他认证平台进行对接； 提供基于用户的计费系统。 9.4.2 802.11的认证机制 4．802.11认证技术的缺点 802.11认证技术的缺点主要表现在以下几个方面： 只提供用户接入认证机制。没有提供认证成功之后的数据加密。 一般只提供单向认证 它提供STA与RADIUS服务器之间的认证，而不是与AP之间的认证 用户的数据仍然是使用的RC4进行加密。 9.4.3 无线网卡物理地址(MAC)过滤 每个无线工作站网卡都由唯一的物理地址(MAC)标识，该物理地址编码方式类似于以太网物理地址，是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许通过AP访问网络地址列表，以实现基于物理地址的访问过滤。 MAC 地址是每块网卡固定的物理地址， 它在网卡出厂时就已经设定。MAC 地址过滤的策略就是使无线路由器只允许部分MAC 地址的网络设备进行通讯， 或者禁止那些黑名单中的MAC 地址访问。 9.4.3 无线网卡物理地址(MAC)过滤 MAC地址过滤的优点： 简化了访问控制； 可以接受或拒绝预先设定的用户； 被过滤的MAC不能进行访问； 提供了第2层的防护。 但MAC地址过滤缺点： 因为，这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差； 而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。 物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。 9.4.4 数据加密 1．连线对等保密(WEP) 在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。 WEP提供了40位(有时也称为64位)和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解；钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。 9.4.4 数据加密 2．Wi-Fi保护接入(WPA) WPA(Wi-Fi?Protected?Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。 由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。 WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。 9.5 无线网络的安全缺陷与解决方案 9.5.1 无线网络的安全缺陷 9.5.2 无线网络的安全防范措施 9.5.1 无线网络的安全缺陷 WLAN所面临的安全威胁主要有以下几类： 1．网络窃听 一般说来，大多数网络通信都是以明文(非加密)格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。这类攻击是企业管理员面临的最大安全问题。如果没有基于加密的强有力的安全服务，数据就很容易在空气中传输时被他人读取并利用。 2. AP中间人欺骗 在没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击。解决这种攻击的通常做法是采用双向认证方法(即网络认证用户，同时用户也认证网络)和基于应用层的加密认证(如HTTPS＋WEB)。 3．WEP破解 现在互联网上存在一些程序，能够捕捉位于AP信号覆盖区域内的数据包，收集到足够的WEP弱密钥加密的包，并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量，以及由于802.11帧冲突引起的IV重发数量，最快可以在两个小时内攻破WEP密钥。 9.5.1 无线网络的安全缺陷 4．MAC地址欺骗 即使AP起用了MAC地址过滤，使未授权的黑客的无线网卡不能连接AP，这并不意味着能阻止黑客进