安全影响
为了充分欣赏对VoWLAN系统的安全性的需求,您需要了解不实现默认无线LAN配置之外的安全性的风险。主要含义是未经授权的访问,被动监控和拒绝服务,如图所示图5 - 1.部署VoWlan系统时,评估可以根据这些影响完成的潜在伤害,并确定哪些安全解决方案将提供最有效的对策。
主要无线局域网安全含义
被动监测
设置为出厂默认值的无线LAN接入点可能没有启用安全机制。结果,在接入点和客户端设备之间发送的所有数据,例如无线互联网协议(IP)电话或无线配备计算机,在没有任何加密的情况下被发送“清除”。当然,这会带来一个重要的安全问题。使用数据包嗅探工具(例如以太网)的黑客可以通过数据监控无线客户端和接入点的传输以及捕获电子邮件,文档,HTTP消息和语音对话的密码和内容。此外,具有默认配置的接入点也具有默认的用户名和密码,这些用户名和密码是众所周知的。此外,固件通常已过时,需要更新以完全安全。
例如,合法用户可以使用她喜欢的用户名和密码登录健身网站。黑客可以记录包含用户名和密码的数据包,因为数据从用户的客户端设备无线行进到接入点。黑客可能不关心访问健身现场,以实现用户可能对其他更重要的网站(如银行和公司应用程序)使用相同的密码。这些系统通常加密密码的交换,因此黑客无法监控它们。但黑客可以继续监控用户的传输,并确定这些登录的位置。通过用户最喜欢和可能的公共密码,Hacker然后可以访问用户的银行帐户和应用程序。
为避免陷入此陷阱,用户应始终在每个帐户上使用不同的密码。此外,无线系统应该实现强烈的加密形式,以确保黑客无法对其进行监视的无线数据感知。
越权存取
在没有安全接入点的情况下,几乎所有在停车场拥有配备无线设备的笔记本电脑的人都可以连接到办公大楼、制造工厂或医院的无线局域网(LAN)。不安全的接入点持续广播无线笔记本电脑接收到的信标,微软Windows操作系统将信标中找到的服务集标识符(SSID)显示为可用的无线网络。笔记本电脑的所有者(可能是黑客)可以很容易地连接到接入点,从而使黑客成为公司网络的一部分。该功能允许黑客使用策略和工具窃取和破坏位于大楼服务器上的公司数据。例如,黑客可以运行传输控制协议(TCP)端口扫描程序,发现服务器上应用程序和支持工具的不安全HTTP管理接口。这可以让黑客在系统上为自己创建一个帐户,然后开始窃取和破坏文件和应用程序。
因此,您必须在无线LAN上启用有效的访问控制,以阻止黑客访问系统。
拒绝服务
拒绝服务(DoS)攻击是一种可以削弱或禁用无线局域网的攻击。它禁止用户使用无线IP电话。所有部署无线局域网的公司都应该考虑这种攻击发生的可能性。
DoS攻击的一种形式是“蛮力”攻击,它有两种形式:一种是大量的数据包耗尽网络资源并迫使其关闭,另一种是强大的无线电信号控制了无线电波,使接入点和无线客户端失效。黑客可以利用网络上的其他计算机将无用的数据包发送到服务器,进行基于包的暴力拒绝服务攻击。这种方法增加了网络开销,并从合法用户那里拿走了可用带宽。
对黑客来说,使用很强的无线电信号来破坏网络是一种相当危险的攻击。由于必须在相对较近的距离使用非常强大的发射机来进行这种攻击,无线局域网的所有者可以通过使用归巢工具(如AirMagnet)找到黑客。
有时,在无线网络上发生DoS可能不是有意的。802.11b操作的频谱非常拥挤。其他2.4 ghz设备,如无绳电话、微波、蓝牙等,可能会导致802.11b性能的显著降低。
为了防止DoS攻击,您必须仔细注意无线局域网的设计,以限制无线电波在公司大楼内的传播。
加密
所示图5 - 2,加密是一种过程,可以在传输之前改变数据包的数据位。无线链路的另一端解密数据。此过程“隐藏”黑客的数据。
加密过程
图5 - 3说明了加密保护的网络部分,这取决于加密是由无线局域网还是端到端过程实现的。无线局域网加密仅保护无线客户端和接入点之间的数据,而端到端加密保护无线客户端和系统端点(如企业系统中的服务器)之间的数据。
加密方法之间的差异
通常不需要对通过公司网络的有线部分流动的数据进行加密,因为它位于物理控制的空间内。因此,无线局域网加密通常就足够了。通过公共无线局域网连接到公司网络的人(比如从酒店内部连接)应该使用提供端到端加密的虚拟专用网络(VPN)客户端。
以下是无线LAN使用的几种加密技术:
有线等效隐私(WEP)
时间关键完整性协议(TKIP)
高级加密标准(AES)
Wi-Fi保护访问(WPA)
802.11i.
虚拟专用网(VPN)
除VPN之外的前述技术中的每一个仅在无线客户端和接入点之间提供加密。以下部分更详细地检查每个加密技术,以显示如何使用它们来保护voWlan系统。
WEP
WEP是一种使用RC4加密的加密方法。它已成为802.11(作为一种选择),因为该标准于1997年首次批准.WEP在数据链路层使用共同的键来加密和解密数据帧内容,例如无线IP电话等802.11站之间的数据帧内容。在传输之前,每个发送站通过WEP键加密每个帧的主体,并且接收站在接收时使用相同的键解密它。该过程减少了人们被动地监视传输的风险并获得对帧携带的信息的访问。由于U.S.导出限制,只能实现40位密钥,但增加了128位键以获得额外的安全性。
一个问题是802.11标准没有定义一种将WEP密钥分发给站点的机制。这需要管理员或用户使用加密密钥手动配置无线客户端,更改密钥是不实际的。因此,WEP密钥在大多数无线局域网中保持数月或数年不变,这给了黑客足够的时间来利用WEP的漏洞并破解加密。
多年来,WEP一直是黑客的目标。实际上,从互联网上自由获得的工具,例如Wepcrack和Airsnort,可以使用40或128位键来破解WEP加密机制。另一个问题是有人可以窃取使用WEP配置的无线客户端,然后访问网络。管理员不知道设备被盗,直到报告,给某人足够的时间窃取和可能损坏的企业数据。因此,WEP对企业安全性不够强大。
注意:有关WEP弱点的更多信息,请参阅以下链接:http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html..
TKIP
TKIP解决了WEP的密钥分配问题。TKIP过程从客户机和访问点之间共享的128位“临时密钥”开始。TKIP将时间密钥与客户端的媒体访问控制(MAC)地址结合起来,然后添加一个相对较大的16字节初始化向量来生成用于加密数据的密钥。这个过程确保每个站点使用不同的密钥字符串加密数据。
TKIP使用RC4执行数据帧的实际加密,与WEP相同。然而,WEP的主要区别是TKIP根据管理员在接入点中配置的设置周期性地改变时间键。此功能提供了一种动态分配方法,可显着增强网络安全性,并使黑客不可能崩溃,这是非常困难的。
AES.
AES提供比WEP和TKIP更强烈的加密。事实上,美国商务部的国家标准和技术研究院(NIST)选择了AES来取代老化数据加密标准(DES)。AES现在是联邦信息处理标准FIPS公开197.它定义了美国政府组织保护敏感,未分类信息的加密算法。商务秘书于2002年5月批准通过AES作为官方政府标准。然而,一些较旧的接入点和客户卡由于专门的数学协处理器的要求,不支持AES。请记住,存在禁止将无线LAN设备与AES出口到某些国家的规定。
WPA.
在802.11i标准被批准之前,Wi-Fi联盟发布了WPA(版本1)标准,大多数无线局域网供应商迅速采用了该标准。WPA实际上是包含TKIP和IEEE 802.1x标准的预认证802.11i标准的快照。最终,Wi-Fi联盟发布了包含AES的WPA版本2 (WPA2)。这种标准的镜像对终端用户是有效的,因为Wi-Fi联盟要求无线局域网供应商在宣称其无线客户端和接入点是Wi-Fi认证之前进行特殊的互操作性测试。
802.11i.
802.11i标准在2004年中期被批准并成为最终标准。最终版本指定使用802.1X(请参阅后面的“IEEE 802.1X”小节)的TKIP,以及作为选项的AES。WPA2与802.11i相同。
虚拟专用网络
为了完全安全的无线连接,许多公司需要在每个用户设备上使用VPN软件。该软件在更高层的用户设备和远程系统之间加密所有通信。当用户通过公共无线局域网通信时,VPN软件的使用尤为重要。例如,公共Wi-Fi热点不通过网络的无线部分实现任何加密。在这种情况下,VPN保护数据流量。
事实上,一些公司对待所有无线用户就像他们在公共网络上操作一样,即使用户是在公司的大楼里。在这种情况下,无线局域网接入点连接到防火墙之外的分配系统。然而,这种方法可能需要不切实际的VPN连接数量,部署和支持这些连接的成本可能很高。对于内部通信,完全保护无线用户是可能的,可以使用WPA等机制,只加密无线客户端和接入点之间的数据。
验证
身份验证是一种基于凭据标识特定人员或网络组件的进程,如图所示图5-4.身份验证确保特定用户或组件被授权与另一个用户或设备通信。这个过程类似于某人进入一个安全设施时显示他的驾照。保安确保这个人的名字在访问名单上,并核实许可证上的照片与这个人相符。如果一切正常,警卫就会打开门,让这个人可以进入设施。网络以非常类似的方式实现身份验证,除了身份验证是通过使用密码、数字证书或其他验证身份的元素来进行的。此外,认证服务器还提供了访问网络的授权方式。
身份验证过程
网络系统进一步逐步并实现相互身份验证。在这种情况下,接入点验证想要访问访问的无线客户端设备,并且客户端设备确保接入点是合法的。如果未完成此身份验证,则黑客可以在用户附近上电,并发出特殊的802.11数据包,该分组断开用户的客户端设备与合法接入点的连接。然后,用户的客户端设备重新连接到黑客的伪接入点。HACKER可能会将此接入点配置为将用户的数据流量(未知为用户)汇集到黑客计算机,使黑客访问可能的敏感信息,例如密码。但是,相互身份验证的实现可以防止这种违约发生。
以下是无线LAN使用的几种认证技术:
打开系统身份验证
共享密钥认证
IEEE 802.1 x
思科飞跃
接下来的几个部分涵盖了这些身份验证技术中的每一个,并且揭示了哪些可能对保护voWlan系统有意义。
开放体系认证
开放系统身份验证是802.11用于验证无线客户端到接入点的默认模式,如图5-5.在这种模式下,无线客户端发送一个认证帧到接入点,接入点返回一个认证响应。
任何具有正确SSID的无线客户端都可以进行身份验证。如果SSID广播,则用户通过Microsoft Windows无线网络连接功能可以通过用户选择适用的无线网络来实现这一点。或者,如果SSID未广播,则可以通过嗅探802.11关联帧来找到。这种身份验证提供了一个开放系统,而不是真正的身份验证。它主要是标准的一部分作为基线操作模式。
开放体系认证
使用开放系统身份验证,除了SSID之外,没有任何凭据被传递到访问点;然而,一些供应商可能会实现在使用802.11开放系统身份验证时必须满足的认证站点的规定。例如,除非提供了有效的WEP密钥,否则大多数接入点不允许配置为开放系统身份验证的无线客户机与接入点连接。这种形式的身份验证主要用于无线局域网实现WEP加密。对于较小的网络,MAC地址过滤可以相当有效地允许授权用户(具有可接受的MAC地址的用户)访问网络。然而,由于添加新用户的困难,在较大的网络中MAC地址过滤可能很难管理。
共享密钥身份验证
802.11共享密钥认证通过使用通用WEP密钥认证无线客户端,比开放系统认证更进一步。它是一个四向握手的过程,如图所示图5-6:
无线客户端发送身份验证请求。
接入点用一个包含质询文本的身份验证帧进行响应,质询文本是一串未加密的文本。
无线客户端使用WEP键加密挑战文本,并将结果发送到接入点。
访问点使用公共WEP密钥解密挑战文本。如果挑战文本与最初发送的接入点相同,则接入点假定无线客户端具有正确的WEP密钥,并且无线客户端是合法用户。
不幸的是,共享关键身份验证易于破解。事实上,黑客可以通过检测未加密的挑战文本和WEP加密的挑战文本来使用自由可用的工具来易于找到WEP密钥。结果,强烈建议不使用共享密钥认证。
共享密钥身份验证
IEEE 802.1 x
IEEE 802.1X的使用提供了一个有效的框架,用于验证和控制受保护的有线或无线网络的用户流量,以及动态更改加密密钥。802.1X将一个名为EAP (Extensible Authentication protocol)的协议绑定到有线和无线LAN媒体,并支持多种身份验证方法,如令牌卡、Kerberos、一次性密码、证书和公钥身份验证。关于EAP的详细介绍请参见IETF (Internet Engineering Task Force) RFC 2284。
初始802.1x通信以未经认证的请求者(即,客户端设备)开始与验证者连接(即802.11接入点)。接入点通过使用于将来自客户端的EAP分组仅传递给位于接入点的有线侧的身份验证服务器来响应端口。接入点阻止所有其他流量,例如超文本传输协议(HTTP),动态主机配置协议(DHCP)和邮局协议3(POP3)数据包,直到接入点可以使用身份验证服务器验证客户端的身份作为远程身份验证拨入用户服务(RADIUS)。身份验证后,接入点打开客户端的端口以获取其他类型的流量。
为了更好地了解802.1x如何运行,以下是各种802.1x元素中发生的特定交互:
客户端发送EAP-Start消息,该消息开始了一系列消息交换以对客户验证。将此过程视为一群访问主题公园的前门和集团的领导者(客户)询问网守(接入点)是否可以进入。
接入点以一个eap请求标识消息作为响应。在主题公园的情况下,门卫问领导他的名字和驾照。
客户端向认证服务器发送包含身份信息的eap响应报文。在我们的示例中,领队提供他的姓名和驾驶执照,看门人将此信息转发给组团旅游经理(身份验证服务器),后者确定组团是否有权进入公园。
身份验证服务器使用特定的身份验证算法来验证客户端的身份。这可能是通过使用数字证书或其他EAP认证类型。在我们的示例中,此过程只是涉及验证领导者驾驶执照的有效性,并确保许可证上的图片与领导者匹配。对于此示例,假设领导者被授权。
身份验证服务器向访问点发送接受或拒绝消息。主题公园的旅游团经理告诉门卫让旅游团进入。
接入点向客户端发送EAP-Subject Packet(或EAP-RECURE PACKET)。网守通知领导者该小组可以进入公园。当然,如果集团的旅游经理拒绝本集团的入场,那么守门人就不会让小组。
如果身份验证服务器接受客户端,接入点将客户端端口转换为授权状态并转发额外的流量。这个过程类似于门卫自动打开大门,只让属于获准进入的团队的人进入。
Basic 802.1x协议提供有效的身份验证。但是,大多数主要的无线LAN供应商使用802.1x作为传送机制提供动态密钥管理的专有版本。如果配置为实现动态密钥交换,则802.1x身份验证服务器可以与接受消息一起将会话密钥返回到接入点。接入点使用会话键构建,签名和加密在发送成功消息后立即发送到客户端的EAP密钥消息。然后,客户端可以使用密钥消息的内容来定义适用的加密密钥。在典型的802.1x实现中,客户端可以根据需要自动更改加密密钥,以最大限度地减少具有足够时间以破解当前使用中钥匙的窃听者的可能性。
需要注意的是,802.1X并没有提供实际的身份验证机制。当使用802.1X时,您需要选择一种EAP类型,例如传输层安全(Transport Layer Security, EAP- tls)或隧道传输层安全(tunneling Transport Layer Security, EAP- ttls),它们定义了身份验证如何进行。
此时的重要点是支持特定EAP类型的软件驻留在身份验证服务器上,并在客户端设备上的操作系统或应用程序软件中。接入点充当802.1x消息的“通过”,这意味着您可以指定任何EAP类型,而无需升级符合802.1x符合的接入点。因此,您可以更新EAP身份验证类型,因为较新的类型可用,并且您的安全性更改要求。
使用802.1X已经成为网络身份验证框架的行业标准,明智的做法是将其作为无线局域网安全解决方案的基础。Microsoft Windows XP本地实现了802.1X,一些供应商在他们的802.11接入点中支持802.1X。
注意:要下载802.1x标准,请转至http://www.ieeee802.org/1/pages/802.1x.html..
思科飞跃
思科的LEAP无线认证过程通过支持集中式、基于用户的认证和生成动态WEP密钥的能力,有助于消除安全漏洞。LEAP易于实现,并包含引人注目的特性:
相互认证在有线网络中,客户端和设备之间存在直接的物理连接;因此,客户端相对确定它正在与正确的网络通信。然而,在无线局域网中却不是这样。因为两者之间不存在物理连接,所以客户端必须对网络进行身份验证,而网络也需要对客户端进行身份验证——即相互身份验证。在使用LEAP时,相互认证由共享的秘密提供,这是用户的网络密码。
基于用户身份验证- 间802.11身份验证仅验证无线设备,而不是实际的用户。因此,未经授权的用户可以通过预先授权的设备轻松访问网络 - 例如,员工的笔记本电脑。Leap通过通过用户名和密码来认证用户而不是仅设备来消除此漏洞。
动态WEP键-Cisco LEAP使用802.1x为每个用户连续生成唯一的WEP键。每802.1x会话超时强制客户端重新分发到网络,这是生成新的WEP键时。用户不明显的重新分配并不是非常重要的,以保持所有敏感数据不断加密。
以下步骤进行了飞跃:
客户端设备与接入点关联。这是通过常规的802.11连接过程完成的,通常称为关联过程。
接入点阻止客户端设备访问网络,诸如Cisco Access Control Server(ACS)的跨符合符合RADIUS服务器,对客户端设备发出身份验证挑战。
用户提供登录凭据,这是用户提供的密码。LEAP在将密码发送到RADIUS服务器之前对密码进行单向哈希。
RADIUS服务器通过验证位于数据库中的用户的凭据来验证用户。
用户验证RADIUS服务器的方式类似于RADIUS服务器验证用户的方式。本任务完成后,RADIUS服务器会向客户端设备发送eap成功消息。
客户端设备和RADIUS服务器导出Unicast WEP密钥。
RADIUS服务器向接入点下发WEP单播密钥。
接入点将使用Unicast WEP密钥加密的广播WEP密钥传递到客户端设备。
客户端设备和接入点激活WEP并使用广播和单播WEP键。
部署ACS时,请尽量减少接入点与ACS之间的延迟。这样做是必要的,因为每次客户机设备漫游到另一个接入点时都必须进行LEAP身份验证过程。思科IOS版本12.2(11)JA引入了对思科接入点的支持,无需访问外部ACS即可认证LEAP用户。对于小型部署,该功能最多支持50个用户名。此外,思科ACS可以在本地存储用户名和密码数据库,也可以从外部Microsoft Windows NT目录访问该信息。如果用户经常在接入点之间移动和漫游,最好不要使用外部数据库,因为相关的延迟可能会导致较差的语音质量。
另外,通过将语音流量放在一个VLAN上,将数据流量放在另一个VLAN上,对语音和数据流量进行分段。交通的声音指出,只有一个特定的VLAN,一个黑客偷了一个无线IP电话不能使用手机的密码来访问数据network-assuming,当然,手机上的用户有不同的密码相比,一个用于数据网络。
注意:使用LEAP时,一定要使用强密码,强密码的长度在10到12个字符之间,可以包括大写字母、小写字母和特殊字符的组合。此外,在无线IP电话上使用与其他密码不同的密码。这样做有助于提高整个系统的安全性,因为含有用户手机密码的无线IP电话,如果手机被盗或丢失,可能会受到威胁。