第9章 无线网络安全
不咋考
模块一:无线局域网(WLAN)基础概念
1. WLAN的特点
- 安装便捷、维护方便:免去布线,只需安装AP即可覆盖。
- 使用灵活、移动简单:信号覆盖内可随时随地接入。
- 易于扩展、大小自如:从几人的小网到上千人的大网均可灵活配置。
2. IEEE 802.11 系列标准
| 标准 | 频段 | 传输速率 | 调制技术 | 兼容性 |
|---|---|---|---|---|
| 802.11 | 2.4 GHz | 1 Mbps / 2 Mbps | FHSS / DSSS | 初代标准 |
| 802.11b (Wi-Fi) | 2.4 GHz | 11 Mbps | DSSS | 主流,覆盖广 |
| 802.11a | 5 GHz | 54 Mbps | OFDM | 不兼容802.11b |
| 802.11g | 2.4 GHz | 54 Mbps | OFDM | 兼容802.11b和a |
- 其他标准:HomeRF(家庭射频,10Mbps)、蓝牙(IEEE 802.15,近距离1Mbps,用于设备互联)。
3. CSMA/CA 协议
- 全称 :载波侦听多路访问/冲突避免 (有线网用的是CSMA/CD冲突检测)。
- 工作原理:先侦听信道 -> 空闲则等待IFS时间 -> 仍空闲则发送 -> 接收端回发ACK确认。
- 冲突避免(CA)三大机制 :
- 预约信道:发送前告知他人自己要发多久。
- 正向确认(ACK):只有收到ACK才算发送成功。
- RTS/CTS机制:请求发送/允许发送,解决"隐藏终端"问题。
4. 拓扑结构
- 无中心拓扑(Ad-Hoc/对等模式):无需AP,网点平等通信。抗毁性好、建网易;但用户多时信道竞争激烈。
- 有中心拓扑(Infrastructure/中心模式):以AP为中心,所有通信经AP转接。性能稳定但中心瘫痪则全网瘫痪。
模块二:WLAN的组建与配置
1. 核心设备
- 无线网卡:PCMCIA、PCI、USB三种接口。
- 无线接入器 :
- 无线AP:像集线器/交换机,覆盖几十到上百米。
- 无线路由器 = 无线AP + 宽带路由器(路由+交换机+防火墙)。
- 无线网桥:用于连接远距离(几公里到几十公里)的独立网段,需成对使用,常配抛物面天线。
- 无线天线:增益越大,信号越强。单位为dB。
2. 组网模式
- Ad-Hoc模式:点对点,无AP,设相同SSID即可通信,适合临时小规模。
- Infrastructure模式:集中控制,通过AP连入有线网。分三种应用:室内移动办公(星型)、室外点对点(两网桥连接两个有线网)、室外点对多点(中心全向天线,外围定向天线)。
3. 核心概念:SSID
- 服务集标识符:局域网的"名称"。只有SSID相同的设备才能互相通信。
- 安全机制:可"禁止SSID广播",防止被轻易搜到(牺牲效率换取安全,属于隐藏式安全)。
模块三:WLAN面临的安全问题
1. 常见安全威胁
- 窃听:极易发生且难以检测。
- 修改替换:强信号节点屏蔽弱信号节点,篡改数据。
- 传递信任:无线网成为攻击者无需物理接入的"后门"。
- 基础结构攻击:利用系统漏洞(bugs、错配)。
- 拒绝服务 :无线网特有,攻击者发送同频干扰信号即可让网络瘫痪。
- 置信攻击(伪基站):伪造强信号AP,诱骗移动设备登录以窃取密钥口令。
2. 战争驱车探测
- 概念:源自"战争拨号",指携带笔记本、高灵敏度网卡和天线,驱车寻找未设防WLAN的黑客行为。
- 著名工具:Netstumbler。
模块四:WLAN安全技术
1. 服务集标识符 (SSID) & 物理地址过滤 (MAC)
- SSID:简单口令认证,明文传输,极易窃取。禁止广播仅是"防君子不防小人"。
- MAC过滤 :在AP设置白名单。缺点:MAC网上明文传输易被截获;网卡MAC地址可通过软件修改(伪造),不适合大型网络。
2. 有线对等保密 (WEP) ------ 弃用的弱加密
- 目标:提供与有线网等同的安全保护。
- 技术:基于RC4流加密算法。
- 密钥机制 :40位或104位静态密钥 + 24位初始化矢量(IV) = 64/128位密钥。
- 致命缺陷(考点) :
- IV太短且明文传输:24位IV空间极小,繁忙网络很快会重复使用IV,攻击者截获相同IV的包即可统计分析破解。
- 密钥静态且手工管理:很少更换,一个泄露全网遭殃。
- 缺乏完整性校验:仅加密不验证,数据易被篡改。
- 认证缺陷:共享密钥认证时,AP发质询明文,终端加密回传,给攻击者提供了"明文-密文对"。
3. Wi-Fi保护接入 (WPA) ------ WEP的改良版
- 目标:在不更换硬件的前提下修复WEP漏洞。
- 核心技术 :
- TKIP(临时密钥完整性协议) :仍用RC4,但每包动态生成新密钥(结合MAC和包序号),解决了IV重复和静态密钥问题。
- MIC(消息完整性校验码):防止数据篡改和伪造。
- 802.1x/EAP认证:引入了更强大的用户级认证机制。
4. 端口访问控制技术 (IEEE 802.1x)
- 架构:请求方(客户端)--- 认证方(AP)--- 授权服务器(RADIUS)。
- 协议:客户端与AP用 EAPoL 通信,AP与RADIUS用 EAP over RADIUS 通信。
- 优点:基于用户的认证和计费,适合公共热点。
- 缺点:仅用户名口令认证,易泄露;AP与RADIUS间共享密钥静态手工管理。
- EAP类型:EAP-MD5(只认证,无密钥)、PEAP(受保护的EAP,建立TLS隧道更安全)。
5. IEEE 802.11i (WPA2) ------ 终极标准
- 采用 CCMP 协议(基于AES分组加密算法),彻底抛弃了不安全的RC4,提供极强的加密和完整性验证。
6. 中国国家标准 WAPI
- 全称 :无线局域网鉴别与保密基础结构 = WAI (鉴别) + WPI(保密)。
- 密码体制:椭圆曲线密码(公钥)+ 分组密码(对称)。
- WAPI三大优越性(必背) :
- 双向身份鉴别:客户端和AP地位对等,在鉴别服务器控制下互认(防止伪AP/伪基站)。
- 数字证书凭证:强制使用数字证书,安全性远高于用户名密码,管理方便(吊销证书即可踢人)。
- 完善的鉴别协议:用椭圆曲线签名和杂凑算法,防篡改伪造。
- WPI加解密过程 :
- 加密:OFB模式加密数据 + CBC-MAC模式计算完整性校验码MIC。
- 解密:先校验PN序号 -> 再验证MIC完整性 -> 最后OFB模式解密。
7. 虚拟专用网络 (VPN)
- 架构:在无线网和有线网间设两道防火墙,无线网只允许VPN流量通过,利用IPsec加密隧道传输。
- 局限性 :
- 运行脆弱:无线链路波动或越区切换易导致VPN断开。
- 吞吐量小:VPN服务器性能瓶颈(30-50Mbps)。
- 扩展性差:拓扑改变需重新规划配置。
💡核心对比表
| 安全技术 | 核心机制 | 加密算法 | 优点 | 缺点/局限 |
|---|---|---|---|---|
| SSID | 网络名称识别 | 无 | 简单 | 明文传输,极易获取,防君子不防小人 |
| MAC过滤 | 硬件地址白名单 | 无 | 简单 | MAC可伪造、可截获,难于大规模管理 |
| WEP | 静态密钥+IV | RC4流加密 | 当年标准 | IV重复、密钥静态、无完整性校验,已破解 |
| WPA | 动态密钥+TKIP | RC4流加密 | 兼容WEP硬件,修复IV和完整性 | 仍是基于RC4,过渡方案 |
| 802.1x | 端口认证 | EAP/MD5/PEAP | 用户级认证,适合公共热点 | AP与服务器间密钥静态管理 |
| 802.11i | CCMP强加密 | AES块加密 | 极高安全性,现行最强标准 | 硬件要求高 |
| WAPI | 证书双向认证 | 椭圆曲线+国密 | 双向认证、证书管理、防篡改 | 国际生态兼容性曾受限 |
| VPN | 隔离区+加密隧道 | IPsec | 企业级高安全隔离 | 无线环境易断、吞吐量低、扩展差 |