無線網絡安全 – 保護無線 LAN 的基礎知識

用戶與接入點連接和認證的過程已經變得普遍。如果客戶端的請求選擇了共享密鑰認證,將會有額外的數據包來確認密鑰的真實性。

下面的文章解釋了我附近的無線站點調查公司網絡上的 EAP 安全性。

客戶端傳輸所有訪問點的探測
接入點傳輸包含數據速率和其他詳細信息的信息幀
客戶端選擇最近的接入點
客戶端按從 802.11a、802.11b 到 802.11g 的順序掃描接入點
數據速率確定
客戶端使用 SSID 與接入點關聯
通過 EAP 網絡認證,客戶端使用 RADIUS 服務器進行認證。
開放認證

這種安全類型將標識字符串分配給一個接入點,或多個接入點以形成一個分段的無線網絡,稱為服務集標識符 (SSID)。客戶端在配置為使用該 SSID 之前無法連接到接入點。連接到您的網絡的過程可以像在網絡上的任何客戶端上查找 SSID 一樣簡單。可以製作接入點,使其不傳輸可以提高安全性的 SSID。許多公司將使用動態或靜態密鑰來增強安全 SSID。

靜態 WEP 的密鑰

將客戶端適配器配置為使用不變的有線等效公共 (WEP) 密鑰可提高無線傳輸的安全性。可以使用相同的 40 位和 128 位 WEP 密鑰設置您的接入點,並且在建立連接時,將比較這些加密的密鑰。問題是黑客能夠捕獲無線通信並解碼 WEP 密鑰。

動態的 WPA 密鑰。(WPA)

使用每個會話動態加密的 WEP 密鑰通過使用散列算法以指定的時間間隔創建新的密鑰對來提高安全性。這使得欺騙變得困難。WEP 的標準協議結合了 802.1x 身份驗證技術,其中結合了 TKIP 和 MIC 加密。無線客戶端的身份驗證和身份驗證服務器 RADIUS 允許對安全性進行動態管理。請務必注意,每種身份驗證類型都將提供 Windows 系統支持。一個例子是 PEAP,您需要帶有 Service Pack 2 的 Windows XP。每個客戶端都需要帶有 SP4 的 Windows 2000 或 Windows 2003。

802.1x 標準提供的身份驗證包括使用以下受支持的 EAP 類型的每用戶和每會話加密:EAPTLS、LEAP、PEAP、EAP-FAST 以及 EAP-TTLS 和 EAP-SIM。用戶網絡上的身份驗證憑據與客戶端計算機的配置無關。計算機上的設備丟失不會影響安全性。加密使用 TKIP 進行處理,這是一種改進的加密標準,通過使用每個數據包密鑰散列 (PPK) 和消息完整性驗證 (MIC) 以及廣播密鑰輪換來改進 WEP 加密。該協議使用 128 位密鑰加密數據,使用 64 位密鑰進行身份驗證。發送器在加密之前向數據包添加幾個字節或 MIC,然後接收器分析並確認 MIC。廣播密鑰輪換以特定間隔輪換廣播和單播密鑰。快速重新連接是一種可訪問的 WPA 選項,允許員工在移動房間或樓層時無需通過 RADIUS 服務器再次登錄即可旅行。客戶端的用戶名和密碼由 RADIUS 服務器保存指定的時間。

EAP-快速

利用算法對稱密鑰創建安全隧道

客戶端和服務器端 RADIUS 相互認證

客戶端通過安全隧道提供用戶名和密碼憑據

EAP-TLS

SSL 版本 3 創建加密隧道

客戶端和 RADIUS 服務器端分配具有相互身份驗證的 PKI 證書

用於加密數據的每個會話密鑰的每個客戶端的動態

受保護的 EAP (PEAP)

它在使用任何 EAP 身份驗證方法的 Windows 客戶端上實現。

包含根 CA 數字證書的服務器端 RADIUS 服務器身份驗證

使用密碼和用戶名加密憑據的 Microsoft MS-CHAP 客戶端的 RADIUS 服務器進行客戶端身份驗證

無線客戶端 EAP 網絡認證過程

客戶端通過接入點關聯
接入點允許 802.1x 流量
客戶端驗證 RADIUS 服務器證書
RADIUS 服務器向客戶端發送用戶名和密碼保護請求
客戶端將加密的用戶名和密碼傳輸到 RADIUS 服務器。
RADIUS 的客戶端和服務器獲取 WEP 密鑰。RADIUS 服務器將 WEP 密鑰傳輸到接入點。
接入點使用此活動會話密鑰對 128 位廣播密鑰進行編碼。將密鑰發送給客戶端。
客戶端和接入點使用會話密鑰來解密/加密數據包
WPA-PSK

WPA 預共享密鑰利用與靜態 WEP 密鑰以及動態密鑰協議相關的某些功能。每個接入點和客戶端都設置有靜態密碼。它生成 TKIP 用來加密每個會話的數據的密鑰。密碼必須至少包含 27 個字符,以防止使用字典進行攻擊。

WPA2

它是 WPA2 標準,使用高級加密標準 (AES) 實現 WPA 身份驗證方法。在必須採取最高安全措施的情況下,這種加密技術用於與政府相關的實施等。

應用層密碼

SSG 在應用層使用密碼。客戶端在獲得密碼之前無法進行身份驗證。SSG 用於公共區域,如酒店,客戶需要支付密碼才能訪問互聯網。

VLAN 分配

如前所述,公司將使用配備了定義邏輯無線網絡的 SSID 分配的接入點。然後將接入點 SSID 分配給連接到有線網絡的 VLAN,該 VLAN 在特定組之間劃分流量,類似於傳統的有線網絡。然後可以在接入點和以太網交換機之間使用 802.1q 和 ISL 中繼配置具有多個 VLAN 的無線部署。

其他設置

關閉 Microsoft 文件共享

實施防病毒軟件和防火牆

設置您的企業 VPN 客戶端

在任何無線網絡上停止自動連接

不要使用 AdHoc 模式 – 這允許身份不明的筆記本電腦連接到您的計算機。

進行徹底的現場勘測,謹防信號超限

將發射功率設置為最低設置。

防盜選項

某些接入點具有防盜功能,可通過使用掛鎖和電纜來保護公共區域使用的設備。這是接入點可能丟失或被盜的公共設施的一個重要方面。有理由將它們安裝在低天花板上。

安全攻擊

無線數據包嗅探器捕獲數據包,對其進行解碼並分析它們在客戶端計算機和 AP 之間傳輸的數據。目的是了解安全信息。

字典攻擊嘗試使用字典或數千個常見密碼短語的列表來發現無線網絡中配置的解密密鑰。黑客在身份驗證期間收集信息,然後掃描每個字典單詞以確定加密密鑰,直到找到匹配項。

分配給每個無線客戶端的模式會影響安全性。Ad Hoc 是最不安全的選項,但它缺少 AP 身份驗證。網絡上的每台計算機都能夠將數據直接發送到另一台 Ad Hoc 鄰居計算機。如果可用,請選擇基礎架構模式。

IP 欺騙是一種極其常見的網絡攻擊,涉及偽造或更改每個數據包的源 IP 地址。網絡上的設備認為它正在與經過批准的計算機進行通信。

SNMP 可能是安全漏洞的標誌。使用複雜的社區字符串實現 SNMP 版本 3。