局域网安全知识科普大全
对于任何使用或者管理网络的人来说,安全都应该被优先考虑。保护无线网络安全要比保护有线网络安全的难度大,一个无线局域网对一个接入点范围内的每个无线网卡开放。利用无线网卡和相关的破_技术,攻击者可能不需要进入工作场所就可以获得无线局域网的访问权。下面就让小编带你去看看局域网安全知识科普,希望能帮助到大家!
无线局域网(WLAN)安全
一、无线局域网
无线局域网是用无线通信技术将终端设备互联起来,构成可以互相通信和实现资源共享的局域网络体系。无线局域网特点是通过无线的方式建立连接,利用无线技术在空中传输数据,从而使网络的构建和终端的移动更加灵活。无线局域网常规的有效使用距离在100 m以内。
无线局域网在一定程度上扔掉了有线网络必须依赖的网线。这样,用户可以坐在家里的任何一个角落,抱着笔记本电脑,享受网络的乐趣,而不像从前那样必须要迁就于网络接口的布线位置。
无线局域网包括2种基本的工作模式:如图1所示的带无线路由器工作模式和如图2所示的不带无线路由器工作模式。
图1 带无线路由器模式
图2 不带无线路由器模式
在带无线路由器工作模式下,通信需要一个专门的无线局域网设备:无线路由器;在不带无线路由器工作模式下,无线终端相互之间直接发送数据。在日常的使用中,用户基本上使用带无线路由器的模式。
全球范围内,无线局域网技术主要包括IEEE802.11系列、Hiper LAN技术、Home RF和蓝牙技术,目前,应用比较广泛是IEEE802.11系列和Hiper LAN。
(1)ISO/IEC802.11 系列标准技术:是美国电气和电子工程师协会(IEEE)颁布的无线局域网标准。IEEE802.11系列技术和产品的安全性一直没能很好地解决。近年来,IEEE802.11技术和产品不断爆出重大安全性问题,造成用户巨大的经济损失。
(2)Hiper LAN: Hiper LAN是以欧洲电信标准协会(ETSI)颁布的无线局域网标准为核心的技术和产品的总称。
二、无线局域网安全概述
安全是无线局域网面临的最大问题,这是由无线信号在空中几乎无边界的传播特性造成的,不论信号中的数据要发送的目的地是哪里,任何无线终端在无线信号覆盖的范围内都可以接收到。为了保证安全通信,无线局域网中应采取必要的安全技术,包括鉴别、加密、数据完整性保护等。
1、鉴别
鉴别提供了用户身份合法性的保证,这意味着当用户声称具有一个特定的身份时,鉴别技术将提供某种方法来证实这一声明是正确的。用户在登录无线局域网的时候,需要输入特定的密码或身份信息等来进行身份合法性的验证。
尽管不同的鉴别方式决定用户身份验证的具体流程不同,但基本功能是一致的。目前,无线局域网中采用的鉴别方式主要有基于浏览器页面的身份鉴别、基于密码的身份鉴别、基于数字证书的身份鉴别。
(1)基于浏览器页面的身份鉴别
基于浏览器页面的身份鉴别一个非常重要的特点是客户端只需要在浏览器上输入正确的接入信息凭证即可。这类身份鉴别的技术在公共场所(如机场、酒店、商场等地方)经常用到,用户输入手机号码,通过手机获得相关的登录验证码,然后将登录验证码输入到浏览器中即可使用网络服务。
这种身份鉴别技术属于安全性最低的一种方案,它只是在无线局域网的上层应用简单进行身份信息的对比,实现对用户使用某种服务的控制。基于浏览器页面的身份鉴别技术并没有融入密码学相关技术来实现身份信息的保密性和不可篡改性。在无线局域网底层没有调用任何安全技术的保护,所有通信信息明文传输,存在较大的安全风险。这种方案类似于所有访客,先进入大门,然后再用笔写下自己的联系方式。
(2)基于密码的身份鉴别
基于密码的身份鉴别是指用户利用手机或者笔记本电脑原始控制接入无线局域网的界面,输入所选择的无线网络的接入密码实现网络登录。这类身份鉴别的技术在家庭、办公室等场景经常用到。
这种身份鉴别技术属于安全性中等的一种方案,它通过绑定密码学的技术实现用户接入身份的鉴别,同时完成对通信数据的加密处理。这种技术的缺点在于密码容易传播,且所有人使用相同的密码,容易造成无法追溯或者“好人办坏事”的情况。这种方案类似于所有访客,使用同一张卡进入同一个大门。
(3)基于数字证书的身份鉴别
基于数字证书的身份鉴别是指用户登录到无线局域网之前,需要由特定的机构对用户的身份进行严格的审核,并为用户颁发数字证书,通过公钥加密技术对用户的公钥信息和用户的身份信息做数字签名,把用户的身份信息与公钥绑定在一起。用户使用证书进行身份鉴别时,可基于对权威鉴别机构的信赖而信赖证书所对应的实体身份,实现对身份的鉴别。
这种技术属于安全性最高的一种方案,它通过密码学的技术不但绑定用户接入身份的鉴别流程,而且还绑定用户身份本身,同时也完成对通信数据的加密处理。使用这样的方法,每个用户都有属于自己个人的接入凭证,无法抵赖。这种方案类似于所有访客,使用唯一标识自己身份的一张卡进入同一个大门。
2、加密
加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。通常需要选择特定的密码算法来实现。常见的密码算法如下。
(1)数据加密标准DES(Data Encryption Standard):DES的出现引起了学术界和企业界的广泛重视,许多厂家很快生产出实现DES算法的产品,但其最大的缺点在于DES的密钥太短,不能抵抗无穷搜索密钥攻击。
(2)高级加密标准AES(Advanced Encryption Standard):为了克服DES的缺点,美国国家标准和技术研究所(NIST)开始寻求高强度、高效率的替代算法,并于1997年推出AES标准。
(3)SM4:SM4是在国内正式使用并于2006年公布的第一个用于无线局域网的商用分组密码算法。WAPI的无线局域网保密基础结构(WPI, WLAN Privacy Infrastructure)采用对称密码算法SM4实现对MAC层MSDU的加、解密操作。
3、数据完整性保护
数据完整性保护,是使接收方能够确切地判断所接收到的消息在传输过程中是否遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏,还能采取某种措施从完整性中恢复出来。
三、无线局域网面临的安全问题
无线局域网已广泛应用于各行各业中,受到人们的青睐,并成为无线通信与互联网技术相结合的最热门技术。无线局域网的最大优点就是实现了网络互连的可移动性,它能大幅度提高用户访问信息的及时性和有效性,还可以克服有线限制引起的不便性。但因无线局域网应用具有很大的开放性,数据传播的范围较难控制,无线局域网面临非常严峻的安全问题。无线局域网面临的基本安全问题如下。
1、非法接入风险
主要是指通过未授权的设备接入无线网络,例如,企业内部一些员工,购买便宜小巧的无线路由器,通过有线以太网口接入网络,如果这些设备配置有问题,处于没加密或弱加密的条件下,那么整个网络的安全性就大打折扣,造成接入危险。或者是企业外部的非法用户与企业内部的合法无线路由器建立了连接,这也会使网络安全失控。
2、客户端连接不当
一些部署在工作区域周围的无线路由器可能没有做安全控制,企业内一些合法用户的无线网卡可能与这些外部无线路由器连接,一旦这个用户连接到外部无线路由器,企业的网络就处于风险之中。
3、窃听
一些黑客借助Wi-Fi分析器,会捕捉到所有的无线通信数据,如果信息没有保护,则可以阅读信号中传输的内容。如果黑客手段更高明一点,就可以伪装成合法用户,修改空中传输的网络数据等。
4、拒绝服务攻击
这种攻击方式,不以获取信息为目的,黑客只是想让用户无法访问网络服务而不断地发送信息,使合法用户的信息一直处于等待状态,无法正常工作。
上面所述的安全问题的解决,其核心在于安全机制和安全协议如何制定。当前主流的无线局域网技术Wi-Fi从技术发明和协议设计初期到现在,都不能有效解决这些问题。导致根据协议开发出来的所有产品,虽然来自不同的厂家,但均面临着随时被破_的危险。
四、无线局域网安全性
1、Wi-Fi初期安全技术WEP
Wi-Fi安全技术最初通过有线对等保密协议WEP(Wired Equivalent Privacy)来实现鉴别与数据加密,此类安全协议非常脆弱,可轻易从互联网上下载到破_软件,在几秒内破_。目前处于正在被淘汰的过程中。
2、Wi-Fi当前安全技术WPA/WPA2
为了使Wi-Fi技术从WEP可以被轻易破_这种被动局面中解脱出来,IEEE重新建立的工作组,开发了新的安全标准IEEE802.11i,标准中除了保留有原来的WEP之外,新添加了WPA/WPA2这2种技术。
不幸的是,由于WPA/WPA2依然采用不安全的设计理念,WPA技术在颁布之后就轻易又遭到破_,而当前针对WPA2的破_也已经从理论破_分析发展到了破_工具开发的阶段,在不久的将来,就会面对WEP和WPA被轻易破_的相同局面。
3、中国无线局域网安全标准WAPI
无线局域网鉴别和保密基础结构(WAPI,WLAN Authentication and Privacy Infrastructure)是中国唯一的无线局域网技术标准。WAPI 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护,旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。
WAPI由无线局域网鉴别基础结构(WAI, WLAN Authentication Infrastructure)和无线局域网保密基础结构(WPI, WLAN Privacy Infrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密。
WAPI整个系统由站点STA、接入点AP和认证服务单元ASU组成。其中,ASU用于帮助STA和AP完成身份鉴别等;STA与AP上都安装有ASU发放的公钥证书,作为自己的数字身份凭证。当STA登录到无线接入点AP时,在使用或访问网络之前必须通过ASU进行身份验证。根据验证的结果,只有持有合法证书的站点STA才能接入持有合法证书的无线接入点AP。这样,不仅可以防止非法STA接入AP而访问并占用网络资源,而且还可以防止STA登录到非法AP而造成信息泄露。
五、WAPI技术介绍
1、系统组成
在一个典型的WAPI系统中,WAPI用户STA通过WAPI无线路由器AP接入互联网。如图3所示。首先,STA与AP进行网络发现协商并开启WAPI功能,STA和AP启动身份鉴别过程,利用AS完成双向身份鉴别。当身份鉴别通过后,STA和AP进行密钥管理,协商用于保护通信数据的密钥,并利用协商出来的密钥加密通信数据。
图3 WAPI系统典型工作过程
2、WAPI 网络发现
在一个采用了WAPI安全的无线局域网中,当STA需要访问该无线局域网时,通过被动侦听AP的信标(Beacon)帧或主动发送探询帧(主动探询过程如图4所示)以识别AP所采用的安全策略。
图4 主动探询过程
(1)若AP采用WAPI证书鉴别方式,AP将发送鉴别激活分组启动证书鉴别过程,当证书鉴别过程成功结束后,AP和STA再进行单播密钥协商和组播密钥通告。
(2)若AP采用WAPI预共享密钥鉴别方式,AP将与STA直接进行单播密钥协商和组播密钥通告。
3、WAPI 的身份鉴别
WAPI 支持2种身份鉴别方式:证书鉴别方式和预共享密钥鉴别方式。
(1)证书鉴别方式
数字证书是一种经公钥基础设施(PKI, Public Key Infrastructure)证书授权中心签名的、包含公开密钥及用户相关信息的文件,是网络用户的数字身份凭证。WAPI 系统中所使用的用户证书为数字证书,通过ASU 对用户证书进行验证,可以唯一确定WAPI 用户的身份及其合法性。
证书鉴别是基于STA和AP双方的证书所进行的鉴别。鉴别前STA和AP必须预先拥有各自的证书,然后通过ASU对双方的身份进行鉴别,根据双方产生的临时公钥和临时私钥生成基密钥,并为随后的单播密钥协商和组播密钥通告做好准备。证书鉴别过程如图5所示。
图5 证书鉴别过程
(2)预共享密钥鉴别方式
预共享密钥鉴别是基于STA和AP双方的密钥所进行的鉴别。鉴别前STA和AP必须预先配置有相同的密钥,即预共享密钥。鉴别时直接将预共享密钥转换为基密钥,然后进行单播密钥协商和组播密钥通告。
4、WAPI 的密钥管理
STA 与 AP 之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护;AP 利用自己通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对其发送的广播/组播数据进行保护,而STA 则采用AP通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对收到的广播/组播数据进行解密。首先要进行单播密钥的协商,其过程如图6所示。
图6 单播密钥协商过程
当单播密钥协商完成后,再使用单播密钥协商过程所协商出的密钥进行组播密钥的通告,其过程如图7所示。
图7 组播通告过程
5、WAPI 的通信数据加密
WAPI对通信数据进行加、解密处理。WAPI密码套件中首选采用的分组密码算法为SM4,该算法的分组长度为128bit,密钥长度为128bit。完整性校验算法工作在CBC-MAC模式,数据保密采用的对称加密算法工作在OFB模式。
六、无线局域网(WAPI)安全配置实例
下面给出一个实例说明如何进行无线局域网安全配置。基本步骤如下。
(1)本配置实例中使用的是IWN A2410(WLR4038)无线路由器。
(2)本配置实例通过在无线路由器侧启用WAPI-Cert或者WAPI-PSK安全模式来达到对客户端数据进行保护的目的。
(3)主要配置内容如图8所示,包括:添加无线网络名称(SSID)、设定射频发射功率、无线工作模式、信道、SSID名称、该SSID绑定的网络接口(建议绑定到LAN口)、选择接入网络的安全类型(WAPI-Cert或WAPI-PSK)、密钥更新、MAC地址过滤、WMM选定等设备和接口配置。以上内容可实现开机“一键配置”。
局域网安全|为什么不建议你去连接公共场合wifi?
原理
1.arp原理:
每台主机都会在自己的arp缓冲区中建立一个arp表,主要的作用也是为了使ip和mac地址相对应,当源主机需要发送数据到目的主机中时就会在在自己的arp列表中寻找ip对应的mac地址,如果找不到对应的mac地址就会广播一个arp数据包,目的是为了查找该ip的mac地址。
此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中。如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址。源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
2.ARP欺骗种类:
(1)对路由器ARP表的欺骗:路由器ARP表的欺骗是给路由器发送一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
(2)对内网PC的网关欺骗:对内网PC的网关欺骗是将攻击者伪装成网关,让被欺骗的PC向自己发送数据,以截获所想要的内容。
基本流程
过程
1.开启ip转发
echo 1 >/proc/sys/net/ipv4/ip_forward
2.打开ettercap
3.打开sniffing
4.选择网卡
5.Host中找到hostlists之后scan
6.ARP毒化
7.嗅探结果
下边是我登录网关之后,账号和密码被嗅探到
8.嗅探图片
使用命令driftnet -i wan0
我登录了一个网站展示了一个验证码
得到的经过加密的密码经过base64解密一下就可以得到明文
浏览网站的时候https协议的网站远远比http协议的网站要安全,因为https协议的网站信息经过加密,即使被中间人截取也无法进行解析。另外就是中间人也很有可能会截取cookie,之后登陆相应的网站。因此,在外边的时候尽量不要去连接一些不安全的wifi。并且家用的wifi密码中尽量也不要存在个人信息,因为这些信息组合之后生成字典很容易就能把wifi密码破_。
无线局域网安全
无线局域网威胁有以下几种:
War Drivers驾驶攻击
Hackers/Crackers黑客/攻击者
Employees雇员
Rogue Access Points流氓接入点
Man-in-the-Middle-Attacks中间人攻击,简称MITM
Denial of Service 拒绝服务,简称DoS
当今出售的很多无线设备都有一个默认配置,用户只需要很少的配置或不需要配置就可以使用无线设备了。在很多情况下,用户不更改无线设备的默认设置,也不启用认证或启用了默认的WEP认证,这样很容易造成攻击。
驾驶攻击(War Drivers)
驾驶攻击是利用了带有IEEE 802.11b/g客户端网卡的笔记本电脑扫描邻近区域来寻找不安全的IEEE802.11b/g系统进行攻击。
流氓接入点攻击(Rogue Access Points)
流氓接入点指一个AP被放置在无线局域网中用来干扰正常的网络运行。如果一个流氓接入点配置了正确的安全设置,将可以捕获客户的数据。一个流氓接入点也可以经过配置,让未经授权的用户获取MAC地址信息,捕获和伪造数据包,更糟糕的是可能获得服务器和文件的访问权。一般流氓接入点是雇员未经授权安装的。雇员私自装AP,打算使用企业网络,这些AP通常没有进行必要的安全配置,使网络中存在一个安全漏洞。
中间人攻击(MITM)
黑客并不直接登入用户的网络,而是将它设定成AP,冒充正常的网络AP,有着正常的网络AP的设置,并发送很强的信号,一般用户将误判断为公司的AP,并向它发送资料。通过对这些资料的分析,黑客将可能捕获到有用的信息。
拒绝服务(DoS)
IEEE802.11b/g使用的是2.4GHz的频段,这个无线频段也被很多电子消费产品使用,攻击者可以利用这些干扰产品造成干扰信号。攻击还可以伪造信号,解除AP和客户端的连接,然后大量客户端在连接AP,造成拥塞。