无线传输与有线不同,有线的通讯数据直接从发送端到达接收端,而无线网络的数据会在覆盖范围内广泛传播,所有网络中相同设置的AP与客户端都能接收到信息。因此,无线网络更需要有效的安全机制加强数据的私密性、完整性,防范恶意监听与破坏。本期我们就介绍下无线安全的技术。
戳标题查看往期无线科普
无线安全机制
网络接入认证
无线网络中并不应该允许所有客户端都能连接,为了限制有风险的客户端接入,无线网络可以先对客户端进行认证。无线认证的种类比较多,有些认证将信息直接存储在AP或客户端设备上,一些安全性更高的将登陆信息存储在服务器上,其他人无法从客户端等设备上取得账号及密码
无线的安全隐患
数据传输认证
无线网络的通讯是范围内传播的,即使客户端没有接入AP,也能监听到通讯信息。为了保护数据安全,数据传输时应该对每个无线帧加密后再发送,接收端收到数据后再进行认证和解密。同一个AP与不同的客户端通讯使用不同的认证密钥,以此保证不同客户端之间不会出现相互监听的情况;但同时AP也能创建一个“组密钥”来同时向所有客户端发送数据。
无线设备接入
消息完整性检查
消息完整性检查(MIC)是一种检测数据是否被篡改的机制。其实现方法是在传输的数据末尾加上一个基于数据内容的校验码,该校验码与数据内容相对应,如果接收到的数据被篡改,根据接收到的数据计算出的校验码与数据携带的不一致,就能判断数据传输中已经被篡改。
无线安全相关技术
开放式认证与WEP
最初的802.11标准仅规定了两种客户端认证方法:开放式认证和WEP。
开放式认证为客户端提供WLAN的开放接入,仅要求客户端使用802.11认证请求连接AP,不需其它加密,通常被用于公共场合的无线热点。
WEP(无线等效私密性)使用RC4密码算法保证每个无线数据整得私密性,该算法使用一个比特串作为秘钥,可以让无线链路的安全性等效于有线连接。但由于后续人们发现了WEP加密机制的脆弱性,所以逐渐被其他无线安全方法替代。
开放式认证模式
802.1x/EAP
EAP是一种可扩展的协议,并不由任何一种认证方法组成。EAP定义了一组通用功能,实际的认证方法都可以用其认证用户。
对于开放式认证和WEP而言,秘钥等认证只需在AP本地进行即可,但802.1x认证不同,客户端首先通过开放式认证与AP建立关联,在于专用认证服务器进行身份认证。并且802.1x只有通过了EAP方式的认证,客户端才能访问网络。
EAP方式认证
TKIP
TKIP(临时秘钥完整性协议)在传统硬件和底层WEP加密机制的基础上,增加了MIC(一种消息完整性认证算法)、时间戳、发送端MAC地址、TKIP序列计数器、秘钥混合算法等安全功能。
TKIP在802.11i标准发布前是一种有效的安全协议,但目前已经出现专门针对TKIP的攻击手段,所以应当避免继续使用,而且TKIP已经被802.11-2012标准废除了。
CCMP
CCMP(计数器/CBC-MAC)包含两个算法:AES计数器模式加密与用于消息完整性检查的CBC-MAC(密码块链接的消息认证码)。AES是一种开放、可公开访问的加密算法,是目前最安全的一种加密方法。
WPA和WPA2
WPA(WiFi保护接入)有WPA和WPA2两个标准,是一种保护无线网络安全的系统。WPA和WPA2认证都可采用预共享密钥或802.1x(通常我们使用的WPA-PSK就是预共享密钥认证),WPA加密方式采用TKIP而WPA2采用TKIP或 CCMP,目前常用的加密方式是WPA2-PSK/WPA-PSK。
基于不同的部署规模,WPA和WPA2支持两种认证模式:
1.个人模式:使用预共享密钥来认证WLAN上的客户端
2.企业模式:必须使用802.1x基于EAP的认证方法来认证客户端。
WPA2加密方式
私有协议
除了上述的几种通用的加密协议来提高安全性之外,还有一些非通用的方法增加通讯的私密性,如软件上使用私有协议。使用私有协议的设备只有AP与Client端都支持同一种私有协议才能相互通讯连接,不支持协议的Client端无法接入AP。由于通用设备无法正常接入私有协议设备,所以私有协议设备一般也不需要再设置加密。常见的无线私有协议有西门子的IFeatures。
西门子IPCF协议开启界面
AC控制器
目前为了管理无线网络并增加安全性,会使用无线控制器。无线控制器相当于之前提到的认证服务器(支持EAP, EAP-TLS, EAP-MS-CHAP, PEAP等认证服务),具有黑白名单功能,可以选择允许/不允许接入的IP地址,绑定设备的IP与MAC地址,处理接入设备的身份认证,阻止风险设备的连入。
无线控制器
领取专属 10元无门槛券
私享最新 技术干货