|
一、 概述 随着科技的发展,无线网络技术以其便利的安装、使用,高速的接入速度、可移动的接入方式赢得了包括运营商在内的众多企业甚至政府以及广大个人接入用户的青睐。然而,随着无线网路技术应用的不断推广,安全问题已成为无线局域网(WLAN)发展中遇到的一个最为关键的问题。由于无线网络传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层甚至是发射机所在的大楼之外的接收设备,任何人在视距范围之内都可以截获和插入数据。因此无线通信的数据安全也就成为最重要的安全问题。 以常见的手机为例,其通信过程就是使用手机把语言信号传输到移动通信网络中,再由移动通信网络将语言信号变成电磁频谱,通过通信卫星辐射漫游传送到受话人的电信网络中,受话人的通信设备接收到无线电磁波,转换成语言信号接通通信网络。因此,手机通信是一个开放的电子通信系统,只要有相应的接收设备,就能够截获任何时间、任何地点,接收任何人的通话信息。在俄罗斯的车臣战争期间,俄军利用电子侦察手段,截获了杜达耶夫的手机通信,在全球定位系统的帮助下准确地测出了杜达耶夫所在位置的坐标,用两枚反辐射导弹循着电磁波方向击中了杜达耶夫正在通话的小楼。这个例子充分表明了无线通讯技术的脆弱性,也说明了无线网络技术安全的重要性。 二、 常见无线网络安全风险 常见的无线网络(802.11)安全风险包括:WarDriving、BSSID欺骗、非法AP、WEP/WPA-PSK破解、802.11会话注入拒绝服务攻击,下面将对以上几种安全风险进行详细介绍。 2.1、War Driving War Driving(驾驶攻击)亦被称为接入点映射扫描攻击,是一种在通过如驾车围绕企业或住所小区时进行无线信号扫描活动的行为统称。进行该类型攻击大多需要具备如汽车这类型的高速交通工具、计算机(如膝上型电脑或支持802.11的PDA)、可以工作于无线环境混杂模式下的无线网卡,具备一定增益的802.11天线。由于大多无线局域网可能仅局限于一栋办公楼的范围,外部使用者就有非法接入网络的可能,并可能由此获得企业的一些保密资料或敏感信息。通过使用全向天线和GPS结合的方式,驾驶攻击者就能够系统地将802.11无线接入点映射至物理位置中。War Driving这个术语源自于称作War Dialing的电话突破系统,入侵一个私有网络可能是非法的,至少现在有人因为这个而被起诉过。 无线广播信标帧是802.11协议的一种正常二层帧,一般情况下是允许接入者不需要任何凭证的情况下合法获得的(默认100毫秒发送一次),其中包含该WLAN的SSID名称字段——这为黑客攻击提供攻击的方向。虽然接入点可通过“禁止SSID广播”的方式在广播信标帧中以NULL字段填充原有SSID名字段空间以减少被攻击的可能,但攻击者依然可通过主动发现工具(如SSID_Jack、Kismet等)轻松掌握SSID名。 2.2、Wep Crack与WPA-PSK Crack Wep Crack攻击主要分为三种形式:明文攻击、密文再利用、KSA缺陷。 1) 明文攻击 第一种情况:攻击者同时拥有明文本消息和其加密文本的拷贝。两者之间失去的部分便是密钥。为得到密钥,攻击者将发送数据至目标系统,同时又试图捕获那被送到目标系统的数据。一旦攻击者获取回应数据便可获得IV(RC4的初始化向量),并可通过其对应关系进行暴力/字典破解。在密文是通过明文与密钥流简单XOR形成的情况下,当攻击者拥有加密文本和明文,就能XOR已加密文本从而获得密钥。 2) 密文的再利用[Cipher stream Reuse] 该问题允许攻击者从一个WEP包(编码的包)复原密钥流。WEP的Cipherment算法初始化向量时只声明了小空间,通过溢出的方法发送各种各样的IV包,攻击者能捕获密钥流。其后,攻击者XOR明文本消息来解译密文(注意攻击必须同时拥有密文本和明文本)。 3) KSA缺陷[Fluhrer-Mantin-Shamir Research] Cisco系统的Scott Fluhrer与以色列Weizmann研究所计算机科学部的Itsik Mantin和Adi Shamir在2001年8月着手该项研究工程。该项研究的目的在于解决RC4密钥排列算法[Key Scheduling Algorithm (KSA)]的缺陷。 这个团体发现了KSA的两处缺陷。在他们研究论文中描述的攻击技术既可以破解WEP(24位长)也可破解WEP2(128位长)的密码。Adam Stubblefield、John Loannidis和AT&T实验室的Aviel Rubin也证实了这一攻击技术。 WPA存在两种模式:WPA-Enterprise(结合802.1x实现的动态认证/加密)与WPA-Personal(WPA-PSK)。由于WPA-PSK是通过静态保护字符串作为密钥(凭证)的方式辨别接入者是否拥有接入网络的权限,因此攻击者可通过捕捉整个WPA-PSK认证握手过程以完成密钥捕捉。 2.3、SSID欺骗 目前不少无线网络是通过设置二层控制列表[BSSID Access Control List]增强无线接入的安全性。具体实施办法是通过在接入点(AP)中设置对接入设备的BSSID/WMAC地址进行访问控制,实现“合法BSSID地址正常访问,非法BSSID地址被隔离”的目的。常见的实施方式是,首先在AP上登记合法BSSID的WNIC,然后设置非法BSSID不能访问的规则,达到BSSID/WMAC地址过滤的目的。 但由于二层通信的不安全性致使这种基于MAC地址的访问控制技术也不能幸免于难。攻击者可通过无线信号下二层帧嗅探获取合法的客户端无线网卡BSSID(WMAC)地址及接入点的对应关系,并利用WINDOWS自带或其它程序更换自身BSSID从而进入并享有网络。 2.4、非法AP 非法AP(rogur AP)是WLAN流行后的又一安全隐患,其原理是在某合法的AP的覆盖区内搭建一个不合法的AP,其危害主要有两种: 1)绕过逻辑访问控制的物理制约,如下图:
由于无线接入点的物理体积小,不容易被发现,且游动性强(类似易插拔设备),因此很容易被用作通过物理方式绕过网络的逻辑访问控制。 2)通过建立与合法AP相同的SSID(或同时使用相同的频道)来迷惑无线接入者,实现钓鱼攻击(Phishing):
待接入者登入后使用中间人攻击得到使用者的通信数据。 2.5、无线会话注入实现拒绝服务 在多种不同的无线网络协议下存在的各种DoS攻击(这与有线环境是很相似)。在很多情况下整个攻击过程可能会囊括了类似社会工程、中间人攻击、窃听、破解密钥等多种攻击手段。但不管怎么说,一个无计可施的攻击者有可能会在无法获取到所需资源的情况下采取DoS攻击来“补偿”的。此外,无线DoS攻击有可能被商业性的竞争者、出于政治目的、好奇心的驱使等因素所诱发;这些环境与我们平时所接触的公共网络(如Internet)并没有什么差别。很不幸,由于原始的RF信号介质与802.11协议集核心所制定的内容所局限,无线网络本身并不能保护其免受来自第一层(物理层)与第二层(数据链路层)的DoS攻击。这就是为什么在我们看来,理论上802.11网络不应该应用于存在高危资源/程序的生产环境中。在目前我们所处的环境中,有很多情况下802.11无线网络是唯一的选择,在这种情况下系统管理员和网络设计人员大多会忽略无线网络在安装时不恰当所带来的问题。为了便于读者理解,笔者将各种已知道的DoS攻击方式分类为: 1)物理层攻击或干扰 当我们面对干扰设备发送的RF信号和追踪它们时,我们没有什么可以做。即使是这样,干扰者还是可以声称自己没有干什么违法的行为,因为任何人都允许使用ISM传输信道(802.11使用ISM标准传输信道)。除非你可以在法庭上/法律上证明到攻击者发送信号是有意图的,且其行为已经超出了FCC EIRP(FCC所制定的功率标准)所制定的范围表了(大多数是这样的情况)。干扰设备可以是一台自己订做的信号发射器,又或者是风暴在某个特定的频道的高输出无线客户端/AP(例如Demarctech推出的AP带有500m瓦的输出功率)。FakeAP、Void11、File2air或者其他802.11帧生成工具可以用作制造“风暴”。一个完整的自制干扰器通过工作在1.2GHz与600MHz频段并应用在和声与传输工作上。搭建一个工作在2.4至2.5GHz频段的干扰器是很简单的,它的核心部件到处都可以找得到;它被称为微波电子管。 可以获取到关于如何制作一个基于微波电子管的发射器。基于第一层(物理层)进行的攻击主要取决于攻击者花多少时间、精力、金钱去打造一个干扰器,事实上诸如此类的设备都是尽可能地接近被可能攻击的网络来达到攻击的目的。 2)欺骗认证/关联与脱离认证/关联帧风暴 这些攻击或许是目前最常见的无线DoS攻击方式。下面的讨论将在存在着MAC地址过滤、关闭ESSID广播的实际环境下进行。 当实际环境中存在着干扰时,你是很难消除风险的。802.11i标准的开发者原来已经讨论鉴别欺骗认证/关联与脱离认证/关联帧风暴的鉴别方式与原理。无论如何,直至目前为止据我们所理解到的,802.11i所制定的标准并没有从实践中得到任何更深渊的发展。目前有多种不同的工具可以被应用于发动脱离关联与脱离关联风暴,其中包括dinject、wlan_jack、File2air、Void11、omerta等。 三、无线安全运维支撑平台(W-SOC) 3.1、简介 传统的网络安全管理方式是将分散在各地、不同种类的安全系统分别管理,这种相对独立的管理方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警,这样导致安全信息分散互不相通,安全策略和配置难于统一协调,难以形成全局的风险观点。信息安全的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保可追究性是整个体系的可追究性。 随着无线网络的飞速发展,无线网络安全管理的要求也越来越急迫,因此迫切需要建立无线网络安全运维支撑平台,将安全管理需求和安全技术解决方案进行有效整合,对无线网络接入安全涉及的所有设备统一管理,集中进行安全监控和安全策略配置,确保对全局的掌控,从而实现全面支撑无线网络信息安全管理的目标,这正是该平台的独创性和新颖性所在。 3.2、功能 建立一个能够对无线网络接入安全涉及的所有设备统一管理、集中进行安全监控和安全策略配置的平台,实现对无线网络信息安全管理的全面支撑。该平台具备如下功能: (1)能够集中监控无线网络接入安全涉及的安全设备:集中监控安全设备的运行状态(例如在线状态、网卡流量、CPU利用率等)。 (2)收集多种安全设备的报警信息,包括无线接入设备(AP)日志、无线接入身份认证日志、无线入侵检测系统报警、有线入侵检测系统报警、防病毒系统报警、漏洞扫描系统扫描报告等。 (3)解决安全设备分散管理导致的安全信息分散互不相通,安全策略和配置难于统一协调的问题:通过接口对不同类型、不同格式的设备日志进行采集、范式化,并通过平台界面进行集中显示;对各种日志进行关联分析,从风险管理的角度量化各类安全事件的优先级,制定统一的无线网络安全接入策略,通过与无线接入设备(AP)和身份认证服务器的联动,达到统一控制无线网络安全接入的目的。 (4)能够将无线网络接入的安全管理制度流程内化到管理平台中,通过与身份认证服务器以及无线接入设备(AP)的联动,使得无线网络的接入申请流程化,杜绝不合规范的无线网络接入。 (5)建立及时的安全事件响应机制,响应机制是对事件的持续跟踪,也是风险管理与事件管理的必要结果。 因此及时的安全事件响应机制应是管理平台中十分关键的一环。响应处理模块可以通过工作流系统实现,可提供邮件、短信等方式。 (6)根据具体需要,为管理平台的各个功能提供报表支持。报表输出格式可转换为Word、Excel、PDF、Html等多种常用的标准格式。 3.3、部署方式 网络拓扑:
无线安全运维支撑平台所涉及支撑技术:
3.4、工作流程 第一步:无线网络接入用户通过短信方式向运营商所提供的短信网关发送申请请求; 第二步:短信网关通知驻留在短信接口的“三方整合”程序; 第三步:由三方整合程序生成随机字符串(默认通过DES算法生成,算法可选)作密码并以WLAN接入申请者的手机号作帐号生成凭证(备注:WPA-Enterprise采用动态自动更换密钥技术,几乎可达到无法破解的状态); 第四步:由三方整合程序将凭证同时发送给短信网关(以短信方式通知用户凭证信息)与无线接入认证服务器(写入802.1x认证Radius记录); 第五步:无线接入用户通过短信获取的凭证信息并进行手工导入PEAP-TLS证书或使用无线配置程序接入无线网络以实现双因子认证; 第六步:无线AP作为Radius NAS客户端将EAP请求包提交无线接入认证服务器(支持802.1x的Radius)进行无线接入认证,并由认证服务器确认该客户端是否符合认证要求(认证要求包括帐号[即手机号]、密码[即随机字符串]、证书); 第七步:日常情况下,无线网络管理员通过配置无线安全交换机管理控制服务端下发无线安全策略至无线安全交换机以完成无线安全防护(防范War Driving与非法AP等风险); 第八步:由无线安全统一监控平台对三方整合、认证服务器、无线安全交换机等设备进行主动(可选为被动)轮询监控,其相关模块如下:
首先通过新开发的数据采集Agent模块与安全交换机自带的日志接口将相关信息发送至统一管理平台的数据采集引擎。统一管理平台的数据采集引擎将数据汇总并交由分析引擎处理。分析引擎进行事件分析、关联等处理并实时更新统一平台的核心数据库。输出模块用于读取核心数据库,划分为两个子模块:呈现模块、日志模块,其中呈现模块通过主动方式为管理者呈现日志/报警信息;日志模块则被动为管理者提供对核心数据库的导出维护操作。响应模块在被动接收管理者筛选基准后(筛选模块),当发现符合异常基准时以报警方式通知管理者(报警模块)。 四、结束语 随着无线技术的飞速发展,其过程必然存在一定的安全空白,而单一的技术支撑手段并不能满足企业无线网业务连续性的安全需求,必须建立一套由技术与管理结合的、系统化的无线安全综合解决方案,以实现某程度上的无线网络通讯安全性。 目前,我国基于无线网络安全的无线网络安全建设还有起步阶段,无论是技术上还是管理上与发达国家之间的差距很大,这就要求我们密切关注无线及其安全技术的发展动向,探讨无线通讯技术中存在的安全问题,加大力度以把握无线网络安全建设这一良好的契机。 |
Powered by Discuz!
© 2003-2024 广州威思信息科技有限公司
