1 / 60

資訊安全─入門手冊

資訊安全─入門手冊. 第 18 章 無線網路安全. 第 18 章 無線網路安全. 組織使用無線網路的情況越來越普及,主要是因為價格低廉和容易設定。 某些組織在比較更換建物線路的費用之後,轉向採用無線網路以節省更新線路工程的成本。 雖然無線網路可以節省可觀的費用,但是也為組織帶來更為嚴重的安全問題。 目前已經公佈許多可以用來處理竊聽和身份認證的安全機制標準,但是許多建置這些標準的商品,同樣也存在著許多嚴重的安全弱點。. 迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。 本章將要深入探討組織內部網路附掛無線網路得安全風險,以及認證組織管理這些風險的對策。

romeo
Download Presentation

資訊安全─入門手冊

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 資訊安全─入門手冊 第 18 章 無線網路安全

  2. 第 18 章 無線網路安全 • 組織使用無線網路的情況越來越普及,主要是因為價格低廉和容易設定。 • 某些組織在比較更換建物線路的費用之後,轉向採用無線網路以節省更新線路工程的成本。 • 雖然無線網路可以節省可觀的費用,但是也為組織帶來更為嚴重的安全問題。 • 目前已經公佈許多可以用來處理竊聽和身份認證的安全機制標準,但是許多建置這些標準的商品,同樣也存在著許多嚴重的安全弱點。

  3. 迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。迄今,尚未出現真正完全解決無線網路風險的安全解決方案提案。 • 本章將要深入探討組織內部網路附掛無線網路得安全風險,以及認證組織管理這些風險的對策。 • 本章的內容如下: • 18-1 認識目前的無線網路技術 • 18-2 認識無線網路的安全問題 • 18-3 架設安全無虞的無線網路

  4. 18-1 認識目前的無線網路技術 • 無線區域網路(local area network,LAN)是以802.1x(a、b、g等等)標準做為技術的發展中心。 • 這些標準允許工作站和無線存取點之間,使用高達54Mbps的傳輸速度建立連線,接著再和有線LAN或其他工作站連線(詳見圖18-1)。 • 無線區域網路標準最主要是做為身份認證資訊的交換和資訊加密。

  5. 本節的內容如下: • 18-1-1 標準架構 • 18-1-2 傳輸安全 • 18-1-3 身份認證

  6. 圖18-1 典型的無線網路架構

  7. 18-1-1 標準架構 • 為了讓組織更有效地使用無線區域網路(wireless LAN,WLAN),無線信號的涵蓋範圍必須完整地涵蓋員工或訪客放置電腦的區域。 • 室內:典型的802.11x WLAN有效涵蓋範圍大約是150英尺。 • 室外:涵蓋範圍大約可達1500英尺。 在這裡所說的距離,只是一個約略的數字。實際的距離是依據使用的設備、建料和實際障礙而定。

  8. 這些數字也就表示 - 存取點(access point,AP)必須放在現有的涵蓋範圍內。 • 在無線網路的架構中,一般都會含有提供IP位址的DHCP伺服器,以及其他讓工作站適當地透過網路通訊所需的資訊。 • 這些資訊允許可攜式電腦隨意漫遊且無須特別留意,也照樣可以在WLAN進行溝通。 DHCP伺服器不止能夠提供WLAN所需的IP位址,也可以提供組織內部系統所需的IP位址。且在預設的條件下,WLAN也是使用現有的DHCP伺服器。

  9. 在身份認證方面,則是採用和其他網路工作站相同的方式(通常是Widnows網域或Novell NDS登入)。

  10. 18-1-2 傳輸安全 • 由於WLAN是以無線電做為傳送和接收資訊的媒體(因此只要位在信號範圍內即可接收信號),因此傳輸安全對整個系統的安全非常重要。 • 在工作站和AP之間,如果沒有適當地保護資訊的機密性和完整性,也會產生資訊是否遭到侵害、入侵者是否已經取代工作站或AP等疑慮。 • 802.11x標準在透過WLAN傳送資訊方面,定義用來保護資訊的有線設備隱私(Wired Equipment Privacy,WEP)協定。

  11. WEP三種基本的服務如下: • 身份認證 • 機密性 • 完整性

  12. 身份認證 • 工作站可以使用WEP的身份認證服務,對AP證明用自己的身份。 • 在使用開放式身份認證系統的過程中,工作站是以MAC位址做為AP初始交換的身份認證回應。 • 在現實環境中,這種方式並不足以做為AP對工作站的身份認證。 • WEP也同樣可以使用密碼身份認證機制。 • 共享秘密是這類機制主要的依據,例如AP使用RC4演算法認證工作站,或是使用交互換認證的盤查/回應系統(詳見圖18-2)。

  13. 雖然AP和工作站完成了身份認證流程,但是AP並未將身份認證回送給工作站,所以這種AP身份認證方式會讓工作站處於更加險惡的環境中。雖然AP和工作站完成了身份認證流程,但是AP並未將身份認證回送給工作站,所以這種AP身份認證方式會讓工作站處於更加險惡的環境中。 • 在整體交換的過程中,可能會遭到中間人或攔截攻擊。

  14. 圖18-2 WEP交換身份認證

  15. WEP的另一種問題 - 初始向量的選用,嚴重地影響到資訊如何加密的問題。 • WEP利用封包的特定部分傳送初始向量,這樣也會提高竊聽者看到初始向量的機率。 • 一旦入侵者擷取了初始向量,就有可能可以擷取用來判斷加密金鑰的大量封包。 • 目前已經有了這種工具程式(詳見WEPCrack,網址是http://sourceforge.net/projects/wepcrack/)。

  16. 機密性 • RC4是機密性採用的機制。 • RC4是一種非常知名、牢靠的演算法,因而不太容易遭到攻擊。 • WEP依據RC4的功能性,定義出提供金鑰管理和其他支援服務的系統。 • RC4提供將資訊轉換成密文所需的虛擬隨機金鑰串流。 • 此一機制可以用來保護所有的協定標頭資訊,以及802.11x協定層以上的資料(也就是第2層以上的資料)。

  17. WEP支援40位元和128位元的金鑰(實際的金鑰和演算法的初始向量相結合)。WEP支援40位元和128位元的金鑰(實際的金鑰和演算法的初始向量相結合)。 • WEP並未指定金鑰管理機制,也就是說使用靜態金鑰來安裝WEP。 • 在現實的環境中,網路上所有的工作站通常都是使用相同的金鑰。 某些供應商已經採用了階段性變更WEP金鑰的標準機制。不過,這些都是標準以外的機制。

  18. WEP的另一種問題 - 初始向量的選用,嚴重地影響到資訊如何加密的問題。 • WEP利用封包的特定部分傳送初始向量,這樣也會提高竊聽者看到初始向量的機率。 • 一旦入侵者擷取了初始向量,就有可能可以擷取用來判斷加密金鑰的大量封包。 • 目前已經有了這種工具程式(詳見WEPCrack,網址是http://sourceforge.net/projects/wepcrack/)。

  19. 在分析了RC4演算法之後雖然沒有找到弱點,但是WEP建置的RC4之中,卻含有缺陷且容易遭到侵害。在分析了RC4演算法之後雖然沒有找到弱點,但是WEP建置的RC4之中,卻含有缺陷且容易遭到侵害。

  20. 完整性 • WEP協定規格包括每一個封包的完整性檢查。 • 完整性檢查是採用32位元循環冗餘檢查(cyclic redundancy check,CRC)。 • 在每一個封包加密之前會先使用CRC計算過,接著再將資料和加密過的CRC相加並傳送給目標。 • 雖然CRC並不是安全密碼(詳見第12章安全雜湊功能),但仍然受到加密的保護。 • 如果加密系統相當牢靠,或許也不至於造成嚴重的問題。

  21. 受限於WEP可能導致封包完整性遭到侵害的缺陷,也可顯現出CRC對於整體系統安全設計的重要性。受限於WEP可能導致封包完整性遭到侵害的缺陷,也可顯現出CRC對於整體系統安全設計的重要性。 • 只要WEP適當地採用牢靠的加密系統,就不會產生封包完整性的問題(甚至單純使用CRC檢查),也可以做為保護資訊避免遭受未經授權竄改的機密性服務。

  22. 18-1-3 身份認證 • 身份認證是保護WLAN安全性的重要部分。選擇性地開放WLAN使用者,非常適用於管理WLAN本身的風險。 • 服務辨識器 • MAC位址 • WEP • 802.1X連接埠型的網路存取控制

  23. 服務辨識器 • 服務辨識器(Service Set Identifier,DDID)是一種做為網路名稱的32位元組字串。 • 工作站和AP都必須擁有相同的SSID才能順利地連結。 • 如果工作站沒有適當的SSID,也就無法順利地連結網路。 • SSID是透過許多AP進行廣播。 • 任何監聽中的工作站皆可取得SSID,並嘗試和網路連結。 雖然某些AP可以設定成不要廣播SSID。然而,如果這種組態結合了不適當的傳輸安全,利用流量監聽也可以判斷出SSID。

  24. MAC位址 • 某些AP允許工作站使用MAC位址做為身份認證(不同的供應商會有不同的規格)。 • 在這種組態類型之中,AP設定成只能和認可的MAC位址進行通訊。 • AP認可的MAC位址,是透過管理員將認可的MAC位址加入到設備的清單之中。 • 工作站必須傳送完整的MAC才能連結網路。

  25. 如果入侵者監聽流量並取得已經授權的MAC位址,並使用這些MAC位址設定自己的系統,那麼入侵者也可以和AP進行通訊。

  26. WEP • 就像先前曾經提過的,WEP是一種用來提供身份認證的服務。 • 這種服務只能提供AP認證工作站的身份。它並不提供相互認證的機制,所以工作站也無法證明AP的真實身份。 • 使用WEP並無法防範中間人攻擊或攔截攻擊(詳見圖18-3)。

  27. 802.1X連接埠型的網路存取控制 • 802.1x協定含有乙太網路和WLAN這兩種存取控制協定。 • 當WLAN研發人員找尋WEP問題的解決方案時,802.1x協定就成了最佳的解決方案。 • 這個協定主要是提供一般性的網路存取身份認證機制,且可廣泛地提供下列各種身份認證方式: • 認證端(Authenticator): • 這是一種用來找尋其他認證實體的網路設備。在WLAN的案例中,可利用AP來擔任這項工作。

  28. 需求端(Supplicant): • 這是用來找尋存取的實體。在WLAN的案例中,工作站就是扮演這種角色。 • 認證伺服器: • 認證服務的來源。802.1x允許中控化管理功能,所以也可能是RADIUS伺服器扮演這種角色。 • 網路存取點: • 工作站連結到網路的連接點。在實體環境中,是由交換式集線器或共享式集線器的連接埠扮演這個角色。在無線網路的環境中,是由工作站和AP共同扮演這個角色。

  29. 連接埠存取實體(Port access entity,PAE): • PAE是一種執行認證協定的流程。認證端和需求端都具有PAE流程。 • 可延伸認證協定(Extensible Authentication Protocol,EAP): • EAP協定(RFC 2284定義)是一種實際用來交換認證的協定。透過EAP也可以使用其他較高階的認證協定。

  30. 802.1x提供比802.11x任何選項更為牢靠的認證機制。如果能夠結合RADIUS伺服器,也有可能達成中控化使用者管理的目標。802.1x提供比802.11x任何選項更為牢靠的認證機制。如果能夠結合RADIUS伺服器,也有可能達成中控化使用者管理的目標。 • 相互認證是屬於802.1x的選項,但是許多系統都將這個選項設定成預設值,因此也就容易遭到攔截攻擊。 只有工作站和AP緊密地結合,802.1x才能夠正常地運作。也就是說,在認證發生之前,工作站也許已經連線到無線網路。

  31. 802.1x也同樣是屬於一次性認證(開始進行交談時)。802.1x也同樣是屬於一次性認證(開始進行交談時)。 • 如果攻擊者可以取得合法工作站的MAC位址,攻擊者也就可以攔截交談並扮演著WLAN合法使用者的角色。

  32. 圖18-3 針對WEP的中間人攻擊

  33. 18-2 認識無線網路的安全問題 • 以組織普遍架設的WLAN來說,認識這些網路架構的安全風險是非常重要的環節。 • 風險的範圍從竊聽到內部攻擊都有,甚至也可能攻擊外部辦事處。 • 本節的內容如下: • 18-2-1 偵測WLAN • 18-2-2 竊聽 • 18-2-3 發起攻擊 • 18-2-4 可能的法律問題

  34. 18-2-1 偵測WLAN • 偵測WLAN非常容易,目前也已經出現許多這種類型的工具程式。 • NetStumbler(網址:http://www.netstumbler.com/)是一種在Windows系統執行的工具程式,且可使用全球定位系統(Global Positioning System,GPS)接收器測探WLAN。 • 這個工具程式可以辨識WLAN使用的SSID,甚至也可以辨識WEP。

  35. Kismet(網址:http://www.kismetwireless.net/)是另外一種工具程式,也同樣可以辨識和AP交談中的工作站,以及這些設備的MAC位址。 • 具有外部天線的可攜式電腦,也可用來找尋鄰近地區或都會區的無線網路,並認證是否可以存取WLAN。 • 帶著可攜式電腦繞著建築物轉一圈,也同樣是偵測WLAN的好方法。

  36. 或許可能不需要使用外部天線,不過外部天線取可以提高這些工具程式的偵測範圍。

  37. 18-2-2 竊聽 • 或許大多數無線網路最明顯的安全風險,就是入侵者具有取得組織內部網路存取的能力。 • 建築物停車場的某些車輛,也有可能連接組織的WLAN(詳見圖18-4)。 • 如果無線網路是架接在組織的內部網路上,也就允許某種距離範圍的電腦實際連接組織內部網路。

  38. 圖18-4 竊聽WLAN

  39. 使用WEP的組織,也會發生這種竊聽攻擊類型的弱點。使用WEP的組織,也會發生這種竊聽攻擊類型的弱點。 • 在非常繁忙的網路上,只需要一點點時間即可擷取所需的封包數量,並判斷出加密金鑰。 • 即使組織在允許存取機密檔案和系統之前,使用可靠的認證機制,入侵者或許只要利用被動式監聽網路的方式,也可能獲取機密資訊。 • 組織無法察覺被動式竊聽攻擊。

  40. 18-2-3 發起攻擊 • 當竊聽成為嚴重的問題時,也許就會發生更加危險的攻擊行為。 • 和WLAN結合的主要風險: • 入侵者成功地滲透組織的網路安全碉堡。 • 雖然大多數組織架設安全防護(防火牆、入侵偵測系統等)的碉堡,而且也有難以入侵的堡壘。但是仍然會有無法防範入侵的處所(最脆弱的地方)。 • 經常修補的內部系統,就是『受到保護』的核心所在。

  41. 大多數組織在允許存取檔案和伺服器之前,都會使用某種類型的認證機制。大多數組織在允許存取檔案和伺服器之前,都會使用某種類型的認證機制。 • 如果沒有修補系統時,入侵者可能會發現可以善加利用的弱點。 • 攻擊組織的內部系統,並不是唯一讓組織受到傷害的方式。

  42. 即使不是直接攻擊組織的內部,入侵者照樣可以利用連線攻擊其他組織(詳見圖18-5)。因而組織就成了攻擊他人電腦系統的流量來源。即使不是直接攻擊組織的內部,入侵者照樣可以利用連線攻擊其他組織(詳見圖18-5)。因而組織就成了攻擊他人電腦系統的流量來源。 • 如果可以偵測到入侵者,這個問題就會變成『入侵者從哪裡闖入』?或許可以追查到入侵者的IP位址來源,但是這個IP位址也可能不是的真正源頭。 • 入侵者可能會在無線網路系統範圍之內的任何地點。

  43. 圖18-5 利用WLAN存取並攻擊外部站台

  44. 從攻擊內部網路來說,入侵者已經繞過了許多組織的安全機制,而且這些機制都是用來追蹤入侵者行為的安全機制。從攻擊內部網路來說,入侵者已經繞過了許多組織的安全機制,而且這些機制都是用來追蹤入侵者行為的安全機制。 先不要假設入侵者只會攻擊弱點。如果入侵者竊聽網路,也有可能擷取使用者的帳號和密碼。

  45. 18-2-4 可能的法律問題 • 如果入侵者獲取組織內部網路的存取權,隨之而來的法律問題變成了組織必須面對的另一種風險。 • 會發生組織該如何採取保護極機密資訊的流程問題。 • 如果入侵者利用組織的WLAN成功地攻擊其他組織。WLAN的擁有人是否應該負責所有的損害?

  46. 18-3 架設安全無虞的無線網路 • 在架設WLAN之前,應該要完整地評估每一個項目的風險。 • 組織應該深入調查可能導入的風險,除此之外也應該認證目前的所有防範措施。 • 如果組織選擇架設無線網路,也應該要建置可以降低組織風險的安全措施,下列內容都是可以用來協助處理風險的安全措施。

  47. 本節的內容如下: • 18-3-1 存取點安全 • 18-3-2 傳輸安全 • 18-3-3 工作站安全 • 18-3-4 站台安全

  48. 18-3-1 存取點安全 • 設定安全的AP,是非常重要的起點。 • AP應該要允許設定WEP金鑰,而且也應該要確定不容易猜到金鑰。 • 雖然都無法防範金鑰遭到破解,但是相對的也會提高困難度。 • 如果可能的話,應該要限制允許工作站連線的MAC位址。 • 這種作法雖然會增加整個管理專案的工作量,不過卻可以協助限制某些AP的偵測。

  49. 盡可能認證AP不會廣播SSID。 • 目前市場上大多數的AP,都已經提供管理介面。 • 這些管理介面可能是Web介面或SNMP介面。 • 如果可能的話,最好使用HTTPS管理AP,並使用牢靠的密碼來防範入侵者。 • 最後必須思考的項目就是架設AP的地點。 • 無線網路的信號涵蓋範圍非常廣闊。

  50. 這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。這些距離可能會包含建築物的其他樓層、停車場,或是外部的人行步道。 • 盡可能試著將AP的架設地點,並將涵蓋範圍限制在組織的設施內。 雖然可能無法完全地限制信號的涵蓋範圍,不過也要盡可能地嘗試,且不要讓信號涵蓋範圍擴散到不容易掌控的區域。如果可以防範不能從某些步行區域或人行道上,使用無線網路卡存取組織的WLAN時,那麼 - 放手去做就對了!

More Related