WLAN安全问题
SSID(service set identifier服务集标识符)
AP默认会自动广播自己的SSID,当客户与AP建立关联时,未加密SSID信息
所以SSID不是无线安全工具
常见攻击方式
1 WAR DRIVING(驾驶攻击) 使用带无线设备的电脑扫描无线网络,寻找无线中可攻击对象
2 伪装AP(ROGUE AP) 未经过认证,就安装在网络中的非法AP
802.11WEP(wired equivalent privacy有线对等保密协议)
基本的802.11安全,第一个真正意义上的无线安全功能特性
通常会利用IV(initialization vector初始化向量)和WEP一起联合使用,以增强安全性
WLAN安全解决方案的演变
1 802.11WEP 使用40位密钥 共享密钥 基于RC4加密算法(流式密码),最多支持128位加密
2 LEAP(lightweight extensible authentication protocol轻量级可扩展认证协议)后来更名位CISCO无线EAP  基于服务器认证方式,使用密码,一次性令牌,PKI(PUBLIC KEY INFRASTRUCTURE公共密钥基础设施)证书或机器ID    使用动态WEP密钥(会话密钥) CKIP(CISCO KEY INTEGRITY PROTOCOL  CISCO密钥完整性协议)周期性重新认证并每次协商一个新的WEP密钥  为无线客户端和RADIUS服务器提供互认证机制  使用CMIC(cisco消息完整性检查)来防止诱导性WEP攻击和重放攻击
3 WPA 通过PSK(预共享密钥)进行用户验证或进行802.1X基于服务器认证,WPA使用TKIP(暂时密钥完整性协议)或PPK(每报文密钥)和MIC(消息完整性)来防范中间人攻击(man in the middle attack)和重放攻击  使用48位的扩展IV空间 只需要升级固件和软件
4 IEEE802.11I/WAP2 使用AES(高级加密标准)进行加密 ,使用IDS(入侵检测系统)来识别并防范攻击 需要硬件升级
802.1X和EAP认证协议
IEEE802.1X标准被称为EAP(可扩展认证协议)
EAP主要功能:
1 RADIUS协议和服务器可用于AAA集中认证
2 客户端和认证服务器之间需要进行互认证,客户端软件参与认证进程
3 802.1X可以与多种加密算法联合使用 AES WPA-TKIP WEP
4 无用户干扰 802.1X使用动态WEP密钥
5 OTP(一次性密码)可用于加密明文密码
6 支持公共区域的漫游机制
7 集中式的策略控制和用户数据库的管理
802.1X认证的必需组件 1 具备EAP功能的客户端(请求方),2 具备802.1X功能的AP(认证方)3 以及具备EAP功能的RADIUS服务器(认证服务器)
常见认证服务器 cisco secure acs,microsoft ias,meetinghouse aegis
EAP认证协议
1.CISCO-LEAP
1 CISCO LEAP 用于WLAN的802.1X认证方式,它得到了WAP和WAP2的支持
2 能够和与CISCO或CISCO兼容的客户端实现快速,安全漫游
3 使用WINDOWS NT/2000活动目录以现有的用户名和密码实现真正的单点登入
4 支持多种操作系统 微软,苹果,LINUX和DOS
2.EAP-FAST
可扩展认证协议-通过安全隧道的灵活认证 标准协议
三个组成阶段 阶段0 提供PAC  阶段1 建立安全隧道  阶段2 客户端认证
3.EAP-TLS
可扩展认证协议-传送层安全  TLS传送层安全协议
需要RADIUS服务器
EAP-TLS使用PKI,需要满足3个需要
 客户端必须获得证书 AAA服务器需要一个证书 CA服务器必须为AAA服务器和客户端发放证书
4.PEAP
WPA.802.11I和WPA2
WPA重要特性、组件
1 认证的密钥管理
2 单播和广播密钥管理
3 使用TKIP和MIC
4 IV空间扩展
WPA主要缺点和存在的问题
1虽然使用WPA使用TKIP,但它依赖于RC4加密
2WPA需要AP固件支持,无线网卡的软件驱动支持以及操作系统支持。
3WPA容易遭到DOS攻击。
802.11I增加3个组件 802.1X认证   AES加密算法   密钥管理
WPA2主要特性
1使用802.1X进行认证 也支持PSK
2使用于WPA相似的密钥分发和密钥更新机制
3支持PKC 主动密钥缓存
4使用IDS 入侵检测系统
无线IDS主要功能
1检测 定位 消弱伪装AP
2检测和管理RF干扰
3检测侦测攻击
4检测管理帧和劫持攻击
5增强安全配置策略
6执行取证分析和符合性等辅助性功能
WPA和WPA2有 企业模式和个人模式,
同时支持PSK和802.1X认证方法的产品称为企业模式,802.1X认证这时候必须有AAA/RADIUS服务器
具体配置