WLAN的安全认证和加密
无加密认证
无加密认证主要采用设置SSID和采用MAC地址过滤两种方式来实现。SSID就是构建的一个无线局域网的名称标识。一个无线客户端到连接一个无线局域网必须要获得该无线局域网的SSID。
无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,无线工作站通过扫描功能可以查看当前区域内的SSID。出于安全考虑可以禁用SSID广播,此时用户就要手工设置SSID才能进入相应的网络。
注意:同意生产商推出的无线路由器或AP都是用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,从而给无线网络带来威胁。因此,建议最好能够将SSID命名为一些较有个性的名字。同时禁用SSID广播,这样构建的无线网络不会出现在其他人所搜索的可用网络列表中。
MAC地址过滤
MAC地址(Medium/ Media Access Contorl ,介质访问控制)是固化在网卡里的物理地址。MAC地址是由48位二进制数构成。MAC地址通常是由网卡生产厂家烧入网卡的EPEOM,它存储的是传输数据时真正赖以标志发出数据的计算机和接收数据的主机地址。在网络底层的物理传输过程中,是通过物理地址来世界主机的,它一般也是全球唯一的。
无线AP可以通过工作站的MAC地址来对特定的工作站进行地址过滤管理,从而可以表示是允许还是拒绝工作站来访问AP。
启用过滤之后,需要将客户无线网卡的MAC地址在无线路由器中进行注册。
相关的安全认证协议
安全认证的作用是实现网络中的身份认证,通过设置相关的安全认证协议和密钥来实现对无线接入的安全管理。通常用户在访问某个无线网络时,弹出的认证窗口要求用户端输入相关的密码,这就是安全认证的过程。
很多人都设置过路由器,特别是在设置wifi密码的时候会选择一个“加密方式”
很多人都会选择“WPA/WPA2”这一项,为什么了?不知道。
如果无线网络这是为免费访问,则可以不需要设置认证选项。常见的无线认证协议有WEP、WPA-PSK/WAP2-PSK等
WEP
WEP(Wired Equivalent Privacy)即有限等效加密技术。它是IEEEE 802.11b标准中定义的最基本的加密技术,多用于小型的、对安全性要求不高的场合。WEP协议是对在两台设备间无线传输的数据进行加密的协议,用以防止非法用户窃听或侵入无线网络。
早期的无线网络中,均没有验证的说法,为此,仅可以使用WEP加密方式来实现验证。WEP加密方式提供给用户4个密钥,Key1,Key2,Key3,Key4,用户可以选择设置4个密钥,并设置一个激活密钥,当无线设备需要连该网络时,需要选择激活的密钥,并输入正确的密码方可以连接成功。
WEP的算法长度分别为64位和128位方式。64位Key只能支持5位或13位数字或英文字符,128位Key只能支持10位或26位数字或英文字符。一般在配置时,均会给出四种选择方式。用户可以根据实际网络验证需求来选择验证方式。
WEP验证方分为开放式系统验证和共享密钥验证两种模式,开放式系统验证的AP,随便输入一个密码,都可以连接,但如果密码不正确,会显示为“受限制”。共享密钥采用WEP加密的质询进行响应,如果工作站的提供的密钥是错误的,则立即拒绝请求。如果工作站有正确的WEP密码,就可以解密该质询,并允许其接入。由于安全性较差,当前WEP验证方式基本上已经淘汰。
WPA-PSK/WAP2-PSK
WPA/WPA2是无线联盟指定的一种等级更高的数据保护和访问控制标准,用于升级现存的或将来的无线局域网系统。WPA(Wi-Fi ProtectedAccess)是一种保护局无线网络安全的协议,WPA由IEEE802.11i标准定义,它是替代WEP的过渡方案。WPA2 是经由Wi-Fi联盟验证过的IEEE 802.11i标准的认证形式。它采用RADIUS和Pre-Shared Key(预共享密钥)两种验证方式。
RADIUS方式中用户提供认证所需的凭证,如果用户名和密码,通过特定的用户服务器(一般是RADIUS服务器)来实现,适用于大型企业网络。PSK方式仅要求在每个WLAN节点(AP,无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合,客户就可以获得WLAN访问权。它是设计给家庭和小型公司网络用的验证协议。
WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。当前流星的认证方式包括WPA-PSK,WPA2-PSK,WPA/WPA2混合模式-PSK三种方式。
加密协议
加密协议用户实现对无线信息的加密保护。如果对无线信号不进行加密,则可能导致信号被非法截取之后被破解,为此在无线网络中出现了加密算法和相关的协议。
TKLP和AES是目前在无线网络上广泛使用的加密协议。它们主要在WPA/WPA2协议模式下工作,WAP-PSK/WPA2-PSK 均可使用AES和TKLP实现加密。
TKLP加密算法
TKLP(Temporal Key Integrity Protocol)即暂时密钥集成协议,它与WEP一样基于R4加密算法,TKLP中密码使用的密钥长度为128位。TKLP在现有的WEP加密引擎中追加了“密钥细分(每发一个包重新生成一个新的密钥)“、”消息完整性检查(MI)“、”具有序列功能的初始向量(IV)“、”密钥生成和定期更新功能“等4种算法,从而提高了加密安全强度。
WPA采用TKLP传输的每一个数据包都具有独有的48位序列号,由于48位序列号重复率低。因此很难实施重放攻击。TKLP是比WEP更安全的加密方法,但是比较慢。要设置TKLP协议,无线客户端需要支持TKLP,另外必须设置WPA-PSK密钥(预共享密钥)。
当TKLP用作加密方法时,必须输入WPA-PSK预共享密钥,可以指定8~63个字母数字字符或64位十六进制数字来做密钥。
AES加密算法
AES(Advanced Encryption Standard),级高级加密标准,是没过国家标准与技术研究所用于加密电子数据的规范,该算法汇聚了设计简单、密钥安装快、需要的内存空间少、在所有的平台上运行良好、支持并行处理并且可以抵抗所有已知攻击等优点。
AES是一个迭代的、对称密钥分组的密码,它可以使用128,、192和256位密钥,并且用128位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构,在该循环中重复置换(Permutations)和替换(Substitutes)输入数据。
AES提供了比TKLP更加高级的加密技术,现在无线路由器都提供了这2种算法、TKLP安全性不如AES,而且使用TKLP算法时路由器的吞吐量下降。
当AES用作加密方法时,必须输入WPA-PSK预共享密钥。可以指定8~63个字母数字字符或64位十六进制数字来做密钥。
IEEE 802.11x
IEEE 802.11x是一种C/S模式(客户机和服务器结构)下基于端口的访问控制和认证协议。C/S中间通过AP来代理所有的信息,对于无线客户端来说Radius服务器是透明的,客户的信息一般被保存在数据库中。IEEE 802.11x限制未被授权的设备对LAN的访问。在对网络建立连接前,认证服务器会对每一个想要进行连接的客户端进行审核。IEEE 802.11x本身并不提供实际的认证机制,需要和上层认证协议(如EAP协议)配合来实现用户认证和密钥分发。
使用IEEE 802.11x协议,可以在无线工作站与AP建立连接之前,对用户身份的合法性进行认证。当无线终端向AP发起连接请求时,AP会要求用户输入用户名和密码,再把这个用户名和密码送到验证服务器上做验证,如果验证通过才允许用户享用网络资源。这样可以大大提高整个网络的安全性。