這是有關(guān)無線話題的最后一篇文章。[Just to remind you, the first article introduced the reader to the Wireless world and discussed Wireless devices and protocols. The second article went
deeper into Wireless networks, provided general info on WLAN and discussed IEEE standards for them.]本篇將介紹WLAN安全，說明一些最常見的攻擊技術(shù)并介紹一些有用的工具。

概論

先簡(jiǎn)單介紹無線網(wǎng)絡(luò)的撲拓。無線網(wǎng)絡(luò)有兩個(gè)主要的組成部件：基站和網(wǎng)絡(luò)橋接器[stations(STA)and access points(AP)].存在有[ad-hoc(peer-to-peer)and infrastructure mode]兩種無線網(wǎng)絡(luò)操作模式.在[the ad-hoc mode]模式下客戶端(STA)與客戶端之間可以在網(wǎng)絡(luò)內(nèi)直接通信，無需透過Access Point。在[the infrastructure mode]模式下客戶端發(fā)送通信請(qǐng)求給總站，即[Access Point (AP)],它的作用就好比網(wǎng)橋.該模式是種整合了有線與無線局域網(wǎng)絡(luò)架構(gòu)的應(yīng)用模式。

一臺(tái)裝有無線網(wǎng)卡的客戶端與網(wǎng)絡(luò)橋接器(ap)間在傳遞數(shù)據(jù)前必須建立關(guān)系。一旦建立了關(guān)系，它們將是以下三種狀態(tài)中的一種：

1.未授權(quán)和無關(guān)聯(lián)。
2.授權(quán)但無關(guān)聯(lián)。
3.授權(quán)并關(guān)聯(lián)。

只有在第三種狀態(tài)下信息交換才成為可能。屆時(shí)網(wǎng)絡(luò)橋接器(ap)以特定的頻率發(fā)送標(biāo)志管理幀?？蛻舳耸盏胶螅ㄟ^發(fā)送授權(quán)幀建立授權(quán)。授權(quán)成功后客戶端又發(fā)送關(guān)聯(lián)幀，最后網(wǎng)絡(luò)橋接器(ap)回應(yīng)關(guān)聯(lián)。

無線網(wǎng)絡(luò)安全機(jī)制

802.1標(biāo)準(zhǔn)為建立無線網(wǎng)絡(luò)安全環(huán)境提供了一些機(jī)制。本段將為您介紹五種應(yīng)用廣泛的機(jī)制。

#連接對(duì)等協(xié)議[Wired Equivalent Protocol]

連接對(duì)等協(xié)議或WEP，首先被802.1標(biāo)準(zhǔn)的作者設(shè)計(jì)。那時(shí)WEP并不象IPSec協(xié)議一樣用于提供網(wǎng)絡(luò)安全，而是用于提供對(duì)等的保密級(jí)別。WEP的目標(biāo)是通過加密無線電波來提供安全保證。WEP被用來阻止對(duì)無線網(wǎng)絡(luò)的非法存取。在外傳數(shù)據(jù)已加密并打包的情況下WEP被缺省停用。

連接對(duì)等協(xié)議依賴共享于基本設(shè)置服務(wù)(Basic Set Service)上的密鑰.該密鑰在傳輸前加密數(shù)據(jù)包，并且在它上面進(jìn)行一次完整性檢查。WEP使用的是一種流碼名叫RC4算法。流碼是將短鑰擴(kuò)充為無窮隨機(jī)碼的系統(tǒng)。

WEP加密算法

*盡管完整性算法提供了完整性檢查值，比如我們所知的ICV,但純文本消息仍在使用。802.11標(biāo)準(zhǔn)規(guī)定了CRC-32的使用。
*在純文本消息的最后附加了完整性檢查值。
*24位的初始化向量(IV)產(chǎn)生其后連接著密鑰。WEP的偽隨機(jī)數(shù)生成器[pseudo-random number generator(PRNG)]用它產(chǎn)生種子值。
*PRNG產(chǎn)生密鑰序列。
*數(shù)據(jù)通過與密鑰序列異或完成加密。
*暴露的IV被附加到保護(hù)幀(連同加密文本)并發(fā)送。

通過上面的條目，算法與解譯過程可以被很容易地猜測(cè)。IV的作用是延長(zhǎng)密鑰的生存周期。

WEP使用的是RC4密鑰流，因此需要通過異或數(shù)據(jù)/ICV的聯(lián)合體和24位IV,共64位key來產(chǎn)生它，密鑰的長(zhǎng)度為40-bit.

#WEP 2

2001年在發(fā)現(xiàn)許多存在于最初WEP協(xié)議中的漏洞后，電子電氣工程師協(xié)會(huì)(IEEE)建議修改WEP協(xié)議。新版本的WEP2將IV的空間從24位增加到128位，并提供了Cerberus V的支持，但根本問題仍未被解決(這將在后面討論)。對(duì)全部WEP2的支持還有待于進(jìn)一步的完善。

#開放系統(tǒng)認(rèn)證[Open System Authentication]

每無線的網(wǎng)絡(luò)有2個(gè)認(rèn)證系統(tǒng).開放系統(tǒng)認(rèn)證是第一個(gè)并且是被802.11缺省的認(rèn)證協(xié)議。從名字我們就可看出，該系統(tǒng)接受任何認(rèn)證請(qǐng)求(比如空口令的root帳號(hào))。WEP的無益體現(xiàn)在試驗(yàn)證明認(rèn)證管理幀的暴露即使WEP已被啟動(dòng)。

#訪問控制列表[Access Control List]

在802.11標(biāo)準(zhǔn)中沒有定義這種安全特征，但賣主用它提供額外附加的安全機(jī)制。訪問控制列表基于客戶的無線網(wǎng)卡MAC地址(為每個(gè)NIC唯一確定)。網(wǎng)絡(luò)橋接器(ap)通過ACL限制某些客戶使用網(wǎng)絡(luò)。若用戶的MAC地址存在于ACL則訪問允許，否則，禁止。

#封閉的網(wǎng)絡(luò)存取控制[Closed Network Access Control]

這一特征使得管理員可以選擇使用開放式網(wǎng)絡(luò)或封閉式網(wǎng)絡(luò)。開放式網(wǎng)絡(luò)意味著任何人都被允許加入網(wǎng)絡(luò)，而在封閉式網(wǎng)絡(luò)，只有那些知道網(wǎng)絡(luò)名或SSID的顧客才能加入。網(wǎng)絡(luò)名就充當(dāng)一把公鑰。

無線網(wǎng)絡(luò)攻擊

你會(huì)發(fā)現(xiàn)本章節(jié)的內(nèi)容更吸引人。它將介紹一些普通的用于破壞無線網(wǎng)絡(luò)和盜竊帶寬的攻擊技術(shù)，確實(shí)很有趣。如果你附近有無線網(wǎng)絡(luò)或你居住的地區(qū)無線技術(shù)已被廣泛地使用，下面描述的任何攻擊技術(shù)將有98%的成功率。

目前被攻擊者盯上的無線網(wǎng)絡(luò)有95%是完全無防衛(wèi)的。當(dāng)前的標(biāo)準(zhǔn)(802.11b)允許的帶寬達(dá)11MBps。如果受攻擊的無線網(wǎng)絡(luò)使用缺省設(shè)置值,則在帶寬上將沒有限制,它意味著攻擊者能擁有完全的存取能力。在Neworder你有一個(gè)很令人信服的例子- http://neworder.box.sk/newsread.php@newsid=3899

#橋接器電子欺騙與MAC地址嗅探[Access Point Spoofing & MAC Sniffing]

嚴(yán)密的身份認(rèn)證手段使得存取控制列表列表[Access control list]提供合理的安全水平。但不幸地是MAC地址并未幸免。攻擊者可輕松地嗅到MAC地址因?yàn)樗鼈兛隙〞?huì)被暴露即使當(dāng)WEP被啟用時(shí)。另外，無線網(wǎng)卡允許通過軟件更換MAC地址。一個(gè)攻擊者能使用這些“特性”通過對(duì)網(wǎng)卡的編程偽裝成有效的MAC地址，進(jìn)入并享有網(wǎng)絡(luò)。

MAC地址的欺騙是很容易的。使用捕獲包軟件，攻擊者能獲得一個(gè)的有效的MAC地址包。如果無線網(wǎng)卡防火墻允許改變MAC地址，那一切皆會(huì)發(fā)生。

如果一個(gè)攻擊者有臺(tái)無線設(shè)備，并且他/她在無線網(wǎng)絡(luò)附近,他將能上演欺騙攻擊。欺騙攻擊中，攻擊者必須設(shè)置一個(gè)網(wǎng)絡(luò)橋接器(AP),這里我們叫它“強(qiáng)盜”。它處于目標(biāo)無線網(wǎng)絡(luò)附近或在一個(gè)可被犧牲品信認(rèn)的地點(diǎn)。

如果“強(qiáng)盜”的信號(hào)強(qiáng)于真實(shí)的網(wǎng)絡(luò)橋接器(AP)的信號(hào)，受害者的計(jì)算機(jī)將會(huì)聯(lián)接到攻擊者的(Ap)中。一旦犧牲品建立連接，攻擊者就能偷竊他的口令，享有它的權(quán)限，設(shè)置后門等等。這種攻擊主要用于獲取口令。

#WEP攻擊[WEP Attacks]

明文攻擊

第一種情況：攻擊者同時(shí)擁有明文本消息和其加密文本的拷貝。兩者之間失去的部分便是密鑰。為得到密鑰，攻擊者將發(fā)送一數(shù)據(jù)到目標(biāo)系統(tǒng),同時(shí)又試圖捕獲那被送到目標(biāo)系統(tǒng)的數(shù)據(jù)。一旦攻擊者捕獲到數(shù)據(jù),他便得到了IV?，F(xiàn)在，他就能簡(jiǎn)單地運(yùn)用字典攻擊破解密鑰。

另外在密文是通過明文與密鑰流簡(jiǎn)單XOR形成的情況下。如攻擊者擁有加密文本和明文,就能XOR已加密文本從而獲得密鑰流。攻擊者使用正確的IV和密鑰流，可在沒有被認(rèn)證的情況下進(jìn)入無線網(wǎng)絡(luò)。

密文的再利用[Cipher stream Reuse]

該問題允許攻擊者從一個(gè)WEP包(編碼的包)復(fù)原密鑰流。WEP的cipherment算法初始化向量時(shí)只聲明了小空間，通過溢出的方法發(fā)送各種各樣的IV包,攻擊者能捕獲密鑰流。之后,攻擊者XOR明文本消息來解譯密文(注意攻擊必須同時(shí)擁有密文本和明文本)。再以后，當(dāng)認(rèn)證數(shù)據(jù)在網(wǎng)絡(luò)中傳送時(shí),攻擊者能將它截取，并使用密鑰認(rèn)證數(shù)據(jù)的明文。

Fluhrer-Mantin-Shamir Research

Cisco系統(tǒng)的Scott Fluhrer，以色列Weizmann研究所計(jì)算機(jī)科學(xué)部的Itsik Mantin和Adi Shamir在一年前著手該項(xiàng)研究工程(2001年8月)。該項(xiàng)研究的目的在于解決RC4密鑰排列算法[Key Scheduling Algorithm (KSA)]的缺陷。

這個(gè)團(tuán)體發(fā)現(xiàn)了KSA的兩處缺陷。在他們研究論文中描述的攻擊技術(shù),既可以破解WEP(24位長(zhǎng))也可破解WEP2(128位長(zhǎng))的密碼。Adam Stubblefield或Rice大學(xué)、John Loannidis和AT&T實(shí)驗(yàn)室的Aviel Rubin也證實(shí)了這一攻擊技術(shù)。如此一來，2件新工具(air snort和WEPCrack)流傳開來。但他們的源編碼還未對(duì)外公布。

#Man-in-the-middle攻擊

大多此類攻擊都建立在毒害ARP或毒害緩存上?；旧?，ARP欺騙是利用IP與以太網(wǎng)協(xié)議間相互作用的一種方法。由于這篇文章不介紹ARP協(xié)議或ARP攻擊，所以我將簡(jiǎn)略描述其攻擊及其目的。

攻擊者利用一個(gè)與目標(biāo)網(wǎng)絡(luò)具有相同類型的個(gè)人虛擬網(wǎng)絡(luò)服務(wù)器結(jié)合access point,在用戶試圖連接上真實(shí)服務(wù)器時(shí)，偽裝的服務(wù)器響應(yīng)了它并將它連接向假冒的服務(wù)器。

考慮到這類的攻擊在該篇文章中很難解釋清楚，故向您推薦一些關(guān)于ARP的好文章在http://www.ebcvg.com/default.htm

#Low-Hanging Fruit

由于大多的無線網(wǎng)絡(luò)是完全無防衛(wèi)的(他們使用開系統(tǒng)認(rèn)證)，且在缺省的情況下WEP不起作用，因此許多的無線網(wǎng)絡(luò)攻擊者都以此方法作為開始。

一個(gè)攻擊者所需的只是一塊無線網(wǎng)卡和一臺(tái)掃描儀(在文章的最后將有所解釋)。攻擊者掃描那些允許任何人聯(lián)入的開放式的access point，通過它攻擊者們可得到免費(fèi)的互連網(wǎng)使用權(quán)限，并能發(fā)動(dòng)肉雞攻擊(攻擊第三方)等等。

無線網(wǎng)絡(luò)的安全

由于無線網(wǎng)絡(luò)使得雇員們?cè)谌魏蔚攸c(diǎn)都能方便連入WLAN,因此無線網(wǎng)絡(luò)在公司之間已經(jīng)變得十分流行。但就像其它新技術(shù)一樣無線網(wǎng)絡(luò)在安全方面的考慮是不夠周到的。這節(jié)將描述一些最普通的改進(jìn)無線網(wǎng)絡(luò)安全的方法。

#MAC地址過濾

這種方法將那些允許連入access point顧客的無線網(wǎng)卡的MAC地址列成一張表。如果存有多臺(tái)access point，則在所有的這些access point上列表都有效。管理人們應(yīng)該時(shí)刻注意列表是否被更改。盡管這種方法不是很牢靠(上面曾有談到)，但在過去它是種廣泛使用的無線網(wǎng)絡(luò)保安方法。

#WEP

正如上面曾說的，WEP為顧客和access point之間的通訊提供數(shù)據(jù)編碼的保護(hù)水平。值得一提的是WEP應(yīng)該被開啟，因?yàn)闆]有必要為攻擊行為大開方便之門。需再次提醒的是:WEP不是萬能的，甚至在有些類型的攻擊下它很脆弱。

#SSID(Network ID)

為加強(qiáng)無線網(wǎng)絡(luò)的安全，第一次的嘗試是使用網(wǎng)絡(luò)標(biāo)識(shí)符(SSID)。當(dāng)一位無線顧客想要與access point聯(lián)系時(shí)，SSID在這期間將被傳播。SSID是被固定編入access point和客戶端設(shè)備的一個(gè)7位字符。通過使用SSID,僅有那些持有正確網(wǎng)絡(luò)標(biāo)識(shí)符的顧客才被允許與access point連接。在WEP啟用后，SSID在傳播中被從新編碼,但如果攻擊者擁有與設(shè)備的物理連接，他/她將能獲取以明文保存的SSID。

一旦SSID被某攻擊者俘獲，無線網(wǎng)絡(luò)管理員人必須手工分配一個(gè)新的SSID。

#防火墻

使用防火墻來阻止對(duì)無線網(wǎng)絡(luò)的非法存取可能是唯一的可靠手段。正如下面所提及的，對(duì)網(wǎng)絡(luò)的存取需依靠IPSec，secure shell或VPN。這樣，防火墻應(yīng)該被配置成只允許指定的IPSec或secure shell通信。下面將解釋從有線訪問無線網(wǎng)絡(luò):

1.無線顧客端認(rèn)證并與無線access point關(guān)聯(lián)。為保證更好的安全,access point應(yīng)被配置成可過濾MAC地址。

2.access point送一個(gè)請(qǐng)求給DHCP服務(wù)器。然后服務(wù)器為顧客分配網(wǎng)絡(luò)地址。

3.一旦網(wǎng)絡(luò)地址被分配，無線顧客便已進(jìn)入無線網(wǎng)絡(luò)。為能存取有線網(wǎng)絡(luò)，它可建立一條IPSec VPN通道或使用secure shell.

為防火墻進(jìn)行安全配置十分重要，只有這樣所有的非法聯(lián)接才會(huì)被拒絕。

#網(wǎng)絡(luò)橋接器[Access Points]

Access Points應(yīng)該被配置成能過濾MAC地址,盡管MAC地址能被欺騙(看上面)。如果允許與它非法物理連接，管理員們應(yīng)確保AP被安置于一個(gè)安全的地方。

我們知道通過telnet或?yàn)g覽器或簡(jiǎn)單網(wǎng)管協(xié)議可配置AP。但這里推薦只通過telnet并禁止其他所有別的途徑。

#設(shè)計(jì)考慮[Design Considerations]

在實(shí)施任何加強(qiáng)無線網(wǎng)絡(luò)安全的措施前，適當(dāng)?shù)赜?jì)劃十分重要。適當(dāng)計(jì)劃能排除與無線網(wǎng)絡(luò)被聯(lián)系后可能存在的一些風(fēng)險(xiǎn)。

一些計(jì)劃的要點(diǎn)：

1.用VPN或訪問控制列表保護(hù)你的無線網(wǎng)絡(luò)。

2.即使WEP被啟用access point也不應(yīng)該與內(nèi)部的有線網(wǎng)絡(luò)相連。

3.無論怎樣access point都不應(yīng)放置在防火墻之后。

4.無線客戶應(yīng)該通過secure shell,IP-Sec或virtual private network建立與網(wǎng)絡(luò)的連接。這些方式提供了用戶授權(quán)，認(rèn)證和編碼等措施來加固你的網(wǎng)絡(luò)安全。

相關(guān)鏈接
-------

WEPCrack - http://www.ebcvg.com/download.php@id=1083
NetSumbler(windows) - http://www.ebcvg.com/download.php@id=1084
Airsnort - http://www.ebcvg.com/download.php@id=1085

Wireless Access Points and ARP Poisoning -
http://www.ebcvg.com/download.php@id=1158

Best Practices for Deploying Wireless LANs -
http://www.ebcvg.com/download.php@id=1160

Danny aka Dr.T (admin@ebcvg.com),
http://www.ebcvg.com/default.htm, July 2002