华为WLAN安全配置指南
WLAN安全介绍介绍WLAN安全的定义和目的。
定义
WLAN安全主要包括以下方面:
边界防御安全:802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。无线干扰检测系统WIDS(Wireless Intrusion Detection System)可以检测非法的用户或AP;无线干扰防御系统WIPS(Wireless Intrusion Prevention System)可以保护企业网络和用户不被无线网络上未经授权的设备访问。
用户接入安全:用户接入无线网络的合法性和安全性,包括:链路认证,用户接入认证和数据加密。
业务安全:保证用户的业务数据在传输过程中的安全性,避免合法用户的业务数据在传输过程中被非法捕获。
目的
WLAN技术具有安装便捷、使用灵活、经济节约、易于扩展等优点。但是WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改。因此,安全性成为阻碍WLAN技术发展的最重要因素。
为了保障无线用户的安全性,WLAN安全可以提供:
检查和防御非法用户入侵的机制—WIDS/WIPS。
针对无线用户的安全策略机制,包括链路认证,用户接入认证和数据加密。
基于用户业务的安全机制。
非法攻击检测
对于中小型WLAN网络,为了及时发现WLAN网络中受到的攻击,可以启动非法攻击检测功能,对泛洪攻击、弱向量和欺骗攻击等进行检测,及时发现网络的不安全因素,使能该功能后可以添加攻击者到动态黑名单中,并发送告警信息上报至AC,从而及时通知管理员。泛洪攻击检测图7-1泛洪攻击原理图
https://download.huawei.com/mdl/image/download?uuid=d39d6065efc24196a3ad33e13536b540
如图7-1所示,泛洪攻击是指当AP在短时间内接收了大量的同一源MAC地址的同种类型的管理报文或空数据帧报文时,AP的系统资源被攻击报文占用,无法处理合法STA的报文。泛洪攻击检测是指AP通过持续的监控每个STA的流量大小来预防泛洪攻击。当流量超出可容忍的上限时(例如1秒中接收到超过100个报文),该STA将被认为要在网络内泛洪,AP上报告警信息给AC。如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。在动态黑名单老化之前,AP丢弃该攻击设备的所有报文,防止对网络造成冲击。AP支持对下列报文进行泛洪攻击检测:
[*]认证请求帧Authentication Request
[*]去认证帧Deauthentication
[*]关联请求帧Association Request
[*]去关联帧Disassociation
[*]重关联请求帧Reassociation Request
[*]探测帧Probe Request
[*]Action帧
[*]EAPOL Start
[*]EAPOL-Logoff
弱向量检测图7-2弱向量攻击原理图
https://download.huawei.com/mdl/image/download?uuid=b1f613c473fe46798791525176772a20
如图7-2所示,弱向量是指当采用WEP加密方式时,对于每一个报文,在发送前都会使用一个3字节的初始向量(Initialization Vector)和固定的共享密钥一起来加密报文,使相同的共享密钥产生不同的加密效果。如果AP使用了弱IV(当AP检测到IV的第一个字节取值为3~15,第二个字节取值为255时,即为弱IV),由于在STA发送报文时IV作为报文头的一部分被明文发送,攻击者很容易暴力破解出共享密钥后访问网络资源。弱向量检测通过识别每个WEP报文的IV来预防这种攻击,当一个包含有弱向量的报文被检测到,AP向AC上报告警信息,便于用户使用其他的安全策略来避免STA使用弱向量加密。
欺骗攻击检测图7-3欺骗攻击原理图
https://download.huawei.com/mdl/image/download?uuid=f22560b1138445fb96081bd1fd02b807
如图7-3所示,欺骗攻击也称为中间人攻击,是指攻击者(恶意AP或恶意用户)冒充合法设备向STA发送欺骗攻击报文导致STA不能上线。欺骗攻击报文主要包括以下两种报文类型:广播型的去关联帧Disassociation和去认证帧Deauthentication。使能欺骗攻击检测功能后,当AP接收到上述两种报文,AP会检测报文的源地址是否为AP自身的MAC地址,如果是,则表示WLAN网络受到了解除认证报文或解除关联报文的欺骗攻击,AP会上报告警信息给AC。
防暴力破解密钥功能暴力破解法,又称为穷举法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短破解时间。当WLAN网络采用的安全策略为WPA/WPA2-PSK,WAPI-PSK,WEP-Share-Key时,攻击者即可利用暴力破解法来破解出密码。为了提高密码的安全性,可以通过防暴力破解密钥功能,延长用户破解密码的时间。AP通过检测WPA/WPA2-PSK,WAPI-PSK,WEP-Share-Key认证时在一定的时间内的密钥协商失败次数是否超过配置的阈值,来确定是否存在攻击。如果超过,则认为该用户在通过暴力破解法破解密码,AP上报告警信息给AC,如果同时使能了动态黑名单功能,则AP将该用户加入到动态黑名单列表中,丢弃该用户的所有报文,直至动态黑名单老化。
**** Hidden Message *****
多谢分享 多谢分享 多谢分享 优质内容!! {:6_267:}{:6_267:}{:6_267:}{:6_267:} 好好学习,天天向上! ddddddddddddddd 好好学习,天天向上!
好好学习,天天向上! 感谢分享!!! 感谢分享!!! {:6_267:} 谢谢分享 {:1_1:} :lol learn
页:
[1]
2