企业内远距多点无线区域网路安全之架构设计解析课件.ppt

1、企業內遠距多點無線區域網路安全之架構設計國立中央大學資訊管理研究所 碩士論文研究生:許乾豪指導教授:陳奕明博士民國92年6月21日Outline 前言 無線網路的概況 研究目的 概述無線網路現有的安全機制 常見之企業無線網路架構 安全機制的選擇評量表 未來方向前言 儘管本篇的研究結果之一是其設計的網路架構與決策演算法,但是我對此一來沒興趣二來也不勝認同,因此沒有在這兩方面多作介紹,本投影片主軸會放在無線網路安全機制的介紹上無線網路的概況 具機動性,便利性,安裝快速,覆蓋範圍廣,價格亦降至可接受範圍.據NOP世界科技研究機構針對美國使用無線網路之企業調查,採用無線網路可提升企業生產力達22%.安

2、全性仍然堪慮 無線電波於空氣中傳播,易被攔截/竊聽/盜用,目前尚未有足夠之安全機制,且各家推行之機制並未統一,使網路管理者無所適從.各家之安全機制往往未考量企業之遠距多點的配置需求.儘管有利,但是由於安全上考量,許多企業遲遲不敢運用無線網路於企業中.研究目的 分析各種無線網路安全機制 探討在遠距多點的網路架構下,所應考慮使用的安全機制 設計一套評量安全機制選擇之演算法企業網路類型 單一據點企業網路 同一建築物,Local LAN 短距多點企業網路 企業大樓分佈於特定範圍,子母公司使用專線連結 遠距多點企業網路 大樓距離遠(如跨國),使用ATM,Frame Relay,VPN等方式彼此連結引入無

3、線網路之考量 產品數量多,各家有各家的產品特性,但相容性往往不佳.尚未有標準化之足夠強固之安全機制 需要有中央控管之認證機制 維持各端點一致的安全性 降低建置成本 效能 降低對使用者之使用差異性現有之安全機制 Hardware Based SSID MAC WEP VLAN Firewall Software Based 802.1x SSL Hybrid PPPOE VPN SSID(Service Set Identifier)802.11定義的識別方式,分為Open system authentication跟Close system authentication.前者AP會主動回應自身

4、之SSID給使用者,可以視為完全開放 後者AP不會主動通知自身之SSID,使用者必須要知道AP端的SSID才能與AP連線 SSID的傳送並未經過加密,會因為封包竊聽而洩漏,因此幾乎不具安全效果.限定MAC位址(Medium Access Control)透過在AP上指定可連線之mac位址,以限定特定的網卡裝置才可與AP通訊.同樣會因為竊聽而外流,入侵者可以發送偽裝封包來向AP連線.WEP(Wired Equivalent Privacy)定義於802.11,負責加密通訊資料.為對稱加密系統,以RC4演算法為核心 透過一24位元初始向量加上40-104位元之WEP Key產生秘鑰,只要變動初始向

5、量就可以改變祕鑰.由於使用靜態之WEP key,長度只有24位元,且沒有訂定完善之金鑰管理機制,初始向量在網路傳輸時沒有加密,因此很容易被分析法破解.網路上已經有流傳可在五小時內解開WEP Key之工具.VLAN(Visual Local Area Network)將同一交換器上的流量分割為數個不同網段,以達到隔離的效果.跨VLAN交通必須經由Router轉送.但本身不具加密能力.可透過某些廠牌AP,將指定SSID之流量分送到不同之VLAN.Firewall 由於無線網路很容易被存取,因此應該被視為不安全的區域,透過強固的防火牆規則加以過濾.802.1x 為IEEE2001年6月通過之標準,為

6、Port-Base Network Access Control,利用802.11存取特性,提供點對點連網之認證與授權方法,以防止未經授權者侵入.認證流程:一開始AP只容許認證封包通過,使用者(Supplicant)發送連線要求給AP(Authenticator),AP轉送要求到Authentication Server,Server回應認證要求給使用者,使用者送出驗證訊息,Server驗證通過,AP與使用者建立連結並開始使用網路.續802.1x 只允許經過驗證之使用者連上網路,安全性提高許多 在未使用交互認證的情況下,有可能遭受中間人攻擊(Man in the Middle Attack).

7、SSL(Secure Socket Layer)這裡指的是透過加密的網頁介面所作的認證.用意是提供一友善的使用者介面.有遭受偽裝的可能性 PPPOE(Point to Point Protocol over Ethernet)有線網路常用之身分驗證機制,採用PPP建立連線通道.可選擇加密方式 在無線網路上容易遭受偽裝之PADT封包終止連線,成為DoS攻擊漏洞.VPN(Visual Private Network)使用IPsec,PPTP,L2PT等加密通道以確保完整性與私密性.使用者與VPN閘道器互相驗證並建立加密通道.安全性與彈性比WEP更加良好 加密運算需要的處理能力較高部署位置示例部署考

8、量重點Jingsha He 在1997 IEEE 期刊所發表之Performance and Manageability Design in an Enterprise Network Security System專文中提出在設計一個安全的企業網必需當使用者自LAN 或WAN 存取網資源時，能保護網上所有的成員，同時必須滿足以下七項安全需求構面：網認證(Network authentication)使用者憑證控制(User credentials control)存取授權(Access authorization)資保密及完整性(Data confidentiality and integr

9、ity)稽核(Auditing)效能(Performance)管性(Manageability)。2000IEEE 期刊Security Architecture for Wireless for Wireless LANs:Corporate&Public Environment一般性的要求管理性(Manageability),降低負擔完成性(Implementation),容易部署效能(Performance),不拖累效能針對企業網路的安全考量封閉式系統,使用者與設備須可信賴認證,進入無線網路區域者須認證才可存取存取控制,使用者使用之資源須被管控延展性,存取開放資源時不須降低安全等級私密性

10、,第三者無法擷取/解譯資料可調整之安全等級,可依使用者需求調整常見的攻擊方式 首先是探查足夠的目標資訊探查足夠的目標資訊,透過掃描擷取無線電波取得SSID,MAC,AP等訊息,之後擬定攻擊計畫.Sniffing,乃是透過ARP Spoofing欺騙交換器將想監聽位址的封包送過來,是一種主動式的竊聽,可透過高等級的加密措施避免.DoS(Denial of Service),或稱阻絕服務攻擊.此攻擊並非要竊取或修改,而是單純的擾亂並阻擋正常的服務,可從三個層面下手,此種攻擊是難以預防的.Physical層:使用EMI電磁干擾來造成使用者/AP無法正常收送訊號 Data-Link層:利用使用者會優先

11、連結訊號較強之AP的特性,在要蓋台之AP旁邊架設一訊號強大的偽AP以導向使用者到錯誤的AP.Network層:發送大量假造之合法封包直接癱瘓AP Session Hijacking,攻擊者經由竊聽解開了連線加密後,使用阻斷服務工具阻止原使用者的訊息發送,並且把自己偽裝成原使用者繼續向AP通訊.此時攻擊者即擁有該使用者之權限.可使用強大之加密通道如VPN避免.Man in the Middle,攻擊者位於使用者與AP之間,對使用者冒充AP端,同時對AP端冒充使用者.使合法使用者與AP在不知情的狀況下繼續通訊,攻擊者可以在通訊中安插資料/修改/竊聽.可以使用雙向驗證避免.偽裝偽裝AP,攻擊者建立一

12、假AP,使用與合法AP相同之SSID,當不知情之使用者連結上了,即使用一般電腦常見的漏洞進行攻擊並植下木馬以伺機攻入企業網路.可以使用雙向認證避免使用者登入假AP.常見之企業無線網路規劃 將無線區域網路直接部署於企業網路內 此模式無線網路直接連結於企業內部網路 以防火牆區隔公司無線網路區段與外部公司網段 此模式使用防火牆區隔無線網域/公司網路/分公司網路 以防火牆區隔無線網路網段 此模式透過專線將各公司無線網段連結在一起評量表企業安全機制之決策演算法個人意見 絕對安全的演算法/網路架構/政策?沒有打不破的盾 最脆弱的還是人 應該要根據環境,你所要保護的事物的價值,以及預算來作安全策略,不是套用某些公式與架構 尤其是你無法驗證他的時候.額外的安全問題 Ad-Hoc mode 控制無線訊號範圍 使用者的安全控管 WPA從2003年4月開始,目的是取代漏洞百出的WEP,秘鑰改為由802.1x之伺服器管理並散佈到各客戶端.使用128位元之key與48位元之初始向量,支援TKIP(可變動臨時秘鑰).使用Michael 取代了CRC矯驗碼.WPA2為Wi-Fi聯盟驗證通過之802.11i標準形式,Michael 由更強大之CCMP取代,核心的RC4演算法也被AES取代.於2005/5/1推出The End