访问控制攻击:这些攻击使用无线或者规避无线局域网访问控制方法,比如APMAC过滤器和802.1X端口访问控制,进而试图穿透网络。
AP-MAC过滤器:无线MAC地址过滤功能通过MAC地址允许或拒绝无线网络中的计算机访问广域网,有效控制无线网络内用户的上网权限。
如果您开启了无线网络的MAC地址过滤功能,并且过滤规则选择了“禁止列表中生效规则之外的MAC地址访问本无线网络”,而过滤列表中又没有任何生效的条目,那么任何主机都不可以访问本无线网络。
端口访问控制:当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。
802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
802.1x认证过程:整802.1x的认证过程可以描述如下:(1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS 服务器进行认证;(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功、失败报文到接入设备。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备获取规划的IP地址;(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;(12)RADIUS用户认证服务器回应计费开始请求报文。
用户上线完毕.驾驶攻击:驾驶攻击也称为接入点映射,这是一种在驾车围绕企业或住所邻里时扫描无线网络名称的活动。
要想进行驾驶攻击你就要具备一辆车、一台电脑(膝上型电脑)、一个工作在混杂模式下的无线以太网网卡,还有一个装在车顶部或车内的天线。
因为一个无线局域网可能仅局限于一栋办公楼的范围内,外部使用者就有可能会入侵网络,获得免费的企业内部网络连接,还可能获得公司的一些记录和其他一些资源。
用全方位天线和全球定位系统,驾驶攻击者就能够系统地将802.11b无线接入点映射地址映射。
有无线局域网地公司迫使增加保证只有有访问权利地用户才能接入网络地安全装置。
安全装置包括使用有线对等保密(WEP)加密标准、互联网加密协议或者Wi-Fi受保护地访问,再加上防火墙或非军事区的使用。
欺骗性接入点:在防火墙内部安装不安全的接入点,在受信任网络中创建开放后门。
假接入点(AP)构成了一个特别棘手的问题,因为在许多公共热点,你并不知道可靠的AP和登录网页应该的样子。
如果你被欺骗,连接到一个假的接入点,“恶魔双子星”会在最佳位置来发动对你的攻击。
一个假的接入点可以显示热点的登录页面,看起来像一个合法的登录页,以获得你的信用卡号码。
它可以截取虚拟个人网络(VPN)连接请求,并试图伪装成合法的VPN网管。
它甚至可以尝试模仿任何你可能尝试访问的SSL保护的网站。
在所有这些攻击中,假的接入点(和服务器)正视图利用你的疏忽来验证你在和谁通信——从热点AP和登录网站,到VPN网关和SSL服务器。
因此,你最好的防御措施就是坚持在你提供任何敏感信息(如密码,信用卡号码)前对服务器身份进行验证。
点对点连接:直接连接到不安全的站点,避开安全的接入点,进而攻击站点。
MAC欺骗:MAC地址欺骗目前很多网络都使用Hub进行连接的,众所周知,数据包经过Hub传输到其他网段时,Hub只是简单地把数据包复制到其他端口。
因此,对于利用Hub 组成的网络来说,没有安全而言,数据包很容易被用户拦截分析并实施网络攻击(MAC地址欺骗、IP地址欺骗及更高层面的信息骗取等)。
为了防止这种数据包的无限扩散,人们越来越倾向于运用交换机来构建网络,交换机具有MAC地址学习功能,能够通过VLAN等技术将用户之间相互隔离,从而保证一定的网络安全性。
交换机队于某个目的MAC地址明确的单址包不会像Hub那样将该单址包简单复制到其他端口上,而是只发到起对应的特定的端口上。
如同一般的计算机需要维持一张ARP高速缓冲表一样,每台交换机里面也需要维持一张MAC地址(有时是MAC地址和VLAN)与端口映射关系的缓冲表,称为地址表,正是依靠这张表,交换机才能将数据包发到对应端口。
地址表一般是交换机通过学习构造出来的。
学习过程如下:(1)交换机取出每个数据包的源MAC地址,通过算法找到相应的位置,如果是新地址,则创建地址表项,填写相应的端口信息、生命周期时间等;(2)如果此地址已经存在,并且对应端口号也相同,则刷新生命周期时间;(3)如果此地址已经存在,但对应端口号不同,一般会改写端口号,刷新生命周期时间;(4)如果某个地址项在生命周期时间内没有被刷新,则将被老化删除。
如同ARP缓冲表存在地址欺骗的问题,交换机里的这种MAC地址表也存在地址欺骗问题。
在实际应用中,人们已经发现早期设计的许多交换机都存在这个问题,以Cisco2912交换机为例,阐明一下如何进行MAC地址欺骗。
如图所示,两个用户PcA和PcB分别连接Cisco2912的portA 和portB两个端口。
假定PcA的MAC的地址是00.00.AA.AA.AA.AAPcB的MAC的地址是00.00.BB.BB.BB.BB在正常的情况下,Cisco2912里会保存如下的一对映射关系:(00.00.AA.AA.AA.AA)<—>portA(00.00.BB.BB.BB.BB) <—>portB() <—>portC依据这个映射关系,Cisco2912把从PortC上收到的发给PcA的包通过PortA发出,而不会从PortB发出。
但是如果我们通过某种手段使交换机改变了这个映射关系,则Cisco2912就会将数据包转发到不应该去的端口,导致用户无法正常访问Internet等服务。
最为简单的一种方法就是用户PcB构造一种数据包,该包的源MAC地址不再是自己的MAC 地址00.00.BB.BB.BB.BB,而是PcA的MAC地址00.00.AA.AA.AA.AA,从上面的地址学习过程可以看出,Cisco2912就会错误的认为MAC地址00.00.AA.AA.AA.AA是从portB2 上来的,因此映射关系也就改为:(00.00.AA.AA.AA.AA)<—>portB(00.00.BB.BB.BB.BB) <—>portB这样,Cisco2912就会错误地把从PortC上收到的目的地址为MAC A的数据包通过PortB发出,而不再发给PortA.。
显然,如果PcB一直在发这种特意构造的包。
用户PcA就无法通过Cisco2912正常访问Internet。
更为严重的是,如果用户PcB构造portC上联设备(如路由器)的MAC地址( ),则会导致Cisco 2912下面所有的用户无法正常访问Internet等业务。
网络中的上述问题主要集中在二层交换机,因此二层交换机的设计必须考虑到MAC地址学习的这种潜在的安全隐患。
对此,提出以下安全策略。
MAC地址与端口的绑定。
基于IP 地址欺骗,人们普遍的做法是采用IP地址与MAC地址进行绑定。
MAC地址原来被认为是硬件地址,一般不可更改,所以把IP地址同MAC地址组合到一起管理就成为一种可行的办法,但是认为作为主机标识的MAC地址不能更改这种观点其实是错误的,如前所述,利用网络工具或者修改注册表的办法很容易就会更改某台主机的MAC地址。
所以,为了防止MAC地址欺骗,防止交换机中MAC地址映射表混乱,最有效的办法就是实现MAC地址与交换机端口的绑定。
这样,用户就无法通过更改MAC地址来进行某种恶意的攻击或者有效地防止某些环路导致的MAC地址重复。
绑定可以实现手工静态绑定,也可以实现自动静态绑定。
实现手工静态绑定需要网络管理员手工将用户的MAC地址和端口号输入到网络里去,对于一个较大规模的网络,这项工作显然不够轻松,而且非常容易出错。
对于自动静态绑定,可以如下实现:在交换机刚开始工作时,不设置绑定命令,而是由交换机自动进行MAC地址学习,建立一张MAC地址与端口号的映射关系,等网络稳定之后,在通过网络管理界面配置绑定命令,一旦绑定命令生效,交换机自动将原来的映射关系绑定起来,在没有收到解除绑定命令时,该映射关系一直存在。
这样,仅仅需要网络管理人员通过一条命令就可以实现所有的MAC地址同端口的静态绑定关系,不再需要手工一个个MAC地址的输入。
当然,随着后期用户的不断加入,可以选择某段时间内集中进行这种绑定命令操作,从而有效地节省人力和保障网络安全。
通过上面的阐述我们可以看出:解决IP地址欺骗最有效的措施是采用端口、MAC地址和IP地址三者同时绑定。
通过上述分析,我们可以看出,对于二层交换机而言,最大的安全隐患存在于MAC地址的学习过程。
为了有效防止某种恶意攻击的MAC地址欺骗行为,我们在进行交换机设计时必须考虑一定的安全策略。
无线网络可能受到的攻击分为两类,一类是关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击。
这类攻击在有线环境下也会发生;另一类则是由无线介质本身的特性决定的,基于无线通信网络设计、部署和维护的独特方式而进行的攻击。
1 WEP中存在的弱点IEEE(Institute ofElectrical and Electronics Engineers,电气与电子工程师学会)制定的802.11标准最早是在1999年发布的,它描述了WLAN(Wireless Local Area Network,无线局域网)和WMAN(Wireless Metropolitan Area Network,无线城域网)的MAC(Medium Access Control,介质访问控制)和物理层的规范。