驗證
使用者或用戶端 (也稱為終端站台) 在與存取點 (AP) 或寬頻路由器關聯前必須先通過驗證,並取得對無線區域網路 (WLAN) 網路的存取權。 IEEE* (電機與電子工程師學會) 802.11 標準定義了兩種連結層級的驗證類型: "開放系統" 和 "共用金鑰"。
開放系統驗證
開放系統驗證只由兩個通訊組成。 第一個通訊是由用戶端提出的驗證要求,其中包含站台 ID (通常為 MAC 位址)。 隨後便由 AP/路由器傳送驗證回應,其中包含成功或失敗訊息。 例如,如果用戶端的 MAC 位址已明確地在 AP/路由器的組態中排除,則可能會出現失敗的情形。
共用金鑰驗證
共用金鑰驗證仰賴參與驗證程序的兩個站台是否持有相同的 "共用" 金鑰或密碼的事實。 共用金鑰必須在用戶端站台和 AP/路由器上手動設定。 目前家庭或小型辦公室的 WLAN 環境下可使用三種共用金鑰驗證。
有線同等機密性 (WEP)
不建議在安全的 WLAN 內使用 WEP,因為其具有潛在的弱點。 主要的安全性風險之一是駭客可以擷取加密形式的驗證回應訊框,使用免費提供的軟體應用程式,以及使用某些資訊來破解 WEP 加密。 這種驗證的程序包括用戶端傳送的驗證請求、清除 AP/路由器的挑戰文字、將用戶端的挑戰文字和 AP/路由器的驗證回應加密。 WEP 金鑰/密碼的兩種層級:
1. 64 位元: 40 個位元用於加密,24 個位元則配置為 "初始化向量" (IV)。 此種方法也可稱為 40 位元 WEP。
2. 128 位元: 104 個位元用於加密,24 個位元則配置為 "初始化向量" (IV)。 此種方法也可稱為 104 位元 WEP。
WPA (Wi-Fi 保護的存取)
WPA 是由 Wi-Fi 聯盟* (WFA) 在完全核准 IEEE 802.11i 之前發展的,其與無線安全性標準相容。 這是保全性增強功能,可大幅提高資料保護和無線網路存取控制 (驗證) 的等級 WPA 執行 IEEE 802.1X 驗證和金鑰互換,並且僅可與動態加密金鑰作業。
使用者可能會在家庭或小型辦公室環境中看到不同的 WPA 命名慣例。 例如,WPA-個人版、WPA-PSK、WPA-Home 等。在任何情況下,必須在用戶端和 AP/路由器上手動設定共同的預先共用金鑰 (PSK)。
WPA2 (Wi-Fi 保護的存取 2)
WPA2 是 WPA 的安全性強化版。 由於兩者無法互通,因此使用者必須確定用戶端站台和 AP/路由器皆設定為使用相同的 WPA 版本和預先共用金鑰 (PSK)。
加密
加密 (保密) 是用於補足驗證的 WLAN 安全性元件。 IEEE 802.11 提供三種密碼演算法: "有線同等機密性" (WEP)、"暫時密鑰完整性協定" (TKIP) 和 Advanced Encryption Standard-Counter-Mode/CBC-MAC Protocol (AES-CCMP)。
WEP
WEP 是原始 IEEE 802.11 標準內指定的密碼。 如上所述,它可以利用兩種驗證和加密功能。 從加密的觀點嚴格來說,WEP 是一種 RC4 封裝演算法,會從明文資料建立以密碼編譯的資料。 這個程序藉由將 (連結在一起) 初始化向量 (IV) 和私有的加密金鑰 (密碼) 串連為個別封包金鑰 (種子) 的型式而完成。 每個封包皆會選取新的 IV,但加密金鑰則未變更。
WEP 具有許多已知的缺點。 首先在 WEP 內必須回收這些 IV 值之前,考量相對少的 IV 值數量。 雖然 24 位元 (1670 萬) 的 IV 值看起似乎非常足夠,但是這個數字在忙碌的網路上可能會很快速的就耗盡。 相同的概念在 40 位元,甚至是 104 位元的金鑰上也可以成立,駭客只要使用資料擷取軟體即可取得這些金鑰。
TKIP
TKIP 是 IEEE 802.11i 的一部份,用於強化無線安全性。 它同時也採用 RC4 封裝演算法。 TKIP 透過動態金鑰的管理而強化了加密功能,每一次傳送資料封包時都需要使用不同的金鑰。 必須意識到一種情形,即加密對於網路安全而言是必要的,但是僅提供資料保密功能。
TKIP 利用 64 位元的 "訊息整合檢查" (MIC),針對資料修改的部份提供了進一步的防護。 這種做法可以防止想要成為駭客的人攔截訊息、變更覽資料位元、變更對應的 "整合性檢查值" (ICV) 位元使其相符、重新建立 "循環冗餘核對" (CRC) 值,以及將封包轉送到其目的地。 剛才描述的過程即是 TKIP 的重播防護實作。 站台必須解除與 AP/路由器的關聯,並在第一次發生 MIC 失敗時重新取得金鑰。 IEEE 802.11i 要求所有在 60 秒內偵測到兩種 MIC 失敗情形的站台停止所有的通訊,持續 60 秒。
AES-CCMP
AES-CCMP 是最先進的無線安全性通訊協定,可供給大眾使用。 IEEE 802.11i 要求使用 CCMP 來提供四種安全性服務: 驗證、機密性、整合性和重播防護。 CCMP 使用 128 位元的 AES 加密演算法提供機密性,以及其他的 CCMP 通訊協定元件提供其餘三種功能。
沒有留言:
張貼留言