无线的安全威胁与认证加密技术( 二 ) _认证

用户设备成功通过共享密钥认证后，将采用同一静态WEP密钥加密随后的802.11数据帧与AP通信。
共享密钥认证的安全性看似比开放系统认证要高，但是实际上前者存在着巨大的安全漏洞。如果入侵者截获 AP 发送的明文质询消息以及用户设备返回的加密质询消息，就可能从中提取出静态WEP密钥。入侵者一旦掌握静态WEP密钥，就可以解密所有数据帧，网络对入侵者将再无秘密可言。因此，WEP共享秘钥认证方式难以为企业无线局域网提供有效保护。
3、服务集标识隐藏
SSID（ Set，服务集标识）隐藏，可将无线网络的逻辑名隐藏起来。

文章插图
AP启用SSID隐藏后，信标帧中的SSID字段被置为空，无线客户端通过被动扫描侦听信标帧的用户设备将无法获得SSID信息。因此，无线终端必须手动设置与AP相同的SSID才能与AP进行关联，如果用户设备出示的SSID与AP的SSID不同，那么AP将拒绝它接入。
SSID 隐藏适用于某些企业或机构需要支持大量访客接入的场景。企业园区无线网络可能存在多个SSID，如员工、财务、访客等。为减少访客连错网络的问题，园区通常会隐藏员工、财务的SSID，同时广播访客SSID，此时访客尝试连接无线网络时只能看到访客SSID，从而减少了连接到员工和财务人员网络的情况。
尽管 SSID 隐藏可以在一定程度上防止业余黑客与普通用户搜索到无线网络，但只要入侵者使用二层无线协议分析软件拦截到任何合法终端用户发送的帧，就能获得以明文形式传输的SSID 。因此，只使用SSID隐藏策略来保证无线局域网安全是不行的。
4、黑白名单认证（MAC地址认证）
白名单的概念与“黑名单”相对应。黑名单启用后，被列入黑名单的用户不能通过。如果设立了白名单，则在白名单中的用户会允许通过，没有在白名单列出的用户将被拒绝访问。
黑白名单认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，不需要用户安装任何客户端软件。802.11设备都具有唯一的MAC地址，因此可以通过检验802.11 设备数据分组的源MAC 地址来判断其合法性，过滤不合法的MAC地址，仅允许特定的用户设备发送的数据分组通过。MAC 地址过滤要求预先在AC 或“胖”AP中输入合法的MAC地址列表，只有当用户设备的MAC地址和合法MAC地址列表中的地址匹配，AP才允许用户设备与之通信，实现物理地址过滤。如图6-2所示，用户设备STA1的MAC地址不在AC的合法MAC地址列表中，因而不能接入AP；而用户设备STA2和STA3分别与合法MAC地址列表中的第四个、第三个MAC地址完全匹配，因而可以接入AP 。
图2 MAC地址认证示意图
然而，由于很多无线网卡支持重新配置MAC地址，MAC地址很容易被伪造或复制。只要将 MAC 地址伪装成某个出现在允许列表中的用户设备的MAC 地址，就能轻易绕过MAC地址过滤。为所有设备配置MAC地址过滤的工作量较大，而MAC地址又易于伪造，这使MAC地址过滤无法成为一种可靠的无线安全解决方案。
5、 PSK认证
PSK（ Key，PSK）认证有很多别称，如WPA/WPA2-、WPA/WPA2-PSK以及WPA/WPA2预共享密钥等，它要求用户使用一个简单的ASCⅡ字符串（8～63个字符长度，称为密码短语）作为密钥。客户端和服务端通过能否成功解密协商的消息来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同，从而完成服务端和客户端的相互认证。
WPA/WPA2个人版定义的PSK认证方法是一种弱认证方法，很容易受到暴力字典的攻击。同时，由于密码是静态的，PSK认证也容易受到社会工程学攻击。虽然这种简单的PSK认证是为小型无线网络设计的，但实际上很多企业也使用 WPA/WPA2 个人版。由于所有WLAN设备上的PSK都是相同的，如果用户不小心将PSK泄露给黑客，WLAN的安全性将受到威胁。为保证安全，所有设备就必须重新配置一个新的PSK 。