wifi網絡安全存取—WPA簡介和分類
為了後面無線安全及黑客技術的學習,下面先來了解如何搭建基於WPA-PSK加密的無 線網絡。
1 WPA1簡介
WPA (Wi-Fi Protected Access)即Wi-Fi網絡安全存取。WPA作為一種大大提高無 線網絡的數據保護和接入控制的增強安全性級別,的確能夠解決WEP所不能解決的安 全問題。WPA通過使用一種名為TKIP(暫時密鑰完整性協議)的新協議來解決上述問 題。使用的密鑰與網絡上每台設備的MAC地址及一個更大的初始化向量合並,來確信 每一節點均使用一個不同的密鑰流對其數據進行加密。隨後TKIP會使用RC4加密算法 對數據進行加密,但與WEP不同的是,TKIP修改了常用的密鑰,從而使網絡更為安全, 不易遭到破壞。
WPA也包括完整性檢查功能以確信密鑰尚未受到攻擊,同時加強了由WEP提供的形同 虛設的用戶認證功能,並包含對802.lx和EAP(擴展認證協議)的支持。這樣WPA既可以 通過外部Radius(撥入用戶遠程驗證)服務對無線用戶進行認證,也可以在大網絡中使用 Radius協議自動更改和分配密鑰。
2 WPA分類
WPA使用動態密鑰加密,也就是說,密鑰是不斷變化的,使入侵無線網絡比WEP困 難,如圖2-16所示。WPA被公認為目前無線網絡安全性的最高級別之一,如果您的設備支 持此加密,則推薦使用。WPA含有兩個版本,采用不同的驗證過程。
1.針對家庭及個人的WPA-PSK
在小型網絡或家庭環境中提供此種級別的安全性。它使用稱為預配置共享密鑰(PSK) 的密碼。此密碼越長,無線網緒的安全性越強。其中,對於加密,WPA使用臨時密鑰完整 性協議(Temporal Key Integrity Protocol,TKIP),這是一種建立動態密鑰加密和相互驗證的 機制。TKIP的安全功能彌補了WEP的不足。由於密鑰在不斷變化,可為無線網絡提供較 高的安全級別。
PSK是Pre-SharedKey的縮寫,即預共享的 密鑰。WPA和802.lli/WPA2都支持一個PSK模 式。簡單地說,PSK模式是一個簡化的 WPA/802.lli,是一個沒有802.1X部分的WPA或 802.lli。
WPA使用動態的密镧加蟹蠶口惟P時更困難。 它會不斷地變化並使得入侵您的網縫拄使
圖2-16
2.對於商業,企業的WPA-Enterprise
在有802.lx Radius服務器的企業網絡上提供此種級別的安全性。其中,可擴展認證協 議( EAP)用於驗證過程中的消息交換。它通過Radius(遠程驗證撥入用戶服務)服務器利 用802.lx服務器技術驗證用戶的身份。為無線網絡提供行業級安全性,但需要有Radius 服務器。 2.2.3 WPA的改進
在支持新的IEEE 802.lli安全標准韻硬件出現之前,作為一個權宜之計,WPA主要針 對的是密鑰相對容易被捕捉和破壞的企業網絡。與家庭或是小型企業局域網相比,企業網絡 密鑰被竊取的過程相對容易,黑客只需要從無線網絡流量中搜集並創建攻擊所需信息即可完 成對密鑰的竊取。當然,WPA也適用於不需要外部認證、使用簡單共享密鑰的小型網絡。 如表2-2所示,WPA已基本解決了前面WEP出現的問題。
表2-2
需要說明的是,若當前無線產品是早期購置的,就需要對所有的設備進行升級以支持 WPA,包括接入點、無線路由器、客戶端網絡適配器、無線橋接器和打印機服務器等,任何 存在無線接口的設備都需要升級。另外,Windows用戶無須擔心,Windows XP SP2以上的 版本均已增加WPA支持。詳情請參見微軟知識庫第815485號文章(http://support. microsoft.com/?kbid=815485).
3,WPA2筒介
WPA2是第二代WPA,構建WPA2並不是為了解決WPA內的任何局限性,而且向 後兼容於支持WPA的產品。最初的WPA與WPA2之間的主要差別是WPA2需要高級 加密標准(AES)來加密數據,而最初的WPA使用TKIP。但現在,無論是WPA還是WPA2 都已經支持AES。在進行掃描探測中,常會出現AES、AES-CCMP或者CCMP來指代AES 的啟用。與WPA -樣,WPA2也分企業版和家庭版,在很多無線設備上也會顯示為 WPA2-Enterprise署口WPA2-PSK。
3, WPA面臨的安全問題
雖然WPA是繼承了WEP基本原理而又解決了WEP缺點的一種強化技術。通常情況下, 由於加強了生成加密密鑰的算法,因此即便收集到分組信息並對其進行解析,也幾乎無法計 算出通用密鑰。但是,也只是“幾乎”而已。
實際上,WPA只是在802.lli正式推出之前的Wi-Fi企業聯盟的安全標准,由於它仍然 是采用比較薄弱的RC4加密算法,所以黑客只要監聽到足夠的數據包,借助強大的計算設 備,即使在TKIP的保護下,同樣可能***網絡。因此,WPA只能算做是無線局域岡安全領 域的一個過客。而依據WPA制定出來的成熟版本WPA2,雖然不能再說成是過客,但其安 全強度也依然受到質疑。
4,關於Windows下的WPA2支持性
由於Windows XP SP2在默認隋況下僅支持到WPA,故用戶使用Windows自帶的無線配置服務 並不能夠連接到WPA2及802.lli,如圖2-17所示,在“網絡驗證”下拉列表中是沒有這個選項的。
不過Microsofi推出了基於Windows XP SP2的WPA2 /802.lli相關補丁,並集成在了 Windows XP SP3中,安裝後即可以連接WPA2加密的AP。需要注意的是,並非所有網卡都 能支持802.lli和WPA2標准,部分網卡通過升級驅動可以支持,如果用戶發現安裝該補 丁後仍然無法通過Windows XP自帶無線管理程序識別及連接WPA2加密的無線AP,可能 需要查詢驅動程序更新和/或網卡Firmware更新。
對於Windows XP SP2的用戶,由於該補丁不通過Windows自動更新發布,屬於增值補 丁,所以需要運用該補丁的用戶需要到微軟官方站點下載,下載站點如下:
圖2. 18所示為升級該WPA2補丁後,Windows系統已支持WPA2。
wifi網絡安全存取—WPA簡介和分類.