访问控制攻击.docx

访问控制攻击:这些攻击使用无线或者规避无线局域网访问控制方法，比如APMAC过滤器和 802.1X端口访问控制，进而试图穿透网络。 AP-MAC过滤器: 无线MAC地址过滤功能通过MAC地址允许或拒绝无线网络中的计算机访问广域网，有效控制无线网络内用户的上网权限。如果您开启了无线网络的MAC地址过滤功能，并且过滤规则选择了“禁止列表中生效规则之外的MAC地址访问本无线网络”，而过滤列表中又没有任何生效的条目，那么任何主机都不可以访问本无线网络。 端口访问控制: 当无线工作站与AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户上网。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。 802.1x认证过程:整802.1x的认证过程可以描述如下: (1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入; (2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来; (3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名; (4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器; (5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge; (6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证; (7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的 Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备; (8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS 服务器进行认证; (9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功、 失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。 如果认证失败，则流程到此结束; (10) 如果认证通过，用户通过标准的DHCP协议(可以是DHCP Relay) ，通过接入设备获取规划的IP地址; (11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器; (12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕. 驾驶攻击：驾驶攻击也称为接入点映射，这是一种在驾车围绕企业或住所邻里时扫描无线网络名称的活动。要想进行驾驶攻击你就要具备一辆车、一台电脑（膝上型电脑）、一个工作在混杂模式下的无线以太网网卡，还有一个装在车顶部或车内的天线。因为一个无线局域网可能仅局限于一栋办公楼的范围内，外部使用者就有可能会入侵网络，获得免费的企业内部网络连接，还可能获得公司的一些记录和其他一些资源。用全方位天线和全球定位系统，驾驶攻击者就能够系统地将802.11b无线接入点映射地址映射。有无线局域网地公司迫使增加保证只有有访问权利地用户才能接入网络地安全装置。安全装置包括使用有线对等保密（WEP）加密标准、互联网加密协议或者Wi-Fi受保护地访问，再加上防火墙或非军事区的使用。 欺骗性接入点：在防火墙内部安装不安全的接入点，在受信任网络中创建开放后门。假接入点（AP）构成了一个特别棘手的问题，因为在许多公共热点，你并不知道可靠的AP和登录网页应该的样子。如果你被欺骗，连接到一个假的接入点，“恶魔双子星”会在最佳位置来发动对你的攻击。一个假的接入点可以显示热点的登录页面，看起来像一个合法的登录页，以获得你的信用卡号码。它可以截取虚拟个人网络（VPN）连接请求，并试图伪装成合法的 VPN网管。它甚至可以尝试模仿任何你可能尝试访问的SSL保护的网站。在所有这些攻击中，假的接入点（和服务器）正视图利用你的疏忽来验证你在和谁通信——从热点AP和登录网站，到VPN网关和SSL服务器。因此，你最好的防御措施就是坚持在你提供任何敏感信息（如密码，信用卡号码）前对服务器身份进行验证。 点对点连接：直接连接到不安全的站点，避开安全的接入点，进而攻击站点。 MAC欺骗：MAC地址欺骗目前很多网络都使用Hub进行连接的，众所周知，数据包经过 Hub传输到其他网段时，Hub只是简单地把数据包复制到其他端口。因此，对于利用Hub 组成的网络来说，没有安全而言，数据包很容易被用户拦截分析并实施网络攻击（MAC地址欺骗、IP地址欺骗及更高层面的信息骗取等）。为了防止这种数据包的无限扩散，人们越来越倾向于运用交换机来构建网络，交换机具有MAC地址学习功能，能够通过VLAN等技术将用户之间相互隔离，从而保证一定的网络安全性。交换机队于某个目的MAC地址明确的单址包不会像Hub那样将该单址包简单复制到其他端口上，而是只发到起对应的特定的端口上。如同一般的计算机需要维持一张ARP高速缓冲表一样，每台交换机里面也需要维持一张MAC地址(有时是MAC地址和VLAN)与端口映射关系的缓冲表，称为地址表，正是依靠这张表，交换机才能将数据包发到对应端口。地址表一般是交换机通过学习构造出来的。学习过程如下：（1）交换机取出每个数据包的源MAC地址，通过算法找到相应的位置，如果是新地址，则创建地址表项，填写相应的端口信息、生命周期时间等； （2）如果此地址已经存在，并且对应端口号也相同，则刷新生命周期时间； （3）如果此地址已经存在，但对应端口号不同，一般会改写端口号，刷新生命周期时间； （4）如果某个地址项在生命周期时间内没有被刷新，则将被老化删除。如同ARP缓冲表存在地址欺骗的问题，交换机里的这种MAC地址表也存在地址欺骗问题。在实际应用中， 人们已经发现早期设计的许多交换机都存在这个问题，以Cisco2912交换机为例，阐明一下如何进行MAC地址欺骗。如图所示，两个用户PcA和PcB分别连接Cisco2912的portA 和portB两个端口。 假定PcA的MAC的地址是00.00.AA.AA.AA.AA PcB的MAC的地址是00.00.BB.BB.BB.BB 在正常的情况下，Cisco2912里会保存如下的一对映射关系： (00.00.AA.AA.AA.AA）<—>portA (00.00.BB.BB.BB.BB) <—>portB (00.00.CC.CC.CC.CC) <—>portC 依据这个映射关系，Cisco2912把从PortC上收到的发给PcA的包通过PortA发出，而不会从PortB发出。但是如果我们通过某种手段使交换机改变了这个映射关系，则Cisco2912就会将数据包转发到不应该去的端口，导致用户无法正常访问Internet等服务。最为简单的一种方法就是用户PcB构造一种数据包，该包的源MAC地址不再是自己的MAC 地址00.00.BB.BB.BB.BB，而是PcA的MAC地址00.00.AA.AA.AA.AA，从上面的地址学习过程可以看出，Cisco2912就会错误的认为MAC地址00.00.AA.AA.AA.AA是从 portB2 上来的，因此映射关系也就改为： （00.00.AA.AA.AA.AA）<—>portB (00.00.BB.BB.BB.BB) <—>portB 这样，Cisco2912就会错误地把从PortC上收到的目的地址为MAC A的数据包通过PortB发出，而不再发给PortA.。显然，如果PcB一直在发这种特意构造的包。用户PcA就无法通过Cisco2912正常访问Internet。更为严重的是，如果用户PcB构造portC上联设备（如路由器）的MAC地址（00.00.CC.CC.CC.CC ），则会导致Cisco 2912下面所有的用户无法正常访问Internet等业务。 网络中的上述问题主要集中在二层交换机，因此二层交换机的设计必须考虑到MAＣ地址学习的这种潜在的安全隐患。对此，提出以下安全策略。MAC地址与端口的绑定。基于IP地址欺骗，人们普遍的做法是采用IP地址与MAC地址进行绑定。MAC地址原来被认为是硬件地址，一般不可更改，所以把IP地址同MAC地址组合到一起管理就成为一种可行的办法，但是认为作为主机标识的MAC地址不能更改这种观点其实是错误的，如前所述，利用网络工具或者修改注册表的办法很容易就会更改某台主机的MAC地址。所以，为了防止MAC地址欺骗，防止交换机中MAC地址映射表混乱，最有效的办法就是实现MAC地址与交换机端口的绑定。这样，用户就无法通过更改MAC地址来进行某种恶意的攻击或者有效地防止某些环路导致的MAC地址重复。绑定可以实现手工静态绑定，也可以实现自动静态绑定。实现手工静态绑定需要网络管理员手工将用户的MAC地址和端口号输入到网络里去，对于一个较大规模的网络，这项工作显然不够轻松，而且非常容易出错。对于自动静态绑定，可以如下实现：在交换机刚开始工作时，不设置绑定命令，而是由交换机自动进行MAC 地址学习，建立一张MAC地址与端口号的映射关系，等网络稳定之后，在通过网络管理界面配置绑定命令，一旦绑定命令生效，交换机自动将原来的映射关系绑定起来，在没有收到解除绑定命令时，该映射关系一直存在。这样，仅仅需要网络管理人员通过一条命令就可以实现所有的MAC地址同端口的静态绑定关系，不再需要手工一个个MAC地址的输入。当然，随着后期用户的不断加入，可以选择某段时间内集中进行这种绑定命令操作，从而有效地节省人力和保障网络安全。通过上面的阐述我们可以看出：解决IP地址欺骗最有效的措施是采用端口、MAC地址和IP地址三者同时绑定。通过上述分析，我们可以看出，对于二层交换机而言，最大的安全隐患存在于MAC地址的学习过程。为了有效防止某种恶意攻击的MAC地址欺骗行为，我们在进行交换机设计时必须考虑一定的安全策略。 无线网络可能受到的攻击分为两类，一类是关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击。这类攻击在有线环境下也会发生；另一类则是由无线介质本身的特性决定的，基于无线通信网络设计、部署和维护的独特方式而进行的攻击。 　　1 WEP中存在的弱点 　　IEEE(Institute ofElectrical and Electronics Engineers，电气与电子工程师学会)制定的802.11标准最早是在1999年发布的，它描述了WLAN(Wireless Local Area Network，无线局域网)和WMAN(Wireless Metropolitan Area Network，无线城域网)的MAC(Medium Access Control，介质访问控制)和物理层的规范。为了防止出现无线网络用户偶然窃听的情况和提供与有线网络中功能等效的安全措施，IEEE引入了WEP (Wired Equivalent Privacy，有线等价保密)算法。和许多新技术一样，最初设计的WEP被人们发现了许多严重的弱点。专家们利用已经发现的弱点，攻破了WEP声称具有的所有安全控制功能。总的来说，WEP存在如下弱点： 　　1)整体设计：在无线环境中，不使用保密措施是具有很大风险的，但WEP协议只是802.11设备实现的一个可选项。 　　2)加密算法：WEP中的IV(Initialization Vector，初始化向量)由于位数太短和初始化复位设计，容易出现重用现象，从而被人破解密钥。而对用于进行流加密的RC4算法，在其头256个字节数据中的密钥存在弱点，目前还没有任何一种实现方案修正了这个缺陷。此外用于对明文进行完整性校验的CRC(Cyclic Redundancv Check，循环冗余校验)只能确保数据正确传输，并不能保证其未被修改，冈而并不是安全的校验码。 　　3)密钥管理：802.11标准指出， WEP使用的密钥需要接受一个外部密钥管理系统的控制。通过外部控制。可以减少Iv的冲突数量，使得无线网络难以攻破。但问题在于这个过程形式非常复杂，并且需要手工操作。因而很多网络的部署者更倾向于使用缺省的WEP密钥，这使黑客为破解密钥所作的工作量大大减少了。另一些高级的解决方案需要使用额外资源，如RADIUS和Cisco的LEAP，其花费是很昂贵的。 　　4)用户行为：许多用户都不会改变缺省的配置选项，这令黑客很容易推断出或猜出密钥。 　　2执行搜索 　　NetStumbler是第一个被广泛用来发现无线网络的软件。据统计，有超过50%的无线网络是不使用加密功能的。通常即使加密功能处于活动状态，AP(wireless Access Point，无线基站)广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息，如网络名称、SSID(Secure Set Identife ，安全集标识符)等。 　　3窃听、截取和监听 　　窃听是指偷听流经网络的计算机通信的电子形式。它是以被动和无法觉察的方式人侵检测设备的。即使网络不对外广播网络信息，只要能够发现任何明文信息，攻击者仍然可以使用一些网络工具，如Eth real和TCPDump来监听和分析通信量，从而识别出可以破坏的信息。使用虚拟专用网、SSL(Secure Sockets Lave安全套接字层)和SSH(Secure Shel1)有助于防止无线拦截。 　　4欺骗和非授权访问 　　因为TCP，IP (Transmission Control Protocol，Internet Protocol，传输控制协议，网际协议)的设计原因，几乎无法防止MAC／IP地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是，因为巨大的管理负担，这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候，简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。许多无线设备提供商允许终端用户通过使用设备附带的配置工具，重新定义网卡的MAC地址。使用外部双因子身份验证，如RADIUS或SecurID，可以防止非授权用户访问无线网及其连接的资源，并且在实现的时候，应该对需要经过强验证才能访问资源的访问进行严格的限制。 　　5网络接管与篡改 　　同样因为TCP，IP设计的原因，某些技术可供攻击者接管为无线阿上其他资源建立的网络连接。如果攻击者接管了某个AP，那么所有来自无线网的通信量都会传到攻击者的机器上，包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问，而且这种攻击通常不会引起用户的重视，用户通常是在毫无防范的情况下输人自己的身份验证信息，甚至在接到许多SSL错误或其他密钥错误的通知之后，仍像是看待自己机器上的错误一样看待它们，这让攻击者可以继续接管连接，而不必担心被别人发现。 　　6拒绝服务攻击 　　无线信号传输的特性和专门使用扩频技术，使得无线网络特别容易受到DoS(Denial of Service，拒绝服务)攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源，使得合法用户无法获得这些资源。要造成这类的攻击，最简单的办法是通过让不同的设备使用相同的频率，从而造成无线频谱内出现冲突。另一个可能的攻击手段是发送大量非法(或合法)的身份验证请求。第三种手段，如果攻击者接管AP，并且不把通信量传递到恰当的目的地，那么所有的网络用户都将无法使用网络。为了防止DoS攻击，可以做的事情很少。无线攻击者可以利用高性能的方向性天线，从很远的地方攻击无线网。已经获得有线网访问权的攻击者，可以通过发送多达无线AP无法处理的通信量来攻击它。此外为了获得与用户的网络配置发生冲突的网络，只要利用NetStumbler就可以做到。 　　7恶意软件 　　凭借技巧定制的应用程序，攻击者可以直接到终端用户上查找访问信息，例如访问用户系统的注册表或其他存储位置，以便获取WEP密钥并把它发送回到攻击者的机器上。注意让软件保持更新，并且遏制攻击的可能来源(Web浏览器、电子邮件、运行不当的服务器服务等)，这是唯一可以获得的保护措施。 　　8偷窃用户设备 　　只要得到了一块无线网网卡，攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说，如果终端用户的笔记本电脑被盗，他丢失的不仅仅是电脑本身，还包括设备上的身份验证信息，如网络的SSID及密钥。而对于别有用心的攻击者而言，这些往往比电脑本身更有价值。