AP 認(rèn)證安全連接無線網(wǎng)絡(luò)

河南 劉進(jìn)京

對AP 參數(shù)進(jìn)行安全配置

對于思科的AP 來說，其默認(rèn)的帳號為小寫的cisco，密碼（包括enable 密碼）為大寫的CISCO，當(dāng)然，這種默認(rèn)設(shè)置的安全性是比較差的。

為此，可以全局的設(shè)置用戶名、密碼和enable 密碼，特定AP 設(shè)置的擁有高優(yōu)先級。

例如，首先登錄到思科某款無線款控制器管理界面，點(diǎn)擊工具欄上的“Configuration”按鈕，然后在左側(cè)依次點(diǎn)擊“Wireless”→“Access Points”→“Radios”→“Global AP Configuration”項(xiàng)，在右側(cè) 的“Login Credentials”欄中可以分別設(shè)置用戶名，密碼以及enable 密碼，點(diǎn)擊“Apply”按鈕執(zhí)行應(yīng)用。

這些設(shè)置信息會自動推動給關(guān)聯(lián)到該控制器的所有的AP，即所有相關(guān)AP 都會擁有該密碼。

當(dāng)AP 加入到無線控制器后，AP 就激活了console口安全，當(dāng)用戶訪問AP console 口時(shí)，會提示輸入賬戶名和密碼。當(dāng)?shù)卿浲瓿珊?，就會進(jìn)入非特權(quán)模式，您必須輸入enable 密碼來進(jìn)入特權(quán)模式。

全局配置信息在無線控制器和AP 重啟后不會丟失，只有當(dāng)AP 加入新的無線控制器，而且該無線控制器配置了全局用戶和密碼后，這些信息才會被覆蓋掉。

而如果新的無線控制器沒有配置全局身份信息，AP將保持之前的全局用戶和密碼。

注意，您必須關(guān)注AP 身份信息的變動情況，否則將無法登錄AP。

當(dāng)然，想恢復(fù)默認(rèn)的AP身份信息的話，最直接的辦法就是，同時(shí)將無線控制器和AP 的設(shè)置恢復(fù)到出廠狀態(tài)。

此外，還可以在AP 上執(zhí)行“clear capwap privateconfig”命令，來清除該AP 的配置信息，之后執(zhí)行Reload 命令重載即可。

當(dāng)然，為所有的AP 設(shè)置統(tǒng)一的身份認(rèn)證信息，雖然使用起來比較方便，不過安全性依然不足。

為了最大程度地提高AP的安全性，還可以為不同的AP 單獨(dú)設(shè)置身份信息。

例如在上述無線控制器管理界面左側(cè)點(diǎn)擊“WLAN”→“Access Points”→“All APs”項(xiàng)，在右側(cè)列表中顯示所有連接AP，選中某個(gè)AP，在屬性編輯界面中點(diǎn)擊“Credentials”項(xiàng)，在“Login Credentials”欄中選擇“Over-ride Global Credentials”項(xiàng)，為其設(shè)置用戶名、密碼以及enable 密碼。

當(dāng)然，還可以在“802.1x Supplicant Credentials”欄之中，選擇“Over-ride Global Credentials”項(xiàng)，為其單獨(dú)設(shè)置802.1x 的身份驗(yàn)證信息。因?yàn)樵谝话闱闆r下，AP 都是連接到交換機(jī)，之后才連接到無線控制器上。

而當(dāng)針對AP 設(shè)置了802.1x 的身份驗(yàn)證信息后，就可以在AP 連接到的交換的端口上開啟802.1x 的認(rèn)證功能了。

這樣，AP 就可以使用該802.1x 認(rèn)證信息，在該接口上進(jìn)行EAP-FAST 認(rèn)證，可以有效提供AP 的安全性。點(diǎn)擊“General”按 鈕，在“AP name”和“Location”欄 中為其設(shè)置合適的名稱和位置信息，這對于AP 的管理是比較重要的。在AP 列表上部點(diǎn)擊“Advanced”按鈕，選擇“Telnet”和“SSH”項(xiàng)，可以激活相應(yīng)的連接方式。

常用的無線認(rèn)證方式

談到AP 的管理，就必然涉及到WLAN 的安全技術(shù)，這里主要談?wù)勱P(guān)于無線控制器本地的DOT1x 認(rèn)證。

對于每個(gè)WLAN 來說，都對應(yīng)著獨(dú)立的WLAN ID，Profile name 和WLAN SSID。

例如，在上述無線控制器WLC 管理界面中，點(diǎn)擊 菜 單“Configuration”→“Wireless”項(xiàng)，在WLANS列表中可以看到上述信息。每個(gè)連接的AP 最多可以發(fā)布16個(gè)WLAN，即最大可以發(fā)布16個(gè)SSID 出去。

注意，可以在WLC 上創(chuàng)建超過最大數(shù)量的WLAN，并且選擇這些WLAN 發(fā)布到不同的AP。通過AP Group 技術(shù)，可以讓不同組的AP 可以發(fā)送不同的WLAN。管理員可以配置WLAN 使用不同的SSID或者相同的SSID，而且一個(gè)SID 標(biāo)識一個(gè)特殊的無線網(wǎng)絡(luò)。

對于二層安全來說，其包 括None、WEP、WPA/WPA2、802.1x 以及CKIP 等。對于None 方式來說，不會進(jìn)行任何加密。對于WEP 和WAP 方式來說，因?yàn)榇嬖诤艽蟮陌踩[患，黑客可以很容易對其進(jìn)行破解，現(xiàn)在幾乎不再使用。WPA 使用802.1x 實(shí)現(xiàn)認(rèn)證的密鑰管理，即密鑰由802.1x 動態(tài)產(chǎn)生，其支持單播和廣播的密鑰管理。

注意，WPA 使用兩套Key，分別用來加密單播和廣播數(shù)據(jù)包。對于連接到某個(gè)AP的PC 來說，會使用相同的PSK 預(yù)共享密鑰連接到目標(biāo)AP 上，該AP 會為每臺PC 產(chǎn)生唯一的用于加密單播的密鑰，PC 彼此之間并不知曉該密鑰，這就會造成PC 之間看到的單播包都是加密的。但是PC 之間的廣播密鑰是通用的。

根據(jù)以上分析，可以看到AP 的預(yù)共享密碼和加密的密鑰是存在差異的。

WPA2 是目前使用最廣泛的加密方式，其使用了AES加密算法。對于個(gè)人用戶來說，WPA 使用預(yù)共享密鑰進(jìn)行認(rèn)證，不需要認(rèn)證服務(wù)器，使用預(yù)設(shè)的共享密碼進(jìn)行認(rèn)證，基于本地進(jìn)行訪問控制，使用TPIP、AES 進(jìn)行加密。

而對于企業(yè)來說，使用的是802.1x 認(rèn)證，其一般需要使用3A 服務(wù)器。3A 認(rèn)證服務(wù)器用于認(rèn)證、授權(quán)和密鑰分發(fā)，采用中心訪問控制機(jī)制，使用TPIP 和AES 進(jìn)行加密。

對于開放式網(wǎng)絡(luò)環(huán)境來說，使用的是Web 認(rèn)證方式。對 于WPA2 和802.11i來說，其實(shí)是大體相等的技術(shù)標(biāo)準(zhǔn)，前者是WiFi 標(biāo)準(zhǔn)，后者是IEEE 標(biāo)準(zhǔn)。當(dāng)然，現(xiàn)在主要使用的是WPA2 標(biāo)準(zhǔn)，其使用了AES 替代了不可靠的RC4 加密算法，這里的AES其實(shí)以一種特殊的AES-CCMP算法，基于128 為對稱塊加密，AES 比RC4 更加強(qiáng)大，但是消耗的資源也更多，可以基于硬件實(shí)現(xiàn)AES。

實(shí)現(xiàn)基于WLC 本地的EAP 認(rèn)證

在這里為便于說明，沒有使用ISE 等專業(yè)的3A 服務(wù)器，使用無線控制器進(jìn)行本地的EAP 認(rèn)證，即讓其扮演簡單的Radius 服務(wù)器的角色。

在該無線控制器上執(zhí)行“config t”命 令，進(jìn)入全局配置模式，然后執(zhí)行“aaa new-model”“aaa authentication dot1x celue local”命令，啟用名為“celue”的Dot1x 認(rèn)證策略。

執(zhí)行“aaa authorication credential-downliad celue1 local”命令，進(jìn)行身份信息的授權(quán)。執(zhí)行“aaa local authentication celue authorization celue1”命令，使用本地認(rèn)證策略和授權(quán)策略。之后執(zhí)行“dot1x system-auth-control”命令，進(jìn)行全局激活Dot1x。在配置Dot1x 時(shí)，對于3A 服務(wù)器來說是需要一張證書的，客戶在建立EAP 會話之前需要校驗(yàn)該證書的。

因?yàn)樵摕o線控制器扮演了3A 服務(wù)器的角色，所以也需要證書。這里使用的是自簽名證書，執(zhí)行“end”“ip http secure-server”命令，啟動HTTPS 服務(wù)器功能，就可以自動產(chǎn)生自簽名證書。

登錄到無線控制器管理界面，點(diǎn)擊工具欄上 的“Configuration”→Security”項(xiàng)，在左側(cè)選擇“Local EAP”→“Local EAP Profiles”項(xiàng)，點(diǎn)擊右側(cè)的“New”按鈕，創(chuàng)建新的Profiles 項(xiàng)目，輸入名稱（例如“profile1”），其下列出常用的EAP 類型。

這里選擇最常用的“PEAP”項(xiàng)，可以在客戶和3A 服務(wù)器之間進(jìn)行數(shù)據(jù)的加密傳輸。點(diǎn)擊“Apply 按鈕，保存配置信息。點(diǎn)擊工具欄上的“Configuration”→“Wireless”項(xiàng)，在左側(cè)選擇“WLAN”→“WLANS”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，創(chuàng)建新 的WLAN，輸 入WLAN ID、SSID（例 如“newssid”）以及Profile file 名稱（例如“pfile1”）。

在列表中選擇該WLAN項(xiàng)目，在其屬性編輯界面中的“General”面板中的“Status”欄中選擇“Enabled”項(xiàng)將其激活，在“Interface/Interface Group”列表中選擇需要關(guān)聯(lián)的本地VLAN 的名稱。在“Security”面板中點(diǎn)擊“l(fā)ayer2”按鈕，在“Auth Key Mgmt”列表中線則“802.1x”項(xiàng)。

點(diǎn) 擊“AAA Server”按鈕，然后在“Authentication Method”列表，選擇上述認(rèn)證策略（如“celue1”）。選擇“Local EAP Authentication”項(xiàng)，在“EAP Profile Name”欄中輸入上述EAP 項(xiàng)目名稱（例如“profile1”）。

最后配置完成后，在客戶端可以搜索到上述SSID 信號名。

在客戶端進(jìn)行安全連接

在網(wǎng)絡(luò)和共享中心點(diǎn)擊“設(shè)置新的連接或網(wǎng)絡(luò)”項(xiàng)，之后選擇“手動連接到無線網(wǎng)絡(luò)”項(xiàng)，在打開窗口中的“網(wǎng)絡(luò)名”欄中輸入上述SSID名稱，在“安全類型”列表中選擇“WPA2-企業(yè)”項(xiàng)，點(diǎn)擊“下一步”按鈕，選擇“更改連接設(shè)置”項(xiàng)，在打開窗口中的“安全”面板中的“選擇網(wǎng)絡(luò)身份驗(yàn)證方法”列表中確保選擇“Microsoft 受保護(hù)的EAP（PEAP）”項(xiàng)。

點(diǎn)擊“設(shè)置”按鈕，在其屬性窗口中取消“通過驗(yàn)證證書來驗(yàn)證服務(wù)器的身份”項(xiàng)，這是因?yàn)樵跓o線控制器上使用了自簽名證書的原因。

點(diǎn)擊“設(shè)置”按鈕，取消“自動使用Windows 登錄名和密碼”項(xiàng)。點(diǎn)擊“高級設(shè)置”按鈕，在高級設(shè)置窗口中的“802.1x 設(shè)置”面板中選擇“指定身份驗(yàn)證模式”項(xiàng)，在列表中選擇“用戶身份驗(yàn)證”項(xiàng)，點(diǎn)擊“確定”按鈕，保存配置信息。

完成以上設(shè)置后，在無線連接列表中選擇上述SSID項(xiàng)，輸入上述無線控制器上預(yù)設(shè)的本地用戶名和密碼，就可以連接成功了。

實(shí)現(xiàn)基于Web 的安全認(rèn)證

在開放的環(huán)境中，為了讓用戶可以順利連接無線網(wǎng)絡(luò)，會使用到Web 認(rèn)證技術(shù)。Web 認(rèn)證使用的是三層安全技術(shù)，可以在任意設(shè)備上利用瀏覽器，就可以連接到無線網(wǎng)絡(luò)的安全技術(shù)。其可以和使用預(yù)共享密鑰認(rèn)證的二層安全技術(shù)配置使用，可以大大增加其安全性。

當(dāng)然，在一般情況下，Web 認(rèn)證只是提供認(rèn)證，并不會對傳輸?shù)臄?shù)據(jù)進(jìn)行加密。Web 認(rèn)證僅僅提供給外來訪客使用的，因此沒有必要對其數(shù)據(jù)進(jìn)行保護(hù)。

在進(jìn)行對Web 認(rèn)證之前，客戶可以直接關(guān)聯(lián)，關(guān)聯(lián)后客戶可以獲取IP 和DNS 服務(wù)器地址，在沒有完成Web認(rèn)證之前，客戶無法訪問任何網(wǎng)絡(luò)資源?？梢员仨毷褂脼g覽器訪問一個(gè)合法的網(wǎng)址，通過DNS 對其進(jìn)行解析，之后客戶發(fā)送HTTP 請求到這個(gè)網(wǎng)站的IP，無線控制器會對該請求進(jìn)行處理并返回給客戶網(wǎng)頁認(rèn)證頁面。只有當(dāng)通過Web 認(rèn)證后，客戶才被允許訪問所需的網(wǎng)絡(luò)資源。

對于WLC 來說，可以使用其內(nèi)建的登錄頁面，用戶也可以自己編寫認(rèn)證頁面，或者使用外部的服務(wù)器提供的認(rèn)證頁面。

這里為了簡單起見，使用WLC 內(nèi)建的登錄頁面。

首先，在WLC 管 理界面工具欄上，依次點(diǎn)擊“Configuration”→“Security”項(xiàng)，在左側(cè)依次選擇“Web Auth”→“Webauth Parameter Map”項(xiàng)，在右側(cè)點(diǎn)擊“global”項(xiàng)，可以對登錄頁面各參數(shù)進(jìn)行修改。

例如在“Banner”欄中輸入歡迎信息，在“Type”列表中選擇“webauth”項(xiàng)，激活網(wǎng)頁認(rèn)證功能。在“Virtual Ipv4 Address”欄中輸入合適的虛擬地址等。在WLC 命令行中執(zhí)行“config t”命令，進(jìn)入全局配置模式。然后執(zhí)行以下命令：

然后執(zhí)行登錄認(rèn)證，網(wǎng)絡(luò)授權(quán)以及下載身份數(shù)據(jù)庫的授權(quán)等。

之后按照上述方法，在管理界面中添加新的WLAN，并輸入WLAN ID、SSID（例如“webssid”）以及Profile file 名稱（例如“pfileweb”）。之后將其激活，并為其選擇具體的VLAN名稱。

接著在其屬性窗口中的“Security”面板中點(diǎn)擊“l(fā)ayer2”按鈕，在“Layer 2 Security”列表中選擇“None”項(xiàng)，表示沒有二層安全。點(diǎn)擊“Layer3”按鈕，選擇“Web Policy”項(xiàng)，激活Web 認(rèn)證策略。在“Web Authentication List”列表中選擇“Webauth”項(xiàng)，表示在三層使用網(wǎng)頁認(rèn)證。在“Webauth Parameter Map”列表中選擇“global”項(xiàng)，調(diào)用Web 認(rèn)證參數(shù)項(xiàng)目。

當(dāng)客戶端打開無線連接列表后，可以發(fā)現(xiàn)上述“webssid”熱點(diǎn)處于不加密狀態(tài)，可以直接進(jìn)行連接。如果配置了DNS 服務(wù)器的話，就可以訪問所需的網(wǎng)站，WLC 就可以對該連接請求進(jìn)行攔截，并將其引入到Web認(rèn)證界面，輸入WLC 的本地用戶名和密碼后，就可以順利進(jìn)行訪問了。