2????????????????????无线安全基础配置
2.1?????????????理解无线安全
无线安全是一个广泛的概念,本文特指基于802.11(WEP安全技术)和802.11i协议的无线安全内容。
2.1.1??????无线安全概述
无线安全是WLAN系统的一个重要组成部分。由于无线网络使用的是开放性媒介采用公共电磁波作为载体来传输数据信号,通信双方没有线缆连接。如果传输链路未采取适当的加密保护,数据传输的风险就会大大增加。因此在WLAN中无线安全显得尤为重要。
为了增强无线网络安全性,至少需要提供认证和加密两个安全机制:
1、认证机制:认证机制用来对用户的身份进行验证,以限定特定的用户(授权的用户)可以使用网络资源。
2、加密机制:加密机制用来对无线链路的数据进行加密,以保证无线网络数据只被所期望的用户接收和理解。
2.1.2??????基本概念
802.11i:新一代WLAN安全标准。IEEE为弥补802.11脆弱的安全加密功能而制定的修正案,802.11i提出了RSN(强健安全网络)的概念,增强了WLAN中的数据加密和认证性能,并且针对WEP加密机制的各种缺陷做了多方面的改进。802.11i标准中所建议的身份验证方案是以802.1X框架和可扩展身份验证协议(EAP)为依据的。加密运算法则使用的是AES加密算法。
RC4:在密码学领域,RC4是应用最广泛的流加密算法,属于对称算法的一种。
IV:初始化向量(InitializationVector),加密标头中公开的密钥材料。
EAPOL-KEY包(EAPoverLANkey):AP同STA之间通过EAPoL-key报文进行密钥协商。
PMK(PairwiseMasterKey,成对主密钥):申请者(Supplicant)与认证者(Authenticator)之间所有密钥数据的最终来源。它可以由申请者和认证服务器动态协商而成,或由预共享密钥(PSK)直接提供。
PTK(PairwiseTransientKey,成对临时密钥):PTK是从成对主密钥(PMK)中生成的密钥,用于加密和完整性验证。
GMK(GroupMasterKey,组主密钥):认证者用来生成组临时密钥(GTK)的密钥,通常是认证者生成的一组随机数。
GTK(GroupTransientKey,组临时密钥):由组主密钥(GMK)通过哈希运算生成,是用来保护广播和组播数据的密钥。
MIC(messageintegritycode,消息完整性校验码)。针对一组需要保护的数据计算出的散列值,用来防止数据遭篡改。
WAPI(WLANAuthenticationandPrivacyInfrastructure,无线局域网鉴别和保密基础结构):WAPI标准是中国强力推广的无线安全标准。
2.1.3??????链路认证方式
链路认证即802.11身份验证,是一种低级的身份验证机制。在STA同AP进行802.11关联时发生,该行为早于接入认证。任何一个STA试图连接网络之前,都必须进行802.11的身份验证进行身份确认。可以把802.11身份验证看作是STA连接到网络时的握手过程的起点,是网络连接过程中的第一步。
IEEE802.11标准定义了两种链路层的认证:
??????????
??????????
2.1.3.1????开放系统身份认证
开放系统身份认证允许任何用户接入到无线网络中来。从这个意义上来说,实际上并没有提供对数据的保护,即不认证。也就是说,如果认证类型设置为开放系统认证,则所有请求认证的STA都会通过认证。
开放系统认证包括两个步骤:
第一步,STA请求认证。STA发出认证请求,请求中包含STA的ID(通常为MAC地址)。
第二步,AP返回认证结果。AP发出认证响应,响应报文中包含表明认证是成功还是失败的消息。如果认证结果为“成功”,那么STA和AP就通过双向认证。
图1.?????
2.1.3.2????共享密钥身份认证
共享密钥认证是除开放系统认证以外的另外一种认证机制。共享密钥认证需要STA和AP配置相同的共享密钥。共享密钥认证的过程如下:
第一步,STA先向AP发送认证请求;
第二步,AP会随机产生一个Challenge包(即一个字符串)发送给STA;
第三步,STA会将接收到字符串拷贝到新的消息中,用密钥加密后再发送给AP;
第四步,AP接收到该消息后,用密钥将该消息解密,然后对解密后的字符串和最初给STA的字符串进行比较。如果相同,则说明STA拥有无线设备端相同的共享密钥,即通过了共享密钥认证;否则共享密钥认证失败。
图2.?????
2.1.4??????接入认证方式
接入认证是一种增强WLAN网络安全性的解决方案。当STA同AP关联后,是否可以使用无线接入点的服务要取决于接入认证的结果。如果认证通过,则无线接入点为STA打开这个逻辑端口,否则不允许用户连接网络。
本节介绍以下两种接入认证方式:
??????????PSK
??????????802.1X
2.1.4.1????PSK接入认证
PSK(Pre-sharedkey,预共享密钥)是一种802.11i身份验证方式,以预先设定好的静态密钥进行身份验证。该认证方式需要在无线用户端和无线接入设备端配置相同的预共享密钥。如果密钥相同,PSK接入认证成功;如果密钥不同,PSK接入认证失败。
2.1.4.2????802.1X接入认证
IEEE802.1X协议是一种基于端口的网络接入控制协议。这种认证方式在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在接口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。
一个具有802.1x认证功能的无线网络系统必须具备以下三个要素才能够完成基于端口的访问控制的用户认证和授权:
??????????认证客户端
一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
??????????认证者
在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
??????????认证服务器
通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的服务,并根据认证结果向认证系统发出打开或保持端口关闭的状态。
2.1.5??????无线加密方式
相对于有线网络,无线网络存在着更大的数据安全隐患。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。IEEE802.11提供三种加密算法:有线等效加密(WEP)、暂时密钥集成协议(TKIP)和高级加密标准AES-CCMP。
??????????WEP
??????????TKIP
??????????AES-CCMP
2.1.5.1????WEP加密
WEP(WiredEquivalentPrivacy,有线等效加密)是原始IEEE802.11标准中指定的数据加密方法,是WLAN安全认证和加密的基础,用来保护无线局域网中授权用户所交换的数据的私密性,防止这些数据被窃取。
WEP使用RC4算法来保证数据的保密性,通过共享密钥来实现认证。WEP没有规定密钥的管理方案,一般手动进行密钥的配置与维护。通常把这种不具密钥分配机制的WEP称为手动WEP或者静态WEP。
WEP加密密钥的长度一般有64位和128位两种。其中有24Bit的IV(InitializationVector,初始化向量)是由系统产生的,因此需要在AP和STA上配置的共享密钥就只有40位或104位。在实际中,已经广泛使用104位密钥的WEP来代替40位密钥的WEP,104位密钥的WEP称为WEP-104。虽然WEP104在一定程度上提高了WEP加密的安全性,但是受到RC4加密算法以及静态配置密钥的限制,WEP加密还是存在比较大的安全隐患,无法保证数据的机密性、完整性和对接入用户实现身份认证。
2.1.5.2????TKIP加密
TKIP(TemporalKeyIntegrityProtocol,暂时密钥集成协议)是IEEE802.11组织为修补WEP加密机制而创建的一种临时的过渡方案。它也和WEP加密机制一样使用的是RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN服务提供更加安全的保护。主要体现在以下几点:
1.??????静态WEP的密钥为手工配置,且一个服务区内的所有用户都共享同一把密钥。而TKIP的密钥为动态协商生成,每个传输的数据包都有一个与众不同的密钥。
2.??????TKIP将密钥的长度由WEP的40位加长到128位,初始化向量IV的长度由24位加长到48位,提高了WEP加密的安全性。
3.??????TKIP支持MIC认证(MessageIntegrityCheck,信息完整性校验)和防止重放攻击功能。
2.1.5.3????AES-CCMP加密
AES-CCMP(CountermodewithCBC-MACProtocol,计数器模式搭配CBC-MAC协议)是目前为止面向大众的最高级无线安全协议。
IEEE802.11i要求使用CCMP来提供全部四种安全服务:认证、机密性、完整性和重发保护。CCMP使用128位AES(AdvancedEncryptionStandard,高级加密标准)加密算法实现机密性,使用CBC-MAC(区块密码锁链-信息真实性检查码协议)来保证数据的完整性和认证。
作为一种全新的高级加密标准,AES加密算法采用对称的块加密技术,提供比WEP/TKIP中RC4算法更高的加密性能,它将在IEEE802.11i最终确认后,成为取代WEP的新一代的加密技术,为无线网络带来更强大的安全防护。
2.1.6??????WPA安全技术
WPA(Wi-FiProtectedAccess,Wi-Fi保护访问)是Wi-Fi商业联盟在IEEE802.11i草案的基础上制定的一项无线局域网安全技术。其目的在于代替传统的WEP安全技术,为无线局域网硬件产品提供一个过渡性的高安全解决方案,同时保持与未来安全协议的向前兼容。可以把WPA看作是IEEE802.11i的一个子集,其核心是IEEE802.1X和TKIP。
无线安全协议发展到现在,有了很大的进步。加密技术从传统的WEP加密到IEEE802.11i的AES-CCMP加密,认证方式从早期的WEP共享密钥认证到802.1x安全认证。新协议、新技术的加入,同原有802.11混合在一起,使得整个网络结构更加复杂。现有的WPA安全技术允许采用更多样的认证和加密方法来实现WLAN的访问控制、密钥管理与数据加密。例如,接入认证方式可采用预共享密钥(PSK认证)或802.1X认证,加密方法可采用TKIP或AES。WPA同这些加密、认证方法一起保证了数据链路层的安全,同时保证了只有授权用户才可以访问无线网络WLAN。
2.1.7??????RSN安全技术
RSN(RobustSecureNetwork,强健安全网络),即通常所说的WPA2安全模式,是WPA的第二个版本。它是在IEEE802.11i标准正式发布之后Wi-Fi商业联盟制定的。RSN支持AES高级加密算法,理论上提供了比WPA更优的安全性。
同WPA类似,现有的RSN安全技术也可同多种认证、加密方法结合,打造一个更加安全的无线局域网。同WPA不同的是,在安全能力通告协商过程中,WPA采用的是WIFI扩展的IE(InformationElement,信息元素)标识安全配置信息,而RSN采用的是标准的RSNIE。
2.1.8??????WPA工作机制
WPA的运行机制如下图所示,可简要概括为以下四个阶段:
??????????
??????????
??????????
??????????
图3.?????WPA
(说明 RSN(WPA2)的工作过程同WPA的工作过程基本上一致。关于RSN的工作机制请参考WPA工作机制。 2.1.8.1????安全能力通告协商阶段
安全能力通告发生在STA与AP之间建立802.11关联阶段,其过程如下:
1、AP的WPA能力通告
AP为通告自身对WPA的支持,会对外发送一个带有WPAIE(InformationElement,信息元素)的Beacon帧,IE中包含了AP的安全配置信息(包括加密算法及认证方法等安全配置信息)。
2、STA同AP之间的链路认证
STA向AP发送开放系统认证请求,AP响应认证结果。具体过程请参见本文“
3、STA同AP建立802.11关联
STA根据AP通告的IE信息来选择相应的安全配置,并将所选择的安全配置信息发送至AP。在该阶段中,如果STA不支持AP所能支持的任何一种加密和认证方法,则AP可拒绝与之建立关联;反过来.如果AP不支持STA所支持任何一种加密和认证方法.则STA也可拒绝与AP建立关联。
2.1.8.2????安全接入认证阶段
该阶段主要进行用户身份认证,并产生双方的成对主密钥PMK。
PMK是所有密钥数据的最终来源,可由STA和认证服务器动态协商而成,或由配置的预共享密钥(PSK)直接提供。
??????????对于802.1X认证方式:PMK是在认证过程中STA和认证服务器动态协商生成(由认证方式协议中规定)。这个过程对AP来说是透明的,AP主要是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
??????????对于PSK认证:PSK认证没有STA和认证服务器协商PMK的过程,AP和STA把设置的预共享密钥直接当作是PMK。
只有接入认证成功,STA和认证服务器(对于802.1X认证)才产生双方的PMK。对于802.1X接入认证,在认证成功后,服务器会将生成的PMK分发给AP。
2.1.8.3????会话密钥协商阶段
该阶段主要是进行通信密钥的协商,生成PTK和GTK,分别用来加密单播和组播报文。
AP与STA通过EAPOL-KEY报文进行WPA的四次握手(4-WayHandshake)进行密钥协商。在四次握手的过程中,AP与STA在PMK的基础上计算出一个512位的PTK,并将该PTK分解成为几种不同用途的密钥:数据加密密钥、MICKey(数据完整性密钥)、EAPOL-Key报文加密密钥、EAPOL-Key报文完整性加密密钥等。用来为随后的单播数据帧和EAPOL-Key消息提供加密和消息完整性保护。
在四次握手成功后,AP使用PTK的部分字段对GTK进行加密并将加密后的GTK发送给STA,STA使用PTK解密出GTK。GTK是一组全局加密密钥,AP用GTK来加密广播、组播通信报文,所有与该AP建立关联的STA均使用相同的GTK来解密AP发出的广播、组播加密报文并检验其MIC。
2.1.8.4????加密数据通信阶段
该阶段主要进行数据的加密及通信。
TKIP或者AES加密算法并不直接使用由PTK/GTK分解出来的密钥作为加密报文的密钥,而是将该密钥作为基础密钥(BaseKey),经过两个阶段的密钥混合过程,从而生成一个新的密钥。每一次报文传输都会生成不一样的密钥。在随后的通讯过程中,AP和STA都使用该密钥进行加密通讯。
2.1.9??????WAPI安全技术
WAPI(WLANAuthenticationandPrivacyInfrastructure,无线局域网鉴别和保密基础结构)标准是中国强力推广的无线安全标准。内容包含两部分:WAI(WLANAuthenticationInfrastructure)和WPI(WLANPrivacyInfrastructure)。WAI和WPI分别实现了对用户身份的鉴别和对传输的业务数据加密。WAPI功能是无线安全的必要补充,也是无线产品进入运营商市场的一个必须功能。
2.1.9.1????WAPI接入控制中的三个实体
??????????鉴别服务单元ASU(authenticationserviceunit)
基本功能是实现对用户证书的管理和用户身份的鉴别等,是基于公钥密码技术的WAI鉴别基础结构中重要的组成部分。
??????????鉴别器实体AE(AuthenticatorEntity)
为鉴别请求者实体在接入服务之前提供鉴别操作的实体。该实体驻留在AP设备或者AC设备中。
??????????鉴别请求者实体ASUE(AuthenticationSUpplicantEntity)
在接入服务之前请求进行鉴别操作的实体。该实体驻留在STA中。
??????????鉴别服务实体ASE(AuthenticationServiceEntity)
为鉴别器实体和鉴别请求者实体提供相互鉴别服务的实体。该实体驻留在ASU中。
2.1.9.2????工作原理
2.1.9.2.1????WAPI信息元素
为了让STA能够识别启用WAPI无线安全机制,在信标帧、关联请求帧、重新关联请求帧和探询请求帧中携带WAPI信息元素。对于AP来说,需要在发出信标帧和探询响应帧中根据当前AP上WAPI的配置加入相应的WAPI信息元素。同时,解析关联请求帧和重新关联请求帧,只有在符合当前AP上WAPI的配置的条件时才能和该STA进行后续的协商。
WAPI信息元素的格式如下,该元素长度最大不超过255字节。
图4.?????WAPI
元素标识ID应为68。
长度字段标识WAPI信息元素中除元素标识ID和长度字段以外的字段的字节数。
版本字段标识WAPI协议的版本号,本规范中版本号为1,其他值保留。
鉴别和密钥管理(AKM)套件计数字段标识STA支持的鉴别和密钥管理机制个数。
鉴别和密钥管理(AKM)套件字段包含STA支持的鉴别和密钥管理机制,m为鉴别和密钥管理套件计数字段的值。
单播密码套件计数字段标识STA支持的单播密码算法个数。
单播密码套件字段包含STA支持的单播密码算法,n为单播密码套件计数字段的值。
组播密码套件字段包含STA支持的组播密码算法。
WAPI能力信息,比特0为预鉴别标识位,其他位保留
BKID计数和列表字段,BKID计数和列表字段仅用于发往AP的关联或重新关联请求帧中。BKID计数字段表示BKID列表字段中包含的BKID的个数。
2.1.9.2.2????WAPI身份鉴别和密钥协商
WAI鉴别及密钥管理的方式有两种,基于证书和基于预共享密钥。若采用基于证书的方式,整个过程包括证书鉴别、单播密钥协商与组播密钥通告;若采用预共享密钥的方式,整个过程则为单播密钥协商与组播密钥通告。这几个过程的交互如下图所示,下面的序列图中ASUE/AE/ASE分别是STA/AP/ASU的认证实体。
图5.?????
图6.?????
图7.?????/站间密钥通告过程
STA和AP之间的鉴别数据分组利用的以太类型字段值为0x88B4,AP和ASU之间的鉴别数据报文通过UDP传输,ASU的UDP协议端口号为3810。各个过程中分组的格式和处理请参考《WAPI实施指南-2006》。
2.1.9.2.3????WPI报文封装和加解密
WPI保密基础结构对MAC子层的MPDU进行加、解密处理,但对于WAI协议分组不进行加解密处理。经过加密处理后的MPDU封装结构如下图所示:
图8.?????MPDU
其中:
MAC头当地址4存在时,长度为30个字节;当地址4不存在时,长度为24个字节。当MAC头包含服务质量控制(QoS)子字段时,长度再增加两个字节,目前WAPI协议中没有定义无线QoS的操作,即不支持无线QoS。
KeyIdx表示USKID或MSKID或STAKeyID的索引值,这个报文使用的会话密钥索引值。
保留字段默认值为0。
PN字段表示一个整数,标识数据分组序号,该数据分组序号作为OFB、CBC-MAC模式下数据加密和校验时所需的IV。数据分组序号PN字段按照小端模式编码发送。
PDU(数据)字段为MPDU数据,最大长度为2278=2312-18(WPI头)-16(MIC)。
FCS字段为MAC帧格式的帧校验序列。
MIC字段是利用完整性校验密钥采用CBC-MAC工作方式对完整性校验数据计算得到,下图为MIC计算时完整性校验数据的组成结构。
图9.?????
其中,完整性校验数据包含两部分内容,叙述如下:
第一部分:
帧控制字段,比特4、5、6、11、12、13置为0,比特14置为1;
序列控制字段,比特4~15置为0;
若MAC帧头中不存在地址4时,则该字段的6个八位位组的值均置为0;
服务质量控制字段,若MAC帧头包含服务质量控制字段时,则该字段存在。
在计算完整性校验码MIC时,应保证完整性检验数据的长度为16的整数倍。若完整性校验数据各个部分的长度不足16的整数倍,应将对应部分扩展为16的最小整数倍,扩展采用相应部分后面补零的方法。
2.1.9.3????典型应用
典型的胖AP下WAPI应用如下图所示:
图10.?AP下WAPI应用
在上图中,WAPI终端设备和RG-AP都支持WAPI认证加密协议。在WAPI终端设备和RG-AP设备以及认证服务器AS上都预置了数字证书文件。当WAPI终端设备开始接入无线网络时,RG-AP对这个终端设备进行认证,有两种WAPI认证方式,分别是数字证书认证和预共享密钥认证,当进行数字证书认证时,需要认证服务器AS的参与。
2.1.10?协议规范
??????????IEEEStandardforInformationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements-2007
??????????WI-FIProtectedAccess–EnhancedSecurityImplementationBasedOnIEEEP802.11iStandard-Aug2004
??????????Informationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements—802.11,1999IEEEStandardforLocalandmetropolitanareanetworks”Port-BasedNetworkAccessControl”802.1X?-2004
??????????802.11iIEEEStandardforInformationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements
?????????WAPI实施指南-2006》,WAPI协议的参考资料
?????????《GB15629.11-2003/XG1-2006》,信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范第1号修改单
??????????《WAPI多信任证书实施技术》,多证书认证技术指导性文件
2.2?????????????缺省配置
功能特性 缺省值 配置WEP加密功能 缺省关闭 配置链路认证方式 缺省使用开放系统身份认证 配置WPA安全模式 缺省关闭 配置RSN安全模式 缺省关闭 配置TKIP加密 缺省关闭 配置ASE加密 缺省关闭 配置PSK认证 缺省关闭 配置PSK预共享密钥 缺省无配置 配置802.1X认证 缺省关闭 配置WAPI认证 缺省关闭 2.3?????????????配置无线安全加密
实际应用中,需针对不同的用户需求,实施不同级别的无线安全策略。下表列举了无线安全机制的三个安全级别:
安全级别 安全机制 说明 低 WEP加密认证机制 早期的无线安全机制,设计简单,部署方便,易破解。
??????????适用用于普通的家庭网络。 中 基于PSK认证和TKIP数据保密的第二代无线安全机制 对WEP协议有了较多的改进,通过升级软件的方法在不修改任何原有的部署的前提下大大地提高了无线网络的安全性。
??????????适用于小型企业、家庭用户等(未配备专用的认证服务器的环境) 高 基于802.1X认证和AES-CCMP数据保密的第三代无线安全机制 以IEEE802.11i草案协议为基础,是目前构建安全可靠无线局域网的一种必选功能。
??????????适用于各类公共场合及网络运营商、大中型企业、金融机构等(需配备专用的认证服务器的环境) 2.3.1??????配置指导
无线安全加密有主要有三种配置模型,这些安全模型又分别对应了不同的加密、认证组合。用户可根据实际网络需求,结合上文的安全级别列表,选择一种适合的安全配置模型:
安全模式类型 加密方式 认证方式 说明 ??????????WEP StaticWEP Share-key - ??????????WPA TKIP PSK - AES-CCMP 802.1X - TKIP 802.1X - AES-CCMP PSK - ??????????RSN(WPA2) TKIP PSK - AES-CCMP 802.1X (常用)推荐配置 TKIP 802.1X - AES-CCMP PSK (常用)推荐配置
(说明 WPA和RSN安全模式可同时开启。如果一个WLAN同时开启了WPA安全模式和RSN安全模式,那么这两种模式下的加密方法和认证方法是共享的。
2.3.2??????配置静态WEP模式
静态WEP安全加密模型需要完成以下两项配置:
4.??????(必选)WEP加密
5.??????(必选)
2.3.2.1????配置WEP加密
配置了WEP加密密码即启用WEP加密方式,配置步骤请参见下表。
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式,其中wlan-id是一个已经存在的WLAN编号,在进行本项配置之前需要先创建一个WLAN。 Step3 Ruijie(wlansec)#[no]securitystatic-wep-keyencryptionkey-length[ascii|hex]key-indexkey 配置WEP加密密码。
key-length:密码长度。取值为40、104和128。单位:bit。
ascii:密码形式为ASCII码。
hex:密码形式为16进制。
key-index:密码索引号,取值范围为1-4
key:密码。 Step4 Ruijie(wlansec)#showwlansecuritywlan-id 查看指定WLAN的安全配置信息
(说明 1、?WEP加密密码后,无线安全的模式自动切换到静态WEP模式。
2、?WEP 举例:配置WLAN1的静态WEP密码为12345
方法1:使用ASCII密码形式配置:
Ruijie(config)#wlansec1
Ruijie(wlansec)#securitystatic-wep-keyencryption40ascii112345
Ruijie(wlansec)#showwlansecurity1
SecurityPolicy:staticWEP//安全策略:静态WEP
WEPauthmode:open
WEPindex.........:0//密码索引号为0,对应keyIndex值为1
WEPkeyisHEX:false//密码是否使用十六进制配置
WEPkeylength:5
WEPpassphrase:
3132333435//密码短语(16进制显示):对应ASCII密码为12345
方法2:使用16进制的密码形式配置:
Ruijie(config)#wlansec1
Ruijie(wlansec)#securitystatic-wep-keyencryption40hex13132333435
Ruijie(wlansec)#showwlansecurity1
SecurityPolicy:staticWEP//安全策略:静态WEP
WEPauthmode:open
WEPindex.........:0//密码索引号为0,对应keyIndex值为1
WEPkeyisHEX:true//密码是否使用十六进制配置
WEPkeylength:5
WEPpassphrase:
3132333435//密码短语(16进制显示):对应ASCII密码为12345
2.3.2.2????配置链路认证方式
WEP加密方式可以分别和以下两种链路认证方式一起使用。
??????????使用开放系统认证:此时WEP密钥只做加密,即使密钥配的不一致,用户也是可以上线,但上线后传输的数据会因为密钥不一致被接收端丢弃。即STA可以关联上AP,但无法上网。
??????????使用共享密钥认证:此时WEP密钥做认证和加密,如果密钥不一致,STA无法上线。
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式,其中wlan-id是一个已经存在的WLAN编号,在进行本项配置之前需要先创建一个WLAN。 Step3 Ruijie(wlansec)#securitystatic-wep-keyauthentication[open|share-key] 配置WEP的认证模式。
缺省使用开放系统认证,即无认证。
open:开放系统认证方式
share-key:共享密钥认证方式 Step4 Ruijie(wlansec)#showwlansecuritywlan-id 查看指定WLAN的安全配置信息
(注意 1.???只有在配置WEP加密的时候,才能配置共享密钥认证方式。
2.???在配置WPA和RSN安全模式时,AP必须工作在开放系统身份认证方式下。
举例:配置WLAN1的链路认证模式为共享密钥认证:
Ruijie(config)#wlansec1
Ruijie(wlansec)#securitystatic-wep-keyauthenticationshare-key
Ruijie(wlansec)#showwlansecurity1
SecurityPolicy:staticWEP
WEPauthmode:share-key//链路认证方式:共享密钥身份认证
WEPindex.........:0
WEPkeyisHEX:true
WEPkeylength:5
WEPpassphrase:
3132333435
2.3.3??????配置WPA安全模式
在现有的WPA安全解决方案中,可采用两种安全加密方法,一种是TKIP,一种是AES-CCMP;可采用两种认证方法,一种是预置密钥PSK认证方式,一种是802.11x认证方式。WPA同这些加密、认证方法一起保证了数据链路层的安全,同时保证了只有授权用户才可以访问无线网络WLAN。
配置WPA安全加密模型的步骤如下:
1、(必选)启用WPA模式
2、(必选)配置WPA加密方式
3、(必选)配置WPA认证方式
4、(可选)配置PSK预共享密钥
以下是启用WPA安全模式的配置步骤。只有启用了安全模式后,才能进行加密方式和认证方式的配置,否则是无法配置。
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式,其中wlan-id是一个已经存在的WLAN编号,在进行本项配置之前需要先创建一个WLAN。 Step3 Ruijie(wlansec)#securitywpa[enable|disable] (必选)配置开启/关闭WPA安全模式。 Step4 Ruijie(wlansec)#showwlansecuritywlan-id 查看指定WLAN的安全配置信息
(注意 1.???使用WPA安全机制时,需要配合配置加密模式和认证模式。如果只配置了加密模式,或者只配置了认证模式,或者两者都未配置,那么STA将无法关联到无线网络。
2.???使用WPA安全机制时,AP必须工作在开放系统身份认证方式下。
举例:配置开启WLAN10的WPA安全模式
Ruijie(config)#wlansec1
Ruijie(wlansec)#securitywpaenable
2.3.4??????配置RSN安全模式
同WPA类似,RSN也需同加密、认证方法一起配合使用,以保证数据链路层安全,并保证只有授权用户才可以访问无线网络WLAN。
RSN安全加密模型需要进行以下配置:
1、(必选)开启RSN模式
2、(必选)配置RSN加密方式
3、(必选)配置RSN认证方式
4、(可选)配置PSK预共享密钥
以下是启用RSN安全模式的配置步骤。只有启用了安全模式后,才能进行加密方式和认证方式的配置,否则是无法配置。
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式,其中wlan-id是一个已经存在的WLAN编号,在进行本项配置之前需要先创建一个WLAN。 Step3 Ruijie(wlansec)#securityrsn[enable|disable] (必选)配置开启RSN安全模式 Step5 Ruijie(wlansec)#showwlansecuritywlan-id 查看指定WLAN的安全配置信息
(注意 3.???使用RSN安全机制时,需要配合配置加密模式和认证模式。如果只配置了加密模式,或者只配置了认证模式,或者两者都未配置,那么STA将无法关联到无线网络。
4.???使用RSN安全机制时,AP必须工作在开放系统身份认证方式下。
5.???对于WindowsXPSP1/SP2的无线客户端需要额外补丁才能支持RSN安全模式。
举例:配置启用WLAN10的RSN安全模式
Ruijie(config)#wlansec10
Ruijie(wlansec)#securityrsnenable
2.3.5??????配置安全加密方式
在无线安全模式下,配置WPA/RSN的加密方式。WPA和RSN均可使用如下两种加密方式:
??????????TKIP加密方式
??????????AES加密方式
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式,其中wlan-id是一个已经存在的WLAN编号,在进行本项配置之前需要先创建一个WLAN。 Step3 Ruijie(wlansec)#securitywpaciphers[aes|tkip]enable 配置WPA的加密模式为AES或者TKIP,或者两者都开启。
缺省关闭。 Step4 Ruijie(wlansec)#showwlansecuritywlan-id 查看指定WLAN的安全配置信息
(说明 ??????????WPA密钥协商方式一般和TKIP数据保密算法一起使用,也可以和AES数据保密算法一起使用。同样,RSN密钥协商方式一般和AES数据保密算法一起使用,也可以和TKIP数据保密算法一起使用。
??????????TKIP支持802.11a/b/g模式,不支持802.11n模式。
举例:配置启用RSN-AES加密方式
Ruijie(config)#wlansec10
Ruijie(wlansec)#securityrsnenable
Ruijie(wlansec)#securitywpaciphersaesenable
Ruijie(wlansec)#showwlansecurity10
SecurityPolicy:WPAnone(noAKM)
WPAversion:WPA2(RSN)
AKMtype:
pairwiseciphertype:AES//加密方式:AES
groupciphertype:AES
WLANSSID:SSID_wlan10
wpa_passhraselen:
wpa_passphrase:
WEPauthmode:open
2.3.6??????配置安全认证方式
在无线安全模式下,配置WPA/RSN的认证方式。WPA和RSN均可使用如下两种认证方式:
??????????PSK认证方式
??????????802.1x认证方式
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式,其中wlan-id是一个已经存在的WLAN编号,在进行本项配置之前需要先创建一个WLAN。 Step3 Ruijie(wlansec)#securitywpaakm[psk|802.1x]enable (必选)配置WPA的认证模式为PSK或者IEEE802.1X,或者两者都开启。当配置的认证方式为PSK时,需要配置PSK
缺省关闭。 Step4 Ruijie(wlansec)#showwlansecuritywlan-id 查看指定WLAN的安全配置信息
(说明 6.???支持WPA/RSN的AP需要工作在开放系统认证方式下。
7.???STA以WPA模式或者RSN模式同AP建立关联之后,如果网络中有Radius服务器作为认证服务器,那么STA就可以选择使用802.1x方式进行认证;如果网络中没有Radius服务器,STA与AP就可以使用PSK的方式进行认证。
举例:配置启用RSN-PSK认证方式
Ruijie(config)#wlansec10
Ruijie(wlansec)#securityrsnenable
Ruijie(wlansec)#securitywpaciphersaesenable
Ruijie(wlansec)#securitywpaakmpskenable
Ruijie(wlansec)#showwlansecurity10
SecurityPolicy:WPAPSK
WPAversion:WPA2(RSN)
AKMtype:presharekey//接入认证方式:PSK认证
pairwiseciphertype:AES
groupciphertype:AES
WLANSSID:SSID_wlan10
wpa_passhraselen:
wpa_passphrase:
WEPauthmode:open
2.3.7??????配置PSK预共享密钥
当配置的认证方式为PSK时,需要配置PSK预共享密钥。也只有配置了PSK认证方式时,这个共享密钥才有意义。
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式,其中wlan-id是一个已经存在的WLAN编号,在进行本项配置之前需要先创建一个WLAN。 Step3 Ruijie(wlansec)#securitywpaakmpskset-keyasccikey 配置PSK共享密码。
key:配置的PSK共享密码。
缺省未配置预共享密钥。 Step4 Ruijie(wlansec)#showwlansecuritywlan-id 查看指定WLAN的安全配置信息
举例:配置PSK预共享密钥为12345
Ruijie(config)#wlansec10
Ruijie(wlansec)#securityrsnenable
Ruijie(wlansec)#securitywpaciphersaesenable
Ruijie(wlansec)#securitywpaakmpskenable
Ruijie(wlansec)#securitywpaakmpskset-keyascci12345
Ruijie(wlansec)#showwlansecurity10
SecurityPolicy:WPAnone(noAKM)
WPAversion:WPA2(RSN)
AKMtype:presharekey
pairwiseciphertype:AES
groupciphertype:AES
WLANSSID:SSID_wlan10
wpa_passhraselen:5//密码长度:5字节
wpa_passphrase:
3132333435//密码短语(16进制显示):对应ASCII密码为12345
WEPauthmode:open
2.4?????????????配置WAPI安全模式
以下章节描述如何配置WAPI的安全加密机制:
??????????????????WAPI的缺省配置
??????????????????使能WAPI安全模式
??????????????????配置WAPIPSK认证
(各产品支持情况 在10.4版本中,各款无线产品均支持以上配置
2.4.1??????WAPI的缺省配置
下表用来描述WAPI的缺省配置。
功能特性 缺省值 WAPIPSK认证 缺省关闭 WAPI二证书认证 缺省关闭 WAPI三证书认证 缺省关闭
2.4.2??????使能WAPI安全模式
缺省情况下,设备关闭WAPI安全模式。只有启用了WAPI安全模式后,才能进行认证方式的配置,否则是无法配置。
进入特权模式,按以下步骤开启WAPI安全模式:
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式,其中wlan-id是一个已经存在的WLAN编号,在进行本项配置之前需要先创建一个WLAN。 Step3 Ruijie(wlansec)#securitywapienable 配置开启/关闭WAPI安全模式 如果要关闭WAPI安全模式,可用securitywapidisable配置命令进行设置。
配置举例:
#启用WAPI安全模式
Ruijie#configureterminal
Ruijie(config)#wlansec1
Ruijie(wlansec)#securitywapienable
2.4.3??????配置WAPIPSK认证
要配置WAPI的PSK认证模式,首先要先启用WAPI安全模式。
进入特权模式,按以下步骤配置PSK认证方式:
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式 Step3 Ruijie(wlansec)#securitywapipskset-key{ascii|hex}key 配置WAPI的预共享密钥。
ascii:密码形式为ASCII码。
hex:密码形式为16进制。
key:密码。 Step4 Ruijie(wlansec)#securitywapipskenable 使能WAPI的预共享密钥 如果要关闭WAPI预共享密钥认证,可用securitywapipskdisable配置命令进行设置。
配置举例:
#配置WAPI预共享密钥认证,设置密钥为12345678。
Ruijie#configureterminal
Ruijie(config)#wlansec1
Ruijie(wlansec)#securitywapienable
Ruijie(wlansec)#securitywapipskset-keyascii12345678Ruijie(wlansec)#securitywapipskenable
(注意 设置的密钥长度必需为8~32位。
设置完密钥之后,要记得使能该密钥。 2.4.4??????配置WAPI证书认证
要配置WAPI的证书认证,首先应启用WAPI安全模式。目前支持WAPI二证书认证及WAPI三证书认证,二者的区别在于三证书认证模式实现了证书颁发系统和证书鉴别系统的分离。
在配置WAPI二证书认证前,应先将CA证书,AE证书导入到设备中,否则配置无法生效。如果要配置WAPI三证书认证,还应导入ASU证书。
进入无线安全模式:
命令 作用 Step1 Ruijie#configureterminal 进入全局配置模式。 Step2 Ruijie(config)#wlansecwlan-id 进入无线安全配置模式 在无线安全模式下,配置如下设置项:
??????????配置CA证书(三证书要求)
??????????配置ASU地址(要求)
??????????配置ASU证书(要求)
??????????配置AE证书(要求)
??????????使能证书模式(要求)
2.4.4.1????配置CA证书
三证书模式下,需要配置CA证书。配置前,应确保证书文件已导入到AE设备中。二证书模式下,不需配置该项。
在无线安全模式下,配置CA证书,如下所示:
命令 作用 Step1 Ruijie(wlansec)#securitywapicacertca_certfile 配置WAPI的CA证书。
ca_certfile:CA证书文件名
2.4.4.2????配置ASU地址
WAPI证书认证过程,需要认证服务器的参与。认证服务器上运行认证软件,通过有线连接到AE设备上,利用UDP报文传递证书鉴别请求及证书鉴别相应报文。因此,需指定认证服务器的IP地址。
在无线安全模式下,配置ASU的IP地址,如下所示:
命令 作用 Step1 Ruijie(wlansec)#securitywapiasuaddressip_address 配置WAPI的ASU地址。
ip_address:认证服务器的IP地址
2.4.4.3????配置ASU证书
二证书模式下,颁发者与认证服务器为同一实体,因此ASU证书即为颁发者证书。
三证书模式下,证书颁发系统和证书鉴别系统分离,ASU证书由证书管理系统颁发,而颁发者证书仅用于验证颁发者签名以确保证书是合法的。
在无线安全模式下,配置ASU的证书,如下所示:
命令 作用 Step1 Ruijie(wlansec)#securitywapiasucertasu_certfile 配置ASU的证书。
asu_certfile:ASU证书文件名
2.4.4.4????配置AE证书
配置设备自身的证书。
在无线安全模式下,配置AE的证书,如下所示:
命令 作用 Step1 Ruijie(wlansec)#securitywapicertfileae_certfile 配置AE的证书。
ae_certfile:AE证书文件名
2.4.4.5????使能证书模式
使能证书模式,由于AE设备在配置该项之后才会真正的读取证书,并本地验证证书的有效性,因此该配置项应放在以上配置项之后。
在无线安全模式下,配置使能证书模式,如下所示:
命令 作用 Step1 Ruijie(wlansec)#securitywapicertenable 使能证书模式
(注意 只有在证书合法且配置正确的情况下,使能证书模式的配置项才会生效,否则会提示相应错误信息。配置完该项之后,应确认是否配置成功。
2.4.5??????查看配置
在完成上述配置后,可在任意模式下通过执行以下Show命令显示配置的安全信息。
命令 作用 showwlansecuritywlan-id 查看指定WLAN的安全配置信息 showwlanstainfosummury 查看当前用户认证状态 showwapi-stat 显示WAPI统计信息 showwapi-wlanwlan-id 显示WAPI的wlan信息 showwapi-debug 显示WAPI调试开关
举例1:查看WLAN10的安全配置信息
Ruijie#showwlansecurity10
SecurityPolicy:WPA2(RSN)PSK
WPAversion:WPA2(RSN)
AKMtype:presharekey
pairwiseciphertype:AES
groupciphertype:AES
WLANSSID:SSID_wlan10
wpa_passhraselen:9
wpa_passphrase:
303030313131323232//密码短语(16进制显示):对应ASCII密码为000111222
WEPauthmode:open
字段 说明 SecurityPolicy 安全模式:staticWEP、WPAnone(noAKM)、WPAPSK、WPA802.1x、unknown WPAversion WPA版本:WPA、WPA2(RSN)、WPAorWPA2(RSN) AKMtype 认证类型:presharekey、802.1x、802.1xorpresharekey pairwiseciphertype 单播加密类型:TKIP、AES、AESorTKIP、NONE groupciphertype 组播加密类型:TKIP、AES、AESorTKIP、NONE WLANSSID 指定WLAN的SSID号 wpa_passhraselen 密码长度,单位:字节 wpa_passphrase 密码短语,单位:十六进制 WEPauthmode 链路认证方式:open、share-key
举例2:查看当前用户认证状态
Ruijie#showwlanstainfosummury
INDEXMAC-addressWLANIDVLANIDWireless-statePTK-state
100:23:cd:ad:d3:da1010AUTH-and-ASSOC11
字段 说明 INDEX 索引号 MAC-address 无线用户终端MAC地址 WLANID 无线用户所在WLAN的ID号 VLANID 无线用户所在VLAN的ID号 Wireless-state 关联状态:not-AUTH(未关联)、Auth-and-Assoc(认证并关联)、AUTH-not-ASSOC(认证未关联) PTK-state 密钥协商状态,状态值为1-11。
当状态值为11时,表示密钥协商完成。
2.5?????????????无线安全配置举例
以下仅对加密认证相关配置进行说明。
2.5.1??????RSN配置举例
2.5.1.1????组网拓扑
如下图所示,无线接入点AP通过交换机同无线控制器AC相连。
图11.?RSN
2.5.1.2????组网需求
????????????????????????i.?????????????由于缺少专门的认证服务器,要求无线客户端采用PSK认证方式接入网络。
??????????????????????ii.?????????????要求采用ASE加密算法,保证无线网络数据的高机密性。
2.5.1.3????配置要点
1、创建WLAN网络
2、配置指定WLAN网络的安全策略
1.???????配置启用RSN安全模式
2.???????配置启用AES加密方式
3.???????配置启用PSK认证方式,并设置PSK预共享密钥
(说明 配置WPA/RSN安全模式,必须启用开放系统认证。 2.5.1.4????配置步骤
在AC上进行以下配置:
第一步,创建WLAN网络
1、基于VLAN2创建一个三层虚拟接口CVI
Ruijie(config)#vlan2
Ruijie(config-vlan)#intvlan2
Ruijie(config-if-VLAN2)#exit
2、创建一个ID为1024的WLAN,并配置wlan1与CVI2的映射,并应用到默认AP组内所有AP的radio1上
Ruijie(config)#wlan-config100pro-100ssid_wlan100
Ruijie(config-wlan)#exit
Ruijie(config)#ap-groupdefault
Ruijie(config-ap-group)#interface-mapping1002radio1
Ruijie(config-ap-group)#showgroup-apintf-wlan-mapdefault
WlANIDSSIDVlanIdRadioidMibindex
------------------------------------------------
100ssid-wlan100211
第二步,配置WLAN1的安全策略
1、启用开放式身份认证。缺省情况下,链路认证方式为开放式系统认证。
Ruijie(config)#wlansec100
Ruijie(wlansec)#securitystatic-wep-keyauthenticationopen
2、启用RSN安全模式
Ruijie(wlansec)#securityrsnenable
3、启用ASE加密方式
Ruijie(wlansec)#securitywpaciphersaesenable
4、启用PSK认证方式,并设置PSK预共享密钥为12345678
Ruijie(wlansec)#securitywpaakmpskenable
Ruijie(wlansec)#securitywpaakmpskset-keyascci12345678
2.5.1.5????配置验证
第一步,查看WLAN100的安全配置信息
Ruijie#showwlansecurity100
SecurityPolicy:WPA2(RSN)PSK
WPAversion:WPA2(RSN)
AKMtype:presharekey
pairwiseciphertype:AES
groupciphertype:AES
WLANSSID:ssid_wlan100
wpa_passhraselen:8
wpa_passphrase:
3132333435363738
WEPauthmode:open
第二步,查看当前用户认证状态
Ruijie#showwlanstainfosummury
INDEXMAC-addressWLANIDVLANIDWireless-statePTK-state
100:23:cd:ad:d3:da1002AUTH-and-ASSOC11
第三步,无线用户端分别输入正确、错误的密码,来验证功能实际生效情况。
??????????在用户输入正确预共享密码的情况下,无线客户端可以成功关联AP,并且可以正常访问Internet上的资源。
??????????在用户输入错误预共享密钥的情况下,无线客户端无法关联AP,不能访问Internet上的资源。(由于用户终端不同,可能出现无线客户端能关联AP,但无法连接网络的情况。)
2.5.2??????WAPI典型配置用例
2.5.2.1????组网拓扑
图12.?WAPI
2.5.2.2????组网需求
1)???????如图所示,ap与认证服务器相连。
2)???????CA证书(EccCA.cer)、ASU证书(EccASU.cer)、AE证书(EccAE.cer)已导入到AP中。
3)???????启用wapi安全模式,使用wapi三证书认证方式。
4)???????Wapi终端设备能正确关联。
2.5.2.3????配置步骤
1)???????配置VLAN,WLAN,IP地址。
#配置过程略。wlan-id为1。
#进入wlan1的无线安全模式
Ruijie#configureterminal
Ruijie(config)#wlansec1
#使能wapi安全模式
Ruijie(wlansec)#securitywapienable
#配置CA证书
Ruijie(wlansec)#securitywapicacertEccCA.cer
#配置ASU地址
Ruijie(wlansec)#securitywapiasuaddress192.168.1.123
#配置ASU证书
Ruijie(wlansec)#securitywapiasucertEccASU.cer
#配置AE地址
Ruijie(wlansec)#securitywapicertfileEccAE.cer
#使能证书模式
Ruijie(wlansec)#securitywapicertenable
|
|
