8021X在无线网络中的实现.ppt

CU技术沙龙 主持人 樊强 802 1X在无线网中的实现 主讲人 王浩CUID 我爱臭豆腐Mail wanghao 3 感谢 首先感谢我的家里人 如果没有他们帮助我料理我生活的事情 我可能没有什么时间去写什么资料文档 还要感谢的就是FangQiang是他建了这个论坛给大家提供了一个这么好的交流的空间 感谢CU里面的段誉如果不是他给我提供这些无线设备我也不可能把这个文档写出来 还要感谢我的好朋友郭栋 CCIE11127 这个文档中的大多数协议部分的资料都是出自他的文章 多谢他给我提供了这么好的资料 最后要感谢我的老板PeterZhou 这个文档是在利用公司的一些机器做试验的 而他并没有说我 另外本人不是专业从事网络和主机的工作人员 在写这篇文章的时候难免有一些不对的地方 希望大家能够及时的通过mailor论坛告诉我 我会尽快的修改这个文档 当然 我不负责有这个文档产生的任何系统调试的错误和后果承担任何责任 如果要转载的话请写明出处 4 主讲内容 802 11基本概念802 11中的加密验证的几种方式什么是802 1x如何在Linux平台下实现802 1x 服务器端软件配置TLSandLEAP Radius FreeRadius操作系统 RedHatAS2 1如何在SunSolaris平台下面实现802 1x 服务器端的配置TLSandLEAP Raidus FreeRadius操作系统 SunSolaris8如何在Windows平台实现802 1x 服务器端的配置TLSandLEAP Radius CiscoSecureAccessControlServer操作系统 Windows2000ServerWindows下客户端软件的配置 5 IEEE802 11家族 IEEE802 11 BPSK QBSK 2Mbpsin2 4GHzIEEE802 11b CCK 11Mbpsin2 4GHzIEEE802 11b PBCC 22Mbps 44Mbpsin2 4GHzIEEE802 11g OFDM 54Mbpsin2 4GHzIEEE802 11a OFDM 54Mbpsin5GHzComboIEEE802 11a bIEEE802 11a gIEEE802 11a b g 6 WLan中的基本设备组成 AccessPoint简称AP 主要是提供给客户端进行无线连接的多种厂家无线网卡Pcmcia等类型网卡 多种厂家 7 WLan中的加密认证几种方式 StatickeyingWEP WiredEquivalentPrivacy TKIP TemporalKeyIntegrityProtocol AES AdvancedEncryptionStandard IEEE802 1xdynamickeying EAP TLS EAP TTLS PEAP IEEE802 1xdynamicWEPkeyingIEEE802 1xdynamicTKIPkeyingIEEE802 1xdynamicAESkeyingVPN VirtualPrivateNetwork overWLan 8 802 11认证和弱点 无线局域网 由于它的广播特点 对于用户安全需要 对于用户的认证来阻止对网络的未授权访问数据传输过程中的对于数据私密性和一致性的保护 9 802 11中的认证机制 无线客户端 open方式认证和share key方式认证 另外两种机制 ServiceSetIdentifier SSID 和认证用户MediaAccessControl MAC 地址的方式 也是经常被使用的 10 WEP 使用WiredEquivalentPrivacy WEP 密钥的方式也可以作为一种访问控制的方式 因为一个缺少WEP密钥的客户端无法向一个AP发送或接受数据 WEP作为IEEE802 11协会采用的加密机制 提供40bits或104bits的密钥加密强度有众多WEPcracktoolsAirSnortWEPCrack 11 ServiceSetIdentifier SSID是一个用来逻辑划分无线局域网的概念 通常 一个客户端必须配置合适的SSID来访问无线局域网 SSID不提供任何数据私密性功能也不真正提供客户端对AP访问的认证 12 TKIP UniquedynamicTKIPkeybymixingWEPkeyswithMACaddress MIC MessageIntegrityCode preventshackersfromforgingpacketsintheair 13 Wi FiProtectedAccess WPA ProposedbyWi FiAlliance SubsetofIEEE802 11i endof2003 IncludesIEEE802 1xTKIPMandatoryforWi Ficertificationbeforeendof2003 UsescurrentAPhardware 14 IEEE802 11i IEEE802 1x EAP TLS EAP TTLS PEAP TKIPAES CCMPNeedsnewhardware SecureIBSS Ad hoc Securehandoff 15 802 11客户端认证过程 802 11客户端认证过程包括如下步骤 1 客户端在每个通道上广播探测请求帧 2 信号范围内的AP回应一个探测响应帧 3 客户端决定哪个AP最合适用来访问 并发送认证请求4 AP发送认证回应5 认证成功后 客户端向AP发送一个关联请求帧6 AP回应一个关联请求7 客户端开始与AP进行通信 16 Open认证方式 open方式认证open认证是一个空的认证方式 AP会授权任何认证请求 它看起来作为一种算法没有意义 但是它在802 11网络认证中有它的地位 认证方式在1997年802 11标准中是面向连接的 认证的需求是使设备能够快速的访问网络 另外 许多手持数据接收设备像条码读取装置 它们没有执行复杂认证的cpu处理能力 open认证包括两个信息 认证请求认证回应Open认证允许任何网络设备的访问 如果网络中没有要求加密 则任何知道apSSID的设备都能够访问网络 AP上使用WEP加密方式后 WEP密钥本身成为一种访问控制方式 如果一个设备没有正确的WEP密钥 即使认证通过 设备仍然无法与AP通讯数据 它也无法解密从AP上发送来的数据 17 Share key方式认证 Share key认证是802 11标准中定义的第二种认证方式 share key认证要求客户端配置一个静态WEP密钥 过程如下 1 客户端发送一个认证请求到AP请求share key认证 2 AP发送一个包含挑战文本的认证回应 3 客户端用本地配置的WEP密钥能够来加密挑战文本并发送一个后续认证请求回应 4 如果AP能够解密认证请求并获取到原来的挑战文本 然后它回应一个认证回应并授权客户端访问 18 MAC认证 MAC地址认证没有在802 11标准中指定 但是许多厂商 包括Cisco支持 MAC地址认证通过查询本地的允许访问MAC地址列表或外部认证服务器来确认是否允许客户端访问网络 MAC认证用来增加802 11标准中的open和share key认证之外的安全性 进一步减少未授权设备访问网络的可能 19 认证当中的弱点 SSID认证中的弱点open认证的弱点share key认证的弱点MAC地址认证的弱点WEP加密和弱点 20 SSID认证中的弱点 SSID通过AP的信号消息以明文的方式进行广播 由于信号消息对用户是透明的 一个窃听者能够通过802 11无线网包分析仪如SnifferPro来轻易获取SSID 一些AP厂商包括Cisco能够在广播的信号消息中关闭SSID的可选项 但是SSID仍然可以通过监听AP返回的探测回应帧的方式来获得 SSID的设计目的并没有作为一种安全机制 另外 关闭SSID广播可能会在Wi Fi网络中使用不同客户端时带来负面的影响 因此Cisco不推荐采用SSID作为安全模式 21 Open认证的弱点 open认证不为AP确认客户端是否合法提供任何方式 如果没有实施WEP时 这是WLAN的一个主要安全弱点 Cisco推荐在WLAN中使用WEP加密 在不适合或不能实施WEP的地区 比如公共无线局域网 可以通过实施ServiceSelectionGateway SSG 来提供强的 高层认证 22 Share key认证的弱点 Share key认证要求客户端用一个预共享的WEP密钥来加密来自AP的挑战文本 AP通过解密共享密钥加密的挑战文本并对照的方式来确认客户端的合法性 交换挑战文本的过程是在无线链路上进行的 容易受到 中间人 的攻击 一个窃听者能够同时捕获明文的挑战文本和回应的密文 WEP的加密过程是通过对密钥数据流进行 异或 运算而产生的加密密文 重要的是如果对明文做异或而对密文做反向异或 那么结果就是密钥 因此 一个窃听者能轻松获得密钥 通过使用协议分析仪对共享密钥过程进行嗅探 23 MAC地址认证的弱点 MAC地址根据802 11标准是以明文方式进行发送的 结果导致在一个使用MAC地址认证的无线局域网中 一个网络攻击者可以通过 伪装 一个合法MAC地址的方式来破坏MAC地址认证过程 MAC地址欺骗可以在802 11网卡中使用LocallyAdministeredAddress LAA 覆盖UniversallyAdministeredAddress UAA 一个网络攻击者能通过网络分析仪来确定一个BusinessSupportSystem BBS 中的合法MAC地址和一个可以用来冒充的LAA兼容网卡 24 WEP加密和弱点 WEP是基于RC4算法的 是一种对称密钥加密方式 像前面提到的 数据帧的成功传输依赖于客户端和AP之间具有相同的加密密钥 下面介绍流密码并提供它们的工作方式以及与块密码之间的比较 25 流密码和块密码 StreamCipherandBlockCipher 一个流密码算法从密钥中产生一个密钥流并通过用密钥流与明文进行异或的方式来对数据进行加密 密钥流可以根据明文数据帧的大小来生成任意尺寸 26 Secure802 11WirelessLANswithCiscoWirelessSecuritySuite Cisco认识到802 11认证和数据私密性的弱点 为了给客户一个可扩展和可管理的安全无线局域网 Cisco开发了Cisco无线安全集 这个安全集对802 11标准的安全和加密进行了扩展 27 无线网安全内容 一些错误的想法认为WEP是WLAN的唯一内容 但是无线网安全实际上包括3个内容 认证框架认证算法数据私密性或加密算法这三个内容都包括在CiscoWirelessSecuritySuite中 28 CiscoWirelessSecuritySuite 802 1X认证框架 IEEE802 1X标准提供了许多认证类型和链路层的认证框架 ExtensibleAuthenticationProtocol EAP Cisco认证算法 EAPCisco无线认证类型 也叫作CiscoLEAP支持集中的 能够产生动态WEP密钥能力的基于用户的认证方式 TemporalKeyIntegrity TKIP Cisco实现两种方式来增加WEP的安全 MessageIntegrityCheck MIC MIC功能提供有效的帧认证来减轻 中间人 的攻击 Per PacketKeying 为每个数据帧提供新的和单独的WEP密钥减轻WEP密钥推导攻击 BroadcastKeyRotation 提供动态的广播和组播流量中的密钥轮换 29 Cisco无线安全集的构成 802 1X认证框架包括在由IEEE802 11任务组 TGi 开发的802 11MAC层安全扩展草案当中 802 1X框架提供在链路层扩展的认证 30 802 1X的3个实体 请求者 无线局域网客户端认证者 无线AP认证服务器 Radius服务器 31 802 1XPorts 这些实体在网络当中是逻辑实体 认证者为每个客户端提供逻辑端口 基于客户端的AssociationID AID 这些逻辑端口有两条数据路径 未控制的数据路径允许流量通过网络 控制的数据路径允许成功通过认证的流量通过 32 802 1XandEAPMessageFlow 33 EAPCisco认证算法 Cisco设计提供了简单的 容易实施和强壮加密的CiscoLEAP算法 CiscoLEAP像其他的EAP认证变种 是设计用来作用于802 1X认证框架的顶端的 LEAP算法引人注目的地方在于它的强壮特性 双向认证基于用户的认证动态WEP密钥 34 IEEE802 1xandRADIUS User basedauthenticationMutualauthentication EAP TLS EAP TTLS PEAP LEAP Dynamicencryptionkeydistribution EAP TLS EAP TTLS PEAP LEAP 35 CiscoLEAP协议架构 Cisco的无线扩展认证协议或Cisco的LEAP算法提供基于用户的双向认证 它也为客户端和RADIUS服务器之间产生WEP密钥提供密钥材料 这部分将从协议消息传递角度介绍在RADIUS服务器 AP和客户端设备之间实现LEAP算法 36 CiscoLEAP实施 Cisco设计CiscoLEAP来提供强健的 容易实施和管理的无线安全 Cisco提供第三方网卡和RADIUS支持 来提供对用户已经具有设施的投资保护 第三方支持 Cisco提供CiscoLEAPRADIUS支持 CiscoSecureAccessControlServer ACS Version2 6andv3 0platforms CiscoAccessRegistrarv1 7orlaterCisco也与FunkSoftware和InterlinkNetworks合作支持下面的产品平台 FunkSteelBeltedRADIUSv3 0 InterlinkMeritv5 1 37 EAPTransportLayerSecurity EAP TLS EAP传输层安全 TLS 是一个微软支持的基于TLS协议的EAP认证算法 TLS采用当前大多数电子应用交易采用的SecureSocketLayer SSL 版本 TLS被证明是一个安全的认证机制现在被作为802 1XEAP中的一种认证机制 EAP TLS在目前微软的XP平台上支持 传统的微软系统中也将陆续支持 在操作系统当中内置TLS客户端能够简化实施和减少厂商之间的兼容性问题 38 TLSOverview EAP TLS基于SSLV3 0 为了更好的了解EAP TLS的操作过程 这一部分介绍SSL和TLS之间的操作 TLS设计用来提供安全认证并为TCP IP连接提供加密 为了提供这个功能 TLS由下面三个协议组成 HandshakeProtocol握手协议RecordProtocol记录协议AlertProtocol报警协议 39 TLS认证过程 1 SSL客户端连接到服务器并发送认证请求 2 服务器向客户端发送数字证书 3 客户端确认服务器的合法性和数字签名 4 服务器请求客户端的认证 5 客户端向服务器发送它的数字证书 6 服务器确认客户端的合法性和数字签名 7 协商加密和消息一致性机制8 通过协商的协议和加密的隧道传输应用数据 40 EAP TLS认证过程 1 41 EAP TLS认证过程 2 1 客户端发送EAP开始信息到AP 2 AP返回一个EAP请求识别信息 3 客户端通过EAP回应信息向AP发送它的NetworkAccessIdentifier NAI 即它的用户名 4 AP通过RADIUS访问请求信息向RADIUS服务器发送NAI 5 RADIUS服务器向客户端回应它的数字证书 6 客户端确认服务器端的数字证书 7 客户端向RADIUS服务器发送它的数字证书 8 RADIUS服务器会通过客户端的证书确认客户端的合法性 9 客户端和服务器获得加密密钥10 RADIUS服务器向AP发送RADIUSACCEPT信息 包括客户端的WEP密钥 表明成功的认证 11 AP发送给客户端一个EAP成功信息 12 AP向客户端发送用客户端WEP密钥加密的广播密钥和密钥长度 42 RadiusServer Radius是一种协议和服务用来对拨号用户进行验证 authentication 和记帐 accounting RemoteAccessDial InUserService很多种包括CiscoACS FreeRADIUS GNURadius CiscoACS在3 0以后才支持802 1x 建议使用3 1版本如果使用PEAP FreeRADIUS最关键是免费 Serverorfreeradiusisadaemonforun xoperatingsystemswhichallowsonetosetup guesswhat aradiusprotocolserver whichisusuallyusedforauthenticationandaccountingofdial upusers Firstofall FreeRADIUSisanopen sourceproduct andhasallthebenefitsopen sourceprovides 43 Howitdiffersfromotherradiusservers Firstofall FreeRADIUSisanopen sourceproduct andhasallthebenefitsopen sourceprovides Also ithasmanyfeaturesnotfoundinfreeserversandmanycommercialones like oAccessbasedonhuntgroupsoMultipleDEFAULTentriesinraddb usersfileoAllusersfileentriescanoptionally fallthrough oCachesallconfigfilesin memoryoKeepsalistofloggedinusers radutmpfile o radwho programcanbeinstalledas fingerd oLogsbothUNIXwtmpfileformatandRADIUSdetaillogfilesoSupportsSimultaneous Use Xparameter Yes thismeansthatyoucannowpreventdoublelogins oSupportsVendor Specificattributes includingUSRnon standardones oSupportsproxyingoSupportsthe Alive packetoExec Program Wait allowsyoutosetupanexternalprogramwhichisexecutedafterauthenticationandoutputsalistofA Vpairswhichisthenaddedtothereply oSupportsPAMMoreinformationisavailableinthedocumentation 44 CiscoACSvsFreeRadius 1 CiscoACS 安装容易 操作简单 界面好 web 和Cisco产品集成的效果好 对802 1x种的多种协议都支持 PEAP TLS LEAP Cisco自己的协议 有技术支持 如果购买的话 建议安装在英文OS上面 45 CiscoACSvsFreeRadius 2 FreeRadius 支持多种unix安装相对来讲简单管理Radius时需要对Radius和unix有一定的了解 支持802 1x种的一些协议 其中一些将在以后的版本中支持 没有什么太好的技术支持 只有maillistgoogle和一些相应的web站点 当然也包括咱们CU的论坛了 46 CiscoACS3 1安装和配置forWindows2000 OS WindowsServer2000建议是英文版 安装最新的补丁Java1 3以上的版本 试验中使用的是java1 4 2 Netspace IERadius CiscoACS3 1forWindows 47 安装ACSforWindows 1 48 安装ACSforWindows 2 49 安装ACSforWindows 3 50 安装ACSforWindows 4 51 安装ACSforWindows 5 需要输入 52 安装ACSforWindows 6 53 安装ACSforWindows 7 54 安装ACSforWindows 8 55 安装ACSforWindows 9 56 LEAPforACS在Windows下的配置 57 Overivew 配置ACS建立用户配置NAS配置AccessPoint安装客户端软件测试 58 LEAP中的ACS配置 配置NAS配置用户和组 59 配置NAS 1 60 配置NAS 2 添加一个新的ap 61 配置NAS 3 在hostname字段中输入主机名称ClientIPAddress中输入AP的ip地址Key需要和AP上配置的一样 AuthentscateUsing选择Radius CiscoAironet 选择Submit Restart 62 选择UserSetup按钮如果第一次建立用户在User处输入用户名然后选择Add Edit 建立用户 1 63 建立用户 2 PasswordAuthentication口令认证方式 CiscoSecureDatabase输入口令选择组提交 64 配置AccessPoint 1 登陆后选择Security选择ServerManagerServer 输入Radius服务器地址SharedSecret Radius的key这次试验使用的是ciscoAuthenticationPort 1812AccountingPort 1813点击Apply完成配置 65 配置AccessPoint 2 在Security中选择SSIDManagerSSID testAuthenticationMethodsAccepted 选择OpenAuthentication和NetworkEAP点击Apply 66 安装客户端软件 1 67 安装客户端软件 2 68 配置客户端 69 配置客户端 2 70 配置客户端 3 71 配置客户端 4 72 配置客户端 5 73 配置客户端 6 74 配置客户端 7 75 验证成功 76 相应调试信息 从AccessPoint上面输入 debugdot11aaadot1xstate machinedebugdot11aaadot1xprocessdebugradiusauthentication 77 TLSforACS在Windows下的配置 78 Overview 服务器端 生成证书 服务器端将证书导入ACS进行相应的配置客户端 安装客户端证书配置客户端软件 79 如何在ACS上支持TLS认证 生成服务器端将证书导入ACS配置ACS支持TLS 80 生成服务器端证书 1 81 生成服务器端证书 2 82 生成服务器端证书 3 83 生成服务器端证书 4 84 生成服务器端证书 5 85 生成服务器端证书 6 86 生成服务器端证书 7 87 生成服务器端证书 8 88 验证证书 1 89 验证证书 2 90 安装证书 1 91 安装证书 2 92 安装证书 3 93 安装证书 4 94 安装证书 5 95 安装证书 6 96 安装证书 7 97 安装证书 8 98 安装证书 9 99 安装证书 10 100 安装证书 11 101 安装证书 12 102 安装证书 13 103 ACS配置完成 104 TLS中的AccessPoint的配置 和在leap中配置相同 105 TLS客户端的配置 106 OverView 申请和安装客户端证书检查证书配置客户端软件 107 申请和安装客户端证书 1 108 申请和安装客户端证书 2 109 申请和安装客户端证书 3 110 申请和安装客户端证书 4 111 申请和安装客户端证书 5 112 申请和安装客户端证书 6 113 检查客户端证书 1 114 检查客户端证书 2 115 检查客户端证书 3 116 检查客户端证书 4 117 检查客户端证书 5 118 检查客户端证书 6 119 安装和配置客户端软件 1 OS Windows2000 sp4orWindowsXPOdysseyClient 120 安装和配置客户端软件 2 121 安装和配置客户端软件 3 122 安装和配置客户端软件 4 123 安装和配置客户端软件 5 124 安装和配置客户端软件 6 125 安装和配置客户端软件 7 126 安装和配置客户端软件 8 127 安装和配置客户端软件 9 128 安装和配置客户端软件 10 129 安装和配置客户端软件 11 130 安装和配置客户端软件 12 131 安装和配置客户端软件 13 132 安装和配置客户端软件 13 133 安装和配置客户端软件 14 134 安装和配置客户端软件 15 135 安装和配置客户端软件 16 136 安装和配置客户端软件 17 137 安装和配置客户端软件 18 138 安装和配置客户端软件 19 139 802 1x服务器端在Linux下的实现 LEAP在FreeRadius下的实现TLS在FreeRadius下的实现 140 如何在FreeRadius下面配置支持LEAP认证 linux OS Unix linux BSDFreeRadius 推荐版本0 9 3ftp ftp freeradius org pub radius freeradius 0 9 3 tar gz 141 在Linux下的安装方法 OS RedhatAS2 1Kernel Linuxversion2 4 9 e 3 系统自带 完全安装 142 FreeRadius编译和安装 使用root用户登陆下载FreeRadius最新版软件ftp ftp freeradius org pub radius freeradius 0 9 3 tar gz释放FreeRadius软件tarzxvf freeradius 0 9 3 tar gz编译 configure prefix usr local radiusmakemakeinstall 143 配置FreeRadius 需要配置的文件 clients confDefinitionofaRADIUSclient usuallyaNAS radiusd confFreeRADIUSserverconfigurationfile usersUserInfoincludeUserNameandPassword 144 Clients conf 备份clinets conf文件 cp usr local etc raddb clients conf usr local etc raddb clients conf back编辑clients conf文件 vi usr local etc raddb clients conf加入如下内容 client109 10 6 84 secret ciscoshortname ciscoapnastype cisco client109 10 6 82 secret ciscoshortname testradiuspcnastype other 145 Client中的内容解释 连接用的APclient109 10 6 84 NAS地址secret cisco Radiuskeyshortname ciscoap NAS标识名字Nastype cisco nas类型 测试radius客户端client109 10 6 82 secret ciscoshortname testradiuspc 146 Radius conf配置 备份Radius conf cp usr local etc raddb radius conf usr local etc raddb radius conf back vi usr local etc raddb radius conf添加如下参数 eap default eap type leapleap authenticate eap 其余请参照响应配置 进行更改 147 users users备份users文件 cp usr local etc raddb users usr local etc raddb users back vi usr local etc raddb users添加用户例如 cisco Auth Type EAP User Password cisco Service Type Login User 123 Auth Type eap User Password 123 Service Type Login User test Auth Type Local User Password test Service Type Login User其中cisco和123是leap测试用户 test为测试radius是否配置正常的测试用户 148 试验启动和关闭是否正常 启动试验 radius X A ps ef grepradius netstat a grepradius关闭试验 ps ef grepradius netstat a grepradius 149 测试Radius访问 测试本地用户使用测试程序进行本地测试 root testdnsbin radtesttesttestlocalhost0ciscoSendingAccess Requestofid159to127 0 0 1 1812User Name test User Password test NAS IP Address testdnsNAS Port 0rad recv Access Acceptpacketfromhost127 0 0 1 1812 id 159 length 26Service Type Login User 150 测试从客户端发起请求 测试远程用户使用客户端软件发起radius请求模拟radius认证例如NTRadPing之类的程序FriDec515 05 572003 Auth LoginOK test fromclienttestradiuspcport0 151 编辑radius启动和关闭脚本 cp rc radius etc init d 启动脚本 ln s etc rc3 d S99Radius etc init d rc radius关闭脚本 ln s etc rc0 d k99Radius etc init d rc radius 152 相关配置 关于客户端和AP的配置请参照前面的配置进行 没有什么区别 这里就不在重复了 153 测试 使用pc进行连接查看是否能够通过验证其测试方法也同在ACS方法一样 这里就不在重复了 下面帖出一些调试信息 方便大家做为参照 154 如何在FreeRadius下面配置支持TLS认证 linux OS Unix linux BSDFreeRadius 推荐版本0 9 3ftp ftp freeradius org pub radius freeradius 0 9 3 tar gzOpenSSL OpenSSL0 9 7chttp www openssl org source openssl 0 9 7c tar gz 155 编译OpenSSL cp openssl 0 9 7c tar gz tmp cd tmp tarzxvf openssl 0 9 7c tar gzcd tmp openssl 0 9 7c config prefix usr local opensslsharedmakemaketestmakeinstall 156 配置O