HCWLA116WLAN接入安全及配置介紹ISSUE1.00

WLAN接入安全及配置介紹培訓目標學完本課程后，您應該能：概括WLAN認證和加密技術配置華為WLAN安全模板Page1目錄WLAN認證技術WLAN加密技術WLAN安全策略及安全模板配置Page2WLAN安全的發(fā)展歷程Page3時間基本加密沒有嚴格身份驗證靜態(tài)的、易破解的密鑰不可擴展也使用MAC過濾器以及SSID偽裝來完善WEP安全性發(fā)展趨勢安全WEP動態(tài)密鑰增強型加密用戶身份驗證802.1XEAPRadius802.1X標準化TKIP/CCMP加密嚴格的用戶身份驗證WPA/WPA2199720012003至今WLAN安全認證當前以802.11為標準的WLAN為廣大用戶提供了越來越高的無線接入帶寬，越來越多的用戶開始使用WLAN網(wǎng)絡，同時對WLAN的安全性也提出了越來越高的要求。如何保護用戶敏感數(shù)據(jù)的安全，保護用戶的隱私，是眾多WLAN用戶非常關心的問題。Page4開放系統(tǒng)認證開放系統(tǒng)認證（Opensystemauthentication）是缺省使用的認證機制，是最簡單的認證算法，即不認證。Page5認證請求認證成功STAAP服務區(qū)標識符(SSID)匹配Page6ESSID：group1ESSID：group2ESSID：group1ESSID：group2企業(yè)網(wǎng)絡ACAPAPSTASMAC認證Page7MAC:000FE20166BEMAC:000FE20166DDMAC:000FE20166DF地址控制接入表：MAC:000FE20166BFMAC:000FE20166DDMAC:000FE20166DFMAC:000FE2016612MAC:000FE20166E1MAC地址認證：在設備上預先配置允許訪問的MAC地址列表，如果客戶端的MAC地址不在允許訪問的MAC地址列表，將被拒絕其接入請求?！罶TA1STA2STA3APAC共享密鑰認證（Shared-keyauthentication）必須使用WEP加密方式，要求STA和AP使用相同的共享密鑰（key），通常被稱為靜態(tài)WEP密鑰。Page8共享密鑰認證認證請求隨機生成“挑戰(zhàn)短語”“挑戰(zhàn)短語”加密的密文認證成功預置密鑰預置密鑰使用密鑰加密明文密鑰解密后和明文比較STAAPIEEE802.1X認證簡介IEEE802.1X是IEEE制定關于用戶接入網(wǎng)絡的認證標準。它的全稱是“基于端口的網(wǎng)絡接入控制”。于2001年標準化，之后為了配合無線網(wǎng)絡的接入進行修訂改版，于2004年完成。Page9IEEE802.1X認證三大元素在802.1X架構(gòu)中，只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認證和授權?？蛻舳苏J證者認證服務器Page10客戶端認證者認證服務器EAP協(xié)議802.1X體系本身不是一個完整的認證機制，而是一個通用架構(gòu)。802.1X體系使用EAP（ExtensibleAuthenticationProtocol）認證協(xié)議。EAP的封包格式EAPoverLANsPage11LANHeaderCodeIdentifierLengthDataEAP類型Page12EAP類型認證方式備注EAP-MD5用戶名和密碼最早的EAP類型EAP-TLS(TransportLayerSecurity)客戶端：證書認證服務器：證書第一個符合無線網(wǎng)絡三項要求的身份驗證方式EAP-TTLS(TunnelledTransportLayerSecurity)認證服務器：證書可以使用任何第三方EAP認證方法，由FunkSoftware發(fā)起EAP-PEAP(ProtectedEAP)認證服務器：證書客戶端：用戶名+密碼雙層加密通道，由微軟、思科、RSA發(fā)起PSK認證PSK認證需要實現(xiàn)在無線客戶端和設備端配置相同的預共享密鑰，可以通過是否能夠?qū)f(xié)商的消息成功解密，來確定本端配置的預共享密鑰是否和對端配置的預共享密鑰相同，從而完成服務端和客戶端的互相認證。Page13相同的預共享密鑰PPPoE認證PPPoE（Point-to-PointProtocoloverEthernet），以太網(wǎng)上的點對點協(xié)議，是將點對點協(xié)議（PPP）封裝在以太網(wǎng)（Ethernet）框架中的一種網(wǎng)絡隧道協(xié)議。。PPPoE在WLAN使用時，和WLAN本身采用的認證加密沒有關系。PPPoE認證系統(tǒng)架構(gòu)：Page14PPPoE客戶端PPPoE服務器AAA服務器Portal認證Portal認證也稱Web認證。客戶端使用標準Web瀏覽器（例如IE），填入用戶名、密碼信息，頁面提交后，由Web服務器和設備配合完成用戶的認證。Portal認證體系架構(gòu)Page15Portal服務器客戶端接入服務器AAA服務器Portal認證過程Page16STA獲得IPHttp請求Http重定向Http定向到Portal服務器返回輸入的用戶名和密碼與Radius服務器認證交互下發(fā)認證結(jié)果APACRadiusServerPortalServerSTA目錄WLAN認證技術WLAN加密技術WLAN安全策略及安全模板配置Page17WLAN安全加密在WLAN用戶通過認證后并賦予訪問權限后，網(wǎng)絡必須保護用戶所傳送的數(shù)據(jù)不被窺視。主要的方法為對數(shù)據(jù)報文進行加密，保證只有特定的設備可以對接收到的報文成功解密。WLAN加密方式：WEP加密TKIP加密CCMP加密Page18WEP加密Page19KeyXORKeyStreamCipherTextRC4IVPlainText（data）MAC802.11EncrypteddataFCSWEP加密缺陷WEP夠了嗎？整個網(wǎng)絡共用一個共享密鑰，一旦丟失，整個網(wǎng)絡都很危險IV向量太短，大量監(jiān)聽用戶數(shù)據(jù)報文后，WEP加密很容易被破解RC4加密算法過于簡單解決辦法增加一種密鑰管理機制采用更強壯的加密算法Page20TKIP加密TKIP：臨時密鑰完整性協(xié)議（TemporalKeyIntegrityProtocol）使用RC4來實現(xiàn)數(shù)據(jù)加密，這樣可以重用用戶原有的硬件而不增加加密成本。TKIP加密特點將IVsize從24bits增加到48bits，減少了IV重用增加了Key的生成、管理以及傳遞的機制每用戶使用獨立的Key通過安全的傳遞方法傳遞用戶數(shù)據(jù)加密使用的Key使用Michael來實現(xiàn)MIC(MessageIntegrityCode)Page21密鑰的生成Page22PMKPMK生成Anonce生成PTK生成PTKInstallPTKInstallPTK發(fā)送Anonce發(fā)送Snonce，MIC協(xié)商PTK響應安裝PTKBaseKey（PTK）TransmitAddressPacketSequenceMixerKey四次握手密鑰混合密鑰消息完整性校驗（MIC）Page23DASAPayloadMICKeyMIC8-ByteMICMIC通過以下因素計算：MICKey目的MAC地址源地址MAC地址數(shù)據(jù)CCMP加密CCMP是圍繞AES建立的安全協(xié)議，稱為計數(shù)器模式+密碼塊鏈認證碼協(xié)議（CounterModewithCipherBlockChainingMACProtocol，CCMP）。即CCMP=CounterMode+CBC-MACAES算法加密，比RC4健壯同TKIP加密一樣的密鑰分發(fā)和管理機制，使用128bits密鑰AES需要升級硬件Page24加密方式對比加密方式WEPTKIPCCMP加密算法RC4RC4AES密鑰長度40or104bits128bits128bits密鑰壽命24-bitIV48-bitIV48-bitIV數(shù)據(jù)校驗算法CRC-32MichaelCBC密鑰管理None4-wayHandshake4-wayHandshakePage25目錄WLAN認證技術WLAN加密技術WLAN安全策略及安全模板配置Page26安全策略認證：不認證加密：不加密應用配合業(yè)務層Portal認證作為計費方式，廣泛應用于運營商場景中。配置方法：華為設備中安全模板默認即為不認證、不加密Page27WEP認證：共享密鑰認證加密：WEP加密（RC4）應用：常用與家庭、個人無線網(wǎng)絡中，對安全性要求不高，需要專人維護密鑰。Page28WEP配置方法：Page29[AC-wlan-ac-view]security-profilenametestWEP-40hex加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-40hex01234567890[HUAWEI-wlan-sec-prof-test]wepdefault-key0WEP-40pass-phrase加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-40pass-phrase012345[HUAWEI-wlan-sec-prof-test]wepdefault-key0WEPPage30WEP-104hex加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-104hex012345678901234567890123456[HUAWEI-wlan-sec-prof-test]wepdefault-key0WEP-104pass-phase加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-104pass-phrase01234567890abc[HUAWEI-wlan-sec-prof-test]wepdefault-key0WPAWPA

(Wi-FiProtectedAccess)認證方式：WPA個人版：PSKWPA企業(yè)版：802.1X+EAP加密方式：TKIP應用場景：WPA個人版適合個人、家庭與小型SOHO網(wǎng)絡，對網(wǎng)絡安全要求相對較低，不適用認證服務器。WPA企業(yè)版適合企業(yè)等安全性要求較高的網(wǎng)絡，需要有認證服務器。Page31WPA配置方法：Page32WPA-PSK（TKIP加密方式）：

[HUAWEI-wlan-sec-prof-test]security-policywpa[HUAWEI-wlan-sec-prof-test]wpaauthentication-methodpskpass-phrasesimple12345678encryption-methodtkipWPA-PEAP（TKIP加密方式）：[HUAWEI-wlan-sec-prof-test]security-policywpa[HUAWEI-wlan-sec-prof-test]wpaauthentication-methoddot1xpeapencryption-methodtkipWPA2WPA2是經(jīng)由Wi-Fi聯(lián)盟驗證過的IEEE802.11i標準的認證形式。認證方式：WPA個人版：PSKWPA企業(yè)版：802.1X+EAP加密：TKIPCCMP應用：同WPAPage33WPA-PSK配置方法：Page34WPA-PSK認證，tkip加密方式[HUAWEI-wlan-sec-prof-test]security-policywpa[HUAWEI-wlan-sec-prof-test]wpaauthentication-methodpskpass-phrasesimple12345678encryption-methodtkip

WPAdot1x認證radius-servertemplatehuaweiradius-servershared-keysimplehuaweiradius-serverauthentication001812aaaauthentication-schemehuaweiauthentication-moderadiusdomaindefaultauthentication-schemehuaweiradius-serverhuaweiPage35WPAdot1x認證（續(xù)）interfaceWLAN-Ess1porthybridpvidvlan101porthybriduntaggedvlan101dot1x-authenticationenabledot1xauthentication-methodeap

security-profilenamesecurity-3id3security-policywpa2wpa2authentication-methoddot1xpeapencryption-methodccmpservice-setnamehuawei101id2WLAN-ess1ssidhuawei101traffic-profileid1

security-profileid3service-vlan101Page36WPA/WPA2在最新的實現(xiàn)中，不管是WPA還是WPA2都可以使用802.1X認證或PSK認證。加密方法上也都可以使用TKIP或者CCMP加密。因此，WPA的認證加密組合有：WPA-PSK+TKIPWPA-PSK+CCMPWPA2-PSK+TKIPWPA2-PSK+CCMPPage37WPA-802.1X+TKIPWPA-802.1X+CCMPWPA2-802.1X+TKIPWPA2-802.1X+CCMPWAPIWAPI是WLANAuthenticationandPrivacyInfrastructure（無線局域網(wǎng)鑒別與保密基礎結(jié)構(gòu)）的簡稱，是中國提出的、以802.11無線協(xié)議為基礎的無線安全標準，WAPI的以太類型字段為0x88B4。技術背景基于三元結(jié)構(gòu)和對等鑒別的訪問控制方法可普遍適用于無線、有線網(wǎng)絡WAPI目的：“合法用戶接入合法網(wǎng)絡”Page38WAPI三元架構(gòu)Page39WEP802.1X+EAP(802.11i)WAPI二元安全架構(gòu)對應二物理實體單向鑒別無法保證安全三元安全架構(gòu)對應三物理實體接入點/基站有獨立身份完整雙向認證有效保證安全二元安全架構(gòu)對應三物理實體AP無獨立身份，易被攻擊仍無法保證安全WAPIWAPI協(xié)議由以下兩部分構(gòu)成：WAI：是WLANAuthenticationInfrastructure（無線局域網(wǎng)鑒別基礎結(jié)構(gòu)）的簡稱，是用于無線局域網(wǎng)中身份鑒別和密鑰管理的安全方案；WPI：是WLANPrivacyInfrastructure（無線局域網(wǎng)保密基礎結(jié)構(gòu)）的簡稱，是用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護等功能。Page40WAPIWAPI服務與WEP/WPA/WPA2的區(qū)別：WAPI支持WLAN客戶端和接入網(wǎng)絡的雙向認證，即網(wǎng)絡驗證用戶的