HCWLA116WLAN接入安全及配置介紹ISSUE100

1、Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WLAN接入安全及配置介紹Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 培訓(xùn)目標(biāo)l學(xué)完本課程后，您應(yīng)該能：p概括WLAN認(rèn)證和加密技術(shù)p配置華為WLAN安全模板Page1Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 目 錄1. WLAN認(rèn)證技術(shù)認(rèn)證技術(shù)2. WLAN加密技術(shù)3. WLAN安全策略

2、及安全模板配置Page2Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WLAN 安全的發(fā)展歷程Page3時(shí)間時(shí)間基本加密沒有嚴(yán)格身份驗(yàn)證靜態(tài)的、易破解的密鑰不可擴(kuò)展也使用 MAC 過(guò)濾器以及 SSID 偽裝來(lái)完善 WEP安全性發(fā)展安全性發(fā)展趨勢(shì)趨勢(shì)安全安全WEP 動(dòng)態(tài)密鑰 增強(qiáng)型加密 用戶身份驗(yàn)證 802.1X EAP Radius802.1X 標(biāo)準(zhǔn)化 TKIP/CCMP加密 嚴(yán)格的用戶身份驗(yàn)證WPA/WPA2199719972001200120032003至今至今Copyright 2012 Huawei

3、Technologies Co., Ltd. All rights reserved. WLAN安全認(rèn)證l當(dāng)前以802.11為標(biāo)準(zhǔn)的WLAN為廣大用戶提供了越來(lái)越高的無(wú)線接入帶寬，越來(lái)越多的用戶開始使用WLAN網(wǎng)絡(luò)，同時(shí)對(duì)WLAN的安全性也提出了越來(lái)越高的要求。l如何保護(hù)用戶敏感數(shù)據(jù)的安全，保護(hù)用戶的隱私，是眾多WLAN用戶非常關(guān)心的問題。Page4Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 開放系統(tǒng)認(rèn)證l開放系統(tǒng)認(rèn)證（ Open system authentication ）是缺省使用的認(rèn)證機(jī)制，是最簡(jiǎn)單

4、的認(rèn)證算法，即不認(rèn)證。Page5認(rèn)證請(qǐng)求認(rèn)證成功STAAPCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 服務(wù)區(qū)標(biāo)識(shí)符 ( SSID ) 匹配Page6ESSID：group1ESSID：group2ESSID：group1ESSID：group2企業(yè)網(wǎng)絡(luò)ACAPAPSTASCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. MAC認(rèn)證Page7MAC:000FE20166BEMAC:000FE20166DDMAC:000FE201

5、66DF地址控制接入表：MAC:000FE20166BFMAC:000FE20166DDMAC:000FE20166DFMAC:000FE2016612MAC:000FE20166E1lMAC 地址認(rèn)證：在設(shè)備上預(yù)先配置允許訪問的MAC 地址列表，如果客戶端的MAC 地址不在允許訪問的MAC 地址列表，將被拒絕其接入請(qǐng)求。STA1STA2STA3APACCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. l共享密鑰認(rèn)證（ Shared-key authentication ）必須使用WEP加密方式，要求STA和AP

6、使用相同的共享密鑰（key），通常被稱為靜態(tài)WEP密鑰。Page8共享密鑰認(rèn)證認(rèn)證請(qǐng)求隨機(jī)生成“挑戰(zhàn)短語(yǔ)”“挑戰(zhàn)短語(yǔ)”加密的密文認(rèn)證成功預(yù)置密鑰預(yù)置密鑰使用密鑰加密明文密鑰解密后和明文比較STAAPCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. IEEE802.1X認(rèn)證簡(jiǎn)介lIEEE 802.1X是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)。它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。于2001年標(biāo)準(zhǔn)化，之后為了配合無(wú)線網(wǎng)絡(luò)的接入進(jìn)行修訂改版，于2004年完成。Page9Copyright 2012 Huawei Tec

7、hnologies Co., Ltd. All rights reserved. IEEE802.1X認(rèn)證三大元素l在802.1X架構(gòu)中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。 p客戶端p認(rèn)證者p認(rèn)證服務(wù)器Page10客戶端認(rèn)證者認(rèn)證服務(wù)器Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. EAP協(xié)議l802.1X體系本身不是一個(gè)完整的認(rèn)證機(jī)制，而是一個(gè)通用架構(gòu)。l802.1X體系使用EAP（Extensible Authentication Protocol）認(rèn)證協(xié)議。lEAP的封包

8、格式pEAP over LANsPage11LANHeaderCodeIdentifierLengthDataCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. EAP類型Page12EAP類型類型認(rèn)證方式認(rèn)證方式備注備注EAP-MD5用戶名和密碼最早的EAP類型EAP-TLS(Transport Layer Security) 客戶端：證書認(rèn)證服務(wù)器：證書第一個(gè)符合無(wú)線網(wǎng)絡(luò)三項(xiàng)要求的身份驗(yàn)證方式EAP-TTLS (Tunnelled Transport Layer Security)認(rèn)證服務(wù)器：證書可以使用任何第

9、三方EAP認(rèn)證方法，由Funk Software發(fā)起EAP-PEAP(Protected EAP)認(rèn)證服務(wù)器：證書客戶端：用戶名+密碼雙層加密通道，由微軟、思科、 RSA 發(fā)起Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. PSK認(rèn)證lPSK認(rèn)證需要實(shí)現(xiàn)在無(wú)線客戶端和設(shè)備端配置相同的預(yù)共享密鑰，可以通過(guò)是否能夠?qū)f(xié)商的消息成功解密，來(lái)確定本端配置的預(yù)共享密鑰是否和對(duì)端配置的預(yù)共享密鑰相同，從而完成服務(wù)端和客戶端的互相認(rèn)證。Page13相同的預(yù)共享密鑰Copyright 2012 Huawei Technolog

10、ies Co., Ltd. All rights reserved. PPPoE認(rèn)證lPPPoE（Point-to-Point Protocol over Ethernet），以太網(wǎng)上的點(diǎn)對(duì)點(diǎn)協(xié)議，是將點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）封裝在以太網(wǎng)（Ethernet）框架中的一種網(wǎng)絡(luò)隧道協(xié)議。lPPPoE在WLAN使用時(shí)，和WLAN本身采用的認(rèn)證加密沒有關(guān)系。lPPPoE認(rèn)證系統(tǒng)架構(gòu)：Page14PPPoE客戶端PPPoE服務(wù)器AAA服務(wù)器Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Portal認(rèn)證lPortal認(rèn)證也稱

11、Web認(rèn)證?？蛻舳耸褂脴?biāo)準(zhǔn)Web瀏覽器（例如IE），填入用戶名、密碼信息，頁(yè)面提交后，由Web服務(wù)器和設(shè)備配合完成用戶的認(rèn)證。lPortal認(rèn)證體系架構(gòu)Page15Portal服務(wù)器客戶端接入服務(wù)器AAA服務(wù)器Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Portal認(rèn)證過(guò)程Page16STA獲得IPHttp請(qǐng)求Http重定向Http定向到Portal服務(wù)器返回輸入的用戶名和密碼與Radius服務(wù)器認(rèn)證交互下發(fā)認(rèn)證結(jié)果APACRadius ServerPortal ServerSTACopyright 201

12、2 Huawei Technologies Co., Ltd. All rights reserved. 目 錄1. WLAN認(rèn)證技術(shù)2. WLAN加密技術(shù)加密技術(shù)3. WLAN安全策略及安全模板配置Page17Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WLAN安全加密l在WLAN用戶通過(guò)認(rèn)證后并賦予訪問權(quán)限后，網(wǎng)絡(luò)必須保護(hù)用戶所傳送的數(shù)據(jù)不被窺視。主要的方法為對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密，保證只有特定的設(shè)備可以對(duì)接收到的報(bào)文成功解密。lWLAN加密方式：pWEP加密pTKIP加密pCCMP加密Page18Copy

13、right 2012 Huawei Technologies Co., Ltd. All rights reserved. WEP加密Page19KeyXORKey StreamCipher TextRC4IVPlain Text（data）MAC802.11Encrypted dataFCSCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEP加密缺陷lWEP夠了嗎？p整個(gè)網(wǎng)絡(luò)共用一個(gè)共享密鑰，一旦丟失，整個(gè)網(wǎng)絡(luò)都很危險(xiǎn)pIV向量太短，大量監(jiān)聽用戶數(shù)據(jù)報(bào)文后，WEP加密很容易被破解pRC4加密算法過(guò)于簡(jiǎn)單l解

14、決辦法p增加一種密鑰管理機(jī)制p采用更強(qiáng)壯的加密算法Page20Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. TKIP加密lTKIP：臨時(shí)密鑰完整性協(xié)議（Temporal Key Integrity Protocol）l使用RC4來(lái)實(shí)現(xiàn)數(shù)據(jù)加密，這樣可以重用用戶原有的硬件而不增加加密成本。lTKIP加密特點(diǎn)p將IV size 從 24 bits 增加到 48 bits，減少了IV重用p增加了 Key的生成、管理以及傳遞的機(jī)制n每用戶使用獨(dú)立的Keyn通過(guò)安全的傳遞方法傳遞用戶數(shù)據(jù)加密使用的Keyp使用Micha

15、el來(lái)實(shí)現(xiàn)MIC (Message Integrity Code )Page21Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 密鑰的生成Page22PMKPMK生成Anonce生成PTK生成PTKInstall PTKInstall PTK發(fā)送Anonce發(fā)送Snonce，MIC協(xié)商PTK響應(yīng)安裝PTKBase Key（PTK）Transmit AddressPacket SequenceMixerKey四次握手密鑰混合密鑰Copyright 2012 Huawei Technologies Co., Ltd

16、. All rights reserved. 消息完整性校驗(yàn)（MIC）Page23DASAPayloadMIC KeyMIC8-ByteMIClMIC通過(guò)以下因素計(jì)算：pMIC Keyp目的MAC地址p源地址MAC地址p數(shù)據(jù)Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. CCMP 加密lCCMP是圍繞AES建立的安全協(xié)議，稱為計(jì)數(shù)器模式+密碼塊鏈認(rèn)證碼協(xié)議（ Counter Mode with Cipher Block Chaining MAC Protocol，CCMP）。p即CCMP=Counter Mod

17、e + CBC-MACpAES算法加密，比RC4健壯p同TKIP加密一樣的密鑰分發(fā)和管理機(jī)制，使用128bits密鑰pAES需要升級(jí)硬件Page24Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 加密方式對(duì)比加密方式加密方式WEPTKIPCCMP加密算法加密算法RC4RC4AES密鑰長(zhǎng)度密鑰長(zhǎng)度40 or 104 bits128 bits128bits密鑰壽命密鑰壽命24-bit IV48-bit IV48-bit IV數(shù)據(jù)校驗(yàn)算法數(shù)據(jù)校驗(yàn)算法CRC-32MichaelCBC密鑰管理密鑰管理None4-way

18、Handshake4-way HandshakePage25Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 目 錄1. WLAN認(rèn)證技術(shù)2. WLAN加密技術(shù)3. WLAN安全策略及安全模板配置安全策略及安全模板配置Page26Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 安全策略l認(rèn)證：不認(rèn)證l加密：不加密l應(yīng)用p配合業(yè)務(wù)層Portal認(rèn)證作為計(jì)費(fèi)方式，廣泛應(yīng)用于運(yùn)營(yíng)商場(chǎng)景中。l配置方法：p華為設(shè)備中安全模板默認(rèn)即為不認(rèn)證、

19、不加密Page27Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEPl認(rèn)證：共享密鑰認(rèn)證l加密：WEP加密（RC4）l應(yīng)用：p常用與家庭、個(gè)人無(wú)線網(wǎng)絡(luò)中，對(duì)安全性要求不高，需要專人維護(hù)密鑰。Page28Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEPl配置方法：Page29AC-wlan-ac-view security-profile name testWEP-40 hex加密方式HUAWEI-wlan-sec-pr

20、of-test security-policy wep HUAWEI-wlan-sec-prof-test wep authentication-method share-key HUAWEI-wlan-sec-prof-test wep key wep-40 hex 0 1234567890HUAWEI-wlan-sec-prof-test wep default-key 0WEP-40 pass-phrase 加密方式HUAWEI-wlan-sec-prof-test security-policy wep HUAWEI-wlan-sec-prof-test wep authenticat

21、ion-method share-key HUAWEI-wlan-sec-prof-test wep key wep-40 pass-phrase 0 12345HUAWEI-wlan-sec-prof-test wep default-key 0Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEPPage30WEP-104 hex 加密方式HUAWEI-wlan-sec-prof-test security-policy wep HUAWEI-wlan-sec-prof-test wep authentic

22、ation-method share-key HUAWEI-wlan-sec-prof-test wep key wep-104 hex 0 12345678901234567890123456 HUAWEI-wlan-sec-prof-test wep default-key 0WEP-104 pass-phase 加密方式HUAWEI-wlan-sec-prof-test security-policy wep HUAWEI-wlan-sec-prof-test wep authentication-method share-key HUAWEI-wlan-sec-prof-test we

23、p key wep-104 pass-phrase 0 1234567890abcHUAWEI-wlan-sec-prof-test wep default-key 0Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPAlWPA (Wi-Fi Protected Access) l認(rèn)證方式：pWPA個(gè)人版：PSKpWPA企業(yè)版：802.1X+EAPl加密方式：TKIPl應(yīng)用場(chǎng)景：pWPA個(gè)人版適合個(gè)人、家庭與小型SOHO網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)安全要求相對(duì)較低，不適用認(rèn)證服務(wù)器。pWPA企業(yè)版適合企業(yè)等安全性要求較高的網(wǎng)

24、絡(luò)，需要有認(rèn)證服務(wù)器。Page31Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPAl配置方法：Page32WPA-PSK（TKIP 加密方式）： HUAWEI-wlan-sec-prof-test security-policy wpaHUAWEI-wlan-sec-prof-test wpa authentication-method psk pass-phrase simple 12345678 encryption-method tkip WPA-PEAP（TKIP 加密方式 ）：HUAWEI-wl

25、an-sec-prof-test security-policy wpaHUAWEI-wlan-sec-prof-test wpa authentication-method dot1x peap encryption-method tkip Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPA2lWPA2 是經(jīng)由 Wi-Fi 聯(lián)盟驗(yàn)證過(guò)的 IEEE 802.11i 標(biāo)準(zhǔn)的認(rèn)證形式。l認(rèn)證方式：pWPA個(gè)人版：PSKpWPA企業(yè)版：802.1X+EAPl加密：pTKIPpCCMPl應(yīng)用：同WPAPage33C

26、opyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPA-PSKl配置方法：Page34WPA-PSK認(rèn)證，tkip 加密方式 HUAWEI-wlan-sec-prof-test security-policy wpaHUAWEI-wlan-sec-prof-test wpa authentication-method psk pass-phrase simple 12345678 encryption-method tkip Copyright 2012 Huawei Technologies Co., Ltd.

27、 All rights reserved. WPA dot1x認(rèn)證radius-server template huawei radius-server shared-key simple huawei radius-server authentication 00 1812aaa authentication-scheme huawei authentication-mode radius domain default authentication-scheme huawei radius-server huaweiPage35Copyright 2012 Huawei T

28、echnologies Co., Ltd. All rights reserved. WPA dot1x認(rèn)證（續(xù)）interface WLAN-Ess1 port hybrid pvid vlan 101 port hybrid untagged vlan 101 dot1x-authentication enable dot1x authentication-method eap security-profile name security-3 id 3 security-policy wpa2 wpa2 authentication-method dot1x peap encryption

29、-method ccmp service-set name huawei101 id 2 WLAN-ess 1 ssid huawei101 traffic-profile id 1 security-profile id 3 service-vlan 101Page36Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPA/WPA2l在最新的實(shí)現(xiàn)中，不管是WPA還是WPA2都可以使用802.1X認(rèn)證或PSK認(rèn)證。l加密方法上也都可以使用TKIP或者CCMP加密。l因此，WPA的認(rèn)證加密組合有：pWPA-PSK

30、 + TKIPpWPA-PSK + CCMPpWPA2-PSK + TKIPpWPA2-PSK + CCMPPage37pWPA -802.1X + TKIPpWPA -802.1X + CCMPpWPA2 -802.1X + TKIPpWPA2 -802.1X + CCMPCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WAPIlWAPI是WLAN Authentication and Privacy Infrastructure（無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）的簡(jiǎn)稱，是中國(guó)提出的、以802.11無(wú)線協(xié)議為基

31、礎(chǔ)的無(wú)線安全標(biāo)準(zhǔn)，WAPI的以太類型字段為0 x88B4。l技術(shù)背景p基于三元結(jié)構(gòu)和對(duì)等鑒別的訪問控制方法p可普遍適用于無(wú)線、有線網(wǎng)絡(luò)pWAPI目的：“合法用戶接入合法網(wǎng)絡(luò)”Page38Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WAPI三元架構(gòu)Page39WEP802.1X+EAP(802.11i)WAPI二元安全架構(gòu)對(duì)應(yīng)二物理實(shí)體單向鑒別無(wú)法保證安全 三元安全架構(gòu)對(duì)應(yīng)三物理實(shí)體接入點(diǎn)/基站有獨(dú)立身份完整雙向認(rèn)證 有效保證安全二元安全架構(gòu)對(duì)應(yīng)三物理實(shí)體AP無(wú)獨(dú)立身份，易被攻擊 仍無(wú)法保證安全 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WAPIlWAPI協(xié)議由以下兩部分構(gòu)成：pWAI：是WLAN Authentication Infrastructure（無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)）的簡(jiǎn)稱，是用于無(wú)線局域網(wǎng)中身份鑒別和密鑰管理的安全方案； pWPI：是WLAN Privacy Infrastructure（無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)）的簡(jiǎn)稱，是用于無(wú)線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能。P