在無線網絡中實現安全認證

河南 郭建偉

使用LDAP 實現安全認證

當然，對于比較復雜的網絡來說，可以在配置ISE 設備來作為RADIUS 服務器，當無線用戶連接時，WLC 會將其輸入的賬戶名和密碼信息發送給ISE 設備，ISE 通過LDAP 聯系目錄服務器，來獲取認證信息。當認證通過后，ISE 設備對該用戶進行授權操作，之后將授權和認證信息回送給WLC，該用戶才可以接入無線網絡。對于思科WLC 來說，其支持本地EAP 認證，即WLC 本身作為RADUIS服務器來使用。

用戶名和密碼等認證信息可以存儲在WLC 本地，也可以存儲在后臺的活動目錄服務器上。WLC 通過LDAP 向其執行查詢操作。注意，LDAP 認證只能使用EAP →FAST，PEAP →GTC 和EAP →TLS 方式。

對于Local EAP 來說，其好處在于當外部的3A 服務器（例如ISE 等）出現故障時，其可以正常為客戶提供服務。外部RADUS 服務擁有更高的優先級，即WLC 會先尋找外部RADIUS 服務器進行認證，如果失敗則使用本地EAP 認證。當然，也可以針對目標WLAN 進行設定，只允許其使用本地EAP 認證。

登錄到某款思科WLC 管理界面，點擊工具欄上的“SECURITY”項，在左側選擇“AAA”→“LDAP”項，在右側的“Server IP Address”欄中輸入活動目錄服務器的IP地址，在“Simple Bind”列表中選擇“Authenticated”項，在“Bind Username”欄中輸入域管理員名稱，在“Bind Pasword”欄中輸入其密碼。在“User Base DN”欄中輸入“cn=users,dc=xxx,dc=com”，其中的“users”為活動目錄中的名為“users”的OU，在其中存儲在AD 中的用戶信息，“xxx”表示具體的域名。

在“User Attritube”欄中輸入“sAMAccountName”，這是LDAP 的一個屬性值，其等同于用戶名。在“User Object Type”欄中輸入“person”，其余設置保持默認，點擊“Apply”按鈕保存配置信息。在左側選擇“Access Control Lists”→“Access Control Lists”項，在右側點擊“New”按鈕，輸入新的ACL 的名稱（例如“acl1”），來創建該ACL 列表。在其編輯窗口中點擊“New Rule”按鈕，創建一個新的規則，在“Protocol”列表中選擇“ICMP”項，在“Action”列表中選擇“Permit”項，放行ICMP 流量。

再創建一條規則，在“Protocol”和“Destination Port”列表中均選擇“UDP”，在“Action”列表中選擇“Permit”項，放行UDP 流量。之后創建新的規則，在“Protocol”列表中選擇“UDP”，在“Source Port”列表中選擇“DNS”項，在“Action”列表中選擇“Action”列表中選擇“Permit”項，放行DNS 流量。再創建兩條條規則，分別在“Source”和“Destination IP”列表中選擇“IP Address”欄中輸入目標IP，例如“1.1.1.1”。其余保持默認，對其執行放行動作。

這樣，在執行Web 認證時，當用戶訪問域名信息時，就會被WLC 重定向到指定的IP 地址，并打開認證頁面，當用戶輸入賬戶名和密碼后，會通過LDAP 發送給后臺AD數據庫，來執行認證操作。

使用PEAP 實現安全認證

對于PEAP 來說，在客戶端和RADIUS 服務器之間會建立一條TLS 的隧道，在該隧道中發送相關的EAP 數據，客戶需要使用證書來驗證RADIUS 服務器，服務器也會使用賬戶名和密碼來驗證客戶。

在工具欄上選擇“WLANs”項，在列表中選擇“Create New”項，點擊“Go”按鈕，輸入新的WLAN 和SSID名 稱（例 如“AuthWlan”），來創建該WLAN。在其屬性窗口中的“General”面板中的“Status”欄中選擇“Enabled”項，激活該WLAN。在“Interface/Interface Group”列表中選擇對應的VLAN。在“Security”面板中的“Layer2”標簽中的“layer 2 Security”列表中選擇“None”項，禁用二層安全功能。

在“Layer3”標簽中的“Layer 3 Security”列 表中選擇“Web Policy”項，執行Web 認證功能。在選擇“Preauthentication ACL”列表中選擇上述“Acl1”的ACL 項目，在“AAA”標簽中的“LADP Servers 1”欄中輸入活動目錄服務器的IP 地址，例如“IP:172.16.1.10,port:309”。

完成以上配置后，在客戶端上連接上述SSID，之后訪問任意網址，就會被重定向到指定的地址上，在顯示的認證頁面中輸入用戶名和密碼，WLC 就會將其通過LDAP發送到活動目錄服務器上，如果在AD 數據庫中存在該賬戶（例如可以事先在AD 中創建該賬戶），那么認證就會成功，該客戶就可以順利接入無線網絡。

對 于Local EAP 來說，可以在WLC 本地完成認證過程。在工具欄上選擇“SECURITY”項，在左側選擇“Local EAP”→“Profiles”項，在右側點擊“New”按鈕，輸入其名稱（例如“Leap1”），創建該EAP Profile。在其屬性編輯窗口中選擇“PEAP”項，激活EAP 認證功能。在左側選擇“Local EAP”→“Authentication Proority”項，在右側可以調整認證優先級順序。在左側選擇“AAA”→“Local Net Users”項，在右側點擊“New”按鈕，輸入賬戶名和密碼，在“WLAN Profile”列表中為其指定WLAN。

可以按照上述方法創建所需的WLAN，為其設定SSID。在其屬性窗口中的“Security”面板中的“AAA Servers”標簽中選擇“Local EAP Authentication”欄中的“Enabled”項，在“EAP Profile Name”列表中選擇上述名為“Leap1”的Profile，激活本地認證服務。對于EAP 來說，一般適用于企業內部網絡。之后在客戶端使用Cisco AnyConnect Security Mobility Client連接該SSID，選擇PEAP 認證方式，在彈出的提示窗口中點擊OK 按鈕，信任WLC 的自簽名證書，輸入賬戶名和密碼，在WLC 上執行本地認證，如果沒有問題就可以接入無線網絡。

使用EAP-TLS 實現安全認證

對于EAP TLS 認證來說，也會在客戶端和RADIUS 服務器之間會建立一條TLS 的隧道，在其中相互發送證書和數字簽名來進行認證。這樣，在客戶端和WLC 之間都必須申請根證書和個人證書，才可以實現該認證方式。

例如在Windows Server 2008 R2 上打開證書管理窗口，在左側的“證書模版”項的右鍵菜單上點擊“管理”項，在模版列表中選擇“Web服務器”項，在其右鍵菜單上點擊“復制模版”項，直接點擊確定按鈕，在新模版屬性窗口中的“常規”面板中輸入其名稱（例如“leaprz”）。

在“請求處理”面板中選擇“允許導出私鑰”項，在“安全”面板中選擇“Authenticated Users”賬戶組，在“寫入”和“注冊”欄中分別選擇“允許”項，點擊確定按鈕將其導入進來。在上述窗口中選擇“證書模版”項，在右側的空白位置點擊右鍵，在彈出菜單中選擇“新建”→“要頒發的證書模版”項，選擇上述“laprz”模版，將其發布進來。打開IIS 管理器窗口，在左側選擇“網站”→“Default WebSite”項，在右側點擊“綁定”鏈接，點擊“添加”按鈕，在打開窗口中的“SSL 證書”列表中選擇所需的證書。

在瀏覽器中訪問“https://server1.xxx.com/certsrv”地址，其中的“server1”為CA 服務器的名稱。輸入域管理員賬戶和密碼，在證書申請頁面中依次點擊“申請證書”，“創建并向此CA 提交一個申請”連接，在“證書模版”列表中選擇“leaprz”模版，在“姓名”欄中輸入WLC 的設備名稱，選擇“標記密碼為可導出”項，點擊“提交”按鈕，點擊“安裝此證書”鏈接安裝操作。打開IE 的屬性窗口，在“內容”面板中點擊“證書”按鈕，選擇上述證書，點擊“導出”按鈕，在向導窗口中選擇“是，導出私鑰”項，點擊“下一步”按鈕，選擇“導出所有擴展屬性”項，在下一步窗口中輸入密碼來保護私鑰。之后點擊“瀏覽”按鈕，將證書導出（例如“wlczs.pfw”）。這樣，就得到了個人證書。

訪問“https://server1.xxx.com/certsrv”地 址，在證書申請頁面中依次點擊“下載CA 證書，證書鏈或CRL”項，選擇“base 64”項，點擊“下載CA 證書”鏈接，將保存根證書（例如“root.cer”）。

注意，對于微軟提供的證書，思科設備是不支持的。需要使用OpenSSL 這一工具進行轉換。在CMD 窗口中切換到該工具安裝路徑中的“Bin”目錄下，執行“openssl pkcs12 -in wlczs.pfx -out wlczr.pem”命令，將上述個人證書轉換為思科支持的格式。為了便于傳輸，可以創建一個TFTP 服務器，將轉換后的證書和上述根證書存放到其根目錄下。

在WLC 管理界面工具欄上選擇“COMMANDS”項，在左側選擇“Download File”項，在右側的“File Type”列表中選擇“Vendor CA Certificate”項，在“Tansfer Mode”列表中選擇“TFTP”項，在“IP Address”欄中輸入TFP 服務器的IP，在“Maximum retries”欄中輸入“10”，在“Timeout”欄中輸入“6”，在“File Path”欄中輸入“./.”，在“File Name”欄中輸入“root.cer”，點 擊“Downlad”按鈕，下載和安裝所需的根證書。之后繼續執行下載操作，基本參數與上述相同，所不同的是在“File Type”列表中選擇“Vendor Device Certificate”項，在“Certificate Password”欄中上述輸入上述密碼，在“File Name”欄 中 輸入“wlcrz.pem”，點 擊“Download”按鈕下載和安裝個人證書。之后點擊“Save and Reboot”按鈕重啟WLC。

在客戶端訪問訪問“https://server1.xxx.com/certsrv”地址，輸入域管理員賬戶名和密碼，在證書申請頁面中依次“下載CA證書，證書鏈或CRL”，選擇“Base 64”項，點擊“下載CA證書”鏈接，將根證書保存到本地。雙擊該根證書，在向導界面中選擇“將所有的證書放入下列存儲”項，點擊“瀏覽”按鈕，選擇“受信任的根證書頒發機構”項，點擊“完成”按鈕，將其安裝到指定位置。之后在證書申請頁面中點擊“申請證書”，“用戶證書”連接，在“密鑰強度”列表中選擇“高級”項，點擊“提交”按鈕，獲取個人證書。

之后點擊“安裝此證書”鏈接，安裝個人證書。在WLC 管理界面工具欄上選擇“SECURITY”項，在左側選擇“Local EAP”→“Profiles”項，在右側點擊“New”按鈕，輸入其名稱（例如“Leapt”），創建該EAP Profile。在其屬性編輯窗口中選擇“EAP-TLS”項，激活EAPTLS 認證功能。在“Local Certificate Required”和“Client Certificate required”欄中分別選擇“Enabled”項，在WLC 和 客戶端均需要證書認證。在“Certificate Issuer”列表中選擇“Vendor”項，表示證書由其他廠商提供。注意，不要在“Check against CA certificates”欄中選擇“Enabled”項，否則容易出現認證失敗的情況。

在工具欄上選擇“WLANs”項，在列表中選擇“Create New”項，點擊“Go”按鈕，輸入新的WLAN 和SSID 名稱（例如“AuthTLS”），來創建該WLAN。在其屬性窗口中的“General”面板中的“Status”欄中選擇“Enabled”項，激活該WLAN。在“Security”面板中打開“AAA Servers”標簽，在“Local EAP Authentication”欄 中選 擇“Enabled”項，在“EAP Profile Name”列表中選擇上述“Leapt”項目。在客戶端使用Cisco AnyConnect Security Mobility Client 連接該SSID，注意在連接窗口中的“802.1X Configuratuion”欄中的兩個列表中分別選擇“Certificate”和“EAP-TLS”項，執行證書認證操作。當認證通過后，就可以順利接入無線網絡中了。