漫談無線AP認證方式

劉景云

對于無線網(wǎng)絡來說，AP的作用是極為重要的。在實際的企業(yè)環(huán)境中，一般使用的都是瘦AP。利用無線控制器，可以很方便地對瘦AP進行管理。客戶一般都必須通過AP設備，才可以順利連接無線網(wǎng)絡。在日益重視網(wǎng)絡安全的形勢下，如何保證用戶安全的連接AP，以及讓AP安全的連接WLC等設備，是管理員必須重視的問題。對于AP來說，提供了不同的認證模式，了解和熟悉這些認證模式，對于無線管理來說是極為重要的。

對AP參數(shù)進行安全配置

對于思科的AP來說，其默認的賬號為小寫的cisco，密碼（包括enable密碼）為大寫的CISCO，當然，這種默認設置的安全性是比較差的，為此可以全局的設置用戶名、密碼和enable密碼，特定AP設置的擁有高優(yōu)先級。例如登錄到思科某款無線款控制器管理界面，點擊工具欄上的“Configuration”按鈕，在左側點擊“Wireless”-“Access Points”-“Radios”-“Global AP Configuration”項，在右側的“Login Credentials”欄中可以分別設置用戶名、密碼以及enable密碼，點擊“Apply”按鈕執(zhí)行應用（圖1）。這些設置信息會自動推動給關聯(lián)到該控制器的所有的AP，即所有相關AP都會擁有該密碼。

當AP加入到無線控制器后，AP就激活了console口安全，當用戶訪問AP console口時，會提示輸入賬戶名和密碼。當?shù)卿浲瓿珊螅瑫M入非特權模式，您必須輸入enable密碼來進入特權模式。全局配置信息在無線控制器和AP重啟后不會丟失，只有當AP加入新的無線控制器，而且該無線控制器配置了全局用戶和密碼后，這些信息才會被覆蓋掉。如果新的無線控制器沒有配置全局身份信息，AP將保持之前的全局用戶和密碼。注意，您必須關注AP身份信息的變動情況，否則將無法登錄AP。當然，想恢復默認的AP身份信息的話，最直接的辦法是同時將無線控制器和AP的設置恢復到出廠狀態(tài)。

此外，還可以在AP上執(zhí)行“clear capwap private-config”命令，來清除該AP的配置信息，之后執(zhí)行Reload命令重載即可。當然，為所有的AP設置統(tǒng)一的身份認證信息，雖然使用起來比較方便。不過安全性依然不足，為了最大程度提高AP的安全性，還可以為不同的AP單獨設置身份信息。例如在上述無線控制器管理界面左側點擊“WLAN”-“Access Points”-“All APs”項，在右側列表中顯示所有連接AP，選中某個AP，在屬性編輯界面中點擊“Credentials”項，在“Login Credentials”欄（圖2）中選擇“Over-ride Global Credentials”項，為其設置用戶名、密碼以及enable密碼。

還可以在“802.1x Supplicant Credentials”欄中選擇“Over-ride Global Credentials”項，為其單獨設置802.1x的身份驗證信息。因為在一般情況下，AP都是連接到交換機，之后才連接到無線控制器上。當針對AP設置了802.1x的身份驗證信息后，就可以在AP連接到的交換端口上開啟802.1x的認證功能，這樣AP就可以使用該802.1x認證信息，在該接口上進行EAP-FAST認證。這樣可以有效提供AP的安全性。點擊“General”按鈕，在“AP name”和“Location”欄中為其設置合適的名稱和位置信息，這對于AP的管理是比較重要的。在AP列表上部點擊“Advanced”按鈕，選擇“Telnet”和“SSH”項，可以激活相應的連接方式。

常用的無線認證方式

談到AP的管理，就必然涉及WLAN的安全技術，這里主要談談關于無線控制器本地的DOT1x認證。對于每個WLAN來說，都對應獨立的WLAN ID、Profile name和WLAN SSID。例如在上述無線控制器WLC管理界面中點擊菜單“Configuration”-“Wireless”項，在WLANS列表中可以看到上述信息。每個連接的AP最多可以發(fā)布16個WLAN，即最大可以發(fā)布16個SSID出去，注意可以在WLC上創(chuàng)建超過最大數(shù)量的WLAN，并且選擇這些WLAN發(fā)布到不同的AP。通過AP Group技術，可以讓不同組的AP發(fā)送不同的WLAN。管理員可以配置WLAN使用不同的SSID或者相同的SSID，一個SID標識一個特殊的無線網(wǎng)絡。

對于二層安全來說，其包括None、WEP、WPA/WPA2、802.1x以及CKIP等。對于None方式來說，不會進行任何加密。對于WEP和WAP方式來說，因為存在很大的安全隱患，黑客可以很容易對其進行破解，現(xiàn)在幾乎不再使用。WPA使用802.1x實現(xiàn)認證的密鑰管理，即密鑰由802.1x動態(tài)產生。其支持單播和廣播的密鑰管理，注意WPA使用兩套Key，分別用來加密單播和廣播數(shù)據(jù)包。對于連接到某個AP的PC來說，會使用相同的PSK預共享密鑰連接到目標AP上，該AP會為每臺PC產生唯一的用于加密單播的密鑰，PC彼此之間并不知曉該密鑰，這就會造成PC之間看到的單播包都是加密的。但是，PC之間的廣播密鑰是通用的。根據(jù)以上分析，可以看到AP的預共享密碼和加密的密鑰是存在差異的。

對于WPA2來說，是目前使用最廣泛的加密方式。其使用了AES加密算法，對于個人用戶來說，WPA使用預共享密鑰進行認證，其不需要認證服務器，使用預設的共享密碼進行認證，基于本地進行訪問控制，使用TPIP、AES進行加密。對于企業(yè)來說，使用的是802.1x認證，其一般需要使用3A服務器，3A認證服務器用于認證、授權和密鑰分發(fā)，采用中心訪問控制機制，使用TPIP和AES進行加密。對于開放式網(wǎng)絡環(huán)境來說，使用的是Web認證方式。對于WPA2和802.11i來說，其實是大體相等的技術標準，前者是Wi-Fi標準，后者是IEEE標準。當然現(xiàn)在主要使用的是WPA2標準，其使用了AES替代了不可靠的RC4加密算法，這里的AES其實以一種特殊的AES-CCMP算法，基于128為對稱塊加密，AES比RC4更加強大，但是消耗的資源也更多。

實現(xiàn)基于WLC本地的EAP認證

在這里為便于說明，沒有使用ISE等專業(yè)的3A服務器，使用無線控制器進行本地的EAP認證，即讓其扮演簡單的Radius服務器的角色。在該無線控制器上執(zhí)行“config t”命令，進入全局配置模式。執(zhí)行“aaa new-model”“aaa authentication dot1x celue local”命令，啟用名為“celue”的Dot1x認證策略。執(zhí)行“aaa authorication credential-downliad celue1 local”命令，進行身份信息的授權。執(zhí)行“aaa local authentication celue authorization celue1”命令，使用本地認證策略和授權策略。執(zhí)行“dot1x system-auth-control”命令，全局激活Dot1x。在配置Dot1x時，對于3A服務器來說是需要一張證書的。客戶在建立EAP會話之前需要校驗該證書的。

因為該無線控制器扮演了3A服務器的角色，所以也需要證書。這里使用的是自簽名證書，執(zhí)行“end”“ ip http secure-server”命令，啟動HTTPS服務器功能，就可以自動產生自簽名證書。登錄到無線控制器管理界面，點擊工具欄上的“Configuration”-Security”項，在左側選擇“Local EAP”-“Local EAP Profiles”項，在右側“New”按鈕，創(chuàng)建新的Profiles項目，輸入其名稱（例如“profile1”），其下列出常用的EAP類型，這里選擇最常用的“PEAP”項，可以在客戶和3A服務器之間進行數(shù)據(jù)的加密傳輸。點擊“Apply按鈕，保存配置信息。點擊工具欄上的“Configuration”-“Wireless”項，在左側選擇“WLAN”-“WLANS”項，在右側點擊“New”按鈕，創(chuàng)建新的WLAN，輸入WLAN ID、SSID（例如“newssid”）以及Profile file名稱（例如“pfile1”）。在列表中選擇該WLAN項目，在其屬性編輯界面中的“General”面板（圖3）中的“Status”欄中選擇“Enabled”項將其激活，在“Interface/Interface Group”列表中選擇需要關聯(lián)的本地VLAN的名稱。在“Security”面板中點擊“l(fā)ayer2”按鈕，在“Auth Key Mgmt”列表中電機“802.1x”項。點擊“AAA Server”按鈕，在“Authentication Method”列表中選擇上述認證策略（例如“celue1”）。選擇“Local EAP Authentication”項，在“EAP Profile Name”欄中輸入上述EAP項目名稱（例如“profile1”）。配置完成后，在客戶端可以搜索到上述SSID信號名。

在客戶端進行安全連接

在網(wǎng)絡和共享中心點擊“設置新的連接或網(wǎng)絡”項，之后選擇“手動連接到無線網(wǎng)絡”項，在打開窗口中的“網(wǎng)絡名”欄中輸入上述SSID名稱，在“安全類型”列表中選擇“WPA2-企業(yè)”項，點擊下一步按鈕，選擇“更改連接設置”項，在打開窗口中的“安全”面板中的“選擇網(wǎng)絡身份驗證方法”列表中確保選擇“Microsoft受保護的EAP（PEAP）”項。

點擊“設置”按鈕，在其屬性窗口中取消“通過驗證證書來驗證服務器的身份”項，這是因為在無線控制器上使用了自簽名證書的原因。點擊“設置”按鈕，取消“自動使用Windows登錄名和密碼”項。點擊“高級設置”按鈕，在高級設置窗口中的“802.1x設置”面板中選擇“指定身份驗證模式”項，在列表中選擇“用戶身份驗證”項，點擊確定按鈕，保存配置信息。完成以上設置后，在無線連接列表中選擇上述SSID項，輸入上述無線控制器上預設的本地用戶名和密碼，就可以連接成功了。

實現(xiàn)基于Web的安全認證

在開放的環(huán)境中，為了讓用戶可以順利連接無線網(wǎng)絡，會使用到Web認證技術，對于Web認證來說，其使用的是三層安全技術，可以在任意設備上利用瀏覽器，就可以連接到無線網(wǎng)絡的安全技術。其可以和使用預共享密鑰認證的二層安全技術配置使用，這樣大大增加其安全性。當然，在一般情況下，Web認證只是提供認證并不會對傳輸?shù)臄?shù)據(jù)進行加密。Web認證僅提供給外來訪客使用的，因此沒有必要對其數(shù)據(jù)進行保護。

在進行對Web認證之前，客戶可以直接關聯(lián)，關聯(lián)后客戶可以獲取IP和DNS服務器地址，在沒有完成Web認證之前，客戶無法訪問任何網(wǎng)絡資源。可以必須使用瀏覽器訪問一個合法的網(wǎng)址，通過DNS對其進行解析，之后客戶發(fā)送HTTP請求到這個網(wǎng)站的IP，無線控制器會對該請求進行處理并返回給客戶網(wǎng)頁認證頁面。當通過Web認證后，客戶才允許訪問所需的網(wǎng)絡資源。對于WLC來說，可以使用其內建的登錄頁面，用戶也可以自己編寫認證頁面，或者使用外部的服務器提供的認證頁面。

這里為了簡單起見，使用WLC內建的登錄頁面。在WLC管理界面工具欄上點擊“Configuration”-“Security”項，在左側選擇“Web Auth”-“Webauth Parameter Map”項，在右側點擊“global”項，可以對登錄頁面各參數(shù)進行修改（圖4），例如在“Banner”欄中輸入歡迎信息，在“Type”列表中選擇“webauth”項，激活網(wǎng)頁認證功能。在“Virtual Ipv4 Address”欄中輸入合適的虛擬地址等。在WLC命令行中執(zhí)行“config t”命令，進入全局配置模式。執(zhí)行“aaa authentication login webauth local”“aaa authorization network default local”“aaa authorization cerdential-download default local”命令，執(zhí)行登錄認證、網(wǎng)絡授權以及下載身份數(shù)據(jù)庫的授權等。

之后按照上述方法，在管理界面添加新的WLAN，輸入WLAN ID、SSID（例如“webssid”）以及Profile file名稱（例如“pfileweb”）。之后將其激活，并為其選擇具體的VLAN名稱。在其屬性窗口中的“Security”面板中點擊“l(fā)ayer2”按鈕，在“Layer 2 Security”列表中選擇“None”項，表示沒有二層安全。點擊“Layer3”按鈕，選擇“Web Policy”項，激活Web認證策略。在“Web Authentication List”列表中選擇“Webauth”項，表示在三層使用網(wǎng)頁認證。在“Webauth Parameter Map”列表中選擇“global”項，調用Web認證參數(shù)項目。當客戶端打開無線連接列表后，可以發(fā)現(xiàn)上述“webssid”熱點處于不加密狀態(tài)，可以直接進行連接。如果配置了DNS服務器的話，就可以訪問所需的網(wǎng)站，WLC就可以對該連接請求進行攔截，并將其引入到Web認證界面，輸入WLC的本地用戶名和密碼后，就可以順利進行訪問了。