HCWLA116WLAN接入安全及配置介紹ISSUE100_第1頁
HCWLA116WLAN接入安全及配置介紹ISSUE100_第2頁
HCWLA116WLAN接入安全及配置介紹ISSUE100_第3頁
HCWLA116WLAN接入安全及配置介紹ISSUE100_第4頁
HCWLA116WLAN接入安全及配置介紹ISSUE100_第5頁
已閱讀5頁,還剩41頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WLAN接入安全及配置介紹Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 培訓(xùn)目標(biāo)l學(xué)完本課程后,您應(yīng)該能:p概括WLAN認(rèn)證和加密技術(shù)p配置華為WLAN安全模板Page1Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 目 錄1. WLAN認(rèn)證技術(shù)認(rèn)證技術(shù)2. WLAN加密技術(shù)3. WLAN安全策略

2、及安全模板配置Page2Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WLAN 安全的發(fā)展歷程Page3時(shí)間時(shí)間基本加密沒有嚴(yán)格身份驗(yàn)證靜態(tài)的、易破解的密鑰不可擴(kuò)展也使用 MAC 過濾器以及 SSID 偽裝來完善 WEP安全性發(fā)展安全性發(fā)展趨勢趨勢安全安全WEP 動(dòng)態(tài)密鑰 增強(qiáng)型加密 用戶身份驗(yàn)證 802.1X EAP Radius802.1X 標(biāo)準(zhǔn)化 TKIP/CCMP加密 嚴(yán)格的用戶身份驗(yàn)證WPA/WPA2199719972001200120032003至今至今Copyright 2012 Huawei

3、Technologies Co., Ltd. All rights reserved. WLAN安全認(rèn)證l當(dāng)前以802.11為標(biāo)準(zhǔn)的WLAN為廣大用戶提供了越來越高的無線接入帶寬,越來越多的用戶開始使用WLAN網(wǎng)絡(luò),同時(shí)對WLAN的安全性也提出了越來越高的要求。l如何保護(hù)用戶敏感數(shù)據(jù)的安全,保護(hù)用戶的隱私,是眾多WLAN用戶非常關(guān)心的問題。Page4Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 開放系統(tǒng)認(rèn)證l開放系統(tǒng)認(rèn)證( Open system authentication )是缺省使用的認(rèn)證機(jī)制,是最簡單

4、的認(rèn)證算法,即不認(rèn)證。Page5認(rèn)證請求認(rèn)證成功STAAPCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 服務(wù)區(qū)標(biāo)識(shí)符 ( SSID ) 匹配Page6ESSID:group1ESSID:group2ESSID:group1ESSID:group2企業(yè)網(wǎng)絡(luò)ACAPAPSTASCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. MAC認(rèn)證Page7MAC:000FE20166BEMAC:000FE20166DDMAC:000FE201

5、66DF地址控制接入表:MAC:000FE20166BFMAC:000FE20166DDMAC:000FE20166DFMAC:000FE2016612MAC:000FE20166E1lMAC 地址認(rèn)證:在設(shè)備上預(yù)先配置允許訪問的MAC 地址列表,如果客戶端的MAC 地址不在允許訪問的MAC 地址列表,將被拒絕其接入請求。STA1STA2STA3APACCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. l共享密鑰認(rèn)證( Shared-key authentication )必須使用WEP加密方式,要求STA和AP

6、使用相同的共享密鑰(key),通常被稱為靜態(tài)WEP密鑰。Page8共享密鑰認(rèn)證認(rèn)證請求隨機(jī)生成“挑戰(zhàn)短語”“挑戰(zhàn)短語”加密的密文認(rèn)證成功預(yù)置密鑰預(yù)置密鑰使用密鑰加密明文密鑰解密后和明文比較STAAPCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. IEEE802.1X認(rèn)證簡介lIEEE 802.1X是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)。它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。于2001年標(biāo)準(zhǔn)化,之后為了配合無線網(wǎng)絡(luò)的接入進(jìn)行修訂改版,于2004年完成。Page9Copyright 2012 Huawei Tec

7、hnologies Co., Ltd. All rights reserved. IEEE802.1X認(rèn)證三大元素l在802.1X架構(gòu)中,只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。 p客戶端p認(rèn)證者p認(rèn)證服務(wù)器Page10客戶端認(rèn)證者認(rèn)證服務(wù)器Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. EAP協(xié)議l802.1X體系本身不是一個(gè)完整的認(rèn)證機(jī)制,而是一個(gè)通用架構(gòu)。l802.1X體系使用EAP(Extensible Authentication Protocol)認(rèn)證協(xié)議。lEAP的封包

8、格式pEAP over LANsPage11LANHeaderCodeIdentifierLengthDataCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. EAP類型Page12EAP類型類型認(rèn)證方式認(rèn)證方式備注備注EAP-MD5用戶名和密碼最早的EAP類型EAP-TLS(Transport Layer Security) 客戶端:證書認(rèn)證服務(wù)器:證書第一個(gè)符合無線網(wǎng)絡(luò)三項(xiàng)要求的身份驗(yàn)證方式EAP-TTLS (Tunnelled Transport Layer Security)認(rèn)證服務(wù)器:證書可以使用任何第

9、三方EAP認(rèn)證方法,由Funk Software發(fā)起EAP-PEAP(Protected EAP)認(rèn)證服務(wù)器:證書客戶端:用戶名+密碼雙層加密通道,由微軟、思科、 RSA 發(fā)起Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. PSK認(rèn)證lPSK認(rèn)證需要實(shí)現(xiàn)在無線客戶端和設(shè)備端配置相同的預(yù)共享密鑰,可以通過是否能夠?qū)f(xié)商的消息成功解密,來確定本端配置的預(yù)共享密鑰是否和對端配置的預(yù)共享密鑰相同,從而完成服務(wù)端和客戶端的互相認(rèn)證。Page13相同的預(yù)共享密鑰Copyright 2012 Huawei Technolog

10、ies Co., Ltd. All rights reserved. PPPoE認(rèn)證lPPPoE(Point-to-Point Protocol over Ethernet),以太網(wǎng)上的點(diǎn)對點(diǎn)協(xié)議,是將點(diǎn)對點(diǎn)協(xié)議(PPP)封裝在以太網(wǎng)(Ethernet)框架中的一種網(wǎng)絡(luò)隧道協(xié)議。lPPPoE在WLAN使用時(shí),和WLAN本身采用的認(rèn)證加密沒有關(guān)系。lPPPoE認(rèn)證系統(tǒng)架構(gòu):Page14PPPoE客戶端PPPoE服務(wù)器AAA服務(wù)器Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Portal認(rèn)證lPortal認(rèn)證也稱

11、Web認(rèn)證??蛻舳耸褂脴?biāo)準(zhǔn)Web瀏覽器(例如IE),填入用戶名、密碼信息,頁面提交后,由Web服務(wù)器和設(shè)備配合完成用戶的認(rèn)證。lPortal認(rèn)證體系架構(gòu)Page15Portal服務(wù)器客戶端接入服務(wù)器AAA服務(wù)器Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Portal認(rèn)證過程Page16STA獲得IPHttp請求Http重定向Http定向到Portal服務(wù)器返回輸入的用戶名和密碼與Radius服務(wù)器認(rèn)證交互下發(fā)認(rèn)證結(jié)果APACRadius ServerPortal ServerSTACopyright 201

12、2 Huawei Technologies Co., Ltd. All rights reserved. 目 錄1. WLAN認(rèn)證技術(shù)2. WLAN加密技術(shù)加密技術(shù)3. WLAN安全策略及安全模板配置Page17Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WLAN安全加密l在WLAN用戶通過認(rèn)證后并賦予訪問權(quán)限后,網(wǎng)絡(luò)必須保護(hù)用戶所傳送的數(shù)據(jù)不被窺視。主要的方法為對數(shù)據(jù)報(bào)文進(jìn)行加密,保證只有特定的設(shè)備可以對接收到的報(bào)文成功解密。lWLAN加密方式:pWEP加密pTKIP加密pCCMP加密Page18Copy

13、right 2012 Huawei Technologies Co., Ltd. All rights reserved. WEP加密Page19KeyXORKey StreamCipher TextRC4IVPlain Text(data)MAC802.11Encrypted dataFCSCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEP加密缺陷lWEP夠了嗎?p整個(gè)網(wǎng)絡(luò)共用一個(gè)共享密鑰,一旦丟失,整個(gè)網(wǎng)絡(luò)都很危險(xiǎn)pIV向量太短,大量監(jiān)聽用戶數(shù)據(jù)報(bào)文后,WEP加密很容易被破解pRC4加密算法過于簡單l解

14、決辦法p增加一種密鑰管理機(jī)制p采用更強(qiáng)壯的加密算法Page20Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. TKIP加密lTKIP:臨時(shí)密鑰完整性協(xié)議(Temporal Key Integrity Protocol)l使用RC4來實(shí)現(xiàn)數(shù)據(jù)加密,這樣可以重用用戶原有的硬件而不增加加密成本。lTKIP加密特點(diǎn)p將IV size 從 24 bits 增加到 48 bits,減少了IV重用p增加了 Key的生成、管理以及傳遞的機(jī)制n每用戶使用獨(dú)立的Keyn通過安全的傳遞方法傳遞用戶數(shù)據(jù)加密使用的Keyp使用Micha

15、el來實(shí)現(xiàn)MIC (Message Integrity Code )Page21Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 密鑰的生成Page22PMKPMK生成Anonce生成PTK生成PTKInstall PTKInstall PTK發(fā)送Anonce發(fā)送Snonce,MIC協(xié)商PTK響應(yīng)安裝PTKBase Key(PTK)Transmit AddressPacket SequenceMixerKey四次握手密鑰混合密鑰Copyright 2012 Huawei Technologies Co., Ltd

16、. All rights reserved. 消息完整性校驗(yàn)(MIC)Page23DASAPayloadMIC KeyMIC8-ByteMIClMIC通過以下因素計(jì)算:pMIC Keyp目的MAC地址p源地址MAC地址p數(shù)據(jù)Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. CCMP 加密lCCMP是圍繞AES建立的安全協(xié)議,稱為計(jì)數(shù)器模式+密碼塊鏈認(rèn)證碼協(xié)議( Counter Mode with Cipher Block Chaining MAC Protocol,CCMP)。p即CCMP=Counter Mod

17、e + CBC-MACpAES算法加密,比RC4健壯p同TKIP加密一樣的密鑰分發(fā)和管理機(jī)制,使用128bits密鑰pAES需要升級(jí)硬件Page24Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 加密方式對比加密方式加密方式WEPTKIPCCMP加密算法加密算法RC4RC4AES密鑰長度密鑰長度40 or 104 bits128 bits128bits密鑰壽命密鑰壽命24-bit IV48-bit IV48-bit IV數(shù)據(jù)校驗(yàn)算法數(shù)據(jù)校驗(yàn)算法CRC-32MichaelCBC密鑰管理密鑰管理None4-way

18、Handshake4-way HandshakePage25Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 目 錄1. WLAN認(rèn)證技術(shù)2. WLAN加密技術(shù)3. WLAN安全策略及安全模板配置安全策略及安全模板配置Page26Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 安全策略l認(rèn)證:不認(rèn)證l加密:不加密l應(yīng)用p配合業(yè)務(wù)層Portal認(rèn)證作為計(jì)費(fèi)方式,廣泛應(yīng)用于運(yùn)營商場景中。l配置方法:p華為設(shè)備中安全模板默認(rèn)即為不認(rèn)證、

19、不加密Page27Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEPl認(rèn)證:共享密鑰認(rèn)證l加密:WEP加密(RC4)l應(yīng)用:p常用與家庭、個(gè)人無線網(wǎng)絡(luò)中,對安全性要求不高,需要專人維護(hù)密鑰。Page28Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEPl配置方法:Page29AC-wlan-ac-view security-profile name testWEP-40 hex加密方式HUAWEI-wlan-sec-pr

20、of-test security-policy wep HUAWEI-wlan-sec-prof-test wep authentication-method share-key HUAWEI-wlan-sec-prof-test wep key wep-40 hex 0 1234567890HUAWEI-wlan-sec-prof-test wep default-key 0WEP-40 pass-phrase 加密方式HUAWEI-wlan-sec-prof-test security-policy wep HUAWEI-wlan-sec-prof-test wep authenticat

21、ion-method share-key HUAWEI-wlan-sec-prof-test wep key wep-40 pass-phrase 0 12345HUAWEI-wlan-sec-prof-test wep default-key 0Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEPPage30WEP-104 hex 加密方式HUAWEI-wlan-sec-prof-test security-policy wep HUAWEI-wlan-sec-prof-test wep authentic

22、ation-method share-key HUAWEI-wlan-sec-prof-test wep key wep-104 hex 0 12345678901234567890123456 HUAWEI-wlan-sec-prof-test wep default-key 0WEP-104 pass-phase 加密方式HUAWEI-wlan-sec-prof-test security-policy wep HUAWEI-wlan-sec-prof-test wep authentication-method share-key HUAWEI-wlan-sec-prof-test we

23、p key wep-104 pass-phrase 0 1234567890abcHUAWEI-wlan-sec-prof-test wep default-key 0Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPAlWPA (Wi-Fi Protected Access) l認(rèn)證方式:pWPA個(gè)人版:PSKpWPA企業(yè)版:802.1X+EAPl加密方式:TKIPl應(yīng)用場景:pWPA個(gè)人版適合個(gè)人、家庭與小型SOHO網(wǎng)絡(luò),對網(wǎng)絡(luò)安全要求相對較低,不適用認(rèn)證服務(wù)器。pWPA企業(yè)版適合企業(yè)等安全性要求較高的網(wǎng)

24、絡(luò),需要有認(rèn)證服務(wù)器。Page31Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPAl配置方法:Page32WPA-PSK(TKIP 加密方式): HUAWEI-wlan-sec-prof-test security-policy wpaHUAWEI-wlan-sec-prof-test wpa authentication-method psk pass-phrase simple 12345678 encryption-method tkip WPA-PEAP(TKIP 加密方式 ):HUAWEI-wl

25、an-sec-prof-test security-policy wpaHUAWEI-wlan-sec-prof-test wpa authentication-method dot1x peap encryption-method tkip Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPA2lWPA2 是經(jīng)由 Wi-Fi 聯(lián)盟驗(yàn)證過的 IEEE 802.11i 標(biāo)準(zhǔn)的認(rèn)證形式。l認(rèn)證方式:pWPA個(gè)人版:PSKpWPA企業(yè)版:802.1X+EAPl加密:pTKIPpCCMPl應(yīng)用:同WPAPage33C

26、opyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPA-PSKl配置方法:Page34WPA-PSK認(rèn)證,tkip 加密方式 HUAWEI-wlan-sec-prof-test security-policy wpaHUAWEI-wlan-sec-prof-test wpa authentication-method psk pass-phrase simple 12345678 encryption-method tkip Copyright 2012 Huawei Technologies Co., Ltd.

27、 All rights reserved. WPA dot1x認(rèn)證radius-server template huawei radius-server shared-key simple huawei radius-server authentication 00 1812aaa authentication-scheme huawei authentication-mode radius domain default authentication-scheme huawei radius-server huaweiPage35Copyright 2012 Huawei T

28、echnologies Co., Ltd. All rights reserved. WPA dot1x認(rèn)證(續(xù))interface WLAN-Ess1 port hybrid pvid vlan 101 port hybrid untagged vlan 101 dot1x-authentication enable dot1x authentication-method eap security-profile name security-3 id 3 security-policy wpa2 wpa2 authentication-method dot1x peap encryption

29、-method ccmp service-set name huawei101 id 2 WLAN-ess 1 ssid huawei101 traffic-profile id 1 security-profile id 3 service-vlan 101Page36Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPA/WPA2l在最新的實(shí)現(xiàn)中,不管是WPA還是WPA2都可以使用802.1X認(rèn)證或PSK認(rèn)證。l加密方法上也都可以使用TKIP或者CCMP加密。l因此,WPA的認(rèn)證加密組合有:pWPA-PSK

30、 + TKIPpWPA-PSK + CCMPpWPA2-PSK + TKIPpWPA2-PSK + CCMPPage37pWPA -802.1X + TKIPpWPA -802.1X + CCMPpWPA2 -802.1X + TKIPpWPA2 -802.1X + CCMPCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WAPIlWAPI是WLAN Authentication and Privacy Infrastructure(無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu))的簡稱,是中國提出的、以802.11無線協(xié)議為基

31、礎(chǔ)的無線安全標(biāo)準(zhǔn),WAPI的以太類型字段為0 x88B4。l技術(shù)背景p基于三元結(jié)構(gòu)和對等鑒別的訪問控制方法p可普遍適用于無線、有線網(wǎng)絡(luò)pWAPI目的:“合法用戶接入合法網(wǎng)絡(luò)”Page38Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WAPI三元架構(gòu)Page39WEP802.1X+EAP(802.11i)WAPI二元安全架構(gòu)對應(yīng)二物理實(shí)體單向鑒別無法保證安全 三元安全架構(gòu)對應(yīng)三物理實(shí)體接入點(diǎn)/基站有獨(dú)立身份完整雙向認(rèn)證 有效保證安全二元安全架構(gòu)對應(yīng)三物理實(shí)體AP無獨(dú)立身份,易被攻擊 仍無法保證安全 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WAPIlWAPI協(xié)議由以下兩部分構(gòu)成:pWAI:是WLAN Authentication Infrastructure(無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))的簡稱,是用于無線局域網(wǎng)中身份鑒別和密鑰管理的安全方案; pWPI:是WLAN Privacy Infrastructure(無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu))的簡稱,是用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案,包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能。P

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論