WLAN接入安全及配置介绍
前言
没有任何安全机制能够保证网络的绝对安全,但是部署合适的认证与加密解决方案可以使无线局域网的安全性得到极大的增强。
一、WLAN认证技术
802.11无线网络一般作为连接到802.3有线网络的入口使用。为保护入口的安全,必须采用有效的认证解决方案,以确保只有授权用户才能通过无线接入点访问网络资源。
1.开放认证系统
开放认证系统不对用户身份做任何验证,整个认证过程中,通信双方仅需交换两个认证帧即可。开放主要用户公用场所中!
2.共享密钥认证
共享密钥认证要求用户设备必须支持有线等效加密( Wired Equivalent Privacy,WEP),用户设备与AP必须配置匹配的静态 WEP密钥。如果双方的静态WEP密钥不匹配,用户设备也无法通过认证。共享密钥认证过程中,采用共享密钥认证的无线接口之间需要交换质询与响应消息,通信双方总共需要交换4个认证帧。
这种安全加密方式并不安全,因为是明文传输,所以截获报文可以获取密钥。
3.服务集标识隐藏
现在大部分的AP都具有隐藏SSID的功能,用户无法扫描到SSID,需要上网必须输入正确的SSID和密码才能接入网络。
隐藏SSID和结合一些加密算法,可以一定的保护无线网络的安全,但是仍然可以通过截获合法的用户报文来获取SSID和密钥。
4.MAC认证
在AC上建立一些合法的MAC地址,只有这些合法的MAC地址才允许接入,其他的MAC将无法接入无线网络。
除此之外,MAC认证可以和RADIUS结合,把MAC信息放在RADIUS上,认证成功后才可以访问相应的授权信息。
虽然这种方法看上去很安全,但是非法STA然后可以通过软改MAC地址,就可以轻易的绕过MAC地址过滤。
5.IEEE 802.1X认证
IEEE 802.1X是基于端口的网络接入控制协议,定义了一种授权架构,其中端口可以是物理端口,也可以是逻辑端口。802.1X 架构既可以用于无线网络也可用于有线网络,主要由3部分组成:客户端(Supplicant)、认证者(Authenticator)以及认证服务器(AuthenticationServer,AS)。
对于自治型接入点结构中,认证者是胖AP,在AC+fitap架构中,认证者是AC。
802.1X只是一个通用架构,并不是一个完整的认证机制,是IEEE采用IETF 的可扩展身份验证协议(Extensible Authentication Protocol,EAP)制定的。EAP属于一种框架协议,EAP本身并未规定如何识别用户身份,但允许协议设计人员制定自己的 EAP认证方式(EAP method),即用来进行交换操作的子协议。
EAP是一种简单的封装方式,可以运行在所有的链路层上。
整个认证的流程如下如所示:
EAP是一种非常灵活的二层协议,包括许多种EAP类型。
6.PSK认证
预共享密钥(preshared key,PSK)认证需要实现在无线客户端和设备端配置相同的预共享密钥,通过能否成功解密协商的消息来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同,从而完成服务端和客户端的相互认证。
- 802.1X需要的成本较高,需要搭配RADIUS服务器,并且需要很高的技能配置,一般的家庭和小型企业负担不起,所以一般采用PSK认证,WAP/WAP2个人版就是PSK认证,WAP/WAP2企业版就是802.1X认证。
- WAP/WAP2个人版就是简单的一个密码,8-63字符,然后在后台在映射成PSK。这种方式可以被很容易的爆破。
7.Portal认证
也被称为WEB认证或者DHCP+web认证。使用浏览器就可以认证,不需要安装客户端。
- 用户通过主动访问服务器上面的web页面,输入用户名和密码,之后portal将和认证服务交互,认证成功后即可上网。
- 如果用户强制访问其他页面,会被重定向服务器提供的web页面。
- portal通常由4个部分组成:客户端、接入服务器、Portal服务器、AAA服务器,AC担当接入服务器。
Portal认证流程
- 用户通过DHCP获得地址。
- 用户访问web页面,并在其中输入用户名和密码,然后登录。
- Portal认证服务器将用户的信息通过内部协议,通知接入服务器。
- 接入服务器到相应的AAA服务器对该用户进行认证。
- AAA服务器返回认证结果给接入服务器。
- 接入服务器将认证结果给Portal服务器。
- Portal通过web页面的方式通知用户是否认证成功。
- 认证成功即可上网。
用户主动下线流程
- 当用户请求下线,在web登录页上点击注销
- Portal向AC发起下线请求
- AC将下线结果返回给Portal服务器
- Portal服务器根据下线结果,给用户推送相应的页面。
- 当AC收到下线请求时,向RADIUS服务器发送计费结束报文。
- RADIUS服务器回应计费结束报文。
AC检测到用户异常下线流程
- AC检测到用户下线,向Portal服务器发出下线请求。
- Portal服务器回应下线成功。
- 当AC 收到 Portal服务器的下线成功消息时,向RADIUS用户认证服务器发计费结束报文;
- RADIUS用户认证服务器回应AC的计费结束报文。
Portal服务器检测到用户异常下线流程
- Portal服务器检测到用户下线,向AC发出下线请求;
- AC回应下线成功;
- 当AC收到下线请求时,向RADIUS用户认证服务器发计费结束报文;
- RADIUS用户认证服务器回应AC的计费结束报文。