802.1x之EAP-TLS测试方法

最新推荐文章于 2024-04-03 17:52:19 发布
最新推荐文章于 2024-04-03 17:52:19 发布
阅读量676 收藏
点赞数 1
文章标签: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44719770/article/details/132827025
版权

本文主要介绍802.1x EAP-TLS认证的测试方法,指导测试。
1 测试环境介绍
组网主要有客户段、交换机、认证服务器组成。进行802.1x EAP-TLS认证时需要IPC、服务器分别存储CA证书、设备证书、私钥,通过交换证书实现身份验证。
在这里插入图片描述

2 证书的生成
证书一般使用openssl生成,这里在ubuntu上演示证书的生成。
2.1 CA证书的生成
CA证书一般是由权威的认证机构发出,用来验证该机构签名的证书,持有CA证书的设备可以验证对端的证书是否由自己信任的机构颁发的。在我们内部使用证书时,我没可以自己充当CA认证机构,管理私钥和CA证书,使用他们签名服务器、客户端证书。

openssl req -new -x509 -nodes -newkey rsa:4096 -keyout ca_key.pem -out rootca.pem -days 3650 -subj “/C=CN/ST=GD/L=SZ/O=TVT/CN=CA”

注:
ca_key.pem为生成的CA私钥
rootca.pem为生成的CA证书
2.2 服务器证书的生成
1、使用openssl生成私钥server_key.pem、证书请求文件server_csr.pem
openssl req -nodes -new -newkey rsa:4096 -keyout server-key.pem -out server_csr.pem -subj “/C=CN/ST=GD/L=SZ/O=TVT/CN=server”

2、使用证书请求文件server_csr.pem、CA私钥、CA公钥生成服务器证书(正常情况下自己不拥有CA私钥,是把证书请求文件发给认证机构,由认证机构返回证书)
openssl x509 -req -in server_csr.pem -CA rootca.pem -CAkey ca_key.pem -set_serial 01 -out server.pem -days 3650
2.3 客户端证书的生成
1、生成私钥
openssl req -nodes -new -newkey rsa:4096 -keyout client-key.pem -out client_csr.pem -subj “/C=CN/ST=GD/L=SZ/O=TVT/CN=client”
2、生成证书
openssl x509 -req -in client_csr.pem -CA rootca.pem -CAkey ca_key.pem -set_serial 01 -out client.pem -days 3650
3、将证书、私钥放进一个文件(写文档时TVT证书上传用一个问题,文件由证书+私钥组成)
cat client.pem client-key.pem > client_cert_key.pem
3 工具介绍
Radius服务器普遍由网络解决方案供应商提供,也有像WinRadius、TekRadius这样的桌面并不,但试用版均不支持EAP-TLS认证方式。
免费的开源项目有freeRadius,这里使用freeRadius编译的windows版本FreeRADIUS-server-2.2.0-x86,下载后可双击安装。

3.1 FreeRADIUS配置
1、修改默认认证方式
打开安装目录FreeRADIUS\etc\raddb\eap.conf,修改default_eap_type配置
default_eap_type = tls

注:
默认支持MD5,这里修改为默认使用TLS认证
2、修改服务器IP
打开安装目录FreeRADIUS\etc\raddb\clients.conf,根据电脑环境修改添加下面的内容
client 192.168.1.21/8 { #服务器地址/子网掩码为255.0.0.0
require_message_authenticator = yes #是否认证信息
secret = radius # 交换机与radius服务器间的通信密码key
shortname = radius # 域名,可以随便写
}
3、将RootCA.pem、server.pem、server-key.pem放在FreeRADIUS\etc\raddb\certs目录下。
在这里插入图片描述

4 配置IPC
4.1 安装证书
在这里插入图片描述

5 配置交换机
注:不同交换机可能不同
在这里插入图片描述

5.1 AAA配置
一般AAA配置下由RADIUS Server配置,主要配置认证服务器的IP、端口、通信密码key。
5.2 802.1x配置
配置要认证的端口,配置后可以查看端口状态来判断是否认证成功。

在这里插入图片描述

6 示例证书文件

方竞
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ubuntu+freeradius搭建EAP-TLS双向认证测试环境.docx
01-18
使用Ubuntu+freeradius实现802.1X eap-tls双向认证环境搭建
802.1x EAP-TLS客户端抓包
09-12
802.1x EAP_TLS客户端抓包文件,用于分析EAP-TLS交互流程
802.1X协议学习总结之原理
ruolin0923的博客
03-11 3038
之前工作笔记都在有道,最近又调试了一下这个协议巩固了一波,感觉还是发到CSDN来给大家分享更有意义点。 802.1x基本概念简介 802.1x的背景 1.802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题,但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性,因此后来它在有线局域网中也得到了广泛的应...
802.1x 之EAP-TLS介绍
写作是为了更好的思考
09-12 1895
802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互。接入设备:通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,充当客户端和认证服务器之间的中介,从客户端请求身份信息,并与认证服务器验证该信息。设备和认证服务器互相验证对方的证书。设备使用保存的CA证书链来验证服务器证书的有效性,服务器使用保存的设备证书链来验证设备证书的有效性。802.1X协议是一种基于端口的网络接入控制协议,对接入设备的身份进行验证,从而达到控制其访问局域网的权限目的。
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞检测及修复
最新发布
qq274575499的博客
04-03 1565
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞
802.1x认证过程 TTLS
zhangnn5的专栏
03-22 8147
来源:http://archercai.blog.sohu.com/66483620.html 1.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。 802.1x Authentication     Version: 1     Type: 0 EAP Packet
EAP-TLS实验之Ubuntu20.04环境搭建配置(FreeRADIUS3.0)(二)
DIANZI520SUA的专栏
02-22 1078
该篇简单描述了使用freeradius与MySQL进行连接验证测试。
EAP-TTLS预研报告
knight_zhuge的专栏
02-03 2458
概述 EAP-TTLS(Tunneled Transport Level Security)是由Funk Software与Certicom所共同开发,为了提供一比EAP-TLS简单的方式而开发。TTLS只需要Server端的Certificate而大大降低管理所需时间。对TTLS鉴权算法的功能描述如下: 允许用户使用username和password鉴权,而不损安全性; 提供加强的交互验证...
扩展认证协议:EAP-TLS/EAP-TTLS/EAP-PEAP
weixin_34088838的博客
07-15 1559
IEEE的802.1X使用了EAP认证框架,因为EAP提供了可扩展的认证方法,但是这些认证方法的安全性完全取决于具体的认证方法,比如EAP- MD5、EAP-LEAPEAP-GTC等,而802.1X最开始是为有线接入设计的,后来被用于无线网的接入,有线接入在安全性方面考虑毕竟少,如果 要窃取信息需要物理上连接网络,而无线网完全不同,无线网信号没有物理边界,所以要使用802....
EAP-TLS/EAP-TTLS/EAP-PEAP
qq_39529180的博客
05-22 1万+
原文:http://blog.chinaunix.net/uid-26422163-id-3457357.html IEEE的802.1X使用了EAP认证框架,因为EAP提供了可扩展的认证方法,但是这些认证方法的安全性完全取决于具体的认证方法,比如EAP-MD5、EAP-LEAPEAP-GTC等,而802.1X最开始是为有线接入设计的,后来被用于无线网的接入,有线接入在安全性方面考虑毕竟...
Android Wi-Fi EAP-TLS/EAP-PEAP/EAP-TTLS(扩展认证协议)简介
回眸^_^已劃句點
07-23 1万+
1 扩展认证协议 英语: Extensible Authentication Protocol ,縮寫為 EAP,是一个在[无线网络][0]或點對點連線中普遍使用的认证框架。它被定义在RFC 3748中,并且使RFC 2284过时,后又被RFC 5247更新。EAP不仅可以用于无线局域网,還可以用于有线局域网,但它在无线局域网中使用的更频繁。最近,WPA和WPA2标准已经正式采纳了5
802.1x认证方式(EAP中继认证与EAP终结认证)
云淡风轻ing的博客
02-16 6950
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1x EAP-TLS认证证书
09-12
802.1x EAP-TLS认证证书
CISCO交换机配置AAA、802.1X以及VACL
01-02
由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 ...
wire1x_2_1_src.zip_TLS_XP EAP-pe_eap tls_wire1x_wm6 wifi
09-23
Windows XP下的802.1x supplicant的实现,支持TLS、TTLS、PEAPEAP-SIM
EAP-TLS实验之Ubuntu20.04环境搭建配置(FreeRADIUS3.0)(四)
DIANZI520SUA的专栏
02-28 1219
该篇主要介绍了利用配置ca.cnf、server.cnf、client.cnf在certs路径下生成证书文件(非执行bootstrap脚本,网上也有很多直接通过openssl命令方式生成的文章),主要参考(概括中心思想)官方手册,以及本地证书的认证(参考》)。(对于该手册,有点不严谨,里面多处笔误,主要体现在生成服务器证书和客户端证书时提到的配置文件上,具体地方由诸位私下去发现,也有点遗漏,链接上前面有提到EAP-TLS的例子,但是文档最后都未提到。
IEEE 802.1X-PEAP认证过程分析(抓包)
热门推荐
hanfs390的博客
02-09 2万+
IEEE 802.1X-PEAP认证过程分析(抓包)本文介绍IEEE802.1X认证的PEAP认证方式,是带有radius服务器的EAP中继认证。IEEE802.1X认证是使用EAP报文格式在申请者和认证者之间交换信息。带有radius服务器,即认证者不对申请者发送的数据进行解析处理,而是封装后直接转发给radius服务器。由radius服务器进行处理。PEAP认证方式,是在此基础上,首先建...
华为网络设备+WinRadius 实现用户统一管理设备
weixin_43055250的博客
05-06 1681
若不修改的话,那么管理员登录设备时,输入用户名时需要携带域名才行,格式为“用户名@域名”,例如yc123@huawei,并且在缺省情况下,设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改,如果RADIUS服务器不接受包含域名的用户名,还需要在RADIUS服务器模板下配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名才行。秘钥和端口涉及到交换机配置,请牢记。
EAP-TLS实验之嵌入式设备(ZYNQ kernel-4.14-armv7l)完整测试
DIANZI520SUA的专栏
03-11 607
前面几篇文章大概描述了EAP-TLS实验相关部分的配置信息,包括认证服务器freeradius3.0的搭建配置(及其一些简单本地认证例子,如链接MySQL、证书创建认证等等)、NAS设备(H3C MSR2600系列)的基本认证配置及嵌入式认证客户端相关源代码的移植,此篇将完成在嵌入式设备上的EAP-TLS实验。
802.1X协议的EAP-MD5.EAP-TLSEAP-LEAP之间的不同
07-15
EAP-MD5、EAP-TLSEAP-LEAP是在802.1X协议中使用的不同的认证方法。它们之间的区别如下: 1. EAP-MD5(Extensible Authentication Protocol with Message Digest 5):EAP-MD5是一种基于密码的认证方法。在认证过程中,客户端和认证服务器之间会进行挑战-响应的步骤,通过计算MD5哈希值来验证客户端的身份。然而,EAP-MD5的安全性相对较弱,因为它没有提供身份验证的互相验证机制,容易受到中间人攻击。 2. EAP-TLS(Extensible Authentication Protocol with Transport Layer Security):EAP-TLS是一种基于证书的认证方法。在认证过程中,客户端和认证服务器之间会进行公钥加密和数字证书验证。客户端使用自己的数字证书向认证服务器证明其身份,并与服务器进行互相验证。EAP-TLS提供了更强的安全性和身份验证机制,防止中间人攻击,并且可以支持更多高级的安全功能。 3. EAP-LEAP(Extensible Authentication Protocol- Lightweight Extensible Authentication Protocol):EAP-LEAP是思科公司开发的一种专有的认证方法。它使用了一种类似于密码的身份验证机制,但在传输过程中使用了动态WEP密钥加密数据。EAP-LEAP在早期的无线网络中使用较为广泛,但由于存在一些安全漏洞,现在已不推荐使用。 总结来说,EAP-MD5是基于密码的认证方法,EAP-TLS是基于证书的认证方法,而EAP-LEAP是一种特定厂商的认证方法。EAP-TLS提供了更高的安全性和可靠性,被广泛应用于网络安全领域。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值