Ｌｉｎｕｘ下使用ＷＰＡ保護(hù)無線網(wǎng)絡(luò)安全

霍瓊?cè)A

摘要:隨著無線網(wǎng)絡(luò)接入技術(shù)的發(fā)展,無線網(wǎng)絡(luò)接入已經(jīng)成為重要的網(wǎng)絡(luò)接入方式,與此帶來的網(wǎng)絡(luò)安全問題也越來越受到重視,如何保護(hù)無線網(wǎng)絡(luò)的安全,避免非授權(quán)用戶接入無線網(wǎng)絡(luò)也得到了更多的關(guān)注。在Windows平臺下,操作系統(tǒng)簡化了無線接入使用安全協(xié)議的操作步驟,用戶幾乎感覺不到這些安全協(xié)議的存在。而在Linux平臺下,提供的無線接入程序界面友好程度相對要低一些,尤其是在對WPA 協(xié)議的支持上不能完全支持,經(jīng)常會出現(xiàn)無法通過身份認(rèn)證而無法連接到網(wǎng)絡(luò)的情況。文章以 Linux下使用較多的Ubuntu版本為例,介紹了如何在Linux平臺下使用WPA協(xié)議保護(hù)的無線網(wǎng)絡(luò)的方法。

關(guān)鍵詞:LINUX;WAP;無線網(wǎng)絡(luò)

中圖分類號:TP393.17文獻(xiàn)標(biāo)識碼:A文章編號:1006-8937(2009)08-0119-02

Linux是一套免費使用和自由傳播類Unix操作系統(tǒng),其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。目前Linux的版本有很多,比較知名的有Red hat,Open SUSE以及目前比較流行的Ubuntu等。Ubuntu作為新興的Linux版本,以其便捷的圖形化操作界面,相比其他版本的Linux而言,大大減少了用戶所需要記憶的各種枯燥的命令,而獲得更多用戶的青睞。目前無線接入相對于有線接入方式來說,最大的好處莫過于可以甩開網(wǎng)線,實現(xiàn)隨時隨地網(wǎng)絡(luò)接入。Ubuntu雖然提供了無線接入方式,但是需要用戶進(jìn)行相應(yīng)的配置,而且Ubuntu下的網(wǎng)絡(luò)管理圖形界面Network Management對于WPA無線身份認(rèn)證協(xié)議支持不是很好,經(jīng)常出現(xiàn)無法連接到使用WPA身份認(rèn)證的無線AP的情況,下面介紹使用wpa_supplicant+wifi-radar方式實現(xiàn)接入WPA身份認(rèn)證無線AP方法。

1無線網(wǎng)絡(luò)相關(guān)術(shù)語

無線局域網(wǎng)絡(luò)(Wireless Local Area Networks; WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng),它利用射頻(Radio Frequency; RF)的技術(shù),取代舊式礙手礙腳的雙絞銅線(Coaxial)所構(gòu)成的局域網(wǎng)絡(luò)。

AP是(Wireless) Access Point的縮寫,即(無線)訪問接入點。如果無線網(wǎng)卡可比作有線網(wǎng)絡(luò)中的以太網(wǎng)卡,那么AP就是傳統(tǒng)有線網(wǎng)絡(luò)中的HUB,也是目前組建小型無線局域網(wǎng)時 最常用的設(shè)備。AP相當(dāng)于一個連接有線網(wǎng)和無線網(wǎng)的橋梁,其主要作用是將各個無線網(wǎng)絡(luò)客戶端連接到一起,然后將無線網(wǎng)絡(luò)接入以太網(wǎng)(這正是Access Point名稱的本義)。

SSID是Service Set Identifier的縮寫,意思是:服務(wù)集標(biāo)識。SSID技術(shù)可以將一個無線局域網(wǎng)絡(luò)分為幾個需要不同身份驗證的子網(wǎng)絡(luò),每一個子網(wǎng)絡(luò)都需要獨立的身份驗證,只有通過身份驗證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò),防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò),SSID也可以寫為ESSID,用來區(qū)分不同的網(wǎng)絡(luò),最多可以有32個字符,無線網(wǎng)卡設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。出于安全考慮可以不廣播SSID,此時用戶就要手工設(shè)置SSID才能進(jìn)入相應(yīng)的網(wǎng)絡(luò)。簡單說,SSID就是一個局域網(wǎng)的名稱,只有設(shè)置為名稱相同SSID的值的電腦才能互相通信。

WEP--Wired Equivalent Privacy加密技術(shù),WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。WEP是Wired Equivalent Privacy的簡稱,有線等效保密(WEP)協(xié)議是對在兩臺設(shè)備間無線傳輸?shù)臄?shù)據(jù)進(jìn)行加密的方式,用以防止非法用戶竊聽或侵入無線網(wǎng)絡(luò)。802.11b標(biāo)準(zhǔn)里定義的一個用于無線局域網(wǎng)(WLAN)的安全性協(xié)議。WEP被用來提供和有線LAN同級的安全性,目標(biāo)就是通過對無線電波里的數(shù)據(jù)加密提供安全性,如同端-端發(fā)送一樣。

WPA 全名為 Wi-Fi Protected Access,有WPA 和 WPA2兩個標(biāo)準(zhǔn),是一種保護(hù)無線電腦網(wǎng)絡(luò)(Wi-Fi)安全的系統(tǒng)。WPA 實作了 IEEE 802.11i 標(biāo)準(zhǔn)的大部分,是在 802.11i 完備之前替代 WEP 的過渡方案。在使用家庭中和小型辦公室最可能選用的“個人”模式時,為了保全的完整性,所需的密碼一定要超過六到八個字符。

2配置實例

在配置計算機(jī)前,首先要對AP進(jìn)行相應(yīng)的配置,以啟用WPA身份認(rèn)證。這里以常見的無線寬帶路由器TP-LINK的TL-WR340G型無線寬帶路由器配置為例,其他型號的無線寬帶路由器可以參考說明書進(jìn)行相應(yīng)的設(shè)置。首先在連接到無線寬帶路由器的計算機(jī)上啟動瀏覽器,在地址欄輸入無線寬帶路由器管IP地址,通常默認(rèn)地址為:192.168.1.1,在彈出的登錄對話框中輸入用戶名和密碼,默認(rèn)用戶名和密碼都是:admin。切換到無線參數(shù)選項欄中,首先對默認(rèn)的SSID進(jìn)行修改。為了提高無線網(wǎng)絡(luò)安全性,建議將廣播SSID功能取消,避免授權(quán)用戶對AP進(jìn)行掃描。將無線路由器的“開啟安全設(shè)置”打開,在“安全類型”中,可以選擇“WEP”,“WPA/WPA2”,“WPA-PSK/WPA2-PSK”,根據(jù)上面的介紹,WEP作為較舊的無線加密技術(shù),RC4目前已經(jīng)被破解,繼續(xù)采用WEP方式已經(jīng)無法滿足安全的需求了,而 WPA/WPA2方式是指采用企業(yè)級的 WPA/WPA2身份認(rèn)證方式,網(wǎng)絡(luò)上還需要一臺 RADIUS 服務(wù)器完成802.1x身份認(rèn)證協(xié)議的支持,對于一般用戶使用不到。PA-PSK/WPA2-PSK方式為個人版的WPA,已經(jīng)可以足夠滿足搭建安全無線網(wǎng)絡(luò)的需求了,所以這里“安全類型”選擇“WPA-PSK/WPA2-PSK”。在“安全選項”中,選擇類型有:“自動”,“WPA-PSK”,“WPA2-PSK”,最好選擇安全性更高的WPA2-PSK。在“加密方式”:“自動”,“TKIP”,“AES”三個選項中,最好選擇“自動”,表示同時啟用“TKIP”,“AES”兩種方式,因為TKIP: Temporal Key Integrity Protocol負(fù)責(zé)處理無線安全問題的加密部分,TKIP由WEP使用的同樣的加密引擎和RC4算法組成,不過TKIP中密碼使用的密鑰長度為128位,AES用于對密匙進(jìn)行加密。在PSK密碼欄輸入加密密匙:“TestPassw0rd123456”(注意:這里輸入的密碼長度最短為8個字符,最長不超過63個字符)。一切輸入完畢以后點擊保存,將配置保存。配置如圖1所示。在配置完無線安全參數(shù)后,可以根據(jù)需要打開無線AP的DHCP功能,為了保護(hù)無線網(wǎng)絡(luò)的安全,不建議打開該功能。

配置完無線AP以后,就可以在Ubuntu下進(jìn)行配置了。配置之前首先需要進(jìn)行一些準(zhǔn)備工作:{1}檢查你所安裝的Ubuntu版本,目前最新的Ubuntu版本為8.10版,而8.04版以上的Ubuntu默認(rèn)已經(jīng)安裝了wpa_supplicant,如果不清楚自己所安裝的Ubuntu版本,可以在終端模式下輸入命令:$uname -r 以檢查自己的Ubuntu版本,8.04版本以上所使用的內(nèi)核編號為2.6.24-19-generic。{2}安裝wifi-radar軟件包。wifi-radar是一個用Python語言編寫的帶圖形化界面的WiFi管理軟件,而我們就是使用wifi-radar代替Ubuntu自帶的Network Management完成連接到無線網(wǎng)絡(luò)工作。默認(rèn)情況下Ubuntu是不安裝wifi-radar軟件包的,需要我們手動添加該軟件包。從wifi-radar軟件包的官方主頁上進(jìn)行下載安裝包了,需要注意的是wifi-radar軟件包對系統(tǒng)的其他軟件包具有依賴關(guān)系,在安裝wifi-radar軟件包之前,要確認(rèn)具有依賴關(guān)系的其他軟件包都已經(jīng)安裝完畢。wpa_supplicant程序是在Linux,,BSD,Mac OS X以及Windows平臺下提供對WPA/WPA2協(xié)議的支持。wpa_supplicant提供WPA-PSK,WPA(RADIUS 認(rèn)證服務(wù)器) ,支持AES(Ubuntu下為CCMP)以及TKIP加密算法 ,支持PMKSA,以及預(yù)分配兩種密匙管理方式。啟用wpa_supplicant方法為:在終端模式下輸入命令:$sudo wpa_supplicant -Bw -i wlan0 -c ~/wpa2-psk-tkip.conf就可以了(注意運行wpa_supplicant需要提升為root權(quán)限。-B:程序運行于后臺。-w:等待直到網(wǎng)卡準(zhǔn)備好,如果不帶該參數(shù)wpa_supplicant運行后就會自動退出。-i:指定在哪一塊網(wǎng)卡上監(jiān)聽。-c:指定wpa_supplicant所需要使用的配置文件。WPA-PSK協(xié)議中需要指定無線AP的SSID,使用的加密算法,以及使用的密匙等信息,就是通過wpa_supplicant配置文件提供的。在使用wpa_supplicant之前,要先建立所要使用的配置文件,根據(jù)無線AP上進(jìn)行的安全配置選項,在當(dāng)前用戶目錄下建立wpa2-psk-tkip.conf配置文件如下:

# WPA-PSK/TKIP

ctrl_interface=/var/run/wpa_supplicant

network={

ssid="wireless-home"

#輸入無線AP的SSID

key_mgmt=WPA-PSK

#密匙管理采用WPA-PSK方式

proto=WPA2

#使用WPA2協(xié)議

pairwise=TKIP

#加密方式TKIP

group=TKIP

#密匙組TKIP

psk="TestPassw0rd123456" #輸入無線AP中保存的密匙

}

在以上這些工作都結(jié)束以后,在終端模式下運行:$sudo wpa_supplicant -Bw -i wlan0 -c ~/wpa2-psk-tkip.conf,wpa_supplicant程序就已經(jīng)在后臺中運行,檢查程序是否已經(jīng)運行,在終端模式下輸入:$ps -A | grep wpa_supplicant查看是否有wpa_supplicant進(jìn)程正在運行。在完成wpa_supplicant程序進(jìn)行身份認(rèn)證的部分后,就可以開始使用wifi-radar管理無線網(wǎng)絡(luò)連接了。在終端模式下運行:$sudo wifi-radar(需要提升至root權(quán)限)。wifi-radar是一個圖形化界面的無線網(wǎng)絡(luò)連接管理程序。單擊“New”,在彈出的對話框中Network Name輸入無線AP的SSID:wireless-home,在WPA項點擊“Use WPA”,“Driver”項欄目保持為空,如果之前的無線AP配置中打開了DHCP功能的話,保持“Automatic network configuration(DHCP)”不作修改,否則填入與無線AP所在同一網(wǎng)段的IP地址以及網(wǎng)關(guān)。配置完畢以后,點擊“Save”保存,回到wifi-radar界面下點擊“Connect”,就可以連接到無線AP。

在使用過程中,如果出現(xiàn)無法連接到無線AP的情況,通常是wpa_supplicant配置文件出現(xiàn)了問題,為了確定身份認(rèn)證是否成功,可以在運行wpa_supplicant時不帶控制參數(shù)-B,此時wpa_supplicant程序運行在終端控制臺中,通過查看wpa_supplicant運行信息,即可判斷是否是因為身份認(rèn)證失敗導(dǎo)致無法連接到無線AP,如(見圖2)。

當(dāng)看到“WPA: Group rekeying completed with 00:1d:0f:43:30:54 [GTK=TKIP]”這條信息,表示身份認(rèn)證已經(jīng)成功。

3結(jié)語

以上就是在Linux平臺下使用wpa_supplicant+wifi-radar方式實現(xiàn)連接到WPA身份認(rèn)證無線AP的相關(guān)配置。Linux下連接到WPA身份認(rèn)證無線AP的方法較Windows平臺復(fù)雜,但是在做好相關(guān)配置文件后,Linux也可以如此簡單地使用無線安全協(xié)議WPA來保護(hù)了無線網(wǎng)絡(luò)的安全。同時通過查看wpa_supplicant程序的運行信息,可以直觀的看到WPA的認(rèn)證過程,有助于對WPA協(xié)議的認(rèn)識。