AP 認證安全連接無線網絡

河南 劉進京

對AP 參數進行安全配置

對于思科的AP 來說，其默認的帳號為小寫的cisco，密碼（包括enable 密碼）為大寫的CISCO，當然，這種默認設置的安全性是比較差的。

為此，可以全局的設置用戶名、密碼和enable 密碼，特定AP 設置的擁有高優先級。

例如，首先登錄到思科某款無線款控制器管理界面，點擊工具欄上的“Configuration”按鈕，然后在左側依次點擊“Wireless”→“Access Points”→“Radios”→“Global AP Configuration”項，在右側 的“Login Credentials”欄中可以分別設置用戶名，密碼以及enable 密碼，點擊“Apply”按鈕執行應用。

這些設置信息會自動推動給關聯到該控制器的所有的AP，即所有相關AP 都會擁有該密碼。

當AP 加入到無線控制器后，AP 就激活了console口安全，當用戶訪問AP console 口時，會提示輸入賬戶名和密碼。當登錄完成后，就會進入非特權模式，您必須輸入enable 密碼來進入特權模式。

全局配置信息在無線控制器和AP 重啟后不會丟失，只有當AP 加入新的無線控制器，而且該無線控制器配置了全局用戶和密碼后，這些信息才會被覆蓋掉。

而如果新的無線控制器沒有配置全局身份信息，AP將保持之前的全局用戶和密碼。

注意，您必須關注AP 身份信息的變動情況，否則將無法登錄AP。

當然，想恢復默認的AP身份信息的話，最直接的辦法就是，同時將無線控制器和AP 的設置恢復到出廠狀態。

此外，還可以在AP 上執行“clear capwap privateconfig”命令，來清除該AP 的配置信息，之后執行Reload 命令重載即可。

當然，為所有的AP 設置統一的身份認證信息，雖然使用起來比較方便，不過安全性依然不足。

為了最大程度地提高AP的安全性，還可以為不同的AP 單獨設置身份信息。

例如在上述無線控制器管理界面左側點擊“WLAN”→“Access Points”→“All APs”項，在右側列表中顯示所有連接AP，選中某個AP，在屬性編輯界面中點擊“Credentials”項，在“Login Credentials”欄中選擇“Over-ride Global Credentials”項，為其設置用戶名、密碼以及enable 密碼。

當然，還可以在“802.1x Supplicant Credentials”欄之中，選擇“Over-ride Global Credentials”項，為其單獨設置802.1x 的身份驗證信息。因為在一般情況下，AP 都是連接到交換機，之后才連接到無線控制器上。

而當針對AP 設置了802.1x 的身份驗證信息后，就可以在AP 連接到的交換的端口上開啟802.1x 的認證功能了。

這樣，AP 就可以使用該802.1x 認證信息，在該接口上進行EAP-FAST 認證，可以有效提供AP 的安全性。點擊“General”按 鈕，在“AP name”和“Location”欄 中為其設置合適的名稱和位置信息，這對于AP 的管理是比較重要的。在AP 列表上部點擊“Advanced”按鈕，選擇“Telnet”和“SSH”項，可以激活相應的連接方式。

常用的無線認證方式

談到AP 的管理，就必然涉及到WLAN 的安全技術，這里主要談談關于無線控制器本地的DOT1x 認證。

對于每個WLAN 來說，都對應著獨立的WLAN ID，Profile name 和WLAN SSID。

例如，在上述無線控制器WLC 管理界面中，點擊 菜 單“Configuration”→“Wireless”項，在WLANS列表中可以看到上述信息。每個連接的AP 最多可以發布16個WLAN，即最大可以發布16個SSID 出去。

注意，可以在WLC 上創建超過最大數量的WLAN，并且選擇這些WLAN 發布到不同的AP。通過AP Group 技術，可以讓不同組的AP 可以發送不同的WLAN。管理員可以配置WLAN 使用不同的SSID或者相同的SSID，而且一個SID 標識一個特殊的無線網絡。

對于二層安全來說，其包 括None、WEP、WPA/WPA2、802.1x 以及CKIP 等。對于None 方式來說，不會進行任何加密。對于WEP 和WAP 方式來說，因為存在很大的安全隱患，黑客可以很容易對其進行破解，現在幾乎不再使用。WPA 使用802.1x 實現認證的密鑰管理，即密鑰由802.1x 動態產生，其支持單播和廣播的密鑰管理。

注意，WPA 使用兩套Key，分別用來加密單播和廣播數據包。對于連接到某個AP的PC 來說，會使用相同的PSK 預共享密鑰連接到目標AP 上，該AP 會為每臺PC 產生唯一的用于加密單播的密鑰，PC 彼此之間并不知曉該密鑰，這就會造成PC 之間看到的單播包都是加密的。但是PC 之間的廣播密鑰是通用的。

根據以上分析，可以看到AP 的預共享密碼和加密的密鑰是存在差異的。

WPA2 是目前使用最廣泛的加密方式，其使用了AES加密算法。對于個人用戶來說，WPA 使用預共享密鑰進行認證，不需要認證服務器，使用預設的共享密碼進行認證，基于本地進行訪問控制，使用TPIP、AES 進行加密。

而對于企業來說，使用的是802.1x 認證，其一般需要使用3A 服務器。3A 認證服務器用于認證、授權和密鑰分發，采用中心訪問控制機制，使用TPIP 和AES 進行加密。

對于開放式網絡環境來說，使用的是Web 認證方式。對 于WPA2 和802.11i來說，其實是大體相等的技術標準，前者是WiFi 標準，后者是IEEE 標準。當然，現在主要使用的是WPA2 標準，其使用了AES 替代了不可靠的RC4 加密算法，這里的AES其實以一種特殊的AES-CCMP算法，基于128 為對稱塊加密，AES 比RC4 更加強大，但是消耗的資源也更多，可以基于硬件實現AES。

實現基于WLC 本地的EAP 認證

在這里為便于說明，沒有使用ISE 等專業的3A 服務器，使用無線控制器進行本地的EAP 認證，即讓其扮演簡單的Radius 服務器的角色。

在該無線控制器上執行“config t”命 令，進入全局配置模式，然后執行“aaa new-model”“aaa authentication dot1x celue local”命令，啟用名為“celue”的Dot1x 認證策略。

執行“aaa authorication credential-downliad celue1 local”命令，進行身份信息的授權。執行“aaa local authentication celue authorization celue1”命令，使用本地認證策略和授權策略。之后執行“dot1x system-auth-control”命令，進行全局激活Dot1x。在配置Dot1x 時，對于3A 服務器來說是需要一張證書的，客戶在建立EAP 會話之前需要校驗該證書的。

因為該無線控制器扮演了3A 服務器的角色，所以也需要證書。這里使用的是自簽名證書，執行“end”“ip http secure-server”命令，啟動HTTPS 服務器功能，就可以自動產生自簽名證書。

登錄到無線控制器管理界面，點擊工具欄上 的“Configuration”→Security”項，在左側選擇“Local EAP”→“Local EAP Profiles”項，點擊右側的“New”按鈕，創建新的Profiles 項目，輸入名稱（例如“profile1”），其下列出常用的EAP 類型。

這里選擇最常用的“PEAP”項，可以在客戶和3A 服務器之間進行數據的加密傳輸。點擊“Apply 按鈕，保存配置信息。點擊工具欄上的“Configuration”→“Wireless”項，在左側選擇“WLAN”→“WLANS”項，在右側點擊“New”按鈕，創建新 的WLAN，輸 入WLAN ID、SSID（例 如“newssid”）以及Profile file 名稱（例如“pfile1”）。

在列表中選擇該WLAN項目，在其屬性編輯界面中的“General”面板中的“Status”欄中選擇“Enabled”項將其激活，在“Interface/Interface Group”列表中選擇需要關聯的本地VLAN 的名稱。在“Security”面板中點擊“layer2”按鈕，在“Auth Key Mgmt”列表中線則“802.1x”項。

點 擊“AAA Server”按鈕，然后在“Authentication Method”列表，選擇上述認證策略（如“celue1”）。選擇“Local EAP Authentication”項，在“EAP Profile Name”欄中輸入上述EAP 項目名稱（例如“profile1”）。

最后配置完成后，在客戶端可以搜索到上述SSID 信號名。

在客戶端進行安全連接

在網絡和共享中心點擊“設置新的連接或網絡”項，之后選擇“手動連接到無線網絡”項，在打開窗口中的“網絡名”欄中輸入上述SSID名稱，在“安全類型”列表中選擇“WPA2-企業”項，點擊“下一步”按鈕，選擇“更改連接設置”項，在打開窗口中的“安全”面板中的“選擇網絡身份驗證方法”列表中確保選擇“Microsoft 受保護的EAP（PEAP）”項。

點擊“設置”按鈕，在其屬性窗口中取消“通過驗證證書來驗證服務器的身份”項，這是因為在無線控制器上使用了自簽名證書的原因。

點擊“設置”按鈕，取消“自動使用Windows 登錄名和密碼”項。點擊“高級設置”按鈕，在高級設置窗口中的“802.1x 設置”面板中選擇“指定身份驗證模式”項，在列表中選擇“用戶身份驗證”項，點擊“確定”按鈕，保存配置信息。

完成以上設置后，在無線連接列表中選擇上述SSID項，輸入上述無線控制器上預設的本地用戶名和密碼，就可以連接成功了。

實現基于Web 的安全認證

在開放的環境中，為了讓用戶可以順利連接無線網絡，會使用到Web 認證技術。Web 認證使用的是三層安全技術，可以在任意設備上利用瀏覽器，就可以連接到無線網絡的安全技術。其可以和使用預共享密鑰認證的二層安全技術配置使用，可以大大增加其安全性。

當然，在一般情況下，Web 認證只是提供認證，并不會對傳輸的數據進行加密。Web 認證僅僅提供給外來訪客使用的，因此沒有必要對其數據進行保護。

在進行對Web 認證之前，客戶可以直接關聯，關聯后客戶可以獲取IP 和DNS 服務器地址，在沒有完成Web認證之前，客戶無法訪問任何網絡資源。可以必須使用瀏覽器訪問一個合法的網址，通過DNS 對其進行解析，之后客戶發送HTTP 請求到這個網站的IP，無線控制器會對該請求進行處理并返回給客戶網頁認證頁面。只有當通過Web 認證后，客戶才被允許訪問所需的網絡資源。

對于WLC 來說，可以使用其內建的登錄頁面，用戶也可以自己編寫認證頁面，或者使用外部的服務器提供的認證頁面。

這里為了簡單起見，使用WLC 內建的登錄頁面。

首先，在WLC 管 理界面工具欄上，依次點擊“Configuration”→“Security”項，在左側依次選擇“Web Auth”→“Webauth Parameter Map”項，在右側點擊“global”項，可以對登錄頁面各參數進行修改。

例如在“Banner”欄中輸入歡迎信息，在“Type”列表中選擇“webauth”項，激活網頁認證功能。在“Virtual Ipv4 Address”欄中輸入合適的虛擬地址等。在WLC 命令行中執行“config t”命令，進入全局配置模式。然后執行以下命令：

然后執行登錄認證，網絡授權以及下載身份數據庫的授權等。

之后按照上述方法，在管理界面中添加新的WLAN，并輸入WLAN ID、SSID（例如“webssid”）以及Profile file 名稱（例如“pfileweb”）。之后將其激活，并為其選擇具體的VLAN名稱。

接著在其屬性窗口中的“Security”面板中點擊“layer2”按鈕，在“Layer 2 Security”列表中選擇“None”項，表示沒有二層安全。點擊“Layer3”按鈕，選擇“Web Policy”項，激活Web 認證策略。在“Web Authentication List”列表中選擇“Webauth”項，表示在三層使用網頁認證。在“Webauth Parameter Map”列表中選擇“global”項，調用Web 認證參數項目。

當客戶端打開無線連接列表后，可以發現上述“webssid”熱點處于不加密狀態，可以直接進行連接。如果配置了DNS 服務器的話，就可以訪問所需的網站，WLC 就可以對該連接請求進行攔截，并將其引入到Web認證界面，輸入WLC 的本地用戶名和密碼后，就可以順利進行訪問了。