在無線網(wǎng)絡(luò)中實(shí)現(xiàn)安全認(rèn)證

河南 郭建偉

使用LDAP 實(shí)現(xiàn)安全認(rèn)證

當(dāng)然，對(duì)于比較復(fù)雜的網(wǎng)絡(luò)來說，可以在配置ISE 設(shè)備來作為RADIUS 服務(wù)器，當(dāng)無線用戶連接時(shí)，WLC 會(huì)將其輸入的賬戶名和密碼信息發(fā)送給ISE 設(shè)備，ISE 通過LDAP 聯(lián)系目錄服務(wù)器，來獲取認(rèn)證信息。當(dāng)認(rèn)證通過后，ISE 設(shè)備對(duì)該用戶進(jìn)行授權(quán)操作，之后將授權(quán)和認(rèn)證信息回送給WLC，該用戶才可以接入無線網(wǎng)絡(luò)。對(duì)于思科WLC 來說，其支持本地EAP 認(rèn)證，即WLC 本身作為RADUIS服務(wù)器來使用。

用戶名和密碼等認(rèn)證信息可以存儲(chǔ)在WLC 本地，也可以存儲(chǔ)在后臺(tái)的活動(dòng)目錄服務(wù)器上。WLC 通過LDAP 向其執(zhí)行查詢操作。注意，LDAP 認(rèn)證只能使用EAP →FAST，PEAP →GTC 和EAP →TLS 方式。

對(duì)于Local EAP 來說，其好處在于當(dāng)外部的3A 服務(wù)器（例如ISE 等）出現(xiàn)故障時(shí)，其可以正常為客戶提供服務(wù)。外部RADUS 服務(wù)擁有更高的優(yōu)先級(jí)，即WLC 會(huì)先尋找外部RADIUS 服務(wù)器進(jìn)行認(rèn)證，如果失敗則使用本地EAP 認(rèn)證。當(dāng)然，也可以針對(duì)目標(biāo)WLAN 進(jìn)行設(shè)定，只允許其使用本地EAP 認(rèn)證。

登錄到某款思科WLC 管理界面，點(diǎn)擊工具欄上的“SECURITY”項(xiàng)，在左側(cè)選擇“AAA”→“LDAP”項(xiàng)，在右側(cè)的“Server IP Address”欄中輸入活動(dòng)目錄服務(wù)器的IP地址，在“Simple Bind”列表中選擇“Authenticated”項(xiàng)，在“Bind Username”欄中輸入域管理員名稱，在“Bind Pasword”欄中輸入其密碼。在“User Base DN”欄中輸入“cn=users,dc=xxx,dc=com”，其中的“users”為活動(dòng)目錄中的名為“users”的OU，在其中存儲(chǔ)在AD 中的用戶信息，“xxx”表示具體的域名。

在“User Attritube”欄中輸入“sAMAccountName”，這是LDAP 的一個(gè)屬性值，其等同于用戶名。在“User Object Type”欄中輸入“person”，其余設(shè)置保持默認(rèn)，點(diǎn)擊“Apply”按鈕保存配置信息。在左側(cè)選擇“Access Control Lists”→“Access Control Lists”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，輸入新的ACL 的名稱（例如“acl1”），來創(chuàng)建該ACL 列表。在其編輯窗口中點(diǎn)擊“New Rule”按鈕，創(chuàng)建一個(gè)新的規(guī)則，在“Protocol”列表中選擇“ICMP”項(xiàng)，在“Action”列表中選擇“Permit”項(xiàng)，放行ICMP 流量。

再創(chuàng)建一條規(guī)則，在“Protocol”和“Destination Port”列表中均選擇“UDP”，在“Action”列表中選擇“Permit”項(xiàng)，放行UDP 流量。之后創(chuàng)建新的規(guī)則，在“Protocol”列表中選擇“UDP”，在“Source Port”列表中選擇“DNS”項(xiàng)，在“Action”列表中選擇“Action”列表中選擇“Permit”項(xiàng)，放行DNS 流量。再創(chuàng)建兩條條規(guī)則，分別在“Source”和“Destination IP”列表中選擇“IP Address”欄中輸入目標(biāo)IP，例如“1.1.1.1”。其余保持默認(rèn)，對(duì)其執(zhí)行放行動(dòng)作。

這樣，在執(zhí)行Web 認(rèn)證時(shí)，當(dāng)用戶訪問域名信息時(shí)，就會(huì)被WLC 重定向到指定的IP 地址，并打開認(rèn)證頁面，當(dāng)用戶輸入賬戶名和密碼后，會(huì)通過LDAP 發(fā)送給后臺(tái)AD數(shù)據(jù)庫，來執(zhí)行認(rèn)證操作。

使用PEAP 實(shí)現(xiàn)安全認(rèn)證

對(duì)于PEAP 來說，在客戶端和RADIUS 服務(wù)器之間會(huì)建立一條TLS 的隧道，在該隧道中發(fā)送相關(guān)的EAP 數(shù)據(jù)，客戶需要使用證書來驗(yàn)證RADIUS 服務(wù)器，服務(wù)器也會(huì)使用賬戶名和密碼來驗(yàn)證客戶。

在工具欄上選擇“WLANs”項(xiàng)，在列表中選擇“Create New”項(xiàng)，點(diǎn)擊“Go”按鈕，輸入新的WLAN 和SSID名 稱（例 如“AuthWlan”），來創(chuàng)建該WLAN。在其屬性窗口中的“General”面板中的“Status”欄中選擇“Enabled”項(xiàng)，激活該WLAN。在“Interface/Interface Group”列表中選擇對(duì)應(yīng)的VLAN。在“Security”面板中的“Layer2”標(biāo)簽中的“l(fā)ayer 2 Security”列表中選擇“None”項(xiàng)，禁用二層安全功能。

在“Layer3”標(biāo)簽中的“Layer 3 Security”列 表中選擇“Web Policy”項(xiàng)，執(zhí)行Web 認(rèn)證功能。在選擇“Preauthentication ACL”列表中選擇上述“Acl1”的ACL 項(xiàng)目，在“AAA”標(biāo)簽中的“LADP Servers 1”欄中輸入活動(dòng)目錄服務(wù)器的IP 地址，例如“IP:172.16.1.10,port:309”。

完成以上配置后，在客戶端上連接上述SSID，之后訪問任意網(wǎng)址，就會(huì)被重定向到指定的地址上，在顯示的認(rèn)證頁面中輸入用戶名和密碼，WLC 就會(huì)將其通過LDAP發(fā)送到活動(dòng)目錄服務(wù)器上，如果在AD 數(shù)據(jù)庫中存在該賬戶（例如可以事先在AD 中創(chuàng)建該賬戶），那么認(rèn)證就會(huì)成功，該客戶就可以順利接入無線網(wǎng)絡(luò)。

對(duì) 于Local EAP 來說，可以在WLC 本地完成認(rèn)證過程。在工具欄上選擇“SECURITY”項(xiàng)，在左側(cè)選擇“Local EAP”→“Profiles”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，輸入其名稱（例如“Leap1”），創(chuàng)建該EAP Profile。在其屬性編輯窗口中選擇“PEAP”項(xiàng)，激活EAP 認(rèn)證功能。在左側(cè)選擇“Local EAP”→“Authentication Proority”項(xiàng)，在右側(cè)可以調(diào)整認(rèn)證優(yōu)先級(jí)順序。在左側(cè)選擇“AAA”→“Local Net Users”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，輸入賬戶名和密碼，在“WLAN Profile”列表中為其指定WLAN。

可以按照上述方法創(chuàng)建所需的WLAN，為其設(shè)定SSID。在其屬性窗口中的“Security”面板中的“AAA Servers”標(biāo)簽中選擇“Local EAP Authentication”欄中的“Enabled”項(xiàng)，在“EAP Profile Name”列表中選擇上述名為“Leap1”的Profile，激活本地認(rèn)證服務(wù)。對(duì)于EAP 來說，一般適用于企業(yè)內(nèi)部網(wǎng)絡(luò)。之后在客戶端使用Cisco AnyConnect Security Mobility Client連接該SSID，選擇PEAP 認(rèn)證方式，在彈出的提示窗口中點(diǎn)擊OK 按鈕，信任WLC 的自簽名證書，輸入賬戶名和密碼，在WLC 上執(zhí)行本地認(rèn)證，如果沒有問題就可以接入無線網(wǎng)絡(luò)。

使用EAP-TLS 實(shí)現(xiàn)安全認(rèn)證

對(duì)于EAP TLS 認(rèn)證來說，也會(huì)在客戶端和RADIUS 服務(wù)器之間會(huì)建立一條TLS 的隧道，在其中相互發(fā)送證書和數(shù)字簽名來進(jìn)行認(rèn)證。這樣，在客戶端和WLC 之間都必須申請(qǐng)根證書和個(gè)人證書，才可以實(shí)現(xiàn)該認(rèn)證方式。

例如在Windows Server 2008 R2 上打開證書管理窗口，在左側(cè)的“證書模版”項(xiàng)的右鍵菜單上點(diǎn)擊“管理”項(xiàng)，在模版列表中選擇“Web服務(wù)器”項(xiàng)，在其右鍵菜單上點(diǎn)擊“復(fù)制模版”項(xiàng)，直接點(diǎn)擊確定按鈕，在新模版屬性窗口中的“常規(guī)”面板中輸入其名稱（例如“l(fā)eaprz”）。

在“請(qǐng)求處理”面板中選擇“允許導(dǎo)出私鑰”項(xiàng)，在“安全”面板中選擇“Authenticated Users”賬戶組，在“寫入”和“注冊(cè)”欄中分別選擇“允許”項(xiàng)，點(diǎn)擊確定按鈕將其導(dǎo)入進(jìn)來。在上述窗口中選擇“證書模版”項(xiàng)，在右側(cè)的空白位置點(diǎn)擊右鍵，在彈出菜單中選擇“新建”→“要頒發(fā)的證書模版”項(xiàng)，選擇上述“l(fā)aprz”模版，將其發(fā)布進(jìn)來。打開IIS 管理器窗口，在左側(cè)選擇“網(wǎng)站”→“Default WebSite”項(xiàng)，在右側(cè)點(diǎn)擊“綁定”鏈接，點(diǎn)擊“添加”按鈕，在打開窗口中的“SSL 證書”列表中選擇所需的證書。

在瀏覽器中訪問“https://server1.xxx.com/certsrv”地址，其中的“server1”為CA 服務(wù)器的名稱。輸入域管理員賬戶和密碼，在證書申請(qǐng)頁面中依次點(diǎn)擊“申請(qǐng)證書”，“創(chuàng)建并向此CA 提交一個(gè)申請(qǐng)”連接，在“證書模版”列表中選擇“l(fā)eaprz”模版，在“姓名”欄中輸入WLC 的設(shè)備名稱，選擇“標(biāo)記密碼為可導(dǎo)出”項(xiàng)，點(diǎn)擊“提交”按鈕，點(diǎn)擊“安裝此證書”鏈接安裝操作。打開IE 的屬性窗口，在“內(nèi)容”面板中點(diǎn)擊“證書”按鈕，選擇上述證書，點(diǎn)擊“導(dǎo)出”按鈕，在向?qū)Т翱谥羞x擇“是，導(dǎo)出私鑰”項(xiàng)，點(diǎn)擊“下一步”按鈕，選擇“導(dǎo)出所有擴(kuò)展屬性”項(xiàng)，在下一步窗口中輸入密碼來保護(hù)私鑰。之后點(diǎn)擊“瀏覽”按鈕，將證書導(dǎo)出（例如“wlczs.pfw”）。這樣，就得到了個(gè)人證書。

訪問“https://server1.xxx.com/certsrv”地 址，在證書申請(qǐng)頁面中依次點(diǎn)擊“下載CA 證書，證書鏈或CRL”項(xiàng)，選擇“base 64”項(xiàng)，點(diǎn)擊“下載CA 證書”鏈接，將保存根證書（例如“root.cer”）。

注意，對(duì)于微軟提供的證書，思科設(shè)備是不支持的。需要使用OpenSSL 這一工具進(jìn)行轉(zhuǎn)換。在CMD 窗口中切換到該工具安裝路徑中的“Bin”目錄下，執(zhí)行“openssl pkcs12 -in wlczs.pfx -out wlczr.pem”命令，將上述個(gè)人證書轉(zhuǎn)換為思科支持的格式。為了便于傳輸，可以創(chuàng)建一個(gè)TFTP 服務(wù)器，將轉(zhuǎn)換后的證書和上述根證書存放到其根目錄下。

在WLC 管理界面工具欄上選擇“COMMANDS”項(xiàng)，在左側(cè)選擇“Download File”項(xiàng)，在右側(cè)的“File Type”列表中選擇“Vendor CA Certificate”項(xiàng)，在“Tansfer Mode”列表中選擇“TFTP”項(xiàng)，在“IP Address”欄中輸入TFP 服務(wù)器的IP，在“Maximum retries”欄中輸入“10”，在“Timeout”欄中輸入“6”，在“File Path”欄中輸入“./.”，在“File Name”欄中輸入“root.cer”，點(diǎn) 擊“Downlad”按鈕，下載和安裝所需的根證書。之后繼續(xù)執(zhí)行下載操作，基本參數(shù)與上述相同，所不同的是在“File Type”列表中選擇“Vendor Device Certificate”項(xiàng)，在“Certificate Password”欄中上述輸入上述密碼，在“File Name”欄 中 輸入“wlcrz.pem”，點(diǎn) 擊“Download”按鈕下載和安裝個(gè)人證書。之后點(diǎn)擊“Save and Reboot”按鈕重啟WLC。

在客戶端訪問訪問“https://server1.xxx.com/certsrv”地址，輸入域管理員賬戶名和密碼，在證書申請(qǐng)頁面中依次“下載CA證書，證書鏈或CRL”，選擇“Base 64”項(xiàng)，點(diǎn)擊“下載CA證書”鏈接，將根證書保存到本地。雙擊該根證書，在向?qū)Ы缑嬷羞x擇“將所有的證書放入下列存儲(chǔ)”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，選擇“受信任的根證書頒發(fā)機(jī)構(gòu)”項(xiàng)，點(diǎn)擊“完成”按鈕，將其安裝到指定位置。之后在證書申請(qǐng)頁面中點(diǎn)擊“申請(qǐng)證書”，“用戶證書”連接，在“密鑰強(qiáng)度”列表中選擇“高級(jí)”項(xiàng)，點(diǎn)擊“提交”按鈕，獲取個(gè)人證書。

之后點(diǎn)擊“安裝此證書”鏈接，安裝個(gè)人證書。在WLC 管理界面工具欄上選擇“SECURITY”項(xiàng)，在左側(cè)選擇“Local EAP”→“Profiles”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，輸入其名稱（例如“Leapt”），創(chuàng)建該EAP Profile。在其屬性編輯窗口中選擇“EAP-TLS”項(xiàng)，激活EAPTLS 認(rèn)證功能。在“Local Certificate Required”和“Client Certificate required”欄中分別選擇“Enabled”項(xiàng)，在WLC 和 客戶端均需要證書認(rèn)證。在“Certificate Issuer”列表中選擇“Vendor”項(xiàng)，表示證書由其他廠商提供。注意，不要在“Check against CA certificates”欄中選擇“Enabled”項(xiàng)，否則容易出現(xiàn)認(rèn)證失敗的情況。

在工具欄上選擇“WLANs”項(xiàng)，在列表中選擇“Create New”項(xiàng)，點(diǎn)擊“Go”按鈕，輸入新的WLAN 和SSID 名稱（例如“AuthTLS”），來創(chuàng)建該WLAN。在其屬性窗口中的“General”面板中的“Status”欄中選擇“Enabled”項(xiàng)，激活該WLAN。在“Security”面板中打開“AAA Servers”標(biāo)簽，在“Local EAP Authentication”欄 中選 擇“Enabled”項(xiàng)，在“EAP Profile Name”列表中選擇上述“Leapt”項(xiàng)目。在客戶端使用Cisco AnyConnect Security Mobility Client 連接該SSID，注意在連接窗口中的“802.1X Configuratuion”欄中的兩個(gè)列表中分別選擇“Certificate”和“EAP-TLS”項(xiàng)，執(zhí)行證書認(rèn)證操作。當(dāng)認(rèn)證通過后，就可以順利接入無線網(wǎng)絡(luò)中了。