WLAN接入安全及配置介紹培訓(xùn)目標(biāo)學(xué)完本課程后，您應(yīng)該能：概括WLAN認(rèn)證和加密技術(shù)配置華為WLAN安全模板Page1目錄WLAN認(rèn)證技術(shù)WLAN加密技術(shù)WLAN安全策略及安全模板配置Page2WLAN安全的發(fā)展歷程Page3時(shí)間基本加密沒有嚴(yán)格身份驗(yàn)證靜態(tài)的、易破解的密鑰不可擴(kuò)展也使用MAC過濾器以及SSID偽裝來完善WEP安全性發(fā)展趨勢安全WEP動(dòng)態(tài)密鑰增強(qiáng)型加密用戶身份驗(yàn)證802.1XEAPRadius802.1X標(biāo)準(zhǔn)化TKIP/CCMP加密嚴(yán)格的用戶身份驗(yàn)證WPA/WPA2199720012003至今WLAN安全認(rèn)證當(dāng)前以802.11為標(biāo)準(zhǔn)的WLAN為廣大用戶提供了越來越高的無線接入帶寬，越來越多的用戶開始使用WLAN網(wǎng)絡(luò)，同時(shí)對(duì)WLAN的安全性也提出了越來越高的要求。如何保護(hù)用戶敏感數(shù)據(jù)的安全，保護(hù)用戶的隱私，是眾多WLAN用戶非常關(guān)心的問題。Page4開放系統(tǒng)認(rèn)證開放系統(tǒng)認(rèn)證（Opensystemauthentication）是缺省使用的認(rèn)證機(jī)制，是最簡單的認(rèn)證算法，即不認(rèn)證。Page5認(rèn)證請求認(rèn)證成功STAAP服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配Page6ESSID：group1ESSID：group2ESSID：group1ESSID：group2企業(yè)網(wǎng)絡(luò)ACAPAPSTASMAC認(rèn)證Page7MAC:000FE20166BEMAC:000FE20166DDMAC:000FE20166DF地址控制接入表：MAC:000FE20166BFMAC:000FE20166DDMAC:000FE20166DFMAC:000FE2016612MAC:000FE20166E1MAC地址認(rèn)證：在設(shè)備上預(yù)先配置允許訪問的MAC地址列表，如果客戶端的MAC地址不在允許訪問的MAC地址列表，將被拒絕其接入請求?！罶TA1STA2STA3APAC共享密鑰認(rèn)證（Shared-keyauthentication）必須使用WEP加密方式，要求STA和AP使用相同的共享密鑰（key），通常被稱為靜態(tài)WEP密鑰。Page8共享密鑰認(rèn)證認(rèn)證請求隨機(jī)生成“挑戰(zhàn)短語”“挑戰(zhàn)短語”加密的密文認(rèn)證成功預(yù)置密鑰預(yù)置密鑰使用密鑰加密明文密鑰解密后和明文比較STAAPIEEE802.1X認(rèn)證簡介IEEE802.1X是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)。它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。于2001年標(biāo)準(zhǔn)化，之后為了配合無線網(wǎng)絡(luò)的接入進(jìn)行修訂改版，于2004年完成。Page9IEEE802.1X認(rèn)證三大元素在802.1X架構(gòu)中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)?？蛻舳苏J(rèn)證者認(rèn)證服務(wù)器Page10客戶端認(rèn)證者認(rèn)證服務(wù)器EAP協(xié)議802.1X體系本身不是一個(gè)完整的認(rèn)證機(jī)制，而是一個(gè)通用架構(gòu)。802.1X體系使用EAP（ExtensibleAuthenticationProtocol）認(rèn)證協(xié)議。EAP的封包格式EAPoverLANsPage11LANHeaderCodeIdentifierLengthDataEAP類型Page12EAP類型認(rèn)證方式備注EAP-MD5用戶名和密碼最早的EAP類型EAP-TLS(TransportLayerSecurity)客戶端：證書認(rèn)證服務(wù)器：證書第一個(gè)符合無線網(wǎng)絡(luò)三項(xiàng)要求的身份驗(yàn)證方式EAP-TTLS(TunnelledTransportLayerSecurity)認(rèn)證服務(wù)器：證書可以使用任何第三方EAP認(rèn)證方法，由FunkSoftware發(fā)起EAP-PEAP(ProtectedEAP)認(rèn)證服務(wù)器：證書客戶端：用戶名+密碼雙層加密通道，由微軟、思科、RSA發(fā)起PSK認(rèn)證PSK認(rèn)證需要實(shí)現(xiàn)在無線客戶端和設(shè)備端配置相同的預(yù)共享密鑰，可以通過是否能夠?qū)f(xié)商的消息成功解密，來確定本端配置的預(yù)共享密鑰是否和對(duì)端配置的預(yù)共享密鑰相同，從而完成服務(wù)端和客戶端的互相認(rèn)證。Page13相同的預(yù)共享密鑰PPPoE認(rèn)證PPPoE（Point-to-PointProtocoloverEthernet），以太網(wǎng)上的點(diǎn)對(duì)點(diǎn)協(xié)議，是將點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）封裝在以太網(wǎng)（Ethernet）框架中的一種網(wǎng)絡(luò)隧道協(xié)議。。PPPoE在WLAN使用時(shí)，和WLAN本身采用的認(rèn)證加密沒有關(guān)系。PPPoE認(rèn)證系統(tǒng)架構(gòu)：Page14PPPoE客戶端PPPoE服務(wù)器AAA服務(wù)器Portal認(rèn)證Portal認(rèn)證也稱Web認(rèn)證。客戶端使用標(biāo)準(zhǔn)Web瀏覽器（例如IE），填入用戶名、密碼信息，頁面提交后，由Web服務(wù)器和設(shè)備配合完成用戶的認(rèn)證。Portal認(rèn)證體系架構(gòu)Page15Portal服務(wù)器客戶端接入服務(wù)器AAA服務(wù)器Portal認(rèn)證過程Page16STA獲得IPHttp請求Http重定向Http定向到Portal服務(wù)器返回輸入的用戶名和密碼與Radius服務(wù)器認(rèn)證交互下發(fā)認(rèn)證結(jié)果APACRadiusServerPortalServerSTA目錄WLAN認(rèn)證技術(shù)WLAN加密技術(shù)WLAN安全策略及安全模板配置Page17WLAN安全加密在WLAN用戶通過認(rèn)證后并賦予訪問權(quán)限后，網(wǎng)絡(luò)必須保護(hù)用戶所傳送的數(shù)據(jù)不被窺視。主要的方法為對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密，保證只有特定的設(shè)備可以對(duì)接收到的報(bào)文成功解密。WLAN加密方式：WEP加密TKIP加密CCMP加密Page18WEP加密Page19KeyXORKeyStreamCipherTextRC4IVPlainText（data）MAC802.11EncrypteddataFCSWEP加密缺陷WEP夠了嗎？整個(gè)網(wǎng)絡(luò)共用一個(gè)共享密鑰，一旦丟失，整個(gè)網(wǎng)絡(luò)都很危險(xiǎn)IV向量太短，大量監(jiān)聽用戶數(shù)據(jù)報(bào)文后，WEP加密很容易被破解RC4加密算法過于簡單解決辦法增加一種密鑰管理機(jī)制采用更強(qiáng)壯的加密算法Page20TKIP加密TKIP：臨時(shí)密鑰完整性協(xié)議（TemporalKeyIntegrityProtocol）使用RC4來實(shí)現(xiàn)數(shù)據(jù)加密，這樣可以重用用戶原有的硬件而不增加加密成本。TKIP加密特點(diǎn)將IVsize從24bits增加到48bits，減少了IV重用增加了Key的生成、管理以及傳遞的機(jī)制每用戶使用獨(dú)立的Key通過安全的傳遞方法傳遞用戶數(shù)據(jù)加密使用的Key使用Michael來實(shí)現(xiàn)MIC(MessageIntegrityCode)Page21密鑰的生成Page22PMKPMK生成Anonce生成PTK生成PTKInstallPTKInstallPTK發(fā)送Anonce發(fā)送Snonce，MIC協(xié)商PTK響應(yīng)安裝PTKBaseKey（PTK）TransmitAddressPacketSequenceMixerKey四次握手密鑰混合密鑰消息完整性校驗(yàn)（MIC）Page23DASAPayloadMICKeyMIC8-ByteMICMIC通過以下因素計(jì)算：MICKey目的MAC地址源地址MAC地址數(shù)據(jù)CCMP加密CCMP是圍繞AES建立的安全協(xié)議，稱為計(jì)數(shù)器模式+密碼塊鏈認(rèn)證碼協(xié)議（CounterModewithCipherBlockChainingMACProtocol，CCMP）。即CCMP=CounterMode+CBC-MACAES算法加密，比RC4健壯同TKIP加密一樣的密鑰分發(fā)和管理機(jī)制，使用128bits密鑰AES需要升級(jí)硬件Page24加密方式對(duì)比加密方式WEPTKIPCCMP加密算法RC4RC4AES密鑰長度40or104bits128bits128bits密鑰壽命24-bitIV48-bitIV48-bitIV數(shù)據(jù)校驗(yàn)算法CRC-32MichaelCBC密鑰管理None4-wayHandshake4-wayHandshakePage25目錄WLAN認(rèn)證技術(shù)WLAN加密技術(shù)WLAN安全策略及安全模板配置Page26安全策略認(rèn)證：不認(rèn)證加密：不加密應(yīng)用配合業(yè)務(wù)層Portal認(rèn)證作為計(jì)費(fèi)方式，廣泛應(yīng)用于運(yùn)營商場景中。配置方法：華為設(shè)備中安全模板默認(rèn)即為不認(rèn)證、不加密Page27WEP認(rèn)證：共享密鑰認(rèn)證加密：WEP加密（RC4）應(yīng)用：常用與家庭、個(gè)人無線網(wǎng)絡(luò)中，對(duì)安全性要求不高，需要專人維護(hù)密鑰。Page28WEP配置方法：Page29[AC-wlan-ac-view]security-profilenametestWEP-40hex加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-40hex01234567890[HUAWEI-wlan-sec-prof-test]wepdefault-key0WEP-40pass-phrase加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-40pass-phrase012345[HUAWEI-wlan-sec-prof-test]wepdefault-key0WEPPage30WEP-104hex加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-104hex012345678901234567890123456[HUAWEI-wlan-sec-prof-test]wepdefault-key0WEP-104pass-phase加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-104pass-phrase01234567890abc[HUAWEI-wlan-sec-prof-test]wepdefault-key0WPAWPA

(Wi-FiProtectedAccess)認(rèn)證方式：WPA個(gè)人版：PSKWPA企業(yè)版：802.1X+EAP加密方式：TKIP應(yīng)用場景：WPA個(gè)人版適合個(gè)人、家庭與小型SOHO網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)安全要求相對(duì)較低，不適用認(rèn)證服務(wù)器。WPA企業(yè)版適合企業(yè)等安全性要求較高的網(wǎng)絡(luò)，需要有認(rèn)證服務(wù)器。Page31WPA配置方法：Page32WPA-PSK（TKIP加密方式）：

[HUAWEI-wlan-sec-prof-test]security-policywpa[HUAWEI-wlan-sec-prof-test]wpaauthentication-methodpskpass-phrasesimple12345678encryption-methodtkipWPA-PEAP（TKIP加密方式）：[HUAWEI-wlan-sec-prof-test]security-policywpa[HUAWEI-wlan-sec-prof-test]wpaauthentication-methoddot1xpeapencryption-methodtkipWPA2WPA2是經(jīng)由Wi-Fi聯(lián)盟驗(yàn)證過的IEEE802.11i標(biāo)準(zhǔn)的認(rèn)證形式。認(rèn)證方式：WPA個(gè)人版：PSKWPA企業(yè)版：802.1X+EAP加密：TKIPCCMP應(yīng)用：同WPAPage33WPA-PSK配置方法：Page34WPA-PSK認(rèn)證，tkip加密方式[HUAWEI-wlan-sec-prof-test]security-policywpa[HUAWEI-wlan-sec-prof-test]wpaauthentication-methodpskpass-phrasesimple12345678encryption-methodtkip

WPAdot1x認(rèn)證radius-servertemplatehuaweiradius-servershared-keysimplehuaweiradius-serverauthentication001812aaaauthentication-schemehuaweiauthentication-moderadiusdomaindefaultauthentication-schemehuaweiradius-serverhuaweiPage35WPAdot1x認(rèn)證（續(xù)）interfaceWLAN-Ess1porthybridpvidvlan101porthybriduntaggedvlan101dot1x-authenticationenabledot1xauthentication-methodeap

security-profilenamesecurity-3id3security-policywpa2wpa2authentication-methoddot1xpeapencryption-methodccmpservice-setnamehuawei101id2WLAN-ess1ssidhuawei101traffic-profileid1

security-profileid3service-vlan101Page36WPA/WPA2在最新的實(shí)現(xiàn)中，不管是WPA還是WPA2都可以使用802.1X認(rèn)證或PSK認(rèn)證。加密方法上也都可以使用TKIP或者CCMP加密。因此，WPA的認(rèn)證加密組合有：WPA-PSK+TKIPWPA-PSK+CCMPWPA2-PSK+TKIPWPA2-PSK+CCMPPage37WPA-802.1X+TKIPWPA-802.1X+CCMPWPA2-802.1X+TKIPWPA2-802.1X+CCMPWAPIWAPI是WLANAuthenticationandPrivacyInfrastructure（無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）的簡稱，是中國提出的、以802.11無線協(xié)議為基礎(chǔ)的無線安全標(biāo)準(zhǔn)，WAPI的以太類型字段為0x88B4。技術(shù)背景基于三元結(jié)構(gòu)和對(duì)等鑒別的訪問控制方法可普遍適用于無線、有線網(wǎng)絡(luò)WAPI目的：“合法用戶接入合法網(wǎng)絡(luò)”Page38WAPI三元架構(gòu)Page39WEP802.1X+EAP(802.11i)WAPI二元安全架構(gòu)對(duì)應(yīng)二物理實(shí)體單向鑒別無法保證安全三元安全架構(gòu)對(duì)應(yīng)三物理實(shí)體接入點(diǎn)/基站有獨(dú)立身份完整雙向認(rèn)證有效保證安全二元安全架構(gòu)對(duì)應(yīng)三物理實(shí)體AP無獨(dú)立身份，易被攻擊仍無法保證安全WAPIWAPI協(xié)議由以下兩部分構(gòu)成：WAI：是WLANAuthenticationInfrastructure（無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)）的簡稱，是用于無線局域網(wǎng)中身份鑒別和密鑰管理的安全方案；WPI：是WLANPrivacyInfrastructure（無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)）的簡稱，是用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能。Page40WAPIWAPI服務(wù)與WEP/WPA/WPA2的區(qū)別：WAPI支持WLAN客戶端和接入網(wǎng)絡(luò)的雙向認(rèn)證，即網(wǎng)絡(luò)驗(yàn)證用戶的