配置NETGEAR AP与Windows IAS实现受保护的EAP(PEAP)、智能卡或其它证书的两种身份验证实验手册v2.0
- 格式:pdf
- 大小:1.81 MB
- 文档页数:31
配置AP与Windows IAS实现受保护的EAP(PEAP)、智能卡或其它证书的两种身份验证实验手册V2.0NETGEAR中国区客户服务部技术支持工程师王旋2008-5-14目录一、知识简介 (3)1、802.1x 身份验证 (3)2、802.11 安全 (4)3、网络密钥 (4)3.1、WEP (4)3.2、WPA (4)二、网络拓扑: (7)三、配置AP (8)1、AP的基本信息 (8)2、配置Radius Server。
(8)3、配置身份认证方式 (9)3.1、802.1x + WEP (9)3.2、WPA with Radius (10)3.3、WPA2 with Radius (10)3.4、WPA & WPA2 with Radius (11)四、配置Windows IAS服务器: (12)1、环境: (12)2、配置过程: (12)五、工作站: (19)1、工作环境: (19)2、配置过程: (19)2.1、受保护的EAP(PEAP) (19)2.2、智能卡或其它证书 (22)2.3、数据加密 (30)一、知识简介1、802.1x 身份验证IEEE 802.1x 标准允许对802.11 无线网络和有线以太网进行身份验证和访问。
当用户希望通过某个本地局域网(LAN) 端口访问服务时,该端口可以承担两个角色中的一个:“身份验证器”或者“被验证方”。
作为身份验证器,LAN 端口在允许用户访问之前强制执行身份验证。
作为被验证方,LAN 端口请求访问用户要访问的服务。
“身份验证服务器”检查被验证方的凭据,让身份验证方知道被验证方是否获得了访问身份验证方的服务的授权。
IEEE 802.1x 使用标准安全协议来授权用户访问网络资源。
用户身份验证、授权和记帐是由“远程验证拨号用户服务(RADIUS)”服务器执行的。
RADIUS 是支持对网络访问进行集中式身份验证、授权和记帐的协议。
RADIUS 服务器接收和处理由RADIUS 客户端发送的连接请求。
此外,IEEE 802.1x 还通过自动生成、分发和管理加密密钥,利用有线等效保密(WEP) 加密来解决许多问题。
为了增强安全性,您可以启用IEEE 802.1x 身份验证,它可以确保对802.11 无线网络和有线以太网的访问都通过了身份验证。
IEEE 802.1x 身份验证最大限度地减少了无线网络安全风险,例如,对网络资源进行未经授权的访问及窃听。
它提供了用户和计算机标识、集中的身份验证和动态密钥管理。
利用IEEE 802.1x 为“可扩展的身份验证协议”(EAP) 安全类型提供的支持,您可以使用诸如智能卡、证书这样的身份验证方法。
EAP 安全类型包括EAP-TLS、具有EAP-TLS 的受保护的EAP (PEAP) 和Microsoft 质询握手身份验证协议版本2 (MS-CHAPv2)。
如果计算机要求访问网络资源而不考虑用户是否登录网络,您就可以利用IEEE 802.1x 身份验证指定计算机是否尝试该网络的身份验证。
例如,管理远程管理服务器的数据中心操作员可以指定服务器应该尝试访问网络资源的身份验证。
您也可以指定如果用户或计算机信息不可用时,计算机是否尝试该网络的身份验证。
例如,“Internet 服务提供商”(ISP) 可以使用此身份验证选项允许用户访问免费的Internet 服务或可以订购的Internet 服务。
公司可向访问者授予有限的来宾访问权限,这样他们就可以访问Internet,但不能访问保密的网络资源。
2、802.11 安全802.11 的安全选项包括身份验证和基于有线等效保密(WEP) 安全服务(用于保护802.11 网络,防止未经授权的访问,如窃听)的加密服务。
利用自动无线网络配置,您可以指定用于验证对网络的访问权限的网络密钥。
也可以指定通过网络传输数据时用于加密数据的网络密钥。
您计算机中的无线网络适配器可能支持Wi-Fi 保护访问(WPA) 安全协议。
WPA 提供的加密功能比WEP 更强大。
利用WPA,联网计算机和设备上的网络密钥可以自动更改并定期进行验证,从而提供了比WEP 更高的安全性。
要使用WPA,您的无线网络适配器必须支持WPA。
要知道您是否可以在无线网络上使用WPA,请访问制造商的网站,了解有关设备的信息。
制造商可能会提供您可以下载和安装的软件和驱动程序。
3、网络密钥3.1、WEP启用WEP 时,您可以指定用于加密的网络密钥。
网络密钥可能会自动为您提供(例如,可能在无线网络适配器上提供),或者,您可以通过自己键入来指定密钥。
如果指定密钥,您还可以指定密钥长度(40 位或104 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(存储特定密钥的位置)。
密钥长度越长,密钥越安全。
每当密钥长度增加一位,可能的密钥数量就会增加一倍。
在802.11 下,可用多达四个的密钥(密钥索引值为0、1、2 和3)配置无线站。
当访问点或无线站利用存储在特定密钥索引中的密钥传送加密消息时,传送的消息指明用来加密消息正文的密钥索引。
然后接收访问点或无线站可以检索存储在密钥索引处的密钥,并使用它对加密的消息正文进行解码。
3.2、WPA电气和电子工程师协会(IEEE) 802.11i 无线网络标准指定了对无线局域网(LAN) 安全性的改进。
802.11i 标准当前还没有定稿,最后的批准期限是2003 年底。
802.11i 标准将解决原来的802.11 标准的许多安全性问题。
尽管新的IEEE 802.11i 标准正在等待批准,无线供应商已同意了一个称为WPA (Wi-Fi Protected Access) 的可共同使用的过渡标准。
WPA 安全的功能下面的安全功能包含在WPA 标准中:WPA 身份验证WPA 中需要802.1x 身份验证。
在802.11 标准中,802.1x 身份验证是可选的。
对于没有远程身份验证拨号用户服务(RADIUS) 结构的环境,WPA 支持使用预共享的密钥。
对于具有RADIUS 结构的环境,支持可扩展身份验证协议(EAP) 和RADIUS。
WPA 密钥管理对于802.1x,单路广播加密密钥的重新加密操作是可选的。
另外,802.11 和802.1x 没有提供任何机制来更改多路广播和广播通信所使用的全局加密密钥。
对于WPA,需要对单路广播和全局加密密钥进行重新加密操作。
对于单路广播加密密钥,临时密钥完整性协议(TKIP) 更改每一帧的密钥,而且更改操作会在无线客户端和无线访问点(AP) 之间保持同步。
对于全局加密密钥,WPA 包含一个工具,以便无线AP 将更改后的密钥公布到连接的无线客户端。
临时密钥完整性协议(TKIP)对于802.11,有线等价隐私(WEP) 加密是可选的。
对于WPA,需要使用TKIP 进行加密。
TKIP 将WEP 替换为新的加密算法,该算法比WEP 算法更强,但需要使用现有无线设备上存在的计算工具执行加密操作。
TKIP 还提供以下功能:1. 确定加密密钥后验证安全配置。
2. 同步更改每一帧的单路广播加密密钥。
3. 为每个预共享密钥身份验证确定唯一的起始单路广播加密密钥。
对于802.11 和WEP,数据完整性由32 位的完整性校验值(ICV) 提供,该值被附加到802.11 有效负载并使用WEP 加密。
虽然对ICV 进行了加密,但可以使用密码分析技术更改加密有效负载中的位并更新加密ICV,而不会被接收器检测到。
对于WPA,一种称为Michael 的方法指定了新的算法,该算法使用现有无线设备上提供的计算工具计算8 字节的消息完整性代码(MIC)。
MIC 被放在802.11 帧的数据部分和4 字节的ICV 之间。
MIC 字段随帧数据和ICV 一起加密。
Michael 还有助于提供重放保护。
IEEE 802.11 帧中的一个新帧计数器有助于禁止重放攻击。
AES 支持WPA 将高级加密标准(AES) 的使用定义为WEP 加密的另外一种替代方法。
由于可能无法通过固件更新将AES 支持添加到现有的无线设备,因此对AES 的支持是可选的,并依赖于供应商驱动程序的支持。
支持WPA 和WEP 无线客户端的混合使用为支持将基于WEP 的无线网络逐渐转换到WPA,无线AP 可以同时支持WEP 和WPA 两种客户端。
在关联过程中,无线AP 确定哪些客户端使用WEP 以及哪些客户端使用WPA。
对WEP 和WPA 客户端混合使用的支持存在问题。
因为基于WEP 的客户端不支持全局加密密钥,所以该密钥不是动态的。
对WPA 客户端的所有其他好处都保留了下来,包括完整性。
二、网络拓扑:Windows IAS (Radius):192.168.0.253/24支持802.1x身份认证的AP:192.168.0.254/24三、配置AP1、AP的基本信息2、配置Radius Server。
注意:AP与Radius必须能通讯,并且Shared Secet必须与IAS的共享机密相同。
其它选项可以忽略(默认值)。
3.1、802.1x + WEP3.2、WPA with Radius3.3、WPA2 with Radius3.4、WPA & WPA2 with Radius四、配置Windows IAS服务器:1、环境:1.1、Microsoft Windows Server 2003 Enterprise Edition(Service Pack 2)1.2、AD、IIS6.0、证书颁发机构、IAS2、配置过程:2.1、新建Radius客户端。
如下图:2.2、填入自定义的名称,例如Switch or AP;客户端地址是指支持Radius Standard、IEEE802.1x的网络设备的IP地址,例如192.168.0.254。
如下图:2.3、输入共享的机密。
如下图:2.4、修改原有的远程访问策略。
选择远程访问策略—〉到其它访问服务器的连接—〉属性—〉编辑配置文件—〉身份验证—〉EAP方法—〉添加EAP—〉受保护的EAP(PEAP)/智能卡或其它证书。
2.4.1远程访问策略—〉到其它访问服务器的连接—〉属性。
如下图:2.4.2、点击“编辑配置文件”按钮。
如下图:2.4.3、选择“身份验证”及“EAP方法”。
如下图:2.4.4、选择“添加EAP”。
如下图:2.4.5、选择身份验证方法。
如下图:2.5、在Active Dirctory中注册服务器。
如下图:2.6、修改用户的属性。
如下图:2.7、选择拨入—〉允许访问。
如下图:五、工作站:1、工作环境:Microsoft Windows XP Professional(Service Pack 3)及最新补丁。
2、配置过程:Wireless Zero Configuration服务是为802.11适配器提供自动配置,包括执行IEEE 802.1x身份认证,请确保启动类型设置为自动,并且服务的状态是启动。