工作任务10 使用二层隔离保护无线网络

工作任务10：使用二层隔离保护无线网络无线网络组建项目教程项目学习目标知识目标了解无线网络的安全措施掌握无线网络中的WEP加密了解基于端口的访问控制标准IEEE802.1x，理解远程验证拨号用户服务（RADIUS）掌握无线网络中EAP（可扩展验证协议）应用掌握无线网络中WPA（Wi-Fi保护访问）应用了解WPA2标准掌握无线网络故障检查基本方法掌握无线网络故障分析项目学习目标技能目标能根据用户的需求进行网络状况的安全分析能够在中小型企业网中进行安全的部署无线网络掌握中小型企业无线网络故障排除的方法项目学习目标素质目标形成良好的合作观念，会进行业务洽谈形成严格按操作规范进行操作的习惯形成严谨细致的工作态度和追求完美的工作精神学会自我展示的能力和查阅资料的能力项目描述某IT集成公司经常为其客户建设无线网络项目，其系统集成部无线网络工程师小赵需要根据不同项目、不同客户需求构建安全的无线网络。小赵经常根据不同的需求分别采用无线二层隔离、基于MAC的认证、WEB认证、802.1x认证及采用WEP加密，保障无线网络的安全，具体拓扑图如下所示：任务准备--WLAN安全标准WLAN基本的安全概念有哪些认证（Authenticity）：确保访问网络资源的用户身份是合法的；加密（Confidentiality）：确保所传递的信息即使被截获了，截获者也无法获得原始的数据；完整性（Integrity）：如果所传递的信息被篡改，接收者能够检测到任务准备--WLAN安全标准IEEE802.11-1999安全标准IEEE802.11-1999把WEP机制作为安全的核心内容，包括了：身份认证采用了Opensystem认证和共享密钥认证数据加密采用RC4算法完整性校验采用了ICV密钥管理不支持动态协商，密钥只能静态配置，完全不适合在企业等大规模部署场景。任务准备--WLAN安全标准IEEE802.11i标准IEEE802.11i工作组针对802.11标准的安全缺陷，进行了如下的改进：认证基于成熟的802.1x、Radius体系其他部分在IEEE802.11i协议中进行了定义，包括了：数据加密采用TKIP和AES-CCM完整性校验采用了Michael和CBC算法。基于4次握手过程实现了密钥的动态协商。任务准备--WLAN安全标准中国WAPI安全标准WAPI是中国制定自己的WLAN安全标准。与其它WLAN安全体制相比，WAPI认证的优越性集中体现在以下几个方面：支持双向鉴别使用数字证书从认证等方面看，WAPI标准主要内容包括：认证基于WAPI独有的WAI协议，使用证书作为身份凭证；数据加密采用SMS4算法；完整性校验采用了SMS4算法；基于3次握手过程完成单播密钥协商，两次握手过程完成组播密钥协商。任务准备--有效等效加密(WEP)无线网络通信架构有线等效加密（WiredEquivalentPrivacy），又称无线加密协议（WirelessEncryptionProtocol），简称WEP，是个保护无线网络（Wi-Fi)信息安全的体制。WEP是1999年9月通过的IEEE802.11标准的一部分，使用RC4(RivestCipher)串流加密技术达到机密性，并使用CRC-32验和达到资料正确性。对WEP安全问题最广为推荐的解法是换到WPA或WPA2，不论哪个都比WEP安全。有些古老的WiFi取用点(accesspoint)可能需要汰换或是把它们内存中的操作系统升级才行，不过替换费用相对而言并不贵。另一种方案是用某种穿隧协定，如IPsec。任务准备--有效等效加密(WEP)Wi-Fi保护接入(WPA)WPA全名为Wi-FiProtectedAccess，有WPA和WPA2两个标准，是一种保护无线计算机网络（Wi-Fi）安全的系统，它是应研究者在前一代的系统有线等效加密（WEP）中找到的几个严重的弱点而产生的。任务准备--有效等效加密(WEP)802.1X协议802.1x协议是一种基于端口的网络接入控制（PortBasedNetworkAccessControl）协议。“基于端口的网络接入控制”是指在局域网接入设备的端口级别对所接入的设备进行认证和控制。如果连接到端口上的设备能够通过认证，则端口就被开放，终端设备就被允许访问局域网中的资源；如果连接到端口上的设备不能通过认证，则端口就相当于被关闭，使终端设备无法访问局域网中的资源。任务准备--有效等效加密(WEP)802.1x认证体系IEEE802.1x标准定义了一个Client/Server（客户端/服务器）的体系结构，用来防止非授权的设备接入到局域网中。802.1x体系结构中包括三个组件：恳求者系统（SupplicantSystem）、认证系统（AuthenticatorSystem）和认证服务器系统（AuthenticationServerSystem）。任务准备--有效等效加密(WEP)802.1x工作机制802.1x认证使用了EAP协议在恳求者与认证服务器之间交互身份认证信息。在客户端与交换机之间，EAP协议报文直接被封装到LAN协议中（如Ethernet），即EAPoL报文如图任务准备--有效等效加密(WEP)802.1x工作机制在交换机与RADIUS服务器之间，EAP协议报文被封装到RADIUS报文中，即EAPoRADIUS报文。此外，在交换机与RADIUS服务器之间还可以使用RADIUS协议交互PAP和CHAP报文。交换机在整个认证过程中不参与认证，所有的认证工作都由RADIUS服务器完成。RADIUS可以使用不同的认证方式对客户端进行认证，例如EAP-MD5、PAP、CHAP、EAP-TLS、LEAP、PEAP等。当RADIUS服务器对客户端身份进行认证后，将认证结果（接受或拒绝）返回给交换机，交换机根据认证结果决定受控端口的状态任务准备--有效等效加密(WEP)802.1x认证过程802.1x支持两种认证模式，EAP中继模式和EAP终结模式，两种模式的报文交互过程略有不同。EAP中继模式的认证方式EAP-MD5EAP-TLS（TransportLayerSecurity，传输层安全）EAP-TTLS（EAP-TunneledTLS扩展认证协议-隧道传输层安全）PEAP（ProtectedEAP，受保护的EAP）任务准备--有效等效加密(WEP)802.1x认证过程EAP中继模式的EAP-MD5认证过程任务准备--有效等效加密(WEP)802.1x认证过程EAP中继模式的EAP-MD5认证过程客户端启动802.1x客户端程序，向交换机发送一个EAPoL报文，表示开始进行802.1x接入认证。如果交换机端口启用了802.1x认证，将向客户端发送EAP-Request/Identity报文，要求客户端发送其使用的用户名（ID信息）。客户端响应交换机发送的请求，向交换机发送EAP-Response/Identity报文，报文中包含客户端使用的用户名。任务准备--有效等效加密(WEP)802.1x认证过程EAP中继模式的EAP-MD5认证过程交换机将EAP-Response/Identity报文封装到RADIUS的Access-Request报文中，通过网络发送给RADIUS服务器。RADIUS服务器收到交换机发送的RADIUS报文后，使用报文中的用户名信息在本地用户数据库中查找到对应的密码后，用随机生成的挑战值（MD5Challenge）与密码进行MD5运算，产生一个128bit的散列值。同时RADIUS服务器也将此挑战值通过RADIUS的Access-Challenge报文发送给交换机。交换机从RADIUS报文中提取出EAP信息（其中包括挑战值），封装到EAP-Request/MD5Challenge报文中发送给客户端。任务准备--有效等效加密(WEP)802.1x认证过程EAP中继模式的EAP-MD5认证过程客户端使用报文中的挑战值与本地的密码也进行MD5运算，产生一个128bit的散列值，封装到EAP-Response/MD5Challenge报文中发送给交换机。交换机将EAP-Response/MD5Challenge信息封装到RADIUSAccess-Request报文中发送给RADIUS服务器。RADIUS通过将收到的客户端的散列值与自己计算的散列值进行比较，如果相同则表示用户合法，认证通过，并返回RADIUSAccept报文，其中包含EAP-Success信息。任务准备--有效等效加密(WEP)802.1x认证过程EAP中继模式的EAP-MD5认证过程交换机收到认证通过的信息后，将连接客户端的端口“开放”，并发送EAP-Success报文给客户端，以通知客户端验证通过。客户端可以通过发送EAP-Logoff报文通知交换机主动下线，终止认证状态。交换机收到EAP-Logoff报文后将端口“关闭”。从EAP中继模式的认证过程可以看出，交换机在整个认证中扮演着一个中间人的较色，对EAP报文进行透传任务准备--有效等效加密(WEP)802.1x认证过程EAP终结模式EAP终结模式即交换机将EAP信息终结，交换机与RADIUS服务器之间无需交互EAP信息，也就是说RADIUS服务器无需支持EAP属性。如果网络中的RADIUS服务器不支持EAP属性，可以使用这种认证模式。在EAP终结模式中可以使用PAP与CHAP认证方式，并且推荐使用CHAP认证方式，因为PAP使用明文传送用户名和密码信息任务准备--有效等效加密(WEP)802.1x认证过程EAP终结模式从上图中可以看出在EAP终结模式中，MD5挑战值是由交换机生成的，随后交换机会将客户端的用户名、MD5挑战值和客户端计算的散列值一同发送给RADIUS服务器，再由RADIUS服务器进行认证。对于EAP终结模式，交换机与RADIUS服务器之间只交换两条消息，减少了其之间的信息交互量，减轻了RADIUS服务器的压力。任务准备--WAPI技术WAPI技术产生背景WLAN技术已经广泛地应用于企业和运营商网络。由于无线通信使用开放性的无线信道资源作为传输媒质，导致非法用户很容易发起对WLAN网络的攻击或窃取用户的机密信息。如何保证WLAN网络的安全性一直是WLAN技术应用所面临的最大难点之一。IEEE标准组织及Wi-Fi联盟为此一直在进行着努力，先后推出了WEP、802.11i(WPA、WPA2)等安全标准，逐步实现了WLAN网络安全性的提升。但802.11i并不是WLAN安全标准的终极，针对802.11i标准的不完善之处，比如缺少对WLAN设备身份的安全认证，中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的WAPI(WirelessAreaNetworkAuthenticationandPrivacyInfrastructure)安全机制来实现无线局域网的安全。任务准备--WAPI技术技术优势WAPI采用了国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于无线设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。与其他无线局域网安全机制（如802.11i）相比，WAPI的优越性集中体现在以下几个方面：双向身份鉴别基于数字证书确保安全性完善的鉴别协议任务准备--WAPI技术WAPI基本功能无线客户端首先和WLAN设备进行802.11链路协商WLAN设备触发对无线客户端的鉴别处理鉴别服务器进行证书鉴别无线客户端和WLAN设备进行密钥协商任务准备--WAPI技术WAPI基本功能完整的WAPI鉴别协议交互过程任务准备--WLAN认证链路认证开放系统认证（Opensystemauthentication）共享密钥认证（Sharedkeyauthentication）任务准备--WLAN认证用户接入认证PSK认证MAC接入认证任务准备--WLAN认证用户接入认证802.1x认证任务准备--WLA