FreeRADIUS和XSuppicant进行EAPTLS验证(IEEE8021X安全性).doc

一、IEEE 802.1X简介 当前802.11无线网络的安全性还是非常脆弱的，很多情况下无线客户端如果得到接入点（AP）的SSID，就可以获得网络的访问权限。而且由于管理员的懒惰没有修改AP厂商默认设置的SSID，甚至配置AP向外广播其SSID，那么安全性还将更低。最常见 一、IEEE 802.1X简介 当前802.11无线网络的安全性还是非常脆弱的，很多情况下无线客户端如果得到接入点（AP）的SSID，就可以获得网络的访问权限。而且由于管理员的懒惰没有修改AP厂商默认设置的SSID，甚至配置AP向外广播其SSID，那么安全性还将更低。最常见的解决方法是使用WEP加密，在链路层采用RC4对称加密技术，用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷，可以在几个小时内被破解。 一些常见AP厂商的默认SSID和默认WEP密钥、密码可以参考如下链接： /mediawhore/nf0/wireless/ssid_defaults/ssid_defaults-1.0.5.txt IEEE 802.1X是IEEE在2001年6月发布的一个标准，用于对IEEE 802局域网（包括以太网、Token Ring和FDDI）的认证和密钥管理。 802.1X不是加密算法，不同于WEP、3DES、AES或其它的算法，IEEE 802.1X只关注认证和密钥管理，不关心来源密钥使用什么安全服务传送。所以它可以对认证来源和密钥使用任意的加密算法，还可以周期性的更新密钥和重新认证来保证密钥的安全。 IEEE 802.1X不是一个单独的认证方法，它利用可扩展认证协议（EAP）作为它的认证框架。这意味着有802.1X功能的交换机和AP可以支持各种认证方式，包括基于证书的认证、智能卡、标记卡（token cards）、一次性口令等。然而802.1X本身并没有指定和要求使用何种认证方式，交换机和AP只是EAP的一个通道，所以可以只需在主机和后台认证服务器安装软件而无需对交换机和AP升级就可以添加一个新的认证方式。 IEEE 802.1X没有对包进行封装（不像PPPOE或VPN），实现起来不会对交换机和AP的性能有所影响。这意味着IEEE 802.1X处理的速度可以从11 Mbps 802.11 到 10+ Gbps，并且只要升级交换机的固件而不必购买新的硬件就可以实现。对于主机，IEEE 802.1X可以由网卡驱动来实现，不必使用新的操作系统。 RADIUS服务器（包括Windows 2000 IAS）支持EAP，可以用来管理基于IEEE 802.1X网络的访问。通过RADIUS，IEEE 802.1X允许管理每个用户的授权，包括过滤（2层或3层）、隧道、动态VLANs、速率控制等。 EAP/TLS是802.1X架构的一种认证方式，802.1X和EAP/TLS是无线网络一个越来越受欢迎的安全解决方案。以下是Adam Sulmicki的一个基于开放源码软件的802.1X解决方案。 二、网络结构图 Adam Sulmicki的无线网络结构如下图： 从右边至左边配置如下： 1. 验证服务器－radius服务器 硬件： IBM THINKPAD T23 2647-2KU 100 Mbps以太网卡 软件： Linux Red Hat 7.2 FreeRadius cvs OpenSSL snapshot 2. 验证端－接入点（AP） 硬件： CISCO AIRONET 340 series 11 Mbps ACCESS POINT AIR-AP342E2C 主板: MPC860 50MHz, 2048KB FLASH, 16384KB DRAM, Revision 21 100 Mbps以太网卡 软件： 系统：EnterpriseAP Sys 11.10 3. 请求端－radius服务器 硬件： IBM THINKPAD T23 2647-2KU CISCO AIRONET 340 SERIES 11 Mbps WIRELESS ADAPTER AIR-PCM342 软件： Linux Red Hat 7.2 xsupplicant cvs tarball 三、软件安装 1. OpenSSL FreeRADIUS和Xsuppicant需要使用稳定版本的OpenSSL，而FreeRADIUS的EAP/TLS模块却需要使用最新的非稳定