- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
FreeRADIUS和XSuppicant进行EAPTLS验证(IEEE8021X安全性)
一、IEEE 802.1X简介 当前802.11无线网络的安全性还是非常脆弱的,很多情况下无线客户端如果得到接入点(AP)的SSID,就可以获得网络的访问权限。而且由于管理员的懒惰没有修改AP厂商默认设置的SSID,甚至配置AP向外广播其SSID,那么安全性还将更低。最常见
一、IEEE 802.1X简介
当前802.11无线网络的安全性还是非常脆弱的,很多情况下无线客户端如果得到接入点(AP)的SSID,就可以获得网络的访问权限。而且由于管理员的懒惰没有修改AP厂商默认设置的SSID,甚至配置AP向外广播其SSID,那么安全性还将更低。最常见的解决方法是使用WEP加密,在链路层采用RC4对称加密技术,用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷,可以在几个小时内被破解。
一些常见AP厂商的默认SSID和默认WEP密钥、密码可以参考如下链接:
/mediawhore/nf0/wireless/ssid_defaults/ssid_defaults-1.0.5.txt
IEEE 802.1X是IEEE在2001年6月发布的一个标准,用于对IEEE 802局域网(包括以太网、Token Ring和FDDI)的认证和密钥管理。
802.1X不是加密算法,不同于WEP、3DES、AES或其它的算法,IEEE 802.1X只关注认证和密钥管理,不关心来源密钥使用什么安全服务传送。所以它可以对认证来源和密钥使用任意的加密算法,还可以周期性的更新密钥和重新认证来保证密钥的安全。
IEEE 802.1X不是一个单独的认证方法,它利用可扩展认证协议(EAP)作为它的认证框架。这意味着有802.1X功能的交换机和AP可以支持各种认证方式,包括基于证书的认证、智能卡、标记卡(token cards)、一次性口令等。然而802.1X本身并没有指定和要求使用何种认证方式,交换机和AP只是EAP的一个通道,所以可以只需在主机和后台认证服务器安装软件而无需对交换机和AP升级就可以添加一个新的认证方式。
IEEE 802.1X没有对包进行封装(不像PPPOE或VPN),实现起来不会对交换机和AP的性能有所影响。这意味着IEEE 802.1X处理的速度可以从11 Mbps 802.11 到 10+ Gbps,并且只要升级交换机的固件而不必购买新的硬件就可以实现。对于主机,IEEE 802.1X可以由网卡驱动来实现,不必使用新的操作系统。
RADIUS服务器(包括Windows 2000 IAS)支持EAP,可以用来管理基于IEEE 802.1X网络的访问。通过RADIUS,IEEE 802.1X允许管理每个用户的授权,包括过滤(2层或3层)、隧道、动态VLANs、速率控制等。
EAP/TLS是802.1X架构的一种认证方式,802.1X和EAP/TLS是无线网络一个越来越受欢迎的安全解决方案。以下是Adam Sulmicki的一个基于开放源码软件的802.1X解决方案。
二、网络结构图
Adam Sulmicki的无线网络结构如下图:
从右边至左边配置如下:
1. 验证服务器-radius服务器
硬件:
IBM THINKPAD T23 2647-2KU 100 Mbps以太网卡
软件:
Linux Red Hat 7.2
FreeRadius cvs
OpenSSL snapshot
2. 验证端-接入点(AP)
硬件:
CISCO AIRONET 340 series 11 Mbps ACCESS POINT
AIR-AP342E2C
主板: MPC860 50MHz, 2048KB FLASH, 16384KB DRAM, Revision 21
100 Mbps以太网卡
软件:
系统:EnterpriseAP Sys 11.10
3. 请求端-radius服务器
硬件:
IBM THINKPAD T23 2647-2KU
CISCO AIRONET 340 SERIES 11 Mbps WIRELESS ADAPTER
AIR-PCM342
软件:
Linux Red Hat 7.2
xsupplicant cvs tarball
三、软件安装
1. OpenSSL
FreeRADIUS和Xsuppicant需要使用稳定版本的OpenSSL,而FreeRADIUS的EAP/TLS模块却需要使用最新的非稳定
您可能关注的文档
- FPGAVHDL硬件描述语言基础笫二章滤波器.ppt
- 2040城市畅想.ppt
- FPGAQuartus2宏功能模块应用.ppt
- Fortebio_分子相互作用仪.ppt
- FPGA时钟设计DLL.ppt
- FPGA结构分析.ppt
- FPGA高级设计时序分析和收敛(收集整理).doc
- FPIII型继电保护试验箱.doc
- FPGA通信设计基础第五章DDS设计.ppt
- 21诚实守信(第一课时).pptx
- 《JJF 2132-2024荧光紫外灯人工气候老化试验装置校准规范:辐射照度参数》.pdf
- JJF 2120-2024轮速传感器校准规范.pdf
- 计量规程规范 JJF 2120-2024轮速传感器校准规范.pdf
- 《JJF 2129-2024钙钛矿太阳电池校准规范:光电性能参数》.pdf
- JJF 2129-2024钙钛矿太阳电池校准规范:光电性能参数.pdf
- 《JJF 2120-2024轮速传感器校准规范》.pdf
- JJF 2117-2024沥青混合料理论最大相对密度仪校准规范.pdf
- JJF 2116-2024特定蛋白分析仪校准规范.pdf
- 《JJF 2116-2024特定蛋白分析仪校准规范》.pdf
- 计量规程规范 JJF 2117-2024沥青混合料理论最大相对密度仪校准规范.pdf
文档评论(0)