使用Radiator进行无线网路验证.docVIP

使用Radiator進行無線網路驗證、加密介紹 前言　　 　Radiator是一套具備高度彈性、擴展性、及高度支援度的RADIUS Server，且支援如Linux、Unix、Mac OS X及Windows各類作業平台。可使用的驗證方法超過60 多種以上，其中較為熟悉的有SQL、LDAP、Unix password files、remote RADIUS servers（proxying）、NT User Manager、Active Directory、PAM、NIS+、Tacacs+、Web URL。 RADIUS簡介 　RADIUS全名為Remote Authentication Dial-in User Service，是同時兼顧驗證（Authentication）、授權（Authorize）及帳戶（Accounting）服務的協定。在驗證方面，RADIUS可以提供多種驗證方法來確認使用者身份，較常見的方法有PPP、PAP、CHAP或是UNIX login等。 　一般來說，當使用者嘗試登入驗證時，NAS（Network Access Server）會將存取請求Access-Request傳送至RADIUS（見【圖1】），並且會有相應的回覆（Access-Accept or Access-Reject）來自於RADIUS。Access-Request封包則包含username、password、NAS IP address和port。在較早的RADIUS是使用UDP/1645，但因與datametrics服務相互衝突，RFC2865則將使用的port另改指定為1812，大部份的設備二者皆能夠支援。　　 　在RADUIS中，驗證（Authentication）及授權（Authorize）是同時存在的，如果傳送的使用者名稱是存在且密碼是正確的，RADIUS會回傳一個Access-Accept的回應，其中包含一連串的屬性值，用來定義此使用者在這個活動期間所獲得的使用參數；而參數的內容則包括服務的種類（shell or framed）、賦予的ip（static or dynamic）、存取規則或是靜態路由。 　RADIUS中的Accounting則是可以獨立於Authentication或是Authorize運作，Accounting服務允許資料在一個session開始傳送與結束時，記錄在此session期間的時間、封包數與位元大小等相關資訊。Accounting服務所使用的port為UDP/1646，但是也能夠使用UDP/1813（定義於RFC2139）。 圖1 無線網路使用者身份認證及加密 　無線網路以空氣作為傳輸的介質，透過無線網路傳送資料時，任何人只要透過適當的設備，就可以收集並且竊取未經保護的資料。因此，如果以未加密的方式透過無線傳送是相當危險的！假定有意的攻擊者已準備竊聽您所傳送的資料，那麼，前述適當的設備有可能只需要一支高增益天線以及一台筆記型電腦，攻擊者就可以躲在遠處準備搜集您的資料，而整個過程中使用者可能都毫無警覺。 WEP　　 　當傳送資料無可避免地會被有心人士竊取，又必須保護其安全性，最有效的方法就是對傳送的資料進行加密。起初，WEP（Wired Equivalent Privacy, 有線等效加密）為1999年9月通過的IEEE 802.11標準的一部份，當初被視為無線安全解決方案。WEP使用RC4（Rivest Cipher）加密技術達到機密性，RC4密碼鎖是屬於一種對稱串流密碼鎖。傳送端使用金鑰串流與訊息結合產生密文傳送；接收端收到密文後，再使用同一把金鑰串流處理密文還原原始資料。由於RC4演算法設計所造成的先天性弱點，一旦重覆使用金鑰串流、串流密碼鎖，且WEP採用IV的方式，讓攻擊者在搜集到夠多的資訊後，就能夠針對其重覆部份進行分析。可供運用的IV值並不大（小於一千七百萬），在繁忙的網路環境中必然會產生重覆的狀況。不過由於WEP設計相當容易實作，設備並不需要相當強大的計算能力，在許多的設備上也必定會支援。 802.1X 　使用WEP僅是針對具有加密金鑰的機器進行加密動作，而802.1X則是對於使用者身份進行確認，而不會造成使用同一機器但不同使用者權限授權的困擾。802.1X只是一個架構，是IEEE採用IETF的可延伸身份認證協定（Extensible Authentication Protocol, EAP）制訂而成的，屬於一種架構協定。EAP是一個基礎的封裝方式，可以適於任何的鏈路層如PPP、802.3、802.11，以及各種身份認證的方式如TLS、AKA/SIM、Token card。 EAP身份驗證方式　　 　EAP的使用者身份驗證作業是一個稱為EAP method的附屬協定所處理，這樣的