无线安全之设置进阶

 一、IEEE 802.1x

    在IEEE 802.1x快被人遗忘的时候，WLAN的崛起又让IEEE 802.1x重焕生机。

    IEEE 802.1x就是基于端口的访问控制协议（Port based network access control protocol），该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现认证与业务的分离，在保证网络传输效率的同时维护系统安全性。而且用户通过认证后，业务流和认证流分开，对后续的数据包处理没有特殊要求，所有业务很灵活，都不受认证方式限制，易于实现多业务运行，去除冗余昂贵的多业务网关设备。此外，IEEE 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，因此可有效降低组建网络的成本。

    ● 802.1x的特点

    IEEE 802.1x标准定义了基于端口的网络访问控制，可用于为以太网络提供经过身份验证的网络访问。802.1x策略执行技术的工作方式就是，迫使主机完成设备身份验证（而不是用户身份验证）之后，分配到一个IP地址。802.1x策略执行需要多个步骤，包括可扩展验证协议（EAP）、请求者（supplicant）、验证者（authenticator）以及验证服务器。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证过程失败，使用以太网交换机端口来发送和接收帧的能力就会被拒绝。虽然这个标准是为有线以太网络设计的，但是其经过改编后IEEE 802.11无线局域网上得到了更大的发挥。

    为了给IEEE 802.1x提供标准身份验证机制，IEEE选择了可扩展身份验证协议（Extensible Authentication Protocol，EAP）。EAP是一种经改编以用于点对点局域网网段的基于点对点协议（Point-to-Point Protocol，PPP）的身份验证技术。由于EAP消息最初被定义作为PPP帧的有效载荷进行发送，IEEE 802.1x标准定义了LAN上的EAP（EAP over LAN，EAPOL），这是一种封装EAP消息的方法，以便EAP消息能够通过以太网或无线局域网网段来发送。

    802.1x的认证过程如下：

    ①802.1x通讯开始以一个非认证客户端设备（如无线网卡）尝试去连接一个认证端（如无线AP或无线路由器），客户端发送一个EAP起始消息。然后开始客户端认证的一连串消息交换。
    ②无线AP回复EAP（请求身份消息），而客户端发送给认证服务器的EAP的响应信息包里包含了身份信息。无线AP通过激活一个只允许从客户端到AP有线端的认证服务器的EAP包的端口，并关闭了其它所有的传输，像HTTP、DHCP和POP3包，直到AP通过认证服务器来验证用户端的身份。
    ③认证服务器使用一种特殊的认证算法去验证客户端身份。同样它也可以通过使用数字认证或其他类型一些EAP认证。认证服务器会发送同意或拒绝信息给这个AP。
    ④无线AP发送一个EAP成功信息包（或拒绝信息包）给客户端。如果认证服务器认可这客户端（无线网卡），那么AP将转换这客户端的端口到授权状态并转发其它的通信。

    最重要的是，这个AP的软件是支持认证服务器里特定的EAP类型的，并且用户端设备的操作系统里或“Supplicant”（客户端设备）应用软件也要支持它。AP为802.1x消息提供了“透明传输”。 这就意味着你可以指定任一EAP类型，而不需要去升级一个自适应802.1x的无线AP或无线路由器。

 ● Windows与802.1x

    Windows2000/XP/2003均支持对所有基于局域网的网络适配器使用IEEE 802.1x身份验证，包括以太网卡和无线网卡，而Windows 98的用户可以通过Meeting House的Aegis 2.10客户端软件等等使用802.1x认证。而如果无线网卡内置了的802.1x客户端软件，也可支持多种认证方式，其在Windows 2000、XP和2003下不用安装其它客户端就可以使用802.1x认证。

    对于无线连接的身份验证，Windows XP使用EAP传输层协议（EAP-Transport Level Protocol，EAP-TLS）。EAP-TLS是在RFC 2716中定义的，用以在基于证书的安全环境中使用。EAP-TLS消息交换提供了无线客户端和身份验证服务器（RADIUS服务器）之间的相互身份验证、完整性保护密码套件协商以及加密和签名密钥材料的相互确定。在身份验证和授权之后，RADIUS服务器使用RADIUS Access-Accept消息来向无线AP发送加密和签名密钥。

    ①Windows XP中802.1x的支持

    Windows XP提供了对IEEE 802.1x的支持，在Windows XP中，EAP-TLS身份验证类型的IEEE 802.1x身份验证默认是对所有基于LAN的网络适配器启用的。为了在运行Windows XP的计算机上配置802.1x设置，可使用“网络连接”中某个局域网连接属性（网卡）对话框上的“身份验证”选项卡。在“身份验证”选项卡上，可以配置“启用使用IEEE 802.1x的网络访问控制”这个复选框指定您是否想要使用IEEE 802.1x来对这个连接执行身份验证。
而在EAP类型中可以使用这个选项来选择将用于IEEE 802.1x身份验证的EAP类型。默认的EAP类型是“MD-5 Challenge”和“智能卡或其他证书”。而默认选定的“智能卡或其他证书”类型面向EAP-TLS，一般用于无线访问。

    ②Windows 2000中802.1x的支持

    Windows 2000只要安装了Service Pack 4（SP4）升级包就可获得Wireless Zero Configuration服务。但默认情况下该服务是关闭的，在“网络连接属性”时看不到“认证”标签设置页。您可以进入“控制面板→管理工具”，选择“服务→无线网络设置”，将“启动模式”设为“自动”再选择“启动”，最后“OK”确定。这时便可在“认证”标签设置页中设置802.1x认证。

    除了可以对LAN和WLAN上的设备进行验证外，802.1x使无线网络安全风险降低到最低程度，并使用如RADIUS等标准安全协议，对那些采取根据终端设备的安全状态、允许或拒绝网络访问的主机而言，802.1x标准都可成为其安全的基础。此外，由于802.1x对网络性能的极大改进以及对认证计费问题的圆满解决，IEEE 802.1x引起了网络用户的普遍关注，微软、Funk和Meetinghouse都在争夺“请求者”软件领域的领导地位，思科、网捷、惠普、Extreme、Enterasys等厂商都在硬件方面生产符合802.1x的设备，目前802.1x已成为无线网络（软硬件）的基本安全认证之一。