Безопасность WLAN

первое место. С ростом скорости беспроводного доступа, обеспечиваемую новыми стандартами 802.11, все больше и больше пользователей начинают использовать WLAN. Пользователи наряду с предприятиями предъявляют высокие требования к безопасности доступа к WLAN и уделяют особое внимание безопасности передачи данных.
В настоящем курсе приведена информация о принципах обеспечения безопасного доступа к WLAN, безопасности данных и настройки системы безопасности.

WLAN;
стандартные режимы аутентификации доступа к WLAN.

сети WLAN
Настройки безопасности WLAN

и незаконно проникнуть в сеть Wi-Fi.
Незашифрованные данные (Non-encrypted wireless data): злоумышленники могут перехватывать пакеты, передаваемые по радиоинтерфейсу, и подделывать служебные данные, передаваемые по каналам беспроводной связи.
Угроза по периметру (Perimeter threat): если несанкционированная точка доступа (AP) публикует тот же SSID, что и авторизованные AP, станция (STA) может подключиться к несанкционированной AP. В результате осуществляется перехват данных STA.

AP 1

AP 2

Неавторизованная AP

STA

Атакующее устройство

AC

SSID: Huawei
Режим аутентификации: open
Режим шифрования: open

SSID: Huawei
Режим аутентификации: open
Режим шифрования: open

SSID: Huawei

аутентификация: клиент и сервер могут проверить подлинность друг друга.
Шифрование и целостность данных
Гарантируется конфиденциальность данных, передаваемых в среде передачи.
Хеширование, проверка целостности сообщения (MIC) и проверка циклическим избыточным кодом (CRC) гарантируют целостность данных.
Безопасность периметра (в данном документе не описывается)
Беспроводная система обнаружения вторжений (WIDS) отслеживает рабочее состояние сетей и систем в соответствии с заданными политиками безопасности, анализирует действия пользователей и определяет тип событий вторжения для обнаружения неавторизованных сетей.
Беспроводная система предотвращения вторжений (WIPS) отслеживает беспроводные сети в режиме реального времени для обнаружения вторжений и обеспечивает активную защиту и предупреждения об атаках.

сети WLAN
Настройки безопасности WLAN

сканирования. После завершения аутентификации соединения, ассоциации и аутентификации доступа станция может подключиться к точке доступа и получить доступ к услугам беспроводной связи.

Активное/Пассивное сканирование

Запрос аутентификации

Ответ на запрос аутентификации

Запрос ассоциации

Ответ на запрос ассоциации

Аутентификация доступа

AP

STA

доступа должна аутентифицировать станции, которые пытаются подключиться к этой точке доступа. IEEE 802.11 определяет два режима аутентификации канала: аутентификация с помощью открытой системы и аутентификация с общим ключом.
Аутентификация с помощью открытой системы не требует аутентификации. В этом режиме точка доступа отвечает на запрос аутентификации от любой станции сообщением, указывающим, что STA проходит аутентификацию.
При подключении к SSID, который использует аутентификацию с помощью открытой системы, учетные данные для проверки подлинности не требуются, и система выводит сообщение об успешном присоединении к WLAN.

AP

STA

и точка доступа имели один и тот же предварительно настроенный ключ. В этом режиме во время аутентификации канала точка доступа проверяет, совпадает ли ее ключ с ключом станции. Если ключ совпадает, значит аутентификация прошла успешно. В противном случае станция не проходит аутентификацию.

AP

STA

Ответ на запрос аутентификации
(Вызов)

Запрос аутентификации

Ответ на запрос аутентификации
(Зашифрованный вызов)

Ответ на запрос аутентификации
(Успешно)

доступа: открытая
Аутентификация канала: аутентификация с помощью открытой системы
Аутентификация доступа: —
Шифрование данных: без шифрования
Политика безопасности аутентификации доступа: WEP
Аутентификация канала: аутентификация с общим ключом или аутентификация с помощью открытой системы
Шифрование данных: RC4
Политика безопасности аутентификации доступа: WPA/WPA2
Аутентификация канала: аутентификация с помощью открытой системы
Аутентификация доступа: PSK, PPSK или 802.1X
Согласование ключа: PTK/GTK
Шифрование данных: TKIP или CCMP

Аутентификация канала: аутентификация с помощью открытой системы
Аутентификация канала: аутентификация с общим ключом

Аутентификация доступа

Согласование ключа
Шифрование данных

Чтобы обеспечить безопасный доступ пользователей беспроводной сети к WLAN, необходимо принять определенные меры безопасности, например, установить ассоциации безопасности (security associations) посредством аутентификации для подтверждения достоверности идентификаторов всех объектов связи.

определенный в IEEE 802.11 для предотвращения перехвата данных, передаваемых авторизованными пользователями в WLAN.
WEP использует алгоритм Rivest Cipher 4 (RC4) и статический ключ для шифрования данных. Все станции, связанные с одним SSID, используют один ключ для присоединения к WLAN.
Аутентификация с общим ключом поддерживается только WEP, при этом требуется, чтобы для станции и точки доступа, с которой связывается станция, был настроен один общий ключ.
Использовать WEP не рекомендуется, так как обмен ключами WEP осуществляется в виде открытого текста.

Protocol (EAP).
Пользователи предоставляют информацию, необходимую для аутентификации, включая имя пользователя и пароль, а сервер аутентификации (обычно сервер RADIUS) выполняет аутентификацию.
Крупные корпоративные WLAN для аутентификации обычно используют WPA/WPA2-Enterprise.

Для малых или средних сетей WLAN развертывание специального сервера аутентификации является дорогостоящим мероприятием, при этом возникают сложность в обслуживании.
WPA/WPA2-Personal использует предварительные общие (pre-shared key) ключи (WPA/WPA2-PSK) для простой реализации и управления.
Специальный сервер аутентификации не требуется. На каждом узле WLAN (например, на сервере WLAN, беспроводном маршрутизаторе и сетевом адаптере) необходимо заранее ввести только предварительный общий ключ. Клиент WLAN может получить доступ к WLAN, если его предварительный общий ключ совпадает с ключом, настроенным на узле WLAN.
Предварительный общий ключ используется только для аутентификации, не используется для шифрования; следовательно, не создает угроз безопасности, как аутентификация с общим ключом 802.11.

WPA/WPA2

Политика безопасности аутентификации доступа: WPA/WPA2

чтобы один и тот же предварительный общий ключ был настроен на беспроводном клиенте и беспроводном сервере (например, точке доступа).
Все клиенты, подключенные к указанному SSID, используют один ключ, однако это представляет угрозу безопасности.

PPSK

aaaa-aaaa-aaaa

√

bbbb-bbbb-bbbb

√

PSK = huawei456

cccc-cccc-cccc

×

Аутентификация WPA/WPA2-PPSK использует преимущества аутентификации WPA/WPA2-PSK и проста в развертывании. Кроме того, аутентификация WPA/WPA2-PPSK предоставляет разные предварительные общие ключи для разных клиентов, повышая безопасность сети.
Пользователи, подключенные к одному SSID, могут иметь разные ключи.

сети WLAN
Настройки безопасности WLAN

механизм защиты данных пользователя от несанкционированного доступа и перехвата. Шифрование — это наиболее часто используемый механизм. Алгоритмы шифрования гарантируют, что только устройства с правильными ключами могут расшифровать полученные пакеты.
Режимы шифрования WLAN:
Протокол целостности временного ключа (TKIP)
Протокол CBC-MAC режима счетчика (CCMP)
WPA использует алгоритм шифрования TKIP для сброса ключа и увеличения допустимой длины ключа, устраняя недостатки ключа WEP.
WPA2 использует механизм шифрования CCMP с алгоритмом шифрования Advanced Encryption Standard (AES). Этот алгоритм представляет собой технологию симметричного блочного шифрования, что сильно усложняет взлом ключа по сравнению с алгоритмом шифрования TKIP.
Для лучшей совместимости и WPA, и WPA2 могут использовать алгоритм шифрования TKIP или AES. TKIP и AES обеспечивают практически одинаковый уровень безопасности.

сети WLAN
Настройки безопасности WLAN

аутентифицировать клиентов и пользователей доступа для обеспечения безопасности сети.

AC

Кампусная сеть

AP

Для осуществления аутентификации доступа NAC работает вместе с сервером аутентификации, авторизации и учета (AAA).
NAC:
Используется для взаимодействия между пользователями и устройствами доступа.
Управляет режимом доступа пользователя (802.1X, MAC или аутентификация Portal), а также параметрами и таймерами во время подключения пользователя.
Обеспечивает безопасные и стабильные соединения между авторизованными пользователями и устройствами доступа.
AAA:
Используется для взаимодействия между устройствами доступа и сервером AAA.
Сервер AAA контролирует права доступа пользователей путем аутентификации, авторизации и учета.

ли пользователям доступ к сети.
Авторизация: позволяет пользователям использовать определенные услуги.
Учет: записывает сетевые ресурсы, используемые пользователями.

Аутентификация

Авторизация

Учет

Для подключения к сети пользователь вводит имя пользователя и пароль для подтверждения подлинности.

Пользователь проходит аутентификацию. Сеть передает данные авторизации пользователя (пользователь принадлежит к VLAN 10 и может подключаться к Интернету).

Пользователь подключается к сети, после чего включается учет.

в реальных сценариях.
RADIUS — это протокол, который использует модель клиент/сервер в распределенном режиме и защищает сеть от несанкционированного доступа. Часто используется в сетевых средах, требующих высокой безопасности и разрешающих удаленный доступ пользователей.
Определяет основанный на UDP формат пакета RADIUS и механизм передачи и определяет порты UDP 1812 и 1813 для аутентификации и учета соответственно.
Характеристики RADIUS:
Модель клиент/сервер
Механизм безопасного обмена сообщениями
Отличная масштабируемость

AC

AP

Обмен пакетами RADIUS для реализации функции AAA

STA

Клиент RADIUS

Сервер RADIUS

на основе портов. В основном используется для аутентификации и безопасности в сети Ethernet.
Аутентификация 802.1X использует модель клиент-сервер и состоит из трех объектов: запрашивающее устройство, аутентификатор и сервер аутентификации.
Сервер аутентификации обычно представляет собой сервер RADIUS, который используется для выполнения аутентификации, авторизации и учета запрашивающих устройств.
Аутентификация 802.1X рекомендуется для сотрудников средних и крупных предприятий.

пользователя. В этом режиме аутентификации пользователю не нужно устанавливать какое-либо клиентское программное обеспечение.
Устройство доступа, в интерфейсе которого включена аутентификация MAC-адреса, начинает аутентификацию пользователя при обнаружении MAC-адреса пользователя в первый раз.
В процессе аутентификации пользователю не нужно вводить имя пользователя или пароль.
Аутентификация по MAC-адресу обычно используется при подключении «немых» терминалов (например, принтеров) к сети. Можно также использовать с сервером аутентификации для выполнения аутентификации Portal с приоритетом MAC-адреса: Пользователь впервые проходит аутентификацию, затем, в течение определенного периода времени, он сможет снова получить доступ к сети без аутентификации.

в качестве клиента аутентификации, при этом устанавливать независимый клиент аутентификации не нужно. См. рис.
Прежде чем пользователь сможет получить доступ к Интернету, он должен пройти аутентификацию на странице портала. Пользователь получает доступ к сетевым ресурсам только после прохождения аутентификации. На странице портала поставщик услуг может расширить свой бизнес, например, за счет показа рекламных объявлений.
Аутентификация Portal рекомендуется для гостей, деловых выставок и общественных мест крупных и средних предприятий.
Режимы аутентификации Portal:
Имя пользователя и пароль аутентификации: администратор регистрирует временную учетную запись для гостей. Гости используют эту временную учетную запись для аутентификации.
SMS-аутентификация: Гости проходят аутентификацию с использованием проверочных кодов.

AC

AP

STA

Сервер RADIUS

Сервер портала

которые прошли аутентификацию Portal, снова получить доступ к сети в течение определенного периода времени без ввода имени пользователя и пароля, если они проходят аутентификацию по MAC-адресу.
Пользователь проходит аутентификацию Portal и снова получает доступ к сети через аутентификацию MAC-адреса в течение срока действия MAC-адреса.
Аутентификация Portal с приоритетом MAC-адреса экономит время пользователей на получение SMS-сообщений или выполнение инструкций для подключения через официальные учетные записи при каждой аутентификации.

AC

AP

STA

Сервер RADIUS

Сервер портала

Инициирует запрос HTTP-соединения.

Инициирует аутентификацию MAC-адреса по MAC-адресу STA.

Учетная запись существует, и аутентификация MAC-адреса выполнена.

Аутентификация MAC-адреса
(После отключения от сети пользователь сможет снова подключиться к Интернету в течение срока действия MAC-адреса.)

аутентификация Portal Эти три режима аутентификации реализованы по-разному и применяются в разных сценариях. На практике можно использовать соответствующий режим аутентификации или несколько режимов аутентификации (смешанная аутентификация) в зависимости от сценария. Комбинация режимов аутентификации зависит от технических характеристик устройства.

сети WLAN
Настройки безопасности WLAN

профиля безопасности. По умолчанию создаются профили безопасности default, default-wds и default-mesh.
Установите для политики безопасности значение open authentication.
Установите для политики безопасности значение open authentication. По умолчанию для политики безопасности настроено значение open.

[AC] wlan
[AC-wlan-view] security-profile name profile-name

[AC-wlan-sec-prof-wlan] security open

общий ключ WEP.
Настройте общий ключ и индекс ключа для статического WEP.

[AC] wlan
[AC-wlan-view] security-profile name profile-name

[AC-wlan-sec-prof-wlan] security wep share-key

[AC-wlan-sec-prof-wlan] wep key key-id { wep-40 | wep-104 | wep-128 } { pass-phrase | hex } key-value

name profile-name

[AC-wlan-sec-prof-wlan] security { wpa | wpa2 | wpa-wpa2 } psk { pass-phrase | hex } key-value { aes | tkip | aes-tkip }

PPSK.
Создайте пользователя PPSK и настройте пароль, имя пользователя, группу пользователей, авторизованную VLAN, время истечения срока действия, максимальное количество пользователей доступа, группу филиалов, MAC-адрес и SSID для пользователя PPSK.

[AC] wlan
[AC-wlan-view] security-profile name profile-name

[AC-wlan-sec-prof-wlan] security { wpa | wpa2 | wpa-wpa2 } ppsk { aes | tkip | aes-tkip }
[AC-wlan-sec-prof-wlan] quit

[AC-wlan-view] ppsk-user psk { pass-phrase | hex } key-value [ user-name user-name | user-group user-group | vlan vlan-id | expire-date expire-date [ expire-hour expire-hour ] | max-device max-device-number | branch-group branch-group | mac-address mac-address ]* ssid ssid

услуги для отдела исследований и разработок и для финансового отдела. Для сотрудников финансового отдела необходим режим аутентификации по единому паролю с высокой защитой пароля. Для сотрудников отдела исследований и разработок каждому сотруднику требуется один пароль для аутентификации.

GE0/0/1

GE0/0/2

GE0/0/3

GE0/0/1

GE0/0/2

SSID1: Finance
Security policy: WPA2+PSK+AES
Password: Finance@123
SSID2: RD
Политика безопасности: WPA2+PPSK+AES
Password 1: Huawei@123
Password 2: Huawei12#$

безопасности.

[AC-wlan-view] security-profile name Finance
[AC-wlan-sec-prof-Finance] security wpa2 psk pass-phrase Finance@123 aes
[AC-wlan-sec-prof-Finance] quit
[AC-wlan-view] security-profile name Employee
[AC-wlan-sec-prof-RD] security wpa2 ppsk aes
[AC-wlan-sec-prof-RD] quit
[AC-wlan-view] ppsk-user psk pass-phrase Huawei@123 max-device 1 ssid RD
[AC-wlan-view] ppsk-user psk pass-phrase Huawei12#$ max-device 1 ssid RD

security-profile Finance
[AC-wlan-vap-prof-Finance] quit
[AC-wlan-view] vap-profile name RD
[AC-wlan-vap-prof-RD] security-profile Guest
[AC-wlan-vap-prof-RD] quit

доступа. После завершения настроек выполните команду display vap ssid RD, чтобы порверить тип аутентификации (Auth type).

[AC-wlan-view]display vap ssid RD
Info: This operation may take a few seconds, please wait.
WID : WLAN ID
--------------------------------------------------------------------------------------
AP ID AP name RfID WID BSSID Status Auth type STA SSID
--------------------------------------------------------------------------------------
0 AP1 0 1 00E0-FC41-6340 ON WPA/WPA2-PPSK 0 RD
0 AP1 1 1 00E0-FC41-6350 ON WPA/WPA2-PPSK 0 RD
1 AP2 0 1 00E0-FCA2-5970 ON WPA/WPA2-PPSK 0 RD
1 AP2 1 1 00E0-FCA2-5980 ON WPA/WPA2-PPSK 0 RD
--------------------------------------------------------------------------------------

с помощью открытой системы
Аутентификация с общим ключом
WPA/WPA2 PSK
WPA/WPA2 PPSK

проводной сетью развертывание WLAN намного проще. Однако из-за особенностей среды передачи проблемы безопасности WLAN выходят на первый план.
В настоящем курсе описаны угрозы безопасности, с которыми сталкивается WLAN, и подробно описаны механизмы, позволяющие устранить такие угрозы.