У цьому документі описуються переваги використання захищеного доступу Wi-Fi 2 (WPA 2) в бездротових LAN (WLAN). Документ містить два приклади налаштування WPA 2 на WLAN. Перший приклад демонструє настройку WPA 2 в корпоративному режимі, а другий - настройку WPA 2 в приватному режимі.
Примітка: WPA працює з Протоколом EAP.
Перш ніж виконати дану конфігурацію, переконайтеся, що ви володієте базовими знаннями з наступних розділів:
Рішення для безпеки бездротових мереж
Примітка: Див. Загальні відомості щодо забезпечення безпеки Cisco Aironet Wireless LAN для отримання інформації про рішення для безпеки бездротових мереж Cisco.
Відомості, що містяться в даному документі, стосуються наступних версій програмного забезпечення і устаткування:
Cisco Aironet 1310G Точка доступу (AP) / Міст, який виконує реліз 12.3 програмного забезпечення Cisco IOS (2) JA
Aironet 802.11a / b / g Клієнтський адаптер CB21AG, який виконує вбудоване програмне забезпечення 2.5
Службова програма робочого столу Aironet (ADU), яка виконує вбудоване програмне забезпечення 2.5
Примітка: CB21AG Aironet і програмне забезпечення клієнтського адаптера PI21AG несумісні з іншим програмним забезпеченням Клієнтського адаптера Aironet. Необхідно використовувати ADU з платами CB21AG і PI21AG, а також Aironet Client Utility (ACU) всіх інших клієнтських адаптерів Aironet. Для отримання додаткової інформації про те, як налаштувати плату CB21AG і ADU, зверніться до документа Установка клієнтського адаптера.
Примітка: Цей документ використовує AP / міст, який має інтегровану антену. Якщо ви використовуєте точку доступу або міст, що вимагають установки зовнішньої антени, необхідно переконатися в тому, що антени підключені до точки доступу або мосту. Інакше точка доступу або міст не зможе підключитися до бездротової мережі. Деякі моделі точок доступу і мостів виробляються з вбудованими антенами, в той час як іншим потрібна для роботи зовнішня антена. Для отримання інформації про те, які моделі точок доступу і мостів поставляються з вбудованими, а які з зовнішніми антенами, зверніться до керівництва на замовлення / керівництву по продукту відповідного пристрою.
Відомості, представлені в цьому документі, були отримані від пристроїв, що працюють в спеціальній лабораторній середовищі. Всі пристрої, описані в цьому документі, були запущені з чистою (стандартної) конфігурацією. У робочій мережі необхідно вивчити потенційний вплив всіх команд до їх використання.
WPA - це стандартний спосіб забезпечення безпеки Wi-Fi Alliance, що враховує вразливі місця в мережах WLAN. WPA забезпечує поліпшену захист даних і контроль доступу до систем WLAN. WPA враховує всі відомі вразливі місця протоколу шифрування в бездротового зв'язку (WEP) вихідного механізму забезпечення безпеки IEEE 802.11 і забезпечує безпеку мереж WLAN на підприємствах, в домашніх мережах і невеликих компаніях.
WPA 2 - це наступне покоління систем безпеки Wi-Fi. WPA 2 - це сумісна з Wi-Fi Alliance поліпшена версія ухваленого стандарту IEEE 802.11i. WPA 2 виконаний на основі рекомендованого Національним інститутом стандартів і технологій (NIST) алгоритму шифрування AES (поліпшеного стандарту шифрування) з використанням режиму лічильника і протоколу CCMP. Режим лічильника AES - це блоковий шрифт, за раз шифрує 128 бітовий блок даних за допомогою 128 бітного ключа шифрування. Алгоритм CCMP генерує код цілісності повідомлень (MIC), що забезпечує бездротовому кадру перевірку справжності походження даних і цілісність даних.
Примітка: CCMP також згадується як MAC CBC.
WPA 2 пропонує вищий рівень безпеки, ніж WPA, так як AES забезпечує більш стійке шифрування, ніж протокол TKIP. TKIP - це протокол шифрування, використовуваний WPA. WPA 2 створює нові ключі сеансу при кожному зіставленні. Ключі шифрування, що використовуються для кожного клієнта мережі, є унікальними для цього клієнта. В результаті кожен пакет, який надсилав в ефір, зашифрований за допомогою унікального ключа. Система безпеки поліпшена використанням нового і унікального ключа шифрування, так як повторно ключ не використовується. WPA все ще вважається безпечним, а протокол TKIP ні зламаний. Проте, Cisco рекомендує своїм клієнтам якомога швидше перейти на WPA 2.
WPA і WPA 2 підтримують два режими роботи:
Цей документ обговорює реалізацію цих двох режимів з WPA 2.
Виконайте наступні дії:
Примітка: Цей документ використовує Aironet 802.11a / b / g Клієнтський адаптер, який виконує вбудоване програмне забезпечення 2.5 і пояснює конфігурацію клієнтського адаптера з версією ADU 2.5.
У вікні Profile Management на ADU необхідно натиснути New, щоб створити новий профіль.
З'явиться нове вікно, в якому можна задати конфігурацію режиму роботи WPA 2 enterprise. На закладці General ввести ім'я профілю (Profile Name) і SSID, який буде використовуватися клієнтським адаптером.
У цьому прикладі ім'ям профілю і SSID є WPA2:
Примітка: SSID має співпасти з SSID, який ви налаштували на AP для WPA 2.
Натиснути на закладку Security, натиснути WPA / WPA2 / CCKMі вибрати LEAP з меню WPA / WPA2 / CCKM EAP Type.
Ця дія підключає WPA або WPA 2, в залежності від того, що було налаштоване на точці доступу.
Натиснути Configure для визначення установок LEAP.
Вибрати на підставі вимог відповідні ім'я користувача (Username) і установки пароля (Password Settings) і натиснути OK.
Даная конфігурація вибирає опцію Automatically Prompt для імені користувача і пароля. Даний параметр дозволяє вводити ім'я і пароль вручну при проходженні LEAP-аутентифікації.
Натиснути OK, щоб вийти з вікна Profile Management.
Натиснути Activate, щоб активувати цей профіль на клієнтському адаптер.
Примітка: При використанні Microsoft Wireless Zero Configuration (WZC) для настройки клієнтського адаптера, за замовчуванням, WPA 2 недоступний з WZC. Тому для того, щоб дозволити клієнтам з включеною WZC використовувати WPA 2, необхідно встановити hot fix для Microsoft Windows XP. Для установки зверніться до ресурсу Центр завантаження ПЗ Microsoft - Оновлення для Windows XP (KB893357).
Після установки hot fix можна налаштувати WPA 2 при використанні WZC.
Цей розділ дозволяє переконатися, що конфігурація працює правильно.
Якщо відобразиться вікно Enter Wireless Network Password введіть ім'я користувача та пароль.
Наступне вікно - LEAP Authentication Status. На цій фазі облікові записи користувачів перевіряються на локальному RADIUS сервері.
Для того, щоб побачити результат аутентифікації, необхідно перевірити зону Status.
При успішному завершенні аутентифікації клієнт підключиться до бездротової LAN.
Щоб переконатися в тому, що клієнт використовує AES шифрування і LEAP аутентифікацію, необхідно перевірити ADU Current Status.
Це покаже, що в WLAN був реалізований WPA 2 з LEAP аутентификацией і AES шифруванням.
Щоб переконатися в тому, що клієнт успішно пройшов аутентифікацію за допомогою WPA 2, необхідно перевірити журнал подій точки доступу / моста.
Для цієї конфігурації в даний час немає відомостей про усунення проблем.
Термін режим personal відноситься до продуктів, що мають можливість взаємодії з режимом роботи аутентифікації PSK-only. Даний режим передбачає ручну настройку PSK на точці доступу і клієнта. PSK аутентифікує користувачів за допомогою пароля або ідентифікаційного коду на клієнтської станції і на точці доступу. Сервер аутентифікації не потрібно. Клієнт може отримати доступ до мережі тільки якщо пароль клієнта відповідає паролю точки доступу. Пароль також забезпечує ключовий матеріал, який використовується TKIP або AES для генерації ключа шифрування для шифрування пакетів даних. Режим Рersonal націлений на середовища SOHO, а також вважається безпечним для середовищ підприємств. В даному розділі розглядається настройка, необхідна для реалізації WPA 2 в режимі роботи personal.
В цій настройці користувач з адаптером 2 сумісних клієнтів WPA аутентифицирующей на Aironet 1310G AP / міст. Управління ключами відбувається за допомогою WPA 2 PSK, для якого налаштовано шифрування AES-CCMP. Розділи Встановлення точки доступу і Налаштування клієнтського адаптера описують настройку точки доступу та клієнтського адаптера.
Виконайте наступні дії:
Виберіть Security> Encryption Manager в меню зліва і виконайте ці кроки:
З меню Cipher, вибрати AES CCMP.
Ця дія включає AES шифрування з використанням режиму лічильника з CCMP.
Виберіть Security> SSID Manager і створіть новий SSID для використання з WPA 2.
Встановити прапорець Open Authentication.
Прокрутити вниз вікна Security SSID Manager до зони Authenticated Key Management і виконати наступні дії:
З меню Key Management, вибрати Mandatory.
Встановити прапорець WPA справа.
Ввести загальний секретний ключ WPA PSK або ключ ідентифікаційної фрази WPA PSK.
Цей ключ повинен відповідати ключу WPA PSK, налаштованому на клієнтському адаптер.
Тепер точка доступу може отримувати запити на аутентифікацію від бездротових клієнтів.
Виконайте наступні дії:
У вікні Profile Management на ADU необхідно натиснути New, щоб створити новий профіль.
З'явиться нове вікно, в якому можна задати конфігурацію режиму роботи WPA 2 PSK. На закладці General ввести ім'я профілю (Profile Name) і SSID, який буде використовуватися клієнтським адаптером.
У цьому прикладі використовується ім'я профілю WPA2PSK і SSID - WPA2PSK:
Примітка: SSID має співпасти з SSID, який ви налаштували на AP для WPA 2 PSK.
Натиснути 'ятати Security і натиснути WPA / WPA2 Passphrase.
Ця дія підключає WPA PSK або WPA 2 PSK. в залежності від того, що було налаштоване на точці доступу.
Натисніть кнопку Configure (Налаштувати).
З'явиться вікно Define WPA / WPA2 Pre-Shared Key.
Необхідно отримати у системного адміністратора ідентифікаційну фразу WPA / WPA2 і ввести її в поле WPA / WPA2 passphrase.
Необхідно отримати ідентифікаційну фразу для точки доступу в інфраструктурі мережі або ідентифікаційну фразу для інших клієнтів в спеціальній мережі.
При введенні ідентифікаційної фрази необхідно дотримуватися наступних вказівок:
Ідентифікаційні фрази WPA / WPA2 повинні містити від 8 до 63 ASCII текстових символів або 64 шістнадцяткових символу.
Ідентифікаційна фраза клієнтського адаптера повинна відповідати ідентифікаційної фразі точки доступу, з якої планується взаємодіяти.
Натиснути OK, щоб зберегти ідентифікаційну фразу і повернутися у вікно Profile Management.
Цей розділ дозволяє переконатися, що конфігурація працює правильно.
Після активації профілю WPA 2 PSK точка доступу аутентифікує клієнта на підставі ідентифікаційної фрази WPA 2 (PSK) і забезпечує доступ до WLAN.
Щоб переконатися в тому, що клієнт успішно пройшов аутентифікацію, необхідно перевірити ADU Current Status.
Приклад настройки представлений на наступному вікні. У вікні показано, що використовувалося шифрування AES і не виконувалася серверна аутентифікація:
Щоб переконатися в тому, що клієнт успішно пройшов аутентифікацію за допомогою режиму аутентифікації WPA 2 PSK. необхідно перевірити журнал подій точки доступу / моста.
Для цієї конфігурації в даний час немає відомостей про усунення проблем.