802.1X Port-Based HOWTO Xác thực
Tài liệu này mô tả các phần mềm và các thủ tục để thiết lập và sử dụng IEEE 802.1X Port-Based Network Access Control sử dụng Xsupplicant như Supplicant với FreeRADIUS như là một back-end Authentication Server.
Mục lục
1. Giới thiệu
1.1. 802.1X là gì?
1.2. 802.11i là gì?
1.3. EAP là gì?
1.4. phương pháp xác thực EAP
1.5. RADIUS là gì?
2. Có giấy chứng nhận
3. Authentication Server: Thiết lập FreeRADIUS
3.1. Cài đặt FreeRADIUS
3.2. cấu hình FreeRADIUS
4. Supplicant: Thiết lập Xsupplicant
4.1. Cài đặt Xsupplicant
4.2. cấu hình Xsupplicant
5. Authenticator: Thiết lập các Authenticator (Access Point)
5.1. Điểm truy cập
5.2. Linux Authenticator
6. Testbed
6.1. testcase
6.2. Chạy một số xét nghiệm
7. Lưu ý về hỗ trợ lái xe và Xsupplicant
8. Hỏi đáp
9. Thông tin hữu ích
10. Bản quyền, lời cảm ơn và linh tinh
10.1. Bản quyền và Giấy phép
10.2. Làm thế nào tài liệu này đã được sản xuất
10.3. Phản hồi
10.4. Lời cảm ơn
A. GNU Giấy phép Tài liệu miễn phí
A.1. LỜI NÓI ĐẦU
A.2. ỨNG DỤNG VÀ ĐỊNH NGHĨA
A.3. SAO CHÉP VERBATIM
A.4. SAO SỐ LƯỢNG
A.5. SỬA ĐỔI
A.6. Kết hợp VĂN BẢN
A.7. BỘ SƯU TẬP CÁC VĂN BẢN
A.8. AGGREGATION VỚI ĐỘC LẬP TRÌNH
A.9. DỊCH
A.10. KẾT THÚC
A.11. Revisions TƯƠNG LAI CỦA PHÉP NÀY
A.12. PHỤ LỤC: Làm thế nào để sử dụng Giấy phép này cho tài liệu của bạn
1. Giới thiệu
Tài liệu này mô tả các phần mềm và các thủ tục để thiết lập và sử dụng 802.1X: Port-Based Network Access Control sử dụng Xsupplicant với PEAP (PEAP / MS-CHAPv2) như phương pháp xác thực và FreeRADIUS như back-end server xác thực.
Nếu một cơ chế xác thực hơn PEAP được ưa thích, ví dụ, EAP-TLS hoặc EAP-TTLS, chỉ có một số ít các tùy chọn cấu hình cần phải được thay đổi. PEAP / MS-CHAPv2 cũng được hỗ trợ bởi Windows XP SP1 / Windows 2000 SP3.
1.1. 802.1X là gì?
Các 802.1X-2001 tiêu chuẩn quốc gia:
"Port-dựa trên điều khiển truy cập mạng này sử dụng các đặc quyền truy cập vật lý của IEEE 802 cơ sở hạ tầng mạng LAN để cung cấp một phương tiện để xác thực và ủy quyền cho các thiết bị gắn vào một cổng mạng LAN có đặc điểm kết nối point-to-point, và ngăn chặn truy cập vào cổng trong trường hợp mà việc xác thực và uỷ quyền. một cổng trong bối cảnh này là một điểm duy nhất của tập tin đính kèm để các cơ sở hạ tầng mạng LAN. " --- 802.1X-2001, trang 1.
Hình 802.1X: Một nút không dây phải được xác thực trước khi nó có thể được truy cập vào tài nguyên mạng LAN khác.
Khi một nút không dây mới (WN) yêu cầu truy cập vào tài nguyên mạng LAN, các điểm truy cập (AP) yêu cầu danh tính của WN. Không có giao thông khác hơn EAP được cho phép trước khi WN được xác thực (các "cổng" được đóng lại).
Các nút không dây nào có yêu cầu xác thực thường được gọi là Supplicant, mặc dù nó là chính xác hơn để nói rằng nút này không có chứa một Supplicant. Các Supplicant có trách nhiệm đáp ứng dữ liệu Authenticator đó sẽ thiết lập các thông tin của mình. Cũng vậy với các điểm truy cập; Authenticator không phải là điểm truy cập. Thay vào đó, các điểm truy cập có chứa một Authenticator. Authenticator thậm chí không cần phải được trong các điểm truy cập; nó có thể là một thành phần bên ngoài.
EAP, đó là giao thức được sử dụng để xác thực, ban đầu được sử dụng cho PPP dial-up. Bản sắc là tên người dùng, và hoặc PAP hoặc CHAP xác thực [RFC1994] đã được sử dụng để kiểm tra mật khẩu của người dùng. Kể từ khi danh tính được gửi trong rõ ràng (không mã hóa), một sniffer độc hại có thể tìm hiểu danh tính của người dùng. "Identity ẩn" là do sử dụng; các danh tính thực sự không được gửi trước khi đường hầm mã hóa TLS là lên.
Sau khi danh tính đã được gửi đi, quá trình xác thực bắt đầu. Các giao thức được sử dụng giữa Supplicant và Authenticator là EAP, hoặc, đúng hơn, EAP đóng gói qua mạng LAN (EAPOL). Authenticator tái đóng gói các thông điệp EAP để định dạng RADIUS, và chuyển chúng đến Server Authentication.
Trong thẩm định, Authenticator chỉ chuyển tiếp các gói tin giữa các Supplicant và Authentication Server. Khi quá trình xác thực kết thúc, Authentication Server sẽ gửi một tin nhắn thành công (hoặc thất bại, nếu xác thực thất bại). Authenticator sau đó mở "cổng" cho Supplicant.
Sau khi xác thực thành công, Supplicant được cấp quyền truy cập vào mạng LAN nguồn / Internet khác.
Xem hình 802.1X cho lời giải thích.
Tại sao nó được gọi là "cổng" xác thực dựa trên? Authenticator đề với cổng kiểm soát và không kiểm soát được. Cả hai điều khiển và các cổng không kiểm soát là các đơn vị logic (cổng ảo), nhưng sử dụng các kết nối vật lý vào mạng LAN (cùng một điểm của tập tin đính kèm).
Hình cảng: Nhà nước ủy quyền của các cổng kiểm soát.
Trước khi xác thực, chỉ có các cổng không kiểm soát được là "mở". Các giao thông chỉ được phép là EAPOL; thấy Authenticator Hệ Thống 1 trên cổng hình. Sau khi Supplicant đã được chứng thực, các cổng kiểm soát được mở ra, và truy cập vào tài nguyên mạng LAN khác được cấp; thấy Authenticator hệ thống 2 cổng hình.
802.1X đóng một vai trò quan trọng trong tiêu chuẩn IEEE 802.11i không dây mới.
1.2. 802.11i là gì?
1.2.1. WEP
Bảo mật Wired Equivalent (WEP), là một phần của chuẩn 802.11, nên cung cấp bảo mật. Thật không may WEP được thiết kế kém và dễ dàng bị nứt. Không có cơ chế xác thực, chỉ có một dạng yếu của kiểm soát truy cập (phải có chìa khóa chia sẻ để giao tiếp). Đọc thêm ở đây.
Như một phản ứng với WEP an ninh bị hỏng, IEEE đã đưa ra một tiêu chuẩn bảo mật không dây mới có tên 802.11i. 802.1X đóng một vai trò quan trọng trong tiêu chuẩn mới này.
1.2.2. 802.11i
Các tiêu chuẩn bảo mật mới, 802.11i, được phê chuẩn vào tháng 6 năm 2004, sửa chữa tất cả các điểm yếu của WEP. Nó được chia thành ba loại chính:
Tạm Key Integrity Protocol (TKIP) là một giải pháp ngắn hạn, có thể chữa tất cả các điểm yếu WEP. TKIP có thể được sử dụng với 802,11 thiết bị cũ (sau khi nâng cấp driver / firmware) và cung cấp tính toàn vẹn và bảo mật.
Counter Mode với CBC-MAC Protocol (CCMP) [RFC2610] là một giao thức mới, được thiết kế từ mặt đất lên. Nó sử dụng AES [FIPS 197] như thuật toán mật mã của nó, và, vì đây là nhiều CPU chuyên sâu hơn RC4 (được sử dụng trong WEP và TKIP), phần cứng mới 802.11 có thể được yêu cầu. Một số trình điều khiển có thể thực hiện CCMP trong phần mềm. CCMP cung cấp tính toàn vẹn và bảo mật.
802.1X Port-Based Network Access Control: Hoặc là khi sử dụng TKIP hoặc CCMP, 802.1X được sử dụng để xác thực.
Ngoài ra, một phương pháp mã hóa tùy chọn gọi là "Wireless xác thực mạnh mẽ Protocol" (WRAP) có thể được sử dụng thay cho CCMP. WRAP là bản gốc AES dựa trên đề nghị cho 802.11i, nhưng đã được thay thế bởi CCMP vì nó đã trở thành ám ảnh bởi những trở ngại tài sản. Hỗ trợ cho WRAP là tùy chọn, nhưng hỗ trợ CCMP là bắt buộc trong 802.11i.
802.11i cũng có một mở rộng chính dẫn xuất / quản lý, mô tả tiếp theo.
1.2.3. Key Management
1.2.3.1. trao đổi và quản lý chính năng động
Để thực thi một chính sách an ninh sử dụng thuật toán mã hóa và toàn vẹn, các phím phải được lấy. May mắn thay, 802.11i thực hiện một chế độ dẫn xuất / quản lý chủ chốt. Xem hình KM.
Hình KM: quản lý chính và phân phối trong 802.11i.
Khi Supplicant (WN) và Authentication Server (AS) xác nhận, một trong những thông điệp cuối cùng gửi từ AS, được xác thực thành công, là một Master Key (MK). Sau khi nó đã được gửi đi, MK chỉ được biết đến WN và AS. MK là ràng buộc để phiên này giữa WN và AS.
Cả WN và AS lấy được một khóa mới, được gọi là từng đôi Master Key (PMK), từ Master Key.
Sau đó PMK được chuyển từ AS để Authenticator (AP). Chỉ WN và AS có thể lấy được các PMK, khác các AP có thể đưa ra quyết định kiểm soát truy cập thay vì AS. Các PMK là một khóa đối xứng tươi ràng buộc với phiên giao dịch này giữa WN và AP.
PMK và một 4-way handshake được sử dụng giữa các WN và AP để lấy được, ràng buộc, và xác minh từng đôi thoáng Key (PTK). PTK là một bộ sưu tập của các phím hoạt động:
Chính Chứng nhận Key (KCK), như tên của nó, được sử dụng để chứng minh Đánh cắp linh hồn của PMK và để ràng buộc các PMK với AP.
Key Encryption Key (KEK) được sử dụng để phân phối các Nhóm thoáng Key (GTK). Được mô tả dưới đây.
Temporal Key 1 & 2 (tk1 / TK2) được sử dụng để mã hóa. Cách sử dụng của tk1 và TK2 là ciphersuite cụ thể.
Xem hình PKH cho một cái nhìn tổng quan của từng đôi chính Hierarchy.
Các KEK và một nhóm bắt tay 4 chiều sau đó được sử dụng để gửi các Nhóm thoáng Key (GTK) từ AP đến WN. GTK là một khóa chia sẻ giữa tất cả người van kết nối với Authenticator cùng, và được sử dụng để bảo đảm multicast / lưu lượng phát sóng.
http://tldp.org/HOWTO/html_single/8021X-HOWTO/
Mục lục
1. Giới thiệu
1.1. 802.1X là gì?
1.2. 802.11i là gì?
1.3. EAP là gì?
1.4. phương pháp xác thực EAP
1.5. RADIUS là gì?
2. Có giấy chứng nhận
3. Authentication Server: Thiết lập FreeRADIUS
3.1. Cài đặt FreeRADIUS
3.2. cấu hình FreeRADIUS
4. Supplicant: Thiết lập Xsupplicant
4.1. Cài đặt Xsupplicant
4.2. cấu hình Xsupplicant
5. Authenticator: Thiết lập các Authenticator (Access Point)
5.1. Điểm truy cập
5.2. Linux Authenticator
6. Testbed
6.1. testcase
6.2. Chạy một số xét nghiệm
7. Lưu ý về hỗ trợ lái xe và Xsupplicant
8. Hỏi đáp
9. Thông tin hữu ích
10. Bản quyền, lời cảm ơn và linh tinh
10.1. Bản quyền và Giấy phép
10.2. Làm thế nào tài liệu này đã được sản xuất
10.3. Phản hồi
10.4. Lời cảm ơn
A. GNU Giấy phép Tài liệu miễn phí
A.1. LỜI NÓI ĐẦU
A.2. ỨNG DỤNG VÀ ĐỊNH NGHĨA
A.3. SAO CHÉP VERBATIM
A.4. SAO SỐ LƯỢNG
A.5. SỬA ĐỔI
A.6. Kết hợp VĂN BẢN
A.7. BỘ SƯU TẬP CÁC VĂN BẢN
A.8. AGGREGATION VỚI ĐỘC LẬP TRÌNH
A.9. DỊCH
A.10. KẾT THÚC
A.11. Revisions TƯƠNG LAI CỦA PHÉP NÀY
A.12. PHỤ LỤC: Làm thế nào để sử dụng Giấy phép này cho tài liệu của bạn
1. Giới thiệu
Tài liệu này mô tả các phần mềm và các thủ tục để thiết lập và sử dụng 802.1X: Port-Based Network Access Control sử dụng Xsupplicant với PEAP (PEAP / MS-CHAPv2) như phương pháp xác thực và FreeRADIUS như back-end server xác thực.
Nếu một cơ chế xác thực hơn PEAP được ưa thích, ví dụ, EAP-TLS hoặc EAP-TTLS, chỉ có một số ít các tùy chọn cấu hình cần phải được thay đổi. PEAP / MS-CHAPv2 cũng được hỗ trợ bởi Windows XP SP1 / Windows 2000 SP3.
1.1. 802.1X là gì?
Các 802.1X-2001 tiêu chuẩn quốc gia:
"Port-dựa trên điều khiển truy cập mạng này sử dụng các đặc quyền truy cập vật lý của IEEE 802 cơ sở hạ tầng mạng LAN để cung cấp một phương tiện để xác thực và ủy quyền cho các thiết bị gắn vào một cổng mạng LAN có đặc điểm kết nối point-to-point, và ngăn chặn truy cập vào cổng trong trường hợp mà việc xác thực và uỷ quyền. một cổng trong bối cảnh này là một điểm duy nhất của tập tin đính kèm để các cơ sở hạ tầng mạng LAN. " --- 802.1X-2001, trang 1.
Hình 802.1X: Một nút không dây phải được xác thực trước khi nó có thể được truy cập vào tài nguyên mạng LAN khác.
Khi một nút không dây mới (WN) yêu cầu truy cập vào tài nguyên mạng LAN, các điểm truy cập (AP) yêu cầu danh tính của WN. Không có giao thông khác hơn EAP được cho phép trước khi WN được xác thực (các "cổng" được đóng lại).
Các nút không dây nào có yêu cầu xác thực thường được gọi là Supplicant, mặc dù nó là chính xác hơn để nói rằng nút này không có chứa một Supplicant. Các Supplicant có trách nhiệm đáp ứng dữ liệu Authenticator đó sẽ thiết lập các thông tin của mình. Cũng vậy với các điểm truy cập; Authenticator không phải là điểm truy cập. Thay vào đó, các điểm truy cập có chứa một Authenticator. Authenticator thậm chí không cần phải được trong các điểm truy cập; nó có thể là một thành phần bên ngoài.
EAP, đó là giao thức được sử dụng để xác thực, ban đầu được sử dụng cho PPP dial-up. Bản sắc là tên người dùng, và hoặc PAP hoặc CHAP xác thực [RFC1994] đã được sử dụng để kiểm tra mật khẩu của người dùng. Kể từ khi danh tính được gửi trong rõ ràng (không mã hóa), một sniffer độc hại có thể tìm hiểu danh tính của người dùng. "Identity ẩn" là do sử dụng; các danh tính thực sự không được gửi trước khi đường hầm mã hóa TLS là lên.
Sau khi danh tính đã được gửi đi, quá trình xác thực bắt đầu. Các giao thức được sử dụng giữa Supplicant và Authenticator là EAP, hoặc, đúng hơn, EAP đóng gói qua mạng LAN (EAPOL). Authenticator tái đóng gói các thông điệp EAP để định dạng RADIUS, và chuyển chúng đến Server Authentication.
Trong thẩm định, Authenticator chỉ chuyển tiếp các gói tin giữa các Supplicant và Authentication Server. Khi quá trình xác thực kết thúc, Authentication Server sẽ gửi một tin nhắn thành công (hoặc thất bại, nếu xác thực thất bại). Authenticator sau đó mở "cổng" cho Supplicant.
Sau khi xác thực thành công, Supplicant được cấp quyền truy cập vào mạng LAN nguồn / Internet khác.
Xem hình 802.1X cho lời giải thích.
Tại sao nó được gọi là "cổng" xác thực dựa trên? Authenticator đề với cổng kiểm soát và không kiểm soát được. Cả hai điều khiển và các cổng không kiểm soát là các đơn vị logic (cổng ảo), nhưng sử dụng các kết nối vật lý vào mạng LAN (cùng một điểm của tập tin đính kèm).
Hình cảng: Nhà nước ủy quyền của các cổng kiểm soát.
Trước khi xác thực, chỉ có các cổng không kiểm soát được là "mở". Các giao thông chỉ được phép là EAPOL; thấy Authenticator Hệ Thống 1 trên cổng hình. Sau khi Supplicant đã được chứng thực, các cổng kiểm soát được mở ra, và truy cập vào tài nguyên mạng LAN khác được cấp; thấy Authenticator hệ thống 2 cổng hình.
802.1X đóng một vai trò quan trọng trong tiêu chuẩn IEEE 802.11i không dây mới.
1.2. 802.11i là gì?
1.2.1. WEP
Bảo mật Wired Equivalent (WEP), là một phần của chuẩn 802.11, nên cung cấp bảo mật. Thật không may WEP được thiết kế kém và dễ dàng bị nứt. Không có cơ chế xác thực, chỉ có một dạng yếu của kiểm soát truy cập (phải có chìa khóa chia sẻ để giao tiếp). Đọc thêm ở đây.
Như một phản ứng với WEP an ninh bị hỏng, IEEE đã đưa ra một tiêu chuẩn bảo mật không dây mới có tên 802.11i. 802.1X đóng một vai trò quan trọng trong tiêu chuẩn mới này.
1.2.2. 802.11i
Các tiêu chuẩn bảo mật mới, 802.11i, được phê chuẩn vào tháng 6 năm 2004, sửa chữa tất cả các điểm yếu của WEP. Nó được chia thành ba loại chính:
Tạm Key Integrity Protocol (TKIP) là một giải pháp ngắn hạn, có thể chữa tất cả các điểm yếu WEP. TKIP có thể được sử dụng với 802,11 thiết bị cũ (sau khi nâng cấp driver / firmware) và cung cấp tính toàn vẹn và bảo mật.
Counter Mode với CBC-MAC Protocol (CCMP) [RFC2610] là một giao thức mới, được thiết kế từ mặt đất lên. Nó sử dụng AES [FIPS 197] như thuật toán mật mã của nó, và, vì đây là nhiều CPU chuyên sâu hơn RC4 (được sử dụng trong WEP và TKIP), phần cứng mới 802.11 có thể được yêu cầu. Một số trình điều khiển có thể thực hiện CCMP trong phần mềm. CCMP cung cấp tính toàn vẹn và bảo mật.
802.1X Port-Based Network Access Control: Hoặc là khi sử dụng TKIP hoặc CCMP, 802.1X được sử dụng để xác thực.
Ngoài ra, một phương pháp mã hóa tùy chọn gọi là "Wireless xác thực mạnh mẽ Protocol" (WRAP) có thể được sử dụng thay cho CCMP. WRAP là bản gốc AES dựa trên đề nghị cho 802.11i, nhưng đã được thay thế bởi CCMP vì nó đã trở thành ám ảnh bởi những trở ngại tài sản. Hỗ trợ cho WRAP là tùy chọn, nhưng hỗ trợ CCMP là bắt buộc trong 802.11i.
802.11i cũng có một mở rộng chính dẫn xuất / quản lý, mô tả tiếp theo.
1.2.3. Key Management
1.2.3.1. trao đổi và quản lý chính năng động
Để thực thi một chính sách an ninh sử dụng thuật toán mã hóa và toàn vẹn, các phím phải được lấy. May mắn thay, 802.11i thực hiện một chế độ dẫn xuất / quản lý chủ chốt. Xem hình KM.
Hình KM: quản lý chính và phân phối trong 802.11i.
Khi Supplicant (WN) và Authentication Server (AS) xác nhận, một trong những thông điệp cuối cùng gửi từ AS, được xác thực thành công, là một Master Key (MK). Sau khi nó đã được gửi đi, MK chỉ được biết đến WN và AS. MK là ràng buộc để phiên này giữa WN và AS.
Cả WN và AS lấy được một khóa mới, được gọi là từng đôi Master Key (PMK), từ Master Key.
Sau đó PMK được chuyển từ AS để Authenticator (AP). Chỉ WN và AS có thể lấy được các PMK, khác các AP có thể đưa ra quyết định kiểm soát truy cập thay vì AS. Các PMK là một khóa đối xứng tươi ràng buộc với phiên giao dịch này giữa WN và AP.
PMK và một 4-way handshake được sử dụng giữa các WN và AP để lấy được, ràng buộc, và xác minh từng đôi thoáng Key (PTK). PTK là một bộ sưu tập của các phím hoạt động:
Chính Chứng nhận Key (KCK), như tên của nó, được sử dụng để chứng minh Đánh cắp linh hồn của PMK và để ràng buộc các PMK với AP.
Key Encryption Key (KEK) được sử dụng để phân phối các Nhóm thoáng Key (GTK). Được mô tả dưới đây.
Temporal Key 1 & 2 (tk1 / TK2) được sử dụng để mã hóa. Cách sử dụng của tk1 và TK2 là ciphersuite cụ thể.
Xem hình PKH cho một cái nhìn tổng quan của từng đôi chính Hierarchy.
Các KEK và một nhóm bắt tay 4 chiều sau đó được sử dụng để gửi các Nhóm thoáng Key (GTK) từ AP đến WN. GTK là một khóa chia sẻ giữa tất cả người van kết nối với Authenticator cùng, và được sử dụng để bảo đảm multicast / lưu lượng phát sóng.
http://tldp.org/HOWTO/html_single/8021X-HOWTO/
Comments
Post a Comment