Această lucrare descrie avantajele utilizării Wi-Fi Protected Access 2 (WPA 2) în LAN fără fir (WLAN). Documentul conține două exemple de setare WPA 2 pe WLAN. Primul exemplu demonstrează configurația WPA 2 în modul corporativ, iar cea de-a doua arată configurația WPA 2 în modul privat.
Notă: WPA funcționează cu protocolul EAP.
Înainte de a efectua această configurație, asigurați-vă că aveți cunoștințe de bază despre următoarele subiecte:
Soluții de securitate wireless pentru rețele
Notă: Consultați Prezentarea generală de securitate Cisco Aironet Wireless LAN pentru informații despre soluțiile Cisco Wireless Security Solutions.
Informațiile conținute în acest document se referă la următoarele versiuni software și hardware:
Cisco Aironet 1310G Punct de Acces (AP) / Bridge care execută Release 12.3 a software-ului Cisco IOS (2) JA
Aironet 802.11a / b / g Adaptorul client CB21AG, care execută firmware-ul 2.5
Aplicația Aironet Desktop Utility (ADU), care execută firmware-ul 2.5
Notă: Software-ul adaptorului client CB21AG Aironet și PI21AG sunt incompatibile cu alte software-uri Adaptor Client Aironet. Trebuie să utilizați ADU cu cardurile CB21AG și PI21AG, precum și cu UPS-ul Aironet Client (ACU) al tuturor celorlalte adaptoare de client Aironet. Pentru mai multe informații despre cum se configurează CB21AG și ADU, consultați documentul de instalare a Adaptorului Client.
Notă: Acest document folosește un AP / Bridge care are o antenă integrată. Dacă utilizați un punct de acces sau un pod care necesită o antenă externă, trebuie să vă asigurați că antenele sunt conectate la punctul de acces sau la pod. În caz contrar, punctul de acces sau puntea nu vor putea să se conecteze la rețeaua fără fir. Unele modele de puncte de acces și poduri sunt fabricate cu antene încorporate, în timp ce altele au nevoie de o antenă externă pentru funcționare. Pentru informații despre modelele și punțile de puncte de acces care sunt livrate cu modele încorporate și care cu antene externe, consultați ghidul de produse / dispozitive al produsului pentru dispozitivul respectiv.
Informațiile prezentate în acest document au fost obținute de la dispozitive care funcționează într-un mediu de laborator special. Toate dispozitivele descrise în acest document au fost lansate cu o configurație curată (standard). În rețeaua de lucru, trebuie să studiați impactul potențial al tuturor echipelor înainte de a le utiliza.
WPA este modalitatea standard de a asigura securitatea alianței Wi-Fi, care ia în considerare vulnerabilitățile în rețelele WLAN. WPA oferă o protecție sporită a datelor și un control al accesului la sistemele WLAN. WPA ia în considerare toate vulnerabilitățile cunoscute din protocolul de criptare WEP al mecanismului original de securitate IEEE 802.11 și oferă securitate pentru rețelele WLAN în întreprinderi, rețele de domiciliu și companii mici.
WPA 2 este următoarea generație de sisteme de securitate Wi-Fi. WPA 2 este o versiune imbunatatita a standardului aprobat IEEE 802.11i compatibil cu Wi-Fi Alliance. WPA 2 se bazează pe algoritmul de criptare AIST (Advanced Encryption Standard) recomandat de Institutul Național de Standarde și Tehnologie (NIST), folosind modulul contra și protocolul CCMP. Modul contor AES este un font bloc care criptează simultan un bloc de date pe 128 biți folosind o cheie de criptare pe 128 de biți. Algoritmul CCMP generează un Cod de Integritate a Mesajului (MIC) care oferă un cadru wireless cu autentificare a originii datelor și a integrității datelor.
Notă: CCMP este denumită și MAC CBC.
WPA 2 oferă un nivel de securitate mai ridicat decât WPA, deoarece AES oferă o criptare mai robustă decât protocolul TKIP. TKIP este protocolul de criptare folosit de WPA. WPA 2 creează noi chei de sesiune pentru fiecare cartografiere. Cheile de criptare utilizate pentru fiecare client de rețea sunt unice pentru acest client. Ca rezultat, fiecare pachet trimis în aer este criptat cu o cheie unică. Sistemul de securitate este îmbunătățit utilizând o cheie de criptare nouă și unică, deoarece cheia nu este refolosită. WPA este considerat în continuare sigur, iar protocolul TKIP nu a fost compromis. Cu toate acestea, Cisco recomandă clienților săi să se mute la WPA 2 cât mai curând posibil.
WPA și WPA 2 suportă două moduri de funcționare:
Acest document discută implementarea acestor două moduri cu WPA 2.
Faceți următoarele:
Notă: Acest document utilizează un adaptor client Aironet 802.11a / b / g care execută firmware 2.5 și explică configurația adaptorului client cu versiunea 2.5 a ADU.
În fereastra de gestionare a profilului de pe ADU, faceți clic pe Nou pentru a crea un profil nou.
Va apărea o nouă fereastră în care puteți configura modul de întreprindere WPA 2. În fila General, introduceți numele profilului și codul SSID care va fi utilizat de adaptorul client.
În acest exemplu, numele profilului și SSID-ul sunt WPA2:
Notă: SSID-ul trebuie să corespundă SSID-ului pe care l-ați configurat în AP pentru WPA 2.
Faceți clic pe fila Securitate, faceți clic pe WPA / WPA2 / CCKM și selectați LEAP din meniul WPA / WPA2 / CCKM EAP Type.
Această acțiune conectează WPA sau WPA 2, în funcție de ceea ce a fost configurat în punctul de acces.
Faceți clic pe Configurare pentru a defini setările LEAP.
Selectați setările corespunzătoare ale utilizatorului și parolei de la cerințe și faceți clic pe OK.
Această configurație selectează opțiunea Automatically Prompt pentru numele de utilizator și parola. Acest parametru vă permite să introduceți manual numele și parola utilizatorului când treceți autentificarea LEAP.
Faceți clic pe OK pentru a ieși din fereastra Management profil.
Activați pentru a activa acest profil pe adaptorul client.
Notă: Atunci când utilizați Microsoft Wireless Zero Configuration (WZC) pentru a configura adaptorul client, în mod implicit, WPA 2 nu este disponibil cu WZC. Prin urmare, pentru a permite clienților cu WZC activat să utilizeze WPA 2, trebuie să instalați remedierea rapidă pentru Microsoft Windows XP. Pentru instalare, consultați Centrul de descărcări al Centrului de descărcări Microsoft - Actualizări pentru Windows XP (KB893357).
După instalarea remedierii fierbinți, puteți configura WPA 2 când utilizați WZC.
Această secțiune vă permite să verificați dacă configurația funcționează corect.
Când se afișează Enter Network Wireless Password, introduceți numele de utilizator și parola.
Următoarea fereastră este starea de autentificare LEAP. În această fază, conturile de utilizator sunt verificate pe serverul RADIUS local.
Pentru a vedea rezultatul autentificării, trebuie să verificați zona de stare.
Dacă autentificarea are succes, clientul se conectează la rețeaua LAN fără fir.
Pentru a verifica dacă clientul utilizează criptarea AES și autentificarea LEAP, trebuie să verificați starea curentă ADU.
Acest lucru va arăta că WPA 2 cu autentificare LEAP și criptare AES a fost implementat în WLAN.
Pentru a verifica dacă clientul a fost autentificat cu succes cu WPA 2, trebuie să verificați jurnalul de evenimente al punctului de acces / podului.
Pentru această configurație, în prezent nu există informații despre depanare.
Termenul personal se referă la produse care au capacitatea de a interacționa cu modul de autentificare numai pentru PSK. Acest mod implică configurarea manuală a PSK pe punctul de acces și pe client. PSK autentifică utilizatorii utilizând o parolă sau un cod de identificare pe stația client și pe punctul de acces. Nu este necesar un server de autentificare. Clientul poate accesa rețeaua numai dacă parola clientului se potrivește cu parola punctului de acces. Parola furnizează de asemenea materialul cheie utilizat de TKIP sau AES pentru a genera o cheie de criptare pentru criptarea pachetelor de date. Regimul personal vizează mediile SOHO și este de asemenea considerat sigur pentru mediile de afaceri. Această secțiune descrie configurația necesară pentru implementarea WPA 2 în modul personal.
În această configurație, un utilizator cu un adaptor de 2 clienți WPA compatibil se autentifică la Air / Alto 1310G AP / bridge. Gestionarea tastelor are loc utilizând WPA 2 PSK, pentru care este configurată criptarea AES-CCMP. Secțiuni Configurarea punctului de acces și Configurarea adaptorului client descriu configurația punctului de acces și a adaptorului client.
Faceți următoarele:
Selectați Securitate> Manager de criptare din meniul din stânga și urmați acești pași:
Din meniul Cipher, selectați AES CCMP.
Această acțiune include criptarea AES utilizând modul counter cu CCMP.
Selectați Securitate> SSID Manager și creați un nou SSID pentru a fi utilizat cu WPA 2.
Selectați caseta de validare Deschidere autentificare.
Derulați în jos fereastra Manager SSID de securitate în zona de gestionare a cheii autentice și procedați în felul următor:
Din meniul Gestionare chei, selectați Obligatoriu.
Bifați caseta de validare WPA din dreapta.
Introduceți cheia secretă WPA PSK partajată sau tasta WPA PSK.
Această cheie trebuie să se potrivească cu tasta WPA PSK configurată pe adaptorul client.
Acum, punctul de acces poate primi solicitări de autentificare de la clienți wireless.
Faceți următoarele:
În fereastra de gestionare a profilului de pe ADU, faceți clic pe Nou pentru a crea un profil nou.
Este afișată o nouă fereastră în care puteți configura modul WPA 2 PSK. În fila General, introduceți numele profilului și codul SSID care va fi utilizat de adaptorul client.
Acest exemplu utilizează numele profilului WPA2-PSK și SSID-WPA2PSK:
Notă: SSID-ul trebuie să corespundă SSID-ului configurat în AP pentru WPA 2 PSK.
Faceți clic pe fila Securitate și faceți clic pe Fraza de acces WPA / WPA2.
Această acțiune conectează WPA PSK sau WPA 2 PSK. în funcție de ce a fost configurat în punctul de acces.
Faceți clic pe butonul Configurare.
Se afișează fereastra Define WPA / WPA2 Cheie pre-partajată.
Trebuie să obțineți fraza de acces WPA / WPA2 de la administratorul de sistem și să o introduceți în câmpul de expresie WPA / WPA2.
Este necesar să se obțină o expresie de identificare pentru un punct de acces în infrastructura de rețea sau o frază de identificare pentru alți clienți într-o rețea specială.
La introducerea unei fraze de identificare, trebuie respectate următoarele reguli:
Fraze de identificare WPA / WPA2 ar trebui să conțină de la 8 la 63 caractere text ASCII sau 64 de caractere hexazecimale.
Fraza de identificare a adaptorului client trebuie să se potrivească cu fraza de identificare a punctului de acces, cu care se intenționează să interacționeze.
Faceți clic pe OK pentru a salva expresia de acces și a reveni la fereastra Managementul profilului.
Această secțiune vă permite să verificați dacă configurația funcționează corect.
După activarea profilului WPA 2 PSK, punctul de acces autentifică clientul pe baza frazei de acces WPA 2 (PSK) și oferă acces la WLAN.
Pentru a verifica dacă clientul a fost autentificat cu succes, trebuie să verificați starea actuală a ADU.
Un exemplu de configurare este afișat în fereastra următoare. Fereastra arată că a fost utilizată criptarea AES și nu a fost efectuată autentificarea serverului:
Pentru a verifica dacă clientul a fost autentificat cu succes cu modul de autentificare WPA 2 PSK. trebuie să verificați jurnalul de evenimente al punctului de acces / podului.
Pentru această configurație, în prezent nu există informații despre depanare.