FreeRADIUS和XSuppicant進行EAPTLS驗證IEEE8021X安全性教學提綱

1、Good is good, but better carries it.精益求精，善益求善。FreeRADIUS和XSuppicant進行EAPTLS驗證IEEE8021X安全性-一、IEEE802.1X簡介當前802.11無線網(wǎng)絡的安全性還是非常脆弱的，很多情況下無線客戶端如果得到接入點（AP）的SSID，就可以獲得網(wǎng)絡的訪問權限。而且由于管理員的懶惰沒有修改AP廠商默認設置的SSID，甚至配置AP向外廣播其SSID，那么安全性還將更低。最常見一、IEEE802.1X簡介當前802.11無線網(wǎng)絡的安全性還是非常脆弱的，很多情況下無線客戶端如果得到接入點（AP）的SSID，就可以獲得網(wǎng)絡的訪問

2、權限。而且由于管理員的懶惰沒有修改AP廠商默認設置的SSID，甚至配置AP向外廣播其SSID，那么安全性還將更低。最常見的解決方法是使用WEP加密，在鏈路層采用RC4對稱加密技術，用戶的加密金鑰必須與AP的密鑰相同時才能獲準存取網(wǎng)絡的資源，從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位（有時也稱為64位）和128位長度的密鑰機制，但是它仍然存在許多缺陷，例如一個服務區(qū)內的所有用戶都共享同一個密鑰，一個用戶丟失或者泄漏密鑰將使整個網(wǎng)絡不安全。而且由于WEP加密被發(fā)現(xiàn)有安全缺陷，可以在幾個小時內被破解。一些常見AP廠商的默認SSID和默認WEP密鑰、密碼可以參考如下鏈接：/medi

3、awhore/nf0/wireless/ssid_defaults/ssid_defaults-1.0.5.txtIEEE802.1X是IEEE在2001年6月發(fā)布的一個標準，用于對IEEE802局域網(wǎng)（包括以太網(wǎng)、TokenRing和FDDI）的認證和密鑰管理。802.1X不是加密算法，不同于WEP、3DES、AES或其它的算法，IEEE802.1X只關注認證和密鑰管理，不關心來源密鑰使用什么安全服務傳送。所以它可以對認證來源和密鑰使用任意的加密算法，還可以周期性的更新密鑰和重新認證來保證密鑰的安全。IEEE802.1X不是一個單獨的認證方法，它利用可擴展認證協(xié)議（EAP）作為它的認證框架。

4、這意味著有802.1X功能的交換機和AP可以支持各種認證方式，包括基于證書的認證、智能卡、標記卡（tokencards）、一次性口令等。然而802.1X本身并沒有指定和要求使用何種認證方式，交換機和AP只是EAP的一個通道，所以可以只需在主機和后臺認證服務器安裝軟件而無需對交換機和AP升級就可以添加一個新的認證方式。IEEE802.1X沒有對包進行封裝（不像PPPOE或VPN），實現(xiàn)起來不會對交換機和AP的性能有所影響。這意味著IEEE802.1X處理的速度可以從11Mbps(802.11)到10+Gbps，并且只要升級交換機的固件而不必購買新的硬件就可以實現(xiàn)。對于主機，IEEE802.1X可

5、以由網(wǎng)卡驅動來實現(xiàn)，不必使用新的操作系統(tǒng)。RADIUS服務器（包括Windows2000IAS）支持EAP，可以用來管理基于IEEE802.1X網(wǎng)絡的訪問。通過RADIUS，IEEE802.1X允許管理每個用戶的授權，包括過濾（2層或3層）、隧道、動態(tài)VLANs、速率控制等。EAP/TLS是802.1X架構的一種認證方式，802.1X和EAP/TLS是無線網(wǎng)絡一個越來越受歡迎的安全解決方案。以下是AdamSulmicki的一個基于開放源碼軟件的802.1X解決方案。二、網(wǎng)絡結構圖AdamSulmicki的無線網(wǎng)絡結構如下圖：從右邊至左邊配置如下：1.驗證服務器radius服務器硬件：IBMTH

6、INKPADT232647-2KU100Mbps以太網(wǎng)卡軟件：LinuxRedHat7.2FreeRadius(cvs)OpenSSL(snapshot)2.驗證端接入點（AP）硬件：CISCOAIRONET340series11MbpsACCESSPOINTAIR-AP342E2C主板:MPC86050MHz,2048KBFLASH,16384KBDRAM,Revision21100Mbps以太網(wǎng)卡軟件：系統(tǒng)：EnterpriseAPSys11.103.請求端radius服務器硬件：IBMTHINKPADT232647-2KUCISCOAIRONET340SERIES11MbpsWIRELE

7、SSADAPTERAIR-PCM342軟件：LinuxRedHat7.2xsupplicant(cvstarball)三、軟件安裝1.OpenSSLFreeRADIUS和Xsuppicant需要使用穩(wěn)定版本的OpenSSL，而FreeRADIUS的EAP/TLS模塊卻需要使用最新的非穩(wěn)定snapshot版本OpenSSL（或者是2002年3月份以后的穩(wěn)定版本，OpenSSL0.9.7或更新），所以要安裝兩個版本的OpenSSL。注意非穩(wěn)定版本的SSL不要使用文件名帶stable的，也不要使用帶”e”的版本，那一般是用于硬件加密的。從OpenSSL的網(wǎng)站下載：/snapshot/openssl-

8、SNAP-20020227.tar.gz然后進行配置安裝：mkdir-p/usr/src/802/opensslcd/usr/src/802/opensslncftpget/snapshot/openssl-SNAP-20020227.tar.gztarzxvfopenssl-SNAP-20020227.tar.gzcdopenssl-SNAP-20020227./configshared-prefix=/usr/local/opensslmakemakeinstall注意：snapshot版本不要安裝在常用的路徑如：-prefix=/usr或prefix=/usr/local/ssl，只有F

9、reeRADIUS的EAP/TLS模塊需要snapshot版本。安裝后需要修改/usr/local/openssl/ssl/f文件，以下是一個配置修改樣例，openssl.conf-diff：-/usr/local/openssl/ssl/f-backupThuFeb2803:35:542002+/usr/local/openssl/ssl/fThuFeb2803:38:122002-117,30+117,33req_distinguished_namecountryName=CountryName(2lettercode)-countryName_default=AU+countryName

10、_default=UScountryName_min=2countryName_max=2stateOrProvinceName=StateorProvinceName(fullname)-stateOrProvinceName_default=Some-State+stateOrProvinceName_default=MarylandlocalityName=LocalityName(eg,city)+localityName_default=CollegePanizationName=OrganizationName(eg,company)-0.organizationN

11、ame_default=InternetWidgitsPtyLtd+0.organizationName_default=UniversityofMaryland#wecandothisbutitisnotneedednormally:-)#1.organizationName=SecondOrganizationName(eg,company)#1.organizationName_default=WorldWideWebPtyLtdorganizationalUnitName=OrganizationalUnitName(eg,section)-#organizationalUnitN#1

12、.organizationName=SecondOrganizationName(eg,company)#1.organizationName_default=WorldWideWebPtyLtdorganizationalUnitName=OrganizationalUnitName(eg,section)-#organizationalUnitName_default=+organizationalUnitName_default=MISSLcommonName=CommonName(eg,YOURname)commonName_max=64+commonName_default=adam

13、emailAddress=EmailAddressemailAddress_max=64+emailAddress_default=adam#SET-ex3=SETextensionnumber3-148,6+151,7challengePassword=AchallengepasswordchallengePassword_min=4challengePassword_max=20+challengePassword_default=whateverunstructuredName=Anoptionalcompanyname定制這個文件使得生成自己的密鑰和證書變得簡單。生成密鑰可以使用下面地

14、址的腳本：/wireless/eaptls/doc/CA.all腳本里的whatever是使用的口令，可以根據(jù)自己的需要修改。這個腳本會生成私鑰、CA和兩個證書，樣例可以從如下地址查看：/wireless/eaptls/keys/cert.tgz這里的口令都是whatever。把證書放到相應路徑：mkdir-p/usr/src/802/keyscd/usr/src/802/keyswget/adam/802/keys/cert.tgztarzxvfcert.tgzmkdir-p/etc/1xmv/usr/src/802/keys/etc/1x/2.LibNetXsupplicant需要使用Li

15、bNet，如果系統(tǒng)里沒有必須另行安裝：mkdir-p/usr/src/802/libnetcd/usr/src/802/libnetwget/debian/dists/potato/main/source/libs/libnet_1.0.orig.tar.gztarzxvflibnet_1.0.orig.tar.gzcdLibnet-1.0/./configuremakemakeinstall3.FreeRADIUS需要使用2002年3月1日以后cvs版本的FreeRADIUS，可以通過cvs下載，也可以從如下地址獲得該可用版本：/wireless/eaptls/radius/radiusd-

16、02.28.02.tar.gz安裝配置：tarzxvfradiusd-02.28.02.tar.gzcdradiusd./configure-prefix=/usr/local/radiusmakemakeinstall/usr/local/radius/sbin/run-radius-X-A有幾點注意：1.make前需要修改radiusd/src/modules/rlm_eap/types/rlm_eap_tls/下的Makefile文件，讓它編譯EAP-TLS以及使用snapshot版本的OpenSSL。-radiusd/src/modules/rlm_eap/types/rlm_eap_

17、tls/Makefile2002/01/24+radiusd/src/modules/rlm_eap/types/rlm_eap_tls/Makefile2002/02/28-1,11+1,12TARGET=+TARGET=rlm_eap_tls#TARGET=rlm_eap_tlsSRCS=rlm_eap_tls.ceap_tls.ccb.ctls.c-RLM_CFLAGS=$(INCLTDL)-I./.-I/path/to/openssl/include+RLM_CFLAGS=$(INCLTDL)-I./.-I/usr/local/openssl/includeHEADERS=eap_tl

18、s.hRLM_INSTALL=-RLM_LDFLAGS+=-L/path/to/openssl/lib+RLM_LDFLAGS+=-L/usr/local/openssl/libRLM_LIBS+=-lssl$(STATIC_OBJS):$(HEADERS)2.目前的linux系統(tǒng)由于對gethostbyadd_r()和gethostbyname_r()的檢測會存在失誤，需要在make前對radius的autoconf.h打上如下補?。篸iff-u-r1.44autoconf.h-src/include/autoconf.h+src/include/autoconf.h-100,10+100,

19、10#undefHAVE_CTIME_R/*Defineifyouhavethegethostbyaddr_rfunction.*/-#undefHAVE_GETHOSTBYADDR_R+/#undefHAVE_GETHOSTBYADDR_R/*Defineifyouhavethegethostbyname_rfunction.*/-#undefHAVE_GETHOSTBYNAME_R+/#undefHAVE_GETHOSTBYNAME_R/*Defineifyouhavethegethostnamefunction.*/#undefHAVE_GETHOSTNAME另外的辦法是編輯radius

20、d/src/lib/misc.c文件，修改成適合Linux語法的gethostbyadd_r()和gethostbyname_r()調用。還有方法是修改configure.in配置腳本，詳細信息可參考如下鏈接：/?t=101488214000003&r=1&w=23.編譯安裝完radius后需要對服務器進行配置，radius的配置文件在/usr/local/radius/etc/raddb目錄下，需要修改啟用EAP/TLS功能，以下參考的配置文件：/wireless/eaptls/doc/etc-raddb-radius.conf-diff/wireless/eaptls/doc/etc-ra

21、ddb-client.conf-diff/wireless/eaptls/doc/etc-raddb-users-diff4./usr/local/radius/sbin/run-radius是啟動radius服務的腳本，這個腳本定義了LD_LIBRARY_PATH和LD_PRELOAD兩個環(huán)境變量可以讓EAP/TLS使用正確的libssl庫，并且libssl庫也能裝載正確的libcrypto。#!/bin/sh-xLD_LIBRARY_PATH=/usr/local/openssl/libLD_PRELOAD=/usr/local/openssl/lib/libcrypto.soexport

22、LD_LIBRARY_PATHLD_PRELOAD/usr/local/radius/sbin/radiusd$4.xsupplicantxsupplicant需要使用2002年3月1日以后最新的cvs版本，可以從如下地址下載：/xsupplicant-cvs-current.tar.gzxsupplicant必須使用穩(wěn)定版的OpenSSL，系統(tǒng)一般都使用穩(wěn)定版，目錄在/usr/local/ssl。安裝xsupplicant：mkdir-p/usr/src/802/xsupcd/usr/src/802/xsupwget/xsupplicant-cvs-current.tar.gztarzxvfxsupplicant-cvs-current.tar.gzcdxsupplicant-cvs-current./config安裝xsupplicant：mkdir-p/usr/src/802/xsupcd/usr/src/802/xsupwget/xsupplicant-cvs-current.tar.gztarzxvfxsupplicant-cvs-current.tar.gzcdxsupplicant-cvs-current./configuremakemak