一、組網(wǎng)拓?fù)?/strong>
二、組網(wǎng)說明
見拓?fù)鋱D,由Windows server2016服務(wù)器運行Vmware的ESXI服務(wù)器,在ESXI服務(wù)器里面運行Extreme的VX9K虛擬機(jī)服務(wù)器和微軟的Windows Server2016服務(wù)器,并在Windows Server2016服務(wù)器添加DNS,AD和NPS角色。由Extreme的AP7622型號AP作為RADIUS客戶端,Windows Server2016 作為RADIUS服務(wù)器。Windows Server2016服務(wù)器通過在VM ESXI服務(wù)器創(chuàng)建的自定義名稱“ VM Network“網(wǎng)絡(luò)橋接到真實的Shuttle物理服務(wù)器GE*1物理端口。
IP地址規(guī)劃表:
附:Shuttle物理服務(wù)器后面板照
三、實驗?zāi)康?/strong>
通過Extreme的AP7622型號AP實現(xiàn)基于AD域的802.1x的帳號認(rèn)證,無線終端用戶
能關(guān)聯(lián)SSID=ap-802x,從本地的路由器上通過DHCP方式動態(tài)獲取IP地址。
四、配置操作
(1)配置VX9K的AC服務(wù)器
第一步:在VX9K上配置AAA策略
vx9000-01D4D1#self
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config-device-00-50-56-01-D4-D1)#aaa-policy 802x
vx9000-01D4D1(config-aaa-policy-802x)#authentication server 1 host 192.168.10.199 secret 0 apac66
vx9000-01D4D1(config-aaa-policy-802x)#commit write
[OK]
vx9000-01D4D1(config-aaa-policy-802x)#show context
aaa-policy 802x
authentication server 1 host 192.168.10.199 secret 0 apac66
vx9000-01D4D1(config-aaa-policy-802x)#
如上,指定了外部RADIUS認(rèn)證服務(wù)器為192.168.10.199,認(rèn)證密鑰為 apac66,默認(rèn)的RADIUS認(rèn)證端口為1812。
第二步:配置國家碼
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#rf-domain default
vx9000-01D4D1(config-rf-domain-default)#country-code cn
vx9000-01D4D1(config-rf-domain-default)#commit write
[OK]
vx9000-01D4D1(config-rf-domain-default)#show context
rf-domain default
country-code cn
vx9000-01D4D1(config-rf-domain-default)#
第三步:配置WLAN和SSID關(guān)聯(lián)綁定AAA策略
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#wlan ap-802x
vx9000-01D4D1(config-wlan-ap-802x)# ssid ap-802x
vx9000-01D4D1(config-wlan-ap-802x)# vlan 1
vx9000-01D4D1(config-wlan-ap-802x)# bridging-mode local
vx9000-01D4D1(config-wlan-ap-802x)# encryption-type ccmp
vx9000-01D4D1(config-wlan-ap-802x)# authentication-type eap
vx9000-01D4D1(config-wlan-ap-802x)# wireless-client reauthentication 30
vx9000-01D4D1(config-wlan-ap-802x)# use aaa-policy 802x
vx9000-01D4D1(config-wlan-ap-802x)#commit write
[OK]
vx9000-01D4D1(config-wlan-ap-802x)#show context
wlan ap-802x
ssid ap-802x
vlan 1
bridging-mode local
encryption-type ccmp
authentication-type eap
wireless-client reauthentication 30
use aaa-policy 802x
vx9000-01D4D1(config-wlan-ap-802x)#
如上,配置的SSID=ap-802x,其加密方式為CCMP,認(rèn)證類型為EAP方式,SSID關(guān)聯(lián)應(yīng)用AAA策略的配置啟用802.1x 認(rèn)證。
第四步:配置RADIUS認(rèn)證組,綁定業(yè)務(wù)VLAN和業(yè)務(wù)SSID。
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#radius-group 802x
vx9000-01D4D1(config-radius-group-802x)# policy vlan 1
vx9000-01D4D1(config-radius-group-802x)# policy ssid ap-802x
vx9000-01D4D1(config-radius-group-802x)#commit write
[OK]
vx9000-01D4D1(config-radius-group-802x)#show context
radius-group 802x
policy vlan 1
policy ssid ap-802x
vx9000-01D4D1(config-radius-group-802x)#
第五步:配置RADIUS服務(wù)器認(rèn)證策略,綁定RADIUS認(rèn)證組,如下所示
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#radius-server-policy 802x
vx9000-01D4D1(config-radius-server-policy-802x)# use radius-group 802x
vx9000-01D4D1(config-radius-server-policy-802x)# commit write t write
[OK]
vx9000-01D4D1(config-radius-server-policy-802x)#show context
radius-server-policy 802x
use radius-group 802x
vx9000-01D4D1(config-radius-server-policy-802x)#
第六步:配置基于AP7622的Profile,在該Profile上綁定RADIO射頻和綁定RADIUS服務(wù)器認(rèn)證策略
a.綁定到RADIO射頻模塊radio1,即2.4GHz
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#profile ap7622 default-ap7622
vx9000-01D4D1(config-profile-default-ap7622)#interface radio 1
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#rf-mode 2.4GHz-wlan
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#wlan ap-802x
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#channel 11
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#commit write
[OK]
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#show context
interface radio1
channel 11
wlan ap-802x bss 2 primary
antenna-mode 2x2
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#
b.綁定RADIUS服務(wù)器認(rèn)證策略
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#profile ap7622 default-ap7622
vx9000-01D4D1(config-profile-default-ap7622)# use radius-server-policy 802x
vx9000-01D4D1(config-profile-default-ap7622)# commit write
[OK]
vx9000-01D4D1(config-profile-default-ap7622)# show context
profile ap7622 default-ap7622
autoinstall configuration
autoinstall firmware
use radius-server-policy 802x
(2)配置Windows Server2016服務(wù)器的AD活動目錄,添加認(rèn)證用戶
a.添加AD域和NPS網(wǎng)絡(luò)策略角色服務(wù),如下所示
b.選擇“工具"->“Active Directory用戶和計算機(jī)”,如下所示
c.在AD活動目錄添加域用戶
如上,添加的兩個域用戶為user1和user2。用戶屬性如下所示,以user1為例:
默認(rèn)的撥入網(wǎng)絡(luò)屬性,如下所示:
如上,使用默認(rèn)的“通過NPS網(wǎng)絡(luò)策略訪問”或選擇“允許訪問”。如果選擇“拒絕訪問”則帳號將
撥入失敗!
(3)配置RADIUS服務(wù)器,注冊AP的IP地址為RADIUS客戶端
對于Windows Server2016服務(wù)器而言,其使用NPS(網(wǎng)絡(luò)策略服務(wù)器)進(jìn)行配置RADIUS客戶端,如下所示:
a.在AD活動目錄注冊服務(wù)器,注冊成功后會變成灰色。如下所示:
b.選中“工具”->“網(wǎng)絡(luò)策略服務(wù)器”,如下所示:
右鍵選中“RADIUS客戶端”->“新建”,如下所示:
配置注冊本實驗中的AP7622型號的這個AP作為RADIUS客戶端,如下所示:
配置AP作為RADIUS客戶端成功,如下所示:
c.配置“網(wǎng)絡(luò)策略”,默認(rèn)網(wǎng)絡(luò)策略為“拒絕訪問”的。
我們需要創(chuàng)建一個網(wǎng)絡(luò)策略,允許授權(quán)訪問網(wǎng)絡(luò)。右鍵選中“網(wǎng)絡(luò)策略”->“新建”:如下所示:
配置網(wǎng)絡(luò)策略名稱為“kraven-toosai-ap-802.1x”,如下所示:
選擇添加NAS端口類型,如下所示:
“NAS端口類型”設(shè)置為“無線-IEEE 802.11”。如下所示:
點擊“下一步”,再選擇默認(rèn)的“已授予訪問權(quán)限”。如下所示:
會彈出如下的EAP類型選擇對話框,如下所示:
選擇EAP類型為“Microsoft: 受保護(hù)的EAP(PEAP)方式。如下所示:
上述網(wǎng)絡(luò)策略配置完成后如下所示:
如上,將新建的網(wǎng)絡(luò)授予訪問權(quán)限的“kraven-toosai-ap-802.1x”的網(wǎng)絡(luò)策略順序通過上移菜單移動到1位置。
五、業(yè)務(wù)測試
無線用戶終端關(guān)聯(lián)SSID=ap-802x ,輸入用戶名和密碼。如下所示:
通過802.1x帳號認(rèn)證成功后,無線用戶終端成功關(guān)聯(lián)上SSID=ap-802x
查看用戶關(guān)聯(lián)上SSID=ap-802x的獲取的地址屬性信息,如下所示:
同時,從Windows Server2016服務(wù)器抓取RADIUS報文交互過程,會發(fā)現(xiàn)有Access-Accept,表示RADIUS認(rèn)證成功。如下所示:
WiFi是黑客可進(jìn)入企業(yè)網(wǎng)絡(luò)的入口點,而不需要踏足企業(yè)建筑物內(nèi),畢竟無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更加開放,這也意味著我們必須確保WiFi安全性。但WiFi的安全性并不只是涉及設(shè)置密碼,下面讓我們看看更好地保護(hù)WiFi網(wǎng)絡(luò)的5種方法,讓黑客無路可走:
使用不顯眼的網(wǎng)絡(luò)名稱(SSID)
SSID是最基本的WiFi網(wǎng)絡(luò)設(shè)置之一。雖然表面看網(wǎng)絡(luò)名稱似乎與安全無關(guān),但它確實有影響。如果使用太常見的SSID,例如“無線”或者供應(yīng)商的默認(rèn)名稱,這會使攻擊者更容易破解個人模式的WPA或WPA2安全。這是因為加密算法包含SSID,攻擊者使用的密碼破解詞典預(yù)先加載了常見和默認(rèn)的SSID,因此使用這種SSDI只會讓黑客的工作變得更容易。(稍后我們將會討論,此漏洞并不適用于企業(yè)模式的WPA或WPA2安全,這是使用企業(yè)模式的眾多好處之一)
▲CloudTrax
聰明地命名你的網(wǎng)絡(luò)--應(yīng)該是通用但不太常見的名稱,并且不會透露位置。
盡管將SSID命名為容易識別的信息很有意義,例如公司名稱、地址或套件號碼,但這可能不是一個好主意,特別是當(dāng)網(wǎng)絡(luò)位于共享建筑物或者靠近其他建筑物或網(wǎng)絡(luò)時。如果黑客路過擁擠的區(qū)域,看到十幾個不同的WiFi網(wǎng)絡(luò),他們可能會將目標(biāo)定位最容易識別的WiFi,這可幫助他們了從中獲得什么。
你也可以關(guān)閉SSID廣播,使你的網(wǎng)絡(luò)名稱不可見,但并不建議這樣做。如果這樣做的話,用戶必須手動輸入SSID,這可能會引發(fā)用戶的負(fù)面情緒,這超過其帶來的安全優(yōu)勢。并且,攻擊者通過正確的工具仍然可通過嗅探其他網(wǎng)絡(luò)流量來捕獲SSID。
物理安全防止篡改
無線安全并不完全是關(guān)于花哨的技術(shù)和協(xié)議。你可能部署了最好的加密,仍然容易受到攻擊。物理安全就是這種漏洞之一,鎖好配線柜的門可能并不夠。
大多數(shù)接入點(AP)都有重置按鈕,別人可通過按它來恢復(fù)出廠默認(rèn)設(shè)置、刪除WiFi安全,并允許任何人連接。因此你必須確保分布在各地AP的物理安全以防止篡改。請確保它們安裝在無法觸及的位置,并要求AP供應(yīng)商提供的鎖定機(jī)制來防止黑客對AP按鈕和端口的訪問。
▲Cisco接入點重置按鈕示例
與WiFI相關(guān)的另一個物理安全問題是有人添加未經(jīng)授權(quán)AP到網(wǎng)絡(luò),通常被稱為“流氓AP”。這可很容易實現(xiàn),例如當(dāng)員工想要更多WiFi覆蓋范圍時。為了幫助阻止這些類型的流氓AP,請確保禁用任何未使用的以太網(wǎng)端口(例如墻壁端口或松散的以太網(wǎng)運行)。你可物理移除端口或線纜,或者禁用路由器或交換機(jī)插座或線纜的連接。如果你真的想要加強(qiáng)安全性,啟用有線端的802.1X身份驗證--如果你的路由器或交換機(jī)支持的話,這樣任何插入到以太網(wǎng)端口的設(shè)備都需要輸入登錄憑證才能獲得網(wǎng)絡(luò)訪問權(quán)限。
使用802.1X身份驗證的企業(yè)WPA2
你可部署的最有效的WiFi安全機(jī)制之一是部署企業(yè)模式的WiFi安全,因為它可分別驗證每個用戶:每個人都有自己的WiFi用戶名和密碼。因此,當(dāng)筆記本電腦或移動設(shè)備丟失或被盜時,或者員工離開公司時,你所要做的是更改或撤銷該用戶的登錄。(相比之下,在個人模式下,所有用戶共享相同的WiFi密碼,當(dāng)設(shè)備丟失或者員工離職時,你必須更改每臺設(shè)備的密碼,這是一個巨大的麻煩)
▲Microsoft
對于企業(yè)模式WiFI安全,用戶需要輸入獨特的用戶名和密碼來連接。
企業(yè)模式的另一大優(yōu)點是每個用戶都分配有自己的加密密鑰,這意味著用戶只能解密自己連接的數(shù)據(jù)流量--無法監(jiān)聽任何其他人的無線流量。
如果你想要你的AP變成企業(yè)模式,你首先需要設(shè)置RADIUS服務(wù)器。這可啟用用戶身份驗證,并連接到或包含數(shù)據(jù)庫或目錄(例如Active Directory)--其中包含所有用戶的用戶名和密碼。
盡管你可部署獨立的RADIUS服務(wù)器,但你首先應(yīng)該檢查其他已經(jīng)提供該功能的服務(wù)器(例如Windows Server)。如果沒有的話,請考慮基于云或者托管RADIUS服務(wù)。還要記住的是,有些無線接入點或控制器提供基本的內(nèi)置RADIUS服務(wù)器,但其性能限制和有限的功能使其僅對較小的網(wǎng)絡(luò)有用。
▲CloudTrax 如何通過RADIUS服務(wù)器的IP、端口和密碼配置AP的示例。
保護(hù)802.1X客戶端設(shè)置
與其他安全技術(shù)一樣,企業(yè)模式的WiFi安全也存在一些漏洞。其中一個是中間人攻擊,攻擊者坐在機(jī)場或咖啡廳,甚至坐在公司辦公室的停車場。攻擊者可通過制造假冒的WiFi網(wǎng)絡(luò),使用與其試圖攻擊的網(wǎng)絡(luò)相同或者相似的SSID;當(dāng)你的筆記本或設(shè)備嘗試連接時,虛假的RADIUS服務(wù)器會捕獲你的登錄憑證。然后攻擊者可利用你的登錄憑證連接到真正的WiFi網(wǎng)絡(luò)。
為了阻止這種中間人攻擊,其中一種方法是利用客戶端的服務(wù)器驗證。當(dāng)無線客戶端啟用服務(wù)器驗證時,客戶端不會將你的WiFi登錄憑證傳遞到RADIUS服務(wù)器,除非其驗證其在于合法服務(wù)器通信。當(dāng)然,你對客戶端可執(zhí)行的服務(wù)器驗證功能和要求取決于客戶端的設(shè)備或操作系統(tǒng)。
例如在Windows中,你可輸入合法服務(wù)器的域名,選擇發(fā)布該服務(wù)器證書的證書頒發(fā)機(jī)構(gòu),然后選擇不允許任何新的服務(wù)器或證書頒發(fā)機(jī)構(gòu)。當(dāng)有人設(shè)置假的WiFi網(wǎng)絡(luò)和RADIUS服務(wù)器,并嘗試登錄時,Windows將會阻止連接。
▲Microsoft
當(dāng)配置WiFi連接的EAP設(shè)置時,你會在Windows中看到802.1X服務(wù)器驗證功能。
利用流氓AP檢測或無線入侵防護(hù)
我們已經(jīng)談?wù)摿巳N易受攻擊接入點情況:攻擊者設(shè)置假的WiFi網(wǎng)絡(luò)和RADIUS服務(wù)器;攻擊者可重置AP到出廠默認(rèn)設(shè)置;第三種情況是攻擊者可能會插入自己的AP。
如果沒有部署適當(dāng)?shù)谋Wo(hù),這些未經(jīng)授權(quán)AP可能會在長時間內(nèi)不被IT人員檢測。因此,你應(yīng)該啟用AP或無線控制器供應(yīng)商提供的任何類型的流氓檢測。確切的檢測方法和功能會有所不同,但大多數(shù)檢測至少可定期掃描無線電波,并在授權(quán)AP范圍內(nèi)檢測到新AP時向你發(fā)送警報。
▲Cisco簡單流氓AP檢測示例,你可看到該區(qū)域其他AP列表。
對于更多檢測功能,有些AP供應(yīng)商提供完整無線入侵檢測系統(tǒng)(WIDS)或入侵保護(hù)系統(tǒng)(WIPS),可檢測各種無線攻擊以及可疑活動。這些包括錯誤的取消身份驗證請求、錯誤關(guān)聯(lián)請求和MAC地址欺騙。
此外,如果它是真正提供保護(hù)的WIPS而不是僅提供檢測功能的WIDS,它應(yīng)該可采取自動措施,例如解除或阻止可疑無線客戶端來保護(hù)受到攻擊的網(wǎng)絡(luò)。
如果你的AP供應(yīng)商不提供內(nèi)置流氓AP檢測或WIPS功能,則考慮使用第三方解決方案。你可能會看到可監(jiān)控WiFi性能及安全問題的基于傳感器的解決方案,例如7SIGNAL、Cape Networks和NetBeez等公司的產(chǎn)品。