802.1x 認證 + 無線 AP ( Access Point ) + Free…

2009-05-13 13:08:26来源:未知 阅读 ()

新老客户大回馈,云服务器低至5折

Description:
        目前市面上有支援 802.1x 認證的無線網路 AP 動則上萬元,小弟因為於這學期修了網路安全的課所以研究了無線網路快速換手認證 ( Fast Hand off  Authentication ) 在這同時也於 FreeBSD 上將 802.1x + FreeRadius Server 環境架設起來,FreeRadius 上有支援的 802.1x  EAP ( Extensible  Authentication Protocol ) 標準協定包括了 EAP-MD5、EAP-LEAP、EAP-TLS、EAP-TTLS、EAP-PEAP 等多種我們常看見的認證協定。
        EAP-MD5 為最基本的認證協定,但使用上缺乏 ( Mutual Authentication ) 相互認證,安全上為 EAP 中最弱的因此於 EAP 中已經少被使用,LEAP 是 Cisco 大廠所推的標準,只要是 Cisco 設備都會支援,無需使用憑證即可做相互認證 ( Mutual Authentication ),EAP-TLS 為最安全的 EAP 協定不過最安全未必是最實用的,因為最安全所要花費的經費最高,需要建置 PKI 有效憑證管理每一個 Server 及 Client 維護成本極高,目前比較讓業界接受的即為 EAP-TTLS 跟 PEAP 兩者都有支援雙相驗證同時也只需要具備 Radius Server 的憑證即可達到安全的資料加密傳送驗證。  

EAP-MD5
LEAP
EAP-TLS
EAP-TTLS
PEAP
Server Authentication
None
Password Hash
Public Key (Certificate)
Public Key (Certificate)
Public Key (Certificate)
Supplicant Authentication
Password Hash
Password Hash
Public Key (Certificate or Smart Card)
CHAP, PAP, MS-CHAP(v2), EAP
Any EAP, like EAP-MS-CHAPv2 or Public Key
Authentication Attributes
One -Way Authentication
Mutual Authentication
Mutual Authentication
Mutual Authentication
Mutual Authentication
Dynamic Key Delivery
No
Yes
Yes
Yes
Yes
Deployment Difficulty
Easy
Moderrate
Hard
Moderrate
Moderrate
Security Risks
Identity exposed, Dictionary attack, Man-in-the-Middle (MitM) attack, Session hijacking
Identity exposed, Dictionary attack
Identity exposed
MitM attack
MitM attack; Identity hidden in Phase 2 but potential exposure in Phase 1
Fig 1. 各式 EAP ( Extensible Authentication Protocol ) 加密協定差異比較表
       本次的測試以 EAP-TTLS 為實驗方向,我的 Client 是 Windows XP 使用的無線網卡也有支援 802.1x 恰好也支援 EAP-TTLS,AP 部份使用 d-link PCI 介面的網卡 ( 愛用國貨 ),型號為 DWL-G520 晶片是 Atheros 的,因為是 FreeBSD 有支援 Atheros 的 AR5212 chips,Radius Server 使用 FreeRadius 這套 OpenSource 軟體獨立架設在另一台 FreeBSD 上。
Environment :
            硬體:i386 PC x2 Intel P3 500
            記憶體:各 256M RAM
            網卡:FreeBSD-AP 2 片網卡 ( 一片一般 100M 網卡 + 一片 D-Link DWL-G520 54G無線網卡 ) 、FreeBSD-Radius 一片網卡 100M
            作業系統:FreeBSD 6.0 Release
            FreeBSD-AP: Wireless LAN  IP:10.66.66.254   General  WAN  IP:88.88.88.77

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:m0n0wall Captive Portal : Https login + Local Auth

下一篇:FreeBSD + PF + Shell Scritp + Load Sharing + Redun