一、組網(wǎng)拓?fù)?/strong>
二、組網(wǎng)說明
見拓?fù)鋱D,由Windows server2016服務(wù)器運(yùn)行Vmware的ESXI服務(wù)器,在ESXI服務(wù)器里面運(yùn)行Extreme的VX9K虛擬機(jī)服務(wù)器和微軟的Windows Server2016服務(wù)器,并在Windows Server2016服務(wù)器添加DNS,AD和NPS角色。由Extreme的AP7622型號(hào)AP作為RADIUS客戶端,Windows Server2016 作為RADIUS服務(wù)器。Windows Server2016服務(wù)器通過在VM ESXI服務(wù)器創(chuàng)建的自定義名稱“ VM Network“網(wǎng)絡(luò)橋接到真實(shí)的Shuttle物理服務(wù)器GE*1物理端口。
IP地址規(guī)劃表:
附:Shuttle物理服務(wù)器后面板照
三、實(shí)驗(yàn)?zāi)康?/strong>
通過Extreme的AP7622型號(hào)AP實(shí)現(xiàn)基于AD域的802.1x的帳號(hào)認(rèn)證,無線終端用戶
能關(guān)聯(lián)SSID=ap-802x,從本地的路由器上通過DHCP方式動(dòng)態(tài)獲取IP地址。
四、配置操作
(1)配置VX9K的AC服務(wù)器
第一步:在VX9K上配置AAA策略
vx9000-01D4D1#self
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config-device-00-50-56-01-D4-D1)#aaa-policy 802x
vx9000-01D4D1(config-aaa-policy-802x)#authentication server 1 host 192.168.10.199 secret 0 apac66
vx9000-01D4D1(config-aaa-policy-802x)#commit write
[OK]
vx9000-01D4D1(config-aaa-policy-802x)#show context
aaa-policy 802x
authentication server 1 host 192.168.10.199 secret 0 apac66
vx9000-01D4D1(config-aaa-policy-802x)#
如上,指定了外部RADIUS認(rèn)證服務(wù)器為192.168.10.199,認(rèn)證密鑰為 apac66,默認(rèn)的RADIUS認(rèn)證端口為1812。
第二步:配置國(guó)家碼
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#rf-domain default
vx9000-01D4D1(config-rf-domain-default)#country-code cn
vx9000-01D4D1(config-rf-domain-default)#commit write
[OK]
vx9000-01D4D1(config-rf-domain-default)#show context
rf-domain default
country-code cn
vx9000-01D4D1(config-rf-domain-default)#
第三步:配置WLAN和SSID關(guān)聯(lián)綁定AAA策略
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#wlan ap-802x
vx9000-01D4D1(config-wlan-ap-802x)# ssid ap-802x
vx9000-01D4D1(config-wlan-ap-802x)# vlan 1
vx9000-01D4D1(config-wlan-ap-802x)# bridging-mode local
vx9000-01D4D1(config-wlan-ap-802x)# encryption-type ccmp
vx9000-01D4D1(config-wlan-ap-802x)# authentication-type eap
vx9000-01D4D1(config-wlan-ap-802x)# wireless-client reauthentication 30
vx9000-01D4D1(config-wlan-ap-802x)# use aaa-policy 802x
vx9000-01D4D1(config-wlan-ap-802x)#commit write
[OK]
vx9000-01D4D1(config-wlan-ap-802x)#show context
wlan ap-802x
ssid ap-802x
vlan 1
bridging-mode local
encryption-type ccmp
authentication-type eap
wireless-client reauthentication 30
use aaa-policy 802x
vx9000-01D4D1(config-wlan-ap-802x)#
如上,配置的SSID=ap-802x,其加密方式為CCMP,認(rèn)證類型為EAP方式,SSID關(guān)聯(lián)應(yīng)用AAA策略的配置啟用802.1x 認(rèn)證。
第四步:配置RADIUS認(rèn)證組,綁定業(yè)務(wù)VLAN和業(yè)務(wù)SSID。
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#radius-group 802x
vx9000-01D4D1(config-radius-group-802x)# policy vlan 1
vx9000-01D4D1(config-radius-group-802x)# policy ssid ap-802x
vx9000-01D4D1(config-radius-group-802x)#commit write
[OK]
vx9000-01D4D1(config-radius-group-802x)#show context
radius-group 802x
policy vlan 1
policy ssid ap-802x
vx9000-01D4D1(config-radius-group-802x)#
第五步:配置RADIUS服務(wù)器認(rèn)證策略,綁定RADIUS認(rèn)證組,如下所示
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#radius-server-policy 802x
vx9000-01D4D1(config-radius-server-policy-802x)# use radius-group 802x
vx9000-01D4D1(config-radius-server-policy-802x)# commit write t write
[OK]
vx9000-01D4D1(config-radius-server-policy-802x)#show context
radius-server-policy 802x
use radius-group 802x
vx9000-01D4D1(config-radius-server-policy-802x)#
第六步:配置基于AP7622的Profile,在該P(yáng)rofile上綁定RADIO射頻和綁定RADIUS服務(wù)器認(rèn)證策略
a.綁定到RADIO射頻模塊radio1,即2.4GHz
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#profile ap7622 default-ap7622
vx9000-01D4D1(config-profile-default-ap7622)#interface radio 1
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#rf-mode 2.4GHz-wlan
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#wlan ap-802x
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#channel 11
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#commit write
[OK]
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#show context
interface radio1
channel 11
wlan ap-802x bss 2 primary
antenna-mode 2x2
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#
b.綁定RADIUS服務(wù)器認(rèn)證策略
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#profile ap7622 default-ap7622
vx9000-01D4D1(config-profile-default-ap7622)# use radius-server-policy 802x
vx9000-01D4D1(config-profile-default-ap7622)# commit write
[OK]
vx9000-01D4D1(config-profile-default-ap7622)# show context
profile ap7622 default-ap7622
autoinstall configuration
autoinstall firmware
use radius-server-policy 802x
(2)配置Windows Server2016服務(wù)器的AD活動(dòng)目錄,添加認(rèn)證用戶
a.添加AD域和NPS網(wǎng)絡(luò)策略角色服務(wù),如下所示
b.選擇“工具"->“Active Directory用戶和計(jì)算機(jī)”,如下所示
c.在AD活動(dòng)目錄添加域用戶
如上,添加的兩個(gè)域用戶為user1和user2。用戶屬性如下所示,以u(píng)ser1為例:
默認(rèn)的撥入網(wǎng)絡(luò)屬性,如下所示:
如上,使用默認(rèn)的“通過NPS網(wǎng)絡(luò)策略訪問”或選擇“允許訪問”。如果選擇“拒絕訪問”則帳號(hào)將
撥入失敗!
(3)配置RADIUS服務(wù)器,注冊(cè)AP的IP地址為RADIUS客戶端
對(duì)于Windows Server2016服務(wù)器而言,其使用NPS(網(wǎng)絡(luò)策略服務(wù)器)進(jìn)行配置RADIUS客戶端,如下所示:
a.在AD活動(dòng)目錄注冊(cè)服務(wù)器,注冊(cè)成功后會(huì)變成灰色。如下所示:
b.選中“工具”->“網(wǎng)絡(luò)策略服務(wù)器”,如下所示:
右鍵選中“RADIUS客戶端”->“新建”,如下所示:
配置注冊(cè)本實(shí)驗(yàn)中的AP7622型號(hào)的這個(gè)AP作為RADIUS客戶端,如下所示:
配置AP作為RADIUS客戶端成功,如下所示:
c.配置“網(wǎng)絡(luò)策略”,默認(rèn)網(wǎng)絡(luò)策略為“拒絕訪問”的。
我們需要?jiǎng)?chuàng)建一個(gè)網(wǎng)絡(luò)策略,允許授權(quán)訪問網(wǎng)絡(luò)。右鍵選中“網(wǎng)絡(luò)策略”->“新建”:如下所示:
配置網(wǎng)絡(luò)策略名稱為“kraven-toosai-ap-802.1x”,如下所示:
選擇添加NAS端口類型,如下所示:
“NAS端口類型”設(shè)置為“無線-IEEE 802.11”。如下所示:
點(diǎn)擊“下一步”,再選擇默認(rèn)的“已授予訪問權(quán)限”。如下所示:
會(huì)彈出如下的EAP類型選擇對(duì)話框,如下所示:
選擇EAP類型為“Microsoft: 受保護(hù)的EAP(PEAP)方式。如下所示:
上述網(wǎng)絡(luò)策略配置完成后如下所示:
如上,將新建的網(wǎng)絡(luò)授予訪問權(quán)限的“kraven-toosai-ap-802.1x”的網(wǎng)絡(luò)策略順序通過上移菜單移動(dòng)到1位置。
五、業(yè)務(wù)測(cè)試
無線用戶終端關(guān)聯(lián)SSID=ap-802x ,輸入用戶名和密碼。如下所示:
通過802.1x帳號(hào)認(rèn)證成功后,無線用戶終端成功關(guān)聯(lián)上SSID=ap-802x
查看用戶關(guān)聯(lián)上SSID=ap-802x的獲取的地址屬性信息,如下所示:
同時(shí),從Windows Server2016服務(wù)器抓取RADIUS報(bào)文交互過程,會(huì)發(fā)現(xiàn)有Access-Accept,表示RADIUS認(rèn)證成功。如下所示:
WiFi是黑客可進(jìn)入企業(yè)網(wǎng)絡(luò)的入口點(diǎn),而不需要踏足企業(yè)建筑物內(nèi),畢竟無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更加開放,這也意味著我們必須確保WiFi安全性。但WiFi的安全性并不只是涉及設(shè)置密碼,下面讓我們看看更好地保護(hù)WiFi網(wǎng)絡(luò)的5種方法,讓黑客無路可走:
使用不顯眼的網(wǎng)絡(luò)名稱(SSID)
SSID是最基本的WiFi網(wǎng)絡(luò)設(shè)置之一。雖然表面看網(wǎng)絡(luò)名稱似乎與安全無關(guān),但它確實(shí)有影響。如果使用太常見的SSID,例如“無線”或者供應(yīng)商的默認(rèn)名稱,這會(huì)使攻擊者更容易破解個(gè)人模式的WPA或WPA2安全。這是因?yàn)榧用芩惴ò琒SID,攻擊者使用的密碼破解詞典預(yù)先加載了常見和默認(rèn)的SSID,因此使用這種SSDI只會(huì)讓黑客的工作變得更容易。(稍后我們將會(huì)討論,此漏洞并不適用于企業(yè)模式的WPA或WPA2安全,這是使用企業(yè)模式的眾多好處之一)
▲CloudTrax
聰明地命名你的網(wǎng)絡(luò)--應(yīng)該是通用但不太常見的名稱,并且不會(huì)透露位置。
盡管將SSID命名為容易識(shí)別的信息很有意義,例如公司名稱、地址或套件號(hào)碼,但這可能不是一個(gè)好主意,特別是當(dāng)網(wǎng)絡(luò)位于共享建筑物或者靠近其他建筑物或網(wǎng)絡(luò)時(shí)。如果黑客路過擁擠的區(qū)域,看到十幾個(gè)不同的WiFi網(wǎng)絡(luò),他們可能會(huì)將目標(biāo)定位最容易識(shí)別的WiFi,這可幫助他們了從中獲得什么。
你也可以關(guān)閉SSID廣播,使你的網(wǎng)絡(luò)名稱不可見,但并不建議這樣做。如果這樣做的話,用戶必須手動(dòng)輸入SSID,這可能會(huì)引發(fā)用戶的負(fù)面情緒,這超過其帶來的安全優(yōu)勢(shì)。并且,攻擊者通過正確的工具仍然可通過嗅探其他網(wǎng)絡(luò)流量來捕獲SSID。
物理安全防止篡改
無線安全并不完全是關(guān)于花哨的技術(shù)和協(xié)議。你可能部署了最好的加密,仍然容易受到攻擊。物理安全就是這種漏洞之一,鎖好配線柜的門可能并不夠。
大多數(shù)接入點(diǎn)(AP)都有重置按鈕,別人可通過按它來恢復(fù)出廠默認(rèn)設(shè)置、刪除WiFi安全,并允許任何人連接。因此你必須確保分布在各地AP的物理安全以防止篡改。請(qǐng)確保它們安裝在無法觸及的位置,并要求AP供應(yīng)商提供的鎖定機(jī)制來防止黑客對(duì)AP按鈕和端口的訪問。
▲Cisco接入點(diǎn)重置按鈕示例
與WiFI相關(guān)的另一個(gè)物理安全問題是有人添加未經(jīng)授權(quán)AP到網(wǎng)絡(luò),通常被稱為“流氓AP”。這可很容易實(shí)現(xiàn),例如當(dāng)員工想要更多WiFi覆蓋范圍時(shí)。為了幫助阻止這些類型的流氓AP,請(qǐng)確保禁用任何未使用的以太網(wǎng)端口(例如墻壁端口或松散的以太網(wǎng)運(yùn)行)。你可物理移除端口或線纜,或者禁用路由器或交換機(jī)插座或線纜的連接。如果你真的想要加強(qiáng)安全性,啟用有線端的802.1X身份驗(yàn)證--如果你的路由器或交換機(jī)支持的話,這樣任何插入到以太網(wǎng)端口的設(shè)備都需要輸入登錄憑證才能獲得網(wǎng)絡(luò)訪問權(quán)限。
使用802.1X身份驗(yàn)證的企業(yè)WPA2
你可部署的最有效的WiFi安全機(jī)制之一是部署企業(yè)模式的WiFi安全,因?yàn)樗煞謩e驗(yàn)證每個(gè)用戶:每個(gè)人都有自己的WiFi用戶名和密碼。因此,當(dāng)筆記本電腦或移動(dòng)設(shè)備丟失或被盜時(shí),或者員工離開公司時(shí),你所要做的是更改或撤銷該用戶的登錄。(相比之下,在個(gè)人模式下,所有用戶共享相同的WiFi密碼,當(dāng)設(shè)備丟失或者員工離職時(shí),你必須更改每臺(tái)設(shè)備的密碼,這是一個(gè)巨大的麻煩)
▲Microsoft
對(duì)于企業(yè)模式WiFI安全,用戶需要輸入獨(dú)特的用戶名和密碼來連接。
企業(yè)模式的另一大優(yōu)點(diǎn)是每個(gè)用戶都分配有自己的加密密鑰,這意味著用戶只能解密自己連接的數(shù)據(jù)流量--無法監(jiān)聽任何其他人的無線流量。
如果你想要你的AP變成企業(yè)模式,你首先需要設(shè)置RADIUS服務(wù)器。這可啟用用戶身份驗(yàn)證,并連接到或包含數(shù)據(jù)庫(kù)或目錄(例如Active Directory)--其中包含所有用戶的用戶名和密碼。
盡管你可部署獨(dú)立的RADIUS服務(wù)器,但你首先應(yīng)該檢查其他已經(jīng)提供該功能的服務(wù)器(例如Windows Server)。如果沒有的話,請(qǐng)考慮基于云或者托管RADIUS服務(wù)。還要記住的是,有些無線接入點(diǎn)或控制器提供基本的內(nèi)置RADIUS服務(wù)器,但其性能限制和有限的功能使其僅對(duì)較小的網(wǎng)絡(luò)有用。
▲CloudTrax 如何通過RADIUS服務(wù)器的IP、端口和密碼配置AP的示例。
保護(hù)802.1X客戶端設(shè)置
與其他安全技術(shù)一樣,企業(yè)模式的WiFi安全也存在一些漏洞。其中一個(gè)是中間人攻擊,攻擊者坐在機(jī)場(chǎng)或咖啡廳,甚至坐在公司辦公室的停車場(chǎng)。攻擊者可通過制造假冒的WiFi網(wǎng)絡(luò),使用與其試圖攻擊的網(wǎng)絡(luò)相同或者相似的SSID;當(dāng)你的筆記本或設(shè)備嘗試連接時(shí),虛假的RADIUS服務(wù)器會(huì)捕獲你的登錄憑證。然后攻擊者可利用你的登錄憑證連接到真正的WiFi網(wǎng)絡(luò)。
為了阻止這種中間人攻擊,其中一種方法是利用客戶端的服務(wù)器驗(yàn)證。當(dāng)無線客戶端啟用服務(wù)器驗(yàn)證時(shí),客戶端不會(huì)將你的WiFi登錄憑證傳遞到RADIUS服務(wù)器,除非其驗(yàn)證其在于合法服務(wù)器通信。當(dāng)然,你對(duì)客戶端可執(zhí)行的服務(wù)器驗(yàn)證功能和要求取決于客戶端的設(shè)備或操作系統(tǒng)。
例如在Windows中,你可輸入合法服務(wù)器的域名,選擇發(fā)布該服務(wù)器證書的證書頒發(fā)機(jī)構(gòu),然后選擇不允許任何新的服務(wù)器或證書頒發(fā)機(jī)構(gòu)。當(dāng)有人設(shè)置假的WiFi網(wǎng)絡(luò)和RADIUS服務(wù)器,并嘗試登錄時(shí),Windows將會(huì)阻止連接。
▲Microsoft
當(dāng)配置WiFi連接的EAP設(shè)置時(shí),你會(huì)在Windows中看到802.1X服務(wù)器驗(yàn)證功能。
利用流氓AP檢測(cè)或無線入侵防護(hù)
我們已經(jīng)談?wù)摿巳N易受攻擊接入點(diǎn)情況:攻擊者設(shè)置假的WiFi網(wǎng)絡(luò)和RADIUS服務(wù)器;攻擊者可重置AP到出廠默認(rèn)設(shè)置;第三種情況是攻擊者可能會(huì)插入自己的AP。
如果沒有部署適當(dāng)?shù)谋Wo(hù),這些未經(jīng)授權(quán)AP可能會(huì)在長(zhǎng)時(shí)間內(nèi)不被IT人員檢測(cè)。因此,你應(yīng)該啟用AP或無線控制器供應(yīng)商提供的任何類型的流氓檢測(cè)。確切的檢測(cè)方法和功能會(huì)有所不同,但大多數(shù)檢測(cè)至少可定期掃描無線電波,并在授權(quán)AP范圍內(nèi)檢測(cè)到新AP時(shí)向你發(fā)送警報(bào)。
▲Cisco簡(jiǎn)單流氓AP檢測(cè)示例,你可看到該區(qū)域其他AP列表。
對(duì)于更多檢測(cè)功能,有些AP供應(yīng)商提供完整無線入侵檢測(cè)系統(tǒng)(WIDS)或入侵保護(hù)系統(tǒng)(WIPS),可檢測(cè)各種無線攻擊以及可疑活動(dòng)。這些包括錯(cuò)誤的取消身份驗(yàn)證請(qǐng)求、錯(cuò)誤關(guān)聯(lián)請(qǐng)求和MAC地址欺騙。
此外,如果它是真正提供保護(hù)的WIPS而不是僅提供檢測(cè)功能的WIDS,它應(yīng)該可采取自動(dòng)措施,例如解除或阻止可疑無線客戶端來保護(hù)受到攻擊的網(wǎng)絡(luò)。
如果你的AP供應(yīng)商不提供內(nèi)置流氓AP檢測(cè)或WIPS功能,則考慮使用第三方解決方案。你可能會(huì)看到可監(jiān)控WiFi性能及安全問題的基于傳感器的解決方案,例如7SIGNAL、Cape Networks和NetBeez等公司的產(chǎn)品。