無線網(wǎng)絡(luò)安全向?qū)?PEAP驗(yàn)證

企業(yè)無線局域網(wǎng)的安全問題一直是他們關(guān)注的重心。本文將介紹PEAP，這是一種基于密碼的驗(yàn)證協(xié)議，可以幫助企業(yè)實(shí)現(xiàn)簡單安全的驗(yàn)證功能。

　　對(duì)于系統(tǒng)管理員和企業(yè)CIO來說，企業(yè)無線局域網(wǎng)的安全問題一直是他們關(guān)注的重心。本文將介紹Protected Extensible Authentication Protocol (PEAP) Authentication，這是一種基于密碼的驗(yàn)證協(xié)議，可以幫助企業(yè)實(shí)現(xiàn)簡單安全的驗(yàn)證功能。

　　受保護(hù)的可擴(kuò)展身份驗(yàn)證協(xié)議 (PEAP) 認(rèn)證，是一種基于安全密碼的認(rèn)證協(xié)議，可以實(shí)現(xiàn)簡單而又安全的身份驗(yàn)證功能。雖然PEAP也可以用于有線網(wǎng)絡(luò)環(huán)境，但是一般來說，主 要用于無線局域網(wǎng)環(huán)境的網(wǎng)絡(luò)接入保護(hù)(NAP)甚至Vista系統(tǒng)中的VPN認(rèn)證。 雖然市面上還有一些驗(yàn)證協(xié)議可以實(shí)現(xiàn)與PEAP類似的功能，比如Funk Software的EAP-TTLS ，但是由 于PEAP與Windows操作系統(tǒng)的良好協(xié)調(diào)性，以及可以通過Windows組策略進(jìn)行管理的特性，使得PEAP在部署時(shí)極其簡單。

　　為何選PEAP而不是其它商業(yè)驗(yàn)證協(xié)議

　　在非Cisco設(shè)備領(lǐng)域，PEAP擁有了相當(dāng)規(guī)模的市場占有率。同時(shí)，由于LEAP協(xié)議的安全性較差，不少Cisco用戶也選擇了使用PEAP進(jìn)行用戶驗(yàn)證，尤其是在企業(yè)無線局域網(wǎng)市場， PEAP的應(yīng)用比例更是遠(yuǎn)遠(yuǎn)高出其他競爭對(duì)手。最近有些Cisco用戶開始使用新的Cisco EAP-FAST 協(xié)議 ，但是這個(gè)協(xié)議的安全性并不比LEAP強(qiáng)多少，而且部署相當(dāng)困難。更糟的是， 很多老型號(hào)的Cisco無線設(shè)備都不支持Cisco EAP-FAST協(xié)議，但是卻可以支持PEAP協(xié)議。由于PEAP可以兼容幾乎全部廠商的全部設(shè)備，可以為企業(yè)提供至關(guān)重要的“設(shè)備級(jí)驗(yàn)證”功 能，同時(shí)可以在活動(dòng)目錄中自動(dòng)部署(僅在微軟的Windows XP/Vista PEAP客戶端中。)，因此對(duì)于企業(yè)來說，PEAP是一個(gè)最佳的驗(yàn)證協(xié)議。這里需要解釋的是，我并沒有勸大家不 要使用Cisco的硬件產(chǎn)品，因?yàn)槲冶旧砭蛯?duì)Cisco的硬件可靠性非常滿意。我只是建議大家使用更通行的協(xié)議，實(shí)現(xiàn)最佳的靈活性、兼容性、穩(wěn)定性以及更方便部署。

　　PEAP和PKI

　　公開密鑰基礎(chǔ)結(jié)構(gòu)(PKI)是公開密鑰加密方法(PKC)中的一個(gè)組件，采用了數(shù)字證書 (x.509 format) 和證書驗(yàn)證方法。PEAP使用PKI來確保用戶驗(yàn)證過程不會(huì)被黑客或惡意人員 截獲和破解，這與SSL采用PKI來確保網(wǎng)站或其它敏感網(wǎng)絡(luò)應(yīng)用在數(shù)據(jù)交換過程不被截獲并破解的目的是一樣的。

　　了解更多：http://www.xiaobaixitong.com/

　　雖然從OSI模型的角度來看，PEAP和SSL分別屬于不同的等級(jí)(第二層和第五層)，但是這兩種方式都是依靠服務(wù)器端的數(shù)字證書來進(jìn)行密碼交換，進(jìn)而啟動(dòng)一個(gè)安全的加密線程 ，就算整個(gè)過程在黑客的監(jiān)視下進(jìn)行，也可以確保足夠的安全性。這個(gè)安全線程不僅保護(hù)了密碼交換，更重要的是可以保護(hù)用戶的密碼驗(yàn)證線程。

　　PKI模式采用一個(gè)簡單的數(shù)字文檔作為確定擁有者身份的數(shù)字證書，實(shí)現(xiàn)安全的密碼交換。數(shù)字證書本身并沒有什么價(jià)值，而當(dāng)這個(gè)證書被一個(gè)被稱作證書授權(quán)(CA)的受信機(jī) 構(gòu)簽名后，就具有了證明身份的作用。為了讓CA能夠被客戶(諸如采用SSL連接進(jìn)行網(wǎng)絡(luò)購物的筆記本或臺(tái)式機(jī))所信任，客戶端的證書信任列表(CTL)中應(yīng)該安裝包含有該CA公 鑰的“root certificate”，即該CA的根證書。

　　目前所有主流操作系統(tǒng)中，都預(yù)裝了包含可信CA根證書的CTL，這也就是為什么諸如VeriSign這樣的公司有權(quán)利給全球的服務(wù)器頒發(fā)證書。采用VeriSign這樣具有公信力的認(rèn)證 機(jī)構(gòu)來建立PKI是一件非常簡單的事情，因?yàn)樵撟C書已經(jīng)被幾乎所有的電腦以及PDA設(shè)備所接受，但是服務(wù)器證書的費(fèi)用每年可能會(huì)有數(shù)百美元。采用EAP-TLS和CA結(jié)合的辦法成本更 高，因?yàn)槟氵�需要每年為每個(gè)客戶支付60美元的數(shù)字證書費(fèi)用。

　　商業(yè)的CA公司還可以為個(gè)人提供簽名服務(wù)，如果你有足夠的相關(guān)知識(shí)和客觀條件，可以擁有自己的數(shù)字證書，并可以建立自己的CA。這就是為什么很多企業(yè)不愿意考慮建立自己 的CA系統(tǒng)，也不愿意每年花300美元獲取大型CA公司提供的證書。這也是很多企業(yè)選擇LEAP并幻想著可以通過強(qiáng)壯的密碼彌補(bǔ)LEAP的安全弱點(diǎn)，達(dá)到與PEAP相同的安全防御效果。從 我的實(shí)際經(jīng)驗(yàn)看，要說服這些企業(yè)采用PKI絕不是一個(gè)簡單的任務(wù)。而為了讓大家的工作更輕松，在這里我將教大家如何避免采用商業(yè)或者公眾的CA公司，而是通過自簽名的數(shù)字證 書實(shí)現(xiàn)安全的無線局域網(wǎng)。

　　驗(yàn)證服務(wù)器請(qǐng)求

　　要應(yīng)用PEAP，企業(yè)需要首先建立一個(gè)RADIUS驗(yàn)證服務(wù)器。實(shí)現(xiàn)這一任務(wù)的方法很多，比如采用Microsoft Windows Server 2003 SP1或帶有IAS的Windows Server 2003 R2，第三 方的RADIUS服務(wù)器可以選用Funk Odyssey，實(shí)現(xiàn)在非Windows環(huán)境(如Novell)下的RADIUS服務(wù)器，另外還可以選擇開放源代碼解決方案，比如FreeRADIUS 。Windows Server 2000 也帶有IAS，但是僅支持EAP-TLS驗(yàn)證，不支持PEAP驗(yàn)證。

　　要實(shí)現(xiàn)PEAP，RADIUS服務(wù)器必須有服務(wù)器端的x.509數(shù)字證書。 這個(gè)證書可以從第三方的CA機(jī)構(gòu)獲取，比如VeriSign，或者從企業(yè)內(nèi)部的CA機(jī)構(gòu)頒發(fā)。這兩種方案在傳統(tǒng)意義上 都是可行的，但是對(duì)于小型企業(yè)來說并不現(xiàn)實(shí)，因?yàn)樾⌒推髽I(yè)不愿意每年花300美元購買第三方認(rèn)證機(jī)構(gòu)的證書，公司里可能也不會(huì)有一個(gè)PKI CA服務(wù)器。為了解決這個(gè)問題，一個(gè) 最佳的方式就是在RADIUS服務(wù)器上采用自簽名證書。要安裝 Microsoft IAS。

　PEAP的硬件和軟件需求

　　每個(gè)企業(yè)級(jí)的無線接入點(diǎn)都支持與WPA/WPA2 EAP類型兼容的RADIUS驗(yàn)證，包括PEAP驗(yàn)證。Cisco的接入點(diǎn)支持專用的驗(yàn)證協(xié)議，即Cisco LEAP 和EAP-FAST，但是其它非Cisco的 接入點(diǎn)并不支持這些協(xié)議。因此我并不建議你采用這些協(xié)議。Cisco則將其專用的驗(yàn)證方法稱為“Network EAP”，而將開放的驗(yàn)證方法稱為“Open EAP”。從客戶端硬件設(shè)備的需 求來說，任何支持Windows Wireless Client的設(shè)備都支持PEAP驗(yàn)證，而大部分Wi-Fi適配器都屬于此類產(chǎn)品。

　　目前的Windows Mobile和CE系統(tǒng)都已經(jīng)支持PEAP驗(yàn)證了。Windows XP Wireless Client也在SP1中加入了對(duì)PEAP的支持，并且在SP2中加強(qiáng)了這一功能。針對(duì)Windows XP甚至還推 出了WPA2升級(jí)。而Windows Vista則包含了Wireless Client的全部功能。

　　Windows 2000 Service的最后一個(gè)補(bǔ)丁也加入了對(duì)PEAP的支持，但是WPA級(jí)別的TKIP或AES并沒有被加入，同時(shí)用戶也不能通過Windows 2000的組策略編輯器控制Wireless Client。你可以從這里獲取針對(duì)Windows 2000的免費(fèi)WPA客戶端，而且各種Wi-Fi適配器也都帶有自己的支持WPA的Wireless Clients。但是只有Windows XP和Vista下的無線客戶端 才可以通過活動(dòng)目錄組策略進(jìn)行集中化的控制。