無線網(wǎng)絡(luò)安全指南 PEAP驗證

申請免費試用、咨詢電話：400-8352-114

對于系統(tǒng)管理員和企業(yè)CIO來說，企業(yè)無線局域網(wǎng)的安全問題一直是他們關(guān)注的重心。本文將介紹Protected Extensible Authentication Protocol (PEAP) Authentication，這是一種基于密碼的驗證協(xié)議，可以幫助企業(yè)實現(xiàn)簡單安全的驗證功能。

受保護的可擴展身份驗證協(xié)議 (PEAP) 認證，是一種基于安全密碼的認證協(xié)議，可以實現(xiàn)簡單而又安全的身份驗證功能。雖然PEAP也可以用于有線網(wǎng)絡(luò)環(huán)境，但是一般來說，主 要用于無線局域網(wǎng)環(huán)境的網(wǎng)絡(luò)接入保護(NAP)甚至Vista系統(tǒng)中的VPN認證。 雖然市面上還有一些驗證協(xié)議可以實現(xiàn)與PEAP類似的功能，比如Funk Software的EAP-TTLS ，但是由 于PEAP與Windows操作系統(tǒng)的良好協(xié)調(diào)性，以及可以通過Windows組策略進行管理的特性，使得PEAP在部署時極其簡單。

為何選PEAP而不是其它商業(yè)驗證協(xié)議

在非Cisco設(shè)備領(lǐng)域，PEAP擁有了相當(dāng)規(guī)模的市場占有率。同時，由于LEAP協(xié)議的安全性較差，不少Cisco用戶也選擇了使用PEAP進行用戶驗證，尤其是在企業(yè)無線局域網(wǎng)市場， PEAP的應(yīng)用比例更是遠遠高出其他競爭對手。最近有些Cisco用戶開始使用新的Cisco EAP-FAST 協(xié)議 ，但是這個協(xié)議的安全性并不比LEAP強多少，而且部署相當(dāng)困難。更糟的是， 很多老型號的Cisco無線設(shè)備都不支持Cisco EAP-FAST協(xié)議，但是卻可以支持PEAP協(xié)議。由于PEAP可以兼容幾乎全部廠商的全部設(shè)備，可以為企業(yè)提供至關(guān)重要的“設(shè)備級驗證”功 能，同時可以在活動目錄中自動部署(僅在微軟的Windows XP/Vista PEAP客戶端中。)，因此對于企業(yè)來說，PEAP是一個最佳的驗證協(xié)議。這里需要解釋的是，我并沒有勸大家不 要使用Cisco的硬件產(chǎn)品，因為我本身就對Cisco的硬件可靠性非常滿意。我只是建議大家使用更通行的協(xié)議，實現(xiàn)最佳的靈活性、兼容性、穩(wěn)定性以及更方便部署。

PEAP和PKI

公開密鑰基礎(chǔ)結(jié)構(gòu)(PKI)是公開密鑰加密方法(PKC)中的一個組件，采用了數(shù)字證書 (x.509 format) 和證書驗證方法。PEAP使用PKI來確保用戶驗證過程不會被黑客或惡意人員 截獲和破解，這與SSL采用PKI來確保網(wǎng)站或其它敏感網(wǎng)絡(luò)應(yīng)用在數(shù)據(jù)交換過程不被截獲并破解的目的是一樣的。

雖然從OSI模型的角度來看，PEAP和SSL分別屬于不同的等級(第二層和第五層)，但是這兩種方式都是依靠服務(wù)器端的數(shù)字證書來進行密碼交換，進而啟動一個安全的加密線程 ，就算整個過程在黑客的監(jiān)視下進行，也可以確保足夠的安全性。這個安全線程不僅保護了密碼交換，更重要的是可以保護用戶的密碼驗證線程。

PKI模式采用一個簡單的數(shù)字文檔作為確定擁有者身份的數(shù)字證書，實現(xiàn)安全的密碼交換。數(shù)字證書本身并沒有什么價值，而當(dāng)這個證書被一個被稱作證書授權(quán)(CA)的受信機 構(gòu)簽名后，就具有了證明身份的作用。為了讓CA能夠被客戶(諸如采用SSL連接進行網(wǎng)絡(luò)購物的筆記本或臺式機)所信任，客戶端的證書信任列表(CTL)中應(yīng)該安裝包含有該CA公 鑰的“root certificate”，即該CA的根證書。

目前所有主流操作系統(tǒng)中，都預(yù)裝了包含可信CA根證書的CTL，這也就是為什么諸如VeriSign這樣的公司有權(quán)利給全球的服務(wù)器頒發(fā)證書。采用VeriSign這樣具有公信力的認證 機構(gòu)來建立PKI是一件非常簡單的事情，因為該證書已經(jīng)被幾乎所有的電腦以及PDA設(shè)備所接受，但是服務(wù)器證書的費用每年可能會有數(shù)百美元。采用EAP-TLS和CA結(jié)合的辦法成本更 高，因為你還需要每年為每個客戶支付60美元的數(shù)字證書費用。

商業(yè)的CA公司還可以為個人提供簽名服務(wù)，如果你有足夠的相關(guān)知識和客觀條件，可以擁有自己的數(shù)字證書，并可以建立自己的CA。這就是為什么很多企業(yè)不愿意考慮建立自己 的CA系統(tǒng)，也不愿意每年花300美元獲取大型CA公司提供的證書。這也是很多企業(yè)選擇LEAP并幻想著可以通過強壯的密碼彌補LEAP的安全弱點，達到與PEAP相同的安全防御效果。從 我的實際經(jīng)驗看，要說服這些企業(yè)采用PKI絕不是一個簡單的任務(wù)。而為了讓大家的工作更輕松，在這里我將教大家如何避免采用商業(yè)或者公眾的CA公司，而是通過自簽名的數(shù)字證 書實現(xiàn)安全的無線局域網(wǎng)。

驗證服務(wù)器請求

要應(yīng)用PEAP，企業(yè)需要首先建立一個RADIUS驗證服務(wù)器。實現(xiàn)這一任務(wù)的方法很多，比如采用Microsoft Windows Server 2003 SP1或帶有IAS的Windows Server 2003 R2，第三 方的RADIUS服務(wù)器可以選用Funk Odyssey，實現(xiàn)在非Windows環(huán)境(如Novell)下的RADIUS服務(wù)器，另外還可以選擇開放源代碼解決方案，比如FreeRADIUS 。Windows Server 2000 也帶有IAS，但是僅支持EAP-TLS驗證，不支持PEAP驗證。

要實現(xiàn)PEAP，RADIUS服務(wù)器必須有服務(wù)器端的x.509數(shù)字證書。 這個證書可以從第三方的CA機構(gòu)獲取，比如VeriSign，或者從企業(yè)內(nèi)部的CA機構(gòu)頒發(fā)。這兩種方案在傳統(tǒng)意義上 都是可行的，但是對于小型企業(yè)來說并不現(xiàn)實，因為小型企業(yè)不愿意每年花300美元購買第三方認證機構(gòu)的證書，公司里可能也不會有一個PKI CA服務(wù)器。為了解決這個問題，一個 最佳的方式就是在RADIUS服務(wù)器上采用自簽名證書。要安裝Microsoft IAS。