FreeRADIUS和XSuppicant进行EAPTLS验证IEEE8021X安全性教学提纲

1、Good is good, but better carries it.精益求精，善益求善。FreeRADIUS和XSuppicant进行EAPTLS验证IEEE8021X安全性-一、IEEE802.1X简介当前802.11无线网络的安全性还是非常脆弱的，很多情况下无线客户端如果得到接入点（AP）的SSID，就可以获得网络的访问权限。而且由于管理员的懒惰没有修改AP厂商默认设置的SSID，甚至配置AP向外广播其SSID，那么安全性还将更低。最常见一、IEEE802.1X简介当前802.11无线网络的安全性还是非常脆弱的，很多情况下无线客户端如果得到接入点（AP）的SSID，就可以获得网络的访问

2、权限。而且由于管理员的懒惰没有修改AP厂商默认设置的SSID，甚至配置AP向外广播其SSID，那么安全性还将更低。最常见的解决方法是使用WEP加密，在链路层采用RC4对称加密技术，用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷，可以在几个小时内被破解。一些常见AP厂商的默认SSID和默认WEP密钥、密码可以参考如下链接：/medi

3、awhore/nf0/wireless/ssid_defaults/ssid_defaults-1.0.5.txtIEEE802.1X是IEEE在2001年6月发布的一个标准，用于对IEEE802局域网（包括以太网、TokenRing和FDDI）的认证和密钥管理。802.1X不是加密算法，不同于WEP、3DES、AES或其它的算法，IEEE802.1X只关注认证和密钥管理，不关心来源密钥使用什么安全服务传送。所以它可以对认证来源和密钥使用任意的加密算法，还可以周期性的更新密钥和重新认证来保证密钥的安全。IEEE802.1X不是一个单独的认证方法，它利用可扩展认证协议（EAP）作为它的认证框架。

4、这意味着有802.1X功能的交换机和AP可以支持各种认证方式，包括基于证书的认证、智能卡、标记卡（tokencards）、一次性口令等。然而802.1X本身并没有指定和要求使用何种认证方式，交换机和AP只是EAP的一个通道，所以可以只需在主机和后台认证服务器安装软件而无需对交换机和AP升级就可以添加一个新的认证方式。IEEE802.1X没有对包进行封装（不像PPPOE或VPN），实现起来不会对交换机和AP的性能有所影响。这意味着IEEE802.1X处理的速度可以从11Mbps(802.11)到10+Gbps，并且只要升级交换机的固件而不必购买新的硬件就可以实现。对于主机，IEEE802.1X可

5、以由网卡驱动来实现，不必使用新的操作系统。RADIUS服务器（包括Windows2000IAS）支持EAP，可以用来管理基于IEEE802.1X网络的访问。通过RADIUS，IEEE802.1X允许管理每个用户的授权，包括过滤（2层或3层）、隧道、动态VLANs、速率控制等。EAP/TLS是802.1X架构的一种认证方式，802.1X和EAP/TLS是无线网络一个越来越受欢迎的安全解决方案。以下是AdamSulmicki的一个基于开放源码软件的802.1X解决方案。二、网络结构图AdamSulmicki的无线网络结构如下图：从右边至左边配置如下：1.验证服务器radius服务器硬件：IBMTH

6、INKPADT232647-2KU100Mbps以太网卡软件：LinuxRedHat7.2FreeRadius(cvs)OpenSSL(snapshot)2.验证端接入点（AP）硬件：CISCOAIRONET340series11MbpsACCESSPOINTAIR-AP342E2C主板:MPC86050MHz,2048KBFLASH,16384KBDRAM,Revision21100Mbps以太网卡软件：系统：EnterpriseAPSys11.103.请求端radius服务器硬件：IBMTHINKPADT232647-2KUCISCOAIRONET340SERIES11MbpsWIRELE

7、SSADAPTERAIR-PCM342软件：LinuxRedHat7.2xsupplicant(cvstarball)三、软件安装1.OpenSSLFreeRADIUS和Xsuppicant需要使用稳定版本的OpenSSL，而FreeRADIUS的EAP/TLS模块却需要使用最新的非稳定snapshot版本OpenSSL（或者是2002年3月份以后的稳定版本，OpenSSL0.9.7或更新），所以要安装两个版本的OpenSSL。注意非稳定版本的SSL不要使用文件名带stable的，也不要使用带”e”的版本，那一般是用于硬件加密的。从OpenSSL的网站下载：/snapshot/openssl-

8、SNAP-20020227.tar.gz然后进行配置安装：mkdir-p/usr/src/802/opensslcd/usr/src/802/opensslncftpget/snapshot/openssl-SNAP-20020227.tar.gztarzxvfopenssl-SNAP-20020227.tar.gzcdopenssl-SNAP-20020227./configshared-prefix=/usr/local/opensslmakemakeinstall注意：snapshot版本不要安装在常用的路径如：-prefix=/usr或prefix=/usr/local/ssl，只有F

9、reeRADIUS的EAP/TLS模块需要snapshot版本。安装后需要修改/usr/local/openssl/ssl/f文件，以下是一个配置修改样例，openssl.conf-diff：-/usr/local/openssl/ssl/f-backupThuFeb2803:35:542002+/usr/local/openssl/ssl/fThuFeb2803:38:122002-117,30+117,33req_distinguished_namecountryName=CountryName(2lettercode)-countryName_default=AU+countryName

10、_default=UScountryName_min=2countryName_max=2stateOrProvinceName=StateorProvinceName(fullname)-stateOrProvinceName_default=Some-State+stateOrProvinceName_default=MarylandlocalityName=LocalityName(eg,city)+localityName_default=CollegePanizationName=OrganizationName(eg,company)-0.organizationN

11、ame_default=InternetWidgitsPtyLtd+0.organizationName_default=UniversityofMaryland#wecandothisbutitisnotneedednormally:-)#1.organizationName=SecondOrganizationName(eg,company)#1.organizationName_default=WorldWideWebPtyLtdorganizationalUnitName=OrganizationalUnitName(eg,section)-#organizationalUnitN#1

12、.organizationName=SecondOrganizationName(eg,company)#1.organizationName_default=WorldWideWebPtyLtdorganizationalUnitName=OrganizationalUnitName(eg,section)-#organizationalUnitName_default=+organizationalUnitName_default=MISSLcommonName=CommonName(eg,YOURname)commonName_max=64+commonName_default=adam

13、emailAddress=EmailAddressemailAddress_max=64+emailAddress_default=adam#SET-ex3=SETextensionnumber3-148,6+151,7challengePassword=AchallengepasswordchallengePassword_min=4challengePassword_max=20+challengePassword_default=whateverunstructuredName=Anoptionalcompanyname定制这个文件使得生成自己的密钥和证书变得简单。生成密钥可以使用下面地

14、址的脚本：/wireless/eaptls/doc/CA.all脚本里的whatever是使用的口令，可以根据自己的需要修改。这个脚本会生成私钥、CA和两个证书，样例可以从如下地址查看：/wireless/eaptls/keys/cert.tgz这里的口令都是whatever。把证书放到相应路径：mkdir-p/usr/src/802/keyscd/usr/src/802/keyswget/adam/802/keys/cert.tgztarzxvfcert.tgzmkdir-p/etc/1xmv/usr/src/802/keys/etc/1x/2.LibNetXsupplicant需要使用Li

15、bNet，如果系统里没有必须另行安装：mkdir-p/usr/src/802/libnetcd/usr/src/802/libnetwget/debian/dists/potato/main/source/libs/libnet_1.0.orig.tar.gztarzxvflibnet_1.0.orig.tar.gzcdLibnet-1.0/./configuremakemakeinstall3.FreeRADIUS需要使用2002年3月1日以后cvs版本的FreeRADIUS，可以通过cvs下载，也可以从如下地址获得该可用版本：/wireless/eaptls/radius/radiusd-

16、02.28.02.tar.gz安装配置：tarzxvfradiusd-02.28.02.tar.gzcdradiusd./configure-prefix=/usr/local/radiusmakemakeinstall/usr/local/radius/sbin/run-radius-X-A有几点注意：1.make前需要修改radiusd/src/modules/rlm_eap/types/rlm_eap_tls/下的Makefile文件，让它编译EAP-TLS以及使用snapshot版本的OpenSSL。-radiusd/src/modules/rlm_eap/types/rlm_eap_

17、tls/Makefile2002/01/24+radiusd/src/modules/rlm_eap/types/rlm_eap_tls/Makefile2002/02/28-1,11+1,12TARGET=+TARGET=rlm_eap_tls#TARGET=rlm_eap_tlsSRCS=rlm_eap_tls.ceap_tls.ccb.ctls.c-RLM_CFLAGS=$(INCLTDL)-I./.-I/path/to/openssl/include+RLM_CFLAGS=$(INCLTDL)-I./.-I/usr/local/openssl/includeHEADERS=eap_tl

18、s.hRLM_INSTALL=-RLM_LDFLAGS+=-L/path/to/openssl/lib+RLM_LDFLAGS+=-L/usr/local/openssl/libRLM_LIBS+=-lssl$(STATIC_OBJS):$(HEADERS)2.目前的linux系统由于对gethostbyadd_r()和gethostbyname_r()的检测会存在失误，需要在make前对radius的autoconf.h打上如下补丁：diff-u-r1.44autoconf.h-src/include/autoconf.h+src/include/autoconf.h-100,10+100,

19、10#undefHAVE_CTIME_R/*Defineifyouhavethegethostbyaddr_rfunction.*/-#undefHAVE_GETHOSTBYADDR_R+/#undefHAVE_GETHOSTBYADDR_R/*Defineifyouhavethegethostbyname_rfunction.*/-#undefHAVE_GETHOSTBYNAME_R+/#undefHAVE_GETHOSTBYNAME_R/*Defineifyouhavethegethostnamefunction.*/#undefHAVE_GETHOSTNAME另外的办法是编辑radius

20、d/src/lib/misc.c文件，修改成适合Linux语法的gethostbyadd_r()和gethostbyname_r()调用。还有方法是修改configure.in配置脚本，详细信息可参考如下链接：/?t=101488214000003&r=1&w=23.编译安装完radius后需要对服务器进行配置，radius的配置文件在/usr/local/radius/etc/raddb目录下，需要修改启用EAP/TLS功能，以下参考的配置文件：/wireless/eaptls/doc/etc-raddb-radius.conf-diff/wireless/eaptls/doc/etc-ra

21、ddb-client.conf-diff/wireless/eaptls/doc/etc-raddb-users-diff4./usr/local/radius/sbin/run-radius是启动radius服务的脚本，这个脚本定义了LD_LIBRARY_PATH和LD_PRELOAD两个环境变量可以让EAP/TLS使用正确的libssl库，并且libssl库也能装载正确的libcrypto。#!/bin/sh-xLD_LIBRARY_PATH=/usr/local/openssl/libLD_PRELOAD=/usr/local/openssl/lib/libcrypto.soexport

22、LD_LIBRARY_PATHLD_PRELOAD/usr/local/radius/sbin/radiusd$4.xsupplicantxsupplicant需要使用2002年3月1日以后最新的cvs版本，可以从如下地址下载：/xsupplicant-cvs-current.tar.gzxsupplicant必须使用稳定版的OpenSSL，系统一般都使用稳定版，目录在/usr/local/ssl。安装xsupplicant：mkdir-p/usr/src/802/xsupcd/usr/src/802/xsupwget/xsupplicant-cvs-current.tar.gztarzxvfxsupplicant-cvs-current.tar.gzcdxsupplicant-cvs-current./config安装xsupplicant：mkdir-p/usr/src/802/xsupcd/usr/src/802/xsupwget/xsupplicant-cvs-current.tar.gztarzxvfxsupplicant-cvs-current.tar.gzcdxsupplicant-cvs-current./configuremakemak