配置NETGEAR AP与Windows IAS实现受保护的EAP(PEAP)、智能卡或其它证书的两种身份验证实验手册v2.0

配置AP与Windows IAS实现受保护的EAP(PEAP)、智能卡或其它证书的两种身份验证实验手册

V2.0

NETGEAR中国区客户服务部技术支持工程师王旋

2008-5-14

目录

一、知识简介 (3)

1、802.1x 身份验证 (3)

2、802.11 安全 (4)

3、网络密钥 (4)

3.1、WEP (4)

3.2、WPA (4)

二、网络拓扑： (7)

三、配置AP (8)

1、AP的基本信息 (8)

2、配置Radius Server。 (8)

3、配置身份认证方式 (9)

3.1、802.1x + WEP (9)

3.2、WPA with Radius (10)

3.3、WPA2 with Radius (10)

3.4、WPA & WPA2 with Radius (11)

四、配置Windows IAS服务器： (12)

1、环境： (12)

2、配置过程： (12)

五、工作站： (19)

1、工作环境： (19)

2、配置过程： (19)

2.1、受保护的EAP(PEAP) (19)

2.2、智能卡或其它证书 (22)

2.3、数据加密 (30)

一、知识简介

1、802.1x 身份验证

IEEE 802.1x 标准允许对802.11 无线网络和有线以太网进行身份验证和访问。

当用户希望通过某个本地局域网(LAN) 端口访问服务时，该端口可以承担两个角色中的一个：“身份验证器”或者“被验证方”。作为身份验证器，LAN 端口在允许用户访问之前强制执行身份验证。作为被验证方，LAN 端口请求访问用户要访问的服务。“身份验证服务器”检查被验证方的凭据，让身份验证方知道被验证方是否获得了访问身份验证方的服务的授权。

IEEE 802.1x 使用标准安全协议来授权用户访问网络资源。用户身份验证、授权和记帐是由“远程验证拨号用户服务(RADIUS)”服务器执行的。RADIUS 是支持对网络访问进行集中式身份验证、授权和记帐的协议。RADIUS 服务器接收和处理由RADIUS 客户端发送的连接请求。

此外，IEEE 802.1x 还通过自动生成、分发和管理加密密钥，利用有线等效保密(WEP) 加密来解决许多问题。

为了增强安全性，您可以启用IEEE 802.1x 身份验证，它可以确保对802.11 无线网络和有线以太网的访问都通过了身份验证。IEEE 802.1x 身份验证最大限度地减少了无线网络安全风险，例如，对网络资源进行未经授权的访问及窃听。它提供了用户和计算机标识、集中的身份验证和动态密钥管理。利用IEEE 802.1x 为“可扩展的身份验证协议”(EAP) 安全类型提供的支持，您可以使用诸如智能卡、证书这样的身份验证方法。EAP 安全类型包括EAP-TLS、具有EAP-TLS 的受保护的EAP (PEAP) 和Microsoft 质询握手身份验证协议

版本2 (MS-CHAPv2)。

如果计算机要求访问网络资源而不考虑用户是否登录网络，您就可以利用IEEE 802.1x 身份验证指定计算机是否尝试该网络的身份验证。例如，管理远程管理服务器的数据中心操作员可以指定服务器应该尝试访问网络资源的身份验证。您也可以指定如果用户或计算机信息不可用时，计算机是否尝试该网络的身份验证。例如，“Internet 服务提供商”(ISP) 可以使用此身份验证选项允许用户

访问免费的Internet 服务或可以订购的Internet 服务。公司可向访问者授予有限的来宾访问权限，这样他们就可以访问Internet，但不能访问保密的网络资源。

2、802.11 安全

802.11 的安全选项包括身份验证和基于有线等效保密(WEP) 安全服务（用于保护802.11 网络，防止未经授权的访问，如窃听）的加密服务。利用自动无线网络配置，您可以指定用于验证对网络的访问权限的网络密钥。也可以指定通过网络传输数据时用于加密数据的网络密钥。

您计算机中的无线网络适配器可能支持Wi-Fi 保护访问(WPA) 安全协议。WPA 提供的加密功能比WEP 更强大。利用WPA，联网计算机和设备上的网络密钥可以自动更改并定期进行验证，从而提供了比WEP 更高的安全性。

要使用WPA，您的无线网络适配器必须支持WPA。要知道您是否可以在无线网络上使用WPA，请访问制造商的网站，了解有关设备的信息。制造商可能会提供您可以下载和安装的软件和驱动程序。

3、网络密钥

3.1、WEP

启用WEP 时，您可以指定用于加密的网络密钥。网络密钥可能会自动为您提供（例如，可能在无线网络适配器上提供），或者，您可以通过自己键入来指定密钥。如果指定密钥，您还可以指定密钥长度（40 位或104 位）、密钥格式（ASCII 字符或十六进制数字）和密钥索引（存储特定密钥的位置）。密钥长度越长，密钥越安全。每当密钥长度增加一位，可能的密钥数量就会增加一倍。

在802.11 下，可用多达四个的密钥（密钥索引值为0、1、2 和3）配置无线站。当访问点或无线站利用存储在特定密钥索引中的密钥传送加密消息时，传送的消息指明用来加密消息正文的密钥索引。然后接收访问点或无线站可以检索存储在密钥索引处的密钥，并使用它对加密的消息正文进行解码。

3.2、WPA

电气和电子工程师协会(IEEE) 802.11i 无线网络标准指定了对无线局域网(LAN) 安全性的改进。802.11i 标准当前还没有定稿，最后的批准期限是2003 年底。802.11i 标准将解决原来的802.11 标准的许多安全性问题。尽管新的IEEE 802.11i 标准正在等待批准，无线供应商已同意了一个称为WPA (Wi-Fi Protected Access) 的可共同使用的过渡标准。

WPA 安全的功能

下面的安全功能包含在WPA 标准中：

WPA 身份验证

WPA 中需要802.1x 身份验证。在802.11 标准中，802.1x 身份验证是可选的。

对于没有远程身份验证拨号用户服务(RADIUS) 结构的环境，WPA 支持使用预共享的密钥。对于具有RADIUS 结构的环境，支持可扩展身份验证协议(EAP) 和RADIUS。

WPA 密钥管理

对于802.1x，单路广播加密密钥的重新加密操作是可选的。另外，802.11 和802.1x 没有提供任何机制来更改多路广播和广播通信所使用的全局加密密钥。对于WPA，需要对单路广播和全局加密密钥进行重新加密操作。对于单路广播加密密钥，临时密钥完整性协议(TKIP) 更改每一帧的密钥，而且更改操作会在无线客户端和无线访问点(AP) 之间保持同步。对于全局加密密钥，WPA 包含一个工具，以便无线AP 将更改后的密钥公布到连接的无线客户端。

临时密钥完整性协议(TKIP)

对于802.11，有线等价隐私(WEP) 加密是可选的。对于WPA，需要使用TKIP 进行加密。TKIP 将WEP 替换为新的加密算法，该算法比WEP 算法更强，但需要使用现有无线设备上存在的计算工具执行加密操作。TKIP 还提供以下功能：

1. 确定加密密钥后验证安全配置。

2. 同步更改每一帧的单路广播加密密钥。

3. 为每个预共享密钥身份验证确定唯一的起始单路广播加密密钥。