Types d'Authentiffication Wi-Fi - Configurer les Types d'Authentiffication ccnp_cch ccnp_cch
Sommaire d'authentification de l'équipement client • Introduction • Comprendre les types d'authentification - Authentification ouverte sur le point d'accès - Authentification avec clé partagée sur le point d'accès - Authentification EAP - Authentification basée sur l'adresse MAC - Combiner les authentifications ouverte, EAP et basée sur MAC - Utilisation de CCKM pour des clients authentifiés - Utilisation de la gestion de clé WPA - Exigences logicielles et matérielles pour WPA, CCKM, CKIP et WPA-TKIP • Configurer les types d'authentification - Affecter des types d'authentification à un SSID - Configurer les "hold-off", les timers et les intervalles de l'authentification - Créer et appliquer des profils de méthode EAP pour un supplicant 802.1X • Correspondance entre Point d'accès et types d'authentification de l'équipement client ccnp_cch
Comprendre les types d'authentification Introduction Ce document décrit comment configurer les types d'authentification sur un point d'accès. Ce document contient les sections suivantes: • Comprendre les types d'authentification • Configurer les types d'authentification • Correspondance entre Point d'accès et type d'authentification de l'équipement client Comprendre les types d'authentification Cette section décrit les types d'authentification que vous pouvez configurer sur le point d'accès. Les typesd'authentification sont liées aux SSIDs que vous configurez pour le point d'accès. Si vous voulez servir différents types d'équipements clients avec le même point d'accès, vous poubez configurer plusieurs SSIDs. Avant qu'un équipement client sans-fil puisse communiquer sur votre réseau au travers du point d'accès, il doit s'authentifier en utilisant une authentification ouverte ou des clés pré-partagées. Pour un maximum de sécurité, les equipements clients doivent aussi s'authentifier avec votre réseau en utilisant une authentification EAP ou une authenti- fication basée sur l'adresse MAC, types d'authentification qui reposent sur un serveur d'authentification de votre réseau. Note: Par défaut, le point d'accès transmet des requêtes de réauthentification vers le serveur d'authentification avec l'attribut service-type configuré à "authenticate-only". Changer l'attribut service-type pour "login-only" assure que les serveurs IAS Microsoft reconnaissent les requêtes d'authentification venant u point d'accès. Utilisez la com- mande dot11 aaa authentication attributes server-type login-only en mode de con- figuration global pour fixer l'attribut service-type en requête de réauthentification à "login-only". Le point d'accès utilise plusieurs mécanismes dauthentification ou types et peu en utili- ser plusieur en même temps. Ces sections expliquent chaque type d'authentification. Authentification ouverte sur le point d'accès Authentification avec clé pré-partagée sur le point d'accès Authentification EAP vers le réseau Authentification d'adresse MAC vers le réseau Combiner les authentifications ouverte, EAP et basée sur MAC Utilisation de CCKM pour des clients authentifiés Utilisation de la gestion de clé WPA ccnp_cch
ccnp_cch Authentification ouverte sur le point d'accès L'authentification ouverte autorise tout équipement à s'authentifier et ensuite à com- muniquer avec le point d'accès. En utilisant l'authentification ouverte, tout équipement peut s'authentifier avec le point d'accès mais l'équipement peut communiquer unique- ment si sa clé WEP correspond à celle du point d'accès. Les équipements qui n'utili- sent pas WEP ne peuvent pas tenter de s'authentifier avec le point d'accès qui utilise WEP. L'authentification WEP ne repose pas sur l'utilisation d'un serveur RADIUS de votre réseau. La figure suivante montre laséquence d'authentification entre un équipement tentant de s'authentifier et un point d'accès utilisant l'authentification ouverte. Dans cet exem- ple, la clé WEP de l'équipement ne correspond pas à la clé WEP du point d'accès. Il peut s'authentifier mais ne peut pas communiquer de données. Equipement client avec clé WEP = 321 Point d'accès ou pont avec clé WEP = 123 1.Requête d'authentification 2.Réponse d'authentification Authentification clé partagée avec le point d'accès Cisco fournit l'authentification clé paratagée pour être conforme au standard 802.11b. Toutefois comme la sécurité des clés partagées est faible, Cisco ne rcommande pas son utilisation. Pendant l'authentification clé partagée, le point d'accès transmet un challenge sous forme de texte non crypté à tout équipement tentant de communiquer avec le point d'accès. L'équipement demandant l'authentification crypte le challenge et le renvoie vers le point d'accès. Si le texte du challenge est correctement crypté, le point d'accès autorise l'équipement requérant à s'authentifier. Le challenge non crypté et le challen- ge crypté peuvent être espionnés ce qui laisse le point d'accès ouvert à une attaque venant d'un intrus qui calcule la clé WEP en comparant le challenge non crypté et le challenge crypté. A cause de cette faiblesse, l'authentification à clé partagée peut être moins sécurisée que l'authentification ouverte. Comme l'authentification ouverte, l'authentification à clé partagée ne repose pas sur l'utilisation d'un serveur RADIUS. La figure suivante montre les séquences d'authentification entre un équipement ten- tant de s'authentifier et un point d'accès utilisant l'authentification à clé partagée. Dans cet exemple, la clé WEP de l'équipement correspond à celle du point d'accès, aussi celui-ci paut s'authentifier et communiquer. ccnp_cch
Authentification EAP ccnp_cch Equipement client Point d'accès ou pont 4.Authentification réussie 1.Requête d'authentification Serveur RADIUS Réseau câblé 2.Texte challenge non crypté 3.Texte challenge crypté Authentification EAP Ce type d'authentification fournit le niveau de sécurité le plus élevé pour votre réseau sans-fil. En utilisant EAP (Extensible Authentication Protocol) pour interagir avec un serveur RADIUS compatible EAP, le point d'accès aide l'équipement client sans-fil et le serveur RADIUS à exécuter une authentiffication mutuelle et à dériver une clé WEP unicast dynamique. Le serveur RADIUS transmet la clé WEP au point d'accès, lequel utilise cette clé pour tous les trafics uniast qu'il transmet ou reçoit du client. Le point d'accès crypte également sa clé WEP diffusée (entrée dabns le slot 1 de la clé WEP du point d'accès) avec la clé du client unicast et la transmet au client. Quand vous validez EAP sur vos points d'accès et les équipements clients, l'authenti- fication vers le réseau se produit selon les séquences présentées dans la figure suivan- te: Serveur RADIUS Equipement client Point d'accès ou pont Réseau câblé 1.Requête d'authentification 2. Requête d'identité 3. Username Username Réponse vers le client 4.Challenge d'authentification 5. Réponse d'authentification (Relais vers le serveur) Relais vers le client 6.Authentification réussie 7. Challenge d'authentification (Relais vers le serveur) Relais vers le client 8. Réponse d'authentification 9.Authentification réussie (Relais vers le serveur) ccnp_cch
Authentification basée sur l'adresse MAC Dans les étapes 1 à 9 de la figure, un équipement client sans-fil et un serveur RADIUS situé sur le réseau câblé utilisent 802.1x et EAP pour réaliser une authentification mu- turelle à travers le point d'accès.Le serveur RADIUS transmet un challenge d'authenti- fication vers le client. Le client utilise un cryptage à sens unique du mot de passe four- ni par l'utilisateur pour générer une réponse au challenge et transmet sa réponse au serveur RADIUS. En utilisant une information dans sa base de données utilisateur, le serveur RADIUS crée sa propre réponse et compare celle-ci à la réponse venant du client. Quand le serveur RADIUS authentifie le client, le processus se répète en sens inverse et le client authentifie le seveur RADIUS. Quand l'authentification mutuelle est terminé, le serveur RADIUS et le client détermi- nent une clé WEP unique qui est unique pour le client et lui fournit un niveau d'accès réseau approprié et de ce fait passe d'un niveau de sécurité de segment câblé commuté à un poste individuel. Le client charge cette clé et se prépare à l'utiliser pour des ses- sions de login. Pendant la session de login, le serveur RADIUS crypte et transmet la clé WEP, appelée clé de session, sur le LAN câblé vers le point d'accès. Le point d'accès crypte sa clé de diffusion avec laclé de session et transmet la cléde diffusion crypté vers le client qui utilise la clé de session pour la décrypter. Le cliet et le point d'accès activent WEP et utilisent les clés de session et de diffusion pour toutes les communications pour le reste de la session. Il y a plusieurs types d'authentification EAP mais le point d'accès se comporte de la même manière pour chaque type: il relaie les messages d'authentification issus de l'équipement client sans-fil vers le serveur RADIUS et venant du serveur RADIUS vers l'équipement client sans-fil. Note: Si vous utilisez l'authentification EAP, vous pouvez sélectionner l'authentifica- tion ouverte ou avec clé paratgée mais vous ne devez pas avoir l'authentification EAP qui contrôle l'authentification vers votre point d'accès et vers votre réseau. Authentification basée sur l'adresse MAC Le point le point d'accès relaie l'adresse MAC de l'équipement client sans-fil vers un serveur RADIUS de votre réseau et le serveur vérifie l'adresse par rapport à un liste d'adresses MAC autorisées.Les intrus peuvent créer des aresses MAC contrefaites, aussi l'authentification basée sur adresse MAC est moins sécurisée que l'authentifica- tion EAP. Toutefois l'authentification basée sur l'adresse MAC fournit une méthode d'authentification alternative pour les équipements clients qui n'ont pas de capacité EAP. Conseil Si vous n'avez pas de serveur RADIUS sur votre réseau vous pouvez créer une liste d'adresses MAC autorisées sur le point d'accès dans "Advanced Security: MAC Address: Authentication". Les équipementsdont l'adresse MAC n'est pas dans la liste ne pourront pas s'authentifier. Conseil Si les clients authentifiés par adresse MAC sur votre réseau sans-fil sont très mobiles, vous pouvez activer un cache d'authentification MA sur votre point d'accès. Le cache d'authentification MAC réduit le trafic supplémentaire car le point d'accès authentifie ccnp_cch
Combiner l'authentification ouverte, basée MAC et EAP le client dans son cache d'adresses MAC sans transmettrede requête vers le serveur d'authentification. La figure suivante montre la séquence d'authentification pour les authentifications basées sur l'adresse MAC. Serveur RADIUS Equipement client Point d'accès ou pont Réseau câblé 1.Requête d'authentification 2.Authentification réussie 3.Requête d'association 4.Réponse d'association (Trafic du client bloqué 5.Requête d'authentification 6.Authentification réussie 7. Le point d'accès ou le pont débloque le trafic du client Combiner l'authentification ouverte, basée MAC et EAP Vous pouvez configurer le point d'accès pour authentifier les équipements clients en utilisant une combinaison d'authentification EAP et basée sur adresse MAC. Quand vous validez cette fonctionnalité, le équipements clients qui s'associent au point d'accès en utilisant l'authentification ouverte 802.11, tentent d'abord l'authentification basée sur l'adresse MAC; si l'authentification basée sur adresseMAC réussit, l'équipe- ment client rejoint le réseau. Si l'authentification bsée sur l'adresse MAC échoue, l'au- thentification EAP est tentée. Utilisation de CCKM pour les clients authentifiés En utilisant Cisco Centralized Key Management (CCKM), les équipements clients au- thentifiés peuvent se déplacer d'un point d'accès vers un autre sans délai perceptible pendant la réassociation. Un point d'accès sur votre réseau fournit WDS (Wireless Domain Service) et crée un cache de paramètres d'identité de sécurité pour les clients avec CCKM validé sur le réseau. Le cache WDS de paramètres d'identité du point d'accès diminue de manière spectaculaire le temps requis pour la réassociation quand un client avec CCKM validé se déplace vers un nouveau point d'accès. Le processus de réassociation est réduit à un échange de deux paquets entre le client se déplaçant et le nouveau point d'accès. Les clients qui se déplacent se réassocient si rapidement qu'il n'y a pas de dlai perceptible dans la voix ou les applications sensibles au délai. Note: La fonctionnalité "RADIUS-assigned VLAN" n'est pas supportée pour les équipe- ments clients qui utilisent des SSIDs avec CCKM validé. ccnp_cch
l'accès réseau autorisé après avoir satisfait toutes les exigences d'authentifica- tion. b. Si le point d'accès ne trouve pas de correspondance pour le client dans la liste des SSIDs autorisés, le point d'accès rompt l'association avec le client. Configurer des SSIDs multiples de base Les radios des points d'accès 802.11a et 802.11g supportent maintenant jusqu'à huit SSIDs de base (BSSID) qui sont similaires à des adresses MAC. Vous utilisez des BSSIDs multiples pour affecter un paramètre DTIM unique pour chaque SSID et pour diffuser plusieurs SSIDs dans les "Beacons". une grande valeur de DTIM accroît la durée de vie des batteries. pour les équipements clients qui utilisent un SSID et la diffusion de plusieurs SSID rend votre LAN sans-fil plus accessible aux invités. Note: Les équipements de votre LAN sans-fil qui sont configurés pour s'associer au point d'accès spécifique sur la base de l'adresse MAC du point d'accès (par exemple les équipements clients, les répéteurs, les unités de secours à chaud ou les ponts de grou- pe de travail) pourraient perdre leur association quand vous ajoutez ou effacer un BSSID multiple. Quand vous ajoutez ou effacez un BSSID multiple, vérifiez l'état d'asso- ciation des équipements configurés pour s'associer avec un point d'accès spécifique. Si cela est nécessaire reconfigurez l'équipement non associé pour qu'il utilise la nouvelle adresse MAC de BSSID. Exigences pour la configuration de BSSIDs multiples Pour configurer des BSSIDs multiples, votre point d'accès doit satisfaire ces exigences minimales: Les VLANs doivent être configurés ccnp_cch
Les points d'accès doivent opérer avec la release 12 Les points d'accès doivent opérer avec la release 12.4(15)T ou suivantes de l'IOS Cisco Les points d'accès doivent contenir des interfaces radio 802.11a et 82.11g qui sup- portent les BSSIDs multiples. Pour déterminer si une interface radio supporte plu- sieurs SSIDs de base, entrez la commande show controllers radio-interface. L'in- terface radio supporte plusieurs SSIDs de base si le résultat de la commande con- tient cette ligne. Number of supported simultaneous BSSID on radio_interface: 8 Directives pour l'utilisation de BSSIDs multiples Gardez ces directives en mémoire quand vous configurez des BSSIDs multiples: Les VLANs affectés par RADIUS ne sont pas supportés quand vous utilisez des BSSIDs multiples. Quand vous activez des BSSIDs, le point d'accès fait correspondre automatiquement un BSSID à chaque SSID. Vous ne pouvez pas faire correspondre manuellement un BSSID a un SSID spécifique. Quand des BSSIDs multiples sont validés sur le point d'accès, le SSIDL.IE ne con- tient pas de liste de SSIDs; il contient uniquement les capacités étendues. Tout équipement client certifié Wi-Fi peut s'associer avec un point d'accès en utili- sant des BSSIDs multiples. Vous pouvez utiliser des BSSIDs multiples sur les points d'accès qui participent à WDS. Exemple de configuration CLI Cet exemple montre les commandes que vous utilisez pour valider de multiples BSSIDs sur une interface radio, créer un SSID appelé visitor, désigner un SSID comme un BSSID, spécifier que le BSSID est inclus dans les Beacons, fixer la période DTIM pour le BSSID et affecte le SSID visitor à l'interface radio. router(config)# interface dot11 0 router(config-if)# mbssid router(config-if)# exit router(config)# dot11 ssid visitor router(config-ssid)# mbssid guest-mode router(config-ssid)# exit router(config-if)# ssid visitor Vous pouvez également utiliser la commande dot11 mbssid en mode de configuration global pour valider simultanément des BSSIDs multiples sur toutes les interfaces radio qui supportent des BSSIDs multiples. ccnp_cch
Valider MBSSID et SSIDL en même temps Afficher les BSSIDs configurés Utilisez la commande show dot11 bssid en mode EXEC privilégié pour afficher les rela- tions entre les SSIDs et les BSSIDs ou les adresses MAC. Cet exemple montre la sortie de cette commande. router1230#show dot11 bssid Interface BSSID Guest SSID Dot11Radio1 0011.2161.b7c0 Yes atlantic Dot11Radio0 0005.9a3e.7c0f Yes WPA2-TLS-g Valider MBSSID et SSIDL en même temps Quand des BSSIDs multiples sont validés sur le point d'accès, le SSIDL IE ne contient pas de liste de SSIDs, il contient uniquement les capacités étendues. En débutant en mode EXEC privilégié, suivez ces étapes pour inclure un SID dans un SSIDL IE. Commande But configure terminal Entre en mode de configuration global. interface dot11radio { 0 | 1} Entre en mode de configuration interface pour l'interface radio. ssid ssid-string Entre en mode de configuration pour un SSID spécifique. information-element ssidl [advertisement] [wps] Inclut un SSIDL IE dans le beacon du point d'accès qui annonce les capacités étendues du point d'accès , telle 802.1x and support pour Microsoft Wireless Provisioning Services (WPS). Utilisez l'option advertisement pour inclure le nom du SSID et les capacités étendues dans le SSIDL IE. Utilisez l'option wps pour fixer les capacités WPS dans le SSIDL IE. Utilisez la forme no de la commande pour désactiver les SSIDL IEs. ccnp_cch
Extrait de configuration pour la validation de MBSSID et SSIDL Voici un extrait de configuration pour la validation de MBSSID. dot11 ssid 181x_gvlan01 vlan 1 authentication open mbssid guest-mode ! dot11 ssid 181x_gvlan02 vlan 2 wpa-psk ascii 0 12345678 dot11 ssid 181x_gvlan03 vlan 3 authentication key-management wpa dot11 ssid 181x_gvlan04 vlan 4 interface Dot11Radio0 no ip address encryption vlan 1 key 1 size 40bit 0 1234567890 transmit-key encryption vlan 1 mode ciphers wep40 encryption vlan 2 mode ciphers tkip encryption vlan 3 mode ciphers tkip encryption vlan 4 mode ciphers tkip ssid 181x_gvlan01 ssid 181x_gvlan02 ssid 181x_gvlan03 ssid 181x_gvlan04 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 mbssid station-role root ccnp_cch
Voici un extrait de configuration pour la validation de SSIDL. dot11 ssid 1841-wep128 vlan 1 authentication open information-element ssidl advertisement ! dot11 ssid 1841-tkip-psk vlan 2 authentication key-management wpa wpa-psk ascii 0 12345678 dot11 ssid 1841-aes-psk vlan 3 information-element ssidl advertisement wps interface Dot11Radio0/0/0 no ip address no snmp trap link-status encryption vlan 1 key 1 size 128bit 0 12345678901234567890123456 transmit-key encryption vlan 1 key 2 size 128bit 0 12345678901234567890123456 encryption vlan 1 mode ciphers wep128 encryption vlan 2 mode ciphers tkip encryption vlan 3 mode ciphers aes-ccm ssid 1841-wep128 ssid 1841-tkip-psk ssid 1841-aes-psk speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root ccnp_cch