Ｌｉｎｕｘ下使用ＷＰＡ保護(hù)無(wú)線網(wǎng)絡(luò)安全

霍瓊?cè)A

摘要:隨著無(wú)線網(wǎng)絡(luò)接入技術(shù)的發(fā)展,無(wú)線網(wǎng)絡(luò)接入已經(jīng)成為重要的網(wǎng)絡(luò)接入方式,與此帶來的網(wǎng)絡(luò)安全問題也越來越受到重視,如何保護(hù)無(wú)線網(wǎng)絡(luò)的安全,避免非授權(quán)用戶接入無(wú)線網(wǎng)絡(luò)也得到了更多的關(guān)注。在Windows平臺(tái)下,操作系統(tǒng)簡(jiǎn)化了無(wú)線接入使用安全協(xié)議的操作步驟,用戶幾乎感覺不到這些安全協(xié)議的存在。而在Linux平臺(tái)下,提供的無(wú)線接入程序界面友好程度相對(duì)要低一些,尤其是在對(duì)WPA 協(xié)議的支持上不能完全支持,經(jīng)常會(huì)出現(xiàn)無(wú)法通過身份認(rèn)證而無(wú)法連接到網(wǎng)絡(luò)的情況。文章以 Linux下使用較多的Ubuntu版本為例,介紹了如何在Linux平臺(tái)下使用WPA協(xié)議保護(hù)的無(wú)線網(wǎng)絡(luò)的方法。

關(guān)鍵詞:LINUX;WAP;無(wú)線網(wǎng)絡(luò)

中圖分類號(hào):TP393.17文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-8937(2009)08-0119-02

Linux是一套免費(fèi)使用和自由傳播類Unix操作系統(tǒng),其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。目前Linux的版本有很多,比較知名的有Red hat,Open SUSE以及目前比較流行的Ubuntu等。Ubuntu作為新興的Linux版本,以其便捷的圖形化操作界面,相比其他版本的Linux而言,大大減少了用戶所需要記憶的各種枯燥的命令,而獲得更多用戶的青睞。目前無(wú)線接入相對(duì)于有線接入方式來說,最大的好處莫過于可以甩開網(wǎng)線,實(shí)現(xiàn)隨時(shí)隨地網(wǎng)絡(luò)接入。Ubuntu雖然提供了無(wú)線接入方式,但是需要用戶進(jìn)行相應(yīng)的配置,而且Ubuntu下的網(wǎng)絡(luò)管理圖形界面Network Management對(duì)于WPA無(wú)線身份認(rèn)證協(xié)議支持不是很好,經(jīng)常出現(xiàn)無(wú)法連接到使用WPA身份認(rèn)證的無(wú)線AP的情況,下面介紹使用wpa_supplicant+wifi-radar方式實(shí)現(xiàn)接入WPA身份認(rèn)證無(wú)線AP方法。

1無(wú)線網(wǎng)絡(luò)相關(guān)術(shù)語(yǔ)

無(wú)線局域網(wǎng)絡(luò)(Wireless Local Area Networks; WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng),它利用射頻(Radio Frequency; RF)的技術(shù),取代舊式礙手礙腳的雙絞銅線(Coaxial)所構(gòu)成的局域網(wǎng)絡(luò)。

AP是(Wireless) Access Point的縮寫,即(無(wú)線)訪問接入點(diǎn)。如果無(wú)線網(wǎng)卡可比作有線網(wǎng)絡(luò)中的以太網(wǎng)卡,那么AP就是傳統(tǒng)有線網(wǎng)絡(luò)中的HUB,也是目前組建小型無(wú)線局域網(wǎng)時(shí) 最常用的設(shè)備。AP相當(dāng)于一個(gè)連接有線網(wǎng)和無(wú)線網(wǎng)的橋梁,其主要作用是將各個(gè)無(wú)線網(wǎng)絡(luò)客戶端連接到一起,然后將無(wú)線網(wǎng)絡(luò)接入以太網(wǎng)(這正是Access Point名稱的本義)。

SSID是Service Set Identifier的縮寫,意思是:服務(wù)集標(biāo)識(shí)。SSID技術(shù)可以將一個(gè)無(wú)線局域網(wǎng)絡(luò)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)絡(luò),每一個(gè)子網(wǎng)絡(luò)都需要獨(dú)立的身份驗(yàn)證,只有通過身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò),防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò),SSID也可以寫為ESSID,用來區(qū)分不同的網(wǎng)絡(luò),最多可以有32個(gè)字符,無(wú)線網(wǎng)卡設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。出于安全考慮可以不廣播SSID,此時(shí)用戶就要手工設(shè)置SSID才能進(jìn)入相應(yīng)的網(wǎng)絡(luò)。簡(jiǎn)單說,SSID就是一個(gè)局域網(wǎng)的名稱,只有設(shè)置為名稱相同SSID的值的電腦才能互相通信。

WEP--Wired Equivalent Privacy加密技術(shù),WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。WEP是Wired Equivalent Privacy的簡(jiǎn)稱,有線等效保密(WEP)協(xié)議是對(duì)在兩臺(tái)設(shè)備間無(wú)線傳輸?shù)臄?shù)據(jù)進(jìn)行加密的方式,用以防止非法用戶竊聽或侵入無(wú)線網(wǎng)絡(luò)。802.11b標(biāo)準(zhǔn)里定義的一個(gè)用于無(wú)線局域網(wǎng)(WLAN)的安全性協(xié)議。WEP被用來提供和有線LAN同級(jí)的安全性,目標(biāo)就是通過對(duì)無(wú)線電波里的數(shù)據(jù)加密提供安全性,如同端-端發(fā)送一樣。

WPA 全名為 Wi-Fi Protected Access,有WPA 和 WPA2兩個(gè)標(biāo)準(zhǔn),是一種保護(hù)無(wú)線電腦網(wǎng)絡(luò)(Wi-Fi)安全的系統(tǒng)。WPA 實(shí)作了 IEEE 802.11i 標(biāo)準(zhǔn)的大部分,是在 802.11i 完備之前替代 WEP 的過渡方案。在使用家庭中和小型辦公室最可能選用的“個(gè)人”模式時(shí),為了保全的完整性,所需的密碼一定要超過六到八個(gè)字符。

2配置實(shí)例

在配置計(jì)算機(jī)前,首先要對(duì)AP進(jìn)行相應(yīng)的配置,以啟用WPA身份認(rèn)證。這里以常見的無(wú)線寬帶路由器TP-LINK的TL-WR340G型無(wú)線寬帶路由器配置為例,其他型號(hào)的無(wú)線寬帶路由器可以參考說明書進(jìn)行相應(yīng)的設(shè)置。首先在連接到無(wú)線寬帶路由器的計(jì)算機(jī)上啟動(dòng)瀏覽器,在地址欄輸入無(wú)線寬帶路由器管IP地址,通常默認(rèn)地址為:192.168.1.1,在彈出的登錄對(duì)話框中輸入用戶名和密碼,默認(rèn)用戶名和密碼都是:admin。切換到無(wú)線參數(shù)選項(xiàng)欄中,首先對(duì)默認(rèn)的SSID進(jìn)行修改。為了提高無(wú)線網(wǎng)絡(luò)安全性,建議將廣播SSID功能取消,避免授權(quán)用戶對(duì)AP進(jìn)行掃描。將無(wú)線路由器的“開啟安全設(shè)置”打開,在“安全類型”中,可以選擇“WEP”,“WPA/WPA2”,“WPA-PSK/WPA2-PSK”,根據(jù)上面的介紹,WEP作為較舊的無(wú)線加密技術(shù),RC4目前已經(jīng)被破解,繼續(xù)采用WEP方式已經(jīng)無(wú)法滿足安全的需求了,而 WPA/WPA2方式是指采用企業(yè)級(jí)的 WPA/WPA2身份認(rèn)證方式,網(wǎng)絡(luò)上還需要一臺(tái) RADIUS 服務(wù)器完成802.1x身份認(rèn)證協(xié)議的支持,對(duì)于一般用戶使用不到。PA-PSK/WPA2-PSK方式為個(gè)人版的WPA,已經(jīng)可以足夠滿足搭建安全無(wú)線網(wǎng)絡(luò)的需求了,所以這里“安全類型”選擇“WPA-PSK/WPA2-PSK”。在“安全選項(xiàng)”中,選擇類型有:“自動(dòng)”,“WPA-PSK”,“WPA2-PSK”,最好選擇安全性更高的WPA2-PSK。在“加密方式”:“自動(dòng)”,“TKIP”,“AES”三個(gè)選項(xiàng)中,最好選擇“自動(dòng)”,表示同時(shí)啟用“TKIP”,“AES”兩種方式,因?yàn)門KIP: Temporal Key Integrity Protocol負(fù)責(zé)處理無(wú)線安全問題的加密部分,TKIP由WEP使用的同樣的加密引擎和RC4算法組成,不過TKIP中密碼使用的密鑰長(zhǎng)度為128位,AES用于對(duì)密匙進(jìn)行加密。在PSK密碼欄輸入加密密匙:“TestPassw0rd123456”(注意:這里輸入的密碼長(zhǎng)度最短為8個(gè)字符,最長(zhǎng)不超過63個(gè)字符)。一切輸入完畢以后點(diǎn)擊保存,將配置保存。配置如圖1所示。在配置完無(wú)線安全參數(shù)后,可以根據(jù)需要打開無(wú)線AP的DHCP功能,為了保護(hù)無(wú)線網(wǎng)絡(luò)的安全,不建議打開該功能。

配置完無(wú)線AP以后,就可以在Ubuntu下進(jìn)行配置了。配置之前首先需要進(jìn)行一些準(zhǔn)備工作:{1}檢查你所安裝的Ubuntu版本,目前最新的Ubuntu版本為8.10版,而8.04版以上的Ubuntu默認(rèn)已經(jīng)安裝了wpa_supplicant,如果不清楚自己所安裝的Ubuntu版本,可以在終端模式下輸入命令:$uname -r 以檢查自己的Ubuntu版本,8.04版本以上所使用的內(nèi)核編號(hào)為2.6.24-19-generic。{2}安裝wifi-radar軟件包。wifi-radar是一個(gè)用Python語(yǔ)言編寫的帶圖形化界面的WiFi管理軟件,而我們就是使用wifi-radar代替Ubuntu自帶的Network Management完成連接到無(wú)線網(wǎng)絡(luò)工作。默認(rèn)情況下Ubuntu是不安裝wifi-radar軟件包的,需要我們手動(dòng)添加該軟件包。從wifi-radar軟件包的官方主頁(yè)上進(jìn)行下載安裝包了,需要注意的是wifi-radar軟件包對(duì)系統(tǒng)的其他軟件包具有依賴關(guān)系,在安裝wifi-radar軟件包之前,要確認(rèn)具有依賴關(guān)系的其他軟件包都已經(jīng)安裝完畢。wpa_supplicant程序是在Linux,,BSD,Mac OS X以及Windows平臺(tái)下提供對(duì)WPA/WPA2協(xié)議的支持。wpa_supplicant提供WPA-PSK,WPA(RADIUS 認(rèn)證服務(wù)器) ,支持AES(Ubuntu下為CCMP)以及TKIP加密算法 ,支持PMKSA,以及預(yù)分配兩種密匙管理方式。啟用wpa_supplicant方法為:在終端模式下輸入命令:$sudo wpa_supplicant -Bw -i wlan0 -c ~/wpa2-psk-tkip.conf就可以了(注意運(yùn)行wpa_supplicant需要提升為root權(quán)限。-B:程序運(yùn)行于后臺(tái)。-w:等待直到網(wǎng)卡準(zhǔn)備好,如果不帶該參數(shù)wpa_supplicant運(yùn)行后就會(huì)自動(dòng)退出。-i:指定在哪一塊網(wǎng)卡上監(jiān)聽。-c:指定wpa_supplicant所需要使用的配置文件。WPA-PSK協(xié)議中需要指定無(wú)線AP的SSID,使用的加密算法,以及使用的密匙等信息,就是通過wpa_supplicant配置文件提供的。在使用wpa_supplicant之前,要先建立所要使用的配置文件,根據(jù)無(wú)線AP上進(jìn)行的安全配置選項(xiàng),在當(dāng)前用戶目錄下建立wpa2-psk-tkip.conf配置文件如下:

# WPA-PSK/TKIP

ctrl_interface=/var/run/wpa_supplicant

network={

ssid="wireless-home"

#輸入無(wú)線AP的SSID

key_mgmt=WPA-PSK

#密匙管理采用WPA-PSK方式

proto=WPA2

#使用WPA2協(xié)議

pairwise=TKIP

#加密方式TKIP

group=TKIP

#密匙組TKIP

psk="TestPassw0rd123456" #輸入無(wú)線AP中保存的密匙

}

在以上這些工作都結(jié)束以后,在終端模式下運(yùn)行:$sudo wpa_supplicant -Bw -i wlan0 -c ~/wpa2-psk-tkip.conf,wpa_supplicant程序就已經(jīng)在后臺(tái)中運(yùn)行,檢查程序是否已經(jīng)運(yùn)行,在終端模式下輸入:$ps -A | grep wpa_supplicant查看是否有wpa_supplicant進(jìn)程正在運(yùn)行。在完成wpa_supplicant程序進(jìn)行身份認(rèn)證的部分后,就可以開始使用wifi-radar管理無(wú)線網(wǎng)絡(luò)連接了。在終端模式下運(yùn)行:$sudo wifi-radar(需要提升至root權(quán)限)。wifi-radar是一個(gè)圖形化界面的無(wú)線網(wǎng)絡(luò)連接管理程序。單擊“New”,在彈出的對(duì)話框中Network Name輸入無(wú)線AP的SSID:wireless-home,在WPA項(xiàng)點(diǎn)擊“Use WPA”,“Driver”項(xiàng)欄目保持為空,如果之前的無(wú)線AP配置中打開了DHCP功能的話,保持“Automatic network configuration(DHCP)”不作修改,否則填入與無(wú)線AP所在同一網(wǎng)段的IP地址以及網(wǎng)關(guān)。配置完畢以后,點(diǎn)擊“Save”保存,回到wifi-radar界面下點(diǎn)擊“Connect”,就可以連接到無(wú)線AP。

在使用過程中,如果出現(xiàn)無(wú)法連接到無(wú)線AP的情況,通常是wpa_supplicant配置文件出現(xiàn)了問題,為了確定身份認(rèn)證是否成功,可以在運(yùn)行wpa_supplicant時(shí)不帶控制參數(shù)-B,此時(shí)wpa_supplicant程序運(yùn)行在終端控制臺(tái)中,通過查看wpa_supplicant運(yùn)行信息,即可判斷是否是因?yàn)樯矸菡J(rèn)證失敗導(dǎo)致無(wú)法連接到無(wú)線AP,如(見圖2)。

當(dāng)看到“WPA: Group rekeying completed with 00:1d:0f:43:30:54 [GTK=TKIP]”這條信息,表示身份認(rèn)證已經(jīng)成功。

3結(jié)語(yǔ)

以上就是在Linux平臺(tái)下使用wpa_supplicant+wifi-radar方式實(shí)現(xiàn)連接到WPA身份認(rèn)證無(wú)線AP的相關(guān)配置。Linux下連接到WPA身份認(rèn)證無(wú)線AP的方法較Windows平臺(tái)復(fù)雜,但是在做好相關(guān)配置文件后,Linux也可以如此簡(jiǎn)單地使用無(wú)線安全協(xié)議WPA來保護(hù)了無(wú)線網(wǎng)絡(luò)的安全。同時(shí)通過查看wpa_supplicant程序的運(yùn)行信息,可以直觀的看到WPA的認(rèn)證過程,有助于對(duì)WPA協(xié)議的認(rèn)識(shí)。