WEP على مثال تكوين نقطة الوصول الذاتية

المقدمة

يصف هذا وثيقة كيف أن يستعمل ويشكل سلكي مكافئ خصوصية (WEP) على cisco مستقل منفذ نقطة (AP).

المتطلبات الأساسية

المتطلبات

يفترض هذا المستند أنه يمكنك إجراء اتصال إداري بأجهزة شبكة WLAN، وأن الأجهزة تعمل بشكل طبيعي في بيئة غير مشفرة. من أجل تكوين WEP قياسي 40-بت، يجب أن يكون لديك وحدتين راديو أو أكثر تتواصلان مع بعضهما البعض.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى نقطة وصول 1140 تشغل الإصدار 15.2JB من Cisco IOS^®.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

WEP هو خوارزمية التشفير المضمنة في مقياس 802.11 (Wi-Fi). يستخدم WEP تشفير الدفق RC4 ل السرية، والتحقق الدوري من التكرار -32 (CRC-32) المجموع الاختباري ل السلامة .

يستخدم WEP القياسي 64 بت مفتاح 40 بت (المعروف أيضا ب WEP-40)، والذي يتم تجميعه مع متجه تهيئة 24 بت (IV) لتشكيل مفتاح RC4. عادة ما يتم إدخال مفتاح WEP 64-بت كسلسلة من 10 حروف سداسية عشرية (أساس 16) (صفر إلى تسعة وألف إلى f). كل حرف يمثل أربعة وحدات بت، وعشرة أرقام من أربعة وحدات بت كل منها يساوي 40 بت، وإذا قمت بإضافة ال 24 بت IV، فإنه ينتج مفتاح WEP كامل 64 بت.

عادة ما يتم إدخال مفتاح WEP 128-بت كسلسلة من 26 حرف سداسي عشر. ست وعشرون رقما من أربع وحدات بت لكل منها تساوي 104 وحدات بت، وإذا قمت بإضافة 24 بت IV، فإنه ينتج مفتاح WEP الكامل ذو 128 بت. تتيح معظم الأجهزة للمستخدم إدخال المفتاح على هيئة 13 حرف ASCII.

أساليب المصادقة

يمكن إستخدام طريقتين للمصادقة مع WEP: مصادقة نظام مفتوحة ومصادقة مفتاح مشترك.

باستخدام مصادقة النظام المفتوحة، لا يحتاج عميل WLAN إلى توفير بيانات اعتماد لنقطة الوصول للمصادقة. يمكن لأي عميل المصادقة مع نقطة الوصول، ثم يحاول الاقتران. في الواقع، لا تحدث أي مصادقة. فيما بعد، يمكن إستخدام مفاتيح WEP لتشفير إطارات البيانات. عند هذه النقطة، يجب أن يكون لدى العميل المفاتيح الصحيحة.

باستخدام مصادقة المفتاح المشترك، يستخدم مفتاح WEP للمصادقة في مصافحة الاستبيان-الاستجابة ذات الخطوات الأربع:

1. يرسل العميل طلب مصادقة إلى نقطة الوصول.
2. ترد نقطة الوصول بتحدي النص الواضح.
3. يقوم العميل بتشفير نص التحدي باستخدام مفتاح WEP الذي تم تكوينه، ويستجيب لطلب مصادقة آخر.
4. تقوم نقطة الوصول بفك تشفير الاستجابة. إذا تطابقت الاستجابة مع نص التحدي، ترسل نقطة الوصول ردا إيجابيا.

بعد المصادقة والاقتران، يتم إستخدام مفتاح WEP المشترك مسبقا لتشفير إطارات البيانات باستخدام RC4.

للوهلة الأولى، قد يبدو أن مصادقة المفاتيح المشتركة أكثر أمانا من مصادقة النظام المفتوحة، نظرا لأن الأخيرة لا توفر أي مصادقة حقيقية. لكن العكس هو الصحيح. من الممكن اشتقاق تدفق المفاتيح المستخدم في المصافحة إذا قمت بالتقاط إطارات التحدي في مصادقة المفتاح المشترك. ومن ثم، فمن المستحسن إستخدام مصادقة النظام المفتوح لمصادقة WEP بدلا من مصادقة المفتاح المشترك.

وتم إنشاء بروتوكول سلامة المفاتيح المؤقتة (TKIP) من أجل معالجة مشاكل WEP هذه. وكما هو الحال مع WEP، يستخدم TKIP تشفير RC4. ومع ذلك، فإن TKIP يحسن WEP بإضافة مقاييس مثل تجزئة مفتاح كل حزمة، وفحص سلامة الرسائل (MIC)، وتدوير مفتاح البث من أجل معالجة نقاط الضعف المعروفة ل WEP. يستخدم TKIP تشفير تدفق RC4 مع مفاتيح 128-بت للتشفير ومفاتيح 64-بت للمصادقة.

التكوين

يزود هذا قسم ال gui و CLI تشكيل ل WEP.

تكوين GUI

أتمت هذا steps in order to شكلت WEP مع ال gui.

1. اتصل بنقطة الوصول من خلال واجهة المستخدم الرسومية.
2. من قائمة التأمين الموجودة على الجانب الأيسر من النافذة، أختر مدير التشفير لواجهة الراديو التي تريد تكوين مفاتيح WEP الثابتة الخاصة بك.
3. تحت أوضاع التشفير، انقر على تشفير WEP، وحدد إلزامي من القائمة المنسدلة للعميل.
   
   أوضاع التشفير المستخدمة بواسطة المحطة هي:
   
   • افتراضي (لا تشفير) - يتطلب من العملاء الاتصال بنقطة الوصول دون تشفير للبيانات. لا يوصى بهذا الإعداد.
   • إختياري - يسمح للعملاء بالاتصال بنقطة الوصول إما بتشفير البيانات أو بدونه. وعادة ما تستخدم هذا الخيار عندما يكون لديك أجهزة عميل لا يمكنها إجراء اتصال WEP، مثل العملاء من غير Cisco في بيئة WEP 128-بت.
   • إلزامي (تشفير كامل) - يتطلب من العملاء إستخدام تشفير البيانات عند اتصالهم بنقطة الوصول. غير مسموح للعملاء الذين لا يستخدمون تشفير البيانات بالاتصال. يوصى بهذا الخيار إذا كنت ترغب في زيادة أمان شبكة WLAN الخاصة بك إلى الحد الأقصى.
4. تحت مفاتيح التشفير، حدد زر انتقاء مفتاح الإرسال، وأدخل المفتاح السادس عشري من 10 أرقام. تأكد من تعيين حجم المفتاح على 40 بت.
   
   أدخل 10 أرقام سداسية عشرية لمفاتيح WEP ذات 40-بت أو 26 رقما سداسية عشرية لمفاتيح WEP ذات 128-بت. يمكن أن تكون المفاتيح أي تركيب لهذه الأرقام:
   
   • من 0 إلى 9
   • من أ إلى و
   • من A إلى F

    

5. طقطقة يطبق all in order to طبقت التشكيل على كلا من المذياع.
   

   

6. قم بإنشاء معرف مجموعة خدمة (SSID) بمصادقة مفتوحة، وانقر تطبيق لتمكينه على كل من أجهزة الراديو.
   

   

   
   

   

7. انتقل إلى الشبكة، وقم بتمكين أجهزة الإرسال اللاسلكي بتردد 2.4 جيجاهرتز و5 جيجاهرتز لتشغيلها.

تكوين واجهة سطر الأوامر (CLI)

استعملت هذا قسم in order to شكلت WEP مع ال CLI.

ap#show run
Building configuration...

Current configuration : 1794 bytes
!
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$kxBl$OhRR4QtTUVDUA9GakGDFs1
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
  dot11 ssid wep-config
  authentication open
  guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1

 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 dfs band 3 block
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 no keepalive
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 ip address dhcp
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.106.127.4
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end

التحقق من الصحة

دخلت هذا أمر in order to أكدت أن تشكيلك يعمل بشكل صحيح:

ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [wep-config] :
MAC Address    IP address      Device        Name           Parent         State
1cb0.94a2.f64c 10.106.127.251  unknown       -              self           Assoc

استكشاف الأخطاء وإصلاحها

استخدم هذا القسم لاستكشاف أخطاء التكوين وإصلاحها.

ملاحظة: ارجع إلى معلومات مهمة حول أوامر التصحيح قبل إستخدام أوامر debug.

تكون أوامر تصحيح الأخطاء هذه مفيدة لاستكشاف أخطاء التكوين وإصلاحها:

• debug dot11 events - يمكن ال debug لكل dot1x حادث.
• debug dot11 packet - يمكن ال debug لكل ربط dot1x.

فيما يلي مثال على السجل الذي يعرض عندما يرتبط العميل بنجاح بشبكة WLAN:

*Mar  1 02:24:46.246: %DOT11-6-ASSOC: Interface Dot11Radio0, Station  
1cb0.94a2.f64c Associated KEY_MGMT[NONE]

عندما يدخل العميل المفتاح الخطأ، يعرض هذا الخطأ:

*Mar  1 02:26:00.741: %DOT11-4-ENCRYPT_MISMATCH: Possible encryption key 
mismatch between interface Dot11Radio0 and station 1cb0.94a2.f64c
*Mar  1 02:26:21.312: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating 
Station 1cb0.94a2.f64c Reason: Sending station has left the BSS
*Mar  1 02:26:21.312: *** Deleting client 1cb0.94a2.f64c