WEP op een autonoom access point configuratievoorbeeld

Downloadopties

  • PDF     (359.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (176.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (186.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 oktober 2013
Document-id:116585

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u WIRED Equivalent Privacy (WEP) op een Cisco Autonomous Access Point (AP) kunt gebruiken en configureren.

Voorwaarden

Vereisten

Dit document gaat ervan uit dat u een beheerverbinding kunt maken met de WLAN-apparaten en dat de apparaten normaal functioneren in een niet-versleutelde omgeving. Om een standaard 40-bits WEP te kunnen configureren moet u twee of meer radio-eenheden hebben die met elkaar communiceren.

Gebruikte componenten

De informatie in dit document is gebaseerd op een 1140 AP die Cisco IOS® release 15.2JB uitvoert.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

WEP is het coderingsalgoritme dat in de 802.11 (Wi-Fi) standaard is ingebouwd. WEP gebruikt het stream-algoritme RC4 voor vertrouwelijkheid en de Cyclic Redundantie Check-32 (CRC-32) checksum voor integriteit .

Standaard 64-bits WEP gebruikt een 40-bits sleutel (ook bekend als WEP-40), die aaneengeschakeld is met een 24-bits initialiseringsvector (IV) om de RC4-sleutel te vormen. Een 64-bits WEP-toets wordt meestal ingevoerd als een string van 10 hexadecimale (basis 16) tekens (nul tot en met negen en A-F). Elk teken vertegenwoordigt vier bits, en tien cijfers van vier bits elk is gelijk aan 40 bits; als u de 24-bits IV toevoegt, produceert het de volledige 64-bits WEP-sleutel.

Een 128-bits WEP-toets wordt meestal ingevoerd als een string van 26 hexadecimale tekens. Zesentwintig cijfers van vier bits elk is gelijk aan 104 bits; als u de 24-bits IV toevoegt, produceert het de volledige 128-bits WEP-sleutel. Bij de meeste apparaten kan de gebruiker de sleutel invoeren als 13 ASCII-tekens.

Verificatiemethoden

Er kunnen twee verificatiemethoden worden gebruikt voor WEP: Open Systeemverificatie en gedeelde sleutelverificatie.

Bij Open System Verification hoeft de WLAN-client geen referenties aan het AP te verstrekken voor verificatie. Elke client kan geverifieerd worden met het toegangspunt en vervolgens proberen een koppeling te maken. Er vindt geen verificatie plaats. Vervolgens kunnen WEP-sleutels worden gebruikt om gegevenskaders te versleutelen. Op dit punt moet de client de juiste sleutels hebben.

Met Shared Key Verification wordt de WEP-sleutel gebruikt voor verificatie in een handdruk die uit vier stappen bestaat:

  1. De client stuurt een verificatieaanvraag naar het toegangspunt.
  2. De AP antwoordt met een duidelijke tekst uitdaging.
  3. De client versleutelt de challenge-tekst met de ingestelde WEP-toets en reageert met een ander verificatieverzoek.
  4. Het toegangspunt ontcijfert de respons. Als de reactie overeenkomt met de challenge-tekst, stuurt de AP een positief antwoord.

Na de verificatie en associatie wordt de vooraf gedeelde WEP-sleutel ook gebruikt om de gegevenskaders te versleutelen met RC4.

Op het eerste gezicht lijkt het misschien alsof gedeelde sleutelverificatie veiliger is dan open systeemverificatie, omdat de laatste geen echte verificatie biedt. Het omgekeerde is echter waar. Het is mogelijk om de sleutelstroom af te leiden die voor de handdruk wordt gebruikt als u de uitdagingsframes in Gedeelde Zeer belangrijke Verificatie vangt. Daarom is het raadzaam om Open Systeemverificatie te gebruiken voor WEP-verificatie in plaats van gedeelde sleutel verificatie.

TKIP (Temporal Key Integrity Protocol) is gemaakt om deze WEP-problemen aan te pakken. Gelijkaardig aan WEP, gebruikt TKIP RC4 encryptie. TKIP verbetert WEP echter door maatregelen toe te voegen zoals het per pakket haken van toetsen, Message Integrity Check (MIC) en Broadcast key rotatie om bekende WEP-kwetsbaarheden aan te pakken. TKIP maakt gebruik van het RC4 stream-algoritme met 128-bits sleutels voor codering en 64-bits sleutels voor verificatie.

Configureren

Deze sectie verschaft de GUI- en CLI-configuraties voor WEP.

Configuratie GUI

Voltooi deze stappen om WEP met de GUI te configureren.

  1. Verbinding met het toegangspunt wordt gemaakt via de GUI.
  2. Kies in het menu Beveiliging aan de linkerkant van het venster de optie Encryption Manager voor de radio-interface waarop u de statische WEP-toetsen wilt configureren.
  3. Klik onder Encryptie-modi op WEP-encryptie en selecteer Verplicht in het vervolgkeuzemenu voor de client.

    De versleutelingsmodi die door station worden gebruikt, zijn:
    • Standaard (geen encryptie) - vereist dat clients zonder gegevenscodering met het toegangspunt communiceren. Deze instelling wordt niet aanbevolen.
    • Optioneel - hiermee kunnen clients met of zonder gegevenscodering met het toegangspunt communiceren. Meestal gebruikt u deze optie als u clientapparaten hebt die geen WEP-verbinding kunnen maken, zoals niet-Cisco-clients in een 128-bits WEP-omgeving.
    • Verplicht (Full Encryption) - Vereist van clients om gegevenscodering te gebruiken wanneer ze communiceren met het toegangspunt. Clients die geen gegevenscodering gebruiken, mogen niet communiceren. Deze optie wordt aanbevolen als u de beveiliging van uw WLAN wilt maximaliseren.
  4. Selecteer onder Versleutelingstoetsen de radioknop Verzenden en voer de 10-cijferige hexadecimale sleutel in. Zorg ervoor dat de sleutelgrootte op 40 bit is ingesteld.

    Voer 10 hexadecimale cijfers in voor 40-bits WEP-toetsen of 26 hexadecimale cijfers voor 128-bits WEP-toetsen. De sleutels kunnen om het even welke combinatie deze cijfers zijn:
    • 0 tot 9
    • a t/m f
    • A t/m F

     

  5. Klik op Apply-All om de configuratie op beide radio's toe te passen.

  6. Maak een Service Set Identifier (SSID) met Open verificatie, en klik op Toepassen om het in beide radio's in te schakelen.


  7. Navigeer naar het netwerk en schakel de radio’s in voor 2,4 GHz en 5 GHz om ze te laten draaien.

CLI-configuratie

Gebruik deze sectie om WEP met de CLI te configureren.

ap#show run
Building configuration...

Current configuration : 1794 bytes
!
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$kxBl$OhRR4QtTUVDUA9GakGDFs1
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
  dot11 ssid wep-config
  authentication open
  guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1

 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 dfs band 3 block
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 no keepalive
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 ip address dhcp
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.106.127.4
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end

Verifiëren

Voer deze opdracht in om te bevestigen dat uw configuratie correct werkt:

ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [wep-config] :
MAC Address    IP address      Device        Name           Parent         State
1cb0.94a2.f64c 10.106.127.251  unknown       -              self           Assoc

Problemen oplossen

Deze sectie bevat troubleshooting-informatie voor uw configuratie.

Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.

Deze debug commando's zijn handig om de configuratie problemen op te lossen:

  • debug dot11-gebeurtenissen - Schakelt de debug in voor alle dot1x-gebeurtenissen.
  • debug dot11-pakketten - Schakelt de debug voor alle dot1x-pakketten in.

Hier is een voorbeeld van het logbestand dat wordt weergegeven wanneer de client met succes is gekoppeld aan het WLAN:

*Mar  1 02:24:46.246: %DOT11-6-ASSOC: Interface Dot11Radio0, Station  
1cb0.94a2.f64c Associated KEY_MGMT[NONE]

Wanneer de client de verkeerde toets invoert, wordt deze fout weergegeven:

*Mar  1 02:26:00.741: %DOT11-4-ENCRYPT_MISMATCH: Possible encryption key 
mismatch between interface Dot11Radio0 and station 1cb0.94a2.f64c
*Mar  1 02:26:21.312: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating 
Station 1cb0.94a2.f64c Reason: Sending station has left the BSS
*Mar  1 02:26:21.312: *** Deleting client 1cb0.94a2.f64c

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
30-Sep-2013
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Debashree Jena
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten