Konfigurationsbeispiel für WEP auf einem unabhängigen Access Point

Einführung

Dieses Dokument beschreibt die Verwendung und Konfiguration von Wired Equivalent Privacy (WEP) auf einem Cisco Autonome Access Point (AP).

Voraussetzungen

Anforderungen

In diesem Dokument wird davon ausgegangen, dass Sie eine administrative Verbindung zu den WLAN-Geräten herstellen können und dass die Geräte normal in einer unverschlüsselten Umgebung funktionieren. Um ein standardmäßiges 40-Bit-WEP zu konfigurieren, müssen Sie über zwei oder mehr Funkeinheiten verfügen, die miteinander kommunizieren.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf einem Access Point der Serie 1140, auf dem Cisco IOS^® Release 15.2JB ausgeführt wird.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Hintergrundinformationen

WEP ist der in den 802.11-Standard (Wi-Fi) integrierte Verschlüsselungsalgorithmus. WEP verwendet den Streamchipher RC4 zur Vertraulichkeit und die Cyclische Redundanz Check-32 (CRC-32) Prüfsumme für Integrität.

Standard-64-Bit-WEP verwendet einen 40-Bit-Schlüssel (auch als WEP-40 bekannt), der mit einem 24-Bit-Initialisierungsvektor (IV) verkettet wird, um den RC4-Schlüssel zu bilden. Ein 64-Bit-WEP-Schlüssel wird normalerweise als Zeichenfolge mit 10 Hexadezimalzeichen (Basis 16) (0 bis 9 und A-F) eingegeben. Jedes Zeichen repräsentiert vier Bit, und zehn Ziffern mit jeweils vier Bits entsprechen jeweils 40 Bit. Wenn Sie den 24-Bit-IV hinzufügen, wird der vollständige 64-Bit-WEP-Schlüssel generiert.

Ein 128-Bit-WEP-Schlüssel wird normalerweise als Zeichenfolge mit 26 Hexadezimalzeichen eingegeben. 26 Stellen mit jeweils vier Bits entsprechen jeweils 104 Bit; Wenn Sie den 24-Bit-IV hinzufügen, wird der vollständige 128-Bit-WEP-Schlüssel generiert. Bei den meisten Geräten kann der Benutzer den Schlüssel als 13 ASCII-Zeichen eingeben.

Authentifizierungsmethoden

Mit WEP können zwei Authentifizierungsmethoden verwendet werden: Öffnen Sie die Systemauthentifizierung und die Authentifizierung über gemeinsam genutzten Schlüssel.

Bei der offenen Systemauthentifizierung muss der WLAN-Client dem WAP keine Anmeldeinformationen für die Authentifizierung bereitstellen. Jeder Client kann sich beim Access Point authentifizieren und dann versuchen, eine Verbindung herzustellen. Im Endeffekt findet keine Authentifizierung statt. Anschließend können WEP-Schlüssel zum Verschlüsseln von Datenframes verwendet werden. An diesem Punkt muss der Client über die richtigen Schlüssel verfügen.

Mit Shared Key Authentication wird der WEP-Schlüssel für die Authentifizierung in einem vierstufigen Challenge-Response-Handshake verwendet:

1. Der Client sendet eine Authentifizierungsanfrage an den AP.
2. Der Access Point antwortet mit einer Klartext-Herausforderung.
3. Der Client verschlüsselt den Challenge-Text mit dem konfigurierten WEP-Schlüssel und antwortet mit einer weiteren Authentifizierungsanfrage.
4. Der Access Point entschlüsselt die Antwort. Wenn die Antwort mit dem Challenge-Text übereinstimmt, sendet der Access Point eine positive Antwort.

Nach der Authentifizierung und Zuordnung wird auch der vorinstallierte WEP-Schlüssel verwendet, um die Daten-Frames mit RC4 zu verschlüsseln.

Auf den ersten Blick mag es so aussehen, als wäre die Shared Key-Authentifizierung sicherer als die Open System Authentication, da letztere keine echte Authentifizierung bietet. Das Gegenteil ist jedoch der Fall. Es ist möglich, den für den Handshake verwendeten Tastenanschlag abzuleiten, wenn Sie die Challenge-Frames in Shared Key Authentication erfassen. Daher ist es ratsam, für die WEP-Authentifizierung die Open System Authentication anstelle der Shared Key Authentication zu verwenden.

Um diese WEP-Probleme zu beheben, wurde das Temporal Key Integrity Protocol (TKIP) erstellt. Ähnlich wie WEP verwendet TKIP die RC4-Verschlüsselung. TKIP verbessert WEP jedoch durch zusätzliche Maßnahmen wie Hashing pro Paketschlüssel, Message Integrity Check (MIC) und Broadcast Key Rotation, um bekannte WEP-Schwachstellen zu beheben. TKIP verwendet die RC4-Stream-Verschlüsselung mit 128-Bit-Schlüsseln für die Verschlüsselung und 64-Bit-Schlüssel für die Authentifizierung.

Konfigurieren

Dieser Abschnitt enthält die GUI- und CLI-Konfigurationen für WEP.

GUI-Konfiguration

Führen Sie diese Schritte aus, um WEP mit der GUI zu konfigurieren.

1. Stellen Sie über die Benutzeroberfläche eine Verbindung zum Access Point her.
2. Wählen Sie im Menü Security (Sicherheit) links im Fenster Encryption Manager für die Funkschnittstelle aus, für die Sie die statischen WEP-Schlüssel konfigurieren möchten.
3. Klicken Sie unter Verschlüsselungsmodi auf WEP Encryption, und wählen Sie Obligatorisch aus dem Dropdown-Menü für den Client aus.
   
   Die von Station verwendeten Verschlüsselungsmodi sind:
   
   • Standard (Keine Verschlüsselung) - Erfordert Clients, ohne Datenverschlüsselung mit dem AP zu kommunizieren. Diese Einstellung wird nicht empfohlen.
   • Optional - Ermöglicht Clients die Kommunikation mit dem Access Point entweder mit oder ohne Datenverschlüsselung. In der Regel verwenden Sie diese Option, wenn Sie über Clientgeräte verfügen, die keine WEP-Verbindung herstellen können, z. B. Clients von anderen Anbietern in einer 128-Bit-WEP-Umgebung.
   • Obligatorisch (Vollverschlüsselung) - Erfordert Clients, die Datenverschlüsselung verwenden, wenn sie mit dem Access Point kommunizieren. Clients, die keine Datenverschlüsselung verwenden, dürfen nicht kommunizieren. Diese Option wird empfohlen, wenn Sie die Sicherheit Ihres WLANs maximieren möchten.
4. Aktivieren Sie unter Verschlüsselungsschlüssel das Optionsfeld Übertragungsschlüssel, und geben Sie den 10-stelligen Hexadezimalschlüssel ein. Stellen Sie sicher, dass die Schlüsselgröße auf 40 Bit eingestellt ist.
   
   Geben Sie 10 Hexadezimalziffern für 40-Bit-WEP-Schlüssel oder 26 Hexadezimalziffern für 128-Bit-WEP-Schlüssel ein. Bei den Tasten kann es sich um eine beliebige Kombination der folgenden Ziffern handeln:
   
   • 0 bis 9
   • a bis f
   • A bis F

    

5. Klicken Sie auf Apply-All (Alle anwenden), um die Konfiguration auf beide Funkmodule anzuwenden.
   

   

6. Erstellen Sie einen Service Set Identifier (SSID) mit offener Authentifizierung, und klicken Sie auf Apply (Übernehmen), um ihn auf beiden Funkmodulen zu aktivieren.
   

   

   
   

   

7. Navigieren Sie zum Netzwerk, und aktivieren Sie die Funkmodule für 2,4 GHz und 5 GHz, um sie in Betrieb zu nehmen.

CLI-Konfiguration

Verwenden Sie diesen Abschnitt, um WEP mit der CLI zu konfigurieren.

ap#show run
Building configuration...

Current configuration : 1794 bytes
!
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$kxBl$OhRR4QtTUVDUA9GakGDFs1
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
  dot11 ssid wep-config
  authentication open
  guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1

 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 dfs band 3 block
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 no keepalive
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 ip address dhcp
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.106.127.4
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end

Überprüfen

Geben Sie diesen Befehl ein, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert:

ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [wep-config] :
MAC Address    IP address      Device        Name           Parent         State
1cb0.94a2.f64c 10.106.127.251  unknown       -              self           Assoc

Fehlerbehebung

In diesem Abschnitt finden Sie Fehlerbehebungen für Ihre Konfiguration.

Hinweis: Weitere Informationen zu Debug-Befehlen vor der Verwendung von Debug-Befehlen finden Sie unter Wichtige Informationen.

Diese Debug-Befehle sind nützlich, um eine Fehlerbehebung für die Konfiguration durchzuführen:

• debug dot11-Ereignisse - Aktiviert das Debuggen für alle dot1x-Ereignisse.
• debug dot1-Pakete - Aktiviert das Debuggen für alle dot1x-Pakete.

Das folgende Beispiel zeigt ein Protokoll, das angezeigt wird, wenn der Client erfolgreich eine Verbindung zum WLAN herstellt:

*Mar  1 02:24:46.246: %DOT11-6-ASSOC: Interface Dot11Radio0, Station  
1cb0.94a2.f64c Associated KEY_MGMT[NONE]

Wenn der Client den falschen Schlüssel eingegeben hat, wird folgender Fehler angezeigt:

*Mar  1 02:26:00.741: %DOT11-4-ENCRYPT_MISMATCH: Possible encryption key 
mismatch between interface Dot11Radio0 and station 1cb0.94a2.f64c
*Mar  1 02:26:21.312: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating 
Station 1cb0.94a2.f64c Reason: Sending station has left the BSS
*Mar  1 02:26:21.312: *** Deleting client 1cb0.94a2.f64c