Dieses Dokument beschreibt die Verwendung und Konfiguration von Wired Equivalent Privacy (WEP) auf einem Cisco Autonome Access Point (AP).
In diesem Dokument wird davon ausgegangen, dass Sie eine administrative Verbindung zu den WLAN-Geräten herstellen können und dass die Geräte normal in einer unverschlüsselten Umgebung funktionieren. Um ein standardmäßiges 40-Bit-WEP zu konfigurieren, müssen Sie über zwei oder mehr Funkeinheiten verfügen, die miteinander kommunizieren.
Die Informationen in diesem Dokument basieren auf einem Access Point der Serie 1140, auf dem Cisco IOS® Release 15.2JB ausgeführt wird.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
WEP ist der in den 802.11-Standard (Wi-Fi) integrierte Verschlüsselungsalgorithmus. WEP verwendet den Streamchipher RC4 zur Vertraulichkeit und die Cyclische Redundanz Check-32 (CRC-32) Prüfsumme für Integrität.
Standard-64-Bit-WEP verwendet einen 40-Bit-Schlüssel (auch als WEP-40 bekannt), der mit einem 24-Bit-Initialisierungsvektor (IV) verkettet wird, um den RC4-Schlüssel zu bilden. Ein 64-Bit-WEP-Schlüssel wird normalerweise als Zeichenfolge mit 10 Hexadezimalzeichen (Basis 16) (0 bis 9 und A-F) eingegeben. Jedes Zeichen repräsentiert vier Bit, und zehn Ziffern mit jeweils vier Bits entsprechen jeweils 40 Bit. Wenn Sie den 24-Bit-IV hinzufügen, wird der vollständige 64-Bit-WEP-Schlüssel generiert.
Ein 128-Bit-WEP-Schlüssel wird normalerweise als Zeichenfolge mit 26 Hexadezimalzeichen eingegeben. 26 Stellen mit jeweils vier Bits entsprechen jeweils 104 Bit; Wenn Sie den 24-Bit-IV hinzufügen, wird der vollständige 128-Bit-WEP-Schlüssel generiert. Bei den meisten Geräten kann der Benutzer den Schlüssel als 13 ASCII-Zeichen eingeben.
Mit WEP können zwei Authentifizierungsmethoden verwendet werden: Öffnen Sie die Systemauthentifizierung und die Authentifizierung über gemeinsam genutzten Schlüssel.
Bei der offenen Systemauthentifizierung muss der WLAN-Client dem WAP keine Anmeldeinformationen für die Authentifizierung bereitstellen. Jeder Client kann sich beim Access Point authentifizieren und dann versuchen, eine Verbindung herzustellen. Im Endeffekt findet keine Authentifizierung statt. Anschließend können WEP-Schlüssel zum Verschlüsseln von Datenframes verwendet werden. An diesem Punkt muss der Client über die richtigen Schlüssel verfügen.
Mit Shared Key Authentication wird der WEP-Schlüssel für die Authentifizierung in einem vierstufigen Challenge-Response-Handshake verwendet:
Nach der Authentifizierung und Zuordnung wird auch der vorinstallierte WEP-Schlüssel verwendet, um die Daten-Frames mit RC4 zu verschlüsseln.
Auf den ersten Blick mag es so aussehen, als wäre die Shared Key-Authentifizierung sicherer als die Open System Authentication, da letztere keine echte Authentifizierung bietet. Das Gegenteil ist jedoch der Fall. Es ist möglich, den für den Handshake verwendeten Tastenanschlag abzuleiten, wenn Sie die Challenge-Frames in Shared Key Authentication erfassen. Daher ist es ratsam, für die WEP-Authentifizierung die Open System Authentication anstelle der Shared Key Authentication zu verwenden.
Um diese WEP-Probleme zu beheben, wurde das Temporal Key Integrity Protocol (TKIP) erstellt. Ähnlich wie WEP verwendet TKIP die RC4-Verschlüsselung. TKIP verbessert WEP jedoch durch zusätzliche Maßnahmen wie Hashing pro Paketschlüssel, Message Integrity Check (MIC) und Broadcast Key Rotation, um bekannte WEP-Schwachstellen zu beheben. TKIP verwendet die RC4-Stream-Verschlüsselung mit 128-Bit-Schlüsseln für die Verschlüsselung und 64-Bit-Schlüssel für die Authentifizierung.
Dieser Abschnitt enthält die GUI- und CLI-Konfigurationen für WEP.
Führen Sie diese Schritte aus, um WEP mit der GUI zu konfigurieren.
Verwenden Sie diesen Abschnitt, um WEP mit der CLI zu konfigurieren.
ap#show run
Building configuration...
Current configuration : 1794 bytes
!
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$kxBl$OhRR4QtTUVDUA9GakGDFs1
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
dot11 ssid wep-config
authentication open
guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
encryption mode wep mandatory
!
ssid wep-config
!
antenna gain 0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
!
encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
encryption mode wep mandatory
!
ssid wep-config
!
antenna gain 0
dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
no keepalive
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address dhcp
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.106.127.4
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end
Geben Sie diesen Befehl ein, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert:
ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [wep-config] :
MAC Address IP address Device Name Parent State
1cb0.94a2.f64c 10.106.127.251 unknown - self Assoc
In diesem Abschnitt finden Sie Fehlerbehebungen für Ihre Konfiguration.
Diese Debug-Befehle sind nützlich, um eine Fehlerbehebung für die Konfiguration durchzuführen:
Das folgende Beispiel zeigt ein Protokoll, das angezeigt wird, wenn der Client erfolgreich eine Verbindung zum WLAN herstellt:
*Mar 1 02:24:46.246: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
1cb0.94a2.f64c Associated KEY_MGMT[NONE]
Wenn der Client den falschen Schlüssel eingegeben hat, wird folgender Fehler angezeigt:
*Mar 1 02:26:00.741: %DOT11-4-ENCRYPT_MISMATCH: Possible encryption key
mismatch between interface Dot11Radio0 and station 1cb0.94a2.f64c
*Mar 1 02:26:21.312: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating
Station 1cb0.94a2.f64c Reason: Sending station has left the BSS
*Mar 1 02:26:21.312: *** Deleting client 1cb0.94a2.f64c