Exemple de configuration de WEP sur un point d'accès autonome
Contenu
Introduction
Ce document décrit comment utiliser et configurer WEP (Wired Equivalent Privacy) sur un point d'accès autonome Cisco.
Conditions préalables
Conditions requises
Ce document suppose que vous pouvez établir une connexion administrative aux périphériques WLAN et que ces périphériques fonctionnent normalement dans un environnement non chiffré. Pour configurer un WEP 40 bits standard, vous devez disposer de deux unités radio ou plus qui communiquent entre elles.
Components Used
Les informations de ce document sont basées sur un point d'accès 1140 qui exécute Cisco IOS® version 15.2JB.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Informations générales
WEP est l'algorithme de chiffrement intégré à la norme 802.11 (Wi-Fi). WEP utilise le chiffrement de flux RC4 pour la confidentialité, et la somme de contrôle de redondance cyclique 32 (CRC-32) pour l'intégrité.
Le WEP 64 bits standard utilise une clé 40 bits (également appelée WEP-40), concaténée avec un vecteur d'initialisation 24 bits (IV) afin de former la clé RC4. Une clé WEP 64 bits est généralement entrée sous la forme d'une chaîne de 10 caractères hexadécimaux (base 16) (de zéro à neuf et de A à F). Chaque caractère représente quatre bits, et dix chiffres de quatre bits chacun équivaut à 40 bits ; si vous ajoutez le module IV 24 bits, il produit la clé WEP 64 bits complète.
Une clé WEP 128 bits est généralement entrée sous la forme d'une chaîne de 26 caractères hexadécimaux. Vingt-six chiffres de quatre bits chacun équivaut à 104 bits ; si vous ajoutez le module IV 24 bits, il produit la clé WEP 128 bits complète. La plupart des périphériques permettent à l'utilisateur d'entrer la clé sous la forme de 13 caractères ASCII.
Méthodes d'authentification
Deux méthodes d'authentification peuvent être utilisées avec WEP : Authentification système ouverte et authentification par clé partagée.
Avec l'authentification système ouverte, le client WLAN n'a pas besoin de fournir des informations d'identification au point d'accès pour l'authentification. N'importe quel client peut s'authentifier auprès du point d'accès, puis tenter de s'associer. En effet, aucune authentification n'a lieu. Par la suite, des clés WEP peuvent être utilisées pour chiffrer les trames de données. À ce stade, le client doit disposer des clés correctes.
Avec l'authentification par clé partagée, la clé WEP est utilisée pour l'authentification dans une connexion en quatre étapes, réponse à la demande :
- Le client envoie une demande d'authentification au point d'accès.
- Le point d'accès répond par un défi en texte clair.
- Le client chiffre le texte du défi avec la clé WEP configurée et répond par une autre demande d'authentification.
- Le point d'accès déchiffre la réponse. Si la réponse correspond au texte du défi, le point d’accès envoie une réponse positive.
Après l'authentification et l'association, la clé WEP prépartagée est également utilisée afin de chiffrer les trames de données avec RC4.
À première vue, il peut sembler que l'authentification par clé partagée est plus sécurisée que l'authentification système ouverte, car cette dernière n'offre aucune authentification réelle. Cependant, l'inverse est vrai. Il est possible de dériver le flux de clés utilisé pour la connexion si vous capturez les trames de défi dans l'authentification à clé partagée. Il est donc conseillé d'utiliser l'authentification Open System pour l'authentification WEP, plutôt que l'authentification Shared Key.
Le protocole TKIP (Temporal Key Integrity Protocol) a été créé afin de traiter ces problèmes WEP. Tout comme WEP, TKIP utilise le chiffrement RC4. Cependant, TKIP améliore le WEP en ajoutant des mesures telles que le hachage de clé par paquet, le contrôle d'intégrité des messages (MIC) et la rotation des clés de diffusion afin de traiter les vulnérabilités WEP connues. TKIP utilise le chiffrement de flux RC4 avec des clés de 128 bits pour le chiffrement et des clés de 64 bits pour l'authentification.
Configuration
Cette section fournit les configurations de l'interface utilisateur graphique et de l'interface de ligne de commande pour WEP.
Configuration de la GUI
Complétez ces étapes afin de configurer WEP avec l'interface utilisateur graphique.
- Connectez-vous au point d'accès via l'interface utilisateur graphique.
- Dans le menu Sécurité situé à gauche de la fenêtre, sélectionnez Encryption Manager pour l'interface radio à laquelle vous voulez configurer vos clés WEP statiques.
- Sous Modes de chiffrement, cliquez sur Cryptage WEP, puis sélectionnez Obligatoire dans le menu déroulant du client.
Les modes de chiffrement utilisés par la station sont les suivants :
- Par défaut (pas de chiffrement) - Nécessite que les clients communiquent avec le point d'accès sans aucun chiffrement de données. Ce paramètre n'est pas recommandé.
- Facultatif - Permet aux clients de communiquer avec le point d'accès avec ou sans chiffrement de données. Généralement, vous utilisez cette option lorsque vous avez des périphériques clients qui ne peuvent pas établir de connexion WEP, tels que des clients non-Cisco dans un environnement WEP 128 bits.
- Obligatoire (Full Encryption) - Nécessite que les clients utilisent le chiffrement des données lorsqu'ils communiquent avec le point d'accès. Les clients qui n'utilisent pas le chiffrement des données ne sont pas autorisés à communiquer. Cette option est recommandée si vous souhaitez optimiser la sécurité de votre WLAN.
- Sous Clés de chiffrement, sélectionnez la case d'option Clé de transmission, puis saisissez la clé hexadécimale à 10 chiffres. Assurez-vous que la taille de clé est définie sur 40 bits.
Saisissez 10 chiffres hexadécimaux pour les clés WEP 40 bits ou 26 chiffres hexadécimaux pour les clés WEP 128 bits. Les touches peuvent être n'importe quelle combinaison de ces chiffres :
- 0 à 9
- a à f
- A à F
- Cliquez sur Apply-All afin d'appliquer la configuration sur les deux radios.
- Créez un SSID (Service Set Identifier) avec Open Authentication, puis cliquez sur Apply afin de l'activer sur les deux radios.
- Naviguez jusqu'au réseau et activez les radios pour 2,4 GHz et 5 GHz afin de les faire fonctionner.
Configuration CLI
Utilisez cette section afin de configurer WEP avec l'interface de ligne de commande.
ap#show run
Building configuration...
Current configuration : 1794 bytes
!
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$kxBl$OhRR4QtTUVDUA9GakGDFs1
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
dot11 ssid wep-config
authentication open
guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
encryption mode wep mandatory
!
ssid wep-config
!
antenna gain 0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
!
encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
encryption mode wep mandatory
!
ssid wep-config
!
antenna gain 0
dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
no keepalive
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address dhcp
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.106.127.4
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end
Vérification
Entrez cette commande afin de confirmer que votre configuration fonctionne correctement :
ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [wep-config] :
MAC Address IP address Device Name Parent State
1cb0.94a2.f64c 10.106.127.251 unknown - self Assoc
Dépannage
Utilisez cette section afin de dépanner votre configuration.
Ces commandes debug sont utiles pour dépanner la configuration :
- debug dot11 events - Active le débogage pour tous les événements dot1x.
- debug dot11 packets - Active le débogage pour tous les paquets dot1x.
Voici un exemple du journal qui s'affiche lorsque le client s'associe correctement au WLAN :
*Mar 1 02:24:46.246: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
1cb0.94a2.f64c Associated KEY_MGMT[NONE]
Lorsque le client entre une clé incorrecte, cette erreur s'affiche :
*Mar 1 02:26:00.741: %DOT11-4-ENCRYPT_MISMATCH: Possible encryption key
mismatch between interface Dot11Radio0 and station 1cb0.94a2.f64c
*Mar 1 02:26:21.312: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating
Station 1cb0.94a2.f64c Reason: Sending station has left the BSS
*Mar 1 02:26:21.312: *** Deleting client 1cb0.94a2.f64c
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)