试验9无线安全网路之建设ppt课件

實驗9:無線安全網路之建設,.,2,Scenario,雲科大計算機網路實驗室將採取PEAP認證或是網頁認證，通過認證的使用者可以享用網路資源，並依據使用者所在的群組管理存取控制層級。本實驗將說明如何建置一有線/無線網路之802.1X認證，所需的網路拓墣建置如下圖。除此之外，我們採取一些無線網路的政策，其中包含RF管理、入侵防護、QoS機制，並發佈多個SSID讓使用者自行選擇認證方式。,.,3,CiscoWLANController4402,本實驗使用的無線網路認證控制器支圖形化介面和命令列介面。讓了展示親善的一面，我們將採用GUI介紹它的安裝與設定。控制器在一開始使用之前，需注意裡面設定的國家是否正確，這關係到各國對於開放無線通訊功率問題。介面上的點選WIRELESS點選Country勾選TW點選Apply點選SaveConfiguration。若完成設定後，便可在點選WIRELESS點選AccessPoints點選AllAPs，看到已跟控制器註冊的LWAP。,.,4,CiscoWLANController4402,我們在控制器上設定兩個SSID，分別es602_web：使用瀏覽網頁方式進行認證。Controller內建小型的網頁伺服器，在使用者進行認證之前，它將自動傳遞伺服器的憑証給使用者，利用SSL加密的方式，確保使用者輸入的密碼是經過加密傳送至伺服器。這樣的認證方式而言，對使用者極為方便，不需自行安裝其它的憑證。es602_dot1x：設定安全等級最高的WPA2讓使用者進行認證。在認證之前，使用者的主機需安裝具公信力的認證中心憑證。,.,5,CiscoWLC&LWAP於Switch3560的設定,在我們的實驗採用Layer3的方式架設無線網路環境。另外，我們需在Cisco3560Switch上，啟用DHCPServer功能。讓輕量型存取點一開機之後，經由DHCPRequest/Response的協議之後，取得與無線網路認證控制器連線的資訊(無線網路認證控制器位置)，不需在存取點上做任何的設定，使用相當方便。我們在網路認證控制器上設定多個VLAN，為了讓多個VLAN能相連通，所以需在Cisco3560Switch上Gi0/1設定802.1Q封裝，其switchport模式為truck。本實驗的網路拓墣大致與第五章相同，若有設定安裝的問題可以參考第五章。其中增加了無線網路認證控制設備(WLANController,WLC)與輕量型無線網路存取點(Light-WeightAP,LWAP)。,Telnet3560Configureterminalipdhcppooldhcp-vlan-1network192.168.1.0255.255.255.0dns-server140.125.252.1140.125.253.2option60asciiAirespace.AP1200“option43ascii192.168.1.250“default-router192.168.1.254interfaceGigabitEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunkspanning-treeportfast,.,6,集中式無線網路架構,WLC無線網路認證控制設備需與多台輕量型無線網路存取點搭配使用，這樣的組合顛覆了傳統。所有安全政策、頻寬管理、存取控制全由WLC設定。以集中式的管理方式，降低了系統管理者的負擔。LWAP也叫做Thin-AP，不同於一般Fat-AP加載了許多安全政策設定、頻寬管理、存取控制；它只有負責RF訊號與WLC資料的傳遞。LWAP又可分為室內型與室外型存取點；天線的功率的選擇更是多樣化。Light-WeightAccessPointProtocol(LWAPP)是WLC與LWAP建立連線時使用的協定。大致上可以分為兩方面的流量，一是資料(DataPlane)、二是控制(ControlPlane)。資料流：不做任何的加密。控制流：採用AES-CCM加密。,Light-WeightAP,WirelessLANController,電子系館,化工系館,機械系館,電通系館,工程學院,電機系館,.,7,LWAPP說明,LWAP傳送出一個DiscoveryRequest訊息。WLC收到這個DiscoveryRequest訊息之後，回應DiscoveryResponse訊息給LWAP。在多個WLC回應的DiscoveryResponse訊息中，LWAP選擇其一加入。LWAP傳送一JoinRequest訊息給它選擇加入的WLC之後，等待WLC回應JoinResponse訊息。WLC收到這個JoinRequest訊息之後，回應JoinResponse訊息給LWAP。則WLC與LWAP雙方開始進行相互認證與加解密金鑰推導等過程，其主要目的是為了能安全地傳遞控制訊息與接下來的加入的程序。待LWAP加入WLC之後，若LWAP發現與WLC之間的韌體版本不符合時，則LWAP開始從WLC下載韌體。待LWAP與WLC韌體相符之後，WLC開始規定LWAP一些的適當設定，其中設定包含：SSIDs、安全參數、802.11參數、使用頻道和功率設定。待設定完成之後，WLC與LWAP進入執行狀態，開始接受資料轉送。在執行狀態的期間，WLC會不定期的發送LWAPP控制訊息給LWAP。這些訊息包含設定LWAP、請求統計資料、維護LWAP等指令。在執行狀態的期間，為了維持WLC與LWAP之間的通訊管道，它們將週期性的交換Keep-live給對方。若LWAP未收到Keep-live訊息達到足夠的數量時，它將重新尋新的WLC。,DiscoveryRequest,DiscoveryResponse,JoinRequest,JoinResponse,Mutualauthentication、EncryptionKeyDerivation,Checkfirmwareversion&downloaditifneed,SSIDs,Securityparameter,802.11parameter,radiochannel,powerlevels,Runtimestate,ExchangeKeep-livemessage,Querystatisticalinformation,Maintain,.,8,LWAPPSearch&Discovery,LWAPP支援2種傳輸模式Layer2LWAPP：同一網域使用，Ethertype為0XBBBB。在這個模式下，LWAP透過DHCP自動取得一個IP位址，但它與WLC所有的通訊都是靠乙太網路的訊框(frame)封裝傳送，而不是使用IP封包。這樣一來，規劃無線網路環境會因需要跨越不同網段的情況而受到限制。Layer3LWAPP：需跨網域使用，使用UDP封包。資料流的封包來源埠為1024，目的埠為12222。控制流的封包來源埠為1024，目的埠為12223。SearchAlgorithmLWAP藉由發出DHCPDISCOVERRequest封包動態取得一IP位址，或是預先手動設定一組IP位址。若LWAP支援Layer2模式，LWAP將廣播一個利用Layer2LWAPP訊框封裝的LWAPPDISCOVER訊息。然後，任何與LWAP連接同一網路並且本身運作也是Layer2模式的WLC收到該訊息後，它將回應Layer2LWAPPDISCOVERResponse給LWAP。若LWAP不支援Layer2ModeLWAPP或是無法正確接收WLC的Layer2LWAPPDISCOVERYResponse訊息，則回到步驟2。若是步驟1失敗或是LWAP不支援Layer2LWAPP模式的話，則改以採用Layer3LWAPPWLCDiscovery。若步驟3失敗後，則回到步驟1。整個尋找WLC的處理是重覆不斷地進行，直到最少找到一個並且加入它。Layer3LWAPPDiscoveryAlgorithm在SearchAlgorithm的步驟3中，有使用到Layer3LWAPPWLCDiscovery。在這裡，我們將介紹它的演算法。LWAP廣播一個Layer3LWAPPDiscovery訊息，任何運作於Layer3模式的WLC將收到這個廣播訊息之後，將單播一個Layer3LWAPPDiscoveryResponse給LWAP。WLC有一項功能(Over-the-AirProvisioning,OTAP)，若這項功能被打開之後。所有加入它的LWAP，將為它廣播鄰近WLCs訊息於空氣中，讓未加入的LWAPs能得到與WLC連線的資訊。,.,9,LWAPPSearch&Discovery,LWAP本身記錄先前學到WLCIPAddress於自身的NVRAM中。LWAP將單播LWAPPDiscoveryRequest給這些記錄於NVRAM中的WLCs，則這些WLC將會回應一LWAPPDiscoveryResponse訊息給LWAP。DHCP伺服器可以設定提供”Option43”給LWAP，讓LWAP順利取得與WCL連線的資訊(WLC的IP位址)。例如：option43ascii“WLCIPADDR._1,WLCIPADDR._2,.“。LWAP嘗試送出DNSnameResolve訊息給DNSServer，其網域名稱為CISCO-LWAPP-CONTROLLER.localdomain。若DNSServer中有設定該網域名稱對應的IP位址的話，DNSServer將回傳WLCIP位址給LWAP。待步驗1至5尋找WLC失敗後，LWAP將重置並且回到Search演算法中。在我們的實驗中將WLC設定成Layer3LWAPP的模式，並且加設一台DHCPServer提供LWAP所有的WLCIP位址列表。,.,10,安全的LWAPPControlPlane,我們之前有提到LWAPP中，主要傳輸的訊息形態有兩種：一是資料流，二是控制流。資料流在LWAPP中是不加密的，需靠上層來保護的資料內容。然而，控制流是使用AES-CCM加密，但LWAP與WLC是如何得到加解密時使用的SessionKey呢?在這裡我們需了解PKI的一些觀念。LWAP與WLC將X.509憑證燒錄進Flash中。LWAP與WLC的使用自已的私鑰簽署X.509憑證，並且將它燒錄進裝置內。被安裝的憑證可讓LWAP與WLC信任憑證發行者。當LWAP送出LWAPPJoinRequest給WLC時，該訊息中帶有LWAP的X.509憑證與LWAP隨機產生的SessionID。WLC收到該JoinRequest訊息之後，它開始使用LWAP的公鑰驗證憑證上的簽章是否合法並檢驗該憑證是否為可信賴的憑證中心所核發的。若該憑證是合法有效的，則WLC將隨機產生一把AES加密金鑰(用於未來的控制流加解密時使用的金鑰)。接著，WLC使用LWAP的公鑰對這把AES加密金鑰執行加密，並連同SessionID使用WLC自己的私鑰簽署。WLC將簽署結果、被加密的AES金鑰執行加密與自己的憑證夾帶於JoinResponse訊息中。LWAP收到該JoinResponse訊息之後，它開始使用WLC的公鑰驗證憑證上的簽章是否合法並檢驗該憑證是否為可信賴的憑證中心所核發的。若該憑證是合法有效的，LWAP將利用自已的私鑰解開被加密的AES金鑰並且安裝於加密核心中。LWAP維護這個加解密金鑰的生命週期。當時間到期時，LWAP將產生一新的SessionID並把SessionID夾帶於LWAPPKeyUpdateRequest訊息，接著，將它傳送給WLC。WLC重覆先前的金鑰產生與發佈的動作，並把結果附在LWAPPKeyUpdateResponse訊息內。加密金鑰的生命週期為8個小時。Cisco出廠的LWAP，其憑證的有效期限為25年。有一個值得注意的是，WLC的時間必需是正確的，不然，可能會出現憑證過期的問題。,.,11,HowtoWLCConnecttoNetwork,下面這張圖可以看到CiscoWLC440 x系列的架構圖，其4402更是只有兩個Gigabit實體埠。但每一個實體埠都是802.1QVLANtruckport，所以與它連接的Switch實體埠也需要設定成truckport。,圖片來源：Cisco,.,12,RF管理,當無線網路認證控制器啟用射頻訊號資源管理(RadioResourceManagement,RRM)時，它將即時監測各個連結的LWAP的資訊，其中包含流量負載(TrafficLoad)傳送與接收的總頻寬。它可讓無線網路管理員追蹤與事先規畫無線網路的使用者的成長率。訊號干擾(Interference)與其它802.11的訊號互相干擾。雜訊(Noise)與其它非802.11的訊號互相干擾。覆蓋範圍(Coverage)所有連結用戶的接收訊號強度與信號雜訊比。週邊存取點(otheraccesspoint)週邊存取點的數量。,.,13,RF管理,利用這些資訊，RRM將週期性的重新設定無線網路，讓無線網路更有效率。RRM的功能有射頻訊號資源監測(Radioresourcemonitoring)RRM將自動偵測與設定新加入的無線網路Controller與LWAP，自動調整與已存在的LWAP的功率，讓整個網路擁有最佳的覆蓋率。它的做法是利用LWAP進入off-channel模式(低於60ms的時間)來監測無線網路的雜訊與干擾。藉由這段時間收集封包用以分析是否有惡意的存取點、用戶、Ad-hoc用戶及干擾的存取點。(備註：若過去的100ms內Voicequeue曾有封包進出，則LWAP將不會進入off-channel模式)動態變更頻道(Dynamicchannelassignment)兩個鄰近的存取點使用同樣的802.11頻道時，可能導致信號競爭或是信號碰撞。若是發生碰撞，存取點可能無法接收到正確的資料。此時，控制器扮演調節的角色，將這些相鄰的存取點給予不同的802.11頻道以解決衝突、增加效能與強度。控制器利用不同的射頻特性分配頻道，其特性包含：(1)各存取點接收訊號的強度。(2)雜訊。(3)802.11干擾。(4)使用程度。(5)負載。,Channel3,Channel5,Channel7,.,14,CoverageHole,RF管理,控制器結合RF特性資訊配合RRM演算法做出對於系統最佳決定。動態調整傳輸功率(Dynamictransmitpower)控制器可以調整LWAP的傳輸功率。舉例來說，若無線網路中，有一LWAP損壞，造成無法提供服務，此時，控制器就加大鄰近的LWAP的傳輸功率，以得到最大的覆蓋範圍。覆蓋範圍缺陷偵測與修正(Coverageholedetectionandcorrection)RRMs的覆蓋缺陷偵測可以通知你那裡需要新增一個LWAP，或是那一個LWAP可以移動位置，以取得最大的覆蓋範圍。若LWAP鄰近的使用者他的Signal-to-noiseratio(SNR)低於AUTO-RF的設定時，LWAP將發出一個Coveragehole通知控制器。這個事件通知是代表有使用者漫遊到訊號薄弱的地區，可能造成使用者的連線訊號出現問題。此時，管理者就可以參閱控制器的記錄檔是否有Coveragehole訊息出現。,.,15,RF管理,客戶端與無線網路的負載平衡(Clientandnetworkloadbalancing)RRM支援擁有同一群組ID的LWAPs的負載平衡。若有使用者加入到負載較重的LWAP時，此時，控制器將扮演中央裁決的角色，把該名使用者分配到負載較輕的LWAP下；或是平衡區域網路的負擔亦可。(備註：Client的負載平衡適用於單一控制器上，不能使用在多個控制器環境),.,16,RF管理,CiscoWLANController4402內建RRM功能，可採自動管理RadioResource方式設定：,.,17,入侵防護,無線網路入侵偵測系統(WirelessIntrusionDetectionSystem,WIDS)主要的功能是偵測訊號出現頻率異常與服務阻斷。整合型無線網路入侵偵測與單一型無線網路入侵偵測設備的差別在於(1)建置成本低、(2)工作效能低與(3)無額外的入侵分析。它判定為入侵行為的條件有某特定存取點符合攻擊特徵頻率(Pkts/Sec)。同一使用者與同一存取點符合攻擊特徵頻率(Pkts/Sec)。WIDS內建17組的攻擊特徵，但管理者可以自行定義攻擊特徵到WIDS內。,圖片來源：Cisco,.,18,入侵防護,CiscoWLANController4402內建IDS功能，而偵測時所需的攻擊特徵如下所示：,.,19,QoS機制,服務品質(Qua