无线安全网络建设

實驗9:無線安全網路之建設Scenario雲科大計算機網路實驗室將採取PEAP認證或是網頁認證，通過認證的使用者可以享用網路資源，並依據使用者所在的群組管理存取控制層級。本實驗將說明如何建置一有線/無線網路之802.1X認證，所需的網路拓墣建置如下圖。除此之外，我們採取一些無線網路的政策，其中包含RF管理、入侵防護、QoS機制，並發佈多個SSID讓使用者自行選擇認證方式。2CiscoWLANController4402本實驗使用的無線網路認證控制器支圖形化介面和命令列介面。讓了展示親善的一面，我們將採用GUI介紹它的安裝與設定。控制器在一開始使用之前，需注意裡面設定的國家是否正確，這關係到各國對於開放無線通訊功率問題。介面上的點選「WIRELESS」點選「Country」勾選「TW」點選「Apply」點選「SaveConfiguration」。若完成設定後，便可在點選「WIRELESS」點選「AccessPoints」點選「AllAPs」，看到已跟控制器註冊的LWAP。3CiscoWLANController4402我們在控制器上設定兩個SSID，分別es602_web：使用瀏覽網頁方式進行認證。Controller內建小型的網頁伺服器，在使用者進行認證之前，它將自動傳遞伺服器的憑証給使用者，利用SSL加密的方式，確保使用者輸入的密碼是經過加密傳送至伺服器。這樣的認證方式而言，對使用者極為方便，不需自行安裝其它的憑證。es602_dot1x：設定安全等級最高的WPA2讓使用者進行認證。在認證之前，使用者的主機需安裝具公信力的認證中心憑證。4CiscoWLC&LWAP於Switch3560的設定在我們的實驗採用Layer3的方式架設無線網路環境。另外，我們需在Cisco3560Switch上，啟用DHCPServer功能。讓輕量型存取點一開機之後，經由DHCPRequest/Response的協議之後，取得與無線網路認證控制器連線的資訊(無線網路認證控制器位置)，不需在存取點上做任何的設定，使用相當方便。我們在網路認證控制器上設定多個VLAN，為了讓多個VLAN能相連通，所以需在Cisco3560Switch上Gi0/1設定802.1Q封裝，其switchport模式為truck。本實驗的網路拓墣大致與第五章相同，若有設定安裝的問題可以參考第五章。其中增加了無線網路認證控制設備(WLANController,WLC)與輕量型無線網路存取點(Light-WeightAP,LWAP)。Telnet3560Configureterminalipdhcppooldhcp-vlan-1network192.168.1.0255.255.255.0dns-server140.125.252.1140.125.253.2option60ascii"Airespace.AP1200“option43ascii"192.168.1.250“default-router192.168.1.254interfaceGigabitEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunkspanning-treeportfast5集中式無線網路架構WLC 無線網路認證控制設備需與多台輕量型無線網路存取點搭配使用，這樣的組合顛覆了傳統。所有安全政策、頻寬管理、存取控制全由WLC設定。以集中式的管理方式，降低了系統管理者的負擔。LWAP 也叫做Thin-AP，不同於一般Fat-AP加載了許多安全政策設定、頻寬管理、存取控制；它只有負責RF訊號與WLC資料的傳遞。LWAP又可分為「室內型」與「室外型」存取點；天線的功率的選擇更是多樣化。Light-WeightAccessPointProtocol(LWAPP)是WLC與LWAP建立連線時使用的協定。大致上可以分為兩方面的流量，一是資料(DataPlane)、二是控制(ControlPlane)。

資料流：不做任何的加密。

控制流：採用AES-CCM加密。Light-WeightAPWirelessLANController電子系館化工系館機械系館電通系館工程學院電機系館6LWAPP說明LWAP傳送出一個DiscoveryRequest訊息。WLC收到這個DiscoveryRequest訊息之後，回應DiscoveryResponse訊息給LWAP。在多個WLC回應的DiscoveryResponse訊息中，LWAP選擇其一加入。LWAP傳送一JoinRequest訊息給它選擇加入的WLC之後，等待WLC回應JoinResponse訊息。WLC收到這個JoinRequest訊息之後，回應JoinResponse訊息給LWAP。則WLC與LWAP雙方開始進行相互認證與加解密金鑰推導等過程，其主要目的是為了能安全地傳遞控制訊息與接下來的加入的程序。待LWAP加入WLC之後，若LWAP發現與WLC之間的韌體版本不符合時，則LWAP開始從WLC下載韌體。待LWAP與WLC韌體相符之後，WLC開始規定LWAP一些的適當設定，其中設定包含：SSIDs、安全參數、802.11參數、使用頻道和功率設定。待設定完成之後，WLC與LWAP進入執行狀態，開始接受資料轉送。在執行狀態的期間，WLC會不定期的發送LWAPP控制訊息給LWAP。這些訊息包含設定LWAP、請求統計資料、維護LWAP等指令。在執行狀態的期間，為了維持WLC與LWAP之間的通訊管道，它們將週期性的交換Keep-live給對方。若LWAP未收到Keep-live訊息達到足夠的數量時，它將重新尋新的WLC。DiscoveryRequestDiscoveryResponseJoinRequestJoinResponseMutualauthentication、EncryptionKeyDerivationCheckfirmwareversion&downloaditifneedSSIDs,Securityparameter,802.11parameter,radiochannel,powerlevelsRuntimestateExchangeKeep-livemessageQuerystatisticalinformationMaintain7LWAPPSearch&DiscoveryLWAPP支援2種傳輸模式Layer2LWAPP：同一網域使用，Ethertype為0XBBBB。在這個模式下，LWAP透過DHCP自動取得一個IP位址，但它與WLC所有的通訊都是靠乙太網路的訊框(frame)封裝傳送，而不是使用IP封包。這樣一來，規劃無線網路環境會因需要跨越不同網段的情況而受到限制。Layer3LWAPP：需跨網域使用，使用UDP封包。資料流的封包來源埠為1024，目的埠為12222。控制流的封包來源埠為1024，目的埠為12223。SearchAlgorithmLWAP藉由發出DHCPDISCOVERRequest封包動態取得一IP位址，或是預先手動設定一組IP位址。若LWAP支援Layer2模式，LWAP將廣播一個利用Layer2LWAPP訊框封裝的LWAPPDISCOVER訊息。然後，任何與LWAP連接同一網路並且本身運作也是Layer2模式的WLC收到該訊息後，它將回應Layer2LWAPPDISCOVERResponse給LWAP。若LWAP不支援Layer2ModeLWAPP或是無法正確接收WLC的Layer2LWAPPDISCOVERYResponse訊息，則回到步驟2。若是步驟1失敗或是LWAP不支援Layer2LWAPP模式的話，則改以採用Layer3LWAPPWLCDiscovery。若步驟3失敗後，則回到步驟1。整個尋找WLC的處理是重覆不斷地進行，直到最少找到一個並且加入它。Layer3LWAPPDiscoveryAlgorithm 在SearchAlgorithm的步驟3中，有使用到Layer3LWAPPWLCDiscovery。在這裡，我們將介紹它的演算法。LWAP廣播一個Layer3LWAPPDiscovery訊息，任何運作於Layer3模式的WLC將收到這個廣播訊息之後，將單播一個Layer3LWAPPDiscoveryResponse給LWAP。WLC有一項功能(Over-the-AirProvisioning,OTAP)，若這項功能被打開之後。所有加入它的LWAP，將為它廣播鄰近WLCs訊息於空氣中，讓未加入的LWAPs能得到與WLC連線的資訊。8LWAPPSearch&DiscoveryLWAP本身記錄先前學到WLCIPAddress於自身的NVRAM中。LWAP將單播LWAPPDiscoveryRequest給這些記錄於NVRAM中的WLCs，則這些WLC將會回應一LWAPPDiscoveryResponse訊息給LWAP。DHCP伺服器可以設定提供”Option43”給LWAP，讓LWAP順利取得與WCL連線的資訊(WLC的IP位址)。例如：option43ascii“WLCIPADDR._1,WLCIPADDR._2,…….“。LWAP嘗試送出DNSnameResolve訊息給DNSServer，其網域名稱為「CISCO-LWAPP-CONTROLLER.localdomain」。若DNSServer中有設定該網域名稱對應的IP位址的話，DNSServer將回傳WLCIP位址給LWAP。待步驗1至5尋找WLC失敗後，LWAP將重置並且回到Search演算法中。在我們的實驗中將WLC設定成Layer3LWAPP的模式，並且加設一台DHCPServer提供LWAP所有的WLCIP位址列表。9安全的LWAPPControlPlane我們之前有提提到LWAPP中，主要要傳輸的訊息息形態有兩種種：一是「資資料流」，二二是「控制流流」。資料流流在LWAPP中是不加加密的，需靠靠上層來保護護的資料內容容。然而，控控制流是使用用AES-CCM加密，，但LWAP與WLC是是如何得到加加解密時使用用的SessionKey呢?在在這裡我們們需了解PKI的一些觀觀念。LWAP與與WLC將將X.509憑憑證燒燒錄進進Flash中中。LWAP與與WLC的的使用用自已已的私私鑰簽簽署X.509憑證證，並並且將將它燒燒錄進進裝置置內。。被安裝裝的憑憑證可可讓LWAP與與WLC信信任憑憑證發發行者者。當LWAP送出出LWAPPJoinRequest給WLC時，，該訊訊息中中帶有有LWAP的X.509憑證證與LWAP隨隨機產產生的的SessionID。WLC收到到該JoinRequest訊訊息之之後，，它開開始使使用LWAP的的公鑰鑰驗證證憑證證上的的簽章章是否否合法法並檢檢驗該該憑證證是否否為可可信賴賴的憑憑證中中心所所核發發的。。若該該憑證證是合合法有有效的的，則則WLC將將隨機機產生生一把把AES加加密金金鑰(用於於未來來的控控制流流加解解密時時使用用的金金鑰)。接著，WLC使用LWAP的的公鑰對這這把AES加密金鑰鑰執行加密密，並連同同SessionID使用用WLC自自己的私鑰鑰簽署。WLC將簽簽署結果、、被加密的的AES金金鑰執行加加密與自己己的憑證夾夾帶於JoinResponse訊訊息中。LWAP收收到該JoinResponse訊訊息之後，，它開始使使用WLC的公鑰驗驗證憑證上上的簽章是是否合法並並檢驗該憑憑證是否為為可信賴的的憑證中心心所核發的的。若該憑憑證是合法法有效的，，LWAP將利用自自已的私鑰鑰解開被加加密的AES金鑰並並且安裝於於加密核心心中。LWAP維護這這個加解解密金鑰鑰的生命命週期。。當時間間到期時時，LWAP將將產生一一新的SessionID並把SessionID夾帶於於LWAPPKeyUpdateRequest訊息，，接著，，將它傳傳送給WLC。。WLC重覆先先前的金金鑰產生生與發佈佈的動作作，並把把結果附附在LWAPPKeyUpdateResponse訊訊息內。。加密金金鑰的生生命週期期為8個個小時。。Cisco出廠廠的LWAP，，其憑證證的有效效期限為為25年年。有一一個值得得注意的的是，WLC的的時間必必需是正正確的，，不然，，可能會會出現憑憑證過期期的問題題。10HowtoWLCConnecttoNetwork下面這張張圖可以以看到CiscoWLC440x系列列的架構構圖，其其4402更是是只有兩兩個Gigabit實實體埠。。但每一一個實體體埠都是是802.1QVLANtruckport，所所以與它它連接的的Switch實體埠埠也需要要設定成成truckport。圖片來源源：Cisco11RF管理理當無線網網路認證證控制器器啟用射射頻訊號號資源管管理(RadioResourceManagement,RRM)時，它它將即時時監測各各個連結結的LWAP的的資訊，，其中包包含流量負載載(TrafficLoad)傳送與接接收的總總頻寬。。它可讓讓無線網網路管理理員追蹤蹤與事先先規畫無無線網路路的使用用者的成成長率。。訊號干擾擾(Interference)與其它802.11的的訊號互互相干擾擾。雜訊(Noise)與其它非非802.11的訊號號互相干干擾。覆蓋範圍圍(Coverage)所有連結結用戶的的接收訊訊號強度度與信號號雜訊比比。週邊存取取點(otheraccesspoint)週邊存取取點的數數量。12RF管理理利用這些些資訊，，RRM將週期期性的重重新設定定無線網網路，讓讓無線網網路更有有效率。。RRM的功能能有射頻訊號號資源監監測(Radioresourcemonitoring)RRM將將自動偵偵測與設設定新加加入的無無線網路路Controller與LWAP，自動動調整與與已存在在的LWAP的的功率，，讓整個個網路擁擁有最佳佳的覆蓋蓋率。它它的做法法是利用用LWAP進入入off-channel模模式(低低於60ms的的時間)來監測測無線網網路的雜雜訊與干干擾。藉藉由這段段時間收收集封包包用以分分析是否否有惡意意的存取取點、用用戶、Ad-hoc用用戶及干干擾的存存取點。。(備註註：若過過去的100ms內Voicequeue曾有有封包進進出，則則LWAP將不不會進入入off-channel模模式)動態變更更頻道(Dynamicchannelassignment)兩個鄰近近的存取取點使用用同樣的的802.11頻道時時，可能能導致信信號競爭爭或是信信號碰撞撞。若是是發生碰碰撞，存存取點可可能無法法接收到到正確的的資料。。此時，，控制器器扮演調調節的角角色，將將這些相相鄰的存存取點給給予不同同的802.11頻道道以解決決衝突、、增加效效能與強強度。控控制器利利用不同同的射頻頻特性分分配頻道道，其特特性包含含：(1)各存存取點接接收訊號號的強度度。(2)雜訊訊。(3)802.11干擾擾。(4)使用用程度。。(5)負載。。Channel3Channel5Channel713CoverageHoleRF管理理控制器結結合RF特性資資訊配合合RRM演算法法做出對對於系統統最佳決決定。動態調整整傳輸功功率(Dynamictransmitpower)控制器可以調調整LWAP的傳輸功率率。舉例來說說，若無線網網路中，有一一LWAP損損壞，造成無無法提供服務務，此時，控控制器就加大大鄰近的LWAP的傳輸輸功率，以得得到最大的覆覆蓋範圍。覆蓋範圍缺陷陷偵測與修正正(Coverageholedetectionandcorrection)RRM’s的的覆蓋缺陷陷偵測可以通通知你那裡需需要新增一個個LWAP，，或是那一個個LWAP可可以移動位置置，以取得最最大的覆蓋範範圍。若LWAP鄰近的的使用者他的的Signal-to-noiseratio(SNR)低於AUTO-RF的設定時，，LWAP將將發出一個Coveragehole通知控控制器。這個個事件通知是是代表有使用用者漫遊到訊訊號薄弱的地地區，可能造造成使用者的的連線訊號出出現問題。此此時，管理者者就可以參閱閱控制器的記記錄檔是否有有Coveragehole訊息息出現。14RF管理客戶端與無線線網路的負載載平衡(Clientandnetworkloadbalancing)RRM支援擁擁有同一群組組ID的LWAPs的負負載平衡。若若有使用者加加入到負載較較重的LWAP時，此時時，控制器將將扮演中央裁裁決的角色，，把該名使用用者分配到負負載較輕的LWAP下；；或是平衡區區域網路的負負擔亦可。(備註：Client的的負載平衡適適用於單一控控制器上，不不能使用在多多個控制器環環境)15RF管理CiscoWLANController4402內建RRM功能，可採採自動管理RadioResource方式式設定：16入侵防護無線網路入侵侵偵測系統(WirelessIntrusionDetectionSystem,WIDS)主要的的功能是偵測測訊號出現頻頻率異常與服服務阻斷。「整合型無線線網路入侵偵偵測」與「單單一型無線網網路入侵偵測測」設備的差差別在於(1)建置成本低、(2)工作效能低與(3)無額外的入侵侵分析。它判定為入侵侵行為的條件件有某特定存取取點符合攻攻擊特徵頻頻率(Pkts/Sec)。。同一使用者者與同一存存取點符合合攻擊特徵徵頻率(Pkts/Sec)。WIDS內內建17組組的攻擊特特徵，但管管理者可以以自行定義義攻擊特徵徵到WIDS內。圖片來源：：Cisco17入侵防護CiscoWLANController4402內建IDS功能能，而偵測測時所需的的攻擊特徵徵如下所示示：18QoS機制制服務品質(QualityofServer,QoS)提提供了針對對不同用戶戶或者不同同應用程式式流量採用用不同的優優先等級，，或者是根根據應用程程式的請求求，保證流流量的效能能達到一定定的水準。。QoS主主要要的的目目標標為為為服服務務劃劃分分等等級級，，並並逐逐一一給給予予優優先先權權。。提供供每每個個等等級級的的專專用用頻頻寬寬。。控制制流流量量劇劇烈烈跳跳動動與與延延遲遲。。減少少封封包包遺遺失失率率。。CiscoWLANController4402支支援援下下列列四四種種的的QoS設設定定檔檔：：Platinum/Voice：：對對於於無無線線網網路路的的語語音音流流量量給給予予白白金金級級的的保保證證。。Gold/Video：：對對於於無無線線網網路路的的影影音音流流量量給給予予黃黃金金級級的的保保證證。。Silver/BestEffort：：給予予一般般使用用者的的頻寬寬。(預設設值)Bronze/Background：給給予訪訪客最最低的的頻寬寬。無線網網路認認證控控制器器可一一個網網路域域對QoS設定定檔客客製化化。並並可對對來訪訪用戶戶設定定不同同角色色，並並可對對每個個角色色設定定不同同的服服務等等級。。針對不不同網網域的的QoS設設定針對不不同角角色的的QoS設設定19參考資資料Cisco440XSeriesWirelessLANControllersDeploymentGuideCiscoWirelessLANControllerConfigurationGuideHOWTO:EAP-TLSSetupforFreeRADIUSandWindowsXPSupplicantRFC2865,RemoteAuthenticationDialInUserService(RADIUS)IEEE802.1xMulti-DomainAuthenticationonCiscoCatalystLayer3FixedConfigurationSwitchesConfigurationExampleConfiguring802.1XPort-BasedAuthenticationCombinedAvayaandCiscoQoSStrategy209、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中黄叶叶树，灯下下白头人。。。14:04:3714:04:3714:0412/29/20222:04:37PM11、以我独沈久久，愧君相见见频。。12月-2214:04:3714:04Dec-2229-Dec-2212、故人人江海海别，，几度度隔山山川。。。14:04:3714:04:3714:04Thursday,December29,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2214:04:3814:04:38December29,202214、他乡生白白发，旧国国见青山。。。29十二二月20222:04:38下下午14:04:3812月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月222:04下午午12月-2214:04December29,202216、行动出出成果，，工作出出财富。。。2022/12/2914:04:3814:04:3829December202217、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。2:04:38下下午2:04下下午14:04:3812月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。14:04:3814:04:3814:0412/29/20222:04:38PM11、成功就是日日复一日那一一点点小小努努力的积累。。。12月-2214:04:3814:04Dec-2229-Dec-2212、世世间间成成事事，，不不求求其其绝绝对对圆圆满满，，留留一一份份不不足足，，可可得得无无限限完完美美。。。。14:04:3814:04:3814:04Thursday,December29,202213、不知香香积寺，，数里入入云峰。。。12月-2212月-2214:04:3814:04:38December29,202214、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。。29十十二月20222: