《[精选]无线安全网络建设》由会员分享,可在线阅读,更多相关《[精选]无线安全网络建设(21页珍藏版)》请在金锄头文库上搜索。
1、實驗 9: 無線安全網路之建設,Scenario,雲科大計算機網路實驗室將採取PEAP認證或是網頁認證,通過認證的使用者可以享用網路資源,並依據使用者所在的群組管理存取控制層級。 本實驗將說明如何建置一有線/無線網路之802.1X認證,所需的網路拓墣建置如下圖。 除此之外,我們採取一些無線網路的政策,其中包含RF管理、入侵防護、QoS機制,並發佈多個SSID讓使用者自行選擇認證方式,2,實驗 9: 無線安全網路之建設,Cisco WLAN Controller 4402,本實驗使用的無線網路認證控制器支圖形化介面和命令列介面。讓了展示親善的一面,我們將採用GUI介紹它的安裝與設定。 控制器在一
2、開始使用之前,需注意裡面設定的國家是否正確,這關係到各國對於開放無線通訊功率問題。 介面上的點選WIRELESS點選Country勾選TW點選Apply點選Save Configuration。 若完成設定後,便可在點選WIRELESS點選Access Points點選All APs,看到已跟控制器註冊的LWAP,3,實驗 9: 無線安全網路之建設,Cisco WLAN Controller 4402,我們在控制器上設定兩個SSID,分別 es602_web:使用瀏覽網頁方式進行認證。Controller內建小型的網頁伺服器,在使用者進行認證之前,它將自動傳遞伺服器的憑証給使用者,利用SSL加
3、密的方式,確保使用者輸入的密碼是經過加密傳送至伺服器。這樣的認證方式而言,對使用者極為方便,不需自行安裝其它的憑證。 es602_dot1x:設定安全等級最高的WPA2讓使用者進行認證。在認證之前,使用者的主機需安裝具公信力的認證中心憑證,4,實驗 9: 無線安全網路之建設,Cisco WLC & LWAP於Switch3560的設定,在我們的實驗採用Layer 3的方式架設無線網路環境。另外,我們需在Cisco 3560 Switch上,啟用DHCP Server功能。讓輕量型存取點一開機之後,經由DHCP Request/Response的協議之後,取得與無線網路認證控制器連線的資訊(無線
4、網路認證控制器位置),不需在存取點上做任何的設定,使用相當方便。 我們在網路認證控制器上設定多個VLAN,為了讓多個VLAN能相連通,所以需在Cisco 3560 Switch上Gi0/1設定802.1Q封裝,其switchport模式為truck。 本實驗的網路拓墣大致與第五章相同,若有設定安裝的問題可以參考第五章。其中增加了無線網路認證控制設備(WLAN Controller, WLC)與輕量型無線網路存取點(Light-Weight AP, LWAP,Telnet 3560 Configure terminal ip dhcp pool dhcp-vlan-1 network 192.1
5、68.1.0 255.255.255.0 dns-server 140.125.252.1 140.125.253.2 option 60 ascii Airespace.AP1200“ option 43 ascii 192.168.1.250“ default-router 192.168.1.254 interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk spanning-tree portfast,5,實驗 9: 無線安全網路之建設,集中式無線網路架構,WLC 無線網
6、路認證控制設備需與多台輕量型無線網路存取點搭配使用,這樣的組合顛覆了傳統。所有安全政策、頻寬管理、存取控制全由WLC設定。以集中式的管理方式,降低了系統管理者的負擔。 LWAP 也叫做Thin-AP,不同於一般Fat-AP加載了許多安全政策設定、頻寬管理、存取控制;它只有負責RF訊號與WLC資料的傳遞。LWAP又可分為室內型與室外型存取點;天線的功率的選擇更是多樣化。 Light-Weight Access Point Protocol (LWAPP)是WLC與LWAP建立連線時使用的協定。大致上可以分為兩方面的流量,一是資料(Data Plane)、二是控制(Control Plane) 。
7、 資料流:不做任何的加密。 控制流:採用AES-CCM加密,Light-Weight AP,Wireless LAN Controller,電子系館,化工系館,機械系館,電通系館,工程學院,電機系館,6,實驗 9: 無線安全網路之建設,LWAPP說明,LWAP傳送出一個Discovery Request訊息。 WLC收到這個Discovery Request訊息之後,回應Discovery Response訊息給LWAP。 在多個WLC回應的Discovery Response訊息中,LWAP選擇其一加入。 LWAP傳送一Join Request訊息給它選擇加入的WLC之後,等待WLC回應Jo
8、in Response訊息。 WLC收到這個Join Request訊息之後,回應Join Response訊息給LWAP。則WLC與LWAP雙方開始進行相互認證與加解密金鑰推導等過程,其主要目的是為了能安全地傳遞控制訊息與接下來的加入的程序。 待LWAP加入WLC之後,若LWAP發現與WLC之間的韌體版本不符合時,則LWAP開始從WLC下載韌體。 待LWAP與WLC韌體相符之後,WLC開始規定LWAP一些的適當設定,其中設定包含:SSIDs、安全參數、802.11參數、使用頻道和功率設定。 待設定完成之後,WLC與LWAP進入執行狀態,開始接受資料轉送。 在執行狀態的期間,WLC會不定期的發
9、送LWAPP控制訊息給LWAP。這些訊息包含設定LWAP、請求統計資料、維護LWAP等指令。 在執行狀態的期間,為了維持WLC與LWAP之間的通訊管道,它們將週期性的交換Keep-live給對方。若LWAP未收到Keep-live訊息達到足夠的數量時,它將重新尋新的WLC,Discovery Request,Discovery Response,Join Request,Join Response,Mutual authentication、 Encryption Key Derivation,Check firmware version & download it if need,SSIDs
10、, Security parameter, 802.11 parameter, radio channel, power levels,Runtime state,Exchange Keep-live message,Query statistical information,Maintain,7,實驗 9: 無線安全網路之建設,LWAPP Search & Discovery,LWAPP支援2種傳輸模式 Layer 2 LWAPP:同一網域使用,Ethertype為0XBBBB。在這個模式下,LWAP透過DHCP自動取得一個IP位址,但它與WLC所有的通訊都是靠乙太網路的訊框(frame)封
11、裝傳送,而不是使用IP封包。這樣一來,規劃無線網路環境會因需要跨越不同網段的情況而受到限制。 Layer 3 LWAPP:需跨網域使用,使用UDP封包。資料流的封包來源埠為1024,目的埠為12222。控制流的封包來源埠為1024,目的埠為12223。 Search Algorithm LWAP藉由發出DHCP DISCOVER Request封包動態取得一IP位址,或是預先手動設定一組IP位址。 若LWAP支援Layer 2模式,LWAP將廣播一個利用Layer 2 LWAPP訊框封裝的LWAPP DISCOVER訊息。然後,任何與LWAP連接同一網路並且本身運作也是Layer 2模式的WL
12、C收到該訊息後,它將回應Layer 2 LWAPP DISCOVER Response給LWAP。若LWAP不支援Layer 2 Mode LWAPP或是無法正確接收WLC的Layer 2 LWAPP DISCOVERY Response訊息,則回到步驟2。 若是步驟1失敗或是LWAP不支援Layer 2 LWAPP模式的話,則改以採用Layer 3 LWAPP WLC Discovery。 若步驟3失敗後,則回到步驟1。 整個尋找WLC的處理是重覆不斷地進行,直到最少找到一個並且加入它。 Layer 3 LWAPP Discovery Algorithm 在Search Algorithm的
13、步驟3中,有使用到Layer 3 LWAPP WLC Discovery。在這裡,我們將介紹它的演算法。 LWAP廣播一個Layer 3 LWAPP Discovery訊息,任何運作於Layer 3模式的WLC將收到這個廣播訊息之後,將單播一個Layer 3 LWAPP Discovery Response給LWAP。 WLC有一項功能(Over-the-Air Provisioning, OTAP),若這項功能被打開之後。所有加入它的LWAP,將為它廣播鄰近WLCs訊息於空氣中,讓未加入的LWAPs能得到與WLC連線的資訊,8,實驗 9: 無線安全網路之建設,LWAPP Search & D
14、iscovery,LWAP本身記錄先前學到WLC IP Address於自身的NVRAM中。LWAP將單播LWAPP Discovery Request給這些記錄於NVRAM中的WLCs,則這些WLC將會回應一LWAPP Discovery Response訊息給LWAP。 DHCP伺服器可以設定提供”Option 43”給LWAP,讓LWAP順利取得與WCL連線的資訊(WLC的IP位址)。例如:option 43 ascii “WLC IP ADDR._1, WLC IP ADDR._2,.“。 LWAP嘗試送出DNS name Resolve訊息給DNS Server,其網域名稱為CISC
15、O-LWAPP-CONTROLLER.localdomain。若DNS Server中有設定該網域名稱對應的IP位址的話,DNS Server將回傳WLC IP位址給LWAP。 待步驗1至5尋找WLC失敗後,LWAP將重置並且回到Search演算法中。 在我們的實驗中將WLC設定成Layer 3 LWAPP的模式,並且加設一台DHCP Server提供LWAP所有的WLC IP位址列表,9,實驗 9: 無線安全網路之建設,安全的LWAPP Control Plane,我們之前有提到LWAPP中,主要傳輸的訊息形態有兩種:一是資料流,二是控制流。資料流在LWAPP中是不加密的,需靠上層來保護的資
16、料內容。然而,控制流是使用AES-CCM加密,但LWAP與WLC是如何得到加解密時使用的Session Key呢? 在這裡我們需了解PKI的一些觀念。 LWAP與WLC將X.509憑證燒錄進Flash中。 LWAP與WLC的使用自已的私鑰簽署X.509憑證,並且將它燒錄進裝置內。 被安裝的憑證可讓LWAP與WLC信任憑證發行者。 當LWAP送出LWAPP Join Request給WLC時,該訊息中帶有LWAP的X.509憑證與LWAP隨機產生的Session ID。 WLC收到該Join Request訊息之後,它開始使用LWAP的公鑰驗證憑證上的簽章是否合法並檢驗該憑證是否為可信賴的憑證中心所核發的。若該憑證是合法有效的,則WLC將隨機產生一把AES加密金鑰(用於未來的控制流加解密時使用的金鑰)。 接著,WLC使用LWAP的公鑰對這把AES加密金鑰執行加密,並連同Session ID使用WLC自己的私鑰簽署。WLC將簽署結果、被加密的AES金鑰執行加密與自己的憑證夾帶於Join Response訊息中。 LWAP收到該Join Response訊息之後,它開始使用WLC的公鑰驗證憑
