無線安全網絡建設

1、國立雲(yún)林科技大學自由軟體研發(fā)中心實驗 9: 無線安全網路之建設國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心2Scenariop雲(yún)科大計算機網路實驗室將採取PEAP認證或是網頁認證，通過認證的使用者可以享用網路資源，並依據(jù)使用者所在的群組管理存取控制層級依據(jù)使用者所在的群組管理存取控制層級。p本實驗將說明如何建置一有線有線/無線網路之無線網路之802.1X認證認證，所需的網路拓墣建置如下圖。p除此之外，我們採取一些無線網路的政策，其中包含RF管理、入侵防護、QoS機制，並發(fā)佈多個SSID讓使用者自行選擇認證方式。國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)

2、中心3Cisco WLAN Controller 4402p本實驗使用的無線網路認證控制器支圖形化介面和命令列介面。讓了展示親善的一面，我們將採用GUI介紹它的安裝與設定。p控制器在一開始使用之前，需注意裡面設定的國家是否正確，這關係到各國對於開放無線通訊功率問題。n介面上的點選WIRELESS點選Country勾選TW點選Apply點選Save Configuration。n若完成設定後，便可在點選WIRELESS點選Access Points點選All APs，看到已跟控制器註冊的LWAP。國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心4Cisco WLAN Contr

3、oller 4402p我們在控制器上設定兩個SSID，分別nes602_web：使用瀏覽網頁方式進行認證。Controller內建小型的網頁伺服器，在使用者進行認證之前，它將自動傳遞伺服器的憑証給使用者，利用SSL加密的方式，確保使用者輸入的密碼是經過加密傳送至伺服器。這樣的認證方式而言，對使用者極為方便，不需自行安裝其它的憑證。nes602_dot1x：設定安全等級最高的WPA2讓使用者進行認證。在認證之前，使用者的主機需安裝具公信力的認證中心憑證。國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心5Cisco WLC & L的設定p在我們的實驗採用Layer 3的方

4、式架設無線網路環(huán)境。另外，我們需在Cisco 3560 Switch上，啟用DHCP Server功能。讓輕量型 存 取 點 一 開 機 之 後 ， 經 由 D H C P Request/Response的協(xié)議之後，取得與無線網路認證控制器連線的資訊(無線網路認證控制器位置)，不需在存取點上做任何的設定，使用相當方便。p我們在網路認證控制器上設定多個VLAN，為了讓多個VLAN能相連通，所以需在Cisco 3560 Switch上Gi0/1設定802.1Q封裝，其switchport模式為truck。p本實驗的網路拓墣大致與第五章相同，若有設定安裝的問題可以參考第五章。其中增加了無線網路認證

5、控制設備(WLAN Controller, WLC)與輕量型無線網路存取點(Light-Weight AP, LWAP)。pTelnet 3560pConfigure terminalpip dhcp pool dhcp-vlan-1p network 192.168.1.0 255.255.255.0p dns-server 140.125.252.1 140.125.253.2 p option 60 ascii Airespace.AP1200“p option 43 ascii 192.168.1.250“p default-router 192.168.1.254 pinterfac

6、e GigabitEthernet0/1p switchport trunk encapsulation dot1qp switchport mode trunkp spanning-tree portfast國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心6集中式無線網路架構pWLC無線網路認證控制設備需與多臺輕量型無線網路存取點搭配使用，這樣的組合顛覆了傳統(tǒng)。所有安全政策、頻寬管理、存取控制全由WLC設定。以集中式的管理方式，降低了系統(tǒng)管理者的負擔。pLWAP也叫做Thin-AP，不同於一般Fat-AP加載了許多安全政策設定、頻寬管理、存取控制；它只有負責RF訊號與WLC

7、資料的傳遞。LWAP又可分為室內型與室外型存取點；天線的功率的選擇更是多樣化。pLight-Weight Access Point Protocol (LWAPP)是WLC與LWAP建立連線時使用的協(xié)定。大致上可以分為兩方面的流量，一是資料(Data Plane)、二是控制(Control Plane) 。資料流：不做任何的加密資料流：不做任何的加密?？刂屏鳎簰裼每刂屏鳎簰裼肁ES-CCM加密加密。Light-Weight APWireless LAN Controller電子系館化工系館機械系館電通系館工程學院電機系館國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心7LWA

8、PP說明pLWAP傳送出一個Discovery Request訊息。pWLC收到這個Discovery Request訊息之後，回應Discovery Response訊息給LWAP。p在多個WLC回應的Discovery Response訊息中，LWAP選擇其一加入。pLWAP傳送一Join Request訊息給它選擇加入的WLC之後，等待WLC回應Join Response訊息。pWLC收到這個Join Request訊息之後，回應Join Response訊息給LWAP。則WLC與LWAP雙方開始進行相互認證與加解密金鑰推導等過程，其主要目的是為了能安全地傳遞控制訊息與接下來的加入的程序

9、。p待LWAP加入WLC之後，若LWAP發(fā)現(xiàn)與WLC之間的韌體版本不符合時，則LWAP開始從WLC下載韌體。p待LWAP與WLC韌體相符之後，WLC開始規(guī)定LWAP一些的適當設定，其中設定包含：SSIDs、安全參數(shù)、802.11參數(shù)、使用頻道和功率設定。p待設定完成之後，WLC與LWAP進入執(zhí)行狀態(tài)，開始接受資料轉送。p在執(zhí)行狀態(tài)的期間，WLC會不定期的發(fā)送LWAPP控制訊息給LWAP。這些訊息包含設定LWAP、請求統(tǒng)計資料、維護LWAP等指令。p在執(zhí)行狀態(tài)的期間，為了維持WLC與LWAP之間的通訊管道，它們將週期性的交換Keep-live給對方。若LWAP未收到Keep-live訊息達到足夠

10、的數(shù)量時，它將重新尋新的WLC。Discovery RequestDiscovery ResponseJoin RequestJoin ResponseMutual authentication、Encryption Key DerivationCheck firmware version & download it if needSSIDs, Security parameter, 802.11 parameter, radio channel, power levelsRuntime stateExchange Keep-live messageQuery statistical

11、informationMaintain 國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心8LWAPP Search & DiscoverypLWAPP支援2種傳輸模式nLayer 2 LWAPP：同一網域使用同一網域使用，Ethertype為0XBBBB。在這個模式下，LWAP透過DHCP自動取得一個IP位址，但它與WLC所有的通訊都是靠乙太網路的訊框(frame)封裝傳送，而不是使用IP封包。這樣一來，規(guī)劃無線網路環(huán)境會因需要跨越不同網段的情況而受到限制。nLayer 3 LWAPP：需跨網域使用需跨網域使用，使用UDP封包。資料流的封包來源埠為1024，目的埠為1

12、2222。控制流的封包來源埠為1024，目的埠為12223。pSearch AlgorithmnLWAP藉由發(fā)出DHCP DISCOVER Request封包動態(tài)取得一IP位址，或是預先手動設定一組IP位址。n若LWAP支援Layer 2模式，LWAP將廣播一個利用Layer 2 LWAPP訊框封裝的LWAPP DISCOVER訊息。然後，任何與LWAP連接同一網路並且本身運作也是Layer 2模式的WLC收到該訊息後，它將回應Layer 2 LWAPP DISCOVER Response給LWAP。若LWAP不支援Layer 2 Mode LWAPP或是無法正確接收WLC的Layer 2 L

13、WAPP DISCOVERY Response訊息，則回到步驟2。n若是步驟1失敗或是LWAP不支援Layer 2 LWAPP模式的話，則改以採用Layer 3 LWAPP WLC Discovery。n若步驟3失敗後，則回到步驟1。n整個尋找WLC的處理是重覆不斷地進行，直到最少找到一個並且加入它。pLayer 3 LWAPP Discovery Algorithm在Search Algorithm的步驟3中，有使用到Layer 3 LWAPP WLC Discovery。在這裡，我們將介紹它的演算法。nLWAP廣播一個Layer 3 LWAPP Discovery訊息，任何運作於Layer

14、 3模式的WLC將收到這個廣播訊息之後，將單播一個Layer 3 LWAPP Discovery Response給LWAP。1)WLC有一項功能(Over-the-Air Provisioning, OTAP)，若這項功能被打開之後。所有加入它的LWAP，將為它廣播鄰近WLCs訊息於空氣中，讓未加入的LWAPs能得到與WLC連線的資訊。國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心9LWAPP Search & DiscoverynLWAP本身記錄先前學到WLC IP Address於自身的NVRAM中。LWAP將單播LWAPP Discovery Request

15、給這些記錄於NVRAM中的WLCs，則這些WLC將會回應一LWAPP Discovery Response訊息給LWAP。nDHCP伺服器可以設定提供”O(jiān)ption 43”給LWAP，讓LWAP順利取得與WCL連線的資訊(WLC的IP位址)。例如：option 43 ascii “WLC IP ADDR._1, WLC IP ADDR._2,.“。nLWAP嘗試送出DNS name Resolve訊息給DNS Server，其網域名稱為CISCO-LWAPP-CONTROLLER.localdomain。若DNS Server中有設定該網域名稱對應的IP位址的話，DNS Server將回傳WL

16、C IP位址給LWAP。n待步驗1至5尋找WLC失敗後，LWAP將重置並且回到Search演算法中。p在我們的實驗中將WLC設定成Layer 3 LWAPP的模式，並且加設一臺DHCP Server提供LWAP所有的WLC IP位址列表。國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心10安全的LWAPP Control Planep我們之前有提到LWAPP中，主要傳輸?shù)挠嵪⑿螒B(tài)有兩種：一是資料流，二是控制流。資料流在LWAPP中是不加密的，需靠上層來保護的資料內容。然而，控制流是使用AES-CCM加密，但L是如何得到加解密時使用的Session Key呢? 在這裡我們需了解

17、PKI的一些觀念。nL將X.509憑證燒錄進Flash中。nL的使用自已的私鑰簽署X.509憑證，並且將它燒錄進裝置內。n被安裝的憑證可讓L信任憑證發(fā)行者。p當LWAP送出LWAPP Join Request給WLC時，該訊息中帶有LWAP的X.509憑證與LWAP隨機產生的Session ID。pWLC收到該Join Request訊息之後，它開始使用LWAP的公鑰驗證憑證上的簽章是否合法並檢驗該憑證是否為可信賴的憑證中心所核發(fā)的。若該憑證是合法有效的，則WLC將隨機產生一把AES加密金鑰(用於未來的控制流加解密時使用的金鑰)。p接著，WLC使用LWAP的公鑰對這把AES加密金鑰執(zhí)行加密，並

18、連同Session ID使用WLC自己的私鑰簽署。WLC將簽署結果、被加密的AES金鑰執(zhí)行加密與自己的憑證夾帶於Join Response訊息中。pLWAP收到該Join Response訊息之後，它開始使用WLC的公鑰驗證憑證上的簽章是否合法並檢驗該憑證是否為可信賴的憑證中心所核發(fā)的。若該憑證是合法有效的，LWAP將利用自已的私鑰解開被加密的AES金鑰並且安裝於加密核心中。pLWAP維護這個加解密金鑰的生命週期。當時間到期時，LWAP將產生一新的Session ID並把Session ID夾帶於LWAPP Key Update Request訊息，接著，將它傳送給WLC。WLC重覆先前的金鑰

19、產生與發(fā)佈的動作，並把結果附在LWAPP Key Update Response訊息內。加密金鑰的生命週期為8個小時。1)Cisco出廠的LWAP，其憑證的有效期限為25年。有一個值得注意的是，WLC的時間必需是正確的，不然，可能會出現(xiàn)憑證過期的問題。國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心11How to WLC Connect to Networkp下面這張圖可以看到Cisco WLC 440 x系列的架構圖，其4402更是只有兩個Gigabit實體埠。但每一個實體埠都是802.1Q VLAN truck port，所以與它連接的Switch實體埠也需要設定成tr

20、uck port。圖片來源：Cisco國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心12RF管理p當無線網路認證控制器啟用射頻訊號資源管理(Radio Resource Management, RRM)時，它將即時監(jiān)測各個連結的LWAP的資訊，其中包含n流量負載(Traffic Load)傳送與接收的總頻寬。它可讓無線網路管理員追蹤與事先規(guī)畫無線網路的使用者的成長率。n訊號干擾(Interference)與其它802.11的訊號互相干擾。n雜訊(Noise)與其它非802.11的訊號互相干擾。n覆蓋範圍(Coverage)所有連結用戶的接收訊號強度與信號雜訊比。n週邊存取點

21、(other access point)週邊存取點的數(shù)量。國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心13RF管理p利用這些資訊，RRM將週期性的重新設定無線網路，讓無線網路更有效率。RRM的功能有n射頻訊號資源監(jiān)測(Radio resource monitoring)RRM將自動偵測與設定新加入的無線網路Controller與LWAP，自動調整與已存在的LWAP的功率，讓整個網路擁有最佳的覆蓋率。它的做法是利用LWAP進入off-channel模式(低於60ms的時間)來監(jiān)測無線網路的雜訊與干擾。藉由這段時間收集封包用以分析是否有惡意的存取點、用戶、Ad-hoc用戶及干

22、擾的存取點。(備註：若過去的100ms內Voice queue曾有封包進出，則LWAP將不會進入off-channel模式)n動態(tài)變更頻道(Dynamic channel assignment)兩個鄰近的存取點使用同樣的802.11頻道時，可能導致信號競爭或是信號碰撞。若是發(fā)生碰撞，存取點可能無法接收到正確的資料。此時，控制器扮演調節(jié)的角色，將這些相鄰的存取點給予不同的802.11頻道以解決衝突、增加效能與強度?？刂破骼貌煌纳漕l特性分配頻道，其特性包含： (1)各存取點接收訊號的強度。(2)雜訊。(3)802.11干擾。(4)使用程度。(5)負載。Channel 3Channel 5Cha

23、nnel 7國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心14Coverage HoleRF管理控制器結合RF特性資訊配合RRM演算法做出對於系統(tǒng)最佳決定。n動態(tài)調整傳輸功率(Dynamic transmit power)控制器可以調整LWAP的傳輸功率。舉例來說，若無線網路中，有一LWAP損壞，造成無法提供服務，此時，控制器就加大鄰近的LWAP的傳輸功率，以得到最大的覆蓋範圍。n覆蓋範圍缺陷偵測與修正(Coverage hole detection and correction)RRMs 的覆蓋缺陷偵測可以通知你那裡需要新增一個LWAP，或是那一個LWAP可以移動位置，以

24、取得最大的覆蓋範圍。若LWAP鄰近的使用者他的Signal-to-noise ratio(SNR)低於AUTO-RF的設定時，LWAP將發(fā)出一個Coverage hole通知控制器。這個事件通知是代表有使用者漫遊到訊號薄弱的地區(qū)，可能造成使用者的連線訊號出現(xiàn)問題。此時，管理者就可以參閱控制器的記錄檔是否有Coverage hole訊息出現(xiàn)。國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心15RF管理n客戶端與無線網路的負載平衡(Client and network load balancing)RRM支援擁有同一群組ID的LWAPs的負載平衡。若有使用者加入到負載較重的LWA

25、P時，此時，控制器將扮演中央裁決的角色，把該名使用者分配到負載較輕的LWAP下；或是平衡區(qū)域網路的負擔亦可。(備註：Client的負載平衡適用於單一控制器上，不能使用在多個控制器環(huán)境)國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心16RF管理pCisco WLAN Controller 4402內建RRM功能，可採自動管理Radio Resource方式設定：國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心17入侵防護p無線網路入侵偵測系統(tǒng)(Wireless Intrusion Detection System, WIDS)主要的功能是偵測訊號出現(xiàn)頻率異常

26、與服務阻斷。p整合型無線網路入侵偵測與單一型無線網路入侵偵測設備的差別在於(1)建建置成本低置成本低、(2)工作效能低工作效能低與(3)無額外的入無額外的入侵分析侵分析。p它判定為入侵行為的條件有n某特定存取點符合攻擊特徵頻率(Pkts/Sec)。n同一使用者與同一存取點符合攻擊特徵頻率(Pkts/Sec) 。pWIDS內建17組的攻擊特徵，但管理者可以自行定義攻擊特徵到WIDS內。圖片來源：Cisco國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心18入侵防護pCisco WLAN Controller 4402內建IDS功能，而偵測時所需的攻擊特徵如下所示：國立雲(yún)林科技大學國立雲(yún)林科技大學 自由軟體研發(fā)中心自由軟體研發(fā)中心19QoS機制p服務品質(Q