實驗 9: 無線安全網路之建設
實驗 9: 無線安全網路之建設 Scenario 雲科大計算機網路實驗室將採取PEAP認證或是網頁認證,通過認證的使用者可以享用網路資源,並依據使用者所在的群組管理存取控制層級。 本實驗將說明如何建置一有線/無線網路之802.1X認證,所需的網路拓墣建置如下圖。 除此之外,我們採取一些無線網路的政策,其中包含RF管理、入侵防護、QoS機制,並發佈多個SSID讓使用者自行選擇認證方式。
實驗 9: 無線安全網路之建設 Cisco WLAN Controller 4402 本實驗使用的無線網路認證控制器支圖形化介面和命令列介面。讓了展示親善的一面,我們將採用GUI介紹它的安裝與設定。 控制器在一開始使用之前,需注意裡面設定的國家是否正確,這關係到各國對於開放無線通訊功率問題。 介面上的點選「WIRELESS」點選「Country」勾選「TW」點選「Apply」點選「Save Configuration」。 若完成設定後,便可在點選「WIRELESS」點選「Access Points」點選「All APs」,看到已跟控制器註冊的LWAP。
實驗 9: 無線安全網路之建設 Cisco WLAN Controller 4402 我們在控制器上設定兩個SSID,分別 es602_web:使用瀏覽網頁方式進行認證。Controller內建小型的網頁伺服器,在使用者進行認證之前,它將自動傳遞伺服器的憑証給使用者,利用SSL加密的方式,確保使用者輸入的密碼是經過加密傳送至伺服器。這樣的認證方式而言,對使用者極為方便,不需自行安裝其它的憑證。 es602_dot1x:設定安全等級最高的WPA2讓使用者進行認證。在認證之前,使用者的主機需安裝具公信力的認證中心憑證。
Cisco WLC & LWAP於Switch3560的設定 實驗 9: 無線安全網路之建設 Cisco WLC & LWAP於Switch3560的設定 在我們的實驗採用Layer 3的方式架設無線網路環境。另外,我們需在Cisco 3560 Switch上,啟用DHCP Server功能。讓輕量型存取點一開機之後,經由DHCP Request/Response的協議之後,取得與無線網路認證控制器連線的資訊(無線網路認證控制器位置),不需在存取點上做任何的設定,使用相當方便。 我們在網路認證控制器上設定多個VLAN,為了讓多個VLAN能相連通,所以需在Cisco 3560 Switch上Gi0/1設定802.1Q封裝,其switchport模式為truck。 本實驗的網路拓墣大致與第五章相同,若有設定安裝的問題可以參考第五章。其中增加了無線網路認證控制設備(WLAN Controller, WLC)與輕量型無線網路存取點(Light-Weight AP, LWAP)。 Telnet 3560 Configure terminal ip dhcp pool dhcp-vlan-1 network 192.168.1.0 255.255.255.0 dns-server 140.125.252.1 140.125.253.2 option 60 ascii "Airespace.AP1200“ option 43 ascii "192.168.1.250“ default-router 192.168.1.254 interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk spanning-tree portfast
實驗 9: 無線安全網路之建設 集中式無線網路架構 WLC LWAP 也叫做Thin-AP,不同於一般Fat-AP加載了許多安全政策設定、頻寬管理、存取控制;它只有負責RF訊號與WLC資料的傳遞。LWAP又可分為「室內型」與「室外型」存取點;天線的功率的選擇更是多樣化。 Light-Weight Access Point Protocol (LWAPP)是WLC與LWAP建立連線時使用的協定。大致上可以分為兩方面的流量,一是資料(Data Plane)、二是控制(Control Plane) 。 資料流:不做任何的加密。 控制流:採用AES-CCM加密。 Wireless LAN Controller Light-Weight AP 電子系館 電通系館 工程學院 化工系館 機械系館 電機系館
實驗 9: 無線安全網路之建設 LWAPP說明 Discovery Request Discovery Response LWAP傳送出一個Discovery Request訊息。 WLC收到這個Discovery Request訊息之後,回應Discovery Response訊息給LWAP。 在多個WLC回應的Discovery Response訊息中,LWAP選擇其一加入。 LWAP傳送一Join Request訊息給它選擇加入的WLC之後,等待WLC回應Join Response訊息。 WLC收到這個Join Request訊息之後,回應Join Response訊息給LWAP。則WLC與LWAP雙方開始進行相互認證與加解密金鑰推導等過程,其主要目的是為了能安全地傳遞控制訊息與接下來的加入的程序。 待LWAP加入WLC之後,若LWAP發現與WLC之間的韌體版本不符合時,則LWAP開始從WLC下載韌體。 待LWAP與WLC韌體相符之後,WLC開始規定LWAP一些的適當設定,其中設定包含:SSIDs、安全參數、802.11參數、使用頻道和功率設定。 待設定完成之後,WLC與LWAP進入執行狀態,開始接受資料轉送。 在執行狀態的期間,WLC會不定期的發送LWAPP控制訊息給LWAP。這些訊息包含設定LWAP、請求統計資料、維護LWAP等指令。 在執行狀態的期間,為了維持WLC與LWAP之間的通訊管道,它們將週期性的交換Keep-live給對方。若LWAP未收到Keep-live訊息達到足夠的數量時,它將重新尋新的WLC。 Discovery Request Discovery Response Join Request Join Response Mutual authentication、 Encryption Key Derivation Check firmware version & download it if need SSIDs, Security parameter, 802.11 parameter, radio channel, power levels Runtime state Exchange Keep-live message Query statistical information Maintain
LWAPP Search & Discovery 實驗 9: 無線安全網路之建設 LWAPP Search & Discovery LWAPP支援2種傳輸模式 Layer 2 LWAPP:同一網域使用,Ethertype為0XBBBB。在這個模式下,LWAP透過DHCP自動取得一個IP位址,但它與WLC所有的通訊都是靠乙太網路的訊框(frame)封裝傳送,而不是使用IP封包。這樣一來,規劃無線網路環境會因需要跨越不同網段的情況而受到限制。 Layer 3 LWAPP:需跨網域使用,使用UDP封包。資料流的封包來源埠為1024,目的埠為12222。控制流的封包來源埠為1024,目的埠為12223。 Search Algorithm LWAP藉由發出DHCP DISCOVER Request封包動態取得一IP位址,或是預先手動設定一組IP位址。 若LWAP支援Layer 2模式,LWAP將廣播一個利用Layer 2 LWAPP訊框封裝的LWAPP DISCOVER訊息。然後,任何與LWAP連接同一網路並且本身運作也是Layer 2模式的WLC收到該訊息後,它將回應Layer 2 LWAPP DISCOVER Response給LWAP。若LWAP不支援Layer 2 Mode LWAPP或是無法正確接收WLC的Layer 2 LWAPP DISCOVERY Response訊息,則回到步驟2。 若是步驟1失敗或是LWAP不支援Layer 2 LWAPP模式的話,則改以採用Layer 3 LWAPP WLC Discovery。 若步驟3失敗後,則回到步驟1。 整個尋找WLC的處理是重覆不斷地進行,直到最少找到一個並且加入它。 Layer 3 LWAPP Discovery Algorithm 在Search Algorithm的步驟3中,有使用到Layer 3 LWAPP WLC Discovery。在這裡,我們將介紹它的演算法。 LWAP廣播一個Layer 3 LWAPP Discovery訊息,任何運作於Layer 3模式的WLC將收到這個廣播訊息之後,將單播一個Layer 3 LWAPP Discovery Response給LWAP。 WLC有一項功能(Over-the-Air Provisioning, OTAP),若這項功能被打開之後。所有加入它的LWAP,將為它廣播鄰近WLCs訊息於空氣中,讓未加入的LWAPs能得到與WLC連線的資訊。
LWAPP Search & Discovery 實驗 9: 無線安全網路之建設 LWAPP Search & Discovery LWAP本身記錄先前學到WLC IP Address於自身的NVRAM中。LWAP將單播LWAPP Discovery Request給這些記錄於NVRAM中的WLCs,則這些WLC將會回應一LWAPP Discovery Response訊息給LWAP。 DHCP伺服器可以設定提供”Option 43”給LWAP,讓LWAP順利取得與WCL連線的資訊(WLC的IP位址)。例如:option 43 ascii “WLC IP ADDR._1, WLC IP ADDR._2,…….“。 LWAP嘗試送出DNS name Resolve訊息給DNS Server,其網域名稱為「CISCO-LWAPP-CONTROLLER.localdomain」。若DNS Server中有設定該網域名稱對應的IP位址的話,DNS Server將回傳WLC IP位址給LWAP。 待步驗1至5尋找WLC失敗後,LWAP將重置並且回到Search演算法中。 在我們的實驗中將WLC設定成Layer 3 LWAPP的模式,並且加設一台DHCP Server提供LWAP所有的WLC IP位址列表。
安全的LWAPP Control Plane 實驗 9: 無線安全網路之建設 安全的LWAPP Control Plane 我們之前有提到LWAPP中,主要傳輸的訊息形態有兩種:一是「資料流」,二是「控制流」。資料流在LWAPP中是不加密的,需靠上層來保護的資料內容。然而,控制流是使用AES-CCM加密,但LWAP與WLC是如何得到加解密時使用的Session Key呢? 在這裡我們需了解PKI的一些觀念。 LWAP與WLC將X.509憑證燒錄進Flash中。 LWAP與WLC的使用自已的私鑰簽署X.509憑證,並且將它燒錄進裝置內。 被安裝的憑證可讓LWAP與WLC信任憑證發行者。 當LWAP送出LWAPP Join Request給WLC時,該訊息中帶有LWAP的X.509憑證與LWAP隨機產生的Session ID。 WLC收到該Join Request訊息之後,它開始使用LWAP的公鑰驗證憑證上的簽章是否合法並檢驗該憑證是否為可信賴的憑證中心所核發的。若該憑證是合法有效的,則WLC將隨機產生一把AES加密金鑰(用於未來的控制流加解密時使用的金鑰)。 接著,WLC使用LWAP的公鑰對這把AES加密金鑰執行加密,並連同Session ID使用WLC自己的私鑰簽署。WLC將簽署結果、被加密的AES金鑰執行加密與自己的憑證夾帶於Join Response訊息中。 LWAP收到該Join Response訊息之後,它開始使用WLC的公鑰驗證憑證上的簽章是否合法並檢驗該憑證是否為可信賴的憑證中心所核發的。若該憑證是合法有效的,LWAP將利用自已的私鑰解開被加密的AES金鑰並且安裝於加密核心中。 LWAP維護這個加解密金鑰的生命週期。當時間到期時,LWAP將產生一新的Session ID並把Session ID夾帶於LWAPP Key Update Request訊息,接著,將它傳送給WLC。WLC重覆先前的金鑰產生與發佈的動作,並把結果附在LWAPP Key Update Response訊息內。加密金鑰的生命週期為8個小時。 Cisco出廠的LWAP,其憑證的有效期限為25年。有一個值得注意的是,WLC的時間必需是正確的,不然,可能會出現憑證過期的問題。
How to WLC Connect to Network 實驗 9: 無線安全網路之建設 How to WLC Connect to Network 下面這張圖可以看到Cisco WLC 440x系列的架構圖,其4402更是只有兩個Gigabit實體埠。但每一個實體埠都是802.1Q VLAN truck port,所以與它連接的Switch實體埠也需要設定成truck port。 圖片來源:Cisco
實驗 9: 無線安全網路之建設 RF管理 當無線網路認證控制器啟用射頻訊號資源管理(Radio Resource Management, RRM)時,它將即時監測各個連結的LWAP的資訊,其中包含 流量負載(Traffic Load) 傳送與接收的總頻寬。它可讓無線網路管理員追蹤與事先規畫無線網路的使用者的成長率。 訊號干擾(Interference) 與其它802.11的訊號互相干擾。 雜訊(Noise) 與其它非802.11的訊號互相干擾。 覆蓋範圍(Coverage) 所有連結用戶的接收訊號強度與信號雜訊比。 週邊存取點(other access point) 週邊存取點的數量。
實驗 9: 無線安全網路之建設 RF管理 利用這些資訊,RRM將週期性的重新設定無線網路,讓無線網路更有效率。RRM的功能有 射頻訊號資源監測(Radio resource monitoring) RRM將自動偵測與設定新加入的無線網路Controller與LWAP,自動調整與已存在的LWAP的功率,讓整個網路擁有最佳的覆蓋率。它的做法是利用LWAP進入off-channel模式(低於60ms的時間)來監測無線網路的雜訊與干擾。藉由這段時間收集封包用以分析是否有惡意的存取點、用戶、Ad-hoc用戶及干擾的存取點。(備註:若過去的100ms內Voice queue曾有封包進出,則LWAP將不會進入off-channel模式) 動態變更頻道(Dynamic channel assignment) 兩個鄰近的存取點使用同樣的802.11頻道時,可能導致信號競爭或是信號碰撞。若是發生碰撞,存取點可能無法接收到正確的資料。此時,控制器扮演調節的角色,將這些相鄰的存取點給予不同的802.11頻道以解決衝突、增加效能與強度。控制器利用不同的射頻特性分配頻道,其特性包含: (1)各存取點接收訊號的強度。(2)雜訊。(3)802.11干擾。(4)使用程度。(5)負載。 Channel 3 Channel 5 Channel 7
實驗 9: 無線安全網路之建設 RF管理 控制器結合RF特性資訊配合RRM演算法做出對於系統最佳決定。 動態調整傳輸功率(Dynamic transmit power) 控制器可以調整LWAP的傳輸功率。舉例來說,若無線網路中,有一LWAP損壞,造成無法提供服務,此時,控制器就加大鄰近的LWAP的傳輸功率,以得到最大的覆蓋範圍。 覆蓋範圍缺陷偵測與修正(Coverage hole detection and correction) RRM’s 的覆蓋缺陷偵測可以通知你那裡需要新增一個LWAP,或是那一個LWAP可以移動位置,以取得最大的覆蓋範圍。若LWAP鄰近的使用者他的Signal-to-noise ratio(SNR)低於AUTO-RF的設定時,LWAP將發出一個Coverage hole通知控制器。這個事件通知是代表有使用者漫遊到訊號薄弱的地區,可能造成使用者的連線訊號出現問題。此時,管理者就可以參閱控制器的記錄檔是否有Coverage hole訊息出現。 Coverage Hole
實驗 9: 無線安全網路之建設 RF管理 客戶端與無線網路的負載平衡(Client and network load balancing) RRM支援擁有同一群組ID的LWAPs的負載平衡。若有使用者加入到負載較重的LWAP時,此時,控制器將扮演中央裁決的角色,把該名使用者分配到負載較輕的LWAP下;或是平衡區域網路的負擔亦可。(備註:Client的負載平衡適用於單一控制器上,不能使用在多個控制器環境)
實驗 9: 無線安全網路之建設 RF管理 Cisco WLAN Controller 4402內建RRM功能,可採自動管理Radio Resource方式設定:
實驗 9: 無線安全網路之建設 入侵防護 無線網路入侵偵測系統(Wireless Intrusion Detection System, WIDS)主要的功能是偵測訊號出現頻率異常與服務阻斷。 「整合型無線網路入侵偵測」與「單一型無線網路入侵偵測」設備的差別在於(1)建置成本低、(2)工作效能低與(3)無額外的入侵分析。 它判定為入侵行為的條件有 某特定存取點符合攻擊特徵頻率(Pkts/Sec)。 同一使用者與同一存取點符合攻擊特徵頻率(Pkts/Sec) 。 WIDS內建17組的攻擊特徵,但管理者可以自行定義攻擊特徵到WIDS內。 圖片來源:Cisco
實驗 9: 無線安全網路之建設 入侵防護 Cisco WLAN Controller 4402內建IDS功能,而偵測時所需的攻擊特徵如下所示:
實驗 9: 無線安全網路之建設 QoS機制 服務品質(Quality of Server, QoS)提供了針對不同用戶或者不同應用程式流量採用不同的優先等級,或者是根據應用程式的請求,保證流量的效能達到一定的水準。 QoS主要的目標為 為服務劃分等級,並逐一給予優先權。 提供每個等級的專用頻寬。 控制流量劇烈跳動與延遲。 減少封包遺失率。 Cisco WLAN Controller 4402支援下列四種的QoS設定檔: Platinum/Voice:對於無線網路的語音流量給予白金級的保證。 Gold/Video:對於無線網路的影音流量給予黃金級的保證。 Silver/Best Effort:給予一般使用者的頻寬。(預設值) Bronze/Background:給予訪客最低的頻寬。 無線網路認證控制器可一個網路域對QoS設定檔客製化。並可對來訪用戶設定不同角色,並可對每個角色設定不同的服務等級。 針對不同網域的QoS設定 針對不同角色的QoS設定
實驗 9: 無線安全網路之建設 參考資料 Combined Avaya and Cisco QoS Strategy Cisco 440X Series Wireless LAN Controllers Deployment Guide Cisco Wireless LAN Controller Configuration Guide HOWTO: EAP-TLS Setup for FreeRADIUS and Windows XP Supplicant RFC 2865, Remote Authentication Dial In User Service (RADIUS) IEEE 802.1x Multi-Domain Authentication on Cisco Catalyst Layer 3 Fixed Configuration Switches Configuration Example Configuring 802.1X Port-Based Authentication Combined Avaya and Cisco QoS Strategy