無線技術 家庭和小型企業網路 – 第七章
大綱 描述無線網路技術 了解不同的無線區域網组件和結構 了解無線區域網的安全問題 設定整合無線AP和無線用戶端
內容索引 7.1 無線技術 7.2 無線LAN 7.3 無線LAN的安全性考慮 7.4 設定整合AP和無線用戶端
7.1 無線技術
7.1.1 無線技術和裝置 無線技術使用電磁波在裝置之間傳送資訊。 The most common wavelengths used for public wireless communications include the Infrared and part of the Radio Frequency (RF) band.
7.1.1 無線技術和裝置 公共無線通訊最常用的波長包括紅外和無線電射頻 (RF) 頻帶部份。 IR is also used for remote control devices, wireless mice, and wireless keyboards. It is generally used for short-range, line-of-sight, communications. However, it is possible to reflect the IR signal off objects to extend the range. For greater ranges, higher frequencies of electromagnetic waves are required.
7.1.1 無線技術和裝置 紅外線 (IR) 的能量非常低,無法穿透牆壁或其他障礙物。但它常用於連接個人數位助理 (PDA) 和 PC 等裝置並傳送資料。一種稱為紅外直接存取 (IrDA) 的專用通訊連接埠便使用紅外線在裝置之間交換資訊。IR 只支援一對一類型的連接。 IR 還可用於遙控裝置、無線滑鼠和無線鍵盤,但通常只適合視線範圍內的近距離通訊。透過反射 IR 訊號,可以擴大通訊距離。要達到的距離越遠,所需的電磁波頻率也就越高。
7.1.1 無線技術和裝置 無線電射頻 (RF):RF 波可以穿透牆壁及其他障礙物,適用範圍比 IR 大得多。 RF 頻帶的特定區域預留給沒有授權的裝置使用,例如無線區域網路、無線電話、電腦週邊裝置等。這些頻帶包括 900 MHz、2.4 GHz 和 5 GHz 頻率範圍。這些範圍被稱為工業科學和醫療 (ISM) 頻帶,其使用受到較少限制。 藍芽是一種利用 2.4 GHz 頻帶的技術,它僅限於低速、近距離通訊,但優勢是可以同時與許多裝置通訊。在用於連接電腦週邊裝置(例如滑鼠、鍵盤和印表機)時,這種一對多的通訊能力就體現出了藍芽技術相對於 IR 的優勢。
7.1.1 無線技術和裝置 另有一些利用 2.4 GHz 和 5GHz 頻帶的現代無線區域網路技術,它們符合各種 IEEE 802.11 標準。這些技術與藍芽技術的區別在於其傳送功率更高,因此傳輸距離也更大。
7.1.2 無線技術的優點和限制 無線技術的優點
7.1.2 無線技術的優點和限制 無線技術的限制
7.1.3 無線網路的類型及其界限 無線網路分為三個主要類別: WPAN This is the smallest wireless network used to connect various peripheral devices WLAN WLAN is typically used to extend the boundaries of the local wired network (LAN). WLANs use RF technology and conform to the IEEE 802.11 standards. WWAN WWAN networks provide coverage over extremely large areas. A good example of a WWAN is the cell phone network.
7.1.3 無線網路的類型及其界限 WPAN:這是最小的無線網路,用於連接各種週邊裝置到電腦,例如滑鼠、鍵盤和 PDA。所有這些裝置專屬於通常使用 IR 或藍芽技術的一台主機。 WLAN 通常用於延伸區域有線網路 (LAN) 的覆蓋範圍。WLAN 使用 RF 技術並遵守 IEEE 802.11 標準。它們可以讓許多使用者透過稱為「存取點」(AP) 的裝置連接到有線網路。存取點用於連接無線主機和有線乙太網路中的主機。 WWAN 網路覆蓋非常廣大的區域。行動電話網路就是一種非常典型的 WWAN。這些網路使用分碼多工存取 (CDMA) 或全球移動通訊系統 (GSM) 等技術,通常受政府機構的管制。 WPAN This is the smallest wireless network used to connect various peripheral devices WLAN WLAN is typically used to extend the boundaries of the local wired network (LAN). WLANs use RF technology and conform to the IEEE 802.11 standards. WWAN WWAN networks provide coverage over extremely large areas. A good example of a WWAN is the cell phone network.
7.1.3 無線網路的類型及其界限 無線網路的界限
7.2 無線LAN
7.2.1 無線LAN標準 IEEE 802.11 標準用於管理 WLAN 環境。 目前可用的附錄有 802.11a、802.11b、802.11g 和 802.11n。
7.2.1 無線LAN標準 802.11a: 802.11b: -使用 5 GHz RF 頻譜 -與 2.4 GHz 頻譜(即 802.11b/g/n 裝置)不相容 -範圍大約是 802.11 b/g 的 33% -與其他技術相比,實作此技術非常昂貴。 - 802.11a 標準的設備越來越少 802.11b: -首次採用 2.4 GHz 的技術 -最大資料速率為 11 Mbps -範圍大約是室內 46 公尺(150 英呎)/室外 96 公尺(300 英呎)
7.2.1 無線LAN標準 802.11g: 802.11n: - 2.4 GHz 技術 -最大資料速率增至 54 Mbps -正在開發中的最新標準 - 2.4 GHz 技術(草案標準規定了對 5 GHz 的支援) -擴大範圍和資料傳輸量 -與現有的 802.11g 和 802.11b 設備向後相容(草案標準規定了對 802.11a 的支援)
7.2.1 無線LAN標準 常用IEEE WLAN標準
7.2.2 無線LAN组件 Various WLAN components
7.2.2 無線LAN组件 天線 -定向天線:將訊號強度集中到一個方向發送。 -全向天線:朝所有方向均勻發送訊號。
7.2.3 WLAN和SSID 服務組識別碼 (SSID) -用於識別無線裝置所屬的 WLAN 以及能與其相互通訊的裝置。 -無論是哪種類型的 WLAN,同一個 WLAN 中的所有裝置必須使用相同的 SSID 設定才能進行通訊。
7.2.3 WLAN和SSID WLAN 有兩種基本形式:對等模式和基礎架構模式。 -對等 在點對點網路中,將兩台或以上的用戶端連接到一起,就可以建立最簡單的無線網路。以這種方式建立的無線網路稱為對等網路,其中不含 AP。一個對等網路中的所有用戶端是平等的。此網路覆蓋的區域稱為獨立的基本服務組 (IBSS)
7.2.3 WLAN和SSID WLAN 有兩種基本形式:對等模式和基礎架構模式。 -基礎架構模式 AP 控制所有通訊,確保所有 STA 都能平等存取媒體。單個 AP 覆蓋的區域稱為基本服務組 (BSS) 或單元。
7.2.3 WLAN和SSID 延伸服務組(ESS) -要擴大覆蓋區域,可以透過分佈系統 (DS) 連接多個 BSS - ESS 使用了多個 AP。每個 AP 都位於一個獨立的 BSS 中。 - BSS 必須具有大約 10% 的重疊量,以允許用戶端在與第一個 AP 斷開之前連接到第二個 AP 。
7.2.4 無線通道(Chanel) 對可用的 RF 頻譜進一步劃分即形成通道。 每個通道都可以傳送不同的通訊。
7.2.4 無線通道 無線技術使用的存取方法稱為「載波感應多重存取/碰撞避免」 (CSMA/CA)。
7.2.4 無線通道 練習:使用 GUI 介面設定 AP 使用的通道。操作練習7.2.4.3
7.2.5 設定存取點 設定無線AP
7.2.5 設定存取點 設定無線AP
7.2.6 設定無線用戶端 無線用戶端的定義 -包含無線網路介面卡和無線用戶端軟體的任何裝置。 -屬於 STA 的裝置包括:PDA、膝上型電腦、桌上型 PC、印表機、投影儀和 Wi-Fi 電話。 -用戶端的設定必須與 AP 的設定相符。
7.2.6 設定無線用戶端 無線應用程式分為 -獨立無線公用程式軟體 -整合式無線公用程式軟體 包含在裝置的作業系統中 用於支援特定的網路介面卡
7.3 無線LAN的安全性考慮
7.3.1 為什麼WLAN會受到攻擊 無線網路的一個主要優點是連接的裝置非常簡便。 資訊透過空間傳送。 攻擊者可以從使用者無線訊號能抵達的任何地點存取其網路。
7.3.1 為什麼WLAN會受到攻擊 可以採用的安全防範方式包括: -變更預設設定,例如 SSID、密碼和 IP 位址。 -設定MAC位址過濾
7.3.1 為什麼WLAN會受到攻擊 變更預設設定也同樣重要。
7.3.2 限制存取WLAN MAC 位址過濾
7.3.3 WLAN上的驗證 無線驗證方法有三種: -Open Authentication (開放式驗證) -PSK (預共用金鑰 ) -EAP (可延伸驗證協定)
7.3.3 WLAN上的驗證 無線驗證方法有三種: -Open Authentication (開放式驗證) -PSK (預共用金鑰 ) -EAP (可延伸驗證協定)
7.3.3 WLAN上的驗證 無線驗證方法有三種: -Open Authentication (開放式驗證) -PSK (預共用金鑰 ) -EAP (可延伸驗證協定)
7.3.3 WLAN上的驗證 同時啟用了驗證和 MAC 位址過濾 觀看動畫7.3.3.3
7.3.4 WLAN上的加密 驗證和 MAC 過濾可以阻止攻擊者連接無線網路,但無法阻止他們攔截傳送的資料。因為無線網路沒有單獨的邊界,並且所有流量都透過空間傳送,所以攻擊者很容易攔截或竊聽無線訊框。而經過加密之後,攻擊者即使攔截了傳輸的資料,也無法使用它們。 Host need right key. 觀看動畫7.3.4.1
7.3.4 WLAN上的加密 WEP 是一種防範攻擊者攔截資料的極佳方式。但 WEP 也有缺陷,例如,所有啟用 WEP 的裝置都使用靜態金鑰。攻擊者可以使用一些應用程式來破解 WEP 金鑰。 填補此漏洞的一種方法是頻繁變更金鑰。另一種方法是使用形式更進階、更安全的加密,稱為 Wi-Fi 保護存取(Wi-Fi Protected Access,WPA)。 WPA 也使用加密金鑰,其長度在 64 位元到 256 位元之間。但與 WEP 不同的是,每當用戶端與 AP 建立連接時,WPA 都會生成新的動態金鑰。因此,WPA 比 WEP 更安全,其破解難度也要大很多。 觀看動畫7.3.4.2
7.3.5 WLAN上的流量過濾 流量過濾可以阻止不適當的通訊傳入或傳出無線網路。 過濾可以刪除來自或發往特定 MAC 或 IP 位址的流量。 也可以透過連接埠號攔截特定的應用程式。 例如,流量過濾可用於阻止發往特定機器(例如驗證伺服器)的所有 telnet 流量。任何想 telnet 到驗證伺服器的嘗試都應視為可疑流量而予以攔截。
7.4 設定整合AP和無線用戶端
7.4.1 規劃WLAN 規劃的具體內容包括: -確定要使用的無線標準類型 -確定最有效的裝置佈局 -安裝和安全計畫 -無線裝置韌體的備份和更新政策。
7.4.1 規劃WLAN 安裝無線網路必須完成以下步驟: -收集用户要求 -進行現場勘測 -综合多種安全技術 -執行安全的設定備份 -升级韌體 BSS 中可用的带宽须由该 BSS 内的所有用户共享。如果多个用户同时连接,则即使具体应用不需要高速连接,也可能需要一种速度较高的技術。 不同的標準支持不同的覆盖范围。802.11 b/g/n 技術中使用的 2.4 GHz 信号传输范围比 802.11a 技術中使用的 5 GHz 信号传输范围更大。因此 802.11 b/g/n 支持更大的 BSS,实施时所需的裝置更少,成本更低。 现有網路还对实施新的 WLAN 標準有影响。例如,802.11n 標準与 802.11g 向下兼容,但 802.11b 与 802.11a 不兼容。如果现有網路基础架构和裝置支持 802.11a,则新的实施还必须支持同一標準。 成本也是一个因素。在考虑成本时,应考虑总拥有成本 (TCO),包括裝置购买成本以及安装和支持成本。在大中型企业環境中,TCO 对所选 WLAN 標準的影响比起在家庭或小型企业環境中产生的影响更大。这是因为在大中型企业中,需要更多的裝置和安装计划,因此会增加成本。
7.4.1 規劃WLAN 無線裝置的安裝 -確定 AP 的最佳數量和位置。 -任何情況下都必須考慮已知的干擾源,例如高壓電線、馬達及其他無線裝置。
7.4.2安裝和保護AP 安裝和保護AP
7.4.3 備份和還原設定檔 設定備份
7.4.4 更新韌體(Firmware) 更新韌體