無線區域網路規劃與管理
802.11網路架構 無線區域網路(WLAN,Wireless Local Area Network)與有線網區域路(LAN)的用途相似,兩者最大差異在於傳輸資料的媒介不同。 無線區域網路利用無線電波(Radio Frequency;RF)或光做為資料傳輸載波(Carrier),其中無線電波傳導技術包括窄頻微波、直接序列展頻、跳頻展頻、HomeRF、HyperLAN及藍芽技術等,而光傳導技術則有紅外線(Infrared)與雷射光(Laser)等。 WLAN可省下可觀的佈線(Cabling)費及裝潢重修費,且在使用空間上較具彈性,可在不易佈線區域建置。 架構簡易的無線區域網路相當簡單,只須準備兩片以上無線網路卡或是一片以上無線網路卡連結一台無線網路存取點(Access Point;AP),如此便能以無線模式或配合現存有線網路架構來分享網路資源。 若要建置稍具規模的WLAN,則需準備包括無線網路卡、無線網路存取點、無線網路閘道器、無線網路認證伺服器及無線網路漫遊伺服器等設備。
WLAN相關設備 無線網路卡 無線網路存取點 無線網路閘道器 無線網路認證伺服器 無線網路漫遊伺服器
無線網路技術與認證商標 intel centrino 技術商標 Wi-Fi 認證標誌
各式天線
無線區域網路架構 無線網路可以延伸擴展有線網路的使用範圍,建構小規模的無線區域網路相當容易,只要考量無線電波收訊狀況是否良好即可。 若將範圍擴大至學校、社區甚至城市時,那麼就必須考慮較多因素,當然建置的架構也就有所不同。
無線區域網路架構 對等式無基礎架構的隨意網路(Ad-Hoc Network ) 有基礎架構的無線網路(Infrastructure Network) 無線漫遊網路( Roaming Network )
對等式無基礎架構的隨意網路 (Ad-Hoc Network ) 此種架構不須任何無線網路存取點,主要提供使用者能隨時架構起無線通訊網路,並直接進行通訊,較適合運用在小範圍區域或臨時性無線傳輸需求之場合。
有基礎架構的無線網路 (Infrastructure Network) 此種架構是利用AP和有線區域網路連結,在現存有線網路系統架構中,利用AP可以允許無線設備來進行網路連結。 AP可將一個或多個無線區域網路和現存有線網路系統相連結,以提供不同無線區域網路的電腦相互通訊,亦能擷取有線網路的資源。
無線漫遊網路 ( Roaming Network ) 此種架構利用AP的多點(Multipoint)連結方式,提供行動台設備在跨越不同無線網路後仍然可以一直保持網路連線。
802.11網路規劃與部署 無線區域網路的獨特優勢: 行動性佳 部署容易、建置快速 彈性高 成本合理
無線區域網路問題與先天限制 WLAN無法完全取代固定式的傳統有線區域網路。 無線網路訊框(Frame)的傳輸可靠性並不高,必須搭配其他協定(例如WEP、802.1x)才能確保傳送訊框的完整性和正確性。 存在著多重路徑干擾(Multipath interference)和死角(shadows)等傳輸問題。 在WLAN可通訊的服務範圍內,有心人都可以輕易地竊聽到傳輸的資料,因此使用者驗證機制和加密功能(如WEP和802.1x)更顯重要,但不幸的是WEP和802.1x目前均已有遭人破解的案例。
無線網路須確定的一些規劃原則 是否無線網路必須與有線網路分開? 是否已選定無線網路存取點設置地點? 是否須有一套程式來負責監控無線網路存取點的運作情況? 需要何種無線網路的認證方式與程序? 是否須建立無線網路漫遊機制?
現場勘查(site survey)的目的 確認使用者與設備的實際位置。 了解漫遊需求、安全考量及如何提供良好的通訊品質。 作為無線區域網路規劃與部署的參考藍圖。
標準的WLAN部署架構 利用骨幹網路將所有的無線網路存取點連接成單一的IP子網路,在沒有使用Mobile IP的情形下,所有無線網路存取點本來就都屬於同一個IP子網路,所以漫遊處理方式將比較單純。 為了管理方便,行動台的IP位址最好是透過DHCP來自動分配,若現存有線網路中已有DHCP伺服器,則建議可以將無線網路與有線網路的DHCP整合在一起。
WLAN應用本身的相關安全需求 完整性:為了使用上的便利,應該讓連接WLAN的程序簡化,但卻又必須具有安全的管制措施,以避免資料被駭客修改等問題。 機密性:因為所有資料在WLAN通訊過程都是直接曝露在開放空間中,如何確保傳輸資料的機密性便成為相當重要與基本的需求。 可用性:駭客可能會發動專門針對癱瘓WLAN服務的攻擊,造成WLAN無法正常運作,所以維持WLAN持續地正常運作也是很重要的考量。
規劃WLAN須釐清的相關問題 現有環境有哪些資源、網路設備與架構? WLAN是室內還是室外使用? WLAN的使用目的與對象是誰? 頻寬與漫遊需求為何? 有哪些安全需求考量? 建立WLAN會希望減少實體佈線,為了整體性網路架構考量,規劃時也應該了解現有網路架構中集線機櫃的位置與規格,並考量網路的邏輯架構。
現場勘查(site survey) 實地現場勘查的目的通常是希望可以得到與確認有關AP的實際涵蓋範圍以及最佳架設位置與數量、不同位置的訊號品質等相關資訊 訊號品質的量測標的包括封包錯誤率(PER,packet error rate)、收訊強度指標(RSSI,received signal strength indication)、多路徑時間散佈(MTD,multipath time dispersion)等。
現場勘查軟體工具 AirMagnet Survey
建置與部署WLAN需要考量的問題 若要每個ESS都希望形成一個單一的IP子網路,可以運用VLAN或是其他的橋接技術來達到這個目的。 須顧慮到無線網路存取設備位置資訊的保護,無線網路存取設備設備名稱的命名除了簡單白話外,應該避免暴露無線網路存取設備的實際位置。 確實思考WEP的使用與否,以及WLAN的安全性需求與政策。 上述的各項考量僅是一般性通則,但是不同的安全需求與政策將會直接影響到WLAN的實際部署與設定
常見的無線網路攻擊方式 竊聽(Eavesdropping)攻擊 偽裝(Masquerade)攻擊 重送(Replay)攻擊 訊息竄改(Message Modification)攻擊 通訊劫持(Session Hijacking)攻擊 阻絕服務(Denial-of-Services)攻擊 中間人(Man-in-the-Middle)攻擊
安全規劃與管理建議 由於硬體及生產技術的演進提升,使得無線網路的架設成本逐年降低,再加上架設無線網路已不再是一件困難的事,使用者若想要在家裡架設無線網路,僅須為AP選個放置的好位置即可,然後將原來區域網路的網路線接到AP便算完成。 在公司裡架設無線網路則就須特別留意無線網路使用的安全性問題。
無線網路並不需要實體線路,大部分的人都以為802 無線網路並不需要實體線路,大部分的人都以為802.11的無線電訊號只能存在於一個極短的有效範圍內,但實際上無線電波可以傳播的更遠些,只是傳得愈遠,訊號強度愈弱,而大部分電腦所使用的無線網路卡無法偵測到太微弱的無線電波。 如果將無線網路卡的原本天線換成高增益天線,則無線網路卡便可以偵測到更遙遠地方所發射出來的微弱無線電波。
無線網路軟體工具 NetStumbler
無線區域網路安全規劃與管理建議 注意無線區域網路的涵蓋範圍並定期地檢查溢漏的無線電波強度。 嚴禁架設未經許可的無線網路設備,並建立一套定期查核非法存取點的機制。
無線區域網路安全規劃與管理建議 使用WEP/WPA加密協定
無線區域網路安全規劃與管理建議 更換無線網路存取設備出廠之SSID預設值,或是關掉『SSID廣播功能』 變更無線網路存取設備的預設密碼
無線區域網路安全規劃與管理建議
無線區域網路安全規劃與管理建議 使用RADIUS進行使用者身份驗證 利用MAC位址來控制可以連上網路的無線網路卡
無線區域網路安全規劃與管理建議 讓無線網路卡使用固定的IP位址 慎選無線網路設備,並隨時注意更新相關功能版本
無線區域網路安全規劃與管理建議 可考慮使用廠商的非標準強化功能 儘可能不使用Ad-Hoc模式 更改SNMP預設的社群名稱(community name) 利用防火牆加強防護 建置虛擬私有網路(VPN)連線通道 制訂無線網路使用規範,並教育使用者
<<實作練習>> 以電腦建立臨時無線網路基地台 <<實作練習>> 以電腦建立臨時無線網路基地台 步驟1:建立臨時基地台之時機與應注意事項 臨時網路的速度完全取決於臨時基地台的硬體效能。 作為臨時基地台的NB缺乏專用無線網路AP的流量控管與安全防護措施,所以臨時AP本身的速度及安全性,將會因多台電腦與其連線而遭受到很大的挑戰與威脅。 建議臨時AP應僅在不得已的臨時狀況下使用,平時還是應購買專用的無線網路存取點來使用。
步驟2:臨時基地台架設與設定
步驟3:以電腦建立臨時無線網路基地台
步驟4:勾選「使用Windows來設定我的無線網路設定」
步驟4:在網路名稱中輸入一串文字當做此臨時基地台的名稱