國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設2Scenario雲科大計算機網路實驗室將採取PEAP認證或是網頁認證,通過認證的使用者可以享用網路資源,並依據使用者所在的群組管理存取控制層級。本實驗將說明如何建置一有線/無線網路之802.1X認證,所需的網路拓墣建置如下圖。除此之外,我們採取一些無線網路的政策,其中包含RF管理、入侵防護、QoS機制,並發佈多個SSID讓使用者自行選擇認證方式。InternetGi0/11Fa0/24Fa0/1Fa0/0Fa0/1Fa0/7Vlan3Vlan2FreeRADIUS140.125.32.6Realm:cnl.yuntech.edu.twCiscoACS140.125.32.18CiscoRouter2600CiscoCatalyst3560SwitchCiscoWLANController4402UserGuestCisco1020LightWeightAPGroupUsernameVLANguestguest2userlwc3Vlan1國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設3CiscoWLANController4402本實驗使用的無線網路認證控制器支圖形化介面和命令列介面。讓了展示親善的一面,我們將採用GUI介紹它的安裝與設定。控制器在一開始使用之前,需注意裡面設定的國家是否正確,這關係到各國對於開放無線通訊功率問題。介面上的點選「WIRELESS」點選「Country」勾選「TW」點選「Apply」點選「SaveConfiguration」。若完成設定後,便可在點選「WIRELESS」點選「AccessPoints」點選「AllAPs」,看到已跟控制器註冊的LWAP。國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設4CiscoWLANController4402我們在控制器上設定兩個SSID,分別es602_web:使用瀏覽網頁方式進行認證。Controller內建小型的網頁伺服器,在使用者進行認證之前,它將自動傳遞伺服器的憑証給使用者,利用SSL加密的方式,確保使用者輸入的密碼是經過加密傳送至伺服器。這樣的認證方式而言,對使用者極為方便,不需自行安裝其它的憑證。es602_dot1x:設定安全等級最高的WPA2讓使用者進行認證。在認證之前,使用者的主機需安裝具公信力的認證中心憑證。國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設5CiscoWLC&LWAP於Switch3560的設定在我們的實驗採用Layer3的方式架設無線網路環境。另外,我們需在Cisco3560Switch上,啟用DHCPServer功能。讓輕量型存取點一開機之後,經由DHCPRequest/Response的協議之後,取得與無線網路認證控制器連線的資訊(無線網路認證控制器位置),不需在存取點上做任何的設定,使用相當方便。我們在網路認證控制器上設定多個VLAN,為了讓多個VLAN能相連通,所以需在Cisco3560Switch上Gi0/1設定802.1Q封裝,其switchport模式為truck。本實驗的網路拓墣大致與第五章相同,若有設定安裝的問題可以參考第五章。其中增加了無線網路認證控制設備(WLANController,WLC)與輕量型無線網路存取點(Light-WeightAP,LWAP)。InternetGi0/11Fa0/24Fa0/1CiscoCatalyst3560SwitchCiscoWLANController4402Cisco1020LightWeightAPControlPlaneDataPlane1)Telnet35602)Configureterminal3)ipdhcppooldhcp-vlan-14)network192.168.1.0255.255.255.05)dns-server140.125.252.1140.125.253.26)option60asciiAirespace.AP1200“7)option43ascii192.168.1.250“8)default-router192.168.1.2549)interfaceGigabitEthernet0/110)switchporttrunkencapsulationdot1q11)switchportmodetrunk12)spanning-treeportfast國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設6集中式無線網路架構WLC無線網路認證控制設備需與多台輕量型無線網路存取點搭配使用,這樣的組合顛覆了傳統。所有安全政策、頻寬管理、存取控制全由WLC設定。以集中式的管理方式,降低了系統管理者的負擔。LWAP也叫做Thin-AP,不同於一般Fat-AP加載了許多安全政策設定、頻寬管理、存取控制;它只有負責RF訊號與WLC資料的傳遞。LWAP又可分為「室內型」與「室外型」存取點;天線的功率的選擇更是多樣化。Light-WeightAccessPointProtocol(LWAPP)是WLC與LWAP建立連線時使用的協定。大致上可以分為兩方面的流量,一是資料(DataPlane)、二是控制(ControlPlane)。資料流:不做任何的加密。控制流:採用AES-CCM加密。Light-WeightAPWirelessLANController電子系館化工系館機械系館電通系館工程學院電機系館國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設7LWAPP說明1.LWAP傳送出一個DiscoveryRequest訊息。2.WLC收到這個DiscoveryRequest訊息之後,回應DiscoveryResponse訊息給LWAP。3.在多個WLC回應的DiscoveryResponse訊息中,LWAP選擇其一加入。4.LWAP傳送一JoinRequest訊息給它選擇加入的WLC之後,等待WLC回應JoinResponse訊息。5.WLC收到這個JoinRequest訊息之後,回應JoinResponse訊息給LWAP。則WLC與LWAP雙方開始進行相互認證與加解密金鑰推導等過程,其主要目的是為了能安全地傳遞控制訊息與接下來的加入的程序。6.待LWAP加入WLC之後,若LWAP發現與WLC之間的韌體版本不符合時,則LWAP開始從WLC下載韌體。7.待LWAP與WLC韌體相符之後,WLC開始規定LWAP一些的適當設定,其中設定包含:SSIDs、安全參數、802.11參數、使用頻道和功率設定。8.待設定完成之後,WLC與LWAP進入執行狀態,開始接受資料轉送。9.在執行狀態的期間,WLC會不定期的發送LWAPP控制訊息給LWAP。這些訊息包含設定LWAP、請求統計資料、維護LWAP等指令。10.在執行狀態的期間,為了維持WLC與LWAP之間的通訊管道,它們將週期性的交換Keep-live給對方。若LWAP未收到Keep-live訊息達到足夠的數量時,它將重新尋新的WLC。DiscoveryRequestDiscoveryResponseJoinRequestJoinResponseMutualauthentication、EncryptionKeyDerivationCheckfirmwareversion&downloaditifneedSSIDs,Securityparameter,802.11parameter,radiochannel,powerlevelsRuntimestateExchangeKeep-livemessageQuerystatisticalinformationMaintain國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設8LWAPPSearch&DiscoveryLWAPP支援2種傳輸模式Layer2LWAPP:同一網域使用,Ethertype為0XBBBB。在這個模式下,LWAP透過DHCP自動取得一個IP位址,但它與WLC所有的通訊都是靠乙太網路的訊框(frame)封裝傳送,而不是使用IP封包。這樣一來,規劃無線網路環境會因需要跨越不同網段的情況而受到限制。Layer3LWAPP:需跨網域使用,使用UDP封包。資料流的封包來源埠為1024,目的埠為12222。控制流的封包來源埠為1024,目的埠為12223。SearchAlgorithm1)LWAP藉由發出DHCPDISCOVERRequest封包動態取得一IP位址,或是預先手動設定一組IP位址。2)若LWAP支援Layer2模式,LWAP將廣播一個利用Layer2LWAPP訊框封裝的LWAPPDISCOVER訊息。然後,任何與LWAP連接同一網路並且本身運作也是Layer2模式的WLC收到該訊息後,它將回應Layer2LWAPPDISCOVERResponse給LWAP。若LWAP不支援Layer2ModeLWAPP或是無法正確接收WLC的Layer2LWAPPDISCOVERYResponse訊息,則回到步驟2。3)若是步驟1失敗或是LWAP不支援Layer2LWAPP模式的話,則改以採用Layer3LWAPPWLCDiscovery。4)若步驟3失敗後,則回到步驟1。5)整個尋找WLC的處理是重覆不斷地進行,直到最少找到一個並且加入它。Layer3LWAPPDiscoveryAlgorithm在SearchAlgorithm的步驟3中,有使用到Layer3LWAPPWLCDiscovery。在這裡,我們將介紹它的演算法。1)LWAP廣播一個Layer3LWAPPDiscovery訊息,任何運作於Layer3模式的WLC將收到這個廣播訊息之後,將單播一個Layer3LWAPPDiscoveryResponse給LWAP。2)WLC有一項功能(Over-the-AirProvisioning,OTAP),若這項功能被打開之後。所有加入它的LWAP,將為它廣播鄰近WLCs訊息於空氣中,讓未加入的LWAPs能得到與WLC連線的資訊。國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設9LWAPPSearch&Discovery3)LWAP本身記錄先前學到WLCIPAddress於自身的NVRAM中。LWAP將單播LWAPPDiscoveryRequest給這些記錄於NVRAM中的WLCs,則這些WLC將會回應一LWAPPDiscoveryResponse訊息給LWAP。4)DHCP伺服器可以設定提供”Option43”給LWAP,讓LWAP順利取得與WCL連線的資訊(WLC的IP位址)。例如:option43ascii“WLCIPADDR._1,WLCIPADDR._2,…….“。5)LWAP嘗試送出DNSnameResolve訊息給DNSServer,其網域名稱為「CISCO-LWAPP-CONTROLLER.localdomain」。若DNSServer中有設定該網域名稱對應的IP位址的話,DNSServer將回傳WLCIP位址給LWAP。6)待步驗1至5尋找WLC失敗後,LWAP將重置並且回到Search演算法中。在我們的實驗中將WLC設定成Layer3LWAPP的模式,並且加設一台DHCPServer提供LWAP所有的WLCIP位址列表。國立雲林科技大學自由軟體研發中心實驗9:無線安全網路之建設10安全的LWAPPControlPlane我們之前有提到LWAPP中,主要傳輸的訊息形態有兩種:一是「資料流」,二是「控制流」。資料流在LWAPP中是不加密的,需靠上層來保護的資料內容。然而,控制流是使用AES-CCM加密,但LWAP與WLC是如何得到加解密時使用的SessionKey呢?在這裡我們需了解PKI的一些觀念。LWAP與WLC將X.509憑證燒錄進Flash中。LWAP與WLC的使用自已的私鑰簽署X.