Transcript 實驗9 無線安全網路之建設 - 雲林科技大學計算機網路研究室

實驗 9: 無線安全網路之建設
國立雲林科技大學
自由軟體研發中心
實驗 9: 無線安全網路之建設
Cisco 1020 Light Weight AP
Cisco WLAN Controller 4402
Scenario
Cisco ACS
140.125.32.18
Cisco Catalyst 3560 Switch
Internet
Cisco Router 2600
Vlan 1
Fa0/0
Fa0/1
Fa0/1
FreeRADIUS
140.125.32.6
Realm: cnl.yuntech.edu.tw
Fa0/24
Gi0/1
Fa0/7
1
Vlan 3
User
Vlan 2
Guest



Group Username
guest
guest
user
lwc
VLAN
2
3
雲科大計算機網路實驗室將採取PEAP認證或是網頁認證，通過認證的使用者可以享用
網路資源，並依據使用者所在的群組管理存取控制層級。
本實驗將說明如何建置一有線/無線網路之802.1X認證，所需的網路拓墣建置如下圖。
除此之外，我們採取一些無線網路的政策，其中包含RF管理、入侵防護、QoS機制，並
發佈多個SSID讓使用者自行選擇認證方式。
國立雲林科技大學 自由軟體研發中心
2
實驗 9: 無線安全網路之建設
Cisco WLAN Controller 4402


本實驗使用的無線網路認證控制器支圖形
化介面和命令列介面。讓了展示親善的一
面，我們將採用GUI介紹它的安裝與設定。
控制器在一開始使用之前，需注意裡面設
定的國家是否正確，這關係到各國對於開
放無線通訊功率問題。

介 面 上 的 點 選 「 WIRELESS 」  點 選
「Country」勾選「TW」點選「Apply」
點選「Save Configuration」。

若完成設定後，便可在點選「WIRELESS」
點選「Access Points」點選「All APs」，
看到已跟控制器註冊的LWAP。
國立雲林科技大學 自由軟體研發中心
3
實驗 9: 無線安全網路之建設
Cisco WLAN Controller 4402

我們在控制器上設定兩個SSID，分別

es602_web：使用瀏覽網頁方式進行認證。
Controller內建小型的網頁伺服器，在使用
者進行認證之前，它將自動傳遞伺服器的憑
証給使用者，利用SSL加密的方式，確保使
用者輸入的密碼是經過加密傳送至伺服器。
這樣的認證方式而言，對使用者極為方便，
不需自行安裝其它的憑證。

es602_dot1x：設定安全等級最高的WPA2讓
使用者進行認證。在認證之前，使用者的主
機需安裝具公信力的認證中心憑證。
國立雲林科技大學 自由軟體研發中心
4
實驗 9: 無線安全網路之建設
Cisco 1020 Light Weight AP
Cisco WLC & LWAP於Switch3560的設定

在我們的實驗採用Layer 3的方式架設無線
網 路 環 境 。 另 外 ， 我 們 需 在 Cisco 3560
Switch上，啟用DHCP Server功能。讓輕量
型 存 取 點 一 開 機 之 後 ， 經 由 DHCP
Request/Response的協議之後，取得與無線
網路認證控制器連線的資訊(無線網路認證
控制器位置)，不需在存取點上做任何的設
定，使用相當方便。

我們在網路認證控制器上設定多個VLAN，
為 了 讓 多 個 VLAN 能 相 連 通 ， 所 以 需 在
Cisco 3560 Switch上Gi0/1設定802.1Q封裝，
其switchport模式為truck。

本實驗的網路拓墣大致與第五章相同，若
有設定安裝的問題可以參考第五章。其中
增 加 了 無 線 網 路 認 證 控 制 設 備 (WLAN
Controller, WLC)與輕量型無線網路存取點
(Light-Weight AP, LWAP)。
Internet
Cisco WLAN Controller 4402
Cisco Catalyst 3560 Switch
Fa0/24
Fa0/1
Gi0/1
1
Data Plane
Control Plane
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
Telnet 3560
Configure terminal
ip dhcp pool dhcp-vlan-1
network 192.168.1.0 255.255.255.0
dns-server 140.125.252.1 140.125.253.2
option 60 ascii "Airespace.AP1200“
option 43 ascii "192.168.1.250“
default-router 192.168.1.254
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast
國立雲林科技大學 自由軟體研發中心
5
實驗 9: 無線安全網路之建設
集中式無線網路架構

Wireless LAN Controller
無線網路認證控制設備需與多台輕量型無線網路
存取點搭配使用，這樣的組合顛覆了傳統。所有
安全政策、頻寬管理、存取控制全由WLC設定。
以集中式的管理方式，降低了系統管理者的負擔。
Light-Weight AP

電子系館
WLC
LWAP
也叫做Thin-AP，不同於一般Fat-AP加載了許多
安全政策設定、頻寬管理、存取控制；它只有負
責RF訊號與WLC資料的傳遞。LWAP又可分為
「室內型」與「室外型」存取點；天線的功率的
選擇更是多樣化。
電通系館
工程學院

Light-Weight Access Point Protocol (LWAPP)
是WLC與LWAP建立連線時使用的協定。大致上
可以分為兩方面的流量，一是資料(Data Plane)、
二是控制(Control Plane) 。
資料流：不做任何的加密。
控制流：採用AES-CCM加密。
化工系館
機械系館
電機系館
國立雲林科技大學 自由軟體研發中心
6
實驗 9: 無線安全網路之建設
LWAPP說明
1.
2.
3.
Discovery Request
Discovery Response
4.
Join Request
5.
Join Response
Mutual authentication、
Encryption Key Derivation
6.
Check firmware version
& download it if need
7.
SSIDs, Security parameter, 802.11 parameter,
radio channel, power levels
Runtime state
Exchange Keep-live message
Query statistical information
Maintain
8.
9.
10.
LWAP傳送出一個Discovery Request訊息。
WLC 收 到 這 個 Discovery Request 訊 息 之 後 ， 回 應
Discovery Response訊息給LWAP。
在 多 個 WLC 回 應 的 Discovery Response 訊 息 中 ，
LWAP選擇其一加入。
LWAP傳送一Join Request訊息給它選擇加入的WLC
之後，等待WLC回應Join Response訊息。
WLC 收 到 這 個 Join Request 訊 息 之 後 ， 回 應 Join
Response訊息給LWAP。則WLC與LWAP雙方開始進
行相互認證與加解密金鑰推導等過程，其主要目的
是為了能安全地傳遞控制訊息與接下來的加入的程
序。
待LWAP加入WLC之後，若LWAP發現與WLC之間的
韌體版本不符合時，則LWAP開始從WLC下載韌體。
待LWAP與WLC韌體相符之後，WLC開始規定LWAP
一些的適當設定，其中設定包含：SSIDs、安全參數、
802.11參數、使用頻道和功率設定。
待設定完成之後，WLC與LWAP進入執行狀態，開始
接受資料轉送。
在執行狀態的期間，WLC會不定期的發送LWAPP控
制訊息給LWAP。這些訊息包含設定LWAP、請求統
計資料、維護LWAP等指令。
在執行狀態的期間，為了維持WLC與LWAP之間的通
訊管道，它們將週期性的交換Keep-live給對方。若
LWAP未收到Keep-live訊息達到足夠的數量時，它將
重新尋新的WLC。
國立雲林科技大學 自由軟體研發中心
7
實驗 9: 無線安全網路之建設

LWAPP支援2種傳輸模式



Layer 2 LWAPP：同一網域使用，Ethertype為0XBBBB。在這個模式下，LWAP透過DHCP自動取得
一個IP位址，但它與WLC所有的通訊都是靠乙太網路的訊框(frame)封裝傳送，而不是使用IP封包。
這樣一來，規劃無線網路環境會因需要跨越不同網段的情況而受到限制。
Layer 3 LWAPP：需跨網域使用，使用UDP封包。資料流的封包來源埠為1024，目的埠為12222。控
制流的封包來源埠為1024，目的埠為12223。
Search Algorithm
1)
2)
3)
4)
5)

LWAPP Search & Discovery
LWAP藉由發出DHCP DISCOVER Request封包動態取得一IP位址，或是預先手動設定一組IP位址。
若LWAP支援Layer 2模式，LWAP將廣播一個利用Layer 2 LWAPP訊框封裝的LWAPP DISCOVER訊息。
然後，任何與LWAP連接同一網路並且本身運作也是Layer 2模式的WLC收到該訊息後，它將回應
Layer 2 LWAPP DISCOVER Response給LWAP。若LWAP不支援Layer 2 Mode LWAPP或是無法正確接
收WLC的Layer 2 LWAPP DISCOVERY Response訊息，則回到步驟2。
若是步驟1失敗或是LWAP不支援Layer 2 LWAPP模式的話，則改以採用Layer 3 LWAPP WLC
Discovery。
若步驟3失敗後，則回到步驟1。
整個尋找WLC的處理是重覆不斷地進行，直到最少找到一個並且加入它。
Layer 3 LWAPP Discovery Algorithm
在Search Algorithm的步驟3中，有使用到Layer 3 LWAPP WLC Discovery。在這裡，我們將
介紹它的演算法。
1)
2)
LWAP廣播一個Layer 3 LWAPP Discovery訊息，任何運作於Layer 3模式的WLC將收到這個廣播訊息
之後，將單播一個Layer 3 LWAPP Discovery Response給LWAP。
WLC有一項功能(Over-the-Air Provisioning, OTAP)，若這項功能被打開之後。所有加入它的LWAP，
將為它廣播鄰近WLCs訊息於空氣中，讓未加入的LWAPs能得到與WLC連線的資訊。
國立雲林科技大學 自由軟體研發中心
8
實驗 9: 無線安全網路之建設
3)
4)
5)
6)

LWAPP Search & Discovery
LWAP本身記錄先前學到 WLC IP Address於自身的NVRAM中。LWAP將 單播LWAPP Discovery
Request給這些記錄於NVRAM中的WLCs，則這些WLC將會回應一LWAPP Discovery Response訊息
給LWAP。
DHCP伺服器可以設定提供”Option 43”給LWAP，讓LWAP順利取得與WCL連線的資訊(WLC的IP位
址)。例如：option 43 ascii “WLC IP ADDR._1, WLC IP ADDR._2,…….“。
LWAP 嘗 試 送 出 DNS name Resolve 訊 息 給 DNS Server ， 其 網 域 名 稱 為 「 CISCO-LWAPPCONTROLLER.localdomain」。若DNS Server中有設定該網域名稱對應的IP位址的話，DNS Server
將回傳WLC IP位址給LWAP。
待步驗1至5尋找WLC失敗後，LWAP將重置並且回到Search演算法中。
在我們的實驗中將WLC設定成Layer 3 LWAPP的模式，並且加設一台DHCP Server提供
LWAP所有的WLC IP位址列表。
國立雲林科技大學 自由軟體研發中心
9
實驗 9: 無線安全網路之建設

1)
2)
3)
4)
5)

安全的LWAPP Control Plane
我們之前有提到LWAPP中，主要傳輸的訊息形態有兩種：一是「資料流」，二是「控制流」。資料流在
LWAPP中是不加密的，需靠上層來保護的資料內容。然而，控制流是使用AES-CCM加密，但LWAP與
WLC是如何得到加解密時使用的Session Key呢? 在這裡我們需了解PKI的一些觀念。
 LWAP與WLC將X.509憑證燒錄進Flash中。
 LWAP與WLC的使用自已的私鑰簽署X.509憑證，並且將它燒錄進裝置內。
 被安裝的憑證可讓LWAP與WLC信任憑證發行者。
當LWAP送出LWAPP Join Request給WLC時，該訊息中帶有LWAP的X.509憑證與LWAP隨機產生的Session
ID。
WLC收到該Join Request訊息之後，它開始使用LWAP的公鑰驗證憑證上的簽章是否合法並檢驗該憑證是
否為可信賴的憑證中心所核發的。若該憑證是合法有效的，則WLC將隨機產生一把AES加密金鑰(用於未
來的控制流加解密時使用的金鑰)。
接著，WLC使用LWAP的公鑰對這把AES加密金鑰執行加密，並連同Session ID使用WLC自己的私鑰簽署。
WLC將簽署結果、被加密的AES金鑰執行加密與自己的憑證夾帶於Join Response訊息中。
LWAP收到該Join Response訊息之後，它開始使用WLC的公鑰驗證憑證上的簽章是否合法並檢驗該憑證
是否為可信賴的憑證中心所核發的。若該憑證是合法有效的，LWAP將利用自已的私鑰解開被加密的AES
金鑰並且安裝於加密核心中。
LWAP維護這個加解密金鑰的生命週期。當時間到期時，LWAP將產生一新的Session ID並把Session ID夾
帶於LWAPP Key Update Request訊息，接著，將它傳送給WLC。WLC重覆先前的金鑰產生與發佈的動作，
並把結果附在LWAPP Key Update Response訊息內。加密金鑰的生命週期為8個小時。
Cisco出廠的LWAP，其憑證的有效期限為25年。有一個值得注意的是，WLC的時間必需是正確的，不然，
可能會出現憑證過期的問題。
國立雲林科技大學 自由軟體研發中心
10
實驗 9: 無線安全網路之建設

How to WLC Connect to Network
下面這張圖可以看到Cisco WLC 440x系列的架構圖，其4402更是只有兩個Gigabit實體埠。但
每一個實體埠都是802.1Q VLAN truck port，所以與它連接的Switch實體埠也需要設定成truck
port。
圖片來源：Cisco
國立雲林科技大學 自由軟體研發中心
11
實驗 9: 無線安全網路之建設
RF管理

當無線網路認證控制器啟用射頻訊號資源管
理(Radio Resource Management, RRM)時，
它將即時監測各個連結的LWAP的資訊，其
中包含
流量負載(Traffic Load)
傳送與接收的總頻寬。它可讓無線網路管理
員追蹤與事先規畫無線網路的使用者的成長
率。
 訊號干擾(Interference)
與其它802.11的訊號互相干擾。
 雜訊(Noise)
與其它非802.11的訊號互相干擾。
 覆蓋範圍(Coverage)
所有連結用戶的接收訊號強度與信號雜訊比。
 週邊存取點(other access point)
週邊存取點的數量。

國立雲林科技大學 自由軟體研發中心
12
實驗 9: 無線安全網路之建設
RF管理

利用這些資訊，RRM將週期性的重新設定
無線網路，讓無線網路更有效率。RRM的
功能有

射頻訊號資源監測(Radio resource monitoring)
RRM將自動偵測與設定新加入的無線網路
Controller 與 LWAP ， 自 動 調 整 與 已 存 在 的
LWAP的功率，讓整個網路擁有最佳的覆蓋
率。它的做法是利用LWAP進入off-channel模
式(低於60ms的時間)來監測無線網路的雜訊
與干擾。藉由這段時間收集封包用以分析是
否有惡意的存取點、用戶、Ad-hoc用戶及干
擾的存取點。(備註：若過去的100ms內Voice
queue曾 有 封 包 進出 ， 則 LWAP 將 不 會 進 入
off-channel模式)

動態變更頻道(Dynamic channel assignment)
兩個鄰近的存取點使用同樣的802.11頻道時，
可能導致信號競爭或是信號碰撞。若是發生
碰撞，存取點可能無法接收到正確的資料。
此時，控制器扮演調節的角色，將這些相鄰
的存取點給予不同的802.11頻道以解決衝突、
增加效能與強度。控制器利用不同的射頻特
性分配頻道，其特性包含： (1)各存取點接收
訊號的強度。(2)雜訊。(3)802.11干擾。(4)使
用程度。(5)負載。
Channel 3
Channel 5
Channel 7
國立雲林科技大學 自由軟體研發中心
13
實驗 9: 無線安全網路之建設
RF管理
控制器結合RF特性資訊配合RRM演算法做出
對於系統最佳決定。

動態調整傳輸功率(Dynamic transmit power)
控制器可以調整LWAP的傳輸功率。舉例來
說，若無線網路中，有一LWAP損壞，造成
無法提供服務，此時，控制器就加大鄰近的
LWAP的傳輸功率，以得到最大的覆蓋範圍。

覆 蓋 範 圍 缺 陷 偵 測 與 修 正 (Coverage hole
detection and correction)
RRM’s 的覆蓋缺陷偵測可以通知你那裡需要
新增一個LWAP，或是那一個LWAP可以移動
位置，以取得最大的覆蓋範圍。若LWAP鄰
近的使用者他的Signal-to-noise ratio(SNR)低
於 AUTO-RF 的 設 定 時 ， LWAP 將 發 出 一 個
Coverage hole通知控制器。這個事件通知是
代表有使用者漫遊到訊號薄弱的地區，可能
造成使用者的連線訊號出現問題。此時，管
理者就可以參閱控制器的記錄檔是否有
Coverage hole訊息出現。
國立雲林科技大學 自由軟體研發中心
14
實驗 9: 無線安全網路之建設
RF管理

客 戶 端 與 無 線 網 路 的 負 載 平 衡 (Client and
network load balancing)
RRM支援擁有同一群組ID的LWAPs的負載平
衡。若有使用者加入到負載較重的LWAP時，
此時，控制器將扮演中央裁決的角色，把該
名使用者分配到負載較輕的LWAP下；或是
平衡區域網路的負擔亦可。(備註：Client的
負載平衡適用於單一控制器上，不能使用在
多個控制器環境)
國立雲林科技大學 自由軟體研發中心
15
實驗 9: 無線安全網路之建設

RF管理
Cisco WLAN Controller 4402內建RRM功能，可採自動管理Radio Resource方式設定：
國立雲林科技大學 自由軟體研發中心
16
實驗 9: 無線安全網路之建設
圖片來源：Cisco
入侵防護

無線網路入侵偵測系統(Wireless Intrusion
Detection System, WIDS)主要的功能是偵測
訊號出現頻率異常與服務阻斷。

「整合型無線網路入侵偵測」與「單一型
無線網路入侵偵測」設備的差別在於(1)建
置成本低、(2)工作效能低與(3)無額外的入
侵分析。

它判定為入侵行為的條件有



某特定存取點符合攻擊特徵頻率(Pkts/Sec)。
同一使用者與同一存取點符合攻擊特徵頻率
(Pkts/Sec) 。
WIDS內建17組的攻擊特徵，但管理者可以
自行定義攻擊特徵到WIDS內。
國立雲林科技大學 自由軟體研發中心
17
實驗 9: 無線安全網路之建設

入侵防護
Cisco WLAN Controller 4402內建IDS功能，而偵測時所需的攻擊特徵如下所示：
國立雲林科技大學 自由軟體研發中心
18
實驗 9: 無線安全網路之建設
QoS機制


服務品質(Quality of Server, QoS)提供了針
對不同用戶或者不同應用程式流量採用不
同的優先等級，或者是根據應用程式的請
求，保證流量的效能達到一定的水準。
QoS主要的目標為




針對不同網域的QoS設定

Cisco WLAN Controller 4402支援下列四種
的QoS設定檔：





針對不同角色的QoS設定
為服務劃分等級，並逐一給予優先權。
提供每個等級的專用頻寬。
控制流量劇烈跳動與延遲。
減少封包遺失率。
Platinum/Voice：對於無線網路的語音流量
給予白金級的保證。
Gold/Video：對於無線網路的影音流量給予
黃金級的保證。
Silver/Best Effort：給予一般使用者的頻寬。
(預設值)
Bronze/Background：給予訪客最低的頻寬。
無線網路認證控制器可一個網路域對QoS
設定檔客製化。並可對來訪用戶設定不同
角色，並可對每個角色設定不同的服務等
級。
國立雲林科技大學 自由軟體研發中心
19
實驗 9: 無線安全網路之建設
參考資料

Cisco 440X Series Wireless LAN Controllers Deployment Guide
Cisco Wireless LAN Controller Configuration Guide
HOWTO: EAP-TLS Setup for FreeRADIUS and Windows XP Supplicant
RFC 2865, Remote Authentication Dial In User Service (RADIUS)
IEEE 802.1x Multi-Domain Authentication on Cisco Catalyst Layer 3 Fixed Configuration Switches
Configuration Example
Configuring 802.1X Port-Based Authentication

Combined Avaya and Cisco QoS Strategy





國立雲林科技大學 自由軟體研發中心
20