CCNA Exploration LAN Switching and Wireless Тема 7 Основни концепции на безжичните връзки Базови конфигурации П.Радойска КЕЕ-ТУ-София [email protected] ‹#› Безжични мрежи Защитеност на безжичните мрежи Конфигуриране на.
Download ReportTranscript CCNA Exploration LAN Switching and Wireless Тема 7 Основни концепции на безжичните връзки Базови конфигурации П.Радойска КЕЕ-ТУ-София [email protected] ‹#› Безжични мрежи Защитеност на безжичните мрежи Конфигуриране на.
CCNA Exploration LAN Switching and Wireless Тема 7 Основни концепции на безжичните връзки Базови конфигурации П.Радойска КЕЕ-ТУ-София [email protected] ‹#› Безжични мрежи Защитеност на безжичните мрежи Конфигуриране на безжични мрежи Отстраняване на проблеми П.Радойска КЕЕ-ТУ-София [email protected] ‹#› Wireless LANs ‹3› PAN – Personal Area Network LAN – Local Area Network MAN – Metropolitan Area Network WAN – Wide Area Network П.Радойска КЕЕ-ТУ-София [email protected] Wireless LANs ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Сравнение на WLAN и LAN ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Характеристики на RF ‹#› RF няма ограничения по отношение на свързването (всеки с подходяща мрежова карта) RF – незащитен от външни сигнали RF - незащитен от прослушване RF връзките се регулират индивидуално във всяка държава. П.Радойска КЕЕ-ТУ-София [email protected] Wireless LAN Standards ‹#› 802.11 – 1 ÷ 2 Mb/s и 2.4 GHz 802.11a и g – до 54 Mb/s 802.11b – до 11 Mb/s ("slow" standard) IEEE 802.11n – (приет септември 2008) ISM(Industrial, Scientific and Medical) - 900 MHz, 2.4 GHz и 5 GHz (стандартизирано от ITU-R) Модулиране: OFDM (Orthogonal Frequency Division Multiplexing) DSSS (Direct Sequence Spread Spectrum) П.Радойска КЕЕ-ТУ-София [email protected] 802.11a ‹#› OFDM (Orthogonal Frequency Division Multiplexing) модулация и 5 GHz носеща. Предимства: 5 GHz лента е по-малко застрашена от интерференции (в сравнение с 2.4 GHz), т.к. е помалко използвана от потебителски устройства. По-високи честоти – по-малки антени. Недостатъци: По-високите честоти по-лесно се абсорбират от препятствията (стени...). По-високите честоти по-малък обхват и не са разрешени в някои страни (Русия...). П.Радойска КЕЕ-ТУ-София [email protected] 802.11b and 802.11g ‹#› 802.11b - 1, 2, 5.5, и 11 Mb/s ; 2.4 GHz ISM(Industrial, Scientific and Medical) обхват с използване на DSSS (Direct Sequence Spread Spectrum). 802.11g – 2.4 GHz ; OFDM и DSSS Предимства: По-добър обхват от 5GHz по-слабо се абсорбират. Недостатъци По-податливи на интерференция. П.Радойска КЕЕ-ТУ-София [email protected] IEEE 802.11n ‹#› Multiple input/multiple output (MIMO) технология – множество излъчватели и приемници на една честота – множество потоци - 248 Mb/s П.Радойска КЕЕ-ТУ-София [email protected] Wireless LAN Standards ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Wi-Fi Certification ‹#› ITU-R регулира радиочестотния спектър и сателитните орбити IEEE определя принципите на модулиране на радиосигнала Wi-Fi Alliance гарантира производството на съвместими устройства от различни производители. П.Радойска КЕЕ-ТУ-София [email protected] Мрежови карти за безжична връзка ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Wireless Access Points ‹#› Layer 2 устройство, което функционира като 802.3 Ethernet хъб. CSMA/CA Потвърждение за всеки получен пакет request to send/clear to send (RTS/CTS) Проблемът на скритите възли П.Радойска КЕЕ-ТУ-София [email protected] Wireless Routers ‹#› Изпълнява ролята на Access point, Ethernet switch и рутер. П.Радойска КЕЕ-ТУ-София [email protected] Конфигурационни параметри за безжични крайни устройства ‹#› Linksys wireless router – режими на работа Един интерфейс за 802.11b и 802.11g клиенти – mixed mode Друг 802.11а клиенти Shared service set identifier (SSID) – уникален номер, идентифицира устройстворо в мрежата. Канали – 2.4Ghz се делят на 11 за САЩ и Канада и 13 за Европа частично застъпващи се канала. Когато се работи с малко АР в един WLAN се избират несъседни (незастъпващи се) канали. П.Радойска КЕЕ-ТУ-София [email protected] Видове топология ‹#› Основен градивен блок при IEEE 802.11 WLAN е Basic Service Set (BSS) – група станции, които комуникират помежду си. Independent Basic Service Set (IBSS) Basic Service Sets Extended Service Sets П.Радойска КЕЕ-ТУ-София [email protected] Independent Basic Service Set (IBSS) ‹#› Ad hoc мрежи – 2 директно комуникиращи си крайни устройства (без АР). Област на покритие - basic service area (BSA). П.Радойска КЕЕ-ТУ-София [email protected] Basic Service Sets ‹#› 1 AP Област на покритие - basic service area (BSA). П.Радойска КЕЕ-ТУ-София [email protected] Extended Service Set Няколко АР ‹#› Всеки BSS има уникален идентификатор ((BSSID) – МАС адреса на АР Област на покритие - extended service area (ESA) 10÷15% припокриване. П.Радойска КЕЕ-ТУ-София [email protected] Client and Access Point Association ‹#› Фреймове: Beacons – изпраща се от АР (broadcast); позволява на клиентите да разпознават мрежата и АР-тата. Probes – заявка от клиента за достъп до мрежата. Authentication – процес по размяна на ключове и пароли; остарял, но все още е в стандарта. Association – процес на установяване на връзка между АР и клиента. П.Радойска КЕЕ-ТУ-София [email protected] Beacons ‹#› П.Радойска КЕЕ-ТУ-София [email protected] ‹#› П.Радойска КЕЕ-ТУ-София [email protected] ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Authentication - механизми ‹#› 1. Нулева автентификация – клиента казва “автентифицирай ме” и АР отговаря с “да”. Използва се в повечето 802.11 реализации. 2. Автентификация чрез ключ (Wired Equivalency Protection (WEP) key) – съхранява се и в клиента и в АР. Не се препоръчва. П.Радойска КЕЕ-ТУ-София [email protected] ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Планиране на Wireless LAN ‹#› Трабва подробен план на сградата. Маркират се местата, недостъпни за АР Изчислява се покритието (10-15% застъпване) Маркират се местата на АР П.Радойска КЕЕ-ТУ-София [email protected] Безжични мрежи Защитеност на безжичните мрежи Конфигуриране на безжични мрежи Отстраняване на проблеми П.Радойска КЕЕ-ТУ-София [email protected] ‹#› Основни проблеми ‹#› War drivers – търсене на дупки в системата с цел получаване на достъп до Интернет. Hackers (Crackers) – включване в системата с цел придобиване на важна административна информация и евентуално повреждане на системата. Rogue Access Points (лъжливи АР) – служители поставят собствени АР (не добре защитени) за да си осигурят достъп до фирмената мрежа от вкъщи – “отваряне” на мрежата. П.Радойска КЕЕ-ТУ-София [email protected] Man-in-the-Middle Attacks ‹#› Прослушва трафика. Може да открадне важна информация и дори да се представи като истинския АР (взема му МАС адреса) Администраторите имат инструменти, с които да прихващат неразрешения трафик- нелегални рутери, ad hoc връзки... П.Радойска КЕЕ-ТУ-София [email protected] Denial of Service ‹#› Микровълнови фурни, бейбифони, безжични слушалки – 2.4GHz – могат да се използват за внасяне на големи смущения. 2. “Открадната самоличност” на АР 1. 1. 2. Изпращане на всички клиенти clear-to-send (CTS) съобщение – всички изпращат данни– колизия. Изпращане на всички клиенти съобщение за отказ от асоцииране – всички се опитват отново да се асоциират – голям трафик. П.Радойска КЕЕ-ТУ-София [email protected] 802.11 стандартна автентификация ‹#› Отворена (без) Споделен WEP ключ – слаба защита (може да се прихване) Подобрен – SSID (МАС адреса на АР – слаба защита) Криприращия алгоритъм –лесен за разбиване. Проблеми при добавяне на нови клиенти – трябва да въведат ключа ръчно. Wired Equivalency Protection (WEP) Wi-Fi Alliance WiFi Protected Access (WPA) П.Радойска КЕЕ-ТУ-София [email protected] 802.11i ‹#› Подобно на Wi-Fi Alliance WPA2 Поддържа база данни с правоимащите клиенти - Remote Authentication Dial In User Service (RADIUS) П.Радойска КЕЕ-ТУ-София [email protected] ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Authenticating to the Wireless LAN ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Криптиране ‹#› Temporal Key Integrity Protocol (TKIP) – криптиращ метод, сертифициран като Wi-Fi Alliance WiFi Protected Access (WPA) Поддържа се от стандартно WLAN оборудване Advanced Encryption Standard (AES) – подобен принцип като TKIP, но повишена сигурност. П.Радойска КЕЕ-ТУ-София [email protected] Temporal Key Integrity Protocol (TKIP) ‹#› Криптиращ метод, сертифициран като WPA. Оригинален криптиращ алгоритъм 2 основни функции: Криптира полезния товар на Layer 2 Поддържа message integrity check (MIC) за да контролира целостта на пакета. Предпочитан П.Радойска КЕЕ-ТУ-София [email protected] Advanced Encryption Standard (AES). ‹#› Същите функции като TKIP, но използва допълнителни данни от МАС хедъра, за да контролира дали няма добавени некриптирани битове; дава последователни номера на криптираните хедъри. При настройка на Linksys АР се настройва pre-shared key (PSK), който може да бъде: PSK или PSK2 с TKIP = WPA PSK или PSK2 с AES =WPA2 PSK2 (без указан криптиращ метод) = WPA2 П.Радойска КЕЕ-ТУ-София [email protected] ‹#› TKIP AES Сложно кодиране за всеки пакет Нов шифър, използван в 802.11i. Същия шифър като WEP Базира се на TKIP, но добавя допълнителна защита П.Радойска КЕЕ-ТУ-София [email protected] Контролиране на достъпа до WLAN ‹#› SSID cloaking – забрана на SSID broadcasts от АР Филтриране по MAC адрес Вграждане на WLAN защита - WPA или WPA2 П.Радойска КЕЕ-ТУ-София [email protected] Безжични мрежи Защитеност на безжичните мрежи Конфигуриране на безжични мрежи Отстраняване на проблеми П.Радойска КЕЕ-ТУ-София [email protected] ‹#› Стъпки ‹#› 1. 2. 3. 4. 5. 6. 7. Преглед на стандартните (жични) операции – DHCP сървер, достъп до интернет. Инсталиране на АР Конфигуриране на АР – SSID (незащитено) Исталиране на безжичен клиент (незащитен) Проверка на работата на мрежата Конфигуриране на защита – WPA2 с PSK Проверка на работата на мрежата П.Радойска КЕЕ-ТУ-София [email protected] Базови настройки AP ‹#› Network Mode – (BG-Mixed, Wireless-N Only, Wireless-G Only, Wireless-B Only, Disable) Network Name (SSID) – контексно зависимо, до 32 символа, еднакво за всички SSID Broadcast – Enabled, Disabled Radio Band – Wireless-N - Wide - 40MHz Wireless-G и Wireless-B - Standard - 20MHz. Wide Channel – (Wide - 40MHz) – избор от падащо меню. Standard Channel (20MHz) - избор от падащо меню. П.Радойска КЕЕ-ТУ-София [email protected] Настройки на защитата ‹#› Security Mode - PSK-Personal, PSK2-Personal, PSK-Enterprise, PSK2-Enterprise, RADIUS, WEP. Mode Parameters – За PSK2-Enterprise трябва да се пусне RADIUS Server и да се настрои връзката по IP адрес и номер на порт (подразбиране – 1812). Encryption – избор на алгоритъм: AES или TKIP. Pre-shared Key – от 8 до 63 символа, за връзка на рутера и другите мрежови устройства. Key Renewal – колко често рутера да сменя кодиращия ключ. П.Радойска КЕЕ-ТУ-София [email protected] ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Конфигуриране на безжична мрежова карта ‹#› П.Радойска КЕЕ-ТУ-София [email protected] ‹#› П.Радойска КЕЕ-ТУ-София [email protected] ‹#› П.Радойска КЕЕ-ТУ-София [email protected] ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Безжични мрежи Защитеност на безжичните мрежи Конфигуриране на безжични мрежи Отстраняване на проблеми П.Радойска КЕЕ-ТУ-София [email protected] ‹#› Основни стъпки ‹#› Проверете работата на компютъра 1. 1. 2. 3. 4. 5. 6. ipconfig Пуснете кабел и проверете връзката Проверете дали работи WirelessNIC Проверете защитния режим и криптирането Пазстояние до АР Смущаващи електоуреди Проверете физическия статус на АР (рутера) 2. 1. 2. Физическа цялост захранване Проверете връзките 3. 1. 2. Конектори ping Updating the Access Point Firmware П.Радойска КЕЕ-ТУ-София [email protected] Проблеми с избор на канали ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Интерференция ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Няма достъп до АР ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Автентификация и криприране ‹#› П.Радойска КЕЕ-ТУ-София [email protected] Успехи на теста! П.Радойска КЕЕ-ТУ-София [email protected] ‹#›