CCNA Exploration LAN Switching and Wireless

CCNA Exploration CCNA Exploration LAN Switching and LAN Switching and

WirelessWireless

Тема Тема 77Основни концепции на безжичните връзки Базови конфигурации

П.Радойска КЕЕ-ТУ-София [email protected] ‹#›

Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични мрежиОтстраняване на проблеми

‹#›П.Радойска КЕЕ-ТУ-София [email protected]

Wireless LANs

PAN – Personal Area NetworkLAN – Local Area NetworkMAN – Metropolitan Area NetworkWAN – Wide Area Network

П.Радойска КЕЕ-ТУ-София [email protected]

‹3›

Wireless LANs


‹#›

Сравнение на WLAN и LAN


‹#›

Характеристики на RF

RF няма ограничения по отношение на свързването (всеки с подходяща мрежова карта)

RF – незащитен от външни сигнали RF - незащитен от прослушванеRF връзките се регулират индивидуално

във всяка държава.


‹#›

Wireless LAN Standards

802.11 – 1 ÷ 2 Mb/s и 2.4 GHz 802.11a и g – до 54 Mb/s802.11b – до 11 Mb/s ("slow" standard) IEEE 802.11n – (приет септември 2008)

ISM(Industrial, Scientific and Medical) - 900 MHz, 2.4 GHz и 5 GHz (стандартизирано от ITU-R)

Модулиране: OFDM (Orthogonal Frequency Division Multiplexing) DSSS (Direct Sequence Spread Spectrum)


‹#›

802.11a

OFDM (Orthogonal Frequency Division Multiplexing) модулация и 5 GHz носеща.

Предимства: 5 GHz лента е по-малко застрашена от

интерференции (в сравнение с 2.4 GHz), т.к. е по-малко използвана от потебителски устройства.

По-високи честоти – по-малки антени.Недостатъци:

По-високите честоти по-лесно се абсорбират от препятствията (стени...).

По-високите честоти по-малък обхват и не са разрешени в някои страни (Русия...).


‹#›

802.11b and 802.11g

802.11b - 1, 2, 5.5, и 11 Mb/s ; 2.4 GHz ISM(Industrial, Scientific and Medical) обхват с използване на DSSS (Direct Sequence Spread Spectrum).

802.11g – 2.4 GHz ; OFDM и DSSSПредимства:

По-добър обхват от 5GHz по-слабо се абсорбират.

Недостатъци По-податливи на интерференция.


‹#›

IEEE 802.11n

Multiple input/multiple output (MIMO) технология – множество излъчватели и приемници на една честота – множество потоци - 248 Mb/s

‹#›


Wireless LAN Standards


‹#›

Wi-Fi Certification

ITU-R регулира радиочестотния спектър и сателитните орбити

IEEE определя принципите на модулиране на радиосигнала

Wi-Fi Alliance гарантира производството на съвместими устройства от различни производители.

‹#›


Мрежови карти за безжична връзка


‹#›

Wireless Access Points

Layer 2 устройство, което функционира като 802.3 Ethernet хъб.

CSMA/CA Потвърждение за

всеки получен пакет request to send/clear

to send (RTS/CTS)

Проблемът на скритите възли

‹#›


Wireless Routers

Изпълнява ролята на Access point, Ethernet switch и рутер.

‹#›


Конфигурационни параметри за безжични крайни устройства

Linksys wireless router – режими на работа Един интерфейс за 802.11b и 802.11g клиенти – mixed

mode Друг 802.11а клиенти

Shared service set identifier (SSID) – уникален номер, идентифицира устройстворо в мрежата.

Канали – 2.4Ghz се делят на 11 за САЩ и Канада и 13 за Европа частично застъпващи се канала. Когато се работи с малко АР в един WLAN се избират несъседни (незастъпващи се) канали.

‹#›


Видове топология

Основен градивен блок при IEEE 802.11 WLAN е Basic Service Set (BSS) – група станции, които комуникират помежду си.

Independent Basic Service Set (IBSS)Basic Service SetsExtended Service Sets

‹#›


Independent Basic Service Set (IBSS)

Ad hoc мрежи – 2 директно комуникиращи си крайни устройства (без АР).

Област на покритие - basic service area (BSA).

‹#›


Basic Service Sets

1 APОбласт на покритие - basic service area

(BSA).

‹#›


Extended Service Set

Няколко АРВсеки BSS има уникален идентификатор

((BSSID) – МАС адреса на АРОбласт на покритие - extended service area

(ESA) - 10÷15% припокриване.

‹#›


Client and Access Point Association

Фреймове:Beacons – изпраща се от АР (broadcast);

позволява на клиентите да разпознават мрежата и АР-тата.

Probes – заявка от клиента за достъп до мрежата.

Authentication – процес по размяна на ключове и пароли; остарял, но все още е в стандарта.

Association – процес на установяване на връзка между АР и клиента.

‹#›


Beacons‹#›


‹#›


Authentication - механизми

1. Нулева автентификация – клиента казва “автентифицирай ме” и АР отговаря с “да”. Използва се в повечето 802.11 реализации.

2. Автентификация чрез ключ (Wired Equivalency Protection (WEP) key) – съхранява се и в клиента и в АР. Не се препоръчва.

‹#›


‹#›


Планиране на Wireless LAN

Трабва подробен план на сградата.Маркират се местата, недостъпни за АРИзчислява се покритието (10-15%

застъпване)Маркират се местата на АР

‹#›


Основни проблеми

War drivers – търсене на дупки в системата с цел получаване на достъп до Интернет.

Hackers (Crackers) – включване в системата с цел придобиване на важна административна информация и евентуално повреждане на системата.

Rogue Access Points (лъжливи АР) – служители поставят собствени АР (не добре защитени) за да си осигурят достъп до фирмената мрежа от вкъщи – “отваряне” на мрежата.

‹#›


Man-in-the-Middle Attacks

Прослушва трафика.Може да открадне важна информация и

дори да се представи като истинския АР (взема му МАС адреса)

Администраторите имат инструменти, с които да прихващат неразрешения трафик- нелегални рутери, ad hoc връзки...

‹#›


Denial of Service

1. Микровълнови фурни, бейбифони, безжични слушалки – 2.4GHz – могат да се използват за внасяне на големи смущения.

2. “Открадната самоличност” на АР1. Изпращане на всички клиенти clear-to-send (CTS)

съобщение – всички изпращат данни– колизия.2. Изпращане на всички клиенти съобщение за

отказ от асоцииране – всички се опитват отново да се асоциират – голям трафик.

‹#›


802.11 стандартна автентификация

Отворена (без)Споделен WEP ключ – слаба защита (може да

се прихване)Подобрен – SSID (МАС адреса на АР – слаба

защита)Криприращия алгоритъм –лесен за разбиване.Проблеми при добавяне на нови клиенти –

трябва да въведат ключа ръчно.

Wired Equivalency Protection (WEP) Wi-Fi Alliance WiFi Protected Access (WPA)

‹#›


802.11i

Подобно на Wi-Fi Alliance WPA2 Поддържа база данни с правоимащите

клиенти - Remote Authentication Dial In User Service (RADIUS)


‹#›

‹#›


Authenticating to the Wireless LAN‹#›


Криптиране

Temporal Key Integrity Protocol (TKIP) – криптиращ метод, сертифициран като Wi-Fi Alliance

WiFi Protected Access (WPA)Поддържа се от стандартно WLAN оборудване

Advanced Encryption Standard (AES) – подобен принцип като TKIP, но повишена сигурност.

‹#›


Temporal Key Integrity Protocol (TKIP)

Криптиращ метод, сертифициран като WPA.

Оригинален криптиращ алгоритъм2 основни функции:

Криптира полезния товар на Layer 2 Поддържа message integrity check (MIC) за да

контролира целостта на пакета.Предпочитан

‹#›


Advanced Encryption Standard (AES).

Същите функции като TKIP, но използва допълнителни данни от МАС хедъра, за да контролира дали няма добавени некриптирани битове; дава последователни номера на криптираните хедъри.

При настройка на Linksys АР се настройва pre-shared key (PSK), който може да бъде:

PSK или PSK2 с TKIP = WPAPSK или PSK2 с AES =WPA2PSK2 (без указан криптиращ метод) = WPA2

‹#›


TKIP AES

Сложно кодиране за всеки пакет

Нов шифър, използван в 802.11i.

Същия шифър като WEP Базира се на TKIP, но добавя допълнителна защита

‹#›


Контролиране на достъпа до WLAN

SSID cloaking – забрана на SSID broadcasts от АР

Филтриране по MAC адресВграждане на WLAN защита - WPA или

WPA2

‹#›


Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични

мрежиОтстраняване на проблеми


Стъпки

1. Преглед на стандартните (жични) операции – DHCP сървер, достъп до интернет.

2. Инсталиране на АР3. Конфигуриране на АР – SSID (незащитено)4. Исталиране на безжичен клиент

(незащитен)5. Проверка на работата на мрежата6. Конфигуриране на защита – WPA2 с PSK7. Проверка на работата на мрежата

‹#›


Базови настройки AP

Network Mode – (BG-Mixed, Wireless-N Only, Wireless-G Only, Wireless-B Only, Disable)

Network Name (SSID) – контексно зависимо, до 32 символа, еднакво за всички

SSID Broadcast – Enabled, DisabledRadio Band –

Wireless-N - Wide - 40MHz Wireless-G и Wireless-B - Standard - 20MHz.

Wide Channel – (Wide - 40MHz) – избор от падащо меню.

Standard Channel (20MHz) - избор от падащо меню.

‹#›


Настройки на защитата

Security Mode - PSK-Personal, PSK2-Personal, PSK-Enterprise, PSK2-Enterprise, RADIUS, WEP.

Mode Parameters – За PSK2-Enterprise трябва да се пусне RADIUS Server и

да се настрои връзката по IP адрес и номер на порт (подразбиране – 1812).

Encryption – избор на алгоритъм: AES или TKIP.

Pre-shared Key – от 8 до 63 символа, за връзка на рутера и другите мрежови устройства.

Key Renewal – колко често рутера да сменя кодиращия ключ.

‹#›


‹#›


Конфигуриране на безжична мрежова карта

‹#›


‹#›


Основни стъпки

1. Проверете работата на компютъра1. ipconfig2. Пуснете кабел и проверете връзката3. Проверете дали работи WirelessNIC 4. Проверете защитния режим и криптирането5. Пазстояние до АР6. Смущаващи електоуреди

2. Проверете физическия статус на АР (рутера)1. Физическа цялост2. захранване

3. Проверете връзките1. Конектори2. ping

Updating the Access Point Firmware

‹#›


Проблеми с избор на канали‹#›


Интерференция‹#›


Няма достъп до АР‹#›


Автентификация и криприране‹#›


Успехи на теста!Успехи на теста!


CCNA Exploration LAN Switching and Wireless

Documents

Transcript of CCNA Exploration LAN Switching and Wireless