CCNA Exploration LAN Switching and Wireless
-
Upload
lamar-atkinson -
Category
Documents
-
view
43 -
download
3
description
Transcript of CCNA Exploration LAN Switching and Wireless
CCNA Exploration CCNA Exploration LAN Switching and LAN Switching and
WirelessWireless
Тема Тема 77Основни концепции на безжичните връзки Базови конфигурации
П.Радойска КЕЕ-ТУ-София [email protected] ‹#›
Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични мрежиОтстраняване на проблеми
‹#›П.Радойска КЕЕ-ТУ-София [email protected]
Wireless LANs
PAN – Personal Area NetworkLAN – Local Area NetworkMAN – Metropolitan Area NetworkWAN – Wide Area Network
П.Радойска КЕЕ-ТУ-София [email protected]
‹3›
Характеристики на RF
RF няма ограничения по отношение на свързването (всеки с подходяща мрежова карта)
RF – незащитен от външни сигнали RF - незащитен от прослушванеRF връзките се регулират индивидуално
във всяка държава.
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
Wireless LAN Standards
802.11 – 1 ÷ 2 Mb/s и 2.4 GHz 802.11a и g – до 54 Mb/s802.11b – до 11 Mb/s ("slow" standard) IEEE 802.11n – (приет септември 2008)
ISM(Industrial, Scientific and Medical) - 900 MHz, 2.4 GHz и 5 GHz (стандартизирано от ITU-R)
Модулиране: OFDM (Orthogonal Frequency Division Multiplexing) DSSS (Direct Sequence Spread Spectrum)
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
802.11a
OFDM (Orthogonal Frequency Division Multiplexing) модулация и 5 GHz носеща.
Предимства: 5 GHz лента е по-малко застрашена от
интерференции (в сравнение с 2.4 GHz), т.к. е по-малко използвана от потебителски устройства.
По-високи честоти – по-малки антени.Недостатъци:
По-високите честоти по-лесно се абсорбират от препятствията (стени...).
По-високите честоти по-малък обхват и не са разрешени в някои страни (Русия...).
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
802.11b and 802.11g
802.11b - 1, 2, 5.5, и 11 Mb/s ; 2.4 GHz ISM(Industrial, Scientific and Medical) обхват с използване на DSSS (Direct Sequence Spread Spectrum).
802.11g – 2.4 GHz ; OFDM и DSSSПредимства:
По-добър обхват от 5GHz по-слабо се абсорбират.
Недостатъци По-податливи на интерференция.
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
IEEE 802.11n
Multiple input/multiple output (MIMO) технология – множество излъчватели и приемници на една честота – множество потоци - 248 Mb/s
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Wi-Fi Certification
ITU-R регулира радиочестотния спектър и сателитните орбити
IEEE определя принципите на модулиране на радиосигнала
Wi-Fi Alliance гарантира производството на съвместими устройства от различни производители.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Wireless Access Points
Layer 2 устройство, което функционира като 802.3 Ethernet хъб.
CSMA/CA Потвърждение за
всеки получен пакет request to send/clear
to send (RTS/CTS)
Проблемът на скритите възли
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Wireless Routers
Изпълнява ролята на Access point, Ethernet switch и рутер.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Конфигурационни параметри за безжични крайни устройства
Linksys wireless router – режими на работа Един интерфейс за 802.11b и 802.11g клиенти – mixed
mode Друг 802.11а клиенти
Shared service set identifier (SSID) – уникален номер, идентифицира устройстворо в мрежата.
Канали – 2.4Ghz се делят на 11 за САЩ и Канада и 13 за Европа частично застъпващи се канала. Когато се работи с малко АР в един WLAN се избират несъседни (незастъпващи се) канали.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Видове топология
Основен градивен блок при IEEE 802.11 WLAN е Basic Service Set (BSS) – група станции, които комуникират помежду си.
Independent Basic Service Set (IBSS)Basic Service SetsExtended Service Sets
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Independent Basic Service Set (IBSS)
Ad hoc мрежи – 2 директно комуникиращи си крайни устройства (без АР).
Област на покритие - basic service area (BSA).
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Basic Service Sets
1 APОбласт на покритие - basic service area
(BSA).
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Extended Service Set
Няколко АРВсеки BSS има уникален идентификатор
((BSSID) – МАС адреса на АРОбласт на покритие - extended service area
(ESA) - 10÷15% припокриване.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Client and Access Point Association
Фреймове:Beacons – изпраща се от АР (broadcast);
позволява на клиентите да разпознават мрежата и АР-тата.
Probes – заявка от клиента за достъп до мрежата.
Authentication – процес по размяна на ключове и пароли; остарял, но все още е в стандарта.
Association – процес на установяване на връзка между АР и клиента.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Authentication - механизми
1. Нулева автентификация – клиента казва “автентифицирай ме” и АР отговаря с “да”. Използва се в повечето 802.11 реализации.
2. Автентификация чрез ключ (Wired Equivalency Protection (WEP) key) – съхранява се и в клиента и в АР. Не се препоръчва.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Планиране на Wireless LAN
Трабва подробен план на сградата.Маркират се местата, недостъпни за АРИзчислява се покритието (10-15%
застъпване)Маркират се местата на АР
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични мрежиОтстраняване на проблеми
‹#›П.Радойска КЕЕ-ТУ-София [email protected]
Основни проблеми
War drivers – търсене на дупки в системата с цел получаване на достъп до Интернет.
Hackers (Crackers) – включване в системата с цел придобиване на важна административна информация и евентуално повреждане на системата.
Rogue Access Points (лъжливи АР) – служители поставят собствени АР (не добре защитени) за да си осигурят достъп до фирмената мрежа от вкъщи – “отваряне” на мрежата.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Man-in-the-Middle Attacks
Прослушва трафика.Може да открадне важна информация и
дори да се представи като истинския АР (взема му МАС адреса)
Администраторите имат инструменти, с които да прихващат неразрешения трафик- нелегални рутери, ad hoc връзки...
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Denial of Service
1. Микровълнови фурни, бейбифони, безжични слушалки – 2.4GHz – могат да се използват за внасяне на големи смущения.
2. “Открадната самоличност” на АР1. Изпращане на всички клиенти clear-to-send (CTS)
съобщение – всички изпращат данни– колизия.2. Изпращане на всички клиенти съобщение за
отказ от асоцииране – всички се опитват отново да се асоциират – голям трафик.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
802.11 стандартна автентификация
Отворена (без)Споделен WEP ключ – слаба защита (може да
се прихване)Подобрен – SSID (МАС адреса на АР – слаба
защита)Криприращия алгоритъм –лесен за разбиване.Проблеми при добавяне на нови клиенти –
трябва да въведат ключа ръчно.
Wired Equivalency Protection (WEP) Wi-Fi Alliance WiFi Protected Access (WPA)
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
802.11i
Подобно на Wi-Fi Alliance WPA2 Поддържа база данни с правоимащите
клиенти - Remote Authentication Dial In User Service (RADIUS)
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
Криптиране
Temporal Key Integrity Protocol (TKIP) – криптиращ метод, сертифициран като Wi-Fi Alliance
WiFi Protected Access (WPA)Поддържа се от стандартно WLAN оборудване
Advanced Encryption Standard (AES) – подобен принцип като TKIP, но повишена сигурност.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Temporal Key Integrity Protocol (TKIP)
Криптиращ метод, сертифициран като WPA.
Оригинален криптиращ алгоритъм2 основни функции:
Криптира полезния товар на Layer 2 Поддържа message integrity check (MIC) за да
контролира целостта на пакета.Предпочитан
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Advanced Encryption Standard (AES).
Същите функции като TKIP, но използва допълнителни данни от МАС хедъра, за да контролира дали няма добавени некриптирани битове; дава последователни номера на криптираните хедъри.
При настройка на Linksys АР се настройва pre-shared key (PSK), който може да бъде:
PSK или PSK2 с TKIP = WPAPSK или PSK2 с AES =WPA2PSK2 (без указан криптиращ метод) = WPA2
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
TKIP AES
Сложно кодиране за всеки пакет
Нов шифър, използван в 802.11i.
Същия шифър като WEP Базира се на TKIP, но добавя допълнителна защита
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Контролиране на достъпа до WLAN
SSID cloaking – забрана на SSID broadcasts от АР
Филтриране по MAC адресВграждане на WLAN защита - WPA или
WPA2
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични
мрежиОтстраняване на проблеми
‹#›П.Радойска КЕЕ-ТУ-София [email protected]
Стъпки
1. Преглед на стандартните (жични) операции – DHCP сървер, достъп до интернет.
2. Инсталиране на АР3. Конфигуриране на АР – SSID (незащитено)4. Исталиране на безжичен клиент
(незащитен)5. Проверка на работата на мрежата6. Конфигуриране на защита – WPA2 с PSK7. Проверка на работата на мрежата
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Базови настройки AP
Network Mode – (BG-Mixed, Wireless-N Only, Wireless-G Only, Wireless-B Only, Disable)
Network Name (SSID) – контексно зависимо, до 32 символа, еднакво за всички
SSID Broadcast – Enabled, DisabledRadio Band –
Wireless-N - Wide - 40MHz Wireless-G и Wireless-B - Standard - 20MHz.
Wide Channel – (Wide - 40MHz) – избор от падащо меню.
Standard Channel (20MHz) - избор от падащо меню.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Настройки на защитата
Security Mode - PSK-Personal, PSK2-Personal, PSK-Enterprise, PSK2-Enterprise, RADIUS, WEP.
Mode Parameters – За PSK2-Enterprise трябва да се пусне RADIUS Server и
да се настрои връзката по IP адрес и номер на порт (подразбиране – 1812).
Encryption – избор на алгоритъм: AES или TKIP.
Pre-shared Key – от 8 до 63 символа, за връзка на рутера и другите мрежови устройства.
Key Renewal – колко често рутера да сменя кодиращия ключ.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични мрежиОтстраняване на проблеми
‹#›П.Радойска КЕЕ-ТУ-София [email protected]
Основни стъпки
1. Проверете работата на компютъра1. ipconfig2. Пуснете кабел и проверете връзката3. Проверете дали работи WirelessNIC 4. Проверете защитния режим и криптирането5. Пазстояние до АР6. Смущаващи електоуреди
2. Проверете физическия статус на АР (рутера)1. Физическа цялост2. захранване
3. Проверете връзките1. Конектори2. ping
Updating the Access Point Firmware
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]