ccna exploration lan switching and wireless
DESCRIPTION
CCNA Exploration LAN Switching and Wireless. Тема 7 Основни концепции на безжичните връзки Базови конфигурации. Безжични мрежи Защитеност на безжичните мрежи Конфигуриране на безжични мрежи Отстраняване на проблеми. Wireless LANs. PAN – Personal Area Network LAN – Local Area Network - PowerPoint PPT PresentationTRANSCRIPT
CCNA Exploration CCNA Exploration LAN Switching and LAN Switching and
WirelessWireless
Тема Тема 77Основни концепции на безжичните връзки Базови конфигурации
П.Радойска КЕЕ-ТУ-София [email protected] ‹#›
Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични мрежиОтстраняване на проблеми
‹#›П.Радойска КЕЕ-ТУ-София [email protected]
Wireless LANs
PAN – Personal Area NetworkLAN – Local Area NetworkMAN – Metropolitan Area NetworkWAN – Wide Area Network
П.Радойска КЕЕ-ТУ-София [email protected]
‹3›
Характеристики на RF
RF няма ограничения по отношение на свързването (всеки с подходяща мрежова карта)
RF – незащитен от външни сигнали RF - незащитен от прослушванеRF връзките се регулират индивидуално
във всяка държава.
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
Wireless LAN Standards
802.11 – 1 ÷ 2 Mb/s и 2.4 GHz 802.11a и g – до 54 Mb/s802.11b – до 11 Mb/s ("slow" standard) IEEE 802.11n – (приет септември 2008)
ISM(Industrial, Scientific and Medical) - 900 MHz, 2.4 GHz и 5 GHz (стандартизирано от ITU-R)
Модулиране: OFDM (Orthogonal Frequency Division Multiplexing) DSSS (Direct Sequence Spread Spectrum)
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
802.11a
OFDM (Orthogonal Frequency Division Multiplexing) модулация и 5 GHz носеща.
Предимства: 5 GHz лента е по-малко застрашена от
интерференции (в сравнение с 2.4 GHz), т.к. е по-малко използвана от потебителски устройства.
По-високи честоти – по-малки антени.Недостатъци:
По-високите честоти по-лесно се абсорбират от препятствията (стени...).
По-високите честоти по-малък обхват и не са разрешени в някои страни (Русия...).
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
802.11b and 802.11g
802.11b - 1, 2, 5.5, и 11 Mb/s ; 2.4 GHz ISM(Industrial, Scientific and Medical) обхват с използване на DSSS (Direct Sequence Spread Spectrum).
802.11g – 2.4 GHz ; OFDM и DSSSПредимства:
По-добър обхват от 5GHz по-слабо се абсорбират.
Недостатъци По-податливи на интерференция.
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
IEEE 802.11n
Multiple input/multiple output (MIMO) технология – множество излъчватели и приемници на една честота – множество потоци - 248 Mb/s
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Wi-Fi Certification
ITU-R регулира радиочестотния спектър и сателитните орбити
IEEE определя принципите на модулиране на радиосигнала
Wi-Fi Alliance гарантира производството на съвместими устройства от различни производители.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Wireless Access Points
Layer 2 устройство, което функционира като 802.3 Ethernet хъб.
CSMA/CA Потвърждение за
всеки получен пакет request to send/clear
to send (RTS/CTS)
Проблемът на скритите възли
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Wireless Routers
Изпълнява ролята на Access point, Ethernet switch и рутер.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Конфигурационни параметри за безжични крайни устройства
Linksys wireless router – режими на работа Един интерфейс за 802.11b и 802.11g клиенти – mixed
mode Друг 802.11а клиенти
Shared service set identifier (SSID) – уникален номер, идентифицира устройстворо в мрежата.
Канали – 2.4Ghz се делят на 11 за САЩ и Канада и 13 за Европа частично застъпващи се канала. Когато се работи с малко АР в един WLAN се избират несъседни (незастъпващи се) канали.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Видове топология
Основен градивен блок при IEEE 802.11 WLAN е Basic Service Set (BSS) – група станции, които комуникират помежду си.
Independent Basic Service Set (IBSS)Basic Service SetsExtended Service Sets
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Independent Basic Service Set (IBSS)
Ad hoc мрежи – 2 директно комуникиращи си крайни устройства (без АР).
Област на покритие - basic service area (BSA).
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Basic Service Sets
1 APОбласт на покритие - basic service area
(BSA).
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Extended Service Set
Няколко АРВсеки BSS има уникален идентификатор
((BSSID) – МАС адреса на АРОбласт на покритие - extended service area
(ESA) - 10÷15% припокриване.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Client and Access Point Association
Фреймове:Beacons – изпраща се от АР (broadcast);
позволява на клиентите да разпознават мрежата и АР-тата.
Probes – заявка от клиента за достъп до мрежата.
Authentication – процес по размяна на ключове и пароли; остарял, но все още е в стандарта.
Association – процес на установяване на връзка между АР и клиента.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Authentication - механизми
1. Нулева автентификация – клиента казва “автентифицирай ме” и АР отговаря с “да”. Използва се в повечето 802.11 реализации.
2. Автентификация чрез ключ (Wired Equivalency Protection (WEP) key) – съхранява се и в клиента и в АР. Не се препоръчва.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Планиране на Wireless LAN
Трабва подробен план на сградата.Маркират се местата, недостъпни за АРИзчислява се покритието (10-15%
застъпване)Маркират се местата на АР
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични мрежиОтстраняване на проблеми
‹#›П.Радойска КЕЕ-ТУ-София [email protected]
Основни проблеми
War drivers – търсене на дупки в системата с цел получаване на достъп до Интернет.
Hackers (Crackers) – включване в системата с цел придобиване на важна административна информация и евентуално повреждане на системата.
Rogue Access Points (лъжливи АР) – служители поставят собствени АР (не добре защитени) за да си осигурят достъп до фирмената мрежа от вкъщи – “отваряне” на мрежата.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Man-in-the-Middle Attacks
Прослушва трафика.Може да открадне важна информация и
дори да се представи като истинския АР (взема му МАС адреса)
Администраторите имат инструменти, с които да прихващат неразрешения трафик- нелегални рутери, ad hoc връзки...
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Denial of Service
1. Микровълнови фурни, бейбифони, безжични слушалки – 2.4GHz – могат да се използват за внасяне на големи смущения.
2. “Открадната самоличност” на АР1. Изпращане на всички клиенти clear-to-send (CTS)
съобщение – всички изпращат данни– колизия.2. Изпращане на всички клиенти съобщение за
отказ от асоцииране – всички се опитват отново да се асоциират – голям трафик.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
802.11 стандартна автентификация
Отворена (без)Споделен WEP ключ – слаба защита (може да
се прихване)Подобрен – SSID (МАС адреса на АР – слаба
защита)Криприращия алгоритъм –лесен за разбиване.Проблеми при добавяне на нови клиенти –
трябва да въведат ключа ръчно.
Wired Equivalency Protection (WEP) Wi-Fi Alliance WiFi Protected Access (WPA)
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
802.11i
Подобно на Wi-Fi Alliance WPA2 Поддържа база данни с правоимащите
клиенти - Remote Authentication Dial In User Service (RADIUS)
П.Радойска КЕЕ-ТУ-София [email protected]
‹#›
Криптиране
Temporal Key Integrity Protocol (TKIP) – криптиращ метод, сертифициран като Wi-Fi Alliance
WiFi Protected Access (WPA)Поддържа се от стандартно WLAN оборудване
Advanced Encryption Standard (AES) – подобен принцип като TKIP, но повишена сигурност.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Temporal Key Integrity Protocol (TKIP)
Криптиращ метод, сертифициран като WPA.
Оригинален криптиращ алгоритъм2 основни функции:
Криптира полезния товар на Layer 2 Поддържа message integrity check (MIC) за да
контролира целостта на пакета.Предпочитан
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Advanced Encryption Standard (AES).
Същите функции като TKIP, но използва допълнителни данни от МАС хедъра, за да контролира дали няма добавени некриптирани битове; дава последователни номера на криптираните хедъри.
При настройка на Linksys АР се настройва pre-shared key (PSK), който може да бъде:
PSK или PSK2 с TKIP = WPAPSK или PSK2 с AES =WPA2PSK2 (без указан криптиращ метод) = WPA2
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
TKIP AES
Сложно кодиране за всеки пакет
Нов шифър, използван в 802.11i.
Същия шифър като WEP Базира се на TKIP, но добавя допълнителна защита
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Контролиране на достъпа до WLAN
SSID cloaking – забрана на SSID broadcasts от АР
Филтриране по MAC адресВграждане на WLAN защита - WPA или
WPA2
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични
мрежиОтстраняване на проблеми
‹#›П.Радойска КЕЕ-ТУ-София [email protected]
Стъпки
1. Преглед на стандартните (жични) операции – DHCP сървер, достъп до интернет.
2. Инсталиране на АР3. Конфигуриране на АР – SSID (незащитено)4. Исталиране на безжичен клиент
(незащитен)5. Проверка на работата на мрежата6. Конфигуриране на защита – WPA2 с PSK7. Проверка на работата на мрежата
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Базови настройки AP
Network Mode – (BG-Mixed, Wireless-N Only, Wireless-G Only, Wireless-B Only, Disable)
Network Name (SSID) – контексно зависимо, до 32 символа, еднакво за всички
SSID Broadcast – Enabled, DisabledRadio Band –
Wireless-N - Wide - 40MHz Wireless-G и Wireless-B - Standard - 20MHz.
Wide Channel – (Wide - 40MHz) – избор от падащо меню.
Standard Channel (20MHz) - избор от падащо меню.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Настройки на защитата
Security Mode - PSK-Personal, PSK2-Personal, PSK-Enterprise, PSK2-Enterprise, RADIUS, WEP.
Mode Parameters – За PSK2-Enterprise трябва да се пусне RADIUS Server и
да се настрои връзката по IP адрес и номер на порт (подразбиране – 1812).
Encryption – избор на алгоритъм: AES или TKIP.
Pre-shared Key – от 8 до 63 символа, за връзка на рутера и другите мрежови устройства.
Key Renewal – колко често рутера да сменя кодиращия ключ.
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]
Безжични мрежиЗащитеност на безжичните мрежиКонфигуриране на безжични мрежиОтстраняване на проблеми
‹#›П.Радойска КЕЕ-ТУ-София [email protected]
Основни стъпки
1. Проверете работата на компютъра1. ipconfig2. Пуснете кабел и проверете връзката3. Проверете дали работи WirelessNIC 4. Проверете защитния режим и криптирането5. Пазстояние до АР6. Смущаващи електоуреди
2. Проверете физическия статус на АР (рутера)1. Физическа цялост2. захранване
3. Проверете връзките1. Конектори2. ping
Updating the Access Point Firmware
‹#›
П.Радойска КЕЕ-ТУ-София [email protected]