协议.ppt

协议.ppt

《协议.ppt》由会员分享，可在线阅读，更多相关《协议.ppt（115页珍藏版）》请在冰豆网上搜索。

WiFi-City802.11行動網路技術802.11無線網路技術802.11Protocol探討11/10/2022802.11a/b/g，工作于2.4/5GHzISM开放频带；802.11e，改善“WLAN的服务质量，提供应用支持QoS，将用时分多址（TDMA）方案取代类似以太网的MAC层，并对重要的业务，增加额外的纠错功能802.11f，规定了Inter-AccessPointProtocol（IAPP），解决不同AP之间的漫游；802.11h，控制发送功率，动态选择无线信道；802.11i，改善WEP加密功能，采用动态加密法，升级到AES加密，增强安全性能；802.1x，定义动态密钥加密部分，结合Radius服务器，支持EAP-TLS认证。

802.11x国际标准国际标准11/10/2022Client如何加入一個WLAN當在安裝、設定、最後並啟動一個WLAN系統。

Client端的USB或PC卡能自動聽以確定附近是否有一WLAN系統，這流程稱為Scanning（掃描）。

Scanning可能得到多個可加入的WLAN，Client內部需決定應與哪一個WLAN結合，這流程稱為Joining。

Joining之後則為與AP之間的Authentication與Association兩個動作。

Scanning發生於所有其它動作之前，因為Client靠Scanning來找尋WLAN。

Scanning可分為主動與被動。

在發現AP時，Client靠AP每隔100ms發出的Beacon，Beacon之中包括SSID及與該AP相關之許多其他參數。

11/10/2022SSIDSSID（ServiceSetIdentifier）為WLAN系統之中唯一的、字母大小寫有關的、2至32字母長所表示的WLAN網路名稱。

在一個ESS（ExtendedServiceSet）之中，SSID為唯一的，相同SSID下的AP屬於同群組，若此AP支援802.1QVLAN，則屬於同VLAN的User亦屬於同SSID，此時的SSID比較Virtual，亦即同一台AP可支援多個SSID。

此名稱有助於網路的區隔，為最基本的安全方法，且用在Client與AP做結合之用。

SSID存在於Beacon、ProbeRequest/Response、及一些其他的Frame之中（如AssociationFrame）。

如圖10.1，Client中必須被設定正確的SSID才能與AP做結合。

11/10/202211/10/2022圖圖10.210.2為為APAP如何設定隱藏如何設定隱藏SSIDSSID功能。

功能。

11/10/2022Beacon（信號彈）OSI（OpenSystemsInterconnection）所定義之SevenLayerCommunicationsProcol中，第一層稱為PhysicalLayer（物理層），第二層稱為DataLink。

以IEEE802.11而言，PhysicalLayer（或稱PHY）再被拆為上半的PLCP（PhysicalLayerConvergenceProtocol），以及下半的PMD（PhysicalMediumDependent）。

OSI第二層亦被拆為上半的LLC（LogicalLinkControl），以及下半的MAC（MediumAccessControl）。

而802.11本身只定義PHY及MAC，LLC則在802.2被定義。

11/10/202211/10/2022SSID訊息Client觀察Beacon中的SSID以決定是否做結合。

當找到適當SSID，Client再檢視其MAC位址以為結合之用。

如前述，若Client被設定為可接受任何SSID，則Client可與第一個發出Beacon，或信號最強的AP做結合。

11/10/2022交通指示（TIM）TIM（TrafficIndicationMap）表示哪些因省電而睡覺的Client目前在AP之中還有未傳送的封包。

每個Beacon都有這訊息。

睡覺中的Client能定時起動接收器，以聽取Beacon，檢查Beacon中的TIM以檢視自己是否列名，若無則回到睡眠狀態。

若有則Client發出PS（PowerSave）Probe給AP。

11/10/2022被動式掃描（PassiveScanning）被動式掃描為在每個頻道聽取Beacon的方法。

例如架構模式下由AP送出的Beacon，或Ad-hoc模式下Client所輪流送出的Beacon。

然後比較各個Beacon。

找出欲加入（Joining）之SSID值。

之後則啟動驗證與結合動作。

如圖10.6所示。

若有多台的SSID相同，則選取信號最強以及封包錯誤率最低的AP。

11/10/202211/10/2022主動式掃描（ActiveScanning）主動式掃描為由Client發出一個Probe要求，當Client要做主動式掃描時會發出此要求到網路上。

這個要求會包含一個SSID、或是廣播型SSID。

假如是單一SSID的Probe，則SSID相同的AP會回應。

如Probe中的SSID屬於廣播型，則所有的AP都會回應，如圖10.7。

發出Probe的目的是找尋WLAN。

一旦發現適當的AP，此Client可開始作驗證與結合動作。

11/10/202211/10/2022加入（Joining）Joining發生於Client內部。

為由Scanning所得到之多個Beacon或ProbeResponse的資訊之中，所表示的多個架構模式或Ad-Hoc模式之各個WLAN中，Client考慮應加入到哪一個WLAN的內部動作。

802.11並未規定考慮點的優先順序，而放手讓廠商自行定義。

故有的廠商以信號好壞作標準，有的以Client之多個SSID的順序作首要考慮點。

11/10/2022驗證與結合WLAN的連接包括兩個步驟，第一步驟為驗證，第二步驟為結合。

如當Client與AP完成連線，則表示他完成了驗證與結合兩個動作。

注意此處的結合是指第2層（MAC）的結合（非IP或Netbios層，故網路芳鄰看不到），而驗證只與PC卡有關（因WEPKey或SSID等設定只與網卡有關），而非使用者。

這個觀念在WLAN的安全、除錯上都很重要。

11/10/2022驗證驗證是與WLAN相連的第一個動作。

架構模式的AP或Ad-hocClient用來驗證Client網卡的動作。

換句話說，是AP回應Client之連線請求所做的驗證動作。

有時這動作是虛的，亦即Client不需身分證明即能完成驗證。

此虛驗證（OpenAuthentication）為一般AP與網卡出廠的預設狀態。

架構模式下，由Client送出一個驗證請求到AP而開始驗證程序。

驗證流程可發生在AP，或AP會將驗證請求再傳送到上游之驗證主機。

例如RADIUS，RADIUS會依照程序透過AP而驗證Client，最後透過AP告訴Client驗證是否成功完成。

11/10/2022結合一旦Client驗證成功，Client則開始與AP做結合。

若結合成功，則Client可以與AP傳送及接收資料。

假如你的網卡與AP結合成功，表示你與AP成功連線。

結合之流程如下。

Client先送驗證要求給AP。

AP開始作驗證，當驗證完成，Client送出結合要求給AP，AP回答可以或不可以結合。

11/10/2022驗證與結合狀態11/10/2022未驗證且未結合在此初始狀態，節點與網路完全不相關，且無法與AP溝通。

AP保有一個名單稱為結合名單，每家廠商在此名單中分別以不同名稱表示各狀態。

一般以未驗證表示未驗證且未結合的Client，或是驗證失敗的Client。

圖10.9為某AP的AssociationTable，顯示有一張網卡已與AP結合11/10/2022已驗證但未結合在此第二種狀態，Client已通過了驗證程序，但尚未與AP做結合。

此時Client尚未被允許對AP傳送或接收資料。

AP的結合名單一般顯示已驗證。

因為Client已通過驗證階段，而且可能在千分之幾秒之內就可能結合成功。

故通常見不到這種狀態。

你常見的是第一種未驗證與第三種已結合。

11/10/2022已驗證且已結合在此最後階段，Client與AP完全連線成功，且能與AP傳送與接收資料。

下圖顯示Client與AP的結合。

一般在AP的結合名單中，此狀態被稱為已結合。

表示此Client已完全與網路結合。

由前述，你應已了解先進的WLAN安全系統應在驗證時就應介入。

11/10/202211/10/2022驗證方式OpenSystem驗證方式OpenSystem驗證方式屬於虛驗證。

為8021.11的預設驗證方式。

若Client設定為使用這種驗證方式，它能與SSID相同且亦設為此種驗證方式的AP完成驗證。

AP與Client的SSID必須相同才能完成驗證流程。

SSID的安全考慮點於第十二章將詳細說明。

OpenSystem驗證方式能在不安全或安全的兩種環境中被有效的使用。

11/10/2022OpenSystem驗證流程OpenSystem驗證流程如下：

（1）Client送出結合要求給AP、

（2）AP驗證此Client並答應可以結合。

如圖10.11所示。

OpenSystem驗證流程很簡單。

作為WLAN管理者，你可選擇用WEP加密配合OpenSystem驗證（表示虛驗證完成之後，資料互傳仍需加密）。

假如使用WEP配合OpenSystem驗證，在做驗證時，不會檢查彼此的WEPKey是否正確而只是用在結合之後之互傳資料的加密動作。

11/10/202211/10/2022SharedKey驗證方式SharedKey驗證方式需要使用到WEP。

WEP加密用的Key必須在AP與Client端都相同。

SharedKey驗證以兩種方式使用到WEPKey。

11/10/2022SharedKey驗證流程SharedKey的驗證流程之步驟如下：

1.Client要求與AP結合：

此步驟與OpenSystem驗證的第一步相同。

2.AP送出一個Challenge給Client：

為一串純文字。

3.Client對這個Challenge作回應：

它必須使用WEPKey對該純文字加密，而再送還給AP。

4.AP對Client回應：

AP使用WEPKey對Client送來的加密文字做解密，經由此動作，AP可以知道Client是否有正確的Key。

若正確，AP會讓Client通過驗證。

若不正確，AP不會讓Client通過驗證，而讓Client留在未驗證且未結合狀態。

整個流程如圖10.12。

11/10/202211/10/2022驗證之安全性SharedKey驗證並不是安全的驗證方式，因為AP將純文字直接送出，而Client則將加密過的文字送出。

此情況讓駭客使用一台Sniffer清晰看到未加密與加密過的封包。

有了這兩種資訊，駭客可用簡單的破解程式來取得WEPKey。

一旦有了Key，駭客則可以對所有封包即時解密。

故OpenSystem驗證較SharedKey驗證安全。

如圖10.13中，在UseofDataEncryption選單中點選FullEncryption，而在AcceptAuthentication中勾選Open，即表示如此設定。

採用OpenSystem驗證，但資料之互傳則使用WEP加密。

11/10/202211/10/2022互享的機密與證明文件互享的機密為一串文數字，常被稱為WEPKey。

證明文件（Certificate）為證明使用者的另一種方法，亦可用於無線網路，好比WEPKey。

證明文件（亦為驗證用之文件）需先置放於Client端。

當使用者欲與無線網路驗證時，Client已經有了驗證用之文件。

兩種驗證傳統上都是以人工方式完成，但市面已有專門主機能自動對許多設備更新WEPKey或證明文件。

圖10.14為AP之中，設定WEPKey之實例。

例如AP以第三個Key作Transmit，而Clie