1、WiFi-City 802.11 行 動 網 路 技 術 802.11 無線網路技術802.11 Protocol探討11/10/2022802.11a/b/g,工作于2.4/5GHz ISM 开放频带;802.11e,改善“WLAN的服务质量,提供应用支持QoS,将用时分多址(TDMA)方案取代类似以太网的MAC层,并对重要的业务,增加额外的纠错功能802.11f,规定了Inter-Access Point Protocol(IAPP),解决不同AP之间的漫游;802.11h,控制发送功率,动态选择无线信道;802.11i,改善WEP加密功能,采用动态加密法,升级到AES加密,增强安全性能;
2、802.1x,定义动态密钥加密部分,结合Radius服务器,支持EAP-TLS认证。802.11x 国际标准国际标准11/10/2022Client如何加入一個WLAN當在安裝、設定、最後並啟動一個WLAN系統。Client端的 USB或PC卡能自動聽以確定附近是否有一WLAN系統,這流程稱為Scanning(掃描)。Scanning 可能得到多個可加入的WLAN,Client內部需決定應與哪一個WLAN結合,這流程稱為Joining。Joining之後則為與AP之間的Authentication與Association兩個動作。Scanning發生於所有其它動作之前,因為Client靠Sca
3、nning來找尋WLAN。Scanning可分為主動與被動。在發現AP時,Client靠AP每隔100ms發出的Beacon,Beacon之中包括SSID及與該AP相關之許多其他參數。11/10/2022SSIDSSID(Service Set Identifier)為WLAN系統之中唯一的、字母大小寫有關的、2至32字母長所表示的WLAN網路名稱。在一個ESS(Extended Service Set)之中,SSID為唯一的,相同SSID下的AP屬於同群組,若此AP支援802.1Q VLAN,則屬於同VLAN的User亦屬於同SSID,此時的SSID比較Virtual,亦即同一台AP可支援多
4、個SSID。此名稱有助於網路的區隔,為最基本的安全方法,且用在Client與AP做結合之用。SSID存在於Beacon、Probe Request/Response、及一些其他的Frame之中(如Association Frame)。如圖10.1,Client中必須被設定正確的SSID才能與AP做結合。11/10/2022 11/10/2022圖圖10.210.2為為APAP如何設定隱藏如何設定隱藏SSIDSSID功能。功能。11/10/2022Beacon(信號彈)OSI(Open Systems Interconnection)所定義之Seven Layer Communications
5、Procol中,第一層稱為Physical Layer(物理層),第二層稱為Data Link。以IEEE 802.11而言,Physical Layer(或稱PHY)再被拆為上半的PLCP(Physical Layer Convergence Protocol),以及下半的PMD(Physical Medium Dependent)。OSI第二層亦被拆為上半的LLC(Logical Link Control),以及下半的MAC(Medium Access Control)。而802.11本身只定義PHY及MAC,LLC則在802.2被定義。11/10/202211/10/2022 SSID訊
6、息Client觀察Beacon中的SSID以決定是否做結合。當找到適當SSID,Client再檢視其MAC位址以為結合之用。如前述,若Client被設定為可接受任何SSID,則Client可與第一個發出Beacon,或信號最強的AP做結合。11/10/2022 交通指示(TIM)TIM(Traffic Indication Map)表示哪些因省電而睡覺的Client目前在AP之中還有未傳送的封包。每個Beacon都有這訊息。睡覺中的Client能定時起動接收器,以聽取Beacon,檢查Beacon中的TIM以檢視自己是否列名,若無則回到睡眠狀態。若有則Client發出PS(Power Save
7、)Probe給AP。11/10/2022被動式掃描(Passive Scanning)被動式掃描為在每個頻道聽取Beacon的方法。例如架構模式下由AP送出的Beacon,或Ad-hoc模式下Client所輪流送出的Beacon。然後比較各個Beacon。找出欲加入(Joining)之SSID值。之後則啟動驗證與結合動作。如圖10.6所示。若有多台的SSID相同,則選取信號最強以及封包錯誤率最低的AP。11/10/202211/10/2022 主動式掃描(Active Scanning)主動式掃描為由Client發出一個Probe要求,當Client要做主動式掃描時會發出此要求到網路上。這個要
8、求會包含一個SSID、或是廣播型SSID。假如是單一SSID的Probe,則SSID相同的AP會回應。如Probe中的SSID屬於廣播型,則所有的AP都會回應,如圖10.7。發出Probe的目的是找尋WLAN。一旦發現適當的AP,此Client可開始作驗證與結合動作。11/10/202211/10/2022加入(Joining)Joining發生於Client內部。為由Scanning所得到之多個Beacon或Probe Response的資訊之中,所表示的多個架構模式或Ad-Hoc模式之各個WLAN中,Client考慮應加入到哪一個WLAN的內部動作。802.11並未規定考慮點的優先順序,而
9、放手讓廠商自行定義。故有的廠商以信號好壞作標準,有的以Client之多個SSID的順序作首要考慮點。11/10/2022 驗證與結合WLAN的連接包括兩個步驟,第一步驟為驗證,第二步驟為結合。如當Client與AP完成連線,則表示他完成了驗證與結合兩個動作。注意此處的結合是指第2層(MAC)的結合(非IP或Netbios層,故網路芳鄰看不到),而驗證只與PC卡有關(因WEP Key或SSID等設定只與網卡有關),而非使用者。這個觀念在WLAN的安全、除錯上都很重要。11/10/2022 驗證驗證是與WLAN相連的第一個動作。架構模式的AP或Ad-hoc Client用來驗證Client網卡的動
10、作。換句話說,是AP回應Client之連線請求所做的驗證動作。有時這動作是虛的,亦即Client不需身分證明即能完成驗證。此虛驗證(Open Authentication)為一般AP與網卡出廠的預設狀態。架構模式下,由Client送出一個驗證請求到AP而開始驗證程序。驗證流程可發生在AP,或AP會將驗證請求再傳送到上游之驗證主機。例如RADIUS,RADIUS會依照程序透過AP而驗證Client,最後透過AP告訴Client驗證是否成功完成。11/10/2022結合一旦Client驗證成功,Client則開始與AP做結合。若結合成功,則Client可以與AP傳送及接收資料。假如你的網卡與AP結
11、合成功,表示你與AP成功連線。結合之流程如下。Client先送驗證要求給AP。AP開始作驗證,當驗證完成,Client送出結合要求給AP,AP回答可以或不可以結合。11/10/2022驗證與結合狀態11/10/2022 未驗證且未結合在此初始狀態,節點與網路完全不相關,且無法與AP溝通。AP保有一個名單稱為結合名單,每家廠商在此名單中分別以不同名稱表示各狀態。一般以未驗證表示未驗證且未結合的Client,或是驗證失敗的Client。圖10.9為某AP的Association Table,顯示有一張網卡已與AP結合11/10/2022已驗證但未結合在此第二種狀態,Client已通過了驗證程序,但
12、尚未與AP做結合。此時Client尚未被允許對AP傳送或接收資料。AP的結合名單一般顯示已驗證。因為Client已通過驗證階段,而且可能在千分之幾秒之內就可能結合成功。故通常見不到這種狀態。你常見的是第一種未驗證與第三種已結合。11/10/2022已驗證且已結合在此最後階段,Client與AP完全連線成功,且能與AP傳送與接收資料。下圖顯示Client與AP的結合。一般在AP的結合名單中,此狀態被稱為已結合。表示此Client已完全與網路結合。由前述,你應已了解先進的WLAN安全系統應在驗證時就應介入。11/10/202211/10/2022驗證方式Open System驗證方式Open Sy
13、stem驗證方式屬於虛驗證。為8021.11的預設驗證方式。若Client設定為使用這種驗證方式,它能與SSID相同且亦設為此種驗證方式的AP完成驗證。AP與Client的SSID必須相同才能完成驗證流程。SSID的安全考慮點於第十二章將詳細說明。Open System驗證方式能在不安全或安全的兩種環境中被有效的使用。11/10/2022OpenSystem驗證流程Open System驗證流程如下:(1)Client送出結合要求給AP、(2)AP驗證此Client並答應可以結合。如圖10.11所示。Open System驗證流程很簡單。作為WLAN管理者,你可選擇用WEP加密配合Open S
14、ystem驗證(表示虛驗證完成之後,資料互傳仍需加密)。假如使用WEP配合Open System驗證,在做驗證時,不會檢查彼此的WEP Key是否正確而只是用在結合之後之互傳資料的加密動作。11/10/202211/10/2022Shared Key驗證方式Shared Key驗證方式需要使用到WEP。WEP加密用的Key必須在AP與Client端都相同。Shared Key驗證以兩種方式使用到WEP Key。11/10/2022 Shared Key驗證流程Shared Key的驗證流程之步驟如下:1.Client要求與AP結合:此步驟與Open System驗證的第一步相同。2.AP送出一
15、個Challenge給Client:為一串純文字。3.Client對這個Challenge作回應:它必須使用WEP Key對該純文字加密,而再送還給AP。4.AP對Client回應:AP使用WEP Key對Client送來的加密文字做解密,經由此動作,AP可以知道Client是否有正確的Key。若正確,AP會讓Client通過驗證。若不正確,AP不會讓Client通過驗證,而讓Client留在未驗證且未結合狀態。整個流程如圖10.12。11/10/202211/10/2022 驗證之安全性Shared Key驗證並不是安全的驗證方式,因為AP將純文字直接送出,而Client則將加密過的文字送出
16、。此情況讓駭客使用一台Sniffer清晰看到未加密與加密過的封包。有了這兩種資訊,駭客可用簡單的破解程式來取得WEP Key。一旦有了Key,駭客則可以對所有封包即時解密。故Open System驗證較Shared Key驗證安全。如圖10.13中,在Use of Data Encryption選單中點選Full Encryption,而在Accept Authentication中勾選Open,即表示如此設定。採用Open System驗證,但資料之互傳則使用WEP加密。11/10/202211/10/2022互享的機密與證明文件互享的機密為一串文數字,常被稱為WEP Key。證明文件(Certificate)為證明使用者的另一種方法,亦可用於無線網路,好比WEP Key。證明文件(亦為驗證用之文件)需先置放於Client端。當使用者欲與無線網路驗證時,Client已經有了驗證用之文件。兩種驗證傳統上都是以人工方式完成,但市面已有專門主機能自動對許多設備更新WEP Key或證明文件。圖10.14為AP之中,設定WEP Key之實例。例如AP以第三個Key作Transmit,而Clie
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 