Rete wireless – Appunti Topologia della rete La rete wireless ha la seguente topologia: Internet DHCP Radius In Internet con IP LAN 146.48.80.0 192.168.20.0 SSID isti-work SSID isti-register MAP 330 Agli Access Point sono stati assegnati indirizzi IP assegnati sulla LAN 192.168.20, rendendoli non accessibile dal mondo Internet. Il dialogo con il server DHCP e con il server Radius è garantito, perché entrambi i server sono raggiungibili con indirizzi appartenenti alle LAN 192.168.20.0. Per gli Access Point è stata fatta una identificazione basata sul numero riportato sulla targhetta della registrazione nell'archivio ISTI. L'associazione definita è la seguente: Id Access Point Indirizzo IP Wireless Mac Address Wireless Mac Address Radio 1 Radio 2 AP 1078564 192.168.20.250 00:03:52:E5:44:40 00:03:52:29:CA:D0 AP 1078569 192.168.20.249 00:03:52:E3:9F:50 00:03:52:2B:6F:C0 AP 1078565 192.168.20.248 00:03:52:E3:85:10 00:03:52:2B:8A:00 AP 1078566 192.168.20.247 00:03:52:E3:95:40 00:03:52:2B:79:D0 AP 1078567 192.168.20.246 00:03:52:E3:85:00 00:03:52:2B:8A:10 Id Access Point Indirizzo IP Wireless Mac Address Wireless Mac Address Radio 1 Radio 2 AP 1078570 192.168.20.245 00:03:52:E3:89:C0 00:03:52:2B:85:50 AP 1078563 192.168.20.244 00:03:52:E3:8B:10 00:03:52:2B:84:00 AP 1078562 192.168.20.243 00:03:52:E3:85:70 00:03:52:2B:89:A0 AP 1078568 192.168.20.242 00:03:52:E3:97:80 00:03:52:2B:77:90 AP 1078560 192.168.20.241 00:03:52:E5:1E:20 00:03:52:29:F0:F0 AP 1078561 192.168.20.240 00:03:52:E3:85:50 00:03:52:2B:89:C0 Gli Access Point sono configurati in modo da assegnare gli indirizzi IP tramite l'utilizzo del server DHCP di istituto. Il server Radius, in esecuzione sulla macchina MX3, viene contattato tramite l'indirizzo sulla rete 192.168.20.0 che è assegnato alla macchina MX3 (192.168.20.12). Per ulteriori informazioni si faccia riferimento alle note tecniche redatte per il Radius Server. Configurazione I MAP330 propagano due differenti SSID, isti-work e isti-register. L'SSID isti-register serve unicamente ad effettuare la registrazione del MAC address della scheda wireless di un utente sul server DHCP e nel file degli utenti del server Radius. Una volta effettuata la registrazione l'ssid è inutilizzabile, perché il suo traffico è vincolato alla solo rete 192.168.20.0. L'SSID isti-work è l'ssid che permette di accedere alla rete dell'ISTI, esattamente come con la rete wired. Gli indirizzi vengono assegnati dal DHCP dopo che sia avvenuta la fase di registrazione. In questo ssid si effettua anche l'autenticazione MAC della scheda wireless sul server Radius (ecco perché occorre effettuare la registrazione). L'autenticazione è invisibile all'utente, in quanto la richiesta al Radius viene inviata automaticamente, sotto forma di utente e password, entrambi settati con il valore del MAC address wireless. Se la fase di autenticazione avviene con successo, si naviga tranquillamente in Internet con indirizzi della rete ISTI (146.48.80.0) assegnati dal DHCP. Nella figura seguente viene mostrato i passi che vengono fatti usando l'ssid isti-work. MAP 330 SSID isti-work 2 Radius 1 3 6 4 5 Internet DHCP 1 – L'utente chiede di connettersi alla rete wireless dopo essersi precedentemente registrato 2 – Il MAP richiede al server Radius l'autenticazione MAC dell'utente 3 – Il Radius autentica correttamente l'utente e manda indietro la risposta al MAP 4 – Dopo l'ok del Radius si richiede l'indirizzo IP al server DHCP 5 – Il server DHCP assegna l'IP registrato per l'utente 6 – L'utente ottiene il suo indirizzo IP e può ora navigare in Internet Se un utente non ancora registrato sul server Radius (e quindi sul DHCP) cerca di accedere alla rete usando questo SSID, non riuscirà mai a connettersi né ad ottenere un indirizzo IP, perché l'autenticazione richiesta al server Radius avviene ad un livello più basso, bloccando quindi l'assegnazione dell'IP. Dettagli configurazione Quando si accede ad un Access Point, la schermata iniziale che appare è la seguente: In questa schermata appaiono alcuni delle configurazione di un MAP, in particolare vengono visualizzati l'indirizzo IP assegnato alla macchina, gli indirizzi MAC delle due schede wireless, il paese in cui l'AP è installato, il numero di client associati ad ogni antenna Radio e da quanto tempo l'AP è in funzione. Dopo il login, una prima cosa che occorre controllare è il numero degli ssid definiti su un MAP. Selezionando il tag VSC si ottiene una lista di tutti gli ssid definiti sul MAP, con un piccolo riassunto delle informazioni di configurazione. Come prima informazione abbiamo troviamo il nome che è stato data alla definizione del VSC: non è significativo se non per l'amministratore, può quindi essere una qualsiasi stringa che identifica un AP virtuale che si sta costruendo. Nel nostro caso i nomi che sono stati usati sono auth MAC isti per indicare l'AP virtuale che propaga l'ssid istiwork e registration per indicare quello che propaga l'ssid isti-register. Altre informazioni fornite sono il nome dell'ssid propagato, quindi ciò che viene utilizzato dai client per la connessione. Di seguito troviamo l'indicato se sono state definite o meno VLAN in uscita per questo ssid, ciò che è usato per gestire il QoS, la presenza di filtraggi, sia a livello IP che a livello di MAC address, il tipo di encription utilizzata (WEP, WAP) ed infine il tipo di autenticazione (MAC o 802.1x). Queste parametro posso essere modificati accedendo ad un'altra schermata, cliccando su nome dato all'AP virtuale. Sotto la lista degli AP virtuali, si trova il pulsante che permette di creare una nuovo AP e quindi di propagare una nuovo ssid dal MAP in questione. Dopo aver scelto di modificare o di creare un nuovo VSC, si ottiene la seguente schermata dove è possibile specificare tutti i parametri che interessano per propagare un ssid. Nel riquadro General viene specificato il nome dell'AP virtuale creato e se tale AP deve utilizzare o meno un access controller. Nel nostro caso, al momento nessun AP utilizza un controller. Naturalmente, se si sceglie di utilizzare un access controller, occorrerà specificare altre informazioni, che non verrano specificate qui (si rimanda al manuale di amministrazione del MAP 330). Nel riquadro Virtual AP, è possibile specificare il nome dell'ssid che si deve propagare. Non è possibile invece modificare il BSSID associato. Gli altri campi che sono state presi in considerazione nella configurazione della rete dell'isti sono minimum e maximum rate, che sono impostati rispettivamente la più basso e al più alto possibile (la scelta viene fatta in automatico dall'AP in base la canale scelto per la trasmissione), quale antenna Radio utilizzare per ricezione, trasmissione dei dati, e se propagare o meno in broadcast il nome dell'ssid. Le opzioni messe a disposizione del riquadro Wireless Protection non sono state prese in considerazione al momento. Si è scelto al contrario, per l'ssid isti-work , di utilizzare l'autenticazione MAC, come descritto nelle sezioni precedenti. In questo caso si è specificato quale profilo Radius utilizzare1, e di inviare il MAC address in lower case e senza delimitatori. Nel caso dell'ssid isti-register questo box non è stato usato. Un parametro importante è il box Wireless security filters, in cui è stato selezionato la prima opzione in modo da usare come gateway quello assegnato di default al MAP. Infine, per quanto riguarda il box IP filter, nell'ssid isti-register è stato specificato un filtraggio sulla rete 192.168.20.0, in modo che quando si accede con questo ssid è possibile accedere solo a macchine presenti sulla rete 192.168.20.0. In questo modo si emula il comportamento che si ha sulla rete wired quando si cerca si effettuare la registrazione nel DHCP. Per specificare il filtraggio basta inserire l'indirizzo IP e la sottorete utilizzata. Nel nostro caso è stato specificato 1 E' possibile specificare più Radisu server da utilizzare all'interno di una stessa rete 192.168.20.0/255.255.255.0. Le configurazioni del/dei server Radius si possono specificare cliccando Security-->RADIUS Occorre specificare un nome del dare la profilo. Occorre quindi specificare le porte su cui il server e in ascolto, nel nostro caso Authentication port 1645 e Accounting port 16462. Infine possiamo specificare più server da utilizzare. Nel nostro caso c'è un solo server, sulla macchina mx3.isti.cnr.it, con indirizzo 192.168.20.12. Lo shared secret è quello specificato nel file di configurazione del Radius. 2 All'interno dell'istituto il server Radius ha solo funzione di authentication e non fa accounting. Da questa schermata (wireless->overview) è possibile avere una visione d'insieme dei client wireless connessi su un MAP. Le informazioni riportate per ogni client sono: MAC Address, indirizzo IP, ssid a cui è connesso, l'autorizzazione ad accedere meno alla rete, il tipo di autenticazione, da quanto tempo è connesso e delle informazioni riguardo alla qualità della connessione (forza segnale, rumore subito, e forza del segnale su rumore) Questa schermata fornisce invece una visione di quelli che sono i “vicini” di rete, nel senso che viene mostrato il mondo di tute le reti wireless che convivono con la rete. Dopo aver specificato la lista degli access point autorizzati, secondo quanto specificato nella guida di amministrazione dei MAP, è possibile avere una visione distinta in quello che tutto il mondo e in quello che invece non è autorizzato ad essere attivo. Per ogni rete wireless rilevata, viene mostrato il MAC address dell'AP che propaga l'ssid, il nome dell'ssid propagato, lo stato in cui si trova in quel momento l'AP, il modo in cui sta trasmettendo (802.11b, 802.11g, etc), il canale scelto per la trasmissione, informazioni sulla qualità della trasmissione, come visto nella schermata precedente, ed infine di che tipo di rete si tratta (per esempio se è una rete ad hoc o meno). Infine, l'ultima parte interessante è la descrizione della configurazione delle antenne wireless. Nella nostra configurazione la Radio 1 è configurata in modo da funzionare solo come AP. Trasmette sia in modalità 802.11b sia in modalità 802.11g. La selezione del canale è automatica, lasciando in questo modo all'AP la scelta del canale migliore su cui trasmettere. Da qui è possibile scegliere quella che è la distanze degli access point: se si importa la distanza a Large, l'AP sarà reso più sensibile, viceversa se si sceglie Small. Infine, la potenza del segnale è settata per essere la massima possibile. La Radio 2 ha la stessa configurazione della Radio 1, ma è impostata in modalità di monitoraggio, in modo da poter fare ruoge detection e in modo da porte ottenere la lista di tutti gli AP che la circondano, come visto in precedenza.