Rete wireless – Appunti - Servizio Help-Reti

Rete wireless – Appunti
Topologia della rete
La rete wireless ha la seguente topologia:
Internet
DHCP
Radius
In Internet con IP
LAN 146.48.80.0
192.168.20.0
SSID isti-work
SSID isti-register
MAP 330
Agli Access Point sono stati assegnati indirizzi IP assegnati sulla LAN 192.168.20, rendendoli non
accessibile dal mondo Internet. Il dialogo con il server DHCP e con il server Radius è garantito,
perché entrambi i server sono raggiungibili con indirizzi appartenenti alle LAN 192.168.20.0.
Per gli Access Point è stata fatta una identificazione basata sul numero riportato sulla targhetta della
registrazione nell'archivio ISTI. L'associazione definita è la seguente:
Id Access Point
Indirizzo IP
Wireless Mac Address Wireless Mac Address
Radio 1
Radio 2
AP 1078564
192.168.20.250
00:03:52:E5:44:40
00:03:52:29:CA:D0
AP 1078569
192.168.20.249
00:03:52:E3:9F:50
00:03:52:2B:6F:C0
AP 1078565
192.168.20.248
00:03:52:E3:85:10
00:03:52:2B:8A:00
AP 1078566
192.168.20.247
00:03:52:E3:95:40
00:03:52:2B:79:D0
AP 1078567
192.168.20.246
00:03:52:E3:85:00
00:03:52:2B:8A:10
Id Access Point
Indirizzo IP
Wireless Mac Address Wireless Mac Address
Radio 1
Radio 2
AP 1078570
192.168.20.245
00:03:52:E3:89:C0
00:03:52:2B:85:50
AP 1078563
192.168.20.244
00:03:52:E3:8B:10
00:03:52:2B:84:00
AP 1078562
192.168.20.243
00:03:52:E3:85:70
00:03:52:2B:89:A0
AP 1078568
192.168.20.242
00:03:52:E3:97:80
00:03:52:2B:77:90
AP 1078560
192.168.20.241
00:03:52:E5:1E:20
00:03:52:29:F0:F0
AP 1078561
192.168.20.240
00:03:52:E3:85:50
00:03:52:2B:89:C0
Gli Access Point sono configurati in modo da assegnare gli indirizzi IP tramite l'utilizzo del
server DHCP di istituto.
Il server Radius, in esecuzione sulla macchina MX3, viene contattato tramite l'indirizzo sulla
rete 192.168.20.0 che è assegnato alla macchina MX3 (192.168.20.12). Per ulteriori informazioni si
faccia riferimento alle note tecniche redatte per il Radius Server.
Configurazione
I MAP330 propagano due differenti SSID, isti-work e isti-register. L'SSID isti-register serve
unicamente ad effettuare la registrazione del MAC address della scheda wireless di un utente sul
server DHCP e nel file degli utenti del server Radius. Una volta effettuata la registrazione l'ssid è
inutilizzabile, perché il suo traffico è vincolato alla solo rete 192.168.20.0.
L'SSID isti-work è l'ssid che permette di accedere alla rete dell'ISTI, esattamente come con
la rete wired. Gli indirizzi vengono assegnati dal DHCP dopo che sia avvenuta la fase di
registrazione. In questo ssid si effettua anche l'autenticazione MAC della scheda wireless sul server
Radius (ecco perché occorre effettuare la registrazione). L'autenticazione è invisibile all'utente, in
quanto la richiesta al Radius viene inviata automaticamente, sotto forma di utente e password,
entrambi settati con il valore del MAC address wireless. Se la fase di autenticazione avviene con
successo, si naviga tranquillamente in Internet con indirizzi della rete ISTI (146.48.80.0) assegnati
dal DHCP. Nella figura seguente viene mostrato i passi che vengono fatti usando l'ssid isti-work.
MAP 330
SSID isti-work
2
Radius
1
3
6
4
5
Internet
DHCP
1 – L'utente chiede di connettersi alla rete wireless
dopo essersi precedentemente registrato
2 – Il MAP richiede al server Radius
l'autenticazione MAC dell'utente
3 – Il Radius autentica correttamente l'utente e
manda indietro la risposta al MAP
4 – Dopo l'ok del Radius si richiede l'indirizzo IP
al server DHCP
5 – Il server DHCP assegna l'IP registrato per
l'utente
6 – L'utente ottiene il suo indirizzo IP e può ora
navigare in Internet
Se un utente non ancora registrato sul server Radius (e quindi sul DHCP) cerca di accedere alla rete
usando questo SSID, non riuscirà mai a connettersi né ad ottenere un indirizzo IP, perché
l'autenticazione richiesta al server Radius avviene ad un livello più basso, bloccando quindi
l'assegnazione dell'IP.
Dettagli configurazione
Quando si accede ad un Access Point, la schermata iniziale che appare è la seguente:
In questa schermata appaiono alcuni delle configurazione di un MAP, in particolare vengono
visualizzati l'indirizzo IP assegnato alla macchina, gli indirizzi MAC delle due schede wireless, il
paese in cui l'AP è installato, il numero di client associati ad ogni antenna Radio e da quanto tempo
l'AP è in funzione.
Dopo il login, una prima cosa che occorre controllare è il numero degli ssid definiti su un MAP.
Selezionando il tag VSC si ottiene una lista di tutti gli ssid definiti sul MAP, con un piccolo
riassunto delle informazioni di configurazione. Come prima informazione abbiamo troviamo il
nome che è stato data alla definizione del VSC: non è significativo se non per l'amministratore, può
quindi essere una qualsiasi stringa che identifica un AP virtuale che si sta costruendo. Nel nostro
caso i nomi che sono stati usati sono auth MAC isti per indicare l'AP virtuale che propaga l'ssid istiwork e registration per indicare quello che propaga l'ssid isti-register. Altre informazioni fornite
sono il nome dell'ssid propagato, quindi ciò che viene utilizzato dai client per la connessione. Di
seguito troviamo l'indicato se sono state definite o meno VLAN in uscita per questo ssid, ciò che è
usato per gestire il QoS, la presenza di filtraggi, sia a livello IP che a livello di MAC address, il tipo
di encription utilizzata (WEP, WAP) ed infine il tipo di autenticazione (MAC o 802.1x).
Queste parametro posso essere modificati accedendo ad un'altra schermata, cliccando su nome dato
all'AP virtuale.
Sotto la lista degli AP virtuali, si trova il pulsante che permette di creare una nuovo AP e quindi di
propagare una nuovo ssid dal MAP in questione.
Dopo aver scelto di modificare o di creare un nuovo VSC, si ottiene la seguente schermata dove è
possibile specificare tutti i parametri che interessano per propagare un ssid.
Nel riquadro General viene specificato il nome dell'AP virtuale creato e se tale AP deve utilizzare o
meno un access controller. Nel nostro caso, al momento nessun AP utilizza un controller.
Naturalmente, se si sceglie di utilizzare un access controller, occorrerà specificare altre
informazioni, che non verrano specificate qui (si rimanda al manuale di amministrazione del MAP
330).
Nel riquadro Virtual AP, è possibile specificare il nome dell'ssid che si deve propagare. Non è
possibile invece modificare il BSSID associato. Gli altri campi che sono state presi in
considerazione nella configurazione della rete dell'isti sono minimum e maximum rate, che sono
impostati rispettivamente la più basso e al più alto possibile (la scelta viene fatta in automatico
dall'AP in base la canale scelto per la trasmissione), quale antenna Radio utilizzare per ricezione,
trasmissione dei dati, e se propagare o meno in broadcast il nome dell'ssid.
Le opzioni messe a disposizione del riquadro Wireless Protection non sono state prese in
considerazione al momento.
Si è scelto al contrario, per l'ssid isti-work , di utilizzare l'autenticazione MAC, come descritto nelle
sezioni precedenti. In questo caso si è specificato quale profilo Radius utilizzare1, e di inviare il
MAC address in lower case e senza delimitatori. Nel caso dell'ssid isti-register questo box non è
stato usato.
Un parametro importante è il box Wireless security filters, in cui è stato selezionato la prima
opzione in modo da usare come gateway quello assegnato di default al MAP.
Infine, per quanto riguarda il box IP filter, nell'ssid isti-register è stato specificato un filtraggio
sulla rete 192.168.20.0, in modo che quando si accede con questo ssid è possibile accedere solo a
macchine presenti sulla rete 192.168.20.0. In questo modo si emula il comportamento che si ha
sulla rete wired quando si cerca si effettuare la registrazione nel DHCP. Per specificare il filtraggio
basta inserire l'indirizzo IP e la sottorete utilizzata. Nel nostro caso è stato specificato
1 E' possibile specificare più Radisu server da utilizzare all'interno di una stessa rete
192.168.20.0/255.255.255.0.
Le configurazioni del/dei server Radius si possono specificare cliccando Security-->RADIUS
Occorre specificare un nome del dare la profilo. Occorre quindi specificare le porte su cui il server e
in ascolto, nel nostro caso Authentication port 1645 e Accounting port 16462. Infine possiamo
specificare più server da utilizzare. Nel nostro caso c'è un solo server, sulla macchina
mx3.isti.cnr.it, con indirizzo 192.168.20.12. Lo shared secret è quello specificato nel file di
configurazione del Radius.
2 All'interno dell'istituto il server Radius ha solo funzione di authentication e non fa accounting.
Da questa schermata (wireless->overview) è possibile avere una visione d'insieme dei client
wireless connessi su un MAP. Le informazioni riportate per ogni client sono: MAC Address,
indirizzo IP, ssid a cui è connesso, l'autorizzazione ad accedere meno alla rete, il tipo di
autenticazione, da quanto tempo è connesso e delle informazioni riguardo alla qualità della
connessione (forza segnale, rumore subito, e forza del segnale su rumore)
Questa schermata fornisce invece una visione di quelli che sono i “vicini” di rete, nel senso che
viene mostrato il mondo di tute le reti wireless che convivono con la rete. Dopo aver specificato la
lista degli access point autorizzati, secondo quanto specificato nella guida di amministrazione dei
MAP, è possibile avere una visione distinta in quello che tutto il mondo e in quello che invece non è
autorizzato ad essere attivo.
Per ogni rete wireless rilevata, viene mostrato il MAC address dell'AP che propaga l'ssid, il nome
dell'ssid propagato, lo stato in cui si trova in quel momento l'AP, il modo in cui sta trasmettendo
(802.11b, 802.11g, etc), il canale scelto per la trasmissione, informazioni sulla qualità della
trasmissione, come visto nella schermata precedente, ed infine di che tipo di rete si tratta (per
esempio se è una rete ad hoc o meno).
Infine, l'ultima parte interessante è la descrizione della configurazione delle antenne wireless.
Nella nostra configurazione la Radio 1 è configurata in modo da funzionare solo come AP.
Trasmette sia in modalità 802.11b sia in modalità 802.11g. La selezione del canale è automatica,
lasciando in questo modo all'AP la scelta del canale migliore su cui trasmettere. Da qui è possibile
scegliere quella che è la distanze degli access point: se si importa la distanza a Large, l'AP sarà reso
più sensibile, viceversa se si sceglie Small. Infine, la potenza del segnale è settata per essere la
massima possibile.
La Radio 2 ha la stessa configurazione della Radio 1, ma è impostata in modalità di monitoraggio,
in modo da poter fare ruoge detection e in modo da porte ottenere la lista di tutti gli AP che la
circondano, come visto in precedenza.