Juniper SSG5/20無線網路安全防護與設定WIFI Setting
Juniper SSG5/20無線網路安全防護與設定WIFI Setting
我們在這裡所要設定的設備型號為SSG5-SH-W 或是 SSG20-SH-W等內建無線網路的設備。關於設備無線網路的規格我們在此就不多介紹了,請自行參考原廠硬體手冊,本篇重點著重在WIFI的設定及使用之上。還有在此先聲明下,為了說明方便,本人常將優質文章原文貼上,尚請作者見諒。
在開始之前我們要先了解無線網路的概念。請參考以下之文章:
TKIP:
Temporal Key Integrity Protocol(暫時密鑰集成協議)負責處理無線安全問題的加密部分,TKIP是包裹在已有WEP密碼週邊的一層「外殼」, 這種加密方式在盡可能使用WEP演算法的同時消除了已知的WEP缺點,例如:WEP密碼使用的密鑰長度為40位和128位,40位的鑰匙是非常容易破解的,而且同一區域網內所有用戶都共用同一個密鑰,一個用戶丟失鑰匙將使整個網路不安全。而TKIP中密碼使用的密鑰長度為128位,這就解決了WEP密碼使用的密鑰長度過短的問題。TKIP另一個重要特性就是變化每個資料包所使用的密鑰,這就是它名稱中「動態」的出處。密鑰通過將多種因素混合在一起生成,包括基本密鑰(即TKIP中所謂的成對暫態密鑰)、發射站的MAC位址以及資料包的序列號。混合操作在設計上將對無線站和接入點的要求減少到最低程度,但仍具有足夠的密碼強度,使它不能被輕易破譯。WEP的另一個缺點就是「重放攻擊(replay
attacks)」,而利用TKIP傳送的每一個資料包都具有獨有的48位序列號,由於48位元序列號需要數千年時間才會出現重複,因此沒有人可以重放來自無線連接的老資料包:由於序列號不正確,這些資料包將作為失序包被檢測出來。
AES:Advanced
Encryption Standard(高級加密標準),是美國國家標準與技術研究所用於加密電子資料的規範,該演算法彙聚了設計簡單、密鑰安裝快、需要的記憶體空間少、在所有的平臺上運行良好、支援並行處理並且可以抵抗所有已知攻擊等優點。
AES 是一個迭代的、對稱密鑰分組的密碼,它可以使用128、192
和
256 位密鑰,並且用
128 位元(16位元組)分組加密和解密資料。與公共密鑰密碼使用密鑰對不同,對稱密鑰密碼使用相同的密鑰加密和解密資料。通過分組密碼返回的加密資料 的位元數與輸入資料相同。迭代加密使用一個迴圈結構,在該迴圈中重複置換(permutations
)和替換(substitutions)輸入資料。
總而言之AES提供了比 TKIP更加高級的加密技術, 現在無線路由器都提供了這2種演算法,不過比較傾向於AES。TKIP安全性不如AES,而且在使用TKIP演算法時路由器的吞吐量會下降3成至5成,大大地影響了路由器的性能。
WPA (Wi-Fi Protected Access) 全名為 Wi-Fi Protected Access,有WPA 和 WPA2兩 個標準。是一種保護無線電腦網路(Wi-Fi)安全的系統。
Pre-shared Key 預共用密鑰 預共用密鑰模式(pre-shared
key,PSK, 又稱為個人模式)是設計給負擔不起
802.1X 驗證伺服器的成本和複雜度的家庭和小型公司網路用的,每一個使用者必須輸入密語來取用網路,而密語可以是 8
到
63 個
ASCII 字元、或是
64 個16進位元數字(256位元)。使用者可以自行斟酌要不要把密語存在電腦裏以省去重複鍵入的麻煩,但密語一定要存在
Wi-Fi 取用點裏。
無線加密的三種演算法:
WEP
wpa/wpa2
wpa-psk/wpa2-psk
由於無線網路採用無線技術,因此在它的訊號範圍之內,任何人只要有無線網路接收設備,都能利用網路監控軟體來監聽破解您的無線網路,也因此,無線網路的安全設定顯得特別重要。
下列乃是關於無線網路安全相關的網路連結,請參考:
關於無線網路使用的安全建議:
針對 Wi-Fi 加密機制本身存在的漏洞風險,在漏洞尚未被修補之前,民眾使用 WiFi無線網路時,該如何應變自保?對此,台灣無線通訊網路設備驗證的主管機關 NCC,建議各界具體因應措施如下:
一、使用無線網路上網時,需有資安風險及資安防護意識。
二、使用者應盡量瀏覽採用 HTTPS 的加密網站,確保使用者瀏覽網頁時的安全性。
三、在使用 Wi-Fi 環境下,儘量避免傳送個人相關的機敏資料。
四、使用者連網終端設備的作業系統,包括電腦、手機作業系統的安全性更新,應儘速更新至最新版本。
五、Wi-Fi AP 製造商提供軟體更新後,使用者對自行裝設之 Wi-Fi AP,應儘速更至最新版本。
六、Wi-Fi AP 未修補其漏洞前,使用者應盡量使用4G 行動寬頻網路上網。
另,資安專家也表示,多數網站都有其他安全協定及加密措施(如HTTPS),且連網終端設備的作業系統也會採取對應的更新措施,使用者對於手機、電腦PC作業系統的安全性更新,需密切注意並主動更新到最新版本,能有利降低連網的資安風險。
一般用戶還能多做哪些事,讓自己未來使用 Wi-Fi 時可以安全點?
首先是即時升級手邊裝置與作業系統的安全性更新。
當然,如果自家路由器廠商有推出韌體更新檔,用戶也可以即時安裝,或是直接購買較新的路由器。
而如果是有點技術背景的用戶,則可以考慮以 VPN 方式來建立安全連線,避免資料外流,或是避免使用客戶端模式與 802.11r。
由於是 Wi-Fi 協定的漏洞,意味著駭客需要在路由器的特定訊號範圍內才能竊取資料,因此用戶外出時,應避免連線外面的公用 Wi-Fi,包括車站、賣場與連鎖商店的服務。
關於Juniper SSG無線網路設定的安全建議:
設定採用“WPA-PSK/WPA2-PSK”混合安全模式,並採用“AES”
加密模式
WEP易破解不建議使用,不要選擇TKIP技術(會大大降低無線效能),建議您採用“WPA-PSK/WPA2-PSK”混合安全模式,並採用“AES” 加密模式。這樣可以在保證無線網路工作效率的前提下,確保無線網路的高安全性。
禁用SSID廣播
Disable
SSID Broadcast : 選擇此選項可禁用廣播由安全設備通告的信標(beacons)中的SSID。 如果禁用SSID廣播,則只有知道SSID的無線用戶端才能關聯。 默認情況下,SSID在信標中廣播。
SSID
Client Isolation : 選擇此選項可禁止同一子網中的無線用戶端直接相互通信並繞過安全設備防火牆服務。
調整訊號大小,讓訊號只能在廠區或是屋內才接收得到
對一般人而言,購買無線網路設備總是希望其訊號能越強越好,最好是能覆蓋直徑1公里 之範圍最為方便,可是這樣也同時方便了駭客,在直徑1公里 之範圍內,駭客都能入侵您的網路,乃資安上的大忌,最好是將訊號設定在廠區或是屋內的主要活動範圍之內,這樣一旦出了廠區或是走出屋外,別人就收不到您無線網路的訊號了,在功能上等同區域網路一般,可大大提高您無線網路的安全性。
set wlan 0 transmit power quarter /*
Transmit Power: 有Full, Half, Quarter, Eighth,
Minimum五種功率 */
限制無線網路用戶的上網行為
不要讓無線網路用戶能接觸到機密或重要資料
這也是您在規劃無線網路時必須遵守的原則,若有重要機密的資料,甚至只能採用封閉網路,完全禁止對外聯絡,以降低風險。
為無線網路建立單獨的安全區(Zone)
Juniper SSG5/20-SH-W支援四個無線介面,wireless0/0—wireless0/3 (SSG 5-WLAN裝置可讓您最多建立16個SSID,但是只能同時使用其中4 個。),規劃guest zone,users只能利用其上網,完全無法接觸到內部網路;為其他部門的user規劃安全區並加以綁定MAC地址,並為其提供有限的網路功能,以達到安全的需求,也可防止因電腦中毒帶來的擴大感染。
不要設定在無線網路上管理網路設備
以下則為無線網路設定範例:
/* 建立wifi安全區 */
set
zone id 100 "wifi"
set
zone "wifi" block
set
zone "wifi" tcp-rst
/* 將bgroup1綁定wifi安全區,wireless0/0綁定bgroup1
*/
/* 下面兩行代表若是bgroup1介面已經指定了IP並綁定了安全區zone,所必需先處理的動作
*/
unset interface bgroup1 ip
unset interface bgroup1 zone
set
interface "bgroup1" zone "wifi"
unset interface ethernet0/6 ip
unset interface ethernet0/6 zone
set
interface bgroup1 port ethernet0/6
unset interface wireless0/0 ip
unset interface wireless0/0 zone
set
interface bgroup1 port wireless0/0
/* 設定bgroup1介面,並關閉其管理功能
*/
set
interface bgroup1 ip 192.168.6.1/24
set
interface bgroup1 nat
unset
interface bgroup1 ip manageable
/* 設定bgroup1介面啟用dhcp
server並設定參數 */
set
interface bgroup1 dhcp server service
set
interface bgroup1 dhcp server enable
set
interface bgroup1 dhcp server option lease 1440
set
interface bgroup1 dhcp server option gateway 192.168.6.1
set
interface bgroup1 dhcp server option netmask 255.255.255.0
set
interface bgroup1 dhcp server option dns1 168.95.1.1
set
interface bgroup1 dhcp server option dns2 168.95.192.1
set
interface bgroup1 dhcp server ip 192.168.6.11 to 192.168.6.111
unset
interface bgroup1 dhcp server config next-server-ip
/* 設定策略讓wifi安全區能夠上網,因為bgroup1被設定為nat模式,所以要加nat src選項 */
set
policy id 3 name "wifi-to-untrust" from "wifi" to
"Untrust" "Any"
"Any" "ANY" nat src permit log
/* 設定Wireless > General > Settings */
set
wlan 0 channel auto
set
wlan 1 channel auto
/*
Transmit Power: 有Full, Half, Quarter, Eighth,
Minimum五種功率 */
set
wlan 0 transmit power quarter
set
wlan 1 transmit power quarter
set
wlan change-channel-timer 0
XR Support : 以較低的資料傳輸速率提供更高的覆蓋範圍。 默認情況下,該選項被禁用。set
wlan 0 xr 或是 set wlan 1 xr。
Super-G Mode : 您可以啟用Super G,這可以將802.11a 和802.11g 客戶端的用戶數據吞吐率提高到4 Mbps。 默認情況下,該選項被禁用。 set wlan 0 super-g 或是 set wlan 1 super-g 。
Extended Channel Mode (僅適用於2.4 GHz無線電 radio) : 對於允許擴展頻道模式(Extended Channel Mode)的管制域,您可以使安全設備使用信道12和13。
最後按“Apply”套用,然後在完成對整個WLAN配置的更改後,單擊“Activate Changes”才能使設定生效。
/* 儲存設定並Activate wireless changes */
save
exec wlan reactivate
exec wlan reactivate
若您手上的設備是SSG5-SH-W-US美國版本,則您還必須要設定country-code才行,否則無線網路無法啟動。
set wlan country-code HK
注意
:如果是在美國、日本、加拿大、中國大陸、台灣地區、韓國、以色列或新加坡以外的國家操作SSG 5-WLAN 裝置,則您必須使用
set wlan country-code CLI 指令,或在Wireless > General Settings WebUI頁面上設定它,然後才能建立WLAN 連接。
此指令會設定可選擇的通道範圍及傳輸電源層級。
如果您的地區碼為ETSI,則您必須設定正確的國碼以符合當地的無線電頻譜規定。
/* 設定與啟用MAC地址綁定功能 */
set
wlan acl mode enable
set
wlan acl a11111111113 allow
set
wlan acl a111111111f 8
deny
set
wlan acl a11111111190 deny
/* 設定SSID相關參數,帳號test123456密碼JUNIPERSSG5 */
set
ssid name test123456
set
ssid test123456 ssid-suppression
set
ssid test123456 client-isolation
set
ssid test123456 authentication wpa2-psk passphrase JUNIPERSSG5 encryption aes
set
ssid test123456 interface wireless0
SSID Client Isolation : 選擇此選項可禁止同一子網中的無線用戶端直接相互通信並繞過安全設備防火牆服務。 set ssid test123456 client-isolation
最後按“Apply”套用,然後在完成對整個WLAN配置的更改後,單擊“Activate Changes”才能使設定生效。
/* 儲存設定並Activate wireless changes */
save
exec wlan reactivate
exec wlan reactivate
以下為執行範例:
ssg5-v92-wlan-> save
Save System
Configuration ...
Done
ssg5-v92-wlan-> exec wlan
reactivate
wireless0/0 interface
change physical state to Down
bgroup1 interface
change physical state to Down
Start wireless access
point physical initialization...
Wireless access point
physical initialization done
wireless0/0 interface
change physical state to Up
bgroup1 interface
change physical state to Up
ssg5-v92-wlan->
以下內容為SSG 5 Hardware Installation and Configuration
Guide之中對無線網路的設定。
To configure a wireless interface for
basic connectivity, use the WebUI or CLI as
follows:
follows:
WebUI
1.Set the WLAN
country code and IP address.
Wireless >
General Settings > Select the following, then
click Apply:
Country code: Select
your code
IP Address/Netmask: ip_add/netmask
IP Address/Netmask: ip_add/netmask
2.Set the SSID.
Wireless >
SSID > New: Enter the following, then click OK:
SSID:
Authentication:
Encryption:
Wireless Interface Binding:
Authentication:
Encryption:
Wireless Interface Binding:
3.(Optional) set
the WEP key.
SSID >
WEP Keys: Select the keyID, then click Apply.
4.Set the WLAN
mode.
Network > Interfaces
> List > Edit (wireless interface): Select Both for the
WLAN mode, then click Apply.
WLAN mode, then click Apply.
5.Activate
wireless changes.
Wireless >
General Settings > Click Activate Changes.
CLI
1.Set the WLAN
country code and IP address.
set
wlan country-code {code_id}
set interface wireless_interface ip ip_addr/netmask
set interface wireless_interface ip ip_addr/netmask
2.Set the SSID.
set
ssid name name_str
set ssid name_str authentication auth_type encryption encryption_type
set ssid name_str interface interface
(optional) set ssid name_str key-id number
set ssid name_str authentication auth_type encryption encryption_type
set ssid name_str interface interface
(optional) set ssid name_str key-id number
3.Set the WLAN
mode.
set interface wireless_interface wlan both
4.Activate
wireless changes.
save
exec wlan reactivate
exec wlan reactivate
To set an Ethernet and a wireless
interface to the same bridge-group
interface, use the WebUI or CLI as follows:
WebUI
Network > Interfaces
> List > Edit (bgroup_name) > Bind Port
CLI
set interface bgroup_name port wireless_interface
set interface bgroup_name port ethernet_interface
set interface bgroup_name port ethernet_interface
