# NASA HW7 NA 資工二 B07902046 高長聖 ## WiFi security and network administration: reference: http://www.summitdata.com/blog/wpa2-enterprise-vs-wpa2-personal/ https://www.youtube.com/watch?v=NWYGITylBzo https://www.networkworld.com/article/3316567/what-is-wpa3-wi-fi-security-protocol-strengthens-connections.html#:~:text=WPA3%2DPersonal%20provides%20more%20secure,used%20in%20prior%20WPA%20versions. #### (1) wpa2-personal和wpa2-enterprise最大的差別在於authentication stage的security modes。wpa2-enterprise使用的是IEEE 802.1X，而wpa2-personal使用的是pre-shared keys(PSK)。而兩者運作方式的差別，wpa2-personal是讓users可以以輸入密碼的方式連接到網路，而wpa2-enterprise是當users想連接網路時，先連接至database，並藉此database確認user的credential是否合法，最後才進行連接。 #### (2) 當此網路是要在比較大規模的organization中使用，會比較適合使用wpa2-enterprise。由於資安的考量，大規模的organization需要定期對每個user更換密碼。然而，這不但會造成users使用上的麻煩，也會造成資安上的疑慮(例如: 過於頻繁的更換密碼，而告知users新密碼的方式卻有漏洞...)。再來，當此organization中某個成員離開，或者是存有密碼的device被不當竊取裡面的資料，都可能造成此網路受到安全方面的威脅。因此，利用database來進行authentication，不但比較方便，在安全性上更有保障。 #### (3) 首先，對於要支援wpa3的device，除了軟體上要有所更新外，還需要搭配硬體的支援，這使得即使網路已經有支援wpa3，老舊的設備依舊難以跟上。再者，對於規模較龐大的organization，更換大規模的網路設備意味著需要投入大量的金錢，這使得wpa3目前比較多是個人使用而非enterprise。再來，由於WIFI服務大部分是無利潤的公共設施，這又減低了廠商將公共場所的網路設備升級成wpa3的意願。最後，由於wpa2的普及，有支援wpa3的device，大部分也都有支援wpa2，然而，若wpa3真正要獲利，需要「只」支援wpa3的device普及。權衡安全性以及便利性，在現階段，個人使用wpa3的device所得的效益並不高，而organization做這件事也需要花費大量的成本以及時間。因此，目前我們並還不需要將device改成支援wpa3。 ## PSK/EAP/PEAP: reference: https://en.wikipedia.org/wiki/Pre-shared_key https://www.juniper.net/documentation/en_US/junos-space-apps/network-director3.0/topics/concept/wireless-wpa-psk-authentication.html https://zh.wikipedia.org/wiki/%E6%89%A9%E5%B1%95%E8%AE%A4%E8%AF%81%E5%8D%8F%E8%AE%AE https://www.intel.com.tw/content/www/tw/zh/support/articles/000006999/network-and-i-o/wireless-networking.html #### PSK: pre-shared key。是一種shared secret，利用secure channel分享在多個user之間。而使用上，為了要config WLAN node，PSK利用64 hexadecimal digits的string，或者是8到63個ASCII的字元，並結合TKIP或AES來生成獨一無二的encryption key。當client要連網路時，由PSK authenticate的users會使用密碼並驗證是否有權限連上此網路。可以支援802.1X的設備。 #### EAP: Extensible Authentication Protocol。是一種在wireless network所使用的authentication framework。並提供一些公共的認證機制，如EAP-MD5、EAP-OTP、PEAP等。可以支援802.1X的設備。 #### PEAP: 是一種EAP的驗證類型，提供了經由802.11 WIFI來安全傳輸驗證資料的方法。能達成此目標，是由於PEAP在client和驗證的伺服器之間使用隧道功能。PEAP只使用伺服器端的憑證來驗證WIFI區域網路內的client端，因此可以簡化區域網路的管理。 #### Compare: PSK v.s EAP: 兩者都可以支援802.1X設備 EAP v.s PEAP: PEAP是一種EAP的認證機制 PSK v.s PEAP: 兩者都需要安全的通道來傳輸資料 ## AP location: 需要再安排一台AP。 在設置的R103-front和R103-rear的狀況下，最有可能需要安裝AP的，是離兩者最遠的地方。因此，最後一台AP，我會選擇放置在兩台AP連線的中垂線上，離兩者最遠的地方。(如下圖所示)  ## Connect to WiFi with terminal: reference: https://www.youtube.com/watch?v=9q2pLLpsHiY https://www.windowscentral.com/how-connect-wi-fi-network-windows-10 #### 目標: 作業系統: windows 10 當前連線wifi: ssid=csie-5G 目標連線wifi: ssid=csie #### (1) 將wifi: ssid=csie的profile export出來 ```bash= netsh wlan export profile csie key=clear folder="<folder path>" ``` #### (2) 查看電腦的network adapter: ```bash= netsh wlan show interface ``` 結果:  #### (3) Import network profile: ```bash= netsh wlan add profile filename="<folder path>/Wi-Fi-csie.xml" interface="Wi-Fi" ``` #### (4) 連線到wifi: ssid=csie: ```bash= netsh wlan connect name=csie ``` 結果: