2014年5月1日 星期四

一個完整的802.1X認證

首先是802.11的連接,如圖:
前2個flow是相互發現的一個過程。之後,先做auth,再做association。
在WPA/RSN中,802.11的auth用的都是open的方式。這是第一個階段,也就是802.11的認證。
當association完成後,接下來做EAP 802.1X認證,這是WPA/RSN的認證。
802.1X認證完成後,Supplicant和Authenticator得到PMK,可以做4次握手,生成PTK。如果是PSK認證,則沒有這一步,Authenticator和Supplicant可以自己生成PMK用以4次握手。
4次握手的過程如下:
上圖是針對WP2,也就是RSN的,這種情況下,GTK在3/4時生成。
在WPA1中,4次握手僅僅是產生PTK。GTK是通過4次握手後的一個2次握手完成的,如下圖:
至此,完整的802.1X認證完成。unicast packet可以用PTK加密/校驗,broadcast packet用GTK加密/校驗。

HOWTO:
http://tldp.org/HOWTO/html_single/8021X-HOWTO/

CISCO 6941 7941G 7942G upgrade firmware from SCCP to SIP and configure


        最近拿到了幾隻CISCO IP PHONE來玩玩,規格相當不錯 且支援PoE供電相當方便.但是如果要在一般的SIP sever上運作 (我採用Asterisk+FreePBX).則需要把預設的SCCP改刷成SIP的firmware.

這三支電話改刷firmware的方式都一樣,最簡易的方式是透過CISCO本身的 Cisco Unified Communications Manager:CUCM軟體,但是此軟體不易取得且有版權的.因此改用土法煉鋼的TFTP方式來更新firmware

大概的流程如下:

1.下載其IP PHONE對應的SIP firmware
   * 6941
   * 7941G
   * 7942G

2.架設tftp server (建議使用tftpd v3.23 ,同時把其他interface先都關閉)

3.開啟tftpd中的DHCP server功能,並做下列設定
   -IP pool starting address : 192.168.1.2
   -Size of pool : 250
   -Default router : 192.168.1.1
   -Mask : 255.255.255.0
   -Additional option:  150 , 值: 0x0101A8C0  (代表tftp server ip:192.168.1.1)



4.建立檔案 XML.Default.cnf.xml ,內容為對應的firmware名稱
   SIP42.8-5-3S

5.建立SIP的xml設定檔,檔名格式為  SEP.cnf.xml
    範例下載SEP24B657B1DED4.cnf.xml
    timezone: Taipei Standard Time

6.完成後按住IP PHONE "#"鍵 後接上電源,等到上方橘燈警示燈亮起時依序輸入"123456789*0#",即可進入tftp刷機模式.





Menu中:
setup unlock: **#
soft reset: **#**



CISCO 6941
CISCO 7941G
CISCO 7942G


另外完成搭配LINKSYS SP9000 + SPA400 +PAPT2 的架構圖




DNSSEC安全技術簡介 作者:游子興 / 臺灣大學計算機及資訊網路中心網路組約聘幹事 DNS 是一套已經廣泛使用的Internet 服務,但因先天的技術限制導致容易成為駭客攻擊的目標。本文主要在介紹DNSSEC 之緣起與技術背景,及其使用的加解密技術如何確保資料的完整...