Бездротові мережі: Легко!

Досить заманливо сказати, що на BSD і OpenBSD зокрема, немає необхідності робити бездротову мережу, оскільки вона вже є Створення бездротової мережі не сильно відрізняється від створення провідний, однак є деякі питання, які виникають завдяки використанню радіоканалу Ми коротко розглянемо деякі питання теорії перш ніж перейти до практичних кроків установки

Після того, як ми розглянемо базові питання створення бездротової мережі і принцип її роботи, ми звернемося до деяких опцій дозволяє зробити ваш бездротову мережу більш цікавою і стійкою до злому

Трохи про IEEE 80211Настройка будь-якого мережевого інтерфейсу, зазвичай, проходить у два етапи: ви встановлюєте лінк, а потім переходите до конфігурації інтерфейсу для передачі

трафіку TCP / IP

У разі використання дротяних інтерфейсів Ethernet, процес створення линка складається з підключення кабелю і контролю індикатора карти Проте, некотрие

інтерфейси можуть зажадати додаткових дій Наприклад для модемного

зєднання, потрібні специфічні кроки, наприклад набір номера

У разі вибору бездротової мережі IEEE 80211, отримання несучого сигналу передбачає кілька кроків на низькому рівні По-перше, необхідно вибрати

відповідний канал в заданому частотному спектрі Як тільки ви виявите сигнал,

вам необхідно встановити деякі параметри ідентифікації канального рівня Нарешті, якщо точки, які ви хочете повязати використовують шифрування на канальному рівні, ви повинні вибрати відповідний тип шифрування і, можливо, деякі інші параметри

На щастя, на BSD системах, все конфігурування бездротових пристроїв проводиться за допомогою команди ifconfig, як і для будь-яких інших інтерфейсов1 Проте, оскільки ми розглядаємо бездротові мережі, необхідно ознайомитися з їх безпекою на різних рівнях мережевого стека В основному існують три види популярних і простих механізмів безпеки IEEE 80211, і в наступних розділах ми їх коротко розглянемо

Для більш повного уявлення питань повязаних з безпекою бездротових мереж зверніться до статей і презентаціям професора Кьелл Йоргена на http://wwwkjholecom і http://wwwkjholecom/Standards/WiFi/WiFiDownloadshtml Ознайомитися зі свіжою інформацією в галузі WiFi можна на сайті Wi-Fi Net News (http://wifinetnewscom

/ Archives / cat_securityhtm) і The Unofficial 80211 Security Web Page ((http://wwwdrizzlecom/ ~ aboba / IEEE /)

Фільтрація MAC адресЗначне число бездротових точок доступу споживчого класу (я так розумію мається на увазі SOHO / Small Office обладнання – пп) пропонують можливість фільтрації MAC адрес, однак, всупереч поширеній думці, вони не додають

додатковий рівень безпеки

1 На деяких системах, в основних старих, до цих пір використовуються апаратно залежні програми wicontrol і ancontrol, але в більшості випадків вони замінюються ifconfig У OpenBSD консолідація ifconfig була завершена повністю

Маркетинг цього обладнання успішний завдяки тому, що більшість споживачів просто не знають, що сьогодні є можливість змінити MAC адресу практично на будь-якому бездротовому адаптере2

Якщо ви дійсно хочете використовувати фільтрацію MAC адрес, ви можете звернутися до brconfig (8) (на OpenBSD 46 і нижче) або варіантах правил повязаних з мостом в ifconfig (8) (на OpenBSD 47 і вище) У главі 5 ми будемо розглядати мости і деякі найбільш корисні способи їх використання з фільтром пакетів

WEP                                                                                            Одним з наслідків використання радіохвиль для передачі даних замість проводів є те, що стороннім порівняно легко доступний збір даних переданих по радіоканалу Розробники сімейства стандартів 80211, знали про цей факт і прийшли до рішення яке зявилося на ринку під назвою Wired Equivalent Privacy або WEP

На жаль, розробники WEP займалися його розробкою не приділяючи достатньої уваги сучасним дослідженням у цій галузі Таким чином, ця схема шифрування канального рівня вважається дуже примітивною серед професіоналів Не стало сюрпризом і те, що в перебігу декількох місяців була проведена реверсна Розробка та злом перших представлених продуктів використовують дану технологію

Однак, навіть враховуючи те, що можете завантажити безліч програм дозволяють зробити дешифрування WEP трафіку в лічені хвилини, з різних причин, WEP по раніше широко використовується За суті, все сучасне устаткування 80211 продовжує підтримувати WEP і фільтрацію MAC адрес

Ви повинні зрозуміти, що мережевий трафік, захищений тільки за допомогою WEP шифрування не набагато безпечніше відкритої передачі даних З іншого боку, відмітка наявності WEP шифрування може стати стримуючим фактором для ледачих або недосвідчених атакуючих

WPA                                                                                            Розробники досить швидко зрозуміли, що WEP не зовсім те, що потрібно, оскільки він був швидко зламаний Результатом став перегляд концепції та отримано нове рішення назване Wi-FI Protected Access або WPA WPA виглядає краще ніж WEP, принаймні на папері, але його специфікації були досить складні і його широке впровадження було відкладено на деякий час Крім того, WAP дісталася деяка частка критики повязана з низкою помилок в проектуванні З-за різних проблем доступу до документації підтримка WPA в обладнанні та ПО кілька різноманітна

Більшість систем підтримує WPA, проте він може бути не доступний для всіх пристроїв якщо ваш проект включає специфікацію WPA, вам слід уважно ознайомитися з документацією операційної системи і драйверів І, само собою зрозуміло, вам будуть потрібні додаткові заходи безпеки для збереження конфідеціальності потоку даних, такі як SSH і SSL шифрування

Вибір правильного обладнання для ваших завданьВибір правильного обладнання не завжди буває складним завданням На системі BSD, наступна проста команда дозволить отримати список всіх man сторінок зі словом wireless в їх контексте3

$ apropos wireless

Навіть у щойно встановленій системі, ця команда надасть вам повний список драйверів бездротової мережі вбудованих в операційну систему Наступним шагомявляется читання сторінок керівництва і порівняння списку сумісних пристроїв з доступними у вашій системі Знайдіть час щоб продумати конкретні вимоги

2 Швидкий пошук по man-сторінкам OpenBSD підкаже вам команду для заміни MAC адреси для інтерфейсу rum0 – ifconfig rum0 lladdr 00: ba: ad: f0: 0d: 11

3 Крім того, можна звернутися до сторінок в Інтернет Зверніться до http://wwwopenbsdorg та іншим сторінкам проекту

Для цілей тестування можна використовувати драйвера rum або ural USB Пізніше, коли ви будете будувати реальну інфраструктуру, ви можете використовувати більш дороге обладнання Вам так само слід ознайомитися з Додаток Б в кінці цієї книги

Примітка перекладача

Питання використання rum або ural драйверів досить спірне Принаймні, як і іншого бездротового обладнання Зі своєї практики я переконався, що підібрати бездротової адаптер нормально працюючий в BSD системі набагато складніше ніж в Linux Звичайно обладнання існує, але в більшості кращий варіант – досить старі адаптери з чіпами Atheros, які знайти сьогодні вже достаочно складно Більшість працюючих USB донгла вимагають деякої фізичної переробки через відсутність фізичної можливості підключення зовнішніх антен І, хоча багато пишуть про розробку драйверів для нових чіпсетів бездротових пристроїв під BSD системи, в реальній ситуації справи йдуть не кращим чином

Установка простий бездротової мережіДля нашої першої бездротової мережі, в якості відправної точки, має сенс використовувати конфігурацію шлюзу створену в попередньому розділі При розробці мережі, з великою ймовірністю, бездротова мережа не прямо підключається до інтернет, але якийсь шлюз їй знадобиться Саме з цієї причини має сенс повторно використовувати робочу конфігурацію шлюзу для нашої бездротової точки доступу, внісши ряд незначних змін, які ми розглянемо в кількох наступних

абзацах Зрештою, це зручніше ніж починати конфігурацію з нуля

Ми будемо працювати з режимом інфораструктури, і в першу чергу встановимо точку доступу Якщо ви віддаєте перевагу зайнятися налаштуваннями клієнта, вам слід звернутися до сторінці 51

Насамперед слід переконатися, що у вас є поддерживаема бездротова карта і що її драйвер завантажується і ініціалізує карту відповідним чином У процесі завантаження системи системні повідомлення будуть відображатися на екрані, але крім того їх можна виявити у файлі / var / run / dmrsgboot Ви можете самостійно переглянути цей файл або використовувати команду dmesg для перегляду повідомлень при успішній налаштуванні PCI карти ви повинні побачити щось подібне:

ral0 at pci1 dev 10 function 0 &quotRalink RT2561S&quot rev 0x00: apic 2 int 11 (irq 11), address 00:25:9c:72:cf:60

ral0: MAC/BBP RT2561C, RF RT2527

Якщо інтерфейс який ви збираєтеся налаштовувати – гарячого підключення, наприклад пристрій USB або PC Card, ви можете бачити повідомлення ядра у файлі

/ Var / log / messages наприклад, виконавши tail-f для файлу перед підключенням пристрою

(Напевно всетаки після підключення – пп)

Потім, вам необхідно конфігурувати інтерфейс, спершу включивши лінк, і нарешті конфігурувати систему для TCP / IP Ви можете використовувати для цього командну

рядок подібну наступною:

$ sudo ifconfig ral0 up mediaopt hostap mode 11g chan 1 nwid unwiredbsd nwkey 0x1deadbeef9

Ця команда виконує кілька речей Конфігурує інтерфейс ral0, включає інтерфейс використовуючи параметр up, і визначає інтерфейс в якості точки доступу бездротової мережі використовуючи mediaopt hostap Крім того, явно встановлюється режим роботи 11g і вибирається 11-й канал Нарешті, використовується nwid параметр для установки імені мережі unwiredbsd, з WEP ключем (nwkey) у вигляді шестнадцатеричной рядка 0x1deadbeef9 Тепер використовуйте команду ifconfig для перевірки успішного настроювання інтерфейсу:

$ ifconfig ral0

ral0: flags=8843&ltUP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt mtu 1500 lladdr 00:25:9c:72:cf:60

priority: 4 groups: wlan

media: IEEE80211 autoselect mode 11g hostap status: active

ieee80211: nwid unwiredbsd chan 1 bssid 00:25:9c:72:cf:60 nwkey &ltnot displayed&gt 100dBm inet6 fe80::225:9cff:fe72:cf60%ral0 prefixlen 64 scopeid 0x2

Зверніть увагу на зміст рядків media і ieee80211 Інформація відображена в

них повинна відповідати тій, яку ви ввели в командному рядку ifconfig Встановивши лінк, можна призначити IP адреса вашому інтерфейсу:

$ sudo ifconfig ral0 1050901

На OpenBSD ви можете обєднати обидва кроку в один створивши файл / etc/hostnameral0 подібний наступного:

up mediaopt hostap mode 11g chan 1 nwid unwiredbsd nwkey 0x1deadbeef9 inet 1050901

Виконайте sh / etc / netstart ral0 з правами root, або перезавантажте систему для застосування змін

Зверніть увагу, що конфігурація складається з двох рядків Перший рядок генерує команду ifconfig для установки інтерфейсу з коректними параметрами фізичної

бездротової мережі Другий рядок генерує команду установки IP адреси після завершення першої команди Оскільки це наша точка доступу, ми встановили канал

явно і включили слабке WEP шифрування, використовуючи параметр nwkey

На NetBSD, ви можете обєднати всі ці параметри у файлі rcconf:

ifconfig_ral0=&quotmediaopt hostap mode 11g chan 1 nwid unwiredbsd nwkey 0x1deadbeef inet 1050901&quot

У FreeBSD 8 і більше нових версіях, використовується інший підхід, який привязує бездротові пристрої до єдиного драйверу WLAN (4) Залежно від конфігурації вашого ядра, вам може знадобитися додати відповідні рядки для завантаження модулів у файлі / boot / loaderconf На одній з моїх тестових систем / boot / loaderconf виглядав приблизно так:

if_rum_load=&quotYES&quot wlan_scan_ap_load=&quotYES&quot wlan_scan_sta_load=&quotYES&quot wlan_wep_load=&quotYES&quot wlan_ccmp_load=&quotYES&quot wlan_tkip_load=&quotYES&quot

Після завантаження відповідних модулів, потрібно виконати кілька команд, і краще використовувати файл start_ifif для вашої бездротової мережі Тут наведено приклад файлу / etc/start_ifrum0 для точки доступу WEP на FreeBSD 8:

wlans_rum0=&quotwlan0&quot

create_args_wlan0=&quotwlandev rum0 wlanmode hostap&quot ifconfig_wlan0=&quotinet 1050901 netmask 2552552550 ssid unwiredbsd \ wepmode on wepkey 0x1deadbeef9 mode 11g&quot

Після створення конфігурації, команда ifconfig повинна вивести інформацію про обох фізичних інтерфейсах, а інтерфейс wlan повинен бути піднятий і запущений:

rum0: flags=8843&ltUP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt metric 0 mtu 2290 ether 00:24:1d:9a:bf:67

media: IEEE 80211 Wireless Ethernet autoselect mode 11g &lthostap&gt status: running

wlan0: flags=8843&ltUP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt metric 0 mtu 1500 ether 00:24:1d:9a:bf:67

inet 1050901 netmask 0xffffff00 broadcast 105090255

media: IEEE 80211 Wireless Ethernet autoselect mode 11g &lthostap&gt status: running

ssid unwiredbsd channel 6 (2437 Mhz 11g) bssid 00:24:1d:9a:bf:67 country US authmode OPEN privacy ON deftxkey UNDEF wepkey 1:40-bit txpower 0 scanvalid 60 protmode CTS dtimperiod 1 -dfs

Рядок status: running означає, що ваш інтерфейс піднято і запущений, принаймні на канальному рівні

Вам необхідно ознайомитися з актуальним вмістом man-сторінки команди ifconfig щоб більше дізнатися про опціях які можуть бути вам корисні при конфігуруванні

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*