Беспроводные сети: Легко!

Довольно заманчиво сказать, что на BSD и OpenBSD в частности, нет  необходимости "делать беспроводную сеть", поскольку она уже есть.  Создание  беспроводной сети не сильно отличается  от  создания проводной,  однако есть  некоторые вопросы, которые возникают  благодаря  использованию  радиоканала.  Мы  кратко  рассмотрим  некоторые вопросы теории прежде чем перейти к практическим шагам установки.

После того, как мы рассмотрим базовые вопросы создания беспроводной сети и принцип её работы, мы обратимся к некоторым опциям позволяющим сделать ваш беспроводную сеть более интересной и устойчивой к взлому.

Немного о IEEE 802.11                                                             Настройка   любого   сетевого   интерфейса,   обычно,   проходит   в   два   этапа:   вы устанавливаете линк, а затем переходите к конфигурированию интерфейса  для передачи

трафика TCP/IP.

В  случае  использования  проводных  интерфейсов  Ethernet,  процесс  создания  линка состоит из подключения кабеля и контроля индикатора карты.  Тем не менее, некотрые

интерфейсы  могут  потребовать  дополнительных  действий.  Например  для  модемного

соединения, требуются специфические шаги, например набор номера.

В  случае  выбора  беспроводной  сети  IEEE  802.11,  получение  несущего   сигнала предусматривает несколько шагов на низком уровне. Во-первых,  необходимо выбрать

соответствующий канал в заданном частотном спектре. Как только вы обнаружите сигнал,

вам необходимо установить некоторые параметры идентификации канального  уровня. Наконец, если точки, которые вы хотите связать используют шифрование на канальном уровне, вы должны выбрать соответствующий тип  шифрования и, возможно, некоторые другие параметры.

К   счастью,   на   BSD   системах,   всё   конфигурирование   беспроводных   устройств производится посредством команды ifconfig, как и для любых других интерфейсов1. Тем не менее, поскольку мы рассматриваем беспроводные сети,  необходимо ознакомиться с их безопасностью на различных уровнях сетевого  стека. В основном существуют три вида популярных и простых механизмов безопасности IEEE 802.11, и в следующих разделах мы их кратко рассмотрим.

Примечание

Для  более  полного  представления  вопросов  связанных  с  безопасностью  беспроводных  сетей  обратитесь  к  статьям  и презентациям профессора Кьелл Йоргена на http://www.kjhole.com и http://www.kjhole.com/Standards/WiFi/WiFiDownloads.html. Ознакомиться   со   свежей   информацией   в   области   WiFi   можно   на   сайте   Wi-Fi   Net   News   (http://wifinetnews.com

/archives/cat_security.htm) и The Unofficial 802.11 Security Web Page ((http://www.drizzle.com/~aboba/IEEE/).

Фильтрация MAC адресов                                                        Значительное   число  беспроводных  точек  доступа  потребительского   класса   (я  так понимаю имеется в виду SOHO/Small Office оборудование – п.п.) предлагают возможность фильтрации MAC адресов, однако, вопреки распространённому мнению, они не добавляют

дополнительный уровень безопасности.

1.  На некоторых системах, в основных старых, до сих пор используются аппаратно зависимые программы wicontrol и ancontrol, но в большинстве случаев они заменяются ifconfig. В OpenBSD консолидация ifconfig была завершена полностью.

Маркетинг этого оборудования успешен благодаря тому, что большинство потребителей просто не знают, что сегодня имеется возможность изменить MAC адрес практически на любом беспроводном адаптере2.

Примечание

Если вы действительно хотите использовать фильтрацию MAC адресов, вы можете обратиться к brconfig(8) (на OpenBSD 4.6 и ниже) или вариантах правил связанных с мостом в ifconfig(8) (на OpenBSD 4.7 и выше). В главе 5 мы будем рассматривать мосты и некоторые наиболее полезные способы их использования с фильтром пакетов.

WEP                                                                                            Одним  из следствий использования радиоволн для передачи данных  вместо  проводов является то, что посторонним сравнительно легко доступен сбор данных передаваемых по радиоканалу. Разработчики семейства стандартов 802.11, знали об этом факте и пришли к решению которое появилось на рынке под названием Wired Equivalent Privacy или WEP.

К сожалению, разработчики WEP занимались его разработкой не уделяя  достаточного внимания  современным  исследованиям  в  этой  области.  Таким   образом,  эта  схема шифрования канального уровня считается весьма примитивной среди профессионалов. Не стало сюрпризом и то, что в течении  нескольких месяцев была произведена реверсная разработка   и   взлом    первых    представленных   продуктов   использующих   данную технологию.

Однако,  даже  учитывая  то,  что  можете  скачать  множество  программ  позволяющих произвести дешифровку WEP трафика в считанные минуты, по различным причинам, WEP по прежнему широко используется. По существу,  всё  современное обрудование 802.11 продолжает поддерживать WEP и фильтрацию MAC адресов.

Вы должны понять, что сетевой трафик, защищённый только с помощью WEP шифрования не намного безопасней открытой передачи данных. С другой стороны, отметка наличия WEP шифрования может стать сдерживающим  фактором для ленивых или неопытных атакующих.

WPA                                                                                            Разработчики довольно быстро поняли, что WEP не совсем то, что нужно, поскольку он был быстро взломан. Результатом стал пересмотр концепции и получено новое решение названое Wi-FI Protected Access или WPA. WPA выглядит лучше чем WEP, по крайней мере на бумаге, но его спецификации были достаточно сложные и его широкое внедрение было отложено  на  некоторое  время.  Кроме  того,  WAP  досталась  некоторая  доля  критики связанная  с  рядом  ошибок  в  проектировании.  Из-за  различных  проблем  доступа  к документации поддержка WPA в оборудовании и ПО несколько разнообразна.

Большинство систем поддерживает WPA, однако он может быть не доступен  для всех устройств.  если  ваш  проект  включает  в  себя  спецификацию   WPA,  вам  следует внимательно ознакомиться с документацией операционной системы и драйверов. И, само собой разумеется, вам потребуются дополнительные меры безопасности для сохранения конфидециальности потока данных, такие как SSH и SSL шифрование.

Выбор правильного оборудования для ваших задач           Выбор правильного оборудования не всегда бывает сложной задачей. На системе BSD, следующая простая  команда позволит получить список  всех  man страниц со  словом wireless в их контексте3.

$ apropos wireless

Даже в только что установленной системе, эта команда предоставит вам полный список драйверов   беспроводной   сети   встроенных   в   операционную   систему.   Следующим шагомявляется чтение страниц руководства и сравнение списка совместимых устройств с доступными в вашей системе. Найдите время чтобы продумать конкретные требования.

2.  Быстрый поиск по man-страницам OpenBSD подскажет вам команду для замены MAC адреса для интерфейса rum0 –  ifconfig rum0 lladdr 00:ba:ad:f0:0d:11.

3.  Кроме того, можно обратиться к страницам в Интернет. Обратитесь к http://www.openbsd.org и другим страницам проекта.

Для целей тестирования можно использовать драйвера rum или ural USB. Позже, когда вы будете  строить  реальную  инфраструктуру,  вы  можете   использовать   более  дорогое оборудование. Вам так же следует ознакомиться с Приложение Б в конце этой книги.

Примечание переводчика

Вопрос  использования  rum  или  ural  драйверов  достаточно  спорный.  По  крайней  мере,  как  и  другого   беспроводного оборудования. Из своей практики я убедился, что подобрать беспроводной адаптер нормально  работающий в BSD системе намного сложнее чем в Linux. Конечно оборудование существует, но в  большинстве лучший вариант – достаточно старые адаптеры с чипами Atheros, которые найти сегодня уже  достаочно сложно. Большинство работающих USB донглов требуют некоторой физической переделки из-за отсутствия физической возможности подключения внешних антенн. И, хотя много пишут о разработке драйверов для новых чипсетов беспроводных устройств под BSD системы, в реальной ситуации дела обстоят не лучшим образом .

Установка простой беспроводной сети                                  Для  нашей  первой  беспроводной  сети,  в  качестве  отправной  точки,  имеет  смысл использовать конфигурацию шлюза созданную в предыдущей главе. При разработке сети, с большой вероятностью, беспроводная сеть не  напрямую подключается к интернет, но какой-то  шлюз  ей  понадобится.   Именно  по  этой  причине  имеет  смысл  повторно использовать рабочую  конфигурацию шлюза для нашей беспроводной точки доступа, внеся ряд незначительных изменений, которые мы рассмотрим в нескольких последующих

абзацах. В конце концов, это удобней чем начинать конфигурацию с нуля.

Примечание

Мы будем работать с режимом инфораструктуры, и в первую очередь установим точку доступа. Если вы предпочитаете заняться настройками клиента, вам следует обратиться к странице 51.

Первым делом следует убедиться, что у вас есть поддерживаема беспроводная карта и что  её  драйвер  загружается  и  инициализирует  карту  соответствующим  образом.  В процессе загрузки системы системные сообщения будут отображаться на экране, но кроме того  их  можно  обнаружить  в  файле  /var/run/dmrsg.boot.  Вы  можете  самостоятельно просмотреть этот файл или использовать команду dmesg для просмотра сообщений.  при успешной настройке PCI карты вы должны увидеть нечто подобное:

ral0 at pci1 dev 10 function 0 "Ralink RT2561S" rev 0x00: apic 2 int 11 (irq 11), address 00:25:9c:72:cf:60

ral0: MAC/BBP RT2561C, RF RT2527

Если интерфейс который вы собираетесь настраивать  – горячего подключения, например устройство   USB   или   PC   Card,   вы   можете   видеть   сообщения    ядра   в   файле

/var/log/messages; например, выполнив tail -f для файла перед подключением устройства.

(наверное всётаки после подключения – п.п.)

Затем, вам необходимо сконфигурировать интерфейс, сперва включив линк, и наконец сконфигурировать систему для TCP/IP. Вы можете использовать для  этого командную

строку подобную следующей:

$ sudo ifconfig ral0 up mediaopt hostap mode 11g chan 1 nwid unwiredbsd nwkey 0x1deadbeef9

Эта  команда выполняет несколько вещей. Конфигурирует интерфейс  ral0,  включает интерфейс используя параметр up, и определяет интерфейс в  качестве точки доступа беспроводной сети используя mediaopt hostap. Кроме того, явно устанавливается режим работы 11g и выбирается 11-й канал. Наконец, используется nwid параметр для установки имени  сети  unwiredbsd,  с  WEP  ключом  (nwkey)  в  виде  шестнадцатеричной  строки 0x1deadbeef9.  Теперь используйте команду ifconfig для проверки успешной настройки интерфейса:

$ ifconfig ral0

ral0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 lladdr 00:25:9c:72:cf:60

priority: 4 groups: wlan

media: IEEE802.11 autoselect mode 11g hostap status: active

ieee80211: nwid unwiredbsd chan 1 bssid 00:25:9c:72:cf:60 nwkey <not displayed> 100dBm inet6 fe80::225:9cff:fe72:cf60%ral0 prefixlen 64 scopeid 0x2

Обратите внимание на содержание строк media и ieee80211. Информация отображённая в

них должна соответствовать той, которую вы ввели в командной строке ifconfig. Установив линк, можно назначить IP адрес вашему интерфейсу:

$ sudo ifconfig ral0 10.50.90.1

На OpenBSD вы можете объединить оба шага в один создав файл  /etc/hostname.ral0 подобный следующему:

up mediaopt hostap mode 11g chan 1 nwid unwiredbsd nwkey 0x1deadbeef9 inet 10.50.90.1

Выполните  sh  /etc/netstart  ral0  с  правами  root,  или  перезагрузите   систему  для применения изменений.

Обратите внимание, что конфигурация состоит из двух строк. Первая строка генерирует команду  ifconfig  для  установки  интерфейса  с  корректными  параметрами  физической

беспроводной  сети.  Вторая  строка  генерирует  команду  установки  IP   адреса   после завершения первой команды. Поскольку это наша точка  доступа,  мы установили канал

явно и включили слабое WEP шифрование, используя параметр nwkey.

На NetBSD, вы можете объединить все эти параметры в файле rc.conf:

ifconfig_ral0="mediaopt hostap mode 11g chan 1 nwid unwiredbsd nwkey 0x1deadbeef inet 10.50.90.1"

В  FreeBSD 8  и  более новых версиях, используется другой подход,  привязывающий беспроводные устройства к единому драйверу WLAN(4). В зависимости от конфигурации вашего ядра, вам может понадобиться добавить  соответствующие строки для загрузки модулей в файле /boot/loader.conf. На  одной из моих тестовых систем /boot/loader.conf выглядел примерно так:

if_rum_load="YES" wlan_scan_ap_load="YES" wlan_scan_sta_load="YES" wlan_wep_load="YES" wlan_ccmp_load="YES" wlan_tkip_load="YES"

После загрузки соответствующих модулей, требуется выполнить несколько  команд, и лучше использовать файл start_if.if для вашей беспроводной сети. Здесь приведён пример файла /etc/start_if.rum0 для точки доступа WEP на FreeBSD 8:

wlans_rum0="wlan0"

create_args_wlan0="wlandev rum0 wlanmode hostap" ifconfig_wlan0="inet 10.50.90.1 netmask 255.255.255.0 ssid unwiredbsd \ wepmode on wepkey 0x1deadbeef9 mode 11g"

После создания конфигурации, команда ifconfig должна вывести информацию  о обоих физических интерфейсах, а интерфейс wlan должен быть поднят и запущен:

rum0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 2290 ether 00:24:1d:9a:bf:67

media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap> status: running

wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 ether 00:24:1d:9a:bf:67

inet 10.50.90.1 netmask 0xffffff00 broadcast 10.50.90.255

media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap> status: running

ssid unwiredbsd channel 6 (2437 Mhz 11g) bssid 00:24:1d:9a:bf:67 country US authmode OPEN privacy ON deftxkey UNDEF wepkey 1:40-bit txpower 0 scanvalid 60 protmode CTS dtimperiod 1 -dfs

Строка status: running означает, что ваш интерфейс поднят и запущен, по крайней мере на канальном уровне.

Замечание

Вам необходимо ознакомиться с актуальным содержимым man-страницы команды ifconfig чтобы больше узнать о опциях которые могут быть вам полезны при конфигурировании.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий