2006.01_Bezpieczne sieci bezprzewodowe_[Bezpieczenstwo].pdf

bezpieczeństwo

Bezpieczne sieci

bezprzewodowe

Michał Poselt

wych wzrasta z każdym dniem.

Nie powinno to nikogo dziwić.

Każdy z nas ceni sobie niskie

koszty związane z instalacją takiej sieci

oraz dużą mobilność, którą daje nam

takie rozwiązanie. Wraz z tym zaskaku-

jąco szybkim rozwojem pojawił się pro-

blem zabezpieczania sieci bezprzewodo-

wych. Istnieje wiele metod, zaczynając od

tych skomplikowanych, przeznaczonych

dla administratorów większych sieci, po

te mniej skomplikowane, które możemy

bez problemu sami zastosować w naszej

domowej sieci. Niestety, większość osób,

zakładających taką sieć po raz pierwszy,

zapomina nawet o tych najprostszych

zabezpieczeniach. W tym artykule poka-

żemy, jak z nich skorzystać. Jest to o tyle

ważne, że brak jakiegokolwiek zabezpie-

czenia lub jego słabość może spowodo-

wać, że niepowołana osoba może się do

niej podłączyć zapychając nasze łącze, a co

gorsza, nawet próbować włamać do nasze-

go komputera.

standard szyfrowania WPA (ang. Wi-Fi

Protected Access ), który wydaje się być

o wiele lepszym rozwiązaniem niż

WEP.

Założenia

Naszym zadaniem będzie zabezpieczenie

sieci opartej o ruter Linksys WRT54GC oraz

notebooka z bezprzewodową kartą siecio-

wą Orinoco i Linuksem Ubuntu 5.10 , ale

z powodzeniem można wykorzystać opi-

sywane czynności na dowolnym innym

ruterze i w innej dystrybucji Linuksa (im

nowsza, tym lepsza).

Na początku zajmiemy się konigu-

racją rutera (wyłączenie serwera DHCP,

włączenie iltracji adresów MAC, włą-

czenie szyfrowania WEP i utworzenie

klucza WEP oraz wyłączenie rozgłasza-

nia ESSID), a później koniguracją note-

booka.

DVD

Linux+ Live DVD zawiera

preinstalowanego NDISwrappera,

więc można uruchamiać

dostępne w komputerze

bezprzewodowe karty sieciowe.

Na CD/DVD

Na CD/DVD znajduje się pakiet

NDISwrapper, który umożliwia

uruchamianie sterowników

dla bezprzewodowych kart

sieciowych z Windows na

Linuksie, a tym samym dostęp

przy ich pomocy do sieci lokalnej

bądź Internetu.

Dostępne rozwiązania

Najczęściej stosowanym standardem szy-

frowania w sieciach bezprzewodowych

standardu IEEE 802.11 jest WEP (ang.

Wired Equivalent Privacy ). Rozwiązanie to

specyikuje klucze 40 i 104 bitowe, do któ-

rych w procesie wysyłania ramki dołącza-

ny jest wektor inicjujący (IV) o długości 24

bitów. Z tego powodu popularnie mówi

się o 64- i 128-bitowych kluczach WEP,

ale nie jest to stwierdzenie poprawne tech-

nicznie.

Z uwagi na słabość WEP organiza-

cja Wi-Fi Alliance zaproponowała nowy

O autorze

Autor jest studentem Informatyki

na Uniwersytecie Łódzkim (ilia

w Tomaszowie Maz.) oraz

prowadzi portal o bezpiecze-

ństwie sieci bezprzewodowych

oraz idei warchalkingu ( http://

www.warchalking.pl/ ).

Rysunek 1. Nasz ruter, którego będziemy

wykorzystywali

24 styczeń 2006

P opularność sieci bezprzewodo-

bezpieczne sieci bezprzewodowe

bezpieczeństwo

Koniguracja rutera

Zakładam, że ruter podłączyliśmy już do

Internetu, a także zmieniliśmy na nim ESSID

(w ruterach irmy Linksys standardowy to

linksys ) oraz hasło (standardowe to admin ).

Wszystkie operacje koniguracyjne rutera

będziemy wykonywać poprzez jego panel

sterowania ( http://192.168.1.1/ ).

Wyłączenie serwera DHCP

W sekcji Network Setup zakładki Basic Setup

z działu Setup znajduje się część określo-

na jako DHCP Server Setting . Odnajdujemy

tam linijkę DHCP Server i zmieniamy war-

tość z Enabled na Disabled . Musimy pamię-

tać, że za każdym razem, gdy coś zmienia-

my, musimy zapisywać ustawienia przyci-

skiem Save settings .

Włączony serwer DHCP stanowi duże

zagrożenie dla naszej sieci, ponieważ przy-

dziela automatycznie adres IP kompu-

terom, które podłączają się do naszego

rutera. Sytuacja ma się inaczej, gdy trzeba

taki IP wybadać samemu – jest to nie tyle

zabezpieczenie, co utrudnienie, ale trzeba

przyznać, że przydatne.

Rysunek 2. Określanie dopuszczalnych adresów MAC

adresów MAC. W tym celu przechodzi-

my na panelu sterowania rutera do

działu Wireless i zakładki Wireless MAC

Filter . Włączamy w niej funkcję iltro-

wania adresów MAC ( Access restriction:

Enabled ) oraz zaznaczamy opcję Permit

PCs listed below to access the wireless

network . Oczywiście, na koniec wpisujemy

w pole MAC 01 nasz adres MAC karty

bezprzewodowej.

Tak utworzone klucze zapisujemy w bez-

piecznym miejscu.

Włączenie iltracji adresów MAC

Filtracja adresów MAC jest dość ważna przy

zabezpieczaniu sieci. Pozwala nam autory-

zować tylko te komputery, które zostały

wpisane na naszą listę. Nie możemy zapo-

mnieć o dodaniu naszego adresu MAC

karty WLAN.

Aby sprawdzić adres MAC naszej karty

sieciowej, wydajemy polecenie ifconig <nasz

intersejs sieciowy> , np.:

Brak ESSID – brak połączenia

Do skojarzenia z siecią bezprzewodo-

wą, zgodnie ze standardem IEEE 802.11,

konieczne jest posiadanie jej identyikato-

ra ESSID. Nasz ruter posiada opcję wyłą-

czenia jego rozgłaszania, po uaktywnie-

Włączenie szyfrowania WEP

Przy włączaniu na ruterze szyfrowa-

nia WEP do wyboru mamy tryb 64- albo

128-bitowy, więc warto sprawdzić, czy

nasza karta w notebooku obsługuje klucze

128-bitowe. Aby to zrobić, posłużymy się

narzędziem iwlist , wchodzącym w skład

pakietu Linux Wireless Extensions :

Szeroko otwarte sieci

bezprzewodowe

Nie zdziwcie się, gdy kiedyś na ulicy

zobaczycie namalowane kredą dziwne

znaki. Oznacza to zapewne, że w tym

miejscu są dostępne jakieś niezabezpie-

czone sieci. Są to symbole stosowane

w Warchalkingu (tak nazywa się metoda

na wyszukiwanie i oznaczanie szeroko

dostępnych sieci WLAN). Z przykrością

muszę stwierdzić, że około 60 % sieci

bezprzewodowych w Łodzi jest w ogóle

nie zabezpieczona, z czego prawie 40%

działają na domyślnym ESSID. Sieci, w

których stosuje się szyfrowanie WEP, jest

około 30%, zaś WPA tylko 10%. Jeśli spo-

dziewacie się, że w tych 60% niezabez-

pieczonych sieci były tylko sieci domowe,

to jesteście w błędzie! Sprawa ta doty-

czy także irm. Jak widać, istnieje bardzo

dużo sieci, w których nie stosuje się

nawet szyfrowania WEP, którego koni-

guracja nie powinna zająć nam więcej niż

10 minut, nawet gdy mamy do czynienia z

sieciami po raz pierwszy.

scoti@ubuntu:~$ ifconig eth1

eth1 Link encap:Ethernet HWaddr

00:01:F4:EC:D2:88

inet6 addr: fe80::201:f4ff:

feec:d288/64 Scope:Link

UP BROADCAST RUNNING

MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0

dropped:0 overruns:0 frame:0

TX packets:0 errors:9

dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:0 (0.0 b) TX

bytes:0 (0.0 b)

Interrupt:3 Base address:

0x100

scoti@ubuntu:~$ iwlist eth1 key

eth1 2 key sizes : 40, 104bits

Jak widzimy, nasza karta wspiera szyfro-

wanie 128-bitowe (jak wspomniałem wcze-

śniej, w kluczu 64/128 bitowym pierwsze

24 bity to wektor inicjujący (IV)).

Gdy teraz wiemy, że nasza karta

wspiera szyfrowanie 64- i 128-bitowe, mo-

żemy przystąpić do koniguracji rutera.

Znajdujemy w panelu sterowania w dzia-

le Wireless zakładkę Wireless security .

Ustawiamy w niej Security mode na WEP

oraz Encryption na 64 lub 128 bitów.

Wpisujemy w miejsce Passphrase nasze

hasło oraz klikamy na przycisk Generate .

Nasz adres MAC jest dostępny po słowie

Hwaddr .

Gdy znamy już nasz adres MAC, mo-

żemy przystąpić do koniguracji iltra

www.lpmagazine.org

bezpieczeństwo

Topologie sieci

bezprzewodowych

Topologia ad-hoc (sieć bezpośrednia) – w sie

ci zbudowanej w oparciu o tę topologię

komputery komunikują się bezpośrednio

między sobą (bez użycia punktów dostę-

powych i tego typu urządzeń), przez co

ich zasięg jest mniejszy od sieci struktural-

nych. Do komunikacji wykorzystywane są

tylko bezprzewodowe karty sieciowe zain-

stalowane w komputerach. Wadą tych sieci

jest ograniczona liczba użytkowników (4)

oraz to, że nie można dołączyć ich do sieci

przewodowej LAN. Topologię tę stosuje się

głównie do krótkotrwałego połączenia kilku

(do 4) komputerów.

Topologia infrastructure (sieć struktu-

ralna) – budowana jest w oparciu o punkt

dostępowy (Access Point). W tej topolo-

gii komputery nie komunikują się już bez-

pośrednio między sobą, lecz za pośred-

nictwem Access Pointu. Sieci budowa-

ne w tej topologii są bardziej wydajne

i mają większe możliwości. Zastosowanie

punktu dostępowego zwiększa maksy-

malną odległość między stacjami (kom-

puterami), jak również umożliwia dołącze-

nie bezprzewodowej sieci WLAN do prze-

wodowej LAN, a w konsekwencji także

do Internetu. Sieć zbudowaną w oparciu

o tę topologię można praktycznie dowol-

nie powiększać poprzez dołączanie kolej-

nych punktów dostępowych.

Rysunek 3. Włączanie szyfrowania WEP

Najważniejszym narzędziem tego pa-

kietu jest Iwconig :

scoti@ubuntu:~$ iwconig eth1

essid [nazwa sieci]

scoti@ubuntu:~$ iwconig -h

oraz wprowadzamy klucz WEP w postaci

ciągu cyfr szesnastkowych (jeden z zapisa-

nych przez nas wcześniej, np. 37dd5a0741 ):

Jego możliwości są naprawdę duże, gdyż za

jego pomocą możemy sterować praktycznie

każdym parametrem naszej karty. Użyje-

my w tej chwili tylko kilku opcji, niezbęd-

nych do nawiązania połączenia z ruterem.

Na początku ustawiamy interfejs eth1

w tryb Managed :

scoti@ubuntu:~$ iwconig eth1

key [klucz WEP]

Na końcu sprawdzamy, czy nawiązaliśmy

połączenie z naszym routerem:

scoti@ubuntu:~$ iwconig eth1

eth1 IEEE 802.11-DS ESSID:

"linux_plus" Nickname:"HERMES I"

Mode:Managed Frequency:2.442 GHz

Access Point: 00:0F:66:66:55:1C

mode Managed

niu której z ramek zostanie usunięty łań-

cuch z wartością ESSID. Niestety, identyi-

kator ESSID będzie ujawniony w 2 typach

ramek: ponownego uwierzytelniania oraz

ponownego skojarzenia. Nie jest to jednak

dużym zagrożeniem, gdy nasz laptop nie

będzie w ciągłym ruchu (tzn. nie będzie-

my się z nim przemieszczać).

Aby wyłączyć ESSID, wchodzimy do

sekcji Wireless i zakładki Basic Wireless

Settings , a następnie zmieniamy war-

tość Wireless SSID Broadcast z Enabled na

Disabled .

Później podajemy ESSID naszej sieci (np.

zgodnie z ustawieniami w ruterze:

Koniguracja sieci

na notebooku

z zainstalowanym Ubuntu

Gdy mamy już za sobą konigurację rutera,

czas przygotować naszego notebooka.

Podczas koniguracji będziemy korzystać

z pakietu Linux Wireless Extensions ( wireless-

tools ), czyli najpopularniejszego zestawu

narzędzi do konigurowania parametrów

kart bezprzewodowych w systemie Linux.

Rysunek 4. Poprawnie skonigurowana bezprzewodowa karta sieciowa w Ubuntu

(iwconig w terminalu oraz KWiiManager).

26 styczeń 2006

bezpieczne sieci bezprzewodowe

bezpieczeństwo

Bit Rate:11 Mb/s Tx-Power=15 dBm Sensitivity:1/3

Retry limit:4 RTS thr:off Fragment thr:off

Power Management:off

Link Quality=50/92 Signal level=-46 dBm

Noise level=-96 dBm

Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0

Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Jeśli zamiast adresu MAC rutera (pole Access Point ) zobaczyliby-

śmy ciąg 44:44:44:44:44:44 , to oznacza to, że w czasie połącze-

nia wystąpił błąd.

Kolejną rzeczą, którą musimy zrobić, jest przypisanie adresu

IP. Niestety, konieczne jest wykonanie tego ręcznie, gdyż wyłą-

czyliśmy serwer DHCP na naszym ruterze:

scoti@ubuntu:~$ ifconig eth1 [ip] netmask [maska]

scoti@ubuntu:~$ route add default gw [brama]

gdzie ip to przykładowo 192.168.1.100, maska to 255.255.255.0,

a brama to 192.168.1.1.

Później edytujemy plik /etc/resolv.conf i wpisujemy w nim

adres DNS (np. 172.16.1.1) :

scoti@ubuntu:~$ echo nameserver [adres dns]

> /etc/resolv.conf

Na koniec sprawdzamy, czy wszystko działa:

scoti@ubuntu:~$ ping -b [brama]

scoti@ubuntu:~$ ping google.pl

Gdybyśmy nie wyłączali serwera DHCP w ruterze, wystarczyło-

by pobranie adresu IP poprzez polecenie dhclient eth0 .

Podsumowanie

Szyfrowanie WEP, jak powszechnie wiadomo, samo w sobie nie

jest dość dobrym zabezpieczeniem, ale w połączeniu z możliwo-

ściami naszego rutera już się nim staje. Ponadto, szyfrowanie

WEP jest przydatne, gdy korzystamy ze starszych urządzeń sie-

ciowych, które nie wspierają szyfrowania WPA.

Dobrym rozwiązaniem do zabezpieczenia sieci jest WPA,

ale niestety nie każde urządzenie wspiera ten sposób szyfrowa-

nia.

Słowniczek pojęć

WPA (ang. WiFi Protected Access) to standard szyfrowania sto-

sowany w sieciach bezprzewodowych standardu IEEE 802.11.

Został on zaproponowany przez organizację WiFi jako następca

mniej bezpiecznego WEP.

ESSID to nazwa identyikująca sieć zgodną ze standardem

802.11.

DHCP (ang. Dynamic Host Coniguration Protocol) to protokół

komunikacyjny, który umożliwia komputerom uzyskanie od serwe-

ra danych koniguracyjnych, np. adresu IP komputera, adresu IP

bramy sieciowej, adresu serwera DNS oraz maski sieci. Protokół

DHCP jest zdeiniowany w RFC 2131 i jest następcą BOOTP.

DHCP został opublikowany jako standard w roku 1993.

Słowniczek powstał w oparciu o zasoby Wikipedii.

www.lpmagazine.org

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: