Jak si udělat bezdrátovou síť a jak ji zabezpečit 1. Potřebný hardware S ohledem na stav (existence nebo naopak neexistence) vaší lokální sítě (dále jen LAN) je třeba nejprve určit, jaký aktivní síťový prvek budeme potřebovat - zda prostý Access Point (zkráceně AP; česky přístupový bod) nebo Router Obecně vzato, typická dnešní domácnost je připojena nějakým broadband (širokopásmovým) připojením, např. DSL, různé bezdráty nebo optickým vláknem. Pokud máte doma jen jedno PC a síťový kabel vede přímo z poskytovatelova zařízení (kterým může být např. wifi klient na půdě, optický převodník apod.), pak v takovém případě nemáte vlastní LAN síť a potřebujete router (který vám umožní připojit vícero PC, ať už drátově nebo bezdrátově). WIFI ROUTERY: Asus WL-520gC nebo TP-Link TL-WR542G (nebo TL-WR543G), přičemž Asus podporuje i alternativní a vysoce stabilní firmware DD-WRT (který poskytuje další rozšířené a sofistikované funkce a je zcela zdarma) AP: OvisLink WL-5460AP (stará dobrá "klasika" s možností změny firmware na alternativní), nebo TP-Link TL-WA501G Na závěr této kapitoly bych uvedl grafickou rekapitulaci předchozího:
2. Prvotní konfigurace nového zařízení v LAN 1
Zde se postup opět liší, podle toho, zda jste se vydali cestou routeru nebo AP. Předem všechny varuji před používáním různých "instalátorů", "průvodců" a "EZ-setupů" jejich použití vede spíše ke zmatení a nefunkčnosti, než k jednoduchému a funkčnímu nastavení sítě. Prvotní konfigurace se vždy provádí pomocí "pevného" ethernetového připojení, nikdy pomocí wifi. Nejprve probereme Wifi Router, jehož nastavení bude jednodušší.
2.1 Wifi Router Router už ze své podstaty de facto vytváří samotnou LAN, jeho konfigurace tedy bude velmi přímočará. Prakticky postačuje správně nastavit WAN rozhraní, LAN síť funguje prakticky okamžitě po zapnutí, už z továrního nastavení. Pokud jste měli v PC nastavenou pevnou IP adresu, pečlivě si poznamenejte všechny údaje (tj. VŽDY pár IP adresa - hodnota, maska - hodnota, brána - hodnota, DNS servery - hodnoty), tak abyste byli vždy schopni rekonstruovat původní stav v případě potřeby. V některých případech některých poskytovatelů, je třeba použít tunelového připojení (L2TP, PPPoE) - v takových případech si poznačte/zjistěte všechny ostatní informace, tj. jméno/heslo, případně další informace. Následně přepněte rozhraní do režimu DHCP klienta (tj. nastavte "automatické získání adresy") a připojte počítač k routeru do jednoho z LAN portů. Linku od poskytovatele připojte do WAN portu a ještě jednou se ubezpečte, že se jedná o ethernet, a nikoliv telefonní linku - o tento vražedný pokus se zhusta pokoušejí uživatelé DSL linek, kteří při "velkém štěstí" mohou "brnknutím" malého konektoru o ethernetové kontakty "usmažit" WAN port routeru - v telefonním vedení je napětí 60V... Nyní se připojte prohlížečem internetu (Firefox, Opera, IE apod.) na výchozí IP adresu routeru, v drtivé většině to bude IP adresa 192.168.1.1 (správnou adresu najdete na nálepce routeru, v manuálu nebo PDF dokumentu na CD, případně výpisem příkazu ipconfig, kde IP routeru je skryto pod adresou brány), některé routery používají adresu 192.168.2.1. Pomocí webového průvodce nebo ručně nakonfigurujte WAN rozhraní podle původního nastavení Vašeho PC - v drtivé většině případů bude nastavení rovněž na "automaticky" z DHCP, někteří ISP poskytují pouze pevnou IP adresu, v takovém případě přepište informace, které jste si poznačili ze síťového adaptéru Vašeho PC. Konfiguraci uložte a router pro jistotu restartujte. Po restartu routeru byste měli být schopni přistupovat k internetu. Pokud tomu tak není, použijte následující články k tomu, abyste zjistili, kde se stala chyba: Tímto je základní konfigurace routeru dokončena, a Vy můžete přejít ke konfiguraci bezdrátové části, které se budeme věnovat v kapitole 3.
2.2 Konfigurace AP Konfigurace samostatného AP je v něčem složitější, v něčem zase jednodušší. Protože už vlastníte existující LAN síť, je potřeba nové AP zařadit do této stávající sítě. 2
Nové AP, má, stejně jako router, v drtivé většině případů přednastavenou IP adresu, která ovšem velmi často koliduje nebo zcela nesouhlasí s IP adresami používanými ve Vaší LAN. V takovém případě je potřeba nejprve nastavit správnou IP adresu. To provedeme tak, že z dokumentace zjistíme, jak je AP nastaveno z výroby. Pokud má integrovaný DHCP server, je to velmi jednoduché - připojíme se s počítačem síťovým kabelem napřímo k AP a necháme si přidělit IP adresu, v opačném případě je nutno IP adresu nastavit ručně na nějakou nekolidující z IP rozdahu ve kterém je i IP adresa AP. Nyní je třeba připojit se do webového rozhraní AP (např. Ovislink má IP adresu všech AP nastavenu na 192.168.100.252), vypnout DHCP server a nastavit IP adresu AP na adresu z rozsahu naší LAN (např. 192.168.1.250), nebo nastavit IP adresu na automatické získání z DHCP serveru. Zde je třeba jisté opatrnosti. Je nutno vyhnout se dvěma fatálním situacím:
možnosti, že v LAN jsou aktivní dva DHCP servery možnosti, že DHCP server v routeru přidělí jinému PC v síti stejnou IP adresu, jakou už má "natvrdo" nastaven AP
První nebezpečí lze eliminovat vypnutím jednoho z DHCP serverů, ideální je ponechat DHCP server v routeru. Eliminace druhého nebezpečí už tak triviální není, je nutno zvolit jeden ze dvou scénářů: první, jednodušší na nastavení (zato horší na spravování) je nechat IP adresu pro AP přidělit DHCP serverem z routeru. Výhoda je, že i při změně sítě bude AP jednoduše dosažitelné, nevýhoda tkví v tom, že DHCP může (ale nemusí) APčku pokaždé přiřadit zcela jinou adresu, a tedy dosažení administračního rozhraní APčka v budoucnu nemusí být jednoduchou záležitostí. Z tohoto ohledu je více než vhodné, aby byla pro AP v routeru vytvořena tzv. DHCP rezervace, tedy napevno určená MAC adresa (opsaná z AP), která za každých okolností obdrží stejnou IP adresu. Druhá varianta počítá s faktem, že většina DHCP serverů přiděluje IP adresy ve vzestupném pořadí, tedy postupně přiděluje adresy .2 , .3, .4 atd. - pak postačuje APčku určit IP adresu dostatečně vysoko (např. adresa 192.168.1.250). Dvaapůltá varianta je, že některé routery neposkytují DHCP rozsah pro celý IP rozsah, ale pouze část (nebo lze tento rozsah určit v menu routeru, např. rozsah adres 100 až 254) - pak lze nastavit IP adresu "natvrdo" mimo tento rozsah relativně bezpečně. Tím máme dokončenu IP konfiguraci zařízení a budeme pokračovat kapitolou 3.
3. Konfigurace wifi rozhraní budeme se věnovat samotné konfiguraci wifi. Než se do toho pustíme, rád bych probral jednu zásadní otázku, a tou je bezpečnost.
3.1 Co je bezpečné a co je nebezpečné? žádná bezdrátová komunikace není a nemůže být stejně bezpečná jako komunikace "po kabelu". Tím důvodem je to, že k odposlechu bezdrátové komunikace vám stačí dvě věci: být v dosahu signálu a mít anténu a zařízení, které dokáže signál přijímat; 3
oproti tomu u "drátu" je potřeba fyzicky narušit datové vedení, což je např. v budově o dost zásadnější problém. V případě wifi je obojí bez problémů splnitelné a dosažitelné. A případný útočník se tak okamžitě ocitá za Vaším firewallem, ve Vaší LAN. Z tohoto důvodu je více než vhodné komunikaci v bezdrátové části Vaší LAN šifrovat. Důvody pro šifrování jsou dva:
znemožnit útočníkovi odposlech komunikace (mj. hesla, hashe hesel, jakož i další důležité informace) znemožnit útočníkovi připojení do takové sítě.
Během vývoje se u wifi sítí vyvinulo několik šifrovacích metod a standardů:
WEP 64/128/256bitů - silné šifrování pomocí metody RC4 (běžnými prostředky "nerozlousknutelná"), nicméně díky chybě v návrhu protokolu (omezený počet tzv. inicializačních vektorů (IV)) je možno toto šifrování pomocí specifického útoku prolomit do několika minut, nezávisle na délce šifrovacího klíče WPA (Wireless (nebo Wifi) Protected Access) - v podstatě "opravený" WEP, použit je opět algoritmus RC4, nicméně chyba v IV je odstraněna, tudíž se jedná o bezpečné šifrování - dodnes není znám funkční útok s výjimkou útoku hrubou silou, respektive slovníkovým útokem. V poslední době se objevily modely přístrojů s "pre-WPA2" šifrováním, které místo RC4 používají AES, které je ještě řádově bezpečnější. Takové šifrování se označuje jako WPA-AES. Problém je v tom, že ne všechny operační systémy toto šifrování podporují, pak je na tahu výrobce bezdrátové karty. WPA2 - finální verze WPA s AES a ještě dalšími, pro domácí použití nevýznamnými vlastnostmi. Výše napsané platí bezezbytku i zde.
Prosím berte na vědomí, že filtrování podle MAC adres a jiné "bezpečnostní" opatření, jako vypínání vysílání SSID nebo vypnutí DHCP útočníky opravdu nezastaví!! Jediným opravdu účinným opatřením proti útoku na bezdrátovou síť je WPA a vyšší!
3.2 Základní pravidla konfigurace a provozu Pro následný bezproblémový provoz Wifi sítě byste měli dodržet následující pravidla:
síť dostatečně dobře zabezpečit zvolíme jméno sítě (SSID) - ideální jméno je takové, které nijak neukazuje, kdo síť provozuje a ani z něj nelze odhadnout heslo pro šifrování. najít si předem volný kanál, ideálně takový, který má kolem sebe (tedy z obou stran) ještě alespoň jeden kanál volný najít pro umístění antény co nejlepší umístění, které přesně pokrývá oblast, ve které budete chtít signál používat (např. v bytě je ideální umístění někde okolo geometrického středu bytu) 4
AP/router mít co nejblíže anténě, aby vedení VF signálu bylo co nejkratší výkon VF části zbytečně nezvyšujte, naopak, pokud máte dobrý signál všude kde potřebujete, je více než vhodné výkon snižovat
3.3 Nastavení wifi krok za krokem Nyní, po "teoretickém úvodu" nastavíme náš bezdrát: 1. připojíme se do webového rozhraní APčka/routeru 2. zvolíme konfiguraci WLAN 3. vyplníme SSID (u některých AP/routerů je mezi jednotlivými kroky nutné provádět restart) 4. zvolíme (menu) zabezpečení, zde zvolíme šifrování WPA-PSK (někde se označuje jako WPA-TKIP *) vysvětlení níže) 5. zapíšeme heslo pro šifrování. Heslo by mělo mít minimálně 8 znaků, mělo by obsahovat velká a malá písmena, číslice i interpunkční znaménka (znaky jako !?&%% apod.). Heslo by se nemělo nacházet v jakémkoli myslitelném slovníku, ideální je náhodný shluk znaků. Uvědomte si prosím, že toto heslo nebudete zadávat každý den, proto může být klidně dlouhé a velmi bezpečné, ale ze stejného důvodu si jej velmi dobře poznačte! 6. restartujeme AP/router 7. otestujeme pomocí počítače s wifi kartou spojení, zda se síť hlásí jako zabezpečená pomocí WPA a zda je se správným SSID (jménem) Pokud vše funguje, blahopřeji, máte bezpečnou bezdrátovou síť. *) WPA-PSK je režim šifrování, kdy heslo je "napevno" vloženo do všech komunikujících zařízení. Tento režim byl vymyšlen speciálně pro domácnosti, které nedisponují pokročilými autentikačními mechanismy jako je např. RADIUS server. WPA podporuje i autentikaci pomocí RADIUS serveru, tento způsob distrubuce šifrovacích klíčů je ovšem vázán na další síťovou infrastrukturu a v domácnostech se prakticky nepoužívá - má smysl jen u velkých sítí, kde by distribuce statického hesla byla velmi obtížná, nebo prakticky nemyslitelná.
4. Co byste měli čas od času kontrolovat? Dobrým zvykem je čas od času provádět následující činnosti:
aktualizace firmware všech wifi zařízení (odstraňování případných chyb) aktualizace driverů a firmware všech klientských adaptérů (v PC, noteboocích, síťových wifi zařízeních) aktualizace OS (dneska minimálně WinXP SP2, lépe SP3, Vista SP1, Linux aktuální jádro a wireless-tools nebo WPA-supplicant, pokud je použit) sledovat, zda použité šifrování je ještě stále bezpečné, zda nebyl v mezičase vyvinut nový útok obcházející nasazené zabezpečení 5
projít si seznam počítačů a osob, které mají/znají aktuální heslo a případně provést změnu hesla
Pár praktických rad a obrázků Na "vstupu" do routeru (tím je myšleno místo, které je určené pro připojení externí sítě nejčastěji s přístupem k Internetu) se nachází standardní síťový konektor označený WAN (Wide Area Network).
V našem případě se jedná o běžný konektor RJ45. Pokud máte k počítači "přivedený" Internet pomocí kabelu s tímto konektorem (ať již z ADSL či kabelového modemu, nebo přímo z počítačové zásuvky LAN
Co musíte vědět: pro WiFi router je nezbytně nutné připojení k modemu nebo k sítí LAN s Internetem pomocí klasického "ethernetového" UTP kabelu s konektorem RJ-45.
musíte zjistit parametry připojení k Internetu Náš plán na domácí bezdrátový zabezpečený Internet předpokládá několik konfiguračních kroků. V prvním kroku nastavíme router tak, aby se náš poskytovatel připojení domníval (a zejména jeho HW zařízení ), že k síti je připojený náš původní počítač. Router jej musí po správné konfiguraci věrně "napodobit" - jedině tak se vyhneme tápání a dotazům na technickou podporu poskytovatele připojení k Internetu. Co musíte vědět: abychom router mohli odpovídajícím způsobem nastavit, musíme předem znát parametry potřebné pro připojení k Internetu.
6
1. typ připojení
První věcí, kterou bude chtít systém routeru vědět, je typ připojení k Internetu:
PPPoE V poměrně nevelkém procentu případů to bude protokol PPPoE (Point-to-Point Protocol over Ethernet) určený pro tzv. vytáčené připojení. Jedná se o způsob připojení počítačů k Internetu pomocí širokopásmového připojení (DSL nebo kabelového připojení). Na rozdíl od standardních širokopásmových připojení vyžaduje připojení PPPoE zadání uživatelského jména a hesla.
Pokud jste pro připojení k Internetu ve vašem počítači obdrželi jen přístupové jméno a heslo a připojení se před prvním použitím Internetu několik okamžiků "vytáčí", použijte volbu PPPoE. 7
Dynamic IP Zde je situace asi nejjednodušší. Pokud Vám bylo řečeno, že se o nic v nastavení počítače nemusíte starat, pak se jistě jedná o dynamické přidělování IP adresy. V síti, která vás připojuje k Internetu pak nejspíše existuje server DHCP, které potřebné parametry (IP adresu, výchozí bránu, servery DNS) všem počítačům v síti automaticky přiděluje. Poznámka: Dynamic IP je často zřízené tam, kde je Internet k dispozici zdarma...
Poznámka: aby se do takové sítě nepřipojil každý "jouda" (pokud nemá právě tento zájem), bývá v mnoha případech přidělování IP adresy vázáno na unikátní číslo síťové karty, na tzv. MAC adresu.
8
Static IP Pokud jste pro připojení k Interentu dostali kartičku s řadou parametrů jako: IP adresu, výchozí bránu, masku podsítě a servery DNS, pak se jistě jedná o situaci, kdy tyto parametry musíte zadat do konfiguraci parametrů sítě "ručně".
Router místo počítače Veškeré tyto způsoby připojení (+ několik dalších), včetně možného napodobení potřebné MAC adresy, dokáže router TP-LINK TL-WR542G provést místo původního PC. Vy jen musíte detailně znát síťovou konfiguraci vašeho PC a nastavit ji v routeru... Co byste měli vědět: jakmile se rozhodnete použít router, stane se právě on ve vaši nové (domácí) sítí šéfem. Bude využívat původní kabel připojení k Internetu a původní parametry připojení. Ostatní počítače v síti (i ten původní) se stanou pak jen "klienty". Z toho plynou dvě skutečnosti: 1. musíte si pečlivě poznamenat parametry připojení k Internetu (minimálně proto, abyste tuto konfiguraci mohli vrátit po nezdařeném pokusu 9
zpět), 2. budete muset sáhnout na konfiguraci IP adresy vašeho počítače (ta je ve vlastnostech připojení k Internetu, kde se skrývá pod položkou "Protokol sítě Internet TCP/IP" - Vlastnosti).
Je docela možné, že ani sami nevíte, jak je váš počítač nastavený - například jej nastavil technik providera nebo kamarád. V takovém případě pomůže vypsání síťové konfigurace počítače připojeného k Internetu . A provedete to takto: Připojíme se k Internetu a ručně spustíme příkazovou řádku (Spustit -> cmd):
10
V černém systémovém okénku s kurzorem zadáme příkaz: ipconfig /all
Ve výpisu vidíme pohromadě veškeré aktuálně platné parametry, údaje si poznamenáme nebo vytiskneme (poznamenejte si také MAC adresu síťového rozhraní - můžeme to dále potřebovat). K příkladu výše: Všimněte si, že počítač má WiFi kartu , ale připojený k Internetu je pomocí běžného ethernetového kabelu (tj. přes 2. síťový adaptér).
11
Router, stejně jako jakýkoliv počítač a aktivní prvek v "Internetové síti" TCP/IP má svou unikátní IP adresu. Tu lze změnit, ale výchozí nastavení (po uvedení do provozu nebo "Resetu") je routeru TL-WR542G vždy stejné: 192.168.1.1 (maska podsítě je nastavena ve všech příkladech na 255.255.255.0). Router má z výroby zapnutý DHCP server a počítačům jež se k němu připojí, přidělí potřebné parametry IP sítě. Proto počítač kterým budeme router nastavovat, musíme předem nastavit na automatické získávání IP adresy z DHCP serveru:
Po připojení počítače kabelem k routeru (k rozhraní LAN 1-4) nastaví router IP adresy v počítači tak, aby vytvořil svou lokální síť LAN. Přidělí adresu z výrobcem nastaveného rozsahu 192.168.1.xxx a jako bránu k Internetu určí sám sebe tj.: 192.168.1.1. Tato nastavení IP adresy počítače se provede po restartu počítače nebo restartu síťového rozhraní (odpojit / připojit).
12
Ověřte si příkazem "ipconfig /all", jestli počítač s routerem komunikuje správně. Router by měl počítači nastavit IP adresu v rámci výrobcem určeného rozsahu (což konkrétně je 192.169.1.100 až 199)
13
Přihlášení se k routeru
Po zadání do internetového prohlížeče adresy routeru: http://192.168.1.1/ se nás systém zeptá na heslo (výchozí jméno a heslo je admin a admin). Otevřou se nám stránky (ano router obsahuje jednoduchý www server), ve kterých je možné provést finální konfiguraci.
14
Výchozí nastavení není vždy dobré...
Velmi důležitou věcí je pochopení faktu, že router vytváří vlastní síť podle předem nastaveného schématu. Počítá s tím, že sám bude mít číslo 192.169.1.1 a ostatní počítače v síti pak mohou mít adresy 192.168.1.2 až 192.168.1.254 (tedy maximálně 253 počítačů). Je to jako název ulice(zde 192.168.1) na které pak leží domy číslo 2 (jedničku si rezervoval router) až 254. Bez zabíhání do zbytečných detailu (předpokládáme masku podsítě 255.255.255.0) můžeme říci, že první tři čísla 192.168.1 patří síti, zatímco číslo poslední je adresa počítače patřícího do této sítě. Uvedu příklad:
počítače 192.168.1.20 a 192.168.1.85 jsou "přímými sousedy" - leží na stejné síti 15
počítače 192.168.1.20 a 192.168.2.20 leží na různých podsítích...
Jinak řečeno: sítě 192.168.1.xxx a 192.168.2.xxx jsou rozdílné "síťové ulice". Do těchto detailu bych nezabíhal, kdyby to nebylo nutné. Proč? Dnes je totiž velmi pravděpodobné (jako i v mém případě), že vaše připojení k Internetu leží už za jiným routerem. Pak je pravděpodobné, že vaše připojení k Internetu využívá také sítě schématu: 192.168.1.xxx. Router pracuje správně jen tehdy, když na straně WAN (připojení k Internetu) i straně LAN (to je vaše domácí síť) jsou rozdílné sítě. Obě tudíž nemohou využívat číslování 192.168.1.xxx Konflikt sítí LAN a WAN
Zda-li dochází k takovému konfliktu zjistíte snadno pohledem na dříve opsanou nebo vytištěnou adresu konfigurace IP vašeho původního připojení k Internetu. Pokud v ní vidíte, že adresa Vašeho PC ležela po připojení k Internetu v rozsahu: 192.168.1.2 až 192.168.1.255 (IP adresa, včetně adres proxy a výchozí brány), pak ke konfliktu s výrobcem přednastavenou sítí LAN routeru (192.168.1.xxx) nejspíše dojde. V této situaci musíte změnit nastavení routeru předem tak, aby začal využívat np. "sousední" sítě 192.168.2.xxx (mohli bychom zjednodušeně říci, že nově budeme využívat "dvojkové" sítě). V případě konfliktu sítí WAN a LAN (cca 20% případů) musíte v konfiguraci routeru změnit adresu routeru na: 192.169.2.1...
16
...a také odpovídajícím způsobem změnit nastavení DHCP, aby počítačům ve vaši nové sítí přiděloval adresy v rozsahu np. 192.168.2.100 až 192.168.2.199
Poté stačí nastavení uložit (Save) a router restartovat:
17
Po restartu síťového připojení dostane náš počítač novou IP adresu - již z rozsahu 192.168.2.100 až 199 a router se bude k výkonu služby hlásit na adrese http://192.168.2.1 Zkusme na konfiguračním počítači v příkazové řádce ještě spustit "ipconfig /all":
Pokud počítač s routerem komunikuje, zbývá jen nastavit část WAN odpovědnou za připojení routeru k Internetu. Klonování MAC adresy
Provideři často využívají možnosti omezit internetové připojení jen na jeden počítač. V této situaci si poznamenají unikátní síťovou MAC adresu tohoto počítače, a jiným počítačům s jinou MAC adresou tuto komunikaci zakážou. TP-LINK TL-WR542G je na takovouto eventualitu připravený a dokáže v části WAN nasimulovat libovolnou MAC adresu. Podívejte se na můj původní počítač:
18
Věděl jsem, že pokud by se k síti poskytovatele nepřipojoval systém s MAC adresou 04-4B-8080-80-03 (pro poskytovatele by se jednalo o "cizí počítač") pak by ke komunikaci s Internetem nedošlo. Připojení mám u poskytovatele omezené jen na tuto MAC adresu. Router však tuto adresu dokáže "naklonovat" na své WAN rozhraní (a přístup do sítě poskytovatele mu tedy bude umožněn).
Teď už nám nic nebraní do rozhraní WAN zadat dříve opsané parametry připojení (podle typu připojení):
19
V mém případě jsem zadal statickou adresu (Static IP) kam jsem vložil dříve opsané parametry (tj. stejné které mi ukazoval počítač připojený k Internetu - viz první screenshot ipconfig):
Hodnoty uložíme a router restartujeme. Pokud počítač používal připojení pomocí proxy serveru, musíme toto nastavení do prohlížeče vrátit:
20
Proxy nemusí být v některých sítích zapnuté, jinde je pak jiné nastaveníadresy i portu (neopisujte z tohoto obrázku, nemá to cenu )... Po tomto kroku (sichrovat se můžete restartem všech prvků řetězce) by už na portech LAN mělo fungovat přidělování adres pomocí DHCP a pokud v prohlížeči nastavíte proxy podle původního počítače, měli byste mít "4" internety v "1". HW router je funkční...
Po připojení libovolného počítače k portům LAN (nakonfigurovaného pro automatické získávání IP adresy - tj. "Dynamic IP"), budete mít (pokud vše proběhlo v pořádku) k dispozici nejenom interní síť LAN, ale i sdílené připojení k Internetu...
21
Důležité: Nezapomeňte však, že problematika Internetu, ADSL a kabelových modemů a TCP/IP sítí patří mezi nejsložitější vůbec (ve srovnání s tím je přetaktování procesoru hračka) a ne vždy musí být vaše snaha korunována úspěchem. WiFi or not WiFi?
Podívejte se na tento obrázek. Není to skvělé? Nastavíte sdílení internetu, zapnete bezdrátový přístupový bod (router nebo AP; Access Point) a k takto vytvořené WiFi sítí se připojujete kdekoliv v rámci vašeho bytu a nepochybně také i na zahradě před domem.
22
Na bezdrátovou síť rozprostřenou v rodinném domku se "pověsí" tatínek s notebookem , maminka s PDA, dětičky s HTPC a nakonec bude chráněn i byt jako takový (na vchodové dveře je přece namířená IP kamera). Je to jako v ráji? Ano, ale i nad tímto rájem krouží temný stín. V dosahu nezabezpečené, nebo slabě zabezpečené bezdrátové sítě to vypadá, jako by všude v dosahu této sítě ležely natažené UTP kabely vaší LAN. K této síti se pak může připojit prakticky kdokoliv - například soused, a pozorovat váš byt vaší vlastní IP kamerou - a sami víme, jak takové aféry končí... Nepřítel naslouchá...
Okřídlené přísloví říká: To, že jsem paranoidní ještě neznamená, že po mě nejdou. Nikdy nevíte, kdo v dosahu vaší sítě sedí u počítače nebo notebooku s bezdrátovým adaptérem a jaké má úmysly. Vždy vycházejte z té horší varianty - předpokládejte, že někoho bude skutečně zajímat obsah vašeho disku, nebo (a to je snad ještě horší), že někdo bude chtít stahovat z internetu nelegální porno na vaše konto i účet. Ano, nechat WiFi síť nezabezpečenou je jako nechávat klíče od bytu vně vchodových dveří. Osobně nemám zájem nabourávat se do cizí sítě - někdy to však při přihlašování do své vlastní sítě vypadá takto:
23
Změna hesla - první krok Ponechání sítě nezabezpečené s výchozím (defaultním) nastavením hesel a adres je dnes (bohužel) běžnou praktikou. Proto, dříve než spustíte WIFi, vejděte na stránky routeru (jméno: admin, heslo: admin) a změňte si přihlašovací údaje (alespoň heslo) na něco tajnějšího.
Poznámka: pokud vstupní heslo routeru zapomenete a budete chtít jej nadále administrovat, budete muset zařízení resetovat miniaturním tlačítkem na zadním panelu (vrátí se mu "tovární" adresa 192.168.1.1 a heslo admin / admin) a celý jej nastavit znovu "od píky".
Šifrování v naši malé síti použijeme šifrování WPA nebo WPA2 s tzv. s předsdíleným heslem (PSK, pre-shared key).
24
WEP (Wired Equivalent Privacy) - vás nevytrhne
WEP je původním standardem zabezpečení bezdrátových Wi-Fi sítí (je součástí normy IEEE 802.11 z roku 1999). Je založen na tzv. "proudovém" šifrovacím algoritmu RC4 s tajným klíčem o velikosti 40 nebo 104 bitů, ten je kombinovaný s 24 bitovým inicializačním vektorem (IV) - pro ověření správnosti používá metodu kontrolních součtů CRC-32. 64 bitový WEP je kombinací 40 bitového klíče a 24 bitového inicializačního vektoru, 128 bitový WEP využívá 104 bitový klíč + 24 bitový IV. Někteří výrobci bezdrátových zařízení podporují i 256 bitový WEP.Už v prvních létech svého využívání se prokázala zranitelnost šifrovacího algoritmu RC4, který je vzhledem k délce klíče a tzv. "kolizím inicializačních vektorů" lehce překonatelnou ochranou. Použití WEPu se dnes nedoporučuje ani pro domácnosti.
Získat WEP klíč za použití speciálního software *airodump, aircrack, aireplay, airparse* je otázkou několika až desítek minut. Software neanalyzuje šifrovaný přenos, ale hledá v něm zvláštní události, tzv. kolize inicializačních vektorů. Na základě určitého objemu přenesených dat je pak možné odhalit původní klíč. Čím delší je klíč, tím delší dobu musíme komunikaci "poslouchat"
WEP2 25
K vytvoření druhé verze WEPu vedla snaha odstranit slabá místa verze původní – došlo k rozšíření inicializačních vektorů a zesílení 128 bitového šifrování. Tím se dekódování stalo obtížnější, slabá místa šifrovací metody RC4 však zůstala - útočníkovi jen zabere více času klíč najít. WEP2 byl použit zpravidla na zařízeních, která hardwarově nestačila na novější šifrování WPA. WPA (Wi-Fi Protected Access) - je pro nás řešením
WPA se objevilo jako dočasná (implementuje tzv. draft 3 normy IEEE 802.11i) náhrada za slabé zabezpečení WEP. Základ je překvapivě stejný: je použit šifrovací algoritmus RC4 s 128 bitovým klíčem a 48 bitovým inicializačním vektorem (IV). I zde je možné sledovat kolize IV. Zásadní vylepšení však spočívá v dynamicky se měnícím klíči – TKIP (Temporal Key Integrity Protocol). Hacker tak v průběhu útoku získává nepoužitelné fragmenty stále se měnících dočasných komunikačních klíčů. U WPA je také zároveň vylepšena také kontrola integrity (správnosti) dat - místo CRC-32 se zde používá bezpečnější MIC (Message-Integrity Check), konkrétně se používá algoritmus nazvaný "Michael". WPA2 již plně implementuje pokročilejší prvky IEEE 802.11i. K TKIP a algoritmu Michael přidává nový algoritmus CCMP založený na blokové šifře AES (ta je považována za zcela bezpečnou ).
Od března 2006 je certifikace WPA2 povinná pro všechna nová zařízení, jež chtějí
být certifikována logem Wi-Fi.
Zvětšení velikosti klíče a inic.vektorů, snížení počtu zaslaných paketů s podobnými klíči + lepší ověřování integrity dělá (za předpokladu správného zacházení s klíči) ze zabezpečení WPA a zejména WPA2 těžko prolomitelnou hráz. Jak na klíče s WPA
WPA nabízí více možností, jak síť zacházet s klíči určenými pro inicializaci komunikace:
26
první metodou je využití speciálního autentizačního serveru (RADIUS), který zasílá každému uživateli jiný klíč (podnikové řešení),
nebo pomocí tzv. PSK klíče (Pre-Shared Key), kdy každý uživatel používá stejný přístupový klíč (malé podnikové sítě nebo domácnosti).
V naši síti použijeme PSK klíče - tento režim se česky nazývá "režim s předsdíleným heslem". Ten je navržen pro sítě v domácnostech a malých kancelářích, které si nemohou dovolit náklady a složitost autentizačního serveru. Před vstupem do sítě musí každý uživatel zadat heslo obsahující 8 až 63 tisknutelných ASCII znaků nebo 64 šestnáctkových číslic. Heslo musí být pochopitelně uloženo na přístupových bodech WiFi sítě. Poznámka: Existují další metody zabezpečení – EAP typy ověřování pod WPA / WPA2 Enterprise, určené pro silné zabezpečení podnikových bezdrátových sítí
27
Síťová část
Jak diagnostikujeme a řešíme problémy se síťovými připojeními - TCP/IP stack Jak to vlastně všechno začíná Představte si, že vám přestal fungovat váš internet, nebo že vás, jakožto IT odborníka, pozvali k sousedům, že jim "nejde ten internet". Je to situace nemilá, protože v takových případech nejsou dostupné internetovské zdroje informací, abyste byli schopni navštívit vyhledávač nebo poradna.net a vyžádat si radu zkušenějších. Tento článek se vás pokusí nasměrovat k diagnostice a řešením, která v jednodušších sítích vedou téměř ve 100% k úspěchu, a to velmi přímočarou a bezbolestnou cestou.
Nejprve trochu suché teorie TCP/IP je sada protokolů, postavená nad IP protokolem. Je to bez diskuze nejpoužívanější síťový protokol dneška. Díky své univerzálnosti, robustnosti a zároveň jednoduchosti návrhu si proklestil cestu k de facto obecnému komunikačnímu standardu. Z hlediska hardwaru a nad ním položeného operačního systému je pak TCP/IP implementováno samotným síťovým zařízením (představte si např. ethernetový adaptér, ale může to být i sériová či paralelní linka, optický port či wifi karta) a tzv. stackem, což je kód, který je zodpovědný za veškerou komunikaci pomocí TCP/IP. Najdeme zde tedy vše od ovladačů daného zařízení, až po kód zajišťující implementaci vlastních TCP protokolů (tj. TCP, UDP, ICMP apod.) a komunikační rozhraní pro sofware třetích stran (sokety - viz dále). Nad tímto stackem už dlí aplikace které s ním komunikují pomocí soketů. Jednoduše vzato je soket síťové API (předem dané "meziaplikační" komunikační rozhraní).
Loopback Každý TCP/IP stack pak zahrnuje jeden specifický adaptér, který se jmenuje loopback (zpětná smyčka). Tento "vynález" je jedno z nejgeniálnějších zařízení celého TCP/IP, protože dává vývojářům i uživatelům jednu zásadní výhodu - používat TCP/IP (tj. používat síťové aplikace, např. databázový server a klient) i v případě, že nemáte v systému jediné hardwarové komunikační zařízení. Samotný loopback poznáte snadno - má adresu 127.0.0.1 (v reále je to celá sada adres 127.0.0.0/8). Pokud jej opingáte, máte jistotu, že váš TCP/IP stack je v pořádku. C:\>ping 127.254.254.254 28
Příkaz PING na 127.254.254.254 s délkou 32 bajtů: Odpověď Odpověď Odpověď Odpověď
od od od od
127.0.0.1: 127.0.0.1: 127.0.0.1: 127.0.0.1:
bajty=32 bajty=32 bajty=32 bajty=32
čas čas čas čas
< < < <
1ms 1ms 1ms 1ms
TTL=128 TTL=128 TTL=128 TTL=128
Jak vidíte, funguje. Poznámka: příklad pro loopback není na 127.0.0.1 ale na 127.254.254.254. Text "v reále je to celá sada adres 127.0.0.0/8)." jsem četl a rozumí mu, ale v tomto znění to je spíše hádanka než příklad. Když je to příklad, tak bych spíše očekával ping na adresu 127.0.0.1.
právě to je schválně, jako demonstrace toho, že loopback je opravdu celý rozsah adres od 127.0.0.1 až po 127.255.255.254.
Co je to ping? Ping je "lidské" označení dvou typů ICMP paketů - ICMP echo request a ICMP echo reply. Hostitel A odesílá hostiteli B ICMP (servisní typ paketu bez datových informací) paket s požadavkem (request) o odpověď, hostitel B tento požadavk zpracuje a pošle odpověď (reply), přičemž hostitel A je schopen jako bonus změřit čas jak dlouho trvala zprávě cesta tam a zase zpět.
Fyzické připojení Tato kapitolka je velmi krátká. Uvažujeme-li ethernetové připojení, zkontrolujte, zda blikají/svítí LED indikující fyzické připojení kabelu. Používáte-li wifi, přesvědčete se, že adaptér je v systému aktivní. Případně napravte závadu. U kabelů typicky zastrčte konektor, očistěte kontakty, připadně překrimpujte nebo nechte překrimpovat (tj. znovu nacvaknout) konektory.
29
Lokální subnet Každá TCP/IP síť se skládá ze subnetu (česky podsíť), což je skupina hostitelů (hostitel je zařízení se síťovým rozhraním) připojeným fyzicky ke stejné fyzické síti a s TCP/IP stackem který má na daném rozhraní IP adresu ve stejné IP síti. Stejná síť je pak definována IP adresním prostorem, který je definován maskou. Určování masky se odehrává podle požadavku na počet zařízení v daném subnetu. Zde najdete velmi jednoduchou kalkulačku: http://www.cotse.com/networkcalculator.html . Myslím, že zdrojů informací o subnetech je na internetu dostatek. Ve standardních podmínkách domácích a podnikových sítí se adresy přidělují pomocí tzv. DHCP serveru, který dynamicky přidělí všem hostitelům jejich unikátní IP adresy. Druhá alternativa je ruční přidělení IP adresy uživatelem Můžete-li tedy pingnout jiné zařízení v síti, funguje vám fyzické připojení a i TCP připojení je v pořádku. Jaké zařízení byste měli pingat? Doporučuji vždy testovat oproti routeru (směrovači; viz kapitola o routingu), typicky jím je v malých domácích sítích "krabička" do které vedou všechny síťové dráty a jejíž IP adresa je buď výchozí (a ta je napsána v manuálu) anebo jste si ji nastavili sami (a pak ji znáte). Předpokládejme, že máte síť s routerem, který vám přiděluje IP adresy z rozsahu 192.168.1.0/24 a jehož IP adresa je 192.168.1.1. Pokud pomocí příkazu ipconfig dostanete hlášení, že na adaptéru připojeném do této sítě je jiná adresa než z uvedeného rozsahu, nejspíše ji máte nastavenu napevno (a samozřejmě to nebude fungovat). Pokud vidíte adresu z rozsahu Bonjour, váš PC neobdržel adresu z DHCP serveru, a to buď díky tomu, že je vadné fyzické připojení (kabel, síťová karta) NEBO kvůli tomu, že aktuálně v dané fyzické síti neběží DHCP server. Řešením je nastavit IP adresy ručně (horší řešení), nebo zprovoznit DHCP server (toto je preferované řešení).
výpis ipconfig C:\>ipconfig Konfigurace protokolu IP systému Windows
Adaptér sítě Ethernet Bezdrátové připojení k síti: 30
Přípona DNS podle Adresa IP . . . . Maska podsítě . . Výchozí brána . .
připojení . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
: : 192.168.1.100 : 255.255.255.0 : 192.168.1.1
Adaptér sítě Ethernet Připojení k místní síti: Stav média
. . . . . . . . . . . : odpojeno
výpis ping C:\>ping 192.168.1.1 Příkaz PING na 192.168.1.1 s délkou 32 bajtů: Odpověď Odpověď Odpověď Odpověď
od od od od
192.168.1.1: 192.168.1.1: 192.168.1.1: 192.168.1.1:
bajty=32 bajty=32 bajty=32 bajty=32
čas=3ms čas=1ms čas=1ms čas=1ms
TTL=127 TTL=127 TTL=127 TTL=127
Pokud je něco špatně, ping vypisuje následující hlášení: C:\>ping 192.168.1.1 Příkaz PING na 192.168.1.1 s délkou 32 bajtů: Vypršel časový limit žádosti. Vypršel časový limit žádosti. V takovém případě je potřeba začít zjišťovat, zda opravdu zařízení "naproti" funguje, případně jej otestovat či zkusit pingnout jiné zařízení v síti (pokud možno). Jak vidíte, stále ještě nejsme u Internet Exploreru . Dokud nefunguje LAN, nemá smysl zabývat se internetem.
31
směr internet Pokud již ping v LAN funguje, můžete zkusit pingnout IP adresu v internetu. Pro testování bych všem doporučil IP adresu seznam.cz, což je 212.80.76.3, a to z toho důvodu, že nemá blokované ICMP echo requesty a vrací korektně ICMP echo replies, takže se spolehlivě dozvíte, zda hostitel odpovídá, a tedy že spojení opravdu funguje. C:\>ping 212.80.76.3 Příkaz PING na 212.80.76.3 s délkou 32 bajtů: Odpověď Odpověď Odpověď Odpověď
od od od od
212.80.76.3: 212.80.76.3: 212.80.76.3: 212.80.76.3:
bajty=32 bajty=32 bajty=32 bajty=32
čas=20ms čas=20ms čas=24ms čas=19ms
TTL=55 TTL=55 TTL=55 TTL=55
Pokud pingání nefunguje, je třeba začít řešit problém routingu či konektivity. Routing bude popsán v II. díle, konektivitu si bohužel budete muset ověřit sami nebo ve spolupráci s vaším ISP. Pokud zafungovalo pingnutí na IP adresu, je zřejmé, že routing funguje a konektivita směr internet je funkční. Můžeme tedy přistoupit k testu DNS, což znamená pingnout jmennou adresu. Použijeme opět seznam.cz: C:\>ping www.seznam.cz Příkaz PING na www.seznam.cz [212.80.76.3] s délkou 32 bajtů: Odpověď Odpověď Odpověď Odpověď
od od od od
212.80.76.3: 212.80.76.3: 212.80.76.3: 212.80.76.3:
bajty=32 bajty=32 bajty=32 bajty=32
čas=20ms čas=20ms čas=20ms čas=19ms
TTL=55 TTL=55 TTL=55 TTL=55
Pokud ping funguje, gratuluji, máte funkční TCP/IP stack připojený k internetu. Můžeze zkusit použít prohlížeč webu či jinou síťovou aplikaci. Pokud ping na jmenný název funguje, a přesto nejste schopni připojit se pomocí webového prohlížeče (typicky Internet Explorer), zkontrolujte jeho nastavení (obzvláště způsob připojování k internetu) stejně jako samotný operační systém na přítomnost malware (spyware, viry, trojany). Toto je bohužel už zcela mimo zaměření článku.
Resumé Nefunguje-li vám síťové připojení, postupujte následnovně: 32
1. 2. 3. 4.
opingejte opingejte opingejte opingejte
loopback výchozí bránu (směrovač, též router) IP adresu v internetu jmenný název v internetu
Tam, kde se zastavíte, bude nejspíše chyba.
A dál Sítě TCP/IP, jak už víme, se skládají z jednotlivých subnetů(podsítí). Tyto subnety jsou propojeny routery (směrovači). Dále nejprve popíšeme princip fungování a posléze i základní postupy testování a opravy. Předem se omlouvám za poněkud vyšší porci úvodní teorie, ta je nicméně nutným požadavkem pro pochopení funkčnosti směrování.
Základní stavební kameny směrování Celý proces směrování je "vztahem" dvou komplementárních subjektů: samotného routeru , který reprezentuje fyzickou topologii sítě a routovací tabulkou, která je jeho elektronickým ekvivalentem. Zní to podivně , ale princip je jednoduchý a bude vysvětlen dále. Víme už, že subnet je definován IP adresním rozsahem, přesněji řečeno sadou IP adres definovanou číslem sítě a maskou. Typicky v domácnostech a malých firmách se ponejvíce používá rozsahu 192.168.x.0/24 (kde "x" nabývá hodnot od 0 do 254). Mějme nyní hypotetickou situaci: na tomto subnetu existuje hostitel A, který chce odeslat data hostiteli B, schválně nespecifikuji, kde se hostitel B nachází. První, k čemu dojde, je zpětný překlad jména hostitele B na IP adresu. Jak k tomu dochází, záleží na použitém protokolu, buď je dotazován server DNS (většina případů), nebo se použije proprietární překlad pomocí vlastních prostředků protokolu (např. u NetBIOS to může být dotaz u BrowseMastera sítě, WINS serveru nebo už výše zmiňovaného DNS serveru). Resolving, jak dopředný, tak zpětný bude popsán ve třetí kapitole věnované DNS. A nyní to začne být zajímavé. V každém případě stack projde routovací tabulku a na jejím základě odešle paket vybraným rozhraním na vybraného hostitele.
Routovací tabulka Routovací tabulka je seznam, ve kterém jsou uvedeny záznamy o tom, kam a kudy má systém poslat paket. Jedná se o celkem triviální záležitost, obsahem této tabulky jsou záznamy o cíli směrování, masce, bráně, rozhraní a metrice. Systém prochází jednotlivé záznamy, a pokud odpovídají adrese cílového hostitele B, použijí se informace nacházející se na daném řádku. 33
Než přikročíme k názorným ukázkám, řekneme si, jak zobrazit routovací tabulku. Na Windows systémech k tomu slouží příkaz route, speciálně pak pro výpis tabulky ve spojení s parametrem print. Kompletní nápovědu získáte zadáním samotného příkazu route, připadně můžete použít i nápovědu Windows XP, která je velmi dobře zpracována. Pro systémy postavené na GNU/Linux slouží k témuž rovněž příkaz route, ovšem bez parametru print. Namísto něj doporučuju použít přepínač -n, kterým zajistíte, že tabulka bude vypisována bez překladu IP adres na jmenné názvy (tedy podobně, jak je vypisována ve Windows a dle mého názoru lépe čitelně) Nejjednodušší routovací tabulka vypadá takto: C:\>route print ============================================================== Seznam rozhraní 0x1 ........................... MS TCP Loopback interface 0x2 ...00 0c 29 79 e7 f0 ...... AMD PCNET Family PCI Ethernet Adapter Packet Scheduler Miniport ======================================================================== === ======================================================================== === Aktivní směrování: Cíl v síti Síťová maska Brána Rozhraní Metrika 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 255.255.255.255 255.255.255.255 255.255.255.255 2 1 ======================================================================== === Trvalé trasy: Žádné Toto je výpis routovací tabulky stroje, který má aktivní TCP/IP stack, ale nemá aktivní žádná fyzická síťová rozhraní (rozhraní č.2 je odpojeno). Jak je patrné, celá síť 127.0.0.0/8 je směrována na virtuální adaptér 127.0.0.1 přes loopback rozhraní 127.0.0.1. Jiné směrování není možné (a pomocí ping si to můžete sami ověřit) Trochu zajímavější to bude, nainstalujete-li do systému nějaké rozhraní: C:\Documents and Settings\user>route print ======================================================================== === Seznam rozhraní 0x1 ........................... MS TCP Loopback interface 34
0x2 ...00 0c 29 79 e7 f0 ...... AMD PCNET Family PCI Ethernet Adapter Packet Scheduler Miniport ======================================================================== === ======================================================================== === Aktivní směrování: Cíl v síti Síťová maska Brána Rozhraní Metrika 0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.225 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.10.0 255.255.255.0 192.168.10.225 192.168.10.225 10 192.168.10.225 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.10.255 255.255.255.255 192.168.10.225 192.168.10.225 10 224.0.0.0 240.0.0.0 192.168.10.225 192.168.10.225 10 255.255.255.255 255.255.255.255 192.168.10.225 192.168.10.225 1 Výchozí brána: 192.168.10.1 ======================================================================== === Trvalé trasy: Žádné Jak je patrno, tabulka nám přidáním jednoho rozhraní pěkně nabobtnala. Pokusíme se ji společně interpretovat (POZOR, v případě Windows začínáme odspodu, u Linuxu zase odshora): První řádek se samými 255 je tzv. limitovaný broadcast, který označuje v routovací tabulce existenci vlastního rozhraní hostitele (proto je také první; tj. komunikace vůči sobě samému není fyzicky směrována mimo počítač). Řádek začínající 224.0.0.0 je směrovací záznam pro multicast (kdo chce vědět více, odkážu jej na wikipedii: http://en.wikipedia.org/wiki/Multicast_address ). Řádky s cíli 192.168.10.255 označují směrování broadcastu, tj. vysílání paketů určených všem hostitelům na daném subnetu. Analogicky řádek s cílem subnetu 192.168.10.0 (resp. 127.0.0.0 pro loopback) pak označuje jak mají být směrovány pakety do lokálního subnetu. A konečně poslední řádek označuje výchozí směr, pokud není nalezena shoda v jiném řádku. Poznáte jej tak, že cíl je označen jako 0.0.0.0 a maska rovněž 0.0.0.0. Záznam je ještě jednou uveden pod položkou "Výchozí brána".
35
Speciálně bych zmínil položku metrika, která nalézá uplatnění ve složitějších sítích, a která určuje prioritu použití záznamu v případě, že se směruje přes více spojení. Lze tak určit "výhodnější" směr. Bohužel bližší popis (stejně jako popis směrovacích protokolů pro použití ve velkých WAN sítích) je nad rámec už tak hutného článku. Nyní, když jsme si popsali významy jednotlivých řádků, bych rád uvedl přesnou interpretaci některých z nich a následně uvedl příklad spojení a aplikovaného směrovacího pravidla. Vezměme tento řádek: Cíl v síti Metrika 192.168.10.0 10
Síťová maska 255.255.255.0
Brána 192.168.10.225
Rozhraní 192.168.10.225
Můžeme jej lidsky interpretovat takto: "Pakety pro hostitele, kteří mají adresu v subnetu 192.168.10.0/24 (kombinace čísla subnetu a masky; adresy 192.168.10.1 až 192.168.10.254) směruj přes bránu 192.168.10.225 a totožné rozhraní. S ohledem na to, že adresa 192.168.10.225 je adresa našeho adaptéru, odesílají se data přímo hostiteli B." Další, už složitější příklad: Cíl v síti Metrika 0.0.0.0 10
Síťová maska
Brána
Rozhraní
0.0.0.0
192.168.10.1
192.168.10.225
Interpretujeme následovně: "Pakety pro hostitele, o nichž nemáme informace v jakém subnetu leží (0.0.0.0 s maskou 0 odpovídá celému adresnímu prostoru IP verze 4), předej bráně 192.168.10.1 přes své rozhraní 192.168.10.225. S ohledem na to, že nevíme nic o topologii sítě nebo sítí mimo náš subnet, musíme využít služeb směrovače v našem subnetu. Ten zařídi další spojení k hostiteli B." Jako reálný příklad můžeme uvést paket, který chceme odeslat dvěma hostitelům B1 a B2, kteří mají adresy 192.168.10.10 a 195.32.47.5: hostiteli B1 lze odeslat paket přímo, protože z routovací tabulky je jasné, že hostitel B1 patří do stejného subnetu jako náš stroj A. S hostitelem B2 je to už horší, žádná z řádek na něj nesedí, vyjma poslední řádky, kterou je směr na výchozí bránu. Tudíž jediné, co může hostitel A udělat, je odeslat paket bráně 1921.168.10.1 a my můžeme doufat, že vše funguje jak má a paket dorazí do cíle.
Router 36
Nyní jsme narazili na samotný router. Zatím jsme jej nijak nedefinovali ani neřekli jak funguje. Pokusím se to tedy objasnit. Router je hostitel, který je připojen k alespoň dvěma subnetům a zároveň je schopen předávat pakety (tj. routovat či česky směrovat). Standardní hostitelé používající obecné operační systémy, jako Windows, Linux či BSD mají v základní konfiguraci předávání paketů vypnuté, je tedy třeba na místě toto zmínit. Vyjímečnost routeru tkví v tom, že "vidí" i jinou síť či jiné sítě a je i jejich součástí. Pokud byste si to chtěli geometricky představit, doporučuji analogii se dvěma kružnicemi, které se dotýkají v jednom bodě. Tento bod je pak součástí obou kružnic a když pojedete tužkou po jedné kružnici, musíte projít tímto bodem, abyste byli schopni přejít na kružnici druhou.
Router jako takový implementuje z hlediska funkčnosti naprosto totožnou směrovací tabulku jako každý jiný hostitel, rozdíl je v tom, že jeho tabulka obsahuje více záznamů, minimálně přibudou ty, které určují směr pro druhý (či další) subnet(y). Co se stane, obdrží-li router paket od hostitele A, umístěného v subnetu 192.168.10.0/24 pro hostitele B v subnetu 10.0.0.0/24 s adresou 10.0.0.138? Je to velmi podobné tomu, jak se chová samotný hostitel: Za předpokladu, že jedno z jeho rozhraní je součástí subnetu v němž se nachází hostitel B (tj. má odpovídající záznam v routovací tabulce), předá paket přímo hostiteli B. Za předpokladu, že žádné jeho rozhraní není součástí cílového subnetu, předá paket své výchozí bráně (prakticky každý router připojený k internetu musí mít svou výchozí bránu; příklad, kde není výchozí brána potřeba je izolovaná síť vytvořená ze dvou subnetů). Jak je vidět, celý proces s hledáním hostitele B se opakuje, jen na vyšší úrovni a probíhá, dokud existuje cesta (tj. dokud lze paket na základě routovací tabulky předat), nebo dokud nevyprší hodnota TTL (hostitelem A nastavená na 64), kterou každý router snižuje o jedničku). TTL hodnota je implementována z prostého důvodu: aby v síti nebloudili "bludní Holanďani" - pakety, jež není možno doručit kvůli zacyklení směrovacích tabulek (příklad směrování mezi hostiteli: A -> B -> C -> A -> ... )
(kontrolní otázka: Co znamenají čísla s lomítkem za ip adresou -10.0.0.0/24 to "číslo" za lomítkem je počet bitů masky zleva, které mají jedničku. tj. 10.0.0.0/24 je subnet 10.0.0.0/255.255.255.0 čili maska 255.255.255.0 je v binárním zápise taková: 11111111.11111111.11111111.00000000 (když spočteš jedničky, zjistíš, že jich je 3*8=24
37
Co je důležité Každý hostitel musí mít alespoň jednu výchozí bránu, každý router musí znát (tj mít v routovací tabulce) alespoň dvě sítě a rovněž mít výchozí bránu.
Řešíme problémy Nyní se, již vybaveni teoretickými základy, vrhněme na naši nefungující síť. V prvé řadě je třeba zkontrolovat, zda všichni hostitelé mají nastavenu správnou výchozí bránu. Ve windows to provedete pomocí už známého příkazu ipconfig C:\>ipconfig Konfigurace protokolu IP systému Windows
Adaptér sítě Ethernet Připojení k místní síti: Přípona DNS podle Adresa IP . . . . Maska podsítě . . Výchozí brána . .
připojení . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
: : : :
testing 192.168.10.225 255.255.255.0 192.168.10.1
jak je vidět, výchozí brána je nastavena. V naprosté většině případů bude brána nastavena pomocí protokolu DHCP, pokud si nejste jisti, použije detailnější výpis ipconfig /all, ve kterém lze dohledat, zda bylo použito DHCP, případně se podívejte na vlastnosti protokolu TCP/IP v nastavení síťového adaptéru.
V případě, že je nastavení výchozí pořádku, je možno bránu opingat, a ping na IP adresu mimo náš subnet úspěšný, je třeba upřít pozornost na samotný router. V první řadě zkontrolujte, že router je korektně připojen ke všem sítím jichž by měl být členem. Velmi často se stává, že např. routery ztratí spojení s DSLAM, u WAN dochází k poruchám na spojové infrastruktuře apod. Pokud vše vypadá pořádku, zkontrolujte routovací tabulku routeru.
brány v přesto není
DSL linek v na 38
"Velké" systémy jako Windows či Linux si přidávají záznamy do routovací tabulky samy podle toho, jak se spouštějí jednotlivá síťová rozhraní. Oproti tomu například u některých verzí Cisco IOS (operační systém routerů Cisco) si systém routovací tabulku sám nemodifikuje a je třeba ruční úpravy konfigurace. U typického "domácího" připojení je problém routování do značné míry omezen, protože WAN rozhraní routeru obdrží výchozí bránu, jakož i další informace v drtivé většině případů pomocí DHCP a nastavení počítačů v LAN se řídí opět pomocí DHCP, tudíž stačí nechat přednastavené hodnoty konfigurace a mělo by vše fungovat. V případě, že některá část sítě není spravována pomocí DHCP, doporučuji ověřit a zkontrolovat správnost a aktuálnost nastavení. Takto jsme zkontrolovali první tzv. hop (tj. první přesměrování routerem). Co ale dělat v případě, když chyba není u nás, ale spojení přesto nefunguje? V takovém případě je nutno použít nástroj pro trasování cesty směrování. Tímto nástrojem je příkaz tracert (u Linuxu existuje obdoba traceroute v balíku iptools; případně můžete použít příkaz ping -R). Typická ukázka (cíl je záměrně zvolen tak, že je nedostupný): C:\>tracert -d 195.32.47.5 Výpis trasy k 195.32.47.5 s nejvýše 30 směrováními 1 2 3 4 5 6 7 8 9 10 11 12 13
< 1 ms 39 ms 39 ms * * 44 ms 43 ms 43 ms 45 ms * * * ^C
< 38 40 * * 42 42 43 43 * * *
1 ms ms ms
ms ms ms ms
< 1 ms 192.168.10.1 39 ms 88.123.201.71 39 ms 88.123.202.17 * Vypršel časový limit * Vypršel časový limit 43 ms 80.188.33.246 43 ms 80.188.33.245 42 ms 194.228.21.32 41 ms 194.228.21.90 * Vypršel časový limit * Vypršel časový limit * Vypršel časový limit
žádosti. žádosti.
žádosti. žádosti. žádosti.
Zde je vidět, že pakety prošly dvanácti routery, ale třináctý hop byl už neúspěšný. Je třeba ovšem poznamenat, že samotné hvězdičky neznamenají neúspěch, to může znamenat i jen to, že daný router má ve firewallu zakázáno odesílat odpovídající ICMP informace o trasování s tím, že trasování probíhá dále. Viz následující příklad: C:\>tracert -d 194.228.32.3 Výpis trasy k 194.228.32.3 s nejvýše 30 směrováními 39
1 2 3 4 5 6 7 8 9 10 11 12
< 1 ms 39 ms 39 ms * * 43 ms 42 ms 43 ms 43 ms 44 ms * 42 ms
< 38 40 * * 42 42 42 42 55 * 43
1 ms ms ms
ms ms ms ms ms
< 1 ms 192.168.10.1 39 ms 88.123.201.71 39 ms 88.123.202.17 * Vypršel časový limit žádosti. * Vypršel časový limit žádosti. 43 ms 80.188.33.246 42 ms 80.188.33.245 42 ms 194.228.21.32 42 ms 194.228.21.102 43 ms 194.228.37.219 * Vypršel časový limit žádosti. 43 ms 194.228.32.3
ms
Trasování bylo dokončeno. Zde se dostavil úspěch, cíl byl nalezen po dvanáctém hopu.
Složitější problémy s routingem Jako zásadnější problém se může jevit, máme-li topologii sítě rozvinutější, tj. používáme více segmentů sítě s různými subnety. Takovým příkladem může být hvězdicovitá nebo lineární topologie sítě. Typickou ukázkou hvězdicovité topologie může být jednoduchá LAN síť, ve které běží VPN server a z důvodů bezpečnosti jsou VPN klienti umístěni v separátním subnetu (virtuální VPN adaptér není přemostěn do sítě LAN, nýbrž routován). V takovém případě je nutno dbát, aby VPN koncentrátor měl ve své routovací tabulce umístěny veškeré možné a povolené směry, tj. minimálně směr do LAN a obráceně do VPN, případně i směrem do internetu.
40
V případě lineární sítě, která může být reprezentována nějakou větší místní komunitní sítí, která takto řeší např. problém dosahu či konektivity apod. V takovém případě, pokud není implemetován nějaký routovací protokol, je potřeba, aby všechny routery v dopředném směru "věděly", že za daným subnetem, jehož jsou členy, existují i další subnety. Jen ve velmi sporadických případech lze toto řešit pomocí výchozí brány (nelze tehdy, pokud směr do internetu se odlišuje od směru k dalším subnetům, případně pokud se jedná o hybridní síť, tj. jak hvězdicovitou, tak lineární). V takových případech nastupuje nutnost ruční editace směrovací tabulky (což je úkon, jak jste si možná všimli, který jsme dosud nepoužili) a přidat do směrovací tabulky směry na "skryté" sítě.
41
Závěr ukázali jsme si, jakým způsobem funguje směrování, popsali jsme si základní lokalizaci a odstraňování problémů a v závěru jsme si ukázali i typické problémy větších a rozlehlejších sítí.
Dobrá rada na závěr je jedna: máte-li problém se složitější topologií sítě, namalujte si ji na papír, všechno pak vypadá jednodušeji a snadněji odhalíte chybu.
Nyní se podíváme na potíže se servery DNS Co je DNS? Znamená to Domain Name System a v praxi se jedná o systém, jakým se tzv. překládá jmenná internetová adresa na IP adresu (a obráceně). K čemu je to dobré? Hned si to vysvětlíme. Kdysi, v dávných dobách, kdy Internet nebyl ještě ani Internetem, ale Arpanetem, se počet připojených počítačů zvětšil takovým tempem a na takové množství, že se pomalu přestalo dařit udržovat v aplikacích a systémech seznamy IP adres počítačů se kterými bylo nutno komunikovat.
2.1 Soubory hosts Jako přechodné řešení bylo přijato použití souborů hosts, první, takřka "nulté" verze jmenného systému. Prakticky se jednalo o přiřazení "lidských" jmen jednotlivým adresám. Nevýhodou tohoto řešení ovšem bylo, že se jednalo o striktně lokální řešení, tedy každý počítač měl vlastní soubor hosts. Udržovat tedy takové seznamy bylo jen o trochu jednodušší, než zadávat do aplikací přímo IP adresy. Navíc vždy hrozilo, že tyto soubory nebudou totožné na všech navzájem komunikujících počítačích, a tedy že komunikace selže díky triviální chybě - že zdrojový počítač jednoduše nenajde 42
správný cílový počítač. Nicméně hosts soubory přežily dodnes, protože umožňují "doladění" překladu jmen lokálně na konkrétním počítači. Zde je ukázka klasického hosts souboru z Windows XP: # Copyright (c) 1993-1999 Microsoft Corp. # # Toto je ukázka souboru HOSTS používaného službou Microsoft TCP/IP for Windows. # # Soubor obsahuje mapování adres IP na názvy hostitelů. Každá položka # by měla být na jednom řádku. Adresa IP by měla být umístěna # v prvním sloupci a měla by být následována odpovídajícím názvem hostitele. # Adresa IP a název hostitele by měly být odděleny nejméně jednou # mezerou. # # Komentáře (jako například tento) lze vkládat na jednotlivé řádky # nebo za název hostitele, komentář je určen znakem '#'. # # Příklad: # # 102.54.94.97 rhino.acme.com # zdrojový server # 38.25.63.10 x.acme.com # hostitel klientů x 127.0.0.1
localhost
2.2 DNS - logická evoluce Z výše uvedeného je jasné, že soubory hosts nebyly považovány za ideální řešení. Tehdejší vývojáře napadla geniálně prostá myšlenka - sjednotit tyto hosts soubory na jednom počítači a přes síťovou službu je poskytnout všem ostatním počítačům. Tím se jednoduše eliminuje nutnost duplikace stejných hosts souborů. Tak vznikl systém DNS. S ohledem na univerzálnost byl systém navržen hierarchicky, tedy existuje několik tzv. root (též kořenových - v doménovém zápise se jedná o prostou tečku - ".") doménových serverů, které se označují písmeny a jsou rozmístěny po celém světě, které spravují domény jednotlivých tzv. Top Level Domén (TLD) - tedy např. domény .COM, .NET, .ORG (dále EDU, MIL) nebo národní domény (.CZ, .SK, .EU, nebo .UK). Každá z těchto TLD má své DNS servery které jsou známy kořenovým serverům, a které spravují tzv. domény druhého řádu, tedy např. DNS server domény .NET spravuje záznamy pro tuto doménu, např. doménu 2. řádu PORADNA (a "ví" kde je DNS server pro tuto doménu 2. řádu). Následně tento server pro doménu PORADNA je serverem, který spravuje domény 3. řádu a hostitele platné pro tuto doménu, tedy např. hostitele pc.poradna.net - je zde vidět striktní hierarchie ukládání záznamů. Samotné použití DNS se sestává z dotazování jednotlivých serverů, a to opět 43
hierarchicky. Uživatel se ptá svého DNS serveru, který, pokud nezná odpověď, se ptá svého nadřazeného serveru až do doby, než nenajde cílový název domény nebo nenarazí na kořenový server - v takovém případě pak dochází k "sestupování" do dané doménové struktury, dokud není nalezen záznam odpovídajícího požadovaného hostitele.
Příklad: Uživatel v doméně poradna.net požaduje adresu hostitele www.seznam.cz (předpokládáme, že žádný server nemá požadované názvy v cache). Nejprve je dotazován místní DNS server, který, protože neví, kde leží doména CZ, kontaktuje některý kořenový server, který mu sdělí adresu TLD serveru domény CZ, následně je dotazován tento server na doménu SEZNAM a obdrží adresu doménového serveru seznamu. Poslední dotaz již směřuje přímo na DNS server seznamu a je dotazován na adresu hostitele "WWW", na což by měl odpovědět jeho IP adresou.
V následující kapitole se mírně dotkneme technického pozadí služby DNS, a to jak stručného popisu samotných záznamů, tak existujících serverů.
3. Technický pohled na DNS V předchozí kapitole bylo nastíněno, jakým způsobem služba funguje, nyní si rozebereme vlastní způsob uložení nejdůležitějších záznamů a jejich fungování.
3.1 Záznamy DNS Záznamy DNS se rozumí samotné informace o doménách a hostitelích. Logicky nejstarším typem záznamu je záznam typu A, který v sobě obsahuje překlad jmenné adresy na IP adresu. Logickým doplňkem tohoto záznamu je záznam PTR (PoinTeR), který má funkci přesně opačnou, tedy překládá IP adresu na jmenný tvar. Zde je třeba poznamenat, že pro jednu IP adresu může existovat několik A záznamů, ale vždy pouze jeden PTR záznam. Dalším významným, nicméně později uvedeným záznamem je záznam MX (Mail eXchanger), který je vázán na existující A záznam domény a určuje poštovní server (nebo servery), které pro danou doménu přijímají poštu. Mezi další záznamy se pak počítají mj. NS (záznamy o NameServerech - tj. ostatních DNS), CNAME (alternativní jméno k A záznamu), SOA (technické informace o doménové zóně), SRV (dostupné služby), AAAA (IPv6) nebo TXT (textové rozšiřující informace).
3.2 Nejznámější servery DNS Z historického hlediska je zcela určitě nutno zmínit na prvním místě ISC BIND (Linux/Unix platforma), který se nachází již v deváté verzi a jehož historie je s vývojem DNS úzce spjata. Mezi mé oblíbené DNS servery se řadí rovněž velmi bezpečný server djbDNS (Linux/Unix) nebo MyDNS (opět Linux/Unix). Mezi dobré 44
DNS servery se rovněž řadí DNS server obsažený ve Windows Server, samozřejmě v aktuální a opatchované verzi, což je ovšem podmínka, kterou by měly splňovat všechny DNS servery, nezávisle na platformě a vývojáři.
3.3 Funkce DNS serveru Nyní se už dostáváme k funkcím, ve kterých může DNS server pracovat (přičemž jeden fyzický server může poskytovat jednu, několik, nebo všechny tyto funkce) . Prakticky se jedná o čtyři základní funkce:
Primární DNS server - DNS je primárním serverem pro danou doménu, pokud je jeho adresa zanesena v hierarchicky nadřazeném DNS serveru jako adresa jmenného serveru dané domény. Na tomto serveru se spravují záznamy dané domény a je tzv. autoritativní, tedy jeho data mají nejvyšší a trvalou platnost. Existuje vždy jen jeden primární server pro danou doménu.
Sekundární DNS server - tento server je opět definován v nadřazené struktuře, jeho funkcí je převzít úlohu primárního serveru v případě, že samotný primární server je mimo provoz. Sekundární server neumožňuje editaci a je možné definovat vícero sekundárních serverů s prioritou.
Caching DNS server - jedná se o "pouhé" rozložení zátěže. Místo aby klienti neustále dotazovali primární servery po celém světě, zodpovídá tento server již jednou zodpovězené dotazy ze své cache (vyrovnávací paměti). Tímto tak značným způsobem urychluje funkci vyhledávání v DNS. Tento server poskytuje NEAUTORIZOVANÉ odpovědi a je potenciálním cílem útoků na DNS, o kterých byla řeč v úvodu, a které budou rozebrány ve samostatné kapitole.
Forwarding DNS - toto je nejnižší možná varianta, která se zhusta vyskytuje v domácích "krabičkoidních" routerech. Jedná se defacto o DNS proxy, která veškeré dotazy na ni okamžitě přeposílá na jiné DNS servery (typicky servery ISP)
3.4 Nástroje pro vyhledávání v DNS Kromě samotného systému můžete dotazovat DNS servery i přímo, pomocí nástrojů, které jsou součástí systému. Součástí všech Windows je příkaz nslookup, který je možno nalézt i v Linuxech, tam je ale již vytlačován nástrojem dig, který se dá lépe používat např. v skriptech.
4. Diagnostikujeme problémy Nyní nadešel čas, kdy si povíme něco blíže o diagnostice problémů s DNS. Pokud již máte ověřeno (viz předchozí díly), že vaše připojení a směrování je v pořádku, je nutno ověřit ještě možné problémy s DNS. Pro jednoduchost budeme používat nástroj nslookup, kderý se dá najít nebo nainstalovat prakticky ve všech soudobých systémech. 45
4.1 Kontrola funkčního DNS Jak již bylo řečeno, možný problém v případě, že síť i směrování funguje a prohlížeč přesto nefunguje, lze hledat v nefunkčním nebo nedostatečně fungujícím DNS serveru. Ověření funkce můžeme provést následujícím způsobem: Spustíme nslookup (buď přímo z příkazového řádku, nebo v případě Windows můžeme i z nabídky Start pomocí položky "Spustit" a zadáme příkaz zde. Přivítá nás prompt (všimněte si špatně kódované češtiny, toto je bohužel vlastní Windows verzím, fungují ve špatném kódování): Věchozˇ server: mygateway1.ar7 Address: 10.0.0.138 > Co lze z tohoto výpisu zjistit? Dvě informace: náš výchozí server má adresu 10.0.0.138 a je funkční, protože nslookup se s ním bez problémů spojil. Pokud vám nslookup po spuštění vyhodí jakoukouliv chybu, jedná se o nějaký zásadnější problém. Typickým problémem může být např. pomalá odezva DNS serverů ISP (což je vlastní např. serverům české Telefónicy O2), nebo dokonce nulová odpověď - v takovém případě DNS server nefunguje vůbec a tím pádem jste našli chybu prakticky okamžitě. Nyní přikročíme k otestování základní funkce: Věchozˇ server: mygateway1.ar7 Address: 10.0.0.138 > set type=a > www.seznam.cz Server: mygateway1.ar7 Address: 10.0.0.138 Neautorizovan odpovŘÔ: N zev: www.seznam.cz Address: 77.75.72.3
Přepnuli jsme dotazy na záznamy typu A a zeptali se DNS serveru na IP adresu serveru www.seznam.cz. Jak je patrno, vše funguje. V případě, že se místo odpovědi objeví něco podobného: > www.seznam.cz Server: mygateway1.ar7 Address: 10.0.0.138 46
DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** ¬asově limit po§adavku pro mygateway1.ar7 vyprçel. >
pak se jedná o poruchu a je třeba problém řešit (viz následující kapitola)
4.2 Možné způsoby řešení problémů Pokud nefunguje základní překlad existujících adres (typicky seznam.cz apod.), můžete zkusit v případě, že používáte forwarder v routeru (jako je uvedeno výše) přepnout pomocí direktivy server ip_adresa na server ISP (IP adresy DNS serverů ISP bývají většinou součástí technických dokumentů předávaných při zřízení připojení) a pokusit se znova o vyhledání IP adresy. Pokud to zafunguje, je chyba ve vašem routeru a je třeba jej minimálně restartovat (doporučuji podívat se na internetu, zda neexistuje novější firmware pro váš router řešící tento problém). V případě, že ani server ISP nereaguje, je třeba ověřit, že jsou průchodné porty 53/TCP a 53/UDP přes vaše firewally (jak lokální na PC, tak firewall na routeru). Jestliže ani po této kontrole není vyhledání úspěšné, je nejspíše problém na straně DNS serveru ISP. V takové situaci máte už jen dvě možnosti, můžete je ale realizovat naráz. Měli byste zavolat svému ISP a uvědomit jej o problémech s jeho DNS a zároveň můžete na svém routeru (pokud to umožňuje) nastavit jiný server DNS. Tuto možnost popíšeme v kapitole 5.
5. Řešení problému s (děravým) DNS serverem u ISP Mnoho současných caching serverů ISP je v žalostném stavu, jsou přetížené a neaktualizované. Zde je možno otestovat DNS server na aktuální velkou chybu: www.dns-oarc.net. Pokud se vám u kteréhokoliv serveru objeví hlášení "POOR", jste zranitelní! (více v následující kapitolce). Pokud jsme se dobrali zjištění, že server u vašeho poskytovatele není funkční, nebo že je děravý, máte možnost přejít jinam. Lehce se to řekne, ale už hůře udělá. Bohužel, z bezpečnostních ohledů poskytují ISP své caching servery pouze pro své zákazníky, není tedy možno využívat DNS server jiného ISP, než toho, kterého používáte. Naštěstí zde existuje jedno "globální" řešení, které je možno použít nezávisle na tom jak a přes koho jste připojeni. Jedná se o OpenDNS. Není to řešení ideální, neboť jako protiváhu DNS serverů zdarma je používáno tzv. wildcardů, tj. pokaždé když zadáte v prohlížeči neexistující adresu, zobrazí se vám reklama. Taktéž je známo, že OpenDNS přesměrovává Google na své servery, což je daleko horší, 47
nicméně s ohledem na potenciální problémy vašeho ISP (viz další kapitola) se jedná o problém řádově menší. Samotné přenastavení proveďte buď ve vašem routeru (pokud to umožňuje, což by měl) nastavením IP adres 208.67.222.222 a 208.67.220.220 v položkách DNS serverů u WAN rozhraní. Pokud toto váš router neumožňuje (a standardně přijímá pouze DNS adresy z DHCP), můžete si tyto adresy nastavit v políčkách DNS serverů u vašeho síťového připojení v počítači (vypněte přiřazení DNS serverů z DHCP a zadejte tyto dvě adresy). Pro mnoho routerů, jakož i pro operační systémy jsou podrobné návody zde: https://www.opendns.com/start Nastavení můžete po uložení a restartu otestovat novým dotazem podle návodu v kap. 4.1, případně otestovat děravost testem uvedeným v této kapitole. Vše by mělo být od této chvíle funkční, a vy byste se měli být schopni dostat se na internet.
6. Současná bezpečnostní hrozba týkající se systémů DNS Nedávno byl veřejně publikován způsob včetně ukázkového kódu, jak
zneužít caching DNS
server k útoku Man in the Middle. V podstatě se jedná o vynucení serveru načíst DNS informace o útočníkově DNS zóně, ve které je ukryt specifický kód, kterým se "otráví" (tj. záměrně poškodí) cache DNS serveru tak, že začne poskytovat nekorektní překlady pro doménu na kterou útočník útočí. V praxi tedy útočníkovi stačí požádat caching server o načtení své "útočné" domény (např. hax0r.net), která pozmění data (IP adresu daného serveru) pro doménu na kterou útočí (např. internetbanking.com) a která jsou dále poskytovaná ostatním uživatelům. V konečném důsledku pak stačí, aby na IP adrese, na kterou nyní ukazuje upravený záznam www.internetbanking.com, běžela upravená kopie téhož webu, která bude odchytávat hesla a následně jen uživateli sdělí, že heslo není platné (nebo v lepším případě vystaví spojení na původní server s tím, že budou logovány veškeré úkony a transakce). Jak je vidět, jedná se o velmi nebezpečnou záležitost.
Obrana proti tomuto je dvojí: používat pouze bezpečné DNS servery a pokud možno zabezpečenou komunikaci pomocí SSL, ideálně podepsanou certifikátem vydaným spolehlivou certifikační autoritou - samozřejmě je nutno sledovat, zda certifikát je stále tentýž a zda se "náhodou" nezměnil.
Výše popsaný útok je znám již hodně dlouhou dobu. Jeho nebezpečnost byla velmi nízká, díky tomu, že k útoku bylo potřeba se "trefit" do DNS serveru. Nicméně právě poslední bezpečnostní hrozba kombinuje tento útok s jinými dvěma bezpečnostními děrami, a to malé náhodnosti zdrojových portů DNS serveru a malé náhodnosti transakčních ID. V kombinaci je to již velmi nebezpečná záležitost, a proto se doporučuje, v případě, že používáte takto nezabezpečený server, upgradovat tento server, nebo přejít na jiný.
7. Závěr Doufám, že Vám tento článek pomohl nebo pomůže těm, kdo řeší problémy s připojením k síti.
48
