Eric Anderson Fordítás:

Vezetéknélküli Hálózatok Eric Anderson Fordítás: [email protected]

1

Contents 1

Bevezetés

3

2

Muködési ˝ módok 2.1 BSS mód . . . . . . . . . . . . . . . . 2.2 IBSS mód . . . . . . . . . . . . . . . . 2.3 Infrastruktúra mód . . . . . . . . . . . 2.3.1 Access pointok . . . . . . . . . 2.3.2 FreeBSD-s access point építése 2.3.3 Kliensek . . . . . . . . . . . . 2.3.4 Titkosítás . . . . . . . . . . . . 2.3.5 Eszközök . . . . . . . . . . . . 2.3.6 Támogatott kártyák . . . . . . .

3 3 3 3 3 4 6 7 8 9

2

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

A fordítás a FreeBSD Handbook “Wireless Networking” fejezete alapján készült.

1

Bevezetés

Roppant hasznos lehet, ha egy számítógépet zavaró hálózati kábelek nélkül tudunk hasznalni. A FreeBSD használható kliensként vagy akár access pointként is vezetéknélküli hálózatokban.

2

Muködési ˝ módok

802.11-es vezetéknélküli eszközök két módban használhatók: BSS és IBSS.

2.1 BSS mód Általában a BSS mód használatos, ismeretes úgy is mint infrastruktúra mód (infrastructure mode). Ebben a módban számos vezetéknélküli hozzáférési pont csatlakozik egy vezetékes hálózathoz. Mindegyik vezetéknélküli hálózatnak saját neve van, ez a hálózat SSID-je. A vezetéknélküli kliens ezekhez a hozzáférési pontokhoz csatlakozik. Az IEEE 802.11-es szabvány definiálja a vezetéknélküli hálózatok által a csatlakozáshoz használt protokollt. Az SSID beállításával a kliens csatlakozhat egy adott hálózathoz, vagy bármely hálózathoz, ha nem ad meg konkrét SSID-t.

2.2 IBSS mód Az IBSS vagy más néven ad-hoc módot pont-pont kapcsolatokra tervezték. Valójában két fajta ad-hoc mód létezik. Az egyik az IBSS, ad-hoc vagy IEEE ad-hoc mód, amelyet az IEEE 802.11 szabvány definiál. A másik a demo ad-hoc vagy Lucent ad-hoc mód (néha megtéveszt˝oen szintén ad-hoc módnak nevezik). Ez utóbbi a régi, 802.11 el˝otti ad-hoc mód és inkább csak már meglévo˝ telepítéseknél használatos. Egyik ad-hoc módot sem részletezzük a továbbiakban.

2.3 Infrastruktúra mód 2.3.1 Access pointok Az access pointok vezetéknélküli hálózati eszközök, melyeket egy vagy több kliens mint központi elemeket használhat. Egy access pointot használva minden kliens azon keresztül kommunikál. Gyakran használnak több access pointot,

3

hogy egy egész területet (házat, irodát vagy parkot) lefedjenek vezeték nélküli hálózattal. Az access pointok általában több hálózati kapcsolattal bírnak: a vezetéknélküli kártya, és egy vagy több vezetékes Ethernet csatoló a hálózat többi részéhez. Access pointok kaphatóak készen, vagy akár egy FreeBSD-s gépb o˝ l és egy támogatott vezetéknélküli kártyából is építheto˝ egy. Számos cég készít vezetéknélküli access pointokat és kártyákat különbözo˝ tulajdonságokkal. 2.3.2 FreeBSD-s access point építése El˝ofeltételek Egy FreeBSD-s access point felállításához egy kompatibilis vezetéknélküli kártyára van szükség. Jelenleg csak a Prism csipszetes kártyák támogatottak. Szintén szükség van egy FreeBSD által támogatott vezetékes hálózati kártyára (ez nem túl bonyolult, a FreeBSD rengeteg különbözo˝ eszközt támogat). Ebben a dokumentumban azt feltételezzük, hogy bridge(4)-elni szeretnéd a vezetéknélküli és a vezetékes hálózati kártya közötti forgalmat. A FreeBSD által az access point megvalósítására használt hostap funkcionalitás a firmware bizonyos verzióival m˝uködik a legjobban. Prism 2 kártyákhoz az 1.3.4-es vagy újabb firmware ajánlott, Prism 2.5 és Prism 3 kártyákhoz az 1.4.9-es. Régebbi firmwareverziók is m˝uködhetnek, de ez nem biztos. Jelenleg a firmware frissítésének egyetlen módja a kártya gyártójától beszerezheto˝ Windows alatt futó firmware frissít˝o software. Beállítás El˝oször bizonyosodj meg róla, hogy a rendszered látja a vezetéknélküli kártyát: # ifconfig -a wi0: flags=8843 mtu 1500 inet6 fe80::202:2dff:fe2d:c938%wi0 prefixlen 64 scopeid 0x7 inet 0.0.0.0 netmask 0xff000000 broadcast 255.255.255.255 ether 00:09:2d:2d:c9:50 media: IEEE 802.11 Wireless Ethernet autoselect (DS/2Mbps) status: no carrier ssid "" stationname "FreeBSD Wireless node" channel 10 authmode OPEN powersavemode OFF powersavesleep 100 wepmode OFF weptxkey 1

4

A részletek miatt most ne aggódj, csak bizonyosodj meg róla, hogy mutat valamit, ami egy vezetéknélküli hálókártyára utal. Ha nem látod az interfészt, és PC Cardot használsz, olvasd el a pccardc(8) és pccardd(8) man oldalakat további információért. Most be kell töltened egy modult a bridginghez. A bridge(4) modul betöltéséhez egyszer˝uen add ki a következ˝o parancsot: # kldload bridge A modul betöltése nem szabad, hogy hibaüzenet(ek)et produkáljon. Ha mégis, lehet, hogy a kernelbe kell fordítanod a bridge(4) kódot. A Handbook Bridging fejezete segítségedre lehet ebben. Most hogy a bridging be van töltve, közölnünk kell a FreeBSD kernellel, hogy mely interfészek között bridgeljen. Ezt a sysctl(8)-lel tehetjük meg: # sysctl net.link.ether.bridge=1 # sysctl net.link.ether.bridge_cfg="wi0 xl0" # sysctl net.inet.ip.forwarding=1 FreeBSD 5.2-RELEASE illetve magasabb verzió esetén a következo˝ parancsok használata szükséges: # sysctl net.link.ether.bridge.enable=1 # sysctl net.link.ether.bridge.config="wi0 xl0" # sysctl net.inet.ip.forwarding=1 Elérkezett az ideje a vezetéknélküli kártya beállításának. A következ˝o parancs access point módba állítja a kártyát: # ifconfig wi0 ssid my_net channel 11 media DS/11Mbps mediaopt hostap up stationname "FreeBSD AP" Ez az ifconfig(8) sor felhúzza a wi0 interfészt, az SSID-et my_net-re állítja, az állomás nevét pedig FreeBSD AP-ra. A media DS/11Mbps opció a kártyát 11Mbps módba állítja, ez a mediaopt használata esetén szükséges. A mediaopt hostap opció az interfészt access point módba állítja. A channel 11 opció a használni kívánt 802.11b csatornát állítja be. A te domainedben érvényes csatornákat a wicontrol(8) man oldalon találod. Most már egy m˝uköd˝o access pointtal kell hogy rendelkezz. További információért érdemes elolvasni a wicontrol(8), ifconfig(8), és wi(4) man oldalakat. Javasolt a következ˝o, titkosításról szóló fejezet elolvasása is. 5

Állapot információ Ha az access point be van konfigurálva és m˝uködik, elo˝ fordulhat, hogy az operátor szeretné látni a hozzá csatlakozott klienseket: # wicontrol -l 1 station: 00:09:b7:7b:9d:16 asid=04c0, flags=3, caps=1<ESS>, rates=f<1M,2M,5.5M,11M>, sig=38/15 Ez a csatlakozott állomást mutatja egyéb paramétereivel együtt. Az itt mutatott jel csak relatív viszonyítási pontként jelzi a jelero˝ sséget. Átváltása dBm-be vagy más mértékegységbe firmwareverzió-függo˝ . 2.3.3 Kliensek Egy vezetéknélküli kliens olyan rendszer, amely egy access pointot vagy egy másik klienst közvetlenül elér. A vezetéknélküli kliensek általában csak egy hálózati eszközzel, a vezetéknélküli hálózati kártyával rendelkeznek. Több különböz˝o módja van a vezetéknélküli kliensek konfigurálásának. Ezek a különböz˝o vezetéknélküli m˝uködési módokon alapulnak, általában a BSS-en (infrastruktúra mód, ennek access pointra van szüksége), és IBSS (ad-hoc, vagy peer-to-peer mód). A mi példánkban a ketto˝ közül a népszer˝ubbiket, a BSS módot fogjuk használni, hogy az access pointtal beszélgessünk. El˝ofeltételek Annak, hogy egy FreeBSD-s vezetéknélküli klienst használj, csak egy feltétele van: egy olyan vezetéknélküli kártyára van szükséged, amely támogatott FreeBSD alatt. FreeBSD kliens konfigurálás Miel˝ott elkezdenéd, tudnod kell néhány dolgot a vezetéknélküli hálózatról, amihez csatlakozol. Ebben a példában mi egy my_net nev˝u hálózathoz csatlakozunk, titkosítás nélkül. Megjegyzés: ebben a példában nem használunk titkosítást, ami nemkívánatos lehet. A következ˝o fejezetben megtanuljuk hogyan kapcsoljuk be a titkosítást, miért fontos, hogy így tegyünk, és miért nem képes teljeskör˝u védelmet nyújtani néhány titkosítási technológia. Bizonyosodj meg róla, hogy a kártyádat felismerte a rendszer: 6

# ifconfig -a wi0: flags=8843 mtu 1500 inet6 fe80::202:2dff:fe2d:c938%wi0 prefixlen 64 scopeid 0x7 inet 0.0.0.0 netmask 0xff000000 broadcast 255.255.255.255 ether 00:09:2d:2d:c9:50 media: IEEE 802.11 Wireless Ethernet autoselect (DS/2Mbps) status: no carrier ssid "" stationname "FreeBSD Wireless node" channel 10 authmode OPEN powersavemode OFF powersavesleep 100 wepmode OFF weptxkey 1 Most pedig a mi hálózatunknak megfelel˝o beállítások következnek: # ifconfig wi0 inet 192.168.0.20 netmask 255.255.255.0 ssid my_net 192.168.0.20 és 255.255.255.0 helyett a vezetékes hálózatodnak megfelel o˝ IP címet és netmaszkot használj. Az access pointunk bridgel a vezetéknélküli és a vezetékes hálózat között, tehát a hálózatodon lévo˝ többi eszköz számára úgy fog tünni, mintha a vezetékes hálózaton lennél, akárcsak o˝ k. Ezután meg kell hogy tudd pingelni a vezetékes hálózatodon lév o˝ gépeket, ugyanúgy mintha egy hagyományos vezetékes kapcsolatot használnál. Ha problémákat tapasztalsz a vezetéknélküli kapcsolatoddal, ellen o˝ rizd, hogy hozzá vagy -e rendelve az access pointodhoz: # ifconfig wi0 visszaad némi információt, és a következo˝ t kellene látnod: status: associated Ha nem ezt mutatja, akkor lehet, hogy az access point hatósugarán kív˝ul vagy, vagy nincs bekapcsolva a titkosítás, esetleg más konfigurációs problémád van. 2.3.4 Titkosítás A titkosítás a vezetéknélküli hálózatokon különösen fontos, mivel nincs lehet o˝ ség arra, hogy a hálózatot egy jól védett területen belül tartsuk. Az adatokat szórjuk, bárki akit érdekel belenézhet. Itt jön a képbe a titkosítás; bár az adat ugyanúgy terjed továbbra is, sokkal nehezebbé tesszük a kíváncsiskodók számára hogy kihámozzanak bel˝ole valamit. A két leggyakrabban használt mód az adatok titkosítására a kliens és az access point között a WEP és az ipsec(4). 7

WEP A WEP a Wired Equivalency Protocol (a vezetékessel egyenérték˝u protokoll) rövidítése, egy kísérlet a vezetéknélküli hálózatoknak a vezetékeshez hasonlóan biztonságossá tételére. Sajnos feltörték, és eléggé triviális a megtörése. Ez egyben azt is jelenti, hogy a WEP-ben nem bízhatunk, ha szenzitív információ titkosítása kerül szóba. A semminél mindenesetre jobb, a következo˝ képpen tudod bekapcsolni az új FreeBSD AP-don: # ifconfig wi0 inet up ssid my_net wepmode on wepkey 0x1234567890 media DS/11Mbps mediaopt hostap A kliensen a következ˝o paranccsal tudod bekapcsolni a WEP-et: # ifconfig wi0 inet 192.168.0.20 netmask 255.255.255.0 ssid my_net wepmode on wepkey 0x1234567890 A 0x1234567890-et cseréld le valami más kulcsra. IPsec Az ipsec(4) egy sokkal robosztusabb és hatékonyabb eszköz adatok titkosítására, ez a követend˝o út vezetéknélküli hálózatok esetén is. Ha további információra van szükséged, a Handbook IPsec fejezetében megtalálod. 2.3.5 Eszközök Vezetéknélküli hálózatok hibakeresésére és konfigurálására is létezik néhány eszköz, néhányukról az alábbiakban ejtünk néhány szót. A bsd-airtools csomag A bsd-airtools csomag egy komplett eszközkészlet vezetéknélküli hálózatok auditálására (WEP kulcs feltörése, AP-k detektálása, stb). A bsd-airtools a net/bsd-airtools porton keresztül installálható. Portok installálásáról a Handbook 4. fejezetében találsz információt. A dstumbler program AP-k detektálását és jel/zaj viszony grafikonok készítését teszi lehet˝ové. Ha nehézségekbe ütközöl az AP-d beállítása közben, a dstumbler segíthet. Vezetéknélküli hálózatod biztonságának teszteléséhez választhatod akár a “dweputils”t (dwepcrack, dwepdump és dwepkeygen) is, amely segít eldönteni, hogy a WEP a megfelel˝o megoldás -e biztonsági igényeidre. 8

A wicontrol, ancontrol és raycontrol eszközök Ezekkel az eszközökkel tudod befolyásolni, hogyan viselkedjen vezetéknélküli kártyád a hálózaton. A fenti példában a wicontrol(8)-t használtuk, mivel a kártya a wi0 interfész volt. Amennyiben egy Cisco eszközzel rendelkezel, azt an0-ként húzza fel, és az ancontrol(8) használható hozzá. Az ifconfig parancs Az ifconfig(8) parancs szintén használható a wicontrol(8) helyett, azonban néhány opcióval nem rendelkezik. Olvasd el az ifconfig(8) man oldalt ha a parancssori paraméterekre és opciókra vagy kíváncsi. 2.3.6 Támogatott kártyák AP-k Jelenleg csak a Prism 2, 2.5 és 3 csipszettel rendelkezo˝ kártyák támogatottak BSS módban (AP-ként). Teljes listát a wi(4) man oldalon találsz. Kliensek Szinte mindegyik 802.11b vezetéknélküli kártya támogatott FreeBSD alatt. A legtöbb Prism, Spectrum24, Hermes, Aironet, és Raylink kártya m˝uködik IBSS módban (ad-hoc, peer-to-peer és BSS).

9