Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00663 009110 10440389 na godz. na dobę w sumie
Wireless Hacking. Edycja polska - książka
Wireless Hacking. Edycja polska - książka
Autor: Liczba stron: 328
Wydawca: Helion Język publikacji: polski
ISBN: 83-7361-794-9 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo sieci
Porównaj ceny (książka, ebook, audiobook).

Odkryj nieznane możliwości urządzeń do budowania sieci bezprzewodowych

Sieci bezprzewodowe stają się coraz popularniejsze. Producenci sprzętu prześcigają się we wprowadzaniu na rynek coraz nowszych i prostszych w obsłudze urządzeń. Wszystkie te urządzenia posiadają jednak podstawową wadę -- są projektowane pod kątem możliwie najszerszego rynku, co niestety wyklucza zastosowanie ich w sposób odbiegający od tego, czego -- zdaniem ich producentów -- może oczekiwać użytkownik. Na szczęście jednak istnieją ludzie, którzy nie obawiają się rozkręcania takich urządzeń i modyfikowania ich tak, aby spełniały nieco wyższe oczekiwania, stawiane przez użytkowników sieci bezprzewodowych.

Jeśli chcesz zostać kimś takim i jesteś ciekawy, jak można wycisnąć maksimum możliwości z urządzeń sieci bezprzewodowej, przeczytaj książkę 'Wireless hacking. Edycja polska'. Dowiesz się z niej, jak projektować i instalować sieci bezprzewodowe, jak modyfikować urządzenia dostępowe, wyposażając je w pozornie niedostępne dla nich funkcje, i jak budować urządzenia sieciowe zasilane energią słoneczną. Nauczysz się konfigurować systemy operacyjne urządzeń bezprzewodowych, instalować anteny i poprawiać osiągi urządzeń sieciowych.

Wykorzystaj wiadomości z tej książki do stworzenia
idealnej sieci bezprzewodowej.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Wireless Hacking. Edycja polska Autorzy: Lee Barken i inni T³umaczenie: Adam Jarczyk ISBN: 83-7361-794-9 Tytu³ orygina³u: Wireless Hacking Format: B5, stron: 328 Odkryj nieznane mo¿liwoġci urz¹dzeñ do budowania sieci bezprzewodowych • Zaprojektuj sieci bezprzewodowe • Poznaj rodzaje urz¹dzeñ dostêpowych • Naucz siê monitorowaæ dzia³anie sieci • Modyfikuj i dostosuj sprzêt sieciowy Sieci bezprzewodowe staj¹ siê coraz popularniejsze. Producenci sprzêtu przeġcigaj¹ siê we wprowadzaniu na rynek coraz nowszych i prostszych w obs³udze urz¹dzeñ. Wszystkie te urz¹dzenia posiadaj¹ jednak podstawow¹ wadê — s¹ projektowane pod k¹tem mo¿liwie najszerszego rynku, co niestety wyklucza zastosowanie ich w sposób odbiegaj¹cy od tego, czego — zdaniem ich producentów — mo¿e oczekiwaæ u¿ytkownik. Na szczêġcie jednak istniej¹ ludzie, którzy nie obawiaj¹ siê rozkrêcania takich urz¹dzeñ i modyfikowania ich tak, aby spe³nia³y nieco wy¿sze oczekiwania, stawiane przez u¿ytkowników sieci bezprzewodowych. Jeġli chcesz zostaæ kimġ takim i jesteġ ciekawy, jak mo¿na wycisn¹æ maksimum mo¿liwoġci z urz¹dzeñ sieci bezprzewodowej, przeczytaj ksi¹¿kê „Wireless hacking. Edycja polska”. Dowiesz siê z niej, jak projektowaæ i instalowaæ sieci bezprzewodowe, jak modyfikowaæ urz¹dzenia dostêpowe, wyposa¿aj¹c je w pozornie niedostêpne dla nich funkcje, i jak budowaæ urz¹dzenia sieciowe zasilane energi¹ s³oneczn¹. Nauczysz siê konfigurowaæ systemy operacyjne urz¹dzeñ bezprzewodowych, instalowaæ anteny i poprawiaæ osi¹gi urz¹dzeñ sieciowych. • Projektowanie sieci bezprzewodowych • Bezpieczeñstwo transmisji w sieciach bezprzewodowych • Punkty dostêpowe • Systemy operacyjne dla urz¹dzeñ sieciowych • Monitorowanie dzia³ania sieci • Instalowanie anten • Zasilanie s³oneczne dla punktów dostêpowych Wykorzystaj wiadomoġci z tej ksi¹¿ki do stworzenia idealnej sieci bezprzewodowej Spis treści Przedmowa ....................................................................................... 17 Wstęp .............................................................................................. 19 Część I Wprowadzenie...................................................r.............21 Rozdział 1. Krótki przegląd Wi-Fi......................................................................... 23 Wprowadzenie do Wi-Fi ...................................................n.............................................. 23 Historia i podstawy 802.11...................................................n........................................... 24 Litery i literki IEEE...................................................n................................................ 25 802.11b ...................................................n...................................................n......... 25 802.11a ...................................................n...................................................n......... 26 802.11g ...................................................n...................................................n......... 27 Tryby ad hoc i infrastrukturalny...................................................n............................. 28 Łączenie z punktem dostępu ...................................................n............................ 28 Przepisy FCC ...................................................n...................................................n...... 31 Przepisy FCC i IEEE ...................................................n....................................... 32 Dlaczego Wi-Fi? ...................................................n...................................................n....... 33 Zalety dla właścicieli nieruchomości ...................................................n..................... 34 Zalety dla ochotników...................................................n............................................ 35 Konsekwencje społeczne...................................................n........................................ 35 Bezpieczeństwo sąsiedzkich sieci bezprzewodowych............................................... 36 Każdy komputer musi być chroniony ...................................................n.............. 37 Odpowiedzialność prawna ...................................................n............................... 38 Ochrona sąsiedztwa ...................................................n......................................... 38 Podsumowanie ...................................................n...................................................n.......... 39 Rozdział 2. SoCalFreeNet.org — budowanie dużych sąsiedzkich sieci bezprzewodowych ................. 41 Wprowadzenie...................................................n...................................................n........... 41 Wireless Distribution System (WDS)...................................................n........................... 42 Łącza 5 GHz...................................................n...................................................n..............43 Urządzenia klienckie ...................................................n...................................................n. 44 Konkurencja wobec firm telefonicznych i kablowych...................................................n.. 46 Wyposażanie barów kawowych i sklepów ...................................................n................... 47 Jak zaangażować użytkowników? ...................................................n................................ 48 Podsumowanie ...................................................n...................................................n.......... 49 4 Wireless Hacking. Edycja polska Rozdział 3. Bezpieczeństwo sieci bezprzewodowej.............................................. 51 Wprowadzenie...................................................n...................................................n........... 51 Portal przechwytujący ...................................................n.................................................. 53 Przygotowania...................................................n...................................................n..... 53 Struktura sieci nastawiona na bezpieczeństwo...................................................n. 54 Wybór sprzętu i oprogramowania dla portalu przechwytującego ....................... 55 Instalacja portalu przechwytującego ...................................................n...................... 58 Pisanie własnych warunków świadczenia usług ................................................. 59 Grafika w portalu przechwytującym ...................................................n................ 61 Budowanie VPN z PPTP ...................................................n.............................................. 63 Przygotowania...................................................n...................................................n..... 64 Instalacja VPN ...................................................n...................................................n.... 64 Konfiguracja użytkowników sieci...................................................n.......................... 68 Edukacja użytkowników sieci bezprzewodowej...................................................n........... 72 Przygotowania...................................................n...................................................n..... 72 Początek i koniec ...................................................n...................................................n 73 Inne metody...................................................n...................................................n............... 74 Część II Projekty ...................................................r......................75 Rozdział 4. Bezprzewodowe punkty dostępowe.................................................... 77 Wprowadzenie...................................................n...................................................n........... 77 Wi-Fi i Linux...................................................n...................................................n............. 77 Przeprogramowanie...................................................n................................................ 78 Linksys WRT54g ...................................................n...................................................n 78 Sveasoft...................................................n...................................................n......... 79 NewBroadcom ...................................................n................................................. 87 HyperWRT..................................................n...................................................n..... 88 eWRT...................................................n...................................................n............ 88 Wifi-box...................................................n...................................................n........ 90 Batbox...................................................n...................................................n........... 92 OpenWRT...................................................n...................................................n..... 93 Niedostatki WRT54g ...................................................n............................................. 93 Komputery jednopłytowe Soekris ...................................................n................................ 93 net4501...................................................n...................................................n................ 94 net4511...................................................n...................................................n................ 94 net 4521...................................................n...................................................n............... 96 net4526...................................................n...................................................n................ 97 net4801...................................................n...................................................n................ 97 Akcesoria Soekris..................................................n...................................................n. 98 Punkt dostępowy 802.11a Proxim 8571 ...................................................n....................... 99 Przygotowanie do przeróbki...................................................n................................. 101 Przeróbka ...................................................n...................................................n.......... 101 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 105 Podsumowanie ...................................................n...................................................n........ 110 Rozdział 5. Klienckie bezprzewodowe urządzenia dostępowe............................. 111 Wprowadzenie...................................................n...................................................n......... 111 Notebooki...................................................n...................................................n................111 Karty PCMCIA ...................................................n...................................................n. 112 Karty Mini-PCI ...................................................n...................................................n. 112 Komputery biurkowe...................................................n.................................................. 113 Karty PCI ...................................................n...................................................n.......... 114 Urządzenia USB...................................................n...................................................n 114 Mosty Ethernet...................................................n...................................................n.. 116 Spis treści 5 PDA...................................................n...................................................n......................... 117 Compact Flash...................................................n...................................................n... 117 Karty Secure Digital IO...................................................n........................................ 117 Polowanie na sieci bezprzewodowe ...................................................n........................... 119 Do czego jest potrzebny WarDriving? ...................................................n................. 119 Przygotowania...................................................n...................................................n... 120 Wyposażenie wymagane...................................................n................................ 120 Oprogramowanie do WarDriving...................................................n................... 121 Wyposażenie opcjonalne ...................................................n............................... 122 Etyka WarDriving ...................................................n................................................ 125 Inne zasoby...................................................n...................................................n..............126 Część III Projekty programistyczne .............................................127 Rozdział 6. Systemy operacyjne dla urządzeń bezprzewodowych........................ 129 Wprowadzenie...................................................n...................................................n......... 129 m0n0wall — potężna, elegancka, prosta ...................................................n.................... 131 Przygotowania...................................................n...................................................n... 132 m0n0wall w standardowym PC ...................................................n..................... 132 m0n0wall w komputerze jednopłytowym (SBC) .............................................. 133 Inne ustawienia konfiguracji ...................................................n.......................... 134 Instalacja ...................................................n...................................................n........... 134 Pobieranie najnowszej wersji ...................................................n......................... 134 Tworzenie płyty CD-ROM pod Windows ...................................................n..... 135 Nagrywanie karty Compact Flash pod Windows .............................................. 136 Instalacja standardowego PC ...................................................n......................... 138 Instalacja komputera jednopłytowego...................................................n............ 141 Konfiguracja m0n0wall...................................................n.................................. 144 Zaglądamy pod maskę...................................................n.......................................... 156 Dystrybucja Pebble — potężna, surowa, kompletna ...................................................n.. 157 Przygotowania...................................................n...................................................n... 158 Instalacja ...................................................n...................................................n........... 159 Tworzenie startowego CD i uruchomienie systemu Knoppix ........................... 159 Konfiguracja czytnika Compact Flash ...................................................n........... 161 Formatowanie karty Compact Flash ...................................................n.............. 162 Pobieranie Pebble ...................................................n.......................................... 164 Kopiowanie Pebble na kartę CF...................................................n..................... 164 Uruchamianie Pebble ...................................................n..................................... 165 Konfiguracja Pebble...................................................n....................................... 166 Zaglądamy pod maskę...................................................n.......................................... 168 Rozdział 7. Monitorowanie sieci........................................................................ 169 Wprowadzenie...................................................n...................................................n......... 169 Obsługa SNMP...................................................n...................................................n........ 170 Przygotowania...................................................n...................................................n... 170 Konfiguracja...................................................n...................................................n...... 171 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 173 Getif — eksploracja SNMP w Microsoft Windows ...................................................n... 173 Przygotowania...................................................n...................................................n... 174 Działanie programu ...................................................n.............................................. 174 Pobieranie informacji o interfejsach urządzenia ............................................... 175 Eksploracja identyfikatorów OID SNMP ...................................................n...... 176 Wykresy danych ...................................................n............................................ 177 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 178 6 Wireless Hacking. Edycja polska STG — wykresy SNMP dla Microsoft Windows...................................................n....... 179 Przygotowania...................................................n...................................................n... 180 Działanie programu ...................................................n.............................................. 180 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 182 Cacti — bogactwo wykresów dla sieci...................................................n....................... 183 Przygotowania...................................................n...................................................n... 184 Apache ...................................................n...................................................n........ 184 PHP...................................................n...................................................n............. 184 Perl...................................................n...................................................n.............. 184 RRDTool...................................................n...................................................n..... 185 MySQL ...................................................n...................................................n....... 185 Cacti...................................................n...................................................n............ 185 Instalacja ...................................................n...................................................n........... 185 Instalacja Apache ...................................................n........................................... 186 Instalacja PHP...................................................n................................................ 187 Instalacja Perla...................................................n............................................... 190 Instalacja RRDTool ...................................................n....................................... 190 Instalacja MySQL-a ...................................................n....................................... 190 Inne ustawienia ...................................................n.............................................. 191 Instalacja Cactid i Cacti ...................................................n................................. 192 Zbieranie danych w Cacti ...................................................n.............................. 196 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 201 Dodatkowe źródła informacji ...................................................n..................................... 202 Rozdział 8. Tanie rozwiązania komercyjne ......................................................... 203 Wprowadzenie...................................................n...................................................n......... 203 Sputnik ...................................................n...................................................n.................... 203 Punkty dostępowe Sputnik ...................................................n................................... 204 Sputnik Control Center ...................................................n........................................ 206 Funkcje systemu Sputnik ...................................................n..................................... 206 Captive Portal ...................................................n................................................ 206 Pre-Paid Module ...................................................n............................................ 209 Rewolucja ...................................................n...................................................n......... 210 Sveasoft ...................................................n...................................................n................... 211 MikroTik ...................................................n...................................................n.................213 Podsumowanie ...................................................n...................................................n........ 215 Rozdział 9. Sieci kratowe ................................................................................. 217 Wprowadzenie...................................................n...................................................n......... 217 Przygotowania...................................................n...................................................n... 219 Podstawowe definicje...................................................n................................................. 219 Wireless Distribution System ...................................................n............................... 222 Przykłady z życia...................................................n...................................................n..... 224 BelAir Networks ...................................................n.................................................. 224 Sieci kratowe LocustWorld ...................................................n.................................. 224 Podsumowanie ...................................................n...................................................n........ 225 Dodatkowe źródła w sieci ...................................................n.......................................... 226 Część IV Anteny i obudowy do użytku na zewnątrz budynków.......227 Rozdział 10. Anteny ........................................................................................... 229 Wprowadzenie...................................................n...................................................n......... 229 Na początek — podstawowe pojęcia i definicje ...................................................n......... 230 Przepisy FCC ...................................................n...................................................n.... 235 Tłumienie w kablach, złączach i materiałach...................................................n. 237 Uziemienie i ochrona odgromowa systemu...................................................n.......... 239 Spis treści 7 Antena z puszki po kawie...................................................n........................................... 240 Przygotowania...................................................n...................................................n... 240 Montaż ...................................................n...................................................n.............. 241 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 243 Rozwiązywanie typowych problemów z antenami ................................................. 243 Przyszłość anten ...................................................n...................................................n...... 244 Podsumowanie ...................................................n...................................................n........ 245 Rozdział 11. Konstruowanie obudów i masztów antenowych ............................... 247 Wprowadzenie...................................................n...................................................n......... 247 Obudowy do użytku na wolnym powietrzu ...................................................n................ 248 Przygotowania...................................................n...................................................n... 248 Wybór „surowej” obudowy...................................................n............................ 249 Wybór elementów konstrukcyjnych...................................................n............... 251 Montaż ...................................................n...................................................n.............. 253 Metalowe obudowy NEMA 3 ...................................................n........................ 253 Zaglądamy pod maskę...................................................n.......................................... 260 Budowa masztów antenowych ...................................................n................................... 261 Przygotowania...................................................n...................................................n... 261 Instalacja ...................................................n...................................................n........... 262 Wolno stojący maszt antenowy...................................................n...................... 262 Maszty antenowe montowane bezpośrednio ...................................................n.. 265 Ochrona przed piorunami...................................................n............................... 268 Podsumowanie ...................................................n...................................................n........ 270 Rozdział 12. Punkty dostępowe i repeatery zasilane energią słoneczną ............... 271 Wprowadzenie...................................................n...................................................n......... 271 Przygotowania...................................................n...................................................n... 272 Kalkulacja zapotrzebowania na energię ...................................................n......... 272 Wybór akumulatora ...................................................n....................................... 274 Wybór baterii słonecznej ...................................................n............................... 276 Budowa ...................................................n...................................................n............. 280 Konstrukcja mechaniczna ...................................................n.............................. 281 Bateria słoneczna ...................................................n........................................... 281 Instalacja elektryczna...................................................n..................................... 283 Elektronika...................................................n...................................................n.. 287 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 288 Akumulatory ...................................................n.................................................. 289 Bateria słoneczna ...................................................n........................................... 289 Dodatki ...................................................r....................................291 Dodatek A Przeróbki urządzeń 802.11 .............................................................. 293 Wprowadzenie...................................................n...................................................n......... 293 Przeróbki bezprzewodowych kart sieciowych PCMCIA — dodajemy złącze anteny zewnętrznej ...................................................n.................. 294 Przygotowania...................................................n...................................................n... 295 Przeróbka ...................................................n...................................................n.......... 296 Zdjęcie obudowy...................................................n............................................ 297 Przeniesienie kondensatora ...................................................n............................ 298 Przytwierdzenie nowego złącza ...................................................n..................... 299 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 300 OpenAP (Instant802) — przeprogramowanie punktu dostępowego na Linuksa ........... 300 Przygotowania...................................................n...................................................n... 301 8 Wireless Hacking. Edycja polska Przeróbka ...................................................n...................................................n.......... 302 Montaż karty SRAM...................................................n...................................... 303 Włączenie urządzenia ...................................................n.................................... 305 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 305 Zabawa z punktem dostępowym Dell 1184...................................................n................ 306 Przygotowania...................................................n...................................................n... 306 Zabawa ...................................................n...................................................n.............. 307 Zaglądamy pod maskę. Jak to działa? ...................................................n.................. 310 Podsumowanie ...................................................n...................................................n........ 311 Dodatkowe zasoby ...................................................n...................................................n.. 311 Grupy użytkowników...................................................n........................................... 311 Badania i publikacje ...................................................n............................................. 312 Produkty i narzędzia...................................................n............................................. 312 Skorowidz ...................................................................................... 315 Rozdział 3. Bezpieczeństwo sieci bezprzewodowej W tym rozdziale:    Portal przechwytujący Budowanie VPN z PPTP Edukacja użytkowników sieci bezprzewodowej  Inne metody Wprowadzenie W SoCalFreeNet projektujemy sieci bezprzewodowe jako miejsca, w których ludzie z sąsiedztwa mogą odpocząć i przespacerować się po WWW. Bezpieczne przeglądanie stron WWW w sieci bezprzewodowej tworzy atmosferę wspólnoty, podobnie jak park miejski. Nasza grupa często używa analogii do parku, aby wyrazić cele działań przy budowaniu i utrzymywaniu sieci. Stworzyliśmy sąsiedzką sieć bezprzewodową, aby pozwolić zwykłym ludziom na łącze- nie się z Internetem za pomocą podstawowych urządzeń bezprzewodowych. Nacisk na to, by trzymać się podstaw, umożliwia korzystanie z sieci najróżnorodniejszym użyt- kownikiem, od elity technicznej aż po babcie i dziadków mających po raz pierwszy w życiu kontakt z Siecią. Nowi użytkownicy sieci bezprzewodowej mogą wchłonąć tylko ograniczoną ilość wiadomości, zanim przytłoczy ich technologia, więc staramy się, by dla takich użytkowników złożoność zabezpieczeń miała określone granice. Bezpieczeństwo sieci bezprzewodowych oczywiście sprawia pewne problemy. Biorą się one przede wszystkim z fizycznej natury sygnałów bezprzewodowych. Sygnały komputerowe przesyłane tradycyjnymi sieciami kablowymi rozchodzą się w sposób o wiele bardziej kontrolowany, sterowany przez przełączniki, routery i zapory, które grają w sieci rolę „odźwiernych”. W przeciwieństwie do nich nasze sieci bezprzewodowe „rzucają pakietami” we wszystkie strony; pakiet zatrzymuje się dopiero wtedy, gdy 52 Część I ♦ Wprowadzenie poziom sygnału spadnie w końcu na tyle, by inne urządzenia nie mogły słyszeć naszego sygnału. Czułe odbiorniki pozwalają nieraz odbierać sygnały z sieci bezprzewodowych z odległości kilku kilometrów (jeden z naszych użytkowników zbudował z urządzeń Linksys na pustyni łącze o długości ponad 20 kilometrów bez dodatkowego wzmacnia- nia sygnałów). Oznacza to jednocześnie, że ktoś może próbować podsłuchiwać naszą sieć z dużej odległości. Tacy podsłuchiwacze przypominają nam o starej prawdzie, że jedni ludzie korzystają z techniki (bezprzewodowej) do osiągania pozytywnych celów, a inni będą używać naszej sieci do negatywnych działań. Tacy niegodziwi użytkownicy często mogą stwa- rzać problemy innym ludziom i architektom naszej bezprzewodowej społeczności. I po- dobnie jak w parku, musimy podjąć odpowiednie działania, by wspólne dobro pozostało czyste — więc musimy pozbierać śmieci. Użytkownicy o złych zamiarach mogą stwarzać problemy, ogólnie mówiąc, na trzy sposoby:    atakując innych użytkowników w lokalnej sieci, atakując użytkowników lub komputery w Internecie, popełniając przestępstwa w naszej sieci sąsiedzkiej. Przestępstwa zachodzą, gdy użytkownik próbuje włamać się do komputera lub atakuje innych użytkowników w Internecie. Może też wykorzystać połączenie z Internetem do pobierania pornografii dziecięcej lub przeprowadzania nielegalnych transakcji. Wszystkie te działania mogą potencjalnie narobić poważnych szkód w społeczności sieci, a nawet spowodować pociągnięcie do odpowiedzialności architektów sieci bez- przewodowej. Dlatego też nasi architekci zabrali się do szukania rozwiązań takich pro- blemów. Wprawdzie za bezpieczeństwo zawsze odpowiada użytkownik, lecz są pewne kroki, które możemy podjąć, aby zwiększyć bezpieczeństwo sieci. W niniejszym roz- dziale zostaną omówione następujące metody zwiększania bezpieczeństwa:        Instalacja portalu przechwytującego. Pisanie własnych umów o zasadach korzystania z usług. Grafika dla portalu przechwytującego. Budowanie VPN z PPTP. Włączanie obsługi VPN. Konfiguracja użytkowników w sieci sąsiedzkiej. Edukacja użytkowników sieci bezprzewodowej.  Początek i koniec. Niniejszy rozdział poświęcony jest przede wszystkim sposobom ochrony społeczności użytkowników. Zawarty w nim materiał koncentruje się na nowatorskich podejściach do zagadnień bezpieczeństwa naszego bezprzewodowego „parku miejskiego”. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 53 Portal przechwytujący Groźba spraw sądowych jest jedną z największych barier w tworzeniu bezpiecznych sieci ogólnodostępnych. Poza kwestiami prawnymi sieci stawiają wiele wyzwań zwią- zanych z bezpieczeństwem. Wprawdzie opisane tu zabezpieczenia rozwiązują wiele problemów i skracają listę zagrożeń, lecz środki te są skuteczne tylko wtedy, gdy spo- łeczność użytkowników z nich korzysta. Wielu użytkowników chce się po prostu jak najszybciej połączyć z Internetem i całkowicie ignoruje bezpieczeństwo. Ta ignorancja jest inspiracją dla starego amerykańskiego powiedzenia: „Można zaprowadzić konia do wody, lecz nie można zmusić go do picia”. Idea portalu przechwytującego bierze się z kwestii prawnych związanych z użytkowa- niem sieci bezprzewodowych. Poza zwiększeniem bezpieczeństwa portal jest wygod- nym narzędziem do dostarczania informacji i wskazówek społeczności użytkowników. Narzędzie to „siedzi” po prostu w połączeniu z Internetem i przechwytuje pierwsze po- łączenie z WWW. Gdy nadchodzi pierwsze żądanie połączenia od użytkownika, portal przechwytujący kieruje użytkownika do strony zawierającej oświadczenie o odpowie- dzialności prawnej i wytyczne dla użytkowników. Ta strona, często nazywana w lite- raturze Terms of Service (ToS — zasady świadczenia usługi), jest podstawą umowy prawnej społeczności sieci z użytkownikiem. Tutaj użytkownik może przeczytać o za- gadnieniach bezpieczeństwa w sieci. SoCalFreeNet wykorzystuje tę stronę do zachęca- nia użytkowników, by podejmowali działania zapobiegawcze i używali pewnych bar- dziej zaawansowanych funkcji zabezpieczeń, które udostępniamy. Warto wiedzieć… odpowiedzialność prawna Udostępnianie swobodnego dostępu do sieci bezprzewodowej ma pewne implika- cje prawne. Ochrona społeczności przed wytoczeniem sprawy sądowej jest ważnym zastosowaniem technologii portalu przechwytującego. Portal ten służy też jako waż- ne narzędzie edukacyjne uświadamiające użytkowników o bezpieczeństwie i własnej odpowiedzialności w tej kwestii. Przygotowania Wiele funkcji opisanych w tym rozdziale wykorzystuje zaporę sieciową open source o nazwie m0n0wall (zapora ta będzie dokładniej omówiona w rozdziale 6.). Zespół m0n0wall tworzą programiści, którzy zebrali się, aby zbudować system w nowym stylu z wygodnym, opartym na WWW mechanizmem konfiguracji. Interfejs graficzny uła- twia konfigurację portalu przechwytującego m0n0wall i wirtualnych sieci prywatnych (VPN — Virtual Private Network) opartych na protokole PPTP (Point-to-Point Tunne- ling Protocol). PPTP-VPN służy jako zaszyfrowany tunel, którego użytkownicy mogą używać, by chronić się przed podsłuchiwaniem za strony innych użytkowników sieci. Pokażemy, jak wykorzystać obie funkcje do zwiększenia bezpieczeństwa naszej sąsiedz- kiej sieci bezprzewodowej. Przygotowania sieci do zainstalowania portalu przechwytującego wymagają trzech kroków: 54 Część I ♦ Wprowadzenie 1. Zaprojektowania i zbudowania sieci z myślą o bezpieczeństwie. 2. Wyboru oprogramowania i sprzętu dla portalu przechwytującego. 3. Instalacji i konfiguracji m0n0wall. Struktura sieci nastawiona na bezpieczeństwo Budowanie bezpiecznej sieci bezprzewodowej zaczyna się od bezpiecznej architektury naszej tradycyjnej sieci kablowej. Będziemy kierować się zasadą ograniczania dostę- pu tylko do niezbędnych usług. Ta zasada w świecie zabezpieczeń jest lepiej znana pod nazwami „default deny” (odmawianie domyślnie) i „least priviledge” (minimalny nie- zbędny poziom przywilejów). Osiągnięcie tego celu zaczyna się od dobrego projektu ogólnego. Rysunek 3.1 przedstawia układ sieci sąsiedzkiej node0 zbudowanej przez SoCalFreeNet — przykład jednego z możliwych sposobów, jak skonfigurować prosty, jednowęzłowy hotspot w obszarze mieszkalnym. Rysunek 3.1. Przykład bezpiecznej architektury sieci Taka struktura sieci chroni członków społeczności lokalnej, którzy udostępniają sieć sąsiedzką. Serwer m0n0wall służy jako portal przechwytujący i koncentrator VPN PPTP dla klientów bezprzewodowych. Punkt dostępowy Cisco służy jako proste radio dostę- powe dla klientów. Po kupieniu tego konkretnego urządzenia Cisco 1120 zdaliśmy sobie sprawę, że nie pozwala ono podłączyć anteny zewnętrznej. Dobudowaliśmy więc zaraz Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 55 do punktu dostępowego zewnętrzne złącze SMC. Zmodyfikowane urządzenie Cisco jest podłączone do dookólnej anteny 15,3 dBi umieszczonej na dachu domu jednego z członków grupy. Dom i antena zostały pominięte na rysunku, lecz widać na nim lo- giczną infrastrukturę obsługującą ten węzeł SoCalFreeNet. Niektóre węzły SoCalFre- eNet są pojedynczymi, niezależnymi punktami dostępowymi w domach użytkowników, podczas gdy inne należą do większego systemu przekazywania o topologii gwiaździstej (o którym wspomnieliśmy w rozdziale 2.). Punkty dostępowe można też instalować w ramach systemu Sputnik (patrz rozdział 8.). Ostrzeżenie: Zagrożenie dla sprzętu Wszystkie zewnętrzne połączenia muszą być zabezpieczone przed wpływami atmos- ferycznymi. Woda może przedostawać się do złączy i powodować z upływem czasu straty sygnału. Istnieje wiele różnych opinii co do poprawnych technik zabezpieczania sprzętu przed wpływami atmosferycznymi. Pod poniższym adresem została opisana jedna z możliwych: www.qsl.net/n9zia/wireless/sealing_andrews_connectors.html. Schemat sieci z rysunku 3.1 przedstawia połączenia tylko na podstawowym poziomie. Istnieje skomplikowany zestaw reguł gwarantujący, że użytkownicy mogą tylko wyjść do Internetu, a zarazem pozwalający administratorom na zarządzanie infrastrukturą. Ochrona środowiska wymaga poprawnej konfiguracji na wszystkich poziomach. Warto wiedzieć… Utrata gwarancji Modyfikacja sprzętu przez dodanie złącza zewnętrznej anteny powoduje utratę gwa- rancji Cisco. Ten konkretnie model punktu dostępowego spełniał nasze wymogi co do mocy wyjściowej, lecz nie pozwalał podłączyć anteny zewnętrznej… tak szczerze mówiąc, chcieliśmy po prostu sprawdzić, czy możemy to zrobić. Wybór sprzętu i oprogramowania dla portalu przechwytującego Kolejnym krokiem przygotowań będzie wybór urządzenia i oprogramowania do roli portalu przechwytującego. Podstawowe zadanie portalu polega na dostarczaniu infor- macji o warunkach świadczenia usług, gdy użytkownik próbuje się połączyć po raz pierwszy. Dostarczenie tej informacji może się odbyć technicznie na kilka sposobów. Ponieważ wiele z naszych projektów sieci bezprzewodowych ma ograniczenia mocy zasilania, nasze możliwości wyboru są ograniczone do portali przechwytujących, które mogą pracować w urządzeniach wbudowanych. Są to miniaturowe komputery z zain- stalowanymi różnorodnymi „odchudzonymi” wersjami Uniksa. Wiele z tych wersji systemów współpracuje z urządzeniami Soekris (www.soekris.com). Oto kilka przykła- dów konfiguracji tych małych, wygodnych urządzeń:    net4501-30: procesor 133 MHz, 64 MB SDRAM, 3 porty Ethernet, 2 szeregowe, gniazdo CF, 1 gniazdo Mini-PCI, złącze PCI 3,3V. net4521-30: procesor 133 MHz, 64 MB SDRAM, 3 porty Ethernet, 1 szeregowy, gniazdo CF, 1 gniazdo Mini-PCI, dwa gniazda PC-Card, PoE. net4801-50: procesor 266 MHz, 128 MB SDRAM, 3 porty Ethernet, 2 szeregowe, złącze USB, gniazdo CF, 44-stykowe złącze IDE, 1 gniazdo Mini-PCI, złącze PCI 3,3V. 56 Część I ♦ Wprowadzenie Jak widać, urządzenia te mają wiele funkcji małego komputera upakowanych do małe- go pudełka. Pozwalają nam korzystać z zaawansowanych rozwiązań, wymagając zara- zem minimum miejsca i energii. Dla tej konkretnie implementacji wybraliśmy net4801. Większa „moc przerobowa” tego urządzenia pozwala nam poradzić sobie z dodatko- wym obciążeniem powodowanym przez usługę PPTP-VPN omówioną w dalszej części rozdziału. Rysunki 3.2 i 3.3 przedstawiają widok urządzenia z zewnątrz i od środka. Więcej informacji o sprzęcie Soekris zawiera rozdział 4. Rysunek 3.2. Widoki z zewnątrz Rysunek 3.3. Widok wnętrza Po dokonaniu wyboru sprzętu wybór oprogramowania był już łatwy. Ponieważ zde- cydowaliśmy się na komputer jednopłytowy, skupiliśmy się na Pebble (omówionym dokładniej w rozdziale 6.) i m0n0wall. Obie dystrybucje obsługują portale przechwy- tujące. Pebble zawiera NoCat, podczas gdy autorzy m0n0wall napisali własny portal. Pebble to sympatyczna dystrybucja Debiana zawierająca sterowniki HostAP, serwer DHCP (Dynamic Host Configuration Protocol), serwer DNS, serwer WWW i oczywi- ście SSH. Autorzy m0n0wall poszli drogą zapory sieciowej i zdecydowali się na obsłu- gę routingu, NAT, DHCP, IPSec/PPTP, buforowania DNS, DynDNS, SNMP, sterow- ników urządzeń bezprzewodowych i kształtowania ruchu. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 57      NAT (Network Addres Translation — translacja adresów sieciowych): mechanizm pozwalający zredukować zapotrzebowanie na globalnie unikatowe adresy IP. NAT pozwala organizacjom używającym nieunikatowych globalnie adresów IP łączyć się z Internetem, przekładając te adresy na przestrzeń adresów publicznych. Inaczej Network Address Translator. DHCP (Dynamic Host Configuration Protocol — protokół dynamicznej konfiguracji hostów): mechanizm dynamicznego przydzielania adresów IP, dzięki czemu adres można wykorzystać ponownie, gdy host go już nie potrzebuje. Buforowanie DNS: mechanizm przechowujący w pamięci informacje DNS i przyspieszający odpowiedź na powtarzające się zapytania DNS. DynDNS: pozwala urządzeniu używać zewnętrznego adresu DHCP, a jednocześnie oferować usługi wymagające statycznego adresu IP (serwer WWW, serwer pocztowy itp.). Zwykle stosuje się w połączeniu z dostawcą dynamicznego DNS, aby zapewnić usługę dla użytkowników DHCP. SNMP (Simple Network Management Protocol — prosty protokół zarządzania sieciami): protokół do zarządzania sieciami, używany niemal wyłącznie w sieciach TCP/IP. SNMP pozwala monitorować i sterować urządzeniami sieciowymi oraz zarządzać konfiguracjami, wydajnością i bezpieczeństwem. SNMP nadaje się też doskonale do gromadzenia statystyk (patrz rozdział 7.). Kolejną opcją systemu sieciowego dla komputerów jednopłytowych jest Linux Em- bedded Appliance Firewall (LEAF); patrz http://leaf.sourceforge.net. Ta dystrybucja udostępnia usługi warstwy sieciowej i może obsługiwać portal przechwytujący NoCat. Portal trzeba jednakże zainstalować osobno. Obrazy systemu Pebble zawierają NoCat dołączony do systemu i wstępnie zainstalowany. Wprawdzie Pebble oferuje dużą elastyczność i doskonale nadaje się do scenariuszy wielowęzłowych (zwłaszcza dzięki obsłudze chipsetu Atheros), lecz w mniejszych scenariuszach często wybieramy m0n0wall z uwagi na prostotę i doskonały interfejs użytkownika. m0n0wall mieści duże możliwości na 8-megabajtowej karcie Compact Flash (CF) i zawiera wygodny interfejs zarządzania pokazany na rysunku 3.4. Po wybraniu sprzętu i oprogramowania pod m0n0wall możemy po prostu zainstalować zaporę sieciową. Witryna m0n0wall (www.m0n0.ch/wall/installation.php) zawiera do- skonałe instrukcje, jak przeprowadzić ten stosunkowo prosty proces. Ogólnie mówiąc, wystarczy zapisać obraz Soekris na karcie CF, włożyć kartę CF do gniazda i włączyć zasilanie. Interfejs Soekris oparty na WWW ma domyślnie ustawiony adres 192.168.1.1/ 24 z włączonym DHCP. Aby zacząć zarządzać urządzeniem, należy podłączyć się do portu eth0 i otrzymać adres IP. Jak widać, interfejs jest bardzo intuicyjny. Rozdział 6. zawiera bardziej szczegółowe, krok po kroku, instrukcje instalacji Pebble i m0n0wall. Po wejściu do konfiguracji musimy podać adresy IP dla portów sieci lokalnej (LAN) i rozległej (WAN). Mając te porty zdefiniowane, będziemy mogli zmieniać wszelkie opcje związane z zaporą sieciową, zgodnie z wymogami środowiska. Po pełnym skon- figurowaniu i przetestowaniu środowiska pora przejść do portalu przechwytującego. 58 Część I ♦ Wprowadzenie Rysunek 3.4. Interfejs zarządzania m0n0wall Uwaga… Różnorodne środowiska Przykład przedstawiony w tym rozdziale używa odrębnego punktu dostępowego, lecz wielu użytkowników woli wbudować bezprzewodową kartę sieciową bezpośrednio do systemu m0n0wall. Sieć można skonfigurować na wiele sposobów. Ważne tylko, by wszystko było uruchomione i przetestowane przed przejściem do następnego etapu. W tym rozdziale opisujemy konfigurację m0n0wall z zewnętrznym punktem dostępo- wym (Cisco 1120). W rozdziale 6. opiszemy konfigurację m0n0wall z bezprzewodową kartą sieciową w Soekris. Instalacja portalu przechwytującego Po zainstalowaniu i uruchomieniu m0n0wall możemy zacząć przechwytywać użytkow- ników do portalu. Dzięki interfejsowi graficznemu m0n0wall jest to proces szybki i łatwy. Kliknij po prostu opcję Captive Portal pod Services/Captive Portal, a następnie: 1. Zaznacz opcję Enable captive portal. 2. Kliknij przycisk Browse… pod Portal page contents i załaduj HTML przeznaczony dla portalu. Formułowanie umowy o warunkach świadczenia usług opiszemy w następnym podpunkcie. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 59 Uwaga… Serwery Radius m0n0wall obsługuje również uwierzytelnianie Radius. Wystarczy dodać nasz serwer w sekcji Radius Server. Rysunek 3.5 przedstawia zakładkę Captive Portal. Zakładki Pass-through MAC i Allo- wed IP Addresses omówimy w dalszej części rozdziału. Rysunek 3.5. Zakładka Captive Portal Pisanie własnych warunków świadczenia usług Portal przechwytujący jest już na chodzie, więc następnym krokiem będzie napisanie umowy o warunkach świadczenia usług. Umowa ta instruuje użytkownika o zakresie jego odpowiedzialności przy korzystaniu z sieci i chroni operatorów przed odpowie- dzialnością prawną. W tym lubującym się w sprawach sądowych świecie nawet dawanie za darmo bezprzewodowego dostępu niesie ze sobą pewne ryzyko. Umowa na stronie portalu przechwytującego uświadamia użytkowników i pozwala operatorom sieci sku- piać się bardziej na budowaniu lepszych sieci bezprzewodowych. W SoCalFreeNet używamy umowy, która mówi mniej więcej: „Masz tu darmowy dostęp bezprzewodowy. Nie nadużywaj go, bo ci go zabierzemy. Przestrzegaj prawa i bądź miły dla innych użytkowników”. 60 Część I ♦ Wprowadzenie Dalej umowa zawiera kilka mocnych stwierdzeń zwalniających SoCalFreeNet i wła- ściciela sprzętu od odpowiedzialności, jeśli użytkownik zrobi coś głupiego, np. poliże punkt dostępowy podłączony do zasilania. Wprawdzie zdajemy sobie sprawę, że nie- które przepisy prawne mogą być dziwne, lecz nikt nie chce pójść siedzieć za zachowa- nie głupiego użytkownika. Niektórzy użytkownicy po prostu podejmują nieprzemyślane decyzje, a nie chcemy, by społeczność sieciowa i operatorzy ucierpieli na tym. Zapo- bieganie błędom jest dobrym podejściem, więc SoCalFreeNet szczyci się tym, że za- bezpiecza społeczność sieci bezprzewodowych tak, jak to tylko możliwe. Budowanie bezpiecznych systemów zwiększa przyjemność wszystkich użytkowników ze spacerów po „bezprzewodowym parku”. Sformułowanie naszej umowy z użytkownikami kosztowało mnóstwo wysiłku. Poprawne skonstruowanie takiego dokumentu wymaga pomocy ekspertów (prawników). Niestety, autorzy nie szczycą się znajomością prawa na poziomie eksperckim. Przy pisaniu umo- wy o warunkach świadczenia usług radzimy skontaktować się z dobrym prawnikiem zajmującym się technologią. Jeśli wynajęcie prawnika wykracza poza budżet projektu, radzimy skontaktować się z lokalną grupą użytkowników sieci bezprzewodowych lub z nami (www.socalfreenet.org) i poprosić o pomoc. Łącząc zasoby, możemy osiągnąć masę krytyczną i wykonać potrzebne zadania. Rysunek 3.6 przedstawia ekran umowy, którzy użytkownicy dostają przy pierwszej pró- bie otwarcia internetowej strony WWW. Po wyrażeniu zgody na warunki świadczenia użytkownik zostaje automatycznie połączony ponownie ze stroną WWW, której zażądał. Rysunek 3.6. Ekran umowy o warunkach świadczenia usług Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 61 Warto wiedzieć… Jak napisać poprawną umowę? Autorzy nie uważają się za ekspertów w dziedzinie prawa. Napisanie poprawnej umo- wy o współpracy z użytkownikiem wymaga ekspertyzy w dziedzinie prawa związane- go z technologią. Wydawca i autorzy zalecają skorzystanie z odpowiedniej pomocy prawnej przy tworzeniu dokumentów prawnych związanych z siecią. Grafika w portalu przechwytującym Mając w pełni funkcjonujący portal, możemy wyświetlić u użytkownika stronę WWW z naszą umową o warunkach świadczenia usług. Zazwyczaj tworzymy stronę z umową offline, a następnie ładujemy ją do urządzenia m0n0wall. Jednakże ładowanie strony zawierającej tylko kod HTML do m0n0wall ogranicza nasze możliwości wykorzystania grafiki. Grafika we wspomnianym wcześniej przykładzie wykorzystuje jedynie proste różnice w kolorach. Wyjście poza to ograniczenie wymaga drobnej zmiany w konfi- guracji i w naszej stronie portalu. Wprawdzie strona portalu nadaje się do wyświetlania tekstu, lecz m0n0wall nie pozwala ładować lokalnych obrazów (za mało miejsca na karcie CF). Strony WWW nabierają życia dzięki grafice. Logo grupy SoCalFreeNet jest miłym dodatkiem do naszej stro- ny z umową. Dodanie obrazów wymaga kilku prostych kroków: 1. Wybierz serwer WWW, który będzie mieścił grafikę. U nas jest to serwer WWW i dzienników zdarzeń mieszczący się po zewnętrznej stronie m0n0wall (WAN). 2. Gdy obrazy są już dostępne w sieci, dodaj do strony portalu znacznik IMG z pełnym adresem obrazu. Zamiast +/)54 ″KOCIGUNQIQIKH″ używamy +/)54 ″JVVRKOCIGUNQIQIKH″ . Mówi to przeglądarce użytkownika, by pobrać obraz dla strony portalu z innego serwera. W naszym przypadku jest to serwer WWW w naszej sieci. Uwaga… Problem z DNS-em Odkryliśmy, że portal przechwytujący nie przepuszcza DNS, zanim użytkownik nie za- akceptuje umowy. Aby sobie z tym poradzić, podajemy bezpośrednio adres IP zamiast nazwy hosta. Jeśli nie znasz adresu IP serwera, którego chcesz użyć, sprawdź go poleceniem RKPI. 3. Skonfiguruj portal przechwytujący m0n0wal tak, by dawał użytkownikom dostęp do adresu IP serwera mieszczącego obrazy. W tym celu kliknij Services/Captive Portal w lewym menu m0n0wall, następnie wybierz zakładkę Allowed IP addresses nad pozycjami do konfiguracji. Na koniec kliknij ikonę plusa po prawej stronie okna (patrz rysunek 3.7); adresem IP serwera jest 172.16.1.186. Wskazując adresy innych serwerów, upewnij się, czy administrator WWW zezwala na odwołania do swojej witryny. Jest to uznawane za dobrą etykietę w Sieci. Rysunek 3.8 przedstawia stronę umowy wzbogaconą o logo SoCalFreeNet. Możemy pójść jeszcze dalej, używając np. ramek. Otwarcie umysłu na innowacje często daje ciekawe wyniki. Członkowie SoCalFreeNet wciąż starają się twórczo zwiększać przy- jemność i bezpieczeństwo korzystania z sieci przez lokalne społeczności. 62 Część I ♦ Wprowadzenie Rysunek 3.7. Ekran Allowed IP addresses Rysunek 3.8. Strona umowy z logo SoCalFreeNet Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 63 Warto wiedzieć… Zgoda administratora Przed umieszczeniem w portalu przechwytującym odwołania bezpośrednio do grafiki mieszczącej się w serwerze WWW należy uzyskać na to zgodę administratora WWW tego serwera. Budowanie VPN z PPTP Realia i wyzwania otwartych sieci bezprzewodowych prowadzą do powstawania wielu interesujących rozwiązań. Pojawienie się szyfrowania WEP (Wired Equivalent Privacy) dało wczesną formę ochrony. Solidność tego rozwiązania kruszyła się w miarę, jak ana- litycy zabezpieczeń znajdowali punkty podatne na atak, a krakerzy zaczęli łamać szy- fry. Słabości tego mechanizmu szyfrowania doprowadziły do powstania WPA (Wi-Fi Protected Access), a później 802.1x. Obecnie mechanizm WPA też trafił pod lupę, ponieważ analitycy zaczęli znajdować w nim problemy. Niektórzy przypuszczają, że problemy te doprowadzą do upadku WPA. Ponieważ WPA stoi na niepewnym gruncie, postanowiliśmy szukać innych rozwiązań. Wprawdzie technologie 802.1x są obiecu- jące, lecz wymagają zainstalowania znaczącej infrastruktury. Co więcej, instalowanie tej technologii w starszych systemach operacyjnych bywa problematyczne. Opracowanie zabezpieczeń wymaga cierpliwości i pomysłowości. Wielu kreatywnych użytkowników przechodzi na technologię wirtualnych sieci prywatnych (VPN), dającą wyższy poziom ochrony. Ewolucja w stronę technologii VPN pomaga użytkownikom cieszyć się łącznością bezprzewodową. Dla naszej bezprzewodowej VPN wybraliśmy PPTP. Wprawdzie z protokołem PPTP są pewne problemy, lecz wiele luk w bezpie- czeństwie już zostało naprawionych. Jeśli chodzi o problem ataków ze zgadywaniem haseł, używamy długich i skomplikowa- nych, aby znacznie zmniejszyć ryzyko. Chociaż PPTP nadal prezentuje pewne zagrożenia, uważamy, że zaoferowane rozwiązanie jest znacznym postępem w stosunku do prze- syłania informacji w sieci sąsiedzkiej otwartym tekstem. To oczywiste, że w każdym projekcie bezprzewodowym muszą być stosowane narzędzia do szyfrowania wygodne dla użytkowników. W wielu naszych węzłach szyfrowanie nie jest w ogóle stosowane, ponieważ użytkownicy wolą podejście „otwarte”. Takie rozwiązanie jest wprawdzie mniej bezpieczne, lecz łatwiej je wdrożyć i obsługiwać. Podobnie jak we wszystkich decyzjach związanych z bezpieczeństwem, musimy sami ocenić sytuację i znaleźć kom- promis pomiędzy bezpieczeństwem a użytecznością. Uwaga… Wczesne problemy z PPTP W roku 1998 słynni analitycy zabezpieczeń, Schneier i Mudge, opublikowali przeło- mowy dokument (www.schneier.com/pptp.html) o słabościach implementacji PPTP Microsoftu. Microsoft naprawił wiele z opisanych problemów w następnych wersjach (poprawki wymagają aktualizacji DUN 1.3), jednakże zagrożenie odgadnięcia hasła nadal jest aktualne. Stosowanie złożonych haseł, dłuższych niż 14 znaków, pozwa- la poważnie zmniejszyć zagrożenie. 64 Część I ♦ Wprowadzenie Przygotowania Gdy nabierzemy więcej pewności, że takiego rozwiązania VPN chcemy, możemy przejść do implementacji. Wymogi wstępne są takie same jak w przypadku opisanego wcześniej portalu przechwytującego. Musimy zainstalować oprogramowanie m0n0wall, skonfi- gurować porty i przetestować łączność. Pomoże to zapewnić, że będziemy koncentro- wać się na konfiguracji VPN zamiast na innych problemach z konfiguracją. Ostrzeżenie: Zagrożenie dla sprzętu Wprawdzie tunel PPTP daje ochronę użytkownikom na tyle mądrym, by z niego korzy- stać, lecz nasza sieć nadal pozwala łączyć się otwartym tekstem. Ponieważ wielu użytkowników sieci bezprzewodowej nie ma wystarczającej wiedzy o bezpieczeństwie, by rozumieć zagrożenia biorące się z komunikacji otwartym tekstem, musimy aktyw- nie szkolić użytkowników i egzekwować używanie zabezpieczeń. Instalacja VPN Konfiguracja VPN składa się z dwóch głównych etapów. Pierwszy koncentruje się na konfiguracji urządzenia m0n0wall, natomiast drugi na konfiguracji klientów. Na szczę- ście klient PPTP jest wbudowany w wiele wersji Windows, w tym Windows 95, NT, 2000, XP i nowsze. Po stronie serwera m0n0wall w wersji 1.1 obsługuje tunele IPSec i PPTP. Skonfiguro- wanie PPTP z użyciem interfejsu WWW m0n0wall jest proste: 1. Wybierz opcję VPN/PPTP z paska menu po lewej stronie. Zwróć uwagę na zakładki Configuration i Users na górze strony. Podczas konfiguracji będziemy używać obu. 2. Na zakładce Configuration zaznacz pole wyboru Enable PPTP server. 3. W polu Server address wpisz adres serwera PPTP. Jest to adres systemu m0n0wall, którego klienty będą używać po podłączeniu swoich tuneli VPN. W naszym przykładzie serwer ma adres 10.13.37.2. Jest to po prostu IP bezpośrednio ponad adresem bramy domyślnej po stronie LAN. Pamiętaj, by podać adres spoza zakresu DHCP zdefiniowanego w menu DHCP/Services. 4. Wpisz adres sieci w polu Remote address range. Jeśli nie masz doświadczenia z podsieciami i nie wiesz, jak wybrać odpowiedni adres sieci /28, sugeruję wpisać zero w ostatnim oktecie. W naszym przykładzie został wybrany zakres 192.168.13.0. 5. Możesz opcjonalnie włączyć wymuszanie szyfrowania 128-bitowego. Zalecamy to, o ile nie zdarzy się jakiś konflikt z użytkownikiem. 6. Kliknij Save na dole strony. Na górze strony pojawi się komunikat „The changes have been applied successfully” (patrz rysunek 3.9.). Mamy teraz działający serwer PPTP w systemie m0n0wall; wystarczy jeszcze dodać konta użytkowników. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 65 Rysunek 3.9. Konfiguracja VPN: PPTP 7. Pozostając w menu VPN/PPTP, kliknij zakładkę Users w górnej części ekranu. 8. Kliknij ikonę w kształcie plusa po prawej stronie ekranu. Pojawi się ekran dodawania nowego użytkownika (patrz rysunek 3.10). Rysunek 3.10. Ekran edycji użytkownika 66 Część I ♦ Wprowadzenie 9. W polu Username wpisz pożądaną nazwę logowania. W naszym przykładzie użyliśmy nazwy QOOWPKV[7UGT. 10. W polu Password wpisz dwukrotnie długie i skomplikowane hasło. Pod pojęciem „skomplikowane” rozumiemy wykorzystanie cyfr, liter wielkich i małych i znaków specjalnych (np. ). Jedna z wygodnych metod mnemotechnicznych polega na użyciu pierwszych liter kolejnych słów piosenki. Na przykład, (nie używaj tego przykładu w swoim środowisku!) „Mary had a little lamb, A little lamb, And its fleece was white as snow” da hasło /JCNN#NN#KHYYCU. Dodaliśmy cyfrę 2 na początek i na koniec hasła, by zwiększyć złożoność. Warto wiedzieć… hasła w systemie m0n0wall W chwili publikacji tej książki m0n0wall nie pozwalał na używanie znaków specjal- nych (` @ …). Jeśli nowsza wersja m0n0wall pozwala na to, zde- cydowanie zalecamy korzystanie ze znaków specjalnych. Zwiększa to wykładniczo trudność złamania hasła. 11. W polu IP address wpisz IP, który ten użytkownik zawsze otrzyma. Zdecydowanie zalecamy skorzystać z tej opcji, ponieważ pozwala bezpośrednio skojarzyć wpisy w dziennikach PPTP z konkretnymi użytkownikami. Adres IP musi należeć do zakresu, który zdefiniowaliśmy w Remote address range na pierwszej zakładce (192.168.13.0/28). W naszym przykładzie wpisaliśmy pierwszy IP z zakresu (192.168.13.1). 12. Aby zmiany zaczęły obowiązywać, kliknij Apply changes na górze okna. Uwaga: ta czynność zerwie połączenia wszystkich użytkowników połączonych obecnie przez VPN PPTP. Ponieważ konfigurujemy VPN po raz pierwszy, nie powinno to sprawić problemu. Ponownie na górze ekranu pojawi się komunikat, że zmiany zostały wprowadzone. Rysunek 13.11 przedstawia ostateczny efekt. Rysunek 3.11. Ostateczny rezultat Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 67 13. Ostatnim krokiem wymaganym w konfiguracji m0n0wall jest utworzenie reguły zapory sieciowej pozwalającej na przesyłanie ruchu PPTP. Kliknij Firewall/Rules po lewej stronie. Pojawi się menu konfiguracyjne z jedną regułą zdefiniowaną już dla interfejsu LAN. 14. Ponownie kliknij ikonę plusa po prawej stronie ekranu konfiguracji. Jest tu jeszcze kilka innych ikon, w tym G dla edycji, Z do usuwania oraz strzałki do przenoszenia reguł w górę i w dół. m0n0wall przetwarza reguły zapory sieciowej z góry na dół. Rysunek 3.12 przedstawia ekran nowej reguły. Rysunek 3.12. Ekran edycji nowej reguły zapory sieciowej 15. Pojawi się ekran nowej reguły zapory sieciowej. Na tym ekranie zostaw w polu Action czynność Pass (przepuść). 16. Zaznacz opcję PPTP w polu listy rozwijanej Interface. 17. W polu Protocol wybierz opcję TCP/UDP. 18. Dla reszty pól możesz zostawić ustawienia
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Wireless Hacking. Edycja polska
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: