• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Wireless Hacking. Edycja polska
 

Wireless Hacking. Edycja polska

on

  • 1,257 views

Odkryj nieznane możliwości urządzeń do budowania sieci bezprzewodowych...

Odkryj nieznane możliwości urządzeń do budowania sieci bezprzewodowych


* Zaprojektuj sieci bezprzewodowe
* Poznaj rodzaje urządzeń dostępowych
* Naucz się monitorować działanie sieci
* Modyfikuj i dostosuj sprzęt sieciowy

Sieci bezprzewodowe stają się coraz popularniejsze. Producenci sprzętu prześcigają się we wprowadzaniu na rynek coraz nowszych i prostszych w obsłudze urządzeń. Wszystkie te urządzenia posiadają jednak podstawową wadę -- są projektowane pod kątem możliwie najszerszego rynku, co niestety wyklucza zastosowanie ich w sposób odbiegający od tego, czego -- zdaniem ich producentów -- może oczekiwać użytkownik. Na szczęście jednak istnieją ludzie, którzy nie obawiają się rozkręcania takich urządzeń i modyfikowania ich tak, aby spełniały nieco wyższe oczekiwania, stawiane przez użytkowników sieci bezprzewodowych.

Jeśli chcesz zostać kimś takim i jesteś ciekawy, jak można wycisnąć maksimum możliwości z urządzeń sieci bezprzewodowej, przeczytaj książkę "Wireless hacking. Edycja polska". Dowiesz się z niej, jak projektować i instalować sieci bezprzewodowe, jak modyfikować urządzenia dostępowe, wyposażając je w pozornie niedostępne dla nich funkcje, i jak budować urządzenia sieciowe zasilane energią słoneczną. Nauczysz się konfigurować systemy operacyjne urządzeń bezprzewodowych, instalować anteny i poprawiać osiągi urządzeń sieciowych.

* Projektowanie sieci bezprzewodowych
* Bezpieczeństwo transmisji w sieciach bezprzewodowych
* Punkty dostępowe
* Systemy operacyjne dla urządzeń sieciowych
* Monitorowanie działania sieci
* Instalowanie anten
* Zasilanie słoneczne dla punktów dostępowych

Wykorzystaj wiadomości z tej książki do stworzenia idealnej sieci bezprzewodowej.

Statistics

Views

Total Views
1,257
Views on SlideShare
1,257
Embed Views
0

Actions

Likes
0
Downloads
5
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Wireless Hacking. Edycja polska Wireless Hacking. Edycja polska Document Transcript

    • IDZ DO PRZYK£ADOWY ROZDZIA£ SPIS TRE CI Wireless Hacking. Edycja polska KATALOG KSI¥¯EK Autorzy: Lee Barken i inni KATALOG ONLINE T³umaczenie: Adam Jarczyk ISBN: 83-7361-794-9 ZAMÓW DRUKOWANY KATALOG Tytu³ orygina³u: Wireless Hacking Format: B5, stron: 328 TWÓJ KOSZYK Odkryj nieznane mo¿liwo ci urz¹dzeñ do budowania sieci bezprzewodowych • Zaprojektuj sieci bezprzewodowe DODAJ DO KOSZYKA • Poznaj rodzaje urz¹dzeñ dostêpowych • Naucz siê monitorowaæ dzia³anie sieci • Modyfikuj i dostosuj sprzêt sieciowy CENNIK I INFORMACJE Sieci bezprzewodowe staj¹ siê coraz popularniejsze. Producenci sprzêtu prze cigaj¹ siê we wprowadzaniu na rynek coraz nowszych i prostszych w obs³udze urz¹dzeñ. ZAMÓW INFORMACJE O NOWO CIACH Wszystkie te urz¹dzenia posiadaj¹ jednak podstawow¹ wadê — s¹ projektowane pod k¹tem mo¿liwie najszerszego rynku, co niestety wyklucza zastosowanie ich w sposób odbiegaj¹cy od tego, czego — zdaniem ich producentów — mo¿e oczekiwaæ u¿ytkownik. ZAMÓW CENNIK Na szczê cie jednak istniej¹ ludzie, którzy nie obawiaj¹ siê rozkrêcania takich urz¹dzeñ i modyfikowania ich tak, aby spe³nia³y nieco wy¿sze oczekiwania, stawiane przez CZYTELNIA u¿ytkowników sieci bezprzewodowych. Je li chcesz zostaæ kim takim i jeste ciekawy, jak mo¿na wycisn¹æ maksimum FRAGMENTY KSI¥¯EK ONLINE mo¿liwo ci z urz¹dzeñ sieci bezprzewodowej, przeczytaj ksi¹¿kê „Wireless hacking. Edycja polska”. Dowiesz siê z niej, jak projektowaæ i instalowaæ sieci bezprzewodowe, jak modyfikowaæ urz¹dzenia dostêpowe, wyposa¿aj¹c je w pozornie niedostêpne dla nich funkcje, i jak budowaæ urz¹dzenia sieciowe zasilane energi¹ s³oneczn¹. Nauczysz siê konfigurowaæ systemy operacyjne urz¹dzeñ bezprzewodowych, instalowaæ anteny i poprawiaæ osi¹gi urz¹dzeñ sieciowych. • Projektowanie sieci bezprzewodowych • Bezpieczeñstwo transmisji w sieciach bezprzewodowych • Punkty dostêpowe • Systemy operacyjne dla urz¹dzeñ sieciowych • Monitorowanie dzia³ania sieci Wydawnictwo Helion • Instalowanie anten ul. Chopina 6 • Zasilanie s³oneczne dla punktów dostêpowych 44-100 Gliwice Wykorzystaj wiadomo ci z tej ksi¹¿ki do stworzenia tel. (32)230-98-63 idealnej sieci bezprzewodowej e-mail: helion@helion.pl
    • Spis treści Przedmowa...................................................................................... 17 Wstęp ............................................................................................. 19 Część I Wprowadzenie................................................................21 Rozdział 1. Krótki przegląd Wi-Fi........................................................................ 23 Wprowadzenie do Wi-Fi ................................................................................................. 23 Historia i podstawy 802.11.............................................................................................. 24 Litery i literki IEEE................................................................................................... 25 802.11b ............................................................................................................... 25 802.11a ............................................................................................................... 26 802.11g ............................................................................................................... 27 Tryby ad hoc i infrastrukturalny................................................................................ 28 Łączenie z punktem dostępu ............................................................................... 28 Przepisy FCC ............................................................................................................ 31 Przepisy FCC i IEEE .......................................................................................... 32 Dlaczego Wi-Fi? ............................................................................................................. 33 Zalety dla właścicieli nieruchomości ........................................................................ 34 Zalety dla ochotników............................................................................................... 35 Konsekwencje społeczne........................................................................................... 35 Bezpieczeństwo sąsiedzkich sieci bezprzewodowych............................................... 36 Ka dy komputer musi być chroniony ................................................................. 37 Odpowiedzialność prawna .................................................................................. 38 Ochrona sąsiedztwa ............................................................................................ 38 Podsumowanie ................................................................................................................ 39 Rozdział 2. SoCalFreeNet.org — budowanie dużych sąsiedzkich sieci bezprzewodowych ................. 41 Wprowadzenie................................................................................................................. 41 Wireless Distribution System (WDS).............................................................................. 42 Łącza 5 GHz.................................................................................................................... 43 Urządzenia klienckie ....................................................................................................... 44 Konkurencja wobec firm telefonicznych i kablowych..................................................... 46 Wyposa anie barów kawowych i sklepów ...................................................................... 47 Jak zaanga ować u ytkowników? ................................................................................... 48 Podsumowanie ................................................................................................................ 49
    • 4 Wireless Hacking. Edycja polska Rozdział 3. Bezpieczeństwo sieci bezprzewodowej.............................................. 51 Wprowadzenie................................................................................................................. 51 Portal przechwytujący ..................................................................................................... 53 Przygotowania........................................................................................................... 53 Struktura sieci nastawiona na bezpieczeństwo.................................................... 54 Wybór sprzętu i oprogramowania dla portalu przechwytującego ....................... 55 Instalacja portalu przechwytującego ......................................................................... 58 Pisanie własnych warunków świadczenia usług ................................................. 59 Grafika w portalu przechwytującym ................................................................... 61 Budowanie VPN z PPTP................................................................................................. 63 Przygotowania........................................................................................................... 64 Instalacja VPN .......................................................................................................... 64 Konfiguracja u ytkowników sieci............................................................................. 68 Edukacja u ytkowników sieci bezprzewodowej.............................................................. 72 Przygotowania........................................................................................................... 72 Początek i koniec ...................................................................................................... 73 Inne metody..................................................................................................................... 74 Część II Projekty.........................................................................75 Rozdział 4. Bezprzewodowe punkty dostępowe................................................... 77 Wprowadzenie................................................................................................................. 77 Wi-Fi i Linux................................................................................................................... 77 Przeprogramowanie................................................................................................... 78 Linksys WRT54g ...................................................................................................... 78 Sveasoft............................................................................................................... 79 NewBroadcom .................................................................................................... 87 HyperWRT.......................................................................................................... 88 eWRT.................................................................................................................. 88 Wifi-box.............................................................................................................. 90 Batbox................................................................................................................. 92 OpenWRT........................................................................................................... 93 Niedostatki WRT54g ................................................................................................ 93 Komputery jednopłytowe Soekris ................................................................................... 93 net4501...................................................................................................................... 94 net4511...................................................................................................................... 94 net 4521..................................................................................................................... 96 net4526...................................................................................................................... 97 net4801...................................................................................................................... 97 Akcesoria Soekris...................................................................................................... 98 Punkt dostępowy 802.11a Proxim 8571 .......................................................................... 99 Przygotowanie do przeróbki.................................................................................... 101 Przeróbka ................................................................................................................ 101 Zaglądamy pod maskę. Jak to działa? ..................................................................... 105 Podsumowanie .............................................................................................................. 110 Rozdział 5. Klienckie bezprzewodowe urządzenia dostępowe............................. 111 Wprowadzenie............................................................................................................... 111 Notebooki...................................................................................................................... 111 Karty PCMCIA ....................................................................................................... 112 Karty Mini-PCI ....................................................................................................... 112 Komputery biurkowe..................................................................................................... 113 Karty PCI ................................................................................................................ 114 Urządzenia USB...................................................................................................... 114 Mosty Ethernet........................................................................................................ 116
    • Spis treści 5 PDA............................................................................................................................... 117 Compact Flash......................................................................................................... 117 Karty Secure Digital IO........................................................................................... 117 Polowanie na sieci bezprzewodowe .............................................................................. 119 Do czego jest potrzebny WarDriving? .................................................................... 119 Przygotowania......................................................................................................... 120 Wyposa enie wymagane................................................................................... 120 Oprogramowanie do WarDriving...................................................................... 121 Wyposa enie opcjonalne .................................................................................. 122 Etyka WarDriving ................................................................................................... 125 Inne zasoby.................................................................................................................... 126 Część III Projekty programistyczne .............................................127 Rozdział 6. Systemy operacyjne dla urządzeń bezprzewodowych........................ 129 Wprowadzenie............................................................................................................... 129 m0n0wall — potę na, elegancka, prosta ....................................................................... 131 Przygotowania......................................................................................................... 132 m0n0wall w standardowym PC ........................................................................ 132 m0n0wall w komputerze jednopłytowym (SBC) .............................................. 133 Inne ustawienia konfiguracji ............................................................................. 134 Instalacja ................................................................................................................. 134 Pobieranie najnowszej wersji............................................................................ 134 Tworzenie płyty CD-ROM pod Windows ........................................................ 135 Nagrywanie karty Compact Flash pod Windows .............................................. 136 Instalacja standardowego PC ............................................................................ 138 Instalacja komputera jednopłytowego............................................................... 141 Konfiguracja m0n0wall..................................................................................... 144 Zaglądamy pod maskę............................................................................................. 156 Dystrybucja Pebble — potę na, surowa, kompletna ..................................................... 157 Przygotowania......................................................................................................... 158 Instalacja ................................................................................................................. 159 Tworzenie startowego CD i uruchomienie systemu Knoppix........................... 159 Konfiguracja czytnika Compact Flash .............................................................. 161 Formatowanie karty Compact Flash ................................................................. 162 Pobieranie Pebble ............................................................................................. 164 Kopiowanie Pebble na kartę CF........................................................................ 164 Uruchamianie Pebble ........................................................................................ 165 Konfiguracja Pebble.......................................................................................... 166 Zaglądamy pod maskę............................................................................................. 168 Rozdział 7. Monitorowanie sieci....................................................................... 169 Wprowadzenie............................................................................................................... 169 Obsługa SNMP.............................................................................................................. 170 Przygotowania......................................................................................................... 170 Konfiguracja............................................................................................................ 171 Zaglądamy pod maskę. Jak to działa? ..................................................................... 173 Getif — eksploracja SNMP w Microsoft Windows ...................................................... 173 Przygotowania......................................................................................................... 174 Działanie programu................................................................................................. 174 Pobieranie informacji o interfejsach urządzenia ............................................... 175 Eksploracja identyfikatorów OID SNMP ......................................................... 176 Wykresy danych ............................................................................................... 177 Zaglądamy pod maskę. Jak to działa? ..................................................................... 178
    • 6 Wireless Hacking. Edycja polska STG — wykresy SNMP dla Microsoft Windows.......................................................... 179 Przygotowania......................................................................................................... 180 Działanie programu................................................................................................. 180 Zaglądamy pod maskę. Jak to działa? ..................................................................... 182 Cacti — bogactwo wykresów dla sieci.......................................................................... 183 Przygotowania......................................................................................................... 184 Apache .............................................................................................................. 184 PHP................................................................................................................... 184 Perl.................................................................................................................... 184 RRDTool........................................................................................................... 185 MySQL ............................................................................................................. 185 Cacti.................................................................................................................. 185 Instalacja ................................................................................................................. 185 Instalacja Apache .............................................................................................. 186 Instalacja PHP................................................................................................... 187 Instalacja Perla.................................................................................................. 190 Instalacja RRDTool .......................................................................................... 190 Instalacja MySQL-a .......................................................................................... 190 Inne ustawienia ................................................................................................. 191 Instalacja Cactid i Cacti .................................................................................... 192 Zbieranie danych w Cacti ................................................................................. 196 Zaglądamy pod maskę. Jak to działa? ..................................................................... 201 Dodatkowe źródła informacji ........................................................................................ 202 Rozdział 8. Tanie rozwiązania komercyjne ........................................................ 203 Wprowadzenie............................................................................................................... 203 Sputnik .......................................................................................................................... 203 Punkty dostępowe Sputnik ...................................................................................... 204 Sputnik Control Center ........................................................................................... 206 Funkcje systemu Sputnik ........................................................................................ 206 Captive Portal ................................................................................................... 206 Pre-Paid Module ............................................................................................... 209 Rewolucja ............................................................................................................... 210 Sveasoft ......................................................................................................................... 211 MikroTik ....................................................................................................................... 213 Podsumowanie .............................................................................................................. 215 Rozdział 9. Sieci kratowe ................................................................................ 217 Wprowadzenie............................................................................................................... 217 Przygotowania......................................................................................................... 219 Podstawowe definicje.................................................................................................... 219 Wireless Distribution System.................................................................................. 222 Przykłady z ycia........................................................................................................... 224 BelAir Networks ..................................................................................................... 224 Sieci kratowe LocustWorld..................................................................................... 224 Podsumowanie .............................................................................................................. 225 Dodatkowe źródła w sieci ............................................................................................. 226 Część IV Anteny i obudowy do użytku na zewnątrz budynków.......227 Rozdział 10. Anteny .......................................................................................... 229 Wprowadzenie............................................................................................................... 229 Na początek — podstawowe pojęcia i definicje ............................................................ 230 Przepisy FCC .......................................................................................................... 235 Tłumienie w kablach, złączach i materiałach.................................................... 237 Uziemienie i ochrona odgromowa systemu............................................................. 239
    • Spis treści 7 Antena z puszki po kawie.............................................................................................. 240 Przygotowania......................................................................................................... 240 Monta .................................................................................................................... 241 Zaglądamy pod maskę. Jak to działa? ..................................................................... 243 Rozwiązywanie typowych problemów z antenami ................................................. 243 Przyszłość anten ............................................................................................................ 244 Podsumowanie .............................................................................................................. 245 Rozdział 11. Konstruowanie obudów i masztów antenowych ............................... 247 Wprowadzenie............................................................................................................... 247 Obudowy do u ytku na wolnym powietrzu ................................................................... 248 Przygotowania......................................................................................................... 248 Wybór „surowej” obudowy............................................................................... 249 Wybór elementów konstrukcyjnych.................................................................. 251 Monta .................................................................................................................... 253 Metalowe obudowy NEMA 3 ........................................................................... 253 Zaglądamy pod maskę............................................................................................. 260 Budowa masztów antenowych ...................................................................................... 261 Przygotowania......................................................................................................... 261 Instalacja ................................................................................................................. 262 Wolno stojący maszt antenowy......................................................................... 262 Maszty antenowe montowane bezpośrednio..................................................... 265 Ochrona przed piorunami.................................................................................. 268 Podsumowanie .............................................................................................................. 270 Rozdział 12. Punkty dostępowe i repeatery zasilane energią słoneczną ............... 271 Wprowadzenie............................................................................................................... 271 Przygotowania......................................................................................................... 272 Kalkulacja zapotrzebowania na energię ............................................................ 272 Wybór akumulatora .......................................................................................... 274 Wybór baterii słonecznej .................................................................................. 276 Budowa ................................................................................................................... 280 Konstrukcja mechaniczna ................................................................................. 281 Bateria słoneczna .............................................................................................. 281 Instalacja elektryczna........................................................................................ 283 Elektronika........................................................................................................ 287 Zaglądamy pod maskę. Jak to działa? ..................................................................... 288 Akumulatory ..................................................................................................... 289 Bateria słoneczna .............................................................................................. 289 Dodatki .......................................................................................291 Dodatek A Przeróbki urządzeń 802.11 ............................................................. 293 Wprowadzenie............................................................................................................... 293 Przeróbki bezprzewodowych kart sieciowych PCMCIA — dodajemy złącze anteny zewnętrznej ..................................................................... 294 Przygotowania......................................................................................................... 295 Przeróbka ................................................................................................................ 296 Zdjęcie obudowy............................................................................................... 297 Przeniesienie kondensatora ............................................................................... 298 Przytwierdzenie nowego złącza ........................................................................ 299 Zaglądamy pod maskę. Jak to działa? ..................................................................... 300 OpenAP (Instant802) — przeprogramowanie punktu dostępowego na Linuksa ........... 300 Przygotowania......................................................................................................... 301
    • 8 Wireless Hacking. Edycja polska Przeróbka ................................................................................................................ 302 Monta karty SRAM......................................................................................... 303 Włączenie urządzenia ....................................................................................... 305 Zaglądamy pod maskę. Jak to działa? ..................................................................... 305 Zabawa z punktem dostępowym Dell 1184................................................................... 306 Przygotowania......................................................................................................... 306 Zabawa.................................................................................................................... 307 Zaglądamy pod maskę. Jak to działa? ..................................................................... 310 Podsumowanie .............................................................................................................. 311 Dodatkowe zasoby ........................................................................................................ 311 Grupy u ytkowników.............................................................................................. 311 Badania i publikacje................................................................................................ 312 Produkty i narzędzia................................................................................................ 312 Skorowidz ..................................................................................... 315
    • Rozdział 3. Bezpieczeństwo sieci bezprzewodowej W tym rozdziale: Portal przechwytujący Budowanie VPN z PPTP Edukacja u ytkowników sieci bezprzewodowej Inne metody Wprowadzenie W SoCalFreeNet projektujemy sieci bezprzewodowe jako miejsca, w których ludzie z sąsiedztwa mogą odpocząć i przespacerować się po WWW. Bezpieczne przeglądanie stron WWW w sieci bezprzewodowej tworzy atmosferę wspólnoty, podobnie jak park miejski. Nasza grupa często u ywa analogii do parku, aby wyrazić cele działań przy budowaniu i utrzymywaniu sieci. Stworzyliśmy sąsiedzką sieć bezprzewodową, aby pozwolić zwykłym ludziom na łącze- nie się z Internetem za pomocą podstawowych urządzeń bezprzewodowych. Nacisk na to, by trzymać się podstaw, umo liwia korzystanie z sieci najró norodniejszym u yt- kownikiem, od elity technicznej a po babcie i dziadków mających po raz pierwszy w yciu kontakt z Siecią. Nowi u ytkownicy sieci bezprzewodowej mogą wchłonąć tylko ograniczoną ilość wiadomości, zanim przytłoczy ich technologia, więc staramy się, by dla takich u ytkowników zło oność zabezpieczeń miała określone granice. Bezpieczeństwo sieci bezprzewodowych oczywiście sprawia pewne problemy. Biorą się one przede wszystkim z fizycznej natury sygnałów bezprzewodowych. Sygnały komputerowe przesyłane tradycyjnymi sieciami kablowymi rozchodzą się w sposób o wiele bardziej kontrolowany, sterowany przez przełączniki, routery i zapory, które grają w sieci rolę „odźwiernych”. W przeciwieństwie do nich nasze sieci bezprzewodowe „rzucają pakietami” we wszystkie strony; pakiet zatrzymuje się dopiero wtedy, gdy
    • 52 Część I ♦ Wprowadzenie poziom sygnału spadnie w końcu na tyle, by inne urządzenia nie mogły słyszeć naszego sygnału. Czułe odbiorniki pozwalają nieraz odbierać sygnały z sieci bezprzewodowych z odległości kilku kilometrów (jeden z naszych u ytkowników zbudował z urządzeń Linksys na pustyni łącze o długości ponad 20 kilometrów bez dodatkowego wzmacnia- nia sygnałów). Oznacza to jednocześnie, e ktoś mo e próbować podsłuchiwać naszą sieć z du ej odległości. Tacy podsłuchiwacze przypominają nam o starej prawdzie, e jedni ludzie korzystają z techniki (bezprzewodowej) do osiągania pozytywnych celów, a inni będą u ywać naszej sieci do negatywnych działań. Tacy niegodziwi u ytkownicy często mogą stwa- rzać problemy innym ludziom i architektom naszej bezprzewodowej społeczności. I po- dobnie jak w parku, musimy podjąć odpowiednie działania, by wspólne dobro pozostało czyste — więc musimy pozbierać śmieci. U ytkownicy o złych zamiarach mogą stwarzać problemy, ogólnie mówiąc, na trzy sposoby: atakując innych u ytkowników w lokalnej sieci, atakując u ytkowników lub komputery w Internecie, popełniając przestępstwa w naszej sieci sąsiedzkiej. Przestępstwa zachodzą, gdy u ytkownik próbuje włamać się do komputera lub atakuje innych u ytkowników w Internecie. Mo e te wykorzystać połączenie z Internetem do pobierania pornografii dziecięcej lub przeprowadzania nielegalnych transakcji. Wszystkie te działania mogą potencjalnie narobić powa nych szkód w społeczności sieci, a nawet spowodować pociągnięcie do odpowiedzialności architektów sieci bez- przewodowej. Dlatego te nasi architekci zabrali się do szukania rozwiązań takich pro- blemów. Wprawdzie za bezpieczeństwo zawsze odpowiada u ytkownik, lecz są pewne kroki, które mo emy podjąć, aby zwiększyć bezpieczeństwo sieci. W niniejszym roz- dziale zostaną omówione następujące metody zwiększania bezpieczeństwa: Instalacja portalu przechwytującego. Pisanie własnych umów o zasadach korzystania z usług. Grafika dla portalu przechwytującego. Budowanie VPN z PPTP. Włączanie obsługi VPN. Konfiguracja u ytkowników w sieci sąsiedzkiej. Edukacja u ytkowników sieci bezprzewodowej. Początek i koniec. Niniejszy rozdział poświęcony jest przede wszystkim sposobom ochrony społeczności u ytkowników. Zawarty w nim materiał koncentruje się na nowatorskich podejściach do zagadnień bezpieczeństwa naszego bezprzewodowego „parku miejskiego”.
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 53 Portal przechwytujący Groźba spraw sądowych jest jedną z największych barier w tworzeniu bezpiecznych sieci ogólnodostępnych. Poza kwestiami prawnymi sieci stawiają wiele wyzwań zwią- zanych z bezpieczeństwem. Wprawdzie opisane tu zabezpieczenia rozwiązują wiele problemów i skracają listę zagro eń, lecz środki te są skuteczne tylko wtedy, gdy spo- łeczność u ytkowników z nich korzysta. Wielu u ytkowników chce się po prostu jak najszybciej połączyć z Internetem i całkowicie ignoruje bezpieczeństwo. Ta ignorancja jest inspiracją dla starego amerykańskiego powiedzenia: „Mo na zaprowadzić konia do wody, lecz nie mo na zmusić go do picia”. Idea portalu przechwytującego bierze się z kwestii prawnych związanych z u ytkowa- niem sieci bezprzewodowych. Poza zwiększeniem bezpieczeństwa portal jest wygod- nym narzędziem do dostarczania informacji i wskazówek społeczności u ytkowników. Narzędzie to „siedzi” po prostu w połączeniu z Internetem i przechwytuje pierwsze po- łączenie z WWW. Gdy nadchodzi pierwsze ądanie połączenia od u ytkownika, portal przechwytujący kieruje u ytkownika do strony zawierającej oświadczenie o odpowie- dzialności prawnej i wytyczne dla u ytkowników. Ta strona, często nazywana w lite- raturze Terms of Service (ToS — zasady świadczenia usługi), jest podstawą umowy prawnej społeczności sieci z u ytkownikiem. Tutaj u ytkownik mo e przeczytać o za- gadnieniach bezpieczeństwa w sieci. SoCalFreeNet wykorzystuje tę stronę do zachęca- nia u ytkowników, by podejmowali działania zapobiegawcze i u ywali pewnych bar- dziej zaawansowanych funkcji zabezpieczeń, które udostępniamy. Warto wiedzieć… odpowiedzialność prawna Udostępnianie swobodnego dostępu do sieci bezprzewodowej ma pewne implika- cje prawne. Ochrona społeczności przed wytoczeniem sprawy sądowej jest ważnym zastosowaniem technologii portalu przechwytującego. Portal ten służy też jako waż- ne narzędzie edukacyjne uświadamiające użytkowników o bezpieczeństwie i własnej odpowiedzialności w tej kwestii. Przygotowania Wiele funkcji opisanych w tym rozdziale wykorzystuje zaporę sieciową open source o nazwie m0n0wall (zapora ta będzie dokładniej omówiona w rozdziale 6.). Zespół m0n0wall tworzą programiści, którzy zebrali się, aby zbudować system w nowym stylu z wygodnym, opartym na WWW mechanizmem konfiguracji. Interfejs graficzny uła- twia konfigurację portalu przechwytującego m0n0wall i wirtualnych sieci prywatnych (VPN — Virtual Private Network) opartych na protokole PPTP (Point-to-Point Tunne- ling Protocol). PPTP-VPN słu y jako zaszyfrowany tunel, którego u ytkownicy mogą u ywać, by chronić się przed podsłuchiwaniem za strony innych u ytkowników sieci. Poka emy, jak wykorzystać obie funkcje do zwiększenia bezpieczeństwa naszej sąsiedz- kiej sieci bezprzewodowej. Przygotowania sieci do zainstalowania portalu przechwytującego wymagają trzech kroków:
    • 54 Część I ♦ Wprowadzenie 1. Zaprojektowania i zbudowania sieci z myślą o bezpieczeństwie. 2. Wyboru oprogramowania i sprzętu dla portalu przechwytującego. 3. Instalacji i konfiguracji m0n0wall. Struktura sieci nastawiona na bezpieczeństwo Budowanie bezpiecznej sieci bezprzewodowej zaczyna się od bezpiecznej architektury naszej tradycyjnej sieci kablowej. Będziemy kierować się zasadą ograniczania dostę- pu tylko do niezbędnych usług. Ta zasada w świecie zabezpieczeń jest lepiej znana pod nazwami „default deny” (odmawianie domyślnie) i „least priviledge” (minimalny nie- zbędny poziom przywilejów). Osiągnięcie tego celu zaczyna się od dobrego projektu ogólnego. Rysunek 3.1 przedstawia układ sieci sąsiedzkiej node0 zbudowanej przez SoCalFreeNet — przykład jednego z mo liwych sposobów, jak skonfigurować prosty, jednowęzłowy hotspot w obszarze mieszkalnym. Rysunek 3.1. Przykład bezpiecznej architektury sieci Taka struktura sieci chroni członków społeczności lokalnej, którzy udostępniają sieć sąsiedzką. Serwer m0n0wall słu y jako portal przechwytujący i koncentrator VPN PPTP dla klientów bezprzewodowych. Punkt dostępowy Cisco słu y jako proste radio dostę- powe dla klientów. Po kupieniu tego konkretnego urządzenia Cisco 1120 zdaliśmy sobie sprawę, e nie pozwala ono podłączyć anteny zewnętrznej. Dobudowaliśmy więc zaraz
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 55 do punktu dostępowego zewnętrzne złącze SMC. Zmodyfikowane urządzenie Cisco jest podłączone do dookólnej anteny 15,3 dBi umieszczonej na dachu domu jednego z członków grupy. Dom i antena zostały pominięte na rysunku, lecz widać na nim lo- giczną infrastrukturę obsługującą ten węzeł SoCalFreeNet. Niektóre węzły SoCalFre- eNet są pojedynczymi, niezale nymi punktami dostępowymi w domach u ytkowników, podczas gdy inne nale ą do większego systemu przekazywania o topologii gwiaździstej (o którym wspomnieliśmy w rozdziale 2.). Punkty dostępowe mo na te instalować w ramach systemu Sputnik (patrz rozdział 8.). Ostrzeżenie: Zagrożenie dla sprzętu Wszystkie zewnętrzne połączenia muszą być zabezpieczone przed wpływami atmos- ferycznymi. Woda może przedostawać się do złączy i powodować z upływem czasu straty sygnału. Istnieje wiele różnych opinii co do poprawnych technik zabezpieczania sprzętu przed wpływami atmosferycznymi. Pod poniższym adresem została opisana jedna z możliwych: www.qsl.net/n9zia/wireless/sealing_andrews_connectors.html. Schemat sieci z rysunku 3.1 przedstawia połączenia tylko na podstawowym poziomie. Istnieje skomplikowany zestaw reguł gwarantujący, e u ytkownicy mogą tylko wyjść do Internetu, a zarazem pozwalający administratorom na zarządzanie infrastrukturą. Ochrona środowiska wymaga poprawnej konfiguracji na wszystkich poziomach. Warto wiedzieć… Utrata gwarancji Modyfikacja sprzętu przez dodanie złącza zewnętrznej anteny powoduje utratę gwa- rancji Cisco. Ten konkretnie model punktu dostępowego spełniał nasze wymogi co do mocy wyjściowej, lecz nie pozwalał podłączyć anteny zewnętrznej… tak szczerze mówiąc, chcieliśmy po prostu sprawdzić, czy możemy to zrobić. Wybór sprzętu i oprogramowania dla portalu przechwytującego Kolejnym krokiem przygotowań będzie wybór urządzenia i oprogramowania do roli portalu przechwytującego. Podstawowe zadanie portalu polega na dostarczaniu infor- macji o warunkach świadczenia usług, gdy u ytkownik próbuje się połączyć po raz pierwszy. Dostarczenie tej informacji mo e się odbyć technicznie na kilka sposobów. Poniewa wiele z naszych projektów sieci bezprzewodowych ma ograniczenia mocy zasilania, nasze mo liwości wyboru są ograniczone do portali przechwytujących, które mogą pracować w urządzeniach wbudowanych. Są to miniaturowe komputery z zain- stalowanymi ró norodnymi „odchudzonymi” wersjami Uniksa. Wiele z tych wersji systemów współpracuje z urządzeniami Soekris (www.soekris.com). Oto kilka przykła- dów konfiguracji tych małych, wygodnych urządzeń: net4501-30: procesor 133 MHz, 64 MB SDRAM, 3 porty Ethernet, 2 szeregowe, gniazdo CF, 1 gniazdo Mini-PCI, złącze PCI 3,3V. net4521-30: procesor 133 MHz, 64 MB SDRAM, 3 porty Ethernet, 1 szeregowy, gniazdo CF, 1 gniazdo Mini-PCI, dwa gniazda PC-Card, PoE. net4801-50: procesor 266 MHz, 128 MB SDRAM, 3 porty Ethernet, 2 szeregowe, złącze USB, gniazdo CF, 44-stykowe złącze IDE, 1 gniazdo Mini-PCI, złącze PCI 3,3V.
    • 56 Część I ♦ Wprowadzenie Jak widać, urządzenia te mają wiele funkcji małego komputera upakowanych do małe- go pudełka. Pozwalają nam korzystać z zaawansowanych rozwiązań, wymagając zara- zem minimum miejsca i energii. Dla tej konkretnie implementacji wybraliśmy net4801. Większa „moc przerobowa” tego urządzenia pozwala nam poradzić sobie z dodatko- wym obcią eniem powodowanym przez usługę PPTP-VPN omówioną w dalszej części rozdziału. Rysunki 3.2 i 3.3 przedstawiają widok urządzenia z zewnątrz i od środka. Więcej informacji o sprzęcie Soekris zawiera rozdział 4. Rysunek 3.2. Widoki z zewnątrz Rysunek 3.3. Widok wnętrza Po dokonaniu wyboru sprzętu wybór oprogramowania był ju łatwy. Poniewa zde- cydowaliśmy się na komputer jednopłytowy, skupiliśmy się na Pebble (omówionym dokładniej w rozdziale 6.) i m0n0wall. Obie dystrybucje obsługują portale przechwy- tujące. Pebble zawiera NoCat, podczas gdy autorzy m0n0wall napisali własny portal. Pebble to sympatyczna dystrybucja Debiana zawierająca sterowniki HostAP, serwer DHCP (Dynamic Host Configuration Protocol), serwer DNS, serwer WWW i oczywi- ście SSH. Autorzy m0n0wall poszli drogą zapory sieciowej i zdecydowali się na obsłu- gę routingu, NAT, DHCP, IPSec/PPTP, buforowania DNS, DynDNS, SNMP, sterow- ników urządzeń bezprzewodowych i kształtowania ruchu.
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 57 NAT (Network Addres Translation — translacja adresów sieciowych): mechanizm pozwalający zredukować zapotrzebowanie na globalnie unikatowe adresy IP. NAT pozwala organizacjom u ywającym nieunikatowych globalnie adresów IP łączyć się z Internetem, przekładając te adresy na przestrzeń adresów publicznych. Inaczej Network Address Translator. DHCP (Dynamic Host Configuration Protocol — protokół dynamicznej konfiguracji hostów): mechanizm dynamicznego przydzielania adresów IP, dzięki czemu adres mo na wykorzystać ponownie, gdy host go ju nie potrzebuje. Buforowanie DNS: mechanizm przechowujący w pamięci informacje DNS i przyspieszający odpowiedź na powtarzające się zapytania DNS. DynDNS: pozwala urządzeniu u ywać zewnętrznego adresu DHCP, a jednocześnie oferować usługi wymagające statycznego adresu IP (serwer WWW, serwer pocztowy itp.). Zwykle stosuje się w połączeniu z dostawcą dynamicznego DNS, aby zapewnić usługę dla u ytkowników DHCP. SNMP (Simple Network Management Protocol — prosty protokół zarządzania sieciami): protokół do zarządzania sieciami, u ywany niemal wyłącznie w sieciach TCP/IP. SNMP pozwala monitorować i sterować urządzeniami sieciowymi oraz zarządzać konfiguracjami, wydajnością i bezpieczeństwem. SNMP nadaje się te doskonale do gromadzenia statystyk (patrz rozdział 7.). Kolejną opcją systemu sieciowego dla komputerów jednopłytowych jest Linux Em- bedded Appliance Firewall (LEAF); patrz http://leaf.sourceforge.net. Ta dystrybucja udostępnia usługi warstwy sieciowej i mo e obsługiwać portal przechwytujący NoCat. Portal trzeba jednak e zainstalować osobno. Obrazy systemu Pebble zawierają NoCat dołączony do systemu i wstępnie zainstalowany. Wprawdzie Pebble oferuje du ą elastyczność i doskonale nadaje się do scenariuszy wielowęzłowych (zwłaszcza dzięki obsłudze chipsetu Atheros), lecz w mniejszych scenariuszach często wybieramy m0n0wall z uwagi na prostotę i doskonały interfejs u ytkownika. m0n0wall mieści du e mo liwości na 8-megabajtowej karcie Compact Flash (CF) i zawiera wygodny interfejs zarządzania pokazany na rysunku 3.4. Po wybraniu sprzętu i oprogramowania pod m0n0wall mo emy po prostu zainstalować zaporę sieciową. Witryna m0n0wall (www.m0n0.ch/wall/installation.php) zawiera do- skonałe instrukcje, jak przeprowadzić ten stosunkowo prosty proces. Ogólnie mówiąc, wystarczy zapisać obraz Soekris na karcie CF, wło yć kartę CF do gniazda i włączyć zasilanie. Interfejs Soekris oparty na WWW ma domyślnie ustawiony adres 192.168.1.1/ 24 z włączonym DHCP. Aby zacząć zarządzać urządzeniem, nale y podłączyć się do portu eth0 i otrzymać adres IP. Jak widać, interfejs jest bardzo intuicyjny. Rozdział 6. zawiera bardziej szczegółowe, krok po kroku, instrukcje instalacji Pebble i m0n0wall. Po wejściu do konfiguracji musimy podać adresy IP dla portów sieci lokalnej (LAN) i rozległej (WAN). Mając te porty zdefiniowane, będziemy mogli zmieniać wszelkie opcje związane z zaporą sieciową, zgodnie z wymogami środowiska. Po pełnym skon- figurowaniu i przetestowaniu środowiska pora przejść do portalu przechwytującego.
    • 58 Część I ♦ Wprowadzenie Rysunek 3.4. Interfejs zarządzania m0n0wall Uwaga… Różnorodne środowiska Przykład przedstawiony w tym rozdziale używa odrębnego punktu dostępowego, lecz wielu użytkowników woli wbudować bezprzewodową kartę sieciową bezpośrednio do systemu m0n0wall. Sieć można skonfigurować na wiele sposobów. Ważne tylko, by wszystko było uruchomione i przetestowane przed przejściem do następnego etapu. W tym rozdziale opisujemy konfigurację m0n0wall z zewnętrznym punktem dostępo- wym (Cisco 1120). W rozdziale 6. opiszemy konfigurację m0n0wall z bezprzewodową kartą sieciową w Soekris. Instalacja portalu przechwytującego Po zainstalowaniu i uruchomieniu m0n0wall mo emy zacząć przechwytywać u ytkow- ników do portalu. Dzięki interfejsowi graficznemu m0n0wall jest to proces szybki i łatwy. Kliknij po prostu opcję Captive Portal pod Services/Captive Portal, a następnie: 1. Zaznacz opcję Enable captive portal. 2. Kliknij przycisk Browse… pod Portal page contents i załaduj HTML przeznaczony dla portalu. Formułowanie umowy o warunkach świadczenia usług opiszemy w następnym podpunkcie.
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 59 Uwaga… Serwery Radius m0n0wall obsługuje również uwierzytelnianie Radius. Wystarczy dodać nasz serwer w sekcji Radius Server. Rysunek 3.5 przedstawia zakładkę Captive Portal. Zakładki Pass-through MAC i Allo- wed IP Addresses omówimy w dalszej części rozdziału. Rysunek 3.5. Zakładka Captive Portal Pisanie własnych warunków świadczenia usług Portal przechwytujący jest ju na chodzie, więc następnym krokiem będzie napisanie umowy o warunkach świadczenia usług. Umowa ta instruuje u ytkownika o zakresie jego odpowiedzialności przy korzystaniu z sieci i chroni operatorów przed odpowie- dzialnością prawną. W tym lubującym się w sprawach sądowych świecie nawet dawanie za darmo bezprzewodowego dostępu niesie ze sobą pewne ryzyko. Umowa na stronie portalu przechwytującego uświadamia u ytkowników i pozwala operatorom sieci sku- piać się bardziej na budowaniu lepszych sieci bezprzewodowych. W SoCalFreeNet u ywamy umowy, która mówi mniej więcej: „Masz tu darmowy dostęp bezprzewodowy. Nie nadu ywaj go, bo ci go zabierzemy. Przestrzegaj prawa i bądź miły dla innych u ytkowników”.
    • 60 Część I ♦ Wprowadzenie Dalej umowa zawiera kilka mocnych stwierdzeń zwalniających SoCalFreeNet i wła- ściciela sprzętu od odpowiedzialności, jeśli u ytkownik zrobi coś głupiego, np. poli e punkt dostępowy podłączony do zasilania. Wprawdzie zdajemy sobie sprawę, e nie- które przepisy prawne mogą być dziwne, lecz nikt nie chce pójść siedzieć za zachowa- nie głupiego u ytkownika. Niektórzy u ytkownicy po prostu podejmują nieprzemyślane decyzje, a nie chcemy, by społeczność sieciowa i operatorzy ucierpieli na tym. Zapo- bieganie błędom jest dobrym podejściem, więc SoCalFreeNet szczyci się tym, e za- bezpiecza społeczność sieci bezprzewodowych tak, jak to tylko mo liwe. Budowanie bezpiecznych systemów zwiększa przyjemność wszystkich u ytkowników ze spacerów po „bezprzewodowym parku”. Sformułowanie naszej umowy z u ytkownikami kosztowało mnóstwo wysiłku. Poprawne skonstruowanie takiego dokumentu wymaga pomocy ekspertów (prawników). Niestety, autorzy nie szczycą się znajomością prawa na poziomie eksperckim. Przy pisaniu umo- wy o warunkach świadczenia usług radzimy skontaktować się z dobrym prawnikiem zajmującym się technologią. Jeśli wynajęcie prawnika wykracza poza bud et projektu, radzimy skontaktować się z lokalną grupą u ytkowników sieci bezprzewodowych lub z nami (www.socalfreenet.org) i poprosić o pomoc. Łącząc zasoby, mo emy osiągnąć masę krytyczną i wykonać potrzebne zadania. Rysunek 3.6 przedstawia ekran umowy, którzy u ytkownicy dostają przy pierwszej pró- bie otwarcia internetowej strony WWW. Po wyra eniu zgody na warunki świadczenia u ytkownik zostaje automatycznie połączony ponownie ze stroną WWW, której za ądał. Rysunek 3.6. Ekran umowy o warunkach świadczenia usług
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 61 Warto wiedzieć… Jak napisać poprawną umowę? Autorzy nie uważają się za ekspertów w dziedzinie prawa. Napisanie poprawnej umo- wy o współpracy z użytkownikiem wymaga ekspertyzy w dziedzinie prawa związane- go z technologią. Wydawca i autorzy zalecają skorzystanie z odpowiedniej pomocy prawnej przy tworzeniu dokumentów prawnych związanych z siecią. Grafika w portalu przechwytującym Mając w pełni funkcjonujący portal, mo emy wyświetlić u u ytkownika stronę WWW z naszą umową o warunkach świadczenia usług. Zazwyczaj tworzymy stronę z umową offline, a następnie ładujemy ją do urządzenia m0n0wall. Jednak e ładowanie strony zawierającej tylko kod HTML do m0n0wall ogranicza nasze mo liwości wykorzystania grafiki. Grafika we wspomnianym wcześniej przykładzie wykorzystuje jedynie proste ró nice w kolorach. Wyjście poza to ograniczenie wymaga drobnej zmiany w konfi- guracji i w naszej stronie portalu. Wprawdzie strona portalu nadaje się do wyświetlania tekstu, lecz m0n0wall nie pozwala ładować lokalnych obrazów (za mało miejsca na karcie CF). Strony WWW nabierają ycia dzięki grafice. Logo grupy SoCalFreeNet jest miłym dodatkiem do naszej stro- ny z umową. Dodanie obrazów wymaga kilku prostych kroków: 1. Wybierz serwer WWW, który będzie mieścił grafikę. U nas jest to serwer WWW i dzienników zdarzeń mieszczący się po zewnętrznej stronie m0n0wall (WAN). 2. Gdy obrazy są ju dostępne w sieci, dodaj do strony portalu znacznik <IMG> z pełnym adresem obrazu. Zamiast +/) 54%″KOCIGUNQIQIKH″ u ywamy +/) 54%″JVVRKOCIGUNQIQIKH″ . Mówi to przeglądarce u ytkownika, by pobrać obraz dla strony portalu z innego serwera. W naszym przypadku jest to serwer WWW w naszej sieci. Uwaga… Problem z DNS-em Odkryliśmy, że portal przechwytujący nie przepuszcza DNS, zanim użytkownik nie za- akceptuje umowy. Aby sobie z tym poradzić, podajemy bezpośrednio adres IP zamiast nazwy hosta. Jeśli nie znasz adresu IP serwera, którego chcesz użyć, sprawdź go poleceniem RKPI. 3. Skonfiguruj portal przechwytujący m0n0wal tak, by dawał u ytkownikom dostęp do adresu IP serwera mieszczącego obrazy. W tym celu kliknij Services/Captive Portal w lewym menu m0n0wall, następnie wybierz zakładkę Allowed IP addresses nad pozycjami do konfiguracji. Na koniec kliknij ikonę plusa po prawej stronie okna (patrz rysunek 3.7); adresem IP serwera jest 172.16.1.186. Wskazując adresy innych serwerów, upewnij się, czy administrator WWW zezwala na odwołania do swojej witryny. Jest to uznawane za dobrą etykietę w Sieci. Rysunek 3.8 przedstawia stronę umowy wzbogaconą o logo SoCalFreeNet. Mo emy pójść jeszcze dalej, u ywając np. ramek. Otwarcie umysłu na innowacje często daje ciekawe wyniki. Członkowie SoCalFreeNet wcią starają się twórczo zwiększać przy- jemność i bezpieczeństwo korzystania z sieci przez lokalne społeczności.
    • 62 Część I ♦ Wprowadzenie Rysunek 3.7. Ekran Allowed IP addresses Rysunek 3.8. Strona umowy z logo SoCalFreeNet
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 63 Warto wiedzieć… Zgoda administratora Przed umieszczeniem w portalu przechwytującym odwołania bezpośrednio do grafiki mieszczącej się w serwerze WWW należy uzyskać na to zgodę administratora WWW tego serwera. Budowanie VPN z PPTP Realia i wyzwania otwartych sieci bezprzewodowych prowadzą do powstawania wielu interesujących rozwiązań. Pojawienie się szyfrowania WEP (Wired Equivalent Privacy) dało wczesną formę ochrony. Solidność tego rozwiązania kruszyła się w miarę, jak ana- litycy zabezpieczeń znajdowali punkty podatne na atak, a krakerzy zaczęli łamać szy- fry. Słabości tego mechanizmu szyfrowania doprowadziły do powstania WPA (Wi-Fi Protected Access), a później 802.1x. Obecnie mechanizm WPA te trafił pod lupę, poniewa analitycy zaczęli znajdować w nim problemy. Niektórzy przypuszczają, e problemy te doprowadzą do upadku WPA. Poniewa WPA stoi na niepewnym gruncie, postanowiliśmy szukać innych rozwiązań. Wprawdzie technologie 802.1x są obiecu- jące, lecz wymagają zainstalowania znaczącej infrastruktury. Co więcej, instalowanie tej technologii w starszych systemach operacyjnych bywa problematyczne. Opracowanie zabezpieczeń wymaga cierpliwości i pomysłowości. Wielu kreatywnych u ytkowników przechodzi na technologię wirtualnych sieci prywatnych (VPN), dającą wy szy poziom ochrony. Ewolucja w stronę technologii VPN pomaga u ytkownikom cieszyć się łącznością bezprzewodową. Dla naszej bezprzewodowej VPN wybraliśmy PPTP. Wprawdzie z protokołem PPTP są pewne problemy, lecz wiele luk w bezpie- czeństwie ju zostało naprawionych. Jeśli chodzi o problem ataków ze zgadywaniem haseł, u ywamy długich i skomplikowa- nych, aby znacznie zmniejszyć ryzyko. Chocia PPTP nadal prezentuje pewne zagro enia, uwa amy, e zaoferowane rozwiązanie jest znacznym postępem w stosunku do prze- syłania informacji w sieci sąsiedzkiej otwartym tekstem. To oczywiste, e w ka dym projekcie bezprzewodowym muszą być stosowane narzędzia do szyfrowania wygodne dla u ytkowników. W wielu naszych węzłach szyfrowanie nie jest w ogóle stosowane, poniewa u ytkownicy wolą podejście „otwarte”. Takie rozwiązanie jest wprawdzie mniej bezpieczne, lecz łatwiej je wdro yć i obsługiwać. Podobnie jak we wszystkich decyzjach związanych z bezpieczeństwem, musimy sami ocenić sytuację i znaleźć kom- promis pomiędzy bezpieczeństwem a u ytecznością. Uwaga… Wczesne problemy z PPTP W roku 1998 słynni analitycy zabezpieczeń, Schneier i Mudge, opublikowali przeło- mowy dokument (www.schneier.com/pptp.html) o słabościach implementacji PPTP Microsoftu. Microsoft naprawił wiele z opisanych problemów w następnych wersjach (poprawki wymagają aktualizacji DUN 1.3), jednakże zagrożenie odgadnięcia hasła nadal jest aktualne. Stosowanie złożonych haseł, dłuższych niż 14 znaków, pozwa- la poważnie zmniejszyć zagrożenie.
    • 64 Część I ♦ Wprowadzenie Przygotowania Gdy nabierzemy więcej pewności, e takiego rozwiązania VPN chcemy, mo emy przejść do implementacji. Wymogi wstępne są takie same jak w przypadku opisanego wcześniej portalu przechwytującego. Musimy zainstalować oprogramowanie m0n0wall, skonfi- gurować porty i przetestować łączność. Pomo e to zapewnić, e będziemy koncentro- wać się na konfiguracji VPN zamiast na innych problemach z konfiguracją. Ostrzeżenie: Zagrożenie dla sprzętu Wprawdzie tunel PPTP daje ochronę użytkownikom na tyle mądrym, by z niego korzy- stać, lecz nasza sieć nadal pozwala łączyć się otwartym tekstem. Ponieważ wielu użytkowników sieci bezprzewodowej nie ma wystarczającej wiedzy o bezpieczeństwie, by rozumieć zagrożenia biorące się z komunikacji otwartym tekstem, musimy aktyw- nie szkolić użytkowników i egzekwować używanie zabezpieczeń. Instalacja VPN Konfiguracja VPN składa się z dwóch głównych etapów. Pierwszy koncentruje się na konfiguracji urządzenia m0n0wall, natomiast drugi na konfiguracji klientów. Na szczę- ście klient PPTP jest wbudowany w wiele wersji Windows, w tym Windows 95, NT, 2000, XP i nowsze. Po stronie serwera m0n0wall w wersji 1.1 obsługuje tunele IPSec i PPTP. Skonfiguro- wanie PPTP z u yciem interfejsu WWW m0n0wall jest proste: 1. Wybierz opcję VPN/PPTP z paska menu po lewej stronie. Zwróć uwagę na zakładki Configuration i Users na górze strony. Podczas konfiguracji będziemy u ywać obu. 2. Na zakładce Configuration zaznacz pole wyboru Enable PPTP server. 3. W polu Server address wpisz adres serwera PPTP. Jest to adres systemu m0n0wall, którego klienty będą u ywać po podłączeniu swoich tuneli VPN. W naszym przykładzie serwer ma adres 10.13.37.2. Jest to po prostu IP bezpośrednio ponad adresem bramy domyślnej po stronie LAN. Pamiętaj, by podać adres spoza zakresu DHCP zdefiniowanego w menu DHCP/Services. 4. Wpisz adres sieci w polu Remote address range. Jeśli nie masz doświadczenia z podsieciami i nie wiesz, jak wybrać odpowiedni adres sieci /28, sugeruję wpisać zero w ostatnim oktecie. W naszym przykładzie został wybrany zakres 192.168.13.0. 5. Mo esz opcjonalnie włączyć wymuszanie szyfrowania 128-bitowego. Zalecamy to, o ile nie zdarzy się jakiś konflikt z u ytkownikiem. 6. Kliknij Save na dole strony. Na górze strony pojawi się komunikat „The changes have been applied successfully” (patrz rysunek 3.9.). Mamy teraz działający serwer PPTP w systemie m0n0wall; wystarczy jeszcze dodać konta u ytkowników.
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 65 Rysunek 3.9. Konfiguracja VPN: PPTP 7. Pozostając w menu VPN/PPTP, kliknij zakładkę Users w górnej części ekranu. 8. Kliknij ikonę w kształcie plusa po prawej stronie ekranu. Pojawi się ekran dodawania nowego u ytkownika (patrz rysunek 3.10). Rysunek 3.10. Ekran edycji u ytkownika
    • 66 Część I ♦ Wprowadzenie 9. W polu Username wpisz po ądaną nazwę logowania. W naszym przykładzie u yliśmy nazwy %QOOWPKV[7UGT. 10. W polu Password wpisz dwukrotnie długie i skomplikowane hasło. Pod pojęciem „skomplikowane” rozumiemy wykorzystanie cyfr, liter wielkich i małych i znaków specjalnych (np. ). Jedna z wygodnych metod mnemotechnicznych polega na u yciu pierwszych liter kolejnych słów piosenki. Na przykład, (nie u ywaj tego przykładu w swoim środowisku!) „Mary had a little lamb, A little lamb, And its fleece was white as snow” da hasło /JCNN#NN#KHYYCU. Dodaliśmy cyfrę 2 na początek i na koniec hasła, by zwiększyć zło oność. Warto wiedzieć… hasła w systemie m0n0wall W chwili publikacji tej książki m0n0wall nie pozwalał na używanie znaków specjal- nych (` " @
    • …). Jeśli nowsza wersja m0n0wall pozwala na to, zde- cydowanie zalecamy korzystanie ze znaków specjalnych. Zwiększa to wykładniczo trudność złamania hasła. 11. W polu IP address wpisz IP, który ten u ytkownik zawsze otrzyma. Zdecydowanie zalecamy skorzystać z tej opcji, poniewa pozwala bezpośrednio skojarzyć wpisy w dziennikach PPTP z konkretnymi u ytkownikami. Adres IP musi nale eć do zakresu, który zdefiniowaliśmy w Remote address range na pierwszej zakładce (192.168.13.0/28). W naszym przykładzie wpisaliśmy pierwszy IP z zakresu (192.168.13.1). 12. Aby zmiany zaczęły obowiązywać, kliknij Apply changes na górze okna. Uwaga: ta czynność zerwie połączenia wszystkich u ytkowników połączonych obecnie przez VPN PPTP. Poniewa konfigurujemy VPN po raz pierwszy, nie powinno to sprawić problemu. Ponownie na górze ekranu pojawi się komunikat, e zmiany zostały wprowadzone. Rysunek 13.11 przedstawia ostateczny efekt. Rysunek 3.11. Ostateczny rezultat
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 67 13. Ostatnim krokiem wymaganym w konfiguracji m0n0wall jest utworzenie reguły zapory sieciowej pozwalającej na przesyłanie ruchu PPTP. Kliknij Firewall/Rules po lewej stronie. Pojawi się menu konfiguracyjne z jedną regułą zdefiniowaną ju dla interfejsu LAN. 14. Ponownie kliknij ikonę plusa po prawej stronie ekranu konfiguracji. Jest tu jeszcze kilka innych ikon, w tym G dla edycji, Z do usuwania oraz strzałki do przenoszenia reguł w górę i w dół. m0n0wall przetwarza reguły zapory sieciowej z góry na dół. Rysunek 3.12 przedstawia ekran nowej reguły. Rysunek 3.12. Ekran edycji nowej reguły zapory sieciowej 15. Pojawi się ekran nowej reguły zapory sieciowej. Na tym ekranie zostaw w polu Action czynność Pass (przepuść). 16. Zaznacz opcję PPTP w polu listy rozwijanej Interface. 17. W polu Protocol wybierz opcję TCP/UDP. 18. Dla reszty pól mo esz zostawić ustawienia domyślne lub zmodyfikować dla konkretnego środowiska. W polu Description wpisz opis reguły. My u ywamy opisu „PPTP clients -> internet”, aby przypominać, jaką rolę pełni ta reguła. 19. Kliknij przycisk Save na dole ekranu. Spowoduje to powrót do menu Firewall/Rules, w którym pojawi się nowa reguła w sekcji PPTP clients. 20. Ponownie trzeba będzie kliknąć przycisk Apply Changes, aby nowa reguła zaczęła obowiązywać. Pojawi się komunikat potwierdzający, e zmiany zostały wprowadzone. Rysunek 3.13 przedstawia ostateczny rezultat.
    • 68 Część I ♦ Wprowadzenie Rysunek 3.13. Reguły zapory sieciowej — ostateczny wynik Mamy ju w pełni skonfigurowany serwer, mo emy przejść do konfigurowania klienta PPTP w systemie u ytkownika. Uwaga… Bezpieczeństwo haseł Stosowanie słabych haseł może spowodować narażenie bezpieczeństwa naszej VPN. Użytkownicy przeważnie nie lubią złożonych haseł. Warto pomyśleć nad wyborem haseł, które użytkownik może zapamiętać, a które jednocześnie będą miały sens z punktu widzenia bezpieczeństwa. Konfiguracja użytkowników sieci Po stronie u ytkownika wykorzystamy klienta PPTP ju wbudowanego w system Win- dows. Zademonstrujemy konfigurację na przykładzie Windows XP. Metoda konfiguracji jest podobna we wszystkich wersjach, zaczynając od Windows 95 a do najnowszej. 1. Kliknij Start/Network Connections. Jak widać na rysunku 3.14, pojawi się okno Network Connections z wyświetlonymi aktualnymi połączeniami sieciowymi. 2. Kliknij łącze Create a new connection w lewym górnym rogu okna. Jak widać na rysunku 3.15, pojawi się kreator New Connection Wizard. 3. Kliknij przycisk Next. Pojawi się okno dialogowe New Connection Type. Wybierz opcję Connect to network at my workplace, jak na rysunku 3.16.
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 69 Rysunek 3.14. Ekran Network Connections Rysunek 3.15. Ekran powitalny kreatora New Connection Wizard Rysunek 3.16. Wybór opcji Connect to network at my workplace
    • 70 Część I ♦ Wprowadzenie 4. Kliknięcie przycisku Next spowoduje przejście do ekranu Network Connection. Wybierz opcję Virtual Private Network, jak na rysunku 3.17. Rysunek 3.17. Wybór opcji Virtual Private Network 5. Kliknięcie przycisku Next spowoduje wyświetlenie zapytania Company Name. Tu wpisz opis swojego połączenia PPTP. Jak widać na rysunku 3.18, wpisaliśmy PPTP to Community Wireless. Rysunek 3.18. Opis połączenia PPTP 6. Kliknięcie przycisku Next mo e otworzyć okno dialogowe Automatic Dial. Jeśli to nastąpi, wybierz opcję Do not dial the initial connection. 7. Kliknięcie przycisku Next spowoduje przejście do okna dialogowego Server Name or Address. Jak widać na rysunku 3.19, wpisaliśmy adres IP naszego systemu m0n0wall. Jest to adres interfejsu internetowego w m0n0wall, w naszym przykładzie 10.13.37.1. Adres ten mo na znaleźć w systemie m0n0wall, klikając pozycję menu Interfaces/LAN w oknie WWW konfiguracji m0n0wall.
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 71 Rysunek 3.19. Adres IP systemu m0n0wall 8. Kliknięcie przycisku Next spowoduje przejście do okna dialogowego Create this connection.for:. Jeśli chcesz, aby wszyscy u ytkownicy u ywali tego połączenia, zaznacz Anyone’s use; w przeciwnym razie wybierz opcję My use only. Pozostaje to najczęściej w gestii członka społeczności sieciowej u ywającego połączenia PPTP. 9. Kliknięcie przycisku Next otworzy okno Completing the New Connection Wizard. Tu mo na opcjonalnie dodać skrót na pulpicie. 10. Kliknij Finish, aby otworzyć okno PPTP authentication (patrz rysunek 3.20). Aby przetestować ustawienia, wpisz nazwę u ytkownika, którą wcześniej zdefiniowaliśmy w konfiguracji m0n0wall. Rysunek 3.20. Okno PPTP Authentication 11. Kliknięcie przycisku Connect powoduje otwarcie okienka Connecting, jak na rysunku 3.21. 12. Jeśli wszystko zostało skonfigurowane poprawnie, pojawi się okno komunikatu o rejestrowaniu w sieci (patrz rysunek 3.22). Moje gratulacje, VPN PPTP działa!
    • 72 Część I ♦ Wprowadzenie Rysunek 3.21. Okno Connecting Rysunek 3.22. Rejestrowanie komputera w sieci Edukacja użytkowników sieci bezprzewodowej Dobre bezpieczeństwo zaczyna się od u ytkowników. U ytkownicy lokalni muszą pod- jąć dodatkowe kroki, na przykład stosować mocne hasła, aby którykolwiek z naszych opcjonalnych mechanizmów zabezpieczeń mógł działać. Wszystkie mechanizmy, które omawialiśmy do tej pory, koncentrują się na technologii. W świecie komputerów w grę wchodzi dodatkowa umiejętność zwana in ynierią społeczną. Definiujemy in ynierię społeczną jako sztukę wpływania niekonwencjonalnymi środkami na działania innych ludzi. Wprawdzie in ynieria społeczna często jest kojarzona ze złymi hakerami (tzw. black hats — czarne kapelusze), nie wszystkie działania w tej dziedzinie powodują szkody. Wiele z tych samych umiejętności, które stosują „czarne kapelusze”, mo e po- słu yć do osiągnięcia pozytywnych wyników. Idea całej niniejszej ksią ki odzwiercie- dla tę zasadę. Media nagłaśniające przypadki złych działań hakerów spowodowały, e pojęcie „hac- king” nabrało pejoratywnego znaczenia. Określenie „haker” początkowo oznaczało kogoś, kto robi niekonwencjonalne rzeczy, aby tworzyć nowe rozwiązania (stąd tytuł naszej ksią ki, Wireless Hacking). My te szukamy metod wykraczania poza dotych- czasowe mo liwości technologii i nowych sposobów tworzenia bezpiecznych środo- wisk społecznych sieci bezprzewodowych. Słowo „społeczność” implikuje kontakty społeczne. Kontakty te są dla nas jedną z pod- stawowych metod dzielenia się pomysłami i, ogólnie, cieszenia się yciem społecznym. Jest to kolejna droga, którą mo emy propagować bezpieczeństwo i edukować u yt- kowników w kwestii tego, jak mogą bezpiecznie cieszyć się tworzonym przez nas „bezprzewodowym parkiem miejskim”. Przygotowania Dobra dokumentacja pomaga u ytkownikom szybko uczyć się konfiguracji i zarządzania swoim sprzętem. Poniewa grupa wolontariuszy jest ograniczona, sieć sąsiedzka opiera się na przyjaznych u ytkownikach, którzy poświęcają swój czas na pomaganie innym.
    • Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 73 Wiele z tej pomocy ma postać drukowaną. Podobnie jak niniejsza ksią ka, dokumenta- cja projektu mo e pomóc w tworzeniu silnej społeczności u ytkowników i zapewnianiu bezpieczeństwa. Początek i koniec Solidne bezpieczeństwo bierze się z wiedzy u ytkowników. Budowanie bazy tej wie- dzy wymaga cierpliwości i przyjaznego podejścia. Gdy u ytkownik zwraca się do nas z pytaniem, staramy się przemyśleć problem z jego perspektywy i wykorzystać infor- macje zwracane przez u ytkownika w projekcie sieci. Na przykład wybraliśmy PPTP z uwagi na łatwość implementacji po stronie u ytkowników. W miarę jak u ytkownicy zaczną rozumieć technologię bezprzewodową i dowiadywać się o ró nych nowych elementach jej bezpieczeństwa, ich ciekawość zacznie rosnąć. Dzięki dobrze opracowanej dokumentacji u ytkownik będzie miał gdzie uczyć się i zdo- bywać nowe wiadomości. SoCalFreeNet wykorzystuje strony portalu przechwytującego jako punkt startowy dla u ytkowników, którzy chcą dowiedzieć się czegoś więcej o bez- pieczeństwie i swojej roli. Przy łączeniu się z siecią lokalnej społeczności u ytkownik powinien podjąć kilka prostych środków ostro ności: Zawsze u ywaj osobistej zapory sieciowej. Zapory te często znajdują się w komputerach u ytkowników. W system Windows XP jest wbudowana niedawno udoskonalona zapora sieciowa. U ywaj mocnych haseł, aby utrudnić ataki na nie. Nawet dobre hasła czasem zawodzą. Wiele opartych na WWW programów pocztowych przesyła hasła przez sieć otwartym tekstem. W naszej sieci bezprzewodowej oznacza to, e inni u ytkownicy mogą widzieć hasło do poczty innej osoby. U ytkownik powinien się upewnić, czy przy korzystaniu z witryn wymagających poufnych informacji w prawym dolnym rogu okna przeglądarki znajduje się rysunek kłódki. Jego obecność oznacza, e witryna u ywa SSL. Wierz lub nie, nawet ta kłódeczka nie gwarantuje pełnej ochrony. Niektóre ataki wykorzystują urządzenie pośredniczące (man-in-the-middle) i pozwalają podglądać zaszyfrowany ruch. Z tego powodu zachęcamy u ytkowników, by u ywali tunelu PPTP i jednocześnie sprawdzali obecność kłódki na ekranie. Do bardzo poufnych czynności warto rozwa yć skorzystanie z bardziej konwencjonalnych metod. Systemy powinny być regularnie łatane. U ytkownicy mogą domagać się pomocy w wyjaśnieniu, jak sprawdzać i instalować poprawki. Nale y uczyć dzieci, jak korzystać z Internetu i zachować w nim bezpieczeństwo. Jeśli masz podejrzenia lub dziwne uczucie przy przeglądaniu witryny WWW, zatrzymaj się i pomyśl o bezpieczeństwie. Posłuchaj swojego instynktu. Internet
    • 74 Część I ♦ Wprowadzenie odzwierciedla ycie na wiele sposobów, a świat wirtualny ma swoje getta i rejony, które nale y omijać. Unikaj sklepów o złej reputacji lub witrynach o marnej jakości. Często traktują one bezpieczeństwo jako mało wa ne. Wprawdzie architekci SoCalFreeNet nieustannie szukają i oferują alternatywne metody zabezpieczeń, prawdziwe bezpieczeństwo spoczywa w rękach u ytkowników. Jeśli u ytkownicy zdecydują się zignorować oferowane przez nas opcje zabezpieczeń, nasze wysiłki pójdą na marne. Propagowanie przez nas kwestii bezpieczeństwa na poziomie społeczności jest najbar- dziej podstawowym elementem bezpieczeństwa. Najlepsze wyniki daje poło enie na- cisku na bezpieczeństwo i ułatwianie u ytkownikom korzystania z zabezpieczeń. Jeśli u yjemy technik in ynierii społecznej, aby pomóc naszym u ytkownikom uczyć się bezpieczeństwa, będziemy mieli większą szansę zabezpieczyć sieć sąsiedzką. Warto wiedzieć… Świadomość bezpieczeństwa Powyższa lista obejmuje tylko najważniejsze zagadnienia bezpieczeństwa, o których SoCalFreeNet informuje użytkowników. Zdajemy sobie sprawę, że istnieje mnóstwo źródeł informacji pomagających użytkownikom, a nasza lista mogłaby mieć objętość wielokrotnie większą. Jest ona zamieszczona tutaj tylko jako przykład. Inne metody W ka dej sąsiedzkiej sieci bezprzewodowej mogą pojawić się inne interesujące proble- my. Oto kilka dodatkowych pomysłów, które mo emy wziąć pod uwagę przy tworzeniu bezpiecznego środowiska sieci: Squid Proxy — narzędzie open source o nazwie Squid Proxy mo e posłu yć do uniemo liwiania u ytkownikom korzystania z nieodpowiednich serwisów WWW, na przykład pornograficznych lub szerzących nienawiść. Narzędzie to jest wysoko cenione i na dodatek mo e pomóc w ograniczeniu ruchu w łączu szerokopasmowym poprzez buforowanie treści WWW. Adres: www.squid- cache.org. Snort — narzędzie open source słu ące do wykrywania włamań. Monitorując ruch przechodzący przez naszą sieć, Snort mo e ostrzec nas przed atakami pochodzącymi z sieci bezprzewodowej. Ostatnio zespół autorów narzędzia dodał do niego wyspecjalizowane funkcje do wykrywania ataków bezprzewodowych. Adres: www.snort.org. OpenSSH — OpenSSH oferuje funkcję zwaną przekazywaniem portów. U ywając tego rozwiązania mo emy utworzyć bardzo dobrą VPN o bezpieczeństwie wy szym ni w naszym rozwiązaniu PPTP. Jeśli sieć ma odpowiednią infrastrukturę, najwy szy poziom ochrony zapewnia rozwiązanie hierarchiczne z obustronnym uwierzytelnianiem, takie jak EAP-PEAP.