Odkryj nieznane możliwości urządzeń do budowania sieci bezprzewodowych
* Zaprojektuj sieci bezprzewodowe
* Poznaj rodzaje urządzeń dostępowych
* Naucz się monitorować działanie sieci
* Modyfikuj i dostosuj sprzęt sieciowy
Sieci bezprzewodowe stają się coraz popularniejsze. Producenci sprzętu prześcigają się we wprowadzaniu na rynek coraz nowszych i prostszych w obsłudze urządzeń. Wszystkie te urządzenia posiadają jednak podstawową wadę -- są projektowane pod kątem możliwie najszerszego rynku, co niestety wyklucza zastosowanie ich w sposób odbiegający od tego, czego -- zdaniem ich producentów -- może oczekiwać użytkownik. Na szczęście jednak istnieją ludzie, którzy nie obawiają się rozkręcania takich urządzeń i modyfikowania ich tak, aby spełniały nieco wyższe oczekiwania, stawiane przez użytkowników sieci bezprzewodowych.
Jeśli chcesz zostać kimś takim i jesteś ciekawy, jak można wycisnąć maksimum możliwości z urządzeń sieci bezprzewodowej, przeczytaj książkę "Wireless hacking. Edycja polska". Dowiesz się z niej, jak projektować i instalować sieci bezprzewodowe, jak modyfikować urządzenia dostępowe, wyposażając je w pozornie niedostępne dla nich funkcje, i jak budować urządzenia sieciowe zasilane energią słoneczną. Nauczysz się konfigurować systemy operacyjne urządzeń bezprzewodowych, instalować anteny i poprawiać osiągi urządzeń sieciowych.
* Projektowanie sieci bezprzewodowych
* Bezpieczeństwo transmisji w sieciach bezprzewodowych
* Punkty dostępowe
* Systemy operacyjne dla urządzeń sieciowych
* Monitorowanie działania sieci
* Instalowanie anten
* Zasilanie słoneczne dla punktów dostępowych
Wykorzystaj wiadomości z tej książki do stworzenia idealnej sieci bezprzewodowej.
1. IDZ DO
PRZYK£ADOWY ROZDZIA£
SPIS TRE CI Wireless Hacking.
Edycja polska
KATALOG KSI¥¯EK
Autorzy: Lee Barken i inni
KATALOG ONLINE T³umaczenie: Adam Jarczyk
ISBN: 83-7361-794-9
ZAMÓW DRUKOWANY KATALOG Tytu³ orygina³u: Wireless Hacking
Format: B5, stron: 328
TWÓJ KOSZYK Odkryj nieznane mo¿liwo ci urz¹dzeñ do budowania sieci bezprzewodowych
• Zaprojektuj sieci bezprzewodowe
DODAJ DO KOSZYKA • Poznaj rodzaje urz¹dzeñ dostêpowych
• Naucz siê monitorowaæ dzia³anie sieci
• Modyfikuj i dostosuj sprzêt sieciowy
CENNIK I INFORMACJE Sieci bezprzewodowe staj¹ siê coraz popularniejsze. Producenci sprzêtu prze cigaj¹ siê
we wprowadzaniu na rynek coraz nowszych i prostszych w obs³udze urz¹dzeñ.
ZAMÓW INFORMACJE
O NOWO CIACH Wszystkie te urz¹dzenia posiadaj¹ jednak podstawow¹ wadê — s¹ projektowane pod
k¹tem mo¿liwie najszerszego rynku, co niestety wyklucza zastosowanie ich w sposób
odbiegaj¹cy od tego, czego — zdaniem ich producentów — mo¿e oczekiwaæ u¿ytkownik.
ZAMÓW CENNIK
Na szczê cie jednak istniej¹ ludzie, którzy nie obawiaj¹ siê rozkrêcania takich urz¹dzeñ
i modyfikowania ich tak, aby spe³nia³y nieco wy¿sze oczekiwania, stawiane przez
CZYTELNIA u¿ytkowników sieci bezprzewodowych.
Je li chcesz zostaæ kim takim i jeste ciekawy, jak mo¿na wycisn¹æ maksimum
FRAGMENTY KSI¥¯EK ONLINE mo¿liwo ci z urz¹dzeñ sieci bezprzewodowej, przeczytaj ksi¹¿kê „Wireless hacking.
Edycja polska”. Dowiesz siê z niej, jak projektowaæ i instalowaæ sieci bezprzewodowe,
jak modyfikowaæ urz¹dzenia dostêpowe, wyposa¿aj¹c je w pozornie niedostêpne dla
nich funkcje, i jak budowaæ urz¹dzenia sieciowe zasilane energi¹ s³oneczn¹. Nauczysz
siê konfigurowaæ systemy operacyjne urz¹dzeñ bezprzewodowych, instalowaæ anteny
i poprawiaæ osi¹gi urz¹dzeñ sieciowych.
• Projektowanie sieci bezprzewodowych
• Bezpieczeñstwo transmisji w sieciach bezprzewodowych
• Punkty dostêpowe
• Systemy operacyjne dla urz¹dzeñ sieciowych
• Monitorowanie dzia³ania sieci
Wydawnictwo Helion • Instalowanie anten
ul. Chopina 6 • Zasilanie s³oneczne dla punktów dostêpowych
44-100 Gliwice Wykorzystaj wiadomo ci z tej ksi¹¿ki do stworzenia
tel. (32)230-98-63 idealnej sieci bezprzewodowej
e-mail: helion@helion.pl
2. Spis treści
Przedmowa...................................................................................... 17
Wstęp ............................................................................................. 19
Część I Wprowadzenie................................................................21
Rozdział 1. Krótki przegląd Wi-Fi........................................................................ 23
Wprowadzenie do Wi-Fi ................................................................................................. 23
Historia i podstawy 802.11.............................................................................................. 24
Litery i literki IEEE................................................................................................... 25
802.11b ............................................................................................................... 25
802.11a ............................................................................................................... 26
802.11g ............................................................................................................... 27
Tryby ad hoc i infrastrukturalny................................................................................ 28
Łączenie z punktem dostępu ............................................................................... 28
Przepisy FCC ............................................................................................................ 31
Przepisy FCC i IEEE .......................................................................................... 32
Dlaczego Wi-Fi? ............................................................................................................. 33
Zalety dla właścicieli nieruchomości ........................................................................ 34
Zalety dla ochotników............................................................................................... 35
Konsekwencje społeczne........................................................................................... 35
Bezpieczeństwo sąsiedzkich sieci bezprzewodowych............................................... 36
Ka dy komputer musi być chroniony ................................................................. 37
Odpowiedzialność prawna .................................................................................. 38
Ochrona sąsiedztwa ............................................................................................ 38
Podsumowanie ................................................................................................................ 39
Rozdział 2. SoCalFreeNet.org
— budowanie dużych sąsiedzkich sieci bezprzewodowych ................. 41
Wprowadzenie................................................................................................................. 41
Wireless Distribution System (WDS).............................................................................. 42
Łącza 5 GHz.................................................................................................................... 43
Urządzenia klienckie ....................................................................................................... 44
Konkurencja wobec firm telefonicznych i kablowych..................................................... 46
Wyposa anie barów kawowych i sklepów ...................................................................... 47
Jak zaanga ować u ytkowników? ................................................................................... 48
Podsumowanie ................................................................................................................ 49
3. 4 Wireless Hacking. Edycja polska
Rozdział 3. Bezpieczeństwo sieci bezprzewodowej.............................................. 51
Wprowadzenie................................................................................................................. 51
Portal przechwytujący ..................................................................................................... 53
Przygotowania........................................................................................................... 53
Struktura sieci nastawiona na bezpieczeństwo.................................................... 54
Wybór sprzętu i oprogramowania dla portalu przechwytującego ....................... 55
Instalacja portalu przechwytującego ......................................................................... 58
Pisanie własnych warunków świadczenia usług ................................................. 59
Grafika w portalu przechwytującym ................................................................... 61
Budowanie VPN z PPTP................................................................................................. 63
Przygotowania........................................................................................................... 64
Instalacja VPN .......................................................................................................... 64
Konfiguracja u ytkowników sieci............................................................................. 68
Edukacja u ytkowników sieci bezprzewodowej.............................................................. 72
Przygotowania........................................................................................................... 72
Początek i koniec ...................................................................................................... 73
Inne metody..................................................................................................................... 74
Część II Projekty.........................................................................75
Rozdział 4. Bezprzewodowe punkty dostępowe................................................... 77
Wprowadzenie................................................................................................................. 77
Wi-Fi i Linux................................................................................................................... 77
Przeprogramowanie................................................................................................... 78
Linksys WRT54g ...................................................................................................... 78
Sveasoft............................................................................................................... 79
NewBroadcom .................................................................................................... 87
HyperWRT.......................................................................................................... 88
eWRT.................................................................................................................. 88
Wifi-box.............................................................................................................. 90
Batbox................................................................................................................. 92
OpenWRT........................................................................................................... 93
Niedostatki WRT54g ................................................................................................ 93
Komputery jednopłytowe Soekris ................................................................................... 93
net4501...................................................................................................................... 94
net4511...................................................................................................................... 94
net 4521..................................................................................................................... 96
net4526...................................................................................................................... 97
net4801...................................................................................................................... 97
Akcesoria Soekris...................................................................................................... 98
Punkt dostępowy 802.11a Proxim 8571 .......................................................................... 99
Przygotowanie do przeróbki.................................................................................... 101
Przeróbka ................................................................................................................ 101
Zaglądamy pod maskę. Jak to działa? ..................................................................... 105
Podsumowanie .............................................................................................................. 110
Rozdział 5. Klienckie bezprzewodowe urządzenia dostępowe............................. 111
Wprowadzenie............................................................................................................... 111
Notebooki...................................................................................................................... 111
Karty PCMCIA ....................................................................................................... 112
Karty Mini-PCI ....................................................................................................... 112
Komputery biurkowe..................................................................................................... 113
Karty PCI ................................................................................................................ 114
Urządzenia USB...................................................................................................... 114
Mosty Ethernet........................................................................................................ 116
4. Spis treści 5
PDA............................................................................................................................... 117
Compact Flash......................................................................................................... 117
Karty Secure Digital IO........................................................................................... 117
Polowanie na sieci bezprzewodowe .............................................................................. 119
Do czego jest potrzebny WarDriving? .................................................................... 119
Przygotowania......................................................................................................... 120
Wyposa enie wymagane................................................................................... 120
Oprogramowanie do WarDriving...................................................................... 121
Wyposa enie opcjonalne .................................................................................. 122
Etyka WarDriving ................................................................................................... 125
Inne zasoby.................................................................................................................... 126
Część III Projekty programistyczne .............................................127
Rozdział 6. Systemy operacyjne dla urządzeń bezprzewodowych........................ 129
Wprowadzenie............................................................................................................... 129
m0n0wall — potę na, elegancka, prosta ....................................................................... 131
Przygotowania......................................................................................................... 132
m0n0wall w standardowym PC ........................................................................ 132
m0n0wall w komputerze jednopłytowym (SBC) .............................................. 133
Inne ustawienia konfiguracji ............................................................................. 134
Instalacja ................................................................................................................. 134
Pobieranie najnowszej wersji............................................................................ 134
Tworzenie płyty CD-ROM pod Windows ........................................................ 135
Nagrywanie karty Compact Flash pod Windows .............................................. 136
Instalacja standardowego PC ............................................................................ 138
Instalacja komputera jednopłytowego............................................................... 141
Konfiguracja m0n0wall..................................................................................... 144
Zaglądamy pod maskę............................................................................................. 156
Dystrybucja Pebble — potę na, surowa, kompletna ..................................................... 157
Przygotowania......................................................................................................... 158
Instalacja ................................................................................................................. 159
Tworzenie startowego CD i uruchomienie systemu Knoppix........................... 159
Konfiguracja czytnika Compact Flash .............................................................. 161
Formatowanie karty Compact Flash ................................................................. 162
Pobieranie Pebble ............................................................................................. 164
Kopiowanie Pebble na kartę CF........................................................................ 164
Uruchamianie Pebble ........................................................................................ 165
Konfiguracja Pebble.......................................................................................... 166
Zaglądamy pod maskę............................................................................................. 168
Rozdział 7. Monitorowanie sieci....................................................................... 169
Wprowadzenie............................................................................................................... 169
Obsługa SNMP.............................................................................................................. 170
Przygotowania......................................................................................................... 170
Konfiguracja............................................................................................................ 171
Zaglądamy pod maskę. Jak to działa? ..................................................................... 173
Getif — eksploracja SNMP w Microsoft Windows ...................................................... 173
Przygotowania......................................................................................................... 174
Działanie programu................................................................................................. 174
Pobieranie informacji o interfejsach urządzenia ............................................... 175
Eksploracja identyfikatorów OID SNMP ......................................................... 176
Wykresy danych ............................................................................................... 177
Zaglądamy pod maskę. Jak to działa? ..................................................................... 178
5. 6 Wireless Hacking. Edycja polska
STG — wykresy SNMP dla Microsoft Windows.......................................................... 179
Przygotowania......................................................................................................... 180
Działanie programu................................................................................................. 180
Zaglądamy pod maskę. Jak to działa? ..................................................................... 182
Cacti — bogactwo wykresów dla sieci.......................................................................... 183
Przygotowania......................................................................................................... 184
Apache .............................................................................................................. 184
PHP................................................................................................................... 184
Perl.................................................................................................................... 184
RRDTool........................................................................................................... 185
MySQL ............................................................................................................. 185
Cacti.................................................................................................................. 185
Instalacja ................................................................................................................. 185
Instalacja Apache .............................................................................................. 186
Instalacja PHP................................................................................................... 187
Instalacja Perla.................................................................................................. 190
Instalacja RRDTool .......................................................................................... 190
Instalacja MySQL-a .......................................................................................... 190
Inne ustawienia ................................................................................................. 191
Instalacja Cactid i Cacti .................................................................................... 192
Zbieranie danych w Cacti ................................................................................. 196
Zaglądamy pod maskę. Jak to działa? ..................................................................... 201
Dodatkowe źródła informacji ........................................................................................ 202
Rozdział 8. Tanie rozwiązania komercyjne ........................................................ 203
Wprowadzenie............................................................................................................... 203
Sputnik .......................................................................................................................... 203
Punkty dostępowe Sputnik ...................................................................................... 204
Sputnik Control Center ........................................................................................... 206
Funkcje systemu Sputnik ........................................................................................ 206
Captive Portal ................................................................................................... 206
Pre-Paid Module ............................................................................................... 209
Rewolucja ............................................................................................................... 210
Sveasoft ......................................................................................................................... 211
MikroTik ....................................................................................................................... 213
Podsumowanie .............................................................................................................. 215
Rozdział 9. Sieci kratowe ................................................................................ 217
Wprowadzenie............................................................................................................... 217
Przygotowania......................................................................................................... 219
Podstawowe definicje.................................................................................................... 219
Wireless Distribution System.................................................................................. 222
Przykłady z ycia........................................................................................................... 224
BelAir Networks ..................................................................................................... 224
Sieci kratowe LocustWorld..................................................................................... 224
Podsumowanie .............................................................................................................. 225
Dodatkowe źródła w sieci ............................................................................................. 226
Część IV Anteny i obudowy do użytku na zewnątrz budynków.......227
Rozdział 10. Anteny .......................................................................................... 229
Wprowadzenie............................................................................................................... 229
Na początek — podstawowe pojęcia i definicje ............................................................ 230
Przepisy FCC .......................................................................................................... 235
Tłumienie w kablach, złączach i materiałach.................................................... 237
Uziemienie i ochrona odgromowa systemu............................................................. 239
6. Spis treści 7
Antena z puszki po kawie.............................................................................................. 240
Przygotowania......................................................................................................... 240
Monta .................................................................................................................... 241
Zaglądamy pod maskę. Jak to działa? ..................................................................... 243
Rozwiązywanie typowych problemów z antenami ................................................. 243
Przyszłość anten ............................................................................................................ 244
Podsumowanie .............................................................................................................. 245
Rozdział 11. Konstruowanie obudów i masztów antenowych ............................... 247
Wprowadzenie............................................................................................................... 247
Obudowy do u ytku na wolnym powietrzu ................................................................... 248
Przygotowania......................................................................................................... 248
Wybór „surowej” obudowy............................................................................... 249
Wybór elementów konstrukcyjnych.................................................................. 251
Monta .................................................................................................................... 253
Metalowe obudowy NEMA 3 ........................................................................... 253
Zaglądamy pod maskę............................................................................................. 260
Budowa masztów antenowych ...................................................................................... 261
Przygotowania......................................................................................................... 261
Instalacja ................................................................................................................. 262
Wolno stojący maszt antenowy......................................................................... 262
Maszty antenowe montowane bezpośrednio..................................................... 265
Ochrona przed piorunami.................................................................................. 268
Podsumowanie .............................................................................................................. 270
Rozdział 12. Punkty dostępowe i repeatery zasilane energią słoneczną ............... 271
Wprowadzenie............................................................................................................... 271
Przygotowania......................................................................................................... 272
Kalkulacja zapotrzebowania na energię ............................................................ 272
Wybór akumulatora .......................................................................................... 274
Wybór baterii słonecznej .................................................................................. 276
Budowa ................................................................................................................... 280
Konstrukcja mechaniczna ................................................................................. 281
Bateria słoneczna .............................................................................................. 281
Instalacja elektryczna........................................................................................ 283
Elektronika........................................................................................................ 287
Zaglądamy pod maskę. Jak to działa? ..................................................................... 288
Akumulatory ..................................................................................................... 289
Bateria słoneczna .............................................................................................. 289
Dodatki .......................................................................................291
Dodatek A Przeróbki urządzeń 802.11 ............................................................. 293
Wprowadzenie............................................................................................................... 293
Przeróbki bezprzewodowych kart sieciowych PCMCIA
— dodajemy złącze anteny zewnętrznej ..................................................................... 294
Przygotowania......................................................................................................... 295
Przeróbka ................................................................................................................ 296
Zdjęcie obudowy............................................................................................... 297
Przeniesienie kondensatora ............................................................................... 298
Przytwierdzenie nowego złącza ........................................................................ 299
Zaglądamy pod maskę. Jak to działa? ..................................................................... 300
OpenAP (Instant802) — przeprogramowanie punktu dostępowego na Linuksa ........... 300
Przygotowania......................................................................................................... 301
7. 8 Wireless Hacking. Edycja polska
Przeróbka ................................................................................................................ 302
Monta karty SRAM......................................................................................... 303
Włączenie urządzenia ....................................................................................... 305
Zaglądamy pod maskę. Jak to działa? ..................................................................... 305
Zabawa z punktem dostępowym Dell 1184................................................................... 306
Przygotowania......................................................................................................... 306
Zabawa.................................................................................................................... 307
Zaglądamy pod maskę. Jak to działa? ..................................................................... 310
Podsumowanie .............................................................................................................. 311
Dodatkowe zasoby ........................................................................................................ 311
Grupy u ytkowników.............................................................................................. 311
Badania i publikacje................................................................................................ 312
Produkty i narzędzia................................................................................................ 312
Skorowidz ..................................................................................... 315
8. Rozdział 3.
Bezpieczeństwo
sieci bezprzewodowej
W tym rozdziale:
Portal przechwytujący
Budowanie VPN z PPTP
Edukacja u ytkowników sieci bezprzewodowej
Inne metody
Wprowadzenie
W SoCalFreeNet projektujemy sieci bezprzewodowe jako miejsca, w których ludzie
z sąsiedztwa mogą odpocząć i przespacerować się po WWW. Bezpieczne przeglądanie
stron WWW w sieci bezprzewodowej tworzy atmosferę wspólnoty, podobnie jak park
miejski. Nasza grupa często u ywa analogii do parku, aby wyrazić cele działań przy
budowaniu i utrzymywaniu sieci.
Stworzyliśmy sąsiedzką sieć bezprzewodową, aby pozwolić zwykłym ludziom na łącze-
nie się z Internetem za pomocą podstawowych urządzeń bezprzewodowych. Nacisk na
to, by trzymać się podstaw, umo liwia korzystanie z sieci najró norodniejszym u yt-
kownikiem, od elity technicznej a po babcie i dziadków mających po raz pierwszy
w yciu kontakt z Siecią. Nowi u ytkownicy sieci bezprzewodowej mogą wchłonąć
tylko ograniczoną ilość wiadomości, zanim przytłoczy ich technologia, więc staramy
się, by dla takich u ytkowników zło oność zabezpieczeń miała określone granice.
Bezpieczeństwo sieci bezprzewodowych oczywiście sprawia pewne problemy. Biorą
się one przede wszystkim z fizycznej natury sygnałów bezprzewodowych. Sygnały
komputerowe przesyłane tradycyjnymi sieciami kablowymi rozchodzą się w sposób
o wiele bardziej kontrolowany, sterowany przez przełączniki, routery i zapory, które
grają w sieci rolę „odźwiernych”. W przeciwieństwie do nich nasze sieci bezprzewodowe
„rzucają pakietami” we wszystkie strony; pakiet zatrzymuje się dopiero wtedy, gdy
9. 52 Część I ♦ Wprowadzenie
poziom sygnału spadnie w końcu na tyle, by inne urządzenia nie mogły słyszeć naszego
sygnału. Czułe odbiorniki pozwalają nieraz odbierać sygnały z sieci bezprzewodowych
z odległości kilku kilometrów (jeden z naszych u ytkowników zbudował z urządzeń
Linksys na pustyni łącze o długości ponad 20 kilometrów bez dodatkowego wzmacnia-
nia sygnałów). Oznacza to jednocześnie, e ktoś mo e próbować podsłuchiwać naszą
sieć z du ej odległości.
Tacy podsłuchiwacze przypominają nam o starej prawdzie, e jedni ludzie korzystają
z techniki (bezprzewodowej) do osiągania pozytywnych celów, a inni będą u ywać
naszej sieci do negatywnych działań. Tacy niegodziwi u ytkownicy często mogą stwa-
rzać problemy innym ludziom i architektom naszej bezprzewodowej społeczności. I po-
dobnie jak w parku, musimy podjąć odpowiednie działania, by wspólne dobro pozostało
czyste — więc musimy pozbierać śmieci.
U ytkownicy o złych zamiarach mogą stwarzać problemy, ogólnie mówiąc, na trzy
sposoby:
atakując innych u ytkowników w lokalnej sieci,
atakując u ytkowników lub komputery w Internecie,
popełniając przestępstwa w naszej sieci sąsiedzkiej.
Przestępstwa zachodzą, gdy u ytkownik próbuje włamać się do komputera lub atakuje
innych u ytkowników w Internecie. Mo e te wykorzystać połączenie z Internetem do
pobierania pornografii dziecięcej lub przeprowadzania nielegalnych transakcji.
Wszystkie te działania mogą potencjalnie narobić powa nych szkód w społeczności
sieci, a nawet spowodować pociągnięcie do odpowiedzialności architektów sieci bez-
przewodowej. Dlatego te nasi architekci zabrali się do szukania rozwiązań takich pro-
blemów. Wprawdzie za bezpieczeństwo zawsze odpowiada u ytkownik, lecz są pewne
kroki, które mo emy podjąć, aby zwiększyć bezpieczeństwo sieci. W niniejszym roz-
dziale zostaną omówione następujące metody zwiększania bezpieczeństwa:
Instalacja portalu przechwytującego.
Pisanie własnych umów o zasadach korzystania z usług.
Grafika dla portalu przechwytującego.
Budowanie VPN z PPTP.
Włączanie obsługi VPN.
Konfiguracja u ytkowników w sieci sąsiedzkiej.
Edukacja u ytkowników sieci bezprzewodowej.
Początek i koniec.
Niniejszy rozdział poświęcony jest przede wszystkim sposobom ochrony społeczności
u ytkowników. Zawarty w nim materiał koncentruje się na nowatorskich podejściach
do zagadnień bezpieczeństwa naszego bezprzewodowego „parku miejskiego”.
10. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 53
Portal przechwytujący
Groźba spraw sądowych jest jedną z największych barier w tworzeniu bezpiecznych
sieci ogólnodostępnych. Poza kwestiami prawnymi sieci stawiają wiele wyzwań zwią-
zanych z bezpieczeństwem. Wprawdzie opisane tu zabezpieczenia rozwiązują wiele
problemów i skracają listę zagro eń, lecz środki te są skuteczne tylko wtedy, gdy spo-
łeczność u ytkowników z nich korzysta. Wielu u ytkowników chce się po prostu jak
najszybciej połączyć z Internetem i całkowicie ignoruje bezpieczeństwo. Ta ignorancja
jest inspiracją dla starego amerykańskiego powiedzenia: „Mo na zaprowadzić konia
do wody, lecz nie mo na zmusić go do picia”.
Idea portalu przechwytującego bierze się z kwestii prawnych związanych z u ytkowa-
niem sieci bezprzewodowych. Poza zwiększeniem bezpieczeństwa portal jest wygod-
nym narzędziem do dostarczania informacji i wskazówek społeczności u ytkowników.
Narzędzie to „siedzi” po prostu w połączeniu z Internetem i przechwytuje pierwsze po-
łączenie z WWW. Gdy nadchodzi pierwsze ądanie połączenia od u ytkownika, portal
przechwytujący kieruje u ytkownika do strony zawierającej oświadczenie o odpowie-
dzialności prawnej i wytyczne dla u ytkowników. Ta strona, często nazywana w lite-
raturze Terms of Service (ToS — zasady świadczenia usługi), jest podstawą umowy
prawnej społeczności sieci z u ytkownikiem. Tutaj u ytkownik mo e przeczytać o za-
gadnieniach bezpieczeństwa w sieci. SoCalFreeNet wykorzystuje tę stronę do zachęca-
nia u ytkowników, by podejmowali działania zapobiegawcze i u ywali pewnych bar-
dziej zaawansowanych funkcji zabezpieczeń, które udostępniamy.
Warto wiedzieć… odpowiedzialność prawna
Udostępnianie swobodnego dostępu do sieci bezprzewodowej ma pewne implika-
cje prawne. Ochrona społeczności przed wytoczeniem sprawy sądowej jest ważnym
zastosowaniem technologii portalu przechwytującego. Portal ten służy też jako waż-
ne narzędzie edukacyjne uświadamiające użytkowników o bezpieczeństwie i własnej
odpowiedzialności w tej kwestii.
Przygotowania
Wiele funkcji opisanych w tym rozdziale wykorzystuje zaporę sieciową open source
o nazwie m0n0wall (zapora ta będzie dokładniej omówiona w rozdziale 6.). Zespół
m0n0wall tworzą programiści, którzy zebrali się, aby zbudować system w nowym stylu
z wygodnym, opartym na WWW mechanizmem konfiguracji. Interfejs graficzny uła-
twia konfigurację portalu przechwytującego m0n0wall i wirtualnych sieci prywatnych
(VPN — Virtual Private Network) opartych na protokole PPTP (Point-to-Point Tunne-
ling Protocol). PPTP-VPN słu y jako zaszyfrowany tunel, którego u ytkownicy mogą
u ywać, by chronić się przed podsłuchiwaniem za strony innych u ytkowników sieci.
Poka emy, jak wykorzystać obie funkcje do zwiększenia bezpieczeństwa naszej sąsiedz-
kiej sieci bezprzewodowej.
Przygotowania sieci do zainstalowania portalu przechwytującego wymagają trzech
kroków:
11. 54 Część I ♦ Wprowadzenie
1. Zaprojektowania i zbudowania sieci z myślą o bezpieczeństwie.
2. Wyboru oprogramowania i sprzętu dla portalu przechwytującego.
3. Instalacji i konfiguracji m0n0wall.
Struktura sieci nastawiona na bezpieczeństwo
Budowanie bezpiecznej sieci bezprzewodowej zaczyna się od bezpiecznej architektury
naszej tradycyjnej sieci kablowej. Będziemy kierować się zasadą ograniczania dostę-
pu tylko do niezbędnych usług. Ta zasada w świecie zabezpieczeń jest lepiej znana pod
nazwami „default deny” (odmawianie domyślnie) i „least priviledge” (minimalny nie-
zbędny poziom przywilejów). Osiągnięcie tego celu zaczyna się od dobrego projektu
ogólnego. Rysunek 3.1 przedstawia układ sieci sąsiedzkiej node0 zbudowanej przez
SoCalFreeNet — przykład jednego z mo liwych sposobów, jak skonfigurować prosty,
jednowęzłowy hotspot w obszarze mieszkalnym.
Rysunek 3.1.
Przykład bezpiecznej
architektury sieci
Taka struktura sieci chroni członków społeczności lokalnej, którzy udostępniają sieć
sąsiedzką. Serwer m0n0wall słu y jako portal przechwytujący i koncentrator VPN PPTP
dla klientów bezprzewodowych. Punkt dostępowy Cisco słu y jako proste radio dostę-
powe dla klientów. Po kupieniu tego konkretnego urządzenia Cisco 1120 zdaliśmy sobie
sprawę, e nie pozwala ono podłączyć anteny zewnętrznej. Dobudowaliśmy więc zaraz
12. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 55
do punktu dostępowego zewnętrzne złącze SMC. Zmodyfikowane urządzenie Cisco
jest podłączone do dookólnej anteny 15,3 dBi umieszczonej na dachu domu jednego
z członków grupy. Dom i antena zostały pominięte na rysunku, lecz widać na nim lo-
giczną infrastrukturę obsługującą ten węzeł SoCalFreeNet. Niektóre węzły SoCalFre-
eNet są pojedynczymi, niezale nymi punktami dostępowymi w domach u ytkowników,
podczas gdy inne nale ą do większego systemu przekazywania o topologii gwiaździstej
(o którym wspomnieliśmy w rozdziale 2.). Punkty dostępowe mo na te instalować
w ramach systemu Sputnik (patrz rozdział 8.).
Ostrzeżenie: Zagrożenie dla sprzętu
Wszystkie zewnętrzne połączenia muszą być zabezpieczone przed wpływami atmos-
ferycznymi. Woda może przedostawać się do złączy i powodować z upływem czasu
straty sygnału. Istnieje wiele różnych opinii co do poprawnych technik zabezpieczania
sprzętu przed wpływami atmosferycznymi. Pod poniższym adresem została opisana
jedna z możliwych: www.qsl.net/n9zia/wireless/sealing_andrews_connectors.html.
Schemat sieci z rysunku 3.1 przedstawia połączenia tylko na podstawowym poziomie.
Istnieje skomplikowany zestaw reguł gwarantujący, e u ytkownicy mogą tylko wyjść
do Internetu, a zarazem pozwalający administratorom na zarządzanie infrastrukturą.
Ochrona środowiska wymaga poprawnej konfiguracji na wszystkich poziomach.
Warto wiedzieć… Utrata gwarancji
Modyfikacja sprzętu przez dodanie złącza zewnętrznej anteny powoduje utratę gwa-
rancji Cisco. Ten konkretnie model punktu dostępowego spełniał nasze wymogi co
do mocy wyjściowej, lecz nie pozwalał podłączyć anteny zewnętrznej… tak szczerze
mówiąc, chcieliśmy po prostu sprawdzić, czy możemy to zrobić.
Wybór sprzętu i oprogramowania dla portalu przechwytującego
Kolejnym krokiem przygotowań będzie wybór urządzenia i oprogramowania do roli
portalu przechwytującego. Podstawowe zadanie portalu polega na dostarczaniu infor-
macji o warunkach świadczenia usług, gdy u ytkownik próbuje się połączyć po raz
pierwszy. Dostarczenie tej informacji mo e się odbyć technicznie na kilka sposobów.
Poniewa wiele z naszych projektów sieci bezprzewodowych ma ograniczenia mocy
zasilania, nasze mo liwości wyboru są ograniczone do portali przechwytujących, które
mogą pracować w urządzeniach wbudowanych. Są to miniaturowe komputery z zain-
stalowanymi ró norodnymi „odchudzonymi” wersjami Uniksa. Wiele z tych wersji
systemów współpracuje z urządzeniami Soekris (www.soekris.com). Oto kilka przykła-
dów konfiguracji tych małych, wygodnych urządzeń:
net4501-30: procesor 133 MHz, 64 MB SDRAM, 3 porty Ethernet,
2 szeregowe, gniazdo CF, 1 gniazdo Mini-PCI, złącze PCI 3,3V.
net4521-30: procesor 133 MHz, 64 MB SDRAM, 3 porty Ethernet,
1 szeregowy, gniazdo CF, 1 gniazdo Mini-PCI, dwa gniazda PC-Card, PoE.
net4801-50: procesor 266 MHz, 128 MB SDRAM, 3 porty Ethernet,
2 szeregowe, złącze USB, gniazdo CF, 44-stykowe złącze IDE, 1 gniazdo
Mini-PCI, złącze PCI 3,3V.
13. 56 Część I ♦ Wprowadzenie
Jak widać, urządzenia te mają wiele funkcji małego komputera upakowanych do małe-
go pudełka. Pozwalają nam korzystać z zaawansowanych rozwiązań, wymagając zara-
zem minimum miejsca i energii. Dla tej konkretnie implementacji wybraliśmy net4801.
Większa „moc przerobowa” tego urządzenia pozwala nam poradzić sobie z dodatko-
wym obcią eniem powodowanym przez usługę PPTP-VPN omówioną w dalszej części
rozdziału. Rysunki 3.2 i 3.3 przedstawiają widok urządzenia z zewnątrz i od środka.
Więcej informacji o sprzęcie Soekris zawiera rozdział 4.
Rysunek 3.2.
Widoki z zewnątrz
Rysunek 3.3.
Widok wnętrza
Po dokonaniu wyboru sprzętu wybór oprogramowania był ju łatwy. Poniewa zde-
cydowaliśmy się na komputer jednopłytowy, skupiliśmy się na Pebble (omówionym
dokładniej w rozdziale 6.) i m0n0wall. Obie dystrybucje obsługują portale przechwy-
tujące. Pebble zawiera NoCat, podczas gdy autorzy m0n0wall napisali własny portal.
Pebble to sympatyczna dystrybucja Debiana zawierająca sterowniki HostAP, serwer
DHCP (Dynamic Host Configuration Protocol), serwer DNS, serwer WWW i oczywi-
ście SSH. Autorzy m0n0wall poszli drogą zapory sieciowej i zdecydowali się na obsłu-
gę routingu, NAT, DHCP, IPSec/PPTP, buforowania DNS, DynDNS, SNMP, sterow-
ników urządzeń bezprzewodowych i kształtowania ruchu.
14. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 57
NAT (Network Addres Translation — translacja adresów sieciowych):
mechanizm pozwalający zredukować zapotrzebowanie na globalnie unikatowe
adresy IP. NAT pozwala organizacjom u ywającym nieunikatowych
globalnie adresów IP łączyć się z Internetem, przekładając te adresy
na przestrzeń adresów publicznych. Inaczej Network Address Translator.
DHCP (Dynamic Host Configuration Protocol — protokół dynamicznej
konfiguracji hostów): mechanizm dynamicznego przydzielania adresów IP,
dzięki czemu adres mo na wykorzystać ponownie, gdy host go ju nie potrzebuje.
Buforowanie DNS: mechanizm przechowujący w pamięci informacje DNS
i przyspieszający odpowiedź na powtarzające się zapytania DNS.
DynDNS: pozwala urządzeniu u ywać zewnętrznego adresu DHCP,
a jednocześnie oferować usługi wymagające statycznego adresu IP (serwer
WWW, serwer pocztowy itp.). Zwykle stosuje się w połączeniu z dostawcą
dynamicznego DNS, aby zapewnić usługę dla u ytkowników DHCP.
SNMP (Simple Network Management Protocol — prosty protokół zarządzania
sieciami): protokół do zarządzania sieciami, u ywany niemal wyłącznie
w sieciach TCP/IP. SNMP pozwala monitorować i sterować urządzeniami
sieciowymi oraz zarządzać konfiguracjami, wydajnością i bezpieczeństwem.
SNMP nadaje się te doskonale do gromadzenia statystyk (patrz rozdział 7.).
Kolejną opcją systemu sieciowego dla komputerów jednopłytowych jest Linux Em-
bedded Appliance Firewall (LEAF); patrz http://leaf.sourceforge.net. Ta dystrybucja
udostępnia usługi warstwy sieciowej i mo e obsługiwać portal przechwytujący NoCat.
Portal trzeba jednak e zainstalować osobno. Obrazy systemu Pebble zawierają NoCat
dołączony do systemu i wstępnie zainstalowany.
Wprawdzie Pebble oferuje du ą elastyczność i doskonale nadaje się do scenariuszy
wielowęzłowych (zwłaszcza dzięki obsłudze chipsetu Atheros), lecz w mniejszych
scenariuszach często wybieramy m0n0wall z uwagi na prostotę i doskonały interfejs
u ytkownika. m0n0wall mieści du e mo liwości na 8-megabajtowej karcie Compact
Flash (CF) i zawiera wygodny interfejs zarządzania pokazany na rysunku 3.4.
Po wybraniu sprzętu i oprogramowania pod m0n0wall mo emy po prostu zainstalować
zaporę sieciową. Witryna m0n0wall (www.m0n0.ch/wall/installation.php) zawiera do-
skonałe instrukcje, jak przeprowadzić ten stosunkowo prosty proces. Ogólnie mówiąc,
wystarczy zapisać obraz Soekris na karcie CF, wło yć kartę CF do gniazda i włączyć
zasilanie. Interfejs Soekris oparty na WWW ma domyślnie ustawiony adres 192.168.1.1/
24 z włączonym DHCP. Aby zacząć zarządzać urządzeniem, nale y podłączyć się do
portu eth0 i otrzymać adres IP. Jak widać, interfejs jest bardzo intuicyjny. Rozdział 6.
zawiera bardziej szczegółowe, krok po kroku, instrukcje instalacji Pebble i m0n0wall.
Po wejściu do konfiguracji musimy podać adresy IP dla portów sieci lokalnej (LAN)
i rozległej (WAN). Mając te porty zdefiniowane, będziemy mogli zmieniać wszelkie
opcje związane z zaporą sieciową, zgodnie z wymogami środowiska. Po pełnym skon-
figurowaniu i przetestowaniu środowiska pora przejść do portalu przechwytującego.
15. 58 Część I ♦ Wprowadzenie
Rysunek 3.4. Interfejs zarządzania m0n0wall
Uwaga… Różnorodne środowiska
Przykład przedstawiony w tym rozdziale używa odrębnego punktu dostępowego, lecz
wielu użytkowników woli wbudować bezprzewodową kartę sieciową bezpośrednio do
systemu m0n0wall. Sieć można skonfigurować na wiele sposobów. Ważne tylko, by
wszystko było uruchomione i przetestowane przed przejściem do następnego etapu.
W tym rozdziale opisujemy konfigurację m0n0wall z zewnętrznym punktem dostępo-
wym (Cisco 1120). W rozdziale 6. opiszemy konfigurację m0n0wall z bezprzewodową
kartą sieciową w Soekris.
Instalacja portalu przechwytującego
Po zainstalowaniu i uruchomieniu m0n0wall mo emy zacząć przechwytywać u ytkow-
ników do portalu. Dzięki interfejsowi graficznemu m0n0wall jest to proces szybki i łatwy.
Kliknij po prostu opcję Captive Portal pod Services/Captive Portal, a następnie:
1. Zaznacz opcję Enable captive portal.
2. Kliknij przycisk Browse… pod Portal page contents i załaduj HTML
przeznaczony dla portalu. Formułowanie umowy o warunkach
świadczenia usług opiszemy w następnym podpunkcie.
16. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 59
Uwaga… Serwery Radius
m0n0wall obsługuje również uwierzytelnianie Radius. Wystarczy dodać nasz serwer
w sekcji Radius Server.
Rysunek 3.5 przedstawia zakładkę Captive Portal. Zakładki Pass-through MAC i Allo-
wed IP Addresses omówimy w dalszej części rozdziału.
Rysunek 3.5. Zakładka Captive Portal
Pisanie własnych warunków świadczenia usług
Portal przechwytujący jest ju na chodzie, więc następnym krokiem będzie napisanie
umowy o warunkach świadczenia usług. Umowa ta instruuje u ytkownika o zakresie
jego odpowiedzialności przy korzystaniu z sieci i chroni operatorów przed odpowie-
dzialnością prawną. W tym lubującym się w sprawach sądowych świecie nawet dawanie
za darmo bezprzewodowego dostępu niesie ze sobą pewne ryzyko. Umowa na stronie
portalu przechwytującego uświadamia u ytkowników i pozwala operatorom sieci sku-
piać się bardziej na budowaniu lepszych sieci bezprzewodowych.
W SoCalFreeNet u ywamy umowy, która mówi mniej więcej:
„Masz tu darmowy dostęp bezprzewodowy. Nie nadu ywaj go, bo ci go
zabierzemy. Przestrzegaj prawa i bądź miły dla innych u ytkowników”.
17. 60 Część I ♦ Wprowadzenie
Dalej umowa zawiera kilka mocnych stwierdzeń zwalniających SoCalFreeNet i wła-
ściciela sprzętu od odpowiedzialności, jeśli u ytkownik zrobi coś głupiego, np. poli e
punkt dostępowy podłączony do zasilania. Wprawdzie zdajemy sobie sprawę, e nie-
które przepisy prawne mogą być dziwne, lecz nikt nie chce pójść siedzieć za zachowa-
nie głupiego u ytkownika. Niektórzy u ytkownicy po prostu podejmują nieprzemyślane
decyzje, a nie chcemy, by społeczność sieciowa i operatorzy ucierpieli na tym. Zapo-
bieganie błędom jest dobrym podejściem, więc SoCalFreeNet szczyci się tym, e za-
bezpiecza społeczność sieci bezprzewodowych tak, jak to tylko mo liwe. Budowanie
bezpiecznych systemów zwiększa przyjemność wszystkich u ytkowników ze spacerów
po „bezprzewodowym parku”.
Sformułowanie naszej umowy z u ytkownikami kosztowało mnóstwo wysiłku. Poprawne
skonstruowanie takiego dokumentu wymaga pomocy ekspertów (prawników). Niestety,
autorzy nie szczycą się znajomością prawa na poziomie eksperckim. Przy pisaniu umo-
wy o warunkach świadczenia usług radzimy skontaktować się z dobrym prawnikiem
zajmującym się technologią. Jeśli wynajęcie prawnika wykracza poza bud et projektu,
radzimy skontaktować się z lokalną grupą u ytkowników sieci bezprzewodowych lub
z nami (www.socalfreenet.org) i poprosić o pomoc. Łącząc zasoby, mo emy osiągnąć
masę krytyczną i wykonać potrzebne zadania.
Rysunek 3.6 przedstawia ekran umowy, którzy u ytkownicy dostają przy pierwszej pró-
bie otwarcia internetowej strony WWW. Po wyra eniu zgody na warunki świadczenia
u ytkownik zostaje automatycznie połączony ponownie ze stroną WWW, której za ądał.
Rysunek 3.6. Ekran umowy o warunkach świadczenia usług
18. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 61
Warto wiedzieć… Jak napisać poprawną umowę?
Autorzy nie uważają się za ekspertów w dziedzinie prawa. Napisanie poprawnej umo-
wy o współpracy z użytkownikiem wymaga ekspertyzy w dziedzinie prawa związane-
go z technologią. Wydawca i autorzy zalecają skorzystanie z odpowiedniej pomocy
prawnej przy tworzeniu dokumentów prawnych związanych z siecią.
Grafika w portalu przechwytującym
Mając w pełni funkcjonujący portal, mo emy wyświetlić u u ytkownika stronę WWW
z naszą umową o warunkach świadczenia usług. Zazwyczaj tworzymy stronę z umową
offline, a następnie ładujemy ją do urządzenia m0n0wall. Jednak e ładowanie strony
zawierającej tylko kod HTML do m0n0wall ogranicza nasze mo liwości wykorzystania
grafiki. Grafika we wspomnianym wcześniej przykładzie wykorzystuje jedynie proste
ró nice w kolorach. Wyjście poza to ograniczenie wymaga drobnej zmiany w konfi-
guracji i w naszej stronie portalu.
Wprawdzie strona portalu nadaje się do wyświetlania tekstu, lecz m0n0wall nie pozwala
ładować lokalnych obrazów (za mało miejsca na karcie CF). Strony WWW nabierają
ycia dzięki grafice. Logo grupy SoCalFreeNet jest miłym dodatkiem do naszej stro-
ny z umową. Dodanie obrazów wymaga kilku prostych kroków:
1. Wybierz serwer WWW, który będzie mieścił grafikę. U nas jest to serwer WWW
i dzienników zdarzeń mieszczący się po zewnętrznej stronie m0n0wall (WAN).
2. Gdy obrazy są ju dostępne w sieci, dodaj do strony portalu znacznik <IMG>
z pełnym adresem obrazu. Zamiast +/) 54%″KOCIGUNQIQIKH″ u ywamy
+/) 54%″JVVRKOCIGUNQIQIKH″ . Mówi to przeglądarce
u ytkownika, by pobrać obraz dla strony portalu z innego serwera. W naszym
przypadku jest to serwer WWW w naszej sieci.
Uwaga… Problem z DNS-em
Odkryliśmy, że portal przechwytujący nie przepuszcza DNS, zanim użytkownik nie za-
akceptuje umowy. Aby sobie z tym poradzić, podajemy bezpośrednio adres IP zamiast
nazwy hosta. Jeśli nie znasz adresu IP serwera, którego chcesz użyć, sprawdź go
poleceniem RKPI.
3. Skonfiguruj portal przechwytujący m0n0wal tak, by dawał u ytkownikom
dostęp do adresu IP serwera mieszczącego obrazy. W tym celu kliknij
Services/Captive Portal w lewym menu m0n0wall, następnie wybierz
zakładkę Allowed IP addresses nad pozycjami do konfiguracji. Na koniec
kliknij ikonę plusa po prawej stronie okna (patrz rysunek 3.7); adresem IP
serwera jest 172.16.1.186. Wskazując adresy innych serwerów, upewnij się,
czy administrator WWW zezwala na odwołania do swojej witryny.
Jest to uznawane za dobrą etykietę w Sieci.
Rysunek 3.8 przedstawia stronę umowy wzbogaconą o logo SoCalFreeNet. Mo emy
pójść jeszcze dalej, u ywając np. ramek. Otwarcie umysłu na innowacje często daje
ciekawe wyniki. Członkowie SoCalFreeNet wcią starają się twórczo zwiększać przy-
jemność i bezpieczeństwo korzystania z sieci przez lokalne społeczności.
19. 62 Część I ♦ Wprowadzenie
Rysunek 3.7. Ekran Allowed IP addresses
Rysunek 3.8. Strona umowy z logo SoCalFreeNet
20. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 63
Warto wiedzieć… Zgoda administratora
Przed umieszczeniem w portalu przechwytującym odwołania bezpośrednio do grafiki
mieszczącej się w serwerze WWW należy uzyskać na to zgodę administratora WWW
tego serwera.
Budowanie VPN z PPTP
Realia i wyzwania otwartych sieci bezprzewodowych prowadzą do powstawania wielu
interesujących rozwiązań. Pojawienie się szyfrowania WEP (Wired Equivalent Privacy)
dało wczesną formę ochrony. Solidność tego rozwiązania kruszyła się w miarę, jak ana-
litycy zabezpieczeń znajdowali punkty podatne na atak, a krakerzy zaczęli łamać szy-
fry. Słabości tego mechanizmu szyfrowania doprowadziły do powstania WPA (Wi-Fi
Protected Access), a później 802.1x. Obecnie mechanizm WPA te trafił pod lupę,
poniewa analitycy zaczęli znajdować w nim problemy. Niektórzy przypuszczają, e
problemy te doprowadzą do upadku WPA. Poniewa WPA stoi na niepewnym gruncie,
postanowiliśmy szukać innych rozwiązań. Wprawdzie technologie 802.1x są obiecu-
jące, lecz wymagają zainstalowania znaczącej infrastruktury. Co więcej, instalowanie
tej technologii w starszych systemach operacyjnych bywa problematyczne.
Opracowanie zabezpieczeń wymaga cierpliwości i pomysłowości. Wielu kreatywnych
u ytkowników przechodzi na technologię wirtualnych sieci prywatnych (VPN), dającą
wy szy poziom ochrony. Ewolucja w stronę technologii VPN pomaga u ytkownikom
cieszyć się łącznością bezprzewodową. Dla naszej bezprzewodowej VPN wybraliśmy
PPTP. Wprawdzie z protokołem PPTP są pewne problemy, lecz wiele luk w bezpie-
czeństwie ju zostało naprawionych.
Jeśli chodzi o problem ataków ze zgadywaniem haseł, u ywamy długich i skomplikowa-
nych, aby znacznie zmniejszyć ryzyko. Chocia PPTP nadal prezentuje pewne zagro enia,
uwa amy, e zaoferowane rozwiązanie jest znacznym postępem w stosunku do prze-
syłania informacji w sieci sąsiedzkiej otwartym tekstem. To oczywiste, e w ka dym
projekcie bezprzewodowym muszą być stosowane narzędzia do szyfrowania wygodne
dla u ytkowników. W wielu naszych węzłach szyfrowanie nie jest w ogóle stosowane,
poniewa u ytkownicy wolą podejście „otwarte”. Takie rozwiązanie jest wprawdzie
mniej bezpieczne, lecz łatwiej je wdro yć i obsługiwać. Podobnie jak we wszystkich
decyzjach związanych z bezpieczeństwem, musimy sami ocenić sytuację i znaleźć kom-
promis pomiędzy bezpieczeństwem a u ytecznością.
Uwaga… Wczesne problemy z PPTP
W roku 1998 słynni analitycy zabezpieczeń, Schneier i Mudge, opublikowali przeło-
mowy dokument (www.schneier.com/pptp.html) o słabościach implementacji PPTP
Microsoftu. Microsoft naprawił wiele z opisanych problemów w następnych wersjach
(poprawki wymagają aktualizacji DUN 1.3), jednakże zagrożenie odgadnięcia hasła
nadal jest aktualne. Stosowanie złożonych haseł, dłuższych niż 14 znaków, pozwa-
la poważnie zmniejszyć zagrożenie.
21. 64 Część I ♦ Wprowadzenie
Przygotowania
Gdy nabierzemy więcej pewności, e takiego rozwiązania VPN chcemy, mo emy przejść
do implementacji. Wymogi wstępne są takie same jak w przypadku opisanego wcześniej
portalu przechwytującego. Musimy zainstalować oprogramowanie m0n0wall, skonfi-
gurować porty i przetestować łączność. Pomo e to zapewnić, e będziemy koncentro-
wać się na konfiguracji VPN zamiast na innych problemach z konfiguracją.
Ostrzeżenie: Zagrożenie dla sprzętu
Wprawdzie tunel PPTP daje ochronę użytkownikom na tyle mądrym, by z niego korzy-
stać, lecz nasza sieć nadal pozwala łączyć się otwartym tekstem. Ponieważ wielu
użytkowników sieci bezprzewodowej nie ma wystarczającej wiedzy o bezpieczeństwie,
by rozumieć zagrożenia biorące się z komunikacji otwartym tekstem, musimy aktyw-
nie szkolić użytkowników i egzekwować używanie zabezpieczeń.
Instalacja VPN
Konfiguracja VPN składa się z dwóch głównych etapów. Pierwszy koncentruje się na
konfiguracji urządzenia m0n0wall, natomiast drugi na konfiguracji klientów. Na szczę-
ście klient PPTP jest wbudowany w wiele wersji Windows, w tym Windows 95, NT,
2000, XP i nowsze.
Po stronie serwera m0n0wall w wersji 1.1 obsługuje tunele IPSec i PPTP. Skonfiguro-
wanie PPTP z u yciem interfejsu WWW m0n0wall jest proste:
1. Wybierz opcję VPN/PPTP z paska menu po lewej stronie. Zwróć uwagę
na zakładki Configuration i Users na górze strony. Podczas konfiguracji
będziemy u ywać obu.
2. Na zakładce Configuration zaznacz pole wyboru Enable PPTP server.
3. W polu Server address wpisz adres serwera PPTP. Jest to adres systemu
m0n0wall, którego klienty będą u ywać po podłączeniu swoich tuneli VPN.
W naszym przykładzie serwer ma adres 10.13.37.2. Jest to po prostu IP
bezpośrednio ponad adresem bramy domyślnej po stronie LAN. Pamiętaj,
by podać adres spoza zakresu DHCP zdefiniowanego w menu DHCP/Services.
4. Wpisz adres sieci w polu Remote address range. Jeśli nie masz doświadczenia
z podsieciami i nie wiesz, jak wybrać odpowiedni adres sieci /28, sugeruję
wpisać zero w ostatnim oktecie. W naszym przykładzie został wybrany zakres
192.168.13.0.
5. Mo esz opcjonalnie włączyć wymuszanie szyfrowania 128-bitowego.
Zalecamy to, o ile nie zdarzy się jakiś konflikt z u ytkownikiem.
6. Kliknij Save na dole strony. Na górze strony pojawi się komunikat
„The changes have been applied successfully” (patrz rysunek 3.9.). Mamy
teraz działający serwer PPTP w systemie m0n0wall; wystarczy jeszcze dodać
konta u ytkowników.
22. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 65
Rysunek 3.9. Konfiguracja VPN: PPTP
7. Pozostając w menu VPN/PPTP, kliknij zakładkę Users w górnej części ekranu.
8. Kliknij ikonę w kształcie plusa po prawej stronie ekranu. Pojawi się ekran
dodawania nowego u ytkownika (patrz rysunek 3.10).
Rysunek 3.10. Ekran edycji u ytkownika
23. 66 Część I ♦ Wprowadzenie
9. W polu Username wpisz po ądaną nazwę logowania. W naszym przykładzie
u yliśmy nazwy %QOOWPKV[7UGT.
10. W polu Password wpisz dwukrotnie długie i skomplikowane hasło. Pod pojęciem
„skomplikowane” rozumiemy wykorzystanie cyfr, liter wielkich i małych
i znaków specjalnych (np. ). Jedna z wygodnych metod mnemotechnicznych
polega na u yciu pierwszych liter kolejnych słów piosenki. Na przykład,
(nie u ywaj tego przykładu w swoim środowisku!) „Mary had a little lamb,
A little lamb, And its fleece was white as snow” da hasło /JCNN#NN#KHYYCU.
Dodaliśmy cyfrę 2 na początek i na koniec hasła, by zwiększyć zło oność.
Warto wiedzieć… hasła w systemie m0n0wall
W chwili publikacji tej książki m0n0wall nie pozwalał na używanie znaków specjal-
nych (` @
24. …). Jeśli nowsza wersja m0n0wall pozwala na to, zde-
cydowanie zalecamy korzystanie ze znaków specjalnych. Zwiększa to wykładniczo
trudność złamania hasła.
11. W polu IP address wpisz IP, który ten u ytkownik zawsze otrzyma.
Zdecydowanie zalecamy skorzystać z tej opcji, poniewa pozwala bezpośrednio
skojarzyć wpisy w dziennikach PPTP z konkretnymi u ytkownikami. Adres
IP musi nale eć do zakresu, który zdefiniowaliśmy w Remote address range
na pierwszej zakładce (192.168.13.0/28). W naszym przykładzie wpisaliśmy
pierwszy IP z zakresu (192.168.13.1).
12. Aby zmiany zaczęły obowiązywać, kliknij Apply changes na górze okna.
Uwaga: ta czynność zerwie połączenia wszystkich u ytkowników połączonych
obecnie przez VPN PPTP. Poniewa konfigurujemy VPN po raz pierwszy,
nie powinno to sprawić problemu. Ponownie na górze ekranu pojawi się
komunikat, e zmiany zostały wprowadzone. Rysunek 13.11 przedstawia
ostateczny efekt.
Rysunek 3.11. Ostateczny rezultat
25. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 67
13. Ostatnim krokiem wymaganym w konfiguracji m0n0wall jest utworzenie
reguły zapory sieciowej pozwalającej na przesyłanie ruchu PPTP. Kliknij
Firewall/Rules po lewej stronie. Pojawi się menu konfiguracyjne z jedną
regułą zdefiniowaną ju dla interfejsu LAN.
14. Ponownie kliknij ikonę plusa po prawej stronie ekranu konfiguracji. Jest tu
jeszcze kilka innych ikon, w tym G dla edycji, Z do usuwania oraz strzałki
do przenoszenia reguł w górę i w dół. m0n0wall przetwarza reguły zapory
sieciowej z góry na dół. Rysunek 3.12 przedstawia ekran nowej reguły.
Rysunek 3.12. Ekran edycji nowej reguły zapory sieciowej
15. Pojawi się ekran nowej reguły zapory sieciowej. Na tym ekranie zostaw
w polu Action czynność Pass (przepuść).
16. Zaznacz opcję PPTP w polu listy rozwijanej Interface.
17. W polu Protocol wybierz opcję TCP/UDP.
18. Dla reszty pól mo esz zostawić ustawienia domyślne lub zmodyfikować dla
konkretnego środowiska. W polu Description wpisz opis reguły. My u ywamy
opisu „PPTP clients - internet”, aby przypominać, jaką rolę pełni ta reguła.
19. Kliknij przycisk Save na dole ekranu. Spowoduje to powrót do menu
Firewall/Rules, w którym pojawi się nowa reguła w sekcji PPTP clients.
20. Ponownie trzeba będzie kliknąć przycisk Apply Changes, aby nowa reguła
zaczęła obowiązywać. Pojawi się komunikat potwierdzający, e zmiany
zostały wprowadzone. Rysunek 3.13 przedstawia ostateczny rezultat.
26. 68 Część I ♦ Wprowadzenie
Rysunek 3.13. Reguły zapory sieciowej — ostateczny wynik
Mamy ju w pełni skonfigurowany serwer, mo emy przejść do konfigurowania klienta
PPTP w systemie u ytkownika.
Uwaga… Bezpieczeństwo haseł
Stosowanie słabych haseł może spowodować narażenie bezpieczeństwa naszej VPN.
Użytkownicy przeważnie nie lubią złożonych haseł. Warto pomyśleć nad wyborem
haseł, które użytkownik może zapamiętać, a które jednocześnie będą miały sens
z punktu widzenia bezpieczeństwa.
Konfiguracja użytkowników sieci
Po stronie u ytkownika wykorzystamy klienta PPTP ju wbudowanego w system Win-
dows. Zademonstrujemy konfigurację na przykładzie Windows XP. Metoda konfiguracji
jest podobna we wszystkich wersjach, zaczynając od Windows 95 a do najnowszej.
1. Kliknij Start/Network Connections. Jak widać na rysunku 3.14, pojawi się okno
Network Connections z wyświetlonymi aktualnymi połączeniami sieciowymi.
2. Kliknij łącze Create a new connection w lewym górnym rogu okna. Jak widać
na rysunku 3.15, pojawi się kreator New Connection Wizard.
3. Kliknij przycisk Next. Pojawi się okno dialogowe New Connection Type.
Wybierz opcję Connect to network at my workplace, jak na rysunku 3.16.
27. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 69
Rysunek 3.14. Ekran Network Connections
Rysunek 3.15.
Ekran powitalny
kreatora New
Connection Wizard
Rysunek 3.16.
Wybór opcji
Connect to network
at my workplace
28. 70 Część I ♦ Wprowadzenie
4. Kliknięcie przycisku Next spowoduje przejście do ekranu Network
Connection. Wybierz opcję Virtual Private Network, jak na rysunku 3.17.
Rysunek 3.17.
Wybór opcji Virtual
Private Network
5. Kliknięcie przycisku Next spowoduje wyświetlenie zapytania Company
Name. Tu wpisz opis swojego połączenia PPTP. Jak widać na rysunku 3.18,
wpisaliśmy PPTP to Community Wireless.
Rysunek 3.18.
Opis połączenia
PPTP
6. Kliknięcie przycisku Next mo e otworzyć okno dialogowe Automatic Dial.
Jeśli to nastąpi, wybierz opcję Do not dial the initial connection.
7. Kliknięcie przycisku Next spowoduje przejście do okna dialogowego Server
Name or Address. Jak widać na rysunku 3.19, wpisaliśmy adres IP naszego
systemu m0n0wall. Jest to adres interfejsu internetowego w m0n0wall, w naszym
przykładzie 10.13.37.1. Adres ten mo na znaleźć w systemie m0n0wall,
klikając pozycję menu Interfaces/LAN w oknie WWW konfiguracji m0n0wall.
29. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 71
Rysunek 3.19.
Adres IP
systemu m0n0wall
8. Kliknięcie przycisku Next spowoduje przejście do okna dialogowego Create
this connection.for:. Jeśli chcesz, aby wszyscy u ytkownicy u ywali tego
połączenia, zaznacz Anyone’s use; w przeciwnym razie wybierz opcję My use
only. Pozostaje to najczęściej w gestii członka społeczności sieciowej
u ywającego połączenia PPTP.
9. Kliknięcie przycisku Next otworzy okno Completing the New Connection
Wizard. Tu mo na opcjonalnie dodać skrót na pulpicie.
10. Kliknij Finish, aby otworzyć okno PPTP authentication (patrz rysunek 3.20).
Aby przetestować ustawienia, wpisz nazwę u ytkownika, którą wcześniej
zdefiniowaliśmy w konfiguracji m0n0wall.
Rysunek 3.20.
Okno
PPTP Authentication
11. Kliknięcie przycisku Connect powoduje otwarcie okienka Connecting,
jak na rysunku 3.21.
12. Jeśli wszystko zostało skonfigurowane poprawnie, pojawi się okno komunikatu
o rejestrowaniu w sieci (patrz rysunek 3.22). Moje gratulacje, VPN PPTP działa!
30. 72 Część I ♦ Wprowadzenie
Rysunek 3.21.
Okno Connecting
Rysunek 3.22.
Rejestrowanie
komputera w sieci
Edukacja użytkowników
sieci bezprzewodowej
Dobre bezpieczeństwo zaczyna się od u ytkowników. U ytkownicy lokalni muszą pod-
jąć dodatkowe kroki, na przykład stosować mocne hasła, aby którykolwiek z naszych
opcjonalnych mechanizmów zabezpieczeń mógł działać. Wszystkie mechanizmy, które
omawialiśmy do tej pory, koncentrują się na technologii. W świecie komputerów w grę
wchodzi dodatkowa umiejętność zwana in ynierią społeczną. Definiujemy in ynierię
społeczną jako sztukę wpływania niekonwencjonalnymi środkami na działania innych
ludzi. Wprawdzie in ynieria społeczna często jest kojarzona ze złymi hakerami (tzw.
black hats — czarne kapelusze), nie wszystkie działania w tej dziedzinie powodują
szkody. Wiele z tych samych umiejętności, które stosują „czarne kapelusze”, mo e po-
słu yć do osiągnięcia pozytywnych wyników. Idea całej niniejszej ksią ki odzwiercie-
dla tę zasadę.
Media nagłaśniające przypadki złych działań hakerów spowodowały, e pojęcie „hac-
king” nabrało pejoratywnego znaczenia. Określenie „haker” początkowo oznaczało
kogoś, kto robi niekonwencjonalne rzeczy, aby tworzyć nowe rozwiązania (stąd tytuł
naszej ksią ki, Wireless Hacking). My te szukamy metod wykraczania poza dotych-
czasowe mo liwości technologii i nowych sposobów tworzenia bezpiecznych środo-
wisk społecznych sieci bezprzewodowych.
Słowo „społeczność” implikuje kontakty społeczne. Kontakty te są dla nas jedną z pod-
stawowych metod dzielenia się pomysłami i, ogólnie, cieszenia się yciem społecznym.
Jest to kolejna droga, którą mo emy propagować bezpieczeństwo i edukować u yt-
kowników w kwestii tego, jak mogą bezpiecznie cieszyć się tworzonym przez nas
„bezprzewodowym parkiem miejskim”.
Przygotowania
Dobra dokumentacja pomaga u ytkownikom szybko uczyć się konfiguracji i zarządzania
swoim sprzętem. Poniewa grupa wolontariuszy jest ograniczona, sieć sąsiedzka opiera
się na przyjaznych u ytkownikach, którzy poświęcają swój czas na pomaganie innym.
31. Rozdział 3. ♦ Bezpieczeństwo sieci bezprzewodowej 73
Wiele z tej pomocy ma postać drukowaną. Podobnie jak niniejsza ksią ka, dokumenta-
cja projektu mo e pomóc w tworzeniu silnej społeczności u ytkowników i zapewnianiu
bezpieczeństwa.
Początek i koniec
Solidne bezpieczeństwo bierze się z wiedzy u ytkowników. Budowanie bazy tej wie-
dzy wymaga cierpliwości i przyjaznego podejścia. Gdy u ytkownik zwraca się do nas
z pytaniem, staramy się przemyśleć problem z jego perspektywy i wykorzystać infor-
macje zwracane przez u ytkownika w projekcie sieci. Na przykład wybraliśmy PPTP
z uwagi na łatwość implementacji po stronie u ytkowników.
W miarę jak u ytkownicy zaczną rozumieć technologię bezprzewodową i dowiadywać
się o ró nych nowych elementach jej bezpieczeństwa, ich ciekawość zacznie rosnąć.
Dzięki dobrze opracowanej dokumentacji u ytkownik będzie miał gdzie uczyć się i zdo-
bywać nowe wiadomości. SoCalFreeNet wykorzystuje strony portalu przechwytującego
jako punkt startowy dla u ytkowników, którzy chcą dowiedzieć się czegoś więcej o bez-
pieczeństwie i swojej roli.
Przy łączeniu się z siecią lokalnej społeczności u ytkownik powinien podjąć kilka
prostych środków ostro ności:
Zawsze u ywaj osobistej zapory sieciowej. Zapory te często znajdują się
w komputerach u ytkowników. W system Windows XP jest wbudowana
niedawno udoskonalona zapora sieciowa.
U ywaj mocnych haseł, aby utrudnić ataki na nie.
Nawet dobre hasła czasem zawodzą. Wiele opartych na WWW programów
pocztowych przesyła hasła przez sieć otwartym tekstem. W naszej sieci
bezprzewodowej oznacza to, e inni u ytkownicy mogą widzieć hasło
do poczty innej osoby. U ytkownik powinien się upewnić, czy przy korzystaniu
z witryn wymagających poufnych informacji w prawym dolnym rogu okna
przeglądarki znajduje się rysunek kłódki. Jego obecność oznacza, e witryna
u ywa SSL.
Wierz lub nie, nawet ta kłódeczka nie gwarantuje pełnej ochrony. Niektóre
ataki wykorzystują urządzenie pośredniczące (man-in-the-middle) i pozwalają
podglądać zaszyfrowany ruch. Z tego powodu zachęcamy u ytkowników,
by u ywali tunelu PPTP i jednocześnie sprawdzali obecność kłódki na ekranie.
Do bardzo poufnych czynności warto rozwa yć skorzystanie z bardziej
konwencjonalnych metod.
Systemy powinny być regularnie łatane. U ytkownicy mogą domagać się
pomocy w wyjaśnieniu, jak sprawdzać i instalować poprawki.
Nale y uczyć dzieci, jak korzystać z Internetu i zachować w nim bezpieczeństwo.
Jeśli masz podejrzenia lub dziwne uczucie przy przeglądaniu witryny WWW,
zatrzymaj się i pomyśl o bezpieczeństwie. Posłuchaj swojego instynktu. Internet
32. 74 Część I ♦ Wprowadzenie
odzwierciedla ycie na wiele sposobów, a świat wirtualny ma swoje getta
i rejony, które nale y omijać. Unikaj sklepów o złej reputacji lub witrynach
o marnej jakości. Często traktują one bezpieczeństwo jako mało wa ne.
Wprawdzie architekci SoCalFreeNet nieustannie szukają i oferują alternatywne metody
zabezpieczeń, prawdziwe bezpieczeństwo spoczywa w rękach u ytkowników. Jeśli
u ytkownicy zdecydują się zignorować oferowane przez nas opcje zabezpieczeń, nasze
wysiłki pójdą na marne.
Propagowanie przez nas kwestii bezpieczeństwa na poziomie społeczności jest najbar-
dziej podstawowym elementem bezpieczeństwa. Najlepsze wyniki daje poło enie na-
cisku na bezpieczeństwo i ułatwianie u ytkownikom korzystania z zabezpieczeń. Jeśli
u yjemy technik in ynierii społecznej, aby pomóc naszym u ytkownikom uczyć się
bezpieczeństwa, będziemy mieli większą szansę zabezpieczyć sieć sąsiedzką.
Warto wiedzieć… Świadomość bezpieczeństwa
Powyższa lista obejmuje tylko najważniejsze zagadnienia bezpieczeństwa, o których
SoCalFreeNet informuje użytkowników. Zdajemy sobie sprawę, że istnieje mnóstwo
źródeł informacji pomagających użytkownikom, a nasza lista mogłaby mieć objętość
wielokrotnie większą. Jest ona zamieszczona tutaj tylko jako przykład.
Inne metody
W ka dej sąsiedzkiej sieci bezprzewodowej mogą pojawić się inne interesujące proble-
my. Oto kilka dodatkowych pomysłów, które mo emy wziąć pod uwagę przy tworzeniu
bezpiecznego środowiska sieci:
Squid Proxy — narzędzie open source o nazwie Squid Proxy mo e posłu yć
do uniemo liwiania u ytkownikom korzystania z nieodpowiednich serwisów
WWW, na przykład pornograficznych lub szerzących nienawiść. Narzędzie to
jest wysoko cenione i na dodatek mo e pomóc w ograniczeniu ruchu w łączu
szerokopasmowym poprzez buforowanie treści WWW. Adres: www.squid-
cache.org.
Snort — narzędzie open source słu ące do wykrywania włamań. Monitorując
ruch przechodzący przez naszą sieć, Snort mo e ostrzec nas przed atakami
pochodzącymi z sieci bezprzewodowej. Ostatnio zespół autorów narzędzia
dodał do niego wyspecjalizowane funkcje do wykrywania ataków
bezprzewodowych. Adres: www.snort.org.
OpenSSH — OpenSSH oferuje funkcję zwaną przekazywaniem portów.
U ywając tego rozwiązania mo emy utworzyć bardzo dobrą VPN
o bezpieczeństwie wy szym ni w naszym rozwiązaniu PPTP. Jeśli sieć ma
odpowiednią infrastrukturę, najwy szy poziom ochrony zapewnia rozwiązanie
hierarchiczne z obustronnym uwierzytelnianiem, takie jak EAP-PEAP.