bezpieczeństwo
Bezpieczne sieci
bezprzewodowe
Michał Poselt
opularność sieci bezprzewodo- standard szyfrowania WPA (ang. Wi-Fi
wych wzrasta z każdym dniem. Protected Access), który wydaje się być
Nie powinno to nikogo dziwić. o wiele lepszym rozwiązaniem niż
PKażdy z nas ceni sobie niskie WEP.
koszty związane z instalacją takiej sieci
oraz dużą mobilność, którą daje nam Założenia
takie rozwiązanie. Wraz z tym zaskaku- Naszym zadaniem będzie zabezpieczenie
jąco szybkim rozwojem pojawił się pro- sieci opartej o ruter Linksys WRT54GC oraz
blem zabezpieczania sieci bezprzewodo- notebooka z bezprzewodową kartą siecio-
wych. Istnieje wiele metod, zaczynając od wą Orinoco i Linuksem Ubuntu 5.10, ale
tych skomplikowanych, przeznaczonych z powodzeniem można wykorzystać opi-
dla administratorów większych sieci, po sywane czynności na dowolnym innym
te mniej skomplikowane, które możemy ruterze i w innej dystrybucji Linuksa (im
bez problemu sami zastosować w naszej nowsza, tym lepsza).
domowej sieci. Niestety, większość osób, Na początku zajmiemy się konfigu-
zakładających taką sieć po raz pierwszy, racją rutera (wyłączenie serwera DHCP,
zapomina nawet o tych najprostszych włączenie filtracji adresów MAC, włą-
DVD
zabezpieczeniach. W tym artykule poka- czenie szyfrowania WEP i utworzenie
Linux+ Live DVD zawiera
żemy, jak z nich skorzystać. Jest to o tyle klucza WEP oraz wyłączenie rozgłasza-
preinstalowanego NDISwrappera,
ważne, że brak jakiegokolwiek zabezpie- nia ESSID), a póz
niej konfiguracją note-
więc można uruchamiać
czenia lub jego słabość może spowodo- booka.
dostępne w komputerze
bezprzewodowe karty sieciowe. wać, że niepowołana osoba może się do
niej podłączyć zapychając nasze łącze, a co
Na CD/DVD
gorsza, nawet próbować włamać do nasze-
Na CD/DVD znajduje się pakiet
go komputera.
NDISwrapper, który umożliwia
uruchamianie sterowników
Dostępne rozwiązania
dla bezprzewodowych kart
Najczęściej stosowanym standardem szy-
sieciowych z Windows na
frowania w sieciach bezprzewodowych
Linuksie, a tym samym dostęp
standardu IEEE 802.11 jest WEP (ang.
przy ich pomocy do sieci lokalnej
bądz
Internetu. Wired Equivalent Privacy). Rozwiązanie to
specyfikuje klucze 40 i 104 bitowe, do któ-
O autorze
rych w procesie wysyłania ramki dołącza-
Autor jest studentem Informatyki
ny jest wektor inicjujący (IV) o długości 24
na Uniwersytecie A
ódzkim (filia
bitów. Z tego powodu popularnie mówi
w Tomaszowie Maz.) oraz
się o 64- i 128-bitowych kluczach WEP,
prowadzi portal o bezpiecze-
ale nie jest to stwierdzenie poprawne tech-
ństwie sieci bezprzewodowych
nicznie.
oraz idei warchalkingu (http://
Rysunek 1. Nasz ruter, którego będziemy
www.warchalking.pl/). Z uwagi na słabość WEP organiza-
wykorzystywali
cja Wi-Fi Alliance zaproponowała nowy
24 styczeń 2006
bezpieczeństwo
bezpieczne sieci bezprzewodowe
Konfiguracja rutera
Zakładam, że ruter podłączyliśmy już do
Internetu, a także zmieniliśmy na nim ESSID
(w ruterach firmy Linksys standardowy to
linksys) oraz hasło (standardowe to admin).
Wszystkie operacje konfiguracyjne rutera
będziemy wykonywać poprzez jego panel
sterowania (http://192.168.1.1/).
Wyłączenie serwera DHCP
W sekcji Network Setup zakładki Basic Setup
z działu Setup znajduje się część określo-
na jako DHCP Server Setting. Odnajdujemy
tam linijkę DHCP Server i zmieniamy war-
tość z Enabled na Disabled. Musimy pamię-
tać, że za każdym razem, gdy coś zmienia-
my, musimy zapisywać ustawienia przyci-
skiem Save settings.
Włączony serwer DHCP stanowi duże
zagrożenie dla naszej sieci, ponieważ przy-
dziela automatycznie adres IP kompu-
Rysunek 2. Określanie dopuszczalnych adresów MAC
terom, które podłączają się do naszego
rutera. Sytuacja ma się inaczej, gdy trzeba
taki IP wybadać samemu  jest to nie tyle adresów MAC. W tym celu przechodzi- Tak utworzone klucze zapisujemy w bez-
zabezpieczenie, co utrudnienie, ale trzeba my na panelu sterowania rutera do piecznym miejscu.
przyznać, że przydatne. działu Wireless i zakładki Wireless MAC
Filter. Włączamy w niej funkcję filtro- Brak ESSID  brak połączenia
Włączenie filtracji adresów MAC wania adresów MAC (Access restriction: Do skojarzenia z siecią bezprzewodo-
Filtracja adresów MAC jest dość ważna przy Enabled) oraz zaznaczamy opcję Permit wą, zgodnie ze standardem IEEE 802.11,
zabezpieczaniu sieci. Pozwala nam autory- PCs listed below to access the wireless konieczne jest posiadanie jej identyfikato-
zować tylko te komputery, które zostały network. Oczywiście, na koniec wpisujemy ra ESSID. Nasz ruter posiada opcję wyłą-
wpisane na naszą listę. Nie możemy zapo- w pole MAC 01 nasz adres MAC karty czenia jego rozgłaszania, po uaktywnie-
mnieć o dodaniu naszego adresu MAC bezprzewodowej.
karty WLAN.
Szeroko otwarte sieci
Aby sprawdzić adres MAC naszej karty Włączenie szyfrowania WEP
bezprzewodowe
sieciowej, wydajemy polecenie ifconfig Nie zdziwcie się, gdy kiedyś na ulicy
intersejs sieciowy>, np.: nia WEP do wyboru mamy tryb 64- albo
zobaczycie namalowane kredą dziwne
128-bitowy, więc warto sprawdzić, czy
znaki. Oznacza to zapewne, że w tym
scoti@ubuntu:~$ ifconfig eth1 nasza karta w notebooku obsługuje klucze
miejscu są dostępne jakieś niezabezpie-
eth1 Link encap:Ethernet HWaddr 128-bitowe. Aby to zrobić, posłużymy się
czone sieci. Są to symbole stosowane
00:01:F4:EC:D2:88 narzędziem iwlist, wchodzącym w skład
w Warchalkingu (tak nazywa się metoda
inet6 addr: fe80::201:f4ff: pakietu Linux Wireless Extensions:
na wyszukiwanie i oznaczanie szeroko
feec:d288/64 Scope:Link
dostępnych sieci WLAN). Z przykrością
UP BROADCAST RUNNING scoti@ubuntu:~$ iwlist eth1 key
muszę stwierdzić, że około 60 % sieci
MULTICAST MTU:1500 Metric:1 eth1 2 key sizes : 40, 104bits
bezprzewodowych w A
odzi jest w ogóle
RX packets:0 errors:0
nie zabezpieczona, z czego prawie 40%
dropped:0 overruns:0 frame:0 Jak widzimy, nasza karta wspiera szyfro-
działają na domyślnym ESSID. Sieci, w
TX packets:0 errors:9 wanie 128-bitowe (jak wspomniałem wcze-
których stosuje się szyfrowanie WEP, jest
dropped:0 overruns:0 carrier:0 śniej, w kluczu 64/128 bitowym pierwsze
około 30%, zaś WPA tylko 10%. Jeśli spo-
collisions:0 txqueuelen:1000 24 bity to wektor inicjujący (IV)).
dziewacie się, że w tych 60% niezabez-
RX bytes:0 (0.0 b) TX Gdy teraz wiemy, że nasza karta
pieczonych sieci były tylko sieci domowe,
bytes:0 (0.0 b) wspiera szyfrowanie 64- i 128-bitowe, mo-
to jesteście w błędzie! Sprawa ta doty-
Interrupt:3 Base address: żemy przystąpić do konfiguracji rutera.
czy także firm. Jak widać, istnieje bardzo
0x100 Znajdujemy w panelu sterowania w dzia-
dużo sieci, w których nie stosuje się
le Wireless zakładkę Wireless security.
nawet szyfrowania WEP, którego konfi-
Nasz adres MAC jest dostępny po słowie Ustawiamy w niej Security mode na WEP
guracja nie powinna zająć nam więcej niż
Hwaddr. oraz Encryption na 64 lub 128 bitów.
10 minut, nawet gdy mamy do czynienia z
Gdy znamy już nasz adres MAC, mo- Wpisujemy w miejsce Passphrase nasze
sieciami po raz pierwszy.
żemy przystąpić do konfiguracji filtra hasło oraz klikamy na przycisk Generate.
www.lpmagazine.org 25
bezpieczeństwo
Topologie sieci
bezprzewodowych
Topologia ad-hoc (sieć bezpośrednia)  w sie
ci zbudowanej w oparciu o tę topologię
komputery komunikują się bezpośrednio
między sobą (bez użycia punktów dostę-
powych i tego typu urządzeń), przez co
ich zasięg jest mniejszy od sieci struktural-
nych. Do komunikacji wykorzystywane są
tylko bezprzewodowe karty sieciowe zain-
stalowane w komputerach. Wadą tych sieci
jest ograniczona liczba użytkowników (4)
oraz to, że nie można dołączyć ich do sieci
przewodowej LAN. Topologię tę stosuje się
głównie do krótkotrwałego połączenia kilku
(do 4) komputerów.
Rysunek 3. Włączanie szyfrowania WEP
Topologia infrastructure (sieć struktu-
ralna)  budowana jest w oparciu o punkt
S
Najważniejszym narzędziem tego pa- scoti@ubuntu:~$ iwconfig eth1
dostępowy (Access Point). W tej topolo-
kietu jest Iwconfig: essid [nazwa sieci]
gii komputery nie komunikują się już bez-
pośrednio między sobą, lecz za pośred-
scoti@ubuntu:~$ iwconfig -h oraz wprowadzamy klucz WEP w postaci
nictwem Access Pointu. Sieci budowa-
ciągu cyfr szesnastkowych (jeden z zapisa-
ne w tej topologii są bardziej wydajne
Jego możliwości są naprawdę duże, gdyż za nych przez nas wcześniej, np. 37dd5a0741):
i mają większe możliwości. Zastosowanie
jego pomocą możemy sterować praktycznie
punktu dostępowego zwiększa maksy-
S
każdym parametrem naszej karty. Użyje- scoti@ubuntu:~$ iwconfig eth1
malną odległość między stacjami (kom-
my w tej chwili tylko kilku opcji, niezbęd- key [klucz WEP]
puterami), jak również umożliwia dołącze-
nych do nawiązania połączenia z ruterem.
nie bezprzewodowej sieci WLAN do prze-
Na początku ustawiamy interfejs eth1 Na końcu sprawdzamy, czy nawiązaliśmy
wodowej LAN, a w konsekwencji także
w tryb Managed: połączenie z naszym routerem:
do Internetu. Sieć zbudowaną w oparciu
o tę topologię można praktycznie dowol-
S
scoti@ubuntu:~$ iwconfig eth1 scoti@ubuntu:~$ iwconfig eth1
nie powiększać poprzez dołączanie kolej-
mode Managed eth1 IEEE 802.11-DS ESSID:
nych punktów dostępowych.
"linux_plus" Nickname:"HERMES I"
Póz
niej podajemy ESSID naszej sieci (np. Mode:Managed Frequency:2.442 GHz
niu której z ramek zostanie usunięty łań- zgodnie z ustawieniami w ruterze: Access Point: 00:0F:66:66:55:1C
cuch z wartością ESSID. Niestety, identyfi-
kator ESSID będzie ujawniony w 2 typach
ramek: ponownego uwierzytelniania oraz
ponownego skojarzenia. Nie jest to jednak
dużym zagrożeniem, gdy nasz laptop nie
będzie w ciągłym ruchu (tzn. nie będzie-
my się z nim przemieszczać).
Aby wyłączyć ESSID, wchodzimy do
sekcji Wireless i zakładki Basic Wireless
Settings, a następnie zmieniamy war-
tość Wireless SSID Broadcast z Enabled na
Disabled.
Konfiguracja sieci
na notebooku
z zainstalowanym Ubuntu
Gdy mamy już za sobą konfigurację rutera,
czas przygotować naszego notebooka.
Podczas konfiguracji będziemy korzystać
z pakietu Linux Wireless Extensions (wireless-
tools), czyli najpopularniejszego zestawu
Rysunek 4. Poprawnie skonfigurowana bezprzewodowa karta sieciowa w Ubuntu
narzędzi do konfigurowania parametrów
(iwconfig w terminalu oraz KWifiManager).
kart bezprzewodowych w systemie Linux.
26 styczeń 2006
bezpieczeństwo
bezpieczne sieci bezprzewodowe
Bit Rate:11 Mb/s Tx-Power=15 dBm Sensitivity:1/3
Retry limit:4 RTS thr:off Fragment thr:off
Power Management:off
Link Quality=50/92 Signal level=-46 dBm
Noise level=-96 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
Jeśli zamiast adresu MAC rutera (pole Access Point) zobaczyliby-
śmy ciąg 44:44:44:44:44:44, to oznacza to, że w czasie połącze-
nia wystąpił błąd.
Kolejną rzeczą, którą musimy zrobić, jest przypisanie adresu
IP. Niestety, konieczne jest wykonanie tego ręcznie, gdyż wyłą-
czyliśmy serwer DHCP na naszym ruterze:
scoti@ubuntu:~$ ifconfig eth1 [ip] netmask [maska]
scoti@ubuntu:~$ route add default gw [brama]
gdzie ip to przykładowo 192.168.1.100, maska to 255.255.255.0,
a brama to 192.168.1.1.
Póz
niej edytujemy plik /etc/resolv.conf i wpisujemy w nim
adres DNS (np. 172.16.1.1):
S
scoti@ubuntu:~$ echo nameserver [adres dns]
> /etc/resolv.conf
Na koniec sprawdzamy, czy wszystko działa:
scoti@ubuntu:~$ ping -b [brama]
scoti@ubuntu:~$ ping google.pl
Gdybyśmy nie wyłączali serwera DHCP w ruterze, wystarczyło-
by pobranie adresu IP poprzez polecenie dhclient eth0.
Podsumowanie
Szyfrowanie WEP, jak powszechnie wiadomo, samo w sobie nie
jest dość dobrym zabezpieczeniem, ale w połączeniu z możliwo-
ściami naszego rutera już się nim staje. Ponadto, szyfrowanie
WEP jest przydatne, gdy korzystamy ze starszych urządzeń sie-
ciowych, które nie wspierają szyfrowania WPA.
Dobrym rozwiązaniem do zabezpieczenia sieci jest WPA,
ale niestety nie każde urządzenie wspiera ten sposób szyfrowa-
nia.
Słowniczek pojęć
WPA (ang. WiFi Protected Access) to standard szyfrowania sto-
sowany w sieciach bezprzewodowych standardu IEEE 802.11.
Został on zaproponowany przez organizację WiFi jako następca
mniej bezpiecznego WEP.
ESSID to nazwa identyfikująca sieć zgodną ze standardem
802.11.
DHCP (ang. Dynamic Host Configuration Protocol) to protokół
komunikacyjny, który umożliwia komputerom uzyskanie od serwe-
ra danych konfiguracyjnych, np. adresu IP komputera, adresu IP
bramy sieciowej, adresu serwera DNS oraz maski sieci. Protokół
DHCP jest zdefiniowany w RFC 2131 i jest następcą BOOTP.
DHCP został opublikowany jako standard w roku 1993.
Słowniczek powstał w oparciu o zasoby Wikipedii.
www.lpmagazine.org 27