IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG

TWJ KOSZYK
DODAJ DO KOSZYKA

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

802.11.
Bezpieczestwo
Autorzy: Bruce Potter, Bob Fleck
Tumaczenie: Marcin Jdrysiak
ISBN: 83-7361-412-5
Tytu oryginau: 802.11 Security
Format: B5, stron: 215
Sieci bezprzewodowe otwieraj nowe moliwoci dla wszystkich uytkownikw
i odgrywaj coraz wiksz rol w naszym yciu. Najpopularniejszy protok sieci WLAN
802.11 zmienia cakowicie sposb postrzegania tradycyjnych sieci lokalnych.
Sieci bezprzewodowe stanowi powane wyzwanie zarwno dla uytkownikw,
jak i administratorw. Brak zabezpiecze fizycznych, dostp do darmowych narzdzi,
ktre mona wykorzysta do przeprowadzenia ataku, a take moliwo monitorowania
ruchu sieciowego bez ryzyka wykrycia przez administratora sprawiaj, e sieci
bezprzewodowe stanowi atwy cel ataku dla hakerw. Oznacza to konieczno
dokadnego zabezpieczenia kadego elementu sieci w celu zapewnienia ochrony danych.
W niniejszej ksice znajduj si podstawowe informacje na temat bezpieczestwa sieci
bezprzewodowych. Poznasz sposb dziaania sieci w standardzie 802.11 oraz ich sabe
punkty. Bardzo wan kwesti jest zrozumienie typowych metod wama oraz
najwaniejszych zagroe zwizanych z wdraaniem sieci bezprzewodowych.
Ksika 802.11. Bezpieczestwo zawiera praktyczne rozwizania dla wszystkich
podstawowych komponentw sieci bezprzewodowych. Ksika prezentuje te najlepsze
aplikacje do zabezpieczania rnych systemw operacyjnych, omwiono uytkowanie
sieci bezprzewodowych pod kontrol Linuksa, FreeBSD, Mac OS X i Windows
W ksice omawiane s rwnie bardziej zaawansowane tematy, takie jak:

Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl

zabezpieczanie punktw dostpowych,

bezpieczestwo bramy,
konfigurowanie zabezpiecze dla stacji roboczych Linux, OpenBSD, FreeBSD,
Mac OS X i Windows,
monitorowanie SNMP,
ataki DoS i prby atakw socjotechnicznych,
konfiguracja sieci VPN i protokou 802.1x sucego do uwierzytelniania
i autoryzacji uytkownikw.
Ksika 802.11. Bezpieczestwo jest przeznaczona dla wszystkich osb zajmujcych
si wdraaniem sieci bezprzewodowych. Prezentuje teori oraz praktyczne przykady
pozwalajce zabezpieczy zarwno sie, jak i cenne dane.

Spis treci
Wstp ................................................................................................................................7

Cz I Podstawy bezpieczestwa sieci 802.11 ..................................15

Rozdzia 1. wiat bez kabli.........................................................................................17
Technologie bezprzewodowe ..............................................................................................................18
Transmisja radiowa ...............................................................................................................................19
Problemy z bezpieczestwem .............................................................................................................21
Standard 802.11 ......................................................................................................................................23
Struktura warstwy 802.11 MAC..........................................................................................................27
WEP..........................................................................................................................................................28
Problemy zwizane z WEP ..................................................................................................................30
Czy sytuacja jest beznadziejna?...........................................................................................................31

Rozdzia 2. Ataki i zagroenia....................................................................................33

Przykadowa sie ...................................................................................................................................33
Ataki DoS ................................................................................................................................................34
Ataki za porednictwem czowieka....................................................................................................40
Niewaciwe uycie ...............................................................................................................................42
Ryzyko zwizane z sieciami bezprzewodowymi.............................................................................43
Wiedza pomaga zwycia ..................................................................................................................45

Cz II Bezpieczestwo stacji bezprzewodowych............................47

Rozdzia 3. Zabezpieczanie stacji bezprzewodowych ............................................49
Bezpieczestwo klienta cele............................................................................................................49
Kontrola zabezpiecze i dziennikw .................................................................................................53
Instalacja aktualizacji.............................................................................................................................53

Spis treci

Rozdzia 4. Zabezpieczanie systemu FreeBSD .........................................................55

Konfiguracja klienta FreeBSD ..............................................................................................................55

Rozdzia 5. Zabezpieczanie systemu Linux ..............................................................71

Konfiguracja klienta linuksowego ......................................................................................................71
Konfiguracja jdra .................................................................................................................................72
Ochrona systemu operacyjnego ..........................................................................................................80
Kontrola zabezpiecze i dziennikw .................................................................................................84
Bezpieczna komunikacja.......................................................................................................................86

Rozdzia 6. Zabezpieczanie systemu OpenBSD .......................................................87

Konfiguracja klienta OpenBSD............................................................................................................87
Konfiguracja jdra .................................................................................................................................88
Ochrona systemu operacyjnego ..........................................................................................................94
Kontrola zabezpiecze i dziennikw .................................................................................................96

Rozdzia 7. Zabezpieczanie systemu Mac OS X......................................................97

Konfiguracja klienta Mac OS X............................................................................................................97
Ochrona systemu operacyjnego ........................................................................................................100
Kontrola zabezpiecze i dziennikw ...............................................................................................106

Rozdzia 8. Zabezpieczanie systemu Windows......................................................107

Konfiguracja klienta Windows ..........................................................................................................107
Ochrona systemu operacyjnego ........................................................................................................107
Kontrola zabezpiecze i dziennikw ...............................................................................................109
Bezpieczna komunikacja.....................................................................................................................109

Cz III Bezpieczestwo punktu dostpowego ...............................111

Rozdzia 9. Konfigurowanie punktu dostpowego................................................113
Oglne bezpieczestwo punktu dostpowego ...............................................................................114
Konfigurowanie punktu dostpowego w systemie Linux............................................................121
Konfigurowanie punktu dostpowego w systemie FreeBSD.......................................................125
Konfigurowanie punktu dostpowego w systemie OpenBSD.....................................................127
Nastpny krok brama ....................................................................................................................132

Spis treci

Cz IV Bezpieczestwo bramy .........................................................133

Rozdzia 10. Zabezpieczanie bramy .........................................................................135
Architektura bramy .............................................................................................................................135
Bezpieczna instalacja ...........................................................................................................................138
Tworzenie regu firewalla ..................................................................................................................138
Kontrola zabezpiecze ........................................................................................................................139

Rozdzia 11. Tworzenie bramy w systemie Linux.................................................141

Planowanie struktury sieci.................................................................................................................141
Tworzenie bramy.................................................................................................................................143
Konfiguracja interfejsw sieciowych ................................................................................................144
Tworzenie regu firewalla ..................................................................................................................146
Filtrowanie adresw MAC.................................................................................................................152
DHCP.....................................................................................................................................................153
DNS........................................................................................................................................................154
Statyczne wpisy ARP ..........................................................................................................................155
Kontrola zabezpiecze i dziennikw ...............................................................................................155
Podsumowanie.....................................................................................................................................155

Rozdzia 12. Tworzenie bramy w systemie FreeBSD............................................157

Tworzenie bramy.................................................................................................................................157
Tworzenie regu firewalla ..................................................................................................................160
Ograniczanie przepustowoci............................................................................................................163
DHCP.....................................................................................................................................................164
DNS........................................................................................................................................................165
Statyczne wpisy ARP ..........................................................................................................................166
Kontrola zabezpiecze i dziennikw ...............................................................................................166

Rozdzia 13. Tworzenie bramy w systemie OpenBSD..........................................167

Tworzenie bramy.................................................................................................................................167
Tworzenie regu firewalla ..................................................................................................................170
Ograniczanie przepustowoci............................................................................................................174
DHCP.....................................................................................................................................................176
DNS........................................................................................................................................................176
Statyczne wpisy ARP ..........................................................................................................................177
Kontrola zabezpiecze i dziennikw ...............................................................................................177

Spis treci

Rozdzia 14. Uwierzytelnianie i szyfrowanie ........................................................179

Portale....................................................................................................................................................179
Wirtualne sieci prywatne IPsec .........................................................................................................181
802.1x .....................................................................................................................................................189

Rozdzia 15. czenie wszystkich elementw........................................................197

Elementy spjnego systemu...............................................................................................................197
Wiedza uytkownika ..........................................................................................................................198
Spojrzenie w przyszo......................................................................................................................199

Dodatki.....................................................................................................201
Skorowidz ....................................................................................................................203

Zabezpieczanie
systemu Linux
Komputery pracujce w sieci bezprzewodowej s naraone na ataki wszystkich znajdujcych si w pobliu uytkownikw. Dzieje si tak, gdy w przeciwiestwie do sieci
przewodowych nie istniej adne fizyczne ograniczenia dostpu, co znacznie zwiksza
zagroenie hosta. Linux jest potnym i zoonym systemem operacyjnym. Prawidowa
konfiguracja tego systemu pozwoli zabezpieczy komputer przed wieloma atakami hakerw. Naley jednak pamita, e le skonfigurowany system linuksowy moe sta si
potn broni w rku wamywacza.

Konfiguracja klienta linuksowego

Obsuga urzdze bezprzewodowych w Linuksie znacznie si poprawia w cigu ostatnich kilku lat. Jeszcze do niedawna FreeBSD by zalecanym system dla sieci WLAN, ale
zmiany dokonane przez programistw sprawiy, e Linux sta si wietnym narzdziem
do obsugi sieci 802.11. Linux pozwala na uycie wielu typowych kart 802.11b, a wikszo producentw urzdze 802.11a i 802.11g projektuje sterowniki dla tego systemu
rwnolegle do sterownikw dla Windows. Inni producenci dostarczaj zmodyfikowane
wersje Linuksa z wbudowan obsug sieci bezprzewodowych.
Jeeli nie wspomniano inaczej, wszystkie przykady przedstawione w tym rozdziale odnosz si do systemu RedHat Linux 7.2 z jdrem 2.4.18. Oczywicie moliwe jest uycie
tych przykadw w innych dystrybucjach Linuksa, ale zwykle wymaga to dokonania
maych zmian w skryptach lub pooeniu plikw. Wicej informacji na temat dystrybucji
RedHat mona znale pod adresem http://www.redhat.com, natomiast informacje o jdrze
2.4.18 umieszczono pod adresem http://www.kernel.org.

72

Rozdzia 5. Zabezpieczanie systemu Linux

Konfiguracja jdra
Aby moliwe byo bezpieczne korzystanie z sieci bezprzewodowej, naley zapewni
prawidow konfiguracj hosta. Podstaw bezpieczestwa kadego komputera jest stabilna i dobrze zaplanowana konfiguracja jdra. Wprowadzane zabezpieczenia jdra musz by zgodne z zasad najmniejszego przywileju. Zasada ta mwi, e uytkownik lub
system powinny otrzyma tylko te przywileje i uprawnienia, ktre s niezbdne do wykonywania okrelonych zada. Oznacza to konieczno usunicia z jdra wszystkich
niepotrzebnych opcji konfiguracji; na przykad, jeeli w komputerze nie ma adnych
urzdze SCSI, naley usun z konfiguracji jdra wszystkie sterowniki SCSI.

Konfiguracja jdra z obsug sieci bezprzewodowych

Zanim moliwe bdzie uycie bezprzewodowych kart sieciowych, naley skompilowa jdro z odpowiednimi opcjami. Proces kompilacji jdra Linuksa wykracza jednak
poza zakres niniejszej ksiki. Wicej informacji na ten temat mona znale w pliku
/usr/src/linux-2.4/README w komputerze z Linuksem lub pod adresem http://www.
tldp.org/HOWTO/Kernel-HOWTO.html. Jdro naley skonfigurowa i skompilowa z jak
najmniejszym zestawem opcji. Po uzyskaniu okrojonego jdra mona wykona procedury przedstawione w dalszej czci tego rozdziau.
Istnieje wiele sposobw konfiguracji jdra. Niezalenie od tego, czy uywane s metody
make menuconfig, make xconfig czy te po prostu make config, wszystkie zmiany zostaj
zapisane w pliku konfiguracyjnym, ktry znajduje si zwykle w /usr/src/linux-2.4/configs/
kernel-[ver].config. Opisane w niniejszym rozdziale opcje stanowi dyrektywy umieszczone w tym pliku. Sposb wprowadzania tych opcji do pliku jest zaleny od Czytelnika; moliwa jest zarwno bezporednia edycja pliku konfiguracyjnego, jak i uycie
skryptw make *_config.
Bezprzewodowe karty sieciowe s zwykle montowane w wewntrznym zczu PCI lub
w gniedzie PCMCIA (karta PC). Pierwszym krokiem bdzie wybranie typu interfejsu.
Obsuga zczy PCI zostaa ju prawdopodobnie skompilowana w jdrze, a wczenie
odpowiednich funkcji odbywa si za pomoc nastpujcego polecenia:
CONFIG_PCI=y

Jdro Linuksa zapewnia obsug bezprzewodowych kart PCI wielu producentw,

wcznie z urzdzeniami firm Lucent, Cisco i Linksys. W dokumentacji jdra mona
znale informacje dotyczce sposobu wczenia obsugi konkretnego modelu karty.
Karty PCMCIA mog by obsugiwane na wiele sposobw. W przypadku jdra 2.4 najprostszym sposobem bdzie zainstalowanie pakietu do obsugi bezprzewodowych kart
PC o nazwie pcmcia-cs, ktry jest dostpny pod adresem http://pcmcia-cs.sourceforge.net/.
Aby moliwe byo uycie tego pakietu, naley wczy obsug adowanych moduw
i wyczy macierzyst obsug kart PC:

Konfiguracja jdra

73

CONFIG_MODULES=y
CONFIG_CARDBUS=y

Kolejnym krokiem jest wczenie obsugi sieci bezprzewodowych (funkcja ta jest znana
rwnie jako non-hamradio):
CONFIG_NET_RADIO=y

W tym momencie naley skonfigurowa i zainstalowa jdro. Za obsug wszystkich

niezbdnych funkcji bdzie odpowiedzialny pakiet pcmcia-cs.
Wikszo dystrybucji Linuksa zawiera wstpnie skompilowane moduy pcmcia-cs. Ich
uycie nie powinno sprawia adnych wikszych problemw. Jeeli jednak konieczne
jest samodzielne skompilowanie pakietu pcmcia-cs, mona wykona ponisz procedur.
Ze strony http://pcmcia-cs.sourceforge.net/ naley pobra kod rdowy pakietu. Uzyskany
plik naley rozpakowa w katalogu, ktry zawiera katalog gwny kodu rdowego
Linuksa (zwykle /usr/src). Przejcie do tego katalogu i wpisanie polecenia make config
spowoduje rozpoczcie kompilacji, podczas ktrej wywietlane bd nastpujce pytania:
Alternate target install category?
Moliwe jest podanie alternatywnego miejsca, w ktrym znajduje si kod rdowy
Linuksa. Domylnie jest to katalog /usr/src/linux.
Build "trusting" versions of card utilites?
Zwykle narzdzia tworzone w tym pakiecie musz by uruchamiane przez
uytkownika root, ktry moe dokona zmian w konfiguracji karty. Wybranie tej
opcji pozwala na modyfikacj konfiguracji przez dowolnego uytkownika.
Naley si jednak zastanowi, czy bdzie to bezpieczne.
Include 32-bit (CardBus card support)?
Jeeli posiadane urzdzenie pracuje w standardzie CardBus, konieczne jest wczenie
tej funkcji. Jej uycie nie powinno jednak sprawia adnych problemw nawet
w przypadku, gdy uywana karta nie jest typu CardBus.
Include PnP BIOS resource checking?
Dziki kontroli zasobw BIOS-u PnP, jaka jest wykonywana przez pakiet pcmcia-cs,
moliwe jest uniknicie konfliktw zasobw. Opcja ta moe jednak spowodowa
pewne problemy w przypadku niektrych komputerw. Decyzj o jej wczeniu
naley wic podj w zalenoci od posiadanego sprztu.
Module install directory?
W razie potrzeby moliwe jest podanie alternatywnego katalogu dla moduu.
Po udzieleniu odpowiedzi na wszystkie pytania naley wyda polecenia make all i make
install. Przejrzenie pliku /etc/pcmcia pozwoli ustali, czy konieczne jest dokonanie

74

Rozdzia 5. Zabezpieczanie systemu Linux

dodatkowych zmian dla posiadanego urzdzenia. Ostatnim krokiem bdzie zrestartowanie komputera i sprawdzenie, czy karta jest rozpoznawana przez hosta.

Konfiguracja zabezpiecze jdra

Jeeli urzdzenia bezprzewodowe dziaaj poprawnie, naley doda do jdra wymagane
opcje zabezpiecze, ktre zostan wykorzystane przez inne narzdzia klienta.
Firewall stanowi podstawow lini obrony przeciwko atakom sieciowym. Odgrywa to
szczegln rol w przypadku sieci bezprzewodowych. Systemy klienckie korzystajce
z tego samego punktu dostpowego nie maj zwykle adnego mechanizmu kontroli dostpu na poziomie sieci, ktry zapobiegaby ich komunikacji. Oznacza to, e zabezpieczenia przeciwko atakom zoliwych uytkownikw bezprzewodowych naley wczy
bezporednio w systemie klienta.
Linux zapewnia elastyczny mechanizm firewalla o nazwie Netfilter. Jest on zaimplementowany w jdrze i kontrolowany za pomoc programu o nazwie iptables. Wczeniejsze wersje Linuksa (2.2 i starsze) korzystay z firewalla IPFW, ktry by zarzdzany za
pomoc programw ipfwadmin i ipchains. Wszystkie te narzdzia zostay jednak usunite
z nowszych wersji systemu. W tym rozdziale skoncentrujemy si wycznie na opisie
firewalla Netfilter i programu iptables, ktre wsplnie zapewniaj zabezpieczenia klienta.
Informacje dotyczce bardziej skomplikowanych zastosowa firewalla Netfilter przedstawiono w rozdziale 11., ktry jest powicony konfiguracji bramy z systemem Linux.
Wczenie firewalla odbywa si za pomoc nastpujcej opcji:
CONFIG_NETFILTER=y

Firewall Netfilter zapewnia wiele opcji konfiguracji. Niektre z nich s wymagane, aczkolwiek wikszo z nich mona doda w zalenoci od potrzeb:
CONFIG_IP_NF_IPTABLES
Opcja ta zapewnia podstawow struktur jdra, jaka jest wykorzystywana przez
program iptables do zarzdzania firewallem. Uycie tej opcji jest wymagane.
CONFIG_IP_NF_FILTER
Dziki tej opcji firewall moe filtrowa wszystkie pakiety, ktre host prbuje wysa
lub odebra. Uycie tej opcji jest wymagane.
CONFIG_IP_NF_MATCH_MAC
Uycie tej opcji sprawia, e firewall dopasowuje pakiety na podstawie rdowego
i docelowego adresu MAC. Funkcja ta bdzie bardzo przydatna w sieci
bezprzewodowej, gdzie bardzo atwe jest podszywanie si pod inne adresy IP.
CONFIG_IP_NF_MATCH_STATE
Parametr ten przeksztaca Netfilter w firewall z kontrol stanu (ang. stateful firewall),
ktry moe ledzi wszystkie aktywne i poprawne poczenia. Po przesaniu

Konfiguracja jdra

75

i odebraniu pakietu tworzcego transakcj dwukierunkow firewall dodaje t sesj

do tablicy stanu. Pozwala to na szybsze przetwarzanie pakietw dla ustanowionej
sesji, a take zapobiega przekazywaniu faszywych pakietw (stanowi to powany
problem w przypadku firewalli filtrujcych pakiety, takich jak IPFW). Uycie tej opcji
nie jest wymagane, ale w wikszoci przypadkw zalecane. Wszystkie przedstawione
w tym rozdziale przykady wykorzystuj funkcje firewalla tego typu.
CONFIG_IP_NF_CONNTRACK
Opcja ta pozwala na ledzenie pocze przez firewall. W poczeniu z funkcjami
kontroli stanu pozwala to programowi Netfilter na bardziej efektywne ledzenie
ustanowionych pocze.
CONFIG_IP_NF_FTP
Ten modu dodaje funkcje logiczne wymagane do ledzenia pocze FTP. Firewalle
od zawsze miay problemy z takimi poczeniami, poniewa wykorzystuj oddzielne
kanay polece i danych. Dziki temu moduowi moliwe jest ledzenie trybw
aktywnego i pasywnego FTP.
CONFIG_IP_NF_IRC
Modu ten przypomina przedstawiony powyej modu do obsugi pocze FTP
i zapewnia funkcje logiczne wysokiego poziomu do prawidowego ledzenia
pocze IRC.
CONFIG_IP_NF_TARGET_LOG
Dziki tej opcji firewall protokouje wszystkie pakiety w dziennikach syslog w celu
ich pniejszego zbadania. Pozwala to uzyska ogromn ilo informacji, ktre mog
by wykorzystane do szczegowej analizy przeprowadzanych prb wamania.
Dziki uyciu powyszych opcji moliwe jest uzyskanie elastycznego firewalla
klienta. Przykad konfiguracji firewalla Netfilter przedstawiono w podrozdziale
Konfiguracja firewalla w dalszej czci tego rozdziau. Poniej przedstawiono
dodatkowe parametry firewalla.
CONFIG_SYN_COOKIES
Opcja ta umoliwia uycie techniki migracji SYN flood o nazwie SYN Cookies.
Powoduje to utworzenie wyzwania kryptograficznego w pakiecie ACK w celu
zweryfikowania, czy pakiet SYN stanowi cz poprawnej sesji. Uycie tej opcji
w hocie powoduje jednak znaczne obcienie zasobw. Technika SYN Cookies
jest domylnie wyczona, nawet po jej wczeniu w jdrze. Aby j wywoa, naley
wprowadzi nastpujce polecenie:
echo 1 >/proc/sys/net/ipv4/tcp_syncookies

Uycie tej opcji nie jest wymagane w komputerze, ktry suy wycznie jako stacja
robocza i nie jest wykorzystywany jako serwer. Jeeli jednak uruchomiono
jakiekolwiek usugi sieciowe, naley wczy obsug SYN Cookies.

76

Rozdzia 5. Zabezpieczanie systemu Linux

CONFIG_PACKET=y
Ta opcja konfiguracji umoliwia przechwytywanie pakietw pierwotnych
z interfejsu. W pewnym sensie jest wic to odpowiednik opcji BPF w jdrze FreeBSD.
Uytkownik root moe uy tej funkcji do nasuchu ramek skierowanych do innych
komputerw sieci. Wczenie tej opcji jest wymagane do prawidowego dziaania
niektrych programw narzdziowych, takich jak tcpdump i arpwatch.

Konfiguracja startowa
Bezprzewodowe karty sieciowe naley zainicjalizowa podczas startu systemu, podajc
waciwe informacje. Wszystkie te dane s zapisywane w pliku /etc/pcmcia/wireless.opt.
Plik doczony do danej dystrybucji systemu moe zawiera wpisy dla rnych modeli
kart. Cho moliwo wybrania odmiennych ustawie sieciowych dla rnych kart moe by przydatna, zwykle nie jest potrzebna. Wikszo uytkownikw woli stosowa
identyczne ustawienia sieciowe niezalenie od uywanego urzdzenia. Poniej przedstawiono szablon dla informacji w pliku wireless.opt:
case "$ADDRESS" in
*,*,*,*)
# INFO - nazwa opisujaca to polaczenie
INFO="Siec bezprzewodowa"
ESSID - Nazwa sieci ESSID, z ktora nastapi polaczenie
ESSID="Przyklad"
# MODE - tryb dzialania. Typowe wartosci to Managed dla powiazan
# z punktem dostepowym i ad hoc dla polaczen z siecia iBSS.
MODE="Managed"
# RATE - szybkosc danych polaczenia. Wartosc auto pozwala karcie
# na automatyczne wybranie szybkosci w zaleznosci od warunkow.
RATE="auto"
# KEY - klucz WEP. Klucze szesnastkowe sa podawane w postaci
# 0123-4567-89. Klucze ASCII sa poprzedzone litera s,
# na przyklad s:secrt
KEY="s:secrt"
;;
esac

Domylny plik wireless.opt zawiera rwnie dodatkowe opcje, ktre mona skonfigurowa w zalenoci od potrzeb. Wszystkie wartoci ustawione w tym pliku s przekazywane do programu iwconfig w celu konfiguracji karty. Wicej informacji na temat tego
narzdzia mona znale w podrozdziale Konfiguracja karty.
Domylne pliki startowe powoduj automatyczne wczenie interfejsu i ustawienie
niezbdnych opcji sieciowych. Interfejs jest zwykle skonfigurowany w taki sposb, aby
adres IP by przydzielany przez DHCP. Aby skonfigurowa statyczny adres IP, naley
dokona edycji pliku /etc/sysconfig/network-scripts/ifcfg-[urzdzenie]. Poniej przedstawiono parametry urzdzenia ifcfg-eth0 dla statycznego adresu IP:
DEVICE=eth0
IPADDR=192.168.0.100
NETMASK=255.255.255.0
NETWORK=192.168.0.0

Konfiguracja jdra

77

BROADCAST=192.168.0.255
GATEWAY=192.168.0.1
ONBOOT=yes

Jeli klient wymaga DHCP do uzyskania adresu IP, naley uy nastpujcego zestawu
opcji:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=DHCP

Konfiguracja karty sieciowej

Konfigurowanie bezprzewodowej karty sieciowej w systemie Linux to proces skadajcy
si z dwch etapw. Najpierw naley ustawi parametry poczenia bezprzewodowego
za pomoc narzdzia iwconfig. Kiedy karta utworzy poprawne powizanie z punktem
dostpowym, naley uy programu ifconfig do skonfigurowania informacji odnoszcych si do IP.
Poniej przedstawiono najwaniejsze parametry konfiguracji programu iwconfig:
interfejs
Jest to nazwa interfejsu, ktry naley skonfigurowa. Zwykle jest tu podawana
warto typu eth0. Jeeli do programu iwconfig przekazano tylko nazw interfejsu
bez adnych parametrw konfiguracji, zostanie wywietlona bieca konfiguracja
interfejsu bezprzewodowego.
essid identyfikator_essid
Jest to identyfikator sieci ESSID (ang. Extended Service Set ID), z ktr naley si
poczy. Warto ta musi by zgodna z wartoci ustawion w punkcie
dostpowym. Podanie wartoci any sprawi, e klient bdzie si czy z punktem
dostpowym o najwyszej mocy sygnau. Uycie takiej opcji nie jest zalecane,
poniewa znajdujcy si w pobliu haker moe zmusi stacj robocz do poczenia
z wrogim punktem dostpowym.
nwid identyfikator_nwid
Jest to identyfikator sieci; jest to mechanizm uywany do identyfikacji okrelonych
punktw dostpowych w sieci SSID. Wiele punktw dostpowych moe mie
identyczny identyfikator SSID, zapewniajc w ten sposb usugi dla tej samej sieci.
Z kolei identyfikatory nwid poszczeglnych punktw dostpowych mog si rni,
dziki czemu uytkownicy mog wybra urzdzenie, z ktrym chc si poczy.
Podanie wartoci off spowoduje wyczenie sprawdzania nwid. Uycie tego
parametru nie jest wymagane.

78

Rozdzia 5. Zabezpieczanie systemu Linux

channel kana
Jest to kana sucy do komunikacji z punktem dostpowym. Specyfikacja PHY
w standardzie 802.11b okrela kanay w pamie 2,4 GHz, jakie mog by uywane
przez urzdzenia radiowe. W Stanach Zjednoczonych moliwe jest uycie 11
kanaw, podczas gdy w Europie a 14 kanaw. Aby komunikacja pomidzy
klientem a punktem dostpowym bya moliwa, konieczne jest okrelenie tego
samego kanau dla obu urzdze.
mode tryb
Parametr ten okrela typ sieci, z jak bdzie si czy klient. Dostpne wartoci
obejmuj managed dla powiza z punktami dostpowymi oraz ad hoc dla
powiza tworzonych w trybie IBSS.
ap adres_mac
Jest to adres MAC wybranego punktu dostpowego. Poprzez okrelenie tego
parametru klient bdzie czy si tylko z jednym punktem dostpowym. Pozwoli
to znacznie zminimalizowa ryzyko zwizane z obecnoci wrogich punktw
dostpowych, ktre prbuj podszywa si pod identyfikatory SSID i NWID.
Warto tego parametru jest podawana w formie 00:08:20:4e:5e:1f.
Uycie parametru ap nie jest wymagane.
key [klucz_wep] [indeks] [tryb]
Ten znacznik suy do ustawiania wszystkich opcji konfiguracji WEP. Klucz WEP
mona podawa zarwno szesnastkowo (na przykad 0123-4567-89), jak
i w postaci acucha ASCII poprzedzonego znakami s: (na przykad s:secrt).
Dziki indeksom w zakresie od 0 do 3 moliwe jest wprowadzenie i uycie czterech
kluczy WEP. Ostatnia opcja pozwala na ustawienia trybu powizania, ktry decyduje
o sposobie obsugi przez klienta pakietw WEP i innych. Wartoci on i off wyczaj
zabezpieczenia WEP, warto open pozwala karcie sieciowej na zestawianie pocze
w zalenoci od obecnoci punktw dostpowych, natomiast warto restricted
wymusza tworzenie powiza tylko z zabezpieczeniami WEP.
Nie jest to pena lista znacznikw, jakie mona przekaza do programu iwconfig. Pozostae opcje konfiguruj ustawienia oszczdzania energii, czuo oraz metody identyfikacji klienta. Aby uzyska informacje o wszystkich dostpnych parametrach, naley wpisa
polecenie man iwconfig.
Aby zestawi poczenie z zamknit sieci Ethernet z kluczem WEP secrt, naley
wprowadzi ponisze polecenie, ktre pozwoli skonfigurowa to powizanie:
iwconfig eth0 essid Przyklad key s:secrt restricted

Program iwconfig moe by take uyty do zbadania stanu bezprzewodowej karty sieciowej. W takim przypadku jako jedyny parametr naley przekaza nazw danego
interfejsu:

Konfiguracja jdra

79

[root@mo root]# iwconfig eth0

eth0
IEEE 802.11-DS ESSID:"Przyklad" Nickname:"Prism 1"
Mode:Managed Frequency:2.412GHz Access Point: 00:02:2D:04:3D:5D
Bit Rate:2Mb/s
Tx-Power=15 dBm
Sensitivity:1/3
RTS thr:off
Fragment thr:off
Encryption key:3433-6435-64
Power Management:off
Link Quality:92/92 Signal level:-11 dBm Noise level:-102 dBm
Rx invalid nwid:0 invalid crypt:0 invalid misc:0

Program iwconfig wywietla klucz WEP, poniewa zosta uruchomiony przez uytkownika root. Klucz szyfrowania nie bdzie dostpny, jeeli program zostanie wywoany
przez uytkownika z niszymi uprawnieniami.
Po skonfigurowaniu informacji dotyczcych sieci bezprzewodowej naley w normalny
sposb wprowadzi informacje o ustawieniach IP. Suy do tego narzdzie ifconfig.
W systemie FreeBSD moliwe byo skonfigurowanie wszystkich parametrw sieci
i ustawie IP za pomoc pojedynczego programu. Linux wymaga jednak w tym samym
celu uycia dwch oddzielnych narzdzi.

Programy narzdziowe dla kart sieciowych

W Linuksie dostpnych jest wiele polece z rodziny iw, ktre mog by przydatne
w konfiguracji bezprzewodowej karty sieciowej:
iwgetid interfejs
To polecenie zwraca identyfikator SSID punktu dostpowego, z ktrym powizany
jest klient.
iwlist [interfejs] [freq | ap | rate | key | power | txpower | retry]
To polecenie zwraca rne statystyki interfejsu bezprzewodowego, dziki ktrym
mona ustali moliwoci karty; na przykad polecenie iwlist key wywietli list
dostpnych dugoci klucza oraz istniejce klucze, jakie zapisano na karcie. Z kolei
polecenie iwlist rate wywietla informacje o wszystkich szybkociach, z jakimi
karta moe przesya dane.
iwspy interfejs [+] IPADDR | HWADDR []
Polecenie iwspy zapewnia mechanizm pozwalajcy na ledzenie jakoci poczenia
pomidzy dwoma wzami sieci bezprzewodowej. Najpierw naley poda adres IP
lub MAC, ktry bdzie ledzony (na przykad iwspy 192.168.0.1). Dodanie
znaku + do listy adresw spowoduje ich dodanie na kocu istniejcego zestawu
ledzonych adresw. Od tej chwili moliwe jest sprawdzenie stanu wybranego
poczenia poprzez przekazanie nazwy interfejsu do polecenia iwspy, na przykad:
[root@mo root]# iwspy eth0
eth0
Statistics collected:
00:60:1D:20:E0:00 : Quality:91/92
(updated)

Signal level:-11 dBm

Noise level:-102 dBm

80

Rozdzia 5. Zabezpieczanie systemu Linux

iwpriv interfejs prywatne_polecenie [prywatne_parametry]

To polecenie powoduje ustawienie parametrw sterownika, ktre nie s dostpne
poprzez standardowy zestaw polece iwconfig. Za pomoc polecenia iwpriv moliwe
jest, na przykad, wczenie funkcji roamingu, jakie istniej w pakiecie wavelan_cs.
Mona rwnie zbada stan dowolnego interfejsu bezprzewodowego poprzez system
plikw /proc:
[root@mo root]# cat /proc/net/wireless
Inter-| sta-|
Quality
|
Discarded packets
Missed
face | tus | link level noise | nwid crypt
frag
eth0: 0000
92. 245. 154.
0
0
0

|\
retry
0

misc|\ beacon
0 \
0

Ochrona systemu operacyjnego

Poprawnie skonfigurowane jdro to tylko cz rozwizania umoliwiajcego bezpieczne korzystanie z sieci bezprzewodowej. Jest to wrogie rodowisko pracy dla stacji roboczej, gdy kada znajdujca si w pobliu osoba moe przeprowadzi atak przeciwko
niej. Oznacza to, e nie mona opiera si tylko na zabezpieczeniach zapewnianych
przez sie, ale trzeba zastosowa rwnie techniki chronice stacj robocz przed
wszystkimi wrogimi czynnociami, jakie s przeprowadzane przeciwko niej.

Konfiguracja firewalla
Konfiguracja firewalla dla klienta bezprzewodowego jest relatywnie prosta. Na wikszoci stacji roboczych nie s uruchamiane adne usugi sieciowe, takie jak serwery
pocztowe i WWW. Wszystkie nowe poczenia powinny wic wychodzi od klienta,
a przychodzce dania poczenia nie powinny by obsugiwane. Jeeli jednak na stacji
roboczej uruchomiono jakie usugi sieciowe, naley zmodyfikowa odpowiednio konfiguracj firewalla.
Firewall Netfilter, jaki stanowi cz systemu Linux 2.4, jest zarzdzany poprzez program iptables. Netfilter wykorzystuje do przetwarzania wszystkich pakietw zestaw regu firewalla nazywanych acuchami (ang. chains). Dostpne s trzy rne acuchy:
INPUT
Pakiety przeznaczone dla danego hosta s obsugiwane przez acuch INPUT. Jeeli
w hocie uruchomiono, na przykad, serwer WWW, wszystkie pakiety przeznaczone
dla portu 80 publicznego adresu IP hosta bd przetwarzane przez acuch INPUT.
OUTPUT
acuch OUTPUT przetwarza wszystkie pakiety wygenerowane przez danego hosta
dla innego hosta. danie strony internetowej wysane ze stacji roboczej do zdalnego
serwera WWW zostanie obsuone wanie przez acuch wyjciowych hosta.

Ochrona systemu operacyjnego

81

FORWARD
acuch FORWARD przetwarza pakiety, ktre pochodz z nielokalnego hosta i s
skierowane do innego nielokalnego hosta w sieci. Jest to typowe dziaanie firewalla,
ktry chroni ca sie lokaln ruch sieciowy przechodzi przez danego hosta, cho
nie jest przeznaczony dla komputera, w ktrym uruchomiono firewall.
Aby moliwe byo zarzdzanie firewallem, naley utworzy skrypt powoki, ktry bdzie wywoywa waciwe polecenia iptables w celu zaimplementowania danych regu.
Poniej przedstawiono prosty przykad konfiguracji firewalla dla klienta bezprzewodowego, ktry wykorzystuje opcje kontroli stanu zapewniane przez Netfilter. Naley pamita o doczeniu do firewalla waciwych moduw, ktre opisano w podrozdziale
Konfiguracja jdra z obsug sieci bezprzewodowych we wczeniejszej czci tego
rozdziau. Aby uzyska wicej informacji na temat programu iptables i firewalla Netfilter,
naley przej do rozdziau 11., odwiedzi stron http://www.netfilter.org/ lub wywietli
stron pomocy iptables.
#!/bin/sh
# Prosta konfiguracja rc.firewall dla klienta bezprzewodowego
# Ustawienie zmiennych
IPTABLES=/sbin/iptables
# Oproznienie wszystkich lancuchow, aby zapewnic start od zera
$IPTABLES -flush
# Lancuchy INPUT i FORWARD zostana przeniesione do wlasnego
# lancucha "client"
# Utworzenie lancucha client
$IPTABLES -N client
# Dopuszczenie ustanowionego ruchu
$IPTABLES -A client -m state --state ESTABLISHED,RELATED -j ACCEPT
# Zaakceptowanie wszystkich polaczen, ktore nie przychodza
# do glownego interfejsu Ethernet (interfejs bezprzewodowy)
$IPTABLES -A client -m state -state NEW 01 ! eth0 -j ACCEPT
# Odrzucenie pozostalego ruchu
$IPTABLES -A client -j DROP
# Skok lancuchow INPUT i FORWARD do lancucha client
$IPTABLES -A INPUT -j client
$IPTABLES -A FORWARD -j client
# Dopuszczenie calego ruchu wychodzacego
$IPTABLES -A OUTPUT -j ACCEPT

Powyszy kod naley zapisa w pliku wykonywalnym o nazwie /etc/init.d/rc.firewall. Nastpnie naley doda nastpujce wpisy do pliku /etc/rc.d/rc.local:
# Firewall IP
echo "uruchamianie Firewalla IP
/etc/init.d/rc.firewall

82

Rozdzia 5. Zabezpieczanie systemu Linux

Reguy firewalla zostan zastosowane po zrestartowaniu systemu. Aby natychmiast zaadowa te reguy, naley uy polecenia /etc/init.d/rc.firewall. Niektre dystrybucje
Linuksa wymagaj uycia alternatywnych metod adowania regu firewalla podczas
startu systemu. Wicej informacji na ten temat mona znale w dokumentacji doczonej do danej dystrybucji.

Wyczenie niepotrzebnych usug

Zasada najmniejszego przywileju odnosi si nie tylko do opcji jdra, ale rwnie do
usug uruchomionych w stacji roboczej. Niepotrzebne usugi mog by wykorzystane
przez hakerw do przeprowadzenia prby wamania do hosta. Uruchomienie kadej
dodatkowej usugi znacznie zwiksza prawdopodobiestwo wystpienia luki w zabezpieczeniach. Z tej przyczyny naley wybra tylko naprawd niezbdne usugi, a nastpnie wyczy wszystkie pozostae. Pozwoli to na zredukowanie zagroenia, a take
uproci ycie administratorowi systemu.
Aby ustali wszystkie udostpniane usugi, naley uruchomi narzdzie lsof ze znacznikiem i, na przykad:
[root@mo root]# lsof -i
COMMAND
PID USER
FD
portmap
639 root
3u
portmap
639 root
4u
rpc.statd 668 root
4u
rpc.statd 668 root
5u
rpc.statd 668 root
6u
sshd
933 root
3u
xinetd
966 root
3u
xinetd
966 root
3u
sendmail 1006 root
4u
X
1233 root
1u

TYPE DEVICE SIZE NODE NAME

IPv4
913
UDP *:sunrpc
IPv4
914
TCP *:sunrpc (LISTEN)
IPv4
939
UDP *:844
IPv4
966
UDP *:1024
IPv4
969
UDP *:1024 (LISTEN)
IPv4
1198
TCP *:ssh (LISTEN)
IPv4
1222
TCP mo:1025 (LISTEN)
IPv4
1273
TCP *:echo
IPv4
1274
TCP mo:smtp (LISTEN)
IPv4
1477
TCP *:x11 (LISTEN)

Polecenia wywietlane po lewej stronie otworzyy porty podane po prawej stronie. Na

przykadowym hocie uruchomiono usugi echo i sendmail (smtp), ktre prawdopodobnie nie s potrzebne i mona je bezpiecznie wyczy. Wedug programu lsof port echa
jest kontrolowany przez xinetd, natomiast port sendmail naley do samego programu
sendmail. Aby wyczy te usugi, naley odnale plik konfiguracyjny sendmail i zatrzyma ten program, a nastpnie zmodyfikowa ustawienia demona xinetd i wyczy echo.
Usugi w systemie Linux mog by uruchamiane na wiele sposobw. Wiele z nich, na
przykad telnet, ftp i portmapper, jest uruchamianych przez superdemona inetd lub xinetd.
inetd to od duszego czasu standardowy demon systemowy. Twrcy niektrych dystrybucji (jak na przykad RedHat) zdecydowali si na migracj do demona xinetd, co byo
spowodowane rozbudowanym zestawem funkcji i lepszymi zabezpieczeniami.
Usugi uruchamiane poprzez demona inetd s kontrolowane za pomoc pliku inetd.conf,
ktry zwykle znajduje si w katalogu /etc. Aby zablokowa uruchamianie wybranych
usug, naley oznaczy znakami komentarza (#) ich wpisy w pliku konfiguracyjnym
inetd.conf. Wszystkie zmiany zostan zastosowane po zresetowaniu komputera. Jeeli

Ochrona systemu operacyjnego

83

jednak konieczne jest natychmiastowe uycie zmodyfikowanych ustawie, naley wysa do demona inetd sygna HUP, co spowoduje ponowne odczytanie pliku konfiguracyjnego:
killall

HUP

inetd

Konfiguracja demona xinetd jest bardziej skomplikowana. W wikszoci systemw istnieje plik osony konfiguracji o nazwie /etc/xinetd.conf, ktry wywouje skrypty znajdujce si w katalogu /etc/xinetd.d/. Aby wyczy usug znajdujc si w katalogu xinetd.d,
naley do pliku konfiguracyjnego tej usugi doda nastpujcy wiersz:
disable = yes

Rwnie w tym przypadku wszystkie zmiany zostan wykonane po zresetowaniu

systemu. Demon xinetd nie odczytuje ponownie pliku konfiguracyjnego po odebraniu
sygnau HUP. Aby natychmiast zastosowa wprowadzone zmiany, naley unicestwi
cakowicie proces i uruchomi go ponownie za pomoc nastpujcego polecenia:
killall xinetd; xinetd stayalive reuse pidfile /var/run/xinetd.pid

Przewodnik po funkcjach zapewnianych przez demona xinetd mona znale pod adresem http://www.macsecurity.org/resources/xinetd/tutorial.shtml.
Niektre usugi nie s uruchamiane przez superdemona, ale poprzez jeden z katalogw
startowych systemu. Pliki startowe s zapisywane w rnych miejscach w zalenoci od
dystrybucji systemu; na przykad RedHat wykorzystuje katalogi /etc/rc.d/rc[0-6].d, natomiast w przypadku Debiana s to katalogi /etc/rc[0-6].d. Liczba w nazwie katalogu odpowiada poziomowi startu, z jakim wywoywane s skrypty. Wikszo niepotrzebnych
usug jest uruchamiana poprzez skrypty w podkatalogach rc2.d i rc3.d. Aby wyczy
usug znajdujc si w katalogu rc, naley zmieni pierwsz liter nazwy skryptu z S na
inn liter (zwykle K); na przykad, aby wyczy program sendmail w dystrybucji RedHat,
konieczne s nastpujce polecenia:
cd /etc/rc.d/rc2.d
mv S80sendmail K80sendmail

Od tej chwili sendmail nie bdzie si ju uruchamia przy starcie komputera.

Statyczne wpisy ARP

Ataki zatrucia ARP, ktre omwiono w rozdziale 2., stanowi powane zagroenie dla
wszystkich uytkownikw sieci bezprzewodowych. Skuteczne zatrucie pamici podrcznej ARP hosta pracujcego w takiej sieci umoliwia przeprowadzenie ataku DoS lub
wamania za porednictwem czowieka. Na szczcie dziki statycznemu odwzorowaniu
adresw MAC na adresy IP dla najwaniejszych hostw w sieci mona w duym stopniu zminimalizowa ryzyko zwizane z atakami tego typu.

84

Rozdzia 5. Zabezpieczanie systemu Linux

Podstawowym zadaniem jest ustawienie statycznego wpisu ARP dla bramy domylnej.
Poniej przedstawiono przykadowy skrypt, ktry po umieszczeniu w pliku /etc/init.d/
staticarp moe tworzy niezbdne przypisanie. Zamiast wartoci <adres_IP _bramy>
i <adres_MAC_bramy> naley poda konkretne ustawienia sieci lokalnej:
#!/bin/sh
# Ten skrypt ustawia statyczne wpisy arp w systemie Linux
case "$1" in
start)
# Dodanie adresu MAC bramy do tablicy ARP
echo -n 'dodawanie adresu MAC bramy do tablicy ARP'
arp -s <adres_IP_bramy> <adres_MAC_bramy>
;;
stop)
# Usuniecie adresu MAC z tablicy ARP
echo 'usuwanie statycznego adresu MAC z tablicy ARP'
arp -d <adres_IP_bramy>
;;
*)
# Standardowe polecenie uzycia
echo "Uzycie: `basename $0` {start|stop}" >&2
;;
esac
exit 0

Aby statyczne wpisy ARP byy adowane automatycznie podczas startu systemu, naley
upewni si, czy plik staticarp jest wykonywalny, a nastpnie doda dowizanie symboliczne do katalogu /etc/rc.d/rc2.d. W tym celu naley wprowadzi nastpujce polecenia:
[root@mo rc2.d]# chmod 755 /etc/init.d/staticarp
[root@mo rc2.d]# cd /etc/rc.d/rc2.d
[root@mo rc2.d]# ln -s /etc/init.d/staticarp S98staticarp

Inne kwestie zwizane z bezpieczestwem

Jeeli jest to niezbdne, moliwe jest wprowadzenie kolejnych zabezpiecze stacji roboczej. Ich omwienie wykracza jednak poza tematyk niniejszej ksiki. Wiele przydatnych informacji na temat bezpieczestwa Linuksa mona znale na stronie Linux
Security HOWTO, ktra jest dostpna pod adresem http://www.tldp.org/HOWTO/SecurityHOWTO.html.

Kontrola zabezpiecze i dziennikw

Niezalenie od skutecznoci zastosowanych zabezpiecze zawsze mona sta si ofiar
ataku nieznanego typu. Moe to oznacza powane problemy, jeeli uytkownik nie zapisuje informacji i nie monitoruje regularnie dziennikw. Wykonywanie tych czynnoci

Kontrola zabezpiecze i dziennikw

85

pozwoli reagowa na ataki w czasie rzeczywistym, chronic w ten sposb zasoby, uytkownikw i ich dane.

Narzdzie arpwatch
Ze wzgldu na brak fizycznych zabezpiecze sieci bezprzewodowych ataki niskiego poziomu stanowi znacznie powaniejsze zagroenie ni w przypadku klasycznych sieci
Ethernet. Dziki zatruwaniu ARP (patrz rozdzia 2.) zoliwy host moe posuy do
przeprowadzenia ataku za porednictwem czowieka na inne komputery znajdujce si
w sieci. Uycie statycznych wpisw ARP w sposb opisany we wczeniejszej czci tego
rozdziau to jedna z metod zabezpieczenia si przed atakami tego typu.
Wykrywanie problemw z tablicami ARP to jedna z metod, dziki ktrym administrator
moe przyjrze si oglnemu bezpieczestwu sieci. Wykrycie podejrzanych wpisw
moe oznacza, e kto podsuchuje wszystkie przesyane pakiety, a dane s zagroone.
Do monitorowania sieci i sygnalizowania wszystkich nietypowych zdarze suy program o nazwie arpwatch. Aby moliwe byo jego uycie, naley zapewni dostp do
pierwotnych ramek, jakie s przesyane poprzez sie. W tym celu naley wczy w jdrze obsug opcji CONFIG_PACKET.
Szczegowy opis konfiguracji i uycia programu arpwatch mona znale w podrozdziale Narzdzie arpwatch w rozdziale 4.

Narzdzie syslog
Program syslog to bardzo popularne narzdzie, ktre moe by uywane przez praktycznie kad aplikacj. Wiele standardowych aplikacji, wcznie z dziennikiem jdra,
przesya do tego narzdzia przydatne informacje. Przekierowanie uzyskanych danych
do wybranego miejsca i regularne ich monitorowanie pozwala na uzyskanie przegldu
wszystkich czynnoci wykonywanych przez system i jego uytkownikw, wcznie
z osobami znajdujcymi si w sieci.
Poszczeglne dystrybucje Linuksa korzystaj z odmiennych konfiguracji narzdzia
syslog. W wikszoci przypadkw zebrane informacje s przesyane do rnych plikw
dziennikw na podstawie ich rda i poziomu wanoci. Czasami jednak przydaje si
moliwo przesania wszystkich danych do jednego pliku, gdy pozwala to na ich
przegldanie za pomoc wybranych narzdzi, takich jak grep i perl. Samodzielnie przefiltrowane dane kontroli zabezpiecze s zwykle znacznie bardziej przydatne ni informacje sortowane na podstawie zaoe przyjtych z gry.
Aby przekierowa do dziennika /var/log/messages wszystkie informacje, jakie trafiaj do
narzdzia syslog, naley na pocztku pliku konfiguracyjnego /etc/syslog.conf doda nastpujcy wiersz:
*.*

/var/log/messages

86

Rozdzia 5. Zabezpieczanie systemu Linux

Naley pamita o oznaczeniu znakami komentarza (#) wszystkich innych wierszy

w pliku konfiguracyjnym programu syslog, jakie odwouj si do dziennika /var/log/
messages. Aby zastosowa dokonane zmiany bez restartowania systemu, mona jako
uytkownik root wyda polecenie killall syslogd; syslogd.

Narzdzie swatch
Przegldanie dziennikw systemowych jest nudne. Jeeli nie wystpuj adne ciekawe
zdarzenia, szybko mona straci zainteresowanie t prac i przesta zwraca na dzienniki systemowe uwag. Nie jest take moliwe przegldanie dziennikw przez cay czas.
Na szczcie dostpny jest program swatch, ktry stale monitoruje wszystkie informacje
zapisywane w dzienniku ASCII, oczekujc na pojawienie si interesujcych acuchw.
Po wykryciu problemu program moe wysa wiadomo e-mail, wywietli komunikat
w konsoli, a nawet odtworzy sygna dwikowy. Szczegowy opis programu swatch
mona znale w podrozdziale Narzdzie swatch w rozdziale 4.

Bezpieczna komunikacja
Nawet jeeli firewall dziaa poprawnie, a jdro zostao skonfigurowane z minimaln iloci opcji, wysanie do serwera niezaszyfrowanego hasa pocztowego moe sprawi, e
zaimplementowane systemowe mechanizmy zabezpiecze stan si cakowicie bezuyteczne. Bezpieczna komunikacja stanowi podstaw dla bezpieczestwa klienta. Szczegowe przedstawienie mechanizmw komunikacyjnych mona znale w podrozdziale
Bezpieczna komunikacja w rozdziale 3.
Przygotowanie niezbdnych zabezpiecze stacji roboczych z systemami FreeBSD i Linux
pozwoli pracowa we wrogim rodowisku, jakim jest sie bezprzewodowa. Jeeli stacja
robocza bdzie niedostpna i odporna na przeprowadzane prby wamania, haker
szybko si zniechci i sprbuje zaatakowa inny komputer w sieci. Kolejnym krokiem
procedury wdraania chronionej sieci bezprzewodowej jest zbadanie bezpieczestwa
punktw dostpowych i bramy sieciowej.