IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG

TWJ KOSZYK
DODAJ DO KOSZYKA

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl

Wireless Hacking.
Edycja polska
Autorzy: Lee Barken i inni
Tumaczenie: Adam Jarczyk
ISBN: 83-7361-794-9
Tytu oryginau: Wireless Hacking
Format: B5, stron: 328

Odkryj nieznane moliwoci urzdze do budowania sieci bezprzewodowych

Zaprojektuj sieci bezprzewodowe
Poznaj rodzaje urzdze dostpowych
Naucz si monitorowa dziaanie sieci
Modyfikuj i dostosuj sprzt sieciowy
Sieci bezprzewodowe staj si coraz popularniejsze. Producenci sprztu przecigaj si
we wprowadzaniu na rynek coraz nowszych i prostszych w obsudze urzdze.
Wszystkie te urzdzenia posiadaj jednak podstawow wad s projektowane pod
ktem moliwie najszerszego rynku, co niestety wyklucza zastosowanie ich w sposb
odbiegajcy od tego, czego zdaniem ich producentw moe oczekiwa uytkownik.
Na szczcie jednak istniej ludzie, ktrzy nie obawiaj si rozkrcania takich urzdze
i modyfikowania ich tak, aby speniay nieco wysze oczekiwania, stawiane przez
uytkownikw sieci bezprzewodowych.
Jeli chcesz zosta kim takim i jeste ciekawy, jak mona wycisn maksimum
moliwoci z urzdze sieci bezprzewodowej, przeczytaj ksik Wireless hacking.
Edycja polska. Dowiesz si z niej, jak projektowa i instalowa sieci bezprzewodowe,
jak modyfikowa urzdzenia dostpowe, wyposaajc je w pozornie niedostpne dla
nich funkcje, i jak budowa urzdzenia sieciowe zasilane energi soneczn. Nauczysz
si konfigurowa systemy operacyjne urzdze bezprzewodowych, instalowa anteny
i poprawia osigi urzdze sieciowych.
Projektowanie sieci bezprzewodowych
Bezpieczestwo transmisji w sieciach bezprzewodowych
Punkty dostpowe
Systemy operacyjne dla urzdze sieciowych
Monitorowanie dziaania sieci
Instalowanie anten
Zasilanie soneczne dla punktw dostpowych

Wykorzystaj wiadomoci z tej ksiki do stworzenia

idealnej sieci bezprzewodowej

Spis treci
Przedmowa...................................................................................... 17
Wstp ............................................................................................. 19

Cz I

Wprowadzenie................................................................21

Rozdzia 1. Krtki przegld Wi-Fi........................................................................ 23

Wprowadzenie do Wi-Fi ................................................................................................. 23
Historia i podstawy 802.11.............................................................................................. 24
Litery i literki IEEE................................................................................................... 25
802.11b ............................................................................................................... 25
802.11a ............................................................................................................... 26
802.11g ............................................................................................................... 27
Tryby ad hoc i infrastrukturalny................................................................................ 28
czenie z punktem dostpu ............................................................................... 28
Przepisy FCC ............................................................................................................ 31
Przepisy FCC i IEEE .......................................................................................... 32
Dlaczego Wi-Fi? ............................................................................................................. 33
Zalety dla wacicieli nieruchomoci ........................................................................ 34
Zalety dla ochotnikw............................................................................................... 35
Konsekwencje spoeczne........................................................................................... 35
Bezpieczestwo ssiedzkich sieci bezprzewodowych............................................... 36
Kady komputer musi by chroniony ................................................................. 37
Odpowiedzialno prawna .................................................................................. 38
Ochrona ssiedztwa ............................................................................................ 38
Podsumowanie ................................................................................................................ 39

Rozdzia 2. SoCalFreeNet.org
budowanie duych ssiedzkich sieci bezprzewodowych ................. 41
Wprowadzenie................................................................................................................. 41
Wireless Distribution System (WDS).............................................................................. 42
cza 5 GHz.................................................................................................................... 43
Urzdzenia klienckie ....................................................................................................... 44
Konkurencja wobec firm telefonicznych i kablowych..................................................... 46
Wyposaanie barw kawowych i sklepw ...................................................................... 47
Jak zaangaowa uytkownikw? ................................................................................... 48
Podsumowanie ................................................................................................................ 49

Wireless Hacking. Edycja polska

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej.............................................. 51

Wprowadzenie................................................................................................................. 51
Portal przechwytujcy ..................................................................................................... 53
Przygotowania........................................................................................................... 53
Struktura sieci nastawiona na bezpieczestwo.................................................... 54
Wybr sprztu i oprogramowania dla portalu przechwytujcego ....................... 55
Instalacja portalu przechwytujcego ......................................................................... 58
Pisanie wasnych warunkw wiadczenia usug ................................................. 59
Grafika w portalu przechwytujcym ................................................................... 61
Budowanie VPN z PPTP................................................................................................. 63
Przygotowania........................................................................................................... 64
Instalacja VPN .......................................................................................................... 64
Konfiguracja uytkownikw sieci............................................................................. 68
Edukacja uytkownikw sieci bezprzewodowej.............................................................. 72
Przygotowania........................................................................................................... 72
Pocztek i koniec ...................................................................................................... 73
Inne metody..................................................................................................................... 74

Cz II

Projekty.........................................................................75

Rozdzia 4. Bezprzewodowe punkty dostpowe................................................... 77

Wprowadzenie................................................................................................................. 77
Wi-Fi i Linux................................................................................................................... 77
Przeprogramowanie................................................................................................... 78
Linksys WRT54g ...................................................................................................... 78
Sveasoft............................................................................................................... 79
NewBroadcom .................................................................................................... 87
HyperWRT.......................................................................................................... 88
eWRT.................................................................................................................. 88
Wifi-box.............................................................................................................. 90
Batbox................................................................................................................. 92
OpenWRT........................................................................................................... 93
Niedostatki WRT54g ................................................................................................ 93
Komputery jednopytowe Soekris ................................................................................... 93
net4501...................................................................................................................... 94
net4511...................................................................................................................... 94
net 4521..................................................................................................................... 96
net4526...................................................................................................................... 97
net4801...................................................................................................................... 97
Akcesoria Soekris...................................................................................................... 98
Punkt dostpowy 802.11a Proxim 8571 .......................................................................... 99
Przygotowanie do przerbki.................................................................................... 101
Przerbka ................................................................................................................ 101
Zagldamy pod mask. Jak to dziaa? ..................................................................... 105
Podsumowanie .............................................................................................................. 110

Rozdzia 5. Klienckie bezprzewodowe urzdzenia dostpowe............................. 111

Wprowadzenie............................................................................................................... 111
Notebooki...................................................................................................................... 111
Karty PCMCIA ....................................................................................................... 112
Karty Mini-PCI ....................................................................................................... 112
Komputery biurkowe..................................................................................................... 113
Karty PCI ................................................................................................................ 114
Urzdzenia USB...................................................................................................... 114
Mosty Ethernet........................................................................................................ 116

Spis treci

5
PDA............................................................................................................................... 117
Compact Flash......................................................................................................... 117
Karty Secure Digital IO........................................................................................... 117
Polowanie na sieci bezprzewodowe .............................................................................. 119
Do czego jest potrzebny WarDriving? .................................................................... 119
Przygotowania......................................................................................................... 120
Wyposaenie wymagane................................................................................... 120
Oprogramowanie do WarDriving...................................................................... 121
Wyposaenie opcjonalne .................................................................................. 122
Etyka WarDriving ................................................................................................... 125
Inne zasoby.................................................................................................................... 126

Cz III Projekty programistyczne .............................................127

Rozdzia 6. Systemy operacyjne dla urzdze bezprzewodowych........................ 129
Wprowadzenie............................................................................................................... 129
m0n0wall potna, elegancka, prosta ....................................................................... 131
Przygotowania......................................................................................................... 132
m0n0wall w standardowym PC ........................................................................ 132
m0n0wall w komputerze jednopytowym (SBC) .............................................. 133
Inne ustawienia konfiguracji ............................................................................. 134
Instalacja ................................................................................................................. 134
Pobieranie najnowszej wersji............................................................................ 134
Tworzenie pyty CD-ROM pod Windows ........................................................ 135
Nagrywanie karty Compact Flash pod Windows .............................................. 136
Instalacja standardowego PC ............................................................................ 138
Instalacja komputera jednopytowego............................................................... 141
Konfiguracja m0n0wall..................................................................................... 144
Zagldamy pod mask............................................................................................. 156
Dystrybucja Pebble potna, surowa, kompletna ..................................................... 157
Przygotowania......................................................................................................... 158
Instalacja ................................................................................................................. 159
Tworzenie startowego CD i uruchomienie systemu Knoppix........................... 159
Konfiguracja czytnika Compact Flash .............................................................. 161
Formatowanie karty Compact Flash ................................................................. 162
Pobieranie Pebble ............................................................................................. 164
Kopiowanie Pebble na kart CF........................................................................ 164
Uruchamianie Pebble ........................................................................................ 165
Konfiguracja Pebble.......................................................................................... 166
Zagldamy pod mask............................................................................................. 168

Rozdzia 7. Monitorowanie sieci....................................................................... 169

Wprowadzenie............................................................................................................... 169
Obsuga SNMP.............................................................................................................. 170
Przygotowania......................................................................................................... 170
Konfiguracja............................................................................................................ 171
Zagldamy pod mask. Jak to dziaa? ..................................................................... 173
Getif eksploracja SNMP w Microsoft Windows ...................................................... 173
Przygotowania......................................................................................................... 174
Dziaanie programu................................................................................................. 174
Pobieranie informacji o interfejsach urzdzenia ............................................... 175
Eksploracja identyfikatorw OID SNMP ......................................................... 176
Wykresy danych ............................................................................................... 177
Zagldamy pod mask. Jak to dziaa? ..................................................................... 178

Wireless Hacking. Edycja polska

STG wykresy SNMP dla Microsoft Windows.......................................................... 179
Przygotowania......................................................................................................... 180
Dziaanie programu................................................................................................. 180
Zagldamy pod mask. Jak to dziaa? ..................................................................... 182
Cacti bogactwo wykresw dla sieci.......................................................................... 183
Przygotowania......................................................................................................... 184
Apache .............................................................................................................. 184
PHP................................................................................................................... 184
Perl.................................................................................................................... 184
RRDTool........................................................................................................... 185
MySQL ............................................................................................................. 185
Cacti.................................................................................................................. 185
Instalacja ................................................................................................................. 185
Instalacja Apache .............................................................................................. 186
Instalacja PHP................................................................................................... 187
Instalacja Perla.................................................................................................. 190
Instalacja RRDTool .......................................................................................... 190
Instalacja MySQL-a .......................................................................................... 190
Inne ustawienia ................................................................................................. 191
Instalacja Cactid i Cacti .................................................................................... 192
Zbieranie danych w Cacti ................................................................................. 196
Zagldamy pod mask. Jak to dziaa? ..................................................................... 201
Dodatkowe rda informacji ........................................................................................ 202

Rozdzia 8. Tanie rozwizania komercyjne ........................................................ 203

Wprowadzenie............................................................................................................... 203
Sputnik .......................................................................................................................... 203
Punkty dostpowe Sputnik ...................................................................................... 204
Sputnik Control Center ........................................................................................... 206
Funkcje systemu Sputnik ........................................................................................ 206
Captive Portal ................................................................................................... 206
Pre-Paid Module ............................................................................................... 209
Rewolucja ............................................................................................................... 210
Sveasoft ......................................................................................................................... 211
MikroTik ....................................................................................................................... 213
Podsumowanie .............................................................................................................. 215

Rozdzia 9. Sieci kratowe ................................................................................ 217

Wprowadzenie............................................................................................................... 217
Przygotowania......................................................................................................... 219
Podstawowe definicje.................................................................................................... 219
Wireless Distribution System.................................................................................. 222
Przykady z ycia........................................................................................................... 224
BelAir Networks ..................................................................................................... 224
Sieci kratowe LocustWorld..................................................................................... 224
Podsumowanie .............................................................................................................. 225
Dodatkowe rda w sieci ............................................................................................. 226

Cz IV Anteny i obudowy do uytku na zewntrz budynkw.......227

Rozdzia 10. Anteny .......................................................................................... 229
Wprowadzenie............................................................................................................... 229
Na pocztek podstawowe pojcia i definicje ............................................................ 230
Przepisy FCC .......................................................................................................... 235
Tumienie w kablach, zczach i materiaach.................................................... 237
Uziemienie i ochrona odgromowa systemu............................................................. 239

Spis treci

7
Antena z puszki po kawie.............................................................................................. 240
Przygotowania......................................................................................................... 240
Monta .................................................................................................................... 241
Zagldamy pod mask. Jak to dziaa? ..................................................................... 243
Rozwizywanie typowych problemw z antenami ................................................. 243
Przyszo anten ............................................................................................................ 244
Podsumowanie .............................................................................................................. 245

Rozdzia 11. Konstruowanie obudw i masztw antenowych ............................... 247

Wprowadzenie............................................................................................................... 247
Obudowy do uytku na wolnym powietrzu ................................................................... 248
Przygotowania......................................................................................................... 248
Wybr surowej obudowy............................................................................... 249
Wybr elementw konstrukcyjnych.................................................................. 251
Monta .................................................................................................................... 253
Metalowe obudowy NEMA 3 ........................................................................... 253
Zagldamy pod mask............................................................................................. 260
Budowa masztw antenowych ...................................................................................... 261
Przygotowania......................................................................................................... 261
Instalacja ................................................................................................................. 262
Wolno stojcy maszt antenowy......................................................................... 262
Maszty antenowe montowane bezporednio..................................................... 265
Ochrona przed piorunami.................................................................................. 268
Podsumowanie .............................................................................................................. 270

Rozdzia 12. Punkty dostpowe i repeatery zasilane energi soneczn ............... 271
Wprowadzenie............................................................................................................... 271
Przygotowania......................................................................................................... 272
Kalkulacja zapotrzebowania na energi ............................................................ 272
Wybr akumulatora .......................................................................................... 274
Wybr baterii sonecznej .................................................................................. 276
Budowa ................................................................................................................... 280
Konstrukcja mechaniczna ................................................................................. 281
Bateria soneczna .............................................................................................. 281
Instalacja elektryczna........................................................................................ 283
Elektronika........................................................................................................ 287
Zagldamy pod mask. Jak to dziaa? ..................................................................... 288
Akumulatory ..................................................................................................... 289
Bateria soneczna .............................................................................................. 289

Dodatki .......................................................................................291
Dodatek A Przerbki urzdze 802.11 ............................................................. 293
Wprowadzenie............................................................................................................... 293
Przerbki bezprzewodowych kart sieciowych PCMCIA
dodajemy zcze anteny zewntrznej ..................................................................... 294
Przygotowania......................................................................................................... 295
Przerbka ................................................................................................................ 296
Zdjcie obudowy............................................................................................... 297
Przeniesienie kondensatora ............................................................................... 298
Przytwierdzenie nowego zcza ........................................................................ 299
Zagldamy pod mask. Jak to dziaa? ..................................................................... 300
OpenAP (Instant802) przeprogramowanie punktu dostpowego na Linuksa ........... 300
Przygotowania......................................................................................................... 301

Wireless Hacking. Edycja polska

Przerbka ................................................................................................................ 302
Monta karty SRAM......................................................................................... 303
Wczenie urzdzenia ....................................................................................... 305
Zagldamy pod mask. Jak to dziaa? ..................................................................... 305
Zabawa z punktem dostpowym Dell 1184................................................................... 306
Przygotowania......................................................................................................... 306
Zabawa.................................................................................................................... 307
Zagldamy pod mask. Jak to dziaa? ..................................................................... 310
Podsumowanie .............................................................................................................. 311
Dodatkowe zasoby ........................................................................................................ 311
Grupy uytkownikw.............................................................................................. 311
Badania i publikacje................................................................................................ 312
Produkty i narzdzia................................................................................................ 312

Skorowidz ..................................................................................... 315

Rozdzia 3.

Bezpieczestwo
sieci bezprzewodowej
W tym rozdziale:

Portal przechwytujcy

Budowanie VPN z PPTP

Edukacja uytkownikw sieci bezprzewodowej

Inne metody

Wprowadzenie
W SoCalFreeNet projektujemy sieci bezprzewodowe jako miejsca, w ktrych ludzie
z ssiedztwa mog odpocz i przespacerowa si po WWW. Bezpieczne przegldanie
stron WWW w sieci bezprzewodowej tworzy atmosfer wsplnoty, podobnie jak park
miejski. Nasza grupa czsto uywa analogii do parku, aby wyrazi cele dziaa przy
budowaniu i utrzymywaniu sieci.
Stworzylimy ssiedzk sie bezprzewodow, aby pozwoli zwykym ludziom na czenie si z Internetem za pomoc podstawowych urzdze bezprzewodowych. Nacisk na
to, by trzyma si podstaw, umoliwia korzystanie z sieci najrnorodniejszym uytkownikiem, od elity technicznej a po babcie i dziadkw majcych po raz pierwszy
w yciu kontakt z Sieci. Nowi uytkownicy sieci bezprzewodowej mog wchon
tylko ograniczon ilo wiadomoci, zanim przytoczy ich technologia, wic staramy
si, by dla takich uytkownikw zoono zabezpiecze miaa okrelone granice.
Bezpieczestwo sieci bezprzewodowych oczywicie sprawia pewne problemy. Bior
si one przede wszystkim z fizycznej natury sygnaw bezprzewodowych. Sygnay
komputerowe przesyane tradycyjnymi sieciami kablowymi rozchodz si w sposb
o wiele bardziej kontrolowany, sterowany przez przeczniki, routery i zapory, ktre
graj w sieci rol odwiernych. W przeciwiestwie do nich nasze sieci bezprzewodowe
rzucaj pakietami we wszystkie strony; pakiet zatrzymuje si dopiero wtedy, gdy

Cz I Wprowadzenie

52

poziom sygnau spadnie w kocu na tyle, by inne urzdzenia nie mogy sysze naszego
sygnau. Czue odbiorniki pozwalaj nieraz odbiera sygnay z sieci bezprzewodowych
z odlegoci kilku kilometrw (jeden z naszych uytkownikw zbudowa z urzdze
Linksys na pustyni cze o dugoci ponad 20 kilometrw bez dodatkowego wzmacniania sygnaw). Oznacza to jednoczenie, e kto moe prbowa podsuchiwa nasz
sie z duej odlegoci.
Tacy podsuchiwacze przypominaj nam o starej prawdzie, e jedni ludzie korzystaj
z techniki (bezprzewodowej) do osigania pozytywnych celw, a inni bd uywa
naszej sieci do negatywnych dziaa. Tacy niegodziwi uytkownicy czsto mog stwarza problemy innym ludziom i architektom naszej bezprzewodowej spoecznoci. I podobnie jak w parku, musimy podj odpowiednie dziaania, by wsplne dobro pozostao
czyste wic musimy pozbiera mieci.
Uytkownicy o zych zamiarach mog stwarza problemy, oglnie mwic, na trzy
sposoby:

atakujc innych uytkownikw w lokalnej sieci,

atakujc uytkownikw lub komputery w Internecie,

popeniajc przestpstwa w naszej sieci ssiedzkiej.

Przestpstwa zachodz, gdy uytkownik prbuje wama si do komputera lub atakuje

innych uytkownikw w Internecie. Moe te wykorzysta poczenie z Internetem do
pobierania pornografii dziecicej lub przeprowadzania nielegalnych transakcji.
Wszystkie te dziaania mog potencjalnie narobi powanych szkd w spoecznoci
sieci, a nawet spowodowa pocignicie do odpowiedzialnoci architektw sieci bezprzewodowej. Dlatego te nasi architekci zabrali si do szukania rozwiza takich problemw. Wprawdzie za bezpieczestwo zawsze odpowiada uytkownik, lecz s pewne
kroki, ktre moemy podj, aby zwikszy bezpieczestwo sieci. W niniejszym rozdziale zostan omwione nastpujce metody zwikszania bezpieczestwa:

Instalacja portalu przechwytujcego.

Pisanie wasnych umw o zasadach korzystania z usug.

Grafika dla portalu przechwytujcego.

Budowanie VPN z PPTP.

Wczanie obsugi VPN.

Konfiguracja uytkownikw w sieci ssiedzkiej.

Edukacja uytkownikw sieci bezprzewodowej.

Pocztek i koniec.

Niniejszy rozdzia powicony jest przede wszystkim sposobom ochrony spoecznoci

uytkownikw. Zawarty w nim materia koncentruje si na nowatorskich podejciach
do zagadnie bezpieczestwa naszego bezprzewodowego parku miejskiego.

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

53

Portal przechwytujcy
Groba spraw sdowych jest jedn z najwikszych barier w tworzeniu bezpiecznych
sieci oglnodostpnych. Poza kwestiami prawnymi sieci stawiaj wiele wyzwa zwizanych z bezpieczestwem. Wprawdzie opisane tu zabezpieczenia rozwizuj wiele
problemw i skracaj list zagroe, lecz rodki te s skuteczne tylko wtedy, gdy spoeczno uytkownikw z nich korzysta. Wielu uytkownikw chce si po prostu jak
najszybciej poczy z Internetem i cakowicie ignoruje bezpieczestwo. Ta ignorancja
jest inspiracj dla starego amerykaskiego powiedzenia: Mona zaprowadzi konia
do wody, lecz nie mona zmusi go do picia.
Idea portalu przechwytujcego bierze si z kwestii prawnych zwizanych z uytkowaniem sieci bezprzewodowych. Poza zwikszeniem bezpieczestwa portal jest wygodnym narzdziem do dostarczania informacji i wskazwek spoecznoci uytkownikw.
Narzdzie to siedzi po prostu w poczeniu z Internetem i przechwytuje pierwsze poczenie z WWW. Gdy nadchodzi pierwsze danie poczenia od uytkownika, portal
przechwytujcy kieruje uytkownika do strony zawierajcej owiadczenie o odpowiedzialnoci prawnej i wytyczne dla uytkownikw. Ta strona, czsto nazywana w literaturze Terms of Service (ToS zasady wiadczenia usugi), jest podstaw umowy
prawnej spoecznoci sieci z uytkownikiem. Tutaj uytkownik moe przeczyta o zagadnieniach bezpieczestwa w sieci. SoCalFreeNet wykorzystuje t stron do zachcania uytkownikw, by podejmowali dziaania zapobiegawcze i uywali pewnych bardziej zaawansowanych funkcji zabezpiecze, ktre udostpniamy.
Warto wiedzie odpowiedzialno prawna

Udostpnianie swobodnego dostpu do sieci bezprzewodowej ma pewne implikacje prawne. Ochrona spoecznoci przed wytoczeniem sprawy sdowej jest wanym
zastosowaniem technologii portalu przechwytujcego. Portal ten suy te jako wane narzdzie edukacyjne uwiadamiajce uytkownikw o bezpieczestwie i wasnej
odpowiedzialnoci w tej kwestii.

Przygotowania
Wiele funkcji opisanych w tym rozdziale wykorzystuje zapor sieciow open source
o nazwie m0n0wall (zapora ta bdzie dokadniej omwiona w rozdziale 6.). Zesp
m0n0wall tworz programici, ktrzy zebrali si, aby zbudowa system w nowym stylu
z wygodnym, opartym na WWW mechanizmem konfiguracji. Interfejs graficzny uatwia konfiguracj portalu przechwytujcego m0n0wall i wirtualnych sieci prywatnych
(VPN Virtual Private Network) opartych na protokole PPTP (Point-to-Point Tunneling Protocol). PPTP-VPN suy jako zaszyfrowany tunel, ktrego uytkownicy mog
uywa, by chroni si przed podsuchiwaniem za strony innych uytkownikw sieci.
Pokaemy, jak wykorzysta obie funkcje do zwikszenia bezpieczestwa naszej ssiedzkiej sieci bezprzewodowej.
Przygotowania sieci do zainstalowania portalu przechwytujcego wymagaj trzech
krokw:

Cz I Wprowadzenie

54

1. Zaprojektowania i zbudowania sieci z myl o bezpieczestwie.

2. Wyboru oprogramowania i sprztu dla portalu przechwytujcego.
3. Instalacji i konfiguracji m0n0wall.

Struktura sieci nastawiona na bezpieczestwo

Budowanie bezpiecznej sieci bezprzewodowej zaczyna si od bezpiecznej architektury
naszej tradycyjnej sieci kablowej. Bdziemy kierowa si zasad ograniczania dostpu tylko do niezbdnych usug. Ta zasada w wiecie zabezpiecze jest lepiej znana pod
nazwami default deny (odmawianie domylnie) i least priviledge (minimalny niezbdny poziom przywilejw). Osignicie tego celu zaczyna si od dobrego projektu
oglnego. Rysunek 3.1 przedstawia ukad sieci ssiedzkiej node0 zbudowanej przez
SoCalFreeNet przykad jednego z moliwych sposobw, jak skonfigurowa prosty,
jednowzowy hotspot w obszarze mieszkalnym.
Rysunek 3.1.
Przykad bezpiecznej
architektury sieci

Taka struktura sieci chroni czonkw spoecznoci lokalnej, ktrzy udostpniaj sie
ssiedzk. Serwer m0n0wall suy jako portal przechwytujcy i koncentrator VPN PPTP
dla klientw bezprzewodowych. Punkt dostpowy Cisco suy jako proste radio dostpowe dla klientw. Po kupieniu tego konkretnego urzdzenia Cisco 1120 zdalimy sobie
spraw, e nie pozwala ono podczy anteny zewntrznej. Dobudowalimy wic zaraz

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

55

do punktu dostpowego zewntrzne zcze SMC. Zmodyfikowane urzdzenie Cisco

jest podczone do dooklnej anteny 15,3 dBi umieszczonej na dachu domu jednego
z czonkw grupy. Dom i antena zostay pominite na rysunku, lecz wida na nim logiczn infrastruktur obsugujc ten wze SoCalFreeNet. Niektre wzy SoCalFreeNet s pojedynczymi, niezalenymi punktami dostpowymi w domach uytkownikw,
podczas gdy inne nale do wikszego systemu przekazywania o topologii gwiadzistej
(o ktrym wspomnielimy w rozdziale 2.). Punkty dostpowe mona te instalowa
w ramach systemu Sputnik (patrz rozdzia 8.).
Ostrzeenie: Zagroenie dla sprztu

Wszystkie zewntrzne poczenia musz by zabezpieczone przed wpywami atmosferycznymi. Woda moe przedostawa si do zczy i powodowa z upywem czasu
straty sygnau. Istnieje wiele rnych opinii co do poprawnych technik zabezpieczania
sprztu przed wpywami atmosferycznymi. Pod poniszym adresem zostaa opisana
jedna z moliwych: www.qsl.net/n9zia/wireless/sealing_andrews_connectors.html.

Schemat sieci z rysunku 3.1 przedstawia poczenia tylko na podstawowym poziomie.

Istnieje skomplikowany zestaw regu gwarantujcy, e uytkownicy mog tylko wyj
do Internetu, a zarazem pozwalajcy administratorom na zarzdzanie infrastruktur.
Ochrona rodowiska wymaga poprawnej konfiguracji na wszystkich poziomach.
Warto wiedzie Utrata gwarancji

Modyfikacja sprztu przez dodanie zcza zewntrznej anteny powoduje utrat gwarancji Cisco. Ten konkretnie model punktu dostpowego spenia nasze wymogi co
do mocy wyjciowej, lecz nie pozwala podczy anteny zewntrznej tak szczerze
mwic, chcielimy po prostu sprawdzi, czy moemy to zrobi.

Wybr sprztu i oprogramowania dla portalu przechwytujcego

Kolejnym krokiem przygotowa bdzie wybr urzdzenia i oprogramowania do roli
portalu przechwytujcego. Podstawowe zadanie portalu polega na dostarczaniu informacji o warunkach wiadczenia usug, gdy uytkownik prbuje si poczy po raz
pierwszy. Dostarczenie tej informacji moe si odby technicznie na kilka sposobw.
Poniewa wiele z naszych projektw sieci bezprzewodowych ma ograniczenia mocy
zasilania, nasze moliwoci wyboru s ograniczone do portali przechwytujcych, ktre
mog pracowa w urzdzeniach wbudowanych. S to miniaturowe komputery z zainstalowanymi rnorodnymi odchudzonymi wersjami Uniksa. Wiele z tych wersji
systemw wsppracuje z urzdzeniami Soekris (www.soekris.com). Oto kilka przykadw konfiguracji tych maych, wygodnych urzdze:

net4501-30: procesor 133 MHz, 64 MB SDRAM, 3 porty Ethernet,

2 szeregowe, gniazdo CF, 1 gniazdo Mini-PCI, zcze PCI 3,3V.

net4521-30: procesor 133 MHz, 64 MB SDRAM, 3 porty Ethernet,

1 szeregowy, gniazdo CF, 1 gniazdo Mini-PCI, dwa gniazda PC-Card, PoE.

net4801-50: procesor 266 MHz, 128 MB SDRAM, 3 porty Ethernet,

2 szeregowe, zcze USB, gniazdo CF, 44-stykowe zcze IDE, 1 gniazdo

Mini-PCI, zcze PCI 3,3V.

Cz I Wprowadzenie

56

Jak wida, urzdzenia te maj wiele funkcji maego komputera upakowanych do maego pudeka. Pozwalaj nam korzysta z zaawansowanych rozwiza, wymagajc zarazem minimum miejsca i energii. Dla tej konkretnie implementacji wybralimy net4801.
Wiksza moc przerobowa tego urzdzenia pozwala nam poradzi sobie z dodatkowym obcieniem powodowanym przez usug PPTP-VPN omwion w dalszej czci
rozdziau. Rysunki 3.2 i 3.3 przedstawiaj widok urzdzenia z zewntrz i od rodka.
Wicej informacji o sprzcie Soekris zawiera rozdzia 4.
Rysunek 3.2.
Widoki z zewntrz

Rysunek 3.3.
Widok wntrza

Po dokonaniu wyboru sprztu wybr oprogramowania by ju atwy. Poniewa zdecydowalimy si na komputer jednopytowy, skupilimy si na Pebble (omwionym
dokadniej w rozdziale 6.) i m0n0wall. Obie dystrybucje obsuguj portale przechwytujce. Pebble zawiera NoCat, podczas gdy autorzy m0n0wall napisali wasny portal.
Pebble to sympatyczna dystrybucja Debiana zawierajca sterowniki HostAP, serwer
DHCP (Dynamic Host Configuration Protocol), serwer DNS, serwer WWW i oczywicie SSH. Autorzy m0n0wall poszli drog zapory sieciowej i zdecydowali si na obsug routingu, NAT, DHCP, IPSec/PPTP, buforowania DNS, DynDNS, SNMP, sterownikw urzdze bezprzewodowych i ksztatowania ruchu.

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

57

NAT (Network Addres Translation translacja adresw sieciowych):

mechanizm pozwalajcy zredukowa zapotrzebowanie na globalnie unikatowe

adresy IP. NAT pozwala organizacjom uywajcym nieunikatowych
globalnie adresw IP czy si z Internetem, przekadajc te adresy
na przestrze adresw publicznych. Inaczej Network Address Translator.

DHCP (Dynamic Host Configuration Protocol protok dynamicznej

konfiguracji hostw): mechanizm dynamicznego przydzielania adresw IP,

dziki czemu adres mona wykorzysta ponownie, gdy host go ju nie potrzebuje.

Buforowanie DNS: mechanizm przechowujcy w pamici informacje DNS

i przyspieszajcy odpowied na powtarzajce si zapytania DNS.

DynDNS: pozwala urzdzeniu uywa zewntrznego adresu DHCP,

a jednoczenie oferowa usugi wymagajce statycznego adresu IP (serwer

WWW, serwer pocztowy itp.). Zwykle stosuje si w poczeniu z dostawc
dynamicznego DNS, aby zapewni usug dla uytkownikw DHCP.

SNMP (Simple Network Management Protocol prosty protok zarzdzania

sieciami): protok do zarzdzania sieciami, uywany niemal wycznie

w sieciach TCP/IP. SNMP pozwala monitorowa i sterowa urzdzeniami
sieciowymi oraz zarzdza konfiguracjami, wydajnoci i bezpieczestwem.
SNMP nadaje si te doskonale do gromadzenia statystyk (patrz rozdzia 7.).
Kolejn opcj systemu sieciowego dla komputerw jednopytowych jest Linux Embedded Appliance Firewall (LEAF); patrz http://leaf.sourceforge.net. Ta dystrybucja
udostpnia usugi warstwy sieciowej i moe obsugiwa portal przechwytujcy NoCat.
Portal trzeba jednake zainstalowa osobno. Obrazy systemu Pebble zawieraj NoCat
doczony do systemu i wstpnie zainstalowany.
Wprawdzie Pebble oferuje du elastyczno i doskonale nadaje si do scenariuszy
wielowzowych (zwaszcza dziki obsudze chipsetu Atheros), lecz w mniejszych
scenariuszach czsto wybieramy m0n0wall z uwagi na prostot i doskonay interfejs
uytkownika. m0n0wall mieci due moliwoci na 8-megabajtowej karcie Compact
Flash (CF) i zawiera wygodny interfejs zarzdzania pokazany na rysunku 3.4.
Po wybraniu sprztu i oprogramowania pod m0n0wall moemy po prostu zainstalowa
zapor sieciow. Witryna m0n0wall (www.m0n0.ch/wall/installation.php) zawiera doskonae instrukcje, jak przeprowadzi ten stosunkowo prosty proces. Oglnie mwic,
wystarczy zapisa obraz Soekris na karcie CF, woy kart CF do gniazda i wczy
zasilanie. Interfejs Soekris oparty na WWW ma domylnie ustawiony adres 192.168.1.1/
24 z wczonym DHCP. Aby zacz zarzdza urzdzeniem, naley podczy si do
portu eth0 i otrzyma adres IP. Jak wida, interfejs jest bardzo intuicyjny. Rozdzia 6.
zawiera bardziej szczegowe, krok po kroku, instrukcje instalacji Pebble i m0n0wall.
Po wejciu do konfiguracji musimy poda adresy IP dla portw sieci lokalnej (LAN)
i rozlegej (WAN). Majc te porty zdefiniowane, bdziemy mogli zmienia wszelkie
opcje zwizane z zapor sieciow, zgodnie z wymogami rodowiska. Po penym skonfigurowaniu i przetestowaniu rodowiska pora przej do portalu przechwytujcego.

Cz I Wprowadzenie

58

Rysunek 3.4. Interfejs zarzdzania m0n0wall

Uwaga Rnorodne rodowiska

Przykad przedstawiony w tym rozdziale uywa odrbnego punktu dostpowego, lecz

wielu uytkownikw woli wbudowa bezprzewodow kart sieciow bezporednio do
systemu m0n0wall. Sie mona skonfigurowa na wiele sposobw. Wane tylko, by
wszystko byo uruchomione i przetestowane przed przejciem do nastpnego etapu.
W tym rozdziale opisujemy konfiguracj m0n0wall z zewntrznym punktem dostpowym (Cisco 1120). W rozdziale 6. opiszemy konfiguracj m0n0wall z bezprzewodow
kart sieciow w Soekris.

Instalacja portalu przechwytujcego

Po zainstalowaniu i uruchomieniu m0n0wall moemy zacz przechwytywa uytkownikw do portalu. Dziki interfejsowi graficznemu m0n0wall jest to proces szybki i atwy.
Kliknij po prostu opcj Captive Portal pod Services/Captive Portal, a nastpnie:
1. Zaznacz opcj Enable captive portal.
2. Kliknij przycisk Browse pod Portal page contents i zaaduj HTML

przeznaczony dla portalu. Formuowanie umowy o warunkach

wiadczenia usug opiszemy w nastpnym podpunkcie.

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

59

Uwaga Serwery Radius

m0n0wall obsuguje rwnie uwierzytelnianie Radius. Wystarczy doda nasz serwer

w sekcji Radius Server.

Rysunek 3.5 przedstawia zakadk Captive Portal. Zakadki Pass-through MAC i Allowed IP Addresses omwimy w dalszej czci rozdziau.

Rysunek 3.5. Zakadka Captive Portal

Pisanie wasnych warunkw wiadczenia usug

Portal przechwytujcy jest ju na chodzie, wic nastpnym krokiem bdzie napisanie
umowy o warunkach wiadczenia usug. Umowa ta instruuje uytkownika o zakresie
jego odpowiedzialnoci przy korzystaniu z sieci i chroni operatorw przed odpowiedzialnoci prawn. W tym lubujcym si w sprawach sdowych wiecie nawet dawanie
za darmo bezprzewodowego dostpu niesie ze sob pewne ryzyko. Umowa na stronie
portalu przechwytujcego uwiadamia uytkownikw i pozwala operatorom sieci skupia si bardziej na budowaniu lepszych sieci bezprzewodowych.
W SoCalFreeNet uywamy umowy, ktra mwi mniej wicej:
Masz tu darmowy dostp bezprzewodowy. Nie naduywaj go, bo ci go
zabierzemy. Przestrzegaj prawa i bd miy dla innych uytkownikw.

Cz I Wprowadzenie

60

Dalej umowa zawiera kilka mocnych stwierdze zwalniajcych SoCalFreeNet i waciciela sprztu od odpowiedzialnoci, jeli uytkownik zrobi co gupiego, np. polie
punkt dostpowy podczony do zasilania. Wprawdzie zdajemy sobie spraw, e niektre przepisy prawne mog by dziwne, lecz nikt nie chce pj siedzie za zachowanie gupiego uytkownika. Niektrzy uytkownicy po prostu podejmuj nieprzemylane
decyzje, a nie chcemy, by spoeczno sieciowa i operatorzy ucierpieli na tym. Zapobieganie bdom jest dobrym podejciem, wic SoCalFreeNet szczyci si tym, e zabezpiecza spoeczno sieci bezprzewodowych tak, jak to tylko moliwe. Budowanie
bezpiecznych systemw zwiksza przyjemno wszystkich uytkownikw ze spacerw
po bezprzewodowym parku.
Sformuowanie naszej umowy z uytkownikami kosztowao mnstwo wysiku. Poprawne
skonstruowanie takiego dokumentu wymaga pomocy ekspertw (prawnikw). Niestety,
autorzy nie szczyc si znajomoci prawa na poziomie eksperckim. Przy pisaniu umowy o warunkach wiadczenia usug radzimy skontaktowa si z dobrym prawnikiem
zajmujcym si technologi. Jeli wynajcie prawnika wykracza poza budet projektu,
radzimy skontaktowa si z lokaln grup uytkownikw sieci bezprzewodowych lub
z nami (www.socalfreenet.org) i poprosi o pomoc. czc zasoby, moemy osign
mas krytyczn i wykona potrzebne zadania.
Rysunek 3.6 przedstawia ekran umowy, ktrzy uytkownicy dostaj przy pierwszej prbie otwarcia internetowej strony WWW. Po wyraeniu zgody na warunki wiadczenia
uytkownik zostaje automatycznie poczony ponownie ze stron WWW, ktrej zada.

Rysunek 3.6. Ekran umowy o warunkach wiadczenia usug

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

61

Warto wiedzie Jak napisa poprawn umow?

Autorzy nie uwaaj si za ekspertw w dziedzinie prawa. Napisanie poprawnej umowy o wsppracy z uytkownikiem wymaga ekspertyzy w dziedzinie prawa zwizanego z technologi. Wydawca i autorzy zalecaj skorzystanie z odpowiedniej pomocy
prawnej przy tworzeniu dokumentw prawnych zwizanych z sieci.

Grafika w portalu przechwytujcym

Majc w peni funkcjonujcy portal, moemy wywietli u uytkownika stron WWW
z nasz umow o warunkach wiadczenia usug. Zazwyczaj tworzymy stron z umow
offline, a nastpnie adujemy j do urzdzenia m0n0wall. Jednake adowanie strony
zawierajcej tylko kod HTML do m0n0wall ogranicza nasze moliwoci wykorzystania
grafiki. Grafika we wspomnianym wczeniej przykadzie wykorzystuje jedynie proste
rnice w kolorach. Wyjcie poza to ograniczenie wymaga drobnej zmiany w konfiguracji i w naszej stronie portalu.
Wprawdzie strona portalu nadaje si do wywietlania tekstu, lecz m0n0wall nie pozwala
adowa lokalnych obrazw (za mao miejsca na karcie CF). Strony WWW nabieraj
ycia dziki grafice. Logo grupy SoCalFreeNet jest miym dodatkiem do naszej strony z umow. Dodanie obrazw wymaga kilku prostych krokw:
1. Wybierz serwer WWW, ktry bdzie mieci grafik. U nas jest to serwer WWW

i dziennikw zdarze mieszczcy si po zewntrznej stronie m0n0wall (WAN).

2. Gdy obrazy s ju dostpne w sieci, dodaj do strony portalu znacznik <IMG>
z penym adresem obrazu. Zamiast

 
 uywamy

 

 
. Mwi to przegldarce

uytkownika, by pobra obraz dla strony portalu z innego serwera. W naszym

przypadku jest to serwer WWW w naszej sieci.
Uwaga Problem z DNS-em

Odkrylimy, e portal przechwytujcy nie przepuszcza DNS, zanim uytkownik nie zaakceptuje umowy. Aby sobie z tym poradzi, podajemy bezporednio adres IP zamiast
nazwy hosta. Jeli nie znasz adresu IP serwera, ktrego chcesz uy, sprawd go
poleceniem .
3. Skonfiguruj portal przechwytujcy m0n0wal tak, by dawa uytkownikom

dostp do adresu IP serwera mieszczcego obrazy. W tym celu kliknij

Services/Captive Portal w lewym menu m0n0wall, nastpnie wybierz
zakadk Allowed IP addresses nad pozycjami do konfiguracji. Na koniec
kliknij ikon plusa po prawej stronie okna (patrz rysunek 3.7); adresem IP
serwera jest 172.16.1.186. Wskazujc adresy innych serwerw, upewnij si,
czy administrator WWW zezwala na odwoania do swojej witryny.
Jest to uznawane za dobr etykiet w Sieci.
Rysunek 3.8 przedstawia stron umowy wzbogacon o logo SoCalFreeNet. Moemy
pj jeszcze dalej, uywajc np. ramek. Otwarcie umysu na innowacje czsto daje
ciekawe wyniki. Czonkowie SoCalFreeNet wci staraj si twrczo zwiksza przyjemno i bezpieczestwo korzystania z sieci przez lokalne spoecznoci.

62

Rysunek 3.7. Ekran Allowed IP addresses

Rysunek 3.8. Strona umowy z logo SoCalFreeNet

Cz I Wprowadzenie

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

63

Warto wiedzie Zgoda administratora

Przed umieszczeniem w portalu przechwytujcym odwoania bezporednio do grafiki

mieszczcej si w serwerze WWW naley uzyska na to zgod administratora WWW
tego serwera.

Budowanie VPN z PPTP

Realia i wyzwania otwartych sieci bezprzewodowych prowadz do powstawania wielu
interesujcych rozwiza. Pojawienie si szyfrowania WEP (Wired Equivalent Privacy)
dao wczesn form ochrony. Solidno tego rozwizania kruszya si w miar, jak analitycy zabezpiecze znajdowali punkty podatne na atak, a krakerzy zaczli ama szyfry. Saboci tego mechanizmu szyfrowania doprowadziy do powstania WPA (Wi-Fi
Protected Access), a pniej 802.1x. Obecnie mechanizm WPA te trafi pod lup,
poniewa analitycy zaczli znajdowa w nim problemy. Niektrzy przypuszczaj, e
problemy te doprowadz do upadku WPA. Poniewa WPA stoi na niepewnym gruncie,
postanowilimy szuka innych rozwiza. Wprawdzie technologie 802.1x s obiecujce, lecz wymagaj zainstalowania znaczcej infrastruktury. Co wicej, instalowanie
tej technologii w starszych systemach operacyjnych bywa problematyczne.
Opracowanie zabezpiecze wymaga cierpliwoci i pomysowoci. Wielu kreatywnych
uytkownikw przechodzi na technologi wirtualnych sieci prywatnych (VPN), dajc
wyszy poziom ochrony. Ewolucja w stron technologii VPN pomaga uytkownikom
cieszy si cznoci bezprzewodow. Dla naszej bezprzewodowej VPN wybralimy
PPTP. Wprawdzie z protokoem PPTP s pewne problemy, lecz wiele luk w bezpieczestwie ju zostao naprawionych.
Jeli chodzi o problem atakw ze zgadywaniem hase, uywamy dugich i skomplikowanych, aby znacznie zmniejszy ryzyko. Chocia PPTP nadal prezentuje pewne zagroenia,
uwaamy, e zaoferowane rozwizanie jest znacznym postpem w stosunku do przesyania informacji w sieci ssiedzkiej otwartym tekstem. To oczywiste, e w kadym
projekcie bezprzewodowym musz by stosowane narzdzia do szyfrowania wygodne
dla uytkownikw. W wielu naszych wzach szyfrowanie nie jest w ogle stosowane,
poniewa uytkownicy wol podejcie otwarte. Takie rozwizanie jest wprawdzie
mniej bezpieczne, lecz atwiej je wdroy i obsugiwa. Podobnie jak we wszystkich
decyzjach zwizanych z bezpieczestwem, musimy sami oceni sytuacj i znale kompromis pomidzy bezpieczestwem a uytecznoci.
Uwaga Wczesne problemy z PPTP

W roku 1998 synni analitycy zabezpiecze, Schneier i Mudge, opublikowali przeomowy dokument (www.schneier.com/pptp.html) o sabociach implementacji PPTP
Microsoftu. Microsoft naprawi wiele z opisanych problemw w nastpnych wersjach
(poprawki wymagaj aktualizacji DUN 1.3), jednake zagroenie odgadnicia hasa
nadal jest aktualne. Stosowanie zoonych hase, duszych ni 14 znakw, pozwala powanie zmniejszy zagroenie.

Cz I Wprowadzenie

64

Przygotowania
Gdy nabierzemy wicej pewnoci, e takiego rozwizania VPN chcemy, moemy przej
do implementacji. Wymogi wstpne s takie same jak w przypadku opisanego wczeniej
portalu przechwytujcego. Musimy zainstalowa oprogramowanie m0n0wall, skonfigurowa porty i przetestowa czno. Pomoe to zapewni, e bdziemy koncentrowa si na konfiguracji VPN zamiast na innych problemach z konfiguracj.
Ostrzeenie: Zagroenie dla sprztu

Wprawdzie tunel PPTP daje ochron uytkownikom na tyle mdrym, by z niego korzysta, lecz nasza sie nadal pozwala czy si otwartym tekstem. Poniewa wielu
uytkownikw sieci bezprzewodowej nie ma wystarczajcej wiedzy o bezpieczestwie,
by rozumie zagroenia biorce si z komunikacji otwartym tekstem, musimy aktywnie szkoli uytkownikw i egzekwowa uywanie zabezpiecze.

Instalacja VPN
Konfiguracja VPN skada si z dwch gwnych etapw. Pierwszy koncentruje si na
konfiguracji urzdzenia m0n0wall, natomiast drugi na konfiguracji klientw. Na szczcie klient PPTP jest wbudowany w wiele wersji Windows, w tym Windows 95, NT,
2000, XP i nowsze.
Po stronie serwera m0n0wall w wersji 1.1 obsuguje tunele IPSec i PPTP. Skonfigurowanie PPTP z uyciem interfejsu WWW m0n0wall jest proste:
1. Wybierz opcj VPN/PPTP z paska menu po lewej stronie. Zwr uwag

na zakadki Configuration i Users na grze strony. Podczas konfiguracji

bdziemy uywa obu.
2. Na zakadce Configuration zaznacz pole wyboru Enable PPTP server.
3. W polu Server address wpisz adres serwera PPTP. Jest to adres systemu

m0n0wall, ktrego klienty bd uywa po podczeniu swoich tuneli VPN.

W naszym przykadzie serwer ma adres 10.13.37.2. Jest to po prostu IP
bezporednio ponad adresem bramy domylnej po stronie LAN. Pamitaj,
by poda adres spoza zakresu DHCP zdefiniowanego w menu DHCP/Services.
4. Wpisz adres sieci w polu Remote address range. Jeli nie masz dowiadczenia

z podsieciami i nie wiesz, jak wybra odpowiedni adres sieci /28, sugeruj
wpisa zero w ostatnim oktecie. W naszym przykadzie zosta wybrany zakres
192.168.13.0.
5. Moesz opcjonalnie wczy wymuszanie szyfrowania 128-bitowego.

Zalecamy to, o ile nie zdarzy si jaki konflikt z uytkownikiem.

6. Kliknij Save na dole strony. Na grze strony pojawi si komunikat

The changes have been applied successfully (patrz rysunek 3.9.). Mamy
teraz dziaajcy serwer PPTP w systemie m0n0wall; wystarczy jeszcze doda
konta uytkownikw.

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

Rysunek 3.9. Konfiguracja VPN: PPTP

7. Pozostajc w menu VPN/PPTP, kliknij zakadk Users w grnej czci ekranu.
8. Kliknij ikon w ksztacie plusa po prawej stronie ekranu. Pojawi si ekran

dodawania nowego uytkownika (patrz rysunek 3.10).

Rysunek 3.10. Ekran edycji uytkownika

65

Cz I Wprowadzenie

66

9. W polu Username wpisz podan nazw logowania. W naszym przykadzie

uylimy nazwy  !"#.
10. W polu Password wpisz dwukrotnie dugie i skomplikowane haso. Pod pojciem

skomplikowane rozumiemy wykorzystanie cyfr, liter wielkich i maych

i znakw specjalnych (np. $). Jedna z wygodnych metod mnemotechnicznych
polega na uyciu pierwszych liter kolejnych sw piosenki. Na przykad,
(nie uywaj tego przykadu w swoim rodowisku!) Mary had a little lamb,
A little lamb, And its fleece was white as snow da haso  %%&& .
Dodalimy cyfr 2 na pocztek i na koniec hasa, by zwikszy zoono.
Warto wiedzie hasa w systemie m0n0wall

W chwili publikacji tej ksiki m0n0wall nie pozwala na uywanie znakw specjalnych ('()*+,-$.). Jeli nowsza wersja m0n0wall pozwala na to, zdecydowanie zalecamy korzystanie ze znakw specjalnych. Zwiksza to wykadniczo
trudno zamania hasa.
11. W polu IP address wpisz IP, ktry ten uytkownik zawsze otrzyma.

Zdecydowanie zalecamy skorzysta z tej opcji, poniewa pozwala bezporednio

skojarzy wpisy w dziennikach PPTP z konkretnymi uytkownikami. Adres
IP musi nalee do zakresu, ktry zdefiniowalimy w Remote address range
na pierwszej zakadce (192.168.13.0/28). W naszym przykadzie wpisalimy
pierwszy IP z zakresu (192.168.13.1).
12. Aby zmiany zaczy obowizywa, kliknij Apply changes na grze okna.

Uwaga: ta czynno zerwie poczenia wszystkich uytkownikw poczonych

obecnie przez VPN PPTP. Poniewa konfigurujemy VPN po raz pierwszy,
nie powinno to sprawi problemu. Ponownie na grze ekranu pojawi si
komunikat, e zmiany zostay wprowadzone. Rysunek 13.11 przedstawia
ostateczny efekt.

Rysunek 3.11. Ostateczny rezultat

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

13. Ostatnim krokiem wymaganym w konfiguracji m0n0wall jest utworzenie

reguy zapory sieciowej pozwalajcej na przesyanie ruchu PPTP. Kliknij

Firewall/Rules po lewej stronie. Pojawi si menu konfiguracyjne z jedn
regu zdefiniowan ju dla interfejsu LAN.
14. Ponownie kliknij ikon plusa po prawej stronie ekranu konfiguracji. Jest tu
jeszcze kilka innych ikon, w tym  dla edycji, / do usuwania oraz strzaki

do przenoszenia regu w gr i w d. m0n0wall przetwarza reguy zapory

sieciowej z gry na d. Rysunek 3.12 przedstawia ekran nowej reguy.

Rysunek 3.12. Ekran edycji nowej reguy zapory sieciowej

15. Pojawi si ekran nowej reguy zapory sieciowej. Na tym ekranie zostaw

w polu Action czynno Pass (przepu).

16. Zaznacz opcj PPTP w polu listy rozwijanej Interface.
17. W polu Protocol wybierz opcj TCP/UDP.
18. Dla reszty pl moesz zostawi ustawienia domylne lub zmodyfikowa dla

konkretnego rodowiska. W polu Description wpisz opis reguy. My uywamy

opisu PPTP clients -> internet, aby przypomina, jak rol peni ta regua.
19. Kliknij przycisk Save na dole ekranu. Spowoduje to powrt do menu

Firewall/Rules, w ktrym pojawi si nowa regua w sekcji PPTP clients.

20. Ponownie trzeba bdzie klikn przycisk Apply Changes, aby nowa regua

zacza obowizywa. Pojawi si komunikat potwierdzajcy, e zmiany

zostay wprowadzone. Rysunek 3.13 przedstawia ostateczny rezultat.

67

Cz I Wprowadzenie

68

Rysunek 3.13. Reguy zapory sieciowej ostateczny wynik

Mamy ju w peni skonfigurowany serwer, moemy przej do konfigurowania klienta

PPTP w systemie uytkownika.
Uwaga Bezpieczestwo hase

Stosowanie sabych hase moe spowodowa naraenie bezpieczestwa naszej VPN.

Uytkownicy przewanie nie lubi zoonych hase. Warto pomyle nad wyborem
hase, ktre uytkownik moe zapamita, a ktre jednoczenie bd miay sens
z punktu widzenia bezpieczestwa.

Konfiguracja uytkownikw sieci

Po stronie uytkownika wykorzystamy klienta PPTP ju wbudowanego w system Windows. Zademonstrujemy konfiguracj na przykadzie Windows XP. Metoda konfiguracji
jest podobna we wszystkich wersjach, zaczynajc od Windows 95 a do najnowszej.
1. Kliknij Start/Network Connections. Jak wida na rysunku 3.14, pojawi si okno

Network Connections z wywietlonymi aktualnymi poczeniami sieciowymi.

2. Kliknij cze Create a new connection w lewym grnym rogu okna. Jak wida

na rysunku 3.15, pojawi si kreator New Connection Wizard.

3. Kliknij przycisk Next. Pojawi si okno dialogowe New Connection Type.

Wybierz opcj Connect to network at my workplace, jak na rysunku 3.16.

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

Rysunek 3.14. Ekran Network Connections

Rysunek 3.15.
Ekran powitalny
kreatora New
Connection Wizard

Rysunek 3.16.
Wybr opcji
Connect to network
at my workplace

69

Cz I Wprowadzenie

70

4. Kliknicie przycisku Next spowoduje przejcie do ekranu Network

Connection. Wybierz opcj Virtual Private Network, jak na rysunku 3.17.

Rysunek 3.17.
Wybr opcji Virtual
Private Network

5. Kliknicie przycisku Next spowoduje wywietlenie zapytania Company

Name. Tu wpisz opis swojego poczenia PPTP. Jak wida na rysunku 3.18,
wpisalimy PPTP to Community Wireless.
Rysunek 3.18.
Opis poczenia
PPTP

6. Kliknicie przycisku Next moe otworzy okno dialogowe Automatic Dial.

Jeli to nastpi, wybierz opcj Do not dial the initial connection.

7. Kliknicie przycisku Next spowoduje przejcie do okna dialogowego Server

Name or Address. Jak wida na rysunku 3.19, wpisalimy adres IP naszego

systemu m0n0wall. Jest to adres interfejsu internetowego w m0n0wall, w naszym
przykadzie 10.13.37.1. Adres ten mona znale w systemie m0n0wall,
klikajc pozycj menu Interfaces/LAN w oknie WWW konfiguracji m0n0wall.

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

Rysunek 3.19.
Adres IP
systemu m0n0wall

8. Kliknicie przycisku Next spowoduje przejcie do okna dialogowego Create

this connection.for:. Jeli chcesz, aby wszyscy uytkownicy uywali tego

poczenia, zaznacz Anyones use; w przeciwnym razie wybierz opcj My use
only. Pozostaje to najczciej w gestii czonka spoecznoci sieciowej
uywajcego poczenia PPTP.
9. Kliknicie przycisku Next otworzy okno Completing the New Connection

Wizard. Tu mona opcjonalnie doda skrt na pulpicie.

10. Kliknij Finish, aby otworzy okno PPTP authentication (patrz rysunek 3.20).

Aby przetestowa ustawienia, wpisz nazw uytkownika, ktr wczeniej

zdefiniowalimy w konfiguracji m0n0wall.
Rysunek 3.20.
Okno
PPTP Authentication

11. Kliknicie przycisku Connect powoduje otwarcie okienka Connecting,

jak na rysunku 3.21.

12. Jeli wszystko zostao skonfigurowane poprawnie, pojawi si okno komunikatu

o rejestrowaniu w sieci (patrz rysunek 3.22). Moje gratulacje, VPN PPTP dziaa!

71

Cz I Wprowadzenie

72
Rysunek 3.21.
Okno Connecting

Rysunek 3.22.
Rejestrowanie
komputera w sieci

Edukacja uytkownikw
sieci bezprzewodowej
Dobre bezpieczestwo zaczyna si od uytkownikw. Uytkownicy lokalni musz podj dodatkowe kroki, na przykad stosowa mocne hasa, aby ktrykolwiek z naszych
opcjonalnych mechanizmw zabezpiecze mg dziaa. Wszystkie mechanizmy, ktre
omawialimy do tej pory, koncentruj si na technologii. W wiecie komputerw w gr
wchodzi dodatkowa umiejtno zwana inynieri spoeczn. Definiujemy inynieri
spoeczn jako sztuk wpywania niekonwencjonalnymi rodkami na dziaania innych
ludzi. Wprawdzie inynieria spoeczna czsto jest kojarzona ze zymi hakerami (tzw.
black hats czarne kapelusze), nie wszystkie dziaania w tej dziedzinie powoduj
szkody. Wiele z tych samych umiejtnoci, ktre stosuj czarne kapelusze, moe posuy do osignicia pozytywnych wynikw. Idea caej niniejszej ksiki odzwierciedla t zasad.
Media naganiajce przypadki zych dziaa hakerw spowodoway, e pojcie hacking nabrao pejoratywnego znaczenia. Okrelenie haker pocztkowo oznaczao
kogo, kto robi niekonwencjonalne rzeczy, aby tworzy nowe rozwizania (std tytu
naszej ksiki, Wireless Hacking). My te szukamy metod wykraczania poza dotychczasowe moliwoci technologii i nowych sposobw tworzenia bezpiecznych rodowisk spoecznych sieci bezprzewodowych.
Sowo spoeczno implikuje kontakty spoeczne. Kontakty te s dla nas jedn z podstawowych metod dzielenia si pomysami i, oglnie, cieszenia si yciem spoecznym.
Jest to kolejna droga, ktr moemy propagowa bezpieczestwo i edukowa uytkownikw w kwestii tego, jak mog bezpiecznie cieszy si tworzonym przez nas
bezprzewodowym parkiem miejskim.

Przygotowania
Dobra dokumentacja pomaga uytkownikom szybko uczy si konfiguracji i zarzdzania
swoim sprztem. Poniewa grupa wolontariuszy jest ograniczona, sie ssiedzka opiera
si na przyjaznych uytkownikach, ktrzy powicaj swj czas na pomaganie innym.

Rozdzia 3. Bezpieczestwo sieci bezprzewodowej

73

Wiele z tej pomocy ma posta drukowan. Podobnie jak niniejsza ksika, dokumentacja projektu moe pomc w tworzeniu silnej spoecznoci uytkownikw i zapewnianiu
bezpieczestwa.

Pocztek i koniec
Solidne bezpieczestwo bierze si z wiedzy uytkownikw. Budowanie bazy tej wiedzy wymaga cierpliwoci i przyjaznego podejcia. Gdy uytkownik zwraca si do nas
z pytaniem, staramy si przemyle problem z jego perspektywy i wykorzysta informacje zwracane przez uytkownika w projekcie sieci. Na przykad wybralimy PPTP
z uwagi na atwo implementacji po stronie uytkownikw.
W miar jak uytkownicy zaczn rozumie technologi bezprzewodow i dowiadywa
si o rnych nowych elementach jej bezpieczestwa, ich ciekawo zacznie rosn.
Dziki dobrze opracowanej dokumentacji uytkownik bdzie mia gdzie uczy si i zdobywa nowe wiadomoci. SoCalFreeNet wykorzystuje strony portalu przechwytujcego
jako punkt startowy dla uytkownikw, ktrzy chc dowiedzie si czego wicej o bezpieczestwie i swojej roli.
Przy czeniu si z sieci lokalnej spoecznoci uytkownik powinien podj kilka
prostych rodkw ostronoci:

Zawsze uywaj osobistej zapory sieciowej. Zapory te czsto znajduj si

w komputerach uytkownikw. W system Windows XP jest wbudowana

niedawno udoskonalona zapora sieciowa.

Uywaj mocnych hase, aby utrudni ataki na nie.

Nawet dobre hasa czasem zawodz. Wiele opartych na WWW programw

pocztowych przesya hasa przez sie otwartym tekstem. W naszej sieci

bezprzewodowej oznacza to, e inni uytkownicy mog widzie haso
do poczty innej osoby. Uytkownik powinien si upewni, czy przy korzystaniu
z witryn wymagajcych poufnych informacji w prawym dolnym rogu okna
przegldarki znajduje si rysunek kdki. Jego obecno oznacza, e witryna
uywa SSL.

Wierz lub nie, nawet ta kdeczka nie gwarantuje penej ochrony. Niektre

ataki wykorzystuj urzdzenie poredniczce (man-in-the-middle) i pozwalaj

podglda zaszyfrowany ruch. Z tego powodu zachcamy uytkownikw,
by uywali tunelu PPTP i jednoczenie sprawdzali obecno kdki na ekranie.

Do bardzo poufnych czynnoci warto rozway skorzystanie z bardziej

konwencjonalnych metod.

Systemy powinny by regularnie atane. Uytkownicy mog domaga si

pomocy w wyjanieniu, jak sprawdza i instalowa poprawki.

Naley uczy dzieci, jak korzysta z Internetu i zachowa w nim bezpieczestwo.

Jeli masz podejrzenia lub dziwne uczucie przy przegldaniu witryny WWW,

zatrzymaj si i pomyl o bezpieczestwie. Posuchaj swojego instynktu. Internet

Cz I Wprowadzenie

74

odzwierciedla ycie na wiele sposobw, a wiat wirtualny ma swoje getta

i rejony, ktre naley omija. Unikaj sklepw o zej reputacji lub witrynach
o marnej jakoci. Czsto traktuj one bezpieczestwo jako mao wane.
Wprawdzie architekci SoCalFreeNet nieustannie szukaj i oferuj alternatywne metody
zabezpiecze, prawdziwe bezpieczestwo spoczywa w rkach uytkownikw. Jeli
uytkownicy zdecyduj si zignorowa oferowane przez nas opcje zabezpiecze, nasze
wysiki pjd na marne.
Propagowanie przez nas kwestii bezpieczestwa na poziomie spoecznoci jest najbardziej podstawowym elementem bezpieczestwa. Najlepsze wyniki daje pooenie nacisku na bezpieczestwo i uatwianie uytkownikom korzystania z zabezpiecze. Jeli
uyjemy technik inynierii spoecznej, aby pomc naszym uytkownikom uczy si
bezpieczestwa, bdziemy mieli wiksz szans zabezpieczy sie ssiedzk.
Warto wiedzie wiadomo bezpieczestwa

Powysza lista obejmuje tylko najwaniejsze zagadnienia bezpieczestwa, o ktrych

SoCalFreeNet informuje uytkownikw. Zdajemy sobie spraw, e istnieje mnstwo
rde informacji pomagajcych uytkownikom, a nasza lista mogaby mie objto
wielokrotnie wiksz. Jest ona zamieszczona tutaj tylko jako przykad.

Inne metody
W kadej ssiedzkiej sieci bezprzewodowej mog pojawi si inne interesujce problemy. Oto kilka dodatkowych pomysw, ktre moemy wzi pod uwag przy tworzeniu
bezpiecznego rodowiska sieci:

Squid Proxy narzdzie open source o nazwie Squid Proxy moe posuy

do uniemoliwiania uytkownikom korzystania z nieodpowiednich serwisw

WWW, na przykad pornograficznych lub szerzcych nienawi. Narzdzie to
jest wysoko cenione i na dodatek moe pomc w ograniczeniu ruchu w czu
szerokopasmowym poprzez buforowanie treci WWW. Adres: www.squidcache.org.

Snort narzdzie open source suce do wykrywania wama. Monitorujc

ruch przechodzcy przez nasz sie, Snort moe ostrzec nas przed atakami
pochodzcymi z sieci bezprzewodowej. Ostatnio zesp autorw narzdzia
doda do niego wyspecjalizowane funkcje do wykrywania atakw
bezprzewodowych. Adres: www.snort.org.

OpenSSH OpenSSH oferuje funkcj zwan przekazywaniem portw.

Uywajc tego rozwizania moemy utworzy bardzo dobr VPN

o bezpieczestwie wyszym ni w naszym rozwizaniu PPTP. Jeli sie ma
odpowiedni infrastruktur, najwyszy poziom ochrony zapewnia rozwizanie
hierarchiczne z obustronnym uwierzytelnianiem, takie jak EAP-PEAP.