Wi-фу: ...
-- [ Страница 7 ] --Скачайте последнюю версию Super FreeS/WAN в каталог /usrAocal/src и разверните tar-архив.
Если вы пользуетесь системой X Windows, наберите #make xgo, тогда вы увидите кра сивый графический интерфейс для выбора параметров ядра. Если вы не хотите или не мо жете пользоваться X Windows, наберите #make menugo или #make ogo (если вам нравит ся тратить долгие часы на задание каждого параметра ядра). Появляется стандартный экран конфигурирования ядра (рис. 14.8 и 14.9). Обратимся к параметрам сети.
В нижней части окна находятся параметры, относящиеся к протоколу IPSec. Рассмотрим каждый из них:
о IP Security Protocol (FreeS/WAN IPSEC). Поставьте этот флажок, если вы хотите, чтобы протокол IPSec вообще работал;
он выбирает часть KLIPS в ядре;
о IPSEC: IP-in-IP encapsulation (tunnel mode). Мы рекомендуем поставить этот фла жок, иначе никакого туннельного режима не будет;
о IPSEC: Authentication Header. Поставьте этот флажок, если вы хотите пользоваться протоколом АН. Если вам нужен только протокол ESP без дополнительной аутенти фикации по протоколу АН, не отмечайте его;
о HMAC-MD5 authentication algorithm. Включите этот флажок, если вы хотите пользо ваться функцией хэширования MD5;
о HMAC-SHA1 authentication algorithm. Функция хэширования SHA1 криптографи чески сильнее, чем MD5. Мы рекомендуем поставить оба флажка, особенно если вас волнует совместная работа с другими реализациями IPSec;
о IPSEC: Encapsulation Security Payload. Поставив этот флажок, вы сможете исполь зовать IPSec в режиме ESP. Сделайте это;
РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN о 3DES encryption algorithm. Стандартный криптографический алгоритм, потребля ющий много процессорного времени. Имеет смысл поставить этот флажок ради воз можности совместной работы;
о IPSEC: Modular Extensions. Отметьте у, если вам нужны дополнительные возможно сти, реализованные в Super FreeS/WAN;
о HMAC-MD5 auth algorithm (modular alg). Выберите п;
о HMAC-SHA1 auth algorithm (modular alg). Снова выберите п;
о HMAC-SHA2 auth algorithm. Алгоритм SHA2 реализует криптографически более сильную 256- или 512-битовую функцию хэширования, чем алгоритм SHA1 с 128 бит.
Мы рекомендуем пользоваться SHA2;
о 3DES encryption algorithm (modular alg). Выберите п;
о AES encryption algorithm. Шифр AES намного более стойкий, чем его предшествен ник DES. Мы рекомендуем именно его, так как, на наш взгляд, для него характерно одно из лучших значений отношения производительность/криптографическая стой кость. На наших машинах AES с ключом длиной 256 бит шифровал и дешифрировал в два раза быстрее, чем 3DES (реализованный программно);
350 РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ о BLOWFISH encryption algorithm. Довольно старый, бесплатный и надежный алго ритм с длиной блока 64 бит. Предшественник алгоритма Twofish;
о SERPENT encryption algorithm. Еще один финалист конкурса на звание AES. На наш взгляд, этот шифр с точки зрения математики самый стойкий из всех кандидатов.
Если вы не доверяете AES, то остановите свой выбор на SERPENT;
о CAST encryption algorithm. Алгоритм запатентован и был одним из претендентов в первом туре конкурса на звание AES;
о NULL encryption algorithm. Отсутствие шифрования. Неразумно использовать про токол ESP без шифрования, разве что у вас какое-то извращенное чувство юмора.
Лучше уж в таком случае предпочесть АН;
РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN о CRYPTOAPI ciphers support. Дополнительная поддержка для шифров, включенных в патч cryptoapi к ядру;
о IDES **INSECURE** encryption algorithm. Включено только ради возможности совместной работы с устаревшими реализациями IPSec;
о IPSEC: IP Compression. Можете поэкспериментировать со сжатием, чтобы нейтра лизовать негативное влияние накладных расходов на пропускную способность.
Имейте в виду, что эта возможность требует немало процессорного времени;
о IPSEC Debugging Option. Если этот флажок отмечен, то KLIPS будет выводить в syslog отладочную информацию. Имеет смысл включить отладку, по крайней мере на время настройки вашей первой VPN;
о IPSEC NAT-Traversal. Если вы планируете организовывать IPSec-туннель, когда один из хостов находится за NAT, отметьте этот флажок.
Если вы сомневаетесь, какой криптографический алгоритм выбрать, обратитесь к главе 11, где все они подробно рассмотрены. Понимание основ прикладной криптографии - ключ к успешному развертыванию VPN.
Задав все параметры, сохраните их. FreeS/WAN сделает все остальное, откомпилирует все утилиты и соберет ядро. По завершении процесса сборки наберите cd /usr/src/ linux;
inform modul es_i nstal l для установки модулей.
Далее нужно скопировать только что откомпилированный образ ядра в загрузочный каталог и уведомить об этом lilo (или тот загрузчик, которым вы пользуетесь). Выполните такую команду:
arhontus:~#cp /usr/local/linux/arch/i386/boot/bzlmage \ /boot/vmlinuz-ipsec-'kernel version' Затем откройте файл lilo.conf в своем любимом редакторе (мы предпочитаем vi):
arhontus:~#vi /etc/lilo.conf Добавьте такие строки:
image = /boot/vmlinuz-ipsec-'kernel version root = /dev/'boot-device' label = Linux-sfswan read-only Сохраните файл, выйдите из редактора и перезапустите lilo:
arhontus:~#lilo Если никаких ошибок не было, перезапустите машину и, когда появится меню загрузчи ка, выберите новое ядро. Сплюньте три раза через левое плечо, постучите по дереву, воз несите молитвы г-ну Торвальдсу и надейтесь, что вы сумеете загрузиться с первого раза.
Конфигурирование FreeS/WAN Мы обсудили разные топологии сетей VPN, но из-за недостатка места подробно рассмот рим только два сценария: сеть-сеть и хост-сеть. Они пригодны для защиты беспроводных сетей типа точка-точка и точка-многоточка. А зная, как конфигурировать такие сети, вы уже без труда справитесь и с другими топологиями.
3 5 2 РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ А Генерирование ключей Прежде всего необходимо сгенерировать ключи, которые будут применяться для инициа лизации протокола IKE. Все ключи хранятся в файле /etc/ipsec.secrets. Проверьте, установ лены ли для этого файла права доступа 600, и, если это не так, выполните такую команду:
arhontus:~#chmod 600 /etc/ipsec.secrets Генерирование симметричных ключей. В пакет Super FreeS/WAN включена команда для генерирования симметричных ключей. Чтобы сгенерировать 64-битовый ключ, наберите:
arhontus:~#ipsec ranbits --continouous 64 > /tmp/symm.key В этом примере длина 64 бит взята только для экономии места;
для реальной сети VPN выбирайте ключи большей длины.
Команда генерирует псевдослучайное число и сохраняет его в файле /tmp/symm.key.
Далее включите содержимое файла symm.key в /etc/ipsec.secrets и добавьте строку PSK.
В результате файл будет выглядеть примерно так:
: PSK "0xe687f51034f33f07" Оба хоста, участвующие в обмене данными, должны иметь одинаковые записи в файле /etc/ipsec. secrets.
Генерирование ключей RSA. Пакет Super FreeS/WAN позволяет также сгенерировать открытый и закрытый ключи для протокола RSA. В следующем примере показано, как сгене рировать 64-битовые ключи. На практике следует выбирать ключи гораздо большей длины.
Для генерирования пары ключей RSA наберите такую команду:
# ipsec rsasigkey -verbose 64 > /tmp/rsa.key Чтобы созданные ключи можно было использовать в протоколе IPSec, записанный файл необходимо несколько модифицировать. В начало файла добавьте строку : RSA{, а в ко нец - }, так чтобы содержимое файла выглядело следующим образом:
: RSA { результат работы rsakeygen } Убедитесь, что в начале каждой строки стоит символ табуляции, иначе FreeS/WAN не сможет разобрать файл. Содержимое отредактированного файла скопируйте в /etc/ ipsec.secrets. Теперь он будет содержать примерно такие данные:
: RSA { # RSA 64 bits dyno Sat May 31 17:08:13 # только для подписей, ДЛЯ ШИФРОВАНИЯ НЕБЕЗОПАСНО #pubkey=0sAQNrYsldIB3h4w== #IN KEY 0x4200 4 1 AQNrYsldIB3h4w== # (0x4200 = auth-only host-level, 4 = IPSec, 1 = RSA) Modulus: 0x6b62c95d201dele PublicExponent: 0x # все, что дальше, секретно PrivateExponent: 0xlle5cc39f8be86f РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN Primel: 0xa889727b Prime2: 0xa31d45b Exponentl: 0x705bala Exponent2: 0x6cbe2e7b Coefficient: 0x25a4fd } В файле ipsec.secrets можно хранить несколько ключей, но тогда их нужно независимо пронумеровать:
@vpnl.arhont.com: RSA { rsasigkey output } @vpn2.arhont.com: RSA { rsasigkey output } Еще предстоит извлечь свой открытый ключ и сделать его доступным для всех участни ков. Последовательность символов, идущая за строкой #pubkey=, - это и есть ваш откры тый ключ, который можно без опаски передавать кому угодно. Позже вы должны будете включить его в файл ipsec.conf на машинах, участвующих в обмене данными. Не забудьте, что в состав открытого ключа строка #pubkey= не входит.
Генерирование сертификата Х. Для создания сертификата Х.509 нужно, чтобы был установлен и нормально работал пакет OpenSSL. Если вы не хотите посылать свои ключи на подпись доверенному удостоверяю щему центру (это стоит денег), то сначала следует создать свой собственный.
Tj\e находятся исполняемые файлы, входящие в пакет OpenSSL, зависит от дистрибутива.
В случае Slackware они находятся в каталоге /etc/ssl а в случае Debian - в каталоге /usr/lib/ ssl. В примере ниже мы будем предполагать, что работаем с дистрибутивом Slackware:
arhontus:~#cd /etc/ssl/misc arhontus:#./CA.sh -newca arhontus:#mv./demoCA/cacert.pern./demoCA/newca.pem arhontus:#openssl x509 -in./demoCA/newca.pem -days 1024 \ -out./demoCA/cacert.pern -signkey./demoCA/private/cakey.pem arhontus:#rm./demoCA/newca.pem В ответ на предложение ввести имя файла просто нажмите клавишу Enter, а затем вве дите ту информацию, которую запрашивает программа. Пароль, который вы введете, будет паролем вашего удостоверяющего центра (СА), не забывайте его. Продлим жизнь своего СА на 1024 дня (в особо секретных случаях задавайте меньший срок жизни). По заверше нии процесса у вас будет закрытая (cakey. pem) и открытая (cacert. pem) части СА. Ско пируйте открытую часть в такое место, где ее сможет найти пакет Super FreeS/WAN:
arhontus:~#cp /etc/ssl/misc/demoCA/cacert.pem /etc/ipsec.d/cacerts/ После того как СА создан, необходимо выпустить два сертификата: по одному для каж дого конца VPN. У обоих сертификатов будут открытая и закрытая части.
354^ РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ Процедура создания сертификатов выглядит так:
arhontus:~#cd /etc/ssl/misc arhontus:#./CA.sh -newreq Введите необходимую информацию в ответ на задаваемые вопросы и обязательно за помните пароль, поскольку именно он обеспечит доступа к сертификатам FreeS/WAN.
В ответ на вопросы о пароле-запросе и названии компании (необязательно для заполне ния) нажмите клавишу Enter (ничего не вводя).
Далее нужно подписать сертификат в удостоверяющем центре:
arhontus:#./CA.sh -sign По требованию программы введите пароль, указанный при создании СА. Итак, вы выпусти ли и подписали новый сертификат. Его открытая часть находится в файле newcert.pem, а зак рытая - в файле newreq.pem. Переместите эти файлы туда, где их сможет найти FreeS/WAN:
arhontus:#mv./newreq.pem /etc/ipsec.d/private/freeswan-priv.pem arhontus:#mv./newcert.pem /etc/ipsec.d/freeswan-cert.pern Повторите эту процедуру для второй пары сертификатов, но придумайте для них дру гое имя.
Чтобы известить FreeS/WAN о выпущенных сертификатах, добавьте следующую строку в файл /etc/ipsec.secrets:
: RSA freeswan-priv.pem "пароль сертификата" Поскольку пароль хранится в открытом виде, а конфигурационные файлы IPSec счита ются закрытой информацией, убедитесь, что группе и всем остальным не разрешено их читать. Введите такие команды:
arhontus:~#chmod 600 /etc/ipsec.secrets arhontus:~#chmod 644 /etc/ipsec.conf Далее необходимо создать пустой список отозванных сертификатов (Certificate Revocation List - CRL). Для этого нужно поступить так:
arhontus:~#openssl ca -gencrl -out /etc/ipsec.d/crls/crl.pern Наконец-то сертификаты готовы для использования!
Структура файла ipsec.conf Прежде чем приступать к конфигурированию FreeS/WAN, будет полезно разобраться с тем, как организован главный конфигурационный файл. Типичный файл ipsec.conf выглядит следующим образом:
config setup interfaces="ipsecO=ethO" klipsdebug=none plutodebug=none РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=O auth=esp authby=rsasig = esp aesl28-sha2_ pfsgroup=modpl53 = ike aes256-md5-modp pfs=yes compress=no conn gatel-gate left=192.168.50. leftid=@vpnl.core.arhont.com leftnexthop=192.168.50. leftsubnet=192.168.10.0/ leftrsasigkey=0sAQNgvfFH2bGl...
right=192.168.100. rightid=@vpn2.core.arhont.com rightnexthop=192.168.100. rightsubnet=192.168.15.0/ rightrsasigkey=0sAQPFb2ffuPhn...
auto=start Файл ipsec.conf состоит из двух частей: части conf ig, в которой заданы общие конфигу рационные параметры, и части conn, где определены детали соединения. В табл. 14.2 опи саны некоторые из наиболее важных параметров.
Таблица 14.2. Параметры FreeS/WAN 356 РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ л Таблица 14.2. Параметры FreeS/WAN (окончание) conn %def aul t Раздел подразумеваемых конфигурационных параметров keyi ngt r i es Определяет, сколько допустимо попыток при согласовании параметров соединения или при замене старого auth Указывает, следует ли проводить аутентификацию в составе протокола ESP или отдельно по протоколу АН authby Определяет, как должна проводиться взаимная аутентификация узлов esp Указывает, что на этапе 2 ISAKMP нужно использовать алгоритм шифрования и аутентификации ESP pfsgroup Задает группу PFS, если режим PFS включен i ke Указывает, что на этапе 1 ISAKMP нужно использовать алгоритм шифрования и аутентификации IKE pf s Включает режим PFS. Рекомендуется включать его всегда compress Указывает, нужно ли использовать протокол IPComp для сжатия conn "name" Конфигурационные параметры конкретного соединения l ef t, r i ght IP-адрес участника. Неважно, левый он или правый, поскольку параметры обоих участников однотипны l ef t subnet Адреса частных подсетей за VPN-шлюзом, которым разрешено принимать ri ght subnet участие в коммуникациях через туннель l ef tnexthop Задает адрес следующего шлюза для участника. Необходимо для правильной ri ght next hop маршрутизации из подсетей за VPN-шлюзом l ef t i d, r i ght i d Идентификаторы для аутентификации участников. Может быть либо IP-адрес, либо полностью определенное доменное имя, которому предшествует символ @ l ef t rsasi gkey Открытые ключи RSA для участников, используемые во время аутентификации rightrsasigkey auto Определяет, как соединение должно обрабатываться Pluto Существует еще много параметров для тонкой настройки Super FreeS/WAN, но мы не можем описать их все в этой главе. Более подробную информации вы можете найти в до кументации проекта.
Настройка топологии VPN сеть-сеть Прежде всего нужно изменить некоторые параметры ядра. Чтобы разрешить перенаправ ление между интерфейсами, введите такую команду:
# echo 1 > /proc/sys/net/ipv4/ip_forward Затем нужно сгенерировать два набора ключей. Эта процедура была подробно рассмот рена выше, так что будем считать, что ключи уже есть. В следующем примере мы покажем, как с помощью FreeS/WAN настроить туннель сеть-сеть. Ниже представлен файл ipsec.conf:
config setup interfaces="ipsecO=ethO" klipsdebug=none РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=O auth=esp authby=rsasig esp=aesl28-sha2_ pfsgroup=modpl53 ike=aes256-md5-modp pfs=yes compress=no conn gatel-gate left=192.168.50. leftid=@vpnl.core.arhont.com leftnexthop=192.168.50. leftsubnet=192.168.10.0/ leftrsasigkey=0sAQNgvfFH2bGl...
right=192.168.100. rightid=@vpn2.core.arhont.com rightnexthop=192.168.100. rightsubnet=192.168.15.0/ rightrsasigkey=0sAQPFb2ffuPhn...
auto=start Обратите внимание, что для шифрования туннеля задан алгоритм ESP с шифром AES со 128-битовым ключом (параметр esp=aesl28-sha2_2 56). Если вам нравится другой шифр, проверьте, поддерживает ли его Pluto:
arhontus:~#ipsec auto --status I grep alg.*ESP Настройка топологии VPN хост-сеть В этом случае мы скажем, что хост vpnl.core.arhont.com будет шлюзом, а беспроводные хосты будут получать доступ во внутреннюю сеть через VPN. На этот раз для аутентификации приме ним сертификаты Х.509. Убедитесь, что на шлюзе в сеть разрешено перенаправление пакетов:
# echo 1 > /proc/sys/net/ipv4/ip_forward Убедитесь также, что открытые части обоих сертификатов находятся в каталоге /etc/ ipsec.d/, а закрытая часть сертификата второго участника - в каталоге /etc/ipsec.d/private/ и соответствующая запись есть в файле /etc/ipsec.secrets. Таким образом, файл /etc/ ipsec.conf должен выглядеть примерно так:
config setup interfaces="ipsecO=ethO" klipsdebug=none plutodebug=none plutoload=%search 358^ РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ plutostart=%search uniqueids=yes conn %default keyingtries=O auth=esp authby=rsasig esp=aesl28-sha2_ pfsgroup=modpl ike=aes256-md5-modp pfs=yes compress=no conn pingo-dyno left=192.168.50. leftsubnet=0.0.0.0/ leftnexthop=%direct lef tcert=p'ingo-cert.pem right=192.168.50. rightnexthop=%direct rightcert=dyno-cert.pem auto=start.
В этой конфигурации аутентификация выполняется с помощью сертификатов Х.509.
Строка l ef t s ubnet = 0. 0. 0. 0/0 говорит о том, что левая сторона является шлюзом по умолчанию для всего трафика. Эта ситуация типична, когда в сети есть беспроводные хо сты, которые хотят не только общаться с остальной частью локальной сети, но и иметь возможность прямого выхода в Internet.
Если число сертификатов велико или их имена часто изменяются, то можно и не зада вать точные имена сертификатов. Вместо этого можно ввести информацию о сертификате, a FreeS/WAN просмотрит все имеющиеся данные в поисках соответствия. Простой пример такой конфигурации показан ниже:
conn pingo-dyno left=192.168.50. leftsubnet=0.0.0.0/ leftnexthop=%direct leftcert=pingo-cert.pem right=192.168.50. rightid="C=UK/ ST=Some-State, L=Bristol, 0=Arhont Ltd, CN=pingo.core.arhont.com, E=info@arhont.com" rightrsasigkey=%cert rightnexthop=%direct auto=start Настройка клиента в ОС Windows К сожалению, не все из нас имеют удовольствие работать с операционной системой Linux, поэтому для тех, кому не повезло, опишем порядок настройки Windows-машины для безо пасной связи с VPN-концентратором на базе FreeS/WAN. Готовьтесь щелкать мышкой.
РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN Windows не понимает формата *.рет файлов, формируемых пакетом OpenSSL, поэтому сертификаты придется конвертировать с помощью следующих команд:
arhontus:~#openssl pkcsl2 -export -in /etc/ipsec.d/client.pem \ -inkey /etc/ipsec.d/private/client.pem -certfile \ /etc/ssl/misc/demoCA/cacert.pem -out /tmp/client.p! arhontus:~#openssl x509 -in /etc/ipsec.d/freeswan-cert.pem \ -out /tmp/freeswan-cert.pem В ответ на вопрос о пароле введите пароль для конкретного сертификата. Далее вас попросят ввести пароль экспорта. Запомните этот пароль, поскольку его придется ввести еще раз при импорте сертификата в Windows 2000. Когда файлы будут сгенерированы, перенесите их безопасным способом на машину с ОС Windows и не забудьте удалить из каталога /tmp.
По умолчанию процедура инсталляции в Windows не поддерживает сильного шифрования, и в вашем распоряжении имеется только шифр DES. Если вы не сделали этого раньше, скачайте с сайта Microsoft пакет High Encryption Pack for Windows 2000 ( WIND0WS2000/downloads/recommended/encryption/default.asp).
Установив этот пакет, вы должны будете импортировать сертификаты в Windows. Для это го нажмите кнопку Start (Пуск), выберите в меню пункт Run (Выполнить) и введите коман ду mmc. В появившемся окне выберите в меню Console (Консоль) пункт Add/Remove Snap-in (Добавить/Удалить оснастку) - рис. 14.10.
В новом окне нажмите кнопку Add (Добавить) и затем выберите из списка пункт Certificates, после чего снова нажмите кнопку Add (рис. 14.11).
Появится еще одно окно. Выберите вариант Computer Account (Учетная запись компь ютера) и нажмите кнопку Next (Далее) - рис. 14.12.
360 РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ Выберите вариант Local computer (Локальный компьютер) и нажмите кнопку Next.
Закройте окно Add Standalone Snap-In (Добавить автономную остнаску).
Теперь мы готовы импортировать наш удостоверяющий центр и клиентский сертифи кат. Дважды щелкните по строке Certificates, затем щелкните правой кнопкой по узлу Personal выберите из контекстного меню пункт All Tasks (Все задачи), а затем пункт Import (Импортировать) - рис. 14.13.
Появится окно Мастера импорта (Import Wizard) - рис. 14.14. Нажмите кнопку Next, затем - Browse и выберите файл client.р12. Снова нажмите кнопку Next и введите па роль экспорта для СА.
РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN Рис. 14.14. Мастер импорта сертификата Еще раз нажмите кнопку Next, оставьте значения всех параметров без изменения (рис. 14.15) и опять нажмите кнопку Next а затем - Finish (Завершить).
Появится сообщение об успешном импорте сертификата.
Теперь оба сертификата - клиентский и удостоверяющего центра - импортированы и находятся в узле Personal но наш СА является доверенным корневым удостоверяющим центром (Trusted Root Certificate Authorities), поэтому его надо переместить в соответству ющий узел. Укажите на наш СА, щелкните правой кнопкой мыши и выберите из меню пункт Cut (Вырезать) - рис. 14.16.
362 РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ Теперь укажите на узел Trusted Root Certificate Authorities и выберите из меню пункт Paste (Вставить) - рис. 14.17. На этом импорт сертификатов завершен.
Можете закрыть все окна и приступить к конфигурированию IPSec-клиента.
РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN Конфигурирование IPSec-клиента в ОС windows Мы не станем создавать настоящее VPN-соединение, а модифицируем свойства ТСР/1Р-соеди нения, применив такие политики, что трафик всегда будет защищаться. Это самое простое решение, когда нужно организовать обращения к локальной сети компании из беспровод ной сети. Кроме того, не придется платить за дополнительное программное обеспечение.
Как и большинство конфигурационных параметров в Windows, политики IPSec опреде ляются с помощью панели управления. Чтобы создать новую политику, перейдите на Па нель управления, дважды щелкните по пиктограмме Administrative Tools (Администрирова ние) и затем выберите пункт Local Security Settings (Локальные параметры безопасности).
Из меню Action (Действие) выберите пункт Create IP Security Policy (Создать политику безопасности IP) - рис. 14.18.
Появится окно Мастера. Нажмите кнопку Next и в следующем окне введите произволь ное имя политики (при желании можете добавить еще и краткое описание). Снова нажми те кнопку Next и в следующем окне сбросьте флажок Activate the default response rule (Активировать правило ответа по умолчанию), после чего нажмите кнопки Next и Finish.
Теперь надо создать два правила безопасности IP - однс для исходящего, а другое для входящего трафика (рис. 14.19).
Убедитесь, что флажок Use Add Wizard (Воспользоваться мастером добавления) не от мечен, и добавьте правило, нажав кнопку Add. Появится окно New Rule Properties (Свой ства нового правила). Перейдите на вкладку IP Filter List (Список IP-фильтров) и нажмите кнопку Add (рис. 14.20).
364 РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ В новом окне нажмите кнопку Add, введите какое-нибудь осмысленное имя IP-фильтра, отражающее природу туннеля, например, win2k_to_linux и нажмите кнопку Add для зада ния свойств фильтра (рис. 14.21).
В списке Destination Address (Адрес получателя) выберите пункт Any IP Address (Лю бой IP-адрес). В списке Source Address (Адрес отправителя) выберите Specific IP Address (Конкретный IP-адрес) и введите IP-адрес VPN-шлюза в Linux (рис. 14.22). Флажок Mirrored (Зеркально) должен быть сброшен. Нажмите кнопку ОК.
РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN Теперь нужно создать еще один список IP-фильтров. Назовите его Unux_to_win2k, нажмите кнопку Add и в окне Filter Properties (Свойства фильтра) введите информацию, противопо ложную введенной раньше. Иными словами, отправитель становится получателем, и наобо рот. Убедитесь, что флажок Mirrored сброшен, нажмите кнопку ОК, а затем - Close (Закрыть).
Убедитесь, что фильтр Iinux_to_win2k появился в списке IP-фильтров, перейдите на вкладку Filter Action (Действие фильтра), выберите вариант Require Security (Обеспечить безопасность) и нажмите кнопку Edit (Редактировать) - рис. 14.23.
366 РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ Теперь переупорядочите список Security Method (Метод обеспечения безопасности) так, чтобы строки со значением 3DES в колонке ESP confidentiality и MD5 в колонке ESP Integrity были первыми (рис. 14.24).
РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN Закройте окно, нажав кнопку ОК перейдите на вкладку Connection Type (Тип соедине ния) и выберите Local area network (Локальная сеть). Перейдите на вкладку Tunnel Setting (Параметры туннеля) и введите свой IP-адрес (рис. 14.25).
3 6 8 РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ А Перейдите на вкладку Authentication Methods (Методы аутентификации), укажите на текущий вариант (Kerberos) и нажмите кнопку Edit (рис. 14.26).
Рис. 14.26. Выбор метода аутентификации Установите переключатель в положение Use a certificate from this certificate authority (CA) (Пользоваться сертификатом, выпущенным данным удостоверяющим центром) и выбери те тот сертификат, который вы перед этим импортировали в Windows. Затем три раза нажмите кнопку 0К пока не окажетесь в окне Tunnel Properties (Свойства туннеля).
Можно вместо этого настроить систему так, чтобы она пользовалась разделяемым секретом в виде PSK-ключа. Для этого выберите вариант Use the string to protect the key exchange (preshared key) и введите разделяемый, секрет в расположенное ниже текстовое поле.
Не забудьте, что правила нужно задавать как для входящего, так и для исходящего трафика, поэтому придется добавить еще одно правило безопасности IP. Процедура аналогична только что описанной с тем отличием, что в окне Filter Properties нужно будет поменять роли отпра вителя и получателя, а в окне Tunnel Settings ввести IP стороны на другом конце VPN.
Наконец, в окне свойств туннеля перейдите на вкладку General (Общие) и нажмите кнопку Advanced (Дополнительно) - рис. 14.27.
Отметьте флажок Master Key Perfect Forward Secrecy (Идеальная секретность перенап равления главного ключа), затем нажмите кнопку Methods и в списке Security Method for IKE (Метод обеспечения безопасности для IKE) сделайте верхней строку со значением 3DES в колонке Encryption и MD5 в колонке Integrity (рис. 14.28).
Вернитесь в окно Local Security Settings и щелкните правой кнопкой по только что создан ному туннелю. Выберите из меню пункт All Tasks, а затем Assign (Назначить) - рис. 14.29.
Затем в окне Administrative Tools выберите пункт Services, в списке сервисов найдите IPSEC Policy Agent и перезапустите его (рис. 14.30).
Убедитесь также, что установлен режим автоматического запуска этого сервиса при заг рузке машины.
РАЗВЕРТЫВАНИЕ НЕДОРОГОЙ VPN С ПОМОЩЬЮ ПАКЕТА FREES/WAN Рис. 14.28. Методы обеспечения безопасности обмена ключами Чтобы активизировать протокол IPSec для конкретного интерфейса, перейдите на Панель управления и дважды щелкните по пиктограмме Network and Dial-up Connections (Сетевые соединения). Щелкните правой кнопкой по пиктограмме Local Area Connection, соответству ющей беспроводному каналу и выберите из меню пункт Properties (Свойства). В открывшемся окне укажите на строку Internet Protocol (TCP/IP) и нажмите кнопку Properties. В окне Properties нажмите кнопку Advanced. Перейдите на вкладку Options, выберите IP Security и затем Properties (рис. 14.31).
Если все сделано правильно, то Windows сконфигурирована для работы по протоколу IPSec.
370 РАЗВЕРТЫВАНИЕ БЕСПРОВОДНЫХ VPN НА ВЕРХНИХ УРОВНЯХ СТЕКА ПРОТОКОЛОВ Рис. 14.30. Перезапуск сервиса IPSEC Конфигурация этого соединения на стороне FreeS/WAN показана ниже. Обратите вни мание, что мы указали режим использования разделяемого секрета, задав secret в каче стве значения параметра authby:
conn pingo-winda left=192.168.77. leftnexthop=%direct РЕЗЮМЕ right=192.168.77. rightnexthop=%direct esp=3des ike=3des-sha authby=secret auto=start В примере конфигурирования Windows мы выбрали симметричный блочный шифр 3DES, поскольку это лучшее, что есть в реализации IPSec для Windows. Если вы хотите что-ни будь более безопасное, придется пожертвовать некоторой суммой и приобрести коммер ческую программу у третьей фирмы.
Резюме По различным причинам беспроводные VPN останутся даже после того, как относительно бе зопасный стандарт 802.Hi повсеместно заменит WEP. В этой главе мы рассмотрели различные протоколы VPN, а также варианты топологий и их реализации с точки зрения беспроводных сетей. Поскольку мы говорим о механизмах защиты, которые не зависят от конкретного обору дования и развертываются выше второго уровня, то описанные здесь методики повышения безопасности применимы к различным типам беспроводных сетей, в том числе инфракрасным, не согласованным со стандартами 802.11, сетям 802.15,802.16 и прочим. Мы обращали внима ние, прежде всего, на протокол IPSec, поскольку это стандарт де-факто для сетей VPN, к тому же распространяющийся и на протокол IPv6. В качестве практических примеров реализации IPSec мы привели пакет FreeS/WAN для Linux и средства, имеющиеся по умолчанию в Windows 2000. Была рассмотрена методика защиты двухточечных беспроводных каналов и сетей точ ка-многоточка. Мы убеждены, что для многих читателей эта информация окажется весьма полезной и они воспользуются ею для защиты собственных беспроводных сетей. Развертыва ние нормальной VPN может оказаться неплохой альтернативой стандарту 802.Hi или стать дополнением к различным стандартам 802.11, касающимся безопасности, как часть продуман ной стратегии глубоко эшелонированной обороны.
Оцените состояние противника, следите за его действиями, и вы сможете проникнуть в его пла ны и намерения.
Мень Ши (Meng Shi) Системы обнаружения вторжения (Intrusion Detection System - IDS) делятся на две боль шие категории: на основе сигнатур и на основе базы знаний.
Сигнатурные IDS наиболее распространены и проще реализуются, но их легко обойти и они не способны распознавать новые атаки. В таких системах события, происходящие в сети, сравниваются с признаками известных атак, которые и называются сигнатурами. Если инструмент взлома модифицировать с целью изменения какой-либо части сигнатуры ата ки, то, скорее всего, атака останется незамеченной. Кроме того, базы данных, содержащие сигнатуры, необходимо надежно защищать и часто обновлять.
IDS на основе базы знаний следят за сетью, собирают статистику о ее поведении в нор мальных условиях, обнаруживают различные отклонения и помечают их как подозритель ные. Поэтому такие IDS еще называют основанными на поведении или статистическими.
Для эффективной работы статистической IDS необходимо иметь надежную информацию о том, как ведет себя сеть в нормальных условиях, - точку отсчета. Хотя такую IDS обмануть сложнее, но и у нее есть свои проблемы - ложные срабатывания и трудности при обнару жении некоторых видов коммуникаций по скрытому каналу. Ложные срабатывания осо бенно вероятны в беспроводных сетях из-за нестабильности передающей среды. Кроме того, атаки, проведенные на ранних стадиях периода фиксации точки отсчета, могут иска зить процедуру обучения статистической IDS, поэтому ее развертывание в промышленной сети - занятие рискованное. Как быть, если нормальное поведение сети уже изменено взломщиком в момент развертывания?
Мы полагаем, что хорошая IDS для беспроводной сети должна быть одновременно сиг натурной и статистической. В этой главе будет показано, что некоторые инструменты для проведения атак на беспроводные сети имеют четко выраженные сигнатуры. Если они обнаруживаются в базе данных, то можно поднимать тревогу. С другой стороны, у многих КЛАССИФИКАЦИЯ ПОДОЗРИТЕЛЬНЫХ СОБЫТИЙ В БЕСПРОВОДНОЙ СЕТИ атак очевидных сигнатур нет, зато они вызывают отклонения от нормальной работы сети на нижних уровнях стека протоколов. Отклонение может быть малозаметным, например несколь ко пришедших не по порядку фреймов, или бросающимся в глаза, скажем, выросшая в несколь ко раз нагрузка. Обнаружение таких аномалий - это непростая задача, поскольку не существу ет двух одинаковых беспроводных сетей. То же относится и к проводным локальным сетям, но там хотя бы нет радиопомех, отражения, рефракции и рассеивания сигнала. В них нет мобиль ных пользователей и свисающих из окна кабелей типа САТ5, с помощью которых потенциаль ный противник может получить доступ. Поэтому эффективное применение IDS в беспровод ных сетях возможно только после длительного периода детального исследования сети.
Только собрав значительный объем статистических данных о работе конкретной сети, можно решить, что является аномальным поведением, а что - нет, и идентифицировать проблемы со связью, ошибки пользователей и атаки. Многократные запросы на аутенти фикацию по протоколу 802.1x/LEAP могут свидетельствовать о попытке атаки методом полного перебора. Но это может объясняться и тем, что пользователь забыл свой пароль, или работой плохо написанного клиентского приложения, которое продолжает попытки войти в сеть, пока не будет введен правильный пароль. Увеличение числа фреймов-маяков может быть признаком DoS-атаки или присутствия в сети фальшивой точки доступа, но не исключено, что все дело в неисправной или неправильно сконфигурированной законной точке доступа. События, фиксируемые IDS на верхних уровнях стека протоколов, напри мер большое число фрагментированных пакетов или запросов TCP SYN, может указывать на сканирование портов или DoS-атаку, но, возможно, это просто результат плохой связи на уровне 1. Запустите программу Ethereal или аналогичный анализатор протоколов на беспроводном интерфейсе и подвергните сеть сильным радиопомехам - вы увидите самые разные поврежденные и неполные пакеты, которые анализатор не сможет распознать.
Неудивительно, что такие пакеты могут случайно вызвать срабатывание IDS. В результате расследования может оказаться, что злобным хакером оказалось устройство Bluetooth или микроволновая печь, создающая помехи в зоне действия сети.
Классификация подозрительных событий в беспроводной сети После сбора достаточного объема статистических данных о поведении сети хорошая IDS может приступать к выявлению подозрительных событий, свидетельствующих о злона меренной атаке. Это может быть появление фреймов определенных типов, частота пере дачи фреймов, нарушения в структуре и порядковой нумерации фреймов, отклонения он типичных параметров трафика или использование неожиданной полосы частот. Попро буем классифицировать события, которые должна обнаруживать качественная IDS для беспроводной сети.
1. События на физическом уровне о Наличие дополнительных передатчиков в зоне действия сети.
о Использование каналов, которые не должны быть задействованы в защищаемой сети.
о Перекрывающиеся каналы.
374 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ о Внезапное изменение рабочего канала одним или несколькими устройствами, за которыми ведется наблюдение.
о Ухудшение качества сигнала, высокий уровень шума или низкое значение отноше ния сигнал/шум.
Эти события могут свидетельствовать о наличии проблем со связью или с сетью, об ошиб ках, допущенных при конфигурировании сети, о появлении мошеннических устройств, о преднамеренном глушении либо об атаках человек посередине на уровень 1 или 2.
2. События, связанные с административными или управляющими фреймами о Повышенная частота появления некоторых типов фреймов.
о Фреймы необычного размера.
о Фреймы неизвестных типов.
о Неполные, испорченные или неправильно сформированные фреймы.
о Затопление фреймами с запросами на отсоединение и прекращение сеанса.
о Частое появление фреймов с запросом на повторное присоединение в сетях, где не включен роуминг.
о Фреймы с неправильными порядковыми номерами.
о Частое появление пробных фреймов.
о Фреймы, в которых ESSID отличается от ESSID данной сети.
о Фреймы с широковещательным ESSID (Any).
о Фреймы с часто изменяющимися или случайными ESSID.
о Фреймы со значениями в поле ESSID или других полях, типичными для некоторых инструментов вторжения.
о Фреймы с МАС-адресами, отсутствующими в списке контроля доступа.
о Фреймы с дублирующимися МАС-адресами.
о Фреймы с часто изменяющимися или случайными МАС-адресами.
Эти события могут указывать на неправильную конфигурацию сети, проблемы со свя зью, сильные помехи, попытки применения инструментов активного сканирования сети, подделку МАС-адресов, присутствие в сети посторонних клиентов, попытки угадать или подобрать методом полного перебора закрытый ESSID или на более изощренные атаки человек посередине на уровень 2, связанные с манипуляцией управляющими или адми нистративными фреймами.
3. События, связанные с фреймами протоколов 802.1х/ЕАР о Неполные, испорченные или неправильно сформированные фреймы протокола 802.1х.
о Фреймы с такими типами протокола ЕАР, которые не реализованы в данной беспро водной сети.
о Многократные фреймы запроса и ответа процедуры аутентификации ЕАР.
о Многократные фреймы с извещением о неудачной аутентификации ЕАР.
о Затопление фреймами начала и завершения сеанса ЕАР.
КЛАССИФИКАЦИЯ ПОДОЗРИТЕЛЬНЫХ СОБЫТИЙ В БЕСПРОВОДНОЙ СЕТИ о Фреймы ЕАР аномального размера.
о Фреймы ЕАР с некорректным значением длины.
о Фреймы ЕАР с неправильными верительными грамотами.
о Большое число фреймов ЕАР с МБ5-запросами.
о Фреймы ЕАР, приходящие от неизвестных аутентификаторов (фальшивая точка доступа).
о Незавершенная процедура аутентификации по протоколу 802.1х/ЕАР.
Эти события могут указывать на попытки прорваться через процедуру аутентификации, описанную в протоколе 802.1х, в том числе и путем размещения фальшивого устройства и проникновения в сеть с помощью атаки методом полного перебора или проведения изощ ренной DoS-атаки, направленной на вывод из строя механизмов аутентификации. Разуме ется, неправильно сформированные фреймы могут возникать и в результате сильных ра диопомех или других проблем на уровне 1.
4. События, связанные с протоколом WEP о Наличие незашифрованного беспроводного трафика.
о Наличие трафика, зашифрованного неизвестными WEP-ключами.
о Наличие трафика, зашифрованного WEP-ключами разной длины.
о Фреймы со слабыми IV.
о Идущие подряд фреймы с повторяющимися IV.
о Не изменяющиеся IV.
о Откат к WEP от более безопасного протокола, например TKIP.
о Ошибки при ротировании WEP-ключей.
Эти события могут указывать на серьезные ошибки при конфигурировании сети, на применение небезопасного устаревшего оборудования или на использование инструмен тов внедрения трафика (WEPwedgie, reinj) опытным взломщиком.
5, События, связанные с общими проблемами связи о Потеря связи.
о Внезапный всплеск нагрузки на сеть.
о Внезапное уменьшение пропускной способности сети.
о Внезапное увеличение задержек в двухточечном канале.
о Повышенный уровень фрагментации пакетов.
о Частые повторные передачи.
Эти события заслуживают более пристального изучения для выявления точной причи ны ошибок. Механизм построения выводов, встроенный в IDS, должен уметь связывать со бытия с различными возможными причинами, тем самым упрощая расследование.
6, Прочие события о Присоединившиеся, но не аутентифицированные хосты.
о Атаки на верхние уровни стека протоколов, вызывающие срабатывание традицион ной IDS.
3 7 6 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ А о Посторонний административный трафик, адресованный точке доступа.
о Постоянное дублирование или повтор пакетов с данными.
о Пакеты с данными, в которых испорчены контрольные суммы или MIC, формируемые на канальном уровне.
о Затопление многократными попытками одновременного присоединения к сети.
Эти события могут свидетельствовать об успешной или неудачной атаке, о наличии хо ста с неправильными настройками безопасности, о попытках получить контроль над точ кой доступа и изменить ее конфигурацию, о применении инструментов для внедрения трафика, о DoS-атаке против хостов с включенным протоколом 802.Hi или о попытках пере полнить буферы точки доступа большим числом запросов на соединение со стороны про водной или беспроводной части сети. Но, как и раньше, искажение фрейма или пакета может быть обусловлено проблемами на физическом уровне, например наличием помех или слабым уровнем сигнала.
Мы надеемся, что, проштудировав главы, посвященные атаке, вы сможете без труда рас познать многие из перечисленных выше признаков известных атак. Например, наличие фреймов с часто изменяющимися МАС-адресами или ESSID - свидетельство того, что кто то запустил программу FakeAP. Есть также способ подобрать закрытый ESSID методом пол ного перебора с помощью клиента, оснащенного двумя картами PCMCIA и программой Wellenreiter. Мы не описывали этот способ, так как никогда им не пользовались, к тому же применение essidjack или dinject намного эффективнее и позволит сэкономить ресурсы.
Но подобная атака методом полного перебора действительно генерирует фреймы с изме няющимися ESSID и МАС-адресами (таким образом Wellenreiter скрывает информацию о производителе и адресе сетевой карты взломщика). Наличие частых пробных запросов может указывать на применение программы Netstumbler или Ministumbler. А если хост внезапно меняет рабочий канал, то уж не атака ли это человек посередине?
Многие из описанных выше событий могут быть результатом некорректной работы пользователей, а не спланированной атаки. Пользователь может вставить неразрешенную беспроводную карту или работать с устройствами, создающими помехи (Bluetooth, беспро водные камеры или телефоны). Или подключиться к точке доступа, не включив у себя про токол WEP или TKIP, если точка доступа это позволяет (грубая ошибка администратора).
Или не установить вовремя обновление программно-аппаратного обеспечения (ли так ра ботает) и тем самым свести на нет все ваши усилия по развертыванию системы безопас ности на базе стандарта 802.Hi. Любой системный администратор знает, сколько хлопот могут причинить несносные пользователи.
Примеры и анализ типичных сигнатур атак на беспроводные сети Вот мы и подошли к обсуждению сигнатур конкретных инструментов для проведения атак. Чтобы разобраться в этом вопросе, проще всего воспользоваться тем или иным инструментом и прослушать генерируемый им трафик. Нападай, защищаясь, и защищай ся, нападая (доктор Мадж). Лучший известный нам источник информации об обнаруже нии вторжений в беспроводные сети и о сигнатурах атак - это статьи Джошуа Райта Layer 2 Analysis of WLAN Discovery Applications for Intrusion Detection (Анализ приложений для ПРИМЕРЫ И АНАЛИЗ ТИПИЧНЫХ СИГНАТУР АТАК НА БЕСПРОВОДНЫЕ СЕТИ обнаружения вторжений в беспроводные сети на уровне 2) и Detecting Wireless LAN MAC Address Spoofing (Обнаружение поддельных МАС-адресов в беспроводных сетях). Значи тельная часть материала этой главы основана на этих блестящих статьях и нашем опыте анализа трафика во время проведения атак.
Программа для проведения атаки должна передавать какие-то данные, чтобы EDS могла выя вить сигнатуру. Как ни старайся обнаружить пассивный анализатор протоколов или попытку взлома WE? не удастся. Напомним, что хотя карта, работающая в режиме RFMON, и может пере давать данные, но она не подтверждает принятые данные и, вообще говоря, не способна отвечать на посылаемый ей трафик. Правда, карты Cisco Aironet все же посылают пробные запросы, на ходясь в режиме мониторинга, но, если уменьшить мощность передатчика до 1 мВт, то атакую щий останется незамеченным. Кроме того, новые драйверы Linux, поставляемые в составе пос ледних версий ядра, запрещают картам Cisco посылать пробные запросы в режиме RFMON.
Поэтому единственный надежный способ засечь пассивного противника - это застать на месте преступления парня с ноутбуком и антенной. А вот обнаружение активного сканирования сети, DoS-атак, внедрения трафика и атак человек посередине - это совсем другое дело.
Самыми распространенными генераторами сигнатур можно считать программу NetStumbler и ее младшего братишку MiniStumbler для карманных компьютеров. Они бесплатны, просты для инсталляции и эксплуатации и написаны для самой популярной в мире операционной системы. Есть несколько очевидных признаков того, что NetStumbler в доме:
о NetStumbler запрашивает у обнаруженной точки доступа дополнительную инфор мацию, обычно ту самую, которая присутствует в параметре system.sysName.O уп равляемого информационного блока (MIB) протокола SNMP. Для этого она посылает точке доступа инкапсулированный в LLC (Logical Link Control - протокол управле ния логическим соединением) пробный фрейм;
о во фреймах, которые посылает программа NetStumbler, уникальный идентификатор организации (0ID) равен 0x00601d, а идентификатор протокола (PID) - 0x0001;
о длина полезной нагрузки в этих фреймах составляет 58 байт;
о некоторые версии NetStumbler добавляют еще к полезной нагрузке уникальную строку в кодировке ASCII, а именно:
- NetStumbler 3.2.0: Flurble gronk bloopit, bnip Frundletrune;
- NetStumbler 3.2.3: All your 802.11b are belong to us;
- NetStumbler 3.3.0: intentionally blank 1;
о сообщалось, что NetStumbler передает пробные запросы чаще, чем это обычно дела ют другие инструменты активного сканирования. Но это сообщение требует допол нительной проверки.
Программа MiniStumbler не посылает пробных запросов обнаруженной точке доступа, так что засечь ее труднее.
Программа Dstumbler, входящая в комплект BSD-airtools, тоже может вести активное сканирование. Но мы не думаем, что разумный взломщик, вооруженный этим инструмен тарием, станет пользоваться такой возможностью на практике для обнаружения сети. Ведь есть же режим RFM0N. Если все же активное сканирование с помощью Dstumbler ведется, то у него есть следующие отличительные признаки:
о Dstumbler генерирует фреймы с пробными запросами (типа 0x0040), используя не большие порядковые номера по модулю 12;
3 7 8 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ А о во фреймах типа Authenticate, которые посыпает Dstumbler, указан повторяющийся порядковый номер 11 (Oxlb);
о во фрейме с запросом на присоединение порядковый номер равен 12 (ОхОс);
о получив ответ на пробный запрос, Dstumbler пытается аутентифицироватъся и при соединиться к обнаруженной точке доступа. Наверное, это единственная причина, по которой кто-то может захотеть воспользоваться Dstumbler для активного скани рования (желание сорвать низко висящий плод).
Еще один инструмент поиска беспроводных сетей с помощью активного сканирова ния, с которым легко может столкнуться администратор или консультант по безопас ности, - это сервис сканирования сетей в Windows XP. Так зачем нужна программа NetStumbler, если Windows XP и без нее умеет это делать? Упомянутый сервис посылает фреймы с пробными запросами, указывая в них широковещательный ESSID (ANY) и вто рое уникальное значение ESSID. Именно этот второй ESSID и выдает пользователей Windows XP. В посылаемом пробном запросе Windows XP устанавливает специальное значение в части фрейма, занимающей все отведенное под ESSID поле (32 байт). Это значение состоит из случайных непечатаемых символов. В шестнадцатеричном виде оно выглядит так:
0x14 0x09 0x03 0x11 0x04 0x11 0x09 ОхОе 0x0d 0х0а ОхОе 0x19 0x02 0x17 0x19 0x 0x14 Oxlf 0x07 0x04 0x05 0x13 0x12 0x 0x16 0х0а 0x01 ОхОа ОхОе Oxlf Oxlc 0x Неизвестно, то ли это ошибка в Windows XP, то ли так и задумано. С точки зрения IDS, ско рее, второе. Но имейте в виду, что неопытные пользователи Windows XP могут и не знать, что их система сканирует беспроводные сети и даже пытается к ним присоединиться. Поэтому то, что на первый взгляд представляется атакой, может быть просто пробелом в образовании. От метим попутно, что то же самое относится к Windows-машинам и инфракрасным каналам. Если инфракрасный порт активирован, то система будет искать сети и хосты и пытаться подклю читься к обнаруженным каналам, если это возможно. Взломщик может воспользоваться этой возможностью в своих интересах, превратив свой ноутбук в линфракрасную ловушку с целью атаковать подключающиеся хосты, не привлекая внимания их владельцев.
А теперь обратимся к программе Wellenreiter и подделке МАС-адресов в беспроводных сетях. Некоторые возможности реализованной в Wellenreiter атаки методом полного пе ребора на ESSID мы уже обсуждали. Вот фрагмент реального кода из старой версии Wellenreiter 1.6, который генерирует поддельные ESSID и МАС-адреса:
system("$fromconf{iwpath} $fromconf{interface} essid this_is_used_for_wellenreiter'");
system("$fromconf{ifconfig} $fromconf{interface} down");
my $brutessid = shift (@g_wordlist) ;
my $mactouse = build_a_fakemac;
system("$fromconf{ifpath} $fromconf{interface} hw ether $mactouse");
print STDOUT "\nl test now the essid: $brutessid";
system("$fromconf{iwpath} $fromconf{interface} essid $brutessid");
system("$fromconf{ifpath} $fromconf{interface} up");
return ($true);
ПРИМЕРЫ И АНАЛИЗ ТИПИЧНЫХ СИГНАТУР АТАК НА БЕСПРОВОДНЫЕ СЕТИ Подпрограмма build_a_f akemac для создания поддельных МАС-адресов выглядит так:
sub build_a_fakemac { my $fakemac;
# Выполнить четыре итерации следующего цикла. Это ошибка, должно быть # 5 итераций, чтобы сгенерировать 40-битовое значение. Эта процедура # генерирует МАС-адреса, которые ifconfig будет дополнять значением # hex 40.
for (my $i =0;
$i < 4;
$i + +) { # $temp содержит случайное шестнадцатеричное значение от 0 до my $temp = sprintf "%х", int(rand(255));
if (length ($temp) = = 1) { # если получилась одна цифра, добавить в начало нуль $temp = '0'. $temp;
# дописать хранящееся в $temp шестнадцатеричное значение к # генерируемому МАС-адресу $fakemac = $fakemac. $temp;
} # добавить в начало сгенерированного МАС-адреса 00, чтобы избежать # конфликта с зарезервированными или предназначенными для широкого # либо группового вещания адресами $fakemac = '00'. $fakemac;
return ($fakemac);
} Как видите, в качестве первого ESSID задается строка this_is_used_f or_wellenreiter/ а потом начинается атака методом полного перебора (на самом деле атака по словарю, как сле дует из предложения my $brutessid = shi ft (@g_wordlist) ;
). Генерируемые МАС-ад реса начинаются с символов 00 во избежание появления адресов, предназначенных для групповой рассылки. Программа Wellenreiter генерирует адреса с префиксами, не соответ ствующими списку выделенных 0UI, опубликованному в RFC 1700. Отслеживая такой тра фик и сравнивая 0UI с опубликованным списком, можно легко обнаружить атаку. Отметим, что тот же принцип применим к любой атаке, в ходе которой генерируются случайные МАС-адреса, если только применяемый инструмент не учитывает список 0UI. Примером такого линтеллектуального инструмента является программа FakeAP, созданная группой Black Alchemy. Джошуа Райт написал на языке Perl сценарий maidwts.pl, который сравни вает 0UI в МАС-адресе со списком, опубликованным IEEE, и выдает сообщение, если пре фикс не соответствует никакому известному производителю.
arhontus:~# perl maidwts.pl -h Usage:
maidwts [флаги] -i, --интерфейс -f, --имя файла 3 8 0 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ А -с, --счетчик -п, --непрозрачный режим (nonpromisc) -t, --таймаут -а, --режим мониторинга (rfmonwlan) -z, --стандартный Ethernet (stdethernet) -v, --выдавать диагностику -h, --справка е.х. "maidwts -с 500 -i ethl -а" Для перехвата в режиме 802.11 RFMON е.х. "maidwts -с 500 -i ethl -z" Для перехвата стандартных фреймов Ethernet Такая функциональность может стать полезным дополнением к вашей системе IDS.
Что можно сказать по поводу обнаружения атак человек посередине? Драйвер AirJack в качестве ESSID устанавливает по умолчанию строку "Ai rJack". Поскольку инструмент fatajack для проведения DoS-атаки пользуется именно драйвером airjack_cs, то и прини маемый по умолчанию ESSID будет таким же (это относится и к инструментам essid_jack и wlanjack). Атакуемый хост будет затоплен поддельными фреймами с запросом о прекра щении сеанса, что очень скоро приведет к потере связи между хостом и точкой доступа.
Однако лучшим способом обнаружения атак человек посередине на уровень 2 (как и лю бого подлога на уровне 2) является анализ порядковых номеров фреймов 802.11.
Порядковый номер фрейма 802.11 - это число, которое увеличивается на 1 для каждого нефрагментированного фрейма. Нумерация начинается с 0 и заканчивается на 4096, после чего счетчик сбрасывается в 0 и отсчет начинается заново. Подвох в том, что записать в это поле произвольное значение нельзя, даже если пользоваться инструментом, который самостоятельно конструирует фреймы (например, dinject из комплекта Wnet). Когда ата кующий вмешивается в передачу, порядковые номера отправляемых им фреймов не будут соответствовать нумерации законных фреймов, циркулирующих в сети. Например, FakeAP генерирует трафик, притворяясь точкой доступа. Если смотреть только на ESSID и МАС адреса, то отличить посылаемые FakeAP фреймы-маяки от настоящих невозможно. Но уве личение порядковых номеров на единицу выдает трафик FakeAP с головой. Если бы в сети действительно было несколько точек доступа, то вы бы наблюдали несколько увеличиваю щихся счетчиков, а не один с постоянно изменяющимися МАС-адресами и ESSID.
В случае AirJack надо было бы сравнить с точкой отсчета порядковые номера фреймов, которыми обменивается точка доступа, и тот хост, который подвергся атаке с целью заста вить его прекратить сеанс. В случае большой сети это непростая задача, особенно если в ней есть мобильные хосты, но все же решить ее можно. Если для законного трафика между кли ентом и точкой доступа окно порядковых номеров простирается, скажем, от X до Z, то поряд ковые номера поддельных фреймов будут далеко выходить за его пределы. Посмотрите на пример обнаружения такой атаки с помощью программы Ethereal приведенный Джошуа Рай том в статье Detecting Wireless LAN MAC Address Spoofing. Конечно, если сначала взломщик проведет DoS-атаку против беспроводного клиента или самой точки доступа, а затем притво рится выбитым из сети хостом, то цепочка порядковых номеров также будет нарушена. Поэто му получение эталонного образца цепочки порядковых номеров и последующий мониторинг и анализ этой характеристики оказываются прекрасным способом обнаружения и пресече ния атак, связанных с подлогом. Но на практике некоторые беспроводные клиентские карты ВКЛЮЧИТЬ РАДАРЫ! РАЗВЕРТЫВАНИЕ СИСТЕМЫ IDS В ВАШЕЙ БЕСПРОВОДНОЙ СЕТИ 38 работают не в соответствии со стандартом 802.11 в части генерирования порядковых номе ров. В частности, это относится к картам Lucent с версиями программно-аппаратного обес печения до 8.10 - вот вам и еще одна причина вовремя устанавливать обновления. Кроме того, блуждающие хосты могут привести к ложным срабатываниям IDS, поскольку при пере ходе из соты в соту последовательность номеров нарушается. Следовательно, в сетях с боль шим числом мобильных пользователей анализ порядковых номеров фреймов становится бесполезен, так что в системе IDS эта возможность должна быть отключаемой.
Анализируя имеющиеся примеры сигнатур различных атак, мы приходим к очевидному выводу: взломщик может без труда модифицировать или вообще избавиться от сигнатуры своего инструмента. Есть сообщения о пользователях программы NetStumbler, которые с помощью шестнадцатеричного редактора удаляли строки, обычно присутствующие во фреймах с пробным запросами. Значения ESSID, которые посылают такие инструменты, как Wellenreiter или AirJack, также легко изменить. Например, в файле airjack.c (на момент написания этой книги) посылаемый по умолчанию ESSID определен в строке 1694:
memcpy(ai->essid + 1, "AirJack", 7) ;
Следовательно, мы описали полный круг и вернулись к тому, с чего начали эту главу.
Хорошая система IDS для беспроводных сетей должна сочетать как анализ сигнатур, так и обнаружение аномалий в работе сети.
Включить радары! Развертывание системы IDS в вашей беспроводной сети Сколько существует на рынке систем IDS, в которых реализованы только что обсуждавши еся рекомендации? Ни одной!
Есть много решений, которые отслеживают недопустимые МАС-адреса и ESSID. Некото рые из них даже реализованы в виде специальных аппаратных устройств. И хотя что-то всегда лучше, чем ничего, но, наш взгляд, такие решения - это пустая трата времени и денег. Они лишь вселяют ложное чувство защищенности. Давайте рассмотрим те из имею щихся систем IDS, которые могут быть полезны или хотя бы модифицируемы. Тогда их, по крайней мере, можно будет переделать с учетом наших замечаний, чтобы они собирали дополнительные данные о работе сети.
Коммерческие системы IDS для беспроводных сетей Из коммерческих решений хорошо известны программы AirDefense Guard ( airdefense.net/products/airdefense_ids.shtm) и Isomair Wireless Sentry ( isomair.com/products.html). Они основаны на размещении сенсоров на территории защи щаемой сети и передаче всей собираемой ими информации на центральный сервер или консоль. Сервер может представлять собой специализированное устройство с безопасным Web-интерфейсом или Linux-машину, к которой подключена консоль управления на плат форме Windows. Некоторые из упомянутых программ могут анализировать беспроводной трафик, отличный от стандарта 802.11, и даже радиопомехи в наблюдаемой полосе частот, что часто бывает полезно.
382 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ Надо сказать, что в зависимости от размера сети и зоны покрытия расстановка сенсоров системы IDS может иметь решающее значение. Чтобы мониторинг сети был эффективен, сен соры должны покрывать всю территорию, из которой возможен беспроводной доступ. Чем выше приемная чувствительность сенсоров (в единицах dBm), тем лучше. Как минимум, сен соры должны быть не менее чувствительны, чем трансиверы точки доступа (но даже это не гарантирует надежного обнаружения атак против хостов, находящихся на достаточном уда лении от точки доступа). Серьезный недостаток всех коммерческих сенсоров, которые мы видели, - это невозможность подключить внешнюю антенну. Из-за этого увеличить даль ность действия и чувствительность сенсоров становится весьма затруднительно. Ясно, что компании придется покупать больше низкочувствительных сенсоров с малым радиусом дей ствия, чтобы покрыть всю сеть. Казалось бы, можно запросить большую цену за более мощ ный сенсор с подходящей антенной. Но почему-то рынок тяготеет к первому варианту. Ко нечно, можно переделать купленный сенсор, припаяв к нему антенну (и потерять право на гарантийный ремонт). Но, быть может, лучше смастерить собственный сенсор из старого ПК, ноутбука или даже КПК, мы еще вернемся к этой мысли ниже.
WiSentry ( - это коммерчес кое чисто программное решение, обеспечивающее мониторинг беспроводной сети и обна ружение вторжений без специальных аппаратных сенсоров. WiSentry создает отдельный профиль для каждого беспроводного хоста. Профиль хранится в базе данных WiSentry и используется для того, чтобы отличить устройства, которым можно доверять, от всех про чих. В этой программе есть конфигурируемая база данных тревожных событий, она под держивает сети стандартов 802.11а, b и д.
Еще один коммерческий продукт, который сочетает в себе средства для аудита безопаснос ти и некоторые функции IDS, - это программа AirMagnet от компании Global Secure Systems ( Существуют ее версии для КПК, но утбука (с картой Cisco Aironet) и комбинированные. Отличительной особенностью AirMagnet является наличие анализатора радиочастот в основном диапазоне ISM, что позволяет ей обна руживать перекрытие каналов 802.11b/g в области приема, а также выявлять возможные по мехи. AirMagnet может помечать зашифрованные по протоколу WEP пакеты со слабыми IV, а в последних версиях - также обнаруживать использование VPN в сканируемой сети.
Коммерческие анализаторы протоколов 802.11, например NAI Sniffer Wireless и WildPacket AiroPeek, также реализуют некоторые возможности IDS. AiroPeek даже поддерживает удален ные сенсоры RFGrabber, что делает ее похожей на распределенные системы типа AirDefense/ Isomair. В полной комплектации AiroPeek включает также набор инструментов для разработ ки собственных фильтров на языках Visual Basic или C++. Следовательно, этот анализатор в какой-то мере поддается переделке, несмотря на закрытость исходных текстов.
Настройка и конфигурирование IDS для беспроводных сетей с открытыми исходными текстами В оставшейся части этой главы мы будем говорить о системах IDS с открытым исходным текстом, которые можно подстроить под собственные нужды. Первым делом мы рассмотрим инструмент WIDZ, написанный Марком Осборном (Mark Osborne, псевдоним Loud Fat Bloke). Во время рабо ты над этой книгой текущей была версия 1.5, которая поддерживала следующие функции:
о обнаружение фальшивых точек доступа;
о обнаружение атак с применением Air Jack;
ВКЛЮЧИТЬ РАДАРЫ! РАЗВЕРТЫВАНИЕ СИСТЕМЫ IDS В ВАШЕЙ БЕСПРОВОДНОЙ СЕТИ о обнаружение пробных запросов;
о обнаружение фреймов с широковещательным ESSID ("ANY");
о помещение подозрительных МАС-адресов в список блокированных;
о помещение подозрительных ESSID в список блокированных;
о обнаружение атак путем затопления фреймами с запросом на присоединение.
WIDZ 1.5 пользуется драйвером HostAP. Продукт состоит из двух программ: widz_apmon, которая обнаруживает точки доступа, не указанные в списке (в файле widz_ap.config), и widz_probemon, которая ведет мониторинг сети, пытаясь обнаружить подозрительный тра фик. В текущей версии сигнал тревоги возникает в следующих ситуациях:
о alertl. Срабатывает, если поле ESSID пусто. В этом случае вызывается сценарий Alert, который записывает в протокол следующие 100 пакетов из подозрительного источника;
о alert2. Срабатывает, если в течение заданного промежутка времени происходит слишком много попыток присоединения;
о alert3. Срабатывает, если МАС-адрес находится в файле badmac, который представ ляет собой простой список адресов в шестнадцатеричном виде;
о alert4. Срабатывает, если ESSID находится в файле badsids.
Разумеется, этот перечень тревог слишком мал, но его можно легко расширить самостоятель но. Чтобы воспользоваться программой widz_apmon, сначала поднимите беспроводной интер фейс с помощью ifconfig, а затем выполните команду widz_apmon
arhontus:~# ifconfig wlanO up && iwpriv wlanO monitor 2 && widz_probemon wlanO > logfile & Сценарий Alert поставляемый в составе IDS, автоматически вызывается, как только будет об наружена фальшивая точка доступа или подозрительный трафик. По умолчанию сценарий по сылает сообщения syslog-серверу с помощью команды logger -p security. notice $1 и вы водит тревожное сообщение на консоль. Можно вместо этого заставить его посылать сообщение по электронной почте, возбуждать SNMP-событие, добавлять недопустимый МАС-адрес в список контроля доступа и т.д. - дайте простор воображению.
Есть открытая IDS и с более развитыми функциями;
это программа wIDS, написанная Ми Кели (Mi Keli). Она не зависит от конкретной клиентской карты или драйвера, нужно лишь, чтобы беспроводной интерфейс работал в режиме RFM0N. В программу включен автома тический дешифратор WEP (не забудьте только поместить WEP-ключ в файл Keys.1st) и средства для организации беспроводных приманок (к сожалению, пока использование WEP в приманке не поддерживается). Важнее, однако, что wIDS умеет делать следующее:
о анализировать интервалы между маяками для каждой обнаруженной точки доступа;
о анализировать порядковые номера фреймов 802.11;
о обнаруживать пробные запросы, являющиеся признаком активного сканирования;
о обнаруживать затопление запросами на присоединение;
о обнаруживать затопление запросами на аутентификацию;
о обнаруживать частые запросы на повторное присоединение;
384 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ о протоколировать трафик приманки в рсар-файл;
о перенаправлять беспроводной трафик на проводной интерфейс.
Последняя возможность очень интересна, поскольку позволяет перенаправить беспро водной трафик на уровень 3 и использовать средства IDS более высокого уровня, например Snort для последующего анализа. Порядок запуска wIDS таков:
arhontus:~# wIDS usage :./wIDS [-s] -i device [-1 logfile -h honeypot] [-o device] флаги :
-s :использовать syslog (LOG_ALERT) -i device :прослушиваемый интерфейс (ethO, wlanO...) (должен быть установлен прозрачный режим) -1 logfile :файл, в который сбрасываются пакеты, адресованные приманке -h honeypot :извещать о трафике, адресованном приманке (МАС-адрес точки доступа) -о device :устройство, на которое отправляется расшифрованный трафик для анализа системой IDS примечание : рекомендуется задавать флаг "-s".
пример :./wIDS -s -i ethl -о ethO./wIDS -s -i wlanO -1./wIDS.tcpdump -h 00:02:2d:4b:7e:Oa Наконец, существует недавно появившаяся и многообещающая IDS для беспроводных сетей AirlDS. Она поддерживает карты с наборами микросхем Prism и Cisco Aironet, и для нее имеется графический интерфейс, написанный с использованием GTK+. Пока что инструмент находится на стадии бета-версии, но начиная с версии 0.3.1 будет поддерживать очень гибкое задание правил, внедрение трафика для пресечения взлома WEP и активную защиту. Для реализации заявленных функций AirlDS версии 0.3.1 и выше будет пользоваться сильно модифицирован ными или полностью переписанными драйверами Prism (возможно, в духе AirJack) вместо лобычных модулей prism_cs/airo_cs, которые применяются сейчас. Следите за ходом разра ботки AirlDS на сайте Говоря о системах IDS, часто забывают очень мощную программу Kismet. Она прошла долгий путь развития от инструмента искателя сетей до полнофункциональной клиент серверной системы IDS. В последних версиях Kismet реализованы рекомендации, сформу лированные в статьях Джошуа Райта, на которые мы ссылались выше. Посмотрите в файле Changelog, какие функции IDS включены в имеющуюся у вас версию Kismet. He забывайте, что между стабильной и разрабатываемой версиями имеются существенные различия;
не исключено, что в разрабатываемой версии реализованы те самые функции, которые вам особенно необходимы. Во время подготовки этой книги в последнюю разрабатываемую версию были включены следующие возможности:
о обнаружение затоплений запросами на прекращение сеанса и отсоединение;
о анализ порядковых номеров фреймов 802.11;
о выявление тех, кто пользуется инструментом AirJack в наблюдаемой области;
ВКЛЮЧИТЬ РАДАРЫ! РАЗВЕРТЫВАНИЕ СИСТЕМЫ IDS В ВАШЕЙ БЕСПРОВОДНОЙ СЕТИ о обнаружение пробных запросов, посылаемых программой NetStumbter, и номера ее версии;
о обнаружение атак по словарю на ESSID, проводимых с помощью Wellenreiter;
о код Packetcracker для предупреждения о наличии протокола WEP, уязвимого для ата ки FMS;
о обнаружение клиентов, которые только посылают пробные запросы, но не присое диняются к сети (MiniStumbler, Dstumbler и просто потерявшиеся или неправильно сконфигурированные хосты);
о различение сетей 802.11 DSSS и FHSS;
о запись фреймов с данными в именованный FIFO-канал для анализа внешней IDS, например Snort;
о дешифрирование WEP на лету;
о обнаружение повышенного уровня шума в канале;
о обнаружение беспроводных сетей Lucent Outdoor Router/Turbocell/Karlnet, постро енных не на базе стандарта 802.11.
Наличие этих функций вкупе с архитектурой клиент-сервер, простой системой опове щений (достаточо нажать клавишу W, чтобы открылось отдельное окно, в котором можно просмотреть поступившие предупреждения), великолепным механизмом структурирован ного протоколирования данных, а также возможностью интеграции с удаленными сенсо рами (например, Neutrino Distributed 802.11b Sensor - см. главу 5 о деталях конфигуриро вания) делают Kismet очень привлекательной системой IDS. Дополнительную ценность ей придает возможность поддержки нескольких клиентских карт и расщепление диапазона сканируемых частот между этими картами.
Несколько рекомендаций по конструированию самодельного сенсора для беспроводной IDS Можно самостоятельно сделать удаленный беспроводной сенсор на базе программы Kismet. Хотя старый ПК с ОС Linux или BSD выглядит и не так привлекательно, как тоню сенькое устройство фирмы Network Chemistry или какой-нибудь другой (правда, всегда можно взять за основу КПК Zaurus или iPAQ!), но у самодельного сенсора масса достоинств.
Прежде всего, он дешев: затраты могут свестись к приобретению адаптера PCMCIA-PCI и дополнительной клиентской карты. Кроме того, нам никогда не нравились всенаправлен ные антенны с малым коэффициентом усиления, которыми оснащаются готовые сенсоры.
А что вы скажете о самодельном сенсоре, подключенном к всенаправленной антенне с коэффициентом 14,5 dBi, которую можно приобрести на сайте по очень умеренной цене? А всегда ли нужна именно всенаправленная антенна, если принять во внимание форму вашей сети? Может быть, лучше взять остронаправленную с большим коэффициентом усиления, если речь идет о протяженном двухточечном беспроводном мосте? Или вы хотите обнаруживать противника только рядом с концевыми точками мос та, а не на всем протяжении канала? А повысить приемную чувствительность сенсора на 10-20 dBm не желаете?
Еще одна интересная и полезная вещь - это интеграция системы IDS на уровне 2 с сис темами на более высоких уровнях (Snort, IpLog, PortSentry) в одном устройстве. Можно ис пользовать wIDS с флагом -о, именованные каналы, предоставляемые Kismet, или просто 3 8 6 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ А запускать из Kismet сценарии, управляющие IDS более высокого уровня, точно так же, как Kismet запускает программы play и festival для звуковой индикации событий в беспроводной сети. Snort не станет работать на беспроводном интерфейсе - проверьте сами. Но проблему легко решить с помощью Kismet. Мы предполагаем, что вы уже знакомы с программой Snort и внимательно изучили части книги, посвященные инсталляции, конфигурированию и рабо те Kismet. Прежде всего, нужно изменить одну строку в файле kismet.conf. Найдите строку #f if o=/tmp/kismet_dump, раскомментарьте ее, сохраните файл и запустите коман ду ki smet_server. После запуска Kismet заблокирует файл /tmp/kismet_dump до тех пор, пока им не займется Snort. Теперь запустим Snort. Сконфигурируйте ее по своему усмотре нию, но при запуске укажите флаг - г / tmp / ki sme t_dump, чтобы данные читались из FIFO канала, в который пишет Kismet. Можете еще установить и запустить программу ACID, если хотите видеть разукрашенный всеми цветами радуги протокол IDS. Вот и все! Наслаждай тесь своей системой IDS для проводных и беспроводных сетей, которая во многих отношени ях намного превосходит дорогостоящие коммерческие аналоги. Посудите сами, много ли вы знаете клиент-серверных гибко интегрируемых коммерческих IDS, поддерживающих одно временно проводные и беспроводные сети?
Разумеется, для анализа рсар-файлов, формируемых Kismet, можно воспользоваться до полнительными средствами. Самый очевидный способ - взять программу Ethereal и при менить фильтры для выбора сигнатур типичных атак. Так, фильтры для Ethereal, предназ наченные для поиска сигнатур инструментов активного сканирования, описаны в статье Джошуа Райта Layer 2 Analysis of WLAN Discovery Applications for Intrusion Detection. Мы их проверили и приводим здесь:
о Netstumbler:
(wlan.fc.type_subtype eq 32 and llc.oui eq 0x00601d and llc.pid eq 0x0001) and (data[4:4] eq 41:6c:6c:20 or data[4:4] eq 6c:46:72:75 or data[4:4] eq 20:20:20:20) о Dstumbler (активное сканирование):
(wlan.seq eq 11 and wlan. fc.subtype eq 11) or (wlan.seq eq 12 and wlan.fc.subtype eq 00) о пробные запросы, посылаемые Windows XP:
wlan. fс eq 0x0040 and wlan_mgt.tag.number eq 0 and wlan_mgt.tag.length eq 32 and wlan_mgt.tag.interpretation[0:4] eq 0c:15:0f: о пробные запросы, посылаемые Wellenreiter (при подборе ESSID методом полного перебора):
wlan. f с eq 0x0040 and wlan_mgt.tag. number eq 0 and wlan_mgt.tag.length eq 29 and wlan_mgt.tag.interpretation eq "this_is_used_for_Wellenreiter" Конечно, есть еще много программ, посылающих фреймы 802.11, и для них тоже надо написать фильтры (мы занимаемся этим и приглашаем всех желающих присылать сигнату ры новых атак на адрес wifoo@arhont.com). К таким программам относятся последние версии AirJack, Wepwedgie, Wnet dinj и reinj, Fake АР и ее модификации, а также voidll.
ВКЛЮЧИТЬ РАДАРЫ! РАЗВЕРТЫВАНИЕ СИСТЕМЫ IDS В ВАШЕЙ БЕСПРОВОДНОЙ СЕТИ Фильтры Ethereal для поиска сигнатур атак полезны и при изучении проблем безопаснос ти, и для обнаружения вторжений. Еще большую помощь они смогут оказать в процедуре расследования инцидента, если вторжение все-таки произойдет (но помните, что нужно заранее позаботиться о безопасном хранении и контроле целостности рсар-файлов). На конец, если вы любите приключения, попробуйте воспользоваться ими в сочетании с вы ходными данными Kismet, чтобы организовать активную защиту и автоматически атако вать или, по крайней мере, озадачить противника. Например, если в наблюдаемой области замечена программа NetStumbler, то при обнаружении фильтром соответствующего паке та в протоколе Kismet можно запустить FakeAP с заранее заданным ESSID или МАС-адре сом, игнорируемым Kismet (чтобы избежать возможного переполнения протоколов).
Если по той или иной причине комбинация Kismet + Snort вам не по душе, можете поинте ресоваться проектом Snort-Wireless. Это модифицированная версия Snort, которая понимает фреймы 802.11 и отправляет тревожные оповещения при обнаружении аномалий на уровне 2.
В настоящее время Snort-Wireless обнаруживает трафик NetStumbler с помощью компо нента AntiStumbler Preprocessor. Отредактируйте файл snort.conf, добавив директиву preprocessor ant is tumbl er: probe_reqs [num], probe_peri od [num], expi re_ti meout [num], где:
о probe_reqs - после какого числа пробных запросов поднимать тревогу;
о probe_peri od - время (в секундах), в течение которого сохраняется счетчик пробных запросов с нулевым SSID;
о expire_timeout - сколько должно пройти времени (в секундах), прежде чем об наруженный противник будет удален из списка пользователей NetStumbler.
Помимо этого, с помощью переменных CHANNELS и ACCESS_POINTS, также определяе мых в файле snort.conf, поддерживается обнаружение фальшивых точек доступа и незави симых (ad hoc) сетей. Сейчас многие возможности, реализуемые комбинацией Kismet + Snort, еще не включены в Snort-Wireless, но благодаря гибкости и возможности создавать правила, ориентированные на сети 802.11, точно так же, как и стандартные правила Snort, потенциал этого проекта весьма велик.
Не забывайте, что во многих сенсорах IDS для беспроводных сетей, объявленных про мышленным стандартом, для удаленного администрирования и передачи перехваченного трафика все еще используется telnet и протокол SMNPvl, не обеспечивающие ни шифрова ния, ни контроля целостности данных. А про SNMP-сообщества, выбираемые по умолча нию, помните? Нам встречались коммерческие сенсоры, в которых для удаленного управ ления использовалось сообщество public/private, разрешающее чтение и запись! К сожалению, даже системные администраторы часто не меняют настройки сетевых устройств, выстав ленные по умолчанию. Думается, что пройдет еще немало времени прежде, чем эти уст ройства начнут поддерживать протокол SSHv2, не говоря уже об IPSec. С другой стороны, в самодельных сенсорах можно воспользоваться любыми способами защиты трафика и контроля доступа. Например, можно построить сеть из таких сенсоров, подключенных к центральному серверу IDS no VPN с топологией хост-сеть. Выше мы уже подробно расска зывали, как развернуть такую сеть.
Аппаратных платформ для конструирования сенсора много. Например, можно взять подходящую плату Soekris ( Поскольку эти платы поддерживают аппаратное шифрование, то для описанных выше целей они вполне годятся. Соберите не сколько беспроводных сенсоров на базе плат Soekris, оснастите их подходящими антеннами 3 8 8 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ А с высоким коффициентом усиления, добавьте возможность передавать большие объемы данных на центральный сервер IDS по IPSec-туннелям, зашифрованным AES, поставьте на этот сервер программы Kismet Snort и другие инструменты анализа и протоколирования трафика - и вы получите распределенную и не слишком дорогую систему IDS, о которой можно только мечтать! Платы Soekris проектировались для работы под Free/Net/OpenBSD или Linux. Почитайте, что сказано на сайте компании Soekris о различных версиях этих плат и их возможностях.
Еще одна интересная платформа для создания сенсоров IDS - это старый КПК iPAQ с подставкой для двух клиентских карт PCMCIA. В одном разъеме будет находиться карта Ethernet для подключения к проводной сети, а в другом - беспроводная карта (мы реко мендуем Cisco Aironet 350 с двумя разъемами ММСХ, чтобы не возникало необходимости программно реализовывать перебор каналов и можно было использовать подходящую ан тенну). На iPAQ можно поставить дистрибутив Familiar Linux или аналогичный, инсталлиро вать пакет Kismet.ipkg и организовать связь с центральным сервером IDS по протоколу SSH или через VPN. Такой сенсор будет обладать уникальной возможностью локального про смотра на экране событий в сети. Представьте себе компанию, в штаб-квартире которой стоит центральный сервер IDS, а региональные офисы могут вести мониторинг удаленных участков беспроводной сети. Вооружившись сенсором на основе iPAQ, системный адми нистратор в региональном офисе может следить за работой сети локально, а главный ад министратор, имеющий доступ к центральному серверу IDS, - наблюдать за событиями во всей сети и обсуждать их с региональными администраторами. Чтобы облегчить пользо вание такими сенсорами менее опытным сотрудникам на местах, можно установить на клиентский компьютер или на сам сенсор графический интерфейс для Kismet (WireKismet).
В таком случае надо бы позаботиться о дополнительных мерах безопасности для защиты сенсора.
К сожалению, для КПК Sharp Zaurus еще не выпускаются подставки для двух клиентских карт. Но можно попробовать задействовать гнезда для CF- и SD-карт. Компании SanDisk и Socket производят клиентские SD-карты, которые можно использовать в сенсоре на базе Zaurus. А соединить сенсор с центральным сервером IDS можно с помощью CF-карты Ethernet.
Мы не испытывали эти SD-карты и не знаем, какова их реальная приемная чувствитель ность и можно ли соединить их с внешней антенной. Любая информация от тех, кто обла дает таким опытом, приветствуется;
посылайте ее на адрес wifoo@arhont.com.
Наконец, собранный вами шлюз или точка доступа тоже может содержать встроенный сенсор или даже сервер IDS. На самом деле на такой точке доступа можно даже разместить несколько сенсоров (например, один для диапазона ISM, а другой - для UNn). Единственное ограничение - это количество PCI-разъемов на материнской плате и доступность беспровод ных клиентских устройств. Можно опять-таки воспользоваться платами Soekris для развер тывания эффективного и не слишком дорогого шлюза в беспроводную сеть, поддерживаю щего VPN и дополнительно реализующего мониторинг сети и обнаружение вторжений.
Возможности для экспериментов по созданию комбинаций из сенсоров для сетей 802. или Bluetooth, точек доступа и шлюзов на базе программного обеспечения с открытыми исходными текстами поистине безграничны. Нужно только помнить о том, что для беспро водных сетей еще не создано идеальной системы IDS. Поэтому не так важно, насколько хороша развернутая IDS;
ничто не сможет заменить знаний и хорошего анализатора бес проводных протоколов в случае, если подозрительные события все-таки обнаружатся.
ПОСЛЕСЛОВИЕ ц. 1 1, ц ( _1 - ^ и А 1 г о м ю 1 Т ПП 1 | ЦМШХ р л и ц и г :
Резюме Хотя обнаружить и проследить источник атаки на беспроводную сеть обычно сложнее, чем на проводную, но разработка специализированных IDS продвигается семимильными шага ми;
это очень быстро растущий сегмент рынка средств обеспечения безопасности. IDS для беспроводных сетей должны анализировать и извещать о подозрительных событиях, про исходящих на первом и втором уровнях модели 0SI, а также интегрироваться с традици онными IDS, размещаемыми на более высоких уровнях. Из-за особенностей беспровод ных сетей хорошая IDS должна быть одновременно и сигнатурной, и статистической. Чтобы обеспечить наблюдение за всем периметром сети, может понадобиться разместить беспро водные сенсоры IDS. В этой главе мы рассмотрели различные подозрительные события в сетях, а также известные сигнатуры многих атак и хакерских инструментов. Эта информа ция может оказаться полезной не только системным администраторам и консультантам по информационной безопасности, но и разработчикам аппаратного и программного обеспе чения для беспроводных IDS. В настоящее время еще не существует идеальной IDS, кото рая распознавала бы все признаки вторжения, описанные в этой главе. Мы кратко рассмот рели несколько имеющихся коммерческих систем, но наибольшее внимание уделили применению программ с открытыми исходными текстами и развертыванию самодельных сенсоров IDS. Сборка, модификация и эксплуатация таких устройств открывает небывалый простор вашему воображению.
Послесловие Мы надеемся, что после прочтения этой книги ваши знания о реальном состоянии безопас ности в сетях 802.11 расширились и теперь вы сможете лицом к лицу противостоять тем угрозам, которым подвержены современные беспроводные сети. Возможно, вы даже захо тите сами создать какие-нибудь инструменты для обеспечения безопасности, выявить и залатать новые уязвимости или развернуть самостоятельно собранные шлюзы, точки дос тупа или сенсоры IDS для сетей 802.Ha/b/g. Если так, то мы достигли своей цели и не зря поработали - ведь в эфире носится столько интересных пакетов.
1. Утилита iwconfig Имя: iwconfig.
Конфигурирует интерфейс беспроводной карты.
Порядок вызова:
iwconfig [interface] iwconfig interface [essid X] [nwid N] [freq F] [channel C] [sens S] [mode M] [ap A] [nick NN] [rate R] [rts RT] [frag FT] [txpower T] [enc E] [key K] [power P] [retry R] [commit] iwconfig --help Х.' ?
iwconfig --version Описание: Утилита iwconfig аналогична ifconfig(8), но ориентирована на интерфей сы беспроводных сетевых карт. Применяется для задания параметров сетевого интерфей са, специфичных именно для работы в беспроводной сети (например, частоты). Iwconfig позволяет также выводить как сами эти параметры, так и статистику (получая ее из файла /proc/net/wireless).
Все параметры и статистика зависят от устройства. Драйвер предоставляет только ту информацию, которую можно получить от аппаратуры. Подробности см. на странице ру ководства для конкретных видов оборудования.
Параметры essid Задает ESSID (или сетевое имя, в некоторых продуктах называется также Domain ID). ESSID применяется для идентификации сот, являющихся частью одной и той же виртуальной сети. В отличие от идентификатора NWID, который описывает единственную соту, ESSID определяет группу связанных репитерами или инфраструктурой сот, между которыми 404 ПРИЛОЖЕНИЕ D JL пользователь может осуществлять роуминг. Некоторые карты позволяют отключать про верку ESSID с помощью параметра off или any (и включать, задавая параметр on).
Примеры:
iwconfig ethO essid any iwconfig ethO essid "My Network" nwid/domain Задает идентификатор сети (Network ID, в некоторых продуктах называется также DomainID). Во всех соседних беспроводных сетях используется одна и та же передающая среда, а этот параметр позволяет отличить одну сеть от другой (создавать логически со вмещенные сети) и идентифицировать узлы, принадлежащие одной и той же соте. Некото рые карты позволяют отключать проверку NWID с помощью параметра of f (и включать, задавая параметр on).
Примеры:
iwconfig ethO nwid AB iwconfig ethO nwid off freq/channel Задает рабочую частоту или канал. Если значение меньше 1000, то оно интерпретируется как номер канала, в противном случае - как частота в герцах. Необходимо либо указать суффикс к, М или G (например, 2.46G означает частоту 2,46 Щ), либо ввести нужное число нулей. Нумерация каналов обычно начинается с 1, а чтобы узнать точное число ка налов и соответствующие им частоты, воспользуйтесь командой iwpr iv (8). В зависимо сти от местного законодательства некоторые частоты или каналы могут быть недоступны.
Примеры:
iwconfig ethO freq 2.422G iwconfig ethO channel sens Задает порог чувствительности. Это наименьший уровень сигнала, при котором карта еще пытается принимать пакеты;
более слабые сигналы игнорируются. Применяется для отсе чения шума, поэтому в качестве значения следует задавать средний уровень шума в дан ной местности. Если значение положительно, то оно интерпретируется как передаваемое непосредственно аппаратуре или как процент;
если отрицательно - то это величина уров ня сигнала в единицах dBm.
Для некоторых карт этот параметр управляет также порогом занятости (наименьшее значение уровня сигнала, при котором канал считается занятым) и порогом перехода (наи меньшее значение уровня сигнала, при котором клиент остается присоединенным к дан ной точке доступа).
Пример:
iwconfig ethO sens - СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ mode Задает рабочий режим устройства, зависящий от топологии сети. Возможны значения Ad hoc (сеть состоит только из одной соты и не имеет точки доступа), Managed (узел соеди няется с сетью, состоящей из нескольких точек доступа, с разрешенным роумингом), Master (узел берет на себя синхронизацию или выступает в роли точки доступа), Repeater (узел перенаправляет пакеты между другими узлами), Secondary (узел выс тупает в роли резервного хозяина (Master) или репитера), Monitor (узел занимается пассивным мониторингом и только принимает пакеты) или Auto.
Примеры:
iwconfig ethO mode Managed iwconfig ethO mode Ad-Hoc ap Заставляет карту присоединиться к точке доступа с указанным адресом, если это воз можно. Когда качество соединения становится слишком плохим, драйвер может вер нуться в автоматический режим (карта ищет наилучшую точку доступа в данном час тотном диапазоне). Можно также задать в качестве значения off для возврата в автоматический режим без изменения текущей точки доступа или any либо auto для того, чтобы заставить карту присоединиться к наилучшей из имеющихся в данный мо мент точек доступа.
Примеры:
iwconfig ethO ар 00:60:1D:O1:23: iwconfig ethO ap any iwconfig ethO ap off nick[name] Задает имя станции. В большинстве продуктов стандарта 802.11 имя определяется, но не используется ни в каких протоколах (MAC, IP, TCP), поэтому с точки зрения конфигуриро вания оно несущественно. Какое-то применение имя находит лишь в некоторых диагно стических программах.
Примеры:
iwconfig ethO nickname "My Linux Node" rate/bit[rate] Для карт, поддерживающих различные скорости передачи, задает скорость в битах в се кунду. С точки зрения пользователя, канал работает медленнее, чем определено этим па раметром, из-за разделения среды и накладных расходов.
Необходимо либо указать суффикс к (Ю3), м (106) или G (109), либо дописать нужное число нулей. Значения, меньшие 1000, специфичны для конкретной карты (обычно это индекс в таблице скоростей передачи). Для автоматического выбора скорости задайте 4 0 6 ПРИЛОЖЕНИЕ D А параметр auto (на зашумленных каналах это приводит к понижению скорости), именно этот режим является подразумеваемым для большинства карт. Чтобы вернуться к фикси рованной скорости задайте параметр fixed. Если вы укажете конкретное значение ско л рости передачи и добавите еще и auto, то драйвер будет пробовать только те скорости, которые не превышают заданного значения.
Примеры:
iwconfig ethO rate 11M iwconfig ethO rate auto iwconfig ethO rate 5. 5M auto rts[Jhreshold] В соответствии с протоколом RTS/CTS перед передачей каждого пакета выполняется про цедура квитирования с целью убедиться, что канал свободен. Это дополнительные наклад ные расходы, но при наличии скрытых узлов или большого числа активных узлов произво дительность может даже повыситься. Значением параметра является наименьший размер пакета, при котором узел посылает фрейм RTS. Если задать в качестве значения максималь но возможный размер пакета, то процедура квитирования отменяется. Параметр может также принимать значения auto, fixed и off.
Примеры:
iwconfig ethO rts iwconfig ethO rts off fragmentation threshold] Фрагментация - это расщепление IP-пакета на несколько фрагментов меньшего размера, которые затем и передаются в сеть. В большинстве случаев это лишь вводит лишние на кладные расходы, но в очень зашумленных каналах может уменьшить расходы на обработ ку ошибок. Значением параметра является максимальный размер фрагмента. Если задать в качестве значения максимально возможный размер пакета, то фрагментация не произво дится. Параметр может также принимать значения auto, fixed и of f.
Примеры:
iwconfig ethO frag iwcqnfig, ethO frag off., key/enc[ryption] Применяется для задания ключей и режима шифрования. Чтобы задать текущий ключ, вве дите его в виде последовательности шестнадцатеричных цифр в формате ХХХХ-ХХХХ хххх-хххх или хххххххх. Чтобы задать ключ, отличный от текущего, укажите его ин декс в квадратных скобках до или после значения. Можно также ввести ключ в виде ASCII-строки, если добавить префикс s:. Парольные фразы пока не поддерживаются. Что бы изменить индекс активного ключа, введите просто новое значение в виде [индекс], не вводя значение самого ключа. Параметры of f и on соответственно отключают и вновь включают шифрование, параметр open переводит систему в открытый режим (принимаются СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ незашифрованные пакеты), а параметр r es t r i ct ed говорит, что незашифрованные па кеты нужно отбрасывать. Если надо задать несколько ключей или задать ключ и одновре менно изменить индекс активного ключа, то укажите несколько директив key. Аргументы можно перечислять в любом порядке, действует последний указанный аргумент.
Примеры:
iwconfig ethO key 0123-4567- iwconfig ethO key s:password [2] iwconfig ethO key [2] open iwconfig ethO key off iwconfig ethO key restricted [3] iwconfig ethO key 01-23 key 45-67 [4] key [4] power Применяется для задания режима и параметров управления энергопотреблением. Чтобы за дать время между пробуждениями, введите period ' значениеХ. Для задания того, сколько времени карта может быть неактивной, прежде чем перейдет в спящий режим, введите timeout ' значение'. Можно также добавить модификаторы min или max. По умолчанию все значения выражены в секундах. При наличии суффикса m или и предполагаются соответ ственно миллисекунды или микросекунды. Иногда значение не подразумевает никакой еди ницы измерения. Значения on и of f включают и выключают режим управления энергопот реблением. Наконец, можно задать значение al l (принимать все пакеты), uni cast (принимать только пакеты, адресованные исключительно данному узлу, и отбрасывать пакеты, адресованные группе узлов или всем узлам), и mul t icas t (принимать только пакеты, адресо ванные группе узлов или всем узлам, отбрасывая те, что адресованы данному узлу).
Примеры:
iwconfig ethO power period iwconfig ethO power 500m unicast iwconfig ethO power timeout 300u all iwconfig ethO power off iwconfig ethO power min period 2 power max period txpower Для карт, поддерживающих несколько уровней мощности передатчика, с помощью этого параметра устанавливается мощность в dBm. Если W - мощность в ваттах, то в dBm она переводится по формуле Р - 30 + 10log(W). Если значение содержит суффикс mw, то оно будет автоматически пересчитано в dBm. Значения on и of f соответственно включают и выключают передатчик, a auto и fixed включают и выключают режим управления мощ ностью (если аппаратура поддерживает).
Примеры:
iwconfig ethO txpower iwconfig ethO txpower 30mW iwconfig ethO txpower auto iwconfig ethO txpower off 408 ПРИЛОЖЕНИЕ D retry Большинство карт поддерживают повторную передачу MAC, а некоторые позволяют настроить механизм повтора. Чтобы задать максимальное число повторов, введите limit ! значение'.
Это абсолютная величина (без единиц измерения). Чтобы задать максимальную продолжитель ность времени, в течение которого MAC нужно пытаться передать повторно, введите 1 i f et ime значение'. По умолчанию время измеряется в секундах. При наличии суффикса m или и предполагаются соответственно миллисекунды или микросекунды.
Можно также добавить модификаторы min или max. Если карта поддерживает автома тический режим, то они ограничивают значение l i f eti me. Для некоторых карт значе ние зависит от размера пакета, например в случае стандарта 802.11 min ограничивает число попыток для коротких пакетов (не RTS/CTS).
Примеры:
iwconfig ethO retry iwconfig ethO retry lifetime 300m iwconfig ethO min limit commit Для некоторых карт изменения параметров, проделанные с помощью программы Wireless Extensions, не вступают в силу немедленно (карта накапливает изменения или применяет их, только когда интерфейс поднимается с помощью ifconfig). В таких случаях команда commit (если она поддержана аппаратурой) заставляет карту применить все ожидающие изменения. Обычно в этом нет необходимости, так как рано или поздно карта все сделает сама, но для отладки бывает полезно.
Вывод значений параметров Для каждого устройства, поддерживаемого Wireless Extensions, iwconfig может выводить название используемого протокола MAC (имя устройства для патентованных протоколов), ESSID (имя сети), NWID, рабочую частоту (или номер канала), чувствительность, режим работы, адрес точки доступа, скорость передачи в битах, порог применения RTS, порог, фрагментации, ключ шифрования и настройки режима управления энергопотреблением, если он реализован (см. выше, что означают эти параметры).
Если за словом bi t -r at e следует знак ' = ', то скорость передачи фиксирована, если же знак ' : ' - то это всего лишь текущее значение скорости (устройство работает в ав томатическом режиме). Если существует файл /proc/net/wireless, то iwconfig будет выво дить также и его содержимое.
Link qual i t y - качество канала или модуляции (каков уровень конкуренции или помех либо насколько хорош принимаемый сигнал).
Signal l evel - уровень принимаемого сигнала.
Noise l evel - уровень шума (при отсутствии передаваемых пакетов).
i nval i d nwid - число принятых пакетов с посторонним NWID. Служит для выявления неправильной конфигурации или наличия соседних сетей.
i nval i d crypt - число пакетов, которые аппаратуре не удалось дешифрировать.
i nval i d misc - число пакетов, потерянных по иным причинам.
СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ Автор: Жан Туриль (jt@hpl.hp.com).
Файлы: /proc/net/wireless.
См. также: ifconfig(8), iwspy(8), iwlist(8), iwpriv(8), wavelan(4), wavelan_cs(4), wvlan_cs(4), netwave_cs(4).
2. Утилита iwpriv Имя: iwpriv.
Конфигурирует дополнительные (специальные) параметры интерфейса беспроводной карты.
Порядок вызова:
iwpriv [interface] iwpriv interface private-command [private-parameters] iwpriv interface private-command [I] [private-parameters] iwpriv interface --all iwpriv interface roam {on,off} iwpriv interface port {ad-hoc,managed,N} Описание: iwpriv - это программа, дополнительная к iwconfig(8). Она предназначена для задания параметров, специфичных для конкретного драйвера (в противоположность iwconfig, которая имеет дело с общими для всех драйверов параметрами). Если не задано никаких аргументов, то iwpriv выводит список команд, применимых к каждому из суще ствующих интерфейсов, и их параметры. Располагая этой информацией, пользователь сможет выполнить команды, поддерживаемые тем или иным интерфейсом. Предполага ется, что в документации по драйверам устройств эти команды и их действие описаны более подробно.
Параметры private-command [private-parameters] Выполняет заданную специальную команду (private-command) для указанного интер фейса. У команды могут быть обязательные или необязательные аргументы, она может вы водить какую-то информацию. Подробности, по идее, должна предоставлять команда iwpriv, вызванная без аргументов. Но точные сведения о том, как правильно пользовать ся командами, ищите в документации, поставляемой вместе с драйвером устройства.
private-command [I] [private-parameters] То же, с тем отличием что команде передается опознавательный индекс (token index) I (целое число). Лишь некоторые команды используют этот индекс (как правило, он игно рируется), в документации по драйверу должно быть написано, когда он нужен.
Выполнить и вывести все специальные команды, которые не требуют аргументов.
410 ПРИЛОЖЕНИЕ D roam Включить или выключить роуминг, если он поддерживается. Вызывает специальную ко манду set_roam. Имеется в драйвере wavelan_cs.
port Прочитать или сконфигурировать тип порта. Вызывает специальные команды gport_type, sport_type, getport или set_port, имеющиеся в драйверах wavelan2_cs и wvlan_cs.
Вывод значений параметров Для каждого устройства, поддерживающего специальные команды, iwpriv выводит их спи сок. В нем отражены имя команды, число и типы аргументов, которые можно задать, а так же число и типы параметров, которые можно вывести. Например, может быть выведена следующая информация:
ethO Available private ioctl:
setqualthr (89F0) : set 1 byte & get gethisto (89F7) : set 0 & get 16 int Отсюда видно, что можно задать порог качества и вывести гистограмму, содержащую до 16 значений. Для этого служат такие команды:
iwpriv ethO setqualthr iwpriv ethO gethisto Автор: Жан Туриль (jt@hpl.hp.com).
Файлы: /ргос/net/wireless.
См. также: ifconfig(8), iwconfig(8), iwlist(8), iwspy(8), wavelan(4), wave- lan_cs(4), wvlancs(4), netwave_cs(4).
3. Утилита iwlist Имя: iwlist.
Получает статистику работы указанных узлов беспроводной сети.
Порядок вызова:
iwlist interface freq iwlist interface ар iwlist interface scan iwlist interface rate iwlist interface key iwlist interface power iwlist interface txpower СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ iwlist interface retry iwlist --help :
iwlist --version Х Описание: iwlist служит для вывода большого объема информации от интерфейса бес проводной карты, которая не выдается утилитой iwconfig.
Параметры freq/channel Выводит список доступных устройству частот и число определенных каналов. Обратите внимание, что обычно драйвер возвращает общее число каналов, но'толъко те частоты, которые доступны в данной местности, поэтому между частотами и каналами может не быть взаимно однозначного соответствия...=.-. > Х ХХ, i ! i ж : ц Х q v r ap/accesspoint Выводит список точек доступа в частотном диапазоне и, возможно, информацию о качестве канала для каждой из них. Эта функция считается устаревшей, вместо нее рекомендуется пользоваться параметром scan (см. ниже). В последующих версиях она будет исключена.
scan[ning] Выводит список точек доступа и независимых сот в частотном диапазоне и, возможно, различную дополнительную информацию о каждой из них (ESSID, качество, частота, ре жим работы и т.д.). Состав возвращаемой информации зависит от конкретной карты.
Запуск сканирования - это привилегированная операция, разрешенная только супер пользователю root, все прочие могут лишь прочитать данные, полученные в результате предыдущего сканирования. По умолчанию способ выполнения сканирования (на какую область распространяется) зависит от текущих настроек драйвера. Предполагается, что команда будет принимать и дополнительные аргументы, управляющие сканированием, но пока это не реализовано.
rate/bit[rate] Выводит перечень скоростей передачи в битах, поддерживаемых данным устройством.
key/encryption] Выводит поддерживаемые длины ключей шифрования, а также все ключи, хранящиеся в устройстве.
power Выводит параметры режима управления энергопотреблением.
412 ПРИЛОЖЕНИЕ D - д Г А, I.IJ.IJ..I....!....I.
t x p o w e r Выводит параметры режима управления мощностью передатчика.
retry Выводит пороговые значения и время жизни для управления повторной передачей.
Чversion Выводит номер версии программы, а также номер рекомендуемой и текущей версии Wireless Extensions для данного инструмента и различных беспроводных карт.
Файлы: /proc/net/wireless.
См. также: iwconfig(8) ifconfig(8), iwspy(8), iwpriv(8).
/ 4. Утилита wicontrol Имя: wicontrol.
Конфигурирует устройства WaveLAN/IEEE.
Порядок вызова:
wicontrol -i iface [-о] wicontrol -i iface -t tx_rate wicontrol -i iface -n network_name wicontrol -i iface -s station_name wicontrol -i iface -c 0 I wicontrol -i iface -q SSID wicontrol -i iface -p port_type wicontrol -i iface -a access_point_density wicontrol -i iface -m mac_address wicontrol -i iface -d max_data_length wicontrol -i iface -e 0 I wicontrol -i iface -k key [-v 1 I 2 I 3 I 4] wicontrol -i iface -T 1 I 2 I 3 I wicontrol -i iface -r RTS_threshold wicontrol -i iface -f frequency wicontrol -i iface -P 0 I wicontrol -i iface -S max_sleep_duration wicontrol -i iface -Z (zero signal cache) wicontrol -i iface -C (display signal cache) Описание: Управляет работой беспроводных сетевых устройств WaveLAN/IEEE посред ством драйвера wi(4). Большинство подлежащих изменению параметров относятся к стан дарту IEEE 802.11, реализованному в WaveLAN. Это, в частности, имя станции, которая мо жет работать как в независимом (ad-hoc) режиме, так и в режиме BSS, а также сетевое имя соты (IBSS), к которой нужно присоединяться, если активизирован режим BSS. Команду СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ АЛ wi control можно использовать также для вывода текущих значений параметров и ста тистических счетчиков, накапливаемых картой.
Аргумент if асе - это логическое имя интерфейса, присвоенное устройству WaveLAN/ IEEE (wiO, wil и т.д.). Если этот аргумент опущен, предполагается wiO.
Параметры -/ if асе [-о] Выводит текущие параметры заданного интерфейсв WaveLAN/IEEE, получая от драйвера текущие настройки карты. Если задан необязательный флаг -о, то wicontrol будет выво дить не настройки карты, а значения статистических счетчиков. Ключи шифрования выво дятся, только если команда запущена от имени суперпользователя root.
-/ if асе -t txjrate Устанавливает скорость передачи для указанного интерфейса. Допустимые значения за висят от того, ассоциирован ли интерфейс со стандартным устройством WaveLAN/IEEE или адаптером WaveLAN/IEEE Turbo. Стандартная сетевая карта поддерживает скорость переда чи не выше 2 Мбит/с, а карта с Turbo-режимом - до 6 Мбит/с. В табл. D1 перечислены зна чения параметра и соответствующие им скорости передачи.
Таблица D1. Соответствие значения параметра и скорости передачи Стандартные сетевые карты поддерживают только значения от 1 до 3, а карты с Turbo режимом - все перечисленные значения. По умолчанию драйвер выставляет скорость пе редачи 3 (автоматический выбор).
-I if асе -л networkjiame Задает имя соты (IBSS), к которой должна подключаться данная станция. Сетевое имя network_name может быть произвольной строкой длиной до 30 символов. По умолча нию предполагается имя ANY, в этом случае станции разрешено подключаться в первой же обнаруженной точке доступа. Интерфейс должен быть предварительно переведен в режим BSS с помощью флага -р.
414 ПРИЛОЖЕНИЕ D мяАщштишщщц -/ if асе -s station _name Задает имя станции для указанного интерфейса. Строка stati on_name используется только для целей диагностики. Программа Lucent WaveMANAGER может запрашивать име на удаленных станций.
-iiface-cO\ Позволяет станции создавать соту (IBSS). Допустимые значения: 0 (не создавать IBSS) и (создать IBSS). По умолчанию 0.
Этот параметр введен в экспериментальных целях - создание IBSS на хосте, похоже, в действительности не работает.
-i iface-q SSID Задает имя соты IBSS (SSID) для указанного интерфейса. SSID может быть произвольной строкой длиной до 30 символов.
Этот параметр введен в экспериментальных целях - создание IBSS на хосте, похоже, в действительности не работает.
-/ iface -р portjype Задает тип порта для указанного интерфейса. Допустимые значения: 1 (режим BSS) и (независимый режим). В независимом режиме станция может напрямую общаться с други ми станциями в пределах прямой радиовидимости (при условии, что остальные станции также работают в независимом режиме). В режиме BSS станция может общаться только в пределах соты, контролируемой точкой доступа, которая пересылает трафик между око нечными станциями. По умолчанию 3 (независимый режим).
-/ iface -a accessjpointjdensity Задает плотность точки доступа для указанного интерфейса. Допустимые значения: 1 (низ кая), 2 (средняя) и 3 (высокая). Этот параметр влияет на некоторые пороговые значения радиомодема.
-/ iface -/л macjaddress Задает адрес станции для указанного интерфейса. МАС-адрес представляет собой последо вательность из шести шестнадцатеричных значений, разделенных двоеточиями (например, 00: 60: l d: 12: 34: 56). Тем самым программируется новый адрес карты и обновляются параметры интерфейса.
-/ iface -d maxjdatajength Задает максимальные размеры принимаемых и передаваемых фреймов для указанного ин терфейса. Значение max_data_length может быть от 350 до 2304. По умолчанию 2304.
СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ -/ if асе -е О I Разрешает или запрещает шифрование по протоколу WEP. Допустимые значения: 0 (запре тить шифрование) и 1 (разрешить шифрование). По умолчанию шифрование отключено.
-iiface-kkey[-v1\2\3\4] Задает ключи шифрования по протоколу WEP. Можно задать до четырех ключей. Конкрет ный ключ выбирается флагом -v. Если этот флаг опущен, то задается первый ключ. Ключ шифрования можно задавать либо в виде обычного текста (например, hello), либо в виде последовательности шеетнадцатеричных цифр (например, 0x1234512345). Для карт WaveLAN Turbo Silver длина ключа составляет 40 бит, поэтому ключ должен быть или стро кой из 5 символов, или последовательностью из десяти шеетнадцатеричных цифр. Для карт WaveLAN Turbo Gold допустимы также ключи длиной 104 бит, так что можно указывать тдк же строки из 13 символов или последовательности из 26 цифр.
-iiface-T1 \2\3\ Определяет, какой из четырех WEP-ключей будет применяться для шифрования передава емых пакетов.
-I if асе -г RTSJhreshold Задает порог применения протокола RTS/CTS для указанного интерфейса, то есть опреде ляет, какова должна быть минимальная длина пакета, чтобы ему предшествовал обмен фреймами RTS/CTS. Значение RTSthreshold может, быть от 0 до 2347. По умолчанию 2347.
-/ if асе -f frequency Задает частоту для указанного интерфейса. Значение должно представлять собой номер канала из приведенного ниже списка. Перечень.доступных частот зависит от местного законодательства. Распознаются законодательные органы следующих стран: FCC (США), ETSI (Европа), Франция и Япония. Частоты в табл. D2 приведены в мегагерцах.
416 ПРИЛОЖЕНИЕ D,,,,,,.*, ихи-жщ i..и Если указан недопустимый канал, карта установит канал по умолчанию. Для карт, продава емых в США и Европе, по умолчанию выбирается канал 3, во Франции - канал 11, в Японии канал 14, и это единственно доступный канал для карт со скоростью до 11 Мбит/с. Отметим, что карты могут обмениваться данными, только если работают на одном канале.
-iiface-PO\ Включает или выключает режим управления энергопотреблением для указанного интерфей са. При включенном режиме устройство периодически засыпает и пробуждается для эконо мии заряда батарей портативного компьютера, правда, за это приходится платить некоторым увеличением задержки при приеме пакетов. По умолчанию режим выключен. Отметим, что режим управления энергопотреблением работает только в кооперации с точкой доступа, в независимом режиме управлять энергопотреблением невозможно. Кроме того, управление энергопотреблением реализовано только в карте Lucent WavePOINT с версией программно аппаратного обеспечения не ниже 2.03, и в PCMCIA-карте Lucent WaveLAN с версией про граммно-аппаратного обеспечения не ниже 2.00. Для более ранних версий этот параметр игнорируется. Допустимые значения параметра: 0 (выключить) и 1 (включить).
-I if асе -S maxjsleepjnterval Задает время спящего режима в режиме управления энергопотреблением. Величина max_sleep_interval выражена в миллисекундах. По умолчанию 100.
-/ if асе -Z Очищает кэш, в котором хранятся величины уровня сигнала. Этот кэш организован внутри драйвера wi(4).
-/ if асе -С Выводит содержимое кэша уровней сигнала, организованного внутри драйвера wi(4).
Драйвер сохраняет информацию об уровнях сигнала и шума для пакетов, полученных от различных хостов. Эти величины измеряются в dBm. Качество сигнала - это разность меж ду уровнем сигнала и уровнем шума (то есть чем меньше шум и чем сильнее сигнал, тем выше качество).
СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ См. также: wi(4), ifconfig(8).
История: Команда wicontrol впервые появилась в версии FreeBSD 3.0.
Автор: Билл Пол (Bill Paul) - wpaul@ctr.edu.
5. Утилита ancontrol Имя: ancontrol.
Конфигурирует устройства Aironet 4500/4800.
Порядок вызова:
Описание: Управляет работой беспроводных сетевых устройств Aironet посредством драйвера ап(4). Большинство подлежащих изменению параметров относятся к стандарту IEEE 802.11, реализованному в Aironet. Это, в частности, имя станции, которая может рабо тать как в независимом (ad-hoc) режиме, так и в режиме BSS, а также сетевое имя соты (IBSS), к которой нужно присоединяться, если активизирован режим BSS. Команду ancontrol можно использовать также для вывода текущего состояния карты, ее парамет ров и статистических счетчиков, накапливаемых картой.
Аргумент i face - это логическое имя интерфейса, присвоенное устройству Aironet (anO, anl и т.д.). Если этот аргумент опущен, предполагается апО.
Команда ancontrol не поддерживает указания в одном вызове аргументов, описанных в разных строках раздела Порядок вызова. Задавать такие комбинации не рекомендуется.
418 ПРИЛОЖЕНИЕ D Параметры -i if асе -A Выводит список предпочтительных точек доступа. Этот список можно использовать для указания МАС-адресов тех точек доступа, к которым станция хотела бы присоединиться.
Если список точек доступа не задан (по умолчанию так и есть), то станция присоединится к первой же обнаруженной точке доступа, которая обслуживает соту, входящую в список SSID. Изменить список точек доступа позволяет флаг -а.
-/ if асе -N Выводит список SSID. Это список сот (сетевых имен), к которым станция готова присоеди ниться. В списке может быть до трех SSID: станция будет просматривать список в порядке возрастания и присоединится к первой же подходящей соте.
-# if асе -S Выводит информацию о состоянии сетевой карты, а именно: текущий рабочий режим, текущие BSSID, SSID, канал, период между отправкой маяков и точка доступа, к кото рой присоединилась станция. Рабочий режим включает состояние карты, статус MAC и статус приема. Если в выводе присутствует слово synced, то карта успешно присое динилась к точке доступа, к главной станции в независимом режиме или сама стала главной станцией. Период между отправкой маяков может изменяться от 20 до 976 мс.
По умолчанию 100.
-iiface-l Выводит информацию о возможностях сетевой карты, а именно: тип устройства, способ ность регулировать частоту, скорость и энергопотребление, а также версию программно аппаратного обеспечения.
-i if асе -Г Выводит внутренние статистические счетчики, накапливаемые картой.
-/ if асе -С Выводит текущую конфигурацию карты, а именно: текущий режим работы, режим приема, МАС-адрес, параметры режима энергопотребления, различные временные параметры, вы бор канала, разнесенность, мощность передатчика и скорость передачи.
-iiface-tO \ 1 \2\3\ Задает скорость передачи (табл. D3).
СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ АЛ Таблица D3. Допустимые значения скорости передачи Отметим, что скорости 5,5 и 11 Мбит/с поддерживаются только картами серии 4800;
для карт серии 4500 скорость передачи ограничена 2 Мбит/с.
-iiface-stO \ 1 \ 2 \ Задает режим управления энергопотреблением (табл. D4).
Отметим, что в независимом режиме поддерживается только режим PSP и лишь если окно ATIM ненулевое.
-iiface[-v1 \2\3\4]-aAP Задает предпочтительные точки доступа. Указывается МАС-адрес точки доступа, состоящий из шести шестнадцатеричных чисел, разделенных двоеточиями. По умолчанию флаг -а определяет только первую точку доступа в списке. Для задания точного индекса нужной точки доступа можно добавить модификатор -v.
-/ if асе -b beaconjperiod Задает промежуток времени между отправкой маяков в независимом режиме. Величина beacon_period измеряется в миллисекундах. По умолчанию 100 мс.
-iiface[-vO\ 1]-dO\ 1 \2\ Задает разнесенность антенн. Карты Aironet допускают наличие двух антенн, в этом слу чае можно настроить разнесенность приема и передачи (табл. D5).
420 ПРИЛОЖЕНИЕ D Разнесенность приема и передачи можно устанавливать независимо. С помощью флага -v указывается, какую именно разнесенность нужно модифицировать: 0 означает разнесенность приема, а 1 - передачи.
-iiface-eO 2\ Задает, какой WEP-ключ использовать для шифрования передаваемых данных. Если эта команда не была выполнена, то устройство будет пользоваться последним из запрограм мированных ключей. Ключи хранятся в энергонезависимой памяти. Какой ключ является текущим, можно узнать с помощью флага -С.
iiface [-vO \ 1 \ 2 \ 3 \ 4 \ 5 \ 6 \ 7] -к key Задает WEP-ключ. Для задания 40-битового ключа введите десять шестнадцатеричных цифр с префиксом Ох. Для задания 128-битового ключа введите 26 шестнадцатеричных цифр с префиксом Ох. Для стирания ключа введите в качестве значения пустую строку "". Поддер живается до четырех ключей;
четные номера предназначены для постоянных ключей, не четные - для временных. Например, - v 1 задает первый временный ключ. (Постоянные клю чи хранятся в энергонезависимой памяти, временные - не хранятся.) Отметим, что по умолчанию карта пользуется последним запрограммированным ключом. Узнать о наборе текущих ключей можно с помощью флага -С, при этом выводятся только длины ключей.
-iiface-КО \ 1 \ Задает тип авторизации. О - отсутствие авторизации, 1 - открытая, 2 - е разделяемым ключом.
-iiface -WO \ 1 \ Режим использования протокола WEP. О - WEP отключен, 1 - включен полный протокол WEP, 2 - для смешанных сот.
-/ if асе -j netjoinJimeout Задает таймаут при присоединении к независимой сети. Когда станция в первый раз вклю чается в независимом режиме, она начинает искать главную станцию с нужным SSID и присоединяется к ней. Если по истечении определенного времени, найти станцию с таким же SSID не удается, то станция сама становится главной, так что к ней смогут присоеди няться другие станции. По умолчанию таймаут равен 10000 мс (10 с), флаг - j позволяет задать другое значение. Значение следует задавать в миллисекундах.
СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ -# if асе -/ station name Задает имя станции для внутренних нужд карты. Параметр station_name может быть произвольной текстовой строкой длиной до 16 символов. По умолчанию драйвер устанав ливает имя FreeBSD.
-/ if асе -т macjaddress Задает адрес станции для указанного интерфейса. МАС-адрес представляет собой последо вательность из шести шестнадцатеричных значений, разделенных двоеточиями (например, 00: 60: l d: 12: 34: 56). Тем самым программируется новый адрес карты и обновляются параметры интерфейса.
-iiface[-v1 \2\3]-nSSID Задает SSID (сетевое имя). Всего есть три SSID, что позволяет карте работать с разными точками доступа без переконфигурации. Карта последовательно проверяет все заданные SSID. Указать, какой именно SSID изменять, можно с помощью модификатора -v. Если флаг -v опущен, изменяется первый SSID в списке.
-/ if асе -о О | У Устанавливает режим работы карты Aironet. Допустимые значения: 0 - независимый ре жим, 1 - инфраструктурный режим. По умолчанию драйвер выбирает инфраструктурный режим.
-/ if асе -р txjpower Задает мощность передатчика в милливаттах. Допустимые значения зависят от конкрет ной модели, просмотреть их можно, выведя возможности карты с помощью флага -I. Ти пичные значения: 1,5,20,50 и 100 мВт. Задание значения 0 выбирает заводскую установку по умолчанию.
-/ if асе -с frequency Задает частоту для указанного интерфейса (табл. D6). Значение должно представлять со бой номер канала из приведенного ниже списка. Перечень доступных частот зависит от местного законодательства. Распознаются законодательные органы следующих стран: FCC (США), ETSI (Европа), Франция и Япония.
422 ПРИЛОЖЕНИЕ D Если указан недопустимый канал, карта установит канал по умолчанию. Для карт, продава емых в США и Европе, по умолчанию выбирается канал 3, во Франции - канал 11, в Японии канал 14, и это единственно доступный канал для карт со скоростью до 11 Мбит/с. Отметим, что карты могут обмениваться данными, только если работают на одном канале.
-/ if асе -f fragmentationJhreshold Задает порог фрагментации в байтах, то есть размер, после которого исходящие пакеты начинают расщепляться на более мелкие фрагменты. Если не удастся успешно доставить один фрагмент, то придется повторно передать только его, а не весь пакет. Порог фрагмен тации может принимать значения от 64 до 2312. По умолчанию 2312.
-/ if асе -г RTSJhreshold Задает порог протокола RTS/CTS для указанного интерфейса, то есть какой должна быть минимальная длина пакета, чтобы ему предшествовал обмен фреймами. Величина RTS_t hreshol d может быть любым числом от 0 до 2312. По умолчанию 2312.
-I if асе -М 0- Задает режим мониторинга с помощью битовой маски (табл. D7).
Таблица D7. Значения битов СТРАНИЦЫ РУКОВОДСТВА ДЛЯ НЕКОТОРЫХ УТИЛИТ -Л Выдача справочной информации с примерами использования.
Замечания о безопасности Протокол WEP основан на алгоритме RC4, в котором используется 24-битовый вектор ини циализации.
Считается, что RC4 уязвим к некоторым атакам с известным открытым текстом, особен но при использовании 40-битовых ключей. Поэтому безопасность WEP зависит от того, как много передается известного открытого текста.
Таким образом, хотя это интуитивно неочевидно, аутентификация с разделяемым клю чом (при этом посылается известный открытый текст) менее безопасна, чем открытая аутентификация, если протокол WEP включен.
При передаче пакетов устройство может ротировать все сконфигурированные WEP-клю чи. Поэтому необходимо, чтобы ключи на всех станциях были согласованы.
Примеры:
ancontrol -i anO -v 0 -k 0x ancontrol -i anO -K ancontrol -i anO -W ancontrol -i anc -e Устанавливает WEP-ключ с индексом 0, разрешает аутентификацию с разделяемым клю чом, включает полный протокол WEP и использует для шифрования ключ 0.
См. также: an(4), ifconfig(8).
История: Команда ancont rol впервые появилась в версии FreeBSD 4.O.
Ошибки: Похоже, что в статистических счетчиках не увеличивается число переданных и принятых фреймом. Вероятно, это связано с тем, что в драйвере ап(4) используется ре жим немодифицированных пакетов, тогда как надо было бы позволить карте выполнять инкапсуляцию 802.ll/Ethernet самостоятельно. Задание номера канала, кажется, не при водит ни к какому эффекту.
Автор: Билл Пол (wpaul@ee.edu).
426 ПРИЛОЖЕНИЕ F Предлагаемые новые значки Arhont Ltd. Отчет о результатах аудита стабильности и безопасности беспроводной сети 428 ПРИЛОЖЕНИЕ G A jxi.i.i.-Ui.ijijujmjjijj.ijjjj..i.u,i..i..i..Ttr.
ФОРМА ОТЧЕТА О РЕЗУЛЬТАТАХ ТЕСТИРОВАНИЯ 801.11 - самый первый из стандартов IEEE, в котором определяется порядок дос тупа к передающей среде и приводятся спецификации физического уровня для беспроводных локальных сетей со скоростью до 2 Мбит/с. Стандарт 802.11 рас пространяется на высокочастотные радиоканалы DSSS и FHSS, а также на инфра красные каналы.
802.11а - редакция стандарта 802.11 IEEE, в которой рассматриваются сети, рабо тающие в диапазоне UNII со скоростями до 54 Мбит/с по технологии DSSS.
802.11b - редакция стандарта 802.11 IEEE, в которой рассматриваются сети, рабо тающие в среднем диапазоне ISM со скоростями до 11 Мбит/с по технологии DSSS.
802.1 lg - редакция стандарта 802.11 IEEE, в которой рассматриваются сети, рабо тающие в среднем диапазоне ISM со скоростями до 54 Мбит/с по технологии DSSS, обратно совместимые со стандартом 802.11b.
802.1 li - стандарт IEEE, относящийся к безопасности беспроводных сетей. В нем объединены протоколы 802.1х и TKIP/CCMP с целью обеспечить аутентификацию пользователей, конфиденциальность и целостность данных в беспроводных ло кальных сетях.
802.15 - спецификация IEEE, описывающая беспроводные персональные сети (WPAN), которая была одобрена в начале 2002 года.
802.1х - стандарт IEEE аутентификации и контроля доступа на уровне 2.
Authentication Header (АН) - один из протоколов IPSec, который проверяет аутентичность IP-пакетов, но не обеспечивает конфиденциальности данных.
Banyan VINES - набор протоколов для организации виртуальной сетевой системы, основанной на идеологии UNIX. В наше время встречается нечасто. Интерес представ ляет система именования Banyan VINES StreetTalk.
Big-Endian - метод хранения данных, когда наиболее значимый бит хранится первым.
442 WI-ФУ: БОЕВЫЕ ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ Bluetooth - часть спецификации 802.15 для беспроводных персональных сетей, разработанная и поддерживаемая группой Bluetooth SIG, которая была основана компаниями Ericsson, Nokia, IBM, Intel и Toshiba. Радиоустройства Bluetooth - это маломощные FHSS-трансиверы, работающие в среднем диапазоне ISM.
ССМР (Counter Mode with CBC-MAC) - основанный на алгоритме AES протокол шифрования, который должен заменить WEP и TKIP, когда выйдет окончательная версия стандарта 802.Hi. Будет считаться обязательным в спецификации WPA версии 2.
Clear To Send (CTS) (Готов к передаче) - управляющий фрейм в стандарте 802.11, применяемый для обнаружения виртуальной несущей. Фрейм CTS посыла ется в ответ на фрейм RTS. Он разрешает запрашивающему хосту передавать дан ные в течение времени, указанного в поле Network Allocation Vector.
CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance) - протокол второ го уровня, применяемый для устранения коллизий в сетях 802.11, а также в соста ве протокола LocalTalk в сетях AppleTalk. Чтобы избежать коллизий, CSMA/CA по сылает положительную квитанцию (АСК) на переданные фреймы.
dBi - децибелы, отнесенные к идеальной изотропной антенне.
dBm - 0 dBm равно выходной мощности 1 мВт при частоте 1 кЩ и импедансе 600 0м.
DECnet - набор сетевых протоколов коммуникации, разработанный и поддерживае мый компанией Digital Equipment Corporation.
DSSS (Direct Sequence Spread Spectrum - прямая последовательность измене ния спектра) - один из двух подходов к передаче радиосигналов с изменяемым спектром. При использовании технологии DSSS поток передаваемых данных раз бивается на небольшие кусочки, каждому из которых выделяется широкополос ный канал. На передающем конце информационный сигнал комбинируется с пос ледовательностью битов, передаваемых с более высокой скоростью, которая разделяет данные в соответствии с коэффициентом изменения.
ЕАР (Extensible Authentication Protocol - расширяемый протокол аутентифи кации) - гибкий протокол аутентификации, первоначально спроектированный для аутентификации в протоколе РРР, а позже включенный в стандарт 802.1х.
Протокол ЕАР определен в RFC 2284.
EAPOL (ЕАР over LAN - ЕАР поверх локальной сети) - инкапсуляции фреймов протокола ЕАР в проводных локальных сетях. Определяется отдельно для Ethernet и Token Ring.
EIRP (Эффективная изотропно излучаемая мощность) - реальная выходная мощ ность, излучаемая антенной, рассчитываемая по формуле IR + коэффициент усиления антенны.
ГЛОССАРИЙ ESSID (Extended Service Set ID) - имя, идентифицирующее сеть 802.11. Чтобы присоединиться к беспроводной локальной сети, нужно знать ее ESSID.
ETSI (European Telecommunications Standards Institute - Европейский инсти тут стандартов телекоммуникаций) - некоммерческая организация, выпускаю щая стандарты и правила в области телекоммуникаций для всей Европы.
FHSS (Frequency Hopping Spread Spectrum) - изменение спектра скачкообраз ной перестройкой частоты). Один из двух подходов к передаче радиосигнала с из меняемым спектром. Характеризуется тем, что несущая частота псевдослучайным образом скачет в пределах определенного диапазона.
Integrity Check Value (ICV - код контроля целостности) - простая контрольная сумма, вычисляемая для фрейма 802.11 перед началом шифрования по протоколу WEP.
Internet Key Exchange (IKE - обмен ключами через Internet) - стандартный протокол управления ключами, обычно применяемый в IPSec.
IR (Intentional Radiator) - радиопередающее устройство с кабелями и разъе мами, но без антенн. Определено FCC для реализации ограничений в части излу чаемой мощности.
IrDA (Infrared Data Association - Ассоциация передачи данных с помощью ин фракрасного оборудования) - некоммерческая ассоциация, предлагающая стан дарты в области обеспечения качества и совместной работы оборудования для се тей на основе инфракрасных лучей.
ISM (Industrial, Scientific, Medical) - диапазоны частот, разрешенные FCC для применения в промышленных, научных и медицинских целях без получения ли цензии. К этим диапазонам относятся 902-928 МГц, 2,4-2,5 ГГц и 5,725-5,875 ГГц.
Lightweight Directory Access Protocol (LDAP - облегченный протокол службы каталогов) - протокол, предоставляющий интерфейс для управления и поиска в каталогах стандарта Х.500.
Little-Endian - метод хранения данных, когда наименее значимый бит хранится первым.
Management Information Base (MIB - управляемый информационный блок) - спецификация параметров устройства, записанная с помощью абстракт ной синтаксической нотации (
Abstract
Syntax Notation- ASN). Используется в протоколе SNMP для мониторинга и оповещения о статусе устройства, а также для удаленного управления.
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) - протокол аутентификации с предварительным согласованием вызова.
444 Wl-ФУ: БОЕВЫЕ ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ Point-to-Point Tunneling Protocol (PPTP - двухточечный туннельный прото кол) - очень широко распространенный туннельный протокол, запатентованный Microsoft.
Remote Access Dial-In User Service (RADIUS - служба удаленной аутентифи кации пользователей) - многофункциональный протокол и служба аутентифи кации, являющиеся стандартом де-факто и имеющие множество реализаций.
Pages: | 1 | ... | 5 | 6 | 7 | 8 | Книги, научные публикации