Linux tips. (15 / 28 steg)

Steg 15: Osäkra wifi värd.

Nyare versioner av Debian och Redhat/Fedora kan variera.

>>>>>>>>>>>>>>>>>>>>>>>>>>> pågår och inte färdiga ännu <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<.

Bygga en Linux-baserad trådlös åtkomstpunkt

Idag lär vi dig att omvandla en vanlig gammal dator till en kraftfull, anpassningsbara åtkomstpunkt.

Trådlös Adapter och antenn
Våra vanliga gamla PC är en Pentium 450 med 384 MB RAM, en 10 gigabyte hårddisk, CDROM, diskettenhet, två seriella portar, en 10/100 PCI Ethernet-kort och video. Jag gillar lämnar grafikkortet i även om maskinen körs headless; Det är användbart för att kunna ansluta en bildskärm för felsökning. Denna särskilda åtkomstpunkt ansluter trådlösa klienter till ett trådbundet LAN. Vi kommer att använda kortet på ett PCI-kort från ett tidigare exempel. Det är endast 802.11bg, men det är rock-solid. Vi kommer att usng en generisk utökade antenn. Antennen gör en enorm skillnad i kvaliteten på signalen. Antennen måste använda samma frekvens som radiokortet; i det här fallet Observera 2,4 GHz. också att en hel del trådlösa telefoner använder samma frekvens, och kommer att störa trådlösa nätverk. I ett nötskal, Använd inte telefoner som är på samma frekvens som ditt trådlösa nätverk.

Programvara
Installera din favorit Linux, den nyare desto bättre. Var noga med att installera några "laptop" och "pcmcia" paketgrupper om du använder ett trådlöst pcmcia-kort. Kontrollera att du har följande verktyg installerat. Om du inte gör de är lätt tillgängliga från de vanliga källorna:

Pciutils
Trådlösa verktyg
PCMCIA-cs (om du endast använder pci sedan bortse från)
HostAP föraren
bridge-utils
eivf
epsduppivsnt
apt-firewall
Vi har också installerat dnsmasq att dela ut IP-adresser för det nätverkskort som ansluter till systemet. "Hur man" för det är i den egna internet-serien,

SSID (service set identifier) i exempel tillgång punkt är Northpasture, eftersom det är bild fönster. SSID: er kan vara upp till 32 tecken och är skiftlägeskänsliga.

Debians konfiguration
Debian erbjuder flera sätt att konfigurera trådlösa nätverkskort. Det enklaste är att använda/interfaces. Lägg till den här posten med ditt egna nätverksadresser och ESSID:

Kortet kan vara olika. sudo lshw - C nätverk kommer att låta dig veta kort adress eth?

Auto eth1
iface eth1 inet statisk
adressen 192.168.1.5
nätverket 192.168.1.0
nätmask 255.255.255.0
broadcast 192.168.1.255
Gateway 192.168.1.1
wireless_essid youressid
wireless_mode Master
# wireless_mode ad-hoc

Du kan sätta något iwconfig kommando i filen i formatet wireless_ [kommando] [värde], utom nick.

Red Hat konfiguration
På Red Hat redigera Fedora, Mandrake, vit Box Linux, och alla andra Red Hat kloner och utlöpare, /etc/sysconfig/network-scripts/ifcfg-eth1:

DEVICE = eth1
USERCTL = Ja
TYP = wireless
HWADDR = 00:20:e0:8f:ea:44
BOOTPROTO = statiskt
IPADDR = 192.168.1.5
NETMASK = 255.255.255.0
= BROADCAST 192.168.1.255
GATEWAY = 192.168.1.1
ONBOOT = Ja
LÄGE = Master
ESSID = Northpasture

Starta om nätverk (sudo service nätverk omstart) nu bör du kunna ansluta från en trådlös klient. Ett snabbt och enkelt test är att konfigurera klienten med en statisk IP, ange ESSID vara samma som åtkomstpunkten och lägga den i HANTERADE läget. Du bör kunna ping från båda maskinerna.

Att lägga till WEP
Senao 2511 stöder bara WEP (trådlös motsvarande privacy) i Linux. WEP betraktas som svag, men det är bättre än ingenting. En mycket starkare lösning är att tunnel för alla trådlösa trafik med OpenVPN, som kommer att ingå i en framtida artikel. (Vänta inte för mig - OpenVPN är ganska enkel att använda, men ändå sofistikerade och säkra.)

Allt du behöver göra är kullersten upp en 104-bitars hexadecimalt nyckel, och dela den här nyckeln med åtkomstpunkten och alla klienter. Använda dd och xxd för att generera ett någorlunda randomiserade nummer:

$ dd om = / dev/random bs = 1 count = 13 2 >/dev/null-|xxd - ps
d47c190ffd9dd7936f08eedc0e

På Debian, kopiera nyckeln till/Interfaces:

wireless_key d47c190ffd9dd7936f08eedc0e

På Red Hat et al, kopiera nyckeln till /etc/sysconfig/networking/devices/keys-eth1:

NYCKEL = d47c190ffd9dd7936f08eedc0e

Du är begränsad av den svagaste WEP stöd, så om du har några klienter som stöder endast 64-bitars, det är vad du måste använda. Lägga till roligt är ibland 64-bitars verkligen innebär 40-bitars; se "Att göra den mest från WEP" för att göra känsla av det hela. De flesta säkerhet guider rekommenderar att du ändrar nyckeln varje vecka. Detta är ett bra sätt att använda upp allt som ledig tid du har belastats med, eftersom det måste göras manuellt på varje dator. Antagandet är att en bestämd cracker är avlyssna dina överföringar och kör en cracking verktyg mot dina nycklar. Det kan hända, bättre för att vara försiktig.

När du har kontrollerat att allt fungerar, är det dags att gå vidare till nästa steg, som paradoxalt nog ångrar mycket av vad du just gjorde.

Bygga en bro
Nästa steg är att ställa in överbrygga mellan det trådlösa kortet och kabelanslutna Ethernet-kortet. Överbrygga måste vara stöds i kärnan, och troligen är det inte ett bestånd som Debian-installation. Det bör finnas på Red Hat och Fedora och resten av gänget Red Hat. Titta i filen/boot/config för CONFIG_BRIDGE = m eller = y. Om det inte är, har du att bygga en ny kärna. När du konfigurerar den nya kärna ser för drivrutiner -> nätverk stöd -> nätverk-alternativ -> 802.1 d Ethernet-bryggning.

Du bör också installera paketet kernel-unsupported på röda Hat-ish system och se till att den matchar din kärnversion (uname - r). Detta innehåller modulen bridge.o, som kan behövas av bridge-utils. Om du får den "br_add_bridge: paketet inte installerat" felmeddelande när du försöker ställa in bron, kernel-unsupported kommer att fixa det.

När allt detta är fyrkant bort, köra följande kommandon för att ställa in bron:

# ifconfig eth0 0.0.0.0 ner
# ifconfig eth1 0.0.0.0 ner
# brctl addbr br0
# brctl addif br0 eth0
# brctl addif br0 eth1
# brctl stp br0 off
# ifconfig br0 192.168.1.5
# ifconfig eth0 upp
# ifconfig eth1 upp

Detta kan se ut mystiska, men det är inte så illa: första två nätverkskorten måste stängas och deras IP-adresser tas bort. Sedan bron skapas på br0, de två gränssnitt läggs till bron, och bron är igång med IP-adressen 192.168.1.5. "brctl stp br0 off" stänger av Spanning Tree protocol, som inte krävs när det finns bara en enda bro.

Visa din bro konfiguration:

# brctl Visa

Du behöver inte använda bryggning; Du kan använda routning i stället, eller någon typ av exotiska nätverk du önskar.

Du har nu en real-live trådlös åtkomstpunkt och trådlösa klienter bör kunna få tillgång till trådbundet LAN. Håll ögonen öppna för framtida avbetalningar på att lägga till tyngre duty säkerhet och tillgång kontroller, roaming och nätverksövervakning med Kismet.

Vad sägs om wlan0
När du ser dokumentationen som hänvisar till trådlösa nätverkskort som något liknande wlan0 istället för eth0, det innebär att de använder Linux WLAN verktyg. WLAN är äldre än Wireless-tools och inte som funktionsrik; bättre att använda Wireless-tools om du kan.

----------------------------------------------------

Wicd

Du måste ta bort network-manager för att få wicd att arbeta. Kontrollera om network-manager är installerad och om, efter att du installerat drivrutinen, fungerar ditt trådlösa redan i meddelandefältet för din desktop manager. Du kan redan vara bra att gå.

wicd (Trådlösa gränssnittet anslutning Daemon) är ett lätt alternativ till NetworkManager. Det är miljö-oberoende, vilket gör den lämplig för alla skrivbordsmiljöer, inklusive GNOME, Xfce och LXDE, Fluxbox. Som NetworkManager konfigureras wicd via ett grafiskt gränssnitt. Din trådlösa gränssnittet bör inte refereras i Debians/Interfaces fil.

1. Uppdatera listan över tillgängliga paket och installera paketet wicd :

   $ su
   # aptitude update
   # aptitude install wicd

2. Ändra /etc/network/interfaces/Interfaces för att innehålla endast följande uppgifter:

   # Den här filen beskriver de tillgängliga nätverksgränssnitt på ditt system
   # och hur man aktiverar dem. För mer information, se interfaces(5).

   # För loopback gränssnitt
   Auto lo
   iface lo inet loopback

   Obs: som av wheezy är det bra att ha din trådlösa gränssnittet i/Interfaces (det kan även inte vara krävs, säker)

3. Om inte redan utförts, lägga till ditt vanliga användarkonto i gruppen netdev och reload-DBus:

   # adduser dittanvändarnamn netdev
   # /etc/init.d/dbus reload

4. Starta daemon för wicd:

   # /etc/init.d/wicd start

5. Börja wicd GUI med ditt vanliga användarkonto:

   # exit
   $ wicd-client - n

Se även wicd vanliga frågor.

Befalla lina

Söka efter tillgängliga nätverk och få nätverk Detaljer:

$ su
# iwlist scan

Nu redigera/Interfaces. Den nödvändig konfigurationen är mycket beroende på din specifika konfiguration. Se exemplet nedan för att få en uppfattning om hur det fungerar:

# min wifi-enhet
Auto wlan0
iface wlan0 inet dhcp
Wireless-essid [ESSID]
Trådlöst-läge [MODE]

För mer information om tillgängliga konfigurationsalternativ, se mannen gränssnitt, man trådlöst och /usr/share/doc/wireless-tools/README. Debian.

Nu kan du ta din gränssnitt upp och ner med vanliga ifup och ifdown kommandon. Om du lagt till auto wlan0 som i exemplet ovan, bringas gränssnittet automatiskt under stöveln upp.

wpa_supplicant

wpa_supplicant är en WPA -klient och IEEE 802. 1 X supplikant.

Paketet wpasupplicant ger wpa-*ifupdown alternativ för/Interfaces. Om dessa alternativ anges, började wpa_supplicant i bakgrunden när din trådlösa gränssnittet höjs och slutade då fällde.

• GNOME och KDE-användare bör inte konfigurera wpa_supplicant manuellt. Använda NetworkManager som förklaras ovan.

Innan du fortsätter, installera paketet wpasupplicant :

• $ su
  # aptitude update
  # aptitude install wpasupplicant

WPA-PSK och WPA2-PSK

Även känd som "WPA Personal" och "WPA2 Personal" respektive.

1. Begränsa behörigheterna för /etc/network/interfaces/Interfaces, att förhindra förväg delad nyckel (PSK) avslöjande:

   # chmod 0600/Interfaces

2. Öppen /etc/network/interfaces/Interfaces i en textredigerare:

   # förnuftiga-editor/Interfaces

3. Definiera lämpliga strofer för din trådlösa gränssnittet, tillsammans med SSID och PSK. Till exempel:

   Auto wlan0
   iface wlan0 inet dhcp
   WPA-ssid mynetworkname
   WPA-psk mysecretpassphrase

   "Auto" strofen tar din gränssnitt fram vid systemstart. Om du inte vill ta bort eller kommentera den här raden.

4. Spara filen och avsluta redigeraren.

5. Få din gränssnitt upp. Startar wpa_supplicant som en bakgrundsprocess.

   # ifup wlan0

Ytterligare wpa-* alternativ beskrivs inom /usr/share/doc/wpasupplicant/README.modes.gz. Detta bör också läsa om ansluter till ett nätverk som inte sänder dess SSID.

Allmänt /etc/network/interfaces/Interfaces information finns på sidan interfaces(5) mannen.

WPA-EAP

För nätverk som använder EAP-TLS, är du skyldig att upprätta en wpa_supplicant konfigurationsfil och ger klienten certifikatet. En exempel WPA2-EAP konfigurationsfil kan hittas på /usr/share/doc/wpasupplicant/examples/wpa2-eap-ccmp.conf.

När de blir tillgängliga, referera till din konfigurationsfil i/Interfaces. Till exempel:

• Auto wlan0
  iface wlan0 inet dhcp
  WPA-conf /etc/wpa_supplicant/wpa_supplicant.conf

Mer information finns på sidan wpa_supplicant.conf(5) mannen. Ett exempel på fullt kommenterade wpa_supplicant konfigurationsfil är på /usr/share/doc/wpasupplicant/README.wpa_supplicant.conf.gz.

Byta anslutningar

Att växla mellan flera olika konfigurationer:

• GNOME-användare bör använda "Menyn System > Administration > nätverk". (Obs detta inte arbete i etch)

• Konsolen användare kan

  • använda logiska gränssnitt, som

    iface wlan_home inet dhcp
    WPA-ssid mynetworkname
    WPA-psk mysecretpassphrase

    # ifup wlan0 = wlan_home

  • använda ifscheme, se exempelkonfiguration på alwayssunny.com.

  • Du kan använda guessnet(8) för att automatiskt växla profiler av din plats.

Säkerhet övervägande

1. Varje medlem i ett nätverk kan lyssna på andra medlemmars trafik (om det är en okrypterad allmän hotspot, eller ett WEP/WPA/WPA2 eller LAN). Använd SSL/TLS protokoll (HTTPS, IMAPS...) eller VPN för att skydda din personliga integritet.

2. WEP är så osäkra att det är i princip motsvarar inte använder någon kryptering alls.

3. WPA1 är inaktuell. Använda WPA2 istället.

4. Kontrollera att du använder en stark lösenordet.