====== Praktikum – WIFI ======

**Cíl cvičení**
  * Konfigurace AP v prostředí Linuxu a Cisco.
  * Konfigurace různých úrovní zabezpečení v rámci standardů 802.11.
  * Monitorování a zaznamenávání komunikace pomocí bezdrátové síťové karty.

{{:vyuka:los:lab:wifi:los_wifi_nakres_v1.1.png|}}

  - Nakonfigurujte PC1 tak, aby bylo možné se na něj připojit z internetu.
  - Na přístupovém bodu CAP (Cisco AP) vytvořte nezabezpečenou WiFi síť.
  - Pomocí stanice PC3 se připojte na přístupový bod CAP.
  - Na stanici PC1 spusťte zachytávání WiFi provozu a analyzujte záznam komunikace mezi CAP a PC3.
  - Zapněte zabezpečení kominkace na přístupovém bodě CAP na WEP.
  - Na stanici PC1 spusťte zachytávání WiFi provozu a analyzujte záznam komunikace mezi CAP a PC3.
  - Na přístupovém bodě PC2 vytvořte síť zabezpečenou pomocí WPA2-personal.
  - Pomocí stanice PC4 se připojte na přístupový bod PC2.
  - Na stanici PC1 spusťte zachytávání WiFi provozu a analyzujte záznam komunikace mezi PC2 a PC4.

===== Přístup k laboratorní úloze =====
^ ID v obrázku  ^ Skutečný název ^ Přístupový bod ^ Příkaz k připojení ^
| PC 1 | node-5 | dsnlab1 | ''minicom S5'' |
| PC 2 | node-6 | dsnlab1 | ''minicom S6'' |
| PC 3 | node-7 | dsnlab1 | ''minicom S7'' |
| PC 4 | node-8 | 147.32.81.177 | ''minicom S8'' |
| CAP  | AP     | dsnlab1 | ''minicom S11'' |

Pomocí ''ssh'' se připojte k přístupovému bodu. Na ''dsnlab1'' a ''147.32.81.177'' se přihlašujte pomocí uživatelského jména ''dsy'' a hesla ''NoD123''. Stejné jméno i heslo je nastaveno na všech PC, stejným heslem získáte na daném PC i rootovská práva.

===== Pokyny =====
**Upozornění!!!!**
  * Pracoviště je umístěno za směrovačem s implementovaným překladem adres (NAT) a paketovým filtrem. Překlad adres překládá adresy ze sítě ''147.32.83.0/24'' na adresy sítě ''172.31.81.0/24'' v obou směrech. Paketový filtr propouští vše ze sítě ''172.31.81.0/24'' (směrem do internetu). Překládané adresy jsou uvedeny v tabulce:

^Vnější adresa^Vnitřní adresa^
|147.32.81.144|172.31.81.80|
|147.32.81.145|172.31.81.81|

  * Směrem ze sítě ''147.32.81.0/24'' (směrem z internetu) propouští pouze icmp echo, tcp 22 a tcp 80 (ping, ssh, www).
  * Vnitřní adresa tohoto směrovače (tedy default gateway) je ''172.31.81.254''.
  * Před započetím samotné práce **restartujte** všechna použitá zařízení (bez uložení konfigurace) - příkazy ''reboot'' a ''reload''.

===== Cisco AP =====

Po zapnutí AP (Cisco 1320) odešlete z ovládacího terminálu znak CR (Enter), přepínač se na konzoli (terminálu nebo jeho emulátoru) ohlásí a (po zadání jména a hesla) přechází do příkazového módu s promptem

<file>
ap>
</file>

Pro vstup do privilegovaného režimu je třeba zadat příkaz ''enable'' a heslo (Cisco). Výsledkem je prompt:

<file>
ap#
</file>

Příkazový jazyk má kontextovou nápovědu, po stisknutí klávesy ''?'' nebo příkazu ''help'' dostaneme nabídku možných pokračování příkazu (při uvedení ''?'' nebo ''help'' na začátku řádky získáme seznam příkazů). Klávesou ''Tab'' si lze vyžádat doplnění jednoznačně určeného pokračování příkazu. 

Při konfiguraci AP máme na výběr mezi řádkovými příkazy a WWW rozhraním. 

Pro zpřístupnění AP prostřednictvím WWW rozhraní je třeba nastavit FastEthernet rozhraní a parametry TCP/IP stacku.

Do konfiguračního režimu přejděte zadáním:

<file>
ap# configure terminal
</file>

IP adresa se může nastavit pro virtuální rozhraní:

<file>
ap(config)#interface bvi 1
</file>

IP adresu nastavíte příkazem:

<file>
ap(config-if)#ip address 172.31.81.80 255.255.255.0
</file>

Adresu brány pak (v módu konfigurace):

<file>
ap(config)#ip default-gateway 172.31.81.254
</file>

FastEthernetové rozhraní je defaultně zapnuto, případné zapnutí provedete příkazy:

<file>
ap(config)#interface FastEthernet 0
ap(config-if)#no shutdown
</file>

Nastavení globálního ssid a otevřené autentizace:
<file>
ap(config)#dot11 ssid tsunami
ap(config-ssid)#authentication open
ap(config-ssid)#exit
</file>

Radiové rozhraní je defaultně zapnuto, případné zapnutí provedete příkazy:

<file>
ap(config)#interface dot11Radio 0
ap(config-if)#no shutdown
</file>

Přiřazení rozhraní k globálnímu ssid:

<file>
ap(config-if)#ssid tsunami
</file>

Pro radiové rozhraní je potřeba nastavit jeho roli:

<file>
ap(config-if)#station-role root
</file>

Dále je možné nastavit povolené rychlosti a výkony. Tyto hodnoty můžete ponechat v defaultním nastavení.

Důležité nastavení je číslo použitého kanálu (zadává se číslem kanálu, nebo hodnotou frekvence - viz [[http://www.moonblinkwifi.com/misc_images/80211-frequency-channel-map.JPG|rozvržení kanálů]]):

<file>
ap(config-if)#channel 3
</file>

Případně je možné nechat AP zvolit vhodný kanál automaticky:

<file>
ap(config-if)#channel least-congested
</file>

Nyní si pusťte kismet na PC1, a odchytejte si bezdrátovou komunikaci z PC3.

Nastavení WEP klíče:

<file>
ap(config-if)#encryption key 1 size 128bit 0 12345678901234567890123456
</file>

Zapnutí WEP:

<file>
ap(config-if)#encryption mode wep mandatory
</file>

Nastavení způsobu autentizace na shared (AP pošle nešifrovanou výzvu, klient odpoví zašifrovanou výzvou, AP zkontroluje, že klient zašifroval správně, tudíž že má správný klíč. Bezdrátový útočník odchytí jak nešifrovanou tak zašifrovanou výzvu a získá klíč, proto je tato metoda považována za méně bezpečnou nez authentication open):

<file>
ap(config)#dot11 ssid tsunami
ap(config-ssid)#authentication shared
</file>

===== Konfigurace počítače =====
/*
**Pozn.:**
V případě použití záložního node-7 se používá utilita ''iwconfig''. Dále je potřeba dát si pozor na výběr kanálu - použitá síťovka dodržuje normy z USA - je nutno použít kanály 1-11 (viz [[http://www.moonblinkwifi.com/misc_images/80211-frequency-channel-map.JPG|rozvržení kanálů]]). Příkazy pak vypadají zhruba následovně:
*/

Při základní konfiguraci stanic (**PC1**, **PC2**, **PC3**, **PC4**), se řiďte materiály pro cvičení X36PKO Praktikum - směrování [[vyuka:psi:cviceni:prikazy-linux|Linux]]/[[vyuka:psi:cviceni:prikazy-cisco|Cisco]]. Nezapomeňte na nastavení směrovacích tabulek, povolení předávání paketů a nastavení překladu adres, tam kde to bude potřeba. 

==== Konfigurace WEP ====
Následujících pár příkazů demostruje jak nastavit klienta sítě WEP z příkazové řádky.
<code bash>
iwlist eth1 scanning
iwconfig eth1 mode Managed
iwconfig eth1 channel 5
iwconfig eth1 essid tsunami
iwconfig eth1 key 12345678901234567890123456
</code>

===== Konfigurace linux AP =====
Pro zprovoznění stanice s linuxem jako AP je potřeba obslužný daemon. Mezi nejpoužívanější patří ''hostapd'' (http://wireless.kernel.org/en/users/Documentation/hostapd). V rámci konfigurace musíte specifikovat několik základních věcí.
  * Ovladač síťové karty.
  * Konfiguraci fyzické vrstvy (kanál, MAC ACL, ...).
  * Konfiguraci zabezpečení.

==== Základní konfigurace ====
Prvím krokem bývá test pomocí základního nastavení. Následující konfigurační soubor uložte do souboru ''hostapd-minimal.conf''.
<code>
interface=wlan0
driver=nl80211
ssid=test
channel=1
</code>
Následně jej zkuste spustit pomocí příkazu: <code>$ sudo hostapd ./hostapd-minimal.conf</code> Pokud příkaz projde a spustí se daemon, máte funkční základní konfiguraci pro nešifrovanou sít na kanálu č. 1.

==== Pokročilá konfigurace ====
Následující ukázka konfiguračního souboru nastaví síť na kanále č.6 standardu IEEE 802.11b se zabezpečením WPA2:
<code>
interface=wlan0
driver=nl80211
logger_syslog=-1
logger_syslog_level=2
logger_stdout=-1
logger_stdout_level=2
debug=4
channel=6
hw_mode=g
macaddr_acl=0
auth_algs=3
eapol_key_index_workaround=0
eap_server=0
wpa=3
ssid=LOS.test
wpa_passphrase=1234567890
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP
eapol_version=1
</code>
===== Zachytávání bezdrátové komunikace =====

Pro zachytávání bezdrátové komunikace použijeme program [[http://www.kismetwireless.net|kismet]]. Program musí být spuštěn s právy superuživatele:

<code bash>
sudo kismet
</code>

Program automaticky vyhledá dostupné bezdrátové sítě a vypíše je. Pro možnost práce s jednotlivými sítěmi je potřeba zapnout jiné řazení než autofit (''s-s'').

Nápovědu k programu získáte po stisku klávesy ''h''. Kismet ukládá komunikaci do souboru ''*.dump'' do adresáře ''/var/log/kismet''. Tyto soubory je možné analyzovat pomocí programů ''tcpdump'' a ''ethereal''. Stahnout si je můžete například pomocí programu winscp.

"Pěkné" pakety je možno zajistit například po přihlášení z PC3/PC4 telnetem na towel.blinkenlights.nl port 23 (telnet 94.142.241.111 23), pozor na ukončovací escape sekvenci pro příkaz telnet ''Ctrl+]'' (a poté ''q'' pro ukončení telnetu). Zachycene pakety vašich kolegů si můžete případně prohlédnout {{vyuka:cviceni:x36los:wifi.zip|zde}}.

===== Ověření činnosti =====
Správné nastavení prvků sítě si ověříte příkazem ''ping''. Možnosti správy a získávání informací o provozu AP prostřednictvím rozhraní WWW si ověříme přihlášením se (prohlížečem WWW) na IP adresu AP.

===== Návrat do původního stavu =====

Po zkontrolování práce cvičícím dostaňte zařízení do původního stavu, switch příkazem ''reload'', linuxy ''reboot''.

===== Materiály =====
  * [[http://wirelessdefence.org/Contents/LinuxWirelessCommands.htm]]


{{ :vyuka:psi:cviceni:publicita.jpg?nolink |Podpořeno z projektu OPPA}}