Praktikum – WIFI

Cíl cvičení

• Konfigurace AP v prostředí Linuxu a Cisco.
• Konfigurace různých úrovní zabezpečení v rámci standardů 802.11.
• Monitorování a zaznamenávání komunikace pomocí bezdrátové síťové karty.

1. Nakonfigurujte PC1 tak, aby bylo možné se na něj připojit z internetu.
2. Na přístupovém bodu CAP (Cisco AP) vytvořte nezabezpečenou WiFi síť.
3. Pomocí stanice PC3 se připojte na přístupový bod CAP.
4. Na stanici PC1 spusťte zachytávání WiFi provozu a analyzujte záznam komunikace mezi CAP a PC3.
5. Zapněte zabezpečení kominkace na přístupovém bodě CAP na WEP.
6. Na stanici PC1 spusťte zachytávání WiFi provozu a analyzujte záznam komunikace mezi CAP a PC3.
7. Na přístupovém bodě PC2 vytvořte síť zabezpečenou pomocí WPA2-personal.
8. Pomocí stanice PC4 se připojte na přístupový bod PC2.
9. Na stanici PC1 spusťte zachytávání WiFi provozu a analyzujte záznam komunikace mezi PC2 a PC4.

Pomocí ssh se připojte k přístupovému bodu. Na dsnlab1 a 147.32.81.177 se přihlašujte pomocí uživatelského jména dsy a hesla NoD123. Stejné jméno i heslo je nastaveno na všech PC, stejným heslem získáte na daném PC i rootovská práva.

Upozornění!!!!

• Pracoviště je umístěno za směrovačem s implementovaným překladem adres (NAT) a paketovým filtrem. Překlad adres překládá adresy ze sítě 147.32.83.0/24 na adresy sítě 172.31.81.0/24 v obou směrech. Paketový filtr propouští vše ze sítě 172.31.81.0/24 (směrem do internetu). Překládané adresy jsou uvedeny v tabulce:

• Směrem ze sítě 147.32.81.0/24 (směrem z internetu) propouští pouze icmp echo, tcp 22 a tcp 80 (ping, ssh, www).
• Vnitřní adresa tohoto směrovače (tedy default gateway) je 172.31.81.254.
• Před započetím samotné práce restartujte všechna použitá zařízení (bez uložení konfigurace) - příkazy reboot a reload.

Po zapnutí AP (Cisco 1320) odešlete z ovládacího terminálu znak CR (Enter), přepínač se na konzoli (terminálu nebo jeho emulátoru) ohlásí a (po zadání jména a hesla) přechází do příkazového módu s promptem

ap>

Pro vstup do privilegovaného režimu je třeba zadat příkaz enable a heslo (Cisco). Výsledkem je prompt:

ap#

Příkazový jazyk má kontextovou nápovědu, po stisknutí klávesy ? nebo příkazu help dostaneme nabídku možných pokračování příkazu (při uvedení ? nebo help na začátku řádky získáme seznam příkazů). Klávesou Tab si lze vyžádat doplnění jednoznačně určeného pokračování příkazu.

Při konfiguraci AP máme na výběr mezi řádkovými příkazy a WWW rozhraním.

Pro zpřístupnění AP prostřednictvím WWW rozhraní je třeba nastavit FastEthernet rozhraní a parametry TCP/IP stacku.

Do konfiguračního režimu přejděte zadáním:

ap# configure terminal

IP adresa se může nastavit pro virtuální rozhraní:

ap(config)#interface bvi 1

IP adresu nastavíte příkazem:

ap(config-if)#ip address 172.31.81.80 255.255.255.0

Adresu brány pak (v módu konfigurace):

ap(config)#ip default-gateway 172.31.81.254

FastEthernetové rozhraní je defaultně zapnuto, případné zapnutí provedete příkazy:

ap(config)#interface FastEthernet 0
ap(config-if)#no shutdown

Nastavení globálního ssid a otevřené autentizace:

ap(config)#dot11 ssid tsunami
ap(config-ssid)#authentication open
ap(config-ssid)#exit

Radiové rozhraní je defaultně zapnuto, případné zapnutí provedete příkazy:

ap(config)#interface dot11Radio 0
ap(config-if)#no shutdown

Přiřazení rozhraní k globálnímu ssid:

ap(config-if)#ssid tsunami

Pro radiové rozhraní je potřeba nastavit jeho roli:

ap(config-if)#station-role root

Dále je možné nastavit povolené rychlosti a výkony. Tyto hodnoty můžete ponechat v defaultním nastavení.

Důležité nastavení je číslo použitého kanálu (zadává se číslem kanálu, nebo hodnotou frekvence - viz rozvržení kanálů):

ap(config-if)#channel 3

Případně je možné nechat AP zvolit vhodný kanál automaticky:

ap(config-if)#channel least-congested

Nyní si pusťte kismet na PC1, a odchytejte si bezdrátovou komunikaci z PC3.

Nastavení WEP klíče:

ap(config-if)#encryption key 1 size 128bit 0 12345678901234567890123456

Zapnutí WEP:

ap(config-if)#encryption mode wep mandatory

Nastavení způsobu autentizace na shared (AP pošle nešifrovanou výzvu, klient odpoví zašifrovanou výzvou, AP zkontroluje, že klient zašifroval správně, tudíž že má správný klíč. Bezdrátový útočník odchytí jak nešifrovanou tak zašifrovanou výzvu a získá klíč, proto je tato metoda považována za méně bezpečnou nez authentication open):

ap(config)#dot11 ssid tsunami
ap(config-ssid)#authentication shared

/* Pozn.: V případě použití záložního node-7 se používá utilita iwconfig. Dále je potřeba dát si pozor na výběr kanálu - použitá síťovka dodržuje normy z USA - je nutno použít kanály 1-11 (viz rozvržení kanálů). Příkazy pak vypadají zhruba následovně: */

Při základní konfiguraci stanic (PC1, PC2, PC3, PC4), se řiďte materiály pro cvičení X36PKO Praktikum - směrování Linux/Cisco. Nezapomeňte na nastavení směrovacích tabulek, povolení předávání paketů a nastavení překladu adres, tam kde to bude potřeba.

Následujících pár příkazů demostruje jak nastavit klienta sítě WEP z příkazové řádky.

iwlist eth1 scanning
iwconfig eth1 mode Managed
iwconfig eth1 channel 5
iwconfig eth1 essid tsunami
iwconfig eth1 key 12345678901234567890123456

Pro zprovoznění stanice s linuxem jako AP je potřeba obslužný daemon. Mezi nejpoužívanější patří hostapd (http://wireless.kernel.org/en/users/Documentation/hostapd). V rámci konfigurace musíte specifikovat několik základních věcí.

• Ovladač síťové karty.
• Konfiguraci fyzické vrstvy (kanál, MAC ACL, …).
• Konfiguraci zabezpečení.

Prvím krokem bývá test pomocí základního nastavení. Následující konfigurační soubor uložte do souboru hostapd-minimal.conf.

interface=wlan0
driver=nl80211
ssid=test
channel=1

Následně jej zkuste spustit pomocí příkazu:

$ sudo hostapd ./hostapd-minimal.conf

Pokud příkaz projde a spustí se daemon, máte funkční základní konfiguraci pro nešifrovanou sít na kanálu č. 1.

Následující ukázka konfiguračního souboru nastaví síť na kanále č.6 standardu IEEE 802.11b se zabezpečením WPA2:

interface=wlan0
driver=nl80211
logger_syslog=-1
logger_syslog_level=2
logger_stdout=-1
logger_stdout_level=2
debug=4
channel=6
hw_mode=g
macaddr_acl=0
auth_algs=3
eapol_key_index_workaround=0
eap_server=0
wpa=3
ssid=LOS.test
wpa_passphrase=1234567890
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP
eapol_version=1

Pro zachytávání bezdrátové komunikace použijeme program kismet. Program musí být spuštěn s právy superuživatele:

sudo kismet

Program automaticky vyhledá dostupné bezdrátové sítě a vypíše je. Pro možnost práce s jednotlivými sítěmi je potřeba zapnout jiné řazení než autofit (s-s).

Nápovědu k programu získáte po stisku klávesy h. Kismet ukládá komunikaci do souboru *.dump do adresáře /var/log/kismet. Tyto soubory je možné analyzovat pomocí programů tcpdump a ethereal. Stahnout si je můžete například pomocí programu winscp.

“Pěkné” pakety je možno zajistit například po přihlášení z PC3/PC4 telnetem na towel.blinkenlights.nl port 23 (telnet 94.142.241.111 23), pozor na ukončovací escape sekvenci pro příkaz telnet Ctrl+] (a poté q pro ukončení telnetu). Zachycene pakety vašich kolegů si můžete případně prohlédnout zde.

Správné nastavení prvků sítě si ověříte příkazem ping. Možnosti správy a získávání informací o provozu AP prostřednictvím rozhraní WWW si ověříme přihlášením se (prohlížečem WWW) na IP adresu AP.

Po zkontrolování práce cvičícím dostaňte zařízení do původního stavu, switch příkazem reload, linuxy reboot.

• http://wirelessdefence.org/Contents/LinuxWirelessCommands.htm