Differences

This shows you the differences between two versions of the page.

--- vyuka:los:lab:wifi [2013/09/12 11:27] – vytvořeno ihi
+++ vyuka:los:lab:wifi [2013/09/12 14:52] (current) – [Konfigurace počítače] ihi
@@ Line 1: / Line 1: @@
-====== Praktikum - VLAN ======
+====== Praktikum – WIFI ======
-**Cíl cvičení**:
+**Cíl cvičení**
-  * Konfigurace VLAN na přepínači, serveru i na koncových stanicích.
+  * Konfigurace AP v prostředí Linuxu a Cisco.
-  * Konfigurarace slučování ethernetových spojů na L2 (bonding).
+  * Konfigurace různých úrovní zabezpečení v rámci standardů 802.11.
-  * Konfigurace různých typů VPN (L2TP, IPSec, OpenVPN).
+  * Monitorování a zaznamenávání komunikace pomocí bezdrátové síťové karty.
+{{:vyuka:los:lab:wifi:los_wifi_nakres_v1.1.png|}}
-{{:vyuka:los:lab:vlan:los_vlan_nakres_v1.1.png|}}
+  - Nakonfigurujte PC1 tak, aby bylo možné se na něj připojit z internetu.
+  - Na přístupovém bodu CAP (Cisco AP) vytvořte nezabezpečenou WiFi síť.
-  * stanice **PC1**, **PC2** a **PC4** představují klienty na vnitřních sítích
+  - Pomocí stanice PC3 se připojte na přístupový bod CAP.
-  * stanice **PC3** a směrovač **R1** představují brány těchto sítí
+  - Na stanici PC1 spusťte zachytávání WiFi provozu a analyzujte záznam komunikace mezi CAP a PC3.
-  * stanice **R0** představuje router mezi sítěmi a zároveň přístupový bod do internetu
+  - Zapněte zabezpečení kominkace na přístupovém bodě CAP na WEP.
-  - Staticky propojte směrovače R0, R1 a PC3, tak aby každý z nich měl přístup do internetu.
+  - Na stanici PC1 spusťte zachytávání WiFi provozu a analyzujte záznam komunikace mezi CAP a PC3.
-  - Vytvořte VLAN a propojte jí směrovač PC3 a stanici PC1.
+  - Na přístupovém bodě PC2 vytvořte síť zabezpečenou pomocí WPA2-personal.
-  - Vytvořte další VLAN a propojte jí směrovač PC3 a stanici PC2.
+  - Pomocí stanice PC4 se připojte na přístupový bod PC2.
-  - Otestujte připojení do internetu a vzájemnou komunikaci u stanic PC1 a PC2.
+  - Na stanici PC1 spusťte zachytávání WiFi provozu a analyzujte záznam komunikace mezi PC2 a PC4.
-  - Propojte stanici PC4 a směrovač pomocí 2 ethernetových spojů v režimu navýšení rychlosti.
-  - Ověřte vzájemnou komunikaci a přístup do internetu u všech stanic (PC1, PC2 a PC4).
-  - Vytvořte VPN (L2TP nebo IPSec) spoj mezi směrovačem PC3 a R1 a přeměrujte do něj veškerý provoz mezi stanicemi PC1 a PC4.
-  - Vytvořte VPN (OpenVPN) spoj mezi stanicemi PC2 a PC4 a přesměrujte do něj provoz mezi těmito stanicemi.
 ===== Přístup k laboratorní úloze =====
 ^ ID v obrázku  ^ Skutečný název ^ Přístupový bod ^ Příkaz k připojení ^
-| PC 1      | node-1 | dsnlab1 | ''minicom S1'' |
+| PC 1 | node-5 | dsnlab1 | ''minicom S5'' |
-| PC 2      | node-2 | dsnlab1 | ''minicom S2'' |
+| PC 2 | node-6 | dsnlab1 | ''minicom S6'' |
-| PC 3      | node-3 | dsnlab1 | ''minicom S3'' |
+| PC 3 | node-7 | dsnlab1 | ''minicom S7'' |
-| PC 4      | node-4 | 147.32.81.177 | ''minicom S4'' |
+| PC 4 | node-8 | 147.32.81.177 | ''minicom S8'' |
-| R0        | router | sunray1 | ''telnet ts1 2011'' |
+| CAP  | AP     | dsnlab1 | ''minicom S11'' |
-| R1        | router | sunray1 | ''telnet ts1 2012'' |
-| HP switch | switch | dsnlab1 | ''minicom S10'' |
 Pomocí ''ssh'' se připojte k přístupovému bodu. Na ''dsnlab1'' a ''147.32.81.177'' se přihlašujte pomocí uživatelského jména ''dsy'' a hesla ''NoD123''. Stejné jméno i heslo je nastaveno na všech PC, stejným heslem získáte na daném PC i rootovská práva.
@@ Line 35: / Line 30: @@
 ===== Pokyny =====
 **Upozornění!!!!**
-  * Pracoviště je umístěno za směrovačem s implementovaným překladem adres (NAT) a paketovým filtrem. Překlad adres překládá adresy ze sítě ''147.32.83.0/24'' na adresy sítě ''172.31.82.0/24'' v obou směrech. Překládané adresy jsou uvedeny v tabulce:
+  * Pracoviště je umístěno za směrovačem s implementovaným překladem adres (NAT) a paketovým filtrem. Překlad adres překládá adresy ze sítě ''147.32.83.0/24'' na adresy sítě ''172.31.81.0/24'' v obou směrech. Paketový filtr propouští vše ze sítě ''172.31.81.0/24'' (směrem do internetu). Překládané adresy jsou uvedeny v tabulce:
 ^Vnější adresa^Vnitřní adresa^
-|147.32.81.150|172.31.82.86|
+|147.32.81.144|172.31.81.80|
-|147.32.81.151|172.31.82.87|
+|147.32.81.145|172.31.81.81|
-  * Paketový filtr propouští vše ze sítě ''172.31.82.0/24'' (směrem do internetu). Směrem ze sítě ''147.32.81.0/24'' (směrem z internetu) propouští pouze icmp echo, tcp 22 a tcp 80 (ping, ssh, www).
+  * Směrem ze sítě ''147.32.81.0/24'' (směrem z internetu) propouští pouze icmp echo, tcp 22 a tcp 80 (ping, ssh, www).
-  * Vnitřní adresa tohoto směrovače (tedy default gateway) je ''172.31.82.254''.
+  * Vnitřní adresa tohoto směrovače (tedy default gateway) je ''172.31.81.254''.
   * Před započetím samotné práce **restartujte** všechna použitá zařízení (bez uložení konfigurace) - příkazy ''reboot'' a ''reload''.
-===== HP switch =====
+===== Cisco AP =====
-==== Start přepínače ====
-Po zapnutí přepínače odešlete z ovládacího terminálu znak CR (Enter), přepínač se na konzoli (terminálu nebo jeho emulátoru) ohlásí a po stisknutí libovolné klávesy terminálu přechází do příkazového módu s promptem
+Po zapnutí AP (Cisco 1320) odešlete z ovládacího terminálu znak CR (Enter), přepínač se na konzoli (terminálu nebo jeho emulátoru) ohlásí a (po zadání jména a hesla) přechází do příkazového módu s promptem
 <file>
-HP ProCurve Switch 2512#
+ap>
+</file>
+Pro vstup do privilegovaného režimu je třeba zadat příkaz ''enable'' a heslo (Cisco). Výsledkem je prompt:
+<file>
+ap#
 </file>
 Příkazový jazyk má kontextovou nápovědu, po stisknutí klávesy ''?'' nebo příkazu ''help'' dostaneme nabídku možných pokračování příkazu (při uvedení ''?'' nebo ''help'' na začátku řádky získáme seznam příkazů). Klávesou ''Tab'' si lze vyžádat doplnění jednoznačně určeného pokračování příkazu.
-Při konfiguraci přepínače máme na výběr mezi řádkovými příkazy, obrazovkově orientovaným menu editorem, nebo WWW rozhraním.
+Při konfiguraci AP máme na výběr mezi řádkovými příkazy a WWW rozhraním.
-Základní nastavení přepínače, které zpřístupní přepínač prostřednictvím WWW rozhraní umožňuje příkaz ''setup'' na který reaguje přepínač zobrazením konfiguračního menu
+Pro zpřístupnění AP prostřednictvím WWW rozhraní je třeba nastavit FastEthernet rozhraní a parametry TCP/IP stacku.
+Do konfiguračního režimu přejděte zadáním:
 <file>
-HP ProCurve Switch 2512                                    26-Oct-2002  10:13:11
+ap# configure terminal
-==========================- CONSOLE - MANAGER MODE -============================
+</file>
-                                  Switch Setup
-  System Name : HP ProCurve Switch 2512
-  System Contact :
-  Manager Password :                    Confirm Password :
-  Logon Default : CLI                   Time Zone :
-  Community Name : public               Spanning Tree Enabled [No] : No
-  Default Gateway :
+IP adresa se může nastavit pro virtuální rozhraní:
-  TimeP Config [DHCP] : DHCP
-  IP Config [DHCP/Bootp] : DHCP/Bootp
+<file>
-  IP Address :
+ap(config)#interface bvi 1
-  Subnet Mask :
 </file>
-V konfiguračním menu lze zadat jméno přepínače, heslo zajišťující zabezpečený přístup,implicitní režim konfigurace a a jméno SNMP komunity. Další parametry dovolí specifikovat IP adresu a masku přepínače (případně parametry pro dynamickou IP konfiguraci DHCP protokolem).
+IP adresu nastavíte příkazem:
-==== Konfigurace VLAN ====
+<file>
+ap(config-if)#ip address 172.31.81.80 255.255.255.0
+</file>
-Do konfiguračního kontextu se dostanete příkazem:
+Adresu brány pak (v módu konfigurace):
 <file>
-HP2512#configure terminal
+ap(config)#ip default-gateway 172.31.81.254
 </file>
-Počáteční konfigurace přepínače zahrnuje virtuální síť se jménem ''DEFAULT_VLAN'' a dovoluje nastavit až osm virtuálních sítí. Další virtuální síť (do určeného počtu osmi) vytvoříme příkazem
+FastEthernetové rozhraní je defaultně zapnuto, případné zapnutí provedete příkazy:
 <file>
- vlan <vlan-ID> [name <vlan-name>]
+ap(config)#interface FastEthernet 0
+ap(config-if)#no shutdown
 </file>
-tedy například příkaz
+Nastavení globálního ssid a otevřené autentizace:
+<file>
+ap(config)#dot11 ssid tsunami
+ap(config-ssid)#authentication open
+ap(config-ssid)#exit
+</file>
+Radiové rozhraní je defaultně zapnuto, případné zapnutí provedete příkazy:
 <file>
-HP2512(config)# vlan 2 name vlan_a
+ap(config)#interface dot11Radio 0
+ap(config-if)#no shutdown
 </file>
-vytvoří virtuální síť potřebnou pro naši konfiguraci s VLAN ID 2. Pro výběr portů konkrétní virtuální sítě se musíme do dané sítě přepnout a definovat, které porty k této síti přísluší. Například pro připojení portů 2 a 3 do VLAN 2 v netagovaném módu použijeme tento příkaz:
+Přiřazení rozhraní k globálnímu ssid:
 <file>
-HP2512(config)# vlan 2 untagged 2,3
+ap(config-if)#ssid tsunami
 </file>
-Příkaz ''show vlan'' nám sdělí, jaké virtuální LAN přepínač vytváří. Pro naši konfiguraci bychom měli dostat následující údaje:
+Pro radiové rozhraní je potřeba nastavit jeho roli:
 <file>
-HP2512(config)# show vlan
+ap(config-if)#station-role root
-Status and Counters - VLAN Information
+</file>
-    VLAN Support : Yes
-    Maximum VLANs to support : 8
-    Primary VLAN : DEFAULT_VLAN
-.1Q VLAN ID Name          Status
+Dále je možné nastavit povolené rychlosti a výkony. Tyto hodnoty můžete ponechat v defaultním nastavení.
-    -------------- ------------- -------------
-              DEFAULT_VLAN  Static
+Důležité nastavení je číslo použitého kanálu (zadává se číslem kanálu, nebo hodnotou frekvence - viz [[http://www.moonblinkwifi.com/misc_images/80211-frequency-channel-map.JPG|rozvržení kanálů]]):
-              VLAN_A        Static
+<file>
+ap(config-if)#channel 3
 </file>
-Informaci o portech příslušných konkrétní virtuální síti zjistíme příkazem show vlan <vlan-ID>
+Případně je možné nechat AP zvolit vhodný kanál automaticky:
 <file>
-HP2512(config)# show vlan 2
+ap(config-if)#channel least-congested
-Status and Counters - VLAN Information
-.1 VLAN ID : 2
-    Name          : VLAN_A
-    Status        : Static
-    Port Information Mode     Unknown VLAN Status
-    ---------------- -------- ------------ ----------
-                Untagged Learn        Up
-                Untagged Learn        Up
 </file>
-===== Konfigurace směrovačů =====
+Nyní si pusťte kismet na PC1, a odchytejte si bezdrátovou komunikaci z PC3.
-Při konfiguraci směrovačů (**PC3**, **R0**, **R1**), které propojují virtuální sítě, se řiďte materiály pro cvičení X36PKO Praktikum - směrování Linux/Cisco. Nezapomeňte na nastavení směrovacích tabulek, povolení předávání paketů a nastavení překladu adres.
+Nastavení WEP klíče:
-==== Konfigurace VLAN ====
+<file>
-Pod linuxem slouží pro práci s VLAN příkaz ''vconfig''.
+ap(config-if)#encryption key 1 size 128bit 0 12345678901234567890123456
+</file>
-Př:
+Zapnutí WEP:
-  * vytvoření virtuálního interface s VLAN 10 na interface eth0 a následná aktivace tohoto interface
-<code>
+<file>
-vconfig add eth0 10
+ap(config-if)#encryption mode wep mandatory
-ifconfig eth0.10 up
+</file>
+Nastavení způsobu autentizace na shared (AP pošle nešifrovanou výzvu, klient odpoví zašifrovanou výzvou, AP zkontroluje, že klient zašifroval správně, tudíž že má správný klíč. Bezdrátový útočník odchytí jak nešifrovanou tak zašifrovanou výzvu a získá klíč, proto je tato metoda považována za méně bezpečnou nez authentication open):
+<file>
+ap(config)#dot11 ssid tsunami
+ap(config-ssid)#authentication shared
+</file>
+===== Konfigurace počítače =====
+/*
+**Pozn.:**
+V případě použití záložního node-7 se používá utilita ''iwconfig''. Dále je potřeba dát si pozor na výběr kanálu - použitá síťovka dodržuje normy z USA - je nutno použít kanály 1-11 (viz [[http://www.moonblinkwifi.com/misc_images/80211-frequency-channel-map.JPG|rozvržení kanálů]]). Příkazy pak vypadají zhruba následovně:
+*/
+Při základní konfiguraci stanic (**PC1**, **PC2**, **PC3**, **PC4**), se řiďte materiály pro cvičení X36PKO Praktikum - směrování [[vyuka:psi:cviceni:prikazy-linux|Linux]]/[[vyuka:psi:cviceni:prikazy-cisco|Cisco]]. Nezapomeňte na nastavení směrovacích tabulek, povolení předávání paketů a nastavení překladu adres, tam kde to bude potřeba.
+==== Konfigurace WEP ====
+Následujících pár příkazů demostruje jak nastavit klienta sítě WEP z příkazové řádky.
+<code bash>
+iwlist eth1 scanning
+iwconfig eth1 mode Managed
+iwconfig eth1 channel 5
+iwconfig eth1 essid tsunami
+iwconfig eth1 key 12345678901234567890123456
 </code>
-  * zjištění informací o interface
+===== Konfigurace linux AP =====
+Pro zprovoznění stanice s linuxem jako AP je potřeba obslužný daemon. Mezi nejpoužívanější patří ''hostapd'' (http://wireless.kernel.org/en/users/Documentation/hostapd). V rámci konfigurace musíte specifikovat několik základních věcí.
+  * Ovladač síťové karty.
+  * Konfiguraci fyzické vrstvy (kanál, MAC ACL, ...).
+  * Konfiguraci zabezpečení.
+==== Základní konfigurace ====
+Prvím krokem bývá test pomocí základního nastavení. Následující konfigurační soubor uložte do souboru ''hostapd-minimal.conf''.
 <code>
-ifconfig ...
+interface=wlan0
-cat /proc/net/vlan/eth0.10
+driver=nl80211
+ssid=test
+channel=1
 </code>
+Následně jej zkuste spustit pomocí příkazu: <code>$ sudo hostapd ./hostapd-minimal.conf</code> Pokud příkaz projde a spustí se daemon, máte funkční základní konfiguraci pro nešifrovanou sít na kanálu č. 1.
-  * odstranění virtuálního VLAN interface
+==== Pokročilá konfigurace ====
+Následující ukázka konfiguračního souboru nastaví síť na kanále č.6 standardu IEEE 802.11b se zabezpečením WPA2:
 <code>
-ifconfig eth0.10 down
+interface=wlan0
-vconfig rem eth0.10
+driver=nl80211
+logger_syslog=-1
+logger_syslog_level=2
+logger_stdout=-1
+logger_stdout_level=2
+debug=4
+channel=6
+hw_mode=g
+macaddr_acl=0
+auth_algs=3
+eapol_key_index_workaround=0
+eap_server=0
+wpa=3
+ssid=LOS.test
+wpa_passphrase=1234567890
+wpa_key_mgmt=WPA-PSK
+wpa_pairwise=TKIP
+rsn_pairwise=CCMP
+eapol_version=1
 </code>
+===== Zachytávání bezdrátové komunikace =====
+Pro zachytávání bezdrátové komunikace použijeme program [[http://www.kismetwireless.net|kismet]]. Program musí být spuštěn s právy superuživatele:
+<code bash>
+sudo kismet
+</code>
+Program automaticky vyhledá dostupné bezdrátové sítě a vypíše je. Pro možnost práce s jednotlivými sítěmi je potřeba zapnout jiné řazení než autofit (''s-s'').
+Nápovědu k programu získáte po stisku klávesy ''h''. Kismet ukládá komunikaci do souboru ''*.dump'' do adresáře ''/var/log/kismet''. Tyto soubory je možné analyzovat pomocí programů ''tcpdump'' a ''ethereal''. Stahnout si je můžete například pomocí programu winscp.
+"Pěkné" pakety je možno zajistit například po přihlášení z PC3/PC4 telnetem na towel.blinkenlights.nl port 23 (telnet 94.142.241.111 23), pozor na ukončovací escape sekvenci pro příkaz telnet ''Ctrl+]'' (a poté ''q'' pro ukončení telnetu). Zachycene pakety vašich kolegů si můžete případně prohlédnout {{vyuka:cviceni:x36los:wifi.zip|zde}}.
 ===== Ověření činnosti =====
-Správné nastavení prvků sítě si ověříte příkazy ''ping'' a ''telnet'' vydaných pro stroje **PC1** a **PC4**. Možnosti správy a získávání informací o provozu virtuálních sítí prostřednictvím rozhraní WWW si ověříme přihlášením se (prohlížečem WWW) na IP adresu přepínače HP ProCurve 2512.
+Správné nastavení prvků sítě si ověříte příkazem ''ping''. Možnosti správy a získávání informací o provozu AP prostřednictvím rozhraní WWW si ověříme přihlášením se (prohlížečem WWW) na IP adresu AP.
 ===== Návrat do původního stavu =====
-Po zkontrolování práce cvičícím dostaňte zařízení do původního stavu (neukládat konfiguraci), switch příkazem ''reload'', linuxy ''reboot''.
+Po zkontrolování práce cvičícím dostaňte zařízení do původního stavu, switch příkazem ''reload'', linuxy ''reboot''.
+===== Materiály =====
+  * [[http://wirelessdefence.org/Contents/LinuxWirelessCommands.htm]]
 {{ :vyuka:psi:cviceni:publicita.jpg?nolink |Podpořeno z projektu OPPA}}