Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

DSL/Cable pripojenie a zdieľanie (+wifi)

eraser (0)|12.8.2007 18:23
:rules Domáca sieť s pripojením drátových/bezdrátových klientov a zdieľaním internetu

Stručná sieťová topológia:
DSL modem -
[utp do WAN]- router -[utp káble]- 3 klienti, 1 AP -[bezdrát]- wifi klienti

Sieťový aktívny prvok, ktorý zabezpečuje pripojenie cez providera k sieti internet (ISP) môže byť ľubovolné zariadenie, napr. káblový modem, prípadne access point disponujúci ethernetovým rozhraním. Čiže nie napríklad USB only DSL modem.

Rozšírená sieťová topológia:

DSL modem/router - Microcom AD 2706
| IP: 192.168.1.253
| Mask: 255.255.255.0
| mód: transparentný bridge, tzv. modem only
| nastavenia: získané od providera (v mojom prípade T-COM)
|
router - Ovislink eLive IP-3047
| [internet port]| PPPoE (DSL dynamic Mode), inak statický/dynamický napr. pre káblovku, wifi
| IPs: v mojom prípade dynamické, získané od providera
| [local port]| IP: 192.168.1.254
| Mask: 255.255.255.0
|
----PC
| IP: 192.168.1.2
| Mask: 255.255.255.0
| Gateway: 192.168.1.254
| DNS: 192.168.1.254
|
----notebook (ethernet)
| IP: 192.168.1.1
| Mask: 255.255.255.0
| Gateway: 192.168.1.254
| DNS: 192.168.1.254
|
AP - Ovislink AirLive WL-1120AP
| Wireless Mode: AP
| IP: 192.168.1.252
| Mask: 255.255.255.0
| Gateway: 0.0.0.0 (nevyplnená, resp. žiadna)
| Encryption: WPA
~~
~~
~~~~notebook (wifi)
| IP: 192.168.1.3
| Mask: 255.255.255.0
| Gateway: 192.168.1.254
| DNS: 192.168.1.254

Z popisu topológie je iste zrejmé tzv. pevné pripojenie káblami (v prípade problémov s prepojením je niekedy nutné rozlišovať priamy a prekrížený kábel, pretože niektoré sieťové zariadenia nemusia podporovať tzv. auto-crossover - MDI/MDI-X) a následne i nastavenie TCP/IP klientov a aktívnych sieťových prvkov. Preto sa bližšie zamerám na zabezpečenie wifi siete.

V tomto príklade by sa dal samozrejme router nahradiť obyčajným switchom, pretože daný ADSL modem funguje zároveň i ako router. Samozrejmosťou je i využitie obdobného HW, pretože existujú aktívne sieťové prvky, ktoré v sebe integrujú viacero funkcií. V príklade uvádzaný DSL modem, router a AP sa dajú nahradiť jediným zariadením, napr. pomocou [odkaz, pro zobrazení se přihlaste] alebo [odkaz, pro zobrazení se přihlaste].

------

Nastavenie AP
V tomto prípade nejde o vôbec žiadne komplikované voľby. Celé nastavenie sa dá zhrnúť do týchto pár bodov:

Basic Settings
1. určenie/zadanie SSID
2. výber kanálu
3. obmedzenie počtu klientov

Advanced Settings
1. nastavenie autentifikačného módu
2. povolenie/zakázanie vysielania SSID

Security
1. voľba šifrovania
2. nastavenie kľúča/frázy
3. rozširujúce možnosti zabezpečenia

Access Control
1. zaradenie autorizovaných klientov - zoznam MAC adries


Basic Settings - 1. SSID
Service Set ID (SSID) rozlišuje jednu WLAN sieť od druhej, pričom klienti, ktorí sa chcú napojiť na AP musia poznať správny SSID, ktorý je zvyčajne tvorený 32 znakmi a mal by byť pre každú sieť unikátny. Výrobcovia používajú rozličné východzie SSID, no tie je odporúčané okamžite zmeniť.

Basic Settings - 2. Channel Number
Na výber je 13 kanálov a určenie toho pravého záleží od zahltenia pásma inými sieťami. Platí pravidlo, že čím ďalej od ostatných kanálov (najmä tie so silným signálom), tým lepšie, preto je nutné najskôr vysledovať množstvo bezdrátových sietí v okolí. Aby sa zamedzilo interferenciám, resp. rušeniam, mali by sa používať kanále 1, 6, 11, ak je použitých viacero AP, ktoré sú navzájom v dosahu. Počet je síce obmedzený, no problémy s nedostupnými kanálmi sa dajú riešiť tzv. vertikálnou alebo horizontálnou polarizáciou. Nevhodné, avšak funkčné riešenie pozostáva zosilnením výkonu, napr. viac zisková anténa pre AP - bežne sa dodávajú 2 dBm anténky.

AP zariadenia majú bežne integrovaný sken bezdrátových sietí v ich rozsahu. Ak nie, v tom prípade je nutné využiť napr. notebook s wifi adaptérom a použiť ho na mieste, na ktorom sa bude AP nachádzať a najlepšie s využitím sniffera, ktorý dokáže odhaliť i siete, ktoré majú zakázané vysielanie SSID.

Basic Settings - 3. Allowed Clients
Obmedzenie počtu súčasne pripojených klientov. Zvyčajne sa jedná o hodnotu z rozsahu 1-64, pre novšie modely dokonca 1-255. Využitie spočíva v redukcii zaťaženia AP.

Advanced Settings - 1. Authentication Type
Štandard IEEE 802.11 definuje dva typy autentifikačných metód - Open System a Shared Key, pričom ide o tzv. overenie "totožnosti". Pri Open System sa môže bezdrátový adaptér pripojiť na ľubovoľnú sieť a získať správy, ktoré nie sú šifrované. Pri Shared Key autorizácii sa pripoja len tie, ktoré vlastnia správny autentifikačný kľúč. Ide o zastaralé a rizikové metódy, takže kvôli prípadným problémom s kompatibilitou je vhodné nastaviť Open System.

Advanced Settings - 2. Broadcast SSID
SSID predstavuje najnižší stupeň ochrany v rámci komunikácie. Ak sa jeho vysielanie vypne, klient sa musí na neho dotázať, tzn. musí poznať správne SSID. V tomto prípade však v niektorých specifických prípadoch môžu nastať problémy so spojením. Ako bolo spomenuté vyššie, skryté SSID dokáže zistiť sniffer, ak klient naviaže spojenie s AP, takže v žiadnom prípade nemôže jeho deaktivovanie slúžiť ako dostatočná ochrana wifi siete.

Security - 1. Encryption
Určite by bola vhodná zmienka o WEP, avšak nemá to v dnešnej dobe zmyseľ, naviac zastaralé zariadenia, ktoré podporujú len tento spôsob šifrovania môžu byť softvérovou cestou aktualizované, aby dokázali využiť bezpečnostné mechanizmy označované skratkou WPA (WiFi Protected Access). Preto pre domáce využitie, prípadne malé siete postačuje kombinácia v podobe WPA ochrany s PSK (Pre-Shared Key) autorizáciou a šifrovaním TKIP (Temporal Key Integrity Protocol). Pre novšie zariadenia sa doporučuje WPA2 s PSK a AES šifrovaním. Práve WPA2+AES patrí k plnej implementácii štandardu 802.11i.

Security - 2. Pre-shared Key Format
Autorizácia pre siete, ktoré si nemôžu dovoliť RADIUS server pre 802.1x autorizáciu, pozostáva z hesla, ktoré je zvyčajne v dvoch možných formách - maximálne 63 ASCII znakov (504 bitov, skrátené hašovacou funkciou na 256 bitov) alebo 64 hexadecimálnych číslic (256 bitov). Jednoznačne platí pravidlo, čím je heslo viacbitové, tým je jeho možné prelomenie slovníkmi, či brutálnou silou znemožnené, resp. veľmi časovo náročné (v závislosti od výpočetnej sily a použitého šifrovania). Vhodné heslo by malo vyzerať takto (vygenerované):

[code]Jp#xfLXXmsxBuc6,wGQ&z7OlR,cbB6HUu8HOTpv5XhGG9LE\be!QkD12BdcNjts[/code]
Security - 3. Rekeying

WPA obnovuje kľúče pre odvodenie novej skupiny dočasných kľúčov. Niektoré AP podporujú určiť čas tejto aktualizácie. Východzou hodnotou je 300 sekúnd. Ide o ochranu, ktorá nedovolí potencionálnemu útočníkovi ohaliť kľúč odchytávaním sieťovej komunikácie, čo bolo veľmi slabé miesto WEP šifry a i dôvod, prečo bol WEP nahradený.

Access Control - 1. MAC list
Ide taktiež o prekonateľný kontrolný, resp. prístupový prvok v ochrane, ktorý sa dá opäť odchytiť pomocou sniffera a následne i naklonovať. Avšak aktivácia zoznamu povolených MAC adries patrí ku krokom sťažujúcim útok. Preto je doporučené, aby identifikačné číslo klientovho adaptéra bolo uložené v MAC zozname AP.

Omedzenie prístupu pomocou MAC adresy nekontroluje užívateľa, ale zariadenie, pričom nie je problém podhodiť falošnú MAC adresu, resp. zmeniť MAC adresu zariadenia.

------

Nastavenie wifi klienta
(Windows XP SP2)
Ako je uvedené, je potrebný Service Pack 2 a osobne doporučujem odinštalovať konfiguračný softvér, ktorý sa bežne dodáva s WLAN adaptérmi. Samozrejmosťou a podmienkou je správne zavedenie ovládačov bezdrátového zariadenia/adaptéru.

General
1. nastavenie TCP/IP

Wireless Networks
1. zadanie SSID
2. nastavenia kľúča a šifrovania

General - 1. TCP/IP
Nastavenie TCP/IP wifi siete pozostáva z týchto štyroch adries... IP adresa 192.168.1.1 (pre ďalší počítač 192.168.1.2, atď.), Maska 255.255.255.0, Brána a DNS server spoločne 192.168.1.254.

Wireless Networks - 1. SSID
Správny názov udáva nastavenie AP. V prípade, že AP nedistribuuje SSID je nutné zaškrtnúť voľbu Connect even if this network is not broadcasting a SSID vložiť ručne.

Wireless Networks - 2. key/encryption
Spôsob sieťovej autorizácie, metóda šifrovania a zadaný kľúč (je ho nutné potvrdiť opätovným vložením) zavisí od nastavenia AP. Ak je vypnuté SSID je opäť potrebné manuálne zadanie týchto údajov.

Poznámka: Pre správnu podporu a funkcionalitu šifrovania je potrebné updatovať operačný systém, napr. pre Windows XP SP2 je prítomná aktualizácia štandardu WPA2 pod označením KB893357.

------

Port forwarding
V prípade obdržania verejnej IP adresy od providera sa táto skutočnosť dá využívať i spoza NAT. Ako príklad poslúži P2P (Strong DC) a BitTorrent ([SIZE=-1]µTorrent[/SIZE]).

Niektoré internetové aplikácie prinášajú určité výhody užívateľom, ak bežia v tzv. aktívnom móde, čiže sa z nich stáva, jednoducho povedané, virtuálny server. Preto je vhodné nastaviť forwardovanie portov pre danú aplikáciu, či dokonca i pre cieľové PC. V súčasnosti túto službu zvláda každý bežný router.

Strong DC
Východzie porty pre Strong DC sú nastavené na port 30387 pre TCP a 12854 pre UDP. Po konfigurácii forwardovania týchto portov pre cieľové PC (preto je vhodné používať statické prideľovanie IP adries, prípadne dynamické prideľovanie viazané na MAC adresu) je ďalej nutné nastaviť v aplikácii Settings - Connection settings - Incoming connection settings na Firewall with manual port forwarding. Ďalej sa vyžaduje externá IP adresa, čiže verejná IP adresa pridelená od providera. Táto sa zadá do položky External/WAN IP. Problém však nastáva pre užívateľov, ktorým provider prideľuje IP adresu dynamicky. V takomto prípade existujú Dynamic DNS služby, ktoré sú poskytované užívateľom zvyčajne zadarmo. Ak router túto funkciu podporuje, pridelená IP adresa je automaticky aktualizovaná, takže DNS záznam, ktorý si užívateľ zaregistroval, bude vždy aktuálny a tým pádom ukazovať na providerom pridelenú IP adresu.

[SIZE=-1]µTorrent[/SIZE]
Verzia 1.7.5 využíva, resp. načúva na východzom porte 17077, ktorý je použitý pre príchodzie spojenia, takže stačí jednoducho tento port forwardovať a tým je nastavenie pre [SIZE=-1]µTorrent[/SIZE] hotové.
DSCN0546x.jpg eraser's-home-network.png
qaq (49)|4.1.2008 08:08
... jen si rypnu, vzhledem k poctu hostu na dane siti bych pouzil subnet /29, anebo bych si oddelil wi-fi hosty do uplne jineho subnetu :)
Ale jinak hezke
eraser (0)|4.1.2008 16:50
Som vychádzal z mojej domácej siete, to je tá kreslená topológia v prílohe, preto som nechal celý rozsah, naviac je článok určený začiatočníkom, takže by ich subnetovanie mohlo i pliesť a neskôr priniesť i problémy pri napojení ďalších hostov. A ešte som chcel mať opticky oddelené aktívne sieťové prvky a hostov na základe číslovania daných IP adries. :)

Inak, prečo by si oddelil wifi klientov, pripojených cez AP, pomocou subnetu? V tom prípade by si nemohol pristupovať na ostatných hostov, teda pokiaľ by si nepoužil router... :notsure
qaq (49)|9.1.2008 11:41
Uf, asi jsem trochu zpitomely ze vsech tech korporatnich reseni, wi-fi klienti se obvykle radi do separatniho vlanu (subnetu), protoze wi-fi sit predstavuje bezpecnosti riziko, pokud nekdo obejde zabezpeceni wi-fi, coz je mozne, tak porad takovy utocnik neziska pristup k lokalnim (obvykle velice cennym) zdrojum, porad jeste musi pres router nebo firewall... ktery se obvykle nastavuje tak, aby wi-fi klienty pustil do webu a nikam jinam (coz jde samozrejme ovyjimkovat:))