Sigurnost bežičnih mreža

Izvor: Ubuntu-hr
Skoči na: orijentacija, traži

Sigurnost bežičnih mreža

Sigurnost prije svega

Ako ste na ovoj stranici slučajno, "onako usput", koristite ADSL i prosječan ste korisnik računala, koji baš i nije pretjerano zainteresiran za računalnu tehnologiju dokle god sve funkcionira, evo nečega i za vas. Ako to nije slučaj, preskočite ovo poglavlje.

Većina nas ima nekakav uređaj u kući preko kojega se spajamo na internet. (veselo žmirka negdje u kutku :-) Dobili ste ga kada su vam uveli internet. Radi se o tzv. "routeru". Ako niste sigurni podržava li vaš router bežičnu mrežu, pogledajte sa zadnje strane uređaja. Ukoliko ima samo utore za konektore, onda najvjerojatnije ne podržava bežičnu tehnologiju, iako to nužno ne mora biti pravilo. No, ako ima kratku debeljuškastu antenu ili čak dvije, obratite pozornost. U tom slučaju vaš je uređaj ujedno i tzv. prstupna točka (Wirelless Access Point, WAP ili AP). To je i dobro i loše. Dobro je zato što možete koristiti (ili već koristite) bežičnu tehnologiju. Međutim, loša stvar je ova: Ako naknadno niste podesili vlastiti AP nakon što ste ga dobili od pružatelja internet usluga, vrlo je vjerojatno da je potpuno nezaštićen, što znači da se neka treća osoba ili više njih (ako su u dometu) mogu spojiti i koristiti vašu bežičnu mrežu kao da je njihova. Zato prije nego odete s ovog linka, evo par savjeta kako spriječiti neželjene probleme. Što učiniti?

  • Ukoliko posjedujete bežični router (AP), a uređaj i vaše računalo su spojeni žično (mrežnim kabelom), isključite u postavkama routera "bežične opcije". Ako ne znate kako, proučite dokumentaciju koju ste dobili uz uređaj ili pitajte Google.
  • Ako koristite bežičnu mrežu, koristite li enkripciju?
  • Ako koristite WEP enkripciju a uređaj podržava neku drugu, radije koristite drugu.
  • Isključite tzv. "Broadcasting".
  • Možete, za svaki slučaj, konfigurirati filtriranje klijenata prema MAC adresama.
  • Ako koristite bežičnu mrežu ali niste sigurni dali je komunikacija između računala i AP-a zaštićena (enkriptirana), ili niste skloni samostalno "čačkati" po postavkama, nazovite službu za korisnike vašeg pružatelja internet usluga i pitajte ih da vam objasne korak po korak kako postaviti enkripciju. Ipak, vi njima plaćate pretplatu a ako vam se netko "nakači" na link, budite sigurni da ćete morati platiti račun. Eto vidite, tehnologija je kao politika. Ako se vi ne bavite njom, ona će se baviti vama :-)

Uvod u temu

Dok ostatak svijeta već odavno koristi blagodati bežične tehnologije, kod nas, gledano s korisničke strane, implementacija ove tehnologije u svakodnevim situacijama tek uzima maha. Potaknuti zakonskim aktima, pružatelji internet usluga imaju obvezu "informatizirati" Hrvatsku. Zato nam neprekidno nude komadiće tehnologija koje naši europski susjedi već odavno konzumiraju. "Bluetooth" slušalice, bežični printeri, "WiFi" stickovi, routeri; sve se može nabaviti za vrlo malo novca, pa čak i dobiti potpuno besplatno u sklopu raznih promotivnih akcija. Danas smo u situaciji da gotovo svako kućanstvo, ima barem jedan bežični uređaj. Bio to mobitel s "Bluetooth" tehnologijom, "Infrared" na daljinskom upravljaču, Sony Playstation, ili klasični bežični router (AP), vjerujte: Bežične mreže i uređaji, svuda su oko nas. Ono što nas zanima, zasigurno nije odnos daljinskog upravljača i televizora (iako je nekom i to zanimljivo :-)

  • Mi ćemo se u ovoj temi baviti instalacijom Serialmonkey Enhanced Legacy verzijom drivera, uz pomoć kojih rt61 chipset na WiFi kartici podržava određene opcije koje se u kombinaciji s softwareom, koriste za test sigurnosti bežičnih mreža. Bežičnu mrežu testiramo kako bi sami sebi ukazali na eventualne sigurnosne propuste. No prije nego počnemo, zbog boljeg razumijevanja, dotaknut ćemo se osnova u vrlo kratkim crtama.

Ukratko o WiFi-u

WiFi, Wireles Fidelity (IEEE 802.11) je vrsta bežične mreže, gdje se podaci između dva uređaja (računala) prenose pomoću radio frekvencija. Taj prijenos može biti zaštićen nekim od enkripcijskih standarda. Ukoliko spajamo više WiFi uređaja u jednu bežičnu mrežu, potreban nam je uređaj kojeg nazivamo pristupna točka (Wirelless Access Point, WAP ili AP).

Priprema

Prije svega, moramo znati kakav WiFi hardware imamo u računalu, tj. o kojem chipsetu se radi. To je važno zato što ćemo koristiti modificirane drivere a ne one koji standardno dolaze s Ubuntu. Dakle, morat ćemo "blacklistat" (isključiti) postojeće drivere, i učitati modificirane. Razlika između standardnih i modificiranih drivera je u tome što modificirani iskorištavaju neke opcije chipseta koje će nama trebati. Pošto postoje dvije vrste modificiranih drivera, moramo znati koji je čip na samoj kartici kako bi odabrali prave drivere.

Koji je moj čip?

Ovisno o formatu WiFi hardware-a i verziji kernela, probajte jednu od ovih naredbi.

Ako je kartica u funkciji, preko učitanih modula možete saznati čip:

lsmod

Za PCI, PCMCI kartice

lspci

Za ispis više podataka o PCI, PCMCI uređaju:

lspci -v

Za PCMCI kartice na starijim kernelima:

cardctl ident

ili

pccardctl ident

Ako se radi o USB uređaju:

lsusb

Za ispis više podataka o USB uređaju:

sudo lsusb -v

Primjer:

ubuntu@stroj:~$ lspci
#djelomičan ispis
02:0b.0 Network controller: RaLink RT2561/RT61 802.11g PCI #Ovo nas zanima
02:0c.0 RAID bus controller: Silicon Image, Inc. SiI 3114 [SATALink/SATARaid]  
Serial ATA Controller (rev 02)
03:0c.0 Multimedia video controller: Conexant CX23880/1/2/3 PCI Video and Audio 
Decoder (rev 05)
ubuntu@stroj:~$ 

U izlistanju tražimo riječi poput: Atheros, Ralink, rt61, Prism 2.5, Ralink RT73, rtl8187, Zydas zd1211... To su često korišteni čipovi.

Za potrebe tutoriala, korištena je obična WiFi kartica s RT61 chipsetom. Radi se o Canyon CN-WF511 PCI kartici. Samo napomene radi, čak i ako kupite baš ovu karticu, ne mora značiti da će imati isti chipset. Zato ukoliko planirate kupnju kartice, dobro provjerite o kojem chipsetu se radi. Najbolje podržan chipset (od strane raznih programa koje možete koristiti za test) je Atheros. Za njega trebate posebne madwifi drivere. Također, vlasnici nešto starijih Orinoco kartica mogli bi se vrlo ugodno iznenaditi...

Instalacija drivera

Ovdje je opisan primjer instalacije modanih WiFi drivera isključivo za rt61 chipset.

wget http://rt2x00.serialmonkey.com/rt61-cvs-daily.tar.gz
tar xvfz rt61-cvs-daily.tar.gz
cd rt61-cvs-*
cd Module
make
sudo make install

Zatim ćemo isključiti postojeće WiFi drivere koji dolaze s Ubuntu.

gksudo gedit /etc/modprobe.d/blacklist

Dodajmo na kraj datoteke:

# standard Ubuntu WiFi driver rt61 chipset
blacklist rt61pci
blacklist rt2x00pci

# Ovo treba biti zakomentirano ako radimo s modanim driverima
#blacklist rt2x00lib
#blacklist rt2x00
#blacklist rt61

Ako se u nekom trenutku poželite vratiti na originalne drivere koji su "default" u Ubuntu, zakomentirajte ove koji nisu i obratno. Sačuvajte dokument i zatvorite ga. Slijedeći korak je učitavanje modula.

sudo modprobe rt61
sudo shutdown -r now #restart računala

VAŽNO: Kada se Ubuntu pokrene, nemojte dirati WiFi aplet u grafičkom sučelju, jer uzrokuje prilično gadno smrzavanje sustava. Inače sve drugo je OK.

Konfiguriranje WiFi kartice

Prebacimo karticu u "monitor" način rada:

sudo ifconfig wlan0 down
sudo iwpriv wlan0 rfmontx 1
sudo ifconfig wlan0 up


Ako je sve prošlo kako treba, izvršavanjem naredbe iwconfig trebali bi vidjeti ovakav ispis u terminalu: (Obratimo pažnju kako se kartica prebacila u "monitor mode").
Ako se u ovoj fazi kartica nije prebacila u "monitor mode", pravilnim korištenjem dolje spomenutog programa hoće.

ubuntu@stroj:~$ iwconfig
lo        no wireless extensions.

eth0      no wireless extensions.

wlan0     RT61 Wireless  ESSID:""  Nickname:""
         Mode:Monitor  Frequency:2.452 GHz  Access Point: XX:XX:XX:XX:XX:XX   
         Bit Rate=18 Mb/s   
         RTS thr:off   Fragment thr:off
         Link Quality=100/100  Signal level:-75 dBm  Noise level:-111 dBm
         Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
         Tx excessive retries:0  Invalid misc:0   Missed beacon:0
ubuntu@stroj:~$

Zaključak

Eto, ako se kartica "prebacila" u monitor mode, uspješno ste instalirali drivere uz pomoć kojih možete testirati sigurnost vaše bežične mreže. Postoje razni programi za ovu namjenu a većinu možete pronaći u repozitoriju. Jedan od njih kojim možete provjeriti radi li vaša WEP, WPA2 enkripcija onako kako ste zamislili je aircrack-ng. Detalje o ovom programu možete pogledati ovdje: http://www.aircrack-ng.org/doku.php