1 SIECI BEZPRZEWODOWE

1 SIECI BEZPRZEWODOWE
Bezprzewodowe sieci komputerowe, zwłaszcza te zgodne ze standardem 802.11
zdobywają coraz szersze obszary zastosowań. Dzieje się tak przede wszystkim dzięki
znacznemu obniŜeniu cen bezprzewodowych urządzeń sieciowych do poziomu
porównywalnego z cenami elementów infrastruktury sieci przewodowej. Drugim waŜnym
czynnikiem jest oferowana przez sieci bezprzewodowe duŜa prędkość transmisji,
porównywalna z prędkościami osiąganymi przez sieć przewodową. Sieci bezprzewodowe
są łatwe w instalacji i elastyczne w konfiguracji, pozwalają na częste wprowadzanie
zmian
w strukturze fizycznej i logicznej sieci. Technologia ta pozwala na dostęp do zasobów
sieciowych z miejsc, w których instalacja klasycznej sieci przewodowej byłaby
nieopłacalna lub wręcz niemoŜliwa. Oczywistą zaletą jest takŜe mobilność stacji, która ma
szczególne znaczenie dla uŜytkowników komputerów przenośnych.
Rys. 1.1. Bezprzewodowy punkt dostępu DWL-900AP+
Bezprzewodowe sieci komputerowe dość istotnie róŜnią się od typowych
przewodowych sieci, takich jak np. Ethernet. Ze względu na to, Ŝe brak tu "fizycznego"
nośnika informacji (jak np. przewód elektryczny czy światłowód) oraz na dookólną
charakterystykę propagacji fal elektromagnetycznych (radiowych i optycznych),
podłączanie urządzeń do sieci bezprzewodowej ma charakter "logiczny". Odbywa się to
przez jawne wskazanie sieci, do której dane urządzenie ma zostać podłączone; na danym
obszarze moŜe być przy tym wiele sieci do wyboru.
Sieci zgodne z 802.11 mogą pracować w dwóch trybach: jako sieć tymczasowa (adhoc), lub jako sieć z infrastrukturą [1]. Sieć tymczasowa jest zestawiana zwykle na krótki
okres czasu pomiędzy równorzędnymi stacjami końcowymi. W sieci z infrastrukturą
moŜna wyróŜnić stałą stację nadrzędną, której zadaniem jest koordynacja pracy
wszystkich stacji w sieci. Zwykle stacja centralna pełni jednocześnie funkcję punktu
dostępu do sieci przewodowej, udostępniając komputerom wyposaŜonym w interfejsy
bezprzewodowe usługi z sieci lokalnej, a czasami posiada takŜe funkcję routera,
umoŜliwiając dostęp do sieci rozległej.
Sieci bezprzewodowe są z oczywistych względów znacznie bardziej naraŜone na
wpływ czynników zewnętrznych jak: zakłócenia elektromagnetyczne, interferencje
między segmentami sieci znajdującymi się w bezpośrednim sąsiedztwie, interferencje z
falami radiowymi emitowanymi przez urządzenia elektryczne i elektroniczne
powszechnego uŜytku. Transmisja za pomocą fal radiowych jest takŜe naraŜona na
podsłuch; z tego teŜ względu na etapie projektowania infrastruktury sieciowej i
konfiguracji parametrów sieci bezprzewodowej naleŜy zadbać o odpowiednie
wykorzystanie
wbudowanych
mechanizmów
zabezpieczeń.
Wykorzystanie
standardowych parametrów stacji centralnych, wygodne dzięki gotowości urządzenia do
uŜycia tuŜ po pierwszym włączeniu zasilania, naraŜa uŜytkowników sieci na
przechwytywanie przez osoby nieupowaŜnione danych transmitowanych poprzez sieć, a
administratora systemu na skutki nieuprawnionego wykorzystania zasobów sieci. Na
administratorze sieci spoczywa odpowiedzialność za prawidłowe skonfigurowanie
parametrów punktu dostępu (lub wielu punktów dostępu) tak, aby zabezpieczyć sieć przed
dostępem intruzów, oraz uchronić transmitowane dane przed podsłuchaniem. Poza
konfiguracją punktu dostępu odpowiednio skonfigurowane muszą być takŜe karty
sieciowe w komputerach, które mają korzystać z sieci bezprzewodowej. Oczywistym jest,
Ŝe parametry obu komunikujących się stron muszą być odpowiednio uzgodnione; jest to
tym bardziej istotne, im bardziej bezpieczna ma być tworzona sieć.
Zagadnienia konfiguracji sieci zgodnej ze standardem 802.11 przedstawione są
w laboratorium z wykorzystaniem dwóch punktów dostępu oraz kilku kart sieciowych. Na
rynku jest dostępnych wiele urządzeń pochodzących od róŜnych producentów. Urządzenia
te pracują w róŜnych wersjach standardu 802.11. Najpopularniejszą jest wersja 802.11b,
w której maksymalna prędkość transmisji wynosi 11Mb/s. Coraz większą popularność
zdobywa wersja 802.11g oferująca znacznie większą, bo sięgającą 54Mb/s, prędkość
transmisji. Laboratorium zostało wyposaŜone w:
– dwa punkty dostępu firmy D-Link DWL–900AP+ (rys. 8.1)[4],
–
zainstalowane w dziesięciu komputerach karty sieciowe firmy D-Link, DWL–G510
[5].
Rys. 1.2. Przykładowa konfiguracja sieci bezprzewodowej
Dwa punkty dostępu pozwalają na pracę w dwóch grupach, z których kaŜda jest
odpowiedzialna za administrację jednej z sieci oznaczonych tak jak na rysunku 8.2
WLAN_1 i WLAN_2. Istnienie dwóch, pracujących w tym samym pomieszczeniu sieci
bezprzewodowych, umoŜliwia przeprowadzenie prób nieautoryzowanego dostępu
pomiędzy grupami, a takŜe wpływu interferencji, jakie mogą się pojawić przy obecności
drugiej sieci, na parametry transmisji.
1.1 Konfiguracja sieci w trybie tymczasowym
Aby skonfigurować połączenie między komputerami bez udziału stacji centralnej
(punktu dostępu) naleŜy odpowiednio ustawić parametry kart sieciowych komputerów
uczestniczących w połączeniu Ad-hoc.
Aby dane transmitowane były łączem bezprzewodowym naleŜy upewnić się, Ŝe
w komputerach jest wyłączona przewodowa sieć lokalna. Jeśli jest włączona, naleŜy ją
wyłączyć posługując się oknem konfiguracji połączenia sieciowego.
Rys. 1.3. Wyłączenie sieci przewodowej w oknie właściwości sieci
We właściwościach połączenia sieci bezprzewodowej (rys. 8.3) naleŜy ustalić adresy
IP kart sieciowych poszczególnych komputerów pamiętając, Ŝe wszystkie muszą naleŜeć
do wspólnej podsieci. NaleŜy ustawić takŜe maskę tej podsieci (rys. 8.4). Przykładowym
zakresem adresów IP moŜe być 192.168.1.x – gdzie „x” jest kolejnym numerem jednostki
w podsieci. Maska takiej podsieci ma wartość 255.255.255.0.
Rys. 1.4. Ustawienie adresu IP i maski podsieci
W zakładce “Sieci bezprzewodowe” naleŜy sprawdzić zaznaczenie pola “UŜyj
systemu Windows do konfiguracji ustawień sieci bezprzewodowych” (rys. 8.5).
Rys. 1.5. Włączenie automatycznej konfiguracji sieci WLAN
Po naciśnięciu przycisku “Zaawansowane” pojawić się powinno okno (rys. 8.6), w
którym naleŜy zaznaczyć opcję “Tylko sieci typu komputer-komputer (ad hoc)”.
Rys. 1.6. Wybór trybu pracy sieci bezprzewodowej
Kolejny krok polega na ustaleniu nazwy tworzonej sieci bezprzewodowej.
Przyciśnięcie przycisku “Dodaj” w oknie “Sieci preferowane” przywołuje na ekran okno,
które pozwala na wpisanie nazwy sieci (SSID), a takŜe ustawienie opcji uwierzytelniania
stacji dołączających się do sieci oraz szyfrowania przesyłanych danych (rys. 8.7). Dla
sieci typu komputer-komputer uwierzytelnianie oraz szyfrowanie danych moŜna
pozostawić wyłączone.
Rys. 1.7. Wybór trybu pracy sieci bezprzewodowej
Rys. 1.8. Lista dostępnych w otoczeniu sieci bezprzewodowych
Po zatwierdzeniu dokonanych modyfikacji sieć o ustalonej nazwie powinna być
widoczna przy przeglądaniu listy dostępnych sieci bezprzewodowych (rys. 8.8). MoŜna
się do niej przyłączyć przez dwukrotne kliknięcie nazwy wybranej sieci na liście.
1.2 Przegląd funkcji punktu dostępu
Konfigurację punktu dostępu przeprowadza się poprzez jego wewnętrzny serwer
HTTP. Punkt dostępu moŜna podłączyć bezpośrednio do komputera, z którego
przeprowadza się konfigurację, lub do segmentu sieci przewodowej. Mając do czynienia
z fabrycznie nowym urządzeniem, naleŜy rozpocząć od ustalenia adresu IP punktu
dostępowego. Wartość domyślna dla urządzenia DWL 900AP+ to 192.168.0.50 z maską
podsieci 255.255.255.0. Oczywiście w takiej sytuacji łączność moŜliwa jest tylko z
komputera naleŜącego do tej samej podsieci (192.168.0.x) (rys. 8.9).
Rys. 1.9. Adres punktu dostępu
Dostęp do interfejsu konfiguracyjnego punktu dostępu jest zabezpieczony hasłem.
Fabrycznie ustawiona nazwa uŜytkownika to admin, hasło jest pozostawione puste
(rys. 8.10).
Rys. 1.10. Okno wpisywania hasła
Po poprawnym zalogowaniu w oknie przeglądarki zostanie wyświetlona strona www
zawierająca konfigurację punktu dostępu. Zakładka Home pozwala na ustawienie
najwaŜniejszych parametrów urządzenia [5]:
•
Wizard – moŜliwość uruchomienia kreatora, celem utworzenia nowej sieci.
•
Wireless – parametry kanału bezprzewodowego.
AP Name – nazwa urządzenia.
SSID – identyfikator sieci.
Channel – numer kanału radiowego.
WEP (enabled / disabled) – włączanie / wyłączanie szyfrowania WEP.
WEP Encryption – poziom szyfrowania (64-, 128- lub 256-bitowe).
Keytype – ustala sposób podawania klucza wykorzystywanego
szyfrowania.
o KeyN – moŜliwość podania do 4 kluczy szyfrujących.
o
o
o
o
o
o
•
LAN – parametry łącza przewodowego.
o LAN IP (static/ dynamic) – metoda przydzielania numeru IP.
o IP Address – adres IP.
do
o Subnet MASK – maska podsieci.
o Gateway – adres domyślnej bramy.
•
DHCP – parametry funkcji serwera DHCP.
o DHCP Server (enabled / disabled) – włącza / wyłącza funkcję serwera DHCP.
o Starting IP Address, Ending IP Address – zakres przydzielanych adresów IP.
o DNS Server – adres serwera DNS.
o Lease Time – czas obowiązywania dynamicznie przydzielonych adresów.
Aby urządzenie mogło być wykorzystane jako punkt dostępu do zasobów lokalnej
sieci przewodowej naleŜy je skonfigurować tak, jak kaŜdą inną stację w sieci LAN. W
celu ustalenia adresu IP naleŜy skorzystać z opcji LAN zakładki Home. Po ustaleniu
nowego adresu IP (statycznego lub dynamicznego) naleŜy punkt dostępu podłączyć
do segmentu sieci przewodowej. W celu odnalezienia urządzenia wśród adresów IP nowej
podsieci moŜna posłuŜyć się opcją Scan programu WS_Ping, wykrywając w danym
zakresie adresów wszystkie urządzenia z wbudowanymi serwerami HTTP.
Gdy adres IP jest juŜ znany, moŜna po ponownym zalogowaniu się do serwera HTTP,
przystąpić do ustalania pozostałych parametrów urządzenia. NajwaŜniejsze parametry
łącza bezprzewodowego moŜna znaleźć w opcji Wireless zakładki Home. MoŜna tu
ustalić nazwę punktu dostępu (AP Name), nazwę sieci bezprzewodowej (SSID – ang.
Service Set Identifier), numer kanału przeznaczonego dla sieci bezprzewodowej (Channel)
oraz włączyć niezbędne zabezpieczenia (WEP). Opcja szyfrowania transmisji za pomocą
protokołu WEP – umoŜliwia określenie długości klucza (62, 128 lub 256 bitów), typu
klucza (ASCII lub HEX) oraz ustalenie wartości czterech kluczy szyfrujących. Zamiast
ostatniej opcji istnieje moŜliwość podania ciągu znaków, na podstawie którego klucze
zostaną wygenerowane automatycznie.
Dokładniejszą kontrolę nad trybem pracy urządzenia, parametrami łącza radiowego,
a takŜe funkcjami zabezpieczeń moŜna uzyskać w zakładce Advanced – ustawienia
zaawansowane.
NajwaŜniejsza z punktu widzenia bezpieczeństwa sieci jest metoda uwierzytelniania
(Authentication), która moŜe być wybrana spośród następujących opcji – otwarte (Open),
udostępnione (Shared) oraz na bazie metod WPA i WPA-PSK.
Inne parametry łącza bezprzewodowego moŜna ustalić w opcji Performance zakładki
Advanced. Parametry te mogą wpływać na wydajność sieci. Szczególne znaczenie mają tu
opcje Basic rates oraz TX rates, określające prędkości transmisji, a takŜe RTS threshold
oraz Fragmentation threshold, określające graniczne długości ramek, powyŜej których
stosowana jest ochrona przed kolizjami mechanizmem RTS-CTS (istotne w środowisku
zawierającym stacje ukryte) oraz podział ramki na mniejsze fragmenty (istotne
w środowisku o wysokim poziomie zakłóceń lub innym, powodującym częste błędy i
retransmisje ramek). W zakładce tej moŜna takŜe określić długość preambuły (Preamble
length) oraz wyłączyć rozgłaszanie nazwy sieci (SSID broadcast). PoniŜej przedstawiono
zestaw opcji dostępnych w zakładce advanced:
•
Mode – tryb pracy.
o Load Balancing – równowaŜenie obciąŜenia między punktami dostępu.
o Backup AP – praca jako zapasowy punkt dostępu.
o Wireless Client – praca w trybie klienta sieci bezprzewodowej.
o Wireless Bridge – mostek łączący bezprzewodowo dwie sieci LAN.
o Multi-point Bridge – bezprzewodowy mostek między wieloma punktami
dostępu.
o Repeater – tryb powiększania zasięgu sieci bezprzewodowej.
•
Performance – wydajność.
o Beacon interval – odstęp pomiędzy pakietami synchronizacyjnymi.
o RTS Threshold – minimalna wielkość pakietu dla jakiej wykorzystany będzie
mechanizm rezerwacji kanału RTS/CTS.
o Fragmentation – określa od jakiej wielkości pakiety będą dzielone na mniejsze.
o DTIM interval (Delivery Traffic Indication Message) – licznik czasu okna
nasłuchu pakietów rozgłoszeniowych.
o Basic Rates – domyślne prędkości transmisji.
o TX Rates – maksymalna dopuszczalna prędkość transmisji.
o Preamble Type – długość pola CRC w komunikacji pomiędzy urządzeniami.
o Authentication – metoda autoryzacji.
o SSID Broadcast – (enabled / disabled) rozgłaszanie identyfikatora sieci.
o Antenna Selection – wybór typu anteny.
o Antenna transmit power – moc emitowanego sygnału radiowego.
•
Filters – filtrowanie adresów MAC.
o Disabled MAC Filters – wyłącza funkcję filtrowania adresów.
o Only allow MAC address listed below – tryb udostępniania połączenia
wybranym adresom MAC.
o Only deny MAC address listed below – tryb blokowania wpisanych adresów
MAC.
Zakładka narzędzi – tools pozwala na wykonanie czynności administracyjnotechnicznych jak zmiana hasła, zapisanie konfiguracji do pliku na lokalnym dysku
twardym lub jej odczytanie, aktualizacja oprogramowania punktu dostępu (ang.
firmware).
•
Admin – administrator.
o New Password, Confirm Password – zmiana i potwierdzenie hasła.
•
System – obsługa konfiguracji.
o Save Settings to Local Harddrive – zapisanie konfiguracji na dysk.
o Load Settings from Local Harddrive – odczyt konfiguracji z dysku.
o Restore to Factory Default Settings – powrót do ustawień domyślnych.
•
Firmware (upgrade firmware) – aktualizacja oprogramowania.
Na zakładce statusu przedstawiona jest aktualna konfiguracja sieci przewodowej
i bezprzewodowej, lista zdarzeń systemowych (log) i statystyki ruchu sieciowego oraz
lista aktywnych połączeń bezprzewodowych.
1.3 Konfiguracja sieci w trybie z infrastrukturą
Utworzenie sieci pracującej w trybie z infrastrukturą wymaga zainstalowania
przynajmniej jednego bezprzewodowego punktu dostępu, który naleŜy odpowiednio
skonfigurować. PoniŜej zostanie przedstawiona konfiguracja urządzenia D-Link
DWL 900AP+, w którym dodatkowo zostanie uaktywniony serwer DHCP, aby umoŜliwić
przydzielanie komputerom adresów IP. Po poprawnym połączeniu się z punktem dostępu
i zalogowaniem przy uŜyciu nazwy uŜytkownika i hasła naleŜy skonfigurować sieć
bezprzewodową. W tym celu, korzystając z zakładki home naleŜy (rys. 8.11):
•
ustawić nazwę sieci SSID,
•
ustawić kanał radiowy,
•
wyłączyć autoryzację (tryb otwarty),
•
wyłączyć szyfrowanie WEP,
Rys. 1.11. Konfiguracja zabezpieczeń w punkcie dostępu
NaleŜy pamiętać, Ŝe wszystkie urządzenia w ramach jednej sieci bezprzewodowej
muszą pracować na tym samym kanale. Ponadto w zakładce advanced naleŜy włączyć
rozgłaszanie identyfikatora sieci, aby umoŜliwić komputerom wyszukanie utworzonej
sieci.
JeŜeli punkt dostępu pracuje w sieci LAN, w której nie ma serwera DHCP moŜna
wykorzystać wbudowany mechanizm przydziału adresów IP. W zakładce home moŜna
włączyć serwer DHCP i ustawić jego opcje (rys. 8.12).
Rys. 1.12. Parametry serwera DHCP w punkcie dostępu
Tak utworzona sieć jest naraŜona na podsłuch i nieuprawnione uŜycie. Inną metodą
ustawienia parametrów sieci jest wykorzystanie kreatora konfiguracji (Wizard)
dostępnego w zakładce home. Za jego pomocą moŜna w łatwy sposób skonfigurować
sieć, w której transmitowane dane będą szyfrowane. Po uruchomieniu konfiguratora (rys
8.13) naleŜy podać:
•
hasło dostępu do urządzenia,
•
ustalić nazwę sieci SSID,
•
włączyć szyfrowanie WEP i podać rodzaj i długość klucza szyfrującego,
•
podać kod szyfrujący.
Rys. 1.13. Przykład klucza szyfrującego
Próba połączenia z zabezpieczoną siecią powoduje wyświetlenie w komputerze okna
z Ŝądaniem wpisania klucza szyfrującego. Istnieje moŜliwość zapamiętania na stałe klucza
w komputerze.
Włączenie opcji rozgłaszania nazwy sieci ułatwia jej wyszukanie w otoczeniu
zarówno przez osoby uprawnione jak i nieuprawnione. Ze względów bezpieczeństwa
zaleca się wyłączenie tej opcji. W takim przypadku, aby uzyskać dostęp do sieci naleŜy
znać jej nazwę.
WaŜną metodą zabezpieczenia zamkniętej sieci bezprzewodowej jest określenie listy
urządzeń dopuszczonych do korzystania z usług punktu dostępu. Mowa tu o opcji, która
pozwala na uwierzytelnianie urządzeń na podstawie ich adresów MAC. Punkt dostępu
dopuszcza utworzenie „białej listy” (listy urządzeń dopuszczonych do sieci) lub „czarnej
listy” (listy urządzeń wykluczonych z dostępu do sieci). „Czarna lista” moŜe być
stosowana
w sieciach otwartych dla „ukarania” nieposłusznych uŜytkowników, zaś „biała lista” moŜe
stanowić podstawę sieci zamkniętej, w której tylko niektórzy uŜytkownicy są dopuszczani
do korzystania z sieci. W zakładce advanced zaznaczenie opcji Only allow address
włącza tryb z listą urządzeń dopuszczonych do sieci, natomiast zaznaczenie opcji Only
deny address pozwala na ustalenie listy urządzeń zablokowanych. Ułatwieniem przy
wpisywaniu adresów MAC na wybraną listę jest moŜliwość powielenia (Clone) adresu
MAC z listy aktualnie połączonych komputerów.
1.4 Laboratorium
Cel ćwiczenia
Zapoznanie się z zabezpieczeniami stosowanymi w sieciach standardu 802.11
Infrastruktura
Dwa punkty dostępu DLink DWL900AP+.
Dziesięć komputerów klasy PC z zainstalowanymi kartami sieci bezprzewodowej
DLink DWL–G510 [4].
Kompetencje
W trakcie przeprowadzonych zajęć studenci zaznajomią się ze strukturą sieci
bezprzewodowych zgodnych ze standardem 802.11. Poznają tryby pracy sieci,
moŜliwości konfiguracji urządzeń sieciowych oraz metody autoryzacji i zabezpieczania
transmisji.
Zadania.
a) Sieć tymczasowa (ad-hoc)
i)
skonfiguruj i połącz kilka komputerów tworząc bezprzewodową sieć
tymczasową (ad-hoc),
ii)
opisz jakie urządzenia mogą tworzyć sieć ad-hoc i jak naleŜy je
skonfigurować.
b) Sieć z infrastrukturą
i) skonfiguruj punkt dostępu w trybie stacji centralnej sieci bezprzewodowej,
ii) skonfiguruj karty sieciowe do współpracy z punktem dostępu,
iii) opisz proces konfiguracji punktu dostępu i stacji końcowych.
c) Zabezpieczenia stosowane w sieciach standardu 802.11
i) skonfiguruj szyfrowanie transmisji WEP,
ii) skonfiguruj funkcję autentykacji stacji,
iii) skonfiguruj filtrowanie adresów MAC,
iv) opisz proces konfiguracji zabezpieczeń, omów mocne i słabe strony kaŜdego
z zabezpieczeń.
1.5 Literatura
[1]
[2]
[3]
[4]
[5]
Tannenbaum A.: Sieci komputerowe, Helion, Gliwice 2004.
Nowicki K., Woźniak J.: Przewodowe i bezprzewodowe sieci LAN. Oficyna
Wydawnicza Politechniki Warszawskiej, Warszawa 2002.
Zieliński B.: Bezprzewodowe sieci komputerowe, Helion, Gliwice 2000.
DWL-900AP User Guide.
DWL–G510 User Guide.