32.3 Ασύρματη Δικτύωση

Loader, Marc Fonvieille, και Murray Stokely.

32.3.1 Εισαγωγή στην Ασύρματη Δικτύωση

Τα περισσότερα ασύρματα δίκτυα βασίζονται στα πρότυπα της οικογένειας IEEE 802.11. Ένα βασικό ασύρματο δίκτυο αποτελείται από πολλαπλούς σταθμούς, οι οποίοι επικοινωνούν εκπέμποντας με κάποιο ασύρματο εξοπλισμό στη ζώνη των 2.4GHz ή 5GHz (αν κι αυτό εξαρτάται από την περιοχή και αλλάζει πλέον, επιτρέποντας την εκπομπή σημάτων και στη ζώνη των 2.3GHz ή των 4.9GHz).

Τα δίκτυα τύπου 802.11 οργανώνονται, συνήθως, με έναν από τους εξής τρόπους: με μορφή υποδομής (infrastructure mode) ή σε εξειδικευμένα (ad-hoc) δίκτυα. Στην πρώτη μορφή δικτύου υπάρχει ένας σταθμός ο οποίος αναλαμβάνει το ρόλο του κυρίαρχου σταθμού (master) και όλοι οι υπόλοιποι σταθμοί συνδέονται στο δίκτυο μέσω αυτού του σταθμού. Ένα τέτοιο δίκτυο λέγεται και BSS. Ο κυρίαρχος σταθμός είναι γνωστός και ως access point (AP). Στη δεύτερη μορφή δικτύου, η οποία λέγεται και IBSS, δεν υπάρχει κυρίαρχος σταθμός. Οποιοσδήποτε σταθμός μπορεί να συνδεθεί απευθείας με ένα οποιοδήποτε άλλο σταθμό.

Τα δίκτυα 802.11 αναπτύχθηκαν για πρώτη φορά στη ζώνη των 2.4GHz χρησιμοποιώντας τα πρωτόκολλα που καθορίζονται από τα πρότυπα IEEE 802.11 και 802.11b. Οι προδιαγραφές αυτές περιλαμβάνουν τις συχνότητες λειτουργίας και τα χαρακτηριστικά των στρωμάτων MAC, συμπεριλαμβανομένης της διαμόρφωσης και της ταχύτητας μετάδοσης (η επικοινωνία μπορεί να γίνει σε διάφορες συχνότητες). Αργότερα καθορίστηκε το πρότυπο 802.11a στη ζώνη των 5GHz, περιλαμβάνοντας διάφορους μηχανισμούς και υψηλότερους ρυθμούς μετάδοσης. Ακόμα αργότερα ορίστηκε το πρότυπο 802.11g για να καταστεί δυνατή η χρήση του σήματος 802.11a με μηχανισμούς μετάδοσης στη ζώνη των 2.4GHz, με τρόπο συμβατό με τα δίκτυα 802.11b.

Διαχωρισμένα απο βασικές τεχνικές μετάδοσης τα 802.11 δίκτυα έχουν μια ποικιλία απο μηχανισμούς ασφαλείας. Οι αρχικές 802.11 προδιαγραφές όριζαν μια απλή ασφάλεια, το πρωτόκολλο που ονομάστηκε WEP. Αυτό το πρωτόκολλο χρησιμοποιεί ένα σταθερό pre-shared κλειδιών και την RC4 κρυπτογράφηση για να κωδικοποιούν τα δεδομένα που μεταδίδονται σε ένα δίκτυο. Όλοι οι σταθμοί πρέπει να συμφωνούν σχετικά με το κλειδί προκειμένου να επικοινωνήσουν. Το σχέδιο αυτό φαινόταν να είναι εύκολο να παραβιαστεί και πλέον σπάνια χρησιμοποιείται, εκτός από αποθαρρημένους παροδικόυς χρήστες στο να εισχωρήσουν στα δίκτυα. Η τρέχουσα πρακτική ασφάλειας δίνεται απο την IEEE 802.11i προδιαγραφή που καθορίζει νέα κρυπτογράφιση με ένα επιπρόσθετο πρωτόκολλο για την επικύρωση των σταθμών σε ένα σημείο πρόσβασης και εναλλασσόμενα κλειδιά για να είναι δυνατή η ανταλλαγή δεδομένων. Επίσεις, τα κλειδιά κρυπτογράφησης περιοδικά αναναιώνονται και υπάρχουν μηχανισμοί για τον εντοπισμό προσπαθειών εισβολής.(και για την αντιμετώπιση απο απόπειρες εισβολής). Ένα άλλο πρωτόκολο προστασίας του οποίου οι προδιαγραφές χρησιμοποιούνται συνήθως σε ασύρματα δύκτια ονομάζεται WPA. Αυτό ήταν ο προάγγελος του 802.11i που εμφανίστηκε στην αγορά απο έναν βιομηχανικό όμιλο ως προσωρινό μέτρο περιμένωντας την επικύρωση του 802.11i. Το WPA ορίζει ένα υποσύνολο απο απαιτήσεις που συναντώνται στο 802.11i και σχεδιάστηκε για να εκτελείται σε παλαιού τύπου συσκευές. Συγκεκριμένα το WPA απαιτεί μόνο την TKIP κρυπτογράφηση που προέρχεται από το αρχική WEP κρυπτογράφηση. Το 802.11i επιτρέπει τη χρήση του TKIP αλλά επίσεις απαιτεί υποστήριξη για μια δυνατότερη κρυπτογράφηση, την AES-CCM, για την κρυπτογράφηση των δεδομένων. (Η AES κρυπτογράφηση δεν ήταν απαιτούμενη στο WPA διότι θεωρήθηκε πολύ δαπανηρή για να εφαρμοστεί σε συσκευές παλαιού τύπου)

Εκτός από τα παραπάνω πρότυπα πρωτόκολλα το άλλο σημαντικό πρότυπο που πρέπει να γνωρίζουμε είναι το 802.11e. Αυτό ορίζει πρωτόκολλα για την ανάπτυξη εφαρμογών πολυμέσων όπως το streaming video και φωνή πάνω απο την IP (VoIP) σε ένα 802.11 δίκτυο. Όπως το 802.11i, έτσι και το 802.11e έχει επίσεις μια προκάτοχη προδιαγραφή που ονομαζόταν WME (που αργότερα μετονομάστηκε σε WMM) και έχει καθοριστεί στην αγορά από έναν βιομηχανικό όμιλο ως υποσύνολο του 802.11e που μπορεί να αναπτυχθεί και να επιτρέπει τις εφαρμογές πολυμέσων περιμένωντας την τελική επικύρωση του 802.11e. Το πιο σημαντικό πράγμα που πρέπει να γνωρίζουμε για το 802.11e και το WME/WMM είναι ότι επιτρέπει με προτεραιότητες τη χρήση της κυκλοφορίας σε ένα ασύρματο δικτύο μέσω Quality of Service (QoS) πρωτοκόλλων και την ενισχυμένη πρόσβαση των πρωτοκόλλων στα μέσα ενημέρωσης. Η σωστή εφαρμογή των πρωτοκόλλων αυτών επιτρέπει εκρηκτικά υψηλές ταχύτητες μετάδοσης των δεδομένων με βάση προτεραιοτήτων στη ροής της κυκλοφορίας.

Απο την έκδοση 6.0, FreeBSD υποστηρίζονται τα δίκτυα που λειτουργούν χρησιμοποιώντας 802.11a, 802.11b και 802.11g. Τα πρωτόκολλα ασφαλείας, WPA και 802.11i που επίσης υποστηρίζονται (σε συνδυασμό με οποιοδήποτε απο τα 11α, 11β, και 11g) και QoS και την ιεράρχηση της κυκλοφορίας που απαιτούνται από τα πρωτόκολλα της WME / WMM υποστηρίζονται για ένα περιορισμένο σύνολο ασύρματων συσκευών.

32.3.2 Βασικές Ρυθμίσεις

32.3.2.1 Διαμόρφωση του πυρήνα

Για να χρησιμοποιήσετε το ασύρματο δίκτυο χρειάζεστε μία κάρτα ασύρματης δικτύωσης και να ρυθμίσετε τον πυρήνα με την κατάλληλη υποστήριξη ασύρματης δικτύωσης. Το τελευταίο διαχωρίζεται σε πολλαπλούς οδηγούς, έτσι ώστε το μόνο που χρειάζεται να ρυθμίσετε είναι οι παράμετροι του λογισμικού που στην πραγματικότητα πρόκειται να χρησιμοποιήσετε.

Το πρώτο πράγμα που χρειάζεστε είναι μια ασύρματη συσκευή. Οι πιο κοινές συσκευές που χρησιμοποιούνται συνήθως είναι αυτές που χρησιμοποιούν μέρη κατασκευασμένα από Atheros Αυτές οι συσκευές υποστηρίζονται από τον ath(4) οδηγό και απαιτούν η παρακάτω γραμμή να προσθεθεί στο /boot/loader.conf αρχείο:

if_ath_load="YES"

Ο οδηγός Atheros διαιρείται σε τρία χωριστά κομμάτια: Τον σωστό οδηγό (ath(4)), την υποστήριξη του υλικού και το τσιπ που χειρίζεται τις ειδικές λειτουργίες (ath_hal(4)),καθώς και έναν αλγόριθμο για την επιλογή ποιανής απο τις πολλές πιθανές τιμές θα πρέπει να πάρει για την μετάδοση frames (ath_rate_sample εδώ). Όταν φορτώνετε αυτούς τους βοηθητικούς οδηγούς αυτές οι εξαρτήσεις αυτόματα ρυθμίζονται για εσάς. Αν αντί της συσκευής Atheros είχατε κάποια άλλη συσκευή θα πρέπει να επιλέξετε τον οδηγό για τη συσκευή αυτή; π.χ.:

if_wi_load="YES"

Για συσκευές που βασίζονται σε Intersil Prism τμήματα (wi(4) οδηγός).

Σημείωση: Στο υπόλοιπο του παρόντος κειμένου, θα χρησιμοποιήσετε μία ath(4) συσκευή. το όνομα της συσκευής στα παραδείγματα πρέπει να αλλάξει ανάλογα με τις ρυθμίσεις σας. Μια λίστα με διαθέσιμους οδηγούς ασύρματων καρτών μπορούν να βρεθούν στην αρχή της wlan(4) σελίδας του εγχειριδίου. Εάν ένα FreeBSD πρόγραμμα οδήγησης για την ασύρματη συσκευή σας δεν υπάρχει, μπορεί να χρησιμοποιηθεί άμεσα το πρόγραμμα οδήγησης των Windows® με τη βοήθεια του NDIS driver wrapper.

Με ένα πρόγραμμα οδήγησης της συσκευής ρυθμισμένο θα πρέπει επίσης να το προσαρμόσετε στην υποστήριξη δικτύωσης 802.11 που απαιτείται από τον οδηγό. Για το ath(4) πρόγραμμα οδήγησης αυτοί είναι τουλάχιστον οι wlan(4), wlan_scan_ap και wlan_scan_sta οδηγοί; Ο wlan(4) οδηγός φορτώνεται αυτόματα με το πρόγραμμα οδήγησης της ασύρματης συσκευής. Οι υπόλοιποι οδηγοί πρέπει να φορτώνονται κατά την εκκίνηση μέσω του /boot/loader.conf αρχείου:

wlan_scan_ap_load="YES"
wlan_scan_sta_load="YES"

Με αυτό θα χρειαστείτε τους οδηγούς που εφαρμόζουν κρυπτογραφική υποστήριξη για πρωτόκολλα ασφάλειας που σκοπεύετε να χρησιμοποιήσετε. Αυτά προορίζονται να φορτωθούν δυναμικά κατά παραγγελία από τον wlan(4) οδηγό αλλά για την ώρα πρέπει να ρυθμιστούν με το χέρι. Οι ακόλουθοι οδηγοί είναι διαθέσιμοι και είναι οι wlan_tkip(4). όπως και οι wlan_ccmp(4) και οι wlan_tkip(4) οδηγοί είναι απαραίτητοι μόνο αν σκοπεύετε να χρησιμοποιήσετε το WPA και / ή 802.11i πρωτόκολλο ασφαλείας. Εάν το δίκτυο τρέχει εντελώς ανοικτό (δηλ., χωρίς κρυπτογράφηση) τότε δεν χρειάζεται καν την υποστήριξη του wlan_wep(4) Για να φορτώσετε αυτούς τους οδηγούς κατά την εκκίνηση, προσθέστε τις παρακάτω γραμμές στο /boot/loader.confαρχείο:

wlan_wep_load="YES"
wlan_ccmp_load="YES"
wlan_tkip_load="YES"

Με αυτές τις πληροφορίες στο αρχείο ρυθμίσεων του συστήματος εκκίνησης (δηλαδή, /boot/loader.conf), πρέπει να επανεκινήσετε το FreeBSD σύστημα σας. Εάν δεν θέλετε να επανεκκινήσετε το μηχάνημά σας προς το παρόν, μπορείτε να φορτώσετε τους οδηγούς με το χέρι χρησιμοποιώντας kldload(8).

Σημείωση: Εάν δεν θέλετε να χρησιμοποιήσετε οδηγούς, είναι δυνατό να μεταγλωτίσετε αυτούς τους οδηγούς μέσα στον πυρήνα προσθέτωντας τις παρακάτω γραμμές στο αρχείο ρυθμίσεων του πυρήνα:

device ath               # Atheros IEEE 802.11 wireless network driver
device ath_hal           # Atheros Hardware Access Layer
device ath_rate_sample   # John Bicket's SampleRate control algorithm.
device wlan              # 802.11 support (Required)
device wlan_scan_ap      # 802.11 AP mode scanning
device wlan_scan_sta     # 802.11 STA mode scanning
device wlan_wep          # WEP crypto support for 802.11 devices
device wlan_ccmp         # AES-CCMP crypto support for 802.11 devices
device wlan_tkip         # TKIP and Michael crypto support for 802.11 devices

Με αυτές τις πληροφορίες στο αρχείο ρυθμίσεων του πυρήνα, ξαναχτίστε τον πυρήνα και επανεκινήστε FreeBSD το μηχάνημα σας

Όταν το σύστημα σηκωθεί, μπορούμε να βρούμε μερικές πληροφορίες σχετικά με την ασύρματη συσκευή στα μηνύματα εκίνησης, όπως αυτό:

ath0: <Atheros 5212> mem 0xff9f0000-0xff9fffff irq 17 at device 2.0 on pci2
ath0: Ethernet address: 00:11:95:d5:43:62
ath0: mac 7.9 phy 4.5 radio 5.6

32.3.3 Infrastructure Mode

The infrastructure mode ή αλλιώς BSS είναι ο τρόπος που συνήθως χρησιμοποιείται. Σε αυτόν τον τρόπο, ένας αριθμός σημείων ασύρματης πρόσβασης είναι συνδεδεμένα με ένα ενσύρματο δίκτυο. Κάθε ασύρματο δίκτυο έχει το δικό του όνομα. Το όνομα αυτό ονομάζεται SSID του δικτύου. Ασύρματη σύνδεση - πελάτες συνδέονται σε σημεία ασύρματης πρόσβασης

32.3.3.1 FreeBSD Πελάτες

32.3.3.1.1 Πως να βρείτε ένα σημείο πρόσβασης

Για να σαρώσετε για δίκτυα, χρησιμοποιήστε την εντολή ifconfig. Το αίτημα αυτό μπορεί να κάνει λίγο για να ολοκληρωθεί, καθώς προϋποθέτει ότι οι διακόπτες του συστήματος για κάθε ασύρματη συχνότητα είναι διαθέσιμοι και παρορτύνει για διαθέσιμα σημεία πρόσβασης. Μόνο ο υπερ-χρήστης μπορεί να πραγματοποιήσει αυτή τη σάρωση:

# ifconfig ath0 up scan
SSID            BSSID              CHAN RATE  S:N   INT CAPS
dlinkap         00:13:46:49:41:76    6   54M 29:3   100 EPS  WPA WME
freebsdap       00:11:95:c3:0d:ac    1   54M 22:1   100 EPS  WPA

Σημείωση: Πρέπει να επισημάνετε το δίκτυοup για να μπορέσετε να σαρώσετε. Μεταγενέστερα αιτήματα σάρωσης δεν απαιτούν από εσάς να επισημάνετε ξανά τη διεπαφή επάνω.

Η έξοδος των αποτελεσμάτων ενώς αιτήματος σάρωσης καταγράφει κάθε BSS/IBSS δίκτυο που βρέθηκε. Δίπλα από το όνομα του δικτύου, SSID, θα βρείτε το BSSID που είναι η διεύθυνση MAC του σημείου πρόσβασης. Το πεδίο CAPS προσδιορίζει τον τύπο του κάθε δικτύου και τις δυνατότητες από τους σταθμούς που λειτουργούν εκεί:

E

Εκτεταμένες ρυθμίσεις υπηρεσιών (ESS). Δείχνει ότι ο σταθμός αποτελεί μέρος ενός δικτύου υποδομών (σε αντίθεση με ένα IBSS / ad-hoc δίκτυο).

I

IBSS/ad-hoc δίκτυο. Υποδηλώνει ότι ο σταθμός είναι μέρος ενός ad-hoc δικτύου (σε αντίθεση με ένα ESS δίκτυο).

P

Προστασία της ιδιωτικής ζωής. Η Εμπιστευτικότητα των δεδομένων είναι απαραίτητη για όλα τα πλαίσια δεδομένων που ανταλλάσσονται στο πλαίσιο του BSS. Αυτό σημαίνει ότι το BSS απαιτεί από το σταθμό τη χρήση κρυπτογραφικών μέσων όπως WEP, TKIP ή AES-CCMP για να κρυπτογραφεί / αποκρυπτογραφεί πλαίσια δεδομένων που ανταλλάσσονται με άλλους.

S

Σύντομος πρόλογος. Υποδηλώνει ότι το δίκτυο χρησιμοποιώντας σύντομη σύνδεση (που ορίζεται στο 802.11b High Rate/DSSS PHY, χρησιμοποιεί ένα 56 bit συγχρονισμού τομέα σε αντίθεση με ένα πεδίο 128 bit που χρησιμοποιούνται σε μεγάλους τρόπους σύνδεσης).

s

Σύντομο χρονικό διάστημα υποδοχής. Υποδηλώνει ότι το 802.11g δίκτυο χρησιμοποιεί ένα μικρό χρονικό διάστημα υποδοχής επειδή υπάρχουν άλλοι (802.11b) εμφανίσιμοι σταθμοί.

Κάποιος μπορεί επίσης να εμφανίζει την τρέχουσα γνωστή λίστα δυκτίων με

# ifconfig ath0 list scan

Οι πληροφορίες αυτές μπορεί να ενημερώνονται αυτόματα από τον προσαρμογέα ή χειροκίνητα με ένα scan αίτημα. Τα παλιά δεδομένα διαγράφοναι αυτόματα από τη μνήμη cache, έτσι με τον καιρό αυτή η λίστα μπορεί να συρρικνωθεί εκτώς αν γίνουν περισσότερες σαρώσεις

32.3.3.1.2 Βασικές ρυθμίσεις

Το τμήμα αυτό παρέχει ένα απλό παράδειγμα για το πώς να κάνουμε τον ασύρματο προσαρμογέα δικτύου να δουλέψει FreeBSD χωρίς κρυπτογράφηση. Εάν είστε εξοικειωμένοι με αυτές τις έννοιες, συνιστούμε τη χρήση τουWPAγια να σας στήσετε το ασύρματο δίκτυο σας.

Υπάρχουν τρία βασικά βήματα για να ρυθμίσετε τις παραμέτρους ενός ασύρματου δυκτίου: επιλέγοντας ένα σημείο πρόσβασης, επικυρώνοντας το σταθμό σας, και ρυθμίζοντας την IP διέυθυνση. Οι ακόλουθες ενότητες σας λένε πως να πραγματοποιήσετε το κάθε βήμα.

32.3.3.1.2.1 Επιλέγωντας σημείο πρόσβασης

Η ποιό κοινή επιλογή, είναι να αφήσουμε το σύστημα να επιλέξει ένα σημείο πρόσβασης χρησιμοποιώντας το ενσωματωμένο heuristics. Αυτή είναι η προεπιλεγμένη συμπεριφορά όταν εντοπίζεται ένα σημείο πρόσβασης αλλιώς ρυθμίσετε μια διασύνδεση καταγράφοντας την στο /etc/rc.confαρχείο. Π.χ.:

ifconfig_ath0="DHCP"

Εάν υπάρχουν πολλά σημεία πρόσβασης και θέλετε να επιλέξτε ένα συγκεκριμένο, μπορείτε να το επιλέξετε απο το SSID:

ifconfig_ath0="ssid your_ssid_here DHCP"

Σε ένα περιβάλλον όπου υπάρχουν πολλά σημεία πρόσβασης με το ίδιο SSID (που γίνεται συχνά στην απλούστευση του roaming) μπορεί να είναι απαραίτητη η σύνδεση σε μία συγκεκριμένη συσκευή. Σε αυτή την περίπτωση μπορείτε επίσεις να δηλώσετε το BSSID του σημείου πρόσβασης (Μπορείτε επίσης να αφήσετε ανοικτό το SSID):

ifconfig_ath0="ssid your_ssid_here bssid xx:xx:xx:xx:xx:xx DHCP"

Υπάρχουν και άλλοι τρόποι για να περιορίσετε την επιλογή ενός σημείου πρόσβασης όπως τον περιορισμό του συνόλου των συχνοτήτων όπου το σύστημα θα ανιχνεύει. Αυτό μπορεί να είναι χρήσιμο αν έχετε μια multi-band ασύρματη κάρτα καθώς η σάρωση όλων των πιθανών καναλιών μπορεί να είναι χρονοβόρα. Για να περιορίσετε τη λειτουργία σε μία συγκεκριμένη ζώνη μπορείτε να χρησιμοποιήσετε την mode παράμετρο. Π.χ.:

ifconfig_ath0="mode 11g ssid your_ssid_here DHCP"

Αυτό θα αναγκάσει την κάρτα να λειτουργεί σε 802.11g που ορίζεται μόνο για τις 2.4GHz συχνότητες έτσι ώστε κάθε κανάλι 5GHz δεν θα ληφθεί υπόψην. ¶λλοι τρόποι για να γίνει αυτό είναι η channel παράμετρος, για να κλειδώσει τη λειτουργία σε μια συγκεκριμένη συχνότητα, καθώς και η chanlist παράμετρος, για να καθορίσει μια λίστα καναλιών για σάρωση. Περισσότερες πληροφορίες σχετικά με αυτές τις παραμέτρους μπορούν να βρεθούν στο ifconfig(8) εγχειρίδιο

32.3.3.1.2.2 Επικύρωση

Μόλις επιλέξετε ένα σημείο πρόσβασης στο σταθμό σας χρειάζεται επικύρωση για να μπορέσετε να περάσετε τα δεδομένα σας. Η επικύρωση μπορεί να επιτευχθεί με διάφορους τρόπους. Ο ποιό κοινός τρόπος που χρησιμοποιείται ονομάζεται ανοικτός έλεγχος ταυτότητας και επιτρέπει σε κάθε σταθμό να ενταχθεί στο δίκτυο και να επικοινωνησεί. Αυτή είναι η επικύρωση που πρέπει να χρησιμοποιήσετε για το σκοπό της δοκιμής αυτής την πρώτη φορά που θα δημιουργήσετε ένα ασύρματο δίκτυο. ¶λλα συστήματα απαιτούν κρυπτογραφικές ανταλλαγές που ολοκληρώνονται πριν τα δεδομένα να αρχίσουν να κινούνται. Είτε με τη χρήση pre-shared ή μυστικών κλειδιών, ή ποιό πολύπλοκα σχέδια που συμπεριλαμβάνουν backend υπηρεσίες, όπως το RADIUS. Οι περισσότεροι χρήστες θα χρησιμοποιήσουν τον ανοικτό έλεγχο ταυτότητας που είναι η προεπιλογμένη ρύθμιση. Η επόμενη πιο κοινή ρύθμιση είναι το WPA-PSK,γνωστή επίσης ως WPA Personal, το οποίο περιγράφεταιπαρακάτω.

Σημείωση: Εάν έχετε έναν Apple® AirPort® υπερ-σταθμό για ένα σημείο πρόσβασης μπορεί να χρειαστεί να ρυθμίσετε την shared-key επικύρωση μαζί με το WEP κλειδί. Αυτό μπορεί να γίνει στο /etc/rc.conf αρχείο ή χρησιμοποιώντας το wpa_supplicant(8) πρόγραμμα. Εάν έχετε μόνο έναν AirPort βασικό σταθμό μπορείτε να ρυθμίσετε την πρόσβαση με κάτι σαν:

ifconfig_ath0="authmode shared wepmode on weptxkey 1 wepkey 01234567 DHCP"

Σε γενικές γραμμές το κλειδί της ταυτότητας πρέπει να αποφεύγεται επειδή χρησιμοποιεί μέρος του κλειδιού WEP σε μια εξαιρετικά περιορισμένη λήψη που το κάνει ακόμα ευκολότερο να να παραβιάσουμε το κλειδί. Αν το WEP πρέπει να χρησιμοποιηθεί (π.χ., για συμβατότητα με παλαιότερες συσκευές), είναι καλύτερο να χρησιμοποιήσετε το WEP με open επικύρωση. Περισσότερες πληροφορίες σχετικά με το WEP μπορούν να βρεθούν στοΤμήμα 32.3.3.1.4.

32.3.3.1.2.3 Παίρνωντας μια IP διέυθυνση με DHCP

Μόλις επιλέξετε ένα σημείο πρόσβασης και ορίστε τις παραμέτρους επικύρωσης, θα πρέπει να πάρετε μια IP διεύθυνση για να επικοινωνίσετε. Σχεδόν πάντα την ασύρμητη IP διέυθυνση σας θα την αποκτάτε μέσω DHCP. Για να επιτευχθεί αυτό απλά επεξεργαστείτε το/etc/rc.conf αρχείο και προσθέστε DHCPστις ρύθμισεις της συσκευής σας όπως φαίνεται σε διάφορα παραπάνω παραδείγματα:

ifconfig_ath0="DHCP"

Σε αυτό το σημείο, είστε έτοιμοι να θέσετε την ασύρματη σύνδεση:

# /etc/rc.d/netif start

Μόλις το περιβάλλον βρίσκεται σε λειτουργία, χρησιμοποιείστε την εντολή ifconfig για να δείτε την κατάσταση της διεπαφήςath0:

# ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
        inet 192.168.1.100 netmask 0xffffff00 broadcast 192.168.1.255
        ether 00:11:95:d5:43:62
        media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps)
        status: associated
        ssid dlinkap channel 6 bssid 00:13:46:49:41:76
        authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100

Η κατάσταση: associated σημαίνει οτι είστε συνδεδεμένοι στο ασύρματο δίκτυο (στο dlinkap δίκτυο στην συγκεκριμένη περίπτωση). Το bssid 00:13:46:49:41:76 μέρος είναι η MAC διέυθυνση του σημείου πρόσβασης σας. Η authmode γραμμή σας ενημερώνει οτι η σύνδεση σας δεν είναι κρυπτογραφημένη (OPEN).

32.3.3.1.2.4 Στατική IP διέυθυνση

Στην περίπτωση που δεν μπορείτε να αποκτήσετε μια διεύθυνση IP απο έναν DHCP διακομιστή, μπορείτε να ορίσετε μια σταθερή διεύθυνση IP. Αντικαταστήστε την DHCP λέξη που φαίνεται παραπάνω με τα στοιχεία διεύθυνσης. Να είστε βέβαιοι οτι διατηρείται όλες τις άλλες παραμέτρους που έχετε ρυθμίσει για να επιλέξετε ένα σημείο πρόσβασης

ifconfig_ath0="ssid your_ssid_here inet 192.168.1.100 netmask 255.255.255.0"

32.3.3.1.3 WPA

Το WPA (Wi-Fi Protected Access) είναι ένα πρωτόκολλο ασφαλείας που χρησιμοποιείται σε συνδυασμό με τα 802.11 δίκτυα για την αντιμετώπιση της έλλειψης της νόμιμης επικύρωσης και την αδυναμία του WEP. Το WPA αξιοποιεί το πρωτόκολλο ελέγχου ταυτότητας 802.1X και χρησιμοποιεί έναν από τους πολλούς αλγόριθμους κρυπτογράφησης αντί του WEP για την ακεραιότητα των δεδομένων. Ο μόνος απαιτούμενος απο το WPA αλγόριθμος κρυπτογράφησης είναι ο TKIP (Πρωτόκολο προσωρινού κλειδιού ακεραιότητας) ο οποίος είναι ένας αλγόριθμος κρυπτογράφησης που επεκτείνει τον βασικό RC4 αλγόριθμο κρυπτογράφησης που χρησιμοποιείται απο το WEP προσθέτοντας έλεγχο της ακεραιότητας, ανίχνευση tamper, καθώς και μέτρα για την αντιμετώπιση και ανίχνευση κάθε παραβίασης. Το TKIP σχεδιάστηκε να δουλέυει σε παλιές συσκευές μόνο με προσαρμογές λογισμικού. Αντιπροσωπεύει μία αλλά δεν είναι ακόμη πλήρως άτρωτη σε επιθέσεις. Το WPA καθορίζει επίσης την AES-CCMP κρυπτογράφηση που είναι εναλλακτική λύση στο TKIP και αυτό προτιμάται όταν είναι δυνατόν. Για αυτό τον λόγο ο όρος WPA2 (or RSN) χρησιμοποιείται συχνά.

Το WPA ορίζει πρωτόκολλα ταυτοποίησης και κρυπτογράφησης. Η Επικυρωση γίνεται πιο συχνά χρησιμοποιώντας μια από τις δύο τεχνικές: Με 802.1X και μία backend υπηρεσία ελέγχου ταυτότητας όπως το RADIUS, είτε από μια ελάχιστη σύνδεση ανάμεσα στον σταθμό και το σημείο πρόσβασης χρησιμοποιώντας ένα απο-κοινού μυστικό. Το πρώτο ονομάζεται WPA Enterprise με την τελευταία γνωσή ονομασία WPA Personal. Δεδομένου ότι οι περισσότεροι άνθρωποι δεν θα δημιουργήσουν έναν RADIUS backend διακομιστή για ασύρματο δίκτυο, το WPA-PSK είναι με διαφορά η ποιό κοινή ρύθμιση που καλούνται να διαμορφώσουν για το WPA.

Ο έλεγχος της ασύρματης σύνδεσης και η ταυτοποίηση (κλειδί διαπραγματεύσεων ή ταυτοποίησης με τον διακομιστή) γίνεται με το wpa_supplicant(8) εργαλείο. Αυτο το πρόγραμμα απαιτεί ένα αρχείο ρυθμίσεων, το /etc/wpa_supplicant.confαρχείο, για να τρέξει. Περισσότερες πληροφορίες σχετικά με το αρχείο αυτό μπορούν να βρεθούν στο wpa_supplicant.conf(5) εγχειρίδιο.

32.3.3.1.3.1 WPA-PSK

Το WPA-PSK επίσεις γνωστό και ως WPA-Personal είναι βασισμένο σε ένα pre-shared κλειδί (PSK) που παράγεται από ένα συγκεκριμένο κωδικό και που θα χρησιμοποιηθεί ως το κύριο κλειδί του ασύρματου δίκτυου. Αυτό σημαίνει πως κάθε δίκτυο θα μοιράζεται το ίδιο κλειδί. Το WPA-PSK ενδύκνειται για μικρά δίκτυα όπου τη χρήση ενός διακομιστή ελέγχου ταυτότητας δεν είναι εφικτή ή επιθυμητή.

Προειδοποίηση: Πάντα να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης που είναι αρκετά μεγάλοι και φτιαγμένοι απο "πλούσιο" αλφάβητο για να μην μπορεί κάποιος να τους υποπτευθεί ή να τους επιτεθεί.

Το πρώτο βήμα είναι η ρύθμιση του /etc/wpa_supplicant.conf αρχείου με το SSID και το pre-shared κλειδί του δυκτίου σας:

network={
  ssid="freebsdap"
  psk="freebsdmall"
}

Τότε στο /etc/rc.confαρχείο, υποδεικνύουμε οτι η ρύθμιση της ασύρματης συσκευής θα γίνει με το WPA και η IP διέυθυνση θα ληφθεί με DHCP:

ifconfig_ath0="WPA DHCP"

Στη συνέχεια, μπορούμε να σηκώσουμε την διεπαφή:

# /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 5
DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 6
DHCPOFFER from 192.168.0.1
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.1
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
      inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
      inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
      ether 00:11:95:d5:43:62
      media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps)
      status: associated
      ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
      authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36
      protmode CTS roaming MANUAL bintval 100

Η μπορούμε να προσπαθήσουμε να την σηκώσουμε χειροκίνητα χρησιμοποιώντας το/etc/wpa_supplicant.conf παραπάνω, και να τρέξουμε:

# wpa_supplicant -i ath0 -c /etc/wpa_supplicant.conf
Trying to associate with 00:11:95:c3:0d:ac (SSID='freebsdap' freq=2412 MHz)
Associated with 00:11:95:c3:0d:ac
WPA: Key negotiation completed with 00:11:95:c3:0d:ac [PTK=TKIP GTK=TKIP]

Το επόμενο βήμα είναι η έναρξη της dhclient εντολής για να πάρουμε IP διέυθυνση απο τον DHCP διακομιστή:

# dhclient ath0
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.1
bound to 192.168.0.254 -- renewal in 300 seconds.
# ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
      inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
      inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
      ether 00:11:95:d5:43:62
      media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/48Mbps)
      status: associated
      ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
      authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36
      protmode CTS roaming MANUAL bintval 100

Σημείωση: Εαν το /etc/rc.conf αρχείο έχει ρυθμιστεί με την γραμμή ifconfig_ath0="DHCP" τότε δεν είναι ανάγκη να τρέξουμε την dhclient εντολή χειροκίνητα, dhclient θα ξεκινήσει μετά wpa_supplicant plumbs the keys.

Στην περίπτωση που η χρήση της DHCP δεν είναι εφικτή, μπορούμε να θέσουμε μια σταθερή IP διέυθυνση μετά wpa_supplicant την επικύρωση του σταθμού:

# ifconfig ath0 inet 192.168.0.100 netmask 255.255.255.0
# ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
      inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
      inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
      ether 00:11:95:d5:43:62
      media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps)
      status: associated
      ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
      authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36
      protmode CTS roaming MANUAL bintval 100

Οταν η DHCP δεν χρησιμοποιείται, πρέπει να ρυθμίσετε χειροκίνητα τον default gateway (προεπιλεγμένη πύλη) και τον nameserver:

# route add default your_default_router
# echo "nameserver your_DNS_server" >> /etc/resolv.conf
32.3.3.1.3.2 WPA with EAP-TLS

Ο δέυτερος τρόπος να χρησιμοποιήσουμε το WPA είναι με ένα 802.1X backend επικυρωμένο διακομιστή. Σε αυτή την περίπτωση το WPA ονομάζεται WPA-Enterprise για να διαφέρει με το λιγότερο ασφαλές WPA-Personal με το pre-shared κλειδί του. Η επικύρωση με WPA-Enterprise είναι βασισμένη στο EAP (Extensible Authentication Protocol).

Το EAP δεν έρχεται με κάποια κρυπτογραφημένη μέθοδο, αποφασίστηκε να ενσωματώσει το EAP μέσα σε μια κρυπτογραφημένη σύνδεση. Πολλοί τύποι επικύρωσης του EAP έχουν σχεδιαστεί. Οι ποιό συνήθεις ειναι οι EAP-TLS, EAP-TTLS και EAP-PEAP.

Το EAP-TLS (EAP with Transport Layer Security) είναι ένα υποστηριζόμενο πρωτόκολλο ελέγχου ταυτότητας στον κόσμο του ασύρματου δυκτίου καθώς ήταν η πρώτη μέθοδος EAP που πιστοποιήθηκε απο την Wi-Fi alliance. Το EAP-TLS θα απαιτήσει τρία πιστοποιητικά για να εκτελεστεί: Το CA πιστοποιητικό (εγκατεστημένο σε όλα τα μηχανήματα), το πιστοποιητικό διακομιστή για την επικύρωση του διακομιστή σας, και ένα πιστοποιητικό - πελάτης για κάθε ασύρματο δίκτυο - πελάτης. Σε αυτή την μέθοδο το EAP, ο επικυρωμένος διακομιστής όπως και το ασύρματο δίκτυο-πελάτης πιστοποιούν ο ένας τον άλλο παρουσιάζοντας τα πιστοποιητικά τους, και επαληθεύουν ότι τα εν λόγω πιστοποιητικά υπεγράφησαν από τον οργανισμό αρχής έκδοσης πιστοποιητικών (CA).

Μέχρι πρότεινως η ρύθμιση γινόταν μέσω του /etc/wpa_supplicant.confαρχείου:

network={
  ssid="freebsdap" (1)
  proto=RSN  (2)
  key_mgmt=WPA-EAP (3)
  eap=TLS (4)
  identity="loader" (5)
  ca_cert="/etc/certs/cacert.pem" (6)
  client_cert="/etc/certs/clientcert.pem" (7)
  private_key="/etc/certs/clientkey.pem" (8)
  private_key_passwd="freebsdmallclient" (9)
}
(1)
Το πεδίο αυτό υποδηλώνει το όνομα του δικτύου (SSID).
(2)
Εδώ, χρησιμοποιούμε RSN (IEEE 802.11i) πρωτόκολλο, δηλαδή, WPA2.
(3)
Η key_mgmt γραμμή αναφέρεται στο βασικό πρωτόκολλο διαχείρισης που χρησιμοποιούμε. Στην περίπτωσή μας είναι το WPA χρησιμοποιώντας EAP επικύρωση: WPA-EAP.
(4)
Σε αυτόν τον τομέα, θα αναφέρω την μέθοδο EAP για την σύνδεση μας.
(5)
Το identity πεδίο περιέχει τη συμβολοσειρά ταυτότητας για το EAP.
(6)
Το ca_cert πεδίο υποδηλώνει τη διαδρομή του αρχείου του πιστοποιητικού CA. Αυτό το αρχείο είναι αναγκαίο για την επαλήθευση του πιστοποιητικού του διακομιστή.
(7)
Η client_cert γραμμή δίνει τη διαδρομή για το αρχείο του πιστοποιητικού - πελάτη. Αυτό το πιστοποιητικό είναι μοναδικό για κάθε πελάτη ασύρματου δικτύου του δυκτίου.
(8)
Το private_key πεδίο είναι η διαδρομή του αρχείου του πιστοποιητικού - πελάτη, Το αρχείο με το προσωπικό κλειδί.
(9)
Το private_key_passwd πεδίο περιέχει την συνθηματική φράση για το ιδιωτικό κλειδί.

Στη συνέχεια, προσθέστε την ακόλουθη γραμμή στό /etc/rc.confαρχείο:

ifconfig_ath0="WPA DHCP"

Το επόμενο βήμα είναι να σηκώσουμε την διεπαφή με την βοήθεια του rc.d αρχείου:

# /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
      inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
      inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
      ether 00:11:95:d5:43:62
      media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps)
      status: associated
      ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
      authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit
      txpowmax 36 protmode CTS roaming MANUAL bintval 100

Όπως έχει ήδη αποδειχθεί, είναι επίσης δυνατό να σηκώσουμε την διεπαφή χειροκίνητα με τις wpa_supplicant και ifconfig εντολές.

32.3.3.1.3.3 WPA with EAP-TTLS

Με το EAP-TLS τόσο ο διακομιστής ελέγχου ταυτότητας όσο και ο πελάτης χρειάζονται ένα πιστοποιητικό, το EAP-TTLS (EAP-Tunneled Transport Layer Security). Είναι ένα πιστοποιητικό πελάτη το οποίο είναι προαιρετικό. Αυτή η μέθοδος είναι κοντά σε αυτό που κάνουν μερικοί ασφαλείς ιστοτόποι. Οταν ο διακομιστής δυκτίου μπορεί να δημιουργήσει μία ασφαλής SSL σύνδεσης, ακόμη και αν οι επισκέπτες δεν έχουν πιστοποιητικά πελάτη απο την πλευρά τους. Το EAP-TTLS θα χρησιμοποιήσει την κρυπτογραφημένη TLS σύνδεση για την ασφαλή μεταφορά της γνησιότητας των δεδομένων.

Η ρύθμιση γίνεται μέσω του /etc/wpa_supplicant.conf αρχείου:

network={
  ssid="freebsdap"
  proto=RSN
  key_mgmt=WPA-EAP
  eap=TTLS (1)
  identity="test" (2)
  password="test" (3)
  ca_cert="/etc/certs/cacert.pem" (4)
  phase2="auth=MD5" (5)
}
(1)
Σε αυτόν τον τομέα, θα αναφέρω την μέθοδο EAP για την σύνδεση μας.
(2)
Το identity πεδίο περιέχει τη συμβολοσειρά επαλήθευσης της EAP επικύρωσης μέσα στην κρυπρογραφημένη TLS σύνδεση.
(3)
Το password πεδίο περιέχει την συνθηματική φράση για την εξακρίβωση της γνησιότητας EAP.
(4)
Το ca_cert πεδίο υποδηλώνει τη διαδρομή του αρχείου του CA πιστοποιητικού. Αυτό το αρχείο είναι αναγκαίο για την επαλήθευση του πιστοποιητικού του διακομιστή.
(5)
Σε αυτόν τον τομέα, θα αναφέρουμε την μέθοδο επικύρωσης που χρησιμοποιείται στην TLS σύνδεση. Στην περίτωση μας, έχει χρησιμοποιηθεί το EAP με MD5-Challenge. Η «inner authentication» φάση, συχνά ονομάζεται «phase2».

Πρέπει επίσης να προσθέσετε την ακόλουθη γραμμή στο αρχείο /etc/rc.conf:

ifconfig_ath0="WPA DHCP"

Το επόμενο βήμα είναι να σηκώσετε την διεπαφή:

# /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
      inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
      inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
      ether 00:11:95:d5:43:62
      media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps)
      status: associated
      ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
      authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit
      txpowmax 36 protmode CTS roaming MANUAL bintval 100
32.3.3.1.3.4 WPA with EAP-PEAP

Το PEAP (Protected EAP) έχει σχεδιαστεί ως μία εναλλακτική λύση στο EAP-TTLS. Υπάρχουν δύο τύποι PEAP μεθόδων. Η πλέον διαδεδομένη είναι η PEAPv0/EAP-MSCHAPv2. Στο υπόλοιπο του παρόντος κειμένου, θα χρησιμοποιήσουμε την PEAP όρο για να αναφερθούμε στην EAP μέθοδο. Η PEAP είναι το πλέον χρησιμοποιούμενο EAP πρότυπο μετά το EAP-TLS. Με άλλα λόγια, αν έχετε ένα δίκτυο με πολλά Λειτουργικά Συστήματα μαζί, το PEAP θα έπερεπε να είναι το ποιό υποστηριζόμενο πρότυπο μετά το EAP-TLS.

Το PEAP είναι παρόμοιο με το EAP-TTLS. Χρησιμοποιεί ένα πιστοποιητικό απο την πλευρά του διακομιστή για τον έλεγχο της ταυτότητας των πελατών δημιουργώντας μία κρυπτογραφημένη TLS σύνδεση, του πελάτη και του διακομιστή ελέγχου ταυτότητας, η οποία προστατεύει την συνεχόμενη ανταλλαγή πληροφοριών ελέγχου ταυτότητας. In term of security η διαφορά μεταξύ EAP-TTLS και PEAP είναι οτι η PEAP μετάδοση της ταυτότητας του χρήστη είναι σαφής. Μόνο ο κωδικός πρόσβασης έχει σταλεί στην κρυπτογραφημένη TLS σύνδεση. Το EAP-TTLS θα χρησιμοποιήσει την TLS σύνδεση για το username και για το password.

Πρέπει να επεξεργαστείτε το /etc/wpa_supplicant.conf αρχείο και να προσθέσετε τις EAP-PEAP σχετικές ρυθμίσεις:

network={
  ssid="freebsdap"
  proto=RSN
  key_mgmt=WPA-EAP
  eap=PEAP (1)
  identity="test" (2)
  password="test" (3)
  ca_cert="/etc/certs/cacert.pem" (4)
  phase1="peaplabel=0" (5)
  phase2="auth=MSCHAPV2" (6)
}
(1)
Σε αυτόν τον τομέα, θα αναφέρουμε την EAP μέθοδο για τη σύνδεση μας.
(2)
Το identity πεδίο περιέχει τη συμβολοσειρά ταυτότητας για τον έλεγχο ταυτότητας του EAP μέσα στην κρυπτογραφημένη TLS σύνδεση.
(3)
Το password πεδίο περιέχει τη συνθηματική φράση για την εξακρίβωση της γνησιότητας του EAP.
(4)
The ca_cert πεδίο υποδηλώνει τη διαδρομή του αρχείου του CA πιστοποιητικού. Αυτό το αρχείο είναι αναγκαίο για την επαλήθευση του πιστοποιητικού του διακομιστή.
(5)
Το πεδίο αυτό περιέχει τις παραμέτρους για την πρώτη φάση του ελέγχου ταυτότητας (την TLS σύνδεση). Σύμφωνα με το διακομιστή ελέγχου ταυτότητας θα πρέπει να ορίσετε μια ειδική ετικέτα για την εξακρίβωση της γνησιότητας. Τον περισσότερο χρόνο, η ετικέτα θα είναι«client EAP encryption» το οποίο έχει καθοριστεί με τη χρήση peaplabel=0. Περισσότερες πληροφορίες μπορείτε να βρείτε στο wpa_supplicant.conf(5) εγχειρίδιο.
(6)
Σε αυτόν τον τομέα, θα αναφέρω το πρωτόκολλο της εξακρίβωσης της γνησιότητας που χρησιμοποιείται για την κρυπτογραφημένη TLS σύνδεση. Στην περίπτωση του PEAP, είναι auth=MSCHAPV2.

Το ακόλουθο κείμενο πρέπει να προστεθεί στο /etc/rc.confαρχείο:

ifconfig_ath0="WPA DHCP"

Τότε μπορούμε να σηκώσουμε την διεπαφή:

# /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
      inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
      inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
      ether 00:11:95:d5:43:62
      media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps)
      status: associated
      ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
      authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit
      txpowmax 36 protmode CTS roaming MANUAL bintval 100

32.3.3.1.4 WEP

Το WEP (Wired Equivalent Privacy) αποτελεί μέρος του αρχικού 802.11 προτύπου. Δεν υπάρχει μηχανισμός ελέγχου ταυτότητας, απλώς και μόνο ένας ασθενής τρόπος ελέγχου πρόσβασης, και είναι έυκολο να παραβιαστεί.

Το WEP μπορεί να ρυθμιστεί με ifconfig:

# ifconfig ath0 ssid my_net wepmode on weptxkey 3 wepkey 3:0x3456789012 \
	    inet 192.168.1.100 netmask 255.255.255.0
  • Το weptxkey σημαίνει ποιό WEP θα χρησιμοποιηθεί στην μετάδοση. Εδώ χρησιμοποιήσαμε το τρίτο κλειδί. Αυτό θα πρέπει να ταιριάζει στις ρυθμίσεις του σημείου πρόσβασης. Εαν δεν έχετε ιδέα τι είναι αυτό το κλειδί που χρησιμοποιείται από το σημείο πρόσβασης, θα πρέπει να προσπαθήσετε να χρησιμοποιήσετε 1 (Δηλαδή, το πρώτο κλειδί) για αυτή την τιμή).

  • Το wepkey σημαίνει ρυθμίζοντας το επιλεγμένο WEP κλειδί. Θα έπρεπε να είναι στη μορφή index:key. Εάν ο πίνακας δεν δίνεται, το κλειδί1προεπιλέγεται. Αυτό σημαίνει οτι πρέπει να ρυθμίσουμε τον πίνακα αν χρησιμοποιούμε άλλα κλειδιά εκτώς απο το πρώτο κλειδί.

    Σημείωση: Πρέπει να αντικαταστήσετε το 0x3456789012 με το ρυθμισμένο κλειδί για την χρήση του σημείου πρόσβασης.

Σας προτείνουμε να διαβάσετε ifconfig(8) το εγχειρίδιο για περισσότερες πληροφορίες.

Το wpa_supplicant πρόγραμμα μπορεί επίσεις να χρησιμοποιηθεί για να ρυθμίσετε το ασύρματο δίκτυο σας με WEP. Το παραπάνω παράδειγμα μπορεί να ρυθμιστεί με την προσθήκη της ακόλουθης γραμμής στο /etc/wpa_supplicant.conf αρχείο:

network={
  ssid="my_net"
  key_mgmt=NONE
  wep_key3=3456789012
  wep_tx_keyidx=3
}

Τότε:

# wpa_supplicant -i ath0 -c /etc/wpa_supplicant.conf
Trying to associate with 00:13:46:49:41:76 (SSID='dlinkap' freq=2437 MHz)
Associated with 00:13:46:49:41:76

32.3.4 Ad-hoc τρόπος

Ο IBSS τρόπος, ονομάζεται επίσης ad-hoc τρόπος. Εχει σχεδιαστεί για point to point συνδέσεις. Για παράδειγμα, για τη δημιουργία ενός ad-hoc δυκτίου μεταξύ του μηχανήματος A και του μηχανήματος B απλά θα πρέπει να επιλέξουμε δύο IP διευθύνσεις και ένα SSID.

Στο σύστημαA:

# ifconfig ath0 ssid freebsdap mediaopt adhoc inet 192.168.0.1 netmask 255.255.255.0
# ifconfig ath0
  ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	  inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
	  inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
	  ether 00:11:95:c3:0d:ac
	  media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>)
	  status: associated
	  ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac
	  authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100

Η adhoc παράμετρος δείχνει οτι η διεπαφή τρέχει με τον IBSS τρόπο.

Στο B, θα πρέπει να είμαστε σε θέση να ανιχνεύσουμε A:

# ifconfig ath0 up scan
  SSID            BSSID              CHAN RATE  S:N   INT CAPS
  freebsdap       02:11:95:c3:0d:ac    2   54M 19:3   100 IS

Το I στο αποτέλεσμα επιβεβαιώνει οτι το μηχάνημα A τρέχει με τον ad-hoc τρόπο. Απλά πρέπει να ρυθμίσουμε B με μία διαφορετικη IP διέυθυνση:

# ifconfig ath0 ssid freebsdap mediaopt adhoc inet 192.168.0.2 netmask 255.255.255.0
# ifconfig ath0
  ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	  inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
	  inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
	  ether 00:11:95:d5:43:62
	  media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>)
	  status: associated
	  ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac
	  authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100

Το A καθώς και το Bείναι τώρα έτοιμα να ανταλλάξουν πληροφορίες.

32.3.5 FreeBSD Host σημεία πρόσβασης

FreeBSD Μπορεί να λειτουργήσει ως ένα σημείο πρόσβασης (AP) το οποίο σταματάει την ανάγκη να αγοράσουμε υλικό μέρος AP ή να τρέξουμε ένα ad-hoc δίκτυο. Αυτό μπορεί να είναι ιδιαίτερα χρήσιμο όταν FreeBSD το μηχάνημα ενεργεί σαν πύλη σε ένα άλλο δίκτυο (Π.χ., το Διαδίκτυο).

32.3.5.1 Βασικές ρυθμίσεις

Πρίν ρυθμίσετε FreeBSD το μηχάνημα σαν AP, ο πυρήνας πρέπει να ρυθμιστεί με την απαραίτητη βοήθεια ασύρματης δυκτίωσης για την κάρτα δυκτίου σας. Επίσεις πρέπει να προσθέσετε τη βοήθεια για τα πρωτόκολλα ασφαλέιας που σκοπέυεται να χρησιμοποιήσετε. Για περισσότερες πληροφορίες, δείτεΤμήμα 32.3.2.

Σημείωση: Η χρήση του NDIS οδηγού wrapper και Windows οδηγοί δεν επιτρέπουν επί του παρόντος τη λειτουργία AP. Μόνο native FreeBSD οδηγοί ασύρματης δυκτίωσης υποστηρίζουν την επιλογή AP.

Μόλις φορτωθεί η υποστήριξη ασύρματης δικτύωσης, μπορείτε να ελέγξτε αν η ασύρματη συσκευή σας υποστηρίζει the host-based σημείου πρόσβασης (γνωστή και ως hostap):

# ifconfig ath0 list caps
ath0=783ed0f<WEP,TKIP,AES,AES_CCM,IBSS,HOSTAP,AHDEMO,TXPMGT,SHSLOT,SHPREAMBLE,MONITOR,TKIPMIC,WPA1,WPA2,BURST,WME>

Το αποτέλεσμα εμφανίζει τις δυνατότητες της κάρτας. Η HOSTAP λέξη επιβεβαιώνει οτι αυτή η ασύρματη κάρτα μπορεί να λειτουργήσει ως ένα σημείο πρόσβασης. Διάφοροι αλγόριθμοι κρυπτογράφησης που υποστηρίζονται είναι: WEP, TKIP, WPA2, κλπ., αυτές οι πληροφορίες είναι σημαντικές για να γνωρίζουμε ποιά πρωτόκολλα ασφαλείας θα μπορούσαν να καθοριστούν στο σημείο πρόσβασης.

Η ασύρματη κάρτα μπορεί τώρα να μπεί στην hostap επιλογή και να ρυθμιστεί με το σωστό SSID και IP διέυθυνση:

# ifconfig ath0 ssid freebsdap mode 11g mediaopt hostap inet 192.168.0.1 netmask 255.255.255.0

Χρησιμοποιήσετε ξανά ifconfig για να δείτε την κατάσταση της ath0 διεπαφής:

# ifconfig ath0
  ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	  inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
	  inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
	  ether 00:11:95:c3:0d:ac
	  media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
	  status: associated
	  ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
	  authmode OPEN privacy OFF txpowmax 38 bmiss 7 protmode CTS burst dtimperiod 1 bintval 100

Η hostap παράμετρος δείχνει οτι η διεπαφή τρέχει στην host-based επιλογή του σημείου πρόσβασης.

Η ρύθμιση της διεπαφής μπορεί να γίνει αυτόματα κατά την εκκίνηση, προσθέτοντας την ακόλουθη γραμμή στο /etc/rc.confαρχείο:

ifconfig_ath0="ssid freebsdap mode 11g mediaopt hostap inet 192.168.0.1 netmask 255.255.255.0"

32.3.5.2 Host-based Σημείο πρόσβασης χωρίς επικύρωση ή κρυπτογράφηση

Αν και δεν συνιστάται να εκτελέσετε ένα AP χωρίς καμία επικύρωση ή κρυπτογράφηση, αυτός είναι ένας απλός τρόπος για να ελέγξετε εάν το AP δουλέυει. Η ρύθμιση αυτή είναι επίσης σημαντική για τον εντοπισμό σφαλμάτων - πελάτη.

Μόλις το AP ρυθμιστεί όπως φαίνεται προηγουμένως, είναι δυνατό να ξεκινήσει μια σάρωση από μια άλλη ασύρματη συσκευή βρίσκοντας το AP:

# ifconfig ath0 up scan
SSID            BSSID              CHAN RATE  S:N   INT CAPS
freebsdap       00:11:95:c3:0d:ac    1   54M 22:1   100 ES

Το μηχάνημα-πελάτη που βρίσκει το σημείο πρόσβασης μπορεί να συνδεθεί με αυτό:

# ifconfig ath0 ssid freebsdap inet 192.168.0.2 netmask 255.255.255.0
# ifconfig ath0
  ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	  inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
	  inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
	  ether 00:11:95:d5:43:62
	  media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps)
	  status: associated
	  ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
	  authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100

32.3.5.3 WPA Host-based σημείο πρόσβασης

Αυτή η ενότητα θα επικεντρωθεί στην δημιουργία FreeBSD σημείου πρόσβασης χρησιμοποιώντας το πρωτόκολλο ασφαλείας WPA. Περισσότερες πληροφορίες σχετικά με το WPA και την ρύθμιση του WPA-based ασύρματου δικτύου - πελάτες μπορεί να βρεθεί στοΤμήμα 32.3.3.1.3.

Ο hostapd δαίμονας χρησιμοποιείται για να ασχολείται με τον έλεγχο ταυτότητας - πελάτη και τα κλειδιά διαχείρισης στο ενεργοποιημένο WPA σημείο πρόσβασης.

Στο εξής, όλες οι λειτουργίες διαμόρφωσης θα πραγματοποιούνται στο FreeBSD μηχάνημα ενεργώντας σαν AP. Απο τη στιγμή που το AP δουλέυει σωστά, hostapd Θα πρέπει να ενεργοποιείται αυτόματα κατά την εκκίνηση με την ακόλουθη γραμμή στο /etc/rc.confαρχείο:

hostapd_enable="YES"

Πριν δοκιμάσετε να ρυθμίσετε hostapd, πρέπει να βεβαιωθείτε ότι έχετε κάνει τις βασικές ρυθμίσεις που παρουσιάζονται στοΤμήμα 32.3.5.1.

32.3.5.3.1 WPA-PSK

WPA-PSK προορίζεται για μικρά δίκτυα, όπου η χρήση ενώς backend διακομιστή ελέγχου ταυτότητας δεν είναι εφικτή ή επιθυμητή.

Η ρύθμιση γίνεται στο /etc/hostapd.conf αρχείο:

interface=ath0 (1)
debug=1 (2)
ctrl_interface=/var/run/hostapd (3)
ctrl_interface_group=wheel (4)
ssid=freebsdap (5)
wpa=1 (6)
wpa_passphrase=freebsdmall (7)
wpa_key_mgmt=WPA-PSK (8)
wpa_pairwise=CCMP TKIP (9)
(1)
Το πεδίο αυτό υποδηλώνει την ασύρματη σύνδεση που χρησιμοποιείται για το σημείο πρόσβασης.
(2)
Το πεδίο αυτό καθορίζει το επίπεδο of verbosity κατα την διάρκεια της εκτέλεσης του hostapd. Η τιμή 1 αντιπροσωπεύει το κατώτερο επίπεδο.
(3)
Το ctrl_interface πεδίο δίνει τη διαδρομή του καταλόγου που χρησιμοποιείται από hostapd για να αποθηκέυσει τα domain socket αρχεία για την επικοινωνία με εξωτερικά προγράμματα όπως το hostapd_cli(8). Εδώ χρησιμοποιείται η προκαθορισμένη τιμή.
(4)
Η ctrl_interface_group γραμμή ρυθμίζει το γκρούπ (εδώ, είναι το wheel γκρούπ) επιτρέπωντας να έχουμε πρόσβαση στη διασύνδεση ελέγχου αρχείων.
(5)
Αυτό το πεδίο καθορίζει το όνομα του δικτύου.
(6)
To wpa πεδίο δίνει τη δυνατότητα του WPA και καθορίζει ποιά WPA πρωτόκολλα ελέγχου ταυτότητας απαιτούνται. Η τιμή 1 ρυθμίζει το AP για το WPA-PSK.
(7)
Τοwpa_passphrase πεδίο περιέχει την συνθηματική φράση ASCII για τον WPA έλεγχο ταυτότητας.

Προειδοποίηση: Πάντα να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης που είναι αρκετά μεγάλοι και φτιαγμένοι απο "πλούσιο" αλφάβητο για να μην μπορεί κάποιος να τους υποπτευθεί ή να τους επιτεθεί.

(8)
Η wpa_key_mgmt γραμμή αναφέρεται στο πρωτόκολλο διαχείρισης κλεδιού που χρησιμοποιούμε. Στην περίπτωσή μας, είναι το WPA-PSK.
(9)
Το wpa_pairwise πεδίο δηλώνει το σύνολο των αποδεκτών αλγορίθμων κρυπτογράφησηs από το σημείο πρόσβασης. Εδώ και ο TKIP (WPA) καθώς και ο CCMP (WPA2) αλγόριθμος, είναι αποδεκτοί. Ο CCMP αλγόριθμος είναι μια εναλλακτική λύση του TKIP και αυτό είναι η πρώτη επιλογή προτίμησης όταν είναι δυνατόν. Το TKIP θα πρέπει να χρησιμοποιείται αποκλειστικά για σταθμούς που αδυνατούν να ανταπεξέλθουν στο CCMP.

Το επόμενο βήμα είναι να ξεκινήσετε hostapd:

# /etc/rc.d/hostapd forcestart
# ifconfig ath0
  ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 2290
	  inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
	  inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
	  ether 00:11:95:c3:0d:ac
	  media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
	  status: associated
	  ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
	  authmode WPA2/802.11i privacy MIXED deftxkey 2 TKIP 2:128-bit txpowmax 36 protmode CTS dtimperiod 1 bintval 100

Το σημείο πρόσβασης τρέχει, και τώρα οι πελάτες μπορούν να συνδέονται με αυτό. ΒλέπετεΤμήμα 32.3.3.1.3για περισσότερες λεπτομέρειες. Είναι δυνατό να δείτε τους σταθμούς που συνδέονται με το ΑΡ χρησιμοποιώντας την ifconfig ath0 list sta εντολή.

32.3.5.4 WEP Host-based σημείο πρόσβασης

Δεν συνιστάται η χρήση του WEP για να στήσετε ένα σημείο πρόσβασης δεδομένου ότι δεν υπάρχει μηχανισμός ελέγχου ταυτότητας και είναι έυκολο να παραβιαστεί. Μόνο μερικές ασύρματες κάρτες υποστηρίζουν το WEP ως πρωτόκολλο ασφαλείας. Αυτές οι κάρτες θα αφήνουν μόνο την ρύθμιση του AP χωρίς πιστοποίησηή κρυπτογράφηση ή χρησιμοποιώντας το πρωτόκολλο WEP.

Η ασύρματη συσκευή μπορεί τώρα να τεθεί σε λειτουργία hostap και να ρυθμιστεί με το σωστό SSID και IP διέυθυνση:

# ifconfig ath0 ssid freebsdap wepmode on weptxkey 3 wepkey 3:0x3456789012 mode 11g mediaopt hostap \
	inet 192.168.0.1 netmask 255.255.255.0
  • Το weptxkey σημαίνει ποιο WEP κλειδί θα χρησιμοποιηθεί στην μετάδοση. Εδώ χρησιμοποιήσαμε το τρίτο κλειδί (ημειώστε ότι το κλειδί ξεκινά με αρίθμηση 1). Αυτή η παράμετρος πρέπει να προσδιορίζεται για την πραγματική κρυπτογράφηση των δεδομένων.

  • Το wepkey σημαίνει τη ρύθμιση του επιλεγμένου WEP κλειδιού. Θα έπερεπε να βρίσκεται στην μορφή index:key. Εάν ο πίνακας δεν δίνεται το κλειδί 1 ορίζεται. Αυτό είναι για να μας ενημερώσει οτι χρειάζεται να ρυθμίσουμε τον πίνακαx εάν χρησιμοποιούμε άλλα κλειδιά εκτώς του πρώτου κλειδιού.

Χρησιμοποιήστε ξανά ifconfig για να δείτε την κατάσταση της ath0 διεπαφής:

# ifconfig ath0
  ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	  inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
	  inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
	  ether 00:11:95:c3:0d:ac
	  media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
	  status: associated
	  ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
	  authmode OPEN privacy ON deftxkey 3 wepkey 3:40-bit txpowmax 36 protmode CTS dtimperiod 1 bintval 100

Απο ένα άλλο μηχάνημα με ασύρματο δίκτυο, είναι δυνατόν να πραγματοποιήσετε μια σάρωση για να βρείτε το AP:

# ifconfig ath0 up scan
SSID            BSSID              CHAN RATE  S:N   INT CAPS
freebsdap       00:11:95:c3:0d:ac    1   54M 22:1   100 EPS

Το μηχάνημα - πελάτης βρήκε το σημείο πρόσβασης και μπορεί να συνδεθεί με αυτό χρησιμοποιώντας τις σωστές παραμέτρους (κλειδί, κ.λπ.) Δείτε Τμήμα 32.3.3.1.4 για περισσότερες λεπτομέρειες.

32.3.6 Αντιμετώπιση προβλημάτων

Αν έχετε πρόβλημα με το ασύρματο δίκτυο, υπάρχει ένας αριθμός απο βήματα που μπορείτε να ακολουθήσετε για να σας βοηθήσουν να αντιμετωπίσετε το πρόβλημα.

Σε περίπτωση που οι παραπάνω πληροφορίες δεν συμβάλλουν στην αποσαφήνιση του προβήματος,παρακαλούμε να υποβάλλετε μια αναφορά προβλήματος που να περιέχει την έξοδο αποτελεσμάτων των παραπάνω εργαλείων.

Αυτό το κείμενο, και άλλα κείμενα, μπορεί να βρεθεί στο ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

Για ερωτήσεις σχετικά με το FreeBSD, διαβάστε την τεκμηρίωση πριν να επικοινωνήσετε με την <questions@FreeBSD.org>.
Για ερωτήσεις σχετικά με αυτή την τεκμηρίωση, στείλτε e-mail στην <doc@FreeBSD.org>.