نشر لينكس مبنية على أساس العرف العتاه بوابة لاسلكيه

لدينا لضمان امن البوابه التي تفصل لنا أب أو جسر أو لاسلكيه متصله vlan من الجانب سلكي. هذه هي مداخل لا أكثر (أو أقل) مما مرنة جليل او جدار ناري بالوكاله ان يعامل صلة وصله الى الجانب البصري كحلقه وصل تربط الشبكه المحلية الى الشبكه العامة غير آمنة. الشرط الوحيد محددة للبوابة هو القدرة على السير قدما خادم اذا خادم ينفذ على البث. وعوضا عن ذلك ، يمكن ان يكون بوابة خادم المكثف اذا اردتم خفض الانفاق على أمن الشبكات (عادة ليس فكرة جيدة). واذا كان الترابط وتقع على طبقة النقل (سياسي ، بتنظيم) ، والشحن المرور واضح ومباشر : فتح الموانئ التي تستخدمها خادم البروتوكول ووليكن الذهاب. الشحن ipsec المرور هو اصعب. عليك ان تسمح البروتوكولات خلال 50 او 51 فضلا عن ان يكون زعيما 500 ميناء مفتوحا لايك الصرف. مثال من لينكس netfilter النصي يسمح ipsec المرور من خلال هو موضح هنا :

  Iptables - أ - مساهمه قدرها الهاتف الفرعي الاول 50 - ف - ي قبول 

  Iptables - أ - مساهمه قدرها الهاتف الفرعي الاول 51 - ف - ي قبول 

  Iptables - أ - مساهمه قدرها الهاتف الفرعي الأول - ف الديمقراطى -- الرياضة 500 -- dport 500 - ي قبول 

هي فكرة جيدة لتحديد الجدول ساكنة تأهيل لجميع مداخل ونقاط الوصول الحرجه خدمة صلة الى البوابه. مكان الخطوط التالية الدخول الى حسابك / الخ / rc.local اذا كان ذلك منطبقا :

  - تأهيل ق 

  - تأهيل ق 

  لمحة 

  - تأهيل ق 

  - تأهيل ق 

  - تأهيل ق 

  يمكنك ايضا استخدام البوابه باعتبارها الخادم dhcp.  تحرير / الخ / dhcpcd.conf ملف لاحتواء مثل هذا الشيء : 

  # Dhcpd.conf 

 # 

  # ملف تشكيل لبرمجيات dhcpd (انظر 'رجل dhcpd.conf') 

 # 

  إنكار المجهول - العملاء ؛ 

  - الايجار واحد لكل عميل صحيح ؛ 

  حجيه ؛ 

  - ايجار - تقصير الوقت 604800 ؛ 

  ماكس - ايجار - الوقت 604800 ؛ 

  الخيار - قناع الشبكه الفرعية 255.255.255.192 ؛ 

  - الخيار المجال اسم "domain.name" ؛ 

  الشبكه الفرعية 255.255.255.192 192.168.1.0 netmask ( 

  الخيار للبث معالجة 192.168.1.63 ؛ 

  الخيار المسارات 192.168.1.2 ؛ 

  الخيار - اسم النطاق - خدمة 192.168.1.2 ، 192.168.1.3 ؛ 

  الخيار SMTP - خادم 192.168.1.2 ؛ 

  الخيار البوب خادم 192.168.1.2 ؛ 

  اسم netbios - الخيار - خدمة 192.168.1.3 ؛ 

  # ادارة مبيعات الحواسيب المحموله 

  استضافة toad1 (اجهزة إيثرنت   ؛ ثابتة معالجة 192.168.1.1 ؛ الخيار استضافة - اسم "toad1" ؛) 

  استضافة toad2 (اجهزة إيثرنت   ؛ ثابتة معالجة 192.168.1.2 ؛ الخيار استضافة - اسم "toad2" ؛) 

  استضافة toad3 (اجهزة إيثرنت   ؛ ثابتة معالجة 192.168.1.3 ؛ الخيار استضافة - اسم "toad3" ؛) 

  استضافة toad4 (اجهزة إيثرنت   ؛ ثابتة معالجة 192.168.1.10 ؛ الخيار استضافة - اسم "toad4" ؛) 

  # ادارة المحاسبه والحواسيب المحموله 

  استضافة gebril1 (اجهزة إيثرنت   ؛ ثابتة معالجة 192.168.1.11 ؛ الخيار - اسم المضيف 

  "Gebril1" ؛) 

  استضافة gebril2 (اجهزة إيثرنت   ؛ ثابتة معالجة 192.168.1.12 ؛ الخيار - اسم المضيف 

  "Gebril2" ؛) 

  # السمسره ادارة الحواسيب المحموله 

  استضافة tsetse1 (اجهزة إيثرنت   ؛ ثابتة معالجة 192.168.1.15 ؛ الخيار - اسم المضيف 

  "Tsetse1" ؛) 

  استضافة tsetse2 (اجهزة إيثرنت   ؛ ثابتة معالجة 192.168.1.16 ؛ الخيار - اسم المضيف 

  "Tsetse2" ؛) 

  استضافة tsetse3 (اجهزة إيثرنت   ؛ ثابتة معالجة 192.168.1.17 ؛ الخيار - اسم المضيف 

  "ذبابه النوم" ؛) 

في هذا المثال فان عناوين بروتوكول انترنت وتسند على اساس ماك معالجة بحيث ان المهاجم سيتعين على السخريه لجنة الهدنه العسكرية لمعالجة قانوني المضيفه للحصول على معالجة الملكيه الفكريه من الخادم dhcp. هذا الخلط قد تدني مستوى المهاجم لبعض الوقت : الخادم هو هناك ، dhcp المرور يتدفق ، ولكن لم يكلف معالجة الملكيه الفكريه.
فماذا لو نقطة الوصول ، البوابه ، والجدار الناري ، وتوثيق الخادم ، وخادم المكثف ويتم الجمع على إله واحد؟ تحت لينكس فمن الممكن. ومن الممكن ايضا استخدام أ بي إس دي منهاج الى اقامة مثل هذه المضيفه ، ولكن الكتابة عن اي شيء وليس لدينا على خبرة مباشرة مع يست الطريق ونحن نتابع.
وضع تأمين وصول نقطة باستخدام hostap هو الآن أكثر من شبكة حقيقية تحد من التقطيع وضع روغ آب على لينكس حجريه. والسبب في ذلك هو ان هناك الكثير من السمات المتقدمه hostap التي هي عادة لا داعي لها عند اقامة الاساسية روغ آب ولكن ان يأتي في مفيد جدا عندما نشر الصحيح آب. هذه القدرات تشمل ما يلي :

• ماك الترشيح
• Essids مغلقة (نعم ، فمن الممكن مع hostap)
• 802.1 x التوثيق الدعم
• اللاسلكي نظام التوزيع (wds)

حتى انك تستطيع سد العجز اكثر المشروع او بطاقات محول الى العرف - بنيت بوابة عالمية لاسلكيه والبعيد لهم باستخدام نفس hostap سائق لتوفير امكانيه الوصول على ثلاث قنوات مختلفة لجولة روبن - تحميل موازنه باستخدام netfilter. وبدلا من ذلك ، واحدة من غسلة بطاقات يمكن ان توضع موضع الرصد وطريقة استخدامها لتشغيل شبكة رصد معرفات او اداة.
في هذه المادة ونحن لا تناقش wds النشر وغيرها من السمات hostap لا يمت بصلة مباشرة الى الامن. اللعب مع هذه الاعدادات هو متعة عظيمة التقطيع ، وان كانت. عادل الشيك وكم من التمديدات الخاصة لاسلكيه يمكن ان تدعمها بطاقتك البرنامج الدائم وتشكيل المفاخر ما يمكن ان يقوم مع prism2_param وhostapd.
لتمكين الخاص بك نقطة الوصول اللاسلكي بوابة بدء ، تضاف الى آب البارامترات المناسبه بدء الملف. وكمثال على ذلك ، على استخدام ديبيان سنقوم / الخ / شبكة / الوصلات ويضيف ان مثل هذا الشيء :

  السيارات wlan0 

  Iface wlan0 انترنت ساكنة 

  معالجة 0.0.0.0 

  متابعة / sbin / iwconfig wlan0 الصيد arh0nt - x 

  / Sbin / iwconfig wlan0 قناة 11 

  / Sbin / iwconfig wlan0 طريقة ماستر 

  السيارات eth0 

  Iface eth0 انترنت ساكنة 

  معالجة 0.0.0.0 

  السيارات br0 

  Iface br0 انترنت ساكنة 

  معالجة 192.168.1.1 

  شبكة 192.168.1.0 

  Netmask 255.255.255.0 

  بث 192.168.1.255 

  Bridge_ports wlan0 eth0 

  حتى 

لأنه لينكس ، هناك دائما بطرق متعددة الى ان نفعل ذلك (سياسي ، انظر بروس بوتر وبوب البقعه "802.11 الامن" لاتباع نهج مختلف). اختر واحدة تريد اكثر.
ماك الترشيح مع hostap يتم باستخدام اللاسلكى الخاص التمديدات :

  Iwpriv wlan0 maccmd 

  0 : سياسة مفتوحة لقائمة تحكم في الدخول (الافتراضيه) 

  1 : سياسة تسمح لقائمة تحكم في الدخول 

  2 : تنكر لسياسة قائمة تحكم في الدخول 

  3 : الاحمرار لجنة الهدنه العسكرية لمراقبة الدخول الى القائمة 

  4 : الموثق من ركلة جميع المحطات 

  Iwpriv wlan0 addmac 

  اضف ماك addr الوصول الى قائمة المراقبة 

  Iwpriv wlan0 delmac 

  ازالة ماك addr من الوصول الى قائمة المراقبة 

  Iwpriv wlan0 kickmac 

  موثقا من ركلة محطة أ ب 

لتهيئة قائمة تحكم في الدخول استخدام iwpriv wlan0 maccmd . فان اقراني يوحي حفظ acls اثنين : واحد للقبول واحد للصراحة ونفى ماك العناوين. هذا يمكن ان يكون فكرة جيدة.
وبدلا من ذلك ، يمكنك دائما استخدام netfilter لماك الترشيح :

  دولار iptables - ن macfilter 

  دولار iptables - أ - أنا macfilter دولار wlan_interface م - ماك - ماك دي - المصدر : الاعلانيه : أن يكون : ع أ : شاركت : دي - ي قبول 

  دولار iptables - أ - macfilter أنا!  دولار wlan_interface ي - قبول 

  دولار iptables - أ - ي macfilter سجل 

  دولار iptables - أ - ي macfilter قطرة 

  دولار iptables - الامام أ - ي macfilter 

ومع ذلك ، فاننا نوصي hostap الترشيح : انه بسيط جدا لاستخدام ويمكنك الخروج من ركلة المشبوهة تستضيف موثقا مع سهولة.
لتحسين عهدك - بني أب الامن ، واستخدام prism2_param wlan0 enh_sec 3 القيادة الى استخدام الخفيه الصيد وتجاهل طلبات التحقيق مع اي الصيد. البروتوكول الاضافي بريزم السماعات بطاقه يجب ان يكون آخر sta البرنامج الدائم لدعم enh_sec التمديد. فحص التمديدات التي اللاسلكي الحالي الخاص بك يدعم البرنامج الدائم من قبل ادارة iwpriv wlan0 القيادة والتحقق من البرنامج الدائم مع النسخه prism_diag wlan0. أبحث عن الناتج خط قائلا "(المحطة البرنامج الدائم)." لتحديث البرنامج الدائم ، لا بد انك جمعت hostap مع prism2_download_support الوظيفة. ويمكن ان يتم ذلك عن طريق تعديل السائق مباشرة / وحدات / hostap_config.h ملف الرأس او جمع hostap مع تقديم المشروع | | pccard extra_cflags = "dprism2_download_ - الدعم". هل تجعل تركيب والتدافع depmod - أ ، واستخدام prism2_srec فائدة لقم بتحديث البرنامج الدائم :

  Arhontus : #./prism2_srec 

  الاستعمال : prism2_srec] - vvrfd] 

  خيارات : 

  مضجر الخامس - (اضيف آخر لمزيد من الاسهاب) 

  - ص srec تنزيل الملف الى رام (متقلبه) 

  - و srec تنزيل الملف الى فلاش (غير المستقره) 

  د - يتم اغراق srec الصورة الى prism2_srec.dump 

  - انا لا تتفق الوصلات تجاهل الأخطاء 

  تحذير!  هذا يمكن ان يؤدي الى فشل فى الارتقاء! 

ال - ص - وو خيارات لا يمكن استخدامها معا. اذا ص - او - و هو غير محدد ، صورة موجزة ويرد والتوافق مع التشديد بطاقه يتم التحقق من دون تنزيل أي شيء.
- تأكد من ان الخيار و هو يؤيد بشكل سليم مع النسخه الخاصة بك hostap المرافق ؛ خلاف ذلك ، سيكون من الضروري القيام بتحديث البرنامج الدائم مع كل مرة - ص البطاقه هو اعادة ضبط. يمكنك الحصول على احدث sta البرنامج الدائم الهيكس صور من http://www.intersil.com/design/prism/ss/p2smtrx.asp او http://www.netgate.com/support/prism_firmware/. ثم البعيد

Prism2_srec - wlan0 و / الطريق / / الى البرنامج الدائم /

واذا كان الشيك هو استكمال ناجحه مع prism2_diag wlan0.
لتمكين دعم 802.1x ، والموثق وظيفة في hostapd شيطان لابد من المستخدمين. الموثق في hostapd التبديلات الاطارات بين المتوسل والتوثيق الخادم ، والتي لا بد ان تكون الشعاع فقط. لاستخدام الموثق ، وتجميع hostap مع سائق جعل المشروع | | pccard extra_cflags = "- dprism2_hostapd" او تحرير سائق / وحدات / hostap_config.h قبل التجميع. خارجي الشعاع هو الخادم مع تهيئتها

  Arhontus : / # prism2_param wlan0 ieee_802_1x 1 

  Arhontus : / # hostapd - س - س   أ -   - ق مشتركة سرية 

  أ ب - auth.serv. > Wlan0 

الموثق في hostapd تلقائيا يمكن اختيار عشوائي الافتراضيه والارشاد البث الرئيسية التي تشترك فيها جميع محطات موثقه. الاختيار تتم مع B5 - (64 بت الارشاد) أو - p13 (128 بت الارشاد (الاعلام مرت على hostapd. وبالاضافة الى ذلك ، - او - i5 i13 الخيار يمكن استخدامه لتحديد الفرد unicast مفاتيح للمحطات. هذه المطالب الفرديه دعما رئيسيا في محطة السائق. مجموعة ألفرد باستخدام مفاتيح hostap_crypt_conf فائدة :

  Arhontus : #. / Hostap_crypt_conf 

  الاستعمال : hostap_crypt_conf] - 123456789tpl]   [] [Addr alg] [الرئيسية] 

  خيارات : 

  -1..  -9 مفتاح الرقم القياسي (للارشاد) ؛ مؤشر واحد فقط لكل قيادة 

  - ر مجموعة تكساس مفتاح الرقم القياسي (مع ايلاء -1.. -9) 

  - ف الدائم المحطات (لا تنتهي البيانات) 

  ل - قائمة تهيئتها المفاتيح (لا تستخدم addr او alg) 

  جهاز البث # 

  Addr محطة hwaddr او وو : وو : وو : وو : وو : وو الافتراضي ل/ البث الرئيسية 

  Alg قبو خوارزميه (الارشاد ، لاغيه ، لا شىء) 

  الرئيسية البيانات الرئيسية (في الهيكس ، سينخفض '0011223344' ، او ق : الخيط) 

  الخوارزميات : 

  نشأ 40 او 104 بت الارشاد 

  لاغيه باطلة تشفير (أي ، لا شفر / فك شفره) ؛ 

  استخدمت لتهيئة نظرا لعدم التشفير 

  المحطة عند استخدام التشفير الافتراضي 

  لا شيء تعطيل التشفير 

ورغم ان يمكنك ايضا تحديد hostap ارشاد الزبائن باستخدام مفاتيح iwconfig ، لن تكونوا قادرين على تهيئة الفرد لمفاتيح hostapd unicast دعما رئيسيا باستخدام هذه القيادة.
وضع حد الكمال نقطة الوصول باستخدام hostap وضمان ان هذه أ ب يدعم جميع الميزات وصفه للتو ليست مهمة سهلة. ومع ذلك ، انه لمن عظيم طريقة لمعرفة واللاسلكيه يمكن ان تؤدى الى انقاذ عملك او لاسلكيه للمجتمع الكثير من الاموال. فقط قم وكم تجاري اللاسلكيه بوابة دعم قدرات جميع ا لينكس القائم على العرف - بنيت بوابة او آب يمكن ان تمتلك سيكلف. تكونوا بالدهشه. لا تنسى ان اغلبيه عالية نهاية منافذ تجارية لاسلكيه لا أب لها وظيفة وستضطر لشراء نقاط اضافية الوصول الى بناء الشبكه الخاصة بك.
الرئيسية الحرمان من "جميع - في - واحد" الحل هو نقطة واحدة من الفشل. وبالتالي ، نقترح عليك تفريغ بعض المهام على الآلة الثانية. على وجه الخصوص ، وهذا ينطبق على داءره قطرها توثيق الخادم. اللاسلكي بوابة ينبغي ان يكون الحد الادنى من عدد من الموانئ فتحت لاسلكيه الجانب. فيما يتعلق بامن البوابه نفسها ، ونحن نوصي بما يلي تصلب التدابير :

• تمكينها من الوصول الى بوابة تفضي الى اداريين فقط.
• ازالة لزوم لها حسابات المستخدمين.
• لا يديرون العاشر نافذة الخادم.
• اغلاق جميع الموانئ غير ضروريه.
• فإن الجدار الناري 19/4/2001 الاداريه من الوصول اللاسلكي الى جنب.
• ازالة مجلس التعاون الخليجي وغيرها من المجمعات من البوابه.
• ازالة تفسير لغات مثل بيرل.
• تطبيق openwall grsecurity الامن او التصحيح الى نواة.
• تهيئة وتشغيل stjude نواة الوحدة.
• استخدام logrotate وارسال الجذوع الى syslog الناءيه عن طريق برنامج التعاون التقني الخادم باستخدام syslog - نغ.
• تركيب ، تهيئة ، والبعيد الشخير.

لحقا المذعور ، وهناك دائما اغطية والامن - enchanced توزيعات لينكس مثل وكالة الامن الوطني (ضمانات الأمن السلبيه) selinux او immunix. سليم تهيئتها ويتطلع لينكس - بعد ان الآلة بوصفها آمنة كما يمكن ؛ لا الوم النظام عندما العيب الحقيقي هو نظام مدير البرنامج الى الكسل والجهل.