Tenemos que asegurar la seguridad de la entrada que separa nuestro AP o puente o VLAN sin hilos-conectado del lado atado con alambre. Tales entradas no son nada más (o menos) que un cortafuego stateful o del poder flexible que trate el interfaz conectado con el lado de WLAN como interfaz que conecta el LAN con una red pública insegura. El único requisito específico para la entrada es una capacidad para remitir tráfico de VPN si VPN se pone en ejecucio'n en el WLAN. Alternativomente, la entrada puede ser un concentrador de VPN si usted desea cortar el gasto en la seguridad de la red (generalmente no una buena idea). Si el VPN miente en la capa de transporte (e.g., IPE), la expedición el tráfico es directa: Abra los puertos usados por el protocolo de VPN y déjelos ir. El tráfico de IPSec de la expedición es más difícil. Usted tiene que permitir los protocolos 50 o 51 por tan bien como tenga el puerto del UDP 500 abierto para el intercambio de IKE. Un ejemplo de la escritura de Linux Netfilter que permite el tráfico de IPSec se demuestra a través aquí:
los iptables - Una ENTRADA - i $EXT - p 50 - j ACEPTAN
los iptables - Una ENTRADA - i $EXT - p 51 - j ACEPTAN
los iptables - Una ENTRADA - i $EXT - UDP de p -- el deporte 500 -- el dport 500 - j ACEPTAN
|
|
Una buena idea es fijar las entradas estáticas de la tabla del ARP para todos los puntos de acceso y servidores críticos conectados con la entrada. Ponga las líneas siguientes en su /etc/rc.local si es aplicable:
arp - s
arp - s
..............................................
arp - s
arp - s
arp - s
Usted puede también utilizar la entrada como servidor de DHCP. Corrija el archivo de /etc/dhcpcd.conf para contener algo como esto:
# dhcpd.conf
#
# archivo de la configuración para el dhcpd del ISC (véase a ' hombre dhcpd.conf ')
#
niegue a desconocido-clientes;
uno-arrendar-por-cliente verdad;
autoritario;
omitir-arrendar-tiempo 604800;
ma'ximo-arrendar-tiempo 604800;
subnet-ma'scara 255.255.255.192 de la opción;
dominio-nombre "Domain Name" de la opción;
netmask 255.255.255.192 del subnet 192.168.1.0 {
la opción difundir-trata 192.168.1.63;
rebajadoras 192.168.1.2 de la opción;
dominio-nombre-servidores 192.168.1.2, 192.168.1.3 de la opción;
smtp-servidor 192.168.1.2 de la opción;
hacer estallar-servidor 192.168.1.2 de la opción;
netbios-nombre-servidores 192.168.1.3 de la opción;
# computadoras portátiles del departamento de las ventas
anfitrión toad1 {Ethernet del hardware ; fijo-trate 192.168.1.1; hostname "toad1"
de la opción; }
anfitrión toad2 {Ethernet del hardware ; fijo-trate 192.168.1.2; hostname "toad2"
de la opción; }
anfitrión toad3 {Ethernet del hardware ; fijo-trate 192.168.1.3; hostname "toad3"
de la opción; }
anfitrión toad4 {Ethernet del hardware ; fijo-trate 192.168.1.10; hostname "toad4"
de la opción; }
# computadoras portátiles del servicio de contabilidad
anfitrión gebril1 {Ethernet del hardware ; fijo-trate 192.168.1.11; hostname de la
opción
"gebril1"; }
anfitrión gebril2 {Ethernet del hardware ; fijo-trate 192.168.1.12; hostname de la
opción
"gebril2"; }
# computadoras portátiles del departamento de Brokering
anfitrión tsetse1 {Ethernet del hardware ; fijo-trate 192.168.1.15; hostname de la
opción
"tsetse1"; }
anfitrión tsetse2 {Ethernet del hardware ; fijo-trate 192.168.1.16; hostname de la
opción
"tsetse2"; }
anfitrión tsetse3 {Ethernet del hardware ; fijo-trate 192.168.1.17; hostname de la
opción
"tsetse"; }
En este ejemplo las direcciones del IP se asignan
sobre la base del MAC address de modo que el atacante tenga que spoof
el MAC address de un anfitrión legal obtener un IP address del
servidor de DHCP. Esto pudo confundir un atacante bajo por un
rato: El servidor está allí, el tráfico de DHCP está
fluyendo, pero no se asigna ningún IP address.
¿Qué si el punto de acceso, la entrada, el cortafuego, el
servidor de la autentificación, y el concentrador de VPN se combinan
en una sola máquina? Debajo de Linux es posible. Es
también posible utilizar una plataforma del DEB para crear tal
anfitrión, pero la escritura sobre cualquier cosa que no tenemos
experiencia con manos con no es la trayectoria seguimos.
Fijar un punto de acceso seguro que usa HostAP es lejano más de
un desafío que corta de la red verdadera que fijando un granuja AP
en una computadora portátil de Linux. La razón de esto es que
hay muchas características avanzadas de HostAP que son generalmente
innecesarias al setting-up un granuja básico AP pero que venga en
muy práctico al desplegar un AP apropiado. Tales capacidades
incluyen el siguiente:
Usted puede incluso tapar más tarjetas del PCI o
de PCMCIA en una entrada sin hilos universal a la medida y
funcionarlas que usan el mismo conductor de HostAP para proporcionar
el acceso en tres diversos canales para la carga del
redondo-round-robin que balancea con Netfilter.
Alternativomente, una de las tarjetas tapadas se puede poner en
el modo de supervisión y utilizar para funcionar la supervisión de
una red o la herramienta de las identificaciones.
En este artículo no discutimos el despliegue de WDS y otras
características de HostAP no no directamente relevantes a la
seguridad. El jugar con estos ajustes es grande cortando la
diversión, aunque. Cheque justo cuántas extensiones sin hilos
privadas se pueden apoyar por sus soportes lógico inalterable de la
tarjeta y qué hazañas de la configuración se pueden realizar con
prism2_param y el hostapd.
Para permitir su arranque sin hilos del punto de acceso de la
entrada, agregue los parámetros del AP al archivo de lanzamiento
apropiado. Como ejemplo, en Debian utilizaremos
/etc/network/interfaces y agregaremos algo como esto:
automóvil wlan0
parásitos atmosféricos del inet del iface wlan0
dirección 0.0.0.0
essid ascendente Arh0nt-X de /sbin/iwconfig wlan0
canal 11 de /sbin/iwconfig wlan0
amo del modo de /sbin/iwconfig wlan0
automóvil eth0
parásitos atmosféricos del inet del iface eth0
dirección 0.0.0.0
automóvil br0
parásitos atmosféricos del inet del iface br0
dirección 192.168.1.1
red 192.168.1.0
netmask 255.255.255.0
difusión 192.168.1.255
bridge_ports wlan0 eth0
encima de
Porque es Linux, hay siempre maneras múltiples de
hacerlo (e.g., vea al potter y a Bob de Bruce fleck's "la seguridad
802.11" para un diverso acercamiento). Escoja el que usted tiene
gusto del la mayoría.
El MAC que se filtra con HostAP se hace usando sus extensiones
sin hilos privadas:
maccmd del iwpriv wlan0
0: política abierta para ACL (defecto)
1: permita la política para el ACL
2: niegue la política para el ACL
3: limpie el Access Control List del MAC con un chorro de agua
4: golpee todas las estaciones con el pie authenticadas
addmac del iwpriv wlan0
agregue el addr del mac en Access Control List
delmac del iwpriv wlan0
quite el addr del mac de Access Control List
kickmac del iwpriv wlan0
estación authenticada retroceso del AP
Para crear un ACL utilice el maccmd del iwpriv
wlan0
Alternativomente, usted puede utilizar siempre el Netfilter para
la filtración del MAC:
$IPTABLES - Macfilter de N
$IPTABLES - Un macfilter - i $WLAN_INTERFACE - mac de m - mac-fuente de:ad:be:ef:co:de - j ACEPTA
$IPTABLES - ¡Un macfilter - i! $WLAN_INTERFACE - j ACEPTA
$IPTABLES - Un macfilter - REGISTRO de j
$IPTABLES - Un macfilter - GOTA de j
$IPTABLES - Un DELANTERO - macfilter de j
Sin embargo, recomendamos la filtración de
HostAP: Es muy directo utilizar y usted puede golpear con el pie
fuera de los anfitriones authenticados sospechosos con facilidad.
Para mejorar su seguridad a la medida del AP, utilizar el
comando del enh_sec 3 de prism2_param wlan0 de emplear ESSID ocultado
y de no hacer caso de peticiones de la punta de prueba con el
CUALQUIER ESSID. La tarjeta del chipset del prisma del AP debe
tener los soportes lógico inalterable más últimos del STA para
apoyar la extensión del enh_sec. Compruebe qué extensiones sin
hilos apoya su soporte lógico inalterable actual funcionando el
comando del iwpriv wlan0 y verifique la versión de los soportes
lógico inalterable con el prism_diag wlan0. Busque la línea de
salida que dice "(los soportes lógico inalterable de la estación)."
Para poner al día los soportes lógico inalterable, usted debe
tener HostAP compilado con la función de PRISM2_DOWNLOAD_SUPPORT.
Esto puede ser hecha directamente modificando el archivo de jefe
de driver/modules/hostap_config.h u HostAP de compilación con hace el
pci || AYUDA del pccard EXTRA_CFLAGS="-dprism2_download _".
Haga para instalar, para funcionar el depmod - a, y para
utilizar la utilidad de prism2_srec para poner al día sus soportes
lógico inalterable:
arhontus: # /prism2_srec
Uso: prism2_srec [ - vvrfd ]
Opciones:
- v prolijo (agregue otros para más verbosity)
- archivo de la transferencia directa SREC de r en el ESPOLÓN (volátil)
- archivo de la transferencia directa SREC de f en el flash (permanente)
- imagen de la descarga SREC de d en prism2_srec.dump
- no hago caso de errores de interfaces incompatibles
¡Advertencia! ¡Esto puede dar lugar a mejora fallada!
- r y - las opciones de f no se pueden utilizar juntas.
Si - r o - f no se especifica, se demuestra el resumen de la
imagen y la compatibilidad con la tarjeta de WLAN se verifica sin
descargar cualquier cosa.
Compruebe que - la opción de f se apoya correctamente con su
versión de las utilidades de HostAP; si no, será necesario
hacer la actualización de los soportes lógico inalterable con - r
cada vez que se reajusta la tarjeta. Usted puede conseguir las
más nuevas imágenes de la tuerca hexagonal de los soportes lógico
inalterable del STA de
http://www.intersil.com/design/prism/ss/p2smtrx.asp o de
http://www.netgate.com/support/prism_firmware/.
Entonces funcionamiento
prism2_srec - f wlan0 /path/to/firmware/
y cheque si la actualización es acertada con
prism2_diag wlan0.
Para permitir la ayuda 802.1x, la funcionalidad de Authenticator
en el demonio del hostapd tiene que ser empleada. El
Authenticator en hostapd retransmite los marcos entre de la
autentificación el servidor supplicant y, que tiene que ser RADIO
solamente. Para utilizar el authenticator, compile el conductor
de HostAP con hacen el pci || el pccard EXTRA_CFLAGS="-dprism2_hostapd" o corrige
driver/modules/hostap_config.h antes de la compilación. Un
servidor externo del RADIO se configura con
arhontus:/#prism2_param wlan0 ieee_802_1x 1
arhontus:/#hostapd - x - o- a - secreto compartido s
AP-auth.serv. > wlan0
El authenticator en hostapd puede seleccionar automáticamente un defecto al azar y difundir dominante de WEP compartido por todas las estaciones authenticadas. La selección se hace con - b5 (WEP 64-bit) o - (128-bit WEP) las banderas b13 pasadas al hostapd. Además, - i5 o - la opción i13 se puede utilizar para fijar las llaves individuales del unicast para las estaciones. Esto exige la ayuda dominante individual en el conductor de la estación. Fije las llaves individuales usando la utilidad del hostap_crypt_conf:
arhontus: # /hostap_crypt_conf
Uso: hostap_crypt_conf [ - 123456789tpl ][ addr ] [ alg ] [ llave ]
Opciones:
-1.. -9 índice dominante (para WEP); solamente un índice por comando
- índice dominante determinado de t TX (dado con -1.. -9)
- configuración permanente de la estación de p (no expiran los datos)
- l llaves configuradas lista (no utilice el addr o el alg)
dispositivo wlan #
hwaddr de la estación del addr o ff:ff:ff:ff:ff:ff para la llave de default/broadcast
algoritmo de la cripta del alg (WEP, FALTA DE INFORMACIÓN, ninguna)
datos dominantes dominantes (en tuerca hexagonal, e.g. ' 0011223344 ', o s:string)
Algoritmos:
WEP 40 o 104 pedacito WEP
Cifrado NULO NULO (es decir, no encrypt/decrypt);
no configuraban ningún cifrado para dado
estación al usar el cifrado del defecto
ningunos inhabilitan el cifrado
Aunque usted puede también fijar el cliente de
HostAP que WEP afina con el iwconfig, usted no podrá configurar las
llaves individuales para la ayuda de la llave del unicast del hostapd
usando este comando.
Fijar un punto de acceso perfecto usando HostAP y asegurándose
de que este AP apoya todas las características apenas descritas no es
una tarea fácil. Sin embargo, es una gran manera aprender sobre
la radio y puede ahorrar su negocio o muchos sin hilos de la comunidad
de dinero. El cheque justo fuera de cuánto puede poseer una
entrada sin hilos comercial que apoya todas las capacidades una
entrada a la medida Linux-basada o AP costaría. Usted será
sorprendido. No se olvide de que la mayoría de entradas sin
hilos comerciales high-end no tiene funcionalidad del AP y usted
tendrá que comprar puntos de acceso adicionales para construir su
red.
La desventaja principal de la solución "toda junta" es un solo
punto de la falta. Así, sugerimos que usted descargue algunas
funciones en una segunda máquina. En detalle, esto se aplica al
servidor de la autentificación del RADIO. La entrada sin hilos
debe tener el número mínimo de los puertos abiertos en el lado sin
hilos. Con respecto a la seguridad de la entrada sí mismo,
recomendamos las medidas que endurecen siguientes:
Para el verdaderamente paranoico, hay siempre distribuciones de Linux de las TAPAS y de la seguridad-enchanced tales como agencia de la seguridad nacional (NSA) SELinux o Immunix. Haber configurado correctamente y mirar-despue's de la máquina de Linux es tan seguros como puede ser; no culpe el sistema cuando el defecto verdadero es la holgazanería e ignorancia del administrador de sistema.
Online: 480 users browsing the articles directory
|
|