私たちはセキュリティを確保するためのゲートウェイを分ける私たちのapや橋のvlanまたは無線から有線側に接続されます。 このようなゲートウェイには何もない(またはそれ以下)より柔軟なステートして扱われるため、ファイアウォールやプロキシインターフェイスに接続してサイドにwlan lanを接続するインターフェイスとして、安全で公衆網します。 具体的に必要なだけの能力は、ゲートウェイのトラフィックを転送するのvpn vpnは実装された場合にwlanます。 また、ゲートウェイとすることができコンセントレータのvpnの支出を削減したい場合はネットワークセキュリティ(通常はお勧めしません)します。 vpnをしている場合は嘘トランスポート層(例えば、 cipe )は、トラフィックの転送は簡単:ポートを開いて使用されるプロトコルおよびvpnをあきらめよう。 ipsecのトラフィックが難しく転送します。 を許可する必要がありプロトコル50または51を通してと同様にudp 500ポートが開いていアイクを交換します。 の例からは、 linux netfilterのipsecできるようにスクリプトを介してトラフィックが表示されます:
私のiptablesを入力$のext - p 50 - jを受け入れる
私のiptablesを入力$のext - p 51 - jを受け入れる
iptablesの入力を私のext - p udpの$ -スポーツ5 00- dp ort50 0-jを受け入れる
|
|
良いアイデアは静的arpテーブルのエントリを設定するために、すべてのアクセスポイントおよび重要なゲートウェイサーバーに接続しています。 場所は、次の行をお客様の/ etc / rc.local該当する場合:
アルプ-秒
アルプ-秒
..................................................
アルプ-秒
アルプ-秒
アルプ-秒
ゲートウェイとして使用することもできdhcpサーバます。 編集は/ etc / dhcpcd.confファイルを含んで、このように:
# dhcpd.confの
#
# iscのdhcpdの設定ファイル(参照してください' dhcpd.confの男' )
#
未知のクライアントを否定する;
1回あたりのリースクライアントの真の;
権威;
デフォルトのリース時間604800 ;
最大リース時間604800 ;
オプションのサブネットマスク255.255.255.192 ;
オプションのドメイン名" domain.name " ;
サブネット192.168.1.0ネットマスク255.255.255.192 (
オプションのブロードキャストアドレス192.168.1.63 ;
オプションルーター192.168.1.2 ;
オプションのドメイン名のサーバーに192.168.1.2 、 192.168.1.3 ;
オプションのsmtpサーバー192.168.1.2 ;
オプションポップサーバー192.168.1.2 ;
オプションたnetbiosネームサーバー192.168.1.3 ;
#販売部のノートパソコン
ホストtoad1 (ハードウェアイーサネット;固定アドレス192.168.1.1 ;オプションのホスト名" toad1 " ; )
ホストtoad2 (ハードウェアイーサネット;固定アドレス192.168.1.2 ;オプションのホスト名" toad2 " ; )
ホストtoad3 (ハードウェアイーサネット;固定アドレス192.168.1.3 ;オプションのホスト名" toad3 " ; )
ホストtoad4 (ハードウェアイーサネット;固定アドレス192.168.1.10 ;オプションのホスト名" toad4 " ; )
#経理部のノートパソコン
ホストgebril1 (ハードウェアイーサネット;固定アドレス192.168.1.11 ;オプションのホスト名
" gebril1 " ; )
ホストgebril2 (ハードウェアイーサネット;固定アドレス192.168.1.12 ;オプションのホスト名
" gebril2 " ; )
#仲買業部門のノートパソコン
ホストtsetse1 (ハードウェアイーサネット;固定アドレス192.168.1.15 ;オプションのホスト名
" tsetse1 " ; )
ホストtsetse2 (ハードウェアイーサネット;固定アドレス192.168.1.16 ;オプションのホスト名
" tsetse2 " ; )
ホストtsetse3 (ハードウェアイーサネット;固定アドレス192.168.1.17 ;オプションのホスト名
"ツェツェ" ; )
この例では、 ipアドレスが割り当てられているので、根拠のmacアドレスを攻撃者になりすますには、法律上のホストのmacアドレスを取得するipアドレスdhcpサーバーからです。 この低レベルの攻撃を混乱させるだろうしばらくの間:サーバーがあり、 dhcpのトラフィックが流れて、 ipアドレスが割り当てられていませんします。
どのような場合には、アクセスポイント、ゲートウェイ、ファイアウォール、認証サーバー、およびコンセントレータのvpnの組み合わせを1台のマシンですか? linuxの下ですることが可能です。 を使用することも可能bsdのプラットフォームを作成するようなホストが、何かについて文章を書くことはありませんが実地体験ではありませんが、私たちのパスに従っています。
hostapアクセスポイントを使って設定することを確保するのは、はるかに本物のネットワークを設定するよりも挑戦ハッキングならず者apのノートパソコンにはlinuxがします。 その理由はhostapがたくさんあることを高度な機能を設定する際には通常、不必要な基本的なならず者のapしかし、それには適切なapを展開する際に非常に便利です。 次のような機能を含める:
より多くのプラグすることもできpciまたはpcmciaカードを特注ユニバーサルワイヤレスゲートウェイを使用して実行すると同じhostapドライバの3つの異なるチャネルへのアクセスを提供するためにラウンドロビンロードバランシングnetfilterを使っています。 あるいは、いずれかのカードを接続することができ、使用するモードに入って監視を実行するのidまたはネットワーク監視ツールです。
この記事について話し合うことはありませんhostap wdsの導入やその他のセキュリティ機能を直接関連しませんします。 これらの設定は、偉大なハッキングで遊んで楽しいけどね。 チェックするだけでどのように拡張することができ、多くの私立ワイヤレスカードをサポートされているファームウェアとどのような設定を行うことができ偉業をprism2_paramとhostapdます。
無線アクセスポイントのゲートウェイを有効にして起動時には、 apのパラメータを追加して、適切なファイルを起動します。 例として、お客様の使用してdebianの/ etc / network / interfacesを追加すると、このように:
自動にwlan0
ifaceににwlan0 inet静的
アドレス0.0.0.0
アップ/ sbin / iwconfigにwlan0 essidをarh0nt - xを
/ sbin / iwconfigにwlan0チャネル11
/ sbin / iwconfigにwlan0モードマスター
自動車のeth0
ifaceにはeth0 inet静的
アドレス0.0.0.0
自動br0
ifaceにbr0 inet静的
アドレス192.168.1.1
ネットワーク192.168.1.0
ネットマスク255.255.255.0
放送192.168.1.255
bridge_portsにwlan0はeth0
最大
リナックスので、そこは常に複数の方法を行うこと(例えば、参照してくださいポッターのブルースとボブフレックの" 802.11セキュリティ"を、別のアプローチ)します。 1つ選択して、最も気に入った。
macのフィルタリングが行われてhostapワイヤレス拡張機能を使用して、民間:
のiwprivにwlan0 maccmd
0 :開放政策のためのacl (デフォルト)
1 :許可するための政策のacl
2 :否定するための政策のacl
3 :フラッシュmacのアクセス制御リスト
4 :キックすべての認証局
のiwprivにwlan0 addmac
macのアドレスにアクセス制御リストに追加
のiwprivにwlan0 delmac
macのアドレスからのアクセス制御リストを削除する
のiwprivにwlan0 kickmac
駅からapの認証キック
のaclを作成して使用するのiwprivにwlan0 maccmd
また、常に使用することができ、 netfilter for macのフィルタリング:
$のiptables - n macfilter
$のiptablesをmacfilter - $ wlan_interface - mに私のmacにmac -ドソース:広告: :エフ:共同:デ- jを受け入れる
$のiptablesをmacfilter -なんだよ! $ wlan_interface - jを受け入れる
$ iptablesのログをmacfilter - jを
$のiptablesをmacfilter - jをドロップ
$ iptablesのフォワード- - jをmacfilter
しかし、フィルタリングをお勧めしhostap :それはとても簡単に使用することができ追い出すと不審なホスト認証を容易にします。
特注のapを向上させるためのセキュリティを使用してprism2_paramにwlan0 enh_sec 3コマンドを採用essidと隠されたすべてのリクエストにはプローブessidを無視します。 apのプリズムチップカードstaの必要があり、最新のファームウェアをサポートしてenh_sec拡張子が。 これをチェックすると、現在のワイヤレス拡張機能をサポートするファームウェアのiwprivにwlan0のコマンドを実行して、ファームウェアバージョンを確認してprism_diagにwlan0ます。 出力行を探すと言って" (ステーションファームウェア) "と述べた。 ファームウェアを更新して、コンパイルしておく必要がありhostapでprism2_download_support機能します。 これを変更することができて行われた直接のドライバ/モジュール/ hostap_config.hヘッダファイルまたはコンパイルを行うのpci hostap | | pccard extra_cflags = " - dprism2_download_サポート"します。 make installを実行し、実行するdepmod 、および使用してprism2_srecユーティリティを更新してファームウェア:
arhontus : # ./prism2_srec
使用法: prism2_srec [ - vvrfd ]
オプション:
-v冗長(他にも追加饒舌はこちら)
-rダウンロードs recファイルをメモリ(揮発性)
-fダウンロードs recファイルをフラッシュ(非揮発性)
-次元ダンプs recイメージをp rism2_srec.dump
-私インターフェイスと互換性を無視したエラー
警告! アップグレードすることができ、この結果に失敗しました!
- rおよび- fオプションを使用することはできませんします。 もし- rまたは- fが指定しない場合は、画像の概要が表示さwlanカードとの互換性が確認せずに何かをダウンロードします。
- fオプションがいることを確認してくださいhostapユーティリティのバージョンを適切にサポートする;そうしないと、それは、必要に応じて、ファームウェアの更新を行うたびに- rカードがリセットされます。 新しいファームウェアを取得することができstaの16進数からの画像http://www.intersil.com/design/prism/ss/p2smtrx.aspまたはhttp://www.netgate.com/support/prism_firmware/ます。 を実行
prism2_srec - fにwlan0 /パス/を/ファームウェア/
そして、アップデートが成功するかどうかを確認するprism2_diagにwlan0ます。
を有効に802.1 xをサポートし、認証機能は、 hostapdデーモンに雇われました。 認証にhostapdリレーのフレーム間の哀願と認証サーバーであり、これには、半径のみです。 認証を使用し、コンパイルしてhostapドライバを作るのpci | | pccard extra_cflags = " - dprism2_hostapd "または編集するドライバ/モジュール/ hostap_config.h前にコンパイルしている。 サーバーを設定すると、外部半径
arhontus : / # prism2_paramにwlan0 ieee_802_1x 1
arhontus : / # hostapd - xを- o- -共有秘密鍵秒
のap - auth.servます。 >にwlan0
認証にhostapdことができ、自動的にランダムに選択してデフォルトのwepキーと共有されるすべての放送局の認証します。 の選定が行われて- b5 ( 64ビットのwep )または- b13 ( 128ビットのwep )フラグに渡されhostapdます。 加えて、 - i5または- i13オプションを個別に設定することができユニキャストキーを使用している。 この要求は、個別のキーステーションのドライバをサポートします。 個別に設定してキーを使用してhostap_crypt_confユーティリティ:
arhontus : # 。 / hostap_crypt_conf
使用法: hostap_crypt_conf [ - 123456789tpl ][アドレス] [ alg ] [キー]
オプション:
-1 .. -9キーのインデックス(のwep ) ;インデックスのコマンドを1つだけ当たり
-t t xキーを設定指数(指定して- 1. .- 9)
-p常設ステーションの設定(使用しないでデータの有効期限)
-信用リストに設定キー(またはアドレスを使用しないでa lg)
デバイスにwlan #
アドレスまたは駅hwaddr ff : ffの: ff : ffの: ff : ffのデフォルト/放送キー
暗号化アルゴリズムalg ( wepを、 nullを、なし)
キーキーデータ( 16進で、例えば'0011223344 ' 、またはs :文字列)
アルゴリズム:
wepを40または104ビットwep
nullをnullを暗号化( ie 、しないで暗号化/復号化) ;
暗号化を設定するために使用されません与えられた
ステーションを使用する際のデフォルトの暗号化
暗号化を無効になし
クライアントを設定することもできますhostap iwconfig wepキーを使って、できるように設定することはできません個別のキーをhostapdユニキャストキーを使って、このコマンドをサポートします。
完璧なアクセスポイントを設定するとhostapを使っていることを確認し、このapのすべての機能をサポートするだけで簡単な仕事ではありません説明します。 しかし、それは素晴らしい方法の詳細については保存することができ、お客様のビジネスや無線または無線のコミュニティはたくさんのお金をします。 チェックアウトするだけでどのくらいの商業無線ゲートウェイ機能をサポートするすべてのlinuxベースのゲートウェイまたは特注apをご希望のコストを持つことができます。 驚いたでしょうします。 大多数のことを忘れないで、ハイエンドの商用ワイヤレスゲートウェイ機能を持っていないのapを購入する必要があり、余分なアクセスポイントのネットワークを構築しています。
主要な不利な立場の"オールインワン"ソリューションは、単一点失敗します。 このように、いくつかの関数をお勧めします。 2つ目のマシンをアンロードします。 特に、このradius認証サーバーに適用されます。 ワイヤレスゲートウェイなければならない最低限の数のポートを開け、無線側にあります。 セキュリティに関しては、ゲートウェイ自体のように、お勧めし、次の対策を硬化:
妄想を真に、そこはいつも蓋やセキュリティenchanced linuxディストリビューションのような国家安全保障局( nsa )のselinuxまたはimmunixのです。 適切に設定するとlinuxのマシンを見た後には、セキュリティで保護することができとして;責めちゃいけないときに、システムの脆弱性は、システム管理者の本当の怠惰と無知します。
Online: 761 users browsing the articles directory
|
|