Nós temos que assegurar a segurança da passagem que separa nosso AP ou ponte ou VLAN wireless-conectado do lado wired. Tais passagens não são nada mais (ou menos) do que um guarda-fogo flexível stateful ou do proxy que trate a relação conectada ao lado de WLAN como uma relação que conecta o LAN a uma rede pública insecure. A única exigência específica para a passagem é uma potencialidade para enviar o tráfego de VPN se VPN for executado no WLAN. Alternativamente, a passagem pode ser um concentrador de VPN se você quiser cortar a despesa na segurança da rede (geralmente não uma idéia boa). Se o VPN se encontrar na camada de transporte (por exemplo, IPE), o forwarding o tráfego é direto: Abra os portos usados pelo protocolo de VPN e deixe-os ir. O tráfego de IPSec do forwarding é mais complicado. Você tem que permitir os protocolos 50 ou 51 através assim como tenha o porto do UDP 500 aberto para a troca de IKE. Um exemplo do certificado de Linux Netfilter que permite o tráfego de IPSec é mostrado completamente aqui:
os iptables - Uma ENTRADA - i $EXT - p 50 - j ACEITAM
os iptables - Uma ENTRADA - i $EXT - p 51 - j ACEITAM
os iptables - Uma ENTRADA - i $EXT - UDP de p -- o esporte 500 -- o dport 500 - j ACEITAM
|
|
Uma idéia boa é ajustar entradas de estática da tabela do ARP para todos os pontos de acesso e usuários críticos conectados à passagem. Coloque as seguintes linhas em seu /etc/rc.local se aplicável:
arp - s
arp - s
..............................................
arp - s
arp - s
arp - s
Você pode também usar a passagem como um usuário de DHCP. Edite a lima de /etc/dhcpcd.conf para conter algo como esta:
# dhcpd.conf
#
# lima da configuração para o dhcpd do ISC (veja ' o homem dhcpd.conf ')
#
negue desconhecido-clientes;
um-alug-por-cliente verdadeiro;
authoritative;
opt-alug-tempo 604800;
máximo-alug-tempo 604800;
subnet-máscara 255.255.255.192 da opção;
domínio-nome "Domain Name" da opção;
netmask 255.255.255.192 do subnet 192.168.1.0 {
a opção transmit-dirige-se a 192.168.1.63;
routers 192.168.1.2 da opção;
domínio-nome-usuários 192.168.1.2 da opção, 192.168.1.3;
smtp-usuário 192.168.1.2 da opção;
estal-usuário 192.168.1.2 da opção;
netbios-nome-usuários 192.168.1.3 da opção;
# laptops do departamento das vendas
anfitrião toad1 {Ethernet da ferragem ; fixo-dirija-se a 192.168.1.1; hostname
"toad1" da opção; }
anfitrião toad2 {Ethernet da ferragem ; fixo-dirija-se a 192.168.1.2; hostname
"toad2" da opção; }
anfitrião toad3 {Ethernet da ferragem ; fixo-dirija-se a 192.168.1.3; hostname
"toad3" da opção; }
anfitrião toad4 {Ethernet da ferragem ; fixo-dirija-se a 192.168.1.10; hostname
"toad4" da opção; }
# laptops do departamento de contabilidade
anfitrião gebril1 {Ethernet da ferragem ; fixo-dirija-se a 192.168.1.11; hostname da
opção
"gebril1"; }
anfitrião gebril2 {Ethernet da ferragem ; fixo-dirija-se a 192.168.1.12; hostname da
opção
"gebril2"; }
# laptops do departamento de Brokering
anfitrião tsetse1 {Ethernet da ferragem ; fixo-dirija-se a 192.168.1.15; hostname da
opção
"tsetse1"; }
anfitrião tsetse2 {Ethernet da ferragem ; fixo-dirija-se a 192.168.1.16; hostname da
opção
"tsetse2"; }
anfitrião tsetse3 {Ethernet da ferragem ; fixo-dirija-se a 192.168.1.17; hostname da
opção
"tsetse"; }
Neste exemplo os endereços do IP são atribuídos
na base do MAC address de modo que o atacante tenha que spoof o MAC
address de um anfitrião legal obter um IP address do usuário de
DHCP. Isto pôde confundir um atacante de baixo nível por um
quando: O usuário está lá, o tráfego de DHCP está fluindo,
mas nenhum IP address é atribuído.
Que se o ponto de acesso, a passagem, o guarda-fogo, o usuário
do authentication, e o concentrador de VPN forem combinados em uma
única máquina? Sob Linux é possível. É também
possível usar uma plataforma do DEB criar tal anfitrião, mas a
escrita sobre qualquer coisa que nós não temos a experiência
hands-on com não é o trajeto nós seguimos.
Ajustar um ponto de acesso seguro que usa HostAP é distante
mais de um desafio cortando da rede real do que ajustando um rogue AP
em um laptop de Linux. A razão para esta é que há muitas
características avançadas de HostAP que são geralmente
desnecessárias ao ajustar acima um rogue básico AP mas que venha em
muito acessível ao desdobrar um AP apropriado. Tais
potencialidades incluem o seguinte:
Você pode mesmo plug mais cartões do PCI ou do
PCMCIA em uma passagem wireless universal custom-built e funcioná-los
que usam o mesmo excitador de HostAP fornecer o acesso em três
canaletas diferentes para a carga do redondo-round-robin que balança
usando Netfilter. Alternativamente, um dos cartões plugged pode
ser posto na modalidade de monitoração e ser usado funcionar a
monitoração de uma rede ou a ferramenta dos IDS.
Neste artigo nós não discutimos a distribuição de WDS e as
outras características de HostAP não diretamente relevantes à
segurança. Jogar com estes ajustes é grande cortando o
divertimento, though. Verificação justa quantas extensões
wireless confidenciais podem ser suportadas por seus firmware do
cartão e que feats da configuração podem ser executados com o
prism2_param e o hostapd.
Para permitir sua partida wireless do ponto de acesso da
passagem, adicione os parâmetros do AP à lima startup apropriada.
Como um exemplo, em Debian nós usaremos /etc/network/interfaces
e adicionaremos algo como este:
automóvel wlan0
estática do inet do iface wlan0
endereço 0.0.0.0
essid ascendente Arh0nt-X de /sbin/iwconfig wlan0
canaleta 11 de /sbin/iwconfig wlan0
mestre da modalidade de /sbin/iwconfig wlan0
automóvel eth0
estática do inet do iface eth0
endereço 0.0.0.0
automóvel br0
estática do inet do iface br0
endereço 192.168.1.1
rede 192.168.1.0
netmask 255.255.255.0
transmissão 192.168.1.255
bridge_ports wlan0 eth0
acima de
Porque é Linux, há sempre umas maneiras
múltiplas fazê-lo (por exemplo, veja o potter e o Bob de Bruce
fleck's "a segurança 802.11" para uma aproximação diferente).
Escolha esse que você gosta do a maioria.
O MAC que filtra com HostAP é feito usando suas extensões
wireless confidenciais:
maccmd do iwpriv wlan0
0: política aberta para ACL (defeito)
1: permita a política para o ACL
2: negue a política para o ACL
3: nivele o Access Control List do MAC
4: retroceda todas as estações authenticated
addmac do iwpriv wlan0
adicione o addr do mac no Access Control List
delmac do iwpriv wlan0
remova o addr do mac do Access Control List
kickmac do iwpriv wlan0
estação authenticated pontapé do AP
Para criar um ACL use o maccmd do iwpriv wlan0
Alternativamente, você pode sempre usar o Netfilter para
filtrar do MAC:
$IPTABLES - Macfilter de N
$IPTABLES - Um macfilter - i $WLAN_INTERFACE - mac de m - mac-fonte de:ad:be:ef:co:de - j ACEITA
$IPTABLES - Um macfilter - i! $WLAN_INTERFACE - j ACEITA
$IPTABLES - Um macfilter - REGISTRO de j
$IPTABLES - Um macfilter - GOTA de j
$IPTABLES - Um PARA DIANTE - macfilter de j
Entretanto, nós recomendamos filtrar de HostAP:
É muito direto usar-se e você pode retroceder para fora dos
anfitriões authenticated suspicious com facilidade.
Para melhorar sua segurança custom-built do AP, para usar o
comando do enh_sec 3 de prism2_param wlan0 empregar ESSID escondido e
ignorar pedidos da ponta de prova com ALGUM ESSID. O cartão do
chipset de prisma do AP deve ter os firmware os mais atrasados do STA
para suportar a extensão do enh_sec. Verifique que extensões
wireless seu firmware atual suporta funcionando o comando do iwpriv
wlan0 e verifique a versão dos firmware com prism_diag wlan0.
Procure a linha de saída que diz "(os firmware da estação)."
Para atualizar os firmware, você deve ter HostAP compilado com
a função de PRISM2_DOWNLOAD_SUPPORT. Isto pode ser feito
diretamente modificando a lima de encabeçamento de
driver/modules/hostap_config.h ou HostAP compilando com faz o pci || SUSTENTAÇÃO do pccard EXTRA_CFLAGS="-dprism2_download
_". Faça para instalar, funcionar o depmod - a, e para usar a
utilidade de prism2_srec atualizar seus firmware:
arhontus: # /prism2_srec
Uso: prism2_srec [ - vvrfd ]
Opções:
- v verbose (adicione outros para mais verbosity)
- lima do download SREC de r na RAM (temporária)
- lima do download SREC de f no flash (permanente)
- imagem do dump SREC de d em prism2_srec.dump
- eu ignoro erros de relações incompatíveis
Aviso! Isto pode resultar no melhoramento falhado!
- r e - as opções de f não podem ser usadas junto.
Se - r ou - f não for especificado, o sumário da imagem está
mostrado e a compatibilidade com o cartão de WLAN é verificada sem
downloading qualquer coisa.
Certifique-se de que - a opção de f é suportada corretamente
com sua versão das utilidades de HostAP; se não, será
necessário fazer o update dos firmware com - r cada vez que o cartão
é restaurado. Você pode começar as imagens mais novas do hex
dos firmware do STA de
http://www.intersil.com/design/prism/ss/p2smtrx.asp ou de
http://www.netgate.com/support/prism_firmware/.
Então funcionamento
prism2_srec - f wlan0 /path/to/firmware/
e verificação se o update for bem sucedido com
prism2_diag wlan0.
Para permitir a sustentação 802.1x, a funcionalidade de
Authenticator no daemon do hostapd tem que ser empregada. O
Authenticator no hostapd relays os frames entre o usuário supplicant
e do authentication, que tem que ser RAIO somente. Para usar o
authenticator, compile o excitador de HostAP com fazem o pci || o pccard EXTRA_CFLAGS="-dprism2_hostapd" ou edita
driver/modules/hostap_config.h antes da compilação. Um
usuário externo do RAIO é configurarado com
arhontus:/#prism2_param wlan0 ieee_802_1x 1
arhontus:/#hostapd - x - o- a - segredo compartilhado s
AP-auth.serv. > wlan0
O authenticator no hostapd pode automaticamente selecionar um defeito aleatório e transmitir chave de WEP compartilhado por todas as estações authenticated. A seleção é feita com - b5 (WEP 64-bit) ou - (128-bit WEP) as bandeiras b13 passadas ao hostapd. Além, - i5 ou - a opção i13 pode ser usada ajustar chaves individuais do unicast para estações. Isto exige a sustentação chave individual no excitador da estação. Ajuste as chaves individuais usando a utilidade do hostap_crypt_conf:
arhontus: # /hostap_crypt_conf
Uso: hostap_crypt_conf [ - 123456789tpl ][ addr ] [ alg ] [ chave ]
Opções:
-1.. -9 índice chave (para WEP); somente um índice por o comando
- índice chave ajustado de t TX (dado com -1.. -9)
- configuração permanente da estação de p (não expiram os dados)
- l chaves configuraradas lista (não use o addr ou o alg)
dispositivo wlan #
hwaddr da estação do addr ou ff:ff:ff:ff:ff:ff para a chave de default/broadcast
algoritmo do crypt do alg (WEP, ZERO, nenhum)
dados chaves chaves (no hex, por exemplo. ' 0011223344 ', ou s:string)
Algoritmos:
WEP 40 ou 104 bocado WEP
Encryption NULO NULO (isto é, não encrypt/decrypt);
usou-se não configurarar nenhum encryption para dado
estação ao usar o encryption do defeito
nenhuns incapacitam o encryption
Embora você possa também se ajustar o cliente
que de HostAP WEP fecha à chave usando o iwconfig, você não poderá
configurarar as chaves individuais para a sustentação da chave do
unicast do hostapd usando este comando.
Ajustar um ponto de acesso perfeito usando HostAP e
assegurando-se de que este AP suporte todas as características
descritas apenas não é uma tarefa fácil. Entretanto, é uma
maneira grande aprender sobre o wireless e pode conservar seus
negócio ou muitos wireless da comunidade do dinheiro. A
verificação justa para fora de quanto uma passagem wireless
comercial que suporta todas as potencialidades uma passagem
custom-built Linux-baseada ou AP pode possuir custaria. Você
será surpreendido. Não se esqueça de que a maioria de
passagens wireless comerciais high-end não tem a funcionalidade do AP
e você terá que comprar pontos de acesso extra para construir sua
rede.
A desvantagem principal da solução "completa" é um único
ponto da falha. Assim, nós sugerimos que você descarrega
algumas funções em uma segunda máquina. No detalhe, isto
aplica-se ao usuário do authentication do RAIO. A passagem
wireless deve ter o número mínimo dos portos abertos ao lado
wireless. A respeito da segurança da passagem própria, nós
recomendamos as seguintes medidas endurecendo-se:
Para o verdadeiramente paranoid, há sempre umas distribuições de Linux das TAMPAS e da segurança-enchanced tais como a agência da segurança nacional (NSA) SELinux ou Immunix. Configurarada corretamente e olh-após a máquina de Linux são tão seguros quanto pode ser; não responsabilize o sistema quando a falha real é o laziness e ignorance de administrador de sistema.
Online: 434 users browsing the articles directory
|
|