Мы должны обеспечить безопасность шлюза, которая отделяет нашу ЗС или моста или беспроводного подключения VLAN с проводной стороне. Такие шлюзы являются не более (или менее) чем гибкие соединения, прокси или межсетевого экрана, рассматривает интерфейс подключен к WLAN сторона в качестве интерфейса подключения ЛВС к сети общественной безопасности. Единственное конкретное требование шлюза является возможность движения вперед, если VPN VPN осуществляется на WLAN. Кроме того, шлюз может быть VPN концентратор, если вы хотите сократить расходы на сетевой безопасности (как правило, не очень хорошая идея). Если VPN лежит на транспорте слоя (например, cIPe), передачу трафика прост: открыть порты, используемые в VPN протокола, и давайте искать. Пересылка IPSec трафик сложнее. Вы должны разрешить протоколам 50 или 51 счет, а также имеют UDP 500 порт открыт для IKE обмена. Пример с Linux Netfilter скрипт позволяет IPSec трафик через показано здесь:
iptables - A INPUT -i $ EXT -p, 50 - j ACCEPT
iptables - A INPUT -i $ EXT -p, 51 - j ACCEPT
iptables - A INPUT -i $ EXT -p, udp -- спорт 500 -- dport 500 j ACCEPT
|
|
А хорошая идея - установить статический ARP таблице записи для всех точек доступа и критические серверы подключены к шлюзу. Поместите следующие строки в Ваш / и т.д. / rc.local если применимо:
arp - ы
arp - ы
.............................................................................................................................................................................
arp - ы
arp - ы
arp - ы
Вы также можете использовать шлюз в качестве DHCP сервера. Редактировать / и т.д. / dhcpcd.conf файл содержать что-то вроде этого:
# dhcpd.conf
#
# Файл конфигурации для МКК dhcpd (см. "мужчина dhcpd.conf")
#
отрицать неизвестного клиентов;
один аренды за клиента верно;
авторитетный;
умолчанию аренды времени 604800;
Макс аренды времени 604800;
опция domain-name "domain.name";
подсети 192.168.1.0 Маска 255.255.255.192 (
вариант трансляции адреса 192.168.1.63;
вариант маршрутизаторы 192.168.1.2;
вариант домена - имя серверов 192.168.1.2, 192.168.1.3;
вариант smtp сервер 192.168.1.2;
вариант всплывающие сервере 192.168.1.2;
опция netbios именем серверов 192.168.1.3;
# отделом продаж ноутбуков
принимающей toad1 (оборудования сетевой; Твердая адрес 192.168.1.1; вариант пребывания название "toad1";)
принимающей toad2 (оборудования сетевой; Твердая адрес 192.168.1.2; вариант пребывания название "toad2";)
принимающей toad3 (оборудования сетевой; Твердая адрес 192.168.1.3; вариант пребывания название "toad3";)
принимающей toad4 (оборудования сетевой; Твердая адрес 192.168.1.10; вариант пребывания название "toad4";)
# бухгалтерского учета Департамента ноутбуков
принимающей gebril1 (оборудования сетевой; Твердая адрес 192.168.1.11; вариант пребывания название
"gebril1";)
принимающей gebril2 (оборудования сетевой; Твердая адрес 192.168.1.12; вариант пребывания название
"gebril2";)
# Брокерская Департамента ноутбуков
принимающей tsetse1 (оборудования сетевой; Твердая адрес 192.168.1.15; вариант пребывания название
"tsetse1";)
принимающей tsetse2 (оборудования сетевой; Твердая адрес 192.168.1.16; вариант пребывания название
"tsetse2";)
принимающей tsetse3 (оборудования сетевой; Твердая адрес 192.168.1.17; вариант пребывания название
"мухи";)
В этом примере IP- адреса присваиваются по МАС-адресу с тем, что злоумышленник придется обманывать MAC- адреса юридического принимающей получить адрес от DHCP сервера. Это может запутать низкоуровневая злоумышленник на время: На сервере есть, DHCP трафик, вытекающие, но не адрес присваивается.
Что делать, если точки доступа, шлюз, брандмауэр, сервер аутентификации и VPN концентратор объединены на одной машине? Под Linux это возможно. Кроме того, можно использовать BSD платформы для создания такого пребывания, но писали ничего мы не имеем практический опыт - это не путь мы следуем.
Настройка безопасного доступа с использованием HostAP гораздо более реальная задача взлома сети, чем установление незаконных ЗС Linux на ноутбук. Причина этого заключается в том, что существует множество современных HostAP функции, как правило, необходимо при создании базового изгои ЗС, но, что неплохим подспорьем при развертывании надлежащего AP. Такие возможности включают:
Можно даже плагин более PCI или PCMCIA карты в пользовательский встроенный универсальный беспроводной шлюз и запустить их, используя тот же HostAP драйвера для обеспечения доступа по трем различным каналам за круглым robin нагрузки, используя Netfilter. Кроме того, одной из карт подключен может быть введен в режиме мониторинга и используются для запуска сети мониторинга IDS или инструмент.
В этой статье мы не обсуждаем WDS развертывания и других HostAP функции, не имеющей непосредственного отношения к безопасности. Играя с этими настройками большие взлом весело. Просто проверить, сколько частных беспроводных расширений может быть обеспечено с помощью вашей карты микропрограмм и какой конфигурации feats может осуществляться с prism2_param и hostapd.
Для своего беспроводного шлюза точка доступа запуска добавить ЗС параметры запуска соответствующего файла. Например, на Debian мы будем использовать / и т.д. / сеть / интерфейсов и добавить что-то вроде этого:
авто wlan0
iface wlan0 inet статические
адрес 0.0.0.0
вверх / sbin / iwconfig wlan0 essid Arh0nt - X
/ sbin / iwconfig wlan0 канала 11
/ sbin / iwconfig wlan0 режиме Master
авто eth0
iface eth0 inet статические
адрес 0.0.0.0
авто br0
iface br0 inet статические
адрес 192.168.1.1
сети 192.168.1.0
Маска 255.255.255.0
эфир 192.168.1.255
bridge_ports wlan0 eth0
деятельности
Потому что в Linux всегда есть несколько способов сделать это (см., например, Брюс Поттер и Боб Флек в "802,11 безопасности" для иной подход). Выберите которая вам понравится.
ВКП фильтрации с HostAP производится с использованием своего частного беспроводных расширений:
iwpriv wlan0 maccmd
0: открытая политика для ACL (по умолчанию)
1: разрешить политики ACL
2: отрицать политики ACL
3: флеш ВКП список контроля доступа
4: удар подлинности всех станций
iwpriv wlan0 addmac
добавить проверки MAC- addr в список контроля доступа
iwpriv wlan0 delmac
удалить из проверки MAC- addr список контроля доступа
iwpriv wlan0 kickmac
Удар с заверенным станции ЗС
Чтобы создать ACL использовать iwpriv wlan0 maccmd
Кроме того, всегда можно использовать для Netfilter ВКП фильтрации:
$ IPTABLES - N macfilter
$ IPTABLES - А macfilter -i $ WLAN_INTERFACE м проверки MAC- - проверки MAC- источника де: объявление: быть: ef: совместно: де - j ACCEPT
$ IPTABLES - А macfilter - я! $ WLAN_INTERFACE - j ACCEPT
$ IPTABLES - А macfilter - j ВОЙТИ
$ IPTABLES - А macfilter - j DROP
$ IPTABLES - А ВПЕРЕД - j macfilter
Однако, мы рекомендуем HostAP фильтрации: Он очень прост в использовании и вы можете победить подозрительных аутентификации хостов легко.
Для улучшения пользовательское встроенный ЗС безопасности, использовать prism2_param wlan0 enh_sec 3 команды использовать скрытые ESSID и игнорировать просьбы зонд с ЛЮБОЙ ESSID. В ЗС Призма чипсета карта должна иметь последнюю СТА микропрограммы для поддержки enh_sec продления. Проверьте, что беспроводные расширения текущей микропрограммы поддерживает, запустив iwpriv wlan0 командования и проверить версия микропрограммы с prism_diag wlan0. Посмотрите на продукцию линии говоря "(станция микропрограммы)." Для обновления микропрограммы, вы должны HostAP собран с PRISM2_DOWNLOAD_SUPPORT функции. Это может быть сделано путем прямого изменения водитель / модулей / hostap_config.h заголовке файла или компиляции HostAP с pci сделать | | pccard EXTRA_CFLAGS = "DPRISM2_DOWNLOAD_ ПОДДЕРЖКА". Ли сделать установку, запустить depmod -a, и использовать prism2_srec утилита для обновления микропрограммы:
arhontus: # ./prism2_srec
Использование: prism2_srec [- vvrfd]
Параметры:
v - подробный (добавить еще более verbosity)
- р скачать SREC файл в оперативной памяти (летучих)
- ж скачать SREC файл во флеш (нелетучих)
- г свалка SREC изображение в prism2_srec.dump
- я несовместимых интерфейсов игнорировать ошибки
Внимание! Это может привести к модернизации удалось!
В - р ж и - варианты не могут быть использованы вместе. Если - р или ж не указан, изображение приводится резюме и совместимость с картой WLAN проверяется загрузкой без ничего.
Проверьте, что параметр -f поддерживается корректно с вашей HostAP коммунальные вариант; В противном случае необходимо будет делать обновления прошивки с - р каждый раз карты сбросить. Вы можете получить новейшую СТА микропрограммы шестнадцатиричное картинки из http://www.intersil.com/design/prism/ss/p2smtrx.asp или http://www.netgate.com/support/prism_firmware/. Затем запустите
prism2_srec - ж wlan0 / путь / к / микропрограммы /
и убедиться, что обновление успешно с prism2_diag wlan0.
Чтобы 802.1x поддержки, Authenticator функциональность в hostapd демон должен работать. В Authenticator в hostapd реле рамки между supplicant и сервером аутентификации, которая должна быть только RADIUS. Для использования authenticator, собрать HostAP драйвер pci сделать | | pccard EXTRA_CFLAGS = "DPRISM2_HOSTAPD" или изменить драйвера / модули / hostap_config.h до компиляции. Внешний RADIUS сервер настроен с
arhontus: / # prism2_param wlan0 ieee_802_1x 1
arhontus: / # hostapd - х - о- один - с общей тайной
АП - auth.serv. > Wlan0
В authenticator в hostapd может автоматически выбрать произвольный умолчанию и вещания WEP ключ разделяют все заверенным станций. Отбор производился с - b5 (64 - бит WEP), или - b13 (128 - битного WEP) флагов, передаваемых hostapd. Кроме того, - i5 или i13 вариант могут использоваться для установления личности unicast ключи для станций. Это требует индивидуальной ключевой поддержке в участок водителя. Установка индивидуальных ключей с использованием hostap_crypt_conf утилиты:
arhontus: #. / hostap_crypt_conf
Использование: hostap_crypt_conf [- 123456789tpl][addr] [alg] [ключ]
Параметры:
-1 .. -9 основных индекса (для WEP); только один индекс за команду
- т TX набор ключевых индекса (приводится с -1 .. 9)
р постоянных конфигурации станции (не истекают данных)
- л настроить список ключей (не использовать addr или alg)
устройство wlan #
addr станции hwaddr или далее: далее: далее: далее: далее: далее по умолчанию / вещания ключевых
alg зашифрованный алгоритм (WEP, NULL, нет)
основных ключевых данных (в шестнадцатиричное, например'0011223344 ', или п: строка)
Алгоритмы:
WEP 40 или 104 бит WEP
NULL NULL шифрования (т.е. не шифрования / расшифровки);
используется для конфигурирования для шифрования не учитывая
станции при использовании шифрования по умолчанию
никто отключить шифрование
Хотя вы можете устанавливать HostAP клиентов WEP ключей с помощью iwconfig, вы не сможете настроить индивидуальные ключи для hostapd unicast ключевой поддержке, используя эту команду.
Настройка идеальный точка доступа с использованием HostAP и при этом ЗС поддерживает все функции только что описал это непростая задача. Однако, это отличный способ узнать о беспроводной и может спасти свой бизнес или беспроводное сообщество много денег. Просто посмотрите, сколько коммерческой беспроводной шлюз поддерживает все возможности ядром на основе пользовательских встроенный шлюз или ЗС может обладать обойдется. Вы будете удивлены. Не забывайте, что большинство высоком конце коммерческих беспроводных сетей не имеют ЗС функциональность и вам придется покупать дополнительные точки доступа для создания своей сети.
Основной недостаток такого "все в одном" решением является единой точки сбоя. Таким образом, мы предлагаем Вам выгрузить некоторые функции на второй машине. В частности, это относится к аутентификации RADIUS сервера. В беспроводной шлюз должен иметь минимальное количество портов открыты для беспроводной стороне. Что касается безопасности воротами, мы рекомендуем следующие ужесточения мер:
Для действительно параноик, всегда есть КРЫШКИ и безопасности enchanced Linux дистрибутивов, таких, как Агентство национальной безопасности (НГБ) SELinux или Immunix. А настроены и присмотром Linux машина в безопасности, может быть; Не вина системы, когда реальный недостаток является системным администратором в лени и невежества.
Online: 891 users browsing the articles directory
|
|