SK Zadanie 3

From Łukasz Graczykowski

(Difference between revisions)

Revision as of 11:54, 2 November 2016

Zadania

Zadanie A

Należy skonfigurować router Linksys Model WRT54G w celu stworzeia sieci bezprzewodowej zabezpieczonej hasłem zaszyfrowanym w standardzie WPA2.

Zadania:

Ustawić hasło do wifi na “alamakota”
Ustawić nazwę sieci na “siecikomp”
Ukryć sieć tak, by nie była dostępna dla osób, które nie znają jej nazwy.

Przy realizacji zadania trzeba pamiętać również o:

Zmiana hasła administratora “alamakotaadmin”
Wybraniu optymalnego kanału Wifi (program “Wifi Analyzer”)

Zadanie B

Konfigurujemy router programowy z wykorzystaniem mini komputera Raspberry Pi z zainstalowanym systemem operacyjnym Linux Mate. Do komputera podłączony jest na wejściu sygnał internetowy od dostawcy internetu (w naszym przypadku z "gniazdka" wydziałowego), zaś na wyjściu podpinany jest switch przekazujący sygnał do poszczególnych komputerów podłączanych do tworzonej przez nas sieci. W Rasperry Pi należy:

podłączyć kabel Ethernet z sygnałem internetowym oraz switch
utworzyć odpowiednie reguły przekierowania (forwarding) z wykorzystaniem narzędia iptables
skonfigurować serwery DHCP do automatycznego przydzielania adresów IP oraz DNS do rozpoznawania nazw wewnątrz podsieci, z wykorzystaniem narzędzia dnsmasq

Zadanie C

Zadanie manualne polegające na przygotowaniu kabla sieciowego z końcówkami typu RJ45 bez przeplotu, służącego do połączenia komputera z routerem.

Zadanie D

W maszynie wirtualnej należy zainstalować serwer ssh, umożliwiający zdalne łączenie się z komputerem. Następnie przetestować działanie zdalengo logowania ssh oraz zdalnego kopiowania pomiędzy komputerami w sieci za pomocą scp (ustawienia sieciowe maszyny wirtualnej przełączamy w "Bridged Adapter").
Następnie na maszynie wirtualnej należy zainstalować aplikację x11vnc służącą do zdalnego przekazywania środowiska graficznego. Na drugim komputerze odpalamy system Windows, na który należy ściągnać aplikację VNC Viewer(https://www.realvnc.com/download/viewer/) służącą do dobioru sygnału VNC i następnie przetestować działanie zdalnego dostępu do systemu maszyny wirtualnej.

Sieci bezprzewodowe - podstawowe informacje

Sieć bezprzewodowa lokalna (ang. WLAN, Wireless Local Area Network, w Polsce często jako synonim funkcjonuje nazwa Wi-Fi) jest to sieć lokalna, w której połączenia między urządzeniami sieciowymi zrealizowano bez użycia przewodów.

SSID (ang. service set identifier) – identyfikator sieci (max 32 znaki). Pełni on rolę loginu przy próbie nawiązywania połączeń z punktami dostępowymi.

Kanały. Sygnał WiFi jest nadawany na tzw. kanałach. Gdy sieci WiFi w okolicy jest bardzo dużo może to prowadzić do problemów: niejednokrotnie używają tych samych kanałów, powodując zakłócenia. Te nie przekładają się na błędy połączenia, ale na wolniejszy transfer danych. Istnieją specjalne programy, które pozwalają sprawdzić, jakie kanały w okolicy są zajęte i przestawić nasz router tak, aby nadawał na kanałach wolnych. Więcej informacji: Sloneczko net

Logowanie się do routera. Zwykle router można znaleźć wpisując w przeglądarkę adres IP 192.168.1.1 (czasem bywa to 192.168.0.1). Po restarcie routera wraca on zawsze do ustawień domyślnych. W takim wypadku by zalogować się do konsoli administratora można skorzystać z domyślnego loginu / hasła administratora dla naszego routera. Zwykle są to słowa “admin”, ale wyszukanie odpowiednich informacji w google nie powinno zająć więcej niż 2 minuty.

Zabezpieczenia sieci bezprzewodowych

Popularne:

WEP (Wired Equivalent Privacy). Jest to najczęściej używany standard bezpieczeństwa na świecie powstały pod koniec lat 90-tych. Występuje zwykle na pierwszej pozycji na listach w ustawieniach routerów. A zarazem jest najsłabszym i najbardziej podatnym na ataki standardem jaki można wybrać.

WPA (Wi-Fi Protected Access). WPA jest następcą mniej bezpiecznego standardu WEP. Niestety, ze względu na chęć łatwego wdrożenia standardu do wszystkich urządzeń WPA musiał posiadać pewien poziom wstecznej kompatybilności z WEP. Z tego względu TKIP (protokół będący kluczową częścią standardu WPA) cierpi na podobne przypadłości, co WEP.

WPA2 (Wi-Fi Protected Access II) - najlepszy wybór. Dla sieci domowej WPA2 jest obecnie najlepszym zabezpieczeniem z trzech (WEP, WPA, WPA2) omawianych. Radzimy upewnić się, że to właśnie WPA2 (z typem szyfrowania AES) jest wybrany w ustawieniach sprzętu sieciowego. Użycie któregokolwiek ze starszych standardów naraża nasze bezpieczeństwo, gdyż złamanie zabezpieczeń WEP i WPA zajmuje od kilku do kilkunastu minut.

Personal vs Enterprise. Jak nazwa wskazuje, szyfrowanie typu “Personal” przewidywane jest dla użytku domowego, a “Enterprise” zostało zaprojektowane do ochrony organizacji i firm.

Zaawansowane:

Filtrowanie adresów MAC. Technika ta polega na ustawieniu w Punkcie Dostępowym listy adresów kart sieciowych, które legalnie mogą (bądź nie mogą) korzystać z sieci. Jeżeli adres MAC klienta nie znajduje się na tej liście, nie uzyska on połączenia z siecią. Ten rodzaj zabezpieczenia zwykle łączy się również z innymi. Przykład ustawiania tego zabezpieczenia na używanych na laboratoriach routerach Linksys: link.

RADIUS (Remote Authentication Dial-In User Service). RADIUS jest protokołem, umożliwiającym autentykację, autoryzację oraz rozliczanie (AAA - Authencication, Authorization, Accounting). Więcej informacji https://pl.wikipedia.org/wiki/RADIUS

VPN (Virtual Private Network). Dzięki VPN, za pośrednictwem publicznej sieci (Internetu), możemy utworzyć bezpieczny tunel pomiędzy dwoma klientami/sieciami prywatnymi/klientem a siecią prywatną. Jednym ze sposobów podniesienia bezpieczeństwa sieci VPN jest zastosowanie zbioru protokołów kryptograficznych znanych jako IPsec. Więcej informacji https://pl.wikipedia.org/wiki/IPsec

Kable sieciowe

Do budowy sieci komputerowej typu Ethernet wykorzystuje się dedykowane kable miedziane typu skrętka, które ustandaryzowane są według europejskiej normy EN 50173. Norma ta dzieli skrętki na kilka kategorii, z czego najpopularniejsza jest kategoria 5 lub 5e (mówimy wtedy, że jest to kabel Cat 5 albo Cat 5e), wykorzystywana właśnie do transmisji danych w sieciach komputerowych.

Kabel Cat 5e składa się z 8 żył, które są skręcone ze sobą parami w celu eliminacji różnego rodzaju zakłóceń. Transmisja odbywa się w technologii 100Base-TX (pozwalającej na przesył z prędkością 100 Mb/s). Poszczególne żyły oznaczone są kolorami, jak również kolorami są one ze sobą skręcone. Wyróżniamy pary:

niebieski - biało-niebieski
pomarańczowy - biało-pomarańczowy
zielony - biało-zielony
czerwony - biało-czerwony

Do transmisji danych wykorzystywane są jedynie dwie pary żył.

Kabel Cat 5e zakończony jest z dwóch stron końcówką zwaną RJ45, która może mieć dwojaki układ żył (tzw. standardy 100BASE-T568A - typ A oraz 100BASE-T568B - typ B). Wyróżniamy

RJ4 zgodna z RJ11, środdkowe dwie telefon. Do RJ45 można wpiąć RJ11 i telefon będzie działał. W kablu komouterowym nie wolno wykorzystać dwóch środkowych złączy

Konfigurowanie routera programowego

Translacja adresów sieciowych (NAT)

Potrzebujemy uzyskać nazwę interfejsu, dla którego będziemy stawiać serwer DHCP. Komenda

/sbin/ifconfig

powinna pokazać nazwy wszystkich interfejsów danego urządzenia. Poszukujemy linijki podobnej do:

enxbabebc616263

Jeśli do jednego urządzenia mamy podłączone dwa kable sieciowe, uzyskamy dwa interfejsy typu "ethernet". Właściwy można wybrać np. analizując przydzielone numery IP.

W celu skonfigurowania sieci musimy zmienić plik interfaces:

sudo jed /etc/interfaces

dodając linijki:

and add lines for the Ethernet:
auto  enx_ustawiany_interfejs
iface  enx_ustawiany_interfejs inet static
address 192.168.155.254
netmask 255.255.255.0

W ten sposób dla naszego switcha wybraliśmy prywatną sieć 192.168.155.x. Dla sieci większych niż 250 maszyn należy wybrać prywatną sieć z zakresu podsieci 172.x.x.x or 10.x.x.x.

Teraz możemy zrestartować połączenia sieciowe.

sudo service networking restart

i sprawdzić czy oba interfejsy ustawione są poprawnie, ponownie używając komendy:

/sbin/ifconfig

Zakładamy, że drugi interfejs ethernet został automatycznie skonfigurowany poprawnie, umożliwiając dostęp do internetu konfigurowanej maszynie.

Należy dodać nazwę naszego hosta do pliku hosts:

sudo jed /etc/hosts

Do pliku należy dopisać linijki:

127.0.0.1 routersk
192.168.155.254 routersk.podsiecsk routersk

Oczywiście używane nazwy mogą być dowolne.

Teraz należy skonfigurować NAT (ang. Network Address Translation, znane również jako maskarada sieci). Jest to technika przesyłania ruchu sieciowego poprzez router (w tym wypadku: nasze Raspberry Pi) która wiąże się ze zmianą źródłowych lub docelowych adresów IP.

Wpierw musimy się upewnić, że w pliku /etc/sysctl.conf znajduje się linijka (niezakomentowana):

net.ipv4.ip_forward = 1

Uruchamiamy ją poprzez:

sysctl -p /etc/sysctl.conf

Następnie należy dodać poprawne reguły przekazywania (tzw. forwarding rules):

sudo iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
sudo iptables -A FORWARD -i wlan0 -o enxbabebc616263 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i enxbabebc616263 -o wlan0 -j ACCEPT

Przy użyciu komendy

sudo iptables -L

można sprawdzić, czy nowe reguły pojawiły się w łańcuchu. Jeśli wszystko jest w porządku, należy je zapisać i upewnić się, że będą używane również po restarcie systemu.

sudo iptables-save > iptables.up.rules
sudo mv iptables.up.rules /etc/

Tworzymy skrypt w /etc/network/if-pre-up.d/iptables:

#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules

a następnie nadajemy uprawnienia do wykonywania.

DNS and DHCP

Teraz musimy skonfigurować DHCP w ten sposób, by numery IP dla naszego switcha były alokowane dynamicznie, oraz serwer DNS zapewniający możliwość używania nazw wewnątrz naszej sieci. Obie te funkcjonalności zapewnia jeden program 'dnsmasq.

Wpierw musimy się upewnić, że Network Manager nie zacznie kolidować z naszym programem używając swojej własnej, okrojonej wersji dnsmasq.

W pliku /etc/NetworkManager/NetworkManager.conf linijka

dns=dnsmasq

powinna być zakomentowana.

Następnie instalujemy pełną wersję dnsmasq.

apt-get install dnsmasq

Zatrzymujemy program:

sudo service dnsmasq stop

i konfigurujemy, edytując plik /etc/dnsmasq.conf . Mianowicie, dodajemy linijki odpowiadające naszej nazwie oraz przestrzeni adresowej:

interface=enx_ustawiany_interfejs
domain=routersk
dhcp-range= enx_ustawiany_interfejs,192.168.155.1,192.168.155.254,255.255.255.0
dhcp-host=ba:be:bc:61:62:63,192.168.155.254

- Uwaga, należy użyć poprawnego numeru MAC!
- Należy zwrócić uwagę, że trzecia linia zawiera zakres adresów IP które będą przydzielane przez nasz serwer DHCP. Będą również automatycznie dodane do wewnętrznego DNS.
- Należy szczególnie uważać, by użyć nazwy wewnętrznego interfejsu, w przeciwnym wypadku stworzony serwer DHCP mógłby zakłócić DHCP istniejący w naszej sieci "zewnętrznej"!
- Można zwrócić uwagę, że zakres adresów zawiera również adres przydzielony dla naszego komputera. Jest to możliwe, gdyż w ostatniej linijce zarezerwowalśmy ten adres ręcznie przypisując adres MAC. W teorii, moglibyśmy w ten sposób przyporządkować numery IP dla wszystkich podłączanych urządzeń. Jednakże wtedy dołączanie ich nie byłoby "automatyczne" - za każdym razem gdy w naszej sieci pojawiałoby się nowe urządzenie, trzebaby dopisywać kolejną linijkę w pliku konfiguracyjnym. Dużo łatwiej jest określić nazwę dla każdego z urządzeń, a serwerowi DHCP umożliwić wybranie losowych adresów za każdym razem. To oznacza również, że będziemy identyfikować nasze urządzenia po nazwach' a nie 'numerach IP. Nazwy pozostaną stałe, a adresy IP mogą się zmienić po restarcie systemu.

Należy zrestartować serwer

sudo service dnsmasq restart

W razie problemów należy spróbować:

sudo service dnsmasq status
sudo service dnsmasq start

Po podłączeniu nowego urządzenia do switcha, takie urządzenie powinno uzyskać numer IP z puli 192.168.155.x oraz dostęp do internetu poprzez nasz Raspberry-Pi-Router.

Navigation