IDZ DO
IDZ DO
PRZYKŁADOWY ROZDZIAŁ
PRZYKŁADOWY ROZDZIAŁ
802.11.
SPIS TRE CI
SPIS TRE CI
Bezpieczeństwo
KATALOG KSIĄŻEK
KATALOG KSIĄŻEK
Autorzy: Bruce Potter, Bob Fleck
KATALOG ONLINE
KATALOG ONLINE Tłumaczenie: Marcin Jędrysiak
ISBN: 83-7361-412-5
Tytuł oryginału: 802.11 Security
ZAMÓW DRUKOWANY KATALOG
ZAMÓW DRUKOWANY KATALOG
Format: B5, stron: 215
TWÓJ KOSZYK
TWÓJ KOSZYK
Sieci bezprzewodowe otwierają nowe możliwo ci dla wszystkich użytkowników
i odgrywają coraz większą rolę w naszym życiu. Najpopularniejszy protokół sieci WLAN
DODAJ DO KOSZYKA
DODAJ DO KOSZYKA
 802.11  zmienia całkowicie sposób postrzegania tradycyjnych sieci lokalnych.
Sieci bezprzewodowe stanowią poważne wyzwanie zarówno dla użytkowników,
jak i administratorów. Brak zabezpieczeń fizycznych, dostęp do darmowych narzędzi,
CENNIK I INFORMACJE
CENNIK I INFORMACJE
które można wykorzystać do przeprowadzenia ataku, a także możliwo ć monitorowania
ruchu sieciowego bez ryzyka wykrycia przez administratora sprawiają, że sieci
ZAMÓW INFORMACJE
ZAMÓW INFORMACJE
bezprzewodowe stanowią łatwy cel ataku dla hakerów. Oznacza to konieczno ć
O NOWO CIACH
O NOWO CIACH
dokładnego zabezpieczenia każdego elementu sieci w celu zapewnienia ochrony danych.
W niniejszej książce znajdują się podstawowe informacje na temat bezpieczeństwa sieci
ZAMÓW CENNIK
ZAMÓW CENNIK
bezprzewodowych. Poznasz sposób działania sieci w standardzie 802.11 oraz ich słabe
punkty. Bardzo ważną kwestią jest zrozumienie typowych metod włamań oraz
najważniejszych zagrożeń związanych z wdrażaniem sieci bezprzewodowych.
CZYTELNIA
CZYTELNIA
Książka  802.11. Bezpieczeństwo zawiera praktyczne rozwiązania dla wszystkich
FRAGMENTY KSIĄŻEK ONLINE
FRAGMENTY KSIĄŻEK ONLINE
podstawowych komponentów sieci bezprzewodowych. Książka prezentuje też najlepsze
aplikacje do zabezpieczania różnych systemów operacyjnych, omówiono użytkowanie
sieci bezprzewodowych pod kontrolą Linuksa, FreeBSD, Mac OS X i Windows
W książce omawiane są również bardziej zaawansowane tematy, takie jak:
" zabezpieczanie punktów dostępowych,
" bezpieczeństwo bramy,
" konfigurowanie zabezpieczeń dla stacji roboczych Linux, OpenBSD, FreeBSD,
Mac OS X i Windows,
" monitorowanie SNMP,
" ataki DoS i próby ataków socjotechnicznych,
" konfiguracja sieci VPN i protokołu 802.1x służącego do uwierzytelniania
Wydawnictwo Helion i autoryzacji użytkowników.
ul. Chopina 6
Książka  802.11. Bezpieczeństwo jest przeznaczona dla wszystkich osób zajmujących
44-100 Gliwice
się wdrażaniem sieci bezprzewodowych. Prezentuje teorię oraz praktyczne przykłady
tel. (32)230-98-63
pozwalające zabezpieczyć zarówno sieć, jak i cenne dane.
e-mail: helion@helion.pl
Spis treści
Wstęp ................................................................................................................................7
Część I P�dstawy bezpieczeństwa sieci 802.11..................................15
R�zdział 1. Świat bez kabli.........................................................................................17
Technżlżgie bezprzewżdżwe ..............................................................................................................18
Transmisja radiżwa ...............................................................................................................................19
Prżblemy z bezpieczeństwem .............................................................................................................21
Standard 802.11 ......................................................................................................................................23
Struktura warstwy 802.11 MęC..........................................................................................................27
W�P..........................................................................................................................................................28
Prżblemy związane z W�P ..................................................................................................................30
Czy sytuacja jest beznadziejna?...........................................................................................................31
R�zdział 2. �taki i zagr�żenia....................................................................................33
Przykladżwa sieć ...................................................................................................................................33
ętaki DżS ................................................................................................................................................34
ętaki za pżśrednictwem czlżwieka....................................................................................................40
Niewlaściwe użycie...............................................................................................................................42
Ryzykż związane z sieciami bezprzewżdżwymi.............................................................................43
Wiedza pżmaga zwyciężać ..................................................................................................................45
Część II Bezpieczeństw� stacji bezprzew�d�wych............................47
R�zdział 3. Zabezpieczanie stacji bezprzew�d�wych ............................................49
Bezpieczeństwż klienta  cele............................................................................................................49
Kżntrżla zabezpieczeń i dzienników .................................................................................................53
Instalacja aktualizacji.............................................................................................................................53
4 Spis treści
R�zdział 4. Zabezpieczanie systemu FreeBSD .........................................................55
Kżnfiguracja klienta �reeBSD..............................................................................................................55
R�zdział 5. Zabezpieczanie systemu Linux ..............................................................71
Kżnfiguracja klienta linuksżwegż ......................................................................................................71
Kżnfiguracja jądra .................................................................................................................................72
źchrżna systemu żperacyjnegż ..........................................................................................................80
Kżntrżla zabezpieczeń i dzienników .................................................................................................84
Bezpieczna kżmunikacja.......................................................................................................................86
R�zdział 6. Zabezpieczanie systemu OpenBSD.......................................................87
Kżnfiguracja klienta źpenBSD............................................................................................................87
Kżnfiguracja jądra .................................................................................................................................88
źchrżna systemu żperacyjnegż ..........................................................................................................94
Kżntrżla zabezpieczeń i dzienników .................................................................................................96
R�zdział 7. Zabezpieczanie systemu Mac OS X......................................................97
Kżnfiguracja klienta Mac źS X............................................................................................................97
źchrżna systemu żperacyjnegż ........................................................................................................100
Kżntrżla zabezpieczeń i dzienników ...............................................................................................106
R�zdział 8. Zabezpieczanie systemu Wind�ws......................................................107
Kżnfiguracja klienta Windżws ..........................................................................................................107
źchrżna systemu żperacyjnegż ........................................................................................................107
Kżntrżla zabezpieczeń i dzienników ...............................................................................................109
Bezpieczna kżmunikacja.....................................................................................................................109
Część III Bezpieczeństw� punktu d�stęp�weg�...............................111
R�zdział 9. K�nfigur�wanie punktu d�stęp�weg�................................................113
źgólne bezpieczeństwż punktu dżstępżwegż...............................................................................114
Kżnfigurżwanie punktu dżstępżwegż w systemie Linux............................................................121
Kżnfigurżwanie punktu dżstępżwegż w systemie �reeBSD.......................................................125
Kżnfigurżwanie punktu dżstępżwegż w systemie źpenBSD.....................................................127
Następny krżk  brama ....................................................................................................................132
Spis treści 5
Część IV Bezpieczeństw� bramy .........................................................133
R�zdział 10. Zabezpieczanie bramy.........................................................................135
ęrchitektura bramy.............................................................................................................................135
Bezpieczna instalacja...........................................................................................................................138
Twżrzenie regul firewalla ..................................................................................................................138
Kżntrżla zabezpieczeń........................................................................................................................139
R�zdział 11. Tw�rzenie bramy w systemie Linux.................................................141
Planżwanie struktury sieci.................................................................................................................141
Twżrzenie bramy.................................................................................................................................143
Kżnfiguracja interfejsów sieciżwych ................................................................................................144
Twżrzenie regul firewalla ..................................................................................................................146
�iltrżwanie adresów MęC.................................................................................................................152
DHCP.....................................................................................................................................................153
DNS........................................................................................................................................................154
Statyczne wpisy ęRP ..........................................................................................................................155
Kżntrżla zabezpieczeń i dzienników ...............................................................................................155
Pżdsumżwanie.....................................................................................................................................155
R�zdział 12. Tw�rzenie bramy w systemie FreeBSD............................................157
Twżrzenie bramy.................................................................................................................................157
Twżrzenie regul firewalla ..................................................................................................................160
źgraniczanie przepustżwżści............................................................................................................163
DHCP.....................................................................................................................................................164
DNS........................................................................................................................................................165
Statyczne wpisy ęRP ..........................................................................................................................166
Kżntrżla zabezpieczeń i dzienników ...............................................................................................166
R�zdział 13. Tw�rzenie bramy w systemie OpenBSD..........................................167
Twżrzenie bramy.................................................................................................................................167
Twżrzenie regul firewalla ..................................................................................................................170
źgraniczanie przepustżwżści............................................................................................................174
DHCP.....................................................................................................................................................176
DNS........................................................................................................................................................176
Statyczne wpisy ęRP ..........................................................................................................................177
Kżntrżla zabezpieczeń i dzienników ...............................................................................................177
6 Spis treści
R�zdział 14. Uwierzytelnianie i szyfr�wanie ........................................................179
Pżrtale....................................................................................................................................................179
Wirtualne sieci prywatne IPsec .........................................................................................................181
802.1x .....................................................................................................................................................189
R�zdział 15. Lączenie wszystkich elementów........................................................197
�lementy spójnegż systemu...............................................................................................................197
Wiedza użytkżwnika ..........................................................................................................................198
Spżjrzenie w przyszlżść......................................................................................................................199
D�datki.....................................................................................................201
Sk�r�widz ....................................................................................................................203
Zabezpieczanie
systemu Linux
Komputery pracujące w sieci bezprzewodowej są narażone na ataki wszystkich znajdu-
jących się w pobliżu użytkowników. Dzieje się tak, gdyż w przeciwieństwie do sieci
przewodowych nie istnieją żadne fizyczne ograniczenia dostępu, co znacznie zwiększa
zagrożenie hosta. Linux jest potężnym i zlożonym systemem operacyjnym. Prawidlowa
konfiguracja tego systemu pozwoli zabezpieczyć komputer przed wieloma atakami ha-
kerów. Należy jednak pamiętać, że z
le skonfigurowany system linuksowy może stać się
potężną bronią w ręku wlamywacza.
K�nfiguracja klienta linuks�weg�
Obsluga urządzeń bezprzewodowych w Linuksie znacznie się poprawila w ciągu ostat-
nich kilku lat. Jeszcze do niedawna FreeBSD byl zalecanym system dla sieci WLAN, ale
zmiany dokonane przez programistów sprawily, że Linux stal się świetnym narzędziem
do obslugi sieci 802.11. Linux pozwala na użycie wielu typowych kart 802.11b, a więk-
szość producentów urządzeń 802.11a i 802.11g projektuje sterowniki dla tego systemu
równolegle do sterowników dla Windows. �nni producenci dostarczają zmodyfikowane
wersje Linuksa z wbudowaną obslugą sieci bezprzewodowych.
Jeżeli nie wspomniano inaczej, wszystkie przyklady przedstawione w tym rozdziale od-
noszą się do systemu RedHat Linux 7.2 z jądrem 2.4.18. Oczywiście możliwe jest użycie
tych przykladów w innych dystrybucjach Linuksa, ale zwykle wymaga to dokonania
malych zmian w skryptach lub polożeniu plików. Więcej informacji na temat dystrybucji
RedHat można znalez
ć pod adresem http://www.redhat.com, natomiast informacje o jądrze
2.4.18 umieszczono pod adresem http://www.kernel.org.
72 Rozdział 5. Zabezpieczanie systemu Linux
K�nfiguracja jądra
Aby możliwe bylo bezpieczne korzystanie z sieci bezprzewodowej, należy zapewnić
prawidlową konfigurację hosta. Podstawą bezpieczeństwa każdego komputera jest sta-
bilna i dobrze zaplanowana konfiguracja jądra. Wprowadzane zabezpieczenia jądra mu-
szą być zgodne z zasadą najmniejszego przywileju. Zasada ta mówi, że użytkownik lub
system powinny otrzymać tylko te przywileje i uprawnienia, które są niezbędne do wy-
konywania określonych zadań. Oznacza to konieczność usunięcia z jądra wszystkich
niepotrzebnych opcji konfiguracji; na przyklad, jeżeli w komputerze nie ma żadnych
urządzeń SCS�, należy usunąć z konfiguracji jądra wszystkie sterowniki SCS�.
Konfiguracja jądra z obsługą sieci bezprzewodowych
Zanim możliwe będzie użycie bezprzewodowych kart sieciowych, należy skompilo-
wać jądro z odpowiednimi opcjami. Proces kompilacji jądra Linuksa wykracza jednak
poza zakres niniejszej książki. Więcej informacji na ten temat można znalez
ć w pliku
/usr/src/linux-2.4/README w komputerze z Linuksem lub pod adresem http://www.
tldp.org/HOWTO/Kernel-HOWTO.html. Jądro należy skonfigurować i skompilować z jak
najmniejszym zestawem opcji. Po uzyskaniu okrojonego jądra można wykonać procedu-
ry przedstawione w dalszej części tego rozdzialu.
�stnieje wiele sposobów konfiguracji jądra. Niezależnie od tego, czy używane są metody
make menuconfig, make xconfig czy też po prostu make config, wszystkie zmiany zostają
zapisane w pliku konfiguracyjnym, który znajduje się zwykle w /usr/src/linux-2.4/configs/
kernel-[ver].config. Opisane w niniejszym rozdziale opcje stanowią dyrektywy umiesz-
czone w tym pliku. Sposób wprowadzania tych opcji do pliku jest zależny od Czytel-
nika; możliwa jest zarówno bezpośrednia edycja pliku konfiguracyjnego, jak i użycie
skryptów make *_config.
Bezprzewodowe karty sieciowe są zwykle montowane w wewnętrznym zlączu PC� lub
w gniez
dzie PCMC�A (karta PC). Pierwszym krokiem będzie wybranie typu interfejsu.
Obsluga zlączy PC� zostala już prawdopodobnie skompilowana w jądrze, a wlączenie
odpowiednich funkcji odbywa się za pomocą następującego polecenia:
CONFIG_PCI=y
Jądro Linuksa zapewnia obslugę bezprzewodowych kart PC� wielu producentów,
wlącznie z urządzeniami firm Lucent, Cisco i Linksys. W dokumentacji jądra można
znalez
ć informacje dotyczące sposobu wlączenia obslugi konkretnego modelu karty.
Karty PCMC�A mogą być obslugiwane na wiele sposobów. W przypadku jądra 2.4 naj-
prostszym sposobem będzie zainstalowanie pakietu do obslugi bezprzewodowych kart
PC o nazwie pcmcia-cs, który jest dostępny pod adresem http://pcmcia-cs.sourceforge.net/.
Aby możliwe bylo użycie tego pakietu, należy wlączyć obslugę ladowanych modulów
i wylączyć macierzystą obslugę kart PC:
Konfiguracja jądra 73
CONFIG_MODULES=y
CONFIG_CARDBUS=y
Kolejnym krokiem jest wlączenie obslugi sieci bezprzewodowych (funkcja ta jest znana
również jako  non-hamradio ):
CONFIG_NET_RADIO=y
W tym momencie należy skonfigurować i zainstalować jądro. Za obslugę wszystkich
niezbędnych funkcji będzie odpowiedzialny pakiet pcmcia-cs.
Większość dystrybucji Linuksa zawiera wstępnie skompilowane moduly pcmcia-cs. �ch
użycie nie powinno sprawiać żadnych większych problemów. Jeżeli jednak konieczne
jest samodzielne skompilowanie pakietu pcmcia-cs, można wykonać poniższą procedurę.
Ze strony http://pcmcia-cs.sourceforge.net/ należy pobrać kod z
ródlowy pakietu. Uzyskany
plik należy rozpakować w katalogu, który zawiera katalog glówny kodu z
ródlowego
Linuksa (zwykle /usr/src). Przejście do tego katalogu i wpisanie polecenia make config
spowoduje rozpoczęcie kompilacji, podczas której wyświetlane będą następujące pytania:
Alternate target install category?
Możliwe jest podanie alternatywnego miejsca, w którym znajduje się kod z
ródlowy
Linuksa. Domyślnie jest to katalog /usr/src/linux.
Build �trusting� versions of card utilites?
Zwykle narzędzia tworzone w tym pakiecie muszą być uruchamiane przez
użytkownika root, który może dokonać zmian w konfiguracji karty. Wybranie tej
opcji pozwala na modyfikację konfiguracji przez dowolnego użytkownika.
Należy się jednak zastanowić, czy będzie to bezpieczne.
Include 32-bit (CardBus card support)?
Jeżeli posiadane urządzenie pracuje w standardzie CardBus, konieczne jest wlączenie
tej funkcji. Jej użycie nie powinno jednak sprawiać żadnych problemów nawet
w przypadku, gdy używana karta nie jest typu CardBus.
Include PnP BIOS resource checking?
Dzięki kontroli zasobów B�OS-u PnP, jaka jest wykonywana przez pakiet pcmcia-cs,
możliwe jest uniknięcie konfliktów zasobów. Opcja ta może jednak spowodować
pewne problemy w przypadku niektórych komputerów. Decyzję o jej wlączeniu
należy więc podjąć w zależności od posiadanego sprzętu.
Module install directory?
W razie potrzeby możliwe jest podanie alternatywnego katalogu dla modulu.
Po udzieleniu odpowiedzi na wszystkie pytania należy wydać polecenia make all i make
install. Przejrzenie pliku /etc/pcmcia pozwoli ustalić, czy konieczne jest dokonanie
74 Rozdział 5. Zabezpieczanie systemu Linux
dodatkowych zmian dla posiadanego urządzenia. Ostatnim krokiem będzie zrestarto-
wanie komputera i sprawdzenie, czy karta jest rozpoznawana przez hosta.
Konfiguracja zabezpieczeń jądra
Jeżeli urządzenia bezprzewodowe dzialają poprawnie, należy dodać do jądra wymagane
opcje zabezpieczeń, które zostaną wykorzystane przez inne narzędzia klienta.
Firewall stanowi podstawową linię obrony przeciwko atakom sieciowym. Odgrywa to
szczególną rolę w przypadku sieci bezprzewodowych. Systemy klienckie korzystające
z tego samego punktu dostępowego nie mają zwykle żadnego mechanizmu kontroli do-
stępu na poziomie sieci, który zapobiegalby ich komunikacji. Oznacza to, że zabezpie-
czenia przeciwko atakom zlośliwych użytkowników bezprzewodowych należy wlączyć
bezpośrednio w systemie klienta.
Linux zapewnia elastyczny mechanizm firewalla o nazwie Netfilter. Jest on zaimple-
mentowany w jądrze i kontrolowany za pomocą programu o nazwie iptables. Wcześniej-
sze wersje Linuksa (2.2 i starsze) korzystaly z firewalla �PFW, który byl zarządzany za
pomocą programów ipfwadmin i ipchains. Wszystkie te narzędzia zostaly jednak usunięte
z nowszych wersji systemu. W tym rozdziale skoncentrujemy się wylącznie na opisie
firewalla Netfilter i programu iptables, które wspólnie zapewniają zabezpieczenia klienta.
�nformacje dotyczące bardziej skomplikowanych zastosowań firewalla Netfilter przed-
stawiono w rozdziale 11., który jest poświęcony konfiguracji bramy z systemem Linux.
Wlączenie firewalla odbywa się za pomocą następującej opcji:
CONFIG_NETFILTER=y
Firewall Netfilter zapewnia wiele opcji konfiguracji. Niektóre z nich są wymagane, acz-
kolwiek większość z nich można dodać w zależności od potrzeb:
CONFIG_IP_NF_IPTABLES
Opcja ta zapewnia podstawową strukturę jądra, jaka jest wykorzystywana przez
program iptables do zarządzania firewallem. Użycie tej opcji jest wymagane.
CONFIG_IP_NF_FILTER
Dzięki tej opcji firewall może filtrować wszystkie pakiety, które host próbuje wyslać
lub odebrać. Użycie tej opcji jest wymagane.
CONFIG_IP_NF_MATCH_MAC
Użycie tej opcji sprawia, że firewall dopasowuje pakiety na podstawie z
ródlowego
i docelowego adresu MAC. Funkcja ta będzie bardzo przydatna w sieci
bezprzewodowej, gdzie bardzo latwe jest podszywanie się pod inne adresy �P.
CONFIG_IP_NF_MATCH_STATE
Parametr ten przeksztalca Netfilter w firewall z kontrolą stanu (ang. stateful firewall),
który może śledzić wszystkie aktywne i poprawne polączenia. Po przeslaniu
Konfiguracja jądra 75
i odebraniu pakietu tworzącego transakcję dwukierunkową firewall dodaje tę sesję
do tablicy stanu. Pozwala to na szybsze przetwarzanie pakietów dla ustanowionej
sesji, a także zapobiega przekazywaniu falszywych pakietów (stanowi to poważny
problem w przypadku firewalli filtrujących pakiety, takich jak �PFW). Użycie tej opcji
nie jest wymagane, ale w większości przypadków zalecane. Wszystkie przedstawione
w tym rozdziale przyklady wykorzystują funkcje firewalla tego typu.
CONFIG_IP_NF_CONNTRACK
Opcja ta pozwala na śledzenie polączeń przez firewall. W polączeniu z funkcjami
kontroli stanu pozwala to programowi Netfilter na bardziej efektywne śledzenie
ustanowionych polączeń.
CONFIG_IP_NF_FTP
Ten modul dodaje funkcje logiczne wymagane do śledzenia polączeń FTP. Firewalle
od zawsze mialy problemy z takimi polączeniami, ponieważ wykorzystują oddzielne
kanaly poleceń i danych. Dzięki temu modulowi możliwe jest śledzenie trybów
aktywnego i pasywnego FTP.
CONFIG_IP_NF_IRC
Modul ten przypomina przedstawiony powyżej modul do obslugi polączeń FTP
i zapewnia funkcje logiczne wysokiego poziomu do prawidlowego śledzenia
polączeń �RC.
CONFIG_IP_NF_TARGET_LOG
Dzięki tej opcji firewall protokoluje wszystkie pakiety w dziennikach syslog w celu
ich póz
niejszego zbadania. Pozwala to uzyskać ogromną ilość informacji, które mogą
być wykorzystane do szczególowej analizy przeprowadzanych prób wlamania.
Dzięki użyciu powyższych opcji możliwe jest uzyskanie elastycznego firewalla
klienta. Przyklad konfiguracji firewalla Netfilter przedstawiono w podrozdziale
 Konfiguracja firewalla w dalszej części tego rozdzialu. Poniżej przedstawiono
dodatkowe parametry firewalla.
CONFIG_SYN_COOKIES
Opcja ta umożliwia użycie techniki migracji SYN flood o nazwie SYN Cookies.
Powoduje to utworzenie wyzwania kryptograficznego w pakiecie ACK w celu
zweryfikowania, czy pakiet SYN stanowi część poprawnej sesji. Użycie tej opcji
w hoście powoduje jednak znaczne obciążenie zasobów. Technika SYN Cookies
jest domyślnie wylączona, nawet po jej wlączeniu w jądrze. Aby ją wywolać, należy
wprowadzić następujące polecenie:
echo 1 >/proc/sys/net/ipv4/tcp_syncookies
Użycie tej opcji nie jest wymagane w komputerze, który sluży wylącznie jako stacja
robocza i nie jest wykorzystywany jako serwer. Jeżeli jednak uruchomiono
jakiekolwiek uslugi sieciowe, należy wlączyć obslugę SYN Cookies.
76 Rozdział 5. Zabezpieczanie systemu Linux
CONFIG_PACKET=y
Ta opcja konfiguracji umożliwia przechwytywanie pakietów pierwotnych
z interfejsu. W pewnym sensie jest więc to odpowiednik opcji BPF w jądrze FreeBSD.
Użytkownik root może użyć tej funkcji do nasluchu ramek skierowanych do innych
komputerów sieci. Wlączenie tej opcji jest wymagane do prawidlowego dzialania
niektórych programów narzędziowych, takich jak tcpdump i arpwatch.
Konfiguracja startowa
Bezprzewodowe karty sieciowe należy zainicjalizować podczas startu systemu, podając
wlaściwe informacje. Wszystkie te dane są zapisywane w pliku /etc/pcmcia/wireless.opt.
Plik dolączony do danej dystrybucji systemu może zawierać wpisy dla różnych modeli
kart. Choć możliwość wybrania odmiennych ustawień sieciowych dla różnych kart mo-
że być przydatna, zwykle nie jest potrzebna. Większość użytkowników woli stosować
identyczne ustawienia sieciowe niezależnie od używanego urządzenia. Poniżej przed-
stawiono szablon dla informacji w pliku wireless.opt:
case "$ADDRESS" in
*,*,*,*)
# INFO - nazwa opisujaca to polaczenie
INFO="Siec bezprzewodowa"
ESSID - Nazwa sieci ESSID, z ktora nastapi polaczenie
ESSID="Przyklad"
# MODE - tryb dzialania. Typowe wartosci to Managed dla powiazan
# z punktem dostepowym i ad hoc dla polaczen z siecia iBSS.
MODE="Managed"
# RATE - szybkosc danych polaczenia. Wartosc auto pozwala karcie
# na automatyczne wybranie szybkosci w zaleznosci od warunkow.
RATE="auto"
# KEY - klucz WEP. Klucze szesnastkowe sa podawane w postaci
# 0123-4567-89. Klucze ASCII sa poprzedzone litera s,
# na przyklad s:secrt
KEY="s:secrt"
;;
esac
Domyślny plik wireless.opt zawiera również dodatkowe opcje, które można skonfiguro-
wać w zależności od potrzeb. Wszystkie wartości ustawione w tym pliku są przekazy-
wane do programu iwconfig w celu konfiguracji karty. Więcej informacji na temat tego
narzędzia można znalez
ć w podrozdziale  Konfiguracja karty .
Domyślne pliki startowe powodują automatyczne wlączenie interfejsu i ustawienie
niezbędnych opcji sieciowych. �nterfejs jest zwykle skonfigurowany w taki sposób, aby
adres �P byl przydzielany przez DHCP. Aby skonfigurować statyczny adres �P, należy
dokonać edycji pliku /etc/sysconfig/network-scripts/ifcfg-[urządzenie]. Poniżej przedstawio-
no parametry urządzenia ifcfg-eth0 dla statycznego adresu �P:
DEVICE=eth0
IPADDR=192.168.0.100
NETMASK=255.255.255.0
NETWORK=192.168.0.0
Konfiguracja jądra 77
BROADCAST=192.168.0.255
GATEWAY=192.168.0.1
ONBOOT=yes
Jeśli klient wymaga DHCP do uzyskania adresu �P, należy użyć następującego zestawu
opcji:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=DHCP
Konfiguracja karty sieciowej
Konfigurowanie bezprzewodowej karty sieciowej w systemie Linux to proces skladający
się z dwóch etapów. Najpierw należy ustawić parametry polączenia bezprzewodowego
za pomocą narzędzia iwconfig. Kiedy karta utworzy poprawne powiązanie z punktem
dostępowym, należy użyć programu ifconfig do skonfigurowania informacji odnoszą-
cych się do �P.
Poniżej przedstawiono najważniejsze parametry konfiguracji programu iwconfig:
interfejs
Jest to nazwa interfejsu, który należy skonfigurować. Zwykle jest tu podawana
wartość typu eth0. Jeżeli do programu iwconfig przekazano tylko nazwę interfejsu
bez żadnych parametrów konfiguracji, zostanie wyświetlona bieżąca konfiguracja
interfejsu bezprzewodowego.
essid identyfikator_essid
Jest to identyfikator sieci ESS�D (ang. Extended Service Set ID), z którą należy się
polączyć. Wartość ta musi być zgodna z wartością ustawioną w punkcie
dostępowym. Podanie wartości any sprawi, że klient będzie się lączyl z punktem
dostępowym o najwyższej mocy sygnalu. Użycie takiej opcji nie jest zalecane,
ponieważ znajdujący się w pobliżu haker może zmusić stację roboczą do polączenia
z wrogim punktem dostępowym.
nwid identyfikator_nwid
Jest to identyfikator sieci; jest to mechanizm używany do identyfikacji określonych
punktów dostępowych w sieci SS�D. Wiele punktów dostępowych może mieć
identyczny identyfikator SS�D, zapewniając w ten sposób uslugi dla tej samej sieci.
Z kolei identyfikatory nwid poszczególnych punktów dostępowych mogą się różnić,
dzięki czemu użytkownicy mogą wybrać urządzenie, z którym chcą się polączyć.
Podanie wartości off spowoduje wylączenie sprawdzania nwid. Użycie tego
parametru nie jest wymagane.
78 Rozdział 5. Zabezpieczanie systemu Linux
channel kanał
Jest to kanal slużący do komunikacji z punktem dostępowym. Specyfikacja PHY
w standardzie 802.11b określa kanaly w paśmie 2,4 GHz, jakie mogą być używane
przez urządzenia radiowe. W Stanach Zjednoczonych możliwe jest użycie 11
kanalów, podczas gdy w Europie aż 14 kanalów. Aby komunikacja pomiędzy
klientem a punktem dostępowym byla możliwa, konieczne jest określenie tego
samego kanalu dla obu urządzeń.
mode tryb
Parametr ten określa typ sieci, z jaką będzie się lączyl klient. Dostępne wartości
obejmują managed dla powiązań z punktami dostępowymi oraz ad hoc dla
powiązań tworzonych w trybie �BSS.
ap adres_mac
Jest to adres MAC wybranego punktu dostępowego. Poprzez określenie tego
parametru klient będzie lączyl się tylko z jednym punktem dostępowym. Pozwoli
to znacznie zminimalizować ryzyko związane z obecnością wrogich punktów
dostępowych, które próbują podszywać się pod identyfikatory SS�D i NW�D.
Wartość tego parametru jest podawana w formie 00:08:20:4e:5e:1f.
Użycie parametru ap nie jest wymagane.
key [klucz_wep] [indeks] [tryb]
Ten znacznik sluży do ustawiania wszystkich opcji konfiguracji WEP. Klucz WEP
można podawać zarówno szesnastkowo (na przyklad 0123-4567-89), jak
i w postaci lańcucha ASC�� poprzedzonego znakami s: (na przyklad s:secrt).
Dzięki indeksom w zakresie od 0 do 3 możliwe jest wprowadzenie i użycie czterech
kluczy WEP. Ostatnia opcja pozwala na ustawienia trybu powiązania, który decyduje
o sposobie obslugi przez klienta pakietów WEP i innych. Wartości on i off wylączają
zabezpieczenia WEP, wartość open pozwala karcie sieciowej na zestawianie polączeń
w zależności od obecności punktów dostępowych, natomiast wartość restricted
wymusza tworzenie powiązań tylko z zabezpieczeniami WEP.
Nie jest to pelna lista znaczników, jakie można przekazać do programu iwconfig. Pozo-
stale opcje konfigurują ustawienia oszczędzania energii, czulość oraz metody identyfika-
cji klienta. Aby uzyskać informacje o wszystkich dostępnych parametrach, należy wpisać
polecenie man iwconfig.
Aby zestawić polączenie z zamkniętą siecią Ethernet z kluczem WEP secrt, należy
wprowadzić poniższe polecenie, które pozwoli skonfigurować to powiązanie:
iwconfig eth0 essid Przyklad key s:secrt restricted
Program iwconfig może być także użyty do zbadania stanu bezprzewodowej karty sie-
ciowej. W takim przypadku jako jedyny parametr należy przekazać nazwę żądanego
interfejsu:
Konfiguracja jądra 79
[root@mo root]# iwconfig eth0
eth0 IEEE 802.11-DS ESSID:"Przyklad" Nickname:"Prism 1"
Mode:Managed Frequency:2.412GHz Access Point: 00:02:2D:04:3D:5D
Bit Rate:2Mb/s Tx-Power=15 dBm Sensitivity:1/3
RTS thr:off Fragment thr:off
Encryption key:3433-6435-64
Power Management:off
Link Quality:92/92 Signal level:-11 dBm Noise level:-102 dBm
Rx invalid nwid:0 invalid crypt:0 invalid misc:0
Program iwconfig wyświetla klucz WEP, ponieważ zostal uruchomiony przez użytkow-
nika root. Klucz szyfrowania nie będzie dostępny, jeżeli program zostanie wywolany
przez użytkownika z niższymi uprawnieniami.
Po skonfigurowaniu informacji dotyczących sieci bezprzewodowej należy w normalny
sposób wprowadzić informacje o ustawieniach �P. Sluży do tego narzędzie ifconfig.
W systemie FreeBSD możliwe bylo skonfigurowanie wszystkich parametrów sieci
i ustawień �P za pomocą pojedynczego programu. Linux wymaga jednak w tym samym
celu użycia dwóch oddzielnych narzędzi.
Programy narzędziowe dla kart sieciowych
W Linuksie dostępnych jest wiele poleceń z rodziny iw, które mogą być przydatne
w konfiguracji bezprzewodowej karty sieciowej:
iwgetid interfejs
To polecenie zwraca identyfikator SS�D punktu dostępowego, z którym powiązany
jest klient.
iwlist [interfejs] [freq | ap | rate | key | power | txpower | retry]
To polecenie zwraca różne statystyki interfejsu bezprzewodowego, dzięki którym
można ustalić możliwości karty; na przyklad polecenie iwlist key wyświetli listę
dostępnych dlugości klucza oraz istniejące klucze, jakie zapisano na karcie. Z kolei
polecenie iwlist rate wyświetla informacje o wszystkich szybkościach, z jakimi
karta może przesylać dane.
iwspy interfejs [+] IPADDR | HWADDR [& ]
Polecenie iwspy zapewnia mechanizm pozwalający na śledzenie jakości polączenia
pomiędzy dwoma węzlami sieci bezprzewodowej. Najpierw należy podać adres �P
lub MAC, który będzie śledzony (na przyklad iwspy 192.168.0.1). Dodanie
znaku + do listy adresów spowoduje ich dodanie na końcu istniejącego zestawu
śledzonych adresów. Od tej chwili możliwe jest sprawdzenie stanu wybranego
polączenia poprzez przekazanie nazwy interfejsu do polecenia iwspy, na przyklad:
[root@mo root]# iwspy eth0
eth0 Statistics collected:
00:60:1D:20:E0:00 : Quality:91/92 Signal level:-11 dBm Noise level:-102 dBm
(updated)
80 Rozdział 5. Zabezpieczanie systemu Linux
iwpriv interfejs prywatne_polecenie [prywatne_parametry]
To polecenie powoduje ustawienie parametrów sterownika, które nie są dostępne
poprzez standardowy zestaw poleceń iwconfig. Za pomocą polecenia iwpriv możliwe
jest, na przyklad, wlączenie funkcji roamingu, jakie istnieją w pakiecie wavelan_cs.
Można również zbadać stan dowolnego interfejsu bezprzewodowego poprzez system
plików /proc:
[root@mo root]# cat /proc/net/wireless
Inter-| sta-| Quality | Discarded packets |\
Missed
face | tus | link level noise | nwid crypt frag retry misc|\ beacon
eth0: 0000 92. 245. 154. 0 0 0 0 0 \ 0
Ochr�na systemu �peracyjneg�
Poprawnie skonfigurowane jądro to tylko część rozwiązania umożliwiającego bezpiecz-
ne korzystanie z sieci bezprzewodowej. Jest to wrogie środowisko pracy dla stacji robo-
czej, gdyż każda znajdująca się w pobliżu osoba może przeprowadzić atak przeciwko
niej. Oznacza to, że nie można opierać się tylko na zabezpieczeniach zapewnianych
przez sieć, ale trzeba zastosować również techniki chroniące stację roboczą przed
wszystkimi wrogimi czynnościami, jakie są przeprowadzane przeciwko niej.
Konfiguracja firewalla
Konfiguracja firewalla dla klienta bezprzewodowego jest relatywnie prosta. Na więk-
szości stacji roboczych nie są uruchamiane żadne uslugi sieciowe, takie jak serwery
pocztowe i WWW. Wszystkie nowe polączenia powinny więc wychodzić od klienta,
a przychodzące żądania polączenia nie powinny być obslugiwane. Jeżeli jednak na stacji
roboczej uruchomiono jakieś uslugi sieciowe, należy zmodyfikować odpowiednio konfi-
gurację firewalla.
Firewall Netfilter, jaki stanowi część systemu Linux 2.4, jest zarządzany poprzez pro-
gram iptables. Netfilter wykorzystuje do przetwarzania wszystkich pakietów zestaw re-
gul firewalla nazywanych łańcuchami (ang. chains). Dostępne są trzy różne lańcuchy:
INPUT
Pakiety przeznaczone dla danego hosta są obslugiwane przez lańcuch INPUT. Jeżeli
w hoście uruchomiono, na przyklad, serwer WWW, wszystkie pakiety przeznaczone
dla portu 80 publicznego adresu �P hosta będą przetwarzane przez lańcuch INPUT.
OUTPUT
A
ańcuch OUTPUT przetwarza wszystkie pakiety wygenerowane przez danego hosta
dla innego hosta. Żądanie strony internetowej wyslane ze stacji roboczej do zdalnego
serwera WWW zostanie obslużone wlaśnie przez lańcuch wyjściowych hosta.
Ochrona systemu operacyjnego 81
FORWARD
A
ańcuch FORWARD przetwarza pakiety, które pochodzą z nielokalnego hosta i są
skierowane do innego nielokalnego hosta w sieci. Jest to typowe dzialanie firewalla,
który chroni calą sieć lokalną  ruch sieciowy przechodzi przez danego hosta, choć
nie jest przeznaczony dla komputera, w którym uruchomiono firewall.
Aby możliwe bylo zarządzanie firewallem, należy utworzyć skrypt powloki, który bę-
dzie wywolywal wlaściwe polecenia iptables w celu zaimplementowania żądanych regul.
Poniżej przedstawiono prosty przyklad konfiguracji firewalla dla klienta bezprzewodo-
wego, który wykorzystuje opcje kontroli stanu zapewniane przez Netfilter. Należy pa-
miętać o dolączeniu do firewalla wlaściwych modulów, które opisano w podrozdziale
 Konfiguracja jądra z obslugą sieci bezprzewodowych we wcześniejszej części tego
rozdzialu. Aby uzyskać więcej informacji na temat programu iptables i firewalla Netfilter,
należy przejść do rozdzialu 11., odwiedzić stronę http://www.netfilter.org/ lub wyświetlić
stronę pomocy iptables.
#!/bin/sh
# Prosta konfiguracja rc.firewall dla klienta bezprzewodowego
# Ustawienie zmiennych
IPTABLES=/sbin/iptables
# Oproznienie wszystkich lancuchow, aby zapewnic start od zera
$IPTABLES -flush
# Lancuchy INPUT i FORWARD zostana przeniesione do wlasnego
# lancucha "client"
# Utworzenie lancucha client
$IPTABLES -N client
# Dopuszczenie ustanowionego ruchu
$IPTABLES -A client -m state --state ESTABLISHED,RELATED -j ACCEPT
# Zaakceptowanie wszystkich polaczen, ktore nie przychodza
# do glownego interfejsu Ethernet (interfejs bezprzewodowy)
$IPTABLES -A client -m state -state NEW 01 ! eth0 -j ACCEPT
# Odrzucenie pozostalego ruchu
$IPTABLES -A client -j DROP
# Skok lancuchow INPUT i FORWARD do lancucha client
$IPTABLES -A INPUT -j client
$IPTABLES -A FORWARD -j client
# Dopuszczenie calego ruchu wychodzacego
$IPTABLES -A OUTPUT -j ACCEPT
Powyższy kod należy zapisać w pliku wykonywalnym o nazwie /etc/init.d/rc.firewall. Na-
stępnie należy dodać następujące wpisy do pliku /etc/rc.d/rc.local:
# Firewall IP
echo "uruchamianie Firewalla IP
/etc/init.d/rc.firewall
82 Rozdział 5. Zabezpieczanie systemu Linux
Reguly firewalla zostaną zastosowane po zrestartowaniu systemu. Aby natychmiast za-
ladować te reguly, należy użyć polecenia /etc/init.d/rc.firewall. Niektóre dystrybucje
Linuksa wymagają użycia alternatywnych metod ladowania regul firewalla podczas
startu systemu. Więcej informacji na ten temat można znalez
ć w dokumentacji dolączo-
nej do danej dystrybucji.
Wyłączenie niepotrzebnych usług
Zasada najmniejszego przywileju odnosi się nie tylko do opcji jądra, ale również do
uslug uruchomionych w stacji roboczej. Niepotrzebne uslugi mogą być wykorzystane
przez hakerów do przeprowadzenia próby wlamania do hosta. Uruchomienie każdej
dodatkowej uslugi znacznie zwiększa prawdopodobieństwo wystąpienia luki w zabez-
pieczeniach. Z tej przyczyny należy wybrać tylko naprawdę niezbędne uslugi, a następ-
nie wylączyć wszystkie pozostale. Pozwoli to na zredukowanie zagrożenia, a także
uprości życie administratorowi systemu.
Aby ustalić wszystkie udostępniane uslugi, należy uruchomić narzędzie lsof ze znaczni-
kiem  i, na przyklad:
[root@mo root]# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portmap 639 root 3u IPv4 913 UDP *:sunrpc
portmap 639 root 4u IPv4 914 TCP *:sunrpc (LISTEN)
rpc.statd 668 root 4u IPv4 939 UDP *:844
rpc.statd 668 root 5u IPv4 966 UDP *:1024
rpc.statd 668 root 6u IPv4 969 UDP *:1024 (LISTEN)
sshd 933 root 3u IPv4 1198 TCP *:ssh (LISTEN)
xinetd 966 root 3u IPv4 1222 TCP mo:1025 (LISTEN)
xinetd 966 root 3u IPv4 1273 TCP *:echo
sendmail 1006 root 4u IPv4 1274 TCP mo:smtp (LISTEN)
X 1233 root 1u IPv4 1477 TCP *:x11 (LISTEN)
Polecenia wyświetlane po lewej stronie otworzyly porty podane po prawej stronie. Na
przykladowym hoście uruchomiono uslugi echo i sendmail (smtp), które prawdopodob-
nie nie są potrzebne i można je bezpiecznie wylączyć. Wedlug programu lsof port echa
jest kontrolowany przez xinetd, natomiast port sendmail należy do samego programu
sendmail. Aby wylączyć te uslugi, należy odnalez
ć plik konfiguracyjny sendmail i zatrzy-
mać ten program, a następnie zmodyfikować ustawienia demona xinetd i wylączyć echo.
Uslugi w systemie Linux mogą być uruchamiane na wiele sposobów. Wiele z nich, na
przyklad telnet, ftp i portmapper, jest uruchamianych przez superdemona inetd lub xinetd.
inetd to od dluższego czasu standardowy demon systemowy. Twórcy niektórych dystry-
bucji (jak na przyklad RedHat) zdecydowali się na migrację do demona xinetd, co bylo
spowodowane rozbudowanym zestawem funkcji i lepszymi zabezpieczeniami.
Uslugi uruchamiane poprzez demona inetd są kontrolowane za pomocą pliku inetd.conf,
który zwykle znajduje się w katalogu /etc. Aby zablokować uruchamianie wybranych
uslug, należy oznaczyć znakami komentarza (#) ich wpisy w pliku konfiguracyjnym
inetd.conf. Wszystkie zmiany zostaną zastosowane po zresetowaniu komputera. Jeżeli
Ochrona systemu operacyjnego 83
jednak konieczne jest natychmiastowe użycie zmodyfikowanych ustawień, należy wy-
slać do demona inetd sygnal HUP, co spowoduje ponowne odczytanie pliku konfigura-
cyjnego:
killall  s HUP inetd
Konfiguracja demona xinetd jest bardziej skomplikowana. W większości systemów ist-
nieje plik oslony konfiguracji o nazwie /etc/xinetd.conf, który wywoluje skrypty znajdują-
ce się w katalogu /etc/xinetd.d/. Aby wylączyć uslugę znajdującą się w katalogu xinetd.d,
należy do pliku konfiguracyjnego tej uslugi dodać następujący wiersz:
disable = yes
Również w tym przypadku wszystkie zmiany zostaną wykonane po zresetowaniu
systemu. Demon xinetd nie odczytuje ponownie pliku konfiguracyjnego po odebraniu
sygnalu HUP. Aby natychmiast zastosować wprowadzone zmiany, należy unicestwić
calkowicie proces i uruchomić go ponownie za pomocą następującego polecenia:
killall xinetd; xinetd  stayalive  reuse  pidfile /var/run/xinetd.pid
Przewodnik po funkcjach zapewnianych przez demona xinetd można znalez
ć pod adre-
sem http://www.macsecurity.org/resources/xinetd/tutorial.shtml.
Niektóre uslugi nie są uruchamiane przez superdemona, ale poprzez jeden z katalogów
startowych systemu. Pliki startowe są zapisywane w różnych miejscach w zależności od
dystrybucji systemu; na przyklad RedHat wykorzystuje katalogi /etc/rc.d/rc[0-6].d, nato-
miast w przypadku Debiana są to katalogi /etc/rc[0-6].d. Liczba w nazwie katalogu od-
powiada poziomowi startu, z jakim wywolywane są skrypty. Większość niepotrzebnych
uslug jest uruchamiana poprzez skrypty w podkatalogach rc2.d i rc3.d. Aby wylączyć
uslugę znajdującą się w katalogu rc, należy zmienić pierwszą literę nazwy skryptu z S na
inną literę (zwykle K); na przyklad, aby wylączyć program sendmail w dystrybucji RedHat,
konieczne są następujące polecenia:
cd /etc/rc.d/rc2.d
mv S80sendmail K80sendmail
Od tej chwili sendmail nie będzie się już uruchamial przy starcie komputera.
Statyczne wpisy �RP
Ataki zatrucia ARP, które omówiono w rozdziale 2., stanowią poważne zagrożenie dla
wszystkich użytkowników sieci bezprzewodowych. Skuteczne zatrucie pamięci pod-
ręcznej ARP hosta pracującego w takiej sieci umożliwia przeprowadzenie ataku DoS lub
wlamania za pośrednictwem czlowieka. Na szczęście dzięki statycznemu odwzorowaniu
adresów MAC na adresy �P dla najważniejszych hostów w sieci można w dużym stop-
niu zminimalizować ryzyko związane z atakami tego typu.
84 Rozdział 5. Zabezpieczanie systemu Linux
Podstawowym zadaniem jest ustawienie statycznego wpisu ARP dla bramy domyślnej.
Poniżej przedstawiono przykladowy skrypt, który po umieszczeniu w pliku /etc/init.d/
staticarp może tworzyć niezbędne przypisanie. Zamiast wartości
i należy podać konkretne ustawienia sieci lokalnej:
#!/bin/sh
# Ten skrypt ustawia statyczne wpisy arp w systemie Linux
case "$1" in
start)
# Dodanie adresu MAC bramy do tablicy ARP
echo -n 'dodawanie adresu MAC bramy do tablicy ARP'
arp -s
;;
stop)
# Usuniecie adresu MAC z tablicy ARP
echo 'usuwanie statycznego adresu MAC z tablicy ARP'
arp -d
;;
*)
# Standardowe polecenie uzycia
echo "Uzycie: `basename $0` {start|stop}" >&2
;;
esac
exit 0
Aby statyczne wpisy ARP byly ladowane automatycznie podczas startu systemu, należy
upewnić się, czy plik staticarp jest wykonywalny, a następnie dodać dowiązanie symbo-
liczne do katalogu /etc/rc.d/rc2.d. W tym celu należy wprowadzić następujące polecenia:
[root@mo rc2.d]# chmod 755 /etc/init.d/staticarp
[root@mo rc2.d]# cd /etc/rc.d/rc2.d
[root@mo rc2.d]# ln -s /etc/init.d/staticarp S98staticarp
Inne kwestie związane z bezpieczeństwem
Jeżeli jest to niezbędne, możliwe jest wprowadzenie kolejnych zabezpieczeń stacji ro-
boczej. �ch omówienie wykracza jednak poza tematykę niniejszej książki. Wiele przy-
datnych informacji na temat bezpieczeństwa Linuksa można znalez
ć na stronie Linux
Security HOWTO, która jest dostępna pod adresem http://www.tldp.org/HOWTO/Security-
HOWTO.html.
K�ntr�la zabezpieczeń i dzienników
Niezależnie od skuteczności zastosowanych zabezpieczeń zawsze można stać się ofiarą
ataku nieznanego typu. Może to oznaczać poważne problemy, jeżeli użytkownik nie za-
pisuje informacji i nie monitoruje regularnie dzienników. Wykonywanie tych czynności
Kontrola zabezpieczeń i dzienników 85
pozwoli reagować na ataki w czasie rzeczywistym, chroniąc w ten sposób zasoby, użyt-
kowników i ich dane.
Narzędzie arpwatch
Ze względu na brak fizycznych zabezpieczeń sieci bezprzewodowych ataki niskiego po-
ziomu stanowią znacznie poważniejsze zagrożenie niż w przypadku klasycznych sieci
Ethernet. Dzięki zatruwaniu ARP (patrz rozdzial 2.) zlośliwy host może poslużyć do
przeprowadzenia ataku za pośrednictwem czlowieka na inne komputery znajdujące się
w sieci. Użycie statycznych wpisów ARP w sposób opisany we wcześniejszej części tego
rozdzialu to jedna z metod zabezpieczenia się przed atakami tego typu.
Wykrywanie problemów z tablicami ARP to jedna z metod, dzięki którym administrator
może przyjrzeć się ogólnemu bezpieczeństwu sieci. Wykrycie podejrzanych wpisów
może oznaczać, że ktoś podsluchuje wszystkie przesylane pakiety, a dane są zagrożone.
Do monitorowania sieci i sygnalizowania wszystkich nietypowych zdarzeń sluży pro-
gram o nazwie arpwatch. Aby możliwe bylo jego użycie, należy zapewnić dostęp do
pierwotnych ramek, jakie są przesylane poprzez sieć. W tym celu należy wlączyć w ją-
drze obslugę opcji CONFIG_PACKET.
Szczególowy opis konfiguracji i użycia programu arpwatch można znalez
ć w podroz-
dziale  Narzędzie arpwatch w rozdziale 4.
Narzędzie syslog
Program syslog to bardzo popularne narzędzie, które może być używane przez prak-
tycznie każdą aplikację. Wiele standardowych aplikacji, wlącznie z dziennikiem jądra,
przesyla do tego narzędzia przydatne informacje. Przekierowanie uzyskanych danych
do wybranego miejsca i regularne ich monitorowanie pozwala na uzyskanie przeglądu
wszystkich czynności wykonywanych przez system i jego użytkowników, wlącznie
z osobami znajdującymi się w sieci.
Poszczególne dystrybucje Linuksa korzystają z odmiennych konfiguracji narzędzia
syslog. W większości przypadków zebrane informacje są przesylane do różnych plików
dzienników na podstawie ich z
ródla i poziomu ważności. Czasami jednak przydaje się
możliwość przeslania wszystkich danych do jednego pliku, gdyż pozwala to na ich
przeglądanie za pomocą wybranych narzędzi, takich jak grep i perl. Samodzielnie prze-
filtrowane dane kontroli zabezpieczeń są zwykle znacznie bardziej przydatne niż infor-
macje sortowane na podstawie zalożeń przyjętych z góry.
Aby przekierować do dziennika /var/log/messages wszystkie informacje, jakie trafiają do
narzędzia syslog, należy na początku pliku konfiguracyjnego /etc/syslog.conf dodać nastę-
pujący wiersz:
*.* /var/log/messages
86 Rozdział 5. Zabezpieczanie systemu Linux
Należy pamiętać o oznaczeniu znakami komentarza (#) wszystkich innych wierszy
w pliku konfiguracyjnym programu syslog, jakie odwolują się do dziennika /var/log/
messages. Aby zastosować dokonane zmiany bez restartowania systemu, można jako
użytkownik root wydać polecenie killall syslogd; syslogd.
Narzędzie swatch
Przeglądanie dzienników systemowych jest nudne. Jeżeli nie występują żadne ciekawe
zdarzenia, szybko można stracić zainteresowanie tą pracą i przestać zwracać na dzienni-
ki systemowe uwagę. Nie jest także możliwe przeglądanie dzienników przez caly czas.
Na szczęście dostępny jest program swatch, który stale monitoruje wszystkie informacje
zapisywane w dzienniku ASC��, oczekując na pojawienie się interesujących lańcuchów.
Po wykryciu problemu program może wyslać wiadomość e-mail, wyświetlić komunikat
w konsoli, a nawet odtworzyć sygnal dz
więkowy. Szczególowy opis programu swatch
można znalez
ć w podrozdziale  Narzędzie swatch w rozdziale 4.
Bezpieczna k�munikacja
Nawet jeżeli firewall dziala poprawnie, a jądro zostalo skonfigurowane z minimalną ilo-
ścią opcji, wyslanie do serwera niezaszyfrowanego hasla pocztowego może sprawić, że
zaimplementowane systemowe mechanizmy zabezpieczeń staną się calkowicie bezuży-
teczne. Bezpieczna komunikacja stanowi podstawę dla bezpieczeństwa klienta. Szcze-
gólowe przedstawienie mechanizmów komunikacyjnych można znalez
ć w podrozdziale
 Bezpieczna komunikacja w rozdziale 3.
Przygotowanie niezbędnych zabezpieczeń stacji roboczych z systemami FreeBSD i Linux
pozwoli pracować we wrogim środowisku, jakim jest sieć bezprzewodowa. Jeżeli stacja
robocza będzie niedostępna i odporna na przeprowadzane próby wlamania, haker
szybko się zniechęci i spróbuje zaatakować inny komputer w sieci. Kolejnym krokiem
procedury wdrażania chronionej sieci bezprzewodowej jest zbadanie bezpieczeństwa
punktów dostępowych i bramy sieciowej.


Wyszukiwarka

Podobne podstrony:
11 Bezpieczna Jazda Oraz Bezpieczeństwo Osobiste 1 32
Wykład 11 Bezpieczeństwo w zarządzaniu systemami i sieciami
NF 2005 11 bezpieczny dom
11 Bezpieczena Jazda Oraz Bezpieczeństwo Osobiste 1 32
1b 2 2 4 11 Lab Konfiguracja aspektów bezpieczeństwa na przełączniku
Bezpieczeństwo w 802 wykład
2009 11 the Gatekeeper Network Access Control on Wired Networks with Ieee 802 1X
11 Model bezpieczeństwa SQL
Protesty przeciw paktowi bezpieczeństwa (21 11 2008)
Iracki rząd zatwierdził pakt bezpieczeństwa (16 11 2008)
11 05 Znaki i sygnaly bezpieczenstwa Hakowi i sygnalisci
2007 11 Amavis – system zabezpieczenia poczty [Bezpieczenstwo]
2007 11 Amavis – system zabezpieczenia poczty [Bezpieczenstwo]
11 (311)
Bezpieceństwo militarne Polski

więcej podobnych podstron