Professional Documents
Culture Documents
Asidai 225x c02 Ud6
Asidai 225x c02 Ud6
ndex
Introducci ............................................................................................... Objectius ................................................................................................... 1. Explotaci de la xarxa ........................................................................ 1.1. Gesti de recursos compartits amb NFS .................................. 1.1.1. Configuraci del client ..................................................... 1.2. Gesti de recursos compartits amb Samba .............................. 1.2.1. Accedir a un directori compartit des de Windows amb la terminal .................................... 1.2.2. Accedir a un directori compartit des de Windows amb el navegador darxius ............................................... 1.2.3. Muntar un directori compartit de manera permanent ... 1.2.4. Afegir una impressora compartida per xarxa ................ 2. Administraci de la xarxa i gesti dincidncies ............................ 2.1. Documentant la xarxa ................................................................ 3. Xarxes sense fil: conceptes bsics i configuraci ........................... 3.1. Les xarxes locals sense fil .......................................................... 3.1.1. Estndards sense fil ......................................................... 3.1.2. Dispositius ........................................................................ 3.1.3. Com es comuniquen les LAN sense fil ........................... 3.2. Seguretat ..................................................................................... 3.2.1. Amenaces a la seguretat sense fil ................................... 3.2.2. Protocols de seguretat ...................................................... 3.2.3. Fer segura una xarxa sense fil ......................................... 3.3. Resoluci de problemes ..............................................................
5 6 7 7 8 11 12 13 15 16 19 19 33 33 33 35 37 39 39 40 40 49
Introducci
De la mateixa manera que un equip no pot treballar sense sistema operatiu, una xarxa dequips no pot funcionar sense un sistema operatiu de xarxa. Els sistemes operatius de xarxa es poden definir com els sistemes que tenen la capacitat dinteractuar amb els sistemes daltres dispositius amb lobjectiu dintercanviar informaci, transferir fitxers, executar ordres remotes, etc. En definitiva, comparteixen recursos. En el nucli dactivitat Explotaci de la xarxa veureu diferents mtodes per accedir a recursos remots compartits des del punt de vista del client. Concretament es parla dNFS i SAMBA. El primer per a sistemes GNU/Linux i el segon per a la integraci dentorns Windows i Linux. Un cop el sistema est en funcionament, els usuaris fan s dels diferents recursos que ofereix la xarxa, els equips intercanvien informaci, etc. Sha de tenir cura del bon funcionament daquest. Una bona documentaci i prevenci sn aspectes molt importants per al bon funcionament del sistema. Aix, al nucli dactivitat anomenat Administraci de la xarxa i gesti dincidncies se centra en la documentaci del sistema com a eina per a la detecci i resoluci dincidncies a la xarxa. Es presenten diferents eines, tant de programari com de maquinari, per monitoritzar el rendiment del sistema i identificar punts crtics. Quan dins el sistema intervenen dispositius de diferents arquitectures, com ara Ethernet i WiFi per exemple, la seguretat s un aspecte clau i crtic per a la seva integraci. Entendre com funcionen els protocols de seguretat, quins sn els ms utilitzats, les limitacions que poden tenir, aix com la seva configuraci, sn tasques necessries perqu la integraci dambdues arquitectures es faci amb xit. El nucli dactivitat Xarxes sense fil se centra en lestudi de conceptes bsics sobre xarxes locals sense fil. Veureu com aquest tipus de xarxes ofereixen un entorn de treball flexible, els diferents estndards WI-FI i les caracterstiques que ofereixen, els components tpics duna estructura sense fil, com opera una WLAN i, per acabar, veureu com fer-la segura.
Objectius
En acabar la unitat didctica, heu de ser capaos del segent: 1. Accedir a recursos compartits amb SAMBA. 2. Accedir a recursos compartits amb NFS. 3. Afegir una impressora compartida en xarxa. 4. Documentar la xarxa i els sistemes finals. 5. Conixer les principals eines per a la monitoritzaci de la xarxa i per a la gesti dincidncies. 6. Diferenciar els diferents estndards per a xarxes WLAN. 7. Descriure el que es necessita per installar una WLAN simple. 8. Entendre que les LAN sense fil no sn una forma dEthernet. 9. Entendre els problemes de compatibilitat i incompatibilitat, velocitats i bandes de transmissi.
1. Explotaci de la xarxa
Un dels principals avantatges de tenir un conjunt dequips interconnectats en xarxa s la possibilitat de compartir informaci i recursos. En aquest mbit, Linkat, igual que altres distribucions de Linux, permet compartir arxius, directoris i impressores. Veureu, des del punt de vista de lusuari, els dos sistemes ms habituals per compartir recursos: NFS i Samba. El primer s el que sutilitza a lhora de compartir recursos en sistemes exclusivament GNU/Linux o Unix i el segon, Samba, permet comparticions amb equips que tenen el sistema operatiu Windows.
En aquest esquema, RPC (remote procedural call o procediment davs remot) hi t un paper important, ja que NFS es basa en els seus serveis. RCP s un servei que permet que enlloc dexecutar un procediment en una mquina local (client), el procs sexecuti en una mquina remota (servidor). Aquesta estructura client-servidor permet a NFS mostrar els sistemes de fitxers remots com si fossin locals, ocultant la seva verdadera ubicaci fsica i permetent aix un accs transparent als recursos. Aix fa que els possibles escenaris en qu la compartici de directoris mitjanant NFS es pot aplicar siguin innumerables, per perqu us en feu una idea, vegem alguns exemples tpics: Tenim una xarxa amb diverses estacions de treball i volem que totes tinguin el mateix programari i la mateixa configuraci. El que fem s exportar amb NFS els directoris /usr (programari) i /etc (configuraci) duna mquina que far de servidor. Necessitem tenir una nica cpia dels arxius dun projecte. La soluci seria crear el projecte dintre dun directori al servidor i exportar aquest directori a totes les estacions de treball on sigui necessari utilitzar-lo. Tenim clients amb poc espai al disc i necessiten crrer grans aplicacions. La soluci podria residir a compartir els directoris de les aplicacions des dun servidor mitjanant NFS i llavors podrem executarles localment en cada client sense cap problema.
Compartir el directori /home pot servir perqu tots els usuaris de la xarxa, independentment del lloc des don es connectin, tinguin accs de manera transparent al seu directori de connexi. Els membres de la xarxa accediran amb permisos de lectura i escriptura. /repositori: un directori accessible per a tots els membres de la xarxa per noms amb perms de lectura. /dades/comptabilitat: directori noms accessible per la mquina amb IP 192.168.0.100 amb perms de lectura. Necessitarem tenir installat portmap i el paquet nfs-common, portmap ens permetr realitzar connexions RPC al servidor i ser lencarregat de permetre o no laccs al recurs compartit. Per veure si tenim portmap installat: root@linkat:/~# ps aux | grep portmap haureu de tenir una sortida semblant a aquesta: daemon 5139 0.0 0.0 1812 360 ? Ss 17:39 0:00 /sbin/ portmap 1000 13093 0.0 0.0 2992 784 pts/0 S+ 18:17 0:00 grep portmap En cas que no sigui aix, installeu el paquet i aprofiteu-ho per installar tamb nfs-common: root@linkat:/~# apt-get install portmap root@linkat:/~# apt-get install nfs-common Per comprovar si lNFS est en marxa, feu una consulta al portmap per veure quins serveis t en marxa: program vers 100000 2 tcp 100000 2 udp 100024 1 udp 100024 1 tcp 100003 2 udp 100003 3 udp 100003 4 udp 100005 3 udp proto port 111 portmapper 111 portmapper 32768 status 44971 status 2049 nfs 2049 nfs 2049 nfs 32776 mountd
Arribats en aquest punt, ja estem preparats per compartir arxius amb altres membres de la nostra xarxa. Per fer-ho, editeu el fitxer /etc/exports i introduu el segent: /home 192.168.0.0/255.255.255.0(rw) /repositori 192.168.0.0./255.255.255.0(ro) /dades/comptabilitat 192.168.0.100(ro)
10
Fixeu-vos que amb 192.168.0.0/255.255.255.0 esteu donant accs a tots els membres de la xarxa; per altra banda, si noms indiqueu la IP duna mquina concreta, noms els seus usuaris hi podran accedir. Cada cop que canvieu el fitxer /etc/exports, heu dindicar al sistema que torni a llegir el fitxer i activi els canvis. Ho podeu fer de dues maneres: root@linkat:/~# /etc/init.d/nfs-common restart o root@linkat:/~# exportfs -ra
Els parmetres entre claudtors ([ ]) sn opcionals root@linkat:/~# mount 192.168.0.150:/home /mnt/home/ on 192.168.0.150 s la IP del servidor NFS i /home s el recurs que sha de muntar. root@linkat:/~# ls /mnt/home/ docent usuari usuari01 Si comproveu els dispositius muntats en el sistema mitjanant la instrucci mount i filtreu els resultats per veure el punt de muntatge que ens interessa: root@linkat:/~# mount | grep home 192.168.0.150:/home (rw,addr=192.168.0.150) on /mnt/home type nfs
11
192.168.0.150:/home: indica que heu muntat el directori compartit /home del servidor amb IP 192.168.0.150. /mnt/home: indica el punt de muntatge, s a dir, el directori del vostre sistema local en el qual tindreu accs a la carpeta compartida del servidor. type nfs: indica que el sistema de fitxers s del tipus NFS. rw,addr=192.168.0.150: indica que per al recurs compartit en la IP 192.168.0.150 tenim perms de lectura (r) i escriptura (w). Aquests permisos sn determinats pel servidor. En aquest cas, el que s interessant, per, s que aquesta unitat de xarxa es munti automticament cada cop que es connecten al sistema. Per fer aix, necessiteu canviar larxiu /etc/fstab i afegir la lnia segent: root@linkat:/~# echo 192.168.0.150:/home /mnt/home nfs rw,user,auto 0 0 >> /etc/fstab
12
13
En aquest cas, noms apareix una xarxa de Windows, que s on tindrem tant els equips de Windows que comparteixen fitxers com els equips GNU/ Linux que tinguin un servidor Samba installat.
Figura 3. Dominis amb fitxers compartits utilitzant Samba
14
En la figura 3 podeu veure els diferents dominis que trobem a la nostra xarxa, per la qual cosa per connectar-vos a lequip que us interessa necessitareu saber a quin domini pertany. En el vostre cas, s el domini iespoblenou.
Figura 4. Mquines dins el domini iespoblenou
En la figura 4 podeu veure que dintre daquest domini hi ha diverses mquines, en aquest cas totes amb sistema Windows, que tenen arxius compartits. La mquina a la qual accedireu t el nom Samba.
Figura 5. Directoris i impressores compartides per lequip amb nom Samba del domini iespoblenou
15
Ara ja teniu accs al directori docs, que s el que ens interessava. Ara b, el que hi podreu fer dependr dels permisos que us hagi donat el propietari del directori: pot ser que noms pugueu veuren la informaci, que tingueu perms per escriure o que la carpeta estigui protegida amb contrasenya; en aquest cas, apareixer una finestra que us demanar un nom dusuari i la contrasenya.
Connectat al servidor):
Com que volem connectar-nos a un directori compartit en un sistema Windows, seleccionem Recurs compartit de Windows. Servidor: en el nostre cas lequip es diu samba. Tamb es pot posar ladrea IP de la mquina que fa de servidor. Informaci opcional: Recurs compartit: nom amb qu lusuari ha compartit el seu directori (no ha de ser necessriament igual que el nom real del directori). Carpeta: nom del directori compartit.
16
Nom dusuari: necessari per accedir a recursos que estan protegits amb contrasenya. Nom de domini: nom del domini on est la mquina que t el recurs que es comparteix. Nom utilitzat per a la connexi: nom amb qu es muntar el recurs en el nostre sistema. Si no es posa res, agafar per defecte el nom que sha posat a Recurs compartit. En la figura 7 veiem el resultat en el nostre equip.
Figura 7. Recurs compartit en xarxa
17
Com que el que volem s afegir una impressora compartida a un altre equip de la nostra xarxa, seleccioneu lopci Impressores de xarxa (figura 10).
Figura 10. Afegir impressora de xarxa
El protocol SMB s el que ens permet accedir a recursos compartits per equips amb Windows, per tant, seleccioneu aquesta opci. Les altres opcions sn les segents: Servidor de xarxa CUPS: CUPS s lacrnim de common Unix printing system (sistema com dimpressi Unix) i s el sistema que sutilitza a GNU/Linux per imprimir. Servidor de xarxa destil LPD: LPD s lacrnim de line printer daemon (dimoni dimpressora en lnia) i s un sistema dimpressi per a sistemes UNIX. Majoritriament lutilitzen els sistemes BSD.
18
Servidor dIPX: IPX s lacrnim dInternetwork packet exchange (intercanvi de paquets dInternet) i s el sistema dimpressi que utilitzen les xarxes Novell. Impressora de xarxa: aquesta opci ens permet connectar una impressora de xarxa sense la necessitat dutilitzar cap servidor dimpressi. A continuaci, haureu dindicar el grup de treball al qual pertany lequip que t la impressora compartida, el nom o ladrea IP de lordinador que fa de servidor dimpressi (el que t la impressora compartida) i el nom amb qu apareix compartida la impressora a la qual us voleu connectar (Nom de la cua remota) (vegeu figura 11).
Figura 11. Afegir impressora Windows
Un cop estan les dades introdudes i abans de finalitzar el procs, podem provar que sn correctes amb lopci Prova laccs remot SMB.
19
Quan una xarxa est en funcionament, els administradors nhan de monitoritzar el rendiment. De tant en tant, la xarxa pot estar fora de servei. De vegades aquesta caiguda est prevista en el pla de manteniment, per quan no ho est, limpacte per a lempresa o organitzaci pot ser greu. En el cas duna caiguda inesperada de la xarxa, els administradors han de resoldre el problema i tornar a estar en producci amb el mnim impacte possible. Veureu un procs sistemtic per resoldre problemes daquest tipus.
La documentaci de xarxa ha dincloure: Taula de configuraci de la xarxa. Taula de configuraci dels sistemes terminals (servidors, estacions de treball, etc.). Diagrama de la topologia de la xarxa.
Les dades que la taula hauria dincloure per a tots els components sn les segents: Tipus de dispositiu i model. Fitxer de la imatge de lIOS, incloent-nhi la versi.
20
Nom del dispositiu a la xarxa. Localitzaci del dispositiu (edifici, planta, sala, bastidor o rack, panell). Adrea de la capa denlla (MAC). Adrea de la capa de xarxa (IP). Qualsevol informaci important sobre els aspectes fsics del dispositiu.
Taula 1. Taula de configuraci de xarxa Nom dispositiu/model R1, Cisco 2611 XM Interfcie fa0/0 fa0/1 s0/0 s0/1 R2, Cisco 2611 XM fa0/0 Adrea MAC 0007.8580.a159 0007.8580.a160 ----------0007.8580.a159 Adrea IP / mscara 192.168.10.1/24 192.168.11.1/24 10.10.1.1/30 No connectat 192.168.20.1/24 EIGRP Protocol/s encaminament EIGRP EIGRP OSPF
Taula 2. Exemple de taula de configuraci de dispositius de xarxa Nom commutador, model, IP administraci S1, Linksys SRW248G424, 192.168.10.2/24 Port fa0/0 fa0/1 fa0/3 fa0/4 Velocitat 100 100 Dplex Auto Auto Port Fast No No Trunk On On VLAN 1,2 2 Connectat Connectat a R1 Connectat a PC1 No connectat No Connectat
Per a la resoluci dincidncies, shauria de documentar la informaci segent: Nom del dispositiu (propsit). Sistema operatiu i versi. Adrea IP. Mscara de subxarxa. Porta denlla per defecte, servidor DNS i wins, entre daltres. Qualsevol aplicaci damplada de banda gran que tingui el sistema.
La taula 3 ns un exemple.
21
Taula 3. Exemple de taula de configuraci de sistemes finals Nom dispositiu (funcionalitat) SRV1 (web/ TFTP) SRV2 (servidor de fitxers) Sistema operatiu (versi) UNIX LINUX Debian 4.0 Adrea IP / mscara 192.168.20.254/24 192.168.20.253/24 Adrea IP passarella 192.168.20.1/24 192.168.20.1/24 192.168.11.1/24 192.168.30.1/24 Adrea IP servidor DNS 192.168.20.1/24 192.168.20.1/24 192.168.11.1/24 192.168.30.1/24 Adrea IP servidor WINS Aplicacions xarxa HTTP FTP NFS SAMBA HTTP FTP HTTP FTP HTTP Telnet VoIP Streamint Video VoIP Aplicacions damplada de banda gran
PC2 (PC usuari Win XP Pro SP2 192.168.11.10/24 gerncia) PC3 (PC proves- Ubuntu Linux informtica) 8.04 192.168.30.10/24
Com a mnim, el diagrama de topologia hauria dincloure: Simbologia per a tots els dispositius i com estan connectats. Tipus dinterfcies i nombre. Adreces IP. Mscara de subxarxa.
22
Eines NMS
Les eines NMS (network management system) permeten als administradors monitoritzar en remot i de manera grfica els dispositius de la xarxa. Proporcionen informaci general de lestat del dispositiu, estadstiques i informaci de la configuraci. Un exemple daquestes aplicacions s Pandora FMS i Nagios, totes dues aplicacions.
Figura 13. Captura de pantalla de Pandora FMS
23
Altres exemples daplicacions daquest tipus sn CiscoView, HP Openview, Solar Winds, i Whats Up Gold. Les podeu baixar i provar.
A ms deines de programari, tamb hi ha un conjunt deines de maquinari que poden fer la vida ms fcil a ladministrador quan sha denfrontar a certs problemes a la xarxa. Ara veurem uns exemples dutilitzaci de leina WireShark. Sha escollit aquesta eina perqu est disponible per a un gran nombre de sistemes operatius. Si b cada paquet de programari t les seves prpies opcions, en aquest exemple sutilitzaran aquelles que acostumen a estar disponible a la gran majoria dells. Mitjanant WireShark, recopilarem informaci, per exemple, dadreces MAC o IP dequips connectats a la xarxa i, especialment, podrem inspeccionar els paquets que sestan enviant per la xarxa entre el PC i la connexi a la xarxa (LAN o accs telefnic).
Ls danalitzadors de xarxa per a la lectura de les dades trameses per equips dins duna xarxa atenta contra el principi de la privacitat en les telecomunicacions i est legalment penalitzat. Ls
!!
Podeu consultar laplicaci WireShark a lapartat Adreces dinters del web del crdit.
24
daquest tipus deines en si mateix no est penat, per s fer-ne s per accedir a les dades personals de terceres persones (s equivalent a la violaci del correu, tant electrnic com manuscrit). Si voleu provar aquests exemples en una LAN on hi hagi equips de terceres persones, es recomana demanar perms previ a ladministrador de la xarxa. Penseu que hi ha eines capaces de detectar ls danalitzadors.
Genereu trnsit connectant via navegador a alguna pgina web. Deixeu que es capturi trnsit durant uns segons i pareu la captura amb el bot Stop. En detenir la captura, tornar a la pantalla principal del programa (figura 16).
Figura 16. Parar una captura
Apareix un panell amb els detalls del trnsit de xarxa, IP dorigen, IP de destinaci, tipus de protocol, descripci de lentrada capturada, etc. (figura 17).
Figura 17. Panell de captures
25
Sha de tenir en compte que si es fa la captura amb les opcions que porta per defecte, es fa la captura en mode promiscu (capture packets in promiscuous mode). Aquesta opci permet escollir entre capturar tots els paquets de la LAN (mode promiscu) o nicament els que entren i surten de lordinador on es fa la captura. Per modificar lopci per defecte, aneu al men Capture Options (figura 18).
Si us fixeu en la imatge, mirant les dades de la trama relatives a la capa denlla (figura 20), podem saber que la trama ha estat enviada per un
26
equip concret ats que la capalera de nivell 2 inclou ladrea fsica dorigen i de destinaci. A ms, podeu veure que el protocol utilitzat en aquesta capa s Ethernet.
Figura 20. Camps de la capa denlla
Els camps que trobem en aquesta capa sn els que es mostren en la taula 4.
Taula 4. Camps de la capa denlla Nom del camp Origen (source) Dest (destination) Protocol de transport Valor MAC dorigen MAC de destinaci IP Significat/utilitat Adrea MAC de procedncia de la trama Adrea MAC on va la trama Protocol de la capa superior que transporta aquesta trama
Wireshark porta un sistema per generar filtres de manera comprensiva, que es pot activar entrant en lopci Expression. Per aplicar un filtre generat, sha de prmer lopci Apply. En qualsevol moment es pot tornar a visualitzar tot el trnsit capturat, amb lopci Clear. Farem alguns filtres, per primer haureu de generar trnsit. Connecteuvos a la xarxa i inicieu una sessi de captura amb les opcions per defecte. A continuaci, feu les accions segents: Obriu el vostre navegador favorit i connecteu-vos a www.xtec.cat. Feu un ping a www.xtec.cat. Abans que finalitzi el ping, entreu en algun enlla daquesta pgina. Connecteu via navegador a www.fpoberta.net. Realitzeu un ping a www.fpoberta.net. Finalitzeu la captura.
27
Mirareu el trnsit HTTP, el trnsit que genera la vostra mquina i els paquets de resposta ICMP. Noms trnsit HTTP: http (figura 22)
Figura 22. Generador de condicions per al filtratge de paquets
Trnsit generat per la nostra estaci de treball (figura 23): ip.src == X.X.X.X
Figura 23. Exemple de filtratge
28
Noms els paquets on sinicia una connexi TCP: tcp.flags.syn==1 || tcp.flags.ack==1) && tcp.len==0 && tcp.seq <=1 Cal remarcar que es podria obtenir la mateixa soluci amb altres filtres. Aquest s noms un exemple duna possible soluci.
En seleccionar aquesta opci, es pot veure que sha format un filtre automticament: (ip.addr eq 192.168.2.102 and ip.addr eq 213.176.161.13) and (tcp.port eq 4147 and tcp.port eq 80) Aquest filtre mostra tots els paquets que pertanyen a les adreces dorigen i de destinaci, que ataquen els mateixos ports als quals fa referncia al paquet (figura 26). Ara seleccionarem un paquet relacionat amb el protocol ICMP i mirarem quines dades cont un paquet echo request (figura 27).
29
Aquest paquet ICMP mostra el codi identificador, els bits per a la correcci derrors, el nombre de seqncia per al qual espera resposta i la longitud de les dades. Com heu pogut veure amb els exemples anteriors, aquests tipus daplicacions poden ser molt tils per als administradors de xarxes. Per exemple, poden ser tils per al segent: Detectar trnsit innecessari causat per una mala configuraci o funcionament dalgun dels dispositius de la xarxa. Obtenir informaci sobre el flux de trnsit a la xarxa, cosa que en permetria una redimensi si fos necessari. Detectar intrusions.
30
Feu ara una connexi FTP a un servidor annim i mireu de trobar lusuari i la contrasenya que sha utilitzar per a la connexi. 1) Connecteu-vos a ftp://ftp.rediris.es directament via navegador. Si demans autenticaci, utilitzeu com a usuari anonymous i com a contrasenya una adrea de correu electrnic. 2) Navegueu per lestructura de directoris. 3) Finalitzeu la captura. Shan de buscar paquets que continguin: FTP: Request User Nom_usuari. FTP: Request PASS contrasenya. Aquests paquets es poden buscar observant quina funci t cadascun o b es poden aplicar els filtres segents: ftp.request.command == USER ftp.request.command == PASS A continuaci, i continuant amb la presentaci deines per a la monitoritzaci de la xarxa i resoluci de problemes, presentareu un conjunt de dispositius que us poden ser de gran utilitat per analitzar la part fsica de la xarxa, s a dir, el cablejat, el voltatge elctric, la resistncia, etc. Es presenten a continuaci.
El multmetre digital
Sn instruments que sutilitzen per mesurar valors elctrics com el voltatge, el corrent i la resistncia (figura 28).
Figura 28. Multmetre digital Fluke 179
31
Verificador
Dispositius portables despecial utilitat per detectar cables trencats o connexions deficients (figura 29). Senvien senyals al llarg del cable i sesperen els retorns. El temps transcorregut des que es va enviar el senyal i va tornar es converteix en una mesura de distncia.
Figura 29. Verificador
Analitzadors de cable
Sutilitzen per verificar i certificar implantacions de cablejat estructurat segons diferents estndards (figura 30).
Figura 30. Fluke Networks DTX
32
litzaci, els pics dutilitzaci, esbrinar configuracions VLAN, identificar dispositius que saturen la xarxa, analitzar el trnsit, etc.
Figura 31. Fluke Networks OptiView Series III
33
Considereu qu passa quan un treballador decideix que prefereix el seu PC en una ubicaci diferent de loficina, o quan un director vol portar el seu PC porttil a una sala de reunions i connectar-se a la xarxa. En una xarxa cablejada, shauria de modificar la connexi fsica de xarxa a la nova ubicaci del treballador i, en el cas del director, assegurar-se que hi ha disponibilitat de connexi cablejada a la sala de reunions. Per evitar aquests canvis fsics, les xarxes sense fil (WLAN) sn, cada cop ms, la soluci ms comuna. Abans dentrar en els diferents apartats, s necessari arribar a entendre labast de les comunicaci sense fil (wireless en angls). En un sentit ampli i general, entenem per comunicacions sense fil quan dos o ms dispositius o dues o ms persones, siguin mbils o no, sn capaos dintercanviar informaci utilitzant lespectre electromagntic.
Acrnim de wireless local area network. Permet la connexi en xarxa entre dos o ms clients sense necessitat de cables. WLAN
Aquesta definici ens permet tractar sota el mateix nom, des duna comunicaci IrDA infraroig entre una PDA i un ordenador porttil, fins a una comunicaci de dos terminals de telefonia mbil GSM entre dues persones. Fins i tot, la comunicaci verbal entre dues persones s una comunicaci sense fil, ja que utilitzen un canal com laire per intercanviar informaci.
IrDa s una associaci de 160 companyies que treballen per donar estndards per a comunicacions sense fil per infrarojos (IR).
34
generadora destndards per a les xarxes sense fil. Els estndards han estat creats en el marc dels reglaments establerts pel Comit Federal de Comunicacions (Federal Communications Commission - FCC). El protocol IEEE 802.11 o WI-FI s un estndard de protocol de comunicacions de lIEEE que defineix ls dels dos nivells inferiors de larquitectura OSI (capes fsica i enlla de dades), especificant les normes de funcionament en una WLAN. En general, els protocols 802.x defineixen la tecnologia de les xarxes drea local. La famlia 802.11 inclou, actualment, sis tcniques de transmissi per modulaci que utilitzen els mateixos protocols. Lestndard original daquest protocol (lIEEE 802.11) data de 1997, tenia velocitats de d1 fins 2 Mbps i treballava en la banda de freqncia de 2,4 GHz. La modificaci segent va aparixer el 1999, el protocol IEEE 802.11b. Aquesta especificaci inclou velocitats des de 5 fins a 11 Mbps i treballa en la freqncia de 2,4 GHz. Tamb es va fer una especificaci sobre la freqncia de 5 GHz amb velocitats de 54 Mbps, era la 802.11a, per resultava incompatible amb els productes de la b i, per motius tcnics, gaireb no es van desenvolupar productes. La versi final de lestndard es va publicar el juny de 2007 i recull les modificacions ms importants sobre la definici original. Inclou les normes 802.11a, b, d, e, g, h, i i j.
El primer estndard daquesta famlia que va tenir una mplia acceptaci va ser el 802.11b. A partir de 2005, la majoria de productes que es comercialitzen segueixen lestndard 802.11g amb compatibilitat amb el 802.11b.
Figura 32. Comparativa de les diferents normes enfront de velocitats de transmissi
35
El pas segent ser la norma 802.11n, en procs daprovaci, que preveu velocitats mximes teriques de 600 Mbps i treballar en les dues bandes: la dels 2,4 GHz i la dels 5 GHz (vegeu la figura 32).
3.1.2. Dispositius
Tots els dispositius sense fil compleixen amb les normes i estndards per tal de garantir la interoperatibilitat entre ells sense necessitat que siguin del mateix fabricant. A ms, hi ha regulacions sobre ls daquests equips, els quals han des ser aprovats per al seu s segons les regulacions de cada pas.
WI-FI Alliance La WI-FI Alliance s una associaci de venedors amb lobjectiu de certificar la interoperatibilitat dels productes basats en lestndard 802.11, segons les normes i estndards. La certificaci inclou les tres tecnologies IEEE 802.11 RF i els esborranys IEEE, com el 802.11n, i els estndards de seguretat WPA i WPA2, basats en lIEEE 802.11i. Altres organitzacions certificadores i reguladores: Wireless LAN Association (WLANA) Federal Comunications Commission (FCC) Underwriters Laboratories, Inc. (UL) European Telecommunications Standards Institute (ETSI)
Els nodes poden ser estacions simples de treball descriptori, ordinadors porttils o PDA. Es pot establir una xarxa ad hoc comparable a una xarxa cablejada de punt a punt. Ambds dispositius funcionen com a servidors i clients en aquest entorn. Un problema daquest tipus de xarxa s la compatibilitat. Moltes vegades, les NIC de fabricants diferents no sn compatibles. Per resoldre el problema de la compatibilitat, sacostuma a installar un punt daccs (AP) perqu actu com a concentrador central per al mode dinfraestructura de la WLAN. LAP es connecta a la LAN perqu proporcionin accs a Internet i connectivitat a la xarxa cablejada. Els AP estan equipats amb antenes i proporcionen connectivitat sense fil a una rea especfica que rep el nom de cella. Segons la composici estructural del lloc on es va installar lAP i de la mida i el guany de les antenes, la mida de la cella pot variar considerablement. En general, labast s de 91,44 a 152,4 metres. Per donar servei a rees ms extenses, s possible installar mltiples punts daccs amb un cert grau de superposici (vegeu la figura 33). Aquesta superposici permet passar duna cella a una altra (roaming). Aquest fet sassembla molt als serveis que proporcionen les empreses de telefonia mbil. La superposici en xarxes amb mltiples punts daccs s fonamental per permetre el moviment dels dispositius dins de la WLAN. Tot i que els estndards IEEE no determinen res sobre aquesta qesti, s aconsellable una superposici dun 20%-30%. Aquest ndex de superposici permet la itinerncia o roaming entre les celles o rees de cobertura i daquesta manera lactivitat de desconnexi i reconnexi no patir interrupcions.
Logo de la WI-FI Alliance Etiqueta de certificaci WI-FI
36
NIC
37
connectar les dues tecnologies, WI-FI i Ethernet. Els clients shan dassociar a un punt daccs per obtenir els serveis de xarxa.
Associaci Procs mitjanant el qual un client safegeix a una xarxa 802.11.
Un punt daccs s un dispositiu de capa 2, amb les funcions equivalents a un commutador (switch) Ethernet.
38
Lescaneig actiu fa que senvi una petici de sondeig des del node sense fil que es vol connectar a la xarxa. Aquesta petici de sondeig inclou lidentificador del servei (SSID) de la xarxa a la qual es vol connectar. Quan es troba un AP amb el mateix SSID, lAP emet una resposta de sondeig. Es completen les passes dautenticaci i associaci. Els nodes descaneig passiu esperen les trames dadministraci de beacons que sn enviades per lAP (mode dinfraestructura) o node de parells (ad hoc).Quan un node rep un beacon que cont lSSID de la xarxa a la qual es vol connectar, es fa un intent de connexi. Lescaneig passiu s un procs continu i els nodes poden associar-se o desassociar-se dels AP amb els canvis en la potncia del senyal. Un cop establerta la connectivitat de la WLAN, un node passar les trames digual manera que en qualsevol altra xarxa 802.x.
Mode ad hoc Mode dinfraestructura El mode dinfraestructura sutilitza per connectar equips sense fil a una xarxa cablejada, amb lajut dun punt daccs, el qual fa de passarella entre les dues tecnologies: WI-FI i Ethernet. Trama de beacon Paquet que informa de la presncia i disponibilitat dun dispositiu. Aquests paquets sn enviats pels AP, encara que en mode ad hoc sn els clients els qui els envien.
Les WLAN no utilitzen una trama estndard 802.3. Per tant, el terme Ethernet sense fil pot portar a engany.
Hi ha tres classes de trames: de control, dadministraci i de dades. Noms la trama de dades sassembla a les trames 802.3. Les trames sense fil i la 802.3 carreguen 1.500 bytes. Malgrat aix, una trama dEthernet no pot superar els 1.518 bytes, mentre que una trama sense fil pot arribar als 2.346 bytes. En general, la mida de la trama de WLAN es limita a 1.518 bytes, perqu es connecta, amb una freqncia ms alta, a una xarxa cablejada dEthernet. Es refereix a les configuracions on no hi ha un node central que coordini la comunicaci. Sn comunicacions entre iguals, tamb conegudes com a peer to peer.
Com que la radiofreqncia (RF) s un medi compartit, es poden produir collisions de la mateixa manera que es produeixen en un medi cablejat compartit. La principal diferncia s que no hi ha un mtode pel qual un node dorigen pugui detectar que sha produt una collisi. Per aquest motiu, les WLAN utilitzen accs mltiple amb detecci de portadora i prevenci de collisions (CSMA/CA). Aquest mtode sassembla al CSMA/CD dEthernet. Quan un node dorigen envia una trama, el node receptor retorna una confirmaci de recepci positiva (ACK). Aquest procs pot consumir un 50% de lamplada de banda disponible, s a dir, la quantitat de dades que es pot transmetre per unitat de temps. Aquesta despesa, en combinar-se amb la del protocol de prevenci de collisions, redueix la taxa de transferncia real de dades a un mxim de 5,0 a 5,5 Mbps en una LAN sense fil 802.11b amb una velocitat d11 Mbps. El rendiment de la xarxa tamb es veur afectat per la potncia del senyal i per la degradaci de la qualitat del senyal a causa de la distncia o de les interferncies. A mesura que el senyal es debilita, es pot invocar/cridar la selecci de velocitat adaptable (ARS), que permet modificar la velocitat de transmissi per tal de fer arribar el mxim de dades, sense perdre la connexi. El dispositiu transmissor disminuir la velocitat de transmissi de dades d11 Mbps a 5,5 Mbps, de 5,5 Mbps a 2 Mbps o de 2 Mbps a 1 Mbps.
CSMA/CD Els dispositius de xarxa que tenen dades a transmetre funcionen en mode escoltar abans de transmetre. Aix vol dir que quan un node vol envia dades, primer ha de determina si el medi de transmissi est ocupat o no.
39
3.2. Seguretat
Cracking
La seguretat ha de ser una prioritat per a qualsevol usuari o administrador de xarxes. La dificultat que presenta la seguretat en una xarxa cablejada es veu incrementada en el cas de les xarxes sense fil. Una WLAN est disponible per a qualsevol que estigui dins el radi dacci del punt daccs; per tant, amb un dispositiu sense fil i les tcniques de cracking oportunes, qualsevol es podria associar a aquest punt daccs i tindria accs a la xarxa i als seus recursos. Molts dispositius sense fil que hi ha en el mercat porten unes configuracions per defecte que, prcticament sense configurar res, deixen lautenticaci oberta o nicament implementen lestndard de seguretat WEP. Desafortunadament, aquest estndard s frgil i fcilment atacable.
Craking fa referncia a les tcniques que permeten desxifrar contrasenyes o claus encriptades.
WEP Wired equivalent privacy. Estndard de seguretat que protegeix una xarxa sense fil. Utilitza claus de 64 bits o de 128 bits. Bsicament, consisteix a implementar una clau en el punt daccs que es demanar al client quan intenti lautenticaci. Si el client sautentica de manera correcta, es produeix lassociaci i, a partir de llavors, la comunicaci anir xifrada.
40
TKPI
WPA
RADIUS
41
Els identificadors dels punts daccs sn fcilment descoberts encara que no en facin difusi. En la figura 37 podeu veure els tres escenaris: El punt daccs WRS3 no difon lSSID; per tant, el client 1 no pot associarse, ats que no el troba. El punt daccs WRS2 t implementat un filtratge per MAC. El client 2 no est dintre de la llista de MAC reconegudes i, per tant, no es produeix lassociaci. El punt daccs WRS2 t implementat WPA2. El client 3 coneix la clau i sautoritza lassociaci.
Figura 37. Escenari de seguretat duna xarxa sense fil
42
que s possible fer ping en lencaminador local i que es pot navegar cap a lexterior. Finalment, es configura la seguretat en la comunicaci amb WPA2, deixant WEP nicament per als casos en qu el maquinari no suporti WPA. Pas 1. Verificar connectivitat amb equips cablejats-DHCP i accs a Internet: Installar el punt daccs. Configurar el punt daccs-SSID (sense seguretat). Installar un client sense fil (sense seguretat). Verificar connectivitat sense fil-DHCP i accs a Internet. Configurar seguretat sense fil-WPA2 amb PSK. La majoria del punts daccs porten una configuraci bsica que permet que estiguin operatius des del primer moment. s recomanable modificar aquesta configuraci que porten per defecte. Per facilitar aquesta operaci, la gran majoria de punts daccs porten una interfcie web que en permet, de manera grfica, la configuraci. Per a lexemple segent, sutilitza un encaminador Linksys WRT300N que incorpora un punt daccs. Imaginarem que sha verificat la connectivitat i que el punt daccs ja est installat. Queda fer la configuraci. Els passos que shan de seguir per iniciar la configuraci del WRT300N de Linksys sn els segents: Accediu mitjanant el vostre navegador favorit a la utilitat de configuraci del punt daccs. En el cas del WRT300N, shaur dintroduir en el camp adrea del vostre navegador la IP 192.168.1.1. Un quadre de sistema us demanar lusuari i la contrasenya. Deixeu el nom dusuari en blanc i en el camp de la contrasenya introduu admin. Si el dispositiu ja ha estat configurat, el nom dusuari i contrasenya poden haver estat modificats. Ja estem dintre de la utilitat de configuraci. Primer de tot, mirarem els valors per defecte bsics per als clients que accedeixen per la part Ethernet del punt daccs, la contrasenya dadministrador i la configuraci per defecte de la interfcie sense fil.
En el cas dun punt daccs diferent, shaur de consultar el manual del fabricant.
43
En el cas que hem comentat, per exemple, podeu assignar al vostre equip la IP 192.168.100.10/24. Un ajust molt important s decidir si el vostre AP ha de fer de servidor DHCP (dynamic host control protocol). s a dir, si el vostre AP, quan un client intenta comunicar-se amb ell, no t adrea IP, ell li nassignar una. Per defecte, la gran majoria de punts daccs porten activada lopci de treballar com a servidors dadreces IP (DHCP). En aquest equip, donaria adreces IP de la xarxa 192.168.1.0/24 i la primera que assignaria seria la 192.168.0.50 i, com a mxim, podria donar adreces a 50 clients. Per tant, est configurat per assignar adreces del rang 102.168.0.5/24 192.168.0.100/24. En la figura 38 podeu veure la pantalla de configuraci.
Figura 38. Pantalla de configuraci del punt daccs
Contrasenya dadministrador de lencaminador. s molt important modificar el valor que porta per defecte, de fbrica. Tots els equips del mateix model que hi ha en el mercat i, molt possiblement, la majoria dequips del mateix fabricant porten aquesta configuraci. Penseu que qualsevol pot accedir al manual de configuraci a la pgina web del fabricant i esbrinar com es pot accedir al vostre equip (figura 39).
Figura 39. Modificant la contrasenya daccs al punt daccs
44
Configuraci bsica de la xarxa sense fil. Aqu podeu modificar lidentificador del punt daccs (SSID), el canal on transmetr, si s visible o no per als clients i amb quin protocol WI-FI treballar (IEEE 802.11N, B, G o tots ells) (figura 40).
Figura 40. Pantalla de configuraci bsica del punt daccs
Un cop fets el canvis necessaris per a qualsevol opci, cal desar la configuraci. A totes les pgines de configuraci hi ha lopci de desar els canvis, cancellar els canvis i, al marge dret, hi ha una petita ajuda sobre els diferents camps configurables dintre de cada opci.
45
Mode de xarxa. Si teniu dispositius a la vostra xarxa que treballen amb tecnologia Wireless-N, Wireless-G i 802.11b, utilitzeu el mode mixt (Mixed), que s lopci per defecte. Si teniu dispositius Wireless-G i 802.11b, seleccioneu BG-Mixed. Si teniu nicament dispositius Wireless-N, seleccioneu Wireless-N Only, i si nicament teniu dispositius Wireless-G o Wireless-B, seleccioneu la seva opci. Si voleu desactivar la xarxa sense fil, seleccioneu Disable (figura 42).
Figura 42. Modificant el mode de xarxa del punt daccs Diferents tecnologies Les tecnologies Wireless-N (802.11n), Wireless- G (802.11g) i Wireless-B (802.11b) sn les diferents tecnologies sense fil que podeu trobar en els dispositius del mercat. Nhi ha daltres, com la 802.11e, 802.11i, 802.11w, 802.1x o Wireless-X, que es fa servir als Estats Units.
Nom de xarxa (SSID). LSSID s el nom de xarxa i s compartit per tota la xarxa. Ha de ser el mateix per a tots els dispositius de la xarxa sense fil associats. s sensible a les majscules i no pot superar els 32 carcters. Per ms seguretat, es recomana modificar lSSID per defecte per un nom nic (figura 43).
Figura 43. Modificant lSSID del punt daccs
SSID amb multidifusi (broadcast). Quan els clients sense fil escanegen la xarxa sense fil per associar-se a algun dispositiu, detecten els SSID que el punt daccs envia com a multidifusi. Per enviar multidifusions de lSSID, deixeu habilitada aquesta opci tal com est per defecte. Al contrari, si no voleu que faci multidifusi de lSSID, activeu lopci de deshabilitar. Quan tingueu les modificacions fetes, recordeu desar els canvis. Banda de rdio (radio band). Fa referncia a la banda de freqncies per on es fa la transmissi. El millor, si teniu una xarxa on hi pot haver
46
dispositius Wireless-N, Wireless-G i Wireless-B, s deixar el que hi ha per defecte (Automtic). Per a dispositius nicament Wireless-N, seleccioneu una amplada pels canals de 40 MHz (Wide - 40 MHz Channel). Per a Wireless-G i Wireless-B, utilitzeu els 20 MHz (Standard - 20 MHz Channel), que a ms s lestndard (figura 44).
Figura 44. Modificant la banda de rdio del punt daccs
Canal de transmissi estndard (standard channel). Una de les variables que sha de tenir en compte sn els canals en qu est dividida la banda de freqncies (seria lequivalent als carrils en una autopista). Lestndard WI-FI parla d11 possibles canals. Igual que amb els carrils de lautopista, sha de mirar de treballar al canal menys concorregut, per evitar al mxim les interferncies. s a dir, per tal doptimitzar la transmissi, saconsella mirar si hi ha ms punts daccs al vostre voltant i seleccionar un dels canals que no estiguin ocupats per altres punts daccs. Si heu seleccionat treballar en la banda de freqncies dels 40 MHz, el canal estndard es converteix en canal secundari per a les xarxes Wireless-N(figura 45).
Figura 45. Modificant el canal del punt daccs
Configurant la seguretat
El model WTR300N suporta set modes de seguretat sense fil. En la figura 46 els podeu veure en forma de llista de ms tou a ms fort, tret de lltim, que fa referncia al mode de seguretat deshabilitada.
47
Depenent del microprogramari (firmware) que porti el dispositiu, hi pot haver alguna modificaci: WEP PSK-Personal, o WPA-Personal en els dispositius amb microprogramari v0.93.9 o superiors. PSK2-Personal, o WPA2-Personal en els dispositius amb microprogramari v0.93.9 o superiors. PSK-Enterprise, o WPA-Enterprise en els dispositius amb microprogramari v0.93.9 o superiors. PSK2-Enterprise, o WPA2-Enterprise en els dispositius amb microprogramari v0.93.9 o superiors. RADIUS Disabled El terme personal, associat a alguns modes de seguretat, vol dir que no sutilitza cap servidor dautenticaci; al contrari, amb els modes Enterprise sha de tenir un servidor dautenticacions, normalment RADIUS, i sutilitza lautenticaci EAP. Ja sha vist que el mode WEP no s el ms recomanable i que s prou tou pel que fa a seguretat i que PSK2, que s el mateix que WPA2 o IEEE 802.11i, s la millor de les opcions. Si WPA2 s el millor, per qu hi ha ms opcions? La resposta s que hi ha moltes xarxes sense fil que treballen amb dispositius antics.
Ats que tots els dispositius client que sassocien a un punt daccs han de treballar amb el mateix mode de seguretat amb qu treballa el punt daccs, aquest ha destar configurat amb el mode ms dbil.
Tots els dispositius sense fil fabricats desprs del mar de 2006 han de suportar WPA2, o en el cas dels encaminadors Linksys, PSK2. Lopci RADIUS permet combinar lopci de seguretat WEP amb un servidor dautenticaci RADIUS.
48
Per configurar la seguretat del dispositiu: Mode de seguretat (Security Mode). Selecciona el mode que voleu utilitzar: PSK-Personal, PSK2-Personal, PSK-Enterprise, PSK2-Enterprise, RADIUS o WEP. Un cop triat el mode de seguretat, shauran de configurar alguns parmetres propis de cada mode: Parmetres dels modes de seguretat (Mode Parameters). Cadascun dels modes PSK i PSK2 t parmetres que es poden configurar (figura 47). Per exemple, si seleccioneu PSK2-Enterprise, heu de tenir un servidor RADIUS per a les autenticacions. Per tant, sha de configurar el punt daccs amb els parmetres del servidor RADIUS: Adrea IP del servidor RADIUS. Port de treball del servidor RADIUS. Si no sha modificat al llarg de la installaci, el port per defecte s el 1812.
Figura 47. Pantalla del configuraci del modes de seguretat del punt daccs
Encriptaci (Encryption). Fa referncia a lalgoritme dencriptaci que sutilitzar: AES o TKIP (AES s ms robust que TKIP) (figura 48).
Figura 48. Configurant el tipus dencriptaci del punt daccs
49
Un cop decidit el mtode dencriptaci, sha dintroduir una clau que haur de conixer el client que vulgui associar-se al punt daccs (figura 49). La clau (Pre-shared Key): haur de tenir entre 8 i 63 carcters. Renovaci de la clau (Key Renewal): perode de renovaci de la clau.
Figura 49. Introduint la clau compartida
Seguirem un procs sistemtic que consisteix en tres passos i en el qual anirem descartant possibles fonts derrades.
50
51
La majoria de les WLAN operen en la banda de 2,4 GHz, que pot proporcionar fins a 14 canals, cadascun dels quals ocupa 22 MHz damplada de banda. Lenergia no est repartida uniformement en tota lamplada de banda del canal, sin que s ms potent al centre i sesvaeix cap als extrems. En la imatge segent (figura 52) es mostra una representaci grfica dels canals en la banda de 2,4 GHz.
Figura 52. Distribuci de potncia en un canal de la banda de 2,4 GHz
Llavors, el que passa s que si hi ha dos punts daccs adjacents que utilitzen canals massa propers, es produeixen interferncies. Per solucionarho, sha de planificar ls dels canals a la xarxa i vigilar que punts daccs propers utilitzin canals tan allunyats com sigui possible (figura 53).
52
En separar els canals no se superposen i no es causa interferncia. Una bona planificaci utilitza una separaci de cinc canals. s a dir, per tal doptimitzar la transmissi, saconsella, si hi ha ms dispositius al voltant, mirar quin canal estan utilitzant i configurar el nostre en un canal diferent. Segons la recomanaci, una separaci de 5 canals. Per tant, si hi ha un punt daccs que transmet al canal 1, el nostre hauria destar configurat per utilitzar el canal 6.
53
54
A part de les recomanacions anteriors, s aconsellable tamb seguir les instruccions segents: Assegureu-vos que els punts daccs estan a una distncia superior a 20 cm del cos de les persones. Installeu els punts daccs lluny de microones. Aquests aparells emeten ones del mateix tipus que les connexions sense fil, en la mateixa banda de freqncies (2,4 GHz), amb la qual cosa es poden produir interferncies en les comunicacions. No munteu el punt daccs a les parets del permetre de la superfcie a la qual es vol donar cobertura. Quan es munti un punt daccs al cant dun passads, sha de situar a un angle que sigui la meitat de langle que formen les parets del passads. Per exemple, si el passads forma angle recte, haureu de situar el punt daccs a un angle de 45 graus respecte a la paret.
Heu de recordar que tots els dispositius que es connectin a un punt daccs han dutilitzar el mateix mtode de seguretat que el punt daccs. Per tant, si un punt daccs est configurat per WEP, tant el tipus dencriptaci com la clau compartida han de coincidir. Si sutilitza el mtode WPA, el tipus dencriptaci que shaur de fer servir per als dispositius haur de ser TKIP. En el cas de les claus dautenticaci, tamb sha danar en compte. El punt daccs esperar una clau dautenticaci que enviar el client en el procs
55
dassociaci. Aquesta ha de coincidir, en cas contrari no es dur a terme lautenticaci correctament i no es podr associar.
Shan de tenir en compte tant el mtode de seguretat com les claus dautenticaci per tal que el procs dautenticaci i associaci sigui correcte.