hardware St Wi-Fi v praxi

Wi-Fi st v praxi
Ivn Alcaraz Snchez

V tomto lnku se budeme vnovat znmm Wi-Fi stm z praktickho hlu pohledu Avak veker praxe vyaduje teoretickou zkladnu, proto zanme trochou teorie, abychom vichni pochopili o em je e, jak tyto st funguj a jak je jejich pouit v dnenm svt.

ejprve si objasnme samotn pojem Wi-Fi (nebo WiFi). Podle Wikipedie je Wi-Fi soubor standard pro bezdrtov st zaloen na specifikaci IEEE 802.11. Nejpouvanj standardy pro bezdrtov st jsou potom 802.11b a 802.11g. Rozdl mezi tmito dvma je v rychlosti penosu dat, v prvnm ppad se jedn 0 11 Mbps a v ppad druhm o 54 Mbps, co znamen, e 802.11g je ptkrt rychlej ne 802.11b. Pro lep pedstavu uveme, e kabelov st standardn b na 100 Mbps a jsou tak 9x rychlej ne 802.11b a dvakrt rychlej ne 802.11g. Tyto dva standardy pouvaj psmo ISM o frekvenci 2,4 Ghz, na kterm se d pracovat bez nutnosti licence radioamatra, tud Wi-Fi s me mt doma kad. Existuj i dal standardy jako 802.11a s rychlost 54 Mbps. Problm tohoto standardu spov v provozu v psmu s frekvenc 5 Ghz a vyadujc vyslac povolen. Dalm standardem, kter je v provozu, je 802.11n pracujc v psmu 2,4 Ghz a s rychlost 108 Mbps, akoli je znmo, e ve skutenosti me doshnout a 500 Mbps. Strunou definic meme ct, e Wi-Fi st jsou takov, kter nepouvaj drty pro spojen jednotlivch

linux@software.com.pl

zazen, ale jako prostedek pro penos vyuvaj vzduch, stejn jako Ethernetov st pouvaj pro penos koaxiln a svazkov kabely.

St Wi-Fi v relnm svt

Te, kdy u vme co jsou st Wi-Fi, se meme zamit na jejich praktickou aplikaci v relnm svt. St Wi-Fi se vtinou pouvaj v ppadech, kdy je z njakho dvodu znemonno kabelov spojen mezi dvma i vce jednotkami. Bu kvli velk vzdlenosti jednotek, kvli ad pekek znemoujcch spojen, z estetickch dvod (komu by se lbilo mt dm omotan drty), a nebo proto, e chceme dret krok s dobou. Jsou tomu asi dva roky, co zaali poskytovatel internetovho pipojen podporovat Wi-Fi routers, abychom mohli propojit libovoln poet pota bez drt, pouze za pomoci bezdrtovch karet v potach a v ppad dostatenho signlu pro vytvoen spojen mezi potaem a routerem, nebo pstupovm bodem (Wirelles Access Point, WAP-viz slovnek). I pes zmnn vhody maj tyto st jeden velk nedostatek: bezpenost. Pouvnm vzduchu jako penosnho mdia me kdokoli tuto s deteko-

60

jen 10/2006

hardware St Wi-Fi v praxi

vat a pipojit se k n pes pstupov bod nebo Wi-Fi router. Aby se tomuto nechtnmu pipojen zabrnilo, byly vytvoeny bezpenostn protokoly, kter pi pihlaovn vyaduj heslo nebo kl. Prvn z tchto protokol jsou oznaeny jako WEP2 a WPA. Tyto protokoly pracovaly zpotku spolehliv, asem se vak staly tak zranitelnmi, e se upustilo od jejich pouvn. Protokol WEP byl zlomen, rozifrovat by ho dnes dokzalo i dt, sta pouze bezdrtov adaptr s kompatibilnm chipsetem jako Atheros (viz odstavec Hardware) a samotn s. Protokol WPA dosud nebyl rozlutn, avak heslo se d v jistch ppadech s trochou snahy uhodnout, zvl pokud nen sloit. Bezpenostn Obrzek 1. Bezdrtov adaptry protokoly jet podrobnji rozebereme v odstavci Bezpenost Wi-Fi st. Hardware v stch Wi-Fi Po krtkm vodu do st Wi-Fi se te podZpsoby provozu Wi-Fi st vme na nejastji pouvan hardware. D se ci, e existuj dva zpsoby, jak lze Wi-Fi s sestavit. Zpsob infrastrukturn a Ad-Hoc. Infrastrukturn typ vyuv pstupovho bodu, kter zajiuje propojen mezi vemi jednotkami bezdrtov st. Oproti tomu Ad-Hoc nem dn pstupov bod ani dn zazen, kter by jeho funkci nahrazovalo. Jednotliv zazen se vzjemn propoj pomoc pslunch bezdrtovch karet, vznikne tak s peer-to-peer. Nevhoda tohoto spojen spov v tom, e bezdrtov karta pijm informace od vech ostatnch zazen v sti, co s sebou pin vt zt potae, a dle je nezbytn, aby byly vechna zazen v oblasti dosahu signlu. Tento typ WiFi st je doporuiteln, pouze pokud propojujeme mlo jednotek na krtkou vzdlenost.

Pstupov bod (Access Point)

routery a ADSL routery (tak nazvny Modem Router ADSL). Rozdl mezi tmito dvma typy je ten, e router ADSL m zabudovan rozhran RJ.11 pro pm pipojen na telefonn linku. Jeden z aktuln nejpouvanjch neutrlnch router je Linksys WRT54GL, kter funguje na firmware zaloenm na Linuxu a obsahuje adu firmwares modifikovanch zprostedkovateli, co mu poskytuje extra funkce

Pstupov body pemosuj st Wi-Fi a ethernetov st to znamen, e umouj bezdrtovm zazenm komunikovat se zazenmi kabelov st.

Wi-Fi routers
Router je zazen starajc se o zprostedkovn spojen mezi stmi TCP/IP. Zajiuje, aby data dorazila k mstu uren vybrnm nejsnaz cesty a optimalizovnm vkonu st. Wi-Fi routers jsou schopny fungovat jako pstupov bod. Umouj sprvu propojen, i kdy se bezdrtov st spoj s kabelovmi. Mezi tmito routery se rozliuje nkolik typ, nejpouvanjmi jsou tzv. neutrln

Bezdrtov adaptry
Tyto adaptry jsou nezbytn pro propojen naeho potae se st Wi-Fi. Maj stejnou funkci jako sov ethernetov karta, ale rozhranm Wi-Fi namsto RJ-45 (kabelov konektory st ethernet). K dostn je cel ada bezdrtovch adaptr jako PCI, PCMCIA, USB, MiniPCI a CF.

Adaptry PCI
Jsou to bezdrtov adaptry vyuvajc PCI slot potae stejn jako vtina zvukovch, sovch a televiznch karet. Instaluj se dovnit potae. V porovnn s ostatnmi typy bezdrtovch adaptr se shodnmi funkcemi bvaj tyto PCI adaptry vtinou levnj. Jejich vhodou je tak konektor pro extern antnu, co nm dovoluje vymnit pvodn, vtinou slab antnu za podstatn vkonnj, a tm zskat silnj signl. Nevhodou PCI adaptr je jejich vhradn pouit pro stoln potae, tud nemonost instalace do penosnch pota a PDA.

Slovnek zkladnch pojm

Nyn si zde vysvtlme pr pojm vyskytujcch se nsledn v textu, aby bylo ve jasn i zanajcm uivatelm. ESSID: Nzev pslun Wi-Fi st. ipset: Skupina integrovanch obvod provdjc akce, ktermi je pov procesor. V ppad bezdrtovch st e ipset koly spojen s komunikac. Psmo ISM (Industrial, Scientific and Medical Band): Jsou to frekvenn psma rezervovna pro nekomern vyuit. Standardy 802.11b a 802.11 operuj v tomto ISM psmu na frekvenci 2,4 Ghz. IEEE (Institute of Electrical and Electronics Engineers): Organizace pro vvoj standard tvoena elektrickmi a elektronickmi inenry, vdci a studenty. Ethernet: obecn pojmenovn loklnch kabelovch st OSI (Open Source Interconection): Obecn platn vzor pro vzjemn propojen otevench systm, poskytuje vrobcm soubor standard pro vt kompatibilitu a interoperabilitu mezi rznmi druhy sovch technologi. Manager Mode: Tot co Infrastrukturn typ Wi-Fi st Monitor Mode (neboli ROMON): Provozn md bezdrtovch adaptr, kter nm umouje pijmn vech informac v dosahu signlu. Ne vechny ipsety tuto technologii podporuj, proto je pi nkupu ipsetu dobr zjistit, jestli ji dan typ zvld.

Adaptry MiniPCI
Bezdrtov adaptry tohoto typu se tak ukrvaj uvnit potae, ale dky jejich redukovan velikosti (polovina standardnho PCI) je lze pout i pro penosn potae. Pkladem tchto adaptr jsou ty, kter pouvaj notebooky Centrino od Intelu.

www.lpmagazine.org

61

hardware St Wi-Fi v praxi Adaptry PCMCIA

Jedn se o nejpouvanj adaptry pro penosn potae. Vtinou se nachz ve stejn cenov relaci jako PCI adaptry, jejich nevhodou je ovem absence konektoru pro extern antnu. Menina, kter obsahuje i tento konektor, u potom tak levn nen. Vhodou, na rozdl od adaptr PCI a MiniPCI, je monost pipojen/odpojen do extern zdky za plnho provozu potae. Operan systm jej po pipojen rozezn a uvede do provozu. ipsetu, a jsou voln pstupn pro kohokoli. Od svch potk ji proel dlouhm vvojem a vsledkem jsou jeho verze: Prism I (802.11 original), Prism II (802.11b), Prism III (802.11a/b), Prism Indigo (802.11a), Prism GT (802.11b/g), Prism Duette (802.11a/b), Prism Nitro (s IEEE 802.11g - vylepen) y Prism World Radio (802.11a/b/d/g/h/i/j). Nejrozenj je potom verze PrismII pro st 802.11b. Tak je znm pro svou bezpenost a za dobu jeho existence ji pro nj bylo sestrojeno mnoho bezpenostnch aplikac. Na rozdl od ostatnch existuje pro tento ipset vt vbr ovlada, mezi nimi figuruj: linux-wlan-ng, HostAP, Prism54 (pro Prism GT, Duettee a Indigo) a Airjack, vyvinut hlavn pro uivatele Wi-Fi st. ipset Cisco Aironet Vrobcem tohoto ipsetu je firma Cisco. Odvj se od ipsetu Prism a obsahuje nkter dal uiten nstroje jako nap. monost kontrolovanho vstupu nebo zmny kanlu v psmu ISM. Problmem tohoto ipsetu je jeho vhradn zakomponovn do bezdrtovch zazen firmy Cisco, kter nejsou pro svou vy cenu pli rozeny. I kdy je Cisco Aironet zaloen na Prism, ovladae Prism s nm kompatibiln nejsou. Cisco Aironet pouv sv vlastn Cisco ovladae. Nutno pist firm Cisco k dobru, e jsou jej karty provozuschopn na vech bnch platformch jako Windows, GNU/Linux i Unix. ipset Hermes Tento ipset byl vyvinut firmou Lucent. Vrobce odhalil st zdrojovho kdu nutnho pro ovldn zkladnch func karet WaweLAN/ORiNOCO , dky emu byl nsledn naprogramovn ovlada wvlan_cs, kter poslze podntil k vyvinut ovladae orinoco_cs, kter je v souasnosti nejpouvanj. Existuje i ovlada s nzvem HermesAP, kter umouje, aby se bezdrtov adaptry s ipsetem Hermes chovaly jako Access Point.

Obrzek 2. Koaxiln kabely pouvan v stch Wi-Fi kterch jsou vyrobeny, jeliko kad materil m odlinou mru ztrty signlu. Pouit nzvoslov kabelu se vtinou odvj od jeho vrobce, proto kabely s oznaenm HDF, LMR a CDR jsou jedny a tyt. Abychom se vyhnuli nedorozumn, budu se snait uvst nejbnj nzvy kabel. Zde je krtk popis nejpouvanjch kabel: RG58 Koaxiln kabely, jen se pouvali v stch ethernet ped vznikem kabel UTP. V bezdrtovch stch se stle jet pouvaj, ale nejsou zrovna vhodn pro velkou ztrtu signlu, kter in 1dB na metr. HDF/LMR/CDR/100 Pouv se kdy jsou konektory velmi mal. Nedoporuuje se vytvet tmto kabelem dlouh pigtail, prooe ztrta signlu dosahuje 1,30dB/m. HDF/LMR/CDR/200 Jedn se o nejpouvanj kabel pro krtk pigtails, zvl kdy nejsou konektory moc velk. Jeho velikost je srovnateln s RG58, ale m mnohem men ztrtu, 0,49dB/m. HDF/LMR/CDR/400 Nejpouvanj kabel pro dlouh pigtails, jeliko m velmi malou ztrtu signlu, pouhch 0,21dB/m. Problmem je jeho pomrn velk tlouka, a proto se ne vechny koncovky daj pipojit.

Adaptry USB
Jsou to zazen podobn pen-drive nebo Memory Flash USB, co se velikosti te, ale funguj jako jakkoli jin bezdrtov adaptr. Pipojuj se pes USB port potae a daj se pout jak ve stolnch, tak i v penosnch potach. Jako ostatn USB zazen je lze pipojit/odpojit za chodu potae. Nevhodou je opt absence konektoru pro extern antnu, akoli se ji pozvolna zanaj objevovat prvn levnj adaptry ec tento nedostatek. Co se te jejich vkonu, oproti ve zmnnm adaptrm zaostv.

Adaptry Compact Flash (CF)

Bezdrtov adaptry CF se pouvaj v prunch potach (PDA). Funguj podobn jako adaptry PCMCIA neobsahuj konektor pro extern antnu a lze je pipojit za chodu potae.

Nejpouvanj ipsety pro bezdrtov adaptry

V moment, kdy vybrme bezdrtov adaptr, musme peliv zvit jeho velmi dleitou soust ipset. Na ipsetu bude toti zviset fungovn na karty. Kad ipset m sv specifick vlastnosti, zde si zmnme nejdleitj z nich: ipset Atheros Jedn se o velmi ast ipset, oblben pro svou propracovanost. Je jednm z preferovanch ipset tak dky zruce vysokho stupn bezpenosti, jeliko jej podporuje vtina bezpenostnch aplikac. Dal velkou vhodou je jeho nzk cena, a proto je nejrozenj mezi adaptry PCI a PCMCIA. Ovladaem pro GNU/Linux je Madwifi. ipset Prism Jeden z nejstarch, a proto i nejvyvinutjch ipset. Za svou vytbenost vd faktu, e vechny dokumenty, kter se jej tkaj, a u nvrhy, poznmky, technick zprvy a zvry, vsledky komise pro hodnocen atd., se nachz na webovch strnkch firmy Intersil, vrobce

Te se podvme na nejpouvanj koncovky: Konektor N-zdka V podstat standard pro antny Wi-Fi. Oproti ostatnm konektorm je vt velikosti, a proto je ideln jeho napojen na kabel HDF/LMR/CDR/ 400. Konektor N-kolk Protilehl koncovka k N-zdka. Je tak pomrn velk a nachz se na jednom z konc pigtails. Tak je asto pouvna pro vytven prodlouen spolen s koncovkou N-zdka a kabelem HDF/LMR/CDR/400. Konektor RP-SMA zdka Soust prakticky vech bezdrtovch adaptr PCI a mnoha pstupovch bod a Wi-Fi rou-

Kabely a konektory Wi-Fi

Paradoxn jsou prv kabely a konektory v stch Wi-Fi velmi dleitou soust. Mme na mysli kabely vedouc od antny k adaptru a konektory na jejich koncch. Pokud chceme propojit Wi-Fi antnu s bezdrtovm adaptrem, vtinou zjistme, e do sebe koncovky nezapadaj. V takovch ppadech pouijeme prodluovan kabelovou spojku, nebo Pigtail, co je koaxiln kabel s dvma konektory na koncch, kter vybrme pslu- n ke koncovkm antny a adaptru. Pi vbru kabel musme pihlet k materil, ze

62

jen 10/2006

hardware St Wi-Fi v praxi

ters. Je stedn velikosti a vtinou se napojuje na kabel HDF/LMR/CDR/200. Konektor RP-SMA kolk Protilehl koncovka k RP-SMA zdka. Pouv se na pigtails. Dle v lnku si ukeme nkter praktick scne tohoto spojen. Konektor RP-TNC kolk Pouvan v nkterch pstupovch bodech a Wi-Fi routers jako nap. ve znmm Linksys WRT54GL. M podobnou velikost jako RP-SMA. Konektor RP-TNC zdka Protilehl koncovka k RP-TNC kolk, kter se tak vtinou pouv na pigtails. PCI vetn bezdrtovho adaptru. Chceme-li zjistit ipset adaptru PCMCIA, musme v konzoli jako root vepsat pkaz cardctl ident. Postup v ppad adaptr USB je ponkud sloitj. Musme USB adaptr pipojit a spustit pkaz dmesg pro analzu vstupu a hledat daj odkazujc na n bezdrtov adaptr.

$ tar xvfz madwifi-0.9.2.tar.gz $ cd madwifi-0.9.2 $ make $ su root # make install # modprobe ath_pci # iwconfig

Instalace ovladae Madwifi pro Atheros

Pro nainstalovn adaptru s ipsetem Atheros potebujeme ovlada Madwifi, jen lze sthnout z URL uveden na konci lnku. Nejnovj verze nese oznaen 0.9.2. Ztrty tchto koncovek se pohybuj mezi 0,1 Minimln poadavky pro instalaci Mad 0,5 dB, jsou-li kvalitn. wifi jsou nsledujc: Jako pklady relnch scn pigtails meme zmnit: Zdrojov kd kernelu GNU/Linuxu. Akoli jej nkter distribuce nesou, pro ostat Wi-Fi antna s koncovkou N-zdka + Pign budeme muset sthnout binrn soubor tail 1,5 metru N-kolk, RP-SMA kolk + obsahujc zdrojov kd, nebo kernel v n bezdrtov adaptr PCi s koncovkou RP-SMA zdka. Wi-Fi antna s koncovkou N-zdka + Prodluovan kabel LMR400 6m N-kolk, Nzdka + Pigtail 1,5 m N-kolk, RP-TNC zdka + Router WRT54GL s koncovkou RP-TNC kolk. kolika minutch vlastnm silm upravit Podpora pro Wirelles Extensions - v souboru kernelu .config mus bt vepsna hodnota CONFIG_NET_RADIO=y. Podpora pro Sysctl ve stejnm souboru nastavme hodnotu CONFIG_SYSCTL=y. Podpora Crypto API ve stejnm souboru nastavme hodnotu CONFIG_CRYPTO=y. Stejn verze GCC, kter byla pouita pro kompilaci kernelu.

Instalace NdisWrapper pro pouit ipsetu nepodporovanho Linuxem NdisWrapper nm umouje nainstalovat n Wi-Fi adaptr i pes absenci vhodnch ovlada pro GNU/Linux, s pvodnmi ovladai Windows. Jak je to mon? Program toti upravuje ovladae vech vrobc pro Windows do generickho modulu kernelu Linuxu. Cel proces je velmi jednoduch nainstalovat NdisWrapper, zskat ovladae Windows pro dan adaptr (vtinou soust CD piloenho k adaptru), spustit NdisWrapper a oznait cestu k tmto ovladam. Poadavkem pro instalaci NdisWrapper je vlastnit zdrojov kd kernelu Linuxu, kter pouvme a stejnou verzi GCC pro jeho kompilaci. Take vstoupme na oficiln strnku NdisWrapper a program si sthneme. Nejnovj verze se skrv pod slem 1.21. Po sthnut jej rozbalme a provedeme generickou instalaci ve 4 krocch: rozbalit, konfigurovat, kompilovat a instalovat.

V druhm ppad dojde k pomrn velk ztrt signlu, protoe byl pouit dlouh kabel. Vdy se musme snait o minimln pouit kabelu. Po splnn vech tchto poadavk pokrau- $ tar xvfz ndiswrapper-1.21.tar.gz jeme. Rozbalme sthnut ovlada Madwifi, $ cd ndiswrapper-1.21 Software pro st Wi-Fi respektive jeho soubor tar.gz. $ ./configure Nejdve si musme ukzat, jak sprvn nainVstoupme do adrese, kam jsme jej roz- $ make stalovat ovladae bezdrtovch zazen. De- balili a zadme pkaz make (normln uiva- $ su root monstraci provedeme na pkladu dvou PCI tel), nebo make install (root). Pokud ve probh- # make install adaptr -jeden s ipsetem Atheros s ovladai lo v podku, ml by ji bt ovlada nainstapro Linux a druh s ipsetem Broadcom bez lovn. Te u jen zbv instalovat bezdrto- Na CD od naeho adaptru vyhledme povlada pro Linux instalovan pomoc pro- v adaptr a pkazem modprobe_ath_pci nahrt slun ovladae, pokud se zde nenachz, gramu Ndiswrapper. modul ovladae. Jestli adaptr funguje zjistme sthneme je z oficilnho webu adaptru, nepkazem iwconfig. Pokud se dozvme, e p- bo pmo ze strnky projektu NdisWrapper. Instalace ovlada kaz neexistuje, nainstalujeme program wirelesseknme, e mme PCI adaptr s ipsePokud si nejsme jisti jak ipset obsahuje n tools, o kterm jet padne zmnka v odstav- tem Broadcom, tzn. napklad LinksysWMPbezdrtov adaptr, nsledujc odkaz nm to ci o instalaci aplikac. Zde je kompletn sez- 54GL. Soubory, jen musme najt se jmenuj pome zjistit: http://linux-wless.passys.nl. Na nam pkaz pro instalaci ovladae Madwifi: bcmxxx.inf a bcmxxx.sys. Po jejich spn lokatto strnce meme provst vyhledvn podle znaky adaptru, typu (PCI, PCMCIA atd.) Tabulka 1. Pklady pouit pkazu iwconfig nebo ipsetu. Kdy chceme napklad znt typ Pkaz Funkce ipsetu adaptru D-Link DWL-G520, vybereme iwconfig ath0 mode Managed Md Managed je infrastrukturnm mdem. Pidru ns k pstupovmu poloku D-link ve vysouvacm menu a obra- essid any bodu s nejsilnjm signlem, jeliko nijak nespecifikujeme ESSID. tem zskme cenn informace o ipsetu, poteiwconfig ath0 mode Managed essid Pipoj ns k pstupovmu body s essid LinuxWiFi chrnnm WEP bnm ovladai, podpory ze strany Linuxu neLinuxWiFi key s:decimln_kl a s heslem decimln_kl bo si meme pest koment ohledn daniwconfig ath0 mode ad-hoc essid Umon nm pipojen dalch zazen (zadnm stejnho pkazu na ho adaptru. Pruebas vech tchto zazench) bez nutnosti existence pstupovho bodu. V ppad adaptr PCI a MiniPCI sta iwconfig ath0 mode monitor Tmto pkazem pepneme kartu do mdu monitor, a tak zapone v konzoli zadat pkaz lspci vv jako root, sledovn vech dat proudcch vzduchem v naem dosahu. a tm obdrme informace o vech zazench

www.lpmagazine.org

63

hardware St Wi-Fi v praxi

lizaci je ulome na pevn disk. Te pouze spunetmask <maska podst > broadcast stme NdisWrapper jako root a udme mu ces<adresa broadcast> tu k souboru bcmxxx.inf. Toho doclme pkaroute <add|del> default gw <gateway zem: >
# ndiswrapper -i /cesta k adresi s ovladai /bcmxxx.inf

Pro adaptr s ipsetem Atheros:

source=madwifi_g,ath0,atheros

Nebyla-li ohlena dn chyba, ml by ji bt ovlada aktivn, co meme zjistit zadnm:

# ndiswrapper l

Pokud se objev hlka bcmxxx present, mme vyhrno. Tmto mme n bezdrtov adaptr pipraven k prci i bez pvodnch ovlada pro Linux. Zbv nm ji jen nahrt modul ndiswrapper, co provedeme takto:
# modprobe ndiswrapper

Po nastaven vech potebnch poloek jej V<> jsou umstny povinn parametry spustme pkazem kismet. a v [ ] parametry voliteln, pokud je jich poteba. Bezpenost v stch Wi-Fi St Wi-Fi, vyuvajc jako mdium pro peKismet: Softwarov aplikace pro detekci nos dat vzduch, jsou pstupn vem, kte se Wi-Fi st v naem okol nachzej v dosahu signlu a maj pota vyV tomto odstavci se zamme na tuto excelent- baven bezdrtovm adaptrem. Vichni tito n aplikaci urenou k monitoringu Wi-Fi st se mohou k na bezdrtov sti bez problv naem okol. Kismet je detektor st, sniffer mu pipojit. Aby tomu bylo zabrnno, byly balk a systm detekce vetelc v bezdrto- vytvoeny bezpenostn protokoly, kter na vch stch zrove, akoli ns momentln za- s ochrn ped zvdavci. jm prvn uveden vlastnost. Podporuje vechny bezdrtov adaptry, jen mohou bet Protokol WEP v mdu monitor. Jedn se o prvn protokol, kter se pouval pro Pouv pasivn systm rastrovn, tzn. ochranu st Wi-Fi. Nabz ifrovn na druhm detekuje Wi-Fi st bez nutnosti odesln ba- stupni OSI ve spojov vrstv, pesnji v MAC. WEP pouv tajn kl sdlen uivateli Wi-Fi st a pstupov bod. Tento kl je zakdovn v algoritmu RC4 a pouv 64 a 128 bitov ifry. Zsadnm problmem WEP je ovem fakt, e byl rozifrovn, co z nj dnes dl naprosto nepouiteln bezpenostn systm. Z kterhokoliv potae s bezdrtovm adaptrem a ipsetem Atheros, nebo Prism jej lze za pomoci potebnch nstroj a zkladnch znalost o Linuxu za nkolik minut pekonat.

Jestli je n adaptr v provozu zjistme pkazem iwconfig. Pokud chceme, aby se NdisWrapper automaticky spoutl po startu systmu zadme pkaz:

lk, na rozdl od jeho protjku ve Windows, programu NetStumbler. Provedeme tedy instalaci Kismet. Za tm elem navtvme jeho webovou strnku (viz odkaz na konci lnku) a sthneme nejnovj stabiln verzi s oznaenm 2006-04-R1. # ndiswrapper m Po dokonen stahovn jej rozbalme a provedeme generickou instalaci, jak u jsme A je to! Te u se meme tit z pouvn zvykl. naeho bezdrtovho adaptru i v Linuxu.;-). Pro vechny ppady si postup generick instalace uveme:

Konfigurace Wi-Fi st na stran klienta

Bezdrtov adaptr u spn b, take nyn meme pistoupit k jeho nastaven pro pipojen k sti. Akoli maj nkter distribuce zabudovny programy pro konfiguraci Wi-Fi st, my radji pouijeme program Wireless-Tools, pesnji aplikaci iwconfig, kter se spout z konzoly. Informace nutn pro pihlen do st jsou: interface, ESSID, md (managed, monitor, ad-hoc) a voliteln kl. K pipojen samozejm potebujeme tak Adresu IP pro bezdrtov adaptr, Adresu IP vchoz brny a Masku podst tato data se daj nastavit run, nebo automaticky. Run nastaven provedeme pomoc program ifconfig a route (jsou ptomny ve vech distribucch Linuxu), kter nm IP adresu pidl. Automatickou konfiguraci lze uskutenit prostednictvm DHCP. Formt tchto pkaz je:
wconfig <interface> mode <managed|monitor|ad-hoc> essid <ESSID de la red> [key] [hexadecimln kl] [s:decimln kl] ifconfig <interface> <adresa IP >

$ tar xvfz kismet-2006-04-R1.tar.gz $ cd kismet-2006-04-R1 $ ./configure $ make $ su root # make install

Konfigurace pstupovho bodu pro protokol WEP

Pokud i pes to chceme vsadit na ochranu systmem WEP, musme ze veho nejdve nastavit pstupov bod. Kad pstupov bod pouv svj vlastn zpsob nastaven WEP, ale v dsledku mezi nimi nejsou dn vt rozdly. Vtinou po ns bude poadovat tato data: Enkryptace WEP: 64 bit nebo 128 bit. Zvolme 128 bit, abychom nevtanm hostm trochu znepjemnili prci. Kl penosu (1,2,3,4): tajn kl chrnc na s Passphrase: na zklad Passphrase se vygeneruje kl, kter pouvme.

Hotovo. Nyn musme editovat konfiguran soubor a zadat n adaptr. Oteveme soubor /etc/kismet jako root a najdeme zmniteln source. Tady vlome typ karty, kterou pouvme, podle Capture Source, kter se na- chz v souboru README. Formt bude takov:
source=Capture_Source,Interface,Poad ovanJmno

Po kompletaci tchto dat se tlatkem Generovat vygeneruje nastaven kl. Funkce Pidl IP adresu192.168.0.50, masku podst255.255.255.0 a adresu IP broadcast 192.168.0.255 interface ath0. Pidl pedem uren Gateway, co je IP adresa 192.168.0.1.

Tabulka 2. Pklady pkaz ifconfig a route Pkaz ifconfig ath0 192.168.0.50 netmask 255.255.255.0 broadcast 192.168.0.255 route add default gw 192.168.0.1

64

jen 10/2006

hardware St Wi-Fi v praxi

Tento kl bude pi nastaven 64 bit ob- Tabulka 3. Ovladae sahovat 10 hexadecimlnch cifer, pi 128 bit Ovlada potom 26 hexadecimlnch cifer. hostap

ipset/Adaptr Intersil Prism2/2.5/3 Hermes-I/Hermes-II Atheros a podporovan pro MadWifi Atmel AT65C5XXx (USB, PCMCIA) Linux Wireless Extensions (generick) NdisWrapper Broadcom wl.o Intel IPW2100/2200 wpa_supplicant a st Ethernet Podpora BSD 802.11 (Atheros, etc) Ovlada Windows NDIS musme vyplnit pslun k naemu zazen, v tabulce 3 vidme vechny podporovan. Parametr interface nahradme takt nam vlastnm.
# wpa_supplicant -i ath0 -c /etc/wpa_ supplicant.conf -D madwifi

Nastaven klient pro protokol WEP

Zbv pouze nastavit klienty, v Linuxu sta zadat pkaz iwconfig <interface> essid <ESSID> key <hexadecimln kl >, nebo iwconfig <interface> essid <ESSID> key <s:decimln kl > tak, jak bylo popsno v bod 2, odstavce Software pro st Wi-Fi.

hermes madwifi atmel wext ndiswrapper broadcom ipw wired bsd ndis

Protokol WPA
WPA byl vyvinut, aby nahradil WEP a vyeil vechny jeho nedostatky. Oproti WEP pouv dynamick kle mnc se podle pouitho systmu. Tak pidlovn kl je na rozdl od WEP automatick (ve WEP manuln). Protokol WPA nm nabz dva typy zabezpeen:

wpa-supplicant. Minimln nroky pro instalaci wpa-supplicant jsou: Wireless-Tools, Kernel-header naeho aktulnho kernelu, knihovna lib6dev, balek sharutils a samozejm n adaptr v provozu. Zanme s instalac. Jako vdy nejS externm serverem, vtinou pstupov dve zamme na strnky vrobce programu server RADIUS, a bez serveru (WPA-PSK). I kdy je WPA se serverem RADIUS bezpenj ne WPA-PSK (WPA-Pre-Shared-Key) jeho nroky a nklady jsou mnohem vy, jeliko potebujeme zazen pracujc 24 hodin v kuse. WPA-PSK, vyuvajc pouze pstupov bod, je proto daleko dostupnj, a tak se nyn budeme zabvat prv jm. WPA-PSK zahrnuje protokol TKIP, kter je poven dynamickou zmnou kl podle pouitho sytmu. Avak nen vechno zlato, co se tpyt a i WPA-PSK m sv slabiny. a sthneme nejnovj stabiln verzi (ze srpna 2006 s oznaenm 0.4.9). Po dokonen stahovn program rozbalme a instalujeme. V tomto ppad se nejedn o generickou instalaci, ale program kompilujeme a pekoprujeme binrn soubory do sloky /usr/local/bin. Zde je schma pkaz:
$ tar xvfz wpa_supplicant-0.4.9.tar.gz $ cd wpa_supplicant-0.4.9 $ make $ su root # cp wpa_cli wpa_supplicant /usr/ local/bin

Pokud vlastnme kartu s ipsetem Atheros a instalovanm ovladaem Madwifi spoutc pkaz bude:
# wpa_supplicant -i ath0 -c /etc/wpa_ supplicant.conf -D madwifi

Nen sice jako jeho pedchdce rozifrovn, nicmn pi nastaven kle o velikosti men ne 20 znak a vyskytujcho se v njakm slovnku je mono tento kl zjistit v nkolika vteinch

Instalace je tmto hotova. Nyn vytvome konfiguran soubor, do kterho budou smovat data z na st. Tento soubor je stejn pro vechny ipsety. Pomoc naeho oblbenho textovho editoru tedy vytvome soubor /etc/wpa_ Nastaven pstupovho bodu supplicant. conf s uivatelem root. Jeho obsah pro WPA-PSK bude shodn s ne uvedenm s tm, e zmnStejn jako v ppad WEP nejprve nastavme me tun vytitn poloky za ty, kter odpovpstupov bod a a pot klienty. daj na Wi-Fi sti: Budou po ns vyadovna tato data: Algoritmus WPA: TKIP ssid="N_ESSID" Sdlen kl WPA: kl dle na volby proto=WPA Doba aktualizace kle: doba, za kterou se key_mgmt=WPA-PSK kl aktualizuje, v sekundch. pairwise=TKIP
group=TKIP Network={

Tmto se pipojme a autentizujeme do Wi-Fi st, kterou mme nastavenou v konfiguranm souboru /etc/wpa_supplicant.conf. Zbv nm akort nastavit IP adresu a IP adresu vchoz brny, co provedeme tak, jak bylo popsno v odstavci Konfigurace Wi-Fi st v klientovi. A sem se dobral tento lnek o Wi-Fi sch, pokud si jet budeme chtt rozit znalosti o tomto bezesporu zajmavm tmatu, meme podat o pomoc naeho ptele Googlu, kter nm jist d odpovdi na vechny nae otzky.

Na Internetu
Madwifi http://madwifi.org Linux-wlan-ng http://www.linux-wlan.com/linux-wlan HostAP http://hostap.epitest.fi Prism54 http://prism54.org Orinoco_cs http://www.hpl.hp.com/personal/Jean_ Tourrilhes/Linux/Orinoco.html HermesAP http://hunz.org/hermesap.html

Na obrzku 7 se meme podvat na konfi- psk=N_sdlen_kl_WPA guraci WPA-PSK neutrlnho WI-Fi router auth_alg=OPEN LinksysWRT54G. }

Nastaven klient pro protokol WPA

Nyn se musme pipojit a provst autentizaci Pro pouit WPA v Linuxu potebujeme bez do st Wi-Fi. Uinme tak pomoc wpa_supdrtov adaptr podporujc WPA a program plicant, log in jako root. Poloku Ovlada

www.lpmagazine.org

65