| Kapitola 34. Bezdrátová komunikace | ||
|---|---|---|
 | Část 5. Mobilita |  |
| Kapitola 34. Bezdrátová komunikace | ||
|---|---|---|
| | Část 5. Mobilita | |
Abstrakt
V linuxovém systému si můžete zvolit, jakým způsobem bude váš notebook komunikovat s ostatními počítači, mobilem nebo periferními zařízeními. Pro připojení počítače do sítě nejspíš zvolíte WLAN (Wireless LAN). Bluetooth slouží nejčastěji k připojení jednotlivých periferií (myš, klávesnice), mobilů, PDA a propojení počítačů. IrDA je nejčastěji používána při komunikaci s PDA nebo mobilním telefonem. V této kapitole najdete informace o základním nastavení všech tří možností.
Bezdrátové sítě jsou významnou součástí mobilní výpočetní techniky. V současné době má velká část notebooků integrovanou WLAN kartu. Standard 802.11 bezdrátové komunikace WLAN karet byl připraven organizací IEEE. Původně umožňovat maximální rychlost 2 Mb/s. Prošel však řadou změn, které umožnily rychlost zvýšit. Tyto změny definují podrobnosti jako modulaci, přenosový výstup a rychlosti:
Tabulka 34.1. Přehled různých WLAN standardnů
Jméno | Pásmo (GHz) | Max. přenosová rychlost (Mb/s) | Poznámka |
|---|---|---|---|
802.11 | 2.4 | 2 | Zastaralý |
802.11b | 2.4 | 11 | nejrozšířenější |
802.11a | 5 | 54 | Méně obvyklý |
802.11g | 2.4 | 54 | Zpětně kompatibilní s 11b |
Dostupné jsou také proprietární variace 802.11b např. od společnosti Texas Instruments s maximální přenosovou rychlostí 22 Mb/s (standard někdy označovaný jako 802.11b+). Rozšíření těchto karet však není velké.
Karty 802.11 nejsou systémem SUSE Linux podporovány. Podporována je ale většina karet používajících protokoly 802.11a, 802.11b a 802.11g. Nově karty obvykle podporují standard 802.11g, ale dostupné jsou také karty s podporou 802.11b. Podporovány jsou karty obsahující následující čipové sady:
Aironet 4500, 4800
Atheros 5210, 5211, 5212
Atmel at76c502, at76c503, at76c504, at76c506
Intel PRO/Wireless 2100, 2200BG, 2915ABG
Intersil Prism2/2.5/3
Intersil PrismGT
Lucent/Agere Hermes
Ralink RT2400, RT2500
Texas Instruments ACX100, ACX111
ZyDAS zd1201
Podporována je také řada již nevyráběných starších karet. Vyčerpávající seznam WLAN karet a čipových sad je dostupný na stránce AbsoluteValue Systems: http://www.linux-wlan.org/docs/wlan_adapters.html.gz. Seznam různých WLAN čipových sad najdete na stránce http://wiki.uni-konstanz.de/wiki/bin/view/Wireless/ListeChipsatz.
Některé karty vyžadují při zavádění ovladače nahrání obrazu s firmwarem. To je případ karet
Intel PRO/Wireless 2100 (Centrino),
Intersil PrismGT,
Atmel a ACX100.
Firmware lze snadno doinstalovat pomocí YaST online updatu.
Více informací o této problematice najdete v souboru
/usr/share/doc/packages/wireless-tools/README.firmware.
Tato část popisuje základní aspekty bezdrátového síťování, operační režimy a způsoby ověřování a šifrování.
Bezdrátové sítě lze označit jako spravované (managed) nebo ad-hoc sítě. Spravované sítě mají kontrolní bod označovaný obvykle jako přístupový bod. V tomto režimu (také označovaném jako infrastructure), jsou všechny stanice připojené přes přístupový bod, který zároveň slouží jako připojení k Ethernetu. Ad-hoc sítě žádný přístupový bod nemají. jednotlivé stanice komunikují přímo mezi sebou. Protože je v ad-hoc sítích výrazně omezený rozsah vysílání a počet stanic, je přístupový bod vhodnějším řešení. Jako přístupový bod lze použít naprostou většinu WLAN karet.
Protože je bezdrátovou síť snadnější odposlouchávat a kompromitovat než síť klasickou, řada standardů obsahuje ověřovací a šifrovací metody. V původní verzi standardu IEEE 802.11 jsou popsány pod termínem WEP. WEP však nebyl dostatečně bezpečný (viz. 34.1.5.2 – „Bezpečnost“) a tak WLAN výrobci(sdružení do skupiny známé jako Wi-Fi Alliance) definovali nové rozšíření WPA, které mělo odstranit slabiny WEP. Pozdější standard IEEE 802.11i (také nazývaný WPA2, protože WPA je založeno na 802.11i) obsahoval nejen WPA, ale také řadu dalších ověřovacích a šifrovacích metod.
Aby bylo zajištěno, že dojde pouze k ověřeným připojením, obsahují spravované sítě několik ověřovacích mechanizmů:
Otevřený (anglicky open) systém nevyžaduje ověření. Do sítě se může připojit každá stanice, ale může být použito WEP šifrování (viz. 34.1.2.3 – „Šifrování“).
Při této proceduře je používán pro ověření WEP klíč. Tento postup však není doporučován, protože je poměrně náchylný na útoky zvenčí. Vše, co potencionální útočník potřebuje k úspěšnému průniku, je naslouchat komunikaci. Během ověřovacího procesu si obě strany vyměňují stejné informace. Jednou v šifrované a jednou v nešifrované formě. Tak je poměrně jednoduché s pomocí příslušných nástrojů rekonstruovat použitý klíč. Vzhledem k použití klíče pro ověřování i šifrování není tato metoda zvýšení bezpečnosti sítě. Stanice se správným WEP klíčem se může přihlásit do sítě a šifrovat a dešifrovat provoz. Stanice bez klíče nemůže dešifrovat příchozí pakety ani komunikovat.
WPA-PSK (PSK je zkratka z Pre-Shared Key) pracuje podobně jako sdílený klíč. Stanice i přístupový bod používají jeden klíč. Klíč má 256 bitů a obvykle je zadáván jako heslo. tento systém nepotřebuje komplexní správu klíčů jako WPA-EAP a je vhodný pro běžné domácí používání. Proto se někdy o WPA-PSK mluví jako o WPA home nebo-li domácím WPA.
WPA-EAP ve skutečnosti není ověřovací systém ale protokol transportu ověřovacích informací. WPA-EAP je používán v podnikovém prostředí. V domácím prostředí je používán zřídka. Z toho důvodu se o WPA-EAP mluví jako o WPA Enterprise nebo-li podnikovém WPA.
WPA-EAP vyžaduje k ověřování uživatelů Radius server. EAP pak nabízí tři různé způsoby připojení a ověření k tomuto serveru: TLS (Transport Layer Security), TTLS (Tunneled Transport Layer Security), a PEAP (Protected Extensible Authentication Protocol). Jejich princip je následující:
TLS ověřování je založeno na výměně certifikátů mezi klientem a serverem. TSL ověřování vyžaduje funkční správu certifikátů v síti a jen jen zřídka k vidění v malých domácích sítích.
TTLS a PEAP jsou dvouúrovňové protokoly. V první úrovni je navázáno bezpečné připojení a v druhé dochází k výměněn ověřovacích dat. Tento způsob ověřování je na rozdíl od TLS jen minimálně zatěžován potřebou správy certifikátů.
Existuje řada šifrovacích metod, které se používají k zamezení čtení datových paketů neautorizovanými osobami a přístupu do sítě. Nejdůležitější jsou tyto:
Tento standard používá šifrovací mechanizmus RC4 původně s délkou klíče 40 bitů, později s 104 bity. Zda je délka deklarována jako 64 bitů nebo 128 bitů často závisí na tom, zda je zahrnut také 24 bitový inicializační vektor. Tento standard má řadu slabin a klíče mohou být cílem případného útoku. Přesto je WEP vždy lepší než žádné šifrování.
Tento protokol správy klíčů definovaný v standardu WEP používá stejný šifrovací algoritmus jako WEP, ale neobsahuje jeho chyby. Nový klíč je generován pro každý datový paket, což výrazně snižuje pravděpodobnost úspěšného útoku. TKIP se používá současně s WPA-PSK.
CCMP popisuje správu klíčů. Obvykle je používán současně s WPA-EAP, ale lze jej používat také s WPA-PSK. Šifrování se řídí podle AES a je silnější než RC4 nebo WEP standard.
Bezdrátovou síťovou kartu nastavíte pomocí programu YaST v nabídce +. V části , nastavte typ zařízení na a klikněte na tlačítko .
V dialogu na obr. 34.1 – „YaST: nastavení bezdrátové síťové karty“ provedete základní nastavení:
Stanici lze zařadit do sítě ve třech různých režimech. Zvolený režim je závislý na typu sítě: (peer-to-peer bez přístupového bodu), (spravovaná síť s přístupovým bodem) nebo (karta je používána jako přístupový bod).
Aby mohly stanice v jedné síti spolu komunikovat, musí používat stejné ESSID. Pokud žádné nezvolí, karta automaticky nastaví některé z dostupných, to však nemusí být to, které chcete používat.
Zvolte vhodný režim ověřování pro svou síť: , , nebo . Pokud zvolíte , musíte nastavit jméno sítě.
Stisknutím tohoto tlačítka otevřete dialog expertního nastavení, ve kterém můžete provést podrobnější nastavení. Popis tohoto dialogu najdete níže.
Po provedení základního nastavení je síť připravená pro připojení do WLAN.
![[Important]](admon/important.png) | Bezpečnost v bezdrátových sítích |
|---|---|
Ujistěte se, že svou síť chráníte některých ověřovacím a šifrovacím mechanizmem. Nešifrované WLAN připojení umožňuje třetím stranám zachytit vaše data. I slabá ochrana (WEP) je lepší než žádná. Více najdete v částech 34.1.2.3 – „Šifrování“ a 34.1.5.2 – „Bezpečnost“. | |
V závislosti na zvoleném režimu ověřování umožňuje YaST nastavení doladit. U režimu nelze nic dalšího nastavit, jedná se o nešifrovaný provoz bez ověřování.
Nastavte typ vstupu klíče. Na výběr máte z , nebo . Kliknutím na můžete nastavit až čtyři klíče. Délka klíče může být nebo . Výchozí nastavení je . Jeden ze čtyř klíčů v seznamu můžete označit a kliknutím na tlačítko nastavit jako výchozí. Pokud žádný klíč jako výchozí nenastavíte, bude jako výchozí použit první vložený klíč v seznamu. Pokud výchozí klíč smažete, musíte jako výchozí označit jiný klíč. Kliknutím na tlačítko lze měnit již existující klíče nebo vytvářet nové. V dialogu úpravy budete mít k dispozici všechny typy zadání klíče (, nebo ). Při výběru zadejte slovo nebo řetězec znaků, ze kterých se má klíč vytvořit. U je vyžadováno zadání pěti znaků pro 64 bitový klíč, 13 znaků pro 64 bitový nebo 26 znaků pro 128 bitový. U zadejte deset znaků pro 64 bitový klíč nebo 26 pro 128 bitový.
Pro WPA-PSK klíč zvolte vstupní metodu nebo . U režimu zadejte 8 až 63 znaků, u režimu 64 znaků.
Zadejte své přihlašovací údaje. U TLS zadejte a . TTLS
a PEAP vyžadují a . je volitelný. YaST hledá certifikáty v adresáři
/etc/cert, uložte proto své certifikáty zde a omezte přístupová práva k souborům na
0600 (čtení a zápis pouze pro vlastníka).
Základní nastavení opustíte kliknutím na . Volby expertního nastavení jsou následující:
Nastavení kanálu WLAN karty je nutné pouze v režimech a . Ve režimu karta dostupné kanály automaticky vyhledá. V Master režimu nastavte, který kanál bude nabízet služby přístupového bodu. Výchozí nastavení je .
Podle výkonnosti vaší sítě můžete nastavit přenosovou rychlost mezi body. Ve výchozím nastavení se systém pokusí použít nejvyšší možnou rychlost. Některé WLAn karty změnu přenosové rychlosti nepodporují.
V prostředí s více přístupovými body lze jeden zvolit zadáním MAC adresy.
Pokud jste na cestách, je zvýšíte výdrž baterií použitím správy napájení. Více informací o správě napájení najdete v kapitole 33 – „Správa napájení“.
hostap (balíček hostap) je používán k nastavení WLAN karty jako přístupového bodu. Více informací o tomto programu najdete na domovské stránce jeho projektu (http://hostap.epitest.fi/).
kismet (balíček kismet) je nástroj pro analýzu WLAN provozu. Tento nástroj vám může pomoci také při odhalování pokusů o průnik do sítě. Více informací najdete na stránce
http://www.kismetwireless.net/ a v manuálové stránce.
Při nastavování bezdrátové sítě se vám může hodit některý z následujících tipů:
Výkon a rychlost bezdrátové sítě závisí na čistotě signálu. překážky jako např. zdi výrazně snižují kvalitu signálu. Se slábnutím signálu se snižuje přenosová rychlost. Sílu signálu můžete překontrolovat pomocí nástroje iwconfig na příkazové řádce nebo pomocí kwifimanager v prostředí KDE. Pokud máte s kvalitou signálu problémy, proveďte nastavení na jiné zařízení nebo se pokuste nasměrovat anténu vašeho přístupového bodu. Přídavné antény lze připojit k řadě PCMCIA WLAN karet. Přenosová rychlost specifikovaná výrobcem (např. 54 Mb/s) je maximální teoretická hodnota. V praxi obvykle získáte něco přes polovinu této hodnoty.
Pokud nastavujete bezdrátovou síť, uvědomte si, že každý v dosahu vysílání může, pokud nepoužíváte šifrování, bez problémů zachytit váš signál. Všechny karty a přístupové body podporují WEP šifrování. Tato metoda ochrany však není naprosto bezpečná a obsahuje možná slabá místa připravená pro potencionální útočníky. WEP je obvykle dostatečná metoda ochrany pro běžné domácí používání. Mnohem bezpečnější je metoda WPA-PSK, která však není dostupná na přístupových bodech a routerech. Na některých zařízeních jí lze použít po updatu firmwaru, nicméně řada zařízení WPA v Linuxu vůbec nepodporuje. Během psaní tohoto článku bylo WPA možné používat pouze s kartami založenými na čipech Atheros nebo Prism2/2.5/3. WPA pracovalo pouze s ovladačem hostap (viz. 34.1.6.2 – „Problémy s kartami Prism2“). Pokud není WPA k dispozici, je WEP lepší než žádné šifrování. V podnikové sféře s vysokými nároky na bezpečnost by bezdrátová síť měla používat WPA.
Pokud WLAN karta neodpovídá, překontrolujte, zda máte potřebný firmware. Více o této problematice najdete v části 34.1.1 – „Hardware“.
Moderní notebooky mívají síťovou i wlan kartu. Pokud obě zařízení nastavíte na DHCP (automatické přiřazení adresy), může dojít k problémům při přiřazování výchozí brány a resolvování jmen. Problém s resolvováním odhalíte snadno tak, že sice můžete poslat ping na adresu routeru, ale nemůžete brouzdat po internetu.
Pro zařízení s čipovou sadou Prism2 je k dispozici několik ovladačů. Kombinace různých ovladačů a různých karet vedou k různé kvalitě příjmu. WPA je dostupné pouze s ovladačem hostap. Pokud vaše karta nepracuje správně nebo chcete používat WPA, přečtěte si
/usr/share/doc/packages/wireless-tools/README.prism2.
Podpora WPA byla poprvé implementována v systému SUSE Linux. Protože je linuxová podpora WPA stále ve vývoji, podporuje YaST pouze nastavení WPA-PSK. S řadou karet WPA stále nepracuje. Některé karty potřebují pro podporu WPA update firmwaru. Pokud chcete WPA používat, prostudujte si
/usr/share/doc/packages/wireless-tools/README.wpa.
Řadu informací o bezdrátových sítích najdete na stránce Jeana Tourrilhes, který vytvořil linuxové nástroje nástroje pro práci s bezdrátovými sítěmi (Wireless Tools), na adrese http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.html.
| |  | |
| 33.6. Modul správy napájení programu YaST |  | 34.2. Bluetooth |
