很吸引人的是在BSD、特别是OpenBSD上你可以说不需要在“怎样配置无线网络”方面伤脑筋, 因为实际上不用你费神。 让无线网正常工作与有线网络差别不大, 仅有一些小地方需要注意,因为你面对的是无线电波而非网线。 在讨论实际应用步骤以前,我们会花一些时间来了解一下有关这方面的信息。
一旦我们介绍完如何让无线网络生效和运行以后, 我们会转而告诉大家一下怎样让你的无线网络更有趣味以及更牢靠。
一些IEEE 802.11的背景知识
设置任何网络接口原则上都分成两个步骤: 首先, 建立一个连接, 然后就是为TCP/IP通讯配置这个接口。
在使用有线网络时, 建立以太类型的接口的连接通常包括两个动作,插入cable以及查看连接指示器的小灯是否亮了。不过, 也有一些接口需要额外的步骤。通过拨号连接的网络, 就需要一些电话的相关操作步骤, 例如拨打一个号码以获取电信信号。
在IEEE 802.11类型的无线网络中, 获取电信信号包含不少最底层的步骤。 首先, 你需要在一个指派的频率范围内选择一个合适的通道。一旦你找到一个信号, 你需要设置一系列网络连接层的认证参数。最后, 如果你想连接的无线站点使用一些连接层的加密形式, 你需要设置正确的类型和适当的额外参数的协商形式。
幸运的是在BSD系统中所有无线网络设备的配置可以通过ifconfig命令加上参数完成, 就像你设置任何其它的网络接口一样。详见说明1
还是因为我们在这里介绍的是无线网络, 我们将从这个新视角审视一下网络堆栈中不同层的安全问题。
广泛应用的简单的IEEE 802.11安全机制基本上有三种, 我们将在后面的几节里简要介绍一下它们。
说明:要更深入地了解有关无线网络安全的方面的知识,请参阅,例如, Kjell Jørgen Hole教授的文章及其网站上的幻灯片(http://www.kjhole.com 和 http://www.kjhole.com/Standards/WiFi/WiFiDownloads.html)。 要想获得最新的Wi-Fi开发领域的进展,强烈推荐您请参阅Wi-Fi网新闻站点 http://wifinetnews.com/archives/cat_security.html 和 http://www.drizzle.com/~aboba/IEEE中的“The Unofficial 802.11 Security Web Page”部分。(whoami提示:这个站点含有大量的PPT演示文档,内容很精彩,自然,需要您稍微有一些英语的功底。如果你有强烈的BSD情节,也就是想在BSD里看这些ppt,需要Openoffice里面的Presentation。)
说明1
在有些系统中, 旧的特定设备程序例如wicontrol和ancontrol还在用, 但是在绝大多数系统中它们已被弃用并由ifconfig取代。在OpenBSD里已经完全由ifconfig来实现了。
MAC地址过滤
我们在这里并非轻描淡写地说一下PF和MAC地址过滤。
很多现成客户级别的无线网络访问基站都提供MAC地址过滤, 但是这些产品与消费者普遍认知安全概念正好相反, 它们实际上并未提供更好的安全。这些产品之所以在市场上获得了巨大的成功仅仅是因为多数消费者并未意识到当前市场上的所有无线网络适配器的MAC地址都能修改。详见说明2
如果你确实想尝试MAC地址过滤, 你可以研究一下使用bridge(4)这样的措施以及OpenBSD里面brconfig(8)提供的MAC过滤特性。我们在下一章将介绍一下bridges和在包过滤时如何更有效的利用它们。
说明2
你可以通过用户手册查到相关内容,改变一个网络接口rum0的MAC地址的命令很简单:
# ifconfig rum0 lladdr 00:ba:ad:f0:0d:11
WEP
用无线电波取代有线传输导致的一个问题就是外部人员更容易捕获传输的数据。 802.11家族无线网络标准的设计人员看起来已经意识到了这个问题,随后他们研究出了一个解决的方案,后来应用此方案的产品就出现在市场上,这种加密方式被称为有线等效加密(Wired Equivalent Privacy), 或者简称为WEP。
不幸的是, WEP的设计者们并未阅读或注意到此领域最新的研究成果。所以, 他们推荐的这个所谓的连接层加密体系被讥讽为具有专业家庭作坊水准。 这也无怪乎WEP的首批产品面世几个月以后就被逆向工程并破解了。虽然任何人都可以免费下载WEP编码破解工具,并在几分钟就可以破解WEP加密,但由于各种各样的原因,WEP仍被支持并广泛应用。几乎市场上所有的IEEE 802.11设备至少都支持WEP加密, 而且提供MAC地址过滤的产品数量也很出人意料。
你应该知道仅以WEP加密保护的网络通讯仅比用明文方式的数据广播安全一点点。这里再次强调一下, WEP网络仅能阻挡那些太懒或太菜的攻击者。
OpenBSD的防火墙PF —— (二十四). 一些IEEE 802.11的背景知识WPA和正确地选择硬件
WPA
802.11的设计者们很快意识到WEP系统远不能应付破解, 所以他们又开发出一个改进和稍微广泛一些的解决方案,被称为Wi-Fi保护访问(Wi-Fi Protected Access), 或者WPA。
WPA看起来似乎好于WEP, 至少是在理论上是这样, 但是该规范被认为太复杂而难以广泛实施。此外, WPA招致的批评甚至超过了它的设计问题和程序漏洞。综合考虑已知的文件和硬件的访问问题,自由软件的支持的不定因素,如果你的环境里包含了WPA, 请仔细检查你的文件系统和驱动程序文档。
毫无疑问,你需要更安全的加密方式, 例如SSH或者SSL加密, 只有这样才能保障机密数据的安全。
正确地选择硬件
如何选择合适的硬件不见得一定是件令人畏惧的工作。在一个BSD系统内, 你仅需输入一个简单的
代码: 全选
$ apropos wireless
命令就可以列出所有该系统中与无线网络相关的用户手册。详说明3。
即使是一个刚安装的系统, 这条命令也会列出操作系统支持的所有无线网络驱动。 接下来的工作就是阅读该驱动的用户手册以及将你要选择的设备与系统内置支持或部分支持的设备进行比较。花点时间仔细想一下你的特殊要求。 如果仅为了测试, 低端的rum或者ural的USB dongles就可以用。稍后, 当你想设置一个永久的系统时, 你可能想看一下高端设备。那么你需要阅读一下附录B。
说明3
此外, 你还可以在Web上查找用户手册。你可以浏览 http://www.openbsd.org 和其它BSD的站点; 它们全提供基于关键词的用户手册搜索。
译者:
我把目前OpenBSD的支持的无线网卡或芯片组列一下吧:
代码: 全选
acx (4) - TI ACX100/ACX111 IEEE 802.11a/b/g wireless network device
an (4) - Aironet Communications 4500/4800 IEEE 802.11FH/b wireless network device
ath (4) - Atheros IEEE 802.11a/b/g wireless network device with GPIO
athn (4) - Atheros IEEE 802.11a/g/n wireless network device
atu (4) - Atmel AT76C50x USB IEEE 802.11b wireless network device
atw (4) - ADMtek ADM8211 IEEE 802.11b wireless network device
bwi (4) - Broadcom AirForce IEEE 802.11b/g wireless network device
cnw (4) - Xircom CreditCard Netwave wireless network device
ipw (4) - Intel PRO/Wireless 2100 IEEE 802.11b wireless network device
iwi (4) - Intel PRO/Wireless 2200BG/2225BG/2915ABG IEEE 802.11a/b/g wireless network device
iwn (4) - Intel WiFi Link 4965/5000/1000/6000 IEEE 802.11a/g/n wireless network devices
malo (4) - Marvell Libertas IEEE 802.11b/g wireless network device
otus (4) - Atheros USB IEEE 802.11a/g/n wireless network device
pgt (4) - Conexant/Intersil Prism GT Full-MAC IEEE 802.11a/b/g wireless network device
ral (4) - Ralink Technology IEEE 802.11a/g/n wireless network device
ray (4) - Raytheon Raylink/WebGear Aviator IEEE 802.11FH wireless network device
rtw (4) - Realtek RTL8180L IEEE 802.11b wireless network device
rum (4) - Ralink Technology USB IEEE 802.11a/b/g wireless network device
run (4) - Ralink Technology USB IEEE 802.11a/g/n wireless network device
uath (4) - Atheros USB IEEE 802.11a/b/g wireless network device
upgt (4) - Conexant/Intersil PrismGT SoftMAC USB IEEE 802.11b/g wireless network device
ural (4) - Ralink Technology USB IEEE 802.11b/g wireless network device
urtw (4) - Realtek RTL8187L/RTL8187B USB IEEE 802.11b/g wireless network device
wi (4) - WaveLAN/IEEE, PRISM 2-3, and Spectrum24 IEEE 802.11b wireless network device
wpi (4) - Intel PRO/Wireless 3945ABG IEEE 802.11a/b/g wireless network device
zyd (4) - ZyDAS ZD1211/ZD1211B USB IEEE 802.11b/g wireless network device