Jak si udělat bezdrátovou síť a jak ji zabezpečit

Transkript

1 Jak si udělat bezdrátovou síť a jak ji zabezpečit 1. Potřebný hardware S ohledem na stav (existence nebo naopak neexistence) vaší lokální sítě (dále jen LAN) je třeba nejprve určit, jaký aktivní síťový prvek budeme potřebovat - zda prostý Access Point (zkráceně AP; česky přístupový bod) nebo Router Obecně vzato, typická dnešní domácnost je připojena nějakým broadband (širokopásmovým) připojením, např. DSL, různé bezdráty nebo optickým vláknem. Pokud máte doma jen jedno PC a síťový kabel vede přímo z poskytovatelova zařízení (kterým může být např. wifi klient na půdě, optický převodník apod.), pak v takovém případě nemáte vlastní LAN síť a potřebujete router (který vám umožní připojit vícero PC, ať už drátově nebo bezdrátově). WIFI ROUTERY: Asus WL-520gC nebo TP-Link TL-WR542G (nebo TL-WR543G), přičemž Asus podporuje i alternativní a vysoce stabilní firmware DD-WRT (který poskytuje další rozšířené a sofistikované funkce a je zcela zdarma) AP: OvisLink WL-5460AP (stará dobrá "klasika" s možností změny firmware na alternativní), nebo TP-Link TL-WA501G Na závěr této kapitoly bych uvedl grafickou rekapitulaci předchozího: 2. Prvotní konfigurace nového zařízení v LAN 1

2 Zde se postup opět liší, podle toho, zda jste se vydali cestou routeru nebo AP. Předem všechny varuji před používáním různých "instalátorů", "průvodců" a "EZ-setupů" - jejich použití vede spíše ke zmatení a nefunkčnosti, než k jednoduchému a funkčnímu nastavení sítě. Prvotní konfigurace se vždy provádí pomocí "pevného" ethernetového připojení, nikdy pomocí wifi. Nejprve probereme Wifi Router, jehož nastavení bude jednodušší. 2.1 Wifi Router Router už ze své podstaty de facto vytváří samotnou LAN, jeho konfigurace tedy bude velmi přímočará. Prakticky postačuje správně nastavit WAN rozhraní, LAN síť funguje prakticky okamžitě po zapnutí, už z továrního nastavení. Pokud jste měli v PC nastavenou pevnou IP adresu, pečlivě si poznamenejte všechny údaje (tj. VŽDY pár IP adresa - hodnota, maska - hodnota, brána - hodnota, DNS servery - hodnoty), tak abyste byli vždy schopni rekonstruovat původní stav v případě potřeby. V některých případech některých poskytovatelů, je třeba použít tunelového připojení (L2TP, PPPoE) - v takových případech si poznačte/zjistěte všechny ostatní informace, tj. jméno/heslo, případně další informace. Následně přepněte rozhraní do režimu DHCP klienta (tj. nastavte "automatické získání adresy") a připojte počítač k routeru do jednoho z LAN portů. Linku od poskytovatele připojte do WAN portu a ještě jednou se ubezpečte, že se jedná o ethernet, a nikoliv telefonní linku - o tento vražedný pokus se zhusta pokoušejí uživatelé DSL linek, kteří při "velkém štěstí" mohou "brnknutím" malého konektoru o ethernetové kontakty "usmažit" WAN port routeru - v telefonním vedení je napětí 60V... Nyní se připojte prohlížečem internetu (Firefox, Opera, IE apod.) na výchozí IP adresu routeru, v drtivé většině to bude IP adresa (správnou adresu najdete na nálepce routeru, v manuálu nebo PDF dokumentu na CD, případně výpisem příkazu ipconfig, kde IP routeru je skryto pod adresou brány), některé routery používají adresu Pomocí webového průvodce nebo ručně nakonfigurujte WAN rozhraní podle původního nastavení Vašeho PC - v drtivé většině případů bude nastavení rovněž na "automaticky" z DHCP, někteří ISP poskytují pouze pevnou IP adresu, v takovém případě přepište informace, které jste si poznačili ze síťového adaptéru Vašeho PC. Konfiguraci uložte a router pro jistotu restartujte. Po restartu routeru byste měli být schopni přistupovat k internetu. Pokud tomu tak není, použijte následující články k tomu, abyste zjistili, kde se stala chyba: Tímto je základní konfigurace routeru dokončena, a Vy můžete přejít ke konfiguraci bezdrátové části, které se budeme věnovat v kapitole Konfigurace AP Konfigurace samostatného AP je v něčem složitější, v něčem zase jednodušší. Protože už vlastníte existující LAN síť, je potřeba nové AP zařadit do této stávající sítě. 2

3 Nové AP, má, stejně jako router, v drtivé většině případů přednastavenou IP adresu, která ovšem velmi často koliduje nebo zcela nesouhlasí s IP adresami používanými ve Vaší LAN. V takovém případě je potřeba nejprve nastavit správnou IP adresu. To provedeme tak, že z dokumentace zjistíme, jak je AP nastaveno z výroby. Pokud má integrovaný DHCP server, je to velmi jednoduché - připojíme se s počítačem síťovým kabelem napřímo k AP a necháme si přidělit IP adresu, v opačném případě je nutno IP adresu nastavit ručně na nějakou nekolidující z IP rozdahu ve kterém je i IP adresa AP. Nyní je třeba připojit se do webového rozhraní AP (např. Ovislink má IP adresu všech AP nastavenu na ), vypnout DHCP server a nastavit IP adresu AP na adresu z rozsahu naší LAN (např ), nebo nastavit IP adresu na automatické získání z DHCP serveru. Zde je třeba jisté opatrnosti. Je nutno vyhnout se dvěma fatálním situacím: možnosti, že v LAN jsou aktivní dva DHCP servery možnosti, že DHCP server v routeru přidělí jinému PC v síti stejnou IP adresu, jakou už má "natvrdo" nastaven AP První nebezpečí lze eliminovat vypnutím jednoho z DHCP serverů, ideální je ponechat DHCP server v routeru. Eliminace druhého nebezpečí už tak triviální není, je nutno zvolit jeden ze dvou scénářů: první, jednodušší na nastavení (zato horší na spravování) je nechat IP adresu pro AP přidělit DHCP serverem z routeru. Výhoda je, že i při změně sítě bude AP jednoduše dosažitelné, nevýhoda tkví v tom, že DHCP může (ale nemusí) APčku pokaždé přiřadit zcela jinou adresu, a tedy dosažení administračního rozhraní APčka v budoucnu nemusí být jednoduchou záležitostí. Z tohoto ohledu je více než vhodné, aby byla pro AP v routeru vytvořena tzv. DHCP rezervace, tedy napevno určená MAC adresa (opsaná z AP), která za každých okolností obdrží stejnou IP adresu. Druhá varianta počítá s faktem, že většina DHCP serverů přiděluje IP adresy ve vzestupném pořadí, tedy postupně přiděluje adresy.2,.3,.4 atd. - pak postačuje APčku určit IP adresu dostatečně vysoko (např. adresa ). Dvaapůltá varianta je, že některé routery neposkytují DHCP rozsah pro celý IP rozsah, ale pouze část (nebo lze tento rozsah určit v menu routeru, např. rozsah adres 100 až 254) - pak lze nastavit IP adresu "natvrdo" mimo tento rozsah relativně bezpečně. Tím máme dokončenu IP konfiguraci zařízení a budeme pokračovat kapitolou Konfigurace wifi rozhraní budeme se věnovat samotné konfiguraci wifi. Než se do toho pustíme, rád bych probral jednu zásadní otázku, a tou je bezpečnost. 3.1 Co je bezpečné a co je nebezpečné? žádná bezdrátová komunikace není a nemůže být stejně bezpečná jako komunikace "po kabelu". Tím důvodem je to, že k odposlechu bezdrátové komunikace vám stačí dvě věci: být v dosahu signálu a mít anténu a zařízení, které dokáže signál přijímat; 3

4 oproti tomu u "drátu" je potřeba fyzicky narušit datové vedení, což je např. v budově o dost zásadnější problém. V případě wifi je obojí bez problémů splnitelné a dosažitelné. A případný útočník se tak okamžitě ocitá za Vaším firewallem, ve Vaší LAN. Z tohoto důvodu je více než vhodné komunikaci v bezdrátové části Vaší LAN šifrovat. Důvody pro šifrování jsou dva: znemožnit útočníkovi odposlech komunikace (mj. hesla, hashe hesel, jakož i další důležité informace) znemožnit útočníkovi připojení do takové sítě. Během vývoje se u wifi sítí vyvinulo několik šifrovacích metod a standardů: WEP 64/128/256bitů - silné šifrování pomocí metody RC4 (běžnými prostředky "nerozlousknutelná"), nicméně díky chybě v návrhu protokolu (omezený počet tzv. inicializačních vektorů (IV)) je možno toto šifrování pomocí specifického útoku prolomit do několika minut, nezávisle na délce šifrovacího klíče WPA (Wireless (nebo Wifi) Protected Access) - v podstatě "opravený" WEP, použit je opět algoritmus RC4, nicméně chyba v IV je odstraněna, tudíž se jedná o bezpečné šifrování - dodnes není znám funkční útok s výjimkou útoku hrubou silou, respektive slovníkovým útokem. V poslední době se objevily modely přístrojů s "pre-wpa2" šifrováním, které místo RC4 používají AES, které je ještě řádově bezpečnější. Takové šifrování se označuje jako WPA-AES. Problém je v tom, že ne všechny operační systémy toto šifrování podporují, pak je na tahu výrobce bezdrátové karty. WPA2 - finální verze WPA s AES a ještě dalšími, pro domácí použití nevýznamnými vlastnostmi. Výše napsané platí bezezbytku i zde. Prosím berte na vědomí, že filtrování podle MAC adres a jiné "bezpečnostní" opatření, jako vypínání vysílání SSID nebo vypnutí DHCP útočníky opravdu nezastaví!! Jediným opravdu účinným opatřením proti útoku na bezdrátovou síť je WPA a vyšší! 3.2 Základní pravidla konfigurace a provozu Pro následný bezproblémový provoz Wifi sítě byste měli dodržet následující pravidla: síť dostatečně dobře zabezpečit zvolíme jméno sítě (SSID) - ideální jméno je takové, které nijak neukazuje, kdo síť provozuje a ani z něj nelze odhadnout heslo pro šifrování. najít si předem volný kanál, ideálně takový, který má kolem sebe (tedy z obou stran) ještě alespoň jeden kanál volný najít pro umístění antény co nejlepší umístění, které přesně pokrývá oblast, ve které budete chtít signál používat (např. v bytě je ideální umístění někde okolo geometrického středu bytu) 4

5 AP/router mít co nejblíže anténě, aby vedení VF signálu bylo co nejkratší výkon VF části zbytečně nezvyšujte, naopak, pokud máte dobrý signál všude kde potřebujete, je více než vhodné výkon snižovat 3.3 Nastavení wifi krok za krokem Nyní, po "teoretickém úvodu" nastavíme náš bezdrát: 1. připojíme se do webového rozhraní APčka/routeru 2. zvolíme konfiguraci WLAN 3. vyplníme SSID (u některých AP/routerů je mezi jednotlivými kroky nutné provádět restart) 4. zvolíme (menu) zabezpečení, zde zvolíme šifrování WPA-PSK (někde se označuje jako WPA-TKIP *) vysvětlení níže) 5. zapíšeme heslo pro šifrování. Heslo by mělo mít minimálně 8 znaků, mělo by obsahovat velká a malá písmena, číslice i interpunkční znaménka (znaky jako!?&%% apod.). Heslo by se nemělo nacházet v jakémkoli myslitelném slovníku, ideální je náhodný shluk znaků. Uvědomte si prosím, že toto heslo nebudete zadávat každý den, proto může být klidně dlouhé a velmi bezpečné, ale ze stejného důvodu si jej velmi dobře poznačte! 6. restartujeme AP/router 7. otestujeme pomocí počítače s wifi kartou spojení, zda se síť hlásí jako zabezpečená pomocí WPA a zda je se správným SSID (jménem) Pokud vše funguje, blahopřeji, máte bezpečnou bezdrátovou síť. *) WPA-PSK je režim šifrování, kdy heslo je "napevno" vloženo do všech komunikujících zařízení. Tento režim byl vymyšlen speciálně pro domácnosti, které nedisponují pokročilými autentikačními mechanismy jako je např. RADIUS server. WPA podporuje i autentikaci pomocí RADIUS serveru, tento způsob distrubuce šifrovacích klíčů je ovšem vázán na další síťovou infrastrukturu a v domácnostech se prakticky nepoužívá - má smysl jen u velkých sítí, kde by distribuce statického hesla byla velmi obtížná, nebo prakticky nemyslitelná. 4. Co byste měli čas od času kontrolovat? Dobrým zvykem je čas od času provádět následující činnosti: aktualizace firmware všech wifi zařízení (odstraňování případných chyb) aktualizace driverů a firmware všech klientských adaptérů (v PC, noteboocích, síťových wifi zařízeních) aktualizace OS (dneska minimálně WinXP SP2, lépe SP3, Vista SP1, Linux aktuální jádro a wireless-tools nebo WPA-supplicant, pokud je použit) sledovat, zda použité šifrování je ještě stále bezpečné, zda nebyl v mezičase vyvinut nový útok obcházející nasazené zabezpečení 5

6 projít si seznam počítačů a osob, které mají/znají aktuální heslo a případně provést změnu hesla Pár praktických rad a obrázků Na "vstupu" do routeru (tím je myšleno místo, které je určené pro připojení externí sítě - nejčastěji s přístupem k Internetu) se nachází standardní síťový konektor označený WAN (Wide Area Network). V našem případě se jedná o běžný konektor RJ45. Pokud máte k počítači "přivedený" Internet pomocí kabelu s tímto konektorem (ať již z ADSL či kabelového modemu, nebo přímo z počítačové zásuvky LAN Co musíte vědět: pro WiFi router je nezbytně nutné připojení k modemu nebo k sítí LAN s Internetem pomocí klasického "ethernetového" UTP kabelu s konektorem RJ-45. musíte zjistit parametry připojení k Internetu Náš plán na domácí bezdrátový zabezpečený Internet předpokládá několik konfiguračních kroků. V prvním kroku nastavíme router tak, aby se náš poskytovatel připojení domníval (a zejména jeho HW zařízení ), že k síti je připojený náš původní počítač. Router jej musí po správné konfiguraci věrně "napodobit" - jedině tak se vyhneme tápání a dotazům na technickou podporu poskytovatele připojení k Internetu. Co musíte vědět: abychom router mohli odpovídajícím způsobem nastavit, musíme předem znát parametry potřebné pro připojení k Internetu. 6

7 1. typ připojení První věcí, kterou bude chtít systém routeru vědět, je typ připojení k Internetu: PPPoE V poměrně nevelkém procentu případů to bude protokol PPPoE (Point-to-Point Protocol over Ethernet) určený pro tzv. vytáčené připojení. Jedná se o způsob připojení počítačů k Internetu pomocí širokopásmového připojení (DSL nebo kabelového připojení). Na rozdíl od standardních širokopásmových připojení vyžaduje připojení PPPoE zadání uživatelského jména a hesla. Pokud jste pro připojení k Internetu ve vašem počítači obdrželi jen přístupové jméno a heslo a připojení se před prvním použitím Internetu několik okamžiků "vytáčí", použijte volbu PPPoE. 7

8 Dynamic IP Zde je situace asi nejjednodušší. Pokud Vám bylo řečeno, že se o nic v nastavení počítače nemusíte starat, pak se jistě jedná o dynamické přidělování IP adresy. V síti, která vás připojuje k Internetu pak nejspíše existuje server DHCP, které potřebné parametry (IP adresu, výchozí bránu, servery DNS) všem počítačům v síti automaticky přiděluje. Poznámka: Dynamic IP je často zřízené tam, kde je Internet k dispozici zdarma... Poznámka: aby se do takové sítě nepřipojil každý "jouda" (pokud nemá právě tento zájem), bývá v mnoha případech přidělování IP adresy vázáno na unikátní číslo síťové karty, na tzv. MAC adresu. 8

9 Static IP Pokud jste pro připojení k Interentu dostali kartičku s řadou parametrů jako: IP adresu, výchozí bránu, masku podsítě a servery DNS, pak se jistě jedná o situaci, kdy tyto parametry musíte zadat do konfiguraci parametrů sítě "ručně". Router místo počítače Veškeré tyto způsoby připojení (+ několik dalších), včetně možného napodobení potřebné MAC adresy, dokáže router TP-LINK TL-WR542G provést místo původního PC. Vy jen musíte detailně znát síťovou konfiguraci vašeho PC a nastavit ji v routeru... Co byste měli vědět: jakmile se rozhodnete použít router, stane se právě on ve vaši nové (domácí) sítí šéfem. Bude využívat původní kabel připojení k Internetu a původní parametry připojení. Ostatní počítače v síti (i ten původní) se stanou pak jen "klienty". Z toho plynou dvě skutečnosti: 1. musíte si pečlivě poznamenat parametry připojení k Internetu (minimálně proto, abyste tuto konfiguraci mohli vrátit po nezdařeném pokusu 9

10 zpět), 2. budete muset sáhnout na konfiguraci IP adresy vašeho počítače (ta je ve vlastnostech připojení k Internetu, kde se skrývá pod položkou "Protokol sítě Internet TCP/IP" - Vlastnosti). Je docela možné, že ani sami nevíte, jak je váš počítač nastavený - například jej nastavil technik providera nebo kamarád. V takovém případě pomůže vypsání síťové konfigurace počítače připojeného k Internetu. A provedete to takto: Připojíme se k Internetu a ručně spustíme příkazovou řádku (Spustit -> cmd): 10

11 V černém systémovém okénku s kurzorem zadáme příkaz: ipconfig /all Ve výpisu vidíme pohromadě veškeré aktuálně platné parametry, údaje si poznamenáme nebo vytiskneme (poznamenejte si také MAC adresu síťového rozhraní - můžeme to dále potřebovat). K příkladu výše: Všimněte si, že počítač má WiFi kartu, ale připojený k Internetu je pomocí běžného ethernetového kabelu (tj. přes 2. síťový adaptér). 11

12 Router, stejně jako jakýkoliv počítač a aktivní prvek v "Internetové síti" TCP/IP má svou unikátní IP adresu. Tu lze změnit, ale výchozí nastavení (po uvedení do provozu nebo "Resetu") je routeru TL-WR542G vždy stejné: (maska podsítě je nastavena ve všech příkladech na ). Router má z výroby zapnutý DHCP server a počítačům jež se k němu připojí, přidělí potřebné parametry IP sítě. Proto počítač kterým budeme router nastavovat, musíme předem nastavit na automatické získávání IP adresy z DHCP serveru: Po připojení počítače kabelem k routeru (k rozhraní LAN 1-4) nastaví router IP adresy v počítači tak, aby vytvořil svou lokální síť LAN. Přidělí adresu z výrobcem nastaveného rozsahu xxx a jako bránu k Internetu určí sám sebe tj.: Tato nastavení IP adresy počítače se provede po restartu počítače nebo restartu síťového rozhraní (odpojit / připojit). 12

13 Ověřte si příkazem "ipconfig /all", jestli počítač s routerem komunikuje správně. Router by měl počítači nastavit IP adresu v rámci výrobcem určeného rozsahu (což konkrétně je až 199) 13

14 Přihlášení se k routeru Po zadání do internetového prohlížeče adresy routeru: se nás systém zeptá na heslo (výchozí jméno a heslo je admin a admin). Otevřou se nám stránky (ano router obsahuje jednoduchý www server), ve kterých je možné provést finální konfiguraci. 14

15 Výchozí nastavení není vždy dobré... Velmi důležitou věcí je pochopení faktu, že router vytváří vlastní síť podle předem nastaveného schématu. Počítá s tím, že sám bude mít číslo a ostatní počítače v síti pak mohou mít adresy až (tedy maximálně 253 počítačů). Je to jako název ulice(zde ) na které pak leží domy číslo 2 (jedničku si rezervoval router) až 254. Bez zabíhání do zbytečných detailu (předpokládáme masku podsítě ) můžeme říci, že první tři čísla patří síti, zatímco číslo poslední je adresa počítače patřícího do této sítě. Uvedu příklad: počítače a jsou "přímými sousedy" - leží na stejné síti 15

16 počítače a leží na různých podsítích... Jinak řečeno: sítě xxx a xxx jsou rozdílné "síťové ulice". Do těchto detailu bych nezabíhal, kdyby to nebylo nutné. Proč? Dnes je totiž velmi pravděpodobné (jako i v mém případě), že vaše připojení k Internetu leží už za jiným routerem. Pak je pravděpodobné, že vaše připojení k Internetu využívá také sítě schématu: xxx. Router pracuje správně jen tehdy, když na straně WAN (připojení k Internetu) i straně LAN (to je vaše domácí síť) jsou rozdílné sítě. Obě tudíž nemohou využívat číslování xxx Konflikt sítí LAN a WAN Zda-li dochází k takovému konfliktu zjistíte snadno pohledem na dříve opsanou nebo vytištěnou adresu konfigurace IP vašeho původního připojení k Internetu. Pokud v ní vidíte, že adresa Vašeho PC ležela po připojení k Internetu v rozsahu: až (IP adresa, včetně adres proxy a výchozí brány), pak ke konfliktu s výrobcem přednastavenou sítí LAN routeru ( xxx) nejspíše dojde. V této situaci musíte změnit nastavení routeru předem tak, aby začal využívat np. "sousední" sítě xxx (mohli bychom zjednodušeně říci, že nově budeme využívat "dvojkové" sítě). V případě konfliktu sítí WAN a LAN (cca 20% případů) musíte v konfiguraci routeru změnit adresu routeru na:

17 ...a také odpovídajícím způsobem změnit nastavení DHCP, aby počítačům ve vaši nové sítí přiděloval adresy v rozsahu np až Poté stačí nastavení uložit (Save) a router restartovat: 17

18 Po restartu síťového připojení dostane náš počítač novou IP adresu - již z rozsahu až 199 a router se bude k výkonu služby hlásit na adrese Zkusme na konfiguračním počítači v příkazové řádce ještě spustit "ipconfig /all": Pokud počítač s routerem komunikuje, zbývá jen nastavit část WAN odpovědnou za připojení routeru k Internetu. Klonování MAC adresy Provideři často využívají možnosti omezit internetové připojení jen na jeden počítač. V této situaci si poznamenají unikátní síťovou MAC adresu tohoto počítače, a jiným počítačům s jinou MAC adresou tuto komunikaci zakážou. TP-LINK TL-WR542G je na takovouto eventualitu připravený a dokáže v části WAN nasimulovat libovolnou MAC adresu. Podívejte se na můj původní počítač: 18

19 Věděl jsem, že pokud by se k síti poskytovatele nepřipojoval systém s MAC adresou 04-4B (pro poskytovatele by se jednalo o "cizí počítač") pak by ke komunikaci s Internetem nedošlo. Připojení mám u poskytovatele omezené jen na tuto MAC adresu. Router však tuto adresu dokáže "naklonovat" na své WAN rozhraní (a přístup do sítě poskytovatele mu tedy bude umožněn). Teď už nám nic nebraní do rozhraní WAN zadat dříve opsané parametry připojení (podle typu připojení): 19

20 V mém případě jsem zadal statickou adresu (Static IP) kam jsem vložil dříve opsané parametry (tj. stejné které mi ukazoval počítač připojený k Internetu - viz první screenshot ipconfig): Hodnoty uložíme a router restartujeme. Pokud počítač používal připojení pomocí proxy serveru, musíme toto nastavení do prohlížeče vrátit: 20

21 Proxy nemusí být v některých sítích zapnuté, jinde je pak jiné nastaveníadresy i portu (neopisujte z tohoto obrázku, nemá to cenu )... Po tomto kroku (sichrovat se můžete restartem všech prvků řetězce) by už na portech LAN mělo fungovat přidělování adres pomocí DHCP a pokud v prohlížeči nastavíte proxy podle původního počítače, měli byste mít "4" internety v "1". HW router je funkční... Po připojení libovolného počítače k portům LAN (nakonfigurovaného pro automatické získávání IP adresy - tj. "Dynamic IP"), budete mít (pokud vše proběhlo v pořádku) k dispozici nejenom interní síť LAN, ale i sdílené připojení k Internetu... 21

22 Důležité: Nezapomeňte však, že problematika Internetu, ADSL a kabelových modemů a TCP/IP sítí patří mezi nejsložitější vůbec (ve srovnání s tím je přetaktování procesoru hračka) a ne vždy musí být vaše snaha korunována úspěchem. WiFi or not WiFi? Podívejte se na tento obrázek. Není to skvělé? Nastavíte sdílení internetu, zapnete bezdrátový přístupový bod (router nebo AP; Access Point) a k takto vytvořené WiFi sítí se připojujete kdekoliv v rámci vašeho bytu a nepochybně také i na zahradě před domem. 22

23 Na bezdrátovou síť rozprostřenou v rodinném domku se "pověsí" tatínek s notebookem, maminka s PDA, dětičky s HTPC a nakonec bude chráněn i byt jako takový (na vchodové dveře je přece namířená IP kamera). Je to jako v ráji? Ano, ale i nad tímto rájem krouží temný stín. V dosahu nezabezpečené, nebo slabě zabezpečené bezdrátové sítě to vypadá, jako by všude v dosahu této sítě ležely natažené UTP kabely vaší LAN. K této síti se pak může připojit prakticky kdokoliv - například soused, a pozorovat váš byt vaší vlastní IP kamerou - a sami víme, jak takové aféry končí... Nepřítel naslouchá... Okřídlené přísloví říká: To, že jsem paranoidní ještě neznamená, že po mě nejdou. Nikdy nevíte, kdo v dosahu vaší sítě sedí u počítače nebo notebooku s bezdrátovým adaptérem a jaké má úmysly. Vždy vycházejte z té horší varianty - předpokládejte, že někoho bude skutečně zajímat obsah vašeho disku, nebo (a to je snad ještě horší), že někdo bude chtít stahovat z internetu nelegální porno na vaše konto i účet. Ano, nechat WiFi síť nezabezpečenou je jako nechávat klíče od bytu vně vchodových dveří. Osobně nemám zájem nabourávat se do cizí sítě - někdy to však při přihlašování do své vlastní sítě vypadá takto: 23

24 Změna hesla - první krok Ponechání sítě nezabezpečené s výchozím (defaultním) nastavením hesel a adres je dnes (bohužel) běžnou praktikou. Proto, dříve než spustíte WIFi, vejděte na stránky routeru (jméno: admin, heslo: admin) a změňte si přihlašovací údaje (alespoň heslo) na něco tajnějšího. Poznámka: pokud vstupní heslo routeru zapomenete a budete chtít jej nadále administrovat, budete muset zařízení resetovat miniaturním tlačítkem na zadním panelu (vrátí se mu "tovární" adresa a heslo admin / admin) a celý jej nastavit znovu "od píky". Šifrování v naši malé síti použijeme šifrování WPA nebo WPA2 s tzv. s předsdíleným heslem (PSK, pre-shared key). 24

25 WEP (Wired Equivalent Privacy) - vás nevytrhne WEP je původním standardem zabezpečení bezdrátových Wi-Fi sítí (je součástí normy IEEE z roku 1999). Je založen na tzv. "proudovém" šifrovacím algoritmu RC4 s tajným klíčem o velikosti 40 nebo 104 bitů, ten je kombinovaný s 24 bitovým inicializačním vektorem (IV) - pro ověření správnosti používá metodu kontrolních součtů CRC bitový WEP je kombinací 40 bitového klíče a 24 bitového inicializačního vektoru, 128 bitový WEP využívá 104 bitový klíč + 24 bitový IV. Někteří výrobci bezdrátových zařízení podporují i 256 bitový WEP.Už v prvních létech svého využívání se prokázala zranitelnost šifrovacího algoritmu RC4, který je vzhledem k délce klíče a tzv. "kolizím inicializačních vektorů" lehce překonatelnou ochranou. Použití WEPu se dnes nedoporučuje ani pro domácnosti. Získat WEP klíč za použití speciálního software *airodump, aircrack, aireplay, airparse* je otázkou několika až desítek minut. Software neanalyzuje šifrovaný přenos, ale hledá v něm zvláštní události, tzv. kolize inicializačních vektorů. Na základě určitého objemu přenesených dat je pak možné odhalit původní klíč. Čím delší je klíč, tím delší dobu musíme komunikaci "poslouchat" WEP2 25

26 K vytvoření druhé verze WEPu vedla snaha odstranit slabá místa verze původní došlo k rozšíření inicializačních vektorů a zesílení 128 bitového šifrování. Tím se dekódování stalo obtížnější, slabá místa šifrovací metody RC4 však zůstala - útočníkovi jen zabere více času klíč najít. WEP2 byl použit zpravidla na zařízeních, která hardwarově nestačila na novější šifrování WPA. WPA (Wi-Fi Protected Access) - je pro nás řešením WPA se objevilo jako dočasná (implementuje tzv. draft 3 normy IEEE i) náhrada za slabé zabezpečení WEP. Základ je překvapivě stejný: je použit šifrovací algoritmus RC4 s 128 bitovým klíčem a 48 bitovým inicializačním vektorem (IV). I zde je možné sledovat kolize IV. Zásadní vylepšení však spočívá v dynamicky se měnícím klíči TKIP (Temporal Key Integrity Protocol). Hacker tak v průběhu útoku získává nepoužitelné fragmenty stále se měnících dočasných komunikačních klíčů. U WPA je také zároveň vylepšena také kontrola integrity (správnosti) dat - místo CRC-32 se zde používá bezpečnější MIC (Message-Integrity Check), konkrétně se používá algoritmus nazvaný "Michael". WPA2 již plně implementuje pokročilejší prvky IEEE i. K TKIP a algoritmu Michael přidává nový algoritmus CCMP založený na blokové šifře AES (ta je považována za zcela bezpečnou ). Od března 2006 je certifikace WPA2 povinná pro všechna nová zařízení, jež chtějí být certifikována logem Wi-Fi. Zvětšení velikosti klíče a inic.vektorů, snížení počtu zaslaných paketů s podobnými klíči + lepší ověřování integrity dělá (za předpokladu správného zacházení s klíči) ze zabezpečení WPA a zejména WPA2 těžko prolomitelnou hráz. Jak na klíče s WPA WPA nabízí více možností, jak síť zacházet s klíči určenými pro inicializaci komunikace: 26

27 první metodou je využití speciálního autentizačního serveru (RADIUS), který zasílá každému uživateli jiný klíč (podnikové řešení), nebo pomocí tzv. PSK klíče (Pre-Shared Key), kdy každý uživatel používá stejný přístupový klíč (malé podnikové sítě nebo domácnosti). V naši síti použijeme PSK klíče - tento režim se česky nazývá "režim s předsdíleným heslem". Ten je navržen pro sítě v domácnostech a malých kancelářích, které si nemohou dovolit náklady a složitost autentizačního serveru. Před vstupem do sítě musí každý uživatel zadat heslo obsahující 8 až 63 tisknutelných ASCII znaků nebo 64 šestnáctkových číslic. Heslo musí být pochopitelně uloženo na přístupových bodech WiFi sítě. Poznámka: Existují další metody zabezpečení EAP typy ověřování pod WPA / WPA2 Enterprise, určené pro silné zabezpečení podnikových bezdrátových sítí 27

28 Síťová část Jak diagnostikujeme a řešíme problémy se síťovými připojeními - TCP/IP stack Jak to vlastně všechno začíná Představte si, že vám přestal fungovat váš internet, nebo že vás, jakožto IT odborníka, pozvali k sousedům, že jim "nejde ten internet". Je to situace nemilá, protože v takových případech nejsou dostupné internetovské zdroje informací, abyste byli schopni navštívit vyhledávač nebo poradna.net a vyžádat si radu zkušenějších. Tento článek se vás pokusí nasměrovat k diagnostice a řešením, která v jednodušších sítích vedou téměř ve 100% k úspěchu, a to velmi přímočarou a bezbolestnou cestou. Nejprve trochu suché teorie TCP/IP je sada protokolů, postavená nad IP protokolem. Je to bez diskuze nejpoužívanější síťový protokol dneška. Díky své univerzálnosti, robustnosti a zároveň jednoduchosti návrhu si proklestil cestu k de facto obecnému komunikačnímu standardu. Z hlediska hardwaru a nad ním položeného operačního systému je pak TCP/IP implementováno samotným síťovým zařízením (představte si např. ethernetový adaptér, ale může to být i sériová či paralelní linka, optický port či wifi karta) a tzv. stackem, což je kód, který je zodpovědný za veškerou komunikaci pomocí TCP/IP. Najdeme zde tedy vše od ovladačů daného zařízení, až po kód zajišťující implementaci vlastních TCP protokolů (tj. TCP, UDP, ICMP apod.) a komunikační rozhraní pro sofware třetích stran (sokety - viz dále). Nad tímto stackem už dlí aplikace které s ním komunikují pomocí soketů. Jednoduše vzato je soket síťové API (předem dané "meziaplikační" komunikační rozhraní). Loopback Každý TCP/IP stack pak zahrnuje jeden specifický adaptér, který se jmenuje loopback (zpětná smyčka). Tento "vynález" je jedno z nejgeniálnějších zařízení celého TCP/IP, protože dává vývojářům i uživatelům jednu zásadní výhodu - používat TCP/IP (tj. používat síťové aplikace, např. databázový server a klient) i v případě, že nemáte v systému jediné hardwarové komunikační zařízení. Samotný loopback poznáte snadno - má adresu (v reále je to celá sada adres /8). Pokud jej opingáte, máte jistotu, že váš TCP/IP stack je v pořádku. C:\>ping

29 Příkaz PING na s délkou 32 bajtů: Odpověď od : bajty=32 čas < 1ms TTL=128 Odpověď od : bajty=32 čas < 1ms TTL=128 Odpověď od : bajty=32 čas < 1ms TTL=128 Odpověď od : bajty=32 čas < 1ms TTL=128 Jak vidíte, funguje. Poznámka: příklad pro loopback není na ale na Text "v reále je to celá sada adres /8)." jsem četl a rozumí mu, ale v tomto znění to je spíše hádanka než příklad. Když je to příklad, tak bych spíše očekával ping na adresu právě to je schválně, jako demonstrace toho, že loopback je opravdu celý rozsah adres od až po Co je to ping? Ping je "lidské" označení dvou typů ICMP paketů - ICMP echo request a ICMP echo reply. Hostitel A odesílá hostiteli B ICMP (servisní typ paketu bez datových informací) paket s požadavkem (request) o odpověď, hostitel B tento požadavk zpracuje a pošle odpověď (reply), přičemž hostitel A je schopen jako bonus změřit čas jak dlouho trvala zprávě cesta tam a zase zpět. Fyzické připojení Tato kapitolka je velmi krátká. Uvažujeme-li ethernetové připojení, zkontrolujte, zda blikají/svítí LED indikující fyzické připojení kabelu. Používáte-li wifi, přesvědčete se, že adaptér je v systému aktivní. Případně napravte závadu. U kabelů typicky zastrčte konektor, očistěte kontakty, připadně překrimpujte nebo nechte překrimpovat (tj. znovu nacvaknout) konektory. 29

30 Lokální subnet Každá TCP/IP síť se skládá ze subnetu (česky podsíť), což je skupina hostitelů (hostitel je zařízení se síťovým rozhraním) připojeným fyzicky ke stejné fyzické síti a s TCP/IP stackem který má na daném rozhraní IP adresu ve stejné IP síti. Stejná síť je pak definována IP adresním prostorem, který je definován maskou. Určování masky se odehrává podle požadavku na počet zařízení v daném subnetu. Zde najdete velmi jednoduchou kalkulačku: Myslím, že zdrojů informací o subnetech je na internetu dostatek. Ve standardních podmínkách domácích a podnikových sítí se adresy přidělují pomocí tzv. DHCP serveru, který dynamicky přidělí všem hostitelům jejich unikátní IP adresy. Druhá alternativa je ruční přidělení IP adresy uživatelem Můžete-li tedy pingnout jiné zařízení v síti, funguje vám fyzické připojení a i TCP připojení je v pořádku. Jaké zařízení byste měli pingat? Doporučuji vždy testovat oproti routeru (směrovači; viz kapitola o routingu), typicky jím je v malých domácích sítích "krabička" do které vedou všechny síťové dráty a jejíž IP adresa je buď výchozí (a ta je napsána v manuálu) anebo jste si ji nastavili sami (a pak ji znáte). Předpokládejme, že máte síť s routerem, který vám přiděluje IP adresy z rozsahu /24 a jehož IP adresa je Pokud pomocí příkazu ipconfig dostanete hlášení, že na adaptéru připojeném do této sítě je jiná adresa než z uvedeného rozsahu, nejspíše ji máte nastavenu napevno (a samozřejmě to nebude fungovat). Pokud vidíte adresu z rozsahu Bonjour, váš PC neobdržel adresu z DHCP serveru, a to buď díky tomu, že je vadné fyzické připojení (kabel, síťová karta) NEBO kvůli tomu, že aktuálně v dané fyzické síti neběží DHCP server. Řešením je nastavit IP adresy ručně (horší řešení), nebo zprovoznit DHCP server (toto je preferované řešení). výpis ipconfig C:\>ipconfig Konfigurace protokolu IP systému Windows Adaptér sítě Ethernet Bezdrátové připojení k síti: 30

31 Přípona DNS podle připojení... : Adresa IP : Maska podsítě : Výchozí brána : Adaptér sítě Ethernet Připojení k místní síti: výpis ping Stav média : odpojeno C:\>ping Příkaz PING na s délkou 32 bajtů: Odpověď od : bajty=32 čas=3ms TTL=127 Odpověď od : bajty=32 čas=1ms TTL=127 Odpověď od : bajty=32 čas=1ms TTL=127 Odpověď od : bajty=32 čas=1ms TTL=127 Pokud je něco špatně, ping vypisuje následující hlášení: C:\>ping Příkaz PING na s délkou 32 bajtů: Vypršel časový limit žádosti. Vypršel časový limit žádosti. V takovém případě je potřeba začít zjišťovat, zda opravdu zařízení "naproti" funguje, případně jej otestovat či zkusit pingnout jiné zařízení v síti (pokud možno). Jak vidíte, stále ještě nejsme u Internet Exploreru. Dokud nefunguje LAN, nemá smysl zabývat se internetem. 31

32 směr internet Pokud již ping v LAN funguje, můžete zkusit pingnout IP adresu v internetu. Pro testování bych všem doporučil IP adresu seznam.cz, což je , a to z toho důvodu, že nemá blokované ICMP echo requesty a vrací korektně ICMP echo replies, takže se spolehlivě dozvíte, zda hostitel odpovídá, a tedy že spojení opravdu funguje. C:\>ping Příkaz PING na s délkou 32 bajtů: Odpověď od : bajty=32 čas=20ms TTL=55 Odpověď od : bajty=32 čas=20ms TTL=55 Odpověď od : bajty=32 čas=24ms TTL=55 Odpověď od : bajty=32 čas=19ms TTL=55 Pokud pingání nefunguje, je třeba začít řešit problém routingu či konektivity. Routing bude popsán v II. díle, konektivitu si bohužel budete muset ověřit sami nebo ve spolupráci s vaším ISP. Pokud zafungovalo pingnutí na IP adresu, je zřejmé, že routing funguje a konektivita směr internet je funkční. Můžeme tedy přistoupit k testu DNS, což znamená pingnout jmennou adresu. Použijeme opět seznam.cz: C:\>ping Příkaz PING na [ ] s délkou 32 bajtů: Odpověď od : bajty=32 čas=20ms TTL=55 Odpověď od : bajty=32 čas=20ms TTL=55 Odpověď od : bajty=32 čas=20ms TTL=55 Odpověď od : bajty=32 čas=19ms TTL=55 Pokud ping funguje, gratuluji, máte funkční TCP/IP stack připojený k internetu. Můžeze zkusit použít prohlížeč webu či jinou síťovou aplikaci. Pokud ping na jmenný název funguje, a přesto nejste schopni připojit se pomocí webového prohlížeče (typicky Internet Explorer), zkontrolujte jeho nastavení (obzvláště způsob připojování k internetu) stejně jako samotný operační systém na přítomnost malware (spyware, viry, trojany). Toto je bohužel už zcela mimo zaměření článku. Resumé Nefunguje-li vám síťové připojení, postupujte následnovně: 32

33 1. opingejte loopback 2. opingejte výchozí bránu (směrovač, též router) 3. opingejte IP adresu v internetu 4. opingejte jmenný název v internetu Tam, kde se zastavíte, bude nejspíše chyba. A dál Sítě TCP/IP, jak už víme, se skládají z jednotlivých subnetů(podsítí). Tyto subnety jsou propojeny routery (směrovači). Dále nejprve popíšeme princip fungování a posléze i základní postupy testování a opravy. Předem se omlouvám za poněkud vyšší porci úvodní teorie, ta je nicméně nutným požadavkem pro pochopení funkčnosti směrování. Základní stavební kameny směrování Celý proces směrování je "vztahem" dvou komplementárních subjektů: samotného routeru, který reprezentuje fyzickou topologii sítě a routovací tabulkou, která je jeho elektronickým ekvivalentem. Zní to podivně, ale princip je jednoduchý a bude vysvětlen dále. Víme už, že subnet je definován IP adresním rozsahem, přesněji řečeno sadou IP adres definovanou číslem sítě a maskou. Typicky v domácnostech a malých firmách se ponejvíce používá rozsahu x.0/24 (kde "x" nabývá hodnot od 0 do 254). Mějme nyní hypotetickou situaci: na tomto subnetu existuje hostitel A, který chce odeslat data hostiteli B, schválně nespecifikuji, kde se hostitel B nachází. První, k čemu dojde, je zpětný překlad jména hostitele B na IP adresu. Jak k tomu dochází, záleží na použitém protokolu, buď je dotazován server DNS (většina případů), nebo se použije proprietární překlad pomocí vlastních prostředků protokolu (např. u NetBIOS to může být dotaz u BrowseMastera sítě, WINS serveru nebo už výše zmiňovaného DNS serveru). Resolving, jak dopředný, tak zpětný bude popsán ve třetí kapitole věnované DNS. A nyní to začne být zajímavé. V každém případě stack projde routovací tabulku a na jejím základě odešle paket vybraným rozhraním na vybraného hostitele. Routovací tabulka Routovací tabulka je seznam, ve kterém jsou uvedeny záznamy o tom, kam a kudy má systém poslat paket. Jedná se o celkem triviální záležitost, obsahem této tabulky jsou záznamy o cíli směrování, masce, bráně, rozhraní a metrice. Systém prochází jednotlivé záznamy, a pokud odpovídají adrese cílového hostitele B, použijí se informace nacházející se na daném řádku. 33

34 Než přikročíme k názorným ukázkám, řekneme si, jak zobrazit routovací tabulku. Na Windows systémech k tomu slouží příkaz route, speciálně pak pro výpis tabulky ve spojení s parametrem print. Kompletní nápovědu získáte zadáním samotného příkazu route, připadně můžete použít i nápovědu Windows XP, která je velmi dobře zpracována. Pro systémy postavené na GNU/Linux slouží k témuž rovněž příkaz route, ovšem bez parametru print. Namísto něj doporučuju použít přepínač -n, kterým zajistíte, že tabulka bude vypisována bez překladu IP adres na jmenné názvy (tedy podobně, jak je vypisována ve Windows a dle mého názoru lépe čitelně) Nejjednodušší routovací tabulka vypadá takto: C:\>route print ============================================================== Seznam rozhraní 0x1... MS TCP Loopback interface 0x c e7 f0... AMD PCNET Family PCI Ethernet Adapter - Packet Scheduler Miniport ======================================================================== === ======================================================================== === Aktivní směrování: Cíl v síti Síťová maska Brána Rozhraní Metrika ======================================================================== === Trvalé trasy: Žádné Toto je výpis routovací tabulky stroje, který má aktivní TCP/IP stack, ale nemá aktivní žádná fyzická síťová rozhraní (rozhraní č.2 je odpojeno). Jak je patrné, celá síť /8 je směrována na virtuální adaptér přes loopback rozhraní Jiné směrování není možné (a pomocí ping si to můžete sami ověřit) Trochu zajímavější to bude, nainstalujete-li do systému nějaké rozhraní: C:\Documents and Settings\user>route print ======================================================================== === Seznam rozhraní 0x1... MS TCP Loopback interface 34

35 0x c e7 f0... AMD PCNET Family PCI Ethernet Adapter - Packet Scheduler Miniport ======================================================================== === ======================================================================== === Aktivní směrování: Cíl v síti Síťová maska Brána Rozhraní Metrika Výchozí brána: ======================================================================== === Trvalé trasy: Žádné Jak je patrno, tabulka nám přidáním jednoho rozhraní pěkně nabobtnala. Pokusíme se ji společně interpretovat (POZOR, v případě Windows začínáme odspodu, u Linuxu zase odshora): První řádek se samými 255 je tzv. limitovaný broadcast, který označuje v routovací tabulce existenci vlastního rozhraní hostitele (proto je také první; tj. komunikace vůči sobě samému není fyzicky směrována mimo počítač). Řádek začínající je směrovací záznam pro multicast (kdo chce vědět více, odkážu jej na wikipedii: ). Řádky s cíli označují směrování broadcastu, tj. vysílání paketů určených všem hostitelům na daném subnetu. Analogicky řádek s cílem subnetu (resp pro loopback) pak označuje jak mají být směrovány pakety do lokálního subnetu. A konečně poslední řádek označuje výchozí směr, pokud není nalezena shoda v jiném řádku. Poznáte jej tak, že cíl je označen jako a maska rovněž Záznam je ještě jednou uveden pod položkou "Výchozí brána". 35

36 Speciálně bych zmínil položku metrika, která nalézá uplatnění ve složitějších sítích, a která určuje prioritu použití záznamu v případě, že se směruje přes více spojení. Lze tak určit "výhodnější" směr. Bohužel bližší popis (stejně jako popis směrovacích protokolů pro použití ve velkých WAN sítích) je nad rámec už tak hutného článku. Nyní, když jsme si popsali významy jednotlivých řádků, bych rád uvedl přesnou interpretaci některých z nich a následně uvedl příklad spojení a aplikovaného směrovacího pravidla. Vezměme tento řádek: Cíl v síti Síťová maska Brána Rozhraní Metrika Můžeme jej lidsky interpretovat takto: "Pakety pro hostitele, kteří mají adresu v subnetu /24 (kombinace čísla subnetu a masky; adresy až ) směruj přes bránu a totožné rozhraní. S ohledem na to, že adresa je adresa našeho adaptéru, odesílají se data přímo hostiteli B." Další, už složitější příklad: Cíl v síti Síťová maska Brána Rozhraní Metrika Interpretujeme následovně: "Pakety pro hostitele, o nichž nemáme informace v jakém subnetu leží ( s maskou 0 odpovídá celému adresnímu prostoru IP verze 4), předej bráně přes své rozhraní S ohledem na to, že nevíme nic o topologii sítě nebo sítí mimo náš subnet, musíme využít služeb směrovače v našem subnetu. Ten zařídi další spojení k hostiteli B." Jako reálný příklad můžeme uvést paket, který chceme odeslat dvěma hostitelům B1 a B2, kteří mají adresy a : hostiteli B1 lze odeslat paket přímo, protože z routovací tabulky je jasné, že hostitel B1 patří do stejného subnetu jako náš stroj A. S hostitelem B2 je to už horší, žádná z řádek na něj nesedí, vyjma poslední řádky, kterou je směr na výchozí bránu. Tudíž jediné, co může hostitel A udělat, je odeslat paket bráně a my můžeme doufat, že vše funguje jak má a paket dorazí do cíle. Router 36

37 Nyní jsme narazili na samotný router. Zatím jsme jej nijak nedefinovali ani neřekli jak funguje. Pokusím se to tedy objasnit. Router je hostitel, který je připojen k alespoň dvěma subnetům a zároveň je schopen předávat pakety (tj. routovat či česky směrovat). Standardní hostitelé používající obecné operační systémy, jako Windows, Linux či BSD mají v základní konfiguraci předávání paketů vypnuté, je tedy třeba na místě toto zmínit. Vyjímečnost routeru tkví v tom, že "vidí" i jinou síť či jiné sítě a je i jejich součástí. Pokud byste si to chtěli geometricky představit, doporučuji analogii se dvěma kružnicemi, které se dotýkají v jednom bodě. Tento bod je pak součástí obou kružnic a když pojedete tužkou po jedné kružnici, musíte projít tímto bodem, abyste byli schopni přejít na kružnici druhou. Router jako takový implementuje z hlediska funkčnosti naprosto totožnou směrovací tabulku jako každý jiný hostitel, rozdíl je v tom, že jeho tabulka obsahuje více záznamů, minimálně přibudou ty, které určují směr pro druhý (či další) subnet(y). Co se stane, obdrží-li router paket od hostitele A, umístěného v subnetu /24 pro hostitele B v subnetu /24 s adresou ? Je to velmi podobné tomu, jak se chová samotný hostitel: Za předpokladu, že jedno z jeho rozhraní je součástí subnetu v němž se nachází hostitel B (tj. má odpovídající záznam v routovací tabulce), předá paket přímo hostiteli B. Za předpokladu, že žádné jeho rozhraní není součástí cílového subnetu, předá paket své výchozí bráně (prakticky každý router připojený k internetu musí mít svou výchozí bránu; příklad, kde není výchozí brána potřeba je izolovaná síť vytvořená ze dvou subnetů). Jak je vidět, celý proces s hledáním hostitele B se opakuje, jen na vyšší úrovni a probíhá, dokud existuje cesta (tj. dokud lze paket na základě routovací tabulky předat), nebo dokud nevyprší hodnota TTL (hostitelem A nastavená na 64), kterou každý router snižuje o jedničku). TTL hodnota je implementována z prostého důvodu: aby v síti nebloudili "bludní Holanďani" - pakety, jež není možno doručit kvůli zacyklení směrovacích tabulek (příklad směrování mezi hostiteli: A -> B -> C -> A ->... ) (kontrolní otázka: Co znamenají čísla s lomítkem za ip adresou /24 to "číslo" za lomítkem je počet bitů masky zleva, které mají jedničku. tj /24 je subnet / čili maska je v binárním zápise taková: (když spočteš jedničky, zjistíš, že jich je 3*8=24 37

38 Co je důležité Každý hostitel musí mít alespoň jednu výchozí bránu, každý router musí znát (tj mít v routovací tabulce) alespoň dvě sítě a rovněž mít výchozí bránu. Řešíme problémy Nyní se, již vybaveni teoretickými základy, vrhněme na naši nefungující síť. V prvé řadě je třeba zkontrolovat, zda všichni hostitelé mají nastavenu správnou výchozí bránu. Ve windows to provedete pomocí už známého příkazu ipconfig C:\>ipconfig Konfigurace protokolu IP systému Windows Adaptér sítě Ethernet Připojení k místní síti: Přípona DNS podle připojení... : testing Adresa IP : Maska podsítě : Výchozí brána : jak je vidět, výchozí brána je nastavena. V naprosté většině případů bude brána nastavena pomocí protokolu DHCP, pokud si nejste jisti, použije detailnější výpis ipconfig /all, ve kterém lze dohledat, zda bylo použito DHCP, případně se podívejte na vlastnosti protokolu TCP/IP v nastavení síťového adaptéru. V případě, že je nastavení výchozí pořádku, je možno bránu opingat, a ping na IP adresu mimo náš subnet úspěšný, je třeba upřít pozornost na samotný router. V první řadě zkontrolujte, že router je korektně připojen ke všem sítím jichž by měl být členem. Velmi často se stává, že např. routery ztratí spojení s DSLAM, u WAN dochází k poruchám na spojové infrastruktuře apod. Pokud vše vypadá pořádku, zkontrolujte routovací tabulku routeru. 38 brány v přesto není DSL linek v na