Jak na různé WiFi sítě v Linuxu

Jak na různé WiFi sítě v Linuxu Pavel, Zbyněk Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 1

Obsah Zprovoznění (monitoring) wifi pomocí grafických nástrojů kismet (monitoring) netapplet, netconfig (uživatelské skripty), wicd,... Zprovoznění wifi pomocí příkazů konzole balíček wireless-tools (iwlist, iwconfig,...) balíček net-tools (ifconfig) a dhcp-3client (dhclient) balíček wpasupplicant /etc/network/interfaces Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 2

netconfig Skript + sada předdefinovaných síťových konfigurací (výběr pomocí jednoduchého menu) kabel: obecné DHCP připojení nebo statická adresa wireless: ÚČJF (již nepoužívané), Eduroam, CERN, St.Genis (NEUF) obecné nechráněné připojení, WEP (~ ÚČJF) WPA-EAP (~ eduroam), WPA-PSK (~ St.Genis) Obsahuje automatickou detekci typu připojení na základě dostupných wireless sítí (iwlist eth2 scanning) a IP/HW adres okolních počítačů (guessnet) Aktuální konfigurace je uložena v /etc/network/interfaces Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 3

Nešifrované Wifi iface eth2 ined dhcp wireless-essid any wireless-mode Managed WEP Wifi iface eth2 ined dhcp wireless-essid UCJF wireless-nick ipnp-r22 wireless-key hex.klíč wireless-mode Managed Eduroam Wifi (WPA-EAP) iface eth2 ined dhcp wireless-mode Managed wpa-driver wext wpa-ssid eduroam wpa-identity číslo@cuni.cz wpa-passwoed heslo wpa-eap PEAP wpa-ca_cert /etc/cesnet-ca.cz.pem.crt netconfig NEUF Wifi (WPA-PSK) iface eth2 ined dhcp wireless-mode Managed wpa-driver wext wpa-ssid NEUF_0ED0 wpa-proto WPA wpa-pairwise TKIP wpa-group TKIP wpa-key-mgmt WPA-PSK wpa-psk 9043abb3d12ae65b..7c8f096791 zakódovaný klíč pomocí příkazu: wpa_passphrase NEUF_0ED0 hex.klíč http://www.cesnet.cz/pki/certs/cesnet-ca.cz.pem.crt wpa-altsubject_match DNS:radius1.eduroam.cuni.cz;DNS:radius2.eduroam.cuni.cz wpa-phase1 peaplabel=0 wpa-phase2 auth=mschapv2 Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 4

Kismet Monitoring dostupných wireless sítí, náhrada příkazu iwlist eth2 scanning PS: nutno editovat /etc/kismet/* a specifikovat typ WiFi karty nastavením: source=iwl3945,wlan0,iwl3945 Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 5

netapplet Gnome aplikace pro rychlé přepínání mezi různými wireless sítěmi a resp. kabelem Pouze nejzákladnější konfigurace připojení, neumí WPA Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 6

Wicd Nezávislý na KDE i Gnome, pouze python + GTK Funkce: tvorba profilů automatické připojení po bootu (ale spouští se až po ucjfbalíčcích to je treba změnit) automatické vzbuzení po hibernaci automatické přepnutí na jinou síť pokud dosavadní připojení odpadne mnoho možných nastavení (různé varianty WPA, WEP atd.), možnost vytváření vlastního template nepotřebuje superuživatelská práva spouštění libovoných skriptů před/po připojení Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 7

Wicd (2) Nezávislý na KDE i Gnome, pouze python + GTK Funkce: tvorba profilů automatické připojení po bootu (ale spouští se až po ucjfbalíčcích to je treba změnit) automatické vzbuzení po hibernaci automatické přepnutí na jinou síť pokud dosavadní připojení odpadne mnoho možných nastavení (různé varianty WPA, WEP atd.), možnost vytváření vlastního template nepotřebuje superuživatelská práva Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 8

Wicd (3) /etc/wicd/wired-settings.conf /etc/wicd/wireless-settings.conf uložené profily pro připojení přes WiFi a drát /etc/wicd/encryption/templates šablony pro WiFi konfigurace /var/lib/wicd/configurations konfigurace profilů (analogie interfaces) Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 9

Zjištění síťových parametrů - iwlist Nástroj sloužící k proskanování síťového pásma prohledejme pásmo (jako uživatel root nebo pomocí příkazu sudo): bez volby konkrétního zařízení: hostname:~# iwlist scanning s volbou konkrétního zařízení: hostname:~# iwlist eth2 scan zařízení nenalezeno: eth2 No scan results laptop mimo signál eth2 Network is down síť nebyla nakonfigurována hostname:~# ifconfig eth2 up znovu prohledat pásmo pomocí iwlist zařízení nalezeno: jsou vypsány veškeré dostupné sítě; včetně adresy access-pointu, jména sítě (essid: název), přenosového módu (mode: Master, Managed, Ad-Hoc,...), kanálu (channel: číslo), zapnutí/vypnutí kryptování (encrypted: on/off), max. rychlosti připojení (bit rate), kvality signálu,... Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 10

Připojení k síti - iwconfig Nástroj sloužící ke konfiguraci bezdrát. zařízení: nastavení jména sítě: hostname:~# iwconfig eth2 essid UCJF nastavení módu: hostname:~# iwconfig eth2 mode Managed Managed: zařízení se připojuje k síti složené z 1 a více access pointů Ad-Hoc: zařízení se připojuje k jinému počítači se stejně nastaveným módem, názvem sítě a číslem komunikačního kanálu Monitor: monitorovací mód, více viz. man iwconfig nastavení kryptování WEP (Wireless Equivalent Privacy): přímá součást standardu IEEE.802.11 překonaná a triviálně zlomitelná šifra ~ několik min hostname:~# iwconfig eth2 enc s: heslo ve formě řetězce hostname:~# iwconfig eth2 enc 87462930 jako hexadec. číslo Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 11

Připojení k síti iwconfig (2) nastavení kryptování WPA (WiFi Protected Access): různé typy krypt. algoritmů: TKIP (běžně užívaný), EAP, LEAP, PEAP... 2 druhy WPA: Enterprise - autentifikace založená na tzv. RADIU, Personal - autentifikace založená na PSK - Pre Shared Key (běžné) k implementaci slouží wpasupplicant (dále nastavení TKIP-PSK) uložení zašifr. hesla do konf. souboru: hostname:~# wpa_passphrase essid heslo > /etc/wpa_supplicant.conf spusťme wpasupplicant na pozadí: hostname:~# wpa_supplicant -B -ieth2 -Dwext -dd (-B background daemon, -i interface, -D driver (wext: general driver, ipw: Intel ipw) více viz. man wpa_supplicant) získání síťových parametrů přes DHCP hostname:~# dhclient eth2 Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 12

Připojení k síti rychleji interfaces /etc/network/interfaces konfigurační soubor síťového rozhraní (LAN i WiFi) pro síťové nástroje ifup (nahození sítě), ifdown (shození sítě) start/restart/stop sítě: hostname:~# /etc/init.d/networking start/restart/stop vše nutné provádět jako root nebo pomocí nástroje sudo... pro případ WPA šifrování je implicitně v interfaces používán balíček wpasupplicant soubory interfaces lze generovat automaticky pomocí skriptu, př. /etc/init.d/networkconfig všechny dále uvedené příklady konf. souborů interfaces obsahují toto: auto lo iface lo inet loopback Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 13

Připojení k síti rychleji interfaces (2) příklady konf. souborů interfaces pro: (a) nezabezpečenou bezdrátovou síť (b) zabezpečenou bezdrátovou síť typu WEP (c) zabezpečenou bezdrátovou síť typu WPA (d) speciální případ: síť EDUROAM Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 14

Interfaces: ad(a) nezabezpečená bezdratová síť, př. CERN WiFi auto eth2 iface eth2 inet dhcp pre-up ip link set eth2 up wireless-essid CERN wireless-mode Managed # síťové rozhraní eth2 # získání parametrů pře DHCP # není-li nakonfig. síť, nakonfiguruj ji # jméno sítě CERN # mód typu Managed Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 15

Interfaces: ad(b) zabezpečená bezdratová síť typu WEP, př. UCJF WiFi auto eth2 iface eth2 inet dhcp pre-up ip link set eth2 up wireless-nick ipnp-n11 wireless-essid UCJF wireless-key AA... wireless-mode Managed # síťové rozhraní eth2 # získání parametrů pře DHCP # není-li nakonfig. síť, nakonfiguruj ji # jméno počítače ipnp-n11 # jméno sítě UCJF # klíč AA... # mód typu Managed Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 16

Interfaces: ad(c) zabezpečená bezdratová síť typu WPA, šifrování TKIP-PSK, př. většina současných sítí auto eth2 iface eth2 inet dhcp pre-up ip link set eth2 up wpa-ssid Name wpa-proto WPA wpa-key_mgmt WPA-PSK wpa-pairwise TKIP wpa-group TKIP wpa-psk 123... wpa-driver wext # síťové rozhraní eth2 # získání parametrů pře DHCP # není-li nakonfig. síť, nakonfiguruj ji # jméno sítě Name # síťové zabezpečení WPA # síť WPA Personel s PSK # typ šifrování TKIP # typ šifrování TKIP # výsledek: wpa_passphrase Name Heslo # driver síť. karty, viz. předchozí slidy Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 17

Interfaces: ad(d) speciální připad: síť Eduroam auto eth2 iface eth2 inet dhcp # síťové rozhraní eth2 # získání parametrů pře DHCP pre-up ip link set eth2 up # není-li nakonfig. síť, nakonfiguruj ji wpa-ssid eduroam # jméno sítě eduroam wpa-identity Name # identifikační jméno majitele laptopu wpa-password Heslo # identifikační heslo majitele laptopu wpa-eap PEAP # typ šifrování PEAP wpa-ca_cert Certifikat # adresa certifikátu staženého z webu wpa-altsubject_match DNS:radius1.eduroam.cuni.cz; DNS:radius2.eduroam.cuni.cz# adresy DNS serverů wpa-driver wext # driver síť. karty, viz. předchozí slidy Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 18

wpa-phase1 peaplabel=0 wpa-phase2 auth=mschapv2 Interfaces: ad(d) (2) Linux seminář, 9.1.2009 Pavel Řezníček, Zbyněk Drásal 19