Z poradnika administratora
- Kamil Folga,
- 10.04.2007
Co się składa na sieć bezprzewodową
Pytanie: Stawiam pierwsze kroki w budowie sieci bezprzewodowych. Chciałbym wprowadzić bezprzewodową infrastrukturę do firmy, w której pracuję. Jakie są typowe składniki sieci bezprzewodowej i jak połączyć elementy w sieć dostępową?
WDS (Wireless Distribution System) w działaniu
- AP (Access Point) - urządzenie realizujące zadania punktu dostępowego, do którego przyłączają się urządzenia klienckie.
- APC (Access Point Client) - tryb umożliwiający pracę punktu dostępowego w roli klienta.
- WB (Wireless Bridge) - tryb łączący dwa lub więcej urządzeń bezprzewodowych w jedną strukturę typu most.
- WDS (Wireless Distribution System) - tryb łączący kilka punktów dostępowych w trybie mostu, które realizują jednocześnie typowe zadania dystrybucji bezprzewodowej.
W domowej sieci bezprzewodowej wykorzystywane są dwa tryby pracy - infrastructure oraz ad-hoc. Tryb infrastruktury używa punktu dostępowego jako centralnego urządzenia dystrybucyjnego. W tym przypadku cała komunikacja w sieci odbywa się przez punkt dostępowy. Drugim trybem jest ad-hoc, który nie wykorzystuje punktu dostępowego. Tryb ten ustanawiają urządzenia klienckie, komunikując się każdy z każdym.
Początkowo sieci korporacyjne były budowane w podobny sposób co sieci domowe. Obecnie wykorzystują dodatkowo zaawansowane mechanizmy bezpieczeństwa i kontroli. Typowa struktura sieci firmowej to punkty dostępowe realizujące zadania dystrybucji sygnałów, urządzenia klienckie oraz kontroler nadzorujący pracę całej infrastruktury. Kontroler poza funkcjami uwierzytelniania, doboru parametrów pracy w zależności od kondycji kanałów, pozwala na śledzenie obcych punktów dostępowych oraz automatyczną konfigurację sieci.
<hr>
Czy użycie pre-802.11n jest bezpieczne?
Pytanie: Czy w sieci firmowej z korzystaniem pre-802.11n wiążą się jakieś poważne zagrożenia?
Odpowiedź: Po wielu debatach i sporach w grupie roboczej IEEE 802.11n (task group N) pojawia się coraz więcej sprzętu zgodnego z wczesną specyfikacją tego standardu. Organizacje powinny rozważyć następujące rodzaje ryzyka związanego z wdrożeniami sieci pre-n:
- Zagrożenie związane z większym zasięgiem - sieci pre-n używające technologii MIMO (multiple-input, multiple-output) zwiększają prędkość transmisji danych, ale także zwiększają zasięg tych sieci. Sieci do tej pory nieosiągalne dla atakujących stają się realnym ich celem.
- Zagrożenie dostępności - jedną z możliwości sieci pre-n jest użycie szerokości kanału 40 MHz, umożliwiające podwojenie pasma radiowego używanego do transmisji. Użycie kanału o szerokości 40 MHz w paśmie 2,4 GHz realnie zwiększa ryzyko interferencji z istniejącymi sieciami 802.11b oraz 802.11g. Punkt dostępowy uruchomiony w takim trybie znacząco zmniejsza dostępność sieci na pozostałych kanałach.
- Zagrożenie obcych AP - w celu obsługi urządzeń 802.11a/b/g w trybie operacyjnym AP jest zapewniona wsteczna kompatybilność określana jako tryb mieszany. W tym trybie stare urządzenia klienckie mogą przyłączać się do punktu pre-n, czego kosztem jest zmniejszenie przepustowości punktu dostępowego.
Co powinniśmy zrobić, aby pracować bezpiecznie w sieci pre-n:
- Nie należy jednak polegać na małym zasięgu sieci jako metodzie bezpieczeństwa. Konieczne jest użycie alternatywnych mechanizmów bezpieczeństwa.
- Należy rozważyć zalety i wady sieci pre-n wykorzystującej kanał 40 MHz w paśmie 2,4 GHz.
- Należy pracować nad technikami chroniącymi sieć przed wrogimi AP.
Pre-n jest technologią dostępną u wielu komercyjnych producentów. Organizacje powinny zwrócić szczególną uwagę na problemy wydajności i dostępności wdrożeń takich sieci. Koniecznie należy przeanalizować ryzyko wykorzystania wrogich punktów dostępowych.
<hr>
Otwarte porty
Pytanie: W jaki sposób uzyskać w systemach Unix i Windows listę działających usług i otwartych portów?
Dobrym pomysłem jest sprawdzenie świeżego systemu za pomocą skanera portów, można do tego użyć narzędzia o nazwie netstat.
W przypadku systemu Windows można użyć programu netstat lub bardzo łatwego do użycia narzędzia FPort (http://www.foundstone.com/knowledge/proddesc/fport.html ). FPort nie ma zbyt wielu opcji, ale bardzo dobrze wypełnia postawione zadania. Aby sprawdzić listę otwartych portów w systemie, wystarczy wydać komendę fport. Opcja /p pozwoli posortować wyniki według numeru portu, opcja /a sortuje wyniki na podstawie nazw programów, natomiast /i na podstawie identyfikatorów procesu.
Istnieją bardziej rozbudowane narzędzia do wykonania przedstawionego zadania, ale zaprezentowane programy powinny dostarczyć wszystkie dane niezbędne do analizy nasłuchujących usług.