11. Vezetéknélküli hálózatok

A vezetéknélküli hálózatokról feltehetően mindenki hallott, ebben a rövid fejezetben ezek beállításával foglalkozunk. Ennek beállításának alapismereteit az alábbi hálózat kialakításán keresztül ismerjük meg.

Vezetéknélküli hálózati elemek

Vezetéknélküli hálózati elemek

A vezetéknélküli hálózatok kialakítása során számos tervezési szempontot kell figyelembe venni. A modern hálózati eszközök nem csak 2.4 GHz-en, hanem 5GHz-en is képesek működni, egyes szabványok ezek vegyes használatát is lehetővé teszik, míg mások (tipikusan az AC jelölésűek) csak 5GHz-en működnek. A vezetéknélküli hálózati kapcsolatot az ún. access point-ok (AP-k) biztosítják, melyeket olyan kliensek tudnak igénybe venni, melyek kompatibilis vezetéknélküli hálózati interfésszel rendelkeznek. Az AP-k gyakran vezetékes interfésszel kapcsolódnak a többi hálózati elemhez, de ez (főleg a SOHO eszközök esetében) nem törvényszerű.

A példánkban először egy ilyen AP-t kapcsolunk a Switch0 24-es portjához. Ennek két hálózati interfésze van, a port0 vezetékes és a port1 vezeték nélküli, előbbit használjuk a switch-csel történő összekötésre. Mivel a switch 24-es portja 100 MBit/sec sebességű, viszont az AP ethernet portja alapértelmezésben 1 GBites sebességre van beállítva, ezért először ezért annak sebességét kell beállítani, amit az AP Config lapján lehet megtenni. Legegyszerűbb az auto kiválasztása, ebben az esetben a két berendezés automatikusan egyeztet a mindkettőjük által használható legmagasabb átviteli sebességről.

Port sebesség beállítása az AP-n

Port sebesség beállítása az AP-n

A kapcsolat paramétereit egymásnak megfelelően kell beállítani az AP-n és a kliens szoftverében. Ennek fő elemei az SSID és az azonosításra szolgáló módszer és jelszó. Az SSID a Service Set IDentifier rövidítésből ered, ez azonosítja adott hálózati kapcsolatot biztosító eszközt. A modern AP-k egyidőben több ilyet is szolgáltathatnak, mellyel a munkahelyi kapcsolatok kiszolgálása mellett pl. a cég belső hálózatától elválasztott vendéghálózatok is kialakíthatók. Az SSID nem feltétlenül nyilvános, azt rejtettként beállítva csak olyan gépek tudnak ahhoz kapcsolódni, akik ismerik azt.

A kapcsolat titkosítása során alkalmazott kriptográfiai eljárásnak mindkét fél esetén azonosnak kell lennie. Korábban jól alkalmazható algoritmus volt a TKIP, de a kvantumszámítógépek megjelenésével felértékelődött a kvantumalgoritmusoknak is ellenálló AES szerepe.

Az azonosítási eljárások tárháza elég széles. A Disabled kiválasztásával a hálózati kapcsolat felépítése nem követel meg jelszót, a Wi-Fi hozzáférés bárki számára hozzáférhető, nyílt lesz. A WEP egy ma már elavult azonosítási eljárás, nem biztonságos, így alkalmazása kerülendő. Az eszközök kizárólag kompatibilitási okokból tartalmazzák ezeket. A WPA (Wi-Fi Protected Access) ennél magasabb biztonságot nyújt, de amennyiben rendelkezésre áll ennek 2-es verziója (WPA2), úgy azt érdemes használni. Amellett, hogy a WPA és a WPA2 is képes megosztott (tehát közösen használt) jelszó használatára, amit PSK-nak (PerSonal Key) nevez, az azonosítást egy külső szerverre felvett felhasználói adatbázisra alapozva, felhasználónként eltérő azonosítással is elvégezhetjük. A PSK jelszót a PSK Pass Phrase mezőben kell megadni.

A hálózatunk SSID-je legyen CompanyWiFi, az alkalmazott titkosítás AES, az azonosítás módja pedig WPA2-PSK-n továbbított oga12Fong! Ezeket a paramétereket a port1 panelen az alábbi módon kell beállítani:

Vezetéknélküli kapcsolat beállítása az APN-n

Vezetéknélküli kapcsolat beállítása az APN-n

A vezetéknélküli kliens beállítását egy vezetéknélküli interfész beépítésével kell kezdeni, ehhez a Physical lapon a laptopot ki kall kapcsolni, az abban levő vezetékes interfészt eltávolítani és egy PT-LAPTOP-NM-1W-AC vezetéknélküli interfészt beépíteni. A laptop bekapcsolása után a kapcsolat létrehozásához be kell állítani az AP-n meghatározott paramétereket. A kapcsolat sikeres felépülését a Packet Tracer szaggatott vonalakkal jelzi.

Vezetéknélküli kapcsolat beállítása a kliensen

Vezetéknélküli kapcsolat beállítása a kliensen

A PC és a laptop IP beállításait még manuális úton kell elvégezni, tesztelése szintén a ping paranccsal történhet.

Az ebben a példában használt Access Point egy eléggé egyszerű eszköz volt, csak 2.4 GHz-en működött, egy SSID-t volt képes szolgáltatni, mi több, IP címet sem tudtunk beállítani hozzá. Most építsünk fel egy skálázható, egyedi azonosítást lehetővé tevő vállalati környezetben is használható Wi-Fi megoldást!

11.1. Vezetéknélküli hálózatok vállalati környezetben

Vállalati Wi-Fi hálózatok kiépítésére SOHO eszközök csak kompromisszumok mellett használhatók. Egyrészt az önálló AP-k teljesítménye nem elég nagyobb terület lefedéséhez, az autonóm berendezések csak egyedileg konfigurálhatók, továbbá nem képesek a felhasználók egyedi azonosítására. Amikor egy munkavállaló távozik a cégtől, a hozzáférésének megszüntetését SOHO eszközök alkalmazása mellett csak a közösen használt jelszó cseréjével lehetne megoldani, ami megkövetelné az összes kliens jelszócseréjét is.

A megoldást olyan rendszerek jelentik, amelyben a központi azonosítást egy önálló berendezés, példánkban egy szerver végzi. Az egyes gyártók, így a Cisco is erre különböző célberendezéseket is kínálnak, de a megoldás egyszerűsége érdekében ezeken nem használjuk. A kiépítendő rendszer az alábbi ábrán látható:

Vállalati Wi-Fi hálózat központi azonosítással

Vállalati Wi-Fi hálózat központi azonosítással

Ebben a korábban használt AP-t most egy WRT300N vezetéknélküli interfészt is tartalmazó routerre cseréljük, melynek routing képességeire ugyan nem lesz szükségünk, viszont kihasználjuk, hogy képes WPA-t, azaz külső szerveren alapuló user adatbázist használni. Ezt az adatbázist a 192.168.1.5 IP című szerveren építjük fel. Valamelyest a kliens laptop beállításai is mások lesznek, hiszen most már nem egy közösen használt titkos jelszót, hanem usernevet és jelszót kell megadni a hálózati kapcsolat felépítéséhez.

Kezdjük a felhasználói adatbázis felépítésével, és a szolgáltatás bekapcsolásával! Ehhez egy szerverre van szükség, amelyet a switch-hez kapcsoltam, és 192.168.1.5-ös IP címre konfiguráltam.

Az azonosítási szolgáltatásokat az ún. AAA szerver végzi el, melynek beállítását a szerver Services lapján az AAA szolgáltatást kell elkezdeni. Ennek felső részén be kell kapcsolni a szolgáltatást. A Network Configuration blokkban meg kell adni, hogy melyik AP részére nyújtunk jelszóellenőrzési szolgáltatást, ez példánkban a 192.168.1.6 IP című vezeték nélküli router. A szolgáltatáshoz mindkét félnek jelszót kell megadnia, ez példánkban a titkosJelszo. A szerver típusa Radius, ezt a szoftvert számos rendszer képes igénybe venni azonosítási szolgáltatásokhoz. A szükséges paraméterek megadása után az Add gombot kell megnyomni, ez rögzíti a beállításainkat.

A User Setup lapon lehet felépíteni a felhasználói adatbázist a Username és a Password megadásával, majd itt is az Add gombot kell megnyomni.

AAA szerver beállítása

AAA szerver beállítása

Megjegyzés

Az AAA szerver betűszó, az Authentikáció, Authorizáció és Accounting szavak rövidítéséből áll elő, ahol az első az azonosítást, a második a hozzáférés szabályzását, a harmadik pedig a tevékenység naplózását jelenti. Ebben a példában csak az elsőt, az Authentikációt használtuk ki.

Most állítsuk be a WRT300N-t! Az IP címét Config lapon, a LAN szekcióban lehet beállítani, ez legyen 192.168.1.6. A vezetéknélküli kapcsolat paramétereit a Wireless szekcióban határozzuk meg, itt az SSID beállítása után most a WPA2 azonosítást választjuk ki. Mivel ez nem helyi jelszót használ, hanem a már beállított AAA szervert kéri azonosításra, értelemszerűen meg kell adni annak IP címét (192.168.1.5) és a kommunikációhoz használt jelszót (titkosJelszo).

Az AP beállítása AAA szerver használatára

Az AP beállítása AAA szerver használatára

Már csak a kliens beállítása van hátra, melyet a már megszokott panelen kell elvégezni. Az azonosítási módszer most tehát WPA lesz, amihez meg kell adni a felhasználó nevet és jelszót (kiss.lajos és titok).

Wi-Fi kliens beállítása egyedei azonosítással

Wi-Fi kliens beállítása egyedei azonosítással

A kapcsolat sikeres felépülését a Packet Tracer a szokásos módon, szaggatott vonalakkal jelzi.

11.2. Lehetséges biztonsági problémák

A vezetéknélküli hálózatok helytelen kialakítása számos probléma forrása lehet:

  • A nyílt Wi-Fi hálózatokat könnyen kihasználják a rossz szándékú felhasználók. Ezekhez kapcsolódva indítják csaló műveleteiket, küldik ki kéretlen leveleiket. Csak kifejezetten indokolt esetben hozzunk létre hozzáférési jelszót nem igénylő vezetéknélküli hálózatokat!

  • Amennyiben egy hálózatot nem csak az ott dolgozók vesznek igénybe, alakítsunk ki korlátozott vendég hozzáféréseket! Ezekkel megakadályozható, hogy idegenek számára lehetővé váljon a hálózati eszközeinkhez (pl. fájl- vagy adatbázis szervereinkhez) való hozzáférés.

  • Sajnos a WPA2 sem biztonságos már, egy komoly hibája már évek óta ismert, ráadásul az ezt kihasználó program (ennek KRACK a neve) is elérhető. Ezért csak olyan esetekben szabad ilyen kapcsolatot igénybe venni, ahol az esetleges adatszivárgás nem jelent komoly problémát.

  • A Wi-Fi hozzáférések QR kóddal is közzé tehetők, melyek generálására számos website kínál lehetőséget (pl. itt). Ezeket a kódokat a modern okostelefonok fényképező applikációjának elég „megmutatni”, melyet követően a beállítás automatikusan megtörténik.

  • A vezetéknélküli eszközök firmware-ét is rendszeresen frissíteni kell, amit sajnos gyakran elmulasztanak. Ezek feltörésével komoly hálózati problémák okozhatók, csalások indíthatók, így arról semmiképp sem szabad megfeledkezni!

11.3. Feladatok

  • Bővítsd a vezetéknélküli hálózatot egy újabb AP-val, és kapcsolódj ehhez egy másik felhasználó laptopjával!

  • Törölj az AAA szerverről egy felhasználót, és figyeld meg ennek hatását a vezetéknélküli kapcsolatra!

  • Alakítsd ki az alábbi hálózatot és konfiguráld be az egyes hálózati eszközöket! A vezetéknélküli hálózati azonosítás a 192.168.1.5 című AAA szerverről történjen! A két laptop használjon eltérő felhasználó neveket és jelszavakat!

kepAlaIras

kepAlaIras