Bu oldukça iyi (eğer biraz eskiyse (eğer 2006 eskiyse)), bunu komut satırından nasıl yapacağınızı gösteren bir yazı.
http://www.linux.com/archive/feed/55617
Kablosuz cihazınızın çalıştığını varsayalım. Tamam, muhtemelen köprüleme bölümünde yarıya kadar inebilirsiniz.
Wi-Fi Korumalı Erişim sürüm 2 ( WPA2 ), kablosuz ağların güvenliği için fiili standart haline geldi ve Wi-Fi Alliance tarafından onaylanan tüm yeni Wi-Fi ürünleri için zorunlu bir özellik haline geldi . Selefi WEP'in güvenlik zayıflıklarını hepimiz biliyoruz; bu sefer doğru anladılar. WPA2 protokolünü bir Linux ana bilgisayarına nasıl uygulayacağınız ve ağınız için güvenli bir kablosuz erişim noktası (WAP) nasıl oluşturacağınız.
Tüketici sınıfı ticari WAP'ların çoğu aynı basit şekilde çalışır: kablolu (Ethernet) bir ağ arayüzü ile kablosuz olan arasında bir köprü oluştururlar. Biz de aynen böyle yapacağız. WAP kısmı hostapd tarafından ele alınacakDaemon, bu yüzden desteklediği bir kablosuz arayüz seçmelisiniz. Desteklenen NIC'ler arasında Prizma 2 / 2.5 / 3, Atheros ar521x ve Prizma GT / Duette / Indigo yonga setleri; hostapd ana sayfasında, her yonga seti için Linux sürücüleri için bağlantılar bulunur. WAP'ımda hostapd tarafından desteklenen bir Atheros AR5212 tabanlı PCI kartım var. Herhangi bir Pentium (veya daha yeni) sistemin çalışmasına rağmen, bazı PCI kablosuz kartların çalışması için PCI 2.2 gerekir, bu yüzden satın almadan önce sisteminizin anakart özelliklerini kontrol ettiğinizden emin olun. WAP'ınızı LAN'a bağlamak için Linux tarafından desteklenen bir Ethernet arayüzüne de ihtiyacınız olacak; çoğu dahili arabirim sadece iyi çalışacaktır.
Kurulumum Debian Test (Etch) 'e dayanıyor, ancak yeni bir 2.6 çekirdeği olan herhangi bir GNU / Linux dağıtımı işe yarayacak. Çekirdek 802.1d Ethernet Köprülemeyi (CONFIG_BRIDGE) ve Kablosuz LAN'ı (CONFIG_NET_RADIO) desteklemelidir. Çoğu varsayılan stok çekirdeğinde bu özellikler etkindir, ancak kendi çekirdeğinizi oluşturmayı tercih ediyorsanız, bu seçenekleri eklediğinizden emin olun. Kurmanız gereken diğer paketler, hostapd dışında, bridge-utils ve kablosuz-aletlerdir . Başlıca GNU / Linux dağıtımları tüm bu programlar için ikili paketler sunar, ancak bunları kaynaktan oluşturmayı tercih ederseniz, ana sayfalarında daha fazla bilgi bulabilirsiniz.
İki arayüzü bir araya getirmeden önce kablosuz arayüzü (benim durum ath0; kurulumunuza uyacak şekilde ayarlayın) hostap veya Master moduna koymalıyız. Genellikle iwconfig ath0 mode Master'ı çalıştırmak kadar basittir, ancak Linux'ta wlan desteği henüz standartlaştırılmadığından, bazı sürücüler ek yapılandırma gerektirebilir. Atheros tabanlı bir arayüze sahipseniz, aşağıdakileri de çalıştırmanız gerekir: komuttan wlanconfig ath0 destroy; wlanconfig ath0 create wlandev wifi0 wlanmode ap
önce iwconfig
. Ondan sonra koşma , diğerleri arasında iwconfig ath0
dönecektir mode:Master
.
Şimdi köprüyü yaratalım. Ethernet arayüzünün eth0 olduğunu varsayalım:
ifconfig eth0 0.0.0.0 up
ifconfig ath0 0.0.0.0 up
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 ath0
Ve köprüyü durdurduğun için kaçmalısın:
ifconfig br0 down
ifconfig eth0 0.0.0.0 down
ifconfig ath0 0.0.0.0 down
brctl delif br0 eth0
brctl delif br0 ath0
brctl delbr br0
Örneğin SSH kullanarak WAP ana bilgisayarına ağdan erişmek istiyorsanız, isteğe bağlı olarak br0 arabirimine bir IP adresi verebilirsiniz. Her dağıtım ağı yapılandırmak için kendi yolunu sunar; Debian kullanıyorsanız (veya Ubuntu gibi herhangi bir Debian tabanlı dağıtım kullanıyorsanız), önceki komutların tümünü aşağıdakileri /etc/network/interfaces
dosyaya ekleyerek tamamlayabilirsiniz :
auto ath0 br0
iface ath0 inet manual
pre-up wlanconfig ath0 destroy
pre-up wlanconfig ath0 create wlandev wifi0 wlanmode ap
post-down wlanconfig ath0 destroy
wireless-mode master
iface br0 inet manual
bridge_ports eth0 ath0
O Not ifupdown
Eğer bunun için ayrı bir dörtlük gerekmez kolları, otomatik eth0 /etc/network/interfaces
. Köprünün doğru yapılandırıldığını doğrulamak için çalıştırın brctl show
. Buna karşılık böyle bir şey almalısın:
bridge name bridge id STP enabled interfaces
br0 8000.00032f2481f0 no ath0
eth0
Hotstapd ile uğraşmaya başlamadan önce, WPA2 için bir geçiş cümlesi gerekir. Tüm şifreler gibi, rastgele olmalı ve bu nedenle tahmin edilmesi zor olmalıdır. Rastgele bir geçiş ifadesi almanın güzel bir yolu Gibson Research Corp.'un Ultra Yüksek Güvenlikli Şifre Oluşturucu'yu ziyaret etmek ve oluşturduğu üçüncü şifreyi kullanmaktır - 63 rastgele alfa-sayısal karakter (az, AZ, 0-9). Alfa nümerik olmayan ASCII karakterleri (örneğin,!, @ Vb.) İçeren bir parolaya sahip olmak cazip gelebilir, ancak bazı istemciler - yani Windows XP - bunlardan hoşlanmıyor gibi görünüyor.
Şimdi adlandırılmış yeni bir metin dosyası oluşturun /etc/hostapd/wpa_psk
ve şifrenizi aşağıdaki gibi yapıştırın:
00:00:00:00:00:00 PASSPHRASE
Sıfırlara sahip ilk bölüm 'tüm MAC adresleriyle eşle' anlamına gelir ve tam olarak bunu yapar. Her müşterinin MAC adresi ve parolasıyla dosyaya yeni bir satır ekleyerek, her müşteri için farklı parolalar da kullanabilirsiniz. Çalıştırarak yalnızca kök dosyasının bu dosyaya erişebildiğinden emin olun chmod 600 /etc/hostapd/wpa_psk
.
Şimdi hostapd'ın ana konfigürasyon dosyasını yedekleyin /etc/hostapd/hostapd.conf
ve çalıştırarak referans olarak saklayın mv /etc/hostapd/hostapd.conf /etc/hostapd/hostapd.conf.orig
. Yeni bir hostapd.conf dosyası oluşturun ve aşağıdaki satırları içine yapıştırın:
interface=ath0
bridge=br0
driver=madwifi
logger_syslog=-1
logger_syslog_level=2
logger_stdout=-1
logger_stdout_level=2
debug=0
dump_file=/tmp/hostapd.dump
ctrl_interface=/var/run/hostapd
ctrl_interface_group=0
ssid=My_Secure_WLAN
#macaddr_acl=1
#accept_mac_file=/etc/hostapd/accept
auth_algs=3
eapol_key_index_workaround=0
eap_server=0
wpa=3
wpa_psk_file=/etc/hostapd/wpa_psk
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
stakey=0
İtalik bölümündeki parçaları kurulumunuza uygun bilgilerle değiştirin. Yalnızca belirli istemcilerin bağlanmasına izin vermek istiyorsanız, yukarıdaki iki satırdaki # karakterini kaldırın ve bu istemcilerin MAC adreslerini kopyalayın /etc/hostapd/accept
ve bu dosyayı yalnızca root ile erişilebilir hale getirin (chmod 600). Kullanılan seçenekler hakkında daha fazla bilgi için, daha önce oluşturduğunuz yedekleme dosyasındaki yorumları okuyun (hostapd.conf.orig).
Hostapd daemon ( /etc/init.d/hostapd start
) uygulamasını başlatın ve /var/log/daemon.log
çalıştığını doğrulayın. option debug=
Arka plan programı gelmezse, hata ayıklama düzeyini ( hostapd.conf'ta) 4'e yükseltin ve tekrar deneyin.
Şimdi bir istemciden mevcut kablosuz ağları tarıyorsanız, ESSID'nizi görmelisiniz. WAP'a bir Linux istemcisinden bağlanmak için, wpa_supplicant'ı kurmanız ve /etc/wpa_supplicant/
aşağıdaki gibi wpa_supplicant.conf (Debian'da yüklü ) bir yapılandırma dosyası oluşturmanız gerekir :
update_config=1
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=1
fast_reauth=1
network={
ssid="My_Secure_WLAN"
proto=RSN
key_mgmt=WPA-PSK
pairwise=CCMP
group=CCMP
psk="PASSPHRASE"
priority=5
}
Yine kurulumunuza uygun şekilde italik parçaları değiştirin ve çalıştırın wpa_supplicant -i eth1 -D wext -c /etc/wpa_supplicant/wpa_supplicant.conf
( eth1
wlan arabirim adınızla değiştirin ve kartınız için uygun sürücüyle silin; daha fazla bilgi için wpa_supplicant komutunu çalıştırın). Bu komut, ön planda wpa_supplicant'ı başlatır ve WAP'a bağlanmaya çalışır. Çıktı aşağıdaki gibi görünüyorsa, ayarlanmışsınızdır:
Trying to associate with 00:11:22:33:44:55 (SSID='My_Secure_WLAN' freq=0 MHz)
Associated with 00:11:22:33:44:55
WPA: Key negotiation completed with 00:11:22:33:44:55 [PTK=CCMP GTK=CCMP]
CTRL-EVENT-CONNECTED - Connection to 00:11:22:33:44:55 completed (auth) [id=0 id_str=]
Kablosuz arabiriminize statik bir IP adresi verin (veya bir DHCP istemcisi çalıştırın) ve bağlantının çalıştığını doğrulamak için LAN'ınızın içindeki bir ana bilgisayarı pinglemeye çalışın.
Tebrikler, az önce özelleştirilebilir bir kablosuz erişim noktası oluşturdunuz. Bu kurulum ev veya küçük ofis kullanımı için ideal olsa da, RADIUS sunucusuyla veya daha da iyisi bir VPN ile kimlik doğrulaması ile şirkette daha güçlü bir şeye ihtiyacınız var.