| SUSE Linux Enterprise Desktop dokumentáció III. rész - Rendszer / 29. fejezet - Vezetéknélküli kommunikáció | ||||
|---|---|---|---|---|
 | 28.6. A YaST Energiagazdálkodás modulja | 29.2. Bluetooth |  | |
| SUSE Linux Enterprise Desktop dokumentáció III. rész - Rendszer / 29. fejezet - Vezetéknélküli kommunikáció | ||||
|---|---|---|---|---|
| 28.6. A YaST Energiagazdálkodás modulja | 29.2. Bluetooth | | |
Tartalomjegyzék
Kivonat
Számos lehetőség áll rendelkezésre a Linux-rendszer és más számítógépek, mobiltelefonok vagy perifériák kommunikációjához. A WLAN (vezetéknélküli LAN) hálózati noteszgépekhez használható. Bluetooth segítségével egyedi rendszerkomponensek (egér, billentyűzet), perifériák, mobiltelefonok, PDA-k és egyéni számítógépek köthetők össze. Az IrDA-t többnyire PDA-kal és mobiltelefonokkal való kommunikációhoz használják. Az Universal Mobile Telecommunications System (UMTS), másik nevén 3G nevű szabvány egy mobiltelefon-technológiát ír le, amely számos multimédiás szolgáltatást kínál, a webböngészéstől egészen az üzenetek küldéséig és fogadásáig. Ez a fejezet ezeket a technológiákat és beállításukat mutatja be.
A vezetéknélküli LAN-ok a mobil számítástechnika nélkülözhetetlen tényezőjévé váltak. Manapság a legtöbb noteszgép rendelkezik beépített WLAN-kártyával. A WLAN-kártyák vezetéknélküli kommunikációjához használt 802.11 szabványt az IEEE szervezet készítette elő. A szabvány eredetileg 2 MBit/s maximális átviteli sebességet biztosított. Időközben azonban az adatsebesség növelése érdekében többször is kiegészítésre került. A kiegészítések meghatározzák az olyan részleteket, mint például a moduláció, az átvitel kimenete és átviteli sebesség:
29.1. táblázat - A különböző WLAN-szabványok áttekintése
Név | Sáv (GHz) | Maximális átviteli sebesség (MBit/s) | Megjegyzés |
|---|---|---|---|
802.11 | 2.4 | 2 | Elavult; gyakorlatilag nincsenek ilyen végberendezések |
802.11b | 2.4 | 11 | Széles körben elterjedt |
802.11a | 5 | 54 | Kevésbé általános |
802.11g | 2.4 | 54 | Visszamenőlegesen kompatibilis a 11b-vel |
Ezen felül egyedi szabványok is léteznek, mint például a Texas Instruments 22 MBit/s-es maximális sebességű 802.11b változata (a 802.11b+ elnevezést is használják). Az ilyen szabványt használó kártyák népszerűsége mérsékelt.
A SUSE Linux Enterprise® nem támogatja a 802.11 szabványt használó kártyákat. A 802.11a, 802.11b és 802.11g szabványt használó kártyák nagy része támogatott. Az új kártyák általában a 802.11g szabványnak felelnek meg, de a 802.11b-t használók tábora is nagy. Jellemzően az alábbi lapkákkal rendelkező kártyák támogatottak:
Aironet 4500, 4800
Atheros 5210, 5211, 5212
Atmel at76c502, at76c503, at76c504, at76c506
Intel PRO/Wireless 2100, 2200BG, 2915ABG, 3945ABG
Intersil Prism2/2.5/3
Intersil PrismGT
Lucent/Agere Hermes
Texas Instruments ACX100, ACX111
ZyDAS zd1201
Számos régebbi, alig használt és már nem elérhető kártya is támogatott. Az általuk használt WLAN-kártyák és -lapkák átfogó listája az AbsoluteValue Systems weboldalán (http://www.linux-wlan.org/docs/wlan_adapters.html.gz) érhető el. A http://wiki.uni-konstanz.de/wiki/bin/view/Wireless/ListeChipsatz a különböző WLAN-lapkák áttekintéséről ad információt.
Néhány kártya egy firmware képfájlt igényel, amelyet az illesztőprogram inicializálásakor be kell tölteni a kártyába. Ilyen például az Intersil PrismGT, az Atmel és a TI ACX100 ill. ACX111. A firmware a YaST Online Update segítségével egyszerűen telepíthető. Az Intel PRO-Wireless kártyák firmware-je része a SUSE Linux Enterprise-nak és ha a YaST ilyen típusú kártyát észlel, akkor automatikusan telepíti. A témával kapcsolatos további információ a telepített rendszer /usr/share/doc/packages/wireless-tools/README.firmware fájljában olvasható.
A vezetéknélküli hálózatok világában számos technikát és beállítást használnak a gyors, megbízható, biztonságos kapcsolatok érdekében. A különféle működési típusok különféle helyzetekhez a legalkalmasabbak. Nem egyszerű kiválasztani a legjobb hitelesítési módszert sem. A rendelkezésre álló titkosítási eljárásoknak vannak előnyei és hátrányai is.
A vezetéknélküli hálózatok alapvetően vezérelt és ad-hoc hálózatokként osztályozhatók. A vezérelt hálózatok rendelkeznek egy vezérlő eszközzel, ez a hozzáférési pont. Ebben a módban (infrastruktúra módnak is hívják) a hálózatban lévő WLAN-állomások minden kapcsolata átmegy a hozzáférési ponton, amely Ethernet csatlakozási pontként is működik. Az ad-hoc hálózatokban nincs hozzáférési pont. Az állomások közvetlenül egymással kommunikálnak. A ad-hoc hálózatokban az átviteli hatókör és a résztvevő állomások száma nagyon korlátozott. A hozzáférési pont használata általában hatékonyabb megoldást jelent. WLAN-kártya is használható hozzáférési pontként. A legtöbb kártya támogatja ezt a működést.
Mivel a vezetéknélküli hálózatok lehallgatása és támadása egyszerűbb, mint a vezetékes hálózatoké, a különböző szabványok hitelesítési és titkosítási eljárásokat is tartalmaznak. Az IEEE 802.11 szabvány eredeti változatában ezek a WEP kifejezés alatt voltak leírva. Mivel azonban a WEP bizonyítottan nem biztonságos (lásd: 29.1.5.2. szakasz - Biztonság), a (Wi-Fi Alliance név alatt egyesült) WLAN iparág egy új, WPA nevű kiterjesztést adott ki, amelynek célja a WEP gyengeségeinek kiküszöbölése. A későbbi IEEE 802.11i szabvány (WPA2-nek is hívják, mivel a WPA a 802.11i draft változatára épül) WPA-t és néhány másik hitelesítési és titkosítási szabványt foglal magában.
Annak biztosításához, hogy csak a jogosult állomások csatlakozhassanak, a vezérelt hálózatokban különböző hitelesítési mechanizmusok kerülnek alkalmazásra:
A nyílt rendszer nem igényel hitelesítést. Bármely állomás csatlakozhat a hálózatra. Mindamellett WEP titkosítás (lásd: 29.1.2.3. szakasz - Titkosítás) használható.
Ebben az eljárásban a hitelesítéshez a WEP-kulcsot használják. Ez az eljárás azonban nem javasolt, mivel a WEP-kulcs érzékenyebb a támadásokra. A támadónak elég csupán egy ideig figyelnie az állomás és a hozzáférési pont közötti kommunikációt. A hitelesítési folyamat során mindkét oldal ugyanazt az információt cseréli ki, egyszer titkosított és egyszer titkosítatlan formában. Így a kulcs a megfelelő eszközök segítségével újból előállítható. Mivel ez az eljárás a WEP-kulcsot használja hitelesítéshez és titkosításhoz, nem javítja a hálózat biztonságát. A megfelelő WEP-kulccsal rendelkező állomás hitelesítést, titkosítást és visszafejtést végezhet. A kulccsal nem rendelkező állomás nem tudja visszafejteni a kapott csomagokat. Következésképp nem tud kommunikálni, függetlenül attól, hogy tudta-e hitelesíteni magát.
A WPA-PSK (a PSK az előre megosztott kulcsot (Pre-Shared Key) jelenti) a megosztott kulcsos eljáráshoz hasonlóan működik. Minden résztvevő állomás és a hozzáférési pont ugyanazt a kulcsot használja. A kulcs 256 bites és általában jelszóként kerül megadásra. Ez a rendszer nem igényel olyan bonyolult kulcskezelést, mint a WPA-EAP és privát használatra jobban megfelel. Ezért a WPA-PSK-t „Otthoni” WPA-nak (WPA Home) is nevezik.
A WPA-EAP valójában nem hitelesítési rendszer, hanem hitelesítési információ átvitelére szolgáló protokoll. A WPA-EAP a vállalati vezetéknélküli hálózatokat védi. Magánhálózatokban nem nagyon használják. Emiatt a WPA-EAP-t „Vállalati” WPA-nak (WPA Enterprise) is szokás hívni.
A WPA-EAP Radius kiszolgálót használ a felhasználók hitelesítéséhez. Az EAP háromféle módszert kínál a kiszolgálóhoz csatlakozásra és hitelesítésre: TLS (Transport Layer Security), TTLS (Tunneled Transport Layer Security) és PEAP (Protected Extensible Authentication Protocol). Nagyon röviden, ezek a lehetőségek a következőket jelentik:
A TLS-hitelesítés lényege, hogy a kiszolgáló és a kliens kölcsönösen tanúsítványokat cserél. Először a kiszolgáló mutatja be a saját tanúsítványát a kliensnek, amelyik azt megvizsgálja. Ha tanúsítványt érvényesnek találja, akkor a kliens mutatja be tanúsítványát a kiszolgálónak. A TLS biztonságos rendszer, de a használatához szükség van a hálózatban egy működő tanúsítványkezelő infrastruktúrára. Ilyen infrastruktúra ritkán található magánhálózatokban.
A TTLS és a PEAP kétszakaszos protokollok. Az első szakaszban egy biztonságos kapcsolat létesül és a másodikban történik meg a kliens hitelesítési adatainak a továbbítása. Sokkal kevesebb extra tanúsítványkezelést igényelnek, mint a TLS (vagy akár nincs is szükség rá).
Többféle titkosítási eljárás áll rendelkezésre annak biztosításához, hogy jogosulatlan személyek ne olvashassák el a vezetéknélküli hálózatban forgalmazott csomagokat és ne férhessenek hozzá a hálózathoz:
Ez a szabvány az RC4 titkosítási algoritmust használja, kezdetben 40 bites kulccsal, később 104 bitessel is. A hosszát gyakran 64 vagy 128 bitként adják meg, ha a 24 bites inicializálási vektort beleszámolják. A szabványnak van néhány gyenge pontja. A rendszer által előállított kulcsok elleni támadás sikeres lehet. Ennek ellenére jobb WEP-et használni, mint egyáltalán nem titkosítani a hálózatot.
A WPA szabványban megadott kulcskezelési protokoll ugyanazt a titkosítási algoritmust használja, mint a WEP, de kiküszöböli annak gyengeségeit. Mivel minden adatcsomaghoz új kulcs kerül előállításra, a kulcsok elleni támadás nem sikerülhet. A TKIP-t a WPA-PSK-val együtt használják.
A CCMP a kulcskezelést írja le. Ezt általában a WPA-EAP-vel együtt használják, de WPA-PSK-val is használható. A titkosítás az AES-nek megfelelően történik és ez erősebb, mint a WEP szabvány RC4 titkosítása.
A vezetéknélküli hálózati kártya beállításához indítsa el a YaST modulját. Itt lehet azt is kiválasztani, hogy a hálózati kártya beállításához a YaST-ot vagy a NetworkManagert kívánja használni. Ha a YaST-ot választotta, akkor a részben jelölje meg a típust, majd kattintson a gombra. A részben (29.1. ábra - YaST: vezetéknélküli hálózati kártya beállítása) adja meg a WLAN-működés alapvető beállításait:
A WLAN-ba egy állomás háromféleképp illeszkedhet be. A megfelelő mód a hálózattól függ, amelyben a kommunikáció zajlik: (hozzáférési pont nélküli egyenrangú hálózat), (hozzáférési pont által vezérelt hálózat) vagy (a hálózati kártya hozzáférési pontként kerül használatra). A WPA-PSK vagy WPA-EAP módok bármelyikének használatához a működési mód csak lehet.
A vezetéknélküli hálózat minden állomásának ugyanarra az ESSID-re van szüksége az egymással való kommunikációhoz. Ha semmi nincs megadva, akkor a kártya automatikusan kiválaszt egy hozzáférési pontot, amely nem biztos, hogy megegyezik a használni kívánttal.
A hálózathoz válasszon ki egy megfelelő hitelesítési módot: , , vagy . Ha WPA-hitelesítést választ, akkor a hálózat nevét be kell állítani.
Ez a gomb megnyit egy párbeszédablakot a WLAN-kapcsolat részletes beállításához. A párbeszédablak részletes leírása lejjebb látható.
Az alapszintű beállítások megadása után az állomás készen áll a WLAN-ban való használatra.
![[Important]](admon/important.png) | Biztonság a vezetéknélküli hálózatokban |
|---|---|
A hálózati forgalom védelme érdekében feltétlenül használja valamelyik támogatott hitelesítési és titkosítási eljárást. A titkosítatlan WLAN-kapcsolatok lehetővé teszik a hálózati adatok lehallgatását. Még a gyenge titkosítás (WEP) is jobb, mint a semmi. További információ: 29.1.2.3. szakasz - Titkosítás és 29.1.5.2. szakasz - Biztonság. | |
A kiválasztott hitelesítési eljárástól függően a YaST egy másik párbeszédablakban felszólítja a felhasználót a beállítások finomhangolására. hálózat esetén nem kell semmit beállítani, mivel ez a lehetőség hitelesítés nélküli titkosítatlan működést valósít meg.
Állítson be egy kulcsbeviteli típust. Az alábbiak közül választhat: , vagy . Az átvitt adatok titkosításához maximum négy különböző kulcs tartható fenn. A kulcsbeállítási párbeszédablakba belépéshez kattintson a menüpontra. Adja meg a kulcs hosszát: vagy . Az alapértelmezett beállítás a . A párbeszédablak alsó részén található listaterületen maximum négy különböző kulcs adható meg az állomás titkosításához. Az egyik alapértelmezett kulcsként való megadásához kattintson az gombra. Hacsak meg nem változtatja, akkor a YaST az elsőként megadott kulcsot használja alapértelmezettként. Az alapértelmezett kulcs törlése esetén egy másik kulcsot kell kézzel alapértelmezettként megjelölni. A meglévő listabejegyzések módosításához vagy új kulcsok létrehozásához kattintson a gombra. Ebben az esetben egy előugró ablakban ki kell választani egy beviteli típust (, vagy ). Ha a lehetőséget választja, akkor adjon meg egy szót vagy karaktersorozatot, amelyből a kulcs a korábban megadott hossznak megfelelően létrehozásra kerül. Az 64 bites kulcs esetén 5, 128 bites kulcs esetén pedig 13 karakteres bemenet megadását kéri. A lehetőség esetén 64 biteshez 10, 128 bites hexadecimális formátumú kulcshoz pedig 26 karaktert kell megadni.
WPA-PSK kulcs megadásához a vagy beviteli eljárást válassza. módban a bemenet 8 - 63 karakter lehet. módban 64 karaktert kell megadni.
Adja meg a hálózati rendszergazda által biztosított hitelesítési adatokat. TLS esetében az , , és értékeket kell megadni. A TTLS és a PEAP esetében az és a értékekre van szükség. A és az használata nem kötelező. A YaST ezek után az /etc/cert alatt keresi a tanúsítványokat, tehát mentse ide a rendelkezésre álló tanúsítványokat, illetve védje 0600 (tulajdonos írás-olvasás) beállítással a fájlokat a jogosulatlan hozzáférés ellen.
A gombra kattintva léphet be a WPA-EAP konfiguráció speciális hitelesítési párbeszédablakába.. Válassza ki a hitelesítési eljárást az EAP-TTLS vagy EAP-PEAP kommunikáció második szakaszához. Haz az előző ablakban a TTLS-t válaszotta, akkor válassza ki a Mind, MD5, GTC, CHAP, PAP, MSCHAPv1 vagy MSCHAPv2 lehetőséget. Ha a PEAP-t válaszotta, akkor a Mind, MD5, GTC ésMSCHAPv2 közül választhat. A beállítással lehet kényszeríteni egy bizonyos PEAP-implementáció használatát, ha az automatikusan meghatározott beállítások nem lennének megfelelők.
A WLAN-kapcsolat alapszintű beállításait biztosító párbeszédablak elhagyásához és a szakértői beállításokat biztosító ablakba lépéshez kattinson a gombra. A párbeszédablakban az alábbi lehetőségek állnak rendelkezésre:
A csatornát, amelyet a WLAN-állomásnak használnia kell, csak , illetve módban kell megadni. módban a kártya automatikusan megkeresi a hozzáférési ponthoz rendelkezésre álló csatornákat. módban az állomás másik állomásokkal való kommunikációjához válassza ki a felkínált tizenkét csatorna egyikét. módban adja meg, hogy a kártyának mely csatornán kell hozzáférési pont funkciót biztosítania. Az alapértelmezett beállítás az .
A hálózat teljesítményétől függően elképzelhető, hogy az átvitelhez az egyik pontról a másikra be kíván állítani egy adott bitsebességet. Az alapértelmezett beállításban a rendszer a lehető legnagyobb adatátviteli sebességet próbálja meg használni. Néhány WLAN-kártya nem támogatja a bitsebesség beállítását.
Több hozzáférési ponttal rendelkező környezetben a MAC-cím megadásával az egyik előzetesen kiválasztható.
A hostap (hostap csomag) szolgál a WLAN-kártya hozzáférési pontként működtetésére. A csomaggal kapcsolatos további információ a projekt honlapján érhető el (http://hostap.epitest.fi/).
A kismet (kismet csomag) egy hálózatdiagnosztikai eszköz, amellyel a WLAN-csomagforgalom figyelhető. Ily módon a hálózatba való behatolási kísérletek is detektálhatók. További információ a http://www.kismetwireless.net/ címen és a kézikönyvoldalon található.
Az alábbi tippek segíthetnek a WLAN sebességének, stabilitásának, valamint biztonsági tényezőinek beállításában.
A vezetéknélküli hálózat teljesítménye és megbízhatósága főként attól függ, hogy a résztvevő állomások tiszta jelet kapnak-e a többi állomástól. A különböző akadályok, mint például a falak, lényegesen gyengítik a jelet. Minél jobban csökken a jel erőssége, annál jobban lelassul az átvitel. A működés során a konzolon (Csatlakozás minősége mező) az iwconfig, a NetworkManager vagy a KNetworkManager segítségével ellenőrizze a jel erősségét. Ha problémája van a jel minőségével, akkor próbálja meg az eszközöket valahol másutt beállítani vagy állítson a hozzáférési pontok antennáinak pozícióján. Számos PCMCIA WLAN kártyához vételt javító kiegészítő antennák is kaphatók. A gyártó által megadott sebesség (például 54 MBit/s) egy névleges érték, amely az elméleti maximumot jelenti. Gyakorlatban a maximális adatátviteli sebesség nem több, mint a megadott érték fele.
Ha vezetéknélküli hálózatot kíván beállítani, akkor ne feledje el, hogy biztonsági intézkedések nélkül azt az átviteli hatókörben lévő személyek közül bárki könnyen elérheti. Ezért mindenképpen alkalmazzon valamilyen titkosítási eljárást. Minden WLAN-kártya és hozzáférési pont támogatja a WEP titkosítást. Bár nem teljesen biztonságos, némi akadályt azért jelent egy potenciális támadó számára. A WEP saját használatra általában megfelelő. A WPA-PSK jobb, de a régi hozzáférési pontok és WLAN funkcióval rendelkező útválasztók nem támogatják. Néhány eszközön a WPA firmware-frissítés után használható. Ezenfelül a Linux nem minden hadverkomponensen támogatja a WPA-t. A dokumentáció készítésekor a WPA csak Atheros, Intel PRO/Wireless és Prism2/2.5/3 lapkákat használó kártyákkal működött. Prism2/2.5/3 lapkákon a WPA csak a hostap illesztőprogram alkalmazása esetén működik (lásd: 29.1.6.2. szakasz - Problémák a Prism2 kártyákkal). Ha nem áll rendelkezésre WPA, akkor a WEP még mindig jobb, mint ha egyáltalán nincs titkosítás. Speciális biztonsági követelményeket támasztó vállalatokban a vezetéknélküli hálózatok csak WPA-val használhatók.
Ha a WLAN-kártya nem válaszol, akkor ellenőrizze, hogy letöltötte-e a szükséges firmware-t. Ezzel kapcsolatban forduljon a 29.1.1. szakasz - Hardver részhez. Az alábbi bekezdések néhány ismert problémát mutatnak be.
A modern noteszgépek általában hálózati kártyával és WLAN-kártyával is rendelkeznek. Ha mindkét eszközt DHCP (automatikus címkiosztás) használatára állította be, akkor probléma lehet a névfeloldással és az alapértelmezett ájáróval. Ez nyilvánvaló abból, ha az útválasztót tudja pingelni, de nem tud böngészni az Interneten. A http://en.opensuse.org/SDB:Name_Resolution_Does_Not_Work_with_Several_Concurrent_DHCP_Clients címen található Támogatási adatbázisban van egy, a témakörrel kapcsolatos cikk.
Számos illesztőprogram érhető el a Prism2 lapkákra épülő eszközökhöz. A különböző kártyák többé-kevésbé problémamentesen működnek a különböző illesztőprogramokkal. Ezen kártyákkal WPA csak a hostap illesztőprogram alkalmazása esetén használható. Ha egy ilyen kártya nem működik megfelelően vagy egyáltalán nem működik, illetve ha WPA-t kíván használni, olvassa el az /usr/share/doc/packages/wireless-tools/README.prism2 fájl tartalmát.
WPA-támogatás először került megvalósításra a SUSE Linux Enterprise-ban és még fejlesztés alatt áll. Ezért a YaST csak a WPA-PSK beállítását teszi lehetővé. A WPA számos kártyával nem működik. A WPA használatához számos kártyán firmware-frissítést kell elvégezni. Ha WPA-t kíván használni, akkor olvassa el az /usr/share/doc/packages/wireless-tools/README.wpa fájlt.
Jean Tourrilhes (aki a vezetéknélküli eszközöket fejlesztette Linuxhoz) oldalain sok, a vezetéknélküli hálózatokkal kapcsolatos hasznos információ található. Lásd: http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.html
