Novell Doc: Kézikönyv - Vezetéknélküli LAN

30.1 Vezetéknélküli LAN

A vezetéknélküli LAN-ok a mobil számítástechnika nélkülözhetetlen tényezojévé váltak. Manapság a legtöbb noteszgép rendelkezik beépített WLAN-kártyával. A WLAN-kártyák vezetéknélküli kommunikációjához használt 802.11 szabványt az IEEE szervezet készítette elo. A szabvány eredetileg 2 MBit/s maximális átviteli sebességet biztosított. Idoközben azonban az adatsebesség növelése érdekében többször is kiegészítésre került. A kiegészítések meghatározzák az olyan részleteket, mint például a moduláció, az átvitel kimenete és átviteli sebesség (lásd: Táblázat 30-1). Számos cég valósít meg hardvereszközöket egyedi, vagy még csak szabványvázlat formájában létezo funkciókkal.

Táblázat 30-1 A különbözo WLAN-szabványok áttekintése

Név	Sáv (GHz)	Maximális átviteli sebesség (MBit/s)	Megjegyzés
802.11 Legacy	2.4	2	Elavult; gyakorlatilag nincsenek ilyen végberendezések
802.11a	5	54	Kevésbé érzékeny az interferenciákra
802.11b	2.4	11	Kevésbé általános
802.11g	2.4	54	Széles körben elterjedt, visszamenolegesen kompatibilis a 11b-vel
802.11n vázlat	2.4 és/vagy 5	300	Közös

Az openSUSE nem támogatja a 802.11 Legacy kártyákat. A legtöbb 802.11a, 802.11b, 802.11g és 802.11n vázlat szabványnak megfelelo kártya támogatott. Az új kártyák általában a 802.11n szabványnak felelnek meg, de a 802.11g-t használók tábora is nagy.

30.1.1 Funkció

A vezetéknélküli hálózatok világában számos technikát és beállítást használnak a gyors, megbízható, biztonságos kapcsolatok érdekében. A különféle muködési típusok különféle helyzetekhez a legalkalmasabbak. Nem egyszeru kiválasztani a legjobb hitelesítési módszert sem. A rendelkezésre álló titkosítási eljárásoknak vannak elonyei és hátrányai is.

A vezetéknélküli hálózatok alapvetoen vezérelt és ad-hoc hálózatokként osztályozhatók. A vezérelt hálózatok rendelkeznek egy vezérlo eszközzel, ez a hozzáférési pont. Ebben a módban (infrastruktúra módnak is hívják) a hálózatban lévo WLAN-állomások minden kapcsolata átmegy a hozzáférési ponton, amely Ethernet csatlakozási pontként is muködik. Az ad-hoc hálózatokban nincs hozzáférési pont. Az állomások közvetlenül egymással kommunikálnak, ezért egy ad-hoc hálózat álalában gyorsabb, mint egy felügyelt hálózat. A ad-hoc hálózatokban azonban az átviteli hatókör és a résztvevo állomások száma nagyon korlátozott. Ezenfelül nem támogatják a WPA-hitelesítést sem. Ezért általában hozzáférési pontot használnak. WLAN-kártya is használható hozzáférési pontként. Egyes kártyák támogatják ezt a muködést.

Hitelesítés

Mivel a vezetéknélküli hálózatok lehallgatása és támadása egyszerubb, mint a vezetékes hálózatoké, a különbözo szabványok hitelesítési és titkosítási eljárásokat is tartalmaznak. Az IEEE 802.11 szabvány eredeti változatában ezek a WEP kifejezés alatt voltak leírva. Mivel azonban a WEP bizonyítottan nem biztonságos (lásd: Biztonság), a (Wi-Fi Alliance név alatt egyesült) WLAN iparág egy új, WPA nevu kiterjesztést adott ki, amelynek célja a WEP gyengeségeinek kiküszöbölése. A késobbi IEEE 802.11i szabvány (WPA2-nek is hívják, mivel a WPA a 802.11i draft változatára épül) WPA-t és néhány másik hitelesítési és titkosítási szabványt foglal magában.

Annak biztosításához, hogy csak a jogosult állomások csatlakozhassanak, a vezérelt hálózatokban különbözo hitelesítési mechanizmusok kerülnek alkalmazásra:

Megnyitva

A nyílt rendszer nem igényel hitelesítést. Bármely állomás csatlakozhat a hálózatra. Mindamellett WEP titkosítás (lásd: Titkosítás) használható.

Megosztott kulcs (az IEEE 802.11 szabványnak megfeleloen)

Ebben az eljárásban a hitelesítéshez a WEP-kulcsot használják. Ez az eljárás azonban nem javasolt, mivel a WEP-kulcs érzékenyebb a támadásokra. A támadónak elég csupán egy ideig figyelnie az állomás és a hozzáférési pont közötti kommunikációt. A hitelesítési folyamat során mindkét oldal ugyanazt az információt cseréli ki, egyszer titkosított és egyszer titkosítatlan formában. Így a kulcs a megfelelo eszközök segítségével újból eloállítható. Mivel ez az eljárás a WEP-kulcsot használja hitelesítéshez és titkosításhoz, nem javítja a hálózat biztonságát. A megfelelo WEP-kulccsal rendelkezo állomás hitelesítést, titkosítást és visszafejtést végezhet. A kulccsal nem rendelkezo állomás nem tudja visszafejteni a kapott csomagokat. Következésképp nem tud kommunikálni, függetlenül attól, hogy tudta-e hitelesíteni magát.

WPA-PSK (az IEEE 802.1x szabványnak megfeleloen)

A WPA-PSK (a PSK az elore megosztott kulcsot (Pre-Shared Key) jelenti) a megosztott kulcsos eljáráshoz hasonlóan muködik. Minden résztvevo állomás és a hozzáférési pont ugyanazt a kulcsot használja. A kulcs 256 bites és általában jelszóként kerül megadásra. Ez a rendszer nem igényel olyan bonyolult kulcskezelést, mint a WPA-EAP és privát használatra jobban megfelel. Ezért a WPA-PSK-t Otthoni WPA-nak (WPA Home) is nevezik.

WPA-EAP (az IEEE 802.1x szabványnak megfeleloen)

A WPA-EAP valójában nem hitelesítési rendszer, hanem hitelesítési információ átvitelére szolgáló protokoll. A WPA-EAP a vállalati vezetéknélküli hálózatokat védi. Magánhálózatokban nem nagyon használják. Emiatt a WPA-EAP-t Vállalati WPA-nak (WPA Enterprise) is szokás hívni.

A WPA-EAP Radius kiszolgálót használ a felhasználók hitelesítéséhez. Az EAP háromféle módszert kínál a kiszolgálóhoz csatlakozásra és hitelesítésre: TLS (Transport Layer Security), TTLS (Tunneled Transport Layer Security) és PEAP (Protected Extensible Authentication Protocol). Nagyon röviden, ezek a lehetoségek a következoket jelentik:

EAP-TLS: A TLS-hitelesítés lényege, hogy a kiszolgáló és a kliens kölcsönösen tanúsítványokat cserél. Eloször a kiszolgáló mutatja be a saját tanúsítványát a kliensnek, amelyik azt megvizsgálja. Ha tanúsítványt érvényesnek találja, akkor a kliens mutatja be tanúsítványát a kiszolgálónak. A TLS biztonságos rendszer, de a használatához szükség van a hálózatban egy muködo tanúsítványkezelo infrastruktúrára. Ilyen infrastruktúra ritkán található magánhálózatokban.
EAP-TTLS és PEAP: A TTLS és a PEAP kétszakaszos protokollok. Az elso szakaszban egy biztonságos kapcsolat létesül és a másodikban történik meg a kliens hitelesítési adatainak a továbbítása. Sokkal kevesebb extra tanúsítványkezelést igényelnek, mint a TLS (vagy akár nincs is szükség rá).

Titkosítás

Többféle titkosítási eljárás áll rendelkezésre annak biztosításához, hogy jogosulatlan személyek ne olvashassák el a vezetéknélküli hálózatban forgalmazott csomagokat és ne férhessenek hozzá a hálózathoz:

WEP (az IEEE 802.11 definiálja)

Ez a szabvány az RC4 titkosítási algoritmust használja, kezdetben 40 bites kulccsal, késobb 104 bitessel is. A hosszát gyakran 64 vagy 128 bitként adják meg, ha a 24 bites inicializálási vektort beleszámolják. A szabványnak van néhány gyenge pontja. A rendszer által eloállított kulcsok elleni támadás sikeres lehet. Ennek ellenére jobb WEP-et használni, mint egyáltalán nem titkosítani a hálózatot.

Egyes gyártók a nem szabványos Dinamikus WEP megoldást valósították meg. Ez pontosan ugyanúgy muködik, mint a WEP és pont ugyanazok a gyenge pontjai is, de egy kulcskezelo szolgáltatás idorol-idore lecseréli a kulcsokat.

TKIP (WPA/IEEE 802.11i által megadott)

A WPA szabványban megadott kulcskezelési protokoll ugyanazt a titkosítási algoritmust használja, mint a WEP, de kiküszöböli annak gyengeségeit. Mivel minden adatcsomaghoz új kulcs kerül eloállításra, a kulcsok elleni támadás nem sikerülhet. A TKIP-t a WPA-PSK-val együtt használják.

CCMP (az IEEE 802.11i definiálja)

A CCMP a kulcskezelést írja le. Ezt általában a WPA-EAP-vel együtt használják, de WPA-PSK-val is használható. A titkosítás az AES-nek megfeleloen történik és ez erosebb, mint a WEP szabvány RC4 titkosítása.

30.1.2 Beállítás a YaST segítségével

A vezetéknélküli hálózati kártya beállításához válassza ki a Hálózati eszközök > Hálózati beállítások modult a YaST vezérloközpontban. Megnyílik a Hálózati beállítások párbeszédablak, amelyben megadhatók az általános hálózati beállítások. Az általános hálózati beállításokkal kapcsolatos további információ a Szakasz 20.4, Hálózati kapcsolat beállítása a YaST segítségével szakaszban olvasható. Minden egyéb, a rendszer által felderített hálózati kártya az Áttekintés lapon jelenik meg.

Válassza ki a vezetéknélküli kártyát a listából, majd kattintson a Szerkesztés gombra a Hálózati kártya beállítása párbeszédablak megnyitásához. A Cím lapon állítsa be, hogy dinamikus vagy statikus IP-címet kíván használni. Az Általános és Harder lap beállításait is módosíthatja, mint például az Eszközaktiválás vagy a Tuzfalzóna illetve megadhatja az illesztoprogram beállításait. A legtöbb esetben nincs szükség az elore beállított értékek módosítására.

Kattintson a Tovább gombra a vezetéknélküli hálózati kártya saját konfigurációs párbeszédablakára ugráshoz. Ha a NetworkManagert használja (további információ: Szakasz 20.5, NetworkManager), akkor nincs szükség a vezetéknélküli eszköz beállításainak módosítására, mivel ezeket a NetworkManager beállítja igény szerint – lépjen tovább a Tovább és Igen gombokra kattintva a beállítás befejezéséhez. Ha a számítógépet csak egy meghatározott vezetéknélküli hálózatban használja, akkor adja meg a WLAN-muködés legfontosabb beállításait itt.

Ábra 30-1 YaST: vezetéknélküli hálózati kártya beállítása

Muködési mód

A WLAN-ba egy állomás háromféleképp illeszkedhet be. A megfelelo mód a hálózattól függ, amelyben a kommunikáció zajlik: Ad-hoc (hozzáférési pont nélküli egyenrangú hálózat), Vezérelt (hozzáférési pont által vezérelt hálózat) vagy Master (a hálózati kártya hozzáférési pontként kerül használatra). A WPA-PSK vagy WPA-EAP módok bármelyikének használatához a muködési mód csak Vezérelt lehet.

Hálózat neve (ESSID)

A vezetéknélküli hálózat minden állomásának ugyanarra az ESSID-re van szüksége az egymással való kommunikációhoz. Ha semmi nincs megadva, akkor a kártya lehet, hogy automatikusan kiválaszt egy hozzáférési pontot, amely nem biztos, hogy megegyezik a használni kívánttal. A Hálózat vizsgálata pontra kattintva megjelenik a rendelkezésre álló vezetéknélküli hálózatok listájának megjelenítéséhez.

Hitelesítési mód

Válassza ki a hálózat kívánt hitelesítési módját: Nincs titkosítás, WEP-Nyílt, WEP - Osztott kulcs, WPA-EAP vagy WPA-PSK. Ha WPA-hitelesítést választ, akkor a hálózat nevét (ESSID) be kell állítani.

Kulcsbevitel típusa

A WEP és a WPA-PSK hitelesítési eljárások megkövetelik egy kulcs beírását. A kulcs beírható, mint egy Titkosítási jelszó, mint egy ASCII karaktersorozat vagy mint egy Hexadecimális karaktersorozat.

WEP-kulcsok: Adja meg itt az alapértelmezett kulcsot, vagy kattintson a WEP kulcsok pontra a szakértoi kulcskonfigurációs párbeszédablakba belépéshez. Adja meg a kulcs hosszát: 128 bit vagy 64 bit. Az alapértelmezett beállítás a 128 bit. A párbeszédablak alsó részén található listaterületen maximum négy különbözo kulcs adható meg az állomás titkosításához. Az egyik alapértelmezett kulcsként való megadásához kattintson az Alapértelmezettként beállít gombra. Hacsak meg nem változtatja, akkor a YaST az elsoként megadott kulcsot használja alapértelmezettként. Az alapértelmezett kulcs törlése esetén egy másik kulcsot kell kézzel alapértelmezettként megjelölni. A meglévo listabejegyzések módosításához vagy új kulcsok létrehozásához kattintson a Szerkesztés gombra. Ebben az esetben egy elougró ablakban ki kell választani egy beviteli típust (Jelszó, ASCII vagy Hexadecimális). Ha a Jelszó lehetoséget választja, akkor adjon meg egy szót vagy karaktersorozatot, amelybol a kulcs a korábban megadott hossznak megfeleloen létrehozásra kerül. Az ASCII 64 bites kulcs esetén 5, 128 bites kulcs esetén pedig 13 karakteres bemenet megadását kéri. A Hexadecimális lehetoség esetén 64 biteshez 10, 128 bites hexadecimális formátumú kulcshoz pedig 26 karaktert kell megadni.
WPA-PSK: WPA-PSK kulcs megadásához a Jelszó vagy Hexadecimális beviteli eljárást válassza. Jelszó módban a bemenet 8 - 63 karakter lehet. Hexadecimális módban 64 karaktert kell megadni.

Szakértoi beállítások

Ez a gomb megnyit egy párbeszédablakot a WLAN-kapcsolat részletes beállításához. Általában nincs szükség az elore megadott beállítások módosítására.

Csatorna: A csatornát, amelyet a WLAN-állomásnak használnia kell, csak Ad-hoc, illetve Master módban kell megadni. Vezérelt módban a kártya automatikusan megkeresi a hozzáférési ponthoz rendelkezésre álló csatornákat. Ad-hoc módban az állomás másik állomásokkal való kommunikációjához válassza ki a felkínált csatornák egyikét (11-14 csatorna, országtól függoen). Master módban adja meg, hogy a kártyának mely csatornán kell hozzáférési pont funkciót biztosítania. Az alapértelmezett beállítás az Automatikus.
Bitsebesség: A hálózat teljesítményétol függoen elképzelheto, hogy az átvitelhez az egyik pontról a másikra be kíván állítani egy adott bitsebességet. Az alapértelmezett Automatikus beállításban a rendszer a leheto legnagyobb adatátviteli sebességet próbálja meg használni. Néhány WLAN-kártya nem támogatja a bitsebesség beállítását.
Hozzáférési pont: Több hozzáférési ponttal rendelkezo környezetben a MAC-cím megadásával az egyik elozetesen kiválasztható.
Energiagazdálkodás használata: Ha úton van, akkor érdemes használni az energiagazdálkodási funkciókat az akkumulátoros üzemido maximalizálása érdekében. Az energiagazdálkodási funkciók használata azonban befolyásolhatja a kapcsolat minoségét és ronthatja a hálózat késleltetését.

Kattintson a Tovább gombra a beállítások befejezéséhez. Ha WPA-EAP hitelesítést választott, akkor még egy beállítási lépésre van szükség, mielott az állomás készen áll a WLAN-on belüli használatra. Adja meg a hálózati rendszergazda által biztosított hitelesítési adatokat. TLS esetében az Azonosító, Klienstanúsítvány, Klienskulcs és Kiszolgálótanúsítvány értékeket kell megadni. A TTLS és a PEAP esetében az Azonosító és a Jelszó értékekre van szükség. A Kiszolgálótanúsítvány és az Anonim azonosság használata nem kötelezo. A YaST az /etc/cert könyvtárban keresi a tanúsítványokat. Éppen ezért a kapott tanúsítványokat ebbe a könyvtárba mentse el, és állítsa 0600-ra (tulajdonos olvasás-írás) a jogosultságokat. A Részletek gombra kattintva léphet be a WPA-EAP konfiguráció speciális hitelesítési párbeszédablakába.. Válassza ki a hitelesítési eljárást az EAP-TTLS vagy EAP-PEAP kommunikáció második szakaszához. Ha az elozo ablakban a TTLS-t választotta, akkor válassza ki a Mind, MD5, GTC, CHAP, PAP, MSCHAPv1 vagy MSCHAPv2 lehetoséget. Ha a PEAP-t válaszotta, akkor a Mind, MD5, GTC és MSCHAPv2 közül választhat. A PEAP-verzió beállítással lehet kényszeríteni egy bizonyos PEAP-implementáció használatát, ha az automatikusan meghatározott beállítások nem lennének megfelelok.

FONTOS: Biztonság a vezetéknélküli hálózatokban

A hálózati forgalom védelme érdekében feltétlenül használja valamelyik támogatott hitelesítési és titkosítási eljárást. A titkosítatlan WLAN-kapcsolatok lehetové teszik a hálózati adatok lehallgatását. Még a gyenge titkosítás (WEP) is jobb, mint a semmi. További információ: Titkosítás és Biztonság.

30.1.3 Segédprogramok

A wireless-tools csomag olyan segédprogramokat tartalmaz, amelyek lehetové teszik a vezetéknélküli LAN-specifikus paraméterek megadását és statisztikák gyujtését. További információkért lásd: http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Tools.html.

A kismet (kismet csomag) egy hálózatdiagnosztikai eszköz, amellyel a WLAN-csomagforgalom figyelheto. Ily módon a hálózatba való behatolási kísérletek is detektálhatók. További információ a http://www.kismetwireless.net/ címen és a kézikönyvoldalon található.

30.1.4 Tippek és trükkök WLAN beállításához

Az alábbi tippek segíthetnek a WLAN sebességének, stabilitásának, valamint biztonsági tényezoinek beállításában.

Stabilitás és sebesség

A vezetéknélküli hálózat teljesítménye és megbízhatósága foként attól függ, hogy a résztvevo állomások tiszta jelet kapnak-e a többi állomástól. A különbözo akadályok, mint például a falak, lényegesen gyengítik a jelet. Minél jobban csökken a jel erossége, annál jobban lelassul az átvitel. A muködés során a konzolon (Csatlakozás minosége mezo) az iwconfig, a NetworkManager vagy a KNetworkManager segítségével ellenorizze a jel erosségét. Ha problémája van a jel minoségével, akkor próbálja meg az eszközöket valahol másutt beállítani vagy állítson a hozzáférési pontok antennáinak pozícióján. Számos PCMCIA WLAN kártyához vételt javító kiegészíto antennák is kaphatók. A gyártó által megadott sebesség (például 54 MBit/s) egy névleges érték, amely az elméleti maximumot jelenti. Gyakorlatban a maximális adatátviteli sebesség nem több, mint a megadott érték fele.

Biztonság

Ha vezetéknélküli hálózatot kíván beállítani, akkor ne feledje el, hogy biztonsági intézkedések nélkül azt az átviteli hatókörben lévo személyek közül bárki könnyen elérheti. Ezért mindenképpen alkalmazzon valamilyen titkosítási eljárást. Minden WLAN-kártya és hozzáférési pont támogatja a WEP titkosítást. Bár nem teljesen biztonságos, némi akadályt azért jelent egy potenciális támadó számára. A WEP saját használatra általában megfelelo. A WPA-PSK jobb, de a régi hozzáférési pontok és WLAN funkcióval rendelkezo útválasztók nem támogatják. Néhány eszközön a WPA firmware-frissítés után használható. Ezenfelül, bár a Linux támogatja a WPA-t a legtöbb hardverkomponensen, elofordulhat, hogy egyes illesztoprogramok nem biztosítanak WPA-támogatást. Ha nem áll rendelkezésre WPA, akkor a WEP még mindig jobb, mint ha egyáltalán nincs titkosítás. Speciális biztonsági követelményeket támasztó vállalatokban a vezetéknélküli hálózatok csak WPA-val használhatók.

30.1.5 Hibaelhárítás

Ha a WLAN-kártyát nem sikerült automatikusan felismerni, akkor ellenorizze, hogy az openSUSE valóban támogatja-e. A támogatott WLAN hálózati kártyák listája a http://en.opensuse.org/HCL/Network_Adapters_(Wireless) címen érheto el. Ha a kártya nem támogatott, akkor még mindig lehetséges, hogy az Ndiswrapper segítségével használni tudja a windowsos illesztoprogramokat. Részletes információ: http://en.opensuse.org/Ndiswrapper.

Ha a WLAN-kártya nem válaszol, akkor ellenorizze, hogy letöltötte-e a szükséges firmware-t. További információ az /usr/share/doc/packages/wireless-tools/README.firmware fájlban található.

Több hálózati eszköz

A modern noteszgépek általában hálózati kártyával és WLAN-kártyával is rendelkeznek. Ha mindkét eszközt DHCP (automatikus címkiosztás) használatára állította be, akkor probléma lehet a névfeloldással és az alapértelmezett ájáróval. Ez nyilvánvaló abból, ha az útválasztót tudja pingelni, de nem tud böngészni az interneten. A http://en.opensuse.org/SDB:Name_Resolution_Does_Not_Work_with_Several_Concurrent_DHCP_Clients címen található Támogatási adatbázisban van egy, a témakörrel kapcsolatos cikk.

Problémák a Prism2 kártyákkal

Számos illesztoprogram érheto el a Prism2 lapkákra épülo eszközökhöz. A különbözo kártyák többé-kevésbé problémamentesen muködnek a különbözo illesztoprogramokkal. Ezen kártyákkal WPA csak a hostap illesztoprogram alkalmazása esetén használható. Ha egy ilyen kártya nem muködik megfeleloen vagy egyáltalán nem muködik, illetve ha WPA-t kíván használni, olvassa el az /usr/share/doc/packages/wireless-tools/README.prism2 fájl tartalmát.

30.1.6 További információk

Jean Tourrilhes (aki a vezetéknélküli eszközöket fejlesztette Linuxhoz) oldalain sok, a vezetéknélküli hálózatokkal kapcsolatos hasznos információ található. Lásd:http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.html