IT-Koko

Web je přesunut na http://kokosaurus.cz/

Jelikož mám málo komentářů, tak jsem se nechal inspirovat Lelkounovo blogem a rozhodl jsem se komentátory odměňovat. Nejedná se o věcnou ani peněžní cenu, ale o viditelný zpětný odkaz, kterých není nikdy dost. Použil jsem na to plugin Top Commentators Widget. Tak jsem zvědavý jestli nějaké komentáře přibudou. Jo a spamy se nepočítají

Mít v počítači jeden operační systém je dnes už pasé. Každý má své výhody a nevýhody, proto je užitečné jich mít v pc víc. Pevné disky jsou již dostatečně velké, takže to není problém. Já používám kombinaci XP – převážně na hry, linux ubuntu -  převážně na práci a nově W Seven – na nic (ten jsem chtěl aspoň vyzkoušet, ale zatím jsem pro něj nenašel žádné využití).

Jak na to?

Postup je v podstatě jednoduchý, přesto v sobě nese několik úskalí.

Dříve než začnete, si musíte rozmyslet kolik operačních systémů chcete nainstalovat a jak rozdělíte diskové oddíly. Systémové oddíly si dávejte minimálně 10 GB, ale opravdu minimálně (já mám na každý systém 25 GB). Také doporučuji ze zbylého místa vytvořit oddíla datový, na kterém není žádný operační systém.

Začínejte na úplně prázdném disku, popřípadě si zálohujte data a disk úplně zformátujte, protože jinak budete mít problémy, které většinou vyřeší právě jenom to formátování

Při instalaci operačních systémů musíte dodržovat pořadí. U windowsů od nejstaršího po nejnovější (nejdříve instalujte XP, poté Visty, poté Seveny…) a linux se instaluje až naposled Kdybyste pořadí nedodrželi, tak se vám podělají vám nebudou fungovat spouštěče předchozích systémů.

Při instalaci prvního os si už rozdělte disk na oddíly, jinak ho pak už nerozdělíte (pokud teda jako první není Vista a novější, ty už to umí, ale je to složitější).

Pokud budete dodržovat tyto body, instalace více operačních systémů by neměla být problém.

Jako příklad uvede můj 500 GB disk, který jsem si rozdělil na 4 oddíly. Na první 26 GB jsem dal XP, na druhý 26 GB Seveny, třetí 421 GB jsem nechal jako datový oddíl a na poslední jsem nainstaloval linux (25 GB + 1 GB odkládací prostor).

Zabezpečení bezdrátový sítí je velmi důležité, protože se signál šíří volně vzduchem bez ohledu na zdi budov nebo jiné překážky. Ani to, že síť má malý dosah nemusí být překážka. Útočník vybavený směrovou anténou se může připojit do sítě vzdálené několik set metrů nebo dokonce několik kilometrů, i když síť sama o sobě má dosah pár desítek metrů. Různé typy zabezpečení se vyvíjely postupně, proto strarší poskytují pouze omezené možnosti zabezpečení sítě, které se dají snadno prolomit. Neznalí uživatelé mohou také doplatit na to, že bezdrátové zařízení se prodávají bez nastaveného zabezpečení, nebo s nějakým výchozím nastavením, které je u všech zařízení daného typu stejné. Například heslo: „password“. Na internetu jsou databáze s tímto nastavením, proto takto zabezpečenou síť dokáže prolomit i běžný uživatel se schopností hledání na googlu.

Bezpečnost bezdrátových sítí můžeme rozdělit do dvou hlavních skupin:

• šifrování = zabezpečení přenášených dat před odposlechem
• autorizace = řízení přístupu oprávněných uživatelů

Nyní tedy popíšu jednotlivě nejpoužívanější typy zabezpečení.

Skrytí SSID

SSID (Service Set Identifer) je identifikační jméno, které označuje síť. Ale pozor nepleťte si s názvem sítě, to je něco jiného. Skrytí SSID je nejjednodužší zabezpečení, ale také nejlépe prolomitelné.

Útočník neuvidí síť v seznamu dostupných bezdrátových sítí, ale například s pomocí programu NetStumbler ji může odhalit. Při připojování klienta k přípojnému bodu je totiž SSID volně přenášen, proto ho lze jednoduše zachytit. Aby útočník nemusel čekat, než se nějaký klient připojí, tak se při zachytávání SSID také používá takzvané provokace, kdy útočník vyšle do sítě datové rámce, které přinutí klienty znovu se asociovat.

Kontrola MAC adresy

Trochu pokročilejší zabezpečení, ale pořád snadno prolomitelné. Na přístupový bod se nastaví seznam MAC adres klientů, kteří mají dovoleno se připojit. Ostatním klientům připojení odmítne.

Útočníkovi však stačí chvíli zachytávat komunikaci mezi přístupovým bodem a autorizovaným klientem a může zachytit povolenou MAC adresu. Když útočník MAC adresu zachytí, může jí podstrčit jako svojí a bude vystupovat jako oprávněný uživatel.

WEP (Wired Equivalent Privacy)

Je původní zabezpečení wifi standardu 802.11 z roku 1999 a zabezpečuje rádiovou část sítě. To znamená, že zabezpečuje komunikaci mezi klientem a přístupovým bodem. Za ním již bezpečnost nezajišťuje.

WEP používá proudovou šifrovací metodu RC4 pro utajení informací a pro ověření správnosti metodu CRC-32 kontrolního součtu. Tyto metody nebudu dál rozebírat, můžete si o nich něco najít na internetu. Nám bude stačit, že se zpráva šifruje podle nějakého klíče a poté se zase po přenosu dešifruje.

Klíč může být 64 bitový, 128 bitový nebo i 256 bitový, ale to pouze uvádějí výrobci. Ve skutečnosti je klíč 40 bitový, 104 bitový nebo 232 bitový a pouze se před klíč přidá 24 bitů takzvaného inicializačního vektoru, což jsou v podstatě náhodná data.

Dnes už je toto zabezpečení hodně zastaralé a je známo hodně způsobů jak toto zabezpečení obejít. Útočníci mohou zachytávat komunikaci mezi přístupovým bodem a klientem (jako při zachytávání MAC adresy). Po zachycení dostatečného množství paketů (pro neznalé, paket = něco jako malý balíček dat, na které se dělí přenášená data), většinou tak mezi 5 až 10 miliony, za pomocí programů jako AirSnort nebo WEPCrack mohou rozluštit šifrovací klíč.

I když je toto zabezpečení jednoduché prolomit v každém případě ho doporučuji zapnout, protože většinou trvá dlouho, třeba i několik hodin, než útočník zachytí dostatečné množství paketů. Proto si myslím, že útočníci nebudou chtít čekat několik hodin jenom aby se připojili k internetu. U sítí s důležitými nebo soukromými daty samozřejmě doporučuji volit lepší zabezpečení, protože to si útočníci určitě klidně počkají. Doporučuji také kombinaci WEP zabezpečení například s kontrolou MAC adresy. Útočník bude muset zachytit více dat. Sice ne o moc, ale proč to nepoužít, když mu aspoň ztížíme práci.

Sám používám toto zabezpečení, protože pro domácí síť ho považuji za dostatečné.

WPA (Wi-Fi Protected Access)

Funguje podobně jako WEP, ale pro šifrování komunikace používá TKIP (Temporal Key Integrity Protocol). TKIP používá stejný šifrovací algoritmus jako WEP, ale standardně se 128 bitový klíčem a používá dynamické dočasné klíče, to znamená, že TKIP mění klíč asi po každých 10 000 přenesených paketech. Autentizace do WPA sítě je prováděna buď pomocí PSK (Pre-Shared Key), v tomto případě obě strany používají stejnou heslovou frázi, nebo RADIUS serverem, v tomto případě je zase autentizace ověřena přihlašovacím jménem a heslem.

WPA vzniklo s cílem využít hardware podporující WEP, ale vhodnými doplňky, hlavně prácí s klíči, se snaží eliminovat jeho slabá místa. Samozřejmě zkušenější útočník tuto ochranu prolomit dokáže, ale určitě je WPA silnější zabezpečení než WEP.

Vylepšením WPA vzniklo WPA2, které je ve standardu 802.11i. Vylepšuje šifrovací algoritmus, tedy používá blokovou šifru AES (Advanced Encryption Standart) místo RC4, které používá WEP a WPA. Bohužel ale WPA2 nelze použít na starších zařízeních.

Tak tohle byl poslední díl z mého seriálu o základech wifi sítí. Doufám, že aspoň někomu pomohl

Další seriál bude nejspíš o programování v delphi nebo photoshopu, takže nezapomeňte sledovat můj RSS kanál

Při vytváření sítě se musí stanice asociovat s přístupovým bodem. Asociace je něco jako připojení ethernetového kabelu. Stanice vyšle žádost o připojení a přístupový bod ji buď přijme nebo odmítne. Stanice se může asociovat (připojit) pouze k jednomu přístupovému bodu. Na druhé straně k přístupovému bodu se může připojit více stanic. U přístupových bodů střední třídy to bývá přibližně maximálně 250, ale pak se samozřejmě dělí přenosová rychlost, proto se při větším počtu stanic raději používá více přístupových bodů. Tento poměr se nazívá agregace. Tu garantují provozovatelé internetu, například 1:5 (5 stanic na 1 přístupový bod). Tento údaj je velmí důležitý, protože pokud jedna stanice zatěžuje příliš přístupový bod, ostatním se sníží přenosová rychlost. Čím méně stanic je připojeno k jednomu bodu, tím samozřejmě lépe pro nás jako klienty.

Wordpress v základním nastavení používá trvalé odkazy (permalink) v dost nic neříkajícím formátu (např. http://koko.over.cz/?p=93). Naštěstí se dá tento formát jednoduše změnit v administraci Nastavení-Trvalé odkazy. Na výběr máte několik předdefinovaných možností, mě se ale nejvíc zamlouvá vlastní a to /%category%/%postname%/. Snad nemusím vysvětlovat co to znamená

Po kliknutí na tlačítko uložit změny, musíte ještě připsat do souboru .htaccess text, který vám wordpress níže vypíše. Jsou to pravidla pro přesměrování, bez nich by vám odkazy nefungovaly. Soubor se nachází v kořenové složce FTP. No a pokud tam není, tak ho vytvořte ne? Soubor se opravdu jmenuje .htaccess nic míň, nic víc.

Odkazy budou vypadat nějak takto: http://koko.over.cz/wi-fi/zaklady-wifi-siti-–-iv-typy-siti/ což je asi přehlednější než ?p=93. Wordpress přepíše i staré odkazy, ale naštěstí u nich nechá na přesměrování starou formu, takže se nemusíte bát, že byste přišli o zpětné odkazy z jiných stránek.

Určitě tuto skupinu znáte, vždyť se už do ní přidalo bezmála 500 000 lidí. Zjisti kdo si prohlíží tvůj status. Ne děkuji!

Ti co se do této skupiny přidali musí mít IQ německého ovčáka po operaci hlavy. Vždyť je to vzorový příklad hoaxu (jestli nevíte co je to hoax tak http://hoax.cz/). Opravdu si myslíte, že když se přidáte do nějaké skupiny a pozvete všechny svoje přátele, že se něco stane? Ne!…No vlastně ano, ale asi ne to co byste si přáli. Autor bude mít ve své skupině co nejvíce lidí a poté si může s pomocí nějakých robotů vytáhnou vaše emaily, na který pak může posílat spamy, trojany a podobné věci. V lepším případě může dát autor do novinek nějakou reklamu a tu okamžitě uvidí půl milionu lidí. Taková reklama asi nebude jenom za pár stovek  Asi si také založím podobnou skupinu

Občas se trochu zamyslete nad tím, do jaké skupiny se přidáváte. Tato určitě není jediná, proto se vůbec nepřidávám do skupin, které akorát chtějí nahromadit co největší počet lidí.

Základní stavební blok 802.11 je BSS (Basic Service Set), tedy základní soubor služeb. Jde o skupinu stanic, které spolu komunikují. Tato komunikace probíhá v takzvaném BSA (Basic Sevice Area), tedy území dosahu těchto stanic. Pokud se stanice nachází v BSA může komunikovat s dalšími členy BSS dvěma způsoby. Podle toho se typy sítě dělí na dvě hlavní.

Ad-hoc

Nebo-li nezávislé sítě. V tomto typu sítě spolu stanice komunikují přímo, nezávisle na prostředníkovi. Nejčastějším použitím je propojení několika počítačů na krátký čas například kvůli výměně dat nebo takzvané LAN party. Stanice musí být ve vzájemném rádiovém dosahu, proto sítě ad-hoc nejsou vhodné pro rozsáhlejší prostory a členitější sítě. Jejich vytvoření vyžaduje správnou konfiguraci, proto mnoho lidí dá přednost připojení přes přístupový bod, který síť nastaví sám. Sítě ad-hoc přístupový bod nemají, proto samozřejmě ani distribuční systém.

Dále se budu zabívat hlavně infrastrukturními sítěmi, protože ad-hoc sítě se používají málokdy. Většinou se místo této sítě použije ethernetový kabel. Nastavení je jednodužší a přenosová rychlost vyšší.

Infrastrukturní sítě

Používanější typ, který má přesně danou strukturu. O té jsem se již zmínil v komponentech. Důležitý je hlavně přístupový bod. Ten může komunikovat i s více než jednou stanicí. Proto spolu mohou komunikovat stanice i mezi sebou. V tomto případě je rozdíl od ad-hoc sítě takový, že data putují dvěma skoky. Nejdříve na přístupový bod a pak z něj.

V infrastrukturní síti může tedy fungovat každá stanice, která je v oblasti pokrytí a je schopna komunikovat s přístupovým bodem. Tato síť má sice větší nároky na spojovací kapacitu (větší počet skoků), ale ad-hoc má zase větší nároky na klientskou stanici a musí neustále udržovat spojení s každou stanicí s níž právě komunikuje. V infrastrukturní síti stačí udržovat pouze jedno spojení a přístupový bod může ukládat data pro stanici, která přešla do úsporného režimu.

Infrastrukturní sítě mají mnoho dalších výhod, například centrální správu. Nastavení je výrazně jednodušší. Většinou stačí pouze vybrat síť, kliknout na tlačítko připojit a přístupový bod vše nastaví sám.

V tomto díle stručně popíši hlavní fyzické komponenty. Každá wifi síť má čtyři (viz obrázek):

• distribuční systém
• přístupový bod (access point)
• bezdrátové médium
• stanice

Distribuční systém

Pokud je v síti více přístupových bodů, komunikují spolu právě přes distribuční systém. Distribuční systém je logická komponenta, která směruje data na určitou stanici. Většinou je systém řešen jako síťový most (bridge) s distribučním médiem, kterým jsou informace přenášeny. Médium je většinou ethernetový kabel.

Přístupový bod (access point, AP)

Nejdůležitější část wifi sítě. Právě AP přemosťuje spojení mezi kabelovou a bezdrátovou sítí. Access point také nabízí mnoho jiných funkcí, jako routování, směrování portů, ale hlavně také právě zabezpečení bezdrátové sítě.

Bezdrátové médium

Médium je nosič dat, takže vlastně bezdrátové médium je to samé co kabely u normálních sítí. Jak jsem již zmínil, ve wifi standartu 802.11 jsou to právě dvě frekvence: 2,4GHz a 5 GHz.

Stanice

Bezdrátové sítě se staví právě k přenášení dat mezi stanicemi. Stanicí může být jakékoli zařízení s wifi (počítač, notebook, mobilní telefon). Stanice nemusí být mobilní (přenosná). Wifi síť můžete mít i mezi stolními počítači, pokud je například nechcete nebo nemůžete spojovat ethernetovými kabely.

Obrázek jsem kreslil v malování tak se mi nesmějte

Jak jsem už zmínil důležité standardy jsou u nás pouze a,b,g,n. Ale pro přehled uvedu všechny:

IEEE 802.11 – Původní standard pro 1 a 2 Mbit/s rychlost s frekvencí 2.4 GHz (1999)
IEEE 802.11a – 54 Mbit/s, 5 GHz standard (1999, produkty od 2001)
IEEE 802.11b – Vylepšení 802.11 s podporou 5.5 a 11 Mbit/s (1999)
IEEE 802.11c – Bezdrátové přemostění (bridge); obsaženo v IEEE 802.1D standardu (2001)
IEEE 802.11d – Mezinárodní roamingový dodatek (2001)
IEEE 802.11e – Vylepšení QoS, včetně dlouhých (burst) paketů (2005)
IEEE 802.11F – Komunikace mezi bezdrátovými přístupovými body (2003) Stažen v březnu 2006.
IEEE 802.11g – 54 Mbit/s, 2.4 GHz standard (zpětně kompatibilní s 802.11b) (2003)
IEEE 802.11h – Správa spektra 802.11a (5 GHz) pro Evropu (2004)
IEEE 802.11i – Vylepšený autentifikační a šifrovací algoritmus (WPA2) (2004)
IEEE 802.11j – Dodatek pro Japonsko; nová frekvenční pásma pro multimedia (2004)
IEEE 802.11k – Vylepšení správy rádio zdrojů pro vysoké frekvence. (Navazuje na IEEE 802.11j)
IEEE 802.11l – (rezervováno a nebude použito)
IEEE 802.11m – Správa standardu: přenosové metody a drobné úpravy.
IEEE 802.11n – Vylepšení pro vyšší datovou propustnost
IEEE 802.11o – (rezervováno a nebude použito)
IEEE 802.11p – Bezdrátový přístup pro pohyblivé prostředí (auta, vlaky, sanitky)
IEEE 802.11q – (rezervováno a nebude použito, aby se nepletlo s 802.1Q)
IEEE 802.11r – Rychlé přesuny mezi přístupovými body (roaming)
IEEE 802.11s – Samoorganizující se bezdrátové sítě. (ESS Mesh Networking)
IEEE 802.11T – Předpověď bezdrátového výkonu – testovací metody
IEEE 802.11u – Spolupráce se sítěmi mimo 802 standardy (například s mobilními sítěmi)
IEEE 802.11v – Správa bezdátových sítí (konfigurace klientských zařízení během připojení)
IEEE 802.11w – Chráněné servisní rámce
IEEE 802.11x – (rezervováno a nebude použito)
IEEE 802.11y – Pro běh ve frekvenčním pásmu 3650 – 3700 MHz (veřejné pásmo v USA)