Редактирование: UNИX, осень 2008, 05 лекция (от 29 октября)

= Лекция =

== Вступление ==

== Радио-Ethernet ==

=== Идентификация ===

 

'''Задача 1.''' жесткая идентификация абонента.

 

'''Задача 2.''' Авторизация.

=== Настройка ===

'''Задача 3.''' Техническая поддержка настройки.

 

=== О домашних точках ===

== WiFi ==

=== Инструменты ===

=== Сканирование ===

=== Безопасность ===

=== Что творится в Линуксе? ===

В OpenBSD был всего один эксплоит за всю историю /*О РЛЫ?*/.

=== Ноутбуки ===

* Первый вариант --- посчастливилось стать обладателем устройства с открытым чипсетом.

* Второй вариант --- чипсет с закрытым firmware.

* Третий вариант --- закрытый драйвер от производителя.

* Четвертый вариант --- ndis wrapper.

 

=== Самоорганизация в WiFi ===

== Аппаратная совместимость. ADSL ==

=== Грабли ===

= Конспект eSyr =

<div style="font-size:60%">Уровень интерфейсный, и начать уровень следующий.

Закончим с интерфейсным уровнем. Речь идёт о ситуации, когда мы бъед компьютеры в лок. сеть, Лок. сеть в понимании лектора — некая группировка компьютуров, подключенных к единой СПД. Отличительные признаки: передача данных от любого абонента любому (все всех видят), передавать напрямую. Мы в прошлый раз поговорили про езернет, лектор упомянул в качестве альтернативы про token ring, и существуют ещё всякие дост. часто СПД другого плана. Что часто встречается в нашей жизни:

* Виртуальные среды передачи данных (VPN, VLAN)

Те5м не менее, мы сотавили на потом нечто, названное беспроводной сетью. ЗА словом бесп. сеть обычно скрывается много разных технологий, но одна из них считается доминирующий — wi-fi, или IEEE 802.11.

У нас есть пресловутый ethernet, который предст. собой провода, воткнутые в компьютеры, с другой стороны коммутатор, и человек, который их прокладывает, знает, уда он изх прокладывает и знает, какой абонент с другой стороны. Всегда есть шанс, что добрый хозямн хоботка может дать попользоваться им другому. Есть ненулевая вероятность подключения несанкционированного, но она дост. низкая. При этом важно заметить, что обе вероятности остаточно низкие, поэтому, когда ечь идёт об обычном езернете, никто не задумывается о том, что нужно устр. жёсткую дисциплину.

Теперь переходим к радиоезернету. Мы имеем среду, к которой в любой момент моджет подкл. любой. Из этого следует, что на ур. минт., в том месте, где мы имеем место с дисциплиной, должна включаться идентификация абонента. В случае узернета она вялотякущая, лишь бы работая, в случае же радиоезернета, в который может попасть любой, идент. должна быть строгая, уверенная и принудительная. Сейчас речь идёт о переходе с разграниченной на неращгр. СПД.

На самом еле, есть ещё задача СПД, воздух-то на всех один. Соотв., если мы хотим развернуть две СПД, то мы должны озаботиться тем, чтобы и абоненты знали, куда они хотят подключиться, и само устр. понимало, кто оно такое. Более того, всякий раз, когда мы переходим от понятия, всякий раз, когда поЯвл. идент. и неидент. персонаж, мы получаем две категории абонентов сети. Если мы имеем езернет, то условно все они равны, в случае радиоезернета есть идентифицировавшиеся и неидент. В этом случае неидент. абонентам вообще польз. сервисами сети. Соответственно, возн. задача авторизации. Когда речь зах. об авторизации, то должна сущ. авторизационная информация. Абонент, который желает подсоед. к СПД, должен что-то такое волшебное сказать, и его тут же пустят.

Что ещё. Дост. большой комплект всевозм. чисто техн. настройки, связанной с тем, что вакуум один на всех. Когда мы говорили о том, что у нас неск. СПД, мы не затр. вопрос того, что оно одно на всех. Следовательно, необходимо выбирать частотный диапазон. Кроме того, если провод либо работает, либо нет, а волны, например, могут затухать, то точка доступа то видна, то нет, и так далее. В итоге, техн. вопросы настр. вылезают на уровень протокола.

Вся дискуссия, которая проходила, должна убедить в одной вещи: вся эта процедура их трёх пунктов весьма важна, как только мы переходим к откр. СПД.

Что касается wifi. Там арзитектура вполне себе езернетная.

В линуксе, когда оно поднимается, вы видете вполне себе езернетный интерфейс, которым можно управлять, ну и кроме этого можно им управлять в соответствии с теми тремя категориями утилитами из wireless-tools.

О дисциплине. Когда вы попадаете в какое-то место, где вы желаете подкл. к вайфаю, вы можете запустить iwlist scan, которая будет вылавливать идент. вещи от точки доступа, где прописаны всякие нужнвые вещи: ESSID, техн. параметры, и ещё кое-что. iwlist scan это просто кусок кода, который загл. в каждый диапазон и дост. инф. После чего дост. настройки, пропис. их с помощью iwconfig, и начинаете работать. Т. о. мы решили посл. две задачи.

Что касается идент. и аутент. Как было сказано Даниилом, то если вы исп. пароль, то его нужно зашифровать, иначе это не пароль. Факт., после того, как вы настр. сетевую карту, которая работает с вайфаем, вы попадаете в точку доступа, в который принимается решение, нужно делать с картой с таким-то мак-адресом или не нужно. Первая мысль: есть тд, в которую ломятся все, а интернет надо давать и вообще подкл. не всем. Решение номер 0: делать её выше. Ещё почему нужно фильтровать доуступ: поскольку могут что-то испортить, второе: если это перс. точка доступа, зачем делать допусилия, если проблему можно решить здесь, и при подкл. автоматом будет нормальная авторизация.

Теперь перезодим к вопросу, как сделать авториз. У всякой авт. есть две проблемы: по паролю — пароль где-то должен быть. Кроме того, его надо хранить в компьютере, поск. не спращивать же его при каждом подключении. Кроме того, он должен быть на точке доступа.

Простейший доступ по паролю — WEP. Но при этом если зодит зашифрованные данные, то если их слушать достаточно долго, то можно пароль и угадать. Поэтому на смену ему пришёл сначала WPA, потом WPA2. WPA2 включает себя много всего. При этом шифруются данные не той passphrase, которая используется для аутентификацию и получению ключа для шифрования. При этом далеко не все карточки это безобразие умеют. Поэтому нужен софт, колторый это умеет, wpa_supplicant. Мы имеем ситуацию, обратную той, о которой говорили раньше: у нас есть часть протокола, но он вылезает в операционную систему. Тут начинается самое неприятное ... Для того, чтобы восп. криптостойким методом шифр., нужно иметь некую софтину, которая умеет завосывать ключи, высовывать из обратно. Считается, что wpa2 не ломается за мыслимое время.

Что творится с вайфаем в линуксе? Творится 2 непр. вещи:

* На сегодняшний день есть два чипсета, которые полностью специфицированы. Многие вайфайные чипсеты закрыты, и дррйвера для них — либо результат дейятельности реверсинжиниринг-сообщества, помимо этого есть драйвера от производителей (производители пытаются делать закрытые дарйвера под линукс, смелые ребята). При этом это не значит, что вайфая не будет. Это может быть потому, что:

** Счастлвиый обладатель открвтой карточки

** Каротчка голая и хочет закрытый firmware

** Драйвер от произаодителя

** Драйвер от сообщества

** ndiswrapper. В незапамятные времена МС пришло в голову станд. сетевой драйвер для Linux, описать API, и тут они поступили вопреки себе и сделали полноценную спецификацию — NDIS. Поэтому в линух и bsd есть ndiswrapper, которому можно скормить драйвер сетевой карты, и он иногда работает. Это дост. распростр. способ борьбы с проприетраным wifi. Лектор не знает, насколько это последнее автоматизированно в разл. дистрибутивах.

Итак, есть драйвера, есть wpa-supplicant, есть много чего...

На сег. день ситуация следующая: количество поддерживаемых чипсетов растёт. Скорее всего, вайфай заработает, но скорее всего, его нужно будет немного допилить. Хотя, есть NetworkManager, у которого есть мозг, и он часто работает.

Когда речь идёт о вайфае, мы уже говорили, что карточка, которая вайфайная, может работать ad-hoc. Набирают силу, но пока из коробки не работают mesh-сети. По сути, это просто дисц. самоорг. устройств в режиме ad-hoc.

Вот у нас есть некое кол. устр., нах. в ячейстых отношениях. Приходит устройство, видит их и подкл. к одному из них. Дальше оно маршрутизируется само. Почему это возможно? Если мы не буджем гонять большое количество трафика, то почему быи нет?

Про аппаратную совместимость

ADSL это возможность передавать сигнал по проводам. Этот способ характерен двумя вещами: нужно ставить спецаппаратуру на АТС, после кроссирования (подключения) по проводам начинают ходить высокоч. сигналы. Этот высокоч. сигнал должен быть преобразовон во что-то, оно должно быть преобразовано компьютером, внутри этого завёрнут обыкновенный PPP-трафик. Есть три способа выдрать PPP-трафик:

# Втыкается нормальный ADSL-модем, у которого торчит ethernet. Она сама решает задачу подкл. по dsl и отдаёт уже обычныц ppp

* ADSL-to-Eth transiever. Иногда наз. модем. С одной стороны у этой железяки вст. телеф. шнур, с другой — eth, из которого лезет чёрт знает что. Это железяка ужн бесмозглая, она всего лишь занимается демод. сигнала и кодир. в eth-фреймы, в которых pppoe. После чего на компьютере запускаете pppoe-клиент на компьютере, который создаёт вирт интерфейс и всем занимается

* Купив у стрима adsl-модеи, вы обн., что никакого eth там нет, торчит usb-шнур. Это озн., что на ст. комьпютреа должен быть некий программный продукт, который умеет выковыривать оттуда ppp-трафика

Тут есть два рода грабель:

*

* Мыльница без мыла. Нужно брать драйвер

</div>

{{UNИX, осень 2008}}

{{Lection-stub}}