Access Point de Doble Stack con Seguridad WEP

De NetBSD Mexico

Descripción:

La seguridad de la llave WEP estática no tiene las características que favorecen a las llaves dinámicas, sin embargo son suficientemente confiables para ambientes de casas familiares y edificios de depatamentos. Esta configuración presenta al final la eliminación de anuncios tipo broadcast en el access point a fin de pasar desapercibido y no causar tentación a algún posible hacker de barrio pobre.

Definiciones:

  • La tarjeta de red es la CNet CWP-854 PCI con chipset RT2501/RT2561N driver ral(4)
  • Se utilizarán llaves de 128 bits (104 válidos)
  • Se utlizará la red privada 192.168.154.0/24
  • Se utlizará la red IPv6 3ffe:8240:8018:7fa::/64
  • Las direcciones de nuestra tarjeta inalámbrica serán 192.168.154.1 y 3ffe:8240:8018:7fa::1
  • Nuestra red inalámbrica se llamará hola
  • Utilizaremos el canal 4 de la red inalámbrica

Requisitos:

  • Una computadora con NetBSD-4 ó superior
  • Servicio dhcpd en la misma máquina configurado con las direcciones previamente definidas
  • Servicio DNS caché (por lo menos) en la misma máquina
  • Una llave de 128 bits en formato exadecimal generadas en algún dispositivo de tipo random
  • Tres llaves de 128 bits en formato exadecimal (opcionales) generadas en algún dispositivo de tipo random

Procedimiento:

  • Instale el hardware y software
  • Configure el sistema operativo y los requisitos, no olvide el soporte de IPv6
  • Elabore el archivo de configuración de la tarjeta inalámbrica /etc/ifconfig.ral0 
nwid hola chan 4
inet  192.168.64.1 netmask 0xffffff00 media auto
inet6 3ffe:8240:8018:7fa::1 prefixlen 64 alias
mediaopt hostap up
  • Haga el archivo /etc/rtadvd.conf de anuncio de rutas y asignación de direcciones de IPv6 
ral0:\
        :addr="3ffe:8240:8016:aff::":prefixlen#64:
  • Configure el arranque de los servicios en /etc/rc.conf 
ip6mode=router
rtadvd=YES      rtadvd_flags="ral0"
named=YES       named_flags=""
dhcpd=YES       dhcpd_flags="-q ral0"

Arranque paso a paso:

Al arrancar su máquina, estará en condición de hacer la siguiente prueba de enlace:

  • Vaya a la máquina cliente y pídale la lista de las redes vecinas
  • Seleccione la red hola y conéctese a ella... en esta prueba no necesitará contraseña alguna

Una vez superada con éxito la primera prueba, procedemos a la segunda "enlace con una llave"

  • Vaya a la máquina cliente y configure su tarjeta inalámbrica con seguridad WEP de 104 bits y escriba la llave.
  • En la máquina con NetBSD, ponga la llave en el archivo /etc/ifconfig.ral0 
nwid hola chan 4
nwkey 0x88188f5d9d8bff68ffffc230d0
inet  192.168.64.1 netmask 0xffffff00 media auto
inet6 3ffe:8240:8018:7fa::1 prefixlen 64 alias
mediaopt hostap up

Si usted no quiere usar las cuatro llaves, o si la configuración de la tarjeta inalámbrica de su máquina cliente no tiene espacio para escribir las cuatro llaves, omita lo siguiente.

Ya superada la prueba de una sola llave, procedemos a la prueba final con cuatro llaves

  • En la ventana de configuración de su tarjeta, escriba las tres llaves faltantes
  • En la máquina con NetBSD, ponga las llaves en el archivo /etc/ifconfig.ral0 en el mismo orden 
nwid hola chan 4
nwkey 4:0x88188f5d9d8bff68ffffc230d0,0x8bd7648dffff88ff8045b60f88,0xb60f031c5d300fd745b60fd75d,0x0114b60fcb4d55880fe8c2b695
inet  192.168.64.1 netmask 0xffffff00 media auto
inet6 3ffe:8240:8018:7fa::1 prefixlen 64 alias
mediaopt hostap up

Al arrancar su máquina con NetBSD tendrá el servicio de Access Point completamente operacional.

Seguridad adicional

Para no causar tentaciones al posible hacker de barrio, apague los anuncios broadcast de la red hola modificando su archivo /etc/ifconfig.ral0. Añada la opción hidessid a una de las lineas: 

nwid hola chan 4 hidessid
nwkey 4:0x88188f5d9d8bff68ffffc230d0,0x8bd7648dffff88ff8045b60f88,0xb60f031c5d300fd745b60fd75d,0x0114b60fcb4d55880fe8c2b695
inet  192.168.64.1 netmask 0xffffff00 media auto
inet6 3ffe:8240:8018:7fa::1 prefixlen 64 alias
mediaopt hostap up

Disfrute su nuevo access point :)

Comentarios y explicaciones:

/etc/ifconfig.ral0

  • hostap es el modo para trabajar como "Access Point". Otras opciones son ibss para conexiones peer to peer, monitor (autoexplicativo) y bss (default) para ser cliente de un access point. Consulte el manual del driver de su tarjeta de red para comprobar el soporte de estos modos.
  • Se hacen las asignaciones de direcciónes IP, IPv6 y sus máscaras. La media elegida es auto para que la tarjeta inalámbrica tome el valor default de velocidad. Otros valores posibles son DS5, OFDM54 y varios más. Consulte el manual del driver de su tarjeta de red para comprobar el soporte de otras velocidades así como sus alcances y limitaciones.
  • En NetBSD es necesario escribir el prefijo 0x a cada llave para indicar que el siguiente valor está en formato exadecimal.
  • La línea nwkey, con el string 4: indica que la cuarta llave es la activa. Usted puede cambiar este número por 1, 2 ó 3 indistintamente.

/etc/rtadvd.conf

  • Con ral0:addr="3ffe:8240:8018:7fa::":prefixlen#64: es posible definirlo en una sola línea acorde a la sintáxis de termcap(5)
  • El servicio rtadvd con la dirección base addr/64 y la mac address del cliente que solicita una IPv6 le asignará una dirección utilizando el formato eui64

/etc/rc.conf

  • Ponemos nuestra máquina con NetBSD en modo de ruteo IPv6
  • Declaramos que los tres servicios arrancarán en automático. Las flags con ral0 indican que el servicio solo correrá en esa interfase.

Si no quieres IPv6, suprime las lineas que lo relacionan, pero no lo eches en saco roto. IPv6 ya es inminente.

Disfruta tu nuevo Access Point con NetBSD

Malditrón

Obtenido de "http://www.netbsd.mx/index.php/Access_Point_de_Doble_Stack_con_Seguridad_WEP"
Herramientas personales