Ero sivun ”WLAN” versioiden välillä
p (→Linkit) |
p (→Tukiasemat) |
||
Rivi 339: | Rivi 339: | ||
OpenWRT-jakelun etuna on se, että tukiasemasta saa tehtyä esimerkiksi täysiverisen kaistanrajoittimen tai erittäin hiljaisen palomuurin. Se myös on avointa lähdekoodia ja mahdollistaa jatkokehittämisen helposti. Sillä on myös melko kattava [http://tracker.openwrt.org/packages sovellusohjelmatarjonta]. | OpenWRT-jakelun etuna on se, että tukiasemasta saa tehtyä esimerkiksi täysiverisen kaistanrajoittimen tai erittäin hiljaisen palomuurin. Se myös on avointa lähdekoodia ja mahdollistaa jatkokehittämisen helposti. Sillä on myös melko kattava [http://tracker.openwrt.org/packages sovellusohjelmatarjonta]. | ||
'''OpenWRT-jakelu on ammattilaisille. Väärin asennettuna se voi | '''OpenWRT-jakelu on ammattilaisille. Väärin asennettuna se ja muutkin vaihtoehto firmwaret | ||
voivat tehdä tukiasemasta toimimattoman. Ne eivät varsinaisesti hajota mitään, mutta laitteen palauttaminen alkuperäistilaan voi olla vaikeeaa ja voi joskus edellyttää myös tukiaseman avaamista.''' | |||
'''Varoitus:''' Kaupoissa on jo WRT54G tuotteita joissa käyttöjärjestelmänä ei enää olekkaan | '''Varoitus:''' Kaupoissa on jo WRT54G tuotteita joissa käyttöjärjestelmänä ei enää olekkaan |
Versio 20. marraskuuta 2005 kello 20.43
Mitä?
Wlan-korttien tuki ei ole Linuxissa yhtä kattavaa kuin Windows-maailmassa. Tämä johtuu pääosin piirivalmistajien haluttomuudesta julkaista koodia/rajapintoja/tietoa laitteistosta kehittäjille.
Kaikki Wlan-kortit eivät siis toimi Linuxissa. Muutoksia on tapahtumassa ja Linuxin Wlan-tuki tulee paranemaan huomattavasti lähiaikoina. Yhtenäistä 802.11 Wlan rajapintaa (802.11 stack) ollaan parhaillaan kehittämässä Jeff Garzikin johdolla ajurikehityksen helpottamiseksi. 802.11 stack tuli ensimmäistä kertaa käyttöön 2.6.14 kernelissä.
Toisaalta Linuxin ajurit tarjoavat monia sellaisia ominaisuuksia, mitä Windows-versioissa ei ole.
Miksi?
Langaton verkko sopii loistavasti joka kodin verkoksi, koska verkkokaapelointia ei tarvita. Jos sattuu omistamaan kannettavan, internetin käyttö onnistuu langattomasti lähes joka paikasta asunnossa tai jopa ulkoa, (oman) tukiaseman kautta. Taloyhtiöissä ja kommuuneissa nettiyhteyttä myös voidaan helposti jakaa langattomasti. Yksi tukiasema keskimäärin kantaa esteettömissä olosuhteissa noin 150-200 metriä.
Langaton verkkoyhteys on kätevä myös hotelleissa, joihin yleensä yhteyksiä tarjoaa Sonera Homerun. Tämä on verkko jossa ei ole salausta, mutta tunnistautuminen (eng. authentication) vaaditaan yhteyden käyttämiseen. Päivän yhteysaikakortti maksaa noin 15 € ja kuukauden noin 80 €. Tämä yhteystapa on kätevä jos matkustelee paljon.
Eräs nokkela Wlan-harrastaja kertoi, että jättämällä ping-komennon taustalle, voi yhdellä yhteyskortilla käyttää nettiä rajattomasti. Tämä on vain kuulopuhetta, joku voisi varmistaa asian oikeellisuuden.
Toinen laaja WLAN-verkkototeutus on SparkNet. Se kattaa melkein koko Suomen.
Avoimia Wlan-pisteitä on myös muulla tarjolla, joskus avoimia verkkoja on myös kotikäyttäjillä tahallisesti tai osaamattomuuden takia. Kannattaa huomioida, että toisten verkkoyhteyksien luvaton käyttäminen on rikos.
Langattoman verkon tietoturva
Langaton verkkoyhteys tuo myös omat ongelmansa tietoturvallisuuden suhteen, jos tieto kulkee ilman salausta voi siihen päästä käsiksi ilkeämieliset henkilöt.
Siksi tulisi aina käyttää turvallisinta mahdollista salaustekniikkaa mikä on laitteiston puolesta mahdollista. Eli jos wlan laitteet ajurit mukaan lukien osaavat WPA:n tai WPA2:n ei ole mitään järkeä käyttää WEP salausta.
Minkä kortin ostan ja mistä?
Nykytietämyksen mukaan rt2500-piirisarjaiset Wlan-kortit ovat parhaita. Tilanne voi muuttua uusien piirisarjojen tullessa markkinoille. Lisäksi valmistajilla on ikävä tapaus nostaa tuotteiden katetta vaihtamalla käyttöön muiden valmistajien piirisarjoja jopa saman tuotteen sisällä. Linux-käyttäjälle tämä näkyy niin, että toimivaksi todettu tuote ei toimikkaan. Hyviä esimerkkejä tälläistä tuotteista ovat 3Com OfficeConnect versio 2.
Suositeltavat tuotteet:
- A-Link WL54PC RT2500/Cardbus
- A-Link WL54H RT2500/PCI
- D-Link DWL-G122 USB
- Edimax EW-7108PCG Cardbus
- A-Link:n kotisivu
- Muita RT2500-piirisarjaisia kortteja
Jos saat muita tuettuja kortteja edullisesti käytettynä, niin se voi olla ostamisen arvoista. Ei ole suositeltavaa ostaa muita kuin RT2500 piirisarjaisia laitteita uutena. Kun olet ostamassa kannettavaa, muista tarkistaa myös sen piirisarja.
Tuotteita on saatavissa esimerkiksi verkkokauppa.com:sta
- A-Link WL54PC PCCARD/Cardbus
- A-Link WL54H PCI
- D-Link DWL-G122 USB
Jos haluat säästää rahaa, niin MBnetin hintaseuranta kertoo edullisimat ostospaikat.
Piirisarjojen tunnistaminen
Korttien piirisarjojen tunnistamisen kanssa voi olla joskus ongelmia. Voit käyttää lspci-komentoa tarkistaaksesi, mikä piirisarja kortissa on. Komento toimii pci- ja pccard/cardbus-korttien kanssa. lspci-komento löytyy pci-tools-paketista.
[root@ap root]# lspci 00:00.0 Host bridge: Intel Corp. 430HX - 82439HX TXC [Triton II] (rev 03) 00:07.0 ISA bridge: Intel Corp. 82371SB PIIX3 ISA [Natoma/Triton II] (rev 01) 00:07.1 IDE interface: Intel Corp. 82371SB PIIX3 IDE [Natoma/Triton II] 00:09.0 Network controller: Intersil Corporation Prism 2.5 Wavelan chipset (rev 01) 00:0a.0 VGA compatible controller: S3 Inc. 86c764/765 [Trio32/64/64V+] (rev 54) 00:0b.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10) 00:0c.0 PCMCIA bridge: Cirrus Logic CL 6729 (rev 07)
Lihavoidusta kohdasta löytyy Prism2.5-piirisarjainen PCI Wlan-kortti.
Vanhemmista pccard/pcmcia-korteista saa tietoa cardctl ident komennolla. Kuitenkaan cardctl ident ei kerro pcmcia-kortin piirisarjaa, vaan lähinnä valmistajan ja tuotteen id:n jne. Näillä tiedoilla voi yrittää "googlettaa" mahdollista Linux-ajuria.
[root@ap root]# cardctl ident Socket 0: product info: "Compaq", "WL200_11Mbps_Wireless_PCI_Card", "", "" manfid: 0x0138, 0x0002 function: 6 (network) Socket 1: no product info available
Pcmcia-korttipaikasta '0' löytyy WL200 Wlan-kortti, joka on 16-bit pccard/pcmcia-kortti istutettuna pci-kortille yhdessä Cirrus Logic:n pcmcia bridge -piirin kanssa. Ko. kortti on Prism2 piirisarjainen, mutta ident komento ei sitä kerro.
Conexant (ent. Intersil) Prism GT/Duette/Indigo/Frisbee/SoftMac
Näistä suositeltavin kortti on Zyair G-100. Sen hinta on noin 50 €. Laitteessa toimii WEP-salaus hyvin, mutta WPA-tuen (Prism54 ajurissa) kehitys on vielä vaihteessa ja se valmistuu joskus. Suhtaudu asiaan varauksella.
Prism54 Fullmac -piirisarjaa ei enää tiettävästi valmisteta, mikä tarkoittaa, että prism54-Linux-ajuria tukevien korttien ostaminen kaupoista voi olla erittäin hankalaa. Uudet Prism54 Softmac -piirisarjat (Prism Xbow/Javelin) eivät toimi Linuxissa.
Prism54-kortti tarvitsee ajurin lisäksi firmwaren, joka ladataan korttiin sen alustuksen yhteydessä.
Zyair G-100 on perinteisesti toiminut prism54-ajurilla, mutta Intersilin Prism-liiketoiminnan ostanut Conexant on lopettaunut/lopettamassa ns. FullMac-piirien tuotannon ja siirtynyt SoftMac-piireihin. SoftMac-piireissä on vähemmän muistia ja suurin osa toiminnoista on siirretty ajurin hoidettavaksi. Conexant ei ole kuitenkaan halunnut antaa teknistä tietoa tai koodipohjaa Prism54-kehittäjille, joten Linuxissa ei tällä hetkellä ole toimivaa ajuria Prism 54Mbit/s SoftMac -piirille.
Siksi kannattaakin pitää mielessä, että yhä useampi uusi Prism 54Mbit/s -kortti saattaakin olla SoftMac-piirisarjainen (Prism Xbow/Javelin) ja pettymys voi olla suuri, kun se ei toimi.
SoftMac-ajuria yritetään kehitää ns. reverse engineering -menetelmällä. Menetelmä on työläs ja nähtäväksi jää syntyykö työn tuloksena toimivaa ajuria.
UUTTA: Reverse engineering-menetelmällä syntynyt Prism54 SoftMac ajuri islsm, madfifi stack ja tarvittava firmaware on ladattavissa osoitteesta http://jbnote.free.fr/prism54usb/. Ajuri perustuu muokattuun Atheros (MadWifi) ajuriin ja uuteen islsm moduliin.
USB-liitynnäiset
USB-wlan tikut ovat vähän heikosti tuettuna, ainakin tällä hetkellä. Rt2570-piirisarjaiset ovat tuettuina ainakin uusimmalla RT2x00-ajurilla.
Lista yhteensopivista ajureista on luettavissa internetissä.
Suomesta saa ainakin Dlinkin DWL-G112 tikkua, joka on tuettujen listalla.
Ralink Rt2500
Ralink rt2500-piirisarjaiset ovat parhaiten toimivia. Näistä edullisin (~29 €) kortti on A-link WL54PC. Tälle tuotteelle on saatavana täysin vapaat ajurit (GPL). A-Link kortin saatavuus voi ajoittain olla heikko, koska Linux-käyttäjät ostavat niitä paljon.
Tässä kortissa on myös toimiva WPA-tuki, joka on monelle tärkeä ja kätevä työkalu salauksen käyttöönottamiseen (RaConfig2500). Työkalulla voi myös ottaa käyttöön useita profiileja, jolloin kortti osaa kytkeytyä automaattisesti tukiasemiin WPA-salauksen kanssa.
Huomaa: ajuri toimii vain 8 kb pinoja käyttämään käännetyssä ytimessä (ytimen asetus CONFIG_4KSTACKS pois päältä). Jos käytät uusinta cvs-versiota, ajuri toimii myös 4kb pinoilla. Haittapuolena on, että et voi käyttää RaConfig2500 ohjelmaa wpa-asetusten tallentamiseen.
Kortin kanssa kannattaa käyttää CVS-versiota ajurista, se toimii paremmin kuin julkaistu versio. Sen asentaminen on myös helpompaa.
Atheros AR5210, AR5211, AR5212 & AR5213
Atheros piirisarjalaiset ovat myös testaamisen arvoinen juttu, mutta ne vievät paljon prosessoritehoa. Näitä voi löytää edullisesti Gigantin "palautuskorista" ja Huuto.netistä. Uutena näitä ei kannata ostaa.
WPA-tuki on mahdollinen wpa_supplicantin avulla.
Ajuri tukee myös bonding tilaa eli suurempia nopeuksia (108Mbit/s) kuin standardoitu 54 Mbit/s. Tämä on kuitenkin valmistajakohtainen (Atheros) ratkaisu ja sellaiseksi se myös jäädä. Yleensä bonding tila vaatii saman valmistajan tukiaseman ja kortin toimiakseen luotettavasti.
Intel IPW2100 & IPW2200BG
Intel Centrino piirsarjan sisältävistä kannettavista löytyy yleensä ipw2100 sarjan piiri tai sen jälkeläinen ipw2200BG. Salaamattomat ja WEP yhteydet todettu toimiviksi. WPA-tuki on mahdollinen wpa_supplicantin avulla.
Realtek rtl8180, rtl8185 & rtl8187
OpenSource wlan ajurit Realtek rtl8180/rtl8185/rtl8187 pohjaisille 11b ja 54g PCI ja Cardbus korteille. Tälläinen kortti on esim. D-Link DWL-510 (PCI). Rtl8180 eli 11Mb/s PCI ja Cardbus kortit näyttävät olevan parhaiten tuettuna tällä hetkellä.
Klassikot (Orinoco & Prism2)
Agere (ent. Lucent)/Avaya/Proxim Hermes I (Orinoco Gold/Silver)
Käytettynä on saatavilla edullisesti myös vanhoja wlan-kortteja. Hyvänä esimerkkinä "Classic" Orinoco-kortit jotka toimivat hyvin, vaikka eivät ihan modernia nykytekniikkaa edustakaan. Osta jos saat kantohintaan.
Orinoco "Classic" Gold korttiin saa myös WPA-tuen käyttämällä Ageren Version 7.18 ajuria ja wpa_supplicantia.
- Orinoco ajurin kehityssivusto
- Ageren "vaihtoehto" ajuri Orinoco "Classic" korteille, ajuri ei ole GPL:ää
Näistä korteista on myös olemassa versioita, jotka eivät perustu Hermes I piirisarjaan, mutta joita kuitenkin kutsutaan Orinoco korteiksi. Nämä eivät kuitenkaan ole tuettuna orinoco_cs ajurissa. Tämä ikävä "sanaleikki" alkoi Proximin ostettua Lucentin Orinoco liiketoiminnan. Proxim käyttää Orinoco "Classic" nimitystä tarkoittaessaan näitä "vanhoja aitoja" Hermes I pohjaisia Orinoco kortteja.
Orinoco "Classic" Silver kortista Gold Orinoco "Classic" Silver ja Gold kortit ovat samaa rautaa. Ero on kortin PDA:ssa (Production Data Area), jossa on mm. kerrottu onko ko. kortti Silver vai Gold. Kun kortille ajetaan normaali firmware päivitys, update-ohjelma lukee PDA:sta onko kortti Silver vai Gold ja ottaa käyttöön sen mukaisesti joko 64-bit tai 128-bit WEP salausmahdollisuuden. Alchemy ohjelmalla saa kätevimmin (ilman flash.exe kikkailua) "Silver" PDA:n muutettua "Gold":ksi, jonka jälkeen ladataan normaali Orinoco station firmware. Firmwaren lataamisen jälkeen Silver kortin 128-bit WEP aktivoituu ja se on siten käytännössä Gold.
Intersil Prism2/2.5/3
Prism2/2.5/3 piirisarjaisia Wlan-kortteja on ehkä maailmalla eniten. WPA/WPA2-tuki on mahdollinen hostap ajurin ja wpa_supplicantin avulla. WPA-tuki vaatii, että kortin firmware on 1.7.0 tai uudempi.
- Prism2/2.5/3 ajurin (hostap) kehityssivusto
- Prism2/2.5/3 "vaihtoehto" ajurin (prism2) kehityssivusto
- Prism2/2.5/3 firmwaren päivitys HOWTO
- Prism2/2.5/3 firmware kokoelma
Ndiswrapper
Jos kortillesi ei löydy Linux-ajuria aina voit kokeilla ndiswrapper-emulointirajapintaa, joka käyttää Windows-ajureita ja toimii melko hyvin.
Ndiswrapperilla on kannattajansa ja vastustajansa. Toisaalta sillä saadaan joidenkin wlan-korttien tuki Linuxiin, mutta joudutaan ajamaan vierasta windows (ei OpenSource/GPL) binääriä joka myrkyttää (taint kernel) kernelin. Toisaalta itse wrapper koodi on GPL lisenssin alaista OpenSourceaa. Pelätään jopa että wrapperin olemassaolo itseasiassa jarruttaa natiiviajurien kehitystä. LKML keskusteluissa (Linux Kernel Mailing List) on jopa ehdotettu 8K stack tuen poistamista ja siirtymistä kokonaan 4K stackin käyttöön. Tämä käytännössä estäisi Ndiswrapperin toimiminnan siinä muodossa kun se nykyisin on toteutettu. Ratkaisuna tähän voisi olla se että wrapper ajaisi Windows binäärin erillisessä muistiavaruudessa.
Ndiswrapper on ytimen moduuli, joka emuloi Microsoftin NDIS-rajapintaa. Suorituskyky ei ole aivan alkuperäisen veroinen. WPA-tuki on mahdollinen wpa_supplicantin avulla. WPA:n toimivuus voi olla riippuvainen käytettävästä NDIS-ajurista tai jopa sen versiosta. Ndiswrapper vaatii Windowsin ajuritiedostot (*.inf). On suositeltavaa käyttää mahdollisimman tuoreita Windows ajureita.
Huomaa: Ndiswrapper toimii parhaiten 8 kilotavun pinoja käyttämään käännetyssä ytimessä (ytimen asetus CONFIG_4KSTACKS pois päältä). Tämä siksi, koska se joutuu käyttämään valmistajan alunperin Windows-maailmaan käännettyjä NDIS-ajureita. Windowsissa pinon koko on ilmeisesti 8k tai suurempi.
Wlan-tuki Linux-ytimessä
Seuraavat ajurit löytyvät 2.6 vanilla-ytimestä (eli kernel.orgista saatavassa kernelistä) suoraan. Myös 2.4 sarja tukee wlankortteja jollain tasolla, mutta on suositeltavampaa käyttää 2.6 sarjaa jo pelkästään sen tuoreuden takia.
- Prism54 (prism54)
- Orinoco "Classic" (orinoco_cs/_pci/_plx/_tmd)
- Cisco aironet (airo/_cs)
- Apple Airport wireless (airport)
- Atmel (atmel_cs/_pci/_plx)
missä:
- _cs = PCMCIA
- _pci = PCI ja Cardbus
- _plx = PCMCIA kortti (joko kiinteä tai irrotettava) PCI adapterissa jossa PLX9052 piiri.
- _tmd = PCMCIA kortti (joko kiinteä tai irrotettava) PCI adapterissa jossa TMD7160 piiri.
Kernelin 2.6.14 versiosta alkaen myös:
- Intel IPW2100 (ipw2100)
- Intel IPW2200 (ipw2200)
- Hostap (hostap_cs/_pci/_plx, tässä myös TMD tuki)
- Symbol Spectrum24 Trilogy, Intel PRO/Wireless 2011B (spectrum_cs)
- Nortel emobility PCI adaptor (orinoco_nortel)
Ajurituki siis on vakio ytimissä erittäin rajoitettua. Tämä johtuu siitä, että moni wlan-ajuri on vielä kehitysvaiheessa tai koodi on sen laatuista, ettei sitä voida vielä ottaa ytimeen mukaan. Toinen syy on se, että yleinen rajapinta wlan-ajureille ei ole vielä valmis. Wlan-ajureiden asentaminen voi olla aloittelijoille varsin haastavaa hommaa.
WEP-, WPA- ja WPA2-salaus
WEP (Wired Equivalent Privacy)
Nykyisin tuki WEP-salaukselle löytyy kaikista Linux-ajureista ja toimii yleensä hyvin. Osassa ajureita (esim. hostap), voidaan jopa valita käytetäänkö kortin firmwarea vai ajurin ohjelmallista salausta. Johtuen RC4-salausalgoritmin virheellisestä toteutustavasta (ei siis suoranaisesti RC4-algoritmista itsestään), WEP-salausta ei pidetä enää turvallisena. WEP-salauksessa myöskään salausavaimen pituuden kasvattaminen (64 bit->128 bit->256 bit) ei oleellisesti paranna salauksen tehoa.
Uudehkoissa tukiasemissa ja WLAN-korteissa on paikkailtu WEP-salauksen heikkouksia estämällä ns. heikkojen avainten luominen (weak keys avoidance). Näin ollen WEP-salauksen murtamiseen tarvitaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 500-1000 GB liikennettä, jonka jälkeen salausavaimen selvittäminen yleensä onnistuu. Tapauksesta ja onnesta riippuen esimerkiksi 64 bittiä pitkä avain voi murtua 5 minuutissa ja 128 bittinen 20 minuutissa.
WEP-salauksen vahvuutta voidaan parantaa myös käyttämällä dynaamista avainta (Dynamic WEP Keying), jolloin 128-bittinen WEP-salausavain vaihdetaan määrävälein (esimerkiksi 5 minuutin välein). Dynaaminen avain edellyttää IEEE802.1X-protokollan ("Port Based Authentication Protocol") käyttöä ja vaatii autentikointipalvelimeksi Radius-palvelimen. Tukiasemassa pitää olla IEEE802.1X-tuki ja WLAN-asiakas (client) tarvitsee IEEE802.1X supplicantin. Supplicant voi olla esim. wpa_supplicant tai Xsupplicant.
WPA (WiFi Protected Access)
Yleensä WLAN-kortin ajurin lisäksi tarvitaan wpa_supplicant (poikeuksena on Ralink rt2500, jossa supplicant on ajurissa "sisään rakennettuna" ), jotta WPA/WPA2-salaus saadaan toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit (esim. prism54) ovat vielä keskeneräisiä wpa_supplicantin suhteen ja toimivuus ei siten ole välttämättä täydellinen.
Yritys- ja kotiverkoissa on syytä käyttää vähintään WPA/WPA2-salausta, mikäli se suinkin on mahdollista. WPA-salauksessa käytetään vaihtuvaa avainta salaukseen (TKIP eli Temporal Key Integrity Protocol), eli jokainen radiotielle lähetettävä paketti salataan eri avaimella. TKIP on "laajennus" 128-bittisestä WEP:stä lisättynä MIC:llä (Message Identity Check). Kummatkin käyttävät RC4-algoritmia salaukseen.
Laajemmissa verkoissa on yleensä käytössä WPA-Enterprise (Radius+IEEE802.1X+TKIP). Tällöin käyttäjien autentikointi tapahtuu erillisellä protokollalla (EAP eli Extensible Authentication Protocol) Radius-palvelimelta.
Pienissä verkoissa ei yleensä ole Radius-palvelinta (tosin Linux maailmassa tälläisenkin saa helposti pystyyn esim. FreeRADIUS:lla), jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli kaikille verkon laitteille jaetaan yhteinen avain, jota vasten autentikoidaan. Tämä mahdollistaa periaatteessa esimerkiksi sanakirjoihin perustuvat hyökkäykset.
WPA2/RSN (802.11i/RSN Robust Security Network)
WPA2 on seuraavan sukupolven WPA. Myös siitä on Personal- ja Enterprise- (Radius+IEEE802.1X+AES) muodot. Erona WPA:han on, että WPA2 käyttää salaukseen vahvempaa AES-salausalgoritmia TKIP:n RC4:n sijaan. WPA/WPA2:ssa salaus on huomattavasti tehokkaampaa kuin perinteisessä WEP:ssä. WPA2:n AES-algoritmille ei tunneta tehokkaita murtomenetelmiä.
MUUT
Muita suojausmentelmiä ovat muun muassa MAC-suodatus, jossa tukiasemalle kerrotaan etukäteen WLAN-asiakkaiden (client) MAC osoitteet. Vain tunnettujen laitteiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on heikko, koska WLAN-kortin MAC-osoite on helppo vaihtaa ohjelmallisesti.
Tukiasemalle voidaan määrittää, että verkon-nimeä (SSID) ei lähetetä automaattisesti (hide SSID). Tästä saatu hyöty on niin ikään pieni: tukiasema joutuu paljastamaan SSID:n kun uusi WLAN-asiakas liittyy verkkoon, jolloin myös passiivinen kuuntelija saa sen selville.
Lähetystehon pudottaminen voi olla järkevää. Myös WLAN-liikenteen VPN-tunnelointi voi olla perusteltua joissain tapauksissa.
Hyökkäystyökalut
Airsnort ja Wepcrack ovat yleisimpiä WEP-salauksen murtamiseen käytettyjä työkaluja. Uusien salaustekniikoiden (WPA/WPA2) yleistyessä nämä työkalut ovat jo lähes menettäneet käytännön hyödyllisyytensä.
Toinen mielenkiintoinen hyökkäystapa on esiintyä tukiasemana HostAP-ajurin avulla ja syöttää (inject) omaa dataa verkon asiakkaille.
WPA Supplicant (wpa_supplicant)
WPA Supplicant on wlan asiakaspään (client) ohjema joka hoitaa WPA/WPA2 "kättelyt" ja kytkeytymisen wlan tukiaseman eli WPA Authenticatorin kanssa. Myös käytettävän wlan-ajurin on tuettava wpa_supplicanttia. WPA Supplicanttia ajetaan taustaprosessina ja sen kanssa voidaan käyttää myös graafista käyttöliittymää.
- Hyvä wpa_supplicantin konfigurointioje.
Asetukset
Langattoman verkon asetukset määritellään yleisesti työkalulla jonka nimi on iwconfig. Tämä ohjelma tulee yleensä wireless-tools paketin mukana. Myös wlan-kortin ajurin täytyy tukea wireless rajapintaa (WE=Wireless Extension). Nykyään WE tuki löytyy useimmista ajureita. Moni levitysversio tarjoaa myös graafisia työkaluja asetusten määrittelyyn.
Lisätietoja komennon käytöstä saat komennolla man iwconfig.
Tietoa Linux "Wireless"-rajapinnasta: Wireless Extension (WE) ja Wireless Tools (WT)
Lisäksi on tyypillistä, että aloittelijat törmäävät ongelmaan, että ajuria ei ole vielä valmiiksi paketoitu levitysversion pakettiin, vaan se pitää kääntää käsin. Joskus ajurit ovat vielä pahasti kehitysvaiheessa ja niiden asentaminen vaatii kokemusta järjestelmän ytimen korjaamisesta (eng. patch) ja kääntämisestä.
Linkit
Ajurisivustot 802.11b, 11Mbit/s
- HostAP driver for Intersil Prism2/2.5/3 Chipsets, hostapd, and WPA Supplicant
- Linux driver for Intersil Prism2/2.5/3 Chipsets
- Linux driver for Hermes I (ORiNOCO) Chipset
- Linux driver for Intel® PRO/Wireless 2100 Chipsets
- Linux driver for ADM8211 Chipset
- Linux driver for Atmel AT76C5XXx Chipsets
- Linux driver for Hermes I (Version 7.18) Chipsets from Lucent/Agere NON GPL
- Linux driver for Texas Instruments' ACX100 Chipset
Ajurisivustot 802.11g, 54Mbit/s
- Linux driver for Texas Instruments' ACX111 Chipset
- Linux driver for Hermes II (Version 7.22) Chipsets from Agere NON GPL
- Linux driver for Intel® PRO/Wireless 2200BG Chipsets
- Linux driver for the 802.11g Prism GT/Duette/Indigo/Frisbee Chipsets
- Linux driver for Ralink rt2x00 Chipset
- Linux driver for Atheros 802.11a/b/g Chipsets
- Linux driver for Realtek rtl8180/rtl8185/rtl8187 Chipsets
Jakelukohtaiset: Suse
Artikkelit
Muut
Tukiasemat
Kaupalliset/Linksys WRT54G(S)
Linksysin (kuuluu nykyisin Cisco Systems:iin) WRT54G(S) WLAN-tukiasemat perustuvat Linux käyttöjärjestelmään (2.4.x). Koska Linux on avoin käyttöjärjestelmä, myös Linksysin on ollut pakko julkistaa näiden tukiasemien käyttöjärjestelmän (firmware) lähdekoodi. Tästä lähde- koodista on sittemmin syntynyt monia muita lähinnä alan harrastelijoiden tekemiä muunnelmia. Näistä muunnelmista löytyy mm. ominaisuuksia joita ei Linksysin alkuperäis firmwaresta löydy.
Alla lueteltu muutamia vaihtoehtofirmwareja:
- OpenWRT projektin kotisivu
- DD-WRT projektin kotisivu
- Ewrt projektin kotisivu
- HyperWRT projektin kotisivu
Näistä OpenWRT on kaikkein pelkistetyin, mutta samalla laajin kokonaisuus. Se ei ole myöskään Linksysin lähdekoodin suora jatkokehitelmä, vaan se on kehitetty puhtaalta pöydältä, paketti paketilta. OpenWRT:tä voidaan kutsua jossain määrin myös Linux jakeluksi. Se vaatii muita WRT projekteja enemmän tuntemusta laitteistosta, verkoista ja Linuxista. Muut WRT projektit ovat Linksysin alkuperäis firmwaren kaltaisia, eli lähinnä parannelmia alkuperäsiversiosta.
OpenWRT-jakelun etuna on se, että tukiasemasta saa tehtyä esimerkiksi täysiverisen kaistanrajoittimen tai erittäin hiljaisen palomuurin. Se myös on avointa lähdekoodia ja mahdollistaa jatkokehittämisen helposti. Sillä on myös melko kattava sovellusohjelmatarjonta.
OpenWRT-jakelu on ammattilaisille. Väärin asennettuna se ja muutkin vaihtoehto firmwaret voivat tehdä tukiasemasta toimimattoman. Ne eivät varsinaisesti hajota mitään, mutta laitteen palauttaminen alkuperäistilaan voi olla vaikeeaa ja voi joskus edellyttää myös tukiaseman avaamista.
Varoitus: Kaupoissa on jo WRT54G tuotteita joissa käyttöjärjestelmänä ei enää olekkaan Linux vaan VxWorks. Ehkä Linksys haluaa näin kitkeä rehottavan firmware bisneksen? V5 versioissa on myös vähemmän flash ja ram muistia. Toistaiseksi mikään vaihtoehtofirmware ei tue v5 laitteita. Nähtäväksi jää pystyykö v5:een ylipäätään Linuxia edes asentamaan.
Kaupalliset/muut
Epäyhteensopivuusongelmia voi olla myös tukiasemien suhteen. Oman kokemukseni mukaan voin suositella mm. Zyxelin, Linksysin, Cisco aironet ja Topcomin tukiasemia. Ongelmien välttämiseksi käytä uusinta ohjelmistoversioita (firmware/bios) myös tukiasemissa. Telewell-pohjaisissa (Conexant-piirisarja) tukiasemissa on ollut paljon ongelmia ja siksi niitä kannattaa välttää ostamasta. Suuria ongelmia on myös ollut D-Link tukiasemien kanssa.
Yleinen ongelma halvoissa tukiasemissa on se, että niiden prosessoriteho on alimitoitettu jolloin jos on käytössä useita WPA-salausta käyttävää korttia, voi laitteen prosessoriteho loppua kesken ja laite kaatua tai toimia aliteholla. Tämä yleinen ongelma vaivaa muitakin edullisia tuotteita.
Jos haluat tukea Linuxin suosiota, suosittelen ostamaan WLAN-tukiaseman, jossa on Linux. Tälläisiä tuotteita ovat mm. Linksys-tukiasemat.
Prism2/2.5/3-piirisarjassa on ns. Host AP -tila, jossa prism-kortti voi toimia tukiasemana, ilman erikoista AccessPoint-firmwarea. Tällöin kortin ajuri (hostap_xxx) hoitaa ei-aikakrittiset tapahtumat ja wlan-kortin firmware aikakriittiset. Periaatteessa tarvitsee vain ladata HostAP ajurija antaa komento iwconfig wlan0 mode Master, joka laittaa kortin AP-tilaan. Tukiasemakoneeksi käy jokin vanha PI tai PII ja wlan-kortiksi esim. 3COM 3CRDW696 WIRELESS PCI CARD. 3COM 3CRDW696:n "Primary" ja "Station" firmware kannattaa ensin päivittää versioihin: PRI=1.1.1 ja STA=1.7.4.
HostAP-tukiasema toimii hyvin myös sellaisten korttien kanssa, joissa on jokin muu kuin Prism2/2.5/3-piirisarja, esim. Intel® PRO/Wireless 2100 tai Orinoco-kortit.
Lisäksi 802.11g-korteille ainakin Atheros- ja Prism54 (Prism GT/Duette/Indigo) -ajureista löytyy Master-tila.
HostAP-ajurin tapaan Prism54-ajuri tukee myös WDS:ää (Wireless distribution system) AP-tilassa, jolla kortti voi liittyä langattoman sillan osaksi ja näin laajentaa verkon katetta (HostAP + WDS) tai toimia siltana wlan-verkon ja lan-verkon välillä.
Linux & WLAN - Usein kysyttyjä kysymyksiä
- K: Olen kokoamassa WLAN-tukiasemaa vanhaa työpöytärautaa hyväksikäyttäen. Käykö mikä tahansa PCI-WLAN kortti tarkoitukseen (esim. em. A-Link WL54H PCI)? Käyttöjärjestelmäksi tulee luonnollisesti Linux.
- V: A-Link WL54H PCI ei käy koska sen ajuriin ei (vielä?) ole implementoitu ns. Master eli Access Point tilaa. 11Mb/s kykenevän tukiaseman saa parhaiten Prism2/2.5/3 piirisarjaisista korteista. Näitä saattaa kuitenkin olla vaikea löytää ja voivat olla harvinaisuutensa vuoksi kalliita. Mutta yksi hyväksi todettu on 3COM 3CRDW696 WIRELESS PCI yhdessä hostap ajurin kanssa. Tähänkin pitää tosin ajaa firmware päivitys. Hostap tuki-asemaan saadaan myös WPA/WPA2 tuki hostapd (WPA/WPA2 authenticator) ohjelman avulla.
- 54Mb/s kykenevän tukiaseman saa ehkä parhaiten Atheros piirisarjaisista korteista MADWIFI ajurin kanssa. Myös Prsm54 piirisarjaisista korteista löytyy Master tila, mutta näitä on nykyään vaikea löytäää ns. "full-mac" versiona. Tällä hetkellä vain "full-mac" piireille on toimiva Linux ajuri, joka on ollut myös kernelissä vakiona jonkin aikaa.
- K: Ohjeet wpa_supplicantin käytöstä ja vaatimuksista pitäisi saada jonnekkin??
- V: Wpa_supplicant on ehkä syystä koettu vaikeasti konfiguroitavaksi, koska se on niin monipuolinen. Wpa_supplicant:lla on hyvät kotisivut, jossa selviää ainakin mitkä wlan ajurit tukevat sitä ja millä tasolla (WPA/WPA2). Lisäksi sivuilla oleva wpa_supplicant.conf pitäisi olla itse itseään selittävä (tosin Englannin kielellä). Konfiguraatiossa periaatteessa valitaan vain yksi network={} merkitty konfiguraatio joka vastaa sitä turvallisuustasoa (salausalgoritmit) jota halutaan ja johon tukiasema pystyy.
Osallistu
Voit tukea kehitystyötä lahjoittamalla rahaa. Voit myös käyttää aikaasi ja raportoida virheistä kehittäjille. Lisäksi voit myös lahjoittaa kehittäjille wlan-kortteja tai muuta tarvittavaa laitteistoa. Tukeasi tarvitaan - myös jatkossa. Voit myös kirjoittaa dokumentaatiota ja neuvoa muita ihmisiä.