Ero sivun ”WLAN” versioiden välillä
Rivi 112: | Rivi 112: | ||
'''MUUT''' | '''MUUT''' | ||
Muita suojausmentelmiä ovat esim. MAC-suodatus, jossa tukiasemassa kerrtotaan wlan-asiakkaiden(client) MAC osoitteet | Muita suojausmentelmiä ovat esim. MAC-suodatus, jossa tukiasemassa kerrtotaan wlan-asiakkaiden(client) MAC osoitteet. Vain näiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on kuitenkin lähinnä marginaalinen, koska wlan-kortin MAC voidaan ohjelmallisesti helposti vaihtaa. Yleensä myös kannattaa pudottaa tukiaseman lähetystehoa ja muuttaa asetukset niin, ettei tukiasema lähetä verkon-nimeä (ssid) automaattisesti (hide ssid). Tästä saatu hyöty on myös marginaalinen, koska käytännössä tukiasema joutuu paljastamaan ssid:n enemmin tai myöhemmin, jolloin verkkoa passiivisesti kuunteleva sen näkee. | ||
Myös Wlan-liikenteen VPN-tunnelointi voi olla perusteltua joissain tapauksissa. | Myös Wlan-liikenteen VPN-tunnelointi voi olla perusteltua joissain tapauksissa. |
Versio 30. huhtikuuta 2005 kello 22.53
Mitä?
Wlan-korttien tuki on Linuxissa ei ole yhtä kattavaa kuin Windows maailmassa. Tämä johtuu pääosin piirivalmistajien haluttomuudesta julkaista koodia/rajapintoja/tietoa laitteistosta kehittäjille.
Kaikki Wlan-kortit eivät siis toimi Linuxissa. Muutoksia on tapahtumassa ja Linuxin Wlan-tuki tulee paranemaan huomattavasti lähiaikoina. Yhtenäistä 802.11 Wlan rajapintaa (802.11 stack) ollaan parhaillaan kehittämässä Jeff Garzikin johdolla ajurikehityksen helpottamiseksi.
Toisaalta Linuxin ajurit tarjoavat monia sellaisia ominaisuuksia, mitä ei ole Windows-versioissa.
Miksi?
Langaton verkkoyhteys on kätevä esimerkiksi hotelleissa, joihin yleensä yhteyksiä tarjoaa Sonera Homerun. Tämä on verkko jossa ei ole salausta, mutta tunnistautuminen (eng. authentication) vaaditaan yhteyden käyttämiseen. Päivän yhteysaikakortti maksaa noin 15e. Tämä yhteystapa on kätevä jos matkustelee paljon.
Eräs nokkela Wlan-harrastaja kertoi että, jättämällä ping-komennon taustalle, voi yhdellä yhteyskortilla käyttää nettiä rajattomasti. Tämä on vain kuulopuhetta, emmekä voi varmistaa tiedon oikeellisuutta.
Toinen laaja WLAN-verkkototeutus on SparkNet. Se kattaa melkein koko Suomen.
Avoimia Wlan-pisteitä on myös muulla tarjolla, joskus avoimia verkkoja on myös kotikäyttäjillä tahallisesti tai osaamattomuuden takia. Kannattaa huomioida että toisten verkkoyhteyksien luvaton käyttäminen on rikos.
Langattoman verkon tietoturva
Langaton verkkoyhteys tuo myös omat ongelmansa tietoturvallisuuden suhteen, jos tieto kulkee ilman salausta voi siihen päästä käsiksi ilkeämieliset henkilöt.
Minkä kortin ostan?
Nykytietämyksen mukaan rt2500-piirisarjaiset Wlan-kortit ovat parhaita. Tilanne voi muuttua uusien piirisarjojen tullessa markkinoille. Lisäksi valmistajilla on ikävä tapaus nostaa tuotteiden katetta vaihtamalla käyttöön muiden valmistajien piirisarjoja jopa saman tuotteen sisällä. Linux-käyttäjälle tämä näkyy niin, että toimivaksi todettu tuote ei toimikkaan. Hyviä esimerkkejä tälläistä tuotteista ovat 3Com OfficeConnect versio 2.
Suositeltavat tuotteet:
- A-Link WL54PC PCCARD/CARDBUS
- A-Link WL54H PCI
- Valmistajan kotisivu
Jos saat muita tuettuja kortteja edullisesti käytettynä, niin se voi olla ostamisen arvoista. Ei ole suositeltavaa ostaa muita kuin RT2500 piirisarjaisia laitteita uutena.
Prism54
Näistä suositeltavin kortti on Zyair G-100. Sen hinta on noin 50 €. Laitteessa toimii wep-salaus hyvin, mutta wpa tuen kehitys on vielä vaihteessa ja se valmistuu joskus. Suhtaudu asiaan varauksella.
Prism54 kortti tarvitsee ajurin lisäksi firmwaren, joka ladataan korttiin sen alustuksen yhteydessä.
Zyair G-100 on perinteisesti toiminut prism54 ajurilla, mutta Intersilin "Prism" liiketoiminnan ostanut Conexant on lopettaunut/lopettamassa ns. "FullMac" piirien tuotannon ja siirtynyt "SoftMac" piireihin. SoftMac piireissä on vähemmän muistia ja suurin osa toiminnoista on siirretty ajurin hoidettavaksi. Conexant ei ole kuitenkaan halunnut antaa teknistä tietoa tai koodipohjaa Prism54 kehittäjille, joten Linuxissa ei tällä hetkellä ole toimivaa ajuria Prism 54Mbit/s SoftMac piirille.
SoftMac ajuria yritetään kehitää ns. reverse engineering menetelmällä. Menetelmä on työläs ja nähtäväksi jää syntyykö työn tuloksena toimivaa ajuria.
Siksi kannattaakin pitää mielessä, että yhä useampi uusi Prism 54Mbit/s kortti saattaakin olla SoftMac piirisarjainen (Prism Xbow/Javelin) ja pettymys voi olla suuri kun se ei toimi.
Rt2500
Ralink rt2500-piirisarjaiset ovat parhaiten toimivia. Näistä edullisin (~29 €) kortti on A-link WL54PC. Tälle tuotteelle on saatavana täysin avoimet ajurit. Tässä kortissa on myös toimiva WPA-tuki, joka on monelle tärkeä ja kätevä työkalu salauksen käyttöönottamiseen (RaConfig2500). Työkalulla voi myös ottaa käyttöön useita profiileja, jolloin kortti osaa kytkeytyä automaattisesti tukiasemiin WPA-salauksen kanssa.
Kannattaa huomata, että ajuri toimii vain 8kb stackseilla käännetyssä ytimessä.
Atheros (madwifi)
Atheros piirisarjalaiset ovat myös testaamisen arvoinen juttu, tosin osa niistä vie paljon prosessoritehoa. Kenties näitä saa esimerkiksi Gigantista edullisesti. Myös muut verkkokaupat saattaisivat olla käteviä.
IPW2100
Intelin centrino tuen sisältävistä kannettavista löytyy yleensä ipw2100 sarjan piiri tai sen jälkeläinen. WPA tuesta ei varmuutta. Salaamattomat ja WEP yhteydet todettu toimiviksi.
Klassikot (mm. Orinoco gold/silver)
Käytettynä on saatavilla edullisesti myös vanhoja wlan-kortteja. Hyvänä esimerkkinä "Classic" Orinoco-kortit jotka toimivat hyvin, vaikka eivät ihan modernia nykytekniikkaa edusta. Osta jos saat kantohintaan.
Orinoco "Classic" korttiin saa myös WPA tuen käyttämällä Ageren Version 7.18 ajuria ja wpa_supplicantia.
Orinoco korteista on myös olemassa versioita, jotka eivät perustu Hermes I piirisarjaan, mutta jotka on kuitenkin nimetty Orinoco korteiksi. Nämä eivät kuitenkaan ole tuettuna orinoco_cs ajurissa. Tämä ikävä "sanaleikki" alkoi Proximin ostettua Lucentin Orinoco tuotteet. Proxim käyttää Orinoco "Classic" nimeä tarkoittaessaan näitä "aitoja" Hermes I pohjaisia Orinoco kortteja.
Ndiswrapper
Jos kortillesi ei löydy Linux-ajuria aina voit kokeilla ndiswrapper emulointirajapintaa, joka käyttää Windows-ajureita ja toimii melko hyvin.
Ndiswrapper on ytimen moduuli, joka emuloi Microsoftin NDIS rajapintaa. Suorituskyky ei ole aivan alkuperäisen veroinen. WPA-tuki on mahdollinen wpa_supplicantin avulla. WPA:n toimivuus voi olla riippuvainen käytettävän NDIS ajurin versiosta.
WEP & WPA-salaus
WEP
Nykyisin WEP-salaus löytyy kaikista Linux ajureista ja toimii yleensä hyvin. Kuitenkaan WEP-salausta ei enää pidetä turvallisena. WEP salauksessa salausavaimen pituuden kasvattaminen (64->128->256) ei oleellisesti paranna salauksen tehoa. Uudehkoissa tukiasemissa ja korteissa on firmwaressa paikkailtu WEP-salauksen heikkouksia (weak keys avoidance), jossa "heikkojen" avainten generointi on estetty. Koska heikkoja avaimia ei synny, WEP-salauksen murtamiseen tarvittavaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 2GB liikennettä, jonka jälkeen salausavaimen selvittäminen onnistuu. Riippuu hieman tuurista, mutta esim. 64-bit avain voi murtua 2 minuutissa ja 128-bit 20 minuutissa.
WPA
Yleensä Wlan-kortin driverin lisäksi tarvitaan wpa_supplicant (poikeuksena on Ralink rt2500), jotta saadaan wpa-salaus toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit ovat vielä "vaiheessa" wpa_supplicantin suhteen ja toimivuus ei siten välttämättä ole 100%.
Yritysverkossa ja miksei myös kotiverkoissa on syytä käyttää vähintään WPA-salausta. WPA-salaus käyttää salaukseen vaihtuvaa avainta (TKIP=Temporal Key Integrity Protocol). TKIP on "johdettu" WEP:stä lisättynä MIC:llä, eli kumpikin käyttää RC4 salausalgoritmia.
Laajemmissa verkoissa on yleensä käytössä WPA-Enterprise (Radius+IEEE802.1X+TKIP). Tällöin käyttäjien authentikointi tapahtuu omalla protokollalla (EAP) Radius-palvelimelta.
Yksityisten verkoissa ei yleensä ole Radius-palvelinta, jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli sama avain jaetaan kaikille verkon laitteille, jota vasten autentikoidaan. Tämä periaatteessa mahdollistaisi esim. sanakirjoihin perustuvat hyökkäykset.
WPA2
WPA2 on seuraavan sukupolven WPA. Myös siitä löytyy Personal ja Enterprise muodot. Erona on WPA:han on, että WPA2 käyttää salaukseen vahvempaa AES-algortmia TKIP:n sijaan.
WPA/WPA2 salaus on toista luokkaa kuin WEP:ssä. WPA2:ssa voidaan käyttää esim. 256-bit AES-algoritmia, johon ei ole tunnettua hakkerointimenetelmää olemassa.
MUUT
Muita suojausmentelmiä ovat esim. MAC-suodatus, jossa tukiasemassa kerrtotaan wlan-asiakkaiden(client) MAC osoitteet. Vain näiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on kuitenkin lähinnä marginaalinen, koska wlan-kortin MAC voidaan ohjelmallisesti helposti vaihtaa. Yleensä myös kannattaa pudottaa tukiaseman lähetystehoa ja muuttaa asetukset niin, ettei tukiasema lähetä verkon-nimeä (ssid) automaattisesti (hide ssid). Tästä saatu hyöty on myös marginaalinen, koska käytännössä tukiasema joutuu paljastamaan ssid:n enemmin tai myöhemmin, jolloin verkkoa passiivisesti kuunteleva sen näkee.
Myös Wlan-liikenteen VPN-tunnelointi voi olla perusteltua joissain tapauksissa.
Mistä ostan?
Tuotteita on saatavissa esimerkiksi verkkokauppa.com:sta
- Zyair G-100 PCCARD/Cardbus
- A-Link WL54PC PCCARD/Cardbus
- A-Link WL54H PCI
Jos haluat säästää rahaa, niin MBnetin hintaseuranta kertoo edullisimat ostospaikat.
Asetukset
Langattoman verkon asetukset määritellään työkalulla jonka nimi on iwconfig. Tämä ohjelma tulee yleensä wireless-tools paketin mukana. Moni levitysversio tarjoaa myös graafisia työkaluja asetusten määrittelyyn.
Lisätietoja komennon käytöstä saat komennolla man iwconfig.
Tämän lisäksi on tyypillistä että aloittelijat törmäävät siihen ongelmaan, että ajuria ei ole valmiiksi paketoitu levitysversion pakettiin, vaan se pitää kääntää käsin.
Vinkit & Linkit
Hyvä Linux-Wlan perusteos: Wireless LAN resources for Linux
- 802.11b, 11Mbit/s
HostAP driver for Intersil Prism2/2.5/3 Chipsets, hostapd, and WPA Supplicant
Linux driver for Intersil Prism2/2.5/3 Chipsets
Linux driver for Hermes I (ORiNOCO) Chipset
Linux driver for Intel® PRO/Wireless 2100 Chipsets
Linux driver for ADM8211 Chipset
Linux driver for Atmel AT76C5XXx Chipsets
Linux driver for Hermes I (Version 7.18) Chipsets from Lucent/Agere
Linux driver for Texas Instruments' ACX100 Chipset
- 802.11g, 54Mbit/s
Linux driver for Texas Instruments' ACX111 Chipset
Linux driver for Hermes II (Version 7.22) Chipsets from Agere
Linux driver for Intel® PRO/Wireless 2200BG Chipsets
Linux driver for the 802.11g Prism GT/Prism Duette/Prism Indigo Chipsets
Linux driver for Ralink rt2x00 Chipset
Linux driver for Atheros 802.11a/b/g Chipsets
- Jakelukohtaiset: Suse
- Artikkelit
raja-antura: ndiswrapper
raja-antura: wlan
Tukiasemat
Kaupalliset
Epäyhteensopivuusongelmia voi olla myös tukiasemien suhteen. Oman kokemukseni mukaan voin suositella mm. Zyxelin, Linksysin (Cisco), Cisco aironet ja Topcomin tukiasemia. Ongelmien välttämiseksi käytä uusinta ohjelmistoversioita (firmware/bios) myös tukiasemissa. Telewell-pohjaisissa (Conexant-piirisarja) tukiasemissa on ollut paljon ongelmia, vältä niitä. Dlink-tukiasemat ovat myös erityisen yhteensopimattomia laitteita.
Yleinen ongelma halvoissa tukiasemissa on se, että niiden prosessoriteho on alimitoitettu jolloin jos on käytössä useita WPA-salausta käyttävää korttia, voi laitteen prosessoriteho loppua kesken ja laite kaatua tai toimia aliteholla. Tämä yleinen ongelma vaivaa muitakin edullisia tuotteita.
Jos haluat tukea Linuxin suosiota, suosittelen ostamaan WLAN-tukiaseman, jossa on Linux. Tälläisiä tuotteita ovat mm. Linksys-tukiasemat.
Prism2/2.5/3 piirisarjassa on ns. Host AP tila, jossa prism kortti voi toimia tukiasemana, ilman erikoista AccessPoint firmwarea. Tällöin kortin ajuri (hostap_xxx) hoitaa ei aikakrittiset tapahtumat ja wlan-koritn firmware aikakriittiset. Periaatteessa tarvitsee vain ladata HostAP ajuri ja antaa komento 'iwconfig wlan0 mode Master', joka laittaa kortin AP tilaan. Tukiasemakoneeksi käy jokin vanha PI tai PII ja wlan-kortiksi esim. 3COM 3CRDW696 WIRELESS PCI CARD.
HostAP tukiasema toimii hyvin myös sellaisten korttien kanssa, joissa on jokin muu kuin Prism54 piirisarja, esim. Intel® PRO/Wireless 2100 tai Orinoco kortit.
Lisäksi 802.11g korteille ainakin Madfifi(Atheros) ja Prism54 (Prism GT/Duette/Indigo) ajureista löytyy Master tila.
OpenWrt
OpenWRT on oma Linux-jakelu WLAN-tukiasemille. Esimerkiksi osiin Linksys-tukiasemasta saa laitettua avoimenlähdekoodin Linux-järjestelmän. Tämä mahdollistaa paljon monimuotoisemman käytön tukiasemalle. Toiminta menee aika virittelyksi, mutta voi olla haasteiden arvoinen kokeilu.
Avoimen OpenWRT-jakelun etuna on se, että halvasta tukiasemasta saa tehtyä esimerkiksi täysiverisen kaistanrajoittimen tai erittäin hiljaisen palomuurin. Se myös on avointa lähdekoodia ja mahdollistaa jatkokehittämisen helposti.