Xarxes i seguretat

No són solament els governs dels estats amb alguna cosa a perdre els que fabriquen por. No. Jo també us la venc, i més bé de preu. Si. Malícia en forma de senyal electromagnètic polsat. Malícia que s’escola per les escletxes de pisos en què no tenen ganes de comprar banda ampla al mercat lliure. Malícia d’script-kiddies i hackers equivocats que engeguen els sniffers i endollen antenes amb llaunes i usen drivers GPL i rebenten claus WEP en menys de cinc minuts.

Vet-ho aquí. Esborronador. Horrorós.

Per parar-los els peus traspasso les notes de com configurar un supplicant d’autenticació i xifratge WPA. És un programa que s’executa al background i controla els enllaços WPA, molt més segurs que els de xifratge WEP. En el meu cas (xipset Ralink) el supplicant demostra ser molt estable, provat sota Debian GNU/Linux 5.0.1 aka lenny.

Per variar, uso una targeta de wifi de Conceptronic amb xipset Ralink RT61. El supplicant funciona bastant bé amb els drivers del fabricant, que trobareu aquí.

Descarregueu el driver. També inclou l’WPA Supplicant

wget http://www.ralinktech.com.tw/data/drivers/2009_0123_RT61_Linux_STA_v1.1.2.3.tar.bz2
tar -jxvf 2009_0123_RT61_Linux_STA_v1.1.2.3.tar.bz2
cd 2009_0123_RT61_Linux_STA_v1.1.2.3

Eliminem el driver RT61 autocarregat que vé per defecte amb el sistema i el posem a la llista negra de mòduls prohibits

sudo rmmod rt61pci
echo rt61pci >> /etc/modprobe.d/blacklist

Preparem el sistema per a compilar el mòdul i l’WPA Supplicant i procedim

sudo apt-get update && sudo apt-get upgrade
sudo apt-get install linux-headers-2.6-686 make libc6-dev libssl0.9.8 libssl-dev gcc wireless-tools
cd Module
make && make install
sudo modprobe rt61

Com que hem instal·lat les wireless-tools, podem comprovar el funcionament de la nova interfície ra0

sudo ifconfig ra0 up
sudo iwconfig ra0

Aleshores eliminem un fitxer que provoca un missatge absurd en engegar i afegim rt61 a la llista de mòduls de càrrega en boot time

sudo rm /etc/modprobe.conf
echo rt61 >> /etc/modules

Seguidament compilem i instal·lem l’WPA Supplicant

cd ../WPA_Supplicant
make && make install

Ja està tot preparat. Ara hem de pensar en la clau (en anglès, passphrase) per a la nostra xarxa, que serà del tipus WPA Personal (Pre Shared Key + TKIP). L’WPA Supplicant té una utilitat que transforma la clau a hexagesimal i la prepara pel fitxer de configuració que estem a punt de crear. Ara també heu de saber el nom de la vostra xarxa. Generem la clau llançant wpa_passphrase (que pren els dos paràmetres) i l’enviem al nou fitxer de configuració escollit

sudo wpa_passphrase nom-vostra-xarxa clau-escollida > /etc/wpa_supplicant.conf
sudo nano /etc/wpa_supplicant.conf

Editem el fitxer. L’heu d’omplir així, canviant el nom de la xarxa i usant la vostra clau generada

ctrl_interface=/var/run/wpa_supplicant
ap_scan=2
network={
ssid="nom-vostra-xarxa"
key_mgmt=WPA-PSK
proto=WPA
pairwise=TKIP
group=TKIP
psk=...
}

A hores d’ara ja podeu provar l’WPA Supplicant. El parametritzeu (driver, interfície i fitxer) i l’engegueu (Nota: cal que hagueu configurat la interfície ra0 al fitxer /etc/network/interfaces, mireu més avall)

sudo wpa_supplicant -D ralink -i ra0 -c /etc/wpa_supplicant.conf

Si el sistema s’ha associat correctament, podeu veure la sortida de la utilitat wpa_cli, que informa de l’enllaç

sudo wpa_cli status

Per a automatitzar això, només cal modificar fitxer /etc/network/interfaces.

sudo nano /etc/network/interfaces

Afegim, a la interfície ra0, una ordre que s’executarà abans de l’alçament de la interfície (és a dir, pre-up). Ho ho tinc fet estàticament, i la ordre ja sabeu quina és

auto ra0
iface ra0 inet static
pre-up wpa_supplicant -D ralink -i ra0 -c /etc/wpa_supplicant.conf -B
address 192.168.1.5
netmask 255.255.255.0
gateway 192.168.1.1

El paràmetre -B executa el programa a background. I només cal reconfigurar les interfícies

sudo /etc/init.d/networking restart