Μελέτη Ασφαλούς Ασύρματης Πρόσβασης με Χρήση...

ΣΙΣΛΟ ΕΡΓΑΙΑ

“ΜΕΛΕΣΗ ΑΥΑΛΟΤ ΑΤΡΜΑΣΗ ΠΡΟΒΑΗ

ΜΕ ΦΡΗΗ ΕΙΚΟΝΙΚΩΝ ΔΙΚΣΤΩΝ”

ΠΣΤΦΙΑΚΗ ΕΡΓΑΙΑ ΣΟΤ

ΠΑΠΑΔΟΠΟΤΛΟΤ ΠΑΤΛΟΤ

Α.Μ. 2006016

ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΣΗ

ΓΕΩΡΓΙΟ ΜΑΚΡΟΔΗΜΗΣΡΗ

ΠΑΡΣΗ

ΙΟΤΝΙΟ 2013

Μελέτη Αςφαλούσ Αςύρματησ Πρόςβαςησ Με Χρήςη Εικονικών Δικτύων Παπαδόπουλοσ Παύλοσ Α.Μ. 2006016

2

Copyright © ……………………., 2013

Με επιθύλαξη πανηόρ δικαιώμαηορ. Allrightsreserved.

Απαγνξεύεηαη ε αληηγξαθή, απνζήθεπζε θαη δηαλνκή ηεο παξνύζαο εξγαζίαο, εμ νινθιήξνπ ή

ηκήκαηνο απηήο, γηα εκπνξηθό ζθνπό. Επηηξέπεηαη ε αλαηύπσζε, απνζήθεπζε θαη δηαλνκή γηα

ζθνπό κε θεξδνζθνπηθό, εθπαηδεπηηθήο ή εξεπλεηηθήο θύζεο, ππό ηελ πξνϋπόζεζε λα

αλαθέξεηαη ε πεγή πξνέιεπζεο θαη λα δηαηεξείηαη ην παξόλ κήλπκα. Εξσηήκαηα πνπ αθνξνύλ

ηε ρξήζε ηεο εξγαζίαο γηα θεξδνζθνπηθό ζθνπό πξέπεη λα απεπζύλνληαη πξνο ηνλ ζπγγξαθέα.

Οη απόςεηο θαη ηα ζπκπεξάζκαηα πνπ πεξηέρνληαη ζε απηό ην έγγξαθν εθθξάδνπλ ηνλ

ζπγγξαθέα θαη δελ πξέπεη λα εξκελεπζεί όηη αληηπξνζσπεύνπλ ηηο επίζεκεο ζέζεηο ηνπ Α.Τ.Ε.Ι.

Καιακάηαο.


3

Εγκρίθηκε από την τριμελή εξεταςτική επιτροπή

ΕΠΙΣΡΟΠΗ ΑΞΙΟΛΟΓΗΗ ΤΠΟΓΡΑΦΕ

1.

2.

3.


4

Τπεφθυνη Δήλωςη

Βεβαιώνω όηι είμαι ζςγγπαθέαρ αςηήρ ηηρ πηςσιακήρ επγαζίαρ και όηι κάθε βοήθεια ηην οποία

είσα για ηην πποεηοιμαζία ηηρ, είναι πλήπωρ αναγνωπιζμένη και αναθέπεηαι ζηην πηςσιακή

επγαζία. Επίζηρ έσω αναθέπει ηιρ όποιερ πηγέρ από ηιρ οποίερ έκανα σπήζη δεδομένων, ιδεών ή

λέξεων, είηε αςηέρ αναθέπονηαι ακπιβώρ, είηε παπαθπαζμένερ. Επίζηρ, βεβαιώνω όηι αςηή η

πηςσιακή επγαζία πποεηοιμάζηηκε από εμένα πποζωπικά ειδικά για ηιρ απαιηήζειρ ηος

ππογπάμμαηορ ζποςδών ηος Τμήμαηορ Τεσνολογίαρ Πληποθοπικήρ και Τηλεπικοινωνιών ηος

Α.Τ.Ε.Ι. Καλαμάηαρ.

Ο ζπγγξαθέαο,

Παπαδόπνπινο Παύινο


5

Ευχαριςτίεσ

Έρνληαο θηάζεη ζην ηέινο ηεο πηπρηαθήο κνπ εξγαζίαο, αηζζάλνκαη ππνρξεσκέλνο λα κηιήζσ

γηα θάπνηνπο αλζξώπνπο, πνπ ν θαζέλαο κε ηνλ δηθό ηνπ ηξόπν ζεκαηνδόηεζε ηελ πνξεία ησλ

ρξόλσλ κνπ ζηηο πξνπηπρηαθέο ζπνπδέο κνπ θαη λα ηνπο επραξηζηήζσ.

Πξώηα απ’ όια, ζα ήζεια λα επραξηζηήζσ ηνλ επηβιέπνληα κνπ, θύξην Μαθξνδεκήηξε

Γηώξγν, Επηζηεκνληθό Σπλεξγάηε ηνπ Τκήκαηνο Τερλνινγίαο Πιεξνθνξηθήο θαη

Τειεπηθνηλσληώλ ηνπ Α.Τ.Ε.Ι. Καιακάηαο, δηόηη ε ζπλεξγαζία καδί ηνπ ήηαλ έλαο θαηαιύηεο

γηα ηελ νινθιήξσζε ησλ πξνπηπρηαθώλ ζπνπδώλ κνπ. Τα απνηειέζκαηα ηεο εξγαζίαο απηήο

είλαη από ηε ζπλεξγαζία κε ηνλ θ. Μαθξνδεκήηξε. Η ζπλεξγαζία καο μεθίλεζε καδί κε απηή

ηελ πηπρηαθή εξγαζία πνπ αθνξά ζηελ κειέηε θαη ηελ εγθαηάζηαζε ελόο αζύξκαηνπ δηθηύνπ

γηα ηνλ δήκν Ακαξνπζίνπ. Χαίξνκαη πνπ έζησ θαη ζηνπο ηειεπηαίνπο κήλεο ησλ ζπνπδώλ κνπ

ζην ηκήκα ΤΕ.ΠΛΗ.Τ. ηνπ ΑΤΕΙ Καιακάηαο, ηνλ γλώξηζα θαη ζπλεξγάζηεθα καδί ηνπ. Επίζεο

ζα ήζεια λα επραξηζηήζσ ζεξκά ηνπο θπξίνπο θαζεγεηέο κνπ, Ν. Παλάγν, Γ. Ν. Μπάξδε θαη Ι.

Ληαπέξδν θαζώο ήηαλ νη άλζξσπνη πνπ κε παξαθίλεζαλ λα αζρνιεζώ πεξηζζόηεξν κε ην

αληηθείκελν κνπ θαη λα ην αγαπήζσ αθόκε πην πνιύ.

Τέινο, ζα ήζεια λα επραξηζηήζσ ηνλ παηέξα κνπ Θεόδσξν γηα ηελ ακέξηζηε ππνζηήξημή ηνπ

όινλ απηό ηνλ θαηξό, ησλ πξνπηπρηαθώλ ζπνπδώλ κνπ. Αθηεξώλσ απηή ηελ εξγαζία ζηνλ

παηέξα κνπ, σο ειάρηζηε επγλσκνζύλε γηα ηελ θαηαλόεζε θαη ηελ ππνκνλή ηνπ όια απηά ηα

ρξόληα.

………………..

Σπάπηη, 2013


6

Περίληψη

Στθν εργαςία αυτι κζλθςα να καλφψω τισ ανάγκεσ εγκατάςταςθσ και μελζτθσ ενόσ αςφρματου

δικτφου για τθν κάλυψθ των αναγκϊν του διμου Αμαρουςίου. Το δίκτυο του διμου ιταν ενςφρματο

και χρειάςτθκε θ μελζτθ για τθν ςωςτι μεταφορά του ςε αςφρματο. Στισ παρακάτω ςελίδεσ κα βρείτε

μια μικρι αναφορά ςτα αςφρματα δίκτυα (πρϊτθ αςφρματθ μετάδοςθ, ιςτορία και εξζλιξθ), ανάλυςθ

των πρωτοκόλλων των αςφρματων δικτφων, ανάλυςθ των κεμάτων αςφαλείασ που ζχουν να κάνουν με

τθν αςφρματθ δικτφωςθ και μια μικρι αναφορά ςε επικζςεισ που ζγιναν για τθν καλφτερθ κατανόθςθ

των κεμάτων αυτϊν. Στθ ςυνζχεια υπιρξε μελζτθ του χϊρου για τθν ςωςτι εγκατάςταςθ των

ςυςκευϊν που κα καλφψουν το δίκτυο (Access Points), μελζτθ για το subnetting ϊςτε να χωριςτοφν

ςωςτά τα υποδίκτυα του διμου, βάςει πάντα των εκάςτοτε αναγκϊν ςε διευκφνςεισ και ςτιςιμο όλου

του εξοπλιςμοφ και ςετάριςμά του.

Στθν μελζτθ αυτι κα βρείτε αρκετζσ εικόνεσ που κα ςασ βοθκιςουν να καταλάβετε καλφτερα τα

προβλιματα που υπιρξαν και πϊσ λφκθκαν. Επίςθσ ςτο τζλοσ τθσ εργαςίασ, υπάρχουν δφο (2) ειδικά

παραρτιματα που αφοροφν το configuration των ςυςκευϊν και αναλφονται με ςχόλια. Να ςθμειωκεί

εδϊ ότι όλεσ οι ςυςκευζσ που ζχουν ςεταριςτεί με τισ εκάςτοτε ρυκμίςεισ, είναι ςυςκευζσ τθσ Cisco και

τα βαςικά χαρακτθριςτικά τουσ αναλφονται ςτο ειδικό παράρτθμα.

Το γενικό πλάνο του κτθρίου του διμου αποτελείται από τζςςερισ (4) ορόφουσ, υπόγειο, ιςόγειο,

πρϊτοσ και δεφτεροσ όροφοσ, και το μοντζλο που ακολουκείται για το ςτιςιμο των switches ςτουσ

ορόφουσ αυτοφσ είναι το επίςθμο μοντζλο που προτείνει θ Cisco και αποτελείται από τρία (3) επίπεδα

ςε μορφι πυραμίδασ. Τα επίπεδα αυτά αναφορικά, είναι τα Access, Distribution και Core.

Στθν ανάλυςθ του κτθρίου που βρίςκεται το πζμπτο (5ο) κεφάλαιο, κα δείτε πϊσ γίνεται θ κατανομι

των Access Points για τθν πλιρθ και ςωςτι κάλυψθ του κτθρίου και επεξθγείται αναλυτικά θ

τοποκζτθςθ των εκάςτοτε ςυςκευϊν (δικτυακϊν και μθ) ςτον κάκε όροφο.

Επίςθσ να ςθμειωκεί πωσ γίνεται και μελζτθ και εγκατάςταςθ ενόσ VPN δικτφου, το οποίο καλφπτει τθ

διοίκθςθ του κτθρίου (επικοινωνία δθμάρχου με τον αντιδιμαρχο) για μεγαλφτερθ αςφάλεια ςτθ

μεταξφ τουσ επικοινωνία.

Τζλοσ πρζπει να αναφζρουμε πωσ ζγινε προςπάκεια για ελάχιςτο κόςτοσ μεταφοράσ του ιδθ

υπάρχοντοσ δικτφου από ενςφρματο ςε αςφρματο. Επίςθσ χρθςιμοποιικθκαν προγράμματα ανοιχτοφ

λογιςμικοφ για διάφορεσ ενζργειεσ που ζπρεπε να γίνουν για τθν επίτευξθ μερικϊν επικζςεων ςε

αςφρματα δίκτυα κ.α.


7

1. Αςφρματα Δίκτυα ...................................................................................................................................... 9

1.1 Γζννθςθ των Αςφρματων Δικτφων ................................................................................................ 9

1.2 Εξζλιξθ των Αςφρματων Δικτφων ................................................................................................. 9

1.3 Ρλεονεκτιματα και Μειονεκτιματα των Αςφρματων Δικτφων ................................................... 9

1.4 CSMA/CD και CSMA/CA .............................................................................................................. 12

2. Ρρωτόκολλα Αςφρματων Δικτφων ......................................................................................................... 13

2.1 802.11 ............................................................................................................................................... 13

2.2 802.11a ............................................................................................................................................. 13

2.3 802.11b/g .......................................................................................................................................... 14

2.4 802.11n ............................................................................................................................................. 14

2.5 802.11ac/ad ...................................................................................................................................... 14

2.6 Τοπολογίεσ Αςφρματων Δικτφων ..................................................................................................... 16

2.7 Βαςικι Σφνδεςθ και Λειτουργία Ενόσ Αςφρματου Δικτφου ............................................................. 17

3. Αςφάλεια Δικτφων .................................................................................................................................. 18

3.1 Γενικζσ Απειλζσ Δικτφων ................................................................................................................... 18

3.2 Mζκοδοι Ριςτοποίθςθσ και Κίνδυνοι ............................................................................................... 20

3.2.1 SSID (Service Set Identification) ................................................................................................. 21

3.2.2 WEP (Wired Equivalent Privacy) ................................................................................................ 23

3.2.3 WPA & WPA2 (Wi-Fi Protected Access & Wi-Fi Protected Access II) ........................................ 26

3.3 Γενικι Επιςκόπθςθ Αςφαλείασ και Security Policy .......................................................................... 28

4. Επικζςεισ και Συγκρίςεισ Μοντζλων Αςφαλείασ.................................................................................... 30

4.1 Επίκεςθ ςε WEP ................................................................................................................................ 30

4.2 Επίκεςθ ςε WPA2 και Δθμιουργία Λεξικϊν ..................................................................................... 35

4.3 Αναφορά Αςφαλείασ και Δθμιουργίασ Ιςχυρϊν Κλειδιϊν ............................................................... 41

5. Μελζτθ Χϊρου και Διαχωριςμόσ Υποδικτφων ....................................................................................... 43

5.1 Μελζτθ Χϊρου και Διαμοιραςμόσ Δικτυακϊν Συςκευϊν ................................................................ 43

5.2 Subnetting και VLSM ......................................................................................................................... 44

5.3 Διαχωριςμόσ VLAN............................................................................................................................ 46

5.4 IDS, IPS & ACLs .................................................................................................................................. 50

5.5 Χϊροσ Αναμονισ Δθμοτϊν ............................................................................................................... 52

5.6 Σχζδια Κτθρίου Διμου ανά Προφο και Αςφρματθ Κάλυψθ ............................................................ 54


8

6. Εγκατάςταςθ Δικτφου και Ζλεγχοσ Λειτουργίασ .................................................................................... 57

6.1 Τοπολογία Συςκευϊν και Ρροςκικθ Ενόσ Main Switch ................................................................... 57

6.2 Bαςικι Μεκοδολογία VPN και φκμιςθ του ΝΑΤ ............................................................................ 59

6.3 Εγκατάςταςθ Δικτφου και Ραραμετροποίθςθ Συςκευϊν ................................................................ 62

6.4 Εγκατάςταςθ IDS – IPS ...................................................................................................................... 69

7. Συμπεράςματα ........................................................................................................................................ 72

7.1 Αποτελζςματα Εργαςίασ .................................................................................................................. 72

7.2 Ανακεφαλαίωςθ ............................................................................................................................... 72

ΡΑΑΤΗΜΑ Α (Configuration Συςκευϊν Δικτφου) ................................................................................... 74

Configuration Των Switches .................................................................................................................... 74

Switch 2ου Ορόφου .............................................................................................................................. 74

Switch 1ου Ορόφου .............................................................................................................................. 78

Switch Ιςογείου ................................................................................................................................... 83

Switch Υπογείου .................................................................................................................................. 87

Main Switch......................................................................................................................................... 91

Configuration του Router ........................................................................................................................ 93

Router Κτθρίου ................................................................................................................................... 94

ΡΑΑΤΗΜΑ Β (Ζξτρα Ραράμετροι Αςφαλείασ) ........................................................................................ 99

Ρροςκικθ Κωδικϊν Αςφαλείασ ............................................................................................................. 99

Απενεργοποίθςθ Υπθρεςιϊν ................................................................................................................ 100

ΡΑΑΤΗΜΑ Γ (Εγκατάςταςθ OpenVPN) ................................................................................................. 103

Εγκατάςταςθ και Ραραμετροποίθςθ Αρχείου υκμίςεων του OpenVPN ........................................... 103

Δθμιουργία Κλειδιϊν για Server και Clients ......................................................................................... 109

Ραραμετροποίθςθ ΝΑΤ Υπολογιςτι .................................................................................................... 110

Συντομογραφίεσ........................................................................................................................................ 111

Βιβλιογραφία ............................................................................................................................................ 115

Βιβλία .................................................................................................................................................... 115

Ιςτότοποι – Ρθγζσ ................................................................................................................................. 115

Εργαςίεσ – Μελζτεσ .............................................................................................................................. 116

Ρεριοδικά – Δθμοςιεφςεισ ................................................................................................................... 116


9

1. Αςύρματα Δύκτυα

1.1 Γϋννηςη των Αςύρματων Δικτύων Η πρϊτθ ουςιαςτικι αςφρματθ αποςτολι δεδομζνων ζγινε το 1880 από τουσ Alexander Graham Bell και Charles Sumner Tainte, οι οποίοι καταςκεφαςαν και καταχϊρθςαν με δίπλωμα ευρεςιτεχνίασ το

“φωτοτθλζφωνο” (photophone). Ουςιαςτικά, πρόκειται για ζνα τθλζφωνο μζςω του οποίου

μποροφςαν να διεξαχκοφν ςυνομιλίεσ οι οποίεσ μεταφζρονταν αςφρματα, μζςω διαμορφωμζνων

ακτίνων φωτόσ (πολφ κοντά ςτα θλεκτρομαγνθτικά κφματα). Να ςθμειωκεί ότι ιταν απαραίτθτθ θ

οπτικι επαφι μεταξφ πομποφ και δζκτθ (κάτι που και ςτισ μζρεσ μασ, τισ περιςςότερεσ φορζσ είναι

επίςθσ απαραίτθτο).

1.2 Εξϋλιξη των Αςύρματων Δικτύων Από το 1880 και αργότερα είχαμε αρκετζσ νζεσ αςφρματεσ μεταδόςεισ. Το 1888 ο Thomas Edison

κατάφερε να πάρει ζνα δίπλωμα ευρεςιτεχνίασ για ζνα ςφςτθμα ςθματοδότθςθσ που εφθφρε και

χρθςιμοποίθςε ςτο Lehigh Valley Railroad. Τθν ίδια χρονιά ζχουμε και τθν “παρατιρθςθ” του Heinrich

Rudolf Hertz πωσ τα θλεκτρομαγνθτικά κφματα ταξιδεφουν ςτον χϊρο ςε ευκείεσ γραμμζσ ενϊ δίνει

διάφορουσ τρόπουσ για το πϊσ μποροφν να αποςταλοφν και να παραλθφκοφν. Στθ ςυνζχεια το 1901, ο

Ιταλόσ φυςικόσ Guglielmo Marconi πραγματοποίθςε τθν επίδειξθ ενόσ αςφρματου τθλζγραφου για

επικοινωνία πλοίου με τθν ακτι, χρθςιμοποιϊντασ τον κϊδικα Morse. Αυτι θ εφεφρεςθ ςε ςυνδυαςμό

με τθν τεχνογνωςία και τθν ςυνειςφορά ςτο ραδιόφωνο και τθν αςφρματθ τθλεγραφία του Karl

Ferdinand Braun, ζφερε και ςτουσ δφο το βραβείο Νόμπελ Φυςικισ του ζτουσ 1909.

Μετά από αρκετζσ μελζτεσ και εξελίξεισ ςτο χϊρο των αςφρματων επικοινωνιϊν, φτάνουμε ςτθν

δεκαετία του 1970, όπου ςτο Ρανεπιςτιμιο τθσ Χαβάθσ, από τθν ομάδα του Norman Abramson,

χρθςιμοποιείται για πρϊτθ φορά μία αςφρματθ επικοινωνία για τθ διαςφνδεςθ διάφορων

υπολογιςτϊν (διαςκορπιςμζνοι ςε νθςιά) με τον κεντρικό server που βριςκόταν ςτο νθςί Oahu.

1.3 Πλεονεκτόματα και Μειονεκτόματα των Αςύρματων Δικτύων Τα αςφρματα δίκτυα ςτθν εποχι μασ ζχουν γίνει όλο και πιο διαδεδομζνα. Χαρακτθριςτικό του ότι

ζχει αλλάξει κατά πολφ ο κακθμερινόσ τρόποσ ηωισ μασ, είναι ότι από το 2005 και μετά ςτθν

παγκόςμια αγορά πλθροφορικισ, οι φορθτοί υπολογιςτζσ (Laptops) ζχουν μεγαλφτερο κομμάτι αγοράσ

από τουσ προςωπικοφσ (ςτακεροφσ) υπολογιςτζσ. Αυτό κακ’ αυτό μασ δείχνει, το ότι εκτόσ τθσ

λειτουργικότθτασ ενόσ υπολογιςτι, ο χριςτθσ νοιάηεται πολφ και για τθν φορθτότθτά του. Ροια είναι

όμωσ τα ςυν και τα πλθν των αςφρματων επικοινωνιϊν; Αναφορικά είναι τα ακόλουκα:


10

Πλεονεκτήματα:

● Φορθτότθτα

● Κόςτοσ

● Λιγότερθ καλωδίωςθ

● Ευκολία εγκατάςταςθσ (μικρζσ επιχειριςεισ/ςπίτι)

Μειονεκτήματα:

● Ταχφτθτα

● Αςφάλεια

● Σωςτι κάλυψθ περιοχισ (μεγάλα και παλιά κτιρια)

● Σε μεγάλεσ περιοχζσ (εκτόσ κτθρίων) επιρροι από καιρικά φαινόμενα

Το βαςικό πλεονζκτθμα των αςφρματων δικτφων είναι φυςικά θ φορθτότθτα. Ρλζον οι περιςςότεροι

μποροφν να δουλζψουν και από το ςπίτι και υπάρχουν πολλζσ εταιρείεσ που βαςίηονται ς’ αυτό το

πρότυπο. Εκτόσ αυτοφ, ακόμθ και ςτο ςπίτι μασ, με μία νζα ςφνδεςθ, παίρνουμε αυτόματα και ζνα

modem/router με δυνατότθτα αςφρματου δικτφου. Στισ περιςςότερεσ περιπτϊςεισ, οι υπάλλθλοι

κινοφνται ςυνεχϊσ με ζνα laptop, ζνα netbook, ζνα tablet ι ακόμθ και με το κινθτό τουσ τθλζφωνο,

μζςα και ζξω από τον χϊρο τθσ εταιρείασ. Ζνα ακόμθ ςθμαντικό πλεονζκτθμα είναι το κόςτοσ, το

οποίο είναι αρκετά μειωμζνο ςε ςχζςθ με ζνα ενςφρματο δίκτυο, μόνο και μόνο λόγω τθσ

καλωδίωςθσ. Χονδρικά, θ καλωδιϊςθ ενόσ ολόκλθρου κτθρίου με switches και routers , για κάκε

όροφο και για τθν μεταξφ τουσ επικοινωνία, μπορεί να φτάςει τισ μερικζσ χιλιάδεσ Ευρϊ (αν μιλιςουμε

και για ςωςτι backbone καλωδίωςθ με οπτικι ίνα), ενϊ αν καταφφγουμε ςτθν αςφρματθ επικοινωνία

για το κτιριο, ςε κάκε όροφο, μπορεί να χρειαςτοφμε από ζνα μζχρι μερικά Access Points (ανάλογα

πάντα τα τ.μ. και τθν αρχιτεκτονικι του κάκε ορόφου), των οποίων το κόςτοσ είναι αρκετά μικρότερο.

Επίςθσ, με τθν χριςθ αςφρματου δικτφου ςτο κτιριο τθσ επιχείρθςθσ, δεν χρθςιμοποιοφνται πικανόν

και αρκετά switches, που ςε ζνα ενςφρματο δίκτυο κα είχαμε για λόγουσ ςυνδεςιμότθτασ. Η λιγότερθ

καλωδίωςθ, εκτόσ από οικονομικοφσ λόγουσ, είναι καλι και για χωροταξικοφσ. Δεν χρειάηεται μελζτθ

για κάποιο ψευδοπάτωμα/ψευδοροφι κτλ για τθν ςωςτι κατανομι και ςτιςιμο των καλωδιϊν ςτο

χϊρο, οφτε ο κίνδυνοσ ζκκεςθσ κάποιου καλωδίου ςε χϊρο που μπορεί να προκαλζςει κάποια βλάβθ ι

ακόμθ καν να κοπεί και να ζχουμε απϊλειεσ, είτε να μαηζψει υγραςία. Το τελευταίο ςθμαντικό

πλεονζκτθμα των αςφρματων δικτφων είναι θ ςχετικι ευκολία ςτο ςτιςιμο του δικτφου. Λόγω τθσ

μειωμζνθσ καλωδίωςθσ, με μία απλι μελζτθ του χϊρου για ςωςτι κάλυψθ, το μόνο που χρειάηεται

είναι θ ςωςτι τοποκζτθςθ των APs (Access Points) ςτον χϊρο για τθν ςωςτι κάλυψθ.

Στα μειονεκτιματα τϊρα ζχουμε για αρχι τθν ταχφτθτα. Οι ταχφτθτεσ που μπορεί να επιτφχει θ

μετάδοςθ κάπου ςιματοσ ςτον αζρα είναι πολφ μικρότερεσ από αυτζσ που μπορεί να πετφχει ςτον


11

χαλκό ι ακόμθ και ςτο φωσ (οπτικι ίνα). Αν και ζχουν γίνει αρκετζσ βελτιϊςεισ ςτισ ταχφτθτεσ, με τα

ςθμερινά δεδομζνα, δεν πρόκειται ποτζ να ξεπεραςτεί θ ταχφτθτα μετάδοςθσ μζςω καλωδίου. Ζνα

δεφτερο και εξίςου ςθμαντικό μειονζκτθμα είναι θ αςφάλεια των επικοινωνιϊν μασ. Οι περιςςότερεσ

επικζςεισ βζβαια που μποροφν να γίνουν ενάντια ςε ζνα ενςφρματο δίκτυο, μποροφν επίςθσ να γίνουν

και ςε ζνα αςφρματο, αλλά θ πρόςβαςθ ςτο δεφτερο γίνεται πολφ πιο εφκολα. Με μια απλι κεραία,

μποροφμε να αποκτιςουμε “πρόςβαςθ” ςτθν περιοχι που εκπζμπει κάποιο αςφρματο δίκτυο και να

αρχίςουμε να “ςυλλζγουμε” πακζτα που εκπζμπονται (data sniffing). Κάτι τζτοιο μπορεί να αποτραπεί

μζςω διάφορων μεκόδων (που κα δοφμε αργότερα), αλλά και πάλι θ πρόςβαςθ ςτο μζςο -που ςτθν

προκειμζνθ περίπτωςθ είναι ο αζρασ- είναι πολφ πιο εφκολθ. Επίςθσ αν και κεωρείται πλεονζκτθμα ςε

μία μικρι περιοχι (π.χ. ο χϊροσ ενόσ ςπιτιοφ), ςε μία μεγάλθ εταιρεία, μπορεί να κεωρθκεί και

μειονζκτθμα θ ςωςτι κάλυψθ ενόσ χϊρου. Τα ςιματα δεν ζχουν τθν τάςθ να περνάνε μζςα από

τοίχουσ, αλλά να αντανακλϊνται ςε αυτοφσ και ειδικά ςε περιπτϊςεισ που ζχουν να κάνουν με

παλαιότερα κτιρια, που οι τοίχοι ζχουν ςχεδόν διπλάςιο μζγεκοσ, μποροφμε εφκολα να βρεκοφμε προ

εκπλιξεων κατά τον ςχεδιαςμό του αςφρματου δικτφου, γιατί ςε αντίςτοιχεσ περιπτϊςεισ, όταν ζνα

μόνο Access Point μποροφςε να καλφψει ασ υποκζςουμε 2 δωμάτια των 25 τ.μ., εδϊ να μθν είναι

αρκετό και ςτο ζνα από τα δφο δωμάτια να ζχουμε ελάχιςτο ι και κακόλου ςιμα. Το τελευταίο

ςθμαντικό μειονζκτθμα των αςφρματων δικτφων είναι θ επιρροι που μπορεί να αςκθκεί από τον

καιρό. Μπορεί βζβαια να μασ προςφζρουν μεγάλθ ευκολία και να μποροφμε να ζχουμε επικοινωνία με

περιοχζσ που δεν υπάρχει υποδομι για ενςφρματθ καλωδίωςθ, αλλά αν τα καιρικά φαινόμενα είναι

άςχθμα ςε αυτι τθν περιοχι, τότε “απειλείται” και θ επικοινωνία μασ. Ζνα χαρακτθριςτικό

παράδειγμα, είναι θ ηεφξθ όδου – Καςτελόριηου για παροχι Internet ςτθν περιοχι του Καςτελόριηου,

θ οποία είναι μία λφςθ που δίνει πρόςβαςθ ςτουσ πολίτεσ του νθςιοφ ςτο Διαδίκτυο, αλλά τισ μζρεσ

που υπάρχει κακοκαιρία υπάρχουν και αρκετά προβλιματα επικοινωνίασ.

Πλα τα παραπάνω (μειονεκτιματα & πλεονεκτιματα) κα τα ςυναντιςουμε ςιγά ςιγά ςτο ςχεδιαςμό

και ςτο ςτιςιμο του δικτφου μασ για τον διμο και κα δοφμε πωσ μποροφμε να τα προςπεράςουμε ι να

ελαχιςτοποιιςουμε τουσ κινδφνουσ που μπορεί να κρφβονται.

Στον ακόλουκο πίνακα βλζπουμε μια γενικι εικόνα των διαφορϊν των ενςφρματων και των

αςφρματων δικτφων.

Εικ. 1.1 Χαρακτηριςτικϊ ενςύρματων & αςύρματων δικτύων


12

1.4 CSMA/CD και CSMA/CA Υπάρχουν δφο βαςικά πρότυπα που ακολουκοφνται ςτισ τοπολογίεσ δικτφων. Το ζνα που είναι το

CSMA/CD (Carrier Sense Multiple Access / Collision Detect) και ακολουκείται ςτα ενςφρματα δίκτυα και

το CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance) που ακολουκείται ςτα αςφρματα

δίκτυα. Στο πρϊτο (CSMA/CD), ο κάκε κόμβοσ πριν αποςτείλει τα δεδομζνα του, ελζγχει το μζςο για

κάποιο μικρό χρονικό διάςτθμα και αν είναι διακζςιμο (κάποιοσ άλλοσ κόμβοσ δεν το χρθςιμοποιεί),

τότε ξεκινάει τθν αποςτολι των πακζτων του. Σε περίπτωςθ που δφο ι περιςςότεροι κόμβοι

ξεκινιςουν ταυτόχρονα τθν αποςτολι των πακζτων τουσ, τότε δθμιουργείται ςφγκρουςθ ςτο κανάλι

(collision). Σε περίπτωςθ ςφγκρουςθσ, το κανάλι γεμίηει με πακζτα για να ενθμερωκοφν όλοι οι κόμβοι

για τθν ςφγκρουςθ αυτι και ο κάκε αποςτολζασ περιμζνει κάποιο τυχαίο χρονικό διάςτθμα (μικρό)

μζχρι να ξαναελζγξει το κανάλι.

Στθν περίπτωςθ του CSMA/CA, ακολουκείται διαφορετικι τακτικι. Στθ μζκοδο αυτι, το κανάλι

ουςιαςτικά μοιράηεται και ο κάκε κόμβοσ όταν αποςτζλει κάκε πακζτο, λαμβάνει και μία επιβεβαίωςθ

από το Access Point ότι παραδόκθκε. Πταν γίνεται αυτό, το μζςο είναι κλειςτό για αποςτολι

δεδομζνων από άλλουσ κόμβουσ. Υπάρχει και εδϊ ζλεγχοσ του μζςου πριν τθν αποςτολι δεδομζνων,

με τθν διαφορά όμωσ πωσ υπάρχει το πρόβλθμα, γνωςτό και ωσ, “κρυφόσ κόμβοσ” (hidden node). Αυτό

ζχει να κάνει με τθν περίπτωςθ που δφο κόμβοι δεν “βλζπουν” ο ζνασ τον άλλον (λόγω διαφορετικϊν

δωματιϊν ι κζςεων ςτο χϊρο) και υπάρχει μεγαλφτερθ περίπτωςθ ταυτόχρονθσ αποςτολισ

δεδομζνων και από τουσ δφο ταυτόχρονα και αυτόματα μεγαλφτερθ πικανότθτα ςυγκροφςεων ςτο

κανάλι. Λόγω αυτοφ του προβλιματοσ, ακολουκείται θ μζκοδοσ CSMA/CA ςτα αςφρματα δίκτυα και

όχι αυτι του CSMA/CD, που χρθςιμοποιείται κατά κόρον ςτα ενςφρματα.

Εικ. 1.2 Σο πρόβλημα του κρυφού κόμβου (hidden node problem)


13

2. Πρωτόκολλα Αςύρματων Δικτύων

2.1 802.11 Τα αςφρματα δίκτυα υπολογιςτϊν βαςίςτθκαν ςτο πρωτόκολλο του 802.11. Δθμιουργικθκε από τθν

επιτροπι IEEE LAN/MAN Standards (IEEE 802) και θ πρϊτθ βαςικι ζκδοςθ ανακοινϊκθκε το 1997 με

μερικζσ μεταγενζςτερεσ τροποποιιςεισ. Να ςθμειωκεί ότι θ ταχφτθτα μετάδοςθσ που υποςτιριηε το

αρχικό 802.11 ιταν μόλισ 1-2Mbps. Το βαςικό αυτό standard ξεκίνθςε ςτα μζςα τθσ δεκαετίασ του 1990

και αυτι τθν ςτιγμι αποτελείται από οχτϊ (8) υποκατθγορίεσ (εκτόσ τθσ 802.11 legacy). Πλεσ αυτζσ

αναπτφχκθκαν ςταδιακά και ςυνεχίηονται να αναπτφςςονται μερικζσ από αυτζσ και να ςυγχωνεφονται

πολλζσ νζεσ ςτο standard 802.11. Ζνασ ςυγκεντρωτικόσ πίνακασ των “βαςικϊν” υποκατθγοριϊν που

χρθςιμοποιοφνται ωσ επί το πλείςτον ςτισ μζρεσ μασ είναι ο ακόλουκοσ.

Εικ . 2.1 Πρότυπα 802.11a/b/g/n

2.2 802.11a Το 802.11a ανακοινϊκθκε ςαν πρότυπο το 1999. Λειτουργεί ςτθν μπάντα των 5GHz, με διαμόρφωςθ

ςιματοσ του προτφπου OFDM (κωδικοποιεί τα δεδομζνα ςε πολλαπλζσ ςυχνότθτεσ) και μποροφμε να

επιτφχουμε ταχφτθτεσ του φψουσ των 54Mbps και ςε αποςτάςεισ που φτάνουν μζχρι τα 35 μζτρα. Αν

και κεωρθτικά οι αποςτάςεισ που μπορεί να φτάςει το ςυγκεκριμζνο πρότυπο είναι ίδιεσ με αυτζσ του

802.11b/g, εδϊ υπάρχει μία διαφορά. Η απόφαςθ του ςυγκεκριμζνου προτφπου να λειτουργεί ςτα

5GHz ζδωςε ζνα πλεονζκτθμα μεν, γιατί δεν χρθςιμοποιείται αυτι θ μπάντα από τα περιςςότερα άλλα

πρότυπα, από τθν άλλθ δε, ζδωςε και ζνα μειονζκτθμα. Χρθςιμοποιϊντασ τθν ςυγκεκριμζνθ

ςυχνότθτα, λόγω του μικρότερου μικουσ κφματοσ, ζχει τθν τάςθ να “χάνει” δεδομζνα που

απορροφϊνται από τοίχουσ και άλλα ςτερεά αντικείμενα και κατ’ επζκταςθ να μθν μπορεί να φτάςει

ςε μεγαλφτερεσ αποςτάςεισ.

Ζνα ακόμθ μειονζκτθμα του 802.11a είναι οι παρεμβολζσ που δζχεται από άλλεσ ςυςκευζσ που

μπορεί να λειτουργοφν ςτθν ίδια ςυχνότθτα, αν και αυτζσ είναι πολφ λιγότερεσ από τισ ςυςκευζσ που

παρεμβάλουν τισ επικοινωνίεσ που βαςίηονται ςτθν ςυχνότθτα των 2.4GHz.


14

2.3 802.11b/g To 802.11b ανακοινϊκθκε κι αυτό τθν ίδια χρονιά με το 802.11a, το 1999. Το ςυγκεκριμζνο πρότυπο

λειτουργεί ςτθν μπάντα των 2.4GHz, με διαμόρφωςθ ςιματοσ DSSS (τεχνικι που ςτζλνει τα ςιματα ςε

όλο το εφροσ ηϊνθσ τθσ ςυχνότθτασ εκπομπισ τθσ ςυςκευισ), μποροφμε να επικοινωνιςουμε ςε

αποςτάςεισ μζχρι τα 35 μζτρα και να επιτφχουμε ταχφτθτεσ που φτάνουν τα 11Mbps. Το ςυγκεκριμζνο

πρότυπο (όπωσ και το 802.11g) λόγω τθσ ςυχνότθτασ ςτθν οποία λειτουργεί, δζχεται πολλζσ

παρεμβολζσ από μία μεγάλθ γκάμα ςυςκευϊν, οι οποίεσ τισ περιςςότερεσ φορζσ μπορεί να

λειτουργοφν ςτουσ ίδιουσ (ι ςε κοντινοφσ) χϊρουσ με τα Access Points. Οι ςυςκευζσ αυτζσ είναι:

● Φοφρνοι μικροκυμάτων

● Συςκευζσ Bluetooth

● Συςκευζσ παρακολοφκθςθσ μωρϊν / Αςφρματα ςυςτιματα αςφαλείασ

● Αςφρματα τθλζφωνα

● Εραςιτεχνικόσ ραδιοεξοπλιςμόσ

To 802.11g ξεκίνθςε το 2003, λειτουργεί ςτθν ίδια ςυχνότθτα με το 802.11b (2.4GHz). Για διαμόρφωςθ

ςιματοσ χρθςιμοποιεί το DSSS και το OFDM και μποροφμε να φτάςουμε ςτισ ίδιεσ αποςτάςεισ

επικοινωνίασ, αλλά με μεγαλφτερεσ ταχφτθτεσ από το 802.11b, αφοφ μποροφμε να αγγίξουμε τα

54Mbps.

2.4 802.11n Το ςυγκεκριμζνο πρωτόκολλο ανακοινϊκθκε το ζτοσ 2008 και κεωρείται από τα καλφτερα των

θμερϊν μασ. Λειτουργεί ςε δφο ςυχνότθτεσ, ςτα 2.4GHz αλλά και ςτα 5GHz, χρθςιμοποιεί OFDM και

MIMO (χρθςιμοποιεί πολλζσ κεραίεσ ςαν αποςτολείσ, αλλά και ςαν παραλείπτεσ) για τθν διαμόρφωςθ

του ςιματοσ, μπορεί να φτάςει ςε αποςτάςεισ των 70 μζτρων και οι ταχφτθτεσ που μπορεί να

προςφζρει αγγίηουν τα 248Mbps.

Το 802.11n ζχει γίνει αρκετά καλφτερο, όςον αφορά ςτισ ταχφτθτεσ και τον Οκτϊβριο του 2009, θ ΙΕΕΕ

ςε ςυνεργαςία με τθν Wi-Fi Alliance, ανακοίνωςαν τθν νζα ζκδοςθ θ οποία υποςτθρίηει ταχφτθτεσ του

εφρουσ 54Mbps – 600Mbps.

2.5 802.11ac/ad Υπό καταςκευι βρίςκεται και ζνα πρότυπο ακόμθ, το 802.11ac, το οποίο κα λειτουργεί ςτθν μπάντα

των 5GHz και κα ζχει τθν δυνατότθτα -μζςω MIMO- αποςτολισ δεδομζνων ςε ταχφτθτεσ του 1Gbps και

με μία κεραία -μζςω OFDM- των 500Mbps.

Τον Ιοφλιο του 2012 ανακοινϊκθκε το πρότυπο ΙΕΕΕ 802.11ad “WiGig” το οποίο αναμζνεται ςτθν

αγορά ςτισ αρχζσ του 2014. Θεωρθτικά οι ταχφτθτεσ που κα φτάνει, κα αγγίηουν τα 7Gbps(!) ςτθν

ςυχνότθτα των 60GHz.


15

Υπό καταςκευι βρίςκονται αρκετά πρότυπα ακόμθ, τα οποία αναμζνονται τθν τριετία 2014 – 2016.

Αυτά είναι τα ακόλουκα:

● 802.11af ● 802.11aj ● 802.11ai

● 802.11ah ● 802.11aq

● 802.11mc ● 802.11ak

*Ρεριςςότερεσ πλθροφορίεσ για τα υπό καταςκευι εδϊ *https://en.wikipedia.org/wiki/IEEE_802.11]

και επίςθσ εδϊ *http://standards.ieee.org/about/get/802/802.11.html]

Εικ. 2.2 Γενικό εικόνα ταχύτητασ/απόςταςησ των προτύπων 802.11 a/b/g/n

https://en.wikipedia.org/wiki/IEEE_802.11

http://standards.ieee.org/about/get/802/802.11.html


16

2.6 Σοπολογύεσ Αςύρματων Δικτύων Οι τοπολογίεσ ςτα αςφρματα δίκτυα υπολογιςτϊν είναι αρκετά διαφορετικζσ από αυτζσ των

ενςφρματων δικτφων. Αναφορικά είναι οι ακόλουκεσ:

● Ad-hoc

● BSS

● ESS

Ad-hoc

H τοπολογία Ad-hoc ουςιαςτικά είναι και θ πιο απλι. Αφορά ςτθν ςφνδεςθ δφο μόνο ςυςκευϊν

μεταξφ τουσ, χωρίσ να παρεμβαίνει κάποια άλλθ ενδιάμεςα. Ζνα παράδειγμα μιασ τζτοιασ τοπολογίασ

είναι θ ςφνδεςθ δφο ςυςκευϊν μζςω Bluetooth. Στο πρότυπο ΙΕΕΕ 802.11 οι τοπολογίεσ Ad-hoc

αναφζρονται και ωσ “ανεξάρτθτα ΒSS” (IBSS: Independent Basic Service Sets).

BSS (Basic Service Sets)

Η BSS τοπολογία είναι μια μικρι επζκταςθ του ιδθ υπάρχοντοσ ενςφρματου δικτφου μασ,

προςφζροντασ και αςφρματθ κάλυψθ ςε κάποιο μζροσ πζραν αυτοφ. Μια τζτοια τοπολογία μπορεί να

κεωρθκεί θ ςφνδεςθ ενόσ Access Point ςε κάποιο switch του δικτφου μασ, παρζχοντασ ζτςι κάποια

μεγαλφτερθ κάλυψθ (αςφρματθ). H περιοχι κάλυψθσ που αφορά μία Ad-hoc τοπολογία (IBSS) και μία

BSS τοπολογία, ονομάηεται και BSA (Basic Service Area).

ESS (Extended Service Sets)

H ςυγκεκριμζνθ τοπολογία είναι ουςιαςτικά θ επζκταςθ μίασ τοπολογίασ BSS, με άλλα λόγια θ

προςκικθ παραπάνω του ενόσ Access Point ςε διάφορα (ι και ςτο ίδιο) switch/es για κάλυψθ μιασ

ακόμθ μεγαλφτερθσ περιοχισ. Η περιοχι που καλφπτεται ςε αυτι τθν περίπτωςθ ονομάηεται και ESA

(Extended Service Area).

Εικ . 2.3 Σοπολογύα BSS (Basic Service Sets) Εικ . 2.4 Σοπολογύα ESS (Extended Service Sets)


17

2.7 Βαςικό ύνδεςη και Λειτουργύα Ενόσ Αςύρματου Δικτύου Από τθν ςτιγμι που ζχουμε ζναν πομπό που εκπζμπει (Access Point) και ζνα δζκτθ ο οποίοσ κζλει να

ςυνδεκεί (κόμβοσ με δυνατότθτα αςφρματθσ ςφνδεςθσ) υπάρχει μία ςυγκεκριμζνθ διαδικαςία που

ακολουκείται. Για να επιτευχκεί λοιπόν μία ςφνδεςθ ςε ζνα αςφρματο δίκτυο, υπάρχουν τρία (3)

βιματα που πρζπει να γίνουν και τα οποία είναι τα εξισ:

● 802.11 probing

● 802.11 authentication

● 802.11 association

Στο πρϊτο βιμα (probing), οι clients (κόμβοι) ςτζλνουν κάποια μθνφματα ςε διάφορα κανάλια τα

οποία ονομάηονται probe requests, και τα οποία κακορίηουν το όνομα του αςφρματου δικτφου ςτο

οποίο κζλουν να ςυνδεκοφν (SSID). Σε περίπτωςθ που ο κόμβοσ δεν ξζρει ςε ποιο αςφρματο δίκτυο

κζλει να ςυνδεκεί ι κζλει να κάνει μία ςάρωςθ των δικτφων τθσ περιοχισ, τότε απλά ςτζλνει τα ίδια

πακζτα, τα οποία όμωσ δεν περιζχουν το πεδίο του SSID. Εάν το Access Point ζχει απενεργοποιθμζνο το

broadcast του SSID, τότε με μία τζτοια απλι ςάρωςθ το δίκτυο αυτό δεν κα εμφανιςτεί ςτθν λίςτα των

αςφρματων δικτφων που καλφπτουν τθν περιοχι ςτθν οποία βρίςκεται ο κόμβοσ.

Στο δεφτερο βιμα (authentication), το αρχικό 802.11 υλοποιικθκε με δφο βαςικζσ μεκόδουσ. Η πρϊτθ

αφοροφςε ςτθν ανοιχτι πιςτοποίθςθ. Ο κάκε κόμβοσ ηθτοφςε από το Access Point μία πιςτοποίθςθ ότι

μπορεί να ςυμμετάςχει ςτο δικτφο και τθν λάμβανε αυτόματα. Να ςθμειωκεί ότι αυτι θ μζκοδοσ

χρθςιμοποιοφταν ςχεδόσ ςε όλεσ τισ υλοποιιςεισ του 802.11. Η δεφτερθ μζκοδοσ ονομάηεται

“πιςτοποίθςθ κοινοφ κλειδιοφ” (shared key authentication) θ οποία βαςίηεται ςτο WEP (Wired

Equivalency Protection) και κα αναλυκεί εκτενζςτερα ςε επόμενο κεφάλαιο. Η γενικι ιδζα είναι ότι το

κλειδί WEP διαμοιράηεται μεταξφ των κόμβων και του Access Point και όταν ο κόμβοσ ηθτιςει άδεια για

να ςυνδεκεί τότε λαμβάνει ζνα “challenge text” (ςε plain text) το οποίο το κρυπτογραφεί

χρθςιμοποιϊντασ το κλειδί που ζχει και ςτθ ςυνζχεια το Access Point το αποκρυπτογραφεί βάςει του

κλειδιοφ του δικτφου. Αν τα δφο μθνφματα είναι ίδια, τότε ο κόμβοσ μπορεί να πιςτοποιθκεί για είςοδο

ςτο δίκτυο. Αυτό βζβαια κρφβει άλλουσ κινδφνουσ.

Στο τρίτο και τελευταίο βιμα, ζχουμε τθ ςυςχζτιςθ του νζου κόμβου με το υπόλοιπο δίκτυο

(association). Στθν ουςία δθμιουργείται ζνα ακόμθ λογικό κανάλι για τον νζο κόμβο που ειςζρχεται ςτο

δίκτυο από τθν πλευρά του Access Point το οποίο ονομάηεται AID (Association Identifier) και το οποίο

αντιςτοιχεί ςε κάποια κφρα του εκάςτοτε switch ςτο οποίο ςυνδζεται το ςυγκεκριμζνο AP. Με το που

ολοκλθρωκεί και το τελευταίο βιμα, τότε ζχουμε ζνα νζο κόμβο ο οποίοσ μπορεί να αποςτείλει και να

λάβει δεδομζνα μζςα ςτο δίκτυο.


18

3. Αςφϊλεια Δικτύων

3.1 Γενικϋσ Απειλϋσ Δικτύων Η αςφάλεια τθσ πλθροφορίασ και των επικοινωνιϊν είναι ζνα πολφ ςοβαρό κομμάτι τθσ

Ρλθροφορικισ, που δυςτυχϊσ, τισ περιςςότερεσ φορζσ δεν λαμβάνεται ςοβαρά υπόψθν. Οι μελζτεσ

που αφοροφν τθν αςφάλεια, μασ δίνουν πολφ άςχθμα αποτελζςματα όςον αφορά ςχεδόν το κάκε

κομμάτι τθσ επικοινωνίασ μζςω θλεκτρονικϊν υπολογιςτϊν. Από τουσ κωδικοφσ για τθν ςφνδεςθ ςτο

ςφςτθμα, μζχρι τα προγράμματα που κατεβάηει ο μζςοσ χριςτθσ από το Διαδίκτυο, βλζπουμε ότι

υπάρχει αρκετι άγνοια. Το κομμάτι τθσ αςφάλειασ που μασ ενδιαφζρει για αυτιν τθν εργαςία αφορά

τα δίκτυα των υπολογιςτϊν, ενςφρματα και αςφρματα. Οι διαφορζσ μεταξφ αυτϊν των δφο τφπων

δικτφου, ςτα κζματα αςφαλείασ είναι ελάχιςτεσ. Αναφορικά, αν μποροφμε να χωρίςουμε τισ απειλζσ

που μπορεί να δεχτεί το δίκτυο μασ, είναι οι ακόλουκεσ τρεισ (3) κατθγορίεσ:

● War drivers

● Hackers (Crackers)

● Υπάλλθλοι

Ριο αναλυτικά, οι “War drivers” χρθςιμοποιοφν ζνα αυτοκίνθτο και με ζνα laptop κάνουν ουςιαςτικά

βόλτεσ ςε γειτονιζσ ψάχνοντασ για ανοιχτά δίκτυα τα οποία είναι ευάλωτα ςε επικζςεισ. Ο

ςυγκεκριμζνοσ τρόποσ επίκεςθσ, με τθν ονομαςία “war driving” είχε μεγάλθ δθμοτικότθτα ςτθ

δεκαετία του 2000 με 2010, όταν τα περιςςότερα αςφρματα δίκτυα ιταν ανοιχτά από τουσ

καταςκευαςτζσ τουσ και οι περιςςότεροι πελάτεσ δεν γνϊριηαν για το τι κινδφνουσ ζκρυβε κάτι τζτοιο.

Αν πάρουμε ςαν παράδειγμα τα αςφρματα modem/routers που ζδιναν οι μεγάλοι πάροχοι Διαδικτφου

ςτθν χϊρα μασ (ISPs: Internet Service Provider), όπωσ ο Ο.Τ.Ε. και θ Forthnet το 90% περίπου των

ςυςκευϊν που ζδιναν ςτουσ πελάτεσ τουσ ιταν ξεκλείδωτεσ (χωρίσ κάποιο κλειδί αςφαλείασ) ι

χρθςιμοποιοφςαν τθν πιο απλι μζκοδο, WEP, με αποτζλεςμα να ζχουμε πολλά κροφςματα με τουσ

πελάτεσ να βλζπουν ξαφνικά ότι χάνουν ταχφτθτεσ ι δεδομζνα και να μθν ξζρουν τον λόγο. Να

αναφερκεί εδϊ το ότι για να “ςπάςει” ζνα αςφρματο δίκτυο το οποίο προςτατεφεται με WEP, με τισ

προδιαγραφζσ και τισ δυνατότθτεσ που ζχουν –κατά μζςο όρο- οι υπολογιςτζσ ςτα ςπίτια μασ,

χρειάηεται λιγότερο από ζνα (1) λεπτό(!).

Πςον αφορά ςτουσ hackers: Ο όροσ hacker αναφζρεται ςε άτομα τα οποία μποροφν να βρίςκουν

αδυναμίεσ ςε ζνα ςφςτθμα, ςε ζνα δίκτυο κτλ για εκπαιδευτικοφσ ςκοποφσ ι με απϊτερο ςκοπό να

ενθμερϊςουν τον διαχειριςτι του εκάςτοτε ςυςτιματοσ για κάποια “τρφπα” αςφαλείασ και ζτςι να

βελτιωκεί και το security του ςυςτιματοσ και να μθν υπάρχουν απϊλειεσ από αυτό. Γι’ αυτό το λόγο

καλφτερο είναι να χρθςιμοποιιςουμε τον όρο cracker, ο οποίοσ κάνει το ίδιο πράγμα με τον hacker, με

οικονομικό ι προςωπικό όμωσ όφελοσ. Το hacking/cracking ςε περιπτϊςεισ που αφοροφν ζνα

αςφρματο δίκτυο δεν είναι και ιδιαίτερα δφςκολο. Τα περιςςότερα εργαλεία που χρθςιμοποιοφνται

από τουσ αναλυτζσ αςφαλείασ χρθςιμοποιοφνται και από αυτι τθν πλευρά, τθν “κακι”, ενϊ είναι πολφ

εφκολο να βρεκοφν και το μεγαλφτερο μζροσ αυτϊν είναι ελεφκερο. Μία εφκολθ μζκοδοσ είναι το


19

“sniffing” ενόσ αςφρματου δικτφου και όςα περιςςότερα πακζτα μαηεφει ο επιτικζμενοσ, τόςο

αυξάνονται και οι πικανότθτζσ του για να μπει ςτο δίκτυο ακόμθ πιο γριγορα. Το μεγάλο πλεονζκτθμα

άλλωςτε που ταυτόχρονα κεωρείται και μεγάλο μειοντζκτθμα ςτα αςφρματα δίκτυα, είναι ότι είναι

αςφρματα. Ζτςι όπωσ μπορεί ο υπάλλθλοσ μιασ εταιρείασ να ζχει εφκολα πρόςβαςθ ς’ αυτό (χωρίσ τθν

ανάγκθ για κάποιο καλϊδιο κτλ), ζτςι και ζνασ κακόβουλοσ χριςτθσ μπορεί να κάκεται ςτο δίπλα

δωμάτιο και να προςπακεί να υποκλζψει δεδομζνα μζςω sniffing. Εκτόσ των εργαλείων, μπορείσ πολφ

εφκολα να ςπάςεισ ζνα αςφρματο δίκτυο απλά με τθν χριςθ μιασ μθχανισ αναηιτθςθσ (π.χ. Google).

Ζνα από τα μειονεκτιματα των default ρυκμίςεων ςε ςυςκευζσ, είναι ότι αυτζσ μπορεί να τισ βρει ο

κακζνασ ςτο εκάςτοτε manual. Ζτςι αν ο επιτικζμενοσ γνωρίηει ότι ο O.T.E. αυτι τθν περίοδο δίνει

ςτουσ πελάτεσ του ςυςκευζσ Huawei και ZTE, ςκανάρει τθν περιοχι γφρω από το ςπίτι του και αν βρει

αρκετά δίκτυα με τισ default ονομαςίεσ τουσ (π.χ. OTE_4321, OTE_NETWORK_4533 κτλ), τότε ζχει και

μεγάλεσ πικανότθτεσ να μαντζψει το ςωςτό κλειδί για να μπει ςτα δίκτυα αυτά, μόνο και μόνο

ψάχνοντασ τισ default ρυκμίςεισ ςτο manual(!). Αυτό το κζμα με τισ standard default ρυκμίςεισ για το

εκάςτοτε μοντζλο που παρζχουν οι ISPs ςιγά-ςιγά λφκθκε, και πλζον οι περιςςότερεσ ζρχονται με

“ςεταριςμζνο” το WPA2 και με διαφορετικό κλειδί για το κάκε μθχάνθμα που βρίςκεται ςυνικωσ

κολλθμζνο ςτο κάτω μζροσ τθσ ςυςκευισ. Ζτςι δεν μπορεί ο κακζνασ απλά με μερικζσ αναηθτιςεισ ςτο

Internet να μπορεί να αποκτά πρόςβαςθ (τόςο εφκολα τουλάχιςτον) ςτο αςφρματο δίκτυο του

κακενόσ. Πχι ότι το WPA2 δεν μπορεί να παραβιαςτεί, αλλά ςίγουρα είναι πολφ πιο αςφαλζσ από το

WEP και το WPA.

Η τρίτθ κατθγορία αφορά τουσ υπαλλιλουσ. Στθ ςυντριπτικι πλειοψθφία των περιπτϊςεων κενϊν

αςφαλείασ ζχουμε αναφορζσ για άτομα τθσ ίδιασ τθσ εταιρείασ(!). Τισ περιςςότερεσ φορζσ δεν

πρόκειται για εςκεμμζνεσ ενζργειεσ με ςκοπό τθν βλάβθ τθσ εταιρείασ, αλλά γίνονται λόγω ελλιποφσ

ενθμζρωςθσ ι αδιαφορίασ. Γενικά το κζμα τθσ αςφαλείασ ςτθν Ρλθροφορικι, όπωσ αναφζρκθκε και

πιο πριν, δυςτυχϊσ δεν ςυγκινεί όςο κα ζπρεπε. Άλλεσ υπόλοιπεσ φορζσ ζχει να κάνει και με

θκελθμζνεσ προςπάκειεσ διάφορων υπαλλιλων οι οποίοι ς’ αυτι τθν περίπτωςθ ονομάηονται

crackers. Δφο χαρακτθριςτικά παραδείγματα για τθν κάκε περίπτωςθ. Στθν πρϊτθ (μθ εςκεμμζνθ)

ενζργεια, μπορεί κάποιοσ υπάλλθλοσ να ςυνδζςει ςε μία κφρα του switch του ορόφου ςτον οποίον

εργάηεται, ζνα Access Point (Rogue Access Point), για να μπορεί να ζχει πρόςβαςθ ςτο Internet και

μζςω του smart phone του, και ενϊ γι’ αυτόν να είναι κάτι απλό και ανευ ςθμαςίασ να δθμιουργεί

εκείνθ τθν ςτιγμι μια πολφ μεγάλθ τρφπα ςτθν αςφάλεια του δικτφου. Θα δοφμε πωσ μποροφμε να

προςτατευτοφμε από αυτό ςτο επόμενο κεφάλαιο. Στθ δεφτερθ (θκελθμζνθ) ενζργεια, ο “κακόσ”

υπάλλθλοσ τθσ εταιρείασ, μπορεί να τοποκετιςει ζνα φορθτό υπολογιςτι, ζνα netbook κτλ ςε μία

κφρα ενόσ switch και μζςω μίασ τεχνικισ, που κα αναλφςουμε αργότερα (man-in-the-middle-attack), να

μπορεί να καταγράφει όλθ τθν κίνθςθ του δικτφου θ οποία λόγω τθσ μεκόδου αυτισ κα περνάει πρϊτα

από τον υπολογιςτι αυτό και μετά κα πθγαίνει προσ τον router ι οποιαδιποτε άλλθ ςυςκευι εντόσ ι

εκτόσ δικτφου.


20

Εικ. 3.1 Rogue Access Point

Και οι τρεισ (3) γενικζσ κατθγορίεσ απειλϊν ενόσ δικτφου καλό κα ιταν να μθ περνάνε ςτα ψιλά

γράμματα. Στισ μικρομεςαίεσ επιχειριςεισ όμωσ ςυνικωσ κάτι τζτοιο γίνεται. Μια καλι τεχνικι, εκτόσ

από τθν αςφάλεια του δικτφου από τουσ διαχειριςτζσ του, είναι και θ ςωςτι ενθμζρωςθ του

προςωπικοφ. Ρολλζσ φορζσ, άκελα του, δθμιουργεί μεγάλα κενά αςφαλείασ, τα οποία μπορεί να

περάςει αρκετόσ καιρόσ μζχρι να φανερωκοφν ι μπορεί και ποτζ. Ζνα “security policy” είναι πλζον

απαραίτθτο να υπάρχει, το οποίο κα αναφζρει όλουσ τουσ πικανοφσ κινδφνουσ και το τι απαγορεφεται

να κάνουν οι υπάλλθλοι με το δίκτυο τθσ εταιρείασ. Εκτόσ από ζνα Rogue AP, το οποίο μπορεί να

τοποκετθκεί θκελθμζνα ι μθ, υπάρχουν πολλοί κίνδυνοι ακόμα που μποροφν να κζςουν τθν αςφάλεια

του δικτφου ι και ολόκλθρου του Ρλθροφοριακοφ Συςτιματοσ (ΡΣ) τθσ εκάςτοτε εταιρείασ ςτον αζρα.

Αναφορικά:

● Hackers*/Crackers ● Rogue Access Points ● Spammer

● Phishing emails ● Phreaker

* Οι hackers χωρίηονται ςε δφο βαςικζσ ομάδεσ (white και black) με αρκετζσ υποκατθγορίεσ.

3.2 Mϋθοδοι Πιςτοπούηςησ και Κύνδυνοι Ππωσ αναφζρκθκε και παραπάνω, οι γενικζσ απειλζσ που μπορεί να δεχκεί ζνα δίκτυο χωρίηονται ςε

τρεισ (3) κατθγορίεσ. Ρωσ υλοποιοφνται όμωσ; Ρωσ μπορεί κάποιοσ να αποκτιςει πρόςβαςθ ςτο δίκτυο

μασ (και ςτθν ςυγκεκριμζνθ περίπτωςθ ςτο αςφρματο δίκτυο μασ); Για να γίνουν κατανοθτζσ οι απειλζσ


21

και οι τρόποι επίκεςθσ και άμυνασ, που κα αναλυκοφν ςτο επόμενο κεφάλαιο, κα πρζπει να

κατανοιςουμε πρϊτα τα πρωτόκολλα (πιςτοποιιςεισ) αςφαλείασ που υπάρχουν μζχρι ςιμερα ςτα

αςφρματα δίκτυα υπολογιςτϊν και ο τρόποσ με τον οποίον υλοποιοφνται. Αναφορικά χωρίηονται ςε

τζςςερισ (4) κατθγορίεσ, βάςει του χρόνου που υλοποιικθκαν και χρθςιμοποιικθκαν. Οι κατθγορίεσ

αυτζσ (ανά χρόνο) είναι οι εξισ:

● Ανοιχτι πρόςβαςθ (Open Access) – SSID

● Ρρϊτθ γενιά κρυπτογράφθςθσ (First Generation Encryption) – WEP

● Ενδιάμεςθ περίοδοσ (Interim) – WPA

● Το παρόν (Present) – WPA2/802.11i

3.2.1 SSID (Service Set Identification)

To SSID που αναφζρεται και ωσ όνομα δικτφου (αςφρματου), είναι ζνα αλφαρικμθτικό μεγζκουσ ζωσ

32 bytes, το οποίο ουςιαςτικά ανακοινϊνει ςτθν ευρφτερθ περιοχι το όνομα του δικτφου. Αν για

παράδειγμα ρυκμίςουμε ςτο Access Point το SSID να ζχει τθν τιμι “My Personal Network”, τότε ςτθν

περιοχι που καλφπτεται από αυτό το Access Point, οποιαδιποτε ςυςκευι με δυνατότθτα ςφνδεςθσ ςε

αςφρματα δίκτυα, κάνει ζνα scan, κα βρει μζςα ςτα αςφρματα δίκτυα και το ςυγκεκριμζνο με τθν

ονομαςία που του δϊςαμε (My Personal Network). Να αναφερκεί εδϊ πωσ όταν μιλάμε για περιοχζσ

μεγαλφτερεσ του ενόσ ςπιτιοφ για παράδειγμα (περίπου 70 – 80 τ.μ.), όταν δθλαδι ζνα μόνο Access

Point δεν μπορεί να καλφψει τθν περιοχι, τότε χρθςιμοποιοφμε πολλά APs, με τθν ίδια ςυνικωσ

ονομαςία δικτφου (SSID), αλλά πρζπει να “παίηουν” ςε διαφορετικά κανάλια. Αυτό γίνεται γιατί αν το A

Access Point, του οποίου θ μπάντα ςυχνότθτασ βρίςκεται ςτο ίδιο ι ςε κοντινό κανάλι με το Β Access

Point, τότε ζχουμε παρεμβολζσ ςτο ςιμα. Αυτό μπορεί να ςυμβεί ακόμθ και ςτισ οικίεσ γειτόνων, που

μπορεί να παρεμβαίνει ζνασ μόνο τοίχοσ μεταξφ των δφο (2) modem/router με δυνατότθτα αςφρματθσ

ςφνδεςθσ, τα οποία χρθςιμοποιοφν ασ υποκζςουμε το ίδιο πρότυπο (π.χ. το 802.11b) και

χρθςιμοποιοφν το ίδιο κανάλι ι δφο (2) διαφορετικά κανάλια τα οποία δεν ζχουν απόκλιςθ

τουλάχιςτον πζντε (5) (δθλαδι το ζνα να χρθςιμοποιεί το κανάλι 1 και το άλλο τουλάχιςτον το κανάλι

6). Τότε και οι δφο (2) κα ζχουν πικανότατα προβλιματα με τισ παρεμβολζσ ςτο εκάςτοτε δίκτυο του

ςπιτιοφ τουσ. Γενικά θ οικογζνεια πρωτοκόλλων 802.11b/g/n, αποτελείται από δεκατζςςερα (14)

κανάλια. Τα πρϊτα δεκατρία (13) χρθςιμοποιοφνται ςτθν Ευρϊπθ, ενϊ το δζκατο τζταρτο (14ο)

χρθςιμοποιείται μόνο ςτθν Ιαπωνία. Το κάκε κανάλι αλλθλοπαρεμβάλλεται με τζςςερα (4) κανάλια ςτα

αριςτερά του και τζςςερα (4) ςτα δεξιά του. Γι’ αυτό ακολουκείται και θ τακτικι τθσ απόςταςθσ

τουλάχιςτον πζντε (5) καναλιϊν μεταξφ τουσ, για να αποφφγουμε τυχόν παρεμβολζσ.


22

Εικ. 3.2 Μη-επικαλυπτόμενα κανϊλια ςτην ςυχνότητα των 2.4 GHz

Ζτςι και βάςει του παραπάνω ςχιματοσ (που πρζπει να λαμβάνεται πάντα υπόψι), όταν πρόκειται να

καλφψουμε περιοχζσ με παραπάνω από ζνα Access Points, τότε πρζπει πάντα τα γειτονικά APs, να

“παίηουν” ςε κανάλια που μεταξφ τουσ κα απζχουν τουλάχιςτον πζντε (5). Αν ζχουμε να καλφψουμε

μία περιοχι όπωσ θ παρακάτω:

Εικ. 3.3 Χώροσ κϊλυψησ με τρύα (3) Access Points


23

τότε το AP01 κα πρζπει να λειτουργεί ςτο πρϊτο (1ο) κανάλι, το Α02 ςτο ζκτο (6ο) και το τρίτο Α

(Α03) ςτο κανάλι ζντεκα (11). Ζτςι, αν και τα τρία (3) Αs γειτονεφουν μεταξφ τουσ, δεν κα υπάρχουν

παρεμβολζσ. Σε περίπτωςθ που βρεκοφμε ςε χϊρο που εκπζμπουν περιςςότερα του ενόσ APs, και

κζλουμε να γλυτϊςουμε χρόνο ι δεν ζχουμε πρόςβαςθ ςτο configuration των ΑPs, τότε με ζνα laptop,

μποροφμε να τρζξουμε τθν παρακάτω εντολι (ςε Linux OS):

$iwlist scan (με δικαιϊματα root [υπερχρήςτη])

και κα πάρουμε μια αναλυτικι λίςτα για τα κανάλια που χρθςιμοποιοφνται από τα APs που εκπζμπουν

ςτο χϊρο αυτό.

Ζνα τελευταίο χαρακτθριςτικό του SSID είναι θ δυνατότθτα τθσ απόκρυψισ του. Μποροφμε, δθλαδι,

να ρυκμίςουμε το εκάςτοτε Access Point ϊςτε να μθν κάνει broadcast τθν ονομαςία του αςφρματου

δικτφου. Αυτό είναι το μόνο κομμάτι αςφαλείασ που μπορεί να μασ παρζχει. Βζβαια αυτό δεν ςθμαίνει

πωσ δεν μπορεί να γίνει αναγνϊριςθ του οποιουδιποτε SSID, ζςτω κι αν αυτό δεν εκπζμπεται. Ζνα

απλό scan, δεν κα μασ δϊςει αποτελζςματα, αλλά με μερικά εργαλεία, τα οποία κα τα

χρθςιμοποιιςουμε αργότερα, κα δοφμε ότι θ ανακάλυψθ του SSID είναι μία αρκετά απλι διαδικαςία.

3.2.2 WEP (Wired Equivalent Privacy)

To WEP ιταν ο πρϊτοσ αλγόρικμοσ (πιςτοποίθςθ) αςφαλείασ για τα IEEE 802.11 αςφρματα δίκτυα.

Ρρωτοπαρουςιάςτθκε το Σεπτζμβριο του 1999 ςαν κομμάτι του αρχικοφ προτφπου 802.11. Το WEP

μζχρι και πριν λίγα χρόνια ιταν θ default επιλογι από τουσ καταςκευαςτζσ των Access Points. Αυτό

βζβαια ιταν κάτι αρκετά αρνθτικό γιατί όπωσ κα δοφμε και αργότερα, ο αλγόρικμοσ αυτόσ είναι

αρκετά εφκολο να ςπάςει και μάλιςτα ςε ιδιαίτερα μικρό χρόνο.

Υπάρχουν δφο (2) γενικά standards του WEP. Το πρϊτο είναι το Standard 64-bit WEP (γνωςτό και ωσ

WEP-40), το οποίο χρθςιμοποιεί 40 bits για το κλειδί και 24 bits για τθν δθμιουργία του initialization

vector (μια ςειρά από ψευδοτυχαίουσ αρικμοφσ για τθν κρυπρογράφθςθ). Με το που ςυντάχκθκε το

ςυγκεκριμζνο πρότυπο και άρχιςε να χρθςιμοποιείται, λόγω περιοριςμϊν τθσ κυβζρνθςθσ των Η.Ρ.Α.,

οι καταςκευαςτζσ δθμιοφργθςαν άλλο ζνα πρότυπο βαςιηόμενο ςτο WEP. Το ςυγκεκριμζνο ονομάηεται

WEP-104 και χρθςιμοποιεί 104 bits για τον βζκτορα των ψευδοτυχαίων αρικμϊν και ςυνολικά το

μζγεκόσ του αγγίηει τα 128 bits (λόγω και των bits που χρθςιμοποιοφνται ςαν κλειδί).

Το ςτιςιμο ενόσ Access Point με τον αλγόρικμο WEP είναι αρκετά απλό (όπωσ και οι υπόλοιποι

αλγόρικμοι). Οι χαρακτιρεσ που δζχεται ο ςυγκεκριμζνοσ αλγόρικμοσ είναι από το 0 (μθδζν) ζωσ το 9

(εννιά) και οι χαρακτιρεσ a ι Α ζωσ και το f ι F. Ο περιοριςμόσ ςε αυτοφσ τουσ χαρακτιρεσ οφείλεται

ςτο ότι ο αλγόρικμοσ δζχεται ςαν κλειδιά μόνο(!) δεκαεξαδικοφσ χαρακτιρεσ (hexadecimal).

Η εικόνα που ακολουκεί μασ δείχνει το ςετάριςμα ενόσ modem/router το οποίο κα το

χρθςιμοποιιςουμε για τουσ ςκοποφσ τθσ εργαςίασ μόνο ωσ Access Point και όλεσ οι επικζςεισ που κα

γίνουν, για να δοφμε τισ δυνατότθτεσ των αλγορίκμων κρυπτογράφθςθσ κα γίνουν ς’ αυτό. Αναφορικά,

όλεσ οι επικζςεισ κα γίνουν μζςω του Backtrack 5r3 (distribution του Linux, πλθκϊρα εφαρμογϊν που

αφοροφν τθν αςφάλεια) και το AP που κα δεχκεί τισ επικζςεισ αυτζσ είναι το WAG 120N τθσ Linksys.


24

Εικ. 3.4 ετϊριςμα του ΑΡ με κρυπτογρϊφηςη WEP

Επίςθσ βλζπουμε πωσ με τθν επιλογι “Generate” του Α, δθμιουργιςαμε ψευδοτυχαία το κλειδί που

κα πρζπει να ζχει ο κόμβοσ για να ςυνδεκεί ςτο αςφρματο δίκτυο. Ρρζπει να αναφερκεί και το γεγονόσ

πωσ χρθςιμοποιοφμε τθν “καλφτερθ” από τισ δφο (2) μεκόδουσ του WEP, δθλαδι αυτι που

υποςτθρίηει 104 bits για τον βζκτορα παραγωγισ ψευδοτυχαίων αρικμϊν και 26 bits για το κλειδί. Στο

επόμενο κεφάλαιο κα δοφμε και με ποιον τρόπο και πόςο γριγορα κα μπορζςουμε να ςπάςουμε τον

ςυγκεκριμζνο αλγόρικμο.

Για τουσ ςχολαςτικοφσ ακολουκοφν και τα χαρακτθριςτικά του υπολογιςτι του επιτικζμενου. Αυτό για

να δείξουμε πωσ με ζνα ςχετικά παλιό μθχάνθμα, μποροφμε να πετφχουμε αρκετά γριγορεσ ταχφτθτεσ

ςτο ςπάςιμο ενόσ αςφρματου δικτφου. Ζτςι μποροφμε να φανταςτοφμε περίπου τθν διαφορά που κα

μποροφςαμε να ζχουμε, αν ο υπολογιςτισ αυτόσ ιταν πιο κοντά ςτα ςθμερινά μοντζλα, με πολλι

περιςςότερθ μνιμθ και αρκετά καλφτερθ επεξεργαςτικι δυνατότθτα. Τα χαρακτθριςτικά λοιπόν, είναι

τα εξισ:

● Επεξεργαςτισ: Intel Pentium Dual Core (2.2 GHz)

● Μνιμθ RAM: 2GB (DDR2-667MHz)

● Σκλθρόσ δίςκοσ: WD 160GB (5400RPM)


25

Εικ. 3.5 ετϊριςμα πρωτοκόλλου/ςυχνότητασ, καναλιού και SSID

Στθν παραπάνω εικόνα βλζπουμε το βαςικό ςετάριςμα του Α. Αυτό είναι και ζνα από τα πρϊτα

πράγματα που αλλάηουμε με το που αρχίςουμε να ρυκμίηουμε το Α. Ριο αναλυτικά, ζχουμε βάλει ςαν

SSID ι αλλιϊσ ςαν ονομαςία του αςφρματου δικτφου το “AttackMe”, ζτςι κα φαίνεται το δίκτυο μασ αν

κάνουμε ζνα ςκανάριςμα τθσ περιοχισ που εκπζμπει. Ή μιπωσ όχι; Με ζνα απλό ςκανάριςμα δεν κα

φανεί το SSID γιατί ζχουμε επιλζξει το “Disable” ςτο “SSID Broadcast”, αλλά με ζνα διαφορερικό

ςκανάριςμα που κα δοφμε ςτο επόμενο κεφάλαιο, κα ανακαλφψουμε ότι αυτι θ επιλογι δεν είναι και

τόςο δραςτικι. Στα υπόλοιπα χαρακτθριςτικά, βλζπουμε πϊσ χρθςιμοποιοφμε το πρότυπο του

802.11b/g mixed, δθλαδι κα επιλζξει αυτόματα το καλφτερο (το Α), βάςει τθσ περιοχισ και των

υπόλοιπων δικτφων που μπορεί πικανόν να εκπζμπουν ςτον ίδιο χϊρο. Τζλοσ το κανάλι που ζχουμε

επιλζξει είναι το εννζα (9), κι αυτό για το λόγο του ότι ςτθν περιοχι αυτι ζγινε ζνα scan νωρίτερα και

παρατθρικθκε πωσ τα περιςςότερα Αs εκπζμπουν ςτα κανάλια 1 ζωσ 4 και ζτςι πιγαμε τουλάχιςτον

πζντε (5) κανάλια παρακάτω για να μθν ζχουμε παρεμβολζσ.

Υπενκυμίηουμε ότι για να δοφμε ςε μία λίςτα τo ποια δίκτυα εκπζμπουν και ςε ποια κανάλια και με

ποια πρότυπα, χρθςιμοποιοφμε ςε Linux τθν εντολι $iwlist scan, θ οποία αναγνωρίηει αυτόματα όλα τα

network interfaces του υπολογιςτι μασ και με όςα είναι δυνατόν (μόνο δθλαδι αυτά των αςφρματων

καρτϊν δικτφου), πραγματοποιεί το scan και μασ δίνει τα αποτελζςματα που επικυμοφμε.


26

3.2.3 WPA & WPA2 (Wi-Fi Protected Access & Wi-Fi Protected Access II)

Τα δφο (2) αυτά πρωτόκολλα αςφαλείασ για αςφρματα δίκτυα δθμιουργικθκαν από τθν Wi-Fi Alliance

το 2003 (WPA) και το 2004 (WPA2). Το πρϊτο είναι και το προςχζδιο του προτφπου ΙΕΕΕ 802.11i, ενϊ το

δεφτερο είναι ουςιαςτικά και θ “ςτενογραφία” του 802.11i-2004 (όπωσ είναι και θ πλιρθσ ονομαςία

του). Και τα δφο φτιάχτθκαν για να καλφψουν τα κενά αςφαλείασ που άφθνε το WEP. Πταν

πρωτοπαρουςιάςτθκε το WPA, μζςω firmware upgrades, οι κάτοχοι αςφρματων καρτϊν που μζχρι

πρότινοσ υποςτιριηαν μόνο το WEP, πλζον μποροφςαν να υποςτθρίξουν και το WPA. Για πρϊτθ φορά

βλζπουμε να χρθςιμοποιείται και θ τεχνολογία ΤΚΙ (Temporal Key Integrity Protocol), βάςει τθσ οποίασ

δθμιουργείται ζνα κλειδί ανά πακζτο, μεγζκουσ 128 bit. Επίςθσ το WPA, όπωσ και το WEP,

χρθςιμοποιεί και το CRC (Circle Redundancy Check) ωσ ζναν ζλεγχο για τθν ακεραιότθτα των πακζτων

που λαμβάνονται και αποςτζλλονται. Το CRC χρθςιμοποιείται ςε διάφορα κομμάτια των δικτφων (ςε

switches κ.α.) και είναι ζνασ γενικόσ κανόνασ που ςυνικωσ ακολουκείται για τον ζλεγχο του κάκε

πακζτου. Ρεριςςότερεσ πλθροφορίεσ για το CRC, μποροφμε να βροφμε εδϊ

[https://en.wikipedia.org/wiki/Cyclic_redundancy_check]. Με λίγα λόγια αυτό που κάνει το CRC, είναι

ότι με βάςθ κάποια ψθφία (ςε δυαδικό ςφςτθμα), κάνει κάποιεσ προςκζςεισ ςτο κάκε πακζτο που

δζχεται και αν το αποτζλεςμα τθσ εκάςτοτε πράξθσ είναι ίδιο με το αποτζλεςμα που πιρε όταν

απζςτειλε το πακζτο, τότε το πακζτο αυτό κεωρείται πωσ δεν ζχει αλλοιωκεί και ςυνεχίηει τθν πορεία

του ςτο δίκτυο.

Το WPA2 είναι και ο ακόλουκοσ του WPA. Ζνα χρόνο αργότερα μετά από το πρϊτο, ξεκίνθςε και θ

διαδικαςία πιςτοποίθςισ του (Σεπτζμβριοσ του 2004) και μετά από δφο (2) ςχεδόν χρόνια (Μάρτιοσ

του 2006), το WPA2 επίςθμα υποςτθρίηεται από κάκε φορθτι ςυςκευι θ οποία φζρει το λογότυπο τθσ

Wi-Fi Alliance. Mε τον ερχομό του το WPA2, ζφερε και μία νζα (ςχετικά) τεχνολογία διαφορετικι από

το TKIP, θ οποία ονομάηεται AES (Advanced Encryption Standard) θ οποία υλοποιικθκε από το NIST

(National Institute of Standards and Technology) των Ηνωμζνων Ρολιτειϊν το 2001. Είναι ζνασ

ςυμμετρικόσ αλγόρικμοσ κρυπτογράφθςθσ (symmetric-key algorithm), δθλαδι χρθςιμοποιεί το ίδιο

κλειδί για τθν κρυπτογράφθςθ αλλά και τθν αποκρυπτογράφθςθ των δεδομζνων. Ρεριςςότερεσ

πλθροφορίεσ για τον ΑES μποροφμε να βροφμε και εδϊ

[https://en.wikipedia.org/wiki/Advanced_Encryption_Standard].

Το WPA2 είναι θ εφαρμογι του 802.11i-2004 που το 2007 πιρε και τθν ςθμερινι του μορφι, με τθν

ονομαςία ΙΕΕΕ 802.11-2007. Αυτό που ουςιαςτικά γίνεται ςτο ςυγκεκριμζνο standard είναι ότι

οριοκετείται μια χειραψία τεςςάρων (4) βθμάτων (four-way handshake) για τθν ζγκριςθ του

οποιουδιποτε κόμβου που κζλει να αποκτιςει πρόςβαςθ ςτο αςφρματο δίκτυο. Αυτι θ διαδικαςία

βεβαίωσ γίνεται μεταξφ του κόμβου/ςτακμοφ (STA) και του Access Point μζςω του οποίου κζλει να

αποκτιςει πρόςβαςθ. Ρεριςςότερεσ πλθροφορίεσ και πλιρθ ανάλυςθ του ςυγκεκριμζνου προτφπου

κακϊσ και τον τρόπο με τον οποίο υλοποιείται και τισ αδυναμίεσ του, μποροφμε να βροφμε εδϊ

[https://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&arnumber=1318903&contentType=Standards&s

ortType%3Dasc_p_Sequence%26filter%3DAND%28p_Publication_Number%3A9214%29].

https://en.wikipedia.org/wiki/Cyclic_redundancy_check

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

https://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&arnumber=1318903&contentType=Standards&sortType%3Dasc_p_Sequence%26filter%3DAND%28p_Publication_Number%3A9214%29

https://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&arnumber=1318903&contentType=Standards&sortType%3Dasc_p_Sequence%26filter%3DAND%28p_Publication_Number%3A9214%29


27

Εικ. 3.6 ετϊριςμα του ΑΡ με WPA2

Στθν παραπάνω εικόνα βλζπουμε το ςετάριςμα του Α με WPA2. Επίςθσ θ μζκοδοσ κρυπτογράφθςθσ

είναι θ AES, ενϊ να ςθμειωκεί εδϊ ότι μποροφςαμε να επιλζξουμε και τθν ΤΚΙ. Το κλειδί που αρχικά

κα δοκιμάςουμε για τισ επικζςεισ ςτο ςυγκεκριμζνο Α είναι το “MyPasswordIsStrongRight?” και κα

δοφμε ότι με τα κατάλλθλα εργαλεία, αν και φαίνεται ςχετικά δυνατό κλειδί (λόγω μεγζκουσ,

ςυνδυαςμοφ κεφαλαίων και μικρϊν χαρακτιρων και ειδικοφ χαρακτιρα ςτο τζλοσ *?+), μπορεί να

ςπάςει ςχετικά εφκολα. Αναφορικά, καλό κα ιταν για κλειδιά να χρθςιμοποιοφνται μεγάλεσ προτάςεισ,

οι οποίεσ δεν κα περιζχουν εφκολεσ λζξεισ (λζξεισ που βρίςκονται ςε λεξικά ι που ζχουν ςχζςθ με

εμάσ), να ςυνδυάηονται κεφαλαία και μικρά γράμματα, να χρθςιμοποιοφνται ειδικοί χαρακτιρεσ (%, #,

@, *, κτλ) και να περιζχουν και νοφμερα. Μία γραφι που κα δοφμε ότι μπορεί να ζχει αποτζλεςμα (αν

χρθςιμοποιθκεί ςωςτά), είναι θ ελίτ (Elite ι Leet ι 1337). Στθ ςυγκεκριμζνθ γραφι, αλλάηουμε

γράμματα τθσ αλφαβιτου με αντίςτοιχα νοφμερα και ζτςι δθμιουργοφμε ζνα ακόμθ πιο ιςχυρό

password. Να ςθμειωκεί εδϊ πωσ θ elite γραφι ζχει πολλζσ μεκόδουσ που μπορεί να χρθςιμοποιθκεί

και μερικζσ είναι αρκετά προβλζψιμεσ. Επίςθσ κα δοφμε πωσ με ζνα απλό εργαλείο και μζςα ςε πολφ

λίγο χρόνο μποροφμε να παράγουμε λεξικά (txt αρχεία που περιζχουν διάφορεσ λζξεισ), βαςιηόμενοι

ςε κάποιο δικό μασ αρχικό λεξικό (ςυνικωσ περιζχει λζξεισ κλειδιά που υποκζτουμε ότι μπορεί να

χρθςιμοποιοφνται από το εκάςτοτε ςφςτθμα), τα οποία κα ζχουν ζνα αρκετά μεγάλο μζγεκοσ και κα

ςυνδιάηουν λζξεισ, φράςεισ, νοφμερα, ειδικοφσ χαρακτιρεσ και τθν ελίτ γραφι.


28

3.3 Γενικό Επιςκόπηςη Αςφαλεύασ και Security Policy Τα βαςικά “μοντζλα” αςφαλείασ ενόσ αςφρματου δικτφου είναι αυτά που είδαμε παραπάνω. Γενικά

για να ςτθκεί ζνα αςφρματο δίκτυο και να κεωρείται αρκετά αςφαλζσ, πρζπει να υπάρξει ςωςτι

μελζτθ και ςωςτόσ ςχεδιαςμόσ τόςο ςε τεχνικό, όςο και ςε ανκρϊπινο υπόβακρο. Αυτό με άλλα λόγια

ςθμαίνει πωσ εκτόσ από τουσ κινδφνουσ που κρφβονται πίςω από ζνα μικρό αλφαρικμθτικό που μπορεί

να χρθςιμοποιείται ςαν κλειδί αςφαλείασ για τθν είςοδο ενόσ τερματικοφ ςτο αςφρματο δίκτυο, πρζπει

πάντα να υπολογίηεται και ο ανκρϊπινοσ παράγοντασ.

Σε γενικζσ γραμμζσ ζνα καλό ςτιςιμο, μπορεί να περιλαμβάνει τθ μθ-εκπομπι του SSID, τθ χριςθ του

ιςχυρότερου αλγορίκμου αςφαλείασ για το κλείδωμα του αςφρματου δικτφου (WPA2) και πάνω απ’

όλα τθ ςωςτι ενθμζρωςθ του προςωπικοφ για τα κζματα αςφαλείασ. Αυτό μπορεί να γίνει και με τθν

ςυγγραφι ενόσ “security policy” το οποίο κα αναφζρει ρθτά το τι επιτρζπεται και τι απαγορεφεται να

κάνει κανείσ ςε ό,τι αφορά το ςυνολικό δίκτυο του διμου. Αν αναλογιςτεί κανείσ το πόςεσ φορζσ

μπορεί να ζχει βρει ςε κάποια υπθρεςία, διμο, τράπεηα κτλ τουσ υπαλλιλουσ να ζχουν κολλθμζνα

χαρτάκια με διάφορεσ πλθροφορίεσ που μποροφν να δϊςουν ςτον οποιοδιποτε τον πλιρθ ζλεγχο ενόσ

υπολογιςτι ι κάποιου μθχανιματοσ του δικτφου, τότε μποροφμε να καταλάβουμε το μζγεκοσ του

προβλιματοσ. Δυςτυχϊσ δεν υπάρχει ςωςτι ενθμζρωςθ γφρω από το κζμα τθσ αςφαλείασ και πολλζσ

φορζσ περνάει ςτα ψιλά γράμματα. Αυτό βζβαια τισ περιςςότερεσ φορζσ είναι θ νοφμερο ζνα απειλι

για το οποιοδιποτε δίκτυο, όςο καλά αςφαλιςμζνο κι αν είναι ςε επίπεδο ςυςκευϊν και κωδικϊν. Πςο

καλά και αν κλειδϊςεισ το ςπίτι ςου, αν δίνεισ όλεσ τισ πλθροφορίεσ ςτον κλζφτθ για το που κρφβεισ το

κλειδί ςου, κάνεισ πολφ πιο εφκολθ τθν ειςβολι του.

Ζνα παράδειγμα για το τι περίπου μπορεί να περιζχει ζνα “security policy” το οποίο πρζπει να ζχουν

διαβάςει όλοι όςοι απαςχολοφνται ςτο κτιριο του διμου είναι το ακόλουκο.

Security policy:

● Δεν δίνουμε πουκενά τα ςτοιχεία του υπολογιςτι μασ (κωδικοί, διευκφνςεισ δικτφου κτλ).

● Δεν κολλάμε αυτοκόλλθτα με τα ςτοιχεία ςφνδεςθσ μασ ςτον υπολογιςτι ι ςε άλλα ςθμεία που

μπορεί να είναι ορατά προσ τρίτουσ.

● Δεν χρθςιμοποιοφμε οικείεσ ςυςκευζσ για να ςυνδεκοφμε ςτο δίκτυο (όπωσ κινθτά τθλ).

● Δεν χρθςιμοποιοφμε δικά μασ switch/router που ζχουμε φζρει από το ςπίτι κτλ.

● Πταν πλθκτρολογοφμε τουσ κωδικοφσ του ςυςτιματοσ μασ, αποφεφγουμε να το κάνουμε μπροςτά ςε

τρίτουσ .

● Δεν τρζχουμε λογιςμικό από ιςτοςελίδεσ (εκτόσ τθσ ιςτοςελίδασ του διμου μασ).

● Σε περίπτωςθ οποιουδιποτε μθνφματοσ ςτον Η/Υ μασ, άγνωςτο προσ εμάσ, ενθμερϊνουμε αμζςωσ

τουσ διαχειριςτζσ του δικτφου.


29

● Σε περίπτωςθ προβλιματοσ ςφνδεςθσ του υπολογιςτι μασ ςτο δίκτυο του διμου ενθμερϊνουμε

τουσ διαχειριςτζσ και δεν προςπακοφμε να το λφςουμε μόνοι μασ.

● Δεν ανοίγουμε email με "περίεργο" περιεχόμενο ι emails που περιζχουν κάποιο αρχείο εκτόσ του

διμου ι emails που μασ ηθτάνε να ςυμπλθρϊςουμε πλθροφορίεσ που ζχουν να κάνουν με το διμο, το

δίκτυο, τουσ κωδικοφσ μασ κτλ. Δεν υπάρχει περίπτωςθ κάποιοσ από τουσ διαχειριςτζσ να ςασ ηθτιςει

τουσ κωδικοφσ ςασ μζςω email ι οτιδιποτε αντίςτοιχο.

● Σε περίπτωςθ αςυνικιςτθσ λειτουρίασ του υπολογιςτι μασ, ενθμερϊνουμε αμζςωσ του

διαχειριςτζσ.

● Αν βροφμε ςε οποιοδιποτε ςθμείο του κτθρίου κάποια ςυςκευι θ οποία δεν ανικει ςε κανζναν ι

δεν υπιρχε εκεί, ενθμερϊνουμε αμζςωσ του διαχειριςτζσ.

● Δεν χρθςιμοποιοφμε εκτόσ των ειδικϊν χϊρων ςυςκευζσ που εκπζμπνουν μαγνθτικι ακτινοβολία

όπωσ αςφρματα τθλζφωνα, φοφρνουσ μιρκοκυμάτων, ςυςκευζσ ενδοεπικοινωνίασ κτλ. Οποιαδιποτε

τζτοια ι αντίςτοιχθ ςυςκευι μπορεί να προκαλζςει ςοβαρό πρόβλθμα ςτο δίκτυο του διμου μασ.

● Δεν επιτρζπουμε ςε κανζνα τρίτο να ζχει πρόςβαςθ ςε ςθμεία του διμου ςτα οποία μπορεί να

υπάρχουν ςθμαντικά ζγγραφα ι πλθροφορίεσ που αφοροφν το διμο ι το δίκτυο του. Σε περίπτωςθ

που βροφμε κάποιον τρίτο να περιφζρεται ςε χϊρουσ του κτθρίου του διμου, ενθμερϊνουμε τθν

αςφάλεια του κτθρίου και τουσ διαχειριςτζσ για να ελεγχτοφν οι χϊροι. Ο οποιοςδιποτε, μπορεί να

αφιςει το οτιδιποτε.

● Δεν επιτρζπουμε ςε τρίτουσ να ζχουν τθν οποιαδιποτε επαφι με του υπολογιςτζσ μασ. Υπάρχουν

ειδικοί χϊροι για πρόςβαςθ ςτο Διαδίκτυο ςε κάκε όροφο αναμονισ των δθμοτϊν μασ.

● Σε περίπτωςθ ξαφνικισ απϊλειασ πρόςβαςθσ ςτον υπολογιςτι μασ (μζςω του κωδικοφ μασ)

ενθμερϊνουμε αμζςωσ τουσ διαχειριςτζσ.

● Δεν χρθςιμοποιοφμε ςυςκευζσ αποκθκευτικϊν μζςων όπωσ εξωτερικοφσ ςκλθροφσ δίςκουσ, usb

sticks κτλ τα οποία φζραμε από το ςπίτι μασ ι μασ τα ζδωςα τρίτοι.

● Αν παρατθριςουμε κάποια αςυνικιςτθ κακυςτζρθςθ ςτο δίκτυο του διμου ι ςτον Η/Υ μασ,

ενθμερϊνουμε τουσ διαχειριςτζσ για να γίνει άμεςωσ ζλεγχοσ.

Το παραπάνω είναι ζνα ενδεικτικό παράδειγμα για το τι μπορεί να περιζχει ζνα security policy. Ζνα

τζτοιο ζγγραφο παρεμπιπτόντωσ, πρζπει να βρίςκεται ςε κάκε υπθρεςία, διμο, εταιρεία κτλ και να

διαβάηεται πάντα απ’ όλουσ τουσ υπαλλιλουσ που εργάηονται ς’ αυτι. Βζβαια το εκάςτοτε security

policy μπορεί να διαφζρει αρκετά. Ρρζπει πάντα όμωσ να δθμιουργείται και να ςτοχεφει ςε όλα τα

κζματα που μποροφν να δθμιουργιςουν τρφπεσ και κενά αςφαλείασ ςτο δίκτυο.


30

4. Επιθϋςεισ και υγκρύςεισ Μοντϋλων Αςφαλεύασ Υπενκυμίηουμε πωσ όλεσ οι επικζςεισ που ζγιναν για τθν ανάγκθ αυτι τθσ εργαςίασ, ζγιναν ςε τοπικά

μθχανιματα. Χρθςιμοποιικθκαν οι ακόλουκεσ ςυςκευζσ και τα εξισ προγράμματα:

® 2 φορθτοί υπολογιςτζσ, με λειτουργικά ςυςτιματα Linux (Backtrack 5 R3 & Fedora 18) και Windows

7. Οι περιςςότερεσ επικζςεισ ζγιναν με χριςθ του Backtrack 5.

® Ζνα modem/router με δυνατότθτα αςφρματθσ επικοινωνίασ τθσ Linksys (μοντζλο WAG120N), το

οποίο χρθςιμοποιικθκε ςαν Access Point για να δοκιμαςτοφν τα πρωτόκολλα αςφαλείασ.

® Τα προγράμματα Cisco Packet Tracer και GNS3 για υλοποίθςθ μεγαλφτερων τοπολογιϊν και

“ςετάριςμα” των μθχανθμάτων (routers, switches κτλ).

® Πςα προγράμματα και εργαλεία χρθςιμοποιικθκαν για τισ επικζςεισ και τθν παραγωγι κωδικϊν

αναφζρονται ονομαςτικά και είναι όλα ανοιχτοφ κϊδικα (open source).

4.1 Επύθεςη ςε WEP Η πρϊτθ επίκεςθ ζγινε ςτο Access Point το οποίο ιταν ςεταριςμζνο με κρυπτογράφθςθ WEP. To

ςετάριςμα ζγινε με τον ίδιο τρόπο που δείξαμε ςτθν εικόνα 3.5 ςτθ ςελίδα 24. Τα μθχανιματα τθσ

Linksys ζχουν τθ δυνατότθτα να παράγουν τρία (3) “ιςχυρά” κλειδιά. Ακολουκεί θ διαδικαςία μζςω

screenshots.

Εικ. 4.1 ετϊριςμα του WEP ςτο Access Point

Το ςτιςιμο τθσ αςφαλείασ ςτθν προκειμζνθ περίπτωςθ ζχει να κάνει με το WEP. Χρθςιμοποιικθκε

ξανά θ αυτόματθ παραγωγι τυχαίων αλφαρικμθτικϊν (δεκαεξαδικοφ τφπου, 0 – 9 & Α – F), ζτςι ϊςτε ο

επιτικζμενοσ να μθν μπορεί να μαντζψει το κλειδί. Αν ο επιτικζμενοσ ξζρει μερικά πράγματα για εμάσ,


31

όπωσ, ςτοιχεία τθσ εταιρείασ, ονόματα ςθμαντικά, θμερομθνίεσ που αφοροφν τθν εταιρεία ι μζλθ τθσ

κτλ, τότε με τθν χριςθ ενόσ απλοφ μόνου εργαλείου μπορεί να παράγει μζςα ςε ελάχιςτο χρόνο ζνα

αρκετά μεγάλο λεξικό, το οποίο αργότερα μπορεί να χρθςιμοποιιςει για τισ επικζςεισ του. Κάτι τζτοιο

κα το δοφμε αναλυτικότερα ςτθν επίκεςθ που κα αναλφςουμε ςε ζνα WPA2 αςφρματο δίκτυο.

Εικ. 4.2 ετϊριςμα και ςκανϊριςμα με το Gerix

Στθν παραπάνω εικόνα (4.2), βλζπουμε το εργαλείο που χρθςιμοποιοφμε για το scan των δικτφων που

εκπζμπουν ςτο χϊρο που ζχουμε τοποκετιςει το laptop. Χρθςιμοποιιςαμε το ςυγκεκρίμενο εργαλείο

για λόγουσ ευκολίασ. Πλα αυτά μποροφν να επιτευχκοφν και μζςω προγραμμάτων κονςόλασ, αλλά

αυτι θ διαδικαςία είναι αρκετά πιο αργι για τουσ περιςςότερουσ χριςτεσ οι οποίοι δεν είναι


32

εξοικειωμζνοι με αυτό τον τρόπο χριςθσ προγραμμάτων. Το Gerix μασ προςφζρει όλα όςα μποροφμε

να κάνουμε με τθν χριςθ τθσ γνωςτισ ςουίτασ εφαρμογϊν για ξεκλείδωμα δικτφων aircrack-ng. Η

βαςικι τουσ διαφορά ζγκειται ςτο ότι το ζνα χρθςιμοποιείται μζςω κονςόλασ (aircrack-ng), ενϊ το

άλλο υποςτθρίηεται μζςω γραφικοφ περιβάλλοντοσ (Gerix). Ασ αναλφςουμε λίγο τθν παραπάνω εικόνα.

Στθν καρτζλα του configuration ζχουμε ουςιαςτικά τρεισ (3) βαςικζσ επιλογζσ. Ρρϊτον, τον φάκελο

ςτον οποίο κα αποκθκεφονται τα δεδομζνα που κα παραχκοφν από τισ διάφορεσ εργαςίεσ μασ.

Δεφτερον, ζχουμε τθν δυνατότθτα επιλογισ του interface που κα χρθςιμοποιθκεί για το ςκανάριςμα

των αςφρματων δικτφων και τθ δυνατότθτα αλλαγισ τθσ mac-address τθσ κάρτασ δικτφου μασ. Αυτό

μπορεί να φαίνεται περιττό ι χάςιμο χρόνου, αλλά αν ο επιτικζμενοσ κζλει να μειϊςει δραςτικά τισ

πικανότθτεσ του να τον βρουν, τότε αυτό το βιμα είναι αναγκαίο. Άλλωςτε, το 99% των ςυςκευϊν ενόσ

δικτφου (routers, switches, access points κτλ), κρατάνε κάποιο log αρχείο για όλεσ τισ ενζργειεσ που

επιτελοφν ςτο δίκτυο ι για το ποιοσ μπικε, τι IP πιρε και ποια mac-address είχε. Ζτςι μζςα από μια

μικρι ζρευνα μετά το ςυμβάν τθσ οποιαδιποτε επίκεςθσ, μπορεί να ανιχνευτοφν τζτοια ςτοιχεία και

να βοθκιςουν ςτθν εφρεςθ του “δράςτθ”. Στθν προκειμζνθ περίπτωςθ, το laptop που

χρθςιμοποιιςαμε ζχει μόνο μία αςφρματθ κάρτα δικτφου (wlan0) και επιλζγοντάσ τθν και ςτθ ςυνζχεια

κλικάροντασ ςτθν επιλογι “Set random MAC address”, πιραμε ζνα νζο interface με τθν ονομαςία

mon0, το οποίο ουςιαςτικά είναι το ίδιο με αυτό τθσ wlan0, μόνο που ζχει φορτωκεί ςτθ μνιμθ του

υπολογιςτι μασ με διαφορετικι mac-address. Ζτςι για οποιαδιποτε δικτυακι κίνθςθ και για

οποιοδιποτε πακζτο μπορεί να παράγει αυτό το interface, ςαν source mac-address του αποςτολζα

(laptop επιτικζμενου), κα φαίνεται θ random mac-address που δθμιοφργθςε το Gerix για εμάσ, απλά

και μόνο με ζνα κλικ(!). Επίςθσ ςε περίπτωςθ που ζχουμε και άλλεσ κάρτεσ δικτφου (NICs), τότε με τθν

επιλογι “Reload wireless interfaces” κα μπορζςουμε να τισ δοφμε ςτθν λίςτα. Τρίτθ και τελευταία

κατάςταςθ ακρόαςθσ: Ουςιαςτικά αυτό που γίνεται είναι να ελζγχει τον αζρα και να ςυλλζγει

μθνφματα από τουσ πομποφσ του εκάςτοτε δικτφου. Αφοφ γίνει αυτι θ διαδικαςία, τότε βρίςκουμε τα

αποτελζςματα των δικτφων που βρζκθκαν ςτθν λίςτα όπωσ φαίνεται και ςτθν εικόνα. Να ςθμειωκεί

εδϊ πωσ όταν χρθςιμοποιοφμε εφαρμογζσ όπωσ το Gerix, το aircrack-ng κτλ, τότε ςτα αποτελζςματα

των αςφρματων δικτφων “ςτόχων”, εμφανίηονται και αυτά τα οποία ζχουν απενεργοποιθμζνο το

broadcast SSID. Τόςο απλά, βλζπουμε πωσ κάτι τζτοιο, δεν δυςκολεφει ιδιαίτερα τθ ηωι του

επιτικζμενου. Στθν λίςτα καναλιϊν τϊρα εμφανίηονται οι εξισ πλθροφορίεσ που αφοροφν το Access

Point:

● SSID ● Κανάλι ● Ιςχφσ ςιματοσ

● MAC address του AP ● Μζκοδοσ κρυπτογράφθςθσ

Στθν εικόνα ζχουμε επιλζξει το “προτότυπο” όνομα δικτφου (SSID) “AttackMe” και βλζπουμε πωσ θ

mac-address του Α είναι θ 58:6d:8f:e6:18:93, το κανάλι που εκπζμπει είναι το ζνατο (9), θ ιςχφσ

ςιματοσ είναι γφρω ςτα -51dB και θ μζκοδοσ κρυπτογράφθςθσ τθσ επικοινωνίασ γίνεται με τθν χριςθ

του WEP. Αφοφ ζχουμε κλικάρει ςτο δίκτυο που κζλουμε να επιτεκοφμε (AttackMe), τότε πθγαίνουμε

ςτο επόμενο tab επιλογϊν του προγράμματοσ, ανάλογα με τθ μζκοδο κρυπτογράφθςθσ. Στθν

προκειμζνθ περίπτωςθ δθλαδι ςτο tab που αφορά το WEP.


33

Εικ. 4.3 Επιλογϋσ του WEP ςτο Gerix

Σε αυτό το ςθμείο με λίγα μόνο κλικ, ουςιαςτικά δίνουμε εντολι ςτον υπολογιςτι μασ να προχωριςει

ςτθν επίκεςθ για τθν εφρεςθ του κλειδιοφ που μποροφμε να χρθςιμοποιιςουμε για να μποφμε ςτο

αςφρματο δίκτυο. Τα δφο είδθ επικζςεων που αναφζρονται και βάςει αυτϊν προχωράμε ςτθν επίκεςι

μασ, αυτι τθν ςτιγμι δεν μασ ενδιαφζρουν άμεςα για ανάλυςθ. Εδϊ όμωσ ενϊ περιμζναμε να γίνει

αρκετά γριγορα και εφκολα (λόγω WEP), το Linksys μασ ξεγζλαςε. Ασ περιγράψουμε όμωσ λίγο τθν

διαδικαςία. Για να μπορζςει να χτυπθκεί ζνα αςφρματο δίκτυο, πρζπει πρϊτα να γίνει μία ςυλλογι

πακζτων από αυτό. Αυτό γίνεται πολφ απλά. Αφοφ επιλζξαμε το δίκτυο, επιλζξαμε το “Fragmentation

Attack” το οποίο ουςιαςτικά ςυλλζγει οποιοδιποτε πακζτο το οποίο μπορεί να κατευκυνκεί από και

προσ το AP. Ζτςι δθμιουργεί μία μεγάλθ γκάμα επιλογϊν για δειγματολθψία και δοκιμζσ διάφορων

κλειδιϊν, μζχρι τθν εφρεςθ του ςωςτοφ (κλειδιοφ). Να ςθμειωκεί εδϊ πωσ με τον ίδιο υπολογιςτι,

ζγινε θ ίδια επίκεςθ ςε αςφρματο δίκτυο το οποίο ιταν ςεταριςμζνο με τα ίδια κλειδιά αςφαλείασ,

αλλά ςαν Α είχαμε ζνα Thomson (speedtouch 716). Σε εκείνθ τθν περίπτωςθ τα πακζτα που

χρειάςτθκαν να ςυλλεχκοφν μζχρι να δθμιουργθκεί το κατάλλθλο πακζτο για το ςπάςιμο του κλειδιοφ

ιταν γφρω ςτα 400 – 550, κάτι που αναλογεί ςε χρόνο λιγότερου του ενόσ (1) λεπτοφ(!). Στθν

περίπτωςθ του Linksys όμωσ οι χρόνοι αυτοί αλλάηουν δραματικά. Αναλυτικότερα μποροφμε να

μελετιςουμε τθν παρακάτων εικόνα.


34

Εικ. 4.4 υλλογό πακϋτων μϋςω Gerix

Αν παρατθριςουμε τθν εικόνα κα δοφμε πωσ ζχει φτάςει ςτα 544384(!) πακζτα και ακόμθ δεν

μπόρεςε να βρει το ςωςτό κλειδί για τθν παραγωγι του κατάλλθλου πακζτου που κα αποςταλεί ςτο

Α. Να ςθμειωκεί εδϊ πωσ τθ ςυγκεκριμζνθ επίκεςθ τθν αφιςαμε για περίπου εφτά (7) ϊρεσ και

τελικά το κλειδί δεν μπόρεςε να βρεκεί. Βζβαια αν το δίκτυο που κζλουμε να χτυπιςουμε είναι ενεργό

τθν ϊρα του ςκαναρίςματοσ, δθλαδι υπάρχει τουλάχιςτον ζνασ χριςτθσ ςτο δίκτυο και το

χρθςιμοποιεί, τότε μποροφμε να ςυλλζξουμε ζνα μεγάλο αρικμό πακζτων ςε πολφ λιγότερο χρόνο από

αυτό των εφτά (7) ωρϊν.

Αυτό που κζλαμε να δείξουμε με τθν παραπάνω επίκεςθ και τθν ςφγκριςι τθσ μεταξφ των

διαφορετικϊν ςυςκευϊν (Linksys & Thomson), είναι πωσ ναι μεν τα πρότυπα μπορεί να είναι ίδια και

να ακολοκοφνται κάποια standards, αλλά αυτό δε, αλλά αυτό δεν μπορεί να ςθμαίνει πωσ θ κάκε

εταιρεία υλοποιεί αυτά τα standards με τον ίδιο τρόπο. Βζβαια ξζρουμε με ςιγουριά πωσ ζνα

αςφρματο δίκτυο το οποίο βαςίηεται ςτο WEP για τθν προςταςία των δεδομζνων του, είναι ςίγουρο

πωσ κα ςπάςει. Αυτό όμωσ διαφζρει από εταιρεία ςε εταιρεία. Ζτςι βλζπουμε ξεκάκαρα πωσ θ Linksys

ςτο ςυγκεκριμζνο τουλάχιςτον κζμα ζχει κάνει αρκετά καλι δουλειά, αφοφ ςτο αντίςτοιχο ςετάριςμα

του Thomson, μπορζςαμε να αποκτιςουμε πρόςβαςθ ςε λιγότερο από δφο (2) λεπτά(!) με τθ ςυλλογι

περίπου 500 πακζτων από το δίκτυο, ενϊ ςτθν περίπτωςθ του Linksys, αφιςαμε τθν κάρτα δικτφου να

ςκανάρει για περίπου εφτά (7) ολόκλθρεσ ϊρεσ(!) και να ςυλλζξει παραπάνω από 500000 πακζτα και

δεν κατάφερε να παράγει το ςωςτό πακζτο για το ςπάςιμο του αςφρματου δικτφου.


35

4.2 Επύθεςη ςε WPA2 και Δημιουργύα Λεξικών Το WPA και το WPA2 όπωσ ζχουμε αναφζρει, υποςτθρίηουν πλιρωσ όλα τα ςφμβολα που μπορεί να

χρθςιμοποιιςει ζνασ χριςτθσ. Υπενκυμίηουμε το ότι το WEP υποςτθρίηει μόνο χαρακτιρεσ του

δεκαεξαδικοφ ςυςτιματοσ μζτρθςθσ, δθλαδι από το 0 μζχρι το 9 και τουσ χαρακτιρεσ a ζωσ f

(κεφαλαίουσ και πεηοφσ).

Στο WPA και ςτο WPA2 λοιπόν ο επιτικζμενοσ ζχει αρκετά πιο δφςκολο ζργο ςτθν εφρεςθ του ςωςτοφ

κλειδιοφ το οποίο κα του δϊςει τθ δυνατότθτα ειςχϊρθςθσ ςτο δίκτυο. Ρωσ όμωσ μπορεί να γίνει κάτι

τζτοιο; Θα δοφμε παρακάτω δφο εργαλεία open source κϊδικα τα οποία βρίςκονται προεγκατεςτθμζνα

ςτθν ζκδοςθ Backtrack του λειτουργικοφ ςυςτιματοσ Linux. Ασ τα εξετάςουμε λίγο πιο αναλυτικά

πρϊτα.

Το πρϊτο εργαλείο είναι το crunch. Το ςυγκεκριμζνο εργαλείο βαςίηεται ςε ζνα αρκετά μικρό αρχείο

κειμζνου το οποίο διαχωρίηει ςε διάφορεσ κατθγορίεσ τα αλφαρικμθτικά που μπορεί να χρειαςτοφμε

για τθν παραγωγι κάποιου λεξικοφ κωδικϊν. Το αρχείο αυτό είναι το charset.lst και είναι αυτό που

φαίνεται παρακάτω.

Εικ. 4.5 Αρχεύο charset. lst του εργαλεύου crunch


36

Αν παρατθριςουμε λίγο το αρχείο βλζπουμε τον διαχωριςμό αυτό. Για παράδειγμα, θ λίςτα numeric,

περιζχει μόνο τα ψθφία του δεκαδικοφ ςυςτιματοσ (0 – 9), ενϊ θ λίςτα lalpha, περιζχει όλουσ τουσ

χαρακτιρεσ του λατινικοφ αλφαβιτου, μόνο όμωσ τουσ πεηοφσ (a – z). Για τθν δθμιουργία ενόσ

ςφνκετου όμωσ κωδικοφ, ο επιτικζμενοσ κα χρθςιμοποιιςει μία λίςτα όπωσ θ mixalpha-numeric-all ι θ

mix-alpha-numeric-all-space. Η πρϊτθ περιζχει όλουσ του χαρακτιρεσ του λατινικοφ αλφαβιτου (πεηά

και κεφαλαία), όλα τα νοφμερα του δεκαδικοφ (0 – 9) και όλα τα ςφμβολα που μποροφν να

χρθςιμοποιθκοφν (!, @, #, $ κ.α.). Η δεφτερθ λίςτα, περιζχει όλα τα παραπάνω ςυν του κενοφ

διαςτιματοσ.

Ασ δοφμε τϊρα πωσ λειτουργεί το crunch και πωσ μποροφμε βάςει αυτοφ του αρχείου να

δθμιουργιςουμε ζνα ολόκλθρο λεξικό. Η διαδικαςία είναι αρκετά απλι και αρκετά γριγορθ για τον

άνκρωπο, αλλά μπορεί να είναι αρκετά αργι για τον υπολογιςτι (ανάλογα με τθ λίςτα που κα

χρθςιμοποιθκεί και το μζγεκοσ του κωδικοφ που κζλουμε να δθμιουργιςουμε).

Εικ. 4.6 Δημιουργύα κωδικών μεγϋθουσ 1 ϋωσ 4 χαρακτόρων με το crunch

Στθν παραπάνω εικόνα βλζπουμε τθ δθμιουργία ενϊσ λεξικοφ κωδικϊν με το εργαλείο crunch. Στο

ςυςγκεκριμζνο παράδειγμα χρθςιμοποιοφμε το αρχείο charset.lst με τθ λίςτα mixalpha-numeric-all και

τα αποτελζςματα που κα παραχκοφν αποκθκεφονται ςτο αρχείο wordlist.txt. Επίςθσ είναι ςθμαντικό

να δοφμε πωσ μποροφμε να ορίςουμε και το μζγεκοσ των κωδικϊν που κζλουμε να παράξουμε. Στθν

προκειμζνθ περίπτωςθ ζχουμε δϊςει τθν παράμετρο “1 - 4”, δθλαδι να παραχκοφν λζξεισ/φράςεισ με

μζγεκοσ από ζναν (1) ζωσ τζςςερισ (4) χαρακτιρεσ. Αν για παράδειγμα ο επιτικζμενοσ κζλει να παράξει

χαρακτιρεσ μεγζκουσ ενόσ αποκλειςτικοφ αρικμοφ χαρακτιρων, γιατί μπορεί να γνωρίηει ότι θ

εκάςτοτε εταιρεία χρθςιμοποιεί τζτοιουσ κωδικοφσ ωσ πολιτικι αςφαλείασ, τότε ςαν παράμετροσ κα

μπει ο αρικμόσ αυτόσ δφο φορζσ. Για παράδειγμα, αν κζλουμε να παράξουμε κωδικοφσ αποκλειςτικοφ


37

μεγζκουσ δζκα (10) χαρακτιρων, τότε θ παράμετροσ “1 - 4” που χρθςιμοποιικθκε παραπάνω κα γίνει

“10 - 10”. Με τθν παρακάτω εικόνα βλζπουμε πωσ για τθν παραγωγι κωδικϊν οι οποίοι φτάνουν μζχρι

τουσ τζςςερισ (4) χαρακτιρεσ, ο υπολογιςτισ χρειάςτθκε μόλισ 47 δεπτερόλεπτα(!) για τθν παραγωγι

τουσ και το μζγεκοσ του αρχείου αγγίηει τα 375 MB.

Ζνα εργαλείο ςαν το crunch είναι αρκετά χριςιμο και αρκετά εφκολο για τον επιτικζμενο, αλλά

προτιμάται ςε περιπτϊςεισ που ο επιτικζμενοσ δεν ζχει αρκετά ςτοιχεία για τον ςτόχο του. Ασ

υποκζςουμε ότι για τθν επιχείρθςθ που κζλει να επιτεκεί, γνωρίηει μόνο ότι χρθςιμοποιεί κωδικοφσ

μεγζκουσ είκοςι (20) χαρακτιρων ςαν πολιτικι αςφαλείασ. Αν δοκιμάςουμε να φτιάξουμε ζνα τζτοιο

αρχείο κωδικϊν (λεξικό), εκτόσ από τον χρόνο που κα χρειαςτεί, το μεγαλφτερο πρόβλθμα είναι ο

χϊροσ.

Εικ. 4.7 Δημιουργύα λεξικού που περιϋχει κωδικούσ των 20 χαρακτόρων με το crunch

Ππωσ βλζπουμε παραπάνω για τθν δθμιουργία αυτοφ του λεξικοφ κα χρειαςτεί ο επιτικζμενοσ να

διακζτει τουλάχιςτον 8315 PB(!) ελεφκερου χϊρου ςτον δίςκο του. Κάτι τζτοιο βζβαια είναι αδιανόθτο.

Επίςθσ μποροφμε να δοφμε και το πλικοσ των γραμμϊν (ζνασ κωδικόσ ανά γραμμι), ο οποίοσ είναι

τεράςτιοσ(!).

Κυρίωσ για τουσ παραπάνω λόγουσ (χρόνο και χϊρο), οι επικζςεισ που αφοροφν πρόςβαςθ ςε δίκτυα

εταιρειϊν, ιδιωτϊν κτλ, ο επιτικζμενοσ προςπακεί να κάνει μία ζρευνα για το κφμα. Αυτι θ ζρευνα

γίνεται με μεκόδουσ social engineering, οι οποίεσ όμωσ δεν χρειάηονται να αναλυκοφν για τισ ανάγκεσ

αυτισ τθσ εργαςίασ. Από τθν ζρευνα αυτι ο επιτικζμενοσ προςπακεί να βρει οποιαδιποτε πλθροφορία

θ οποία μπορεί να φανεί χριςιμθ για τθν επίτευξθ τθσ επίκεςισ του. Αυτό που κάνει δθλαδι, είναι να

ςυλλζγει λζξεισ κλειδιά, τισ οποίεσ κα χρθςιμοποιιςει ωσ αρχικό λεξικό για τθν παραγωγι του νζου του

λεξικοφ που κα χρθςιμοποιιςει για τθν επίκεςι του. Αυτό κα γίνει με το εργαλείο cupp.


38

Από τθ ςτιγμι που ο επιτικζμενοσ ςυλλζξει όςα ςτοιχεία μπορεί να χρθςιμοποιιςει ςαν λζξεισ κλειδιά

για τθν παραγωγι του λεξικοφ των κωδικϊν που κα δοκιμάςει για τθν επίκεςι του, μπορεί να το κάνει

αρκετά απλά, με τθν χριςθ ενόσ εργαλείου, όπωσ το cupp. Το cupp προςφζρει τθ δυνατότθτα ςτο

χριςτθ του να φορτϊςει ζνα αρχείο με λζξεισ κλειδιά και αυτό ςτθ ςυνζχεια (το cupp), να αρχίςει να

παράγει κλειδιά με διάφορουσ ςυνδυαςμοφσ, βαςιηόμενο πάντα ςτο αρχικό αρχείο που ζχει δϊςει ο

χριςτθσ.

Εικ. 4.8 Αρχικό αρχεύο λεξικού που δημιούργηςε ο χρόςτησ

Στθν παραπάνω εικόνα βλζπουμε ζνα αρχείο λεξικοφ που δθμιοφργθςε ο χριςτθσ βαςιηόμενοσ ςε

διάφορα ςτοιχεία που μπόρεςε να ςυλλζξει από τθν ερευνά του. Είναι ςθμαντικό να παρατθριςουμε

πωσ όλεσ οι εγγραφζσ είναι διπλζσ, αλλάηει μόνο το πρϊτο γράμμα (κεφαλαίο ι πεηό), αφοφ οι κωδικοί

πάντα είναι case sensitive, δθλαδι ο κωδικόσ “Password” είναι διαφορετικόσ από τον κωδικό

“password”. Κάπωσ ζτςι ο χριςτθσ δθμιουργεί το αρχικό του λεξικό και το αποκθκεφει ςε ζνα φάκελο.

Στθ ςυνζχεια αναλαμβάνει δράςθ το cupp. Αυτό το αρχείο που βλζπουμε παραπάνω, είναι το αρχείο

που κα φορτωκεί ςτο cupp και ςτθ ςυνζχεια κα παραχκοφν οι νζοι κωδικοί και κα αποκθκευτοφν ςε

ζνα νζο αρχείο.


39

Εικ. 4.9 Δημιουργύα νϋου αρχεύου κωδικών με χρόςη του cupp

Η ςφνταξθ για τθν δθμιουργία του νζου λεξικοφ απ’ ό,τι βλζπουμε ςτθν παραπάνω εικόνα είναι πολφ

απλι. Απλά ο χριςτθσ καλεί το πρόγραμμα και ςαν μοναδικι παράμετρο, δίνει το όνομα του αρχείου

που ζχει δθμιουργιςει (το αρχείο δθλαδι τθσ εικόνασ 4.7). Στθν ςυγκεκριμζνθ περίπτωςθ το αρχείο

αυτό το ονομάςαμε mywords.txt. Με το που πλθκτρολογιςει αυτι τθν εντολι ςτθν κονςόλα, το cupp

προςφζρει ςτο χριςτθ τζςςερισ (4) επιλογζσ ςτισ οποίεσ μπορεί να απαντιςει με ζνα ναι ι ζνα όχι. Οι

επιλογζσ αυτζσ ζχουν να κάνουν με το αν κζλει ο χριςτθσ να ενωκοφν όλεσ οι λζξεισ ςε ςυνδιαςμοφσ

για τθν παραγωγι κωδικϊν, αν κζλει να προςτεκοφν ειδικοί χαρακτιρεσ ςτο τζλοσ του κάκε κωδικοφ,

αν κζλει να προςτεκοφν διάφορα νοφμερα (τυχαία) ςτο τζλοσ των κωδικϊν και τζλοσ αν κζλει να

χρθςιμοποιθκεί και θ ελίτ γραφι. Πλα αυτά κα βαςίηονται ςτισ αρχικζσ λζξεισ κλειδιά.

Στο παραπάνω παράδειγμα, απαντιςαμε καταφατικά ςε όλεσ τισ ερωτιςεισ, εκτόσ από τθν πρόςκεςθ

τυχαίων αρικμϊν ςτο τζλοσ των κωδικϊν. Βλζπουμε πωσ μόνο με τόςεσ λίγεσ λζξεισ κλειδιά από το

αρχικό μασ λεξικό (λιγότερεσ από είκοςι), το cupp, δθμιοφργθςε 54524(!) νζεισ λζξεισ και τισ

αποκικευςε ςε ζνα txt αρχείο με ονομαςία mywords.txt.cupp.txt.

Με πολφ λίγο κόπο και χρόνο βλζπουμε πωσ θ παραγωγι λεξικϊν αρκετά μεγάλων ςε μζγεκοσ,

μπορεί να γίνει ςε ελάχιςτο χρόνο και με πολφ λίγθ πλθκτρολόγθςθ. Το πιο ςθμαντικό ςε αυτό για τον

επιτικζμενο, είναι πωσ βαςίηεται ςε γεγονότα και λζξεισ που περιγράφουν τον χριςτθ/κφμα, και είναι

πολφ πικανό να τισ χρθςιμοποιεί για κάποιο password.


40

Οι επικζςεισ μετά από τθν παραγωγι ενόσ λεξικοφ γίνονται αρκετά εφκολα με τθν χριςθ του Gerix

(όπωσ είδαμε και για το WEP) και άλλων εργαλείων όπωσ το aircrack-ng κτλ. Επίςθσ μποροφν να

χρθςιμοποιθκοφν και άλλα προγράμματα παραγωγισ λεξικϊν όπωσ το John the ripper κ.α.

Πλα τα παραπάνω αναφζρονται για να δϊςουμε μια αναλυτικότερθ εικόνα για τθν ευκολία

παραγωγισ κωδικϊν και τον μζςο χρόνο που χρειάηεται κάτι τζτοιο. Αναφζρουμε για ακόμθ μια φορά

ότι δυςτυχϊσ θ αςφάλεια περνάει ςτα ψιλά γράμματα ςτισ περιςςότερεσ περιπτϊςεισ και αυτό δίνει

πολλζσ δυνατότθτεσ εφκολων χτυπθμάτων ςε διάφορα δίκτυα, υπολογιςτζσ κτλ. Η διαδικαςία του

χτυπιματοσ τϊρα ενόσ WPA2 ι ενόσ WPA δικτφου, ςε γενικζσ γραμμζσ είναι θ ίδια με αυτι που

περιγράψαμε και παραπάνω για το WEP. Απλά τϊρα θ brute force επίκεςθ βαςίηεται ςτα λεξικά που

δθμιουργιςαμε και όπωσ είδαμε δεν είναι κάτι το ιδιαίτερο δφςκολο, οφτε προχποκζτει κάποιεσ

εξειδικευμζνεσ γνϊςεισ από τον χριςτθ. Το μόνο που χρειάηεται είναι μία διανομι Linux και μερικά

downloads προγραμμάτων όπωσ το cupp και το crunch (αν δεν είναι ιδθ προεγκατεςτθμζνα όπωσ ςτο

Backtrack) και μετά πολφ λίγο χρόνο για τθν δθμιουργία κάποιων λεξικϊν, αν ζχει ιδθ ςυλλζξει τα

ςτοιχεία που κζλει.

Να αναφζρουμε εδϊ πωσ όταν πρόκειται να χτυπθκεί το δίκτυο που κζλουμε, αφοφ ζχει γίνει θ

εφρεςθ του κλειδιοφ που χρειαηόμαςτε, το μόνο που κάνει το εκάςτοτε πρόγραμμα ςπαςίματοσ του

δικτφου, είναι ζνα deauthenticate των ςτακμϊν που είναι ιδθ ςυνδεδεμζνα ς’ αυτό, και ζτςι γίνεται θ

επαλικευςθ του κλειδιοφ (ςτθν προςπάκεια επαναςφνδεςθσ των ςτακμϊν).

Εικ. 4.10 Deauthenticate ςταθμών με τη χρόςη του Gerix


41

4.3 Αναφορϊ Αςφαλεύασ και Δημιουργύασ Ιςχυρών Κλειδιών Ππωσ είδαμε ςτο κεφάλαιο τζςςερα (4) αναλφςαμε τισ βαςικζσ αρχζσ επίκεςθσ ςε ζνα αςφρματο

δίκτυο. Για τα δφο (2) χτυπιματα που εξαπολφςαμε χρθςιμοποιιςαμε (όπωσ αναφζραμε και

παραπάνω) προγράμματα ανοιχτοφ κϊδικα που μποροφμε να κατεβάςουμε για όλεσ τισ διανομζσ του

Linux και μερικά από αυτά μποροφμε να τα βροφμε και ςτο λειτουργικό ςφςτθμα των Windows.

Στθ μία επίκεςθ είχαμε ςαν ςτόχο ζνα Access Point το οποίο ιταν κλειδωμζνο με προςταςία WEP. Η

διαδικαςία ςπαςίματοσ του δικτφου ιταν πολφ απλι και αρκετά γριγορθ. Σε ςφγκριςθ που ζγινε

επίςθσ, είδαμε πωσ το Α τθσ εταιρείασ Linksys, άντεξε πολφ περιςςότερο χρόνο ςε ςχζςθ με αυτό τθσ

εταιρείασ Thomson.

Στθ δεφτερθ επίκεςθ, είχαμε ςαν ςτόχο το ίδιο Access Point, μόνο που ςτθν προκειμζνθ περίπτωςθ

ιταν ςεταριςμζνο με προςταςία WPA2. Εδϊ είδαμε και τουσ δφο τρόπουσ παραγωγισ λεξικϊν για

επικζςεισ brute force. Σε περίπτωςθ που ο επιτικζμενοσ ζχει κάνει μία ζρευνα γφρω από το κφμα και

γνωρίηει μερικά ςτοιχεία γι’ αυτό (το κφμα), τότε χρθςιμοποιεί εργαλεία ςτα οποία φορτϊνει το αρχικό

λεξικό το οποίο περιζχει μερικζσ λζξεισ κλειδιά και τότε παράγεται το τελικό λεξικό από τα εργαλεία

αυτά τα οποία προςφζρουν μια πλθκϊρα επιλογϊν για τθν δθμιουργία του τελικοφ αυτοφ αρχείου. Σε

περίπτωςθ που ο επιτικζμενοσ δεν γνωρίηει κάποιο ςτοιχείο το οποίο να μπορεί να χρθςιμοποιιςει για

τθν παραγωγι λζξεων κλειδιϊν, τότε υπάρχουν αρκετά εργαλεία που τον βοθκοφν να παράγει ζνα

μεγάλο ι μικρό λεξικό (ανάλογα με τισ ανάγκεσ του) για τθν επίτευξθ τθσ επίκεςθσ.

Οι δφο παραπάνω μζκοδοι χρθςιμοποιοφνται κατά κόρον για τθν γριγορθ δθμιουργία λεξικϊν. Πμωσ

ςτθν δεφτερθ περίπτωςθ (δθμιουργία λεξικοφ χωρίσ λζξεισ κλειδιά), υπάρχουν δφο βαςικά

μειονεκτιματα. Χρόνοσ και χϊροσ. Αν πάλι μπορζςει ο επιτικζμενοσ να αποκτιςει μερικά Gigabyte

ςτον δίςκο του, και πάλι δεν κα μπορζςει να καλφψει ζνα αρκετά μεγάλο αρικμό λζξεων για τθν

παραγωγι του κλειδιοφ. Ζτςι, αν το κφμα γνωρίηει ότι οποιαδιποτε ςτιγμι μπορεί να δεχτεί επίκεςθ

ςτο δίκτυο του, τότε προςπακεί να δθμιουργιςει ζνα αρκετά ιςχυρό κωδικό. Ρϊσ γίνεται όμωσ αυτό;

Για τθν δθμιουργία ενόσ αρκετά ιςχυροφ κωδικοφ ο οποίοσ κα μασ δίνει περιςςότερεσ πικανότθτεσ

ςτο να μθν υπάρξει πρόςβαςθ ςτο δίκτυο μασ, πρζπει να λάβουμε ςοβαρά υπόψι τα παρακάτω:

● Ο κωδικόσ πρζπει να ζχει μεγάλο μζγεκοσ. Πςο μεγαλφτεροσ ςε μζγεκοσ, τόςο το καλφτερο. Ιδανικοί

κωδικοί κεωροφνται αυτοί που αποτελοφνται από τουλάχιςτον είκοςι (20) χαρακτιρεσ.

● Καλό είναι οι λζξεισ που απαρτίηουν τον κωδικό να μθν ξεκινάνε με κεφαλαίουσ χαρακτιρεσ, αλλά αν

περιζχουν τζτοιουσ, να τουσ βάλουμε ςε διάφορα ςθμεία των λζξεων.

● Ο κωδικόσ μασ δεν πρζπει ςε καμία περίπτωςθ να αποτελείται από λζξεισ που μποροφν να υπάρχουν

ςε λεξικά, ζτςι ϊςτε να γίνει ακόμθ πιο δφςκολοσ ο εντοπιςμόσ του.

● Ο κωδικόσ δεν πρζπει να περιζχει ςτοιχεία ςτισ λζξεισ του που να αφοροφν εμάσ, τθν εταιρεία μασ ι

υπαλλιλουσ αυτισ.


42

● Σθμαντικό είναι ο κωδικόσ μασ να αποτελείται από χαρακτιρεσ πεηοφσ και κεφαλαίουσ, ςφμβολα και

αρικμοφσ. Επίςθσ, προτείνεται και θ ελίτ γραφι.

Ζνα παράδειγμα ενόσ ιςχυροφ κωδικοφ για τον διμο μασ, κα μποροφςε να είναι το εξισ:

“th1$p4SsW0rD!5f0rp3R50N4LU53=!%”

Στο παραπάνω κλειδί, μπορεί οι λζξεισ που χρθςιμοποιιςαμε να είναι ςυνθκιςμζνεσ, αλλά ζχουν

γραφτεί και με ελίτ γραφι και χρθςιμοποιοφν πεηά και κεφαλαία και επίςθσ περιζχουν διάφορουσ

ειδικοφσ χαρακτιρεσ. Επίςθσ, το ςυγκεκριμζνο κλειδί, αποτελείται από τριάντα ζναν (31) χαρακτιρεσ,

κάτι που από μόνο του, το κάνει αρκετά ιςχυρό. Η πρόταςθ που ζχει γραφτεί παραπάνω και αποτελεί

το κλειδί για τθν πρόςβαςι μασ ςτο αςφρματο δίκτυο είναι θ «This password is for personal use». Κάτι

τζτοιο βζβαια είναι αρκετά απλό ςε απλι γραφι, αλλά με λίγουσ ςυνδυαςμοφσ και λίγθ φανταςία,

μπορεί να γίνει αρκετά περίπλοκο.

Με αυτό το κεφάλαιο καλφψαμε τα βαςικά τθσ αςφάλειασ ςε ζνα αςφρματο δίκτυο και δείξαμε με

λίγεσ λεπτομζρειεσ τισ επικζςεισ και τα αντίμετρα που μποροφμε να πάρουμε. Για περαιτζρω

πλθροφορίεσ ςχετικά με τθν αςφάλεια ςτα αςφρματα δίκτυα, τισ επικζςεισ που μποροφν να δεχτοφν

και τουσ τρόπουσ άμυνασ ενάντια ς’ αυτζσ, μπορείτε να ανατρζξετε και ςτθν πτυχιακι εργαςία των

ςυναδζλφων Κουρμπζλθ Ακανάςιου και του Ψωρομφτθ Γεϊργιου θ οποία εκπονικθκε κατά το ζτοσ

2012 και καλφπτει διάφορα κζματα αςφαλείασ των αςφρματων δικτφων.


43

5. Μελϋτη Φώρου και Διαχωριςμόσ Τποδικτύων

5.1 Μελϋτη Φώρου και Διαμοιραςμόσ Δικτυακών υςκευών Το κτιριο του διμου αποτελείται από τζςςερισ (4) ορόφουσ. Ριο αναλυτικά, από το υπόγειο, το

ιςόγειο, τον πρϊτο και το δεφτερο όροφο. Στο υπόγειο βρίςκεται ζνα Switch το οποίο αποτελείται από

πζντε (5) ςυνδζςεισ. Στισ τρεισ (3) πρϊτεσ κφρεσ του, ςυνδζονται οι τρεισ (3) εξυπθρετθτζσ του δικτφου

του διμου, δθλαδι ο File Server, o Mail Server και ο Web Server, ςτθν τελευταία κφρα του ςυνδζεται ο

μοναδικόσ δρομολογθτισ (router) του δικτφου (ςτθν κφρα fa0/24 ςυγκεκριμζνα) και ςτθν Gigabit κφρα

του ςυνδζεται με το switch που βρίςκεται ςτο ιςόγειο του κτθρίου.

Στο ιςόγειο του κτθρίου βρίςκουμε το switch του ορόφου που αυτό με τθ ςειρά του ςυνδζεται με

πζντα (5) ςυςκευζσ. Οι δφο Gigabit κφρεσ του ενϊνονται με τουσ δφο ορόφουσ που γειτονεφει (με το

υπόγειο και τον πρϊτο όροφο) και οι πρϊτεσ τρεισ (3) κφρεσ του ςυνδζονται με τα τρία (3) Access

Points που βρίςκονται ςτο ιςόγειο. Το ζνα Α εξυπθρετεί τισ ανάγκεσ του τμιματοσ Ρλθροφοριϊν του

διμου (ςυνδζεται ςτθ κφρα fa0/1 του switch), το δεφτερο εξυπθρετεί τισ ανάγκεσ τθσ Εξυπθρζτθςθσ

Δθμοτϊν του διμου (ςυνδζεται ςτθ κφρα fa0/2 του switch) και το τρίτο βρίςκεται ςτο χϊρο Αναμονισ

των Δθμοτϊν (ςυνδζεται ςτθ κφρα fa0/3 του switch) και δίνει τθ δυνατότθτα ελεφκερθσ πλοιγθςθσ ςτο

Internet για τουσ δθμότεσ που βρίςκονται ςε αναμονι μζχρι να εξυπθρετθκοφν από τον αρμόδιο

υπάλλθλο του διμου.

Στο πρϊτο όροφο του διμου ςυναντάμε πάλι ζνα κεντρικό switch που και αυτό με τθν ςειρά του

ςυνδζεται με πζντε (5) άλλεσ ςυςκευζσ. Οι δφο είναι τα switches των γειτονικϊν ορόφων (ιςογείου και

δεφτερου ορόφου) και ςυνδζονται ςτισ δφο (2) Gigabit κφρεσ του switch. Οι πρϊτεσ τρεισ (3) κφρεσ του

switch του πρϊτου ορόφου ςυνδζονται με τρία (3) Αccess Points που βρίςκονται ςτον ίδιο όροφο. Το

πρϊτο Α (ςυνδζεται ςτθ κφρα fa0/1 του switch), εξυπθρετεί το τμιμα Ρρωτοκόλλου του διμου, το

δεφτερο Α (ςυνδζεται ςτθ κφρα fa0/2 του switch), εξυπθρετεί τισ ανάγκεσ του τμιματοσ του

Λογιςτθρίου και το τρίτο και τελευταίο Α (ςυνδζεται ςτθ κφρα fa0/3 του switch) και εξυπθρετεί τισ

ανάγκεσ τθσ Δθμοτικισ Αςτυνομίασ που ζχει το κεντρικό τθσ γραφείο ς’ αυτό τον όροφο του κτθρίου

του διμου.

Στο δεφτερο όροφο του κτθρίου ςτινουμε άλλο ζνα switch το οποίο ςυνδζεται με τζςςερισ (4)

διαδικτυακζσ ςυςκευζσ. Ζχει μία ςφνδεςθ ςε κφρα Gigabit θ οποία ςυνδζεται με το switch του πρϊτου

ορόφου. Οι πρϊτεσ τρεισ (3) κφρεσ ςυνδζονται με τα τρία Access Points που υπάρχουν και ς’ αυτό τον

όροφο. Το πρϊτο Α ςυνδζεται ςτθ κφρα fa0/1 του switch και εξυπθρετεί τισ ανάγκεσ τθσ Διοίκθςθσ

του διμου. Το δεφτερο Α ςυνδζεται ςτθ κφρα fa0/2 του switch και εξυπθρετεί τισ ανάγκεσ τθσ

γραμματείασ του διμου. Το τρίτο και τελευταίο Α ςυνδζεται ςτθ κφρα fa0/3 του switch και εξυπθρετεί

τισ ανάγκεσ του ΙΤ του κτθρίου του διμου.

Η βαςικι τοπολογία των ςυςκευϊν δικτφου που κα ςτθκοφν ςτο διμο είναι αυτι που περιγράφτθκε

παραπάνω. Σ’ αυτό το ςθμείο πλζον, μασ ενδιαφζρει και θ υποδικτφωςθ του δικτφου, το λεγόμενο

subnetting. Για να προχωριςουμε ςτθν διαδικαςία αυτι πρζπει πρϊτα να δοφμε και τισ ανάγκεσ για

διευκφνςεισ IP του εκάςτοτε τμιματοσ, για να γίνει το ςωςτό subnetting και να διαχωριςτοφν τα VLAN

του δικτφου βάςει αυτοφ.


44

Εικ. 5.1 Διϊταξη διαδικτυακών ςυςκευών ςτο κτόριο του δόμου ανϊ όροφο

5.2 Subnetting και VLSM Για τθ ςωςτι υποδικτφωςθ, πρζπει να λάβουμε υπόψι τισ ανάγκεσ διευκυνςιοδότθςθσ του εκάςτοτε

τμιματοσ του διμου, όπωσ αναφζραμε και πιο πάνω.

Οι ανάγκεσ ανά τμιμα φαίνονται ςτον ακόλουκο πίνακα.

Σμήμα Δήμου Ανάγκεσ για διευθφνςεισ IP

Διοίκθςθ 10

Γραμματεία 15

ΙΤ / Τεχνικό τμιμα 20

Ρρωτόκολλο 5

Λογιςτιριο 10

Δθμοτικι Αςτυνομία 25

Ρλθροφορίεσ 3

Εξυπθρζτθςθ Δθμοτϊν 20

Servers 3

Zero Subnet 62

Τον παραπάνω πίνακα τον πιραμε αφοφ υπολογίςαμε τισ ανάγκεσ διευκυνςιοδότθςθσ για τισ

ςυςκευζσ δικτφου που κα βρίςκονται ςτο δίκτυο του διμου. Οι ςυςκευζσ αυτζσ είναι οι υπολογιςτζσ,

τα laptops, οι εκτυπωτζσ (δικτυακοί) κτλ. Πλεσ οι ςυςκευζσ δθλαδι που βρίςκονται ςε ζνα δίκτυο και

για τθν επικοινωνία τουσ χρειάηονται μία Ι διεφκυνςθ.


45

Λόγω των διαφορετικϊν αναγκϊν ανά τμιμα ςε διευκφνςεισ, δεν κα χωρίςουμε τα υποδίκτυα βάςει

του κλαςικοφ subnetting, αλλά κα χρθςιμοποιιςουμε τθν τεχνικι του VLSM (Variable Length Subnet

Mask). Ακολουκοφμε αυτι τθν τεχνικι γιατί το κλαςικό subnetting χωρίηει ςε ιςομερι κομμάτια το

δίκτυο, ανάλογα με το πόςα υποδίκτυα κζλουμε. Στο VLSM όμωσ, μποροφμε να χωρίςουμε το κάκε

υποδίκτυο βάςει των αναγκϊν που ζχουμε και ζτςι ςτθν περίπτωςθ του ςυγκεκριμζνου διμου, που οι

ανάγκεσ για το κάκε υποδίκτυο είναι διαφορετικζσ (όςον αφορά ςτισ διευκφνςεισ), θ ανάγκθ χριςθσ

του VLSM, για τον ςωςτότερο διαχωριςμό του δικτφου, είναι επιτακτικι. Για τον διαχωριςμό του

δικτφου βάςει του VLSM, κα χρθςιμοποιιςουμε τθν αρχικι διεφκυνςθ δικτφου 10.10.10.0 με Subnet

Mask /24. Στθ διαδικαςία χωριςμοφ των υποδικτφων με τθν τεχνικι του VLSM, χωρίηουμε τα υποδίκτυα

βάςει του πλικουσ των Ι που χρειάηονται και ξεκινάμε να “ςπάμε” το δίκτυο αρχίηοντασ από το

υποδίκτυο με το μεγαλφτερο αρικμό Ι. Στθ ςυνζχεια ςυνεχίηουμε το ςπάςιμο του δικτφου με το

αμζςωσ μικρότερο και οφτω κακ’ εξισ. Δθλαδι ςε κακαρά νοφμερα, αν χρειαηόμαςτε πζντε (5)

υποδίκτυα με ανάγκεσ για Ι, 20, 40, 20, 45, τότε ο υπολογιςμόσ των υποδικτφων κα γίνει με τθν

ακόλουκθ ςειρά: 45, 40, 20, 20.

Το subnetting και το VLSM κατ’ επζκταςθ, βαςίηονται ς’ ζνα απλό πίνακα που περιζχει τισ δυνάμεισ

του 2 υψωμζνεσ από το 0 μζχρι και το 7. Αυτό οφείλεται ςτο ότι κζλουμε για μεγαλφτερθ ευκολία να

μετατρζψουμε τα νοφμερα του δυαδικοφ (εξοφ και το 2) ςε δεκαδικό ςφςτθμα για γρθγορότερθ

επίλυςθ του προβλιματόσ μασ. Ο πίνακασ αυτόσ, είναι ο ακόλουκοσ:

128 (2^7) 64 (2^6) 32 (2^5) 16 (2^4) 8 (2^3) 4 (2^2) 2 (2^1) 1 (2^0)

Η μεγαλφτερθ ανάλυςθ για τθν επίτευξθ του subnetting ι του VLSM δεν είναι αναγκαίο να καλυφκεί

ς’ αυτι τθν εργαςία και μποροφμε να βροφμε αρκετζσ πλθροφορίεσ γι’ αυτά ςε διάφορουσ

διαδικτυακοφσ τόπουσ όπωσ ςτθν ακόλουκθ διεφκυνςθ που δίνεται μία αρκετά καλι περιγραφι γι’

αυτό [http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a00800a67f5.shtml].

VLSM

10.10.10.0 /24

ΣΜΗΜΑ (ΑΝΑΓΚΗ ΙΡs) ΤΠΟΔΙΚΣΤΟ / ΜΑΚΑ ΕΤΡΟ ΙΡs ΤΠΟΔΙΚΣΤΟΤ BROADCAST IP

Zero Subnet (1 - 62) 10.10.10.0 /26 10.10.10.1 - 10.10.10.62 10.10.10.63

Δθμοτικι Αςτ. (25) 10.10.10.64 /27 10.10.10.65 - 10.10.10.94 10.10.10.95

Εξυπθρζτθςθ Δθμ. (20) 10.10.10.96 /27 10.10.10.97 - 10.10.10.126 10.10.10.127

ΙΤ (20) 10.10.10.128 /27 10.10.10.129 - 10.10.10.158 10.10.10.159

Γραμματεία (15) 10.10.10.160 /27 10.10.10.161 - 10.10.10.190 10.10.10.191

Διοίκθςθ (10) 10.10.10.192 /28 10.10.10.193 - 10.10.10.206 10.10.10.207

Λογιςτιριο (10) 10.10.10.208 /28 10.10.10.209 - 10.10.10.222 10.10.10.223

Ρρωτόκολλο (5) 10.10.10.224 /29 10.10.10.225 - 10.10.10.230 10.10.10.231

Ρλθροφορίεσ (3) 10.10.10.232 /29 10.10.10.233 - 10.10.10.238 10.10.10.239

Servers (3) 10.10.10.240 /29 10.10.10.241 - 10.10.10.246 10.10.10.247

http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a00800a67f5.shtml


46

Βάςει του παραπάνω πίνακα βλζπουμε ότι μζςω τθσ τεχνικισ του VLSM, καλφψαμε τισ ανάγκεσ μασ

για τθν κάλυψθ των διευκφνςεων Ι που κα χρειαςτοφμε για το δίκτυο μασ και για το κάκε υποδίκτυο

που αυτό αποτελείται. Να ςθμειωκεί εδϊ, πωσ από τθν διεφκυνςθ 10.10.10.248 μζχρι και τθν

10.10.10.255, όλεσ αυτζσ είναι διακζςιμεσ για οποιοδιποτε ςκοπό τισ χρειαςτοφμε για μελλοντικι

χριςθ. Επίςθσ εκτόσ από αυτζσ τισ Ι που βρίςκονται ςτο τζλοσ, δθμιουργιςαμε και ζνα ακόμθ

υποδίκτυο, το επονομαηόμενο Zero Subnet, το οποίο μπορεί να καλφψει ανάγκεσ διευκυνςιοδότθςθσ

που φτάνουν μζχρι και τισ 62 Ι. Αυτό ζγινε ϊςτε ςε περίπτωςθ κάποιασ αλλαγισ ι προςκικθσ ςτα

υποδίκτυα, να μθν χρειάηεται νζα μελζτθ βάςει VLSM.

Βζβαια οι ανάγκεσ, και βάςει αυτισ τθσ τεχνικισ, δεν καλφπτουν ακριβϊσ τα νοφμερα που κζλουμε,

π.χ. ςτο υποδίκτυο τθσ Γραμματείασ, που χρειαηόμαςτε 25 Ι διευκφνςεισ, παίρνουμε το βιμα 32 (2^5

= 32) και αφαιροφμε από αυτό δφο (2) γιατί αυτζσ οι 2 Ιs χρθςιμοποιοφνται για το Subnet ID και για

τθν Broadcast IP. Ζτςι για οποιοδιποτε νοφμερο Ι κζλουμε να υπολογίςουμε, βαςιηόμαςτε ςτον τφπο

“n^2 – 2” και βρίςκουμε ποιο νοφμερο πζφτει πιο κοντά ςτισ ανάγκεσ μασ. Μια καλι τεχνικι είναι και

ςε περιπτϊςεισ που το νοφμερο που κζλουμε από IPs, να ςυμπίπτει ακριβϊσ με το νοφμερο που κα

βροφμε από τον παραπάνω τφπο, να παίρνουμε το αμζςωσ επόμενο. Ζτςι μπορεί ναι μεν να ζχουμε

μερικζσ μικρζσ απϊλειεσ από μθ χρθςιμοποιοφμενεσ Ιs, αλλά ςε περίπτωςθ επζκταςθσ του εκάςτοτε

υποδικτφου, δεν κα χρειαςτεί να κάνουμε μελζτθ VLSM από τθν αρχι.

Σε αυτι τθν περίπτωςθ είχαμε τθν ανάγκθ για 111 Ι διευκφνςεισ, ςε ζνα block 254 διευκφνςεων και

μετά το VLSM, ζχουμε ακόμθ 143 ελεφκερεσ διευκφνςεισ. Αυτό ςθμαίνει πωσ χρθςιμοποιοφμε περίπου

το 54% από τισ διακζςιμεσ Ι που ζχουμε (254 ςτο ςφνολο, 111 χρθςιμοποιοφνται). Σε περίπτωςθ

υλοποίθςθσ του κλαςικοφ subnetting, τότε κα κεωροφςαμε ότι ο μζγιςτοσ αρικμόσ από Ι που

χρειαηόμαςτε είναι το νοφμερο 25 και ζτςι κα ζπρεπε το κάκε υποδίκτυο να ζχει βιμα 32, δθλαδι να

ιταν με μάςκα υποδικτφου /27. Αυτό ςθμαίνει μεγάλθ ςπατάλθ από Ι και επίςθσ ότι ζνα μόνο block

από τα τζςςερα (4) μίασ Ι διεφκυνςθσ, κα μασ ζφτανε και πάλι για να καλφψουμε τισ ανάγκεσ μασ,

αλλά κα είχαμε μεγάλθ ςπατάλθ από διευκφνςεισ που δεν χρθςιμοποιοφνται. Αυτό βζβαια γιατί ςτθν

περίπτωςθ μασ τα περιςςότερα υποδίκτυα ζχουν άλλεσ ανάγκεσ ςε διακζςιμεσ Ι από τα άλλα. Αν οι

ανάγκεσ του κάκε υποδικτφου είναι κοντά ςτισ ανάγκεσ των άλλων, τότε κα μποροφςαμε να

υλοποιιςουμε τθν υποδικτφωςθ με τθν χριςθ τθσ μεκόδου του κλαςικοφ subnetting.

5.3 Διαχωριςμόσ VLAN Τα VLAN (Virtual Local Area Network ι Virtual LAN) μασ βοθκοφν και ςτθν υποδικτφωςθ. Είναι ζνα

εργαλείο που υποςτθρίηεται από τα περιςςότερα switch μίασ μεγάλθσ γκάμασ εταιρειϊν παραςκευισ

διαδικτυακϊν ςυςκευϊν και ο τρόποσ υλοποιιςισ τουσ είναι αρκετά όμοιωσ. Τι είναι όμωσ το VLAN;

Ζνα VLAN χωρίηει και αυτό με τθν ςειρά του ζνα δίκτυο ςε μικρότερα κομμάτια. Η λεγόμενθ

υποδικτφωςθ. Αφοφ λοιπόν κάνουμε τθν μελζτθ ς’ ζνα δίκτυο όςον αφορά ςτθν υποδικτφωςθ με βάςθ

το layer 3 του OSI (επίπεδο δικτφου, routers), τότε μία καλι τεχνικι είναι και ο διαμοιραςμόσ του και

ςε layer 2 του OSI (επίπεδο ςφνδεςθσ, switches). Ζτςι μετά το subnetting ι το VLSM που κα

υλοποιιςουμε, ςτθ ςυνζχεια, βάςει αυτοφ, χωρίηουμε το κάκε υποδίκτυο ςε διαφορετικά VLAN.

Ακολουκεί ζνασ πίνακασ ο οποίοσ περιζχει τθν αντιςτοιχία του τμιματοσ με το VLAN ςτο οποίο ανικει.


47

Να ςθμειωκεί εδϊ πωσ ο παρακάτω πίνακασ ακολουκείται και ςτο ςετάριςμα των Cisco ςυςκευϊν

(switches).

ΣΜΗΜΑ ΔΗΜΟΤ ΑΝΣΙΣΟΙΧΙΑ VLAN

ΔΙΟΙΚΗΣΗ 10

ΓΑΜΜΑΤΕΙΑ 15

ΙΤ 20

ΡΩΤΟΚΟΛΛΟ 25

ΛΟΓΙΣΤΗΙΟ 30

ΔΗΜΟΤΙΚΗ ΑΣΤΥΝΟΜΙΑ 35

ΡΛΗΟΦΟΙΕΣ 40

SERVERS 95

Με το κάκε VLAN, ξεχωρίηουμε και το κάκε υποδίκτυο και απαγορεφεται θ μεταξφ τουσ επικοινωνία.

Ζτςι με το πρϊτο ςετάριςμα των ςυςκευϊν, ο εκάςτοτε υπολογιςτισ του VLAN του ΙΤ για παράδειγμα,

δεν κα μπορεί να δει τον οποιοδιποτε υπολογιςτι ι εκτυπωτι που ανικει ςε οποιοδιποτε άλλο VLAN.

Για να επιτευχκεί κάτι τζτοιο, μποροφμε να εφαρμόςουμε δφο τεχνικζσ, οι οποίεσ κα αναλυκοφν ςτο

επόμενο κεφάλαιο που αφορά τισ ρυκμίςεισ και το ςετάριςμα των ςυςκευϊν ςε κονςόλα. Εδϊ κα

αναφζρουμε ακόμα ότι προσ το παρόν οι μόνεσ ςυνδζςεισ που δεν ανικουν ςε κάποιο VLAN, είναι

αυτζσ που ςυνδζουν τα switches μεταξφ τουσ και μεταξφ του switch του υπογείου με το router. Αυτζσ

οι ςυνδζςεισ ονομάηονται trunk και ουςιαςτικά επιτρζπουν τθν κίνθςθ οποιαςδιποτε πλθροφορίασ,

από όποιο VLAN κι αν προζρχεται. Αυτό γίνεται για δφο λόγουσ. Ρρϊτον, γιατί οι δικτυακζσ ςυςκευζσ

μπορεί να χρειάηεται να ζχουν πρόςβαςθ ςε κομμάτια εκτόσ του ςυνολικοφ δικτφου, όπωσ π.χ. το

Διαδίκτυο και δεφτερον, γιατί μπορεί να χρειαςτεί μερικζσ ςυςκευζσ να επικοινωνοφν με άλλεσ, εκτόσ

του υποδικτφου τουσ. Πλα τα υποδίκτυα π.χ. μπορεί να χρειάηεται να ζχουν πρόςβαςθ ςτο υποδίκτυο

που ανικουν οι Servers του διμου, δθλαδι ςτο VLAN 95.

Μία ιδζα για τον διαχωριςμό των VLAN μποροφμε να πάρουμε από τθν παρακάτω εικόνα, που μασ

δείχνει πωσ φαίνονται τα VLAN μζςα ςτο switch.


48

Εικ. 5.2 Εμφϊνιςη των VLAN με την εντολό #show vlan

Με τθν εντολι #sh vlan (sh = show), ςε ζνα switch τθσ Cisco, βλζπουμε όλα τα διακζςιμα VLAN που

υπάρχουν ςτθ ςυςκευι (switch). Στθν προκειμζνθ περίπτωςθ, χρειαςτικαμε εννζα (9) διαφορετικά

VLAN, όπωσ είδαμε και παραπάνω, τα οποία φτιάχτθκαν βάςει των τμθμάτων του διμου. Να

ςθμειϊςουμε εδϊ πωσ εκτόσ από τα εννζα (9) VLAN που φτιάξαμε για τισ ανάγκεσ του διμου, ςτθν

ςυςκευι βλζπουμε και άλλα πζντε (5). Το VLAN 1 είναι το default και όλεσ οι κφρεσ ενόσ switch

ανικουν ς’ αυτό αν δεν γίνει κάποια αλλαγι. Τα VLAN 1002 μζχρι και το VLAN 1005, χαρακτθρίηονται

ωσ legacy, δθλαδι υπάρχουν για λόγουσ ςυμβατότθτασ με προθγοφμενεσ τεχνολογίεσ, αν και πλζον δεν

χρθςιμοποιοφνται κακόλου. Επίςθσ, αν παρατθριςουμε τθν εικόνα, βλζπουμε πωσ με τθν

ςυγκεκριμζνθ εντολι μποροφμε να εντοπίςουμε ςε ποιο VLAN ανικει θ κάκε κφρα (port) του switch. Οι

κφρεσ fa0/4 ζωσ και τθν fa0/24 ςτο ςυγκεκριμζνο switch (1ου ορόφου), ανικουν ςτο default VLAN,

δθλαδι ςτο VLAN 1. Οι πρϊτεσ όμωσ τρεισ (3) κφρεσ ανικουν θ κάκε μία ςε ξεχωριςτό VLAN. Το fa0/1,

ανικει ςτο VLAN 25, που αντιςτοιχεί ςτο τμιμα του Ρρωτοκόλλου. Το fa0/2, ανικει ςτο VLAN 30, που

αντιςτοιχεί ςτο τμιμα του Λογιςτθρίου. Τζλοσ, το fa0/3, ανικει ςτο VLAN 35, που αντιςτοιχεί ςτο

τμιμα τθσ Δθμοτικισ Αςτυνομίασ. Να ςθμειωκεί εδϊ πωσ θ κάκε κφρα του switch και ςτθν

ςυγκεκριμζνθ περίπτωςθ οι πρϊτεσ τρεισ (3), ςυνδζονται με ζνα Access Point.


49

Εικ. 5.3 Εμφϊνιςη Trunk θυρών με την εντολό #show interface trunk

Με τθν παραπάνω εντολι, όπωσ φαίνεται και ςτθν εικόνα, μποροφμε να δοφμε με λεπτομζρειεσ ποιεσ

είναι οι κφρεσ που λειτουργοφν ςαν trunk ςτο switch και επίςθσ εκτόσ αυτοφ, ποιο encapsulation mode

ακολουκοφν, ςτθν προκειμζνθ το 802.1q και επίςθσ ποια VLAN επιτρζπει θ εκάςτοτε trunk κφρα να

περάςουν μζςα από αυτι. Τζλοσ, βλζπουμε και τθν ονομαςία Native VLAN. Στθν εικόνα είναι το

νοφμερο 87. Βάςει cisco, το native vlan είναι από default πάλι το VLAN 1. Για λόγουσ αςφαλείασ το

αλλάηουμε και βάηουμε ζνα νοφμερο τυχαίο. Να ςθμειωκεί πωσ για ςωςτι επικοινωνία μεταξφ των

switches του δικτφου, όλεσ οι trunk κφρεσ ςε όλα τα switches, πρζπει να ζχουν τθν ίδια τιμι.

Αναφορικά, για να αλλάξουμε το native VLAN μίασ trunk κφρασ, δίνουμε τθν ακόλουκθ εντολι ςε

επίπεδο κφρασ:

Switch(config-if)#switchport trunk native vlan 87

Αυτι θ εντολι και όλεσ όςεσ χρθςιμοποιθκοφν αναλφονται ςτο τζλοσ τθσ εργαςίασ ςε ειδικό

παράρτθμα. Κάτι ςθμαντικό που επίςθσ πρζπει να αναφερκεί εδϊ, είναι το πρωτόκολλο VTP (VLAN

Trunking Protocol) τθσ Cisco. Μζςω αυτοφ του πρωτοκόλλου γλιτϊνουμε αρκετό χρόνο ςτο ςτιςιμο του

δικτφου. Ριο ςυγκεκριμζνα, με το VTP, μποροφμε να ορίςουμε ζνα domain, το οποίο μπορεί να


50

προςτατεφεται κι από κάποιο password και για το κάκε switch μποροφμε να επιλζξουμε ζνα ρόλο

(Server ι Client). H διαφορά μεταξφ Server και Client ζγκειται ςτο γεγονόσ πωσ ο πρϊτοσ μπορεί να

παραμετροποιιςει τα VLAN κάποιου άλλου switch του δικτφου, ςε περίπτωςθ που ο δεφτεροσ δεν ζχει

ενθμερωμζνο τον πινάκα με τα VLAN του. Αυτό ελζγχεται μζςω του “Configuration Revision” και το

switch που ζχει το μεγαλφτερο νοφμερο, κεωρείται πωσ είναι και αυτό με τισ περιςςότερεσ αλλαγζσ και

κατ’ επζκταςθ και το πιο ενθμερωμζνο. Μζςα από το VTP λοιπόν, γλιτϊνουμε αρκετό χρόνο, αφοφ

ουςιαςτικά ςετάρουμε τα VLAN όλου του δικτφου μόνο ςε ζνα switch και μετά αυτά αποκθκεφονται

και ςτα υπόλοιπα switches. Για το διμο Αμαρουςίου, ορίςαμε ςαν VTP Servers δφο (2) switches

(Switch2rouOrofou & SwitchYpogeiou), ορίςαμε domain με τθν ονομαςία “DimosAmarousiou” και

δϊςαμε και ζξτρα αςφάλεια ςτισ πλθροφορίεσ αυτζσ μζςω ενόσ κωδικοφ που είναι ο “s4F3z0ne!”. Για

να ορίςουμε αυτζσ τισ παραμζτρουσ, χρθςιμοποιιςαμε τισ παρακάτω εντολζσ:

Switch(config)#vtp mode server

Switch(config)#vtp domain DimosAmarousiou

Switch(config)#vtp password s4F3z0ne!

Οι εντολζσ αυτζσ βζβαια πρζπει να περαςτοφν ςε όλα τα switch που κζλουμε να πάρουν αυτόματα τα

VLAN που δθμιουργικθκαν ςτο πρϊτο switch ι ςε οποιοδιποτε switch παίηει τον ρόλο του server, ο

οποίοσ, από default, είναι ενεργοποιθμζνοσ ςτο κάκε switch. Πλα τα switches δθλαδι, με το που

ςυνδεκοφν ςτο δίκτυο, λειτουργοφν ςαν VTP Servers και αυτό βζβαια είναι αρκετά κακό, γιατί ςε

περίπτωςθ που ενςωματϊςουμε κάποιο παλιότερο switch ςε ζνα υπάρχον δίκτυο και οι ςυςκευζσ του

τωρινοφ δικτφου λειτουργοφν με τισ default ρυκμίςεισ και το παλιό switch επίςθσ, τότε αν το παλιότερο

μθχάνθμα ζχει υψθλότερο “Configuration Revision” number από τα υπόλοιπα, κα χάςουμε τα

υπάρχοντα VLAN του δικτφου μασ, τα οποία κα αντικαταςτακοφν από τισ εγγραφζσ του παλιοφ

μθχανιματοσ μασ. Μθν ξεχνάμε πωσ θ αςφάλεια είναι από τα πιο ςθμαντικά κομμάτια ενόσ δικτφου

και πρζπει πάντα(!) να αποφεφγουμε όλεσ τισ default επιλογζσ μιασ ςυςκευισ.

Για μεγαλφτερθ αςφάλεια ςτο δίκτυο μασ, μποροφμε να παραμετροποιιςουμε μερικζσ ακόμθ

ςυνκικεσ. Ρρϊτον, μποροφμε να προςκζςουμε κάποια/εσ ACL ςτο router που βρίςκεται ςτο υπόγειο

του κτθρίου και επίςθσ να αλλάξουμε το ςτιςιμο του δικτφου και να δϊςουμε τθ δυνατότθτα για free

WiFi ςτουσ δθμότεσ, μζςω ενόσ ξεχωριςτοφ modem/router με δυνατότθτεσ αςφρματθσ ςφνδεςθσ,

παρόμοιο με αυτό που χρθςιμοποιοφμε οι περιςςότεροι ςτα ςπίτια μασ και το οποίο δεν κα ςυνδζεται

κακόλου ςτο δίκτυο του διμου. Δεφτερον, μποροφμε να προςκζςουμε δφο ακόμθ τεχνικζσ για ζξτρα

αςφάλεια ςτο δίκτυο μασ. Οι τεχνικζσ αυτζσ ονομάηονται IDS και IPS.

5.4 IDS, IPS & ACLs Intrusion Detection System

To IDS (Intrusion Detection System) υλοποιείται μζςω hardware ς’ ζνα δίκτυο και ουςιαςτικά

λειτουργεί ςαν μία ςειρινα ειδοποίθςθσ, θ οποία ενεργοποιείται κάκε φορά που το δίκτυο μπορεί να

δεχκεί κάποια επίκεςθ. Η λειτουργία του όμωσ τελειϊνει εκεί. Δεν γίνεται κάποιο μπλοκάριςμα των

δεδομζνων ςτο δίκτυο ι κάτι αντίςτοιχο. To IDS επίςθσ πρζπει να ενθμερϊςουμε πωσ για να


51

υλοποιθκεί ςωςτά, θ ςυςκευι που κα το υποςτθρίηει, πρζπει να βρίςκεται ςε ςθμείο του δικτφου που

από εκεί κα φιλτράρει όλθ τθν κίνθςθ του. Ζτςι το κάκε πακζτο που κα κυκλοφορεί ςτο δίκτυο, κα

περνάει μζςα από το IDS και ςτθ ςυνζχεια κα προωκείται ςτον παραλιπτθ ι ςτο επόμενο βιμα (hop)

μζχρι να φτάςει ςτον τελικό προοριςμό του.

Intrusion Prevention System

To IPS (Intrusion Prevention System) μπορεί να υλοποιθκεί μζςω hardware ι και software.

Χρθςιμοποιείται in-line ςτο δίκτυο και ζτςι αντί για μία μόνο ειδοποίθςθ επίκεςθσ ι κακόβουλου

πακζτου, το IPS ςε αντίκεςθ με το IDS, προχωράει ζνα βιμα παρακάτω. Μπορεί να μπλοκάρει τθν Ι

που αποςτζλει κακόβουλα δεδομζνα, να ρίξει τθ κφρα (reset) του εκάςτοτε switch μζςω τθσ οποίασ

περνάνε τα δεδομζνα αυτά και να κάνει drop τα κακόβουλα πακζτα. Επίςθσ το IPS μπορεί να διορκϊςει

λάκθ ςτο CRC (Circle Redundancy Check), να “ξεμπουκϊςει” το κανάλι ςε κάποια κφρα θ οποία μπορεί

να δζχεται ζνα μεγάλο μζγεκοσ από πακζτα που δεν προλαβαίνει να προωκιςει ςε ςωςτό χϊρο κ.α.

Βζβαια το IPS ςε ςχζςθ με IDS, λόγω όλων των παραπάνω επιλογϊν που προςφζρει, είναι αρκετά πιο

αργό. Και εδϊ τίκεται το ερϊτθμα χρόνου και ταχφτθτασ, ενάντια ςε αποτελεςματικότθτα.

Αν το ΙΤ του διμου αςχολείται με τα log files που παράγει το IDS, τότε θ ανάγκθ για τθν εγκατάςταςθ

ενόσ IPS είναι μικρι ζωσ και περιττι, αφοφ κα μειϊςει κατά πολφ τισ ταχφτθτεσ που ζχουμε ςτο δίκτυο

μασ. Σε περίπτωςθ όμωσ που το τμιμα του ΙΤ, δεν αςχολείται με τα log files και δεν επιτθρεί ςε ςυχνά

χρονικά διαςτιματα τθν κίνθςθ ςτο δίκτυο για να κάνει ςυγκρίςεισ και να βλζπει ςε πραγματικό χρόνο

τθν κίνθςθ του δικτφου, τότε θ ανάγκθ για εγκατάςταςθ ενόσ IPS ςυςτιματοσ, είναι επιτακτικι.

Στθν μελζτθ τθσ εγκατάςταςθσ του δικτφου μασ για το διμο Αμαρουςίου, αφινουμε χωρίσ κάποιο IPS

το δίκτυο ςτθν αρχι, αλλά κα δοφμε πωσ μπορεί να εγκαταςτακεί και πωσ λειτουργεί ςε περίπτωςθ

προςκικθσ ενόσ τζτοιου ςυςτιματοσ ςτο μζλλον. Να προςτεκεί εδϊ, πωσ θ οικονομικι επιβάρυνςθ για

τθν εγκατάςταςθ ενόσ IPS είναι αρκετά μεγαλφτερθ ςε ςχζςθ μ’ αυτι ενόσ IDS.

Access Control List

Οι ACLs (Access Control Lists) ςτθν ουςία είναι μερικζσ εντολζσ που προςκζτουμε ςτο κεντρικό router

του δικτφου μασ για να ελζγχει το κάκε πακζτο και να το αφινει ι να το μπλοκάρει βάςει αυτϊν (των

εντολϊν). Μία ACL ςτθν ουςία είναι ζνα αρχείο το οποίο πάντα τελειϊνει με τθν εντολι deny all. Αυτό

πρακτικά ςθμαίνει πωσ από τθν ςτιγμι που κα δϊςουμε ςτο router τθν πρϊτθ εντολι για τθν

δθμιουργία τθσ ACL, ό,τι κι αν προςκζςουμε ς’ αυτι, ςτο τζλοσ πάντα κα υπάρχει ζνα deny all. Ριο

αναλυτικά:

Οι ACLs χωρίηονται ςε δφο βαςικζσ κατθγορίεσ. Στισ Standard ACL με αρικμό από 1 ζωσ και 99 και ςτισ

Extended ACL με αρικμό από 100 ζωσ και 199. Οι αρικμοί ουςιαςτικά είναι ςαν ονόματα για να

ξεχωρίηουμε τθν μία ACL από τθν άλλθ. Ο κανόνασ είναι πωσ μποροφμε να δθμιουργιςουμε μία ACL

ανά πρωτόκολλο, ανά κατεφκυνςθ και ανά κφρα. Δθλαδι ςτθν κφρα fa0/0 ενόσ router για παράδειγμα,

μποροφμε να ζχουμε μζχρι και πζντε (5) ACLs που κα ελζγχουν τθν κίνθςθ. Μία που κα είναι πάνω

ςτθν κφρα, μία που κα ελζγχει τθν κίνθςθ προσ τα μζςα, μία που κα ελζγχει τθν κίνθςθ προσ τα ζξω,


52

μία που κα ελζγχει τα πακζτα που βαςίηονται ςτο IP πρωτόκολλο και μία τελευταία που κα ελζγχει τα

πακζτα που βαςίηονται ςτο IPX πρωτόκολλο. Από αυτό καταλαβαίνουμε πωσ όςο περιςςότερεσ ACLs

ζχουμε και όςο πιο μεγάλεσ είναι, τόςο περιςςότερο χρόνο χρειάηεται θ ςυςκευι και υπολογιςτικι

δφναμθ επίςθσ, ςτο να διαβάςει τθν κάκε γραμμι (τθσ ACL) για το κάκε πακζτο που διζρχεται από το

router.

Ζτςι ςε περίπτωθςθ που το δίκτυο μασ χρειάηεται κάποιο firewall, δθλαδι μία ACL ςε κάποιο ι κάποια

από τα routers του, τότε κα πρζπει να είμαςτε πολφ προςεκτικοί ςτο να μθν υπερβάλλουμε και ζτςι

δθμιουργιςουμε μεγάλεσ και ςε μερικζσ περιπτϊςει περιττζσ, κακυςτεριςεισ ςτο δίκτυό μασ. Στθν

περίπτωςθ του διμου Αμαρουςίου κα ιταν καλό να δθμιουργθκεί μία ACL θ οποία κα μπλόκαρε ΗΤΤP

και TELNET ςυνδζςεισ από οποιαδιποτε διεφκυνςθ εκτόσ του δικτφου προσ τα μζςα. Βζβαια το

μπλοκάριςμα του TELNET ι του SSH δεν κα ιταν και τόςο καλι πρακτικι για μία άλλθ επιχείρθςθ, αλλά

ςτθν περίπτωςθ του διμου, που πάντα κα βρίςκονται άτομα μζςα ςτο κτιριο και ςτο δίκτυο, δεν κα

ζχουμε πρόβλθμα ςε περίπτωςθ ελζγχου κάποιασ δικτυακισ ςυςκευισ. Από εκεί και πζρα,

βαςιηόμενοι ςτο ότι το ΙΤ αςχολείται με τθν “υγεία” του δικτφου και όλοι οι εργαηόμενοι του διμου

ζχουν διαβάςει και ακολουκοφν πιςτά το security policy, παραπάνω ζλεγχοι κα ιταν περιττοί, αφοφ

εμπιςτευόμαςτε τουσ υπαλλιλουσ μασ. Η ανάγκθ για μεγαλφτερουσ ελζγχουσ, κα υπιρχε ςε

περίπτωςθ που είχαμε τουσ δθμότεσ που βρίςκονται με διάφορεσ αςφρματεσ ςυςκευζσ ςτο χϊρο

αναμονισ, ςε κάποιο υποδίκτυο από αυτά που δθμιουργιςαμε παραπάνω. Κάτι τζτοιο βζβαια δεν κα

γίνει και θ εικόνα 5.1 που δείχνει αυτό το ςτιςιμο, είναι για λόγουσ κατανόθςθσ τθσ βαςικισ

τοποκζτθςθσ των ςυςκευϊν του δικτφου ςτον κάκε όροφο. Ππωσ αναφζραμε και προθγουμζνωσ, οι

ανάγκεσ του free WiFi, κα καλυφκοφν από μία απλι ςυςκευι θ οποία καλφπτει επαρκϊσ το χϊρο

αναμονισ και κα παρζχει ελεφκερθ πλοιγθςθ ςτουσ δθμότεσ, χωρίσ όμωσ να χρειάηονται ζξτρα μζτρα

προςταςίασ του δικτφου του διμου.

Το configuration τθσ ACL που κα χρειαςτοφμε για τουσ βαςικοφσ ελζγχουσ, κα το δοφμε ςτο κεφάλαιο

που δείχουμε τα ςτθςίματα όλων των δικτυακϊν ςυςκευϊν (ενςφρματων και αςφρματων).

5.5 Φώροσ Αναμονόσ Δημοτών Στθν εικόνα που ακολουκεί φαίνεται θ τοπολογία ςτο επόμενο ςτάδιο αφοφ κατανοικθκε πλιρωσ θ

ανάγκθ για ξεχωριςτι ςφνδεςθ του Χϊρου αναμονισ για τουσ δθμότεσ οι οποίοι κα μποροφν να

πλοθγθκοφν ςτο Διαδίκτυο.


53

Εικ. 5.4 Ξεχωριςτό δύκτυο για τον Χώρο αναμονόσ του δόμου ( free WiFi)

Το ςετάριςμα που ακολουκείται για αυτι τθ ςυςκευι είναι το απλοφςτερο που μπορεί να γίνει.

Ουςιαςτικά δεν ακολουκείται καμία πολιτικι αςφαλείασ και οι δθμότεσ που χρθςιμοποιοφν αυτό το

αςφρματο δίκτυο είναι υπεφκυνοι για τα δεδομζνα που ςτζλνουν. Ριο ςυγκεκριμζνα, το SSID του

δικτφου αυτοφ είναι το “Free WiFi – Dimos Amarousiou”, εκπζμπει ςτο κανάλι 11 και χρθςιμοποιεί το

πρωτόκολλο 802.11b/g (ςε mix-mode). Δεν υπάρχει κανζνα πρωτόκολλο αςφαλείασ όπωσ WEP, WPA ι

WPA2 που να υλοποιείται ςε αυτό το Access Point. Δθλαδι το δίκτυο εκπζμπει κανονικά το όνομά του

και είναι πλιρωσ ελεφκερο προσ χριςθ από τον κακζνα που μπορεί να βρίςκεται ςτθν περιοχι που

εκπζμπει. Στθ ςυνζχεια το Access Point, ςυνδζεται ουςιαςτικά με τον πάροχο που ο διμοσ ζχει

ςυνεργαςία μαηί του (Ο.Τ.Ε., Forthnet, HoL κτλ). Στθν ουςία δεν πρόκειται για κάποιο απλό Α, αλλά

για ζνα modem/router με δυνατότθτεσ αςφρματθσ ςφνδεςθσ. Η μόνθ αςφάλεια που υπάρχει ςτο

ςυγκεκριμζνο μθχάνθμα, είναι πωσ ζχει αλλαχκεί το default username και password για τθν είςοδο ςτο

web interface τθσ ςυςκευισ και παραμετροποίθςθ τθσ. Επίςθσ ζχει αλλαχκεί θ Ι τθσ ςυςκευισ και από

τθν 192.168.1.1, μετατράπθκε ςε 192.168.1.254 και μζςω DHCP δίνει αυτόματα Ι διευκφνςθ ςε

οποιαδιποτε ςυςκευι προςπακεί να ςυνδεκεί από το εφροσ τθσ 192.168.1.1 ζωσ και τθν

192.168.1.253. Πλεσ οι παραπάνω πλθροφορίεσ ςεταρίςματοσ τθσ ςυςκευισ αυτισ εμφανίηονται ςτον

παρακάτω πίνακα.


54

SSID Free WiFi – Dimos Amarousiou

Κανάλι 11

Πρωτόκολλο 802.11b/g (mixed)

Κρυπτογράφηςη Καμία

Προεπιλεγμζνη Πφλη 192.168.1.254

Εφροσ ΙΡ προσ χρήςη 192.168.1.1 – 192.168.1.253

Για ευνόθτουσ λόγουσ ςτθν αίκουςα αναμονισ των δθμοτϊν, μπορεί να υπάρχει μία ανακοίνωςθ ςε

εμφανζσ ςθμείο, που κα ενθμερϊνει τουσ πολίτεσ πωσ δεν υπάρχει κάποιο επίπεδο αςφαλείασ τθσ

αςφρματθσ επικοινωνίασ τουσ κι ζτςι κα πρζπει να είναι πολφ προςεκτικοί ςτα δεδομζνα που

αποςτζλουν γιατί ο κακζνασ μπορεί να τα “διαβάςει” χωρίσ να χρειαςτεί να καταβάλει ιδιαίτερο κόπο.

Από εκείνο το ςθμείο και ζπειτα, ο διμοσ Αμαρουςίου δεν φζρει καμία ευκφνθ ςε περίπτωςθ

οποιαςδόποτε απϊλειασ δεδομζνων από τισ ςυςκευζσ των πολιτϊν που χρθςιμοποιοφν το

ςυγκεκριμζνο αςφρματο δίκτυο για τθν πλοιγθςι τουσ ςτο Διαδίκτυο.

5.6 χϋδια Κτηρύου Δόμου ανϊ Όροφο και Αςύρματη Κϊλυψη Αφοφ μελετιςαμε τα τμιματα του διμου και των τρόπο που χωρίηουμε τα υποδίκτυα ασ δοφμε τα

ςχζδια του κτθρίου του διμου. Το κτιριο αυτό είναι ζνα νεοκλαςικό το οποίο ζχει τθν ίδια διαρφκμιςθ

ςε όλουσ τουσ ορόφουσ του. Η μόνθ διαφορά είναι ςτο υπόγειο, που ζχει γκρεμιςτεί θ μεςοτοιχία και

υπάρχει ζνα μεγάλο δωμάτιο που το χρθςιμοποιοφν οι υπάλλθλοι ωσ αποκικθ. Ασ προχωριςουμε ςτα

ςχζδια.

Εικ. 5.5 Χώροσ υπογεύου

Στο χϊρο του υπογείου υπάρχει ο μεγάλοσ χϊροσ που προαναφζραμε και λειτουργεί ωσ αποκικθ,

κακϊσ και ζνα δωμάτιο ςτο οποίο υπάρχουν οι τρεισ (3) Servers του δθμαρχείου.


55

Εικ . 5.6 Χώροσ Ιςογεύου

Στο χϊρο του ιςογείου, βρίςκουμε τθ μεςοτοιχία θ οποία μετά τθν είςοδο διαχωρίηει το τμιμα τθσ

Εξυπθρζτθςθσ Ρολιτϊν με το Χϊρο Αναμονισ. Επίςθσ, υπάρχει και μία ξεχωριςτι αίκουςα ςτο βόρειο

κομμάτι του κτθρίου, ςτθν οποία ςτεγάηεται το τμιμα των Ρλθροφοριϊν. Οι μπλε κφκλοι ςυμβολίηουν

τθν αςφρματθ κάλυψθ ςτουσ χϊρουσ αυτοφσ. Στο κζντρο του κάκε κφκλου είναι τοποκετθμζνο (ςτο

ταβάνι) το εκάςτοτε Access Point.

Εικ . 5.7 Χώροσ 1ου ορόφου

Στον πρϊτο όροφο ζχουμε τον ίδιο διαχωριςμό των χϊρων του κτθρίου. Με το που ανζβουμε τισ

ςκάλεσ, ςτο δεξί μασ χζρι βρίςκουμε τον χϊρο που ςτεγάηεται το τμιμα τθσ Δθμοτικισ Αςτυνομίασ και

ςτο αριςτερό μασ χζρι, βρίςκουμε το τμιμα του Λογιςτθρίου του διμου. Στο βάκοσ του κτθρίου (από

τισ ςκάλεσ), βρίςκουμε το τμιμα του Ρρωτοκόλλου. Για ακόμθ μια φορά βλζπουμε με τουσ μπλε

κφκλουσ τουσ χϊρουσ που καλφπτουν τα τρία (3) Α του ορόφου.


56

Εικ . 5.8 Χώροσ 2ου ορόφου

Στον δεφτερο και τελευταίο όροφο του κτθρίου, ακολουκείται θ ίδια αρχιτεκτονικι κτθρίου. Κι εδϊ

ζχουμε τρία (3) διαφορετικά τμιματα, δθλαδι τρία (3) διαφορετικά Α, ςε τρεισ (3) διαφορετικοφσ

χϊρουσ. Από τον δεξί ανελκυςτιρα, με το που βγοφμε ςτον χϊρο, ςυναντάμε το τμιμα του ΙΤ/Τεχνικϊν,

ενϊ από τον αριςτερό ανελκυςτιρα, ςυναντάμε το τμιμα τθσ Γραμματείασ. Στο βάκοσ του κτθρίου

βρίςκεται και ο χϊροσ τθσ διοίκθςθσ, ςτον οποίο ζχουμε τα γραφεία του Δθμάρχου, του Αντιδθμάρχου

και τθν αίκουςα ςυςκζψεων του διοικθτικοφ ςυμβουλίου. Για ακόμθ μια φορά, οι μπλε κφκλοι

εκπροςωποφν τουσ χϊρουσ κάλυψθσ τθσ αςφρματθσ ςφνδεςθσ των Access Points.

Βάςει των παραπάνω εικόνων, ζχουμε πλζον μία ξεκάκαρθ εικόνα για τθν αρχιτεκτονικι του κτθρίου

και τουσ χϊρουσ που ζχει. Η αναλφςθ των ρυκμίςεων των ςυςκευϊν και ειδικότερα των Α, ϊςτε να

μθν ζχουμε προβλιματα απωλειϊν ι κορφβων ςτο κανάλι, λόγω του ότι τα ςιματα που εκπζμπει το

κάκε Α “πζφτουν” πάνω ςτα ςιματα των άλλων, γίνεται ςτο επόμενο κεφάλαιο και κα δοφμε πωσ δεν

υπάρχει κανζνα πρόβλθμα παρεμβολισ, λόγω τθσ ςωςτισ τροποποίθςθσ των καναλιϊν των Access

Points ςτου χϊρουσ του κτθρίου.

Επίςθσ καλό είναι να ςθμειϊςουμε εδϊ πωσ το ςιμα εκπζμπει και ςε μια μικρι περιοχι εκτόσ

κτθρίου. Αυτό βζβαια δίνει ςτον οποιοδιποτε επιτθκζμενο τθ δυνατότθτα να πραγματοποιιςει

διάφορεσ επικζςεισ, χωρίσ να βρίςκεται καν μζςα ςτο κτιριο του δθμαρχείου. Η παραμετροποίθςθ

όμωσ των ςυςκευϊν που κα δοφμε ςτο επόμενο κεφάλαιο είναι αρκετά ιςχυρι και μία ειςβολι ςτο

δίκτυο του διμου είναι αρκετά δφςκολθ. Το δίκτυο δεν είναι άτρωτο, όπωσ και όλα τα δίκτυα άλλωςτε,

αλλά ςίγουρα είναι αρκετά καλά αςφαλιςμζνο, βάςει πάντα των δυνατοτιτων που ζχουν οι αςφρματεσ

ςυςκευζσ ςτισ μζρεσ μασ.


57

6. Εγκατϊςταςη Δικτύου και Έλεγχοσ Λειτουργύασ

6.1 Σοπολογύα υςκευών και Προςθόκη Ενόσ Main Switch Ππωσ αναλφςαμε ςτο προθγοφμενο κεφάλαιο για λόγουσ αςφαλείασ, καλό κα ιταν αν όχι και

αναγκαίο να τοποκζτθκεί ζνα ςφςτθμα IDS ι IPS. Για να γίνει όμωσ κάτι τζτοιο, θ τοπολογία του

δικτφου μασ πρζπει να αλλάξει λίγο. Ρλζον με τθν προςκικθ ενόσ ακόμθ switch, μζςω του οποίου κα

περνάει όλθ θ κίνθςθ του δικτφου και των υποδικτφων, κα μποροφμε να υλοποιιςουμε ζνα τζτοιο

ςφςτθμα. Ασ δοφμε όμωσ πρϊτα πωσ κα επιτευκεί κάτι τζτοιο, από τθν ςτιγμι που όλα τα switch του

κάκε ορόφου ςυνδζονται άμεςα με τουσ γείτονεσ τουσ και επίςθσ ςυνδζονται και με το Main Switch

που μόλισ τοποκετιςαμε.

Σε όλεσ τισ Catalyst (switches) ςυςκευζσ τθσ Cisco, με το που τισ ενεργοποιιςουμε, τρζχει αυτόματα το

πρωτόκολλο STP (Spanning Tree Protocol). Αυτό το πρωτόκολλο, ςτθν ουςία αυτόσ ο αλγόρικμοσ,

ελζγχει όλα τα μονοπάτια που μπορεί να ακολουκιςει μζςα από τισ κφρεσ του και μζςω κάποιων

ςυναρτιςεων μπορεί να μασ “υποςχεκεί” μθδζν(!) ςυγκροφςεισ ςτο κανάλι (μζχρι εφτά ςυςκευζσ ςτθ

ςειρά ι αλλιϊσ, εφτά hops). Ασ το δοφμε καλφτερα μζςω ενόσ παραδείγματοσ. Το switch που βρίςκεται

ςτο ιςόγειο του κτθρίου, επικοινωνεί με τα γειτονικά του switch (1ου ορόφου και υπογείου) μζςω δφο

οδϊν. Συνδζεται άμεςα με ζνα Cross-over καλϊδιο και επίςθσ μζςω ενόσ άλλου ςυνδζεται ςτο νζο

switch που προςκζςαμε (Main Switch), το οποίο και αυτό με τθ ςειρά του επικοινωνεί άμεςα με όλα τα

switch του κάκε ορόφου του κτθρίου (τζςςερα για τθν ακρίβεια). Αυτό μασ δθμιουργεί δφο

προβλιματα. Ρρϊτον, μποροφν να δθμιουργθκοφν ςυγκροφςεισ, αφοφ θ πλθροφορία που κζλει να

περάςει από τον 1ο όροφο ςτο ιςόγειο μπορεί να περάςει μζςα από δφο οδοφσ και δεφτερον, δεν

μποροφμε να ελζγξουμε τθν πλθροφορία από κάποια ςυςκευι (για τθν εγκατάςαςθ του IDS ι του IPS),

αφοφ περνάει από διαφορετικά μονοπάτια. Το STP ελζγχει διάφορεσ παραμζτρουσ τθσ εκάςτοτε

ςφνδεςθσ, όπωσ, τθν ταχφτθτα τθσ κφρασ, τα βιματα που χρειάηονται κ.α. και βάςει του αλγορίκμου

του, ορίηει μία βαςικι διαδρομι και από το ςθμείο εκείνο και μετά, λειτουργεί μόνο αυτι και όλεσ οι

υπόλοιπεσ πικανζσ διαδρομζσ μπαίνουν ςε ζνα stand-by mode, και είναι ζτοιμεσ να ανοίξουν με το που

υπάρξει κάποιο πρόβλθμα επικοινωνίασ ςτο βαςικό δίαυλο. Το STP μποροφμε να το “πειράξουμε” και

να μπορζςουμε να αλλάξουμε τουσ βαςικοφσ διάυλουσ επικοινωνίασ και αρκετά ακόμθ, αλλά ςτθν

προκειμζνθ περίπτωςθ δεν χρειάηεται λόγω τθσ τοπολογίασ και των κυρϊν που επιλζξαμε.

Ο κάκε όροφοσ ςυνδζεται άμεςα με τον/τουσ γειτονικό/κοφσ του, αλλά μζςω μίασ Fast Ethernet

κφρασ. Από εκεί και πζρα, ο κάκε όροφοσ, ςυνδζεται και ςτο Main Switch, μζςω όμωσ μίασ Gigabit

Ethernet κφρασ. Αυτό πρακτικά ςθμαίνει, πωσ μζςω του Main Switch αν ζνασ κόμβοσ του 1ου ορόφου,

κζλει να επικοινωνιςει με ζνα κόμβο του ιςογείου, μπορεί να περάςει από ζνα switch ακόμα, αλλά

αυτό κα γίνει πολφ πιο γριγορα, γιατί οι διαφορζσ ταχφτθτασ του καναλιοφ είναι μεγάλεσ. Ζτςι είναι

καλφτερο και πιο “άνετο” για το δίκτυο το να χρειάηεται μία πλθροφορία να περνάει μζςα από

περιςςότερα μζςα (switches, routers κτλ), για να φτάςει ςτον τελικό προοριςμό τθσ, αν οι ταχφτθτεσ

είναι καλφτερεσ από τθν απευκείασ αποςτολι των δεδομζνων μζςω ενόσ hop.


58

Ζτςι με τθν προςκικθ του switch που ονομάςαμε Main Switch, ζχουμε άμεςα δφο βαςικά

πλεονεκτιματα. Τθν εγγυθμζνθ(!) αποφυγι ςυγκοφςεων ςτο δίκτυο μασ και επίςθσ τθν ευκολότερθ

καταγραφι τθσ κίνθςθσ των δεδόμενων του.

Εικ. 6.1 Σοπολογύα δικτύου μετϊ την προςθόκη του Main Switch

ημείωςη:

το Packet Tracer οι κφρεσ που είναι απενεργοποιθμζνεσ, παρουςιάηονται με κόκκινο χρώμα, οι

ενεργζσ με πράςινο και αυτζσ που βρίςκονται ςε αναμονι (για τον οποιοδιποτε λόγο), με πορτοκαλί.

Ζτςι από τθν παραπάνω εικόνα βλζπουμε ότι οι κφρεσ από όλα τα switch που ςυνδζονται ςτο Main

Switch είναι ενεργοποιθμζνεσ και λειτουργοφν κανονικά, ενϊ αυτζσ που ςυνδζουν το κάκε switch με

τον γειτονικό του όροφο, είναι ςε αναμονι.

H τοποκζτθςθ του Main Switch μπορεί να είναι ζνα κζμα προσ ςυηιτθςθ. Η τοποκζτθςι του

χωροταξικά τουλάχιςτον. Το υπόγειο είναι μία καλι κζςθ για να τοποκετθκεί, αφοφ είναι ζνασ χϊροσ

που κανζνασ δεν μπορεί να μπει ς’ αυτόν, εκτόσ από τα άτομα του ΙΤ του διμου. Στο υπόγειο υπάρχει

ουςιαςτικά μία κλειδωμζνθ αίκουςα με καλό κλιματιςμό που κρατάει τθ κερμοκραςία ςε χαμθλά

επίπεδα (χαμθλι, κάτω από 20οC) και μζςα τθσ υπάρχει, το Main Switch, το switch του υπογείου που

ζχει πάνω του τουσ servers του διμου, το router του διμου και το dsl modem που ςυνδζεται πάνω ςτο

router και μζςω αυτοφ ζχουμε πρόςβαςθ και ςτο Διαδίκτυο. Εδϊ πρζπει να τονίςουμε, πωσ όλεσ οι

ςυςκευζσ του δικτφου, ςε όποιο όροφο κι αν βρίςκονται, είναι τοποκετθμζνεσ ςε ςθμεία που δεν

μπορεί ο οποιοςδιποτε να τισ πειράξει. Tα switch του κάκε ορόφου βρίςκονται πάντα κοντά ςε κάποιο

γραφείο και είναι πάντα κλειδωμζνα μζςα ςτο rack του ορόφου. Τα As, που βρίςκονται ςε “κοινι”


59

κζα, είναι τοποκετθμζνα ςτο ταβάνι του κάκε ορόφου και το καλϊδιο που ςυνδζει το εκάςτοτε AP με

το switch του ορόφου του, προςτατεφεται για λόγουσ αςφαλείασ επίςθσ.

6.2 Bαςικό Μεθοδολογύα VPN και Ρύθμιςη του ΝΑΣ To VPN (Virtual Private Network) μασ δίνει τθ δυνατότθτα αςφαλοφσ διαςφνδεςθσ κόμβων

απομακρυςμζνων περιοχϊν, μζςω του Internet. Το VPN βαςίηεται ςε τζςςερα (4) πρωτόκολλα. Το

πρϊτο είναι το PPTP (Point-to-Point Tunneling Protocol) και είναι και το πιο ςυνθκιςμζνο. Το δεφτερο

είναι το L2TP (Layer 2 Tunneling Protocol) και το τρίτο είναι το IPsec (Internet Protocol Security). Αυτά

τα δφο προςφζρουν καλφτερα επίπεδα αςφαλείασ από το PPTP, αλλά ζχουν πιο περίπλοκθ

εγκατάςταςθ .Το τζταρτο και τελευταίο, είναι το πρωτόκολλο αςφαλείασ SSL (Secure Sockets Layer) και

είναι αυτό που αποκαλείται και “clientless”, αφοφ για αυτιν τθν υπθρεςία αςφαλείασ δεν χρειάηεται

να τρζξουμε ςτον υπολογιςτι μασ κάποιο ειδικό λογιςμικό.

Αυτό που ουςιαςτικά γίνεται ςε ζνα VPN, είναι θ επζκταςθ ενόσ τοπικοφ δικτφου για επικοινωνία με

κόμβουσ που βρίςκονται μακριά από αυτό. Ζτςι αν για παράδειγμα θ ανάγκθ για αςφάλεια τθσ

επικοινωνίασ μασ με κόμβουσ εκτόσ του δικτφου μασ είναι επιτακτικι, τότε θ χριςθ ενόσ μθχανιςμοφ

VPN είναι θ καλφτερθ και φτθνότερθ δυνατι λφςθ. Στο χϊρο τθσ Ρλθροφορικισ υπάρχουν αρκετζσ VPN

υπθρεςίεσ και προγράμματα που προςφζρουν αυτι τθ δυνατότθτα δωρεάν, όπωσ το OpenVPN κ.α.

Στθν περίπτωςθ του διμου Αμαρουςίου, θ ανάγκθ για εγκατάςταςθ ενόσ VPN υπάρχει, αλλά όχι για

όλο το δίκτυο. Ριο ςυγκεκριμζνα, οι πιο ςοβαρζσ επικοινωνίεσ αφοροφν τα δεδομζνα που ανταλλάςει ο

διμαρχοσ τθσ περιοχισ με τουσ ςυνεργάτεσ του από τον υπολογιςτι που ζχει ςτο γραφείο του. Αν

κυμθκοφμε από προθγοφμενο κεφάλαιο, το subnet τθσ διοίθκθςθσ χρειάηεται 10 Ιs. Μία από αυτζσ

ανικει και ςτον διμαρχο. Επειδι όμωσ και κάποιοσ από τουσ ςυνεργάτεσ του, όπωσ ο αντιδιμαρχοσ ι

θ γραμματζασ του, μπορεί να κζλουν να επικοινωνιςουν μαηί του, αςφαλίηουμε και τθν δικιά τουσ

επικοινωνία. Ζτςι δεν επικεντρωνόμαςτε μόνο ςτθν Ι που ανικει ςτον υπολογιςτι του δθμάρχου,

αλλά ςε όλο το subnet τθσ διοίκθςθσ.

Το ςτιςιμο του VPN δεν είναι κάποια αρκετά πολφπλοκθ διαδικαςία. Αρκεί μόνο να γίνουν μερικζσ

παραμετροποιιςεισ ςτισ ςυςκευζσ που κα ςυνδζονται ς’ αυτό. Στθν περίπτωςθ του διμου δθλαδι,

που κα καλφπτουμε με αςφαλι ςφνδεςθ εικονικοφ δικτφου μόνο τθν διοίκθςθ, κα πρζπει να

παραμετροποιιςουμε τουσ υπολογιςτζσ που ανικουν ςτο υποδίκτυο αυτό και τισ ςυςκευζσ που κα

επικοινωνοφν με αυτοφσ (τουσ υπολογιςτζσ), οι οποίοι μπορεί και να βρίςκονται εκτόσ δικτφου. Μετά

από τθν παραμετροποίθςθ αυτι, ουςιαςτικά το ςετάριςμα των προγραμμάτων που προςφζρονται από

τθν εκάςτοτε VPN υπθρεςία, τότε μασ μζνει μόνο ζνα ςετάριςμα για τθν δρομολόγθςθ των πακζτων

που κα ζρχονται εκτόσ δικτφου (από το Διαδίκτυο) και κα κζλουν να “μιλιςουν” με το subnet που

ανικει το VPN.

Μία καλι τακτικι για τθν αποφυγι προβλθμάτων επικοινωνίασ μζςω VPN, είναι να αποφεφγονται

διευκφνςεισ κλάςθσ C (IP), γιατί υπάρχουν μεγάλεσ πικανότθτεσ, αν για παράδειγμα χρθςιμοποιοφμε

ςτθν εταιρεία μασ τθν IP 192.168.1.0 /24 για το δίκτυο μασ και κζλουμε να ςυνδεκοφμε από ζνα καφζ

από μία άλλθ περιοχι, το καφζ, να ζχει τθν ίδια IP για το δίκτυο του και ουςιαςτικά να μθν μπορεί ο

απομακρυςμζνοσ υπολογιςτισ να επικοινωνιςει με το δίκτυο τθσ εταιρείασ. Ζτςι αν ο Α ζχει τθν Ι


60

192.168.1.13 και κζλει να ςτείλει μζςω VPN ςτον Β ο οποίοσ ζχει τθν Ι 192.168.1.136, όταν το router

του δικτφου που βρίςκεται ο Α, διαβάςει ςτο πεδίο του destination IP τθν διεφκυνςθ 192.168.1.136,

τότε κα ψάξει μζςα ςτο δικτυό του να τθ βρει μζςω ARP request και αν αποτφχει, τότε το πακζτο κα

απορριφκεί (drop). Αλλά και ςε περίπτωςθ που ςτο LAN που βρίςκεται ο Α, υπάρχει αυτι θ Ι και πάλι

κα απορριφκεί το πακζτο (αυτι τθν φορά από τον υπολογιςτι με αυτι τθν Ι), αφοφ δεν τον αφορά θ

πλθροφορία αυτι. Βζβαια υπάρχουν διάφοροι τρόποι για να μθν πζςουμε ςε τζτοιεσ παγίδεσ. Ζνασ

από αυτοφσ είναι να χρθςιμοποιιςουμε κάποια Ι πάνω ςτθν οποία κα ςτιςουμε το δίκτυο μασ, τθν

οποία να μθ τθν ςυναντάμε ςυχνά ςε τοπικά δίκτυα. Ζνασ από τουσ λόγουσ που χρθςιμοποιιςαμε τθν

10.10.10.0 /24 IP για το δίκτυο του διμου Αμαρουςίου είναι αυτόσ.

Aναφζρουμε ότι βάςει IANA (Internet Assigned Numbers Authority), ζνα εφροσ διευκφνςεων Ι ζχει

καταχωρθκεί ωσ ιδιωτικό (private) και καλφπτει τισ ανάγκεσ Ι που υπάρχουν για το κάκε LAN, λόγω

ζλλειψθσ διευκφνςεων ςτθ γενιά Ιv4. Και ςτθ γενιά Ιv6 υπάρχουν private διευκφνςεισ, αλλά το

πλικοσ των Ι που μποροφν να παραχκοφν (2^128) είναι τόςο μεγάλο, που τισ περιςςότερεσ φορζσ δεν

χρθςιμοποιοφνται.

Ρίνακασ private IP διευκφνςεων τθσ IPv4:

ΑΠΟ ΕΩ PREFIX - CLASS

10.0.0.0 10.255.255.255 10 /8 – CLASS A

172.16.0.0 172.31.255.255 172.16 /12 – CLASS B

192.168.0.0 192.168.0.0 192.168 /16 – CLASS C

Μία private διεφκυνςθ μπορεί να χρθςιμοποιείται ςε όλα τα τοπικά δίκτυα ανά τον κόςμο, χωρίσ

όμωσ να προκφπτει κάποιο πρόβλθμα, αφοφ ποτζ(!) ζνασ υπολογιςτισ ι οποιαδιποτε ςυςκευι που

μπορεί να ςυνδεκεί ςτο Διαδίκτυο, δεν χρθςιμοποιεί μία private Ι. Για να είμαςτε πιο ακριβείσ, δεν

μπορεί να χρθςιμοποιιςει μία τζτοια διεφκυνςθ. Η διαδικαςία για τθν μετατροπι αυτι, δθλαδι θ

μετάφραςθ μίασ οποιαςδιποτε private IP, ενόσ οποιουδιποτε τοπικοφ δικτφου, ςε μία Ι θ οποία

μπορεί να χρθςιμοποιθκεί ςτο Internet (public IP), γίνεται μζςω του NAT (Network Address

Translation).

Θα ακολουκιςουμε τθν μζκοδο που χρθςιμοποιεί το SSL, αλλά πριν από αυτό, κα πρζπει να ποφμε

δφο λόγια για τον τρόπο που κα περνάμε τα δεδομζνα που αφοροφν το VPN μζςα από το Cisco router.

Για να το επιτφχουμε αυτό, κα χρθςιμοποιιςουμε το ΝΑΤ. Με το ΝΑΤ μποροφμε να κάνουμε δφο (2)

βαςικά πράγματα ςε ζνα δρομολογθτι. Το ζνα είναι να μεταφράηουμε τισ εςωτερικζσ Ι του δικτφου

(private) ςε μία ι περιςςότερεσ εξωτερικζσ Ι (public), αφοφ οι πρϊτεσ δεν μποροφν να βγουν εκτόσ

LAN. Το δεφτερο που μποροφμε να κάνουμε είναι θ προϊκθςθ πακζτων βάςει πρωτοκόλλων, κυρϊν

κτλ. Στθν περίπτωςθ μασ, που κα παίξουμε με VPN ςτο δίκτυο του διμου, πρζπει να καλφψουμε αυτό

το κενό, αφοφ αν ςτιςιμουμε το VPN, ςτθ ςυνζχεια δεν κα μποροφμε να ζχουμε επικοινωνία με αυτό

από υπολογιςτζσ που βρίςκονται εκτόσ δικτφου, γιατί κα ζρχονται πακζτα ςτο δρομολογθτι, αλλά

αυτόσ δεν κα ξζρει πωσ να τα διαχειριςτεί. Για να ρυκμίςουμε το ΝΑΤ, πρζπει πρϊτα να καταλάβουμε

τθ διαφορά του ΝΑΤ inside και του ΝΑΤ outside. Ουςιατικά με αυτζσ τισ δφο (2) παραμζτρουσ, δίνουμε

ςτο ΝΑΤ να καταλάβει ςτισ κφρεσ που το ενεργοποιοφμε, αν αυτζσ οι κφρεσ ανικουν ςτο LAN ι ςτο


61

εξωτερικό δίκυο (Internet). Ζτςι μία κφρα Fa που ανικει ςτο LAN, κα πάρει τθν παράμετρο NAT inside,

ενϊ αντίςτοιχα μία κφρα Se, που ανικει εκτόσ του κομματιοφ του LAN, κα πάρει τθν παράμετρο ΝΑΤ

outside.

Εικ . 6.2 e0 & e1 NAT inside, s0 NAT outside

Ζτςι και ςτο παραπάνω ςχιμα, βλζπουμε πωσ οι δφο Ethernet κφρεσ που ανικουν ςτο εςωτερικό

δίκτυο, παίρνουν τθν παράμετρο inside, ενϊ θ μοναδικι Serial κφρα που ςυνδζει το εςωτερικό δίκτυο

με το Internet, παίρνει τθν παράμετρο outside.

Αφοφ αναλφςαμε με λίγα λόγια το ΝΑΤ και τθ λειτουργία του, πάμε να δοφμε το ςετ εντολϊν που

χρειάηονται για να το ενεργοποιιςουμε ςτο router του διμου. Για να περάςουμε τισ εντολζσ του ΝΑΤ

πρζπει να δοφμε ςε ποια interfaces κζλουμε να ενεργοποιθκοφν.

Στθ διπλανι εικόνα βλζπουμε τα δφο ενεργά interfaces του router. Και ςτα

δφο (2) αυτά interfaces κζλουμε να ενεργοποιιςουμε το ΝΑΤ, αφοφ το ζνα

Gig6/0 είναι αυτό που ςυνδζεται με το δίκτυο του διμου Αμαρουςίου, ενϊ

το άλλο, δθλαδι το Fa0/0, είναι αυτό που ςυνδζεται με το DSL-modem και

κατ’ επζκταςθ με το Διαδίκτυο. Οι εντολζσ που κα χρθςιμοποιιςουμε είναι

τρεισ (3) και είναι οι εξισ:

Router(config-if)#ip nat inside

Router(config-if)#ip nat outside

Router(config)#ip nat outside static udp 71.31.200.38 2324 10.10.10.205

1194

Εικ . 6.3 Router interfaces


62

Τθν πρϊτθ εντολι τθν τρζχουμε ςτο interface Gig6/0 του router και με αυτό τον τρόπο του

γνωςτοποιοφμε πωσ για το ΝΑΤ, αυτι θ κφρα ςυνδζεται ςτο LAN. Τθ δεφτερθ εντολι τθν τρζχουμε ςτο

interface Fa0/0 του router και ορίηουμε ςτο ΝΑΤ πωσ αυτι θ κφρα ςυνδζεται εκτόσ του LAN. Στθν τρίτθ

και τελευταία εντολι, ορίηουμε πωσ από τθν static public IP 71.31.200.38 με αίτθμα για πόρτα 2324

(UDP), κα γίνεται μετάφραςθ αυτισ τθσ Ι ςτθν 10.10.10.205 ςτθν πόρτα 1194. Γιατί όμωσ κάνουμε

αυτι τθν μετάφραςθ; Ο διμοσ Αμαρουςίου για λόγουσ ςτακερότθτασ ζχει αγοράςει (ενοικιάςει)

μερικζσ public IP. Μία από αυτζσ είναι και θ 71.31.200.38. Ζτςι ςτθν κινθτι ςυςκευι που χρθςιμοποιεί

ο αντιδιμαρχοσ και κζλει να επικοινωνεί μζςω αυτισ με τον διμαρχο όταν βρίςκεται εκτόσ του

κτθρίου, ο αντιδιμαρχοσ ζχει ςαν Ι τθν 71.31.200.38. Επίςθσ ζχουμε ρυκμίςει το VPN να μθν

ακολουκεί κάποια standard πόρτα για τθν υπθρεςία, αλλά μία τυχαία, τθν 2324, για λόγουσ αςφαλείασ.

Ζτςι με τθν τελευταία εντολι, ουςιαςτικά ορίηουμε πωσ ςε περίπτωςθ που ζρκει πακζτο από το

interface Fa0/0, το οποίο κα ζχει ςαν Ι (source IP) τθν static public IP που αναφζραμε παραπάνω και

επίςθσ κζλει κάποια υπθρεςία που εξυπθρετείται από τθν πόρτα 2324, να προωκείται το πακζτο αυτό

ςτον υπολογιςτι με Ι 10.10.10.205, ςε ζναν υπολογιςτι δθλαδι που υπάρχει ςτο υποδίκτυο τθσ

Διοίκθςθσ και λειτουργεί ςαν VPN Server.

6.3 Εγκατϊςταςη Δικτύου και Παραμετροπούηςη υςκευών Αφοφ είδαμε τθν γενικι φιλοςοφία που κα ακολουκιςουμε ςτο δίκτυο του διμου Αμαρουςίου,

προχωράμε ςτο ςετάριςμα των ςυςκευϊν και ςτο πζραςμα των Ι διευκφνςεων ςτισ ςυςκευζσ των

υπαλλιλων που ςυνδζονται ςτα υποδίκτυα των τμθμάτων. Ζχουμε ιδθ δει πωσ το κάκε υποδίκτυο

ανικει και ςε διαφορετικά VLAN και υλοποιιςαμε τθν τοπολογία Router-on-a-stick. Πταν ζχουμε

κάποιο δρομολογθτι (router) ςτο δίκτυο μασ και αυτό χωρίηεται ςε διάφορα υποδίκτυα, μποροφμε να

διαςυνδζςουμε τα υποδίκτυα αυτά με δφο τρόπουσ. Ο ζνασ είναι ο “κλαςικόσ” τρόποσ, ςτον οποίο

ςυνδζουμε ανά interface του router και ζνα υποδίκτυο και ο άλλοσ είναι θ τοπολογία Router-on-a-stick.

Σ’ αυτι τθν περίπτωςθ, ςε ζνα φυςικό interface του δρομολογθτι ςυνδζουμε όλα τα υποδίκτυα. Αυτό

γίνεται διαιρϊντασ το φυςικό interface ςε όςα λογικά interfaces κζλουμε (μζχρι 99). Ρρακτικά αυτό

ςθμαίνει πωσ ςε μία μόνο κφρα του δρομολογθτι, μποροφμε να ςυνδζςουμε μζχρι και 99 υποδίκτυα.

Κάτι τζτοιο βζβαια μπορεί να γίνεται, αλλά πρακτικά ο φόρτοσ κίνθςθσ κα είναι τόςο μεγάλοσ που

ουςιαςτικά θ κφρα αυτι κα μπουκϊςει και κα ζχουμε πολφ μεγάλεσ κακυςτεριςεισ. Στθ τοπολογία

όμωσ που υλοποιιςαμε και ςτθν μελζτθ που κάναμε πριν προχωριςουμε ςτο ςτιςιμο του δικτφου,

υπολογίςαμε πωσ χρειαηόμαςτε εννζα (9) VLAN. Αυτό το νοφμερο δεν είναι απαγορευτικό για τθν

τοπολογία Router-on-a-stick και ζτςι ακολουκιςαμε αυτι τθν υλοποίθςθ. Μζςω αυτισ τθσ

υλοποίθςθσ, γλιτϊνουμε και αρκετά χριματα, αφοφ αφαιροφμε από τον προχπολογιςμό του δικτφου

οχτϊ (8) ζξτρα interfaces που κα χρειαηόμαςταν, ςε περίπτωςθ που υλοποιοφςαμε τθν κλαςικι

τοπολογία που είναι υποδίκτυο ανά κφρα.

Σε ζνα Cisco Router για να υλοποιιςουμε το Router-on-a-stick, χρειάηονται οι παρακάτω εντολζσ:

(config)#interface gig6/0.10

(config-if)#encapsulation dot1Q 10

(config-if)#ip address 10.10.10.206 255.255.255.240


63

Με τθν πρϊτθ εντολι, πθγαίνουμε ςτο φυςικό interface Gigabit6/0 και ςτο λογικό interface .10. Το

.10 είναι μία τυπικι ονομαςία. Η λογικι που ακολουκοφμε για λόγουσ ευκολίασ ςτον εντοπιςμό του

εκάςτοτε λογικοφ interface, είναι το νοφμερο που ακολουκεί μετά τθν τελεία να είναι το ίδιο με το

νοφμερο που αντιςτοιχεί ςτο VLAN που εκπροςωπεί αυτό το interface. Ζτςι ςτθν προκειμζνθ

περίπτωςθ, παραμετροποιοφμε το λογικό interface που αφορά το VLAN 10.

Στθ δεφτερθ εντολι, δίνουμε τον τφπο του encapsulation (ενκυλάκωςθσ). Είναι ο τρόποσ που

ανοίγονται τα πακζτα δεδομζνων και ςτθ ςυνζχεια ο τρόποσ με τον οποίο διαβάηονται και ςτθ

ςυνζχεια μετά από μερικζσ αλλαγζσ που ενδζχεται να γίνουν, ο δρομολογθτισ τα “ξαναπακετάρει” και

τα ςτζλνει ςτθ κφρα που πρζπει, για να ςυνεχίςουν τθν πορεία τουσ μζχρι τον τελικό αποςτολζα. Το

dot1Q είναι το γενικό πρότυπο ενκυλάκωςθσ που ακολουκείται από όλεσ τισ ςυςκευζσ δικτφων (Cisco

και μθ). Επίςθσ, ςτο τζλοσ τθσ εντολισ, βλζπουμε το νοφμερο 10. Αυτόσ ο αρικμόσ αφορά το VLAN.

Οπότε ουςιαςτικά ορίηουμε πωσ για κάκε πακζτο ςτο VLAN 10, κα ακολουκείται θ ενκυλάκωςθ dot1Q.

Στθν τρίτθ και τελευταία εντολι, δίνουμε τθν Ι τθσ κφρασ και τθ μάςκα δικτφου. Ουςιαςτικά θ Ι

αυτι είναι θ προεπιλεγμζνθ πφλθ (default gateway) που κα ορίςουμε ςε όλουσ τουσ κόμβουσ που

ανικουν ςτο VLAN 10.

Αναφζρουμε πωσ για λόγουσ “αρχιτεκτονικισ” του δικτφου και για ευκολότερο troubleshooting ςε

περίπτωςθ κάποιου προβλιματοσ, ακολουκείται κάποια λογικι ςε όλα τα υποδίκτυα και τθν

διευκυνςιοδότθςι τουσ. Η λογικι αυτι λζει, πωσ ςε κάκε υποδίκτυο, ςαν default gateway κα ορίηουμε

τθν πρϊτθ ι τθν τελευταία Ι από τισ διακζςιμεσ Ι που ζχουμε. Στθν εργαςία αυτι, ςε κάκε υποδίκτυο

ορίηουμε ωσ προεπιλεγμζνθ πφλθ τθν τελευταία διακζςιμθ Ι του εκάςτοτε υποδικτφου.

Στον πίνακα που ακολουκεί, μποροφμε να δοφμε τθν default gateway όλων των υποδικτφων και

επίςθσ και τθ μάςκα υποδικτφου.

ΣΜΗΜΑ ΠΡΟΕΠΙΛΕΓΜΕΝΗ ΠΤΛΗ ΜΑΚΑ ΤΠΟΔΙΚΣΤΟΤ

ΔΙΟΙΚΗΣΗΣ 10.10.10.206 255.255.255.240 /28

ΓΑΜΜΑΤΕΙΑΣ 10.10.10.190 255.255.255.224 /27

ΙΤ / Τεχνικϊν 10.10.10.158 255.255.255.224 /27

ΡΩΤΟΚΟΛΛΟΥ 10.10.10.230 255.255.255.248 /29

ΛΟΓΙΣΤΗΙΟΥ 10.10.10.222 255.255.255.240 /28

ΔΗΜ. ΑΣΤΥΝΟΜΙΑΣ 10.10.10.94 255.255.255.224 /27

ΡΛΗΟΦΟΙΩΝ 10.10.10.238 255.255.255.248 /29

ΕΞΥΡΗΕΤΗΣΗΣ 10.10.10.126 255.255.255.224 /27

SERVERS 10.10.10.246 255.255.255.248 /29

Να αναφζρουμε εδϊ, πωσ τισ τρεισ (3) εντολζσ που αναλφςαμε παραπάνω, για τον τρόπο με τον οποίο

μποροφμε να δθμιουργιςουμε λογικά interfaces ςε ζνα δρομολογθτι για τισ ανάγκεσ τθσ τοπολογίασ

Router-on-a-stick, πρζπει να τισ χρθςιμοποιιςουμε για όλα τα VLAN που κζλουμε να “περνάνε” μζςα

από το router. Υπενκυμίηουμε, πωσ τα υποδίκτυα και τα VLAN, ςε περίπτωςθ που δεν υπάρχει


64

δρομολογθτισ ι ζνα switch L3 (τα Layer 3 switches ζχουν δυνατότθτεσ δρομολόγθςθσ), τότε τα

υποδίκτυα δεν μποροφν να επικοινωνιςουν μεταξφ τουσ.

Εικ. 6.4 Εμφϊνιςη όλωσ των λογικών θυρών του router με την εντολό #sh ip interface brief

Ππωσ βλζπουμε παραπάνω, με τθν εντολι #show ip interface brief ζχουμε μία πλιρθ εικόνα για τισ

κφρεσ του δρομολογθτι. Επίςθσ εκτόσ από τισ φυςικζσ κφρεσ, βλζπουμε και τα λογικά interfaces που

δθμιουργιςαμε για τισ ανάγκεσ τθσ τοπολογίασ μασ. Ζτςι ζχουμε ςτθ κφρα gig6/0, εννζα λογικά

interfaces, για τα οποία λόγω τθσ λογικισ ονομαςίασ που χρθςιμοποιιςαμε, μποροφμε εφκολα να

καταλάβουμε για ποιο VLAN υπάρχει το κάκε ζνα interface. Επίςθσ, μζςω αυτισ τθσ εντολισ, βλζπουμε

ποια Ι ζχει το κάκε interface (φυςικό ι λογικό) και αν είναι ενεργοποιθμζνο. Σθμειϊνουμε εδϊ πωσ

ςτουσ δρομολογθτζσ τθσ Cisco, από default, όλεσ οι κφρεσ είναι απερνεργοποιθμζνεσ (Administratively

down).

Αν ςυνδυάςουμε τα δεδομζνα που ζχουμε από τον πίνακα με τισ προεπιλεγμζνεσ πφλεσ και τισ

πλθροφορίεσ που παίρνουμε από το router, όςον αφορά ςτισ κφρεσ του, τότε βλζπουμε πωσ όντωσ, το

τμιμα τθσ Διοίκθςθσ, που ανικει ςτο VLAN 10, ζχει ωσ default gateway τθν Ι 10.10.10.206, δθλαδι τθν

Ι που υπάρχει ςτο λογικό interface gig6/0.10.


65

Η εικόνα που ακολουκεί, μασ δείχνει τθν πλιρθ επικοινωνία μεταξφ των ςυςκευϊν του δικτφου του

διμου Αμαρουςίου.

Εικ. 6.5 Σελικό τοπολογύα και πλόρησ κϊλυψη των κόμβων όλων των υποδικτύων

Ππωσ βλζπετε παραπάνω, όλεσ οι ςυςκευζσ του διμου ςυνδζονται κανονικά με τα Αccess Points που

ανικουν και υπάρχει πλιρθσ κάλυψθ. Για τισ ανάγκεσ τθσ παρουςίαςθσ του δικτφου, προςκζςαμε απλά

μία ςυςκευι ανά VLAN ι μία ςυςκευι ανά υποδίκτυο ι μία ςυςκευι ανά Access Point. Επίςθσ, αν

παρατθριςουμε τθν εικόνα, βλζπουμε και τθ Ι που ζχουμε δϊςει ςτθ κάκε ςυςκευι και μζςω του

πίνακα των Ι που δείξαμε ςτο προθγοφμενο υποκεφάλαιο, οι Ι που βλζπουμε είναι οι πρϊτεσ Ι

ελεφκερεσ προσ χριςθ, που ανικουν ςτο εκάςτοτε subnet. Ρριν όμωσ προχωριςουμε ςτθν ανάλυςθ

τθσ διαςφνδεςθσ των ςυςκευϊν καλό κα ιταν να δοφμε τισ ρυκμίςεισ των Access Points. Με τθν λζξθ

ρυκμίςεισ, εννοοφμε το SSID, το κανάλι, τθν πιςτοποίθςθ, τθ μζκοδο κρυπτογράφθςθσ και το κλειδί

αςφαλείασ. Ακολουκεί πίνακασ με όλα αυτά τα δεδομζνα.

ACCESS POINT SSID ΚΑΝΑΛΙ

ΠΙΣΟΠΟΙΗΗ

ΚΡΤΠΣΟΓΡΑΦΗΗ

ΚΛΕΙΔΙ

ΔΙΟΙΚΗΣΗΣ Dioikisi 1 WPA2-PSK

AES *tm1m4Di01ki515!

ΓΑΜΜΑΤΕΙΑΣ Grammateia 6 WPA2-PSK

AES *gr4mmAt314d1m0U$

ΙΤ IT 11 WPA2-PSK

AES *tm1m4T3Xn1kWn017#

ΡΩΤΟΚΟΛΛΟΥ Protokollo 6 WPA2-PSK

AES *prWt0KoLL0d1moU83^


66

ΛΟΓΙΣΤΗΙΟΥ Logistirio 1 WPA2-PSK

AES *tM1m4l0G15t1Ri0U19#

ΔΗΜ. ΑΣΤΥΝΟΜΙΑΣ Dim. Astynomia

11 WPA2-PSK

AES *mUN1c1P4lp0l1c3D&

ΡΛΗΟΦΟΙΩΝ Plirofories 1 WPA2-PSK

AES *dim051Nf0m4rU5i70@

ΕΞΥΡΗΕΤΗΣΗΣ Eksypiretisi 6 WPA2-PSK

AES *ek5yp1R3ti51d1M0U?

Ππωσ βλζπουμε ςτον πίνακα για τα κλειδιά, χρθςιμοποιιςαμε τθν τεχνικι που περιγράψαμε ςε

προθγοφμενο κεφάλαιο. Χρθςιμοποιιςαμε πεηά και κεφαλαία γράμματα (όχι ςτθν αρχι τθσ λζξθσ),

νοφμερα, ελίτ γραφι και ειδικοφσ χαρακτιρεσ ςτθν αρχι και ςτο τζλοσ των κωδικϊν. Επίςθσ, αν

ςυνδυάςουμε τα κανάλια όπωσ φαίνονται ςτον πίνακα αυτό, με τθν τοποκζτθςθ των AP ςτο χϊρο,

βλζπουμε πωσ δεν υπάρχουν γειτονικά AP που να λειτουργοφν ςτο ίδιο κανάλι, αλλά οφτε και ςε

διαφορά καναλιϊν μικρότερθ των πζντε (5). Αυτό ςθμαίνει πωσ δεν ζχουμε απϊλειεσ ςιματοσ και

παρεμβολζσ. Τζλοσ, ςε όλα τα Α, χρθςιμοποιιςαμε ςαν μζκοδο πιςτοποίθςθσ τo WPA2-PSK και ςαν

μζκοδο κρυπτογράφθςθσ τον AES, κακϊσ αυτόσ είναι ο πιο δυνατόσ ςυνδιαςμόσ αςφαλείασ που

μποροφμε να επιτφχουμε, πζραν από ζνα αρκετά δυνατό κλειδί.

Για μία καλφτερθ εικόνα του ςτθςίματοσ των ςυςκευϊν, παρακζτουμε δφο ενδεικτικά screenshot από

τισ ρυκμίςεισ που πραγματοποιιςαμε ςε ζνα laptop που ςυνδζεται ςτο AP του ΙΤ.

Εικ. 6.6 Gateway & DNS του υπολογιςτό


67

Εικ. 6.7 Ρυθμύςεισ ςύνδεςησ και ΙΡ υπολογιςτό

Στισ εικόνεσ 6.4 και 6.5 βλζπουμε τθν παραμετροποίθςθ των ρυκμίςεων του υπολογιςτι του

Administrator ςτο τμιμα του ΙΤ που ςυνδζεται ςτο αντίςτοιχο Α. Στθν εικόνα 6.4 βλζπουμε τθν

ρφκμιςθ του default gateway, που είναι το 10.10.10.158 και του DNS Server που είναι θ ίδια Ι. Το DNS

(Domain Name Translation), είναι θ υπθρεςία που μεταφράηει τα URLs ςτισ Ι διευκφνςεισ που

ανικουν. Στθν δεφτερθ εικόνα, βλζπουμε πωσ ςαν SSID που κζλει ο υπολογιςτισ να ςυνδεκεί, ζχουμε

ορίςει το “IT”, ςαν μζκοδο πιςτοποίθςθσ το “WPA2-PSK”, με κλειδί ειςόδου το

“*tm1m4T3Xn1kWn017#” και μζκοδο κρυπτογράφθςθσ τον “AES”. Τζλοσ, χειροκίνθτα και όχι μζςω

DHCP, δϊςαμε τθν Ι “10.10.10.129”, που είναι θ πρϊτθ διακζςιμθ του ςυγκεκριμζνου subnet και θ

μάςκα υποδικτφου που δϊςαμε είναι θ “255.255.255.224”, όπωσ δθλαδι προκφπτει από τθ μελζτθ

VLSM που κάναμε για τθ δθμιουργία του κάκε υποδικτφου. Ο λόγοσ που ςτινουμε το δίκτυο μασ χωρίσ

DHCP είναι πρϊτον, γιατί το πλικοσ των υπολογιςτϊν δεν είναι αρκετά μεγάλο και δεφτερον, με

ςτατικζσ διευκφνςεισ μποροφμε να ζχουμε και καλφτερθ ανάκεςθ Ι διευκφνςεων και καλφτερο ζλεγχο

(ευκολότερο) για τθν κίνθςθ του κάκε υπολογιςτι ςε περίπτωςθ ζρευνασ ςτο δίκτυό μασ.

Οι τροποποιιςεισ των υπόλοιπων υπολογιςτϊν του δικτφου βαςίηονται ςτισ ρυκμίςεισ που είδαμε

ςτισ δφο (2) παραπάνω εικόνεσ, με τθ διαφορά ότι αλλάηουν φυςικά οι πλθροφορίεσ που βάηουμε. Η

λογικι παραμζνει θ ίδια.

Αφοφ είδαμε και το ςτιςιμο των Α που υπάρχουν ςτον κάκε όροφο, πλζον μποροφμε να τςεκάρουμε

αν όντωσ όλα αυτά λειτουργοφν. Θεωρθτικά, το δίκτυό μασ, πρζπει να λειτουργεί κανονικά. Για να


68

ελζγξουμε με τον πιο εφκολο τρόπο αν οι ςυςκευζσ βλζπουν θ μία τθν άλλθ ςτο δίκτυο, το πιο απλό

πράγμα που μποροφμε να κάνουμε είναι να αρχίςουμε να κάνουμε διάφορα pings.

Εικ. 6.8 Ping από υπολογιςτό υπαλλόλου Εξυπηρϋτηςη σ ςτον υπολογιςτό τησ γραμματϋωσ

Εικ. 6.9 Ping από τον υπολογιςτό του Δημϊρχου ςτο File Server

Ππωσ μποροφμε να δοφμε ςτισ δφο αυτζσ εικόνεσ τα pings που δοκιμάςαμε λειτουργοφν κανονικά.

Επίςθσ για να ςιγουρζψουμε πωσ και θ τοπολογία Router-on-a-stick, λειτουργεί κι αυτι κανονικά,

φροντίςαμε να κάνουμε ping από ξεχωριςτά subnets, ϊςτε θ κίνθςθ να χρειαςτεί να περάςει μζςα και


69

από το router. Πταν μιλάμε για το ίδιο VLAN, τότε το πακζτο δεν χρειάηεται να επεξεργαςτεί από το

δρομολογθτι. Ζτςι, αν για παράδειγμα ο υπολογιςτισ ενόσ υπαλλιλου από τθν Εξυπθρζτθςθ, ζκανε

ζνα ping ςε ζναν άλλο υπολογιςτι που ανικει κι αυτόσ ςτο VLAN τθσ εξυπθρζτθςθσ, τότε το πακζτο κα

ζφτανε μζχρι το switch, κα γινόταν decapsulate, κα ζλεγχε τθ destination mac address, κα τθν ζβριςκε

ςτο ARP table που υπάρχει ςτο switch και ζτςι κα ιξερε ςε ποιο port κα ζπρεπε να αποςτείλει το

πακζτο. Εκτόσ από αυτό, κα ζβλεπε επίςθσ και ςε ποιο VLAN ανικει ο αποςτολζασ και ςε ποιο VLAN

κζλει να ςτείλει το πακζτο του. Με αυτό τον ςυνδυαςμό δεν χρειαηόταν το πακζτο να μεταφερκεί ςε

ςυςκευι ανϊτερου layer (router layer 3 device), αφοφ το switch (layer 2 device), κα ιξερε πωσ να

διαχειριςτεί το πακζτο που ζλαβε από τον ςυγκεκριμζνο υπολογιςτι. Τϊρα όμωσ, από τθν ςτιγμι που

δεν ζχει κάποια mac address καταχωρθμζνθ ςτο ARP table του και το VLAN που κζλει να ςταλεί το

πακζτο, δεν ζχει κάποιο ενεργό port πάνω ςε αυτό το switch, τότε περνάει τθν πλθροφορία ςτο router

και εκείνο μετά από τουσ ελζγχουσ που κάνει, προωκεί ι καταςτρζφει (drop) το πακζτο. Από τθ ςτιγμι

που τα pings που κάναμε παραπάνω λειτουργοφν κανονικά και δεν ζχουμε κάποιο time out ι αδυναμία

απάντθςθσ, αυτό ςθμαίνει πωσ το δίκτυό μασ λειτουργεί κανονικά και θ δρομολόγθςθ των πακζτων

γίνεται ςωςτά.

6.4 Εγκατϊςταςη IDS – IPS Ππωσ αναφζραμε και ςτο προθγοφμενο κεφάλαιο, μία ακόμθ καλι μζκοδοσ προςταςίασ του δικτφου

μασ είναι θ εγκατάςταςθ ενόσ IDP ι ενόσ IPS ςυςτιματοσ. Αυτό μπορεί να γίνει είτε μζςω hardware είτε

μζςω software. Στθν περίπτωςθ του διμου, κα τοποκετιςουμε ζνα IDS/IPS ςφςτθμα ςε ζναν

υπολογιςτι που βρίςκεται ςτο τμιμα του ΙΤ ι μποροφμε να ςυνδζςουμε κάποιο laptop ςτο Main

Switch (απ’ όπου δθλαδι περνάει όλθ θ κίνθςθ του δικτφου). Αυτό το μθχάνθμα ουςιαςτικά μποροφμε

να του ορίςουμε να διαβάηει τθν κίνθςθ του δικτφου ςε όποια κομμάτια κζλουμε και βάςει όποιων

πρωτοκόλλων κζλουμε και να προχωράει ςτισ ενζργειεσ που κα του δϊςουμε. Μία καλι λφςθ, για τθν

οποία επίςθσ δεν χρειάηεται να γίνουν κάποια οικονομικά ζξοδα, είναι το SNORT. Το ςυγκεκριμζνο

εργαλείο μποροφμε να το κατεβάςουμε ελεφκερα και να το διαχειριςτοφμε όπωσ κζλουμε. Το μεγάλο

του πλεονζκτθμα επίςθσ, είναι πωσ μπορεί να λειτουργιςει και ωσ IDS αλλά και ωσ IPS. Υπενκυμίηουμε

πωσ τα IDS ςυςτιματα, απλά εμφανίηουν κάποια alerts και δεν κάνουν κάτι παραπάνω, ενϊ τα IPS

ςυςτιματα μποροφμε να τα ρυκμίςουμε ςτο να προχωριςουν ζνα βιμα παρακάτω, όπωσ π.χ. να

κλείςουν τθν κίνθςθ από κάποια Ι κτλ. Η διαδικαςία παραμετροποίθςθσ του SNORT είναι λίγο

περίπλοκθ, αφοφ για να περάςουμε τισ παραμζτρουσ που κζλουμε για τον ζλεγχο του δικτφου μασ και

να υποδείξουμε τισ κινιςεισ που κζλουμε να ακολουκιςουν ςε περίπτωςθ παραβίαςθσ ι επίκεςθσ ςτο

δίκτυο μασ, πρζπει να διαβάςουμε αρκετά καλά το manual του προγράμματοσ και κα χρειαςτεί να

επεξεργαςτοφμε ςυγκεκριμζνα αρχεία. Δεν υπάρχει κάποιο GUI (Graphical User Interface) που να μασ

βοθκάει ςτο να κάνουμε αυτζσ τισ ενζργειεσ. Ασ δοφμε τα βαςικά τθσ παραμετροποίθςθσ του

ςυγκεκριμζνου εργαλείου.

Το βαςικό του SNORT, είναι ότι μποροφμε να δθμιουργιςουμε τουσ δικοφσ μασ κανόνεσ. Ζτςι δεν

ακολουκοφμε κάποια standards που μπορεί να επιβαρφνουν είτε το δίκτυο μασ, είτε να είναι περιττά

για τισ ανάγκεσ μασ. Εμάσ, όπωσ περιγράψαμε και ςε προθγοφμενο κεφάλαιο, μασ ενδιαφζρει να

μπλοκάρουμε και να ελζγχουμε τισ προςπάκειεσ για TELNET ςυνδζςεισ εκτόσ και εντόσ του δικτφου.

Είναι βζβαια ζνασ εφκολοσ τρόποσ να παραμετροποιιςουμε ςυςκευζσ από απόςταςθ, αλλά κάτι τζτοιο


70

μασ είναι ανοφςιο ςτθν περίπτωςθ του διμου, αφοφ τα περιςςότερα άτομα που εργάηονται ςτο ΙΤ,

παραμζνουν ςτο κτιριο όλεσ τισ ϊρεσ λειτουργίασ του δθμαρχείου. Ζτςι προτιμοφμε να εφαρμόςουμε

μια πολιτικι αςφαλείασ που κα αφινει εκτόσ τισ TELNET ςυνδζςεισ και ζτςι κα κλείνουμε μία πικανι

τρφπα αςφαλείασ για το δίκτυο μασ. Στο παράρτθμα των εντολϊν και των configuration των δικτυακϊν

Cisco ςυςκευϊν, κα δοφμε πϊσ μποροφμε να απενεργοποιιςουμε τισ TELNET ςυνδζςεισ και άλλεσ οι

οποίεσ αν δεν τισ χρθςιμοποιοφμε είναι περιττό να είναι ανοιχτζσ, και επίςθσ πϊσ μποροφμε να

ςυνδεόμαςτε μζςω SSΗ για απομακρυςμζνθ ςφνδεςθ.

Δθμιουργία κανόνων ςτο SNORT:

Για τθ δθμιουργία ενόσ κανόνα ςτο SNORT, χρθςιμοποιοφμε τθν εξισ εντολι:

alert tcp any any -> 192.168.1.0/24 111 \ (content:"|00 01 86 a5|"; msg:"mountd access";)

Με τθν εντολι αυτι ορίηουμε πωσ οποιοδιποτε TCP πακζτο ζχει προοριςμό το δίκτυο 192.168.1.0

/24, να ενεργοποιεί ζνα alert με το μινυμα “mountd access”. H πρϊτθ λζξθ τθσ εντολισ αυτισ είναι

“alert” και ουςιαςτικά προςδιορίηει τι πρζπει να γίνει με τθν εκάςτοτε περίπτωςθ πακζτου. Αντί αυτισ

τθσ λζξθσ μποροφμε να ορίςουμε πολλά πράγματα που μπορεί να μασ ενδιαφζρουν και διαφορετικζσ

μεκόδουσ και τρόπουσ αντίδραςθσ. Στθν περίπτωςθ που κζλουμε να απενεργοποιιςουμε τα ping που

μπορεί να κζλει να κάνει κάποιοσ επιτικζμενοσ προσ οποιονδιποτε ςτακμό του δικτφου μασ, πακζτα

δεδομζνων που βαςίηονται ςτο ICMP (Internet Control Message Protocol), μποροφμε να βάλουμε τθν

ακόλουκθ εντολι:

reject udp any any -> 10.10.10.240/29 111 \

Ζτςι με αυτι τθν εντολι, ςε περίπτωςθ που κάποιοσ κζλει να κάνει κάποιο ping ςτισ ςυςκευζσ που

βρίςκονται ςτο υποδίκτυο των Servers, κα ςταλεί μινυμα ςτον αποςτολζα (πικανόσ επιτικζμενοσ) με

το ICMP message “port unreachable”. Ζτςι μπορεί να υποκζςει πωσ ο υπολογιςτισ είναι εκτόσ

λειτουργίασ ι δεν χρθςιμοποιείται θ Ι που χρθςιμοποιιςε. Οπότε τθν παραπάνω εντολι κα τθν

χρθςιμοποιιςουμε για όλουσ τουσ κόμβουσ που βρίςκονται ςτο δίκτυο μασ. Θα χρειαςτεί δθλαδι να τθ

ςυντάξουμε εννζα (9) φορζσ, μία δθλαδι για κάκε υποδίκτυο. Ζτςι κα αποκλείςουμε κάποια DDoS

(Distributed-Denial-of-Service) επίκεςθ. Οι DDoS επικζςεισ ζχουν να κάνουν με καταιγιςμό αιτθμάτων

ςε ζναν υπολογιςτι, που λόγω των πολλϊν αυτϊν αιτθμάτων δεν προλαβαίνει να ανταποκρικεί και

ζτςι κάποιοσ που κα προςπακιςει να ςυνδεκεί αργότερα δεν κα μπορεί γιατί ο υπολογιςτισ κα

αςχολείται ακόμθ με τα προθγοφμενα αιτιματα που ζχουν γίνει προσ αυτόν, και θ υπθρεςία κα

φαίνεται κλειςτι. Με απλά λόγια, όλα αυτά τα πακζτα που ζχουν ςταλεί από ζνα πλικοσ υπολογιςτϊν,

μπλοκάρουν τθν είςοδο ςε άλλουσ υπολογιςτζσ. Βζβαια κάτι τζτοιο δεν μπορεί να αποκλειςτεί ςαν

πικανότθτα επίκεςθσ από κάποιον, απλά μειϊνει τισ πικανότθτεσ εφκολθσ εφρεςθσ τθσ Ι που κζλει να

βρει ο επιτικζμενοσ. Επίςθσ, με όλα αυτά τα “port unreachable” μθνφματα που κα λάβει, κα χρειαςτεί

κι άλλο χρόνο μζχρι να βρει το τι φταίει. Ζτςι αν προςκζςουμε τθν εντολι του reject ςε ςυνδυαςμό με

το alert, το τμιμα του ΙΤ κα δει ότι γίνονται αρκετζσ προςπάκειεσ μζςω pings και ζτςι κα μπορζςει να

πάρει τα κατάλλθλα μζτρα.


71

Οπότε ουςιαςτικά με τον ςυνδυαςμό των δφο (2) παραπάνω εντολϊν μποροφμε να ζχουμε μία

βαςικι ειδοποίθςθ και μία μζκοδο που κα ακολουκείται ςε προςπάκειεσ ping για εντοπιςμοφσ των Ι

που χρθςιμοποιοφνται ςτο δίκτυο. Με αυτό τον απλό τρόπο, μποροφμε να ςυμβάλουμε αιςκθτά ςτθν

καλφτερθ αςφάλεια του δικτφου μασ. Το laptop που κα ςετάρουμε με το SNORT, κα το τοποκετιςουμε

ςτο Main Switch και από εκεί κα φιλτράρουμε όλα τα πακζτα που περνάνε από το δίκτυό μασ. Αυτό

που μόλισ κάναμε με το ςυγκεκριμζνο εργαλείο, κα μποροφςαμε απλά να το μπλοκάρουμε μζςω

κάποιασ ACL που κα τοποκετοφςαμε ςτο δρομολογθτι του δικτφου μασ, αλλά ςε εκείνθ τθν περίπτωςθ

θ ανάγνωςθ των log files που παράγονται, γίνεται πολφ πιο ςπάνια και ζτςι κα μποροφςε το δίκτυο να

τεκεί ςε κίνδυνο ειςβολισ και να μθν το γνωρίηει κανείσ. Ροτζ δεν πρζπει να ξεχνάμε τον ανκρϊπινο

παράγοντα, που ειδικά ςε κζματα αςφαλείασ παίηει αρκετά μεγάλο ρόλο, όπωσ τονίςαμε τόςεσ φορζσ

και ςτα προθγοφμενα κεφάλαια τθσ εργαςίασ.


72

7. υμπερϊςματα

7.1 Αποτελϋςματα Εργαςύασ Με τθν ολοκλιρωςθ αυτισ τθσ εργαςίασ ζχουμε ςυλλζξει κάποιεσ πλθροφορίεσ οι οποίεσ πρζπει να

αναφερκοφν. Ρρϊτον, θ αςφάλεια ενόσ δικτφου και ενόσ Ρλθροφοριακοφ Συςτιματοσ βαςίηεται και

ςτο προςωπικό που εργάηεται ς’ αυτό και πρζπει να είναι πάντα ενθμερωμζνο.

Δεφτερον, θ αςφάλεια του δικτφου βαςίηεται και ςτισ παραμζτρουσ και ςτα μζτρα που ορίηουμε για το

δίκτυο μασ ωσ κάποια ζξτρα αςφάλεια. Ζτςι εκτόσ από ζνα μεγάλο κωδικό π.χ. που μπορεί να ορίςουμε

για διάφορα κομμάτια του δικτφου μασ, πρζπει να ακολουκοφνται κάποιεσ πολιτικζσ γι’ αυτό, ϊςτε να

μθν μπορεί να παραβιαςτεί εφκολα.

Τρίτον, ο κάκε επιτικζμενοσ ςυνικωσ κάνει κάποια ζρευνα για το δίκτυο που κζλει να επιτεκεί και

καλό κα είναι οι πλθροφορίεσ που δίνονται προσ τα ζξω να είναι ελάχιςτεσ και ςε καμία περίπτωςθ να

μθν δίνονται κρίςιμα δεδομζνα που μποροφν να χρθςιμοποιθκοφν εναντίον του δικτφου μασ.

Τζταρτον, κανζνα ςφςτθμα δεν μπορεί να είναι 100% αςφαλζσ και πρζπει πάντα να γίνονται ζλεγχοι

από το προςωπικό, ϊςτε ςε περίπτωςθ ευπάκειασ του ςυςτιματοσ ι του δικτφου, να γίνουν άμεςεσ

αλλαγζσ.

Ρζμπτον, θ κάκε εταιρεία καλό είναι να επενδφςει κάποιο κομμάτι του προχπολογιςμοφ τθσ για τθν

αςφάλεια των πλθροφοριϊν τθσ. Ζτςι, μία καλι μζκοδοσ για να υπάρξει κάποια ιςοςτάκμιςθ μεταξφ

κζρδουσ και ςπατάλθσ για τθν εταιρεία, είναι να γίνει κάποια μελζτθ ϊςτε να τοποκετθκοφν κάποια

ςυςτιματα που είναι πιο αξιόπιςτα (όπωσ ςυςκευζσ τθσ εταιρείασ Cisco) και παράλλθλα να μειωκοφν

τα ζξοδα από τα κλειδιά που πλθρϊνονται ςε εταιρείεσ όπωσ θ Microsoft και να χρθςιμοποιθκοφν

Λειτουργικά Συςτιματα ανοιχτοφ κϊδικα, όπωσ το Linux, τα οποία μάλιςτα μασ παρζχουν και

μεγαλφτερθ αςφάλεια των δεδομζνων μασ.

Ζκτον, οι πλθροφορίεσ που είναι αρκετά ςθμαντικζσ για το δίκτυο μασ, είναι καλό να μεταφζρονται

μζςω εικονικϊν δικτφων (VPN). Τα εικονικά δίκτυα είναι ζνα ζξτρα επίπεδο αςφαλείασ για τα δεδομζνα

μασ και μποροφμε να το χρθςιμοποιιςουμε αρκετά εφκολα.

7.2 Ανακεφαλαύωςη Στο πρϊτο κεφάλαιο είδαμε τθ γζννθςθ των Αςφρματων Δικτφων και πωσ αυτά εξελίχκθκαν ςτο

χρόνο. Στο δεφτερο κεφάλαιο είχαμε μία ανάλυςθ των πρωτοκόλλων που χρθςιμοποιοφνται ςτο τοπικά

Αςφρματα Δίκτυα τθσ οικογζνειασ του IEEE 802.11. Στο τρίτο κεφάλαιο, είχαμε μία αναφορά ςχετικά με

τθν αςφάλεια των πλθροφοριϊν μασ ςε ζνα αςφρματο δίκτυο και είδαμε τισ μεκόδουσ πιςτοποίθςθσ

που υπάρχουν. Επίςθσ κάναμε μία επιςκόπθςθ των παραπάνω δεδομζνων που παράχκθκαν. Στο

τζταρτο κεφάλαιο κάναμε μερικζσ επικζςεισ ςε Αςφρματα Δίκτυα και είδαμε τουσ χρόνουσ που

χρειάηονται για το ςπάςιμο ενόσ δικτφου. Επίςθσ είδαμε μερικά εργαλεία που χρθςιμοποιοφνται από

τουσ επιτικζμενουσ για παραγωγι λεξικϊν με λζξεισ κλειδιά, δθλαδι υποψιφιουσ κωδικοφσ/κλειδιά

για πρόςβαςθ ςτο εκάςτοτε δίκτυο.


73

Από το πζμπτο κεφάλαιο, αρχίςαμε να αςχολοφμαςτε με το δίκτυο του διμου Αμαρουςίου. Στο

ςυγκεκριμζνο κεφάλαιο αςχολθκικαμε με το διαμοιραςμό των υποδικτφων, τθ μελζτθ του χϊρου για

τθν τοποκζτθςθ των ςυςκευϊν ςε αυτό και με τθν εγκατάςταςθ ςυςτθμάτων αςφαλείασ (IDS & IPS)

που μποροφν να προςτατζψουν κι αυτά με τθ ςειρά τουσ το δίκτυο. Στο ζκτο κεφάλαιο αλλάξαμε λίγο

τθν τοπολογία του δικτφου μασ, τοποκετόντασ ζνα ακόμθ switch για τθν ςωςτϊτερθ λειτουργία του

δικτφου και τθν καλφτερθ δρομολόγθςθ των δεδομζνων, είδαμε τον τρόπο εγκατάςταςθ ενόσ

εικονικοφ δικτφου, τθ βαςικι παραμετροποίθςθ των δικτυακϊν ςυςκευϊν και τον τρόπο

παραμετροποιιςθσ ενόσ IDS/IPS.

Ακολουκοφν τρία (3) παραρτιματα, ςτο πρϊτο ζχουμε τα δεδομζνα των ρυκμίςεων των ςυςκευϊν

ζτςι όπωσ τισ παραμετροποιιςαμε, ςτο δεφτερο παράρτθμα βρίςκουμε μία προςκικθ εντολϊν για να

αυξιςουμε τθν αςφάλεια ςτισ δικτυακζσ ςυςκευζσ του κτθρίου του διμου, ενϊ ςτο τρίτο και τελευταίο

ζχουμε τον τρόπο εγκατάςταςθσ του OpenVPN ςτο ΛΣ Linux και πιο ςυγκεκριμζνα ςτθν ζκδοςθ Fedora

18.


74

ΠΑΡΑΡΣΗΜΑ Α (Configuration υςκευών Δικτύου)

Configuration Σων Switches Σε αυτό το παράρτθμα κα δοφμε όλα τα configuration files των Cisco Catalyst Switches που ζχουμε

εγκαταςτιςει ςτο δίκτυο του διμου Αμαρουςίου. Σε αυτά τα αρχεία βλζπουμε ςυγκεντρωτικά όλεσ τισ

ρυκμίςεισ που περιγράψαμε ςτα δφο τελευταία κεφάλαια, που ζχουν να κάνουν με τισ κφρεσ και τισ

παραμζτρουσ που ορίςαμε ςε αυτζσ, τα πρωτόκολλα που είναι ενεργά και άλλεσ πλθροφορίεσ. Να

ςθμειωκεί εδϊ πωσ ςτα configuration files που ακολουκοφν, δεν κα δοφμε αρκετζσ ρυκμίςεισ

αςφαλείασ, αλλά επικεντρωνόμαςτε ςτθ διαςυνδεςιμότθτα μεταξφ των ςυςκευϊν του δικτφου και των

κόμβων αυτοφ. Στο Ραράρτθμα Β, κα δοφμε κάποιεσ ζξτρα εντολζσ με τισ οποίεσ μποροφμε να

αυξιςουμε τθν αςφάλεια του δικτφου μασ και των ςυςκευϊν. Οι εντολζσ αυτζσ αφοροφν ςτθν

απενεργοποίθςθ υπθρεςιϊν των δικτυακϊν ςυςκευϊν που δεν τισ χρθςιμοποιοφμε, ςτθν προςκικθ

κωδικϊν αςφαλείασ ςτισ ςυςκευζσ (για log in κτλ) και ςτθν απενεργοποίθςθ υπθρεςιϊν TELNET.

Switch 2ου Ορόφου

Switch2rouOrofou#sh start //Εντολι show startup-config

Using 1446 bytes //Μζγεκοσ αρχείου αποκθκευμζνων ρυκμίςεων

!

version 12.2 //Ζκδοςθ Λ Cisco OS

no service timestamps log datetime msec //Μθ ενεργοποιθμζνθ υπθρεςία καταγραφισ log in ςτθ ςυςκευι

no service timestamps debug datetime msec //Μθ ενεγοποιθμζνθ υπθρεςία καταγραφισ ώρασ και θμ/νίασ

no service password-encryption //Μθ ενεργοποιθμζνθ υπθρεςία κρυπτογράφθςθσ των κωδικών αςφαλείασ

!

hostname Switch2rouOrofou //Όνομα ςυςκευισ

!

!

spanning-tree mode pvst //Default STP πρωτόκολλο (Per VLAN Spanning Tree Protocol)

!

interface FastEthernet0/1 //Interface Fa0/1

switchport access vlan 10 //Ανικει ςτο VLAN 10 (Διοίκθςθσ)

!


75


switchport access vlan 15 //Ανικει ςτο VLAN 15 (Γραμματείασ)

!


switchport access vlan 20 //Ανικει ςτο VLAN 20 (ΙΣ/Σεχνικοί)

!


shutdown //Απενεργοποιθμζνο

!



!



!



!



!


shutdown //Aπενεργοποιθμζνο

!



76


!



!



!



!



!



!



!



!




77

!



!



!



!



!



!


switchport trunk native vlan 87 //Native VLAN 87

switchport mode trunk //Ορίηουμε τθ κφρα ωσ trunk

!

interface GigabitEthernet1/1 //Interface Gig1/1



!



78


!

interface Vlan1 //Default VLAN1

no ip address //Δεν ζχει κάποια ΙΡ

shutdown //Δεν λειτουργεί κάποια κφρα του switch που να ανικει ςτο VLAN1

!

!

line con 0 //Θφρα κονςόλασ

!

line vty 0 4 //Θφρεσ 0 – 4 (λογικζσ) για απομακρυςμζνθ ςφνδεςθ TELNET/SSH

login //Απαιτεί log in

line vty 5 15 //Θφρεσ 5 - 15 (λογικζσ) για απομακρυςμζνθ ςφνδεςθ TELNET/SSH


!

!

end //Σζλοσ αρχείου ρυκμίςεων (startup-configuration file)

Switch 1ου Ορόφου

Switch1ouOrofou#sh start //Εντολι show startup-config

Using 1862 bytes //Μζγεκοσ αρχείου αποκυκευμζνων ρυκκίςεων

!





!


79

hostname Switch1ouOrofou //Όνομα ςυςκευισ

!

!


!


description Access Point Protokollou. Dinamiko 5 IPs. //Περιγραφι κφρασ

switchport access vlan 25 //Ανικει ςτο VLAN 25 (Πρωτόκολλο)

!


description Access Point Logistiriou. Dynamiko 10 IPs. //Περιγραφι κφρασ

switchport access vlan 30 //Ανικει ςτο VLAN 30 (Λογιςτιριο)

!


description Access Point Dym. Astynomias. Dynamiko 25 IPs. //Περιγραφι κφρασ

switchport access vlan 35 //Ανικει ςτο VLAN 30 (Δθμοτικισ Αςτυνομίασ)

!



!



!




80

!



!



!



!



!



!



!



!



!


81



!



!



!



!



!



!



!



!



82



!




!


description Trunk thyra, epikoinonia me Switch2rouOrofou. Allowed VLANs ALL! //Περιγραφι κφρασ



!


description Trunk thyra, epikoinonia me SwitchIsogeiou. Allowed VLANs ALL! //Περιγραφι κφρασ



!

interface Vlan1 //Default VLAN


shutdown //Δεν λειτουργεί κάποια κφρα του switch που να ανικει ςτο VLAN 1

!

!


!



83




!

!

end //Tζλοσ αρχείου ρυκμίςεων (startup-configuration file)

Switch Ιςογεύου

SwitchIsogeiou#sh start //Εντολι show startup-config


!





!

hostname SwitchIsogeiou //Όνομα ςυςκευισ

!

!


!


switchport access vlan 40 //Ανικει ςτο VLAN 40 (Πλθροφορίεσ)

!


switchport access vlan 45 //Ανικει ςτο VLAN 45 (Εξυπθρζτθςθ Δθμοτών)

!


84



!



!



!



!



!



!



!



!



85


!



!



!



!



!



!



!



!




86

!



!



!



!




!




!




!





87

!




!

!


!




login //Aπαιτεί log in

!

!


Switch Τπογεύου

SwitchYpogeiou#sh start //Εντολι show startup-config


!





!

hostname SwitchYpogeiou //Όνομα ςυςκευισ


88

!

!


!


switchport access vlan 95 //Ανικει ςτο VLAN 95 (Servers)

!



!



!



!



!



!



!


89



!



!



!



!



!



!



!



!



90


!



!



!



!



!



!



!



!




91


!




!




!




!

!


!





!

!


Main Switch

MainSwitch#sh start //Εντολι show startup-config


92


!





!

hostname MainSwitch //Όνομα ςυςκευισ

!

!


!




!




!




!



93



!



!

interface Vlan1 //Default VLAN



!

!


!





!

!


Configuration του Router Στθν τοπολογία που δθμιουργιςαμε για το κτιριο του διμου Αμαρουςίου, ζγινε θ εγκατάςταςθ ενόσ

μόνο δρομολογθτι. Ο δρομολογθτισ αυτόσ ςυνδζει όλα τα υποδίκτυα του διμου μεταξφ τουσ και

επίςθσ ςυνδζει το εςωτερικό δίκτυο με το Internet. Στο configuration file που ακολουκεί βλζπουμε όλεσ

τισ ρυκμίςεισ που είναι αποκθκευμζνεσ ςτο router και για ακόμθ μια φορά βαςιηόμαςτε ςτισ εντολζσ

και τισ ρυκμίςεισ που αφοροφν τθν διαςυνδεςιμότθτα των ςυςκευϊν και των κόμβων μεταξφ τουσ. Οι

εντολζσ που αφοροφν τθν ζξτρα αςφάλεια, περιγράφονται ςτο Ραράρτθμα Β.


94

Router Κτηρύου

Router#sh start //Εντολι show startup-config


!





!

hostname Router //Όνομα ςυςκευισ

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!


95

!

!

interface FastEthernet0/0 //Inteface Fa0/0

no ip address //Δεν ζχει οριςτεί κάποια ΙΡ

duplex auto //Αυτόματθ αναγνώριςθ half-duplex/full-duplex

speed auto //Αυτόματθ αναγνώριςθ ταχφτθτασ που υποςτθρίηεται από το μζςο

!






!

interface Serial2/0 //Interface Se2/0


clock rate 2000000 //Σαχφτθτα ςυγχρονιςμοφ μετάδοςθσ δεδομζνων (DTE/DCE)


!

interface Serial3/0 //Interface Se3/0


clock rate 2000000 //Σαχφτθτα ςυγχρονιςμοφ μετάδοςθσ δεδομζνων (DTE/DCE)


!




96


!




!

interface GigabitEthernet6/0 //Interface Gig6/0 (Router-on-a-stick)

no ip address //Δεν ζχει οριςτεί κάποια ΙΡ ςτο φυςικό αυτό interface



!

interface GigabitEthernet6/0.10 //Interface Gig6/0.10

encapsulation dot1Q 10 //Ενεργοποίθςθ πρωτοκόλλου 802.1Q για το VLAN 10

ip address 10.10.10.206 255.255.255.240 //Οριςμόσ ΙΡ διεφκυνςθσ (default gateway υποδικτφου)

!




!




!




97


!




!




!




!




!




!

interface Modem7/0 //Interface Mod7/0


!


98

ip classless //Λειτουργία ανάγνωςθσ τθσ route list του δρομολογθτι

!

!

!

no cdp run //Απενεργοποιθμζνο CDP (Cisco Descovery Protocol) για τθν ςυςκευι αυτι

!

!

!

!

!




!

!

!



99

ΠΑΡΑΡΣΗΜΑ Β (Έξτρα Παρϊμετροι Αςφαλεύασ) Στο Ραράρτθμα Α, είδαμε τα configuration files των ςυςκευϊν που ζχουμε εγκαταςτιςει ςτο δίκτυο

του διμου Αμαρουςίου. Πλεσ οι εντολζσ που παρουςιάςτθκαν ς’ εκείνο το παράρτθμα, αφοροφςαν

κακαρά τθν διαςυνδεςιμότθτα των ςυςκευϊν και όχι τθν αςφάλεια του δικτφου και των ςυςκευϊν.

Εδϊ λοιπόν κα δοφμε κάποιεσ ζξτρα παράμετρουσ/εντολζσ που μποροφμε να χρθςιμοποιιςουμε για

να ενδυναμϊςουμε τθν αςφάλεια του δικτφου.

Προςθόκη Κωδικών Αςφαλεύασ Οι ςυςκευζσ του δικτφου πρζπει πάντα να προςτατεφονται όςο το δυνατόν καλφτερα. Η πρϊτθ κίνθςθ

που πρζπει να γίνει γι’ αυτό, είναι θ προςκικθ κωδικϊν ςτθν ςυςκευι. Ζτςι ςε περίπτωςθ που κάποιοσ

μπορζςει να αποκτιςει πρόςβαςθ (φυςικι ι απομακρυςμζνθ) ςτο εκάςτοτε μθχάνθμα, να πρζπει να

ζχει και τον κωδικό για να αποκτιςει πρόςβαςθ ς’ αυτό.

Η πρϊτθ μζκοδοσ είναι να χρθςιμοποιιςουμε τθν κρυπτογράφθςθ των κωδικϊν που κα προςκζςουμε

ςτισ ςυςκευζσ. Αν ζχουμε ιδθ κωδικοφσ ςτθ ςυςκευι, οι οποίοι μπορεί να διαβαςτοφν ςε plain text αν

δει κάποιοσ το startup-config ι το running-config, μετά τθν προςκικθ αυτισ τθσ εντολισ, και οι κωδικοί

αυτοί κα κρυπτογραφθκοφν. Για τθν ενεργοποίθςθ τθσ υπθρεςίασ αυτισ, χρθςιμοποιοφμε τθν

ακόλουκθ εντολι:

Switch(config)#service password-encryption

Ο πρϊτοσ κωδικόσ που μποροφμε να προςκζςουμε είναι ο κωδικόσ που κα απαιτείται όταν ο χριςτθσ

πλθκτρολογιςει τθν εντολι “enable”, δθλαδι κατζβει ζνα ςτθ ςυςκευι και πλζον ζχει μερικά

δικαιϊματα παραμετροποίθςισ τθσ ι προβολισ περιςςότερων πλθροφοριϊν. Ο κωδικόσ αυτόσ μπορεί

να ενεργοποιθκεί με δφο τρόπουσ. Ο πρϊτοσ είναι με το “enable password” και ο δεφτεροσ (και αυτόσ

που χρθςιμοποιιςαμε) με το “enable secret”. Η διαφορά των δφο είναι ότι ςτθν πρϊτθ περίπτωςθ ο

κωδικόσ δεν κρυπτογραφείτε (ςε περίπτωςθ που δεν ζχουμε το password-encryption ενεργοποιθμζνο),

ενϊ ςτθ δεφτερθ ο κωδικόσ κρυπτογραφείται και ζτςι δεν μπορεί να διαβαςτεί ςαν plain text. Η εντολι

για τθν ενεργοποίθςθ του κωδικοφ είναι θ εξισ:

Switch(config)#enable secret thisIsMyPassword

Ζνασ κωδικόσ ακόμθ που μποροφμε να ενεργοποιιςουμε είναι για τθν κονςόλα. Η κάκε ςυςκευι

Ciscο, ζχει μία ειδικι κφρα μζςω τθσ οποίασ μποροφμε να παραμετροποιιςουμε το μθχάνθμα αυτό.

Για ζξτρα προςταςία, προςκζτουμε ζνα ςετ τριϊν (3) εντολϊν για να ενεργοποιιςουμε και ς’ αυτι τθν

ςφνδεςθ κάποιο κωδικό αςφαλείασ. Η πρϊτθ εντολι,αφορά τθ κφρα console 0. Η δεφτερθ εντολι

αφορά τον κωδικό, ενϊ θ τρίτθ χρθςιμοποιείται για να ηθτάει από τον χριςτθ τον κωδικό. Σε

περίπτωςθ που αγνοιςουμε τθν τρίτθ εντολι, τότε ο κωδικόσ κα υπάρχει αποκθκευμζνοσ, αλλά δεν κα

ηθτείται από τον χριςτθ(!). Αυτό βζβαια είναι ζνα μεγάλο κενό αςφαλείασ το οποίο δεν πρζπει να

παραλθφκεί. Για τον κωδικό αυτό, χρθςιμοποιοφμε:

Switch(config)#line console 0

Switch(config-line)#password thisIsMyPassword


100

Switch(config-line)#login

O τελευταίοσ κωδικόσ που μποροφμε να ενεργοποιιςουμε είναι αυτόσ τθσ TELNET/SSH

απομακρυςμζνθσ ςφνδεςθσ. Να ςθμειϊςουμε εδϊ, πωσ μία Cisco ςυςκευι μπορεί να υποςτθρίξει

μζχρι και 15 επιτυχθμζνεσ ταυτόχρονεσ TELNET/SSH ςυνδζςεισ(!). Το ςετ των εντολϊν για τθν

ενεργοποίθςθ του κωδικοφ απομακρυςμζνθσ ςφνδεςθσ είναι αντίςτοιχο με τθν ενεργοποίθςθ του

κωδικοφ για τθν console κφρα.

Switch(config)#line vty 0 4

Switch(config-line)#password thisIsMyPassword

Switch(config-line)#login

Στο παραπάνω ςετ εντολϊν, ενεργοποιοφμε τον κωδικό “thisIsMyPassword” για μζχρι και πζντε (5)

επιτυχθμζνεσ απομακρυςμζνεσ ςυνδζςεισ (0 – 4). Και πάλι θ εντολι “login” είναι υποχρεωτικι για να

ηθτείται από τον χριςτθ να ειςάγει τον κωδικό. Χωρίσ τθν εντολι αυτι, ο κωδικόσ κα υπάρχει

αποκθκευμζνοσ, αλλά δεν κα ηθτείται πουκενά.

Μία ακόμθ μζκοδοσ που αφορά τουσ κωδικοφσ, είναι ο οριςμόσ κάποιου ελάχιςτου πλικουσ

χαρακτιρων. Μία πολιτικι που αφορά τουσ κωδικοφσ είναι να ζχουν μεγάλο μζγεκοσ. Πςο πιο μεγάλο

είναι το μζγεκοσ ενόσ κωδικοφ, τόςο πιο δφςκολο είναι να ςπάςει. Για να ορίςουμε το ελάχιςτο πλικοσ

χαρακτιρων για τουσ κωδικοφσ που μποροφν να ενεργοποιθκοφν ςτισ ςυςκευζσ μασ, χρθςιμοποιοφμε

τθν ακόλουκθ εντολι (ελάχιςτο πλικοσ κωδικοφ οι δζκα χαρακτιρεσ):

Switch(config)#service passwords ming-length 10

Απενεργοπούηςη Τπηρεςιών Μία ακόμθ μζκοδοσ που προςφζρει ζξτρα αςφάλεια ςτο δίκτυο μασ, είναι να απενεργοποιιςουμε τισ

υπθρεςίεσ που παρζχονται από τισ δικτυακζσ ςυςκευζσ και δεν τισ χρθςιμοποιοφμε. Ρολλζσ φορζσ ο

επιτικζμενοσ μπορεί να απωφελθκεί από ξεχαςμζνεσ πόρτεσ ςυςκευϊν οι οποίεσ είναι ανοιχτζσ για

κάποιεσ υπθρεςίεσ.

Μία ακόμθ κφρα που ζχουν οι Cisco ςυςκευζσ είναι θ auxiliary. Η ςυγκεκριμζνθ κφρα υπάρχει για να

μπορζςουμε να ζχουμε πρόςβαςθ ςτθ ςυςκευι εκτόσ δικτφου και εκτόσ απομακρυςμζνθσ ςφνδεςθσ.

Στθ ςυγκεκριμζνθ πόρτα ςυνδζεται ζνα RJ-11 καλϊδιο (τθλεφωνικό) και ζτςι ςε περίπτωςθ που

υπάρχει κάποιο πρόβλθμα με το δίκτυο, μποροφμε να ζχουμε πρόςβαςθ μζςω αυτισ. Στθν περίπτωςθ

μασ, δεν κα χρθςιμοποιείται κάτι τζτοιο, οπότε κα προχωριςουμε ςτθν απενεργοποίθςθ αυτισ τθσ

υπθρεςίασ. Για να γίνει αυτό, χρθςιμοποιοφμε το ακόλουκο ςετ εντολϊν:

Router(config)#line aux 0

Router(config-line)#no password

Router(config-line)#login


101

Με τθν χριςθ των τριϊν αυτϊν εντολϊν, ουςιαςτικά ηθτάμε από το router ο χριςτθσ να πρζπει να

κάνει log in ςτθ ςυςκευι, αλλά δεν ζχουμε ορίςει κάποιο κωδικό και ζτςι, με τθ χριςθ αυτϊν των

εντολϊν, λαμβάνουμε το μινυμα “%Login disabled, until password is set”.

Ππωσ ζχουμε ιδθ αναφζρει, οι TELNET ςυνδζςεισ είναι αρκετά αναξιόπιςτεσ, αφοφ θ οποιαδιποτε

πλθροφορία μεταξφ των δφο ςυςκευϊν, μπορεί να διαβαςτεί ςε plain text. Ζτςι θ καλφτερθ μζκοδοσ

που μποροφμε να ακολουκιςουμε είναι να απενεργοποιιςουμε το TELNET και αν χρειάηεται κάποια

απομακρυςμζνθ ςφνδεςθ αυτι να γίνεται μζςω SSH. Η διαδικαςία αυτι είναι πιο περίπλοκθ από αυτζσ

που περιγράψαμε παραπάνω, αλλά είναι αρκετά ςθμαντικό το να γίνει ςε περίπτωςθ που ζχουμε

TELNET ςυνδζςεισ. Το πρϊτο ςετ εντολϊν για να ρυκμίςουμε το SSH με τουσ κωδικοφσ που κζλουμε, με

τθν κρυτπογράφθςθ που κζλουμε να χρθςιμοποιεί, με το time-out τθσ ςφνδεςθσ και τισ προςπάκειεσ

ςφνδεςθσ, είναι το ακόλουκο:

Router(config)#hostname Thor

Router(config)#ip domain-name myCiscoRouter.com

Router(config)#crypto key generate rsa

Router(config)#username MyMainUser secret MyPassword

Router(config)#line vty 0 4

Router(config-line)#transport input ssh

Router(config-line)#login local

Router(config-line)#ip ssh time-out 15

Router(config-line)#ip ssh authentication-retries 2

Με το παραπάνω ςετ εντολϊν, ορίςαμε ςαν hostname του δρομολογθτι το όνομα “Thor”, το domain

με ονομαςία “myCiscoRouter.com” και ενεργοποιιςαμε τθν κρυπτρογράφθςθ RSA. Στθ ςυνζχεια

δθμιουργιςαμε ζνα user με όνομα “MyMainUser” και κωδικό “MyPassword”. Μετά ακολοφκθςε θ

παραμετροποίθςθ τθσ απομακρυςμζνθσ ςφνδεςθσ. Σετάραμε τισ πρϊτεσ πζντε (5) απομακρυςμζνεσ

ςυνδζςεισ (επιτυχθμζνεσ) με τα εξισ χαρακτθριςτικά:

● Ενεργοποίθςθ του SSH

● Αντιςτοιχία των πλθροφοριϊν ειςόδου του τοπικοφ χριςτθ για απομακρυςμζνθ ςφνδεςθ

● Διακοπι τθσ ςφνδεςθσ μετά από πικανι αδράνεια άνω των δεκαπζντε (15) λετπϊν

● Δυνατότθτα δφο (2) προςπακειϊν για ςφνδεςθ του απομακρυςμζνου χριςτθ


102

Αφοφ ζγιναν οι παραπάνω ρυκμίςεισ, το επόμενο βιμα είναι θ απενεργοποίθςθ τθσ TELNET

υπθρεςίασ και ο οριςμόσ του SSH ωσ default για απομακρυςμζνεσ ςυνδζςεισ. Για να γίνει αυτό,

χρθςιμοποιοφμε το ακόλουκο ςετ εντολϊν:


Router(config-line)#no transport input

Router(config-line)#transport input ssh

Router(config-line)#exit

Μετά το πζραςμα των παραπάνω εντολϊν, που μζςω των οποίων απενεργοποιοφμε το TELNET και

ενεργοποιοφμε μόνο το SSH, πρζπει να πλθκτρολογιςουμε και το τελευταίο ςετ εντολϊν:


Router(config-line)#exec-timeout 3

Router(config-line)#exit

Router(config)#service tcp-keepalives-in

Ππωσ είδαμε το να απενεργοποιιςουμε το TELNET και να ρυκμίςουμε και να ενεργοποιιςουμε το

SSH, είναι μια πιο δφςκολθ διαδικαςία και χρειάηεται περιςςότερο χρόνο από τισ υπόλοιπεσ υπθρεςίεσ.

Αυτό βζβαια δεν πρζπει να μασ αποκαρρφνει, οφτε να παραλείψουμε κάποια τζτοια

ρφκμιςθ/απενεργοποίθςθ ςε περίπτωςθ που ζχουμε απομακρυςμζνεσ ςυνδζςεισ ςτο δίκτυο μασ.

Μία ακόμθ υπθρεςία που μπορεί να απενεργοποιθκεί αν δεν χρθςιμοποιείται είναι το CDP. To CDP

χρθςιμοποιείται για χαρτογράφθςθ του δικτφου ςε Cisco εξοπλιςμό. Είναι ζνα πρωτόκολλο που ζχει

δθμιουργθκεί από τθ Cisco και ουςιαςτικά “μιλάει” με τισ γειτονικζσ ςυςκευζσ και μπορεί ο χριςτθσ να

πάρει αρκετζσ πλθροφορίεσ για τον κάκε γείτονα. Ζτςι αν ο επιτικζμενοσ ζχει πρόςβαςθ ςε μία από τισ

ςυςκευζσ, τότε μζςω εντολϊν που χρθςιμοποιοφν το CDP, μπορεί να πθγαίνει από ςυςκευι ςε

ςυςκευι, να δει τα χαρακτθριςτικά τθσ κάκε γειτονικισ ςυςκευισ και να κάνει μία πλιρθ

χαρτογράφθςθ του δικτφου μασ. Σε περίπτωςθ που κζλουμε να απενεργοποιιςουμε το CDP μποροφμε

να το κάνουμε με δφο (2) τρόπουσ. Μποροφμε να το απενεργοποιιςουμε ςε κάποια/εσ κφρα/εσ ι ςε

ολόκλθρθ τθ ςυςκευι.

Switch(config)#no cdp run //Απενεργοποίθςθ ςε όλθ τθ ςυςκευι

Switch(config-if)#no cdp enable //Απενεργοποίθςθ ςε κάποια κφρα


103

ΠΑΡΑΡΣΗΜΑ Γ (Εγκατϊςταςη OpenVPN)

Εγκατϊςταςη και Παραμετροπούηςη Αρχεύου Ρυθμύςεων του OpenVPN Για τθν εγκατάςταςθ του OpenVPN ςτθν ζκδοςθ Fedora 18 χρθςιμοποιοφμε τθν εντολι:

$yum install openvpn openvpn-blacklist

Σαν αποτζλεςμα, ζχουμε όλα τα πακζτα που χρειαηόμαςτε για να εγκαταςτιςουμε και να

παραμετροποιιςουμε τθν υπθρεςία VPN. Μετά τθν εγκατάςταςθ του προγράμματοσ, πλοθγοφμαςτε

ςτον φάκελο “/usr/share/doc/openvpn/examples/sample-config-files/” και αντιγράφουμε το sample

config file που υπάρχει με ονομαςία “server.conf.gz” ςτο φάκελο /etc/openvpn, αφοφ πρϊτα το

αποςυμπιζςουμε. Το αρχείο μετά τθν παραμετροποίθςθ του είναι το ακόλουκο και οι ρυκμίςεισ μασ

είναι αυτζσ με το κόκκινο χρϊμα:

# Which TCP/UDP port should OpenVPN listen on?

# If you want to run multiple OpenVPN instances

# on the same machine, use a different port

# number for each one. You will need to

# open up this port on your firewall.

port 1194 //Port που ορίςαμε και ςτο ΝΑΣ του δρομολογθτι

# TCP or UDP server?

proto udp //Σφποσ πρωτοκόλλου

# "dev tun" will create a routed IP tunnel,

# "dev tap" will create an ethernet tunnel.

# Use "dev tap0" if you are ethernet bridging

# and have precreated a tap0 virtual interface

# and bridged it with your ethernet interface.

# If you want to control access policies

# over the VPN, you must create firewall

# rules for the the TUN/TAP interface.

# On non-Windows systems, you can give

# an explicit unit number, such as tun0.

# On Windows, use "dev-node" for this.


104

# On most systems, the VPN will not function

# unless you partially or fully disable

# the firewall for the TUN/TAP interface.

dev tun //Δθμιουργία τοφνελ μζςω δρομολογθτών

# SSL/TLS root certificate (ca), certificate

# (cert), and private key (key). Each client

# and the server must have their own cert and

# key file. The server and all clients will

# use the same ca file.

#

# See the "easy-rsa" directory for a series

# of scripts for generating RSA certificates

# and private keys. Remember to use

# a unique Common Name for the server

# and each of the client certificates.

#

# Any X509 key management system can be used.

# OpenVPN can also use a PKCS #12 formatted key file

# (see "pkcs12" directive in man page).

ca ca.crt //Αρχείο πιςτοποίθςθσ

cert server.crt //Αρχείο configuration του server

key server.key # This file should be kept secret

# Diffie hellman parameters.

# Generate your own with:

# openssl dhparam -out dh1024.pem 1024

# Substitute 2048 for 1024 if you are using

# 2048 bit keys.


105

dh dh2048.pem //Αρχείο που περιζχει το κλειδί ςφνδεςθσ μεγζκουσ 2048 bit

# Configure server mode and supply a VPN subnet

# for OpenVPN to draw client addresses from.

# The server will take 10.8.0.1 for itself,

# the rest will be made available to clients.

# Each client will be able to reach the server

# on 10.8.0.1. Comment this line out if you are

# ethernet bridging. See the man page for more info.

server 10.10.10.193 255.255.255.240 //Subnet (Διοίκθςθσ) από το οποίο παίρνουν ΙΡ οι VPN clients

# Maintain a record of client virtual IP address

# associations in this file. If OpenVPN goes down or

# is restarted, reconnecting clients can be assigned

# the same virtual IP address from the pool that was

# previously assigned.

ifconfig-pool-persist ipp.txt //Αρχείο διατιρθςθσ διευκφνςεων ΙΡ των χρθςτών του VPN

# Push routes to the client to allow it

# to reach other private subnets behind

# the server. Remember that these

# private subnets will also need

# to know to route the OpenVPN client

# address pool (10.8.0.0/255.255.255.0)

# back to the OpenVPN server.

push "route 10.10.10.193 255.255.255.240" //To υποδίκτυο ςτο οποίο κα ζχουν access οι VPN clients

# If enabled, this directive will configure

# all clients to redirect their default

# network gateway through the VPN, causing

# all IP traffic such as web browsing and


106

# and DNS lookups to go through the VPN

# (The OpenVPN server machine may need to NAT

# or bridge the TUN/TAP interface to the internet

# in order for this to work properly).

push "redirect-gateway def1 bypass-dhcp" //Όλθ θ κίνθςθ του κόμβου περνάει μζςα από το server

# Certain Windows-specific network settings

# can be pushed to clients, such as DNS

# or WINS server addresses. CAVEAT:

# http://openvpn.net/faq.html#dhcpcaveats

# The addresses below refer to the public

# DNS servers provided by opendns.com.

push "dhcp-option DNS 10.13.13.1"

# Uncomment this directive to allow different

# clients to be able to "see" each other.

# By default, clients will only see the server.

# To force clients to only see the server, you

# will also need to appropriately firewall the

# server's TUN/TAP interface.

client-to-client //Οι ςυςκευζσ του vpn μποροφν να “βλζπουν” θ μία τθν άλλθ

# The keepalive directive causes ping-like

# messages to be sent back and forth over

# the link so that each side knows when

# the other side has gone down.

# Ping every 10 seconds, assume that remote

# peer is down if no ping received during

# a 120 second time period.

keepalive 10 120 //ping ανά 10 sec και κλείςιμο τθσ ςφνδεςθσ μετά από 120 sec (χωρίσ απάντθςθ)

http://openvpn.net/faq.html


107

# For extra security beyond that provided

# by SSL/TLS, create an "HMAC firewall"

# to help block DoS attacks and UDP port flooding.

#

# Generate with:

# openvpn --genkey --secret ta.key

#

# The server and each client must have

# a copy of this key.

# The second parameter should be '0'

# on the server and '1' on the clients.

tls-auth ta.key 0 # This file is secret

tls-server

# Select a cryptographic cipher.

# This config item must be copied to

# the client config file as well.

cipher AES-256-CBC //Σφποσ και μοντζλο κρυπτογράφθςθσ

# Enable compression on the VPN link.

# If you enable it here, you must also

# enable it in the client config file.

comp-lzo //υμπίεςθ δεδομζνων μζςα ςτο VPN κανάλι

# The maximum number of concurrently connected

# clients we want to allow.

max-clients 2 //Τποςτιριξθ μόνο δφο (2) ςυςκευών (δθμάρχου / αντιδθμάρχου)

# It's a good idea to reduce the OpenVPN

# daemon's privileges after initialization.

#


108

# You can uncomment this out on

# non-Windows systems.

user openvpn //Για δθμιουργία χριςτθ και

group openvpn //group χρθςτών ςε Linux like Λ

# The persist options will try to avoid

# accessing certain resources on restart

# that may no longer be accessible because

# of the privilege downgrade.

persist-key //Μζκοδοι αςφαλείασ για μθ πρόςβαςθ ςε δεδομζνα

persist-tun //μετά από κάποια πικανι αφαίρεςθ δικαιωμάτων

# Output a short status file showing

# current connections, truncated

# and rewritten every minute.

status /var/log/openvpn/openvpn-status.log //Δθμιουργία log file που ενθμερώνεται ανά λεπτό για τισ

ενεργζσ ςυνδζςεισ

# By default, log messages will go to the syslog (or

# on Windows, if running as a service, they will go to

# the "\Program Files\OpenVPN\log" directory).

# Use log or log-append to override this default.

# "log" will truncate the log file on OpenVPN startup,

# while "log-append" will append to it. Use one

# or the other (but not both).

log /var/log/openvpn/openvpn.log //Αλλαγι καταλόγου για τθν αποκικευςθ των log files

;log-append openvpn.log

# Set the appropriate level of log

# file verbosity.

#

# 0 is silent, except for fatal errors


109

# 4 is reasonable for general usage

# 5 and 6 can help to debug connection problems

# 9 is extremely verbose

verb 4 //Επίπεδο καταγραφισ των δεδομζνων του VPN ςτα log files. To 4 είναι ζνα μζςο επίπεδο το οποίο

ενθμερώνει τα log files με “λογικοφσ” ρυκμοφσ

# Silence repeating messages. At most 20

# sequential messages of the same message

# category will be output to the log.

mute 20 //τα 20 επαναλαμβανόμενα ίδια μθνφματα ςτο log file, τότε ςταματοφν να ξαναγράφονται και

προςπερνοφνται

Λόγω του ότι από default τα logs αποκθκεφονται ςτον κατάλογο /etc/openvpn, δθμιουργιςαμε τον

κατάλογο αυτό και δϊςαμε δικαιϊματα ιδιοκτθςίασ αυτοφ του καταλόγου από τον χριςτθ openvpn με

τισ παρακάτω εντολζσ:

$mkdir –p /var/log/openvpn

$chown openvpn:openvpn /var/log/openvpn

$chmod 750 /var/log/openvpn

Δημιουργύα Κλειδιών για Server και Clients Αρχικά πλοθγοφμαςτε ςτον κατάλογο /usr/share/doc/openvpn/examples/easy-rsa/ και version

αντιγράφουμε τα αρχεία που περιζχει ςε ζναν άλλο κατάλογο. Στθ ςυνζχεια πθγαίνουμε ςτον

κατάλογο που κάναμε τθν αντιγραφι αυτι και δθμιουργοφμε το κλειδί για τον server τρζχοντασ το

εργαλείο παραγωγισ κλειδιϊν του openvpn με τθν εντολι:

$./build-key-server server

Στθ ςυνζχεια, αφοφ ορίςαμε μζχρι δφο clients για το VPN μασ, δθμιουργοφμε τα κλειδιά και για

αυτοφσ με ζναν αντίςτοιχο τρόπο. Οι εντολζσ που χρθςιμοποιοφμε για τθν παραγωγι των κλειδιϊν

αυτϊν είναι οι ακόλουκεσ:

$./build-key client1

$./build-key client2

Για τισ παραμζτρουσ “Diffie Hellman” χρθςιμοποιοφμε τθν εξισ εντολι (2048 bit για μεγαλφτερθ

αςφάλεια):

$openssl dhparam –out dh2048.pem 2048


110

Για ζξτρα αςφάλεια εκτόσ του SSL και προςταςία από DDoS επικζςεισ και αποφυγι υπερχείλιςθσ

(flooding) UDP πακζτων, τρζχουμε τθν παρακάτω εντολι:

$openvpn –genkey –secret ta.key

Μετά τθν διαδικαςία που περιγράφτθκε παραπάνω, αντιγράφουμε τα κλειδιά που δθμιουργιςαμε

ςτον κατάλογο /etc/openvpn και ελζγχουμε να ζχουμε τα ςωςτά δικαιϊματα ςτα αρχεία αυτά με τθν

εντολι “$ls –lha”. Επίςθσ πρζπει να αντιγράψουμε τα κλειδιά των clients ςτα εκάςτοτε μθχανιματα.

Παραμετροπούηςη ΝΑΣ Τπολογιςτό Από τθν ςτιγμι που γνωρίηουμε ςε ποιο υποδίκτυο ανικουν όλοι οι clients του VPN, απλά ορίηουμε το

ΝΑΤ ςτον server ϊςτε να εξυπθρετεί τισ ανάγκεσ “μετάφραςθσ”. Αρχικά ορίηουμε ζνα κανόνα των ip

tables για να κάνει τθ μετάφραςθ που αφορά τουσ πελάτεσ του VPN με τθν εξισ εντολι:

$iptables –A POSTROUTING –s 10.10.10.193/28 –o wlan0 –j MASQUERADE

και ςτθ ςυνζχεια αποκθκεφουμε τον κανόνα αυτό με τθν εντολι:

$iptables-save > /etc/iptables.rules

Μετά επεξεργαηόμαςτε το αρχείο /etc/network/interfaces -για να φορτϊνεται αυτόματα αυτόσ ο

κανόνασ μετά από κάκε εκκίνθςθ του υπολογιςτι- και ςτθν παράμετρο wlan0 προςκζτουμε τθν

ακόλουκθ γραμμι:

pre-up iptables-restore < /etc/iptables.rules

Τελευταίο βιμα τθσ εγκατάςταςισ μασ, είναι να ρυκμίςουμε τθν προϊκθςθ των πακζτων. Η υπθρεςία

ςτο Linux είναι θ IP_forward και για να τθν ενεργοποιιςουμε ϊςτε να λειτουργεί από default μετά από

κάκε εκκίνθςθ του υπολογιςτι, παραμετροποιοφμε το αρχείο /etc/sysctl.conf. Ελζγχουμε αν θ

παράμετροσ “net.ipv4.ip_forward” ιςοδυναμεί με μθδζν (0) και αν ιςχφει κάτι τζτοιο, τότε τθν

αλλάηουμε ςτισ εξισ μορφι:

net.ipv4.ip_forward=1


111

υντομογραφύεσ A

AES: Advanced Encryption Standard

AP: Access Point

ARP: Address Resolution Protocol

B

BCCH: Broadcast Control Channels

BCH: Broadcast Channels

BSS: Basic Service Sets

C

CDM: Code Division Multiplex

CDP: Cisco Descovery Protocol

CDMA: Code Division Multiple Access

CRC: Circle Redundancy Check

CSMA/CA: Carrier Sense Multiple Access / Collision Avoidance

CSMA/CD: Carrier Sense Multiple Access / Collision Detect

D

DES: Data Encryption Standard

DHCP: Dynamic Host Control Protocol

E

ESS: Extended Service Set

ESSID: Ess Service Set Identifier


112

ETSI: European Telecommunications Standard Institute

F

Fa: Fast Ethernet port

FDD: Frequency Division Duplex

FDMA: Frequency Division Multiple Access

FHSS: Frequency Hopping Spread Spectrum

G

Gig: Gigabit Ethernet port

GUI: Graphical User Interface

I

IP: Internet Protocol

IPsec: Internet Protocol Security

IANA: Internet Assigned Numbers Authority

ICMP: Internet Control Message Protocol

IEEE: Institute for Electrical and Electronic Engineers

ISDN: Integrated Services Digital Networks

ITU: International Telecommunication Union

L

L2TP: Layer 2 Tunneling Protocol

LAC: Link Access Control

LAN: Local Area Network

M

MAC: Media Access Control


113

MIMO: Multiple Input Multiple Output

N

NAT: Network Address Translation

NIC: Network Interface Controller

O

OFDM: Orthogonal Frequency Division Multiplexing

OSI: Open Systems Interconnection

P

PHY: Physical layer

PPTP: Point-to-Point Tunneling Protocol

Q

QoS: Quality of Service

R

RADIUS: Remote Access Dial-In User Service

RFCs: Request for Comments

S

SCH: Synchronization Channel

SFD: Start Frame Delimiter

SNR: Signal to Noise Ratio

SSD: Shared Secret Data

SSID: Service Set Identifier

STP: Spanning Tree Protocol


114

T

TCH: Traffic Channel

TCP/IP: Transmission Control Protocol / Internet Protocol

TDD: Time Division Duplex

TDM: Time Division Multiplex

TDMA: Time Division Multiple Access

TKIP: Temporal Key Integrity Protocol

TLS: Transport Layer Security

V

VLAN: Virtual Local Area Network

VPN: Virtual Private Network

VTP: VLAN Trunking Protocol

W

WEP: Wired Equivalent Privacy

Wi-Fi: Wireless - Fidelity

WLAN: Wireless Local Area Network

WPA: Wi-Fi Protected Access

\


115

Βιβλιογραφύα

Βιβλύα [1] Andrew S. Tanenbaum, 2000, Δίκτυα Τπολογιςτϊν, Εκδόςεισ Ραπαςωτθρίου (Τρίτθ Ζκδοςθ)

[2] David Hucaby, 2010, CCNP Switch 642-813, Εκδόςεισ ciscopress.com

[3] Wendell Odom, 2010, CCNP Route 642-902, Εκδόςεισ ciscopress.com

[4] Kevin Wallace, 2010, CCNP Tshoot 642-832, Εκδόςεισ ciscopress.com

[5] Naomi J. Alpern, 2009, Cisco Bible, Εκδόςεισ Syngress Publishing

[6] Joel Scambray, Stuart McClure, George Kurtz, 2003, Χάκερ Επίθεςη & Άμυνα, Εκδόςεισ Μ.

Γκιοφρδασ (Τζταρτθ Ζκδοςθ)

[7] Jon Erickson, 2008, Hacking The art of Exploitation, Εκδόςεισ No starch press (Δεφτερθ Ζκδοςθ)

[8] Emmanuel Goldstein, 1999, The best of 2600 [A hacker odyssey], Εκδόςεισ Wiley

*9+ Α. Σουρισ, Δ. Ρατςόσ, Ν. Γρθγοριάδθσ, 2004, Αςφάλεια τησ Πληροφορίασ, Εκδόςεισ Νζων

Τεχνολογιϊν

[10] Ρ. Ε. Νάςτου, Ρ. Γ. Σπυράκθσ, Γ. Κ. Σταματίου, 2003, φγχρονη Κρυπτογραφία, Μια Ξζγνοιαςτη

διαδρομή ςτα μονοπάτια τησ, Εκδόςεισ Ελλθνικα γράμματα (Τρίτθ Ζκδοςθ)

[11+ Α. Ρομπορτςισ, Α. Τςουλφάσ, 2001, Προςομοίωςη Δικτφων Τπολογιςτϊν, Εκδόςεισ Τηιόλα

[12+ Θ. Τςιλιγκιρίδθσ, Γ. Αλεξίου, Χ. Μπουράσ, Χ. Μαμαλοφκασ, Ρ. Αγγελλοπουλοσ, 2002, Μετάδοςη

Δεδομζνων και Δίκτυα Τπολογιςτϊν Ι & ΙΙ, Οργανιςμόσ Εκδόςεωσ Διδακτικϊν Βιβλίων

[13] M. Welsh, M. K. Dalheimer, L. Kaufman, 2001, Ο Οδηγόσ του Linux, Εκδόςεισ Κλειδάρικμοσ (Τρίτθ

Αμερικάνικθ Ζκδοςθ)

[14] S. Granneman, 2006, Linux Phrasebook, Εκδόςεισ Developer’s Library

Ιςτότοποι – Πηγϋσ [1] https://www.netacad.com/

[2] http://www.cisco.com/en/US/prod/collateral/routers/ps5855/prod_brochure0900aecd8019dc1f.pdf

[3] http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml

[4] https://en.wikipedia.org/wiki/IEEE_802.11

[5] http://standards.ieee.org/about/get/802/802.11.html

https://www.netacad.com/

http://www.cisco.com/en/US/prod/collateral/routers/ps5855/prod_brochure0900aecd8019dc1f.pdf

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml


http://standards.ieee.org/about/get/802/802.11.html


116

[6] https://en.wikipedia.org/wiki/IEEE_802.11

[7] https://en.wikipedia.org/wiki/Hacker_(computer_security)

[8] https://en.wikipedia.org/wiki/Photophone

[9] http://www.cbtnuggets.com/it-training-videos/series/cisco-ccnp-switch-642-813

[10] https://en.wikipedia.org/wiki/Service_set_(802.11_network)

[11] http://www.ifeed.gr/%CE%B2%CE%B5%CE%BB%CF%84%CE%B9%CF%8E%CF%83%CF%84%CE%B5-

%CE%B1%CF%80%CF%8C%CE%B4%CE%BF%CF%83%CE%B7-

%CE%B1%CF%83%CF%8D%CF%81%CE%BC%CE%B1%CF%84%CE%BF%CF%85-

%CE%B4%CE%B9%CE%BA%CF%84%CF%8D%CE%BF%CF%85/

[12] https://en.wikipedia.org/wiki/Wired_Equivalent_Privacy

[13] https://en.wikipedia.org/wiki/Cyclic_redundancy_check

[14] https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access

[15] https://en.wikipedia.org/wiki/IEEE_802.11i-2004

[16] https://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol

[17] https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Εργαςύεσ – Μελϋτεσ *1+ Α. Κουρμπζλθσ, Γ. Ψωρομφτθσ, 2012, υγκριτική Μελζτη των Σεχνολογιϊν και τησ Αςφάλειασ των

Αςφρματων και Κινητϊν Δικτφων Επικοινωνιϊν

*2+ Ρ. Ραπαδόπουλοσ, Α. Τριανταφυλλίδθσ, 2009, Σα Προτερήματα του Ανοιχτοφ Λογιςμικοφ Ζναντι

του Εμπορευματοποιημζνου: Χρήςη και Εξζλιξη

Περιοδικϊ – Δημοςιεύςεισ [1] Δεκζμβριοσ 2012, DeltaHacker 015 Bash Commands

[2] Ιανουάριοσ 2013, DeltaHacker 016 Malware

[3] Φεβρουάριοσ 2013, DeltaHacker 017 Πλατφόρμα Metasploit

[4] Απρίλιοσ 2013, DeltaHacker 019 Ανάλυςη Πακζτων


https://en.wikipedia.org/wiki/Hacker_(computer_security)

https://en.wikipedia.org/wiki/Photophone

http://www.cbtnuggets.com/it-training-videos/series/cisco-ccnp-switch-642-813

https://en.wikipedia.org/wiki/Service_set_(802.11_network)

http://www.ifeed.gr/%CE%B2%CE%B5%CE%BB%CF%84%CE%B9%CF%8E%CF%83%CF%84%CE%B5-%CE%B1%CF%80%CF%8C%CE%B4%CE%BF%CF%83%CE%B7-%CE%B1%CF%83%CF%8D%CF%81%CE%BC%CE%B1%CF%84%CE%BF%CF%85-%CE%B4%CE%B9%CE%BA%CF%84%CF%8D%CE%BF%CF%85/




https://en.wikipedia.org/wiki/Wired_Equivalent_Privacy

https://en.wikipedia.org/wiki/Cyclic_redundancy_check

https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access

https://en.wikipedia.org/wiki/IEEE_802.11i-2004

https://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Μελέτη Ασφαλούς Ασύρματης Πρόσβασης με Χρήση...

Documents

Transcript of Μελέτη Ασφαλούς Ασύρματης Πρόσβασης με Χρήση...