试验六架设WirelessLANHotSpot服务课件

Outlinev實驗目的v知識背景v實驗設備與環境v實驗方法與步驟v實驗記錄v問題討論v參考資料實驗目的v實作一個Hot Spot，提供給使用者802.11b Wireless access只能有一個外部的IP address讓使用者能夠盡量簡單容易上手使用提供使用者認證，只有付費的使用者才可以使用Hot Spotv瞭解Hot Spot內部需要那些技術與如何運作使用DHCP daemon與設定使用iptables來達到firewall與IP masquerading(即NAT的功能)設定以Linux為平台的NB當做一台router透過Web介面達成基本的認證知識背景(1/2)DHCP ServerFirewallIP MasqueradingWeb-based authentication等同把傳統AP功能做到此台機器上一般使用者192.168.1.10IP Address由DHCP Server發給Access Point192.168.1.2當bridge使用SSID:lab6_041221_internal對內用有線網卡eth0:192.168.1.1對外用無線網卡eth1:140.113.228.51Access Point140.113.228.52當bridge使用接上228網域SSID:lab6_041221_externalInternetStation加入192.168.1.0/24網域，透過192.168.1.1的DHCP Server發送封包，得知自己的上網資訊，並且連到192.168.1.1的認證網頁，通過認證之後才可對外連結上Internet知識背景(2/2)DHCP ServerFirewallIP MasqueradingWeb-based authentication一般使用者192.168.1.10IP Address由DHCP Server發給Access Point192.168.1.2當bridge使用SSID:lab6_041221_internal對內用有線網卡eth0:192.168.1.1對外用有線網卡eth1:140.113.228.51InternetStation加入192.168.1.0/24網域，透過192.168.1.1的DHCP Server發送封包，得知自己的上網資訊，並且連到192.168.1.1的認證網頁，通過認證之後才可對外連結上Internet實驗設備與環境v硬體：一台NB(需有兩張網路卡介面)一台NB(當做使用者登入你建置的Hot Spot服務，要有無線網卡介面)一台AP(當做無線端介面，做Bridge使用)v軟體：Web Server使用apache 2.0DHCP Server使用dhcpdFirewall使用iptablesNAT使用iptables撰寫CGI程式使用C提高CGI程式權限使用sudo實驗方法與步驟Web Server(1/3)vWeb Server安裝apache 2.0，可使用rpm安裝，但須注意dependency的問題，建議使用光碟安裝，可以解決rpm之間dependency的問題，可以到linux.sinica.edu.tw下面抓取相關檔案。wget ftp:/linux.sinica.edu.tw/pub1/redhat/redhat-9/en/os/i386/RedHat/RPMS/httpd-2.0.40-21.i368.rpmv或是直接到apache官方網站抓取source檔案進行編譯與安裝。http:/www.apache.org實驗方法與步驟Web Server(2/3)v使用rpm版本預設安裝目錄為/etc/httpd，進行修改httpd server的設定檔案。cd/etc/httpd/conf/vi httpd.confv修改httpd執行的使用者，將原先的apache改成nobody，為安全考量使用nobody的權限，請注意不要使用root去執行，會有危險。第251行：User nobody第252行：Group nobody 實驗方法與步驟Web Server(3/3)v將ServerName指名為Web Server對外的IP Address，如此Server的Name才可以透過DNS Server name lookup成功。ServerName 140.113.228.51v將Apache Web Server啟動。apachectl start 實驗方法與步驟DHCP Server(1/4)v抓取dhcp server套件，須注意dependency的關係，建議使用光碟安裝。wget ftp:/linux.sinica.edu.tw/pub1/redhat/redhat-9/en/os/i386/RedHat/RPMS/dhcp-3.0pl1-23.i386.rpmv將安裝後的dhcpd.conf.sample範例檔案複製到/etc目錄下，並更名為dhcpd.conf。cp/usr/share/doc/dhcp-3.0pl1/dhcpd.conf.sample/etc/dhcpd.conf 實驗方法與步驟DHCP Server(2/4)v修改dhcpd server的設定檔案，改成符合所在區域網路的設定值。第4行：subnet 192.168.1.0 netmask 255.255.255.0第8行：option routers 192.168.1.1第13行：option domain-name-servers 140.113.1.1,140.113.6.2第22行：range dynamic-bootp 192.168.1.3 192.168.1.10 實驗方法與步驟DHCP Server(3/4)v產生dhcpd執行時所需記載租約的檔案。touch/var/lib/dhcp/dhcpd.leases v修改起始dhcpd的script檔案。vi/etc/rc.d/init.d/dhcpd實驗方法與步驟DHCP Server(4/4)v增加dhcpd檔案內所需要的資訊。第25行：CONFIGFILE=”/etc/dhcpd.conf”第26行：LEASEFILE=”/var/lib/dhcp/dhcpd.leases”第27行：INTERFACE=”eth0”第28行：OPTIONS=”-q”第34行：daemon/usr/sbin/dhcpd cf$CONFIGFILE lf$LEASEFILE$OPTIONS$INTERFACE v將DHCP Server啟動。/etc/rc.d/init.d/dhcpd start實驗方法與步驟Firewall&NAT(1/6)v將系統內Forward Packet功能開啟。echo“1”/proc/sys/net/ipv4/ip_forward v將Firewall功能與NAT功能所需要的modules載入系統中。modprobe ip_tablesmodprobe ip_nat_ftpmodprobe ip_nat_ircmodprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ip_conntrack_irc實驗方法與步驟 Firewall&NAT(2/6)v將iptables內原先記載的Rule清除並重設為零，-F表示刪除某個table內的rules，-X表示刪除使用者定義的rules，-Z表示將所有rules中的封包和位元組計數為零。iptables Fiptables Xiptables Ziptables F t natiptables X t natiptables Z t nat實驗方法與步驟 Firewall&NAT(3/6)v設定iptable的filter table內default policy，對INPUT、OUTPUT與FORWARD設定iptables P INPUT DROPiptables P OUTPUT DROPiptables P FORWARD DROPv設定iptable的nat table內default policy，對PREROUTING、POSTROUTING與OUTPUT設定iptables t nat P PREROUTING ACCEPTiptables t nat P POSTROUTING ACCEPTiptables t nat P OUTPUT ACCEPT實驗方法與步驟 Firewall&NAT(4/6)v設定NAT內主機的IP偽裝(MASQUERADE)。iptables t nat A POSTROUTING o eth1 s 192.168.1.0/24 j MASQUERADEv設定自己主機的IP Address可以對外部網路與對內部網路連線iptables A INPUT d 140.113.228.51 j ACCEPTiptables A INPUT d 192.168.1.1 j ACCEPTiptables A OUTPUT s 140.113.228.51 j ACCEPTiptables A OUTPUT s 192.168.1.1 j ACCEPT 實驗方法與步驟 Firewall&NAT(5/6)v寫成一個script檔案，取名為set_lab6.sh。vi set_lab6.sh v撰寫script檔案。第1行：#!/bin/sh要輸入的命令v將script執行權限修改chmod 755 set_lab6.sh v執行此script./set_lab6.sh 實驗方法與步驟 Firewall&NAT(6/6)v秀出目前iptables的情形。iptables L n viptables t nat L n-v實驗方法與步驟 撰寫認證網頁(1/3)v認證網頁(index.html)必須放在預設的目錄下v若是以rpm安裝apache則在/var/www/html目錄下apache的rpm下載網址http:/v若是以source code安裝apache則在/usr/local/apache2/htdocs目錄下apache的source code下載網址http:/httpd.apache.org/實驗方法與步驟 撰寫認證網頁(2/3)實驗方法與步驟 撰寫認證網頁(3/3)指定CGI程式所在路徑利用環境變數傳遞帳號和密碼實驗方法與步驟“Get”methodv一旦指定這種方法，browser會將你填入的帳號和密碼附加在？後面，當httpd收到這個request後會將?後面的字串存入QUERY_STRING這個環境變數中，於是CGI程式裡可用getenv(”QUERY_STRING”）擷取出帳號和密碼以驗證身分。實驗方法與步驟撰寫CGI程式驗證使用者身分vCGI程式(.cgi)必須放在預設的目錄下v若是以rpm安裝apache則在/var/www/cgi-bin目錄下v若是以source code安裝apache則在/usr/local/apache2/cgi-bin目錄下實驗方法與步驟執行iptables變更防火牆規則v當驗證身份成功後，必須執行變更防火牆規則使之放行：iptables I FORWARD s 192.168.1.10 j ACCEPTiptables I FORWARD d 192.168.1.10 j ACCEPTv在CGI程式中，可以呼叫這行system call執行iptables指令：system(“sudo iptables I FORWARD s 192.168.1.10 j ACCEPT”);system(“sudo iptables I FORWARD d 192.168.1.10 j ACCEPT”);v因為httpd是以nobody的權限執行，所以必須以sudo指令轉換到superuser的權限，才可執行iptablesvsudo指令是參考/etc/sudoers，因此必須利用在root登入的情況下以visudo指令編輯這個檔案，使得nobody可執行sudo，並且設定不需輸入密碼實驗方法與步驟利用visudo編輯sudoers檔案實驗記錄(1/2)vCGI的程式碼v請介紹你們所設計的firewall方法與設計的rules印出iptabels內的情形(可用指令iptable L,iptable t nat L)v請介紹你們所設計的routing scheme印出NAT主機的routing table(可用指令route n)並請畫出你們的環境架構(如IP address相關設定)v請介紹你們所設計的authentication scheme畫出你們的認證流程實驗記錄(2/2)v請寫下你們實做的特別功能(可提供加分選項，請詳述你們的做法)：使用者在未認證前的80 port流量自動導向認證網頁(即使用者開啟browser之後，不管開啟那個網頁，都會連到認證網頁)增加管理功能v提供網頁介面可以新增使用者到allow list中。v提供網頁介面可以刪除使用者到allow list中。v提供網頁介面知道目前有哪些使用者在使用此Hot Spot對使用者連線增加時間限制，比方使用者僅能使用一小時，超出的時候就要將此使用者斷線。增加log file紀錄使用者的連線資訊，比方使用者名稱，認證時間，host IP address。其他你們想的到的Hot Spot裡面應該具備的功能愈周全完善分數愈高。問題討論v在你們的實作當中，請列出至少兩個有可能出現security hole的地方。v請問你們如何解決上述的security hole。例如一開始Station加入AP之後，在對內的網路中應該只能有DHCP與HTTP ports開啟，其他的服務均不能access。v在實做的過程當中，遇到的零零總總問題有哪些，分別是如何解決，請詳細敘述。參考資料(1/3)vApache 2.0http:/www.apache.org/var/www/manual/簡易 WWW 伺服器設定vhttp:/linux.vbird.org/linux_server/0360apache.phpvDHCP Serverhttp:/www.isc.org/sw/dhcp/dhcpd.conf的man pageDHCP mini-HOWTO vhttp:/www.tldp.org/HOWTO/DHCP/index.html簡易 DHCP 伺服器設定vhttp:/linux.vbird.org/linux_server/0340dhcp.php參考資料(2/3)viptablesiptables的man pagehttp:/filter.org/簡易 NAT 伺服器vhttp:/linux.vbird.org/linux_server/0320nat.phpiptables IP封包過濾管理vhttp:/oss.oit.edu.tw/Firewall12-30.pdfiptable tutorialvhttp:/iptables-