936架設Wireless LAN Hot Spot服務.ppt

1,實驗六 Term Project架設Wireless LAN Hot Spot服務,Web Server使用apacheDHCP Server使用dhcpdFirewall使用iptablesNAT使用iptables撰寫CGI程式使用C,Outline,實驗目的實驗設備與環境實驗方法與步驟報告繳交實驗記錄問題討論與心得注意事項(含DEMO相關資訊)參考資料,實驗目的(1/4),身分認證IP安全,實驗目的(2/4),實作一個Hot Spot，提供user連接Wireless LAN802.11b Wireless access只能有一個對外的IP address(Public IP)提供Web-based認證，只有認證通過的user才可使用網路服務讓user上網時，簡單上手,實驗目的(3/4),DHCP ServerFirewallIP Masquerading(NAT)ForwardWeb-based authentication,一般使用者192.168.2.10IP Address由DHCP Server配給,Access Point192.168.2.2當bridge使用SSID:netlab_TA(或用HostAP),對內：有線網卡eth0:192.168.2.1,對外：無線網卡eth1:140.113.24.105,連上WL1,Internet,Station加入192.168.2.0/24網域，透過192.168.2.1的DHCP Server配給IP，並在連外時先連到192.168.2.1的認證網頁，通過認證之後才可對外連結上Internet,實驗目的(4/4),瞭解Hot Spot需要那些技術與如何運作使用與設定DHCP daemon使用iptables來達到firewall與IP masquerading(偽裝IP)，即NAT的功能透過Web介面達成基本的認證,實驗設備與環境,設備與環境：(23台NB與01台AP)一台FC5的NB(含有線與無線網卡介面)Web Server使用apache 2.2DHCP Server使用dhcpd-3.0.3Firewall使用iptablesNAT使用iptables撰寫CGI程式使用C一台不限平台的NB(含無線網卡，當user登入Hot Spot服務)一台AP(當做無線端介面，做Bridge使用)可向實驗室借AP，或是借網卡架設HostAP,DHCP ServerFirewallIP Masquerading(NAT)ForwardWeb-based authentication,對內：有線網卡eth0:192.168.2.1,對外：無線網卡eth1:140.113.24.105,連上WL1,Internet,實驗方法與步驟 Web Server(1/3),實驗方法與步驟 Web Server(2/3),Web Server使用apache 2.2，Fedora Core 5已預設安裝到預設安裝目錄/etc/httpd/conf，修改設定檔。cd/etc/httpd/conf/vim httpd.conf修改httpd執行的使用者，將原先的apache改成nobody。(之後要修改iptables)User nobodyGroup nobody,實驗方法與步驟 Web Server(3/3),將ServerName改為Web Server對外的IP Address，如此Server的Name才可透過DNS Server name lookup成功。ServerName 140.113.24.105將Apache Web Server啟動。httpd k start更多關於httpdman httpdhttp:/httpd.apache.org,對內：有線網卡eth0:192.168.2.1,對外：無線網卡eth1:140.113.24.105,連上WL1,Internet,實驗方法與步驟 DHCP Server(1/7),DHCP ServerFirewallIP Masquerading(NAT)ForwardWeb-based authentication,192.168.2.0/24網域，透過192.168.2.1的DHCP Server配給IP,實驗方法與步驟 DHCP Server(2/7),安裝dhcp server套件(dhcp-3.0.3-28),實驗方法與步驟 DHCP Server(3/7),安裝完成後，將dhcpd.conf.sample檔案複製到/etc目錄下，並更名為dhcpd.conf。cp/usr/share/doc/dhcp-3.0.3/dhcpd.conf.sample/etc/dhcpd.conf,實驗方法與步驟 DHCP Server(4/7),修改dhcpd server的設定檔案，改成符合所在區域網路的設定值。vim/etc/dhcpd.conf第4行：subnet 192.168.2.0 netmask 255.255.255.0第7行：option routers 192.168.2.1第12行：option domain-name-servers 140.113.1.1,140.113.6.2第21行：range dynamic-bootp 192.168.2.3 192.168.2.10,實驗方法與步驟 DHCP Server(5/7),產生dhcpd執行時所需記載租約的檔案。touch/var/lib/dhcpd/dhcpd.leases 修改起始dhcpd的script檔案。vim/etc/rc.d/init.d/dhcpd,實驗方法與步驟 DHCP Server(6/7),增加dhcpd檔案內所需要的資訊。第48行：CONFIGFILE=“/etc/dhcpd.conf”第49行：LEASEFILE=“/var/lib/dhcpd/dhcpd.leases”第50行：INTERFACE=“eth0”(有線網卡)第51行：OPTIONS=“-q”在start()內，daemon/usr/sbin/dhcpd cf$CONFIGFILE lf$LEASEFILE$OPTIONS$INTERFACE,實驗方法與步驟 DHCP Server(7/7),將DHCP Server啟動。/etc/rc.d/init.d/dhcpd start,對內：有線網卡eth0:192.168.2.1,對外：無線網卡eth1:140.113.24.105,連上WL1,Internet,DHCP ServerFirewallIP Masquerading(NAT)ForwardWeb-based authentication,實驗方法與步驟 Firewall&NAT(1/7),一般使用者192.168.2.10,Station未認證前，所有連內/外的流量皆不允許通過,IPTABLES,filter:default for localnat:轉譯封包ip/portmangle:修改/標註封包,封包的處理流程,將mangle table忽略後的運作順序,實驗方法與步驟 Firewall&NAT(2/7),將系統內Forward Packet功能開啟。echo“1”/proc/sys/net/ipv4/ip_forward將Firewall功能與NAT功能所需要的modules載入系統中。modprobe ip_tablesmodprobe ip_nat_ftpmodprobe ip_nat_ircmodprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ip_conntrack_irc,實驗方法與步驟 Firewall&NAT(3/7),將iptables內原先記載的Rule清除並重設為零-F表示刪除某個table內的rules-X表示刪除使用者定義的rules-Z表示將所有rules中的封包和位元組計數為零。iptables Fiptables Xiptables Ziptables F t natiptables X t natiptables Z t nat,實驗方法與步驟 Firewall&NAT(4/7),設定iptable的filter table內default policy，設定INPUT、OUTPUT與FORWARDiptables P INPUT DROPiptables P OUTPUT DROPiptables P FORWARD DROP設定iptable的nat table內default policy，設定PREROUTING、POSTROUTING與OUTPUTiptables t nat P PREROUTING ACCEPTiptables t nat P POSTROUTING ACCEPTiptables t nat P OUTPUT ACCEPT,設定NAT內主機的IP偽裝(MASQUERADE)。iptables t nat A POSTROUTING o eth1 s 192.168.2.0/24 j MASQUERADE設定本機的IP Address可以對外部網路與對內部網路連線iptables A INPUT d 140.113.24.105 j ACCEPTiptables A INPUT d 192.168.2.1 j ACCEPTiptables A OUTPUT s 140.113.24.105 j ACCEPTiptables A OUTPUT s 192.168.2.1 j ACCEPT PS:-A:append,o:output,-s:source,-d:destination,-j:target operation,實驗方法與步驟 Firewall&NAT(5/7),實驗方法與步驟 Firewall&NAT(6/7),將上述步驟寫成script以節省時間。vim set_lab6.sh第1行：#!/bin/sh要輸入的命令修改script執行權限chmod 755 set_lab6.sh 執行此script./set_lab6.sh,秀出目前iptables的情形。iptables L n viptables t nat L n-v,實驗方法與步驟 Firewall&NAT(7/7),DHCP ServerFirewallIP Masquerading(NAT)ForwardWeb-based authentication,對內：有線網卡eth0:192.168.2.1,對外：無線網卡eth1:140.113.24.105,連上WL1,Internet,實驗方法與步驟 身份認證,內部user在未認證前的80 port流量自動導向認證網頁(即開啟browser後，不管開啟那個網頁，都會連到認證網頁)認證過後，可以正常使用對外的網路(本實驗僅考慮web-traffic),認證網頁(index.html)必須放在預設的目錄/var/www/html下,實驗方法與步驟 身份認證網頁(1/2),實驗方法與步驟 身份認證網頁(2/2),指定CGI程式所在路徑,利用環境變數傳遞帳號和密碼,實驗方法與步驟 身份認證“Get”,指定GET，browser會將填入的帳號和密碼附加在？後面當httpd收到request後會將?後面的字串存入QUERY_STRING這個環境變數中於是CGI程式裡，可用getenv(“QUERY_STRING”）擷取出帳號和密碼以驗證身份。,實驗方法與步驟 身份認證撰寫CGI程式,CGI程式(.cgi)必須放在預設的目錄/var/www/cgi-bin/,getenv(“QUERY_STRING”）,實驗方法與步驟執行iptables變更防火牆規則,當驗證身份成功後，必須執行變更防火牆規則使之放行：iptables I FORWARD s 192.168.2.10 j ACCEPTiptables I FORWARD d 192.168.2.10 j ACCEPTPS:-I:insert在CGI程式中，可以呼叫system call執行iptables指令：system(“sudo iptables I FORWARD s 192.168.2.10 j ACCEPT”);system(“sudo iptables I FORWARD d 192.168.2.10 j ACCEPT”);因為httpd是以nobody的權限執行，所以必須以sudo指令轉換到superuser的權限，才可執行iptablessudo指令是參考/etc/sudoers，因此必須利用在root登入的情況下以visudo指令編輯這個檔案，使得nobody可執行sudo，並且設定不需輸入密碼,實驗方法與步驟利用vim sudo編輯sudoers檔案,實驗記錄(1/2),書面報告：分實驗紀錄、問題討論與心得三節附上CGI的程式碼，並詳加註解你認為重要的地方。詳加解釋貴組所設計的iptable的rules(認證前/後)印出iptabels內的情形(必貼圖)，用指令：iptables L v niptables t nat L v-n介紹貴組所設計的routing scheme並印出NAT主機的routing table可用指令route n並請畫出你們的環境架構(如IP address相關設定)請介紹你們所設計的authentication scheme並畫出你們的認證流程(本部份佔報告75%),實驗記錄(2/2),詳述貴組實做的特別功能，以下為舉例：增加管理功能提供網頁介面可以新增使用者到allow list中。提供網頁介面可以刪除allow list的使用者。提供網頁介面知道目前有哪些使用者在使用此Hot Spot。對連線增加時間限制，超出就將此使用者斷線。增加log file紀錄使用者的連線資訊，比方使用者名稱，認證時間，使用時間，配置的IP address等等。L7-filter(Application Layer Packet Classifier for Linux)Linux netfilter的外掛模組，讓iptables支援應用層的封包過濾功能，限制使用動態port的網路軟體(如：P2P、即時通訊等)。其他所想的到的Hot Spot應具備的功能，愈周全完善分數愈高。(本部份佔報告15%),問題討論與心得,問題討論(本部份佔報告10%)請列出至少兩個可能出現security hole的地方，並請解釋該如何解決上述的security hole？在實做的過程當中，遇到的問題有哪些，如何解決？請詳細敘述。心得(本部份佔報告10%)請告知助教，你認為在Hotspot中最重要的部份是什麼、在本次實驗中最難的部份是什麼、有學到哪些東西。,注意事項,Demo時間為期末考週的下一個星期：1/28(四)登記日期12/24(四)12/31(四)，請至EC446B門口登記時間。組半小時，請提前10mins來架設器材，遲到者demo部分扣10分。Demo 50%Report 50%需要借用AP或無線網卡者，下課後即可至446B登記借用，demo當天繳回，同時繳交實驗報告。(數量有限),參考資料(1/3),Apache 2.2http:/www.apache.org/var/www/manual/簡易 WWW 伺服器設定http:/linux.vbird.org/linux_server/0360apache.phpDHCP Serverhttp:/www.isc.org/sw/dhcp/dhcpd.conf的man pageDHCP mini-HOWTO http:/www.tldp.org/HOWTO/DHCP/index.html簡易 DHCP 伺服器設定http:/linux.vbird.org/linux_server/0340dhcp.php,參考資料(2/3),NAThttp:/filter.org/iptable tutorialhttp:/iptables-Netfilter機制與iptables工具http:/www.adj.idv.tw/download/download/20030626-Linux-Firewall.doc,參考資料(3/3),HTML語法教學http:/.tw/html/CGI程式入門http:/ind.ntou.edu.tw/documents/cgi/sudohttp:/,