ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

Transcript

1 ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Κατασκευή Ασφαλούς Ασύρματου Σημείου Πρόσβασης και εγκατάσταση στο τμήμα Πληροφορικής Αλέξανδρος Στεργιάκης Γεώργιος Παπαδόπουλος Επιβλέπων καθηγητής: Αντώνιος Βαφειάδης Θεσσαλονίκη Ιούνιος 2006

2

3 Πίνακας Περιεχομένων Περίληψη...1 ΚΕΦΑΛΑΙΟ 1: Εισαγωγή στα ασύρματα δίκτυα... 2 ΚΕΦΑΛΑΙΟ 2: Πρότυπα ασυρμάτων τοπικών δικτύων (WLAN) Το πρότυπο ΙΕΕΕ Η τροποποίηση ΙΕΕΕ b Η τροποποίηση ΙΕΕΕ a Η τροποποίηση ΙΕΕΕ g Η τροποποίηση ΙΕΕΕ n Η τροποποίηση ΙΕΕΕ i Η προδιαγραφή WPA της Wi-Fi Alliance... 5 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Συστατικά στοιχεία ασυρμάτων δικτύων Ασύρματοι σταθμοί Ασύρματα σημεία πρόσβασης Δίκτυο κορμού ή δίκτυο διανομής (DS Distribution System) Μέσο μετάδοσης Οι ISM μπάντες Κεραίες Πολυκατευθυντικές κεραίες Κατευθυντικές κεραίες Τύποι ασυρμάτων δικτύων Intependent BSS ή Ad-hoc mode Infrastructure BSS Extended Service Set (ESS) Multi-BSS ή Virtual AP Τα επίπεδα του προτύπου To υποεπίπεδο MAC Διάγραμμα καταστάσεων ενός σταθμού Τύποι πλαισίων διαχείρισης (Management frames) Beacon Ερευνητικό (Probe) Αυθεντικοποίησης (Authentication) και Αποαυθεντικοποίησης (Deauthentication) Συσχέτισης (Association), Επανασυσχέτισης (Reassociation) και Αποσυσχέτισης (Disassociation)...18 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN Μέθοδοι αυθεντικοποίησης σύμφωνα με Ανοιχτή Αυθεντικοποίηση (Open Authentication) Αυθεντικοποίηση Διαμοιραζόμενου Κλειδιού (Shared Key Authentication) Λειτουργία του αλγορίθμου WEP Αυθεντικοποίηση βασισμένη σε MAC διεύθυνση Αυθεντικοποίηση σύμφωνα με i EAP-CHAP, EAP-MD5, EAP-TLS, EAP-TTLS, EAP-MSCHAP, PEAP, LEAP Αυθεντικοποίηση τύπου Hotspot ΚΕΦΑΛΑΙΟ 5: Η κατασκευή του Access Point Υλοποίηση πρώτης γενιάς Προδιαγραφές Υλοποίηση δεύτερης γενιάς Προδιαγραφές ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS...35 i

4 6.1 Βασικά χαρακτηριστικά σχεδίασης της διανομής Ελάχιστες απαιτήσεις εξοπλισμού Δυνατότητες και υποστηριζόμενες λειτουργίες Προσανατολισμός στην ασφάλεια Αρθρωτή αρχιτεκτονική Επεκτασιμότητα / Προσαρμοσιμότητα Αρχιτεκτονική μετα-διανομής Υποστηριζόμενος εξοπλισμός Συσκευές WLAN Συσκευές ISDN Υποστήριξη USB Συστήματα αρχείων (Filesystems) Χαρακτηριστικά και δυνατότητες ασφάλειας Ασφάλεια συστήματος Βελτιώσεις ασφάλειας του πυρήνα Linux Ενίσχυση ασφάλειας εφαρμογών LIDS Linux Intrusion Detection System Έλεγχος ακεραιότητας αρχείων (integrit) Ανακάλυψη Root kit (chrootkit) Ασφάλεια δικτύου Firewall (iptables) Patch-o-matic VPN (OpenVPN) Προστασία από επίθεση TCP SYN Flood Προστασία από ICMP Redirects και Broadcasts Προστασία από Port Scanning Ασφάλεια ασύρματης δικτύωσης Υποστήριξη προτύπου i Kismet wids (Wireless Intrusion Detection System) Διαθεσιμότητα Software/Hardware watchdog Επανεκκίνηση σε περίπτωση Kernel Panic Έλεγχος και αποτίμηση ασφάλειας δικτύου (Νetwork Security Auditing and Assessment) ngrep tcptraceroute hydra tcpdump nmap hping fragrouter nemesis amap Λοιπά εργαλεία σχετικά με ασφάλεια macchanger wipe pwgen fakeroot...45 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Οδηγίες χρήσης του AspisOS DevEnv...46 ii

5 7.2 Δομή του AspisOS DevEnv Φάση πριν την μεταγλώττιση Φάση μετά την μεταγλώττιση Πακέτα, Modules και Addons Ακολουθία κατασκευής Προετοιμασία του toolchain Κατασκευή των πακέτων Παραγωγή των τελικών images Άλλα σημαντικά αρχεία Το αρχείο./package/md5sums Το αρχείο./package/mirrors Το αρχείο./target/device_table.txt Επέκταση του DevEnv Υποστήριξη νέων SBCs Αντιγραφή μιας υπάρχουσας διαμόρφωσης SBC Ενημέρωση του menuconfig Προσαρμογή των διαφόρων αρχείων ρυθμίσεων Προσαρμογή του image Μεταγλώττιση Υποστήριξη νέων πακέτων Αντιγραφή μιας υπάρχουσας διαμόρφωσης πακέτου Ανάθεση των αρχείων σε modules Ανάθεση των modules σε addons Διαδικασία εγκατάστασης του AspisOS image Μεταφορά του image στην κάρτα CF Μεταφορά από το Linux Μεταφορά από Windows Εγκατάσταση των addons Εναλλακτική μέθοδος εγκατάστασης addons Πρόσβαση στο νέο σύστημα Παραμετροποίηση του νέου συστήματος Αναβάθμιση ενός συστήματος σε λειτουργία Αναβάθμιση των addons Διαδικασία εκκίνησης του AspisOS ΚΕΦΑΛΑΙΟ 8: Βασική παραμετροποίηση του συστήματος Ρύθμιση δικτυακών interface Προϋποθέσεις Ρύθμιση ενσύρματου interface Ρύθμιση ασύρματου interface ΚΕΦΑΛΑΙΟ 9: Οδηγός δημιουργίας δικτύου i/WPA και i/WPA Υποδομή Διαμοιραζόμενου Κλειδιού (PSK) Ρυθμίσεις στο AspisOS Ρυθμίσεις στους clients Λειτουργικό σύστημα Linux Λειτουργικό σύστημα Windows XP Υποδομή δημόσιου κλειδιού (EAP-TLS) Ρύθμιση του OpenSSL και δημιουργία πιστοποιητικών Διαμόρφωση του αρχείου ρυθμίσεων /etc/ssl/openssl.cnf Δημιουργία πιστοποιητικών της Αρχής Πιστοποίησης (CA) Δημιουργία πιστοποιητικού του Διακομιστή Αυθεντικοποίησης (RADIUS) iii

6 Δημιουργία πιστοποιητικών των ασύρματων σταθμών (χρηστών) Αποθήκευση ρυθμίσεων Λοιπές ενέργειες Ρύθμιση του RADIUS Server Εγκατάσταση πιστοποιητικών Προσαρμογή του αρχείου ρυθμίσεων radiusd.conf Προσαρμογή του αρχείου ρυθμίσεων eap.conf Προσαρμογή του αρχείου ρυθμίσεων clients.conf Προσαρμογή του αρχείου ρυθμίσεων users Αποθήκευση ρυθμίσεων Ρύθμιση του hostapd Προσαρμογή του αρχείου /etc/hostapd.conf Ρύθμιση του wpa_supplicant Ρύθμιση του Windows XP Supplicant ΚΕΦΑΛΑΙΟ 10: HotSpots (Δημόσια σημεία ασύρματης πρόσβασης) Βιβλιογραφία iv

7 Περίληψη Περίληψη 1

8 ΚΕΦΑΛΑΙΟ 1: Εισαγωγή στα ασύρματα δίκτυα ΚΕΦΑΛΑΙΟ 1: Εισαγωγή στα ασύρματα δίκτυα Τα τελευταία χρόνια παρατηρείται μεγάλη αύξηση στις πωλήσεις φορητών ηλεκτρονικών υπολογιστών και PDA's. Στη ζωή μας έχει κυριαρχήσει η τάση για φορητότητα, κινητικότητα και συνεχή σμίκρυνση των συσκευών (με σκοπό την ευκολότερη μεταφορά τους). Όλα αυτά έχουν σαν αποτέλεσμα, οι παραδοσιακές ενσύρματες τεχνολογίες δικτύωσης, να αποδεικνύονται ανεπαρκείς για το νέο τρόπο ζωής του ανθρώπου. Την λύση στο πρόβλημα της δικτύωσης, δίνουν οι τεχνολογίες ασύρματης δικτύωσης, που καταργούν τα καλώδια και δίνουν μεγάλο βαθμό ελευθερίας στους χρήστες τους. Τα ασύρματα δίκτυα, όπως και τα ενσύρματα, μεταδίδουν δεδομένα μέσα από ένα μέσο διάδοσης. Το μέσο αυτό είναι οι ραδιοσυχνότητες (RF) που μεταδίδονται μέσω του αέρα. Οι ραδιοσυχνότητες μεταδίδονται στον χώρο, άρα ένα ασύρματο δίκτυο δραστηριοποιείται σε μια συγκεκριμένη περιοχή κάλυψης, έξω από την οποία τα σήματα εξασθενούν σε βαθμό που δεν είναι αξιοποιήσιμα. Η εγκατάσταση ενός ασύρματου δικτύου σε ένα χώρο απαιτεί την εγκατάσταση κάποιων κεντρικών ασύρματων σταθμών (στα δίκτυα ονομάζονται σημεία ασύρματης πρόσβασης wireless Access Points). Αντίστοιχα, κάθε χρήστης χρειάζεται μια ασύρματη συσκευή για να μπορεί να συνδεθεί σε κάποιον από τους κεντρικούς σταθμούς. Ο τρόπος λειτουργίας των ασυρμάτων δικτύων τους δίνει τα παρακάτω πλεονεκτήματα σε σχέση με τα ενσύρματα δίκτυα: Φορητότητα και κινητικότητα Το πλεονέκτημα αυτό είναι προφανές. Οι χρήστες ενός ασυρμάτου δικτύου μπορούν να συνδέονται στο δίκτυο από οποιοδήποτε σημείο της περιοχής κάλυψης και να μετακινούνται μέσα σε αυτή χωρίς να διακόπτεται η σύνδεση. Μπορούν ακόμα και να μεταπηδούν (roam) από μια περιοχή κάλυψης σε μια άλλη (εφόσον αυτές είναι διασυνδεδεμένες κατάλληλα μεταξύ τους), διατηρώντας και πάλι την σύνδεση με το δίκτυο. Απλότητα εγκατάστασης - Η εγκατάσταση και η σύνδεση σε ένα ασύρματο δίκτυο είναι πολύ απλή και γρήγορη, καθώς δεν απαιτείται εγκατάσταση καλωδίων. Ευελιξία εγκατάστασης Η τεχνολογία ασύρματης δικτύωσης μας δίνει τη δυνατότητα να εγκαταστήσουμε δίκτυα σε σημεία ή περιοχές που η εγκατάσταση ενσύρματων δικτύων είναι δύσκολη ή ακόμα και αδύνατη. Για παράδειγμα η σύνδεση μεταξύ απομακρυσμένων κτηρίων ενός οργανισμού είναι μια εφαρμογή η οποία θα απαιτούσε πολύ χρόνο και υψηλό κόστος αν γινόταν με ενσύρματο δίκτυο (προφανώς με χρήση οπτικών ινών). Μια εφαρμογή των ασύρματων δικτύων πέρα από τις παραδοσιακές, είναι η δημιουργία hot spots, δηλαδή ασύρματη κάλυψη δημόσιων ή πολύ εκτεταμένων χώρων με μεγάλη πυκνότητα χρηστών. Τέτοιοι χώροι είναι τα αεροδρόμια, τα λιμάνια, οι καφετέριες, ακόμα και οι πλατείες των πόλεων. Σε τέτοιους χώρους η μαζική παροχή υπηρεσιών δικτύωσης με ενσύρματες τεχνολογίες θα ήταν αδύνατη. 2

9 ΚΕΦΑΛΑΙΟ 2: Πρότυπα ασυρμάτων τοπικών δικτύων (WLAN) ΚΕΦΑΛΑΙΟ 2: Πρότυπα ασυρμάτων τοπικών δικτύων (WLAN) Το Institute of Electrical and Electronic Engineers (IEEE) είναι ένας οργανισμός που, μεταξύ των άλλων, δημιουργεί και δημοσιεύει πρότυπα. Είναι ιδιαίτερα γνωστό για την οικογένεια προτύπων ΙΕΕΕ 802, που καλύπτουν τα τοπικά και μητροπολιτικά δίκτυα (LAN/MAN). Τα ασύρματα τοπικά δίκτυα ορίζονται από το πρότυπο του οργανισμού ΙΕΕΕ. Η Wi-Fi Alliance είναι ένας μη κερδοσκοπικός οργανισμός ο οποίος ειδικεύεται στα ασύρματα τοπικά δίκτυα (WLAN). Ιδρύθηκε το 1999 με σκοπό την διασφάλιση της συμβατότητας μεταξύ των WLAN προϊόντων διαφόρων κατασκευαστών, μέσω μιας διαδικασίας πιστοποίησης. Όλοι σχεδόν οι κατασκευαστές εξοπλισμού ασύρματης δικτύωσης είναι μέλη του οργανισμού και συμμετέχουν στο πρόγραμμα πιστοποίησης. Το λογότυπο Wi-Fi που φέρουν τα προϊόντα που περνούν την διαδικασία πιστοποίησης, αποτελεί εγγύηση συμβατότητας. 2.1 Το πρότυπο ΙΕΕΕ Το 1997 το ΙΕΕΕ δημοσίευσε το πρότυπο με τίτλο: "Part 11: Wireless LAN Media Access Control (MAC) and Physical Layer (PHY) Specifications". Πρόκειται για ένα λεπτομερές κείμενο 528 σελίδων, το οποίο σε γενικές γραμμές ορίζει τα παρακάτω: Την αρχιτεκτονική των ασυρμάτων τοπικών δικτύων Διάφορες υπηρεσίες όπως συσχέτιση (association), αυθεντικοποίηση (authentication) και μυστικότητα (privacy) Την δομή των πλαισίων (frames) Τις λειτουργίες Frequency Hopping Spread Spectrum (FHSS) και Direct Sequence Spread Spectrum (DSSS) Τον αλγόριθμο Wired Equivalent Privacy (WEP) Το πρότυπο ορίζει δύο τύπους φυσικού επιπέδου (PHY): την υπέρυθρη φασματική περιοχή (IR) και την ελεύθερη μπάντα ραδιοσυχνοτήτων στα 2,4 Ghz. Τελικά όμως, για το IR φυσικό επίπεδο δεν έγινε καμία υλοποίηση και έτσι επικράτησε η μπάντα των 2,4 Ghz. Επίσης ορίζει ρυθμούς μετάδοσης 1 και 2 Mbps και την μέθοδο προσπέλασης μέσου CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance), η οποία ερμηνεύεται ως πολλαπλή προσπέλαση με ανίχνευση φορέα και αποφυγή συγκρούσεων. Η χρήση της μεθόδου αυτής, λόγω των μηχανισμών αποφυγής συγκρούσεων, μειώνει τους πραγματικούς ρυθμούς μετάδοσης περίπου στο μισό των ονομαστικών. 2.2 Η τροποποίηση ΙΕΕΕ b Το 1999 το ΙΕΕΕ δημοσίευσε μια τροποποίηση του αρχικού προτύπου με τίτλο: "HigherSpeed Physical Layer Extension in the 2.4-Ghz Band", η οποία επεκτείνει το αρχικό πρότυπο , προσθέτοντας τους ρυθμούς μετάδοσης των 5,5 και 11 Mbps στην μπάντα των 2.4 GHz. Η 3

10 ΚΕΦΑΛΑΙΟ 2: Πρότυπα ασυρμάτων τοπικών δικτύων (WLAN) νέα προδιαγραφή υποστηρίζει μόνο την διαμόρφωση DSSS που χρησιμοποιεί τον τύπο διαμόρφωσης Complementary Code Keying (CCK). Επίσης προσθέτει και κάποια νέα χαρακτηριστικά, όπως: Δυνατότητα επιλογής μικρότερου προοιμίου (short preamble) των 72 bits στο επίπεδο 2 (OSI) σε αντίθεση με το μεγάλο προοίμιο (long preamble) των 144 bits του αρχικού Η δυνατότητα αυτή αποσκοπεί στον ταχύτερο συγχρονισμό των συσκευών. Φυσικά για λόγους συμβατότητας με το αρχικό πρότυπο, ως προεπιλογή χρησιμοποιείται το μεγάλο προοίμιο. Δυνατότητα επιλογής καναλιών, σε αντίθεση με την στατική κατανομή καναλιού στο Η τροποποίηση ΙΕΕΕ a Επίσης το 1999, το ΙΕΕΕ δημοσίευσε μια τροποποίηση με τίτλο: "Higher-Speed Physical Layer Extension in the 5 Ghz Band",η οποία περιγράφει ένα ασύρματο τοπικό δίκτυο που λειτουργεί στην μπάντα των 5 GHz. Η προδιαγραφή a χρησιμοποιεί την διαμόρφωση Orthogonal Frequency Division Multiplexing (OFDM), η οποία παρέχει μεγαλύτερους ρυθμούς μετάδοσης έως 54 Mbpsς έχοντας όμως μικρότερη εμβέλεια. Ένα πλεονέκτημα της χρήσης της μπάντας των 5 GHz είναι η μείωση των προβλημάτων λόγω παρεμβολών, καθώς πρόκειται για μια πιο "καθαρή" μπάντα σε σχέση με τα 2.4 GHz. Ένας λόγος που το πρότυπο αυτό δεν επικράτησε σε σχέση με το b είναι ότι δεν είναι συμβατό με αυτό. 2.4 Η τροποποίηση ΙΕΕΕ g Το 2003 δημοσιεύτηκε μια τροποποίηση με τίτλο: "Amendment 4: Further Higher Data Rate Extension in the 2.4 Ghz Band". Είναι μια επέκταση η οποία προσθέτει ρυθμούς μετάδοσης έως 54 Mbps στην μπάντα των 2.4 GHz χρησιμοποιώντας διαμόρφωση OFDM-DSSS. To βασικό πλεονέκτημα του g είναι ότι είναι συμβατό με το b, οπότε συσκευές b και g μπορούν να συνυπάρχουν σε ένα δίκτυο. 2.5 Η τροποποίηση ΙΕΕΕ n Στις αρχές του 2004, το ΙΕΕΕ ανακοίνωσε ότι σχημάτισε μια νέα ομάδα εργασίας, η οποία ονομάζεται Task Group n ή TGn. Η ομάδα αυτή ανέλαβε την δημιουργία μιας τροποποίησης του αρχικού προτύπου , με σκοπό την επίτευξη πραγματικού ρυθμού μεταφοράς τουλάχιστον 100 Mbps. Αυτό σημαίνει ότι ο θεωρητικός ρυθμός μεταφοράς θα πρέπει να είναι τουλάχιστον 200 Mbps. Για να επιτευχθούν τέτοιες ταχύτητες επιβάλλεται η μετάβαση σε νέες τεχνολογίες ασύρματης μετάδοσης και στη συγκεκριμένη περίπτωση, θα χρησιμοποιηθεί η τεχνολογία MIMO (Multiple Input Multiple Output). Η ονομασία προήλθε από το γεγονός ότι η τεχνολογία αυτή 4

11 ΚΕΦΑΛΑΙΟ 2: Πρότυπα ασυρμάτων τοπικών δικτύων (WLAN) χρησιμοποιεί πολλαπλές κεραίες για την αποστολή και λήψη δεδομένων και οι οποίες λειτουργούν ταυτόχρονα και ανεξάρτητα η κάθε μία. Ήδη έχουν σχηματιστεί συμμαχίες κατασκευαστών που έχουν καταθέσει τις προτάσεις τους στο ΙΕΕΕ. Σύμφωνα με τον οργανισμό Wi-Fi (Wi-Fi Alliance) η δημοσίευση της τροποποίησης n αναμένεται μετά το δεύτερο εξάμηνο του Η τροποποίηση ΙΕΕΕ i Το 2004 η ΙΕΕΕ δημοσίευσε μια τροποποίηση με τίτλο: Amendment 6: Medium Access Control (MAC) Security Enhancements, η οποία περιγράφει κάποιες επεκτάσεις στο υποεπίπεδο MAC που αποσκοπούν στην ισχυρότερη ασφάλεια. Περιλαμβάνει πρωτόκολλα όπως τα 802.1Χ, TKIP, CCMP και άλλα, τα οποία θα αναλυθούν σε επόμενο κεφάλαιο. 2.7 Η προδιαγραφή WPA της Wi-Fi Alliance Το 2001, μια ομάδα του Πανεπιστημίου της Καλιφόρνια, ανακάλυψε και παρουσίασε κάποιες αδυναμίες του πρωτοκόλλου ασφαλείας WEP. Έτσι το ΙΕΕΕ σχημάτισε την ομάδα εργασίας i (802.11i) με σκοπό την δημιουργία μιας πιο άρτιας λύσης σχετικά με την ασφάλεια του προτύπου Όμως, λόγω των χρονοβόρων διαδικασιών που απαιτούνται για την θέσπιση των προτύπων του ΙΕΕΕ, η Wi-Fi Alliance ανέλαβε την ανάπτυξη του προτύπου ασφαλείας Wi-Fi Protected Access (WPA), το οποίο βασίστηκε σε μια πρώιμη έκδοση (draft) του i. Ουσιαστικά αποτελεί ένα υποσύνολο των μηχανισμών του i (το οποίο πλέον ονομάζεται και WPA2) 5

12 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Συστατικά στοιχεία ασυρμάτων δικτύων Τα ασύρματα δίκτυα αποτελούνται από τέσσερα βασικά συστατικά τα οποία περιγράφονται παρακάτω: Σχήμα 3-1: Συστατικά στοιχεία ενός ασυρμάτου δικτύου Ασύρματοι σταθμοί Οι ασύρματοι σταθμοί είναι συσκευές εφοδιασμένες με μια ασύρματη κάρτα δικτύου που τους επιτρέπει να επικοινωνούν μεταξύ τους. Συνήθως πρόκειται για φορητούς υπολογογιστές (Laptop) ή υπολογιστές χειρός (PDA) Ασύρματα σημεία πρόσβασης Τα ασύρματα σημεία πρόσβασης (Wireless Access Points) είναι οι συσκευές που επιτρέπουν στους ασύρματους σταθμούς που βρίσκονται μέσα στην περιοχή κάλυψης, να επικοινωνούν μεταξύ τους. Επίσης, προωθούν την δικτυακή κίνηση από το ασύρματο δίκτυο προς το δίκτυο κορμού και το αντίστροφο Δίκτυο κορμού ή δίκτυο διανομής (DS Distribution System) Το δίκτυο κορμού είναι ένας γενικός όρος που περιγράφει το ενσύρματο δίκτυο που συνδέει πολλά ασύρματα σημεία πρόσβασης μεταξύ τους καθώς και με το υπόλοιπο ενσύρματο δίκτυο και το Internet. 6

13 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Μέσο μετάδοσης Οι ISM μπάντες Η τεχνολογίες ασύρματης δικτύωσης χρησιμοποιούν ραδιοσυχνότητες που έχουν δοθεί για Βιομηχανικούς, Επιστημονικούς και Ιατρικούς σκοπούς (ISM: Industrial Scientific and Medical). Υπάρχουν τρεις τέτοιες μπάντες: στα MHz, MHz, και MHz. Αντιθέτως με όλα τα άλλα μέρη του ραδιοφωνικού φάσματος, η χρήση πομπού σε αυτές τις συχνότητες, δε χρειάζεται άδεια. Το πρότυπο IEEE , ορίζει 11 κανάλια μέσα στην μπάντα των 2.4GHz, που επικεντρώνονται μεταξύ και GHz. Το WLAN μεταπηδά μεταξύ αυτών των καναλιών με τρόπο που να μειώνει τις παρεμβολές και να αυξάνει την ακεραιότητα των δεδομένων Κεραίες Οι κεραίες είναι το κρισιμότερο συστατικό οποιουδήποτε συστήματος RF, επειδή μετατρέπουν τα ηλεκτρικά σήματα των καλωδίων σε ραδιοκύματα και το αντίστροφο.[1] Για να λειτουργήσει μια κεραία, πρέπει να είναι κατασκευασμένη από αγώγιμο υλικό. Τα ραδιοκύματα που προσπίπτουν στην κεραία, αναγκάζουν τα ηλεκτρόνια του αγώγιμου υλικού να ρέουν, δημιουργώντας ηλεκτρικό ρεύμα. Παρομοίως, η εφαρμογή ηλεκτρικού ρεύματος σε μια κεραία δημιουργεί ένα ηλεκτρικό πεδίο γύρω από αυτήν. Καθώς το ρεύμα στην κεραία μεταβάλλεται, αναλόγως μεταβάλλεται και το ηλεκτρικό πεδίο. Ένα μεταβαλλόμενο ηλεκτρικό πεδίο προκαλεί ένα μαγνητικό πεδίο και έτσι δημιουργούνται τα ραδιοκύματα.[2] Υπάρχουν δύο ειδών κεραίες όσον αφορά τον τρόπο εκπομπής: οι πολυκατευθυντικές (omnidirectional) και οι κατευθυντικές (directional) Πολυκατευθυντικές κεραίες Οι πολυκατευθυντικές κεραίες, στέλνουν και λαμβάνουν ραδιοσήματα από όλες τις κατευθύνσεις (στο οριζόντιο επίπεδο). Αυτές οι κεραίες χρησιμοποιούνται όταν απαιτείται κάλυψη 360 μοιρών σε ένα χώρο. Τα Access Points συνήθως είναι εφοδιασμένα με πολυκατευθυντικές κεραίες. Το σχέδιο (pattern) εκπομπής τους στο χώρο μοιάζει με ένα donut και φαίνεται στο Σχήμα 3-2. Επίσης, τα διαγράμματα δείχνουν το σχέδιο εκπομπής κατά τον οριζόντιο άξονα (αριστερά) και κατά τον κάθετο άξονα (δεξιά).[3] 7

14 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Σχήμα 3-2: Το σχέδιο εκπομπής κεραίας omni Κατευθυντικές κεραίες Οι κατευθυντικές κεραίες συγκεντρώνουν την ισχύ εκπομπής τους σε συγκεκριμένη κατεύθυνση. Έτσι, για δεδομένη ισχύ εκπομπής, μια κατευθυντική κεραία μπορεί να στείλει τα ραδιοκύματα μακρύτερα και με λιγότερο θόρυβο, σε σχέση με τις πολυκατευθυντικές. Έχουν επίσης πολύ υψηλότερη ευαισθησία σε ραδιοκύματα που έρχονται από την κατεύθυνση συγκέντρωσης. Στο Σχήμα 3-3 φαίνεται το σχέδιο εκπομπής μιας κατευθυντικής κεραίας biquad. Το διάγραμμα εκπομπής στον οριζόντιο και κάθετο άξονα είναι το ίδιο. Σχήμα 3-3: Σχέδιο εκπομπής μιας κεραίας biquad 8

15 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Τύποι ασυρμάτων δικτύων Το βασικό δομικό στοιχείο ενός ασυρμάτου δικτύου ονομάζεται Basic Service Set (BSS) και αποτελεί ένα σύνολο από ασύρματες συσκευές που επικοινωνούν μεταξύ τους. Κάθε BSS έχει μια περιοχή κάλυψης (εμβέλεια) που ονομάζεται Basic Service Area και καθορίζεται από τα τεχνικά χαρακτηριστικά των συσκευών και των κεραιών. Αυτό σημαίνει ότι όταν μια συσκευή εισέρχεται στην περιοχή κάλυψης έχει την δυνατότητα να επικοινωνήσει με τις υπόλοιπες συσκευές. Το BSS διακρίνεται σε δύο τύπους λειτουργίας, όπως φαίνονται στο Σχήμα 3-4. Σχήμα 3-4: Τύποι ασυρμάτων δικτύων Intependent BSS ή Ad-hoc mode Είναι η πιο απλή περίπτωση δημιουργίας ενός ασύρματου δικτύου, όπου κάθε ασύρματος σταθμός επικοινωνεί απ' ευθείας με όλους τους άλλους σταθμούς (εφόσον βρίσκονται στην εμβέλεια του). Η δημιουργία ενός ad-hoc δικτύου είναι πολύ εύκολη και γρήγορη, γι' αυτό χρησιμοποιείται συνήθως σε περιπτώσεις που απαιτείται η δημιουργία ενός δικτύου ανταλλαγής δεδομένων για περιορισμένο χρονικό διάστημα, όπως π.χ. κατά την διάρκεια μιας σύσκεψης. Οι δυνατότητες αυτού του τύπου δικτύου όσον αφορά την ασφάλεια είναι αρκετά περιορισμένες σε σχέση με το Infrastructure BSS Infrastructure BSS Τα Infrastructure ασύρματα δίκτυα διαφοροποιούνται από τα ad-hoc, λόγω της χρήσης των access points. Ένα Infrastructure BSS αποτελείται από ένα access point και ένα αριθμό από ασύρματους σταθμούς. Το access point αποτελεί το κεντρικό κομβικό σημείο του Ιnfrastructure BSS, καθώς όλη η δικτυακή κίνηση μεταξύ των σταθμών περνάει αναγκαστικά από το access point. Η χρήση των access point παρέχει δύο σημαντικά πλεονεκτήματα: 9

16 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Η ακτίνα της περιοχής κάλυψης του BSS καθορίζεται με βάση την απόσταση από το access point. Αυτό σημαίνει ότι κάθε σταθμός αρκεί να βρίσκεται στην εμβέλεια του access point, ενώ δεν υπάρχει περιορισμός στην απόσταση μεταξύ των ασύρματων σταθμών. Η δομή του Infrastructure BSS επιτρέπει την κεντρικοποιημένη διαχείριση του δικτύου, καθώς και μεγάλη ευελιξία όσον αφορά την ασφάλεια. Αυτό οφείλεται αφενός στην ύπαρξη ενός κεντρικού κόμβου στο δίκτυο και αφετέρου στον τρόπο με τον οποίο ένας ασύρματος σταθμός συσχετίζεται (associates) με το access point για να επικοινωνήσει με το υπόλοιπο δίκτυο. Η διαδικασία συσχέτισης δεν είναι συμμετρική: Ο ασύρματος σταθμός αποστέλλει μια αίτηση στο access point και αυτό επιτρέπει ή απαγορεύει την πρόσβαση στο υπόλοιπο δίκτυο, ανάλογα με το περιεχόμενο της αίτησης και την πολιτική ασφάλειας που έχει οριστεί Extended Service Set (ESS) Το Independent BSS επιτρέπει την ασύρματη κάλυψη ενός ορισμένου χώρου. Αν όμως πρέπει να καλυφθεί μια σχετικά μεγάλη έκταση, τότε η λύση που παρέχει το πρωτόκολλο είναι η σύνδεση πολλών BSS μεταξύ τους ώστε να σχηματιστεί ένα ESS. Η σύνδεση γίνεται συνδέοντας τα access points των BSS μεταξύ τους μέσω του δικτύου κορμού. Αυτή η λύση, επιτρέπει την επικοινωνία μεταξύ ασυρμάτων σταθμών που βρίσκονται σε διαφορετικά BSS, καθώς και την μετακίνηση από ένα BSS σε ένα άλλο χωρίς να διακοπεί η επικοινωνία. Φυσικά, αυτό μπορεί να γίνει μόνο με την προϋπόθεση ότι μεταξύ των BSS δεν υπάρχουν κενά στην κάλυψη. Στο Σχήμα 3-5 φαίνεται μια τοπολογία ESS. Σχήμα 3-5: Extended Service Set (ESS) 10

17 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Multi-BSS ή Virtual AP Όταν πρωτοεμφανίστηκαν τα ασύρματα δίκτυα, οι χρήστες ήταν λίγοι και οι απαιτήσεις περιορισμένες. Κατά συνέπεια, όλοι οι χρήστες συνδέονταν στο ίδιο ασύρματο δίκτυο με τα ίδια δικαιώματα. Όμως, καθώς η ασύρματη δικτύωση εξαπλώθηκε, οι απαιτήσεις αυξήθηκαν και το ένα δίκτυο σε πολλές περιπτώσεις δεν αρκεί για να καλύψει τις απαιτήσεις αυτές. Ένα παράδειγμα που το ένα ασύρματο δίκτυο δεν αρκεί, είναι οι περίπτωση των οργανισμών που δέχονται τακτικά επισκέπτες οι οποίοι είναι εφοδιασμένοι με ασύρματο εξοπλισμό και χρειάζονται ή επιθυμούν πρόσβαση στο διαδίκτυο. Όμως οι επισκέπτες δεν είναι αξιόπιστοι χρήστες και κατά συνέπεια είναι επιθυμητό να μην συνδέονται στο εσωτερικό δίκτυο του οργανισμού με τα ίδια δικαιώματα που έχουν οι υπάλληλοι του οργανισμού. Η προφανής λύση στο πρόβλημα θα ήταν να υπάρχουν δύο ειδών Access Points τα οποία σχηματίζουν δύο ESS. Ένα για τους υπαλλήλους του οργανισμού και ένα για τους επισκέπτες. Το κάθε ESS οδηγεί σε διαφορετικά δίκτυα ή VLAN και δίνει διαφορετικά δικαιώματα. Έτσι οι υπάλληλοι μπορούν να εντατικοποιηθούν και να συνδεθούν με ασφάλεια στο εσωτερικό δίκτυο, ενώ οι επισκέπτες να συνδεθούν στο διαδίκτυο χωρίς να εισέλθουν στο εσωτερικό δίκτυο. Όμως η λύση αυτή προσθέτει πολυπλοκότητα διαχείρισης και επιπλέον κόστος, τα οποία αυξάνονται ανάλογα με το μέγεθος της περιοχής κάλυψης αφού πιθανώς κάθε ESS να χρειάζεται πολλαπλά Access Point για πλήρη κάλυψη. Την πλήρη λύση στο πρόβλημα παρέχει η τεχνολογία Multi-BSS ή Virtual APs όπως είναι πιο γνωστή.[4] Τα σημερινά chipsets δίνουν τη δυνατότητα δημιουργία πολλαπλών δικτύων με ένα μόνο Access Point. Για παράδειγμα κάθε Access Point του οργανισμού μπορεί να δημιουργήσει δύο BSS: ένα για τους επισκέπτες με SSID guests και ένα για τους υπαλλήλους με SSID internal. Το κάθε BSS είναι ρυθμισμένο να συνδέεται σε διαφορετικό VLAN και οι χρήστες "βλέπουν" δύο δίκτυα και μπορούν να συνδεθούν σε όποιο θέλουν. Το κάθε Virtual Access Point δρα σαν ανεξάρτητο Access Point με τα δικά του SSID, MAC διεύθυνση και ρυθμίσεις αυθεντικοποίησης και κρυπτογράφησης. 3.3 Τα επίπεδα του προτύπου Το πρότυπο ορίζει κάποια επίπεδα κατά αντιστοιχία με τα επίπεδα του προτύπου OSI. Στο Σχήμα 3-6 φαίνεται η αντιστοιχία αυτή. Το φυσικό επίπεδο των δικτύων ορίζει τον τρόπο μετάδοσης και λήψης σημάτων, ενώ το υποεπίπεδο MAC (Media Access Control Sublayer Υποεπίπεδο ελέγχου πρόσβασης στο μέσο) είναι ένα σύνολο κανόνων που ορίζουν τον τρόπο πρόσβασης στο μέσο μετάδοσης καθώς και την αξιόπιστη μετάδοση των δεδομένων. Τέλος, το υποεπίπεδο 802.2/LLC είναι ένα επίπεδο σύνδεσης που χρησιμοποιείται από κοινού από όλα τα πρότυπα LAN του ΙΕΕΕ. 11

18 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Σχήμα 3-6: Τα επίπεδα του ΙΕΕΕ To υποεπίπεδο MAC Το υποεπίπεδο MAC ορίζει τις παρακάτω λειτουργίες: Πρόσβαση στο μέσο μετάδοσης Στο αρχικό πρότυπο ορίζονται δύο μέθοδοι πρόσβασης : Η μέθοδος Distributed Coordination Function (DCF) και η Point Coordination Function (PCF). Η μέθοδος DCF είναι η βασική μέθοδος που χρησιμοποιείται στα ασύρματα δίκτυα Τα χαρακτηριστικά των δύο μεθόδων είναι: DCF - Η μέθοδος DCF του προτύπου είναι ουσιαστικά ο μηχανισμός CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance), η οποία ερμηνεύεται ως πολλαπλή προσπέλαση με ανίχνευση φορέα και αποφυγή συγκρούσεων. Ο μηχανισμός αυτός ελέγχει την διαδικασία αποστολής δεδομένων με σκοπό την μείωση της πιθανότητας να συμβεί σύγκρουση. Για να το πετύχει αυτό ορίζει ότι κάθε σταθμός που θέλει να κάνει εκπομπή, πρέπει πρώτα να βεβαιωθεί ότι το μέσο μετάδοσης είναι ελεύθερο. Αν το μέσο δεν είναι ελεύθερο, τότε η εκπομπή αναβάλλεται μέχρι να τελειώσει η προηγούμενη εκπομπή. Μετά τον χρόνο αναμονής όμως και πριν προσπαθήσει να ξανακάνει εκπομπή ο σταθμός, πρέπει να περιμένει ένα τυχαίο χρονικό διάστημα. Το ίδιο συμβαίνει επίσης και πριν ένας σταθμός κάνει εκπομπή ξανά, μετά από μια επιτυχή προηγούμενη εκπομπή. Επίσης, μια παραλλαγή του μηχανισμού ορίζει επιπλέον την ανταλλαγή μηνυμάτων RTS/CTS (Request to Send / Clear to Send) μεταξύ αποστολέα και παραλήπτη. Η ανταλλαγή γίνεται μετά τον έλεγχο διαθεσιμότητας του μέσου και ακριβώς πριν την αποστολή των δεδομένων. Η ανταλλαγή αυτή βελτιώνει την αξιοπιστία σε δίκτυα με πολλούς σταθμούς, όπου η πιθανότητα συγκρούσεων είναι αυξημένη. 12

19 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων PCF Η μέθοδος PCF είναι προαιρετική και απαιτεί την ύπαρξη ενός Point Coordinator (PC) σταθμού, δηλαδή ενός σταθμού που αναλαμβάνει την κεντρική διαχείριση των εκπομπών των υπολοίπων σταθμών. Το ρόλο του Point Coordinator έχουν τα Access Point γι' αυτό και αυτή η μέθοδος χρησιμοποιείται μόνο στα Infrastructure δίκτυα. Η μέθοδος PCF λειτουργεί ένα επίπεδο πιο πάνω από την μέθοδο DCF, γιατί η μέθοδος πρόσβασης εναλλάσσεται: για κάποιο χρονικό διάστημα χρησιμοποιείται η PCF και για το υπόλοιπο χρησιμοποιείται η DCF. Κατά το διάστημα χρήσης της PCF, ο Point Coordinator ρωτάει κυκλικά όλους τους σταθμούς, αν έχουν δεδομένα προς αποστολή. Οι σταθμοί μπορούν να εκπέμψουν μόνο αν τους το επιτρέψει ο Point Coordinator. Αποστολή και λήψη πλαισίων (frames) Οι συσκευές επικοινωνούν μεταξύ τους ανταλλάσσοντας πλαίσια στο υποεπίπεδο MAC. Η μορφή του γενικού πλαισίου φαίνεται στο Σχήμα 3-7. Σχήμα 3-7: Μορφή γενικού πλαισίου MAC και πεδίου Frame Control Το πλαίσιο MAC αποτελείται από μια κεφαλή (header) μήκους 30 bytes, ένα σώμα (body) μεταβλητού μήκους και ένα πεδίου CRC μήκους 4 bytes. H κεφαλή του πλαισίου αποτελείται από 7 πεδία: Frame control Το πεδίο frame control αποτελείται από 11 υποπεδία. Το πεδίο αυτό είναι σημαντικό γιατί κάποια από τα υποπεδία του είναι σημαντικά για τους μηχανισμούς ασφάλειας που θα αναφερθούν αργότερα. Τα υποπεδία είναι: Protocol Version - Υποδηλώνει την έκδοση του MAC που περιέχεται στο πλαίσιο. Type - Ορίζει τρεις τύπους πλαισίων. Πλαίσια διαχείρισης (Management frames), πλαίσια ελέγχου (Control frames) και πλαίσια δεδομένων (Data frames). Subtype Υποδιαιρεί κάθε ένα από τους βασικούς τύπους πλαισίου, σε κάποιους υποτύπους. ToDS - Το πεδίο έχει τιμή 1 όταν ένα πλαίσιο δεδομένων προορίζεται για μεταγωγή στο δίκτυο διανομής. Διαφορετικά έχει τιμή 0. FromDS - Το πεδίο έχει τιμή 1 εάν το πλαίσιο έχει ληφθεί από το δίκτυο διανομής. Διαφορετικά έχει τιμή 0. More Fragments - Το πεδίο έχει τιμή 1 όταν το πλαίσιο περιέχει τμήμα ενός πακέτου (δηλαδή όχι ολόκληρο πακέτο) υψηλότερου επιπέδου. Retry - Προσδιορίζει αν το πλαίσιο έχει επανεκπεμφθεί. 13

20 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Power Management Προσδιορίζει την κατάσταση διαχείρισης ενέργειας στην οποία θα τεθεί ο σταθμός μετά την εκπομπή του πλαισίου. Υπάρχουν δύο καταστάσεις: η power save δηλαδή κατάσταση χαμηλής κατανάλωσης και η active δηλαδή ενεργή κατάσταση. More Data Υποδηλώνει ότι το Access Point που εκπέμπει το πλαίσιο, έχει αποθηκεύσει και άλλα πλαίσια στην ενδιάμεση μνήμη (buffer) του, τα οποία προορίζονται για κάποιο σταθμό που βρίσκεται σε κατάσταση "power save" Protected frame Το υποπεδίο αυτό ονομαζόταν WEP στο αρχικό πρότυπο Με την τροποποίηση i άλλαξε όνομα για να είναι γενικότερο και όταν έχει τιμή 1 υποδηλώνει ότι το σώμα του πλαισίου είναι κρυπτογραφημένο με κάποιο πρωτόκολλο ασφαλείας του επιπέδου σύνδεσης δεδομένων. Order Υποδηλώνει αν έχει ενεργοποιηθεί η δυνατότητα αυστηρής σειράς λήψης πλαισίων. Duration / ID Ο ρόλος του πεδίου αυτού είναι διπλός και εξαρτάται από τον τύπο του πλαισίου. Όταν είναι πλαίσιο ελέγχου με υποτύπο PS-Poll frame, τότε το πεδίο περιέχει ένα αναγνωριστικό κωδικό συσχέτισης (AID Association ID) που δηλώνει το BSS στο οποίο ανήκει ο σταθμός. To PS-Poll frame εκπέμπεται από σταθμούς που βρίσκονται σε κατάσταση power save και ενεργοποιούνται περιοδικά για να λάβουν τα πλαίσια που τυχόν έχει αποθηκευμένα το Access Point για αυτούς. Στις υπόλοιπες περιπτώσεις το πεδίο υποδηλώνει το χρονικό διάστημα (σε μs) που θα διαρκέσει η εκπομπή του πλαισίου, δηλαδή το χρονικό διάστημα για το οποίο το μέσο μετάδοσης θα είναι απασχολημένο. Address Υπάρχουν τέσσερα πεδία διευθύνσεων. Τα πεδία είναι αριθμημένα γιατί το κάθε πεδίο χρησιμοποιείται για διαφορετικό σκοπό ανάλογα με το είδος του πλαισίου. Στις περισσότερες περιπτώσεις το Address 1 είναι η διεύθυνση MAC του παραλήπτη, το Address 2 είναι η διεύθυνση MAC του αποστολέα και το Address 3 είναι το BSSID του δικτύου στο οποίο ανήκει ο σταθμός που εκπέμπει το πλαίσιο. Στα Infrastructure δίκτυα το BSSID είναι η διεύθυνση MAC του Access Point. Sequence Control Το πεδίο αυτό περιέχει δύο υποπεδία. Τον αριθμό τμήματος (fragment number) και τον αριθμό σειράς πλαισίου (sequence number). Ο αριθμός σειράς πλαισίου ανατίθεται σε κάθε πλαίσιο και παραμένει ίδιος ακόμα και αν το πλαίσιο επανεκπεμφθεί. Αν ένα πλαίσιο περιέχει κάποιο τμήμα ενός πακέτου υψηλότερου επιπέδου, τότε ο αριθμός τμήματος αυξάνεται ανάλογα με τον αριθμό των τμημάτων. Αν ένα πλαίσιο περιέχει ολόκληρο πακέτο, τότε ο αριθμός τμήματος είναι πάντα μηδέν. Το πεδίο CRC χρησιμοποιείται όπως και στα ενσύρματα δίκτυα για τον έλεγχο ακεραιότητας των πλαισίων που λαμβάνονται. Αυθεντικοποίηση (authentication) To απαιτεί από κάθε σταθμό να αποδείξει την ταυτότητα του πριν αρχίσει την αποστολή πλαισίων. Αυτό γίνεται με ανταλλαγή μυνημάτων μεταξύ του σταθμού και του Access Point. Αξίζει να σημειωθεί ότι πρόκειται για λειτουργία μιας κατεύθυνσης (one way), δηλαδή ο σταθμός αποδεικνύει την ταυτότητα του στο Access Point, αλλά όχι το αντίστροφο. Αποαυθεντικοποίηση (deauthentication) Λειτουργία η οποία τερματίζει μια αυθεντικοποίηση που έγινε νωρίτερα. 14

21 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Συσχέτιση (Association) - Μετά την αυθεντικοποίηση του ασύρματου σταθμού γίνεται ανταλλαγή μηνυμάτων μεταξύ ασύρματου σταθμού και του Access Point, ώστε ο σταθμός να αποκτήσει πρόσβαση στο δίκτυο διανομής. Όταν ολοκληρωθεί η διαδικασία αυτή, λέμε ότι ο ασύρματος σταθμός είναι συσχετισμένος με ένα Access Point και μπορεί πλέον να ακολουθήσει η ανταλλαγή πλαισίων δεδομένων. Η συσχέτιση δίνει τη δυνατότητα στο δίκτυο διανομής (DS) να γνωρίζει τη θέση κάθε σταθμού και κατά συνέπεια το Access Point στο οποίο πρέπει να προωθήσει τα πλαίσια, για να τα λάβει ο σταθμός. Αποσυσχέτιση (Disassociation) - Λειτουργία η οποία τερματίζει μια συσχέτιση που έγινε νωρίτερα. Επανασυσχέτιση (Reassociation) - Στην περίπτωση ένας σταθμός έχει ήδη εισέλθει στο ESS, αλλά επιθυμεί να αλλάξει BSS, τότε αποστέλλει στο νέο Access Point ένα πλαίσιο αίτησης επανασυσχέτισης (Reassociation Request). Το νέο Access Point απαντά με ένα πλαίσιο απόκρισης επανασχέτισης (Reassociation Response) και ο σταθμός είναι πλέον συσχετισμένος με το νέο Access Point. Παράλληλα, το νέο Access Point ενημερώνει το δίκτυο διανομής για την επανασυσχέτιση και τη νέα θέση του ασύρματου σταθμού, προκαλώντας έτσι την προώθηση τυχόν πλαισίων που δεν είχε προλάβει να στείλει το παλιό Access Point. Έτσι, ο σταθμός μεταβαίνει από το ένα BSS στο άλλο διατηρώντας την σύνδεσή του στο δίκτυο. Μυστικότητα (privacy) ή Εμπιστευτικότητα (confidentiality) κατά την τροποποίηση i Η μυστικότητα επιτυγχάνεται με ένα μηχανισμό κρυπτογράφησης των πλαισίων δεδομένων. Ο μηχανισμός που χρησιμοποιεί το αρχικό πρότυπο ονομάζεται WEP (Wired Equivalent Privacy), ενώ τα WPA και i εφαρμόζουν άλλους μηχανισμούς οι οποίοι θα αναλυθούν αργότερα. Αξίζει να σημειωθεί ότι η λειτουργία αυτή εφαρμόζεται μόνο στα πλαίσια δεδομένων. Διανομή (Distribution) Όταν υπάρχει ESS, λειτουργία διανομής καθορίζει αν ένα πλαίσιο θα σταλεί στο ίδιο BSS από το οποίο προήλθε ή θα σταλεί στο δίκτυο διανομής για να φτάσει σε ασύρματο σταθμό που είναι συσχετισμένος με άλλο Access Point. Ενοποίηση (Integration) Είναι η λειτουργία που είναι υπεύθυνη για την συνδεσιμότητα του WLAN με το υπόλοιπο δίκτυο που μπορεί να είναι άλλου τύπου. Ουσιαστικά μετατρέπει τα πλαίσια στη μορφή πλαισίου του άλλου δικτύου. 3.4 Διάγραμμα καταστάσεων ενός σταθμού Οι τύποι πλαισίων που επιτρέπεται να διακινηθούν ποικίλλουν ανάλογα με τις καταστάσεις αυθεντικοποίησης και συσχέτισης. Οι σταθμοί μπορούν να είναι αυθεντικοποιημένοι ή αποαυθεντικοποιημένοι και συσχετισμένοι ή αποσυσχετισμένοι. Αυτές οι δύο μεταβαλλόμενες ιδιότητες μπορούν να συνδυαστούν σε τρία καταστάσεις, που αποτελούν την ιεραρχία σύνδεσης ενός σταθμού στο ασύρματο δίκτυο: 1. Αρχική κατάσταση: Αποαυθεντικοποιημένος και αποσυσχετισμένος 2. Αυθεντικοποιημένος αλλά όχι συσχετισμένος 3. Αυθεντικοποιημένος και συσχετισμένος 15

22 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων Κάθε κατάσταση είναι ένα επιτυχές βήμα προς την επίτευξη της σύνδεσης που επιτελείται στην κατάσταση 3. Το Σχήμα 3-8 παρουσιάζει το διάγραμμα καταστάσεων του σταθμού και τις μεταβάσεις μεταξύ των καταστάσεων. Σχήμα 3-8: Διάγραμμα καταστάσεων WLAN Αξίζει να σημειωθεί ότι οι λειτουργίες αποαυθεντικοποίησης και αποσυσχέτισης αποστέλλουν ειδοποιήσεις. Η αποστολή ειδοποίησης είναι ατομική λειτουργία, δηλαδή δεν μπορεί 16

23 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων να απορριφθεί. Αυτό σημαίνει ότι όταν ένας σταθμός στείλει ή λάβει ειδοποίηση, η μετάβαση σε άλλη κατάσταση είναι αυτόματη. 3.5 Τύποι πλαισίων διαχείρισης (Management frames) Υπάρχουν ορισμένοι τύποι πλαισίων διαχείρισης που χρησιμοποιούνται για βασικές λειτουργίες διαχείρισης του επιπέδου σύνδεσης δεδομένων Beacon Τα πλαίσια beacon αναγγέλλουν την ύπαρξη ενός δικτύου και εκπέμπονται σε τακτά χρονικά διαστήματα για να επιτρέψουν στους ασύρματους σταθμούς να βρουν και να αναγνωρίσουν το ασύρματο δίκτυο, καθώς και να ρυθμίσουν τις παραμέτρους για την σύνδεση τους στο δίκτυο. Σε ένα δίκτυο Infrastructure το Access Point είναι υπεύθυνο για την εκπομπή των πλαισίων beacon. Η περιοχή στην οποία εμφανίζονται τα πλαίσια beacon καθορίζει το BSS. Επειδή η επικοινωνία σε ένα δίκτυο Infrastructure γίνεται μέσω των Access Points, οι σταθμοί πρέπει να είναι αρκετά κοντά για να ακούνε τα beacons. Φυσικά, η ύπαρξη των beacons επιτρέπει σε οποιοδήποτε να εντοπίσει το ασύρματο δίκτυο, οπότε σε περίπτωση που ο στόχος είναι η δημιουργία ενός ασφαλούς δικτύου (π.χ. ένα εταιρικό δίκτυο), το καλύτερο είναι να απενεργοποιηθεί η αποστολή beacons Ερευνητικό (Probe) Τα πλαίσια Probe είναι δύο ειδών: το Probe Request και το Probe Response. Το πλαίσιο Probe Request αποστέλλεται απο τους ασύρματους σταθμούς με σκοπό να ερευνήσουν το χώρο για ασύρματα δίκτυα. Στην ουσία, με το Probe Request ο σταθμός ρωτάει αν υπάρχει κάποιο Access Point στο χώρο και ζητάει λεπτομέρειες σύνδεσης, όπως SSID και υποστηριζόμενους ρυθμούς μετάδοσης. Αν κάποιο Access Point λάβει το πλαίσιο, αποστέλλει ένα πλαίσιο Probe Response που περιέχει τις πληροφορίες που ζήτησε ο σταθμός. Το Probe Response μπορεί να περιέχει σχεδόν όλες τις πληροφορίες που περιέχει και ένα πλαίσιο beacon Αυθεντικοποίησης (Authentication) και Αποαυθεντικοποίησης (Deauthentication) Κατά την λειτουργία της αυθεντικοποίησης αποστέλλονται κάποια πλαίσια αυθεντικοποίησης (Authentication Frames). Ο αριθμός πλαισίων που ανταλλάσσονται εξαρτάται από τον αλγόριθμο αυθεντικοποίησης που χρησιμοποιείται. Τα πλαίσια αυθεντικοποίησης που στέλνει ο σταθμός 17

24 ΚΕΦΑΛΑΙΟ 3: Αρχιτεκτονική ασυρμάτων δικτύων παίζουν το ρόλο αιτήσεων, ενώ τα πλαίσια αυθεντικοποίησης που στέλνει το Access Point στο σταθμό παίζουν το ρόλο απαντήσεων. Αντίστοιχα κατά την λειτουργία της αποαυθεντικοποίησης αποστέλλεται το πλαίσιο ειδοποίησης αποαυθεντικοποίησης (Deauthentication Notification Frame). Η λειτουργία αυτή είναι μιας κατεύθυνσης (one-way) Συσχέτισης (Association), Επανασυσχέτισης (Reassociation) και Αποσυσχέτισης (Disassociation) Τα πλαίσια συσχέτισης είναι δύο ειδών: πλαίσια αίτησης συσχέτισης (Association Request) και πλαίσια απόκρισης συσχέτισης (Association Response). Όταν ένας σταθμός αυθεντικοποιηθεί, αποστέλει ένα πλαίσιο αίτησης συσχέτισης ώστε να συσχετιστεί με το Access Point. Προαιρετικά, μπορεί να στείλει και κάποιες πληροφορίες σχετικά με τις δυνατότητες που διαθέτει ώστε να μπορέσει το AP να αποφασίσει αν η συσχέτιση θα πληρεί κάποια απαιτούμενα χαρακτηριστικά απόδοσης. Το AP αποστέλλει ένα πλαίσιο απόκρισης το οποίο περιέχει ένα κωδικό απάντησης και (προαιρετικά) ένα κωδικό αιτιολογίας. Τα πλαίσια επανασυσχέτισης είναι παρόμοια με τα πλαίσια συσχέτισης. Η διαφορά είναι ότι ενώ στα πλαίσια συσχέτισης το πεδίο Address 1 περιέχει τη διεύθυνση MAC του σταθμού που στέλνει το πλαίσιο, στα πλαίσια επανασυσχέτισης το πεδίο Address 1 περιέχει την διεύθυνση MAC του AP με το οποίο είναι ήδη συσχετισμένος ο σταθμός. Κατά τη λειτουργία της αποσυσχέτισης αποστέλλεται το πλαίσιο ειδοποίησης αποσυσχέτισης (disassociation Notification Frame). Η λειτουργία αυτή είναι μιας κατεύθυνσης (one-way). 18

25 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN Το κεφάλαιο αυτό επιχειρεί να καλύψει τις βασικές μεθόδους αυθεντικοποίησης, όπως αυτές ορίζονται στο αρχικό πρότυπο , καθώς και τις πιο προχωρημένες μεθόδους σύμφωνα με την τροποποίηση i. Συγκεκριμένα θα αναφερθούμε στις εξής μεθόδους αυθεντικοποίησης: Open System Shared Key (WEP) Φιλτράρισμα MAC 802.1X: EAP-CHAP EAP-MD5 EAP-TLS EAP-TTLS EAP-MSCHAP PEAP LEAP 4.1 Μέθοδοι αυθεντικοποίησης σύμφωνα με Έχει ήδη παρουσιαστεί η μορφή του πλαισίου αυθεντικοποίησης. Εδώ θα αναλυθεί το περιεχόμενο του σώματος των πλαισίων αυθεντικοποίησης, όπως ορίζεται από τις διάφορες μεθόδους. Η γενική μορφή του σώματος φαίνεται στο Σχήμα 4-1. Σχήμα 4-1: Σώμα πλαισίου αυθεντικοποίησης Το σώμα του πλαισίου αυθεντικοποίησης αποτελείται από τέσσερα πεδία: Authentication Algorithm Number (Αριθμός αλγορίθμου αυθεντικοποίησης) Το πεδίο αυτό υποδηλώνει τον αλγόριθμο αυθεντικοποίησης που χρησιμοποιείται. Αν έχει τιμή 0 χρησιμοποιείται Ανοιχτή Αυθεντικοποίηση (Open Authentication), ενώ αν έχει τιμή 1 χρησιμοποιείται Αυθεντικοποίηση Διαμοιραζόμενου Κλειδιού (Shared Key Authentication). 19

26 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN Authentication Transaction Sequence Number (Αριθμός ακολουθίας της συναλλαγής αυθεντικοποίησης) Το πεδίο αυτό παίρνει ένα αριθμό ακολουθίας για να προσδιορίζεται το κάθε πλαίσιο που ανταλλάσσεται κατά την διάρκεια της διαδικασίας αυθεντικοποίησης. Αυτό συμβαίνει γιατί υπάρχει μόνο ένας τύπος πλαισίου αυθεντικοποίησης (δεν υπάρχει πλαίσιο αίτησης και απόκρισης) και επίσης ο συνολικός αριθμός πλαισίων που ανταλλάσσονται δεν είναι σταθερός και εξαρτάται από το αλγόριθμο αυθεντικοποίησης που χρησιμοποιείται. Status Code (Κωδικός κατάστασης) Υποδηλώνει κάποια κατάσταση βάσει του κωδικού που περιέχει. Έχει διαφορετική χρησιμότητα ανάλογα με τον αλγόριθμο που χρησιμοποιείται. Challenge Text (Κείμενο πρόκλησης) Χρησιμοποιείται μόνο από τον αλγόριθμο διαμοιραζόμενου κλειδιού. Περιέχει μια ακολουθία χαρακτήρων. Το αρχικό πρότυπο ορίζει δύο μεθόδους αυθεντικοποίησης: Ανοιχτή (Open) και Διαμοιραζόμενου Κλειδιού (Shared Key). Η αυθεντικοποίηση πραγματοποιείται μεταξύ ενός AP και ενός σταθμού, ή στην περίπτωση ενός ad-hoc δικτύου μεταξύ δύο ή περισσοτέρων σταθμών Ανοιχτή Αυθεντικοποίηση (Open Authentication) Η ανοιχτή αυθεντικοποίηση συνιστάται ουσιαστικά σε μία απλή ανταλλαγή μηνυμάτων και δεν παρέχει από μόνη της κανενός είδους ασφάλεια. Η μοναδική πληροφορία που πρέπει να είναι γνωστή σε ένα σταθμό για να συνδεθεί στο δίκτυο είναι το SSID του AP. Παρά την ανοιχτή φύση του, αυτός ο τύπος αυθεντικοποίησης μπορεί να χρησιμοποιηθεί σε συνδυασμό με πιο προχωρημένες μεθόδους, όπως θα δούμε παρακάτω σε αυτό το κεφάλαιο. Στο Σχήμα 4-2 φαίνεται η διαδοχή των μηνυμάτων. Ο εναρκτήριος σταθμός είναι συνήθως μία ασύρματη κάρτα ενός σταθμού, ενώ ο σταθμός προορισμού είναι συνήθως μια ασύρματη κάρτα ενός AP. Το πρώτο μήνυμα το στέλνει ο εναρκτήριος σταθμός, το οποίο είναι ένα πλαίσιο διαχείρισης τύπου αυθεντικοποίησης. Το AP επεξεργάζεται το μήνυμα και στέλνει ως απόκριση στο σταθμό, το μήνυμα 2 που είναι ιδίου τύπου με το πρώτο. Η διαφορά είναι ότι το δεύτερο μήνυμα περιέχει τον κωδικό κατάστασης με τιμή Successful (Επιτυχής) ή κάποιο κωδικό αποτυχίας μαζί με την αιτιολογία αποτυχίας. Μόλις ο σταθμός λάβει το μήνυμα 2 και έχει κωδικό επιτυχίας, μεταβαίνει στην κατάσταση Αυθεντικοποιημένος. 20

27 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN Σχήμα 4-2: Αυθεντικοποίηση Ανοιχτού Συστήματος Τρεις εύλογες περιπτώσεις χρήσης της Ανοιχτής Αυθεντικοποίησης είναι: Όταν ο απαιτούμενος βαθμός ασφάλειας εξασφαλίζεται σε ανώτερα επίπεδα με χρήση VPN / Ipsec. Για παράδειγμα μπορεί να χρησιμοποιηθεί σε Hotspot παροχής Internet (Ξενοδοχεία, Αεροδρόμια). Όταν το AP είναι μέρος ενός ελεύθερου/κοινοτικού δικτύου και επομένως η ύπαρξη κάποιου μηχανισμού αυθεντικοποίησης δεν έχει και τόσο νόημα Αυθεντικοποίηση Διαμοιραζόμενου Κλειδιού (Shared Key Authentication) Η δεύτερη μέθοδος αυθεντικοποίησης παρέχει λίγη περισσότερη ασφάλεια από την προηγούμενη. Η αυθεντικοποίηση διαμοιραζόμενου κλειδιού χρησιμοποιεί τον αλγόριθμο WEP (Wired Equivalent Privacy) και όπως υποδεικνύει το όνομα του, είχε σχεδιαστεί με την προοπτική να εξαλείψει την βασική αδυναμία ασφάλειας των ασυρμάτων δικτύων, που είναι η δυνατότητα οποιουδήποτε σταθμού εντός εμβέλειας να "ακούσει" την κίνηση του δικτύου. Στα ενσύρματα δίκτυα δεν γίνεται διάχυση της πληροφορίας στον χώρο, και έτσι απαιτείται φυσική επαφή με το καλώδιο για να μπορέσει κάποιος εισβολέας να υποκλέψει δεδομένα. Σε ένα ασύρματο δίκτυο που χρησιμοποιεί WEP, κάθε σταθμός γνωρίζει ένα ή περισσότερα κλειδιά που του επιτρέπουν να αποκωδικοποιεί την κίνηση που δέχεται και αντίστοιχα να 21

28 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN κωδικοποιεί την κίνηση που στέλνει. Υπό αυτήν την έννοια, η αυθεντικοποίηση διαμοιραζόμενου κλειδιού δεν αποδεικνύει την ταυτότητα κάθε σταθμού, αλλά απλά πιστοποιεί ότι οι σταθμοί έχουν στην κατοχή τους το ίδιο κλειδί. Η αυθεντικοποίηση διαμοιραζόμενου κλειδιού πραγματοποιείται σε έξι βήματα, όπως φαίνεται στην Σχήμα 4-3: Σχήμα 4-3: Αυθεντικοποίηση Διαμοιραζόμενου Κλειδιού 22

29 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN Βήμα 1ο: Ο σταθμός που επιχειρεί να αυθεντικοποιηθεί, στέλνει αίτημα αυθεντικοποίησης στο AP (ή άλλο σταθμό εάν πρόκειται για ad-hoc δίκτυο). Βήμα 2ο: Το AP απαντάει με μία τυχαία συμβολοσειρά (Challenge Text). Η τυχαία συμβολοσειρά αποσκοπεί στην αποφυγή της επίθεσης Off-line Brute Force. Βήμα 3ο: Ο σταθμός κρυπτογραφεί την τυχαία συμβολοσειρά με το WEP κλειδί που διαθέτει. Βήμα 4ο: Ο σταθμός αποστέλλει το κρυπτογραφημένο αποτέλεσμα στο AP. Βήμα 5ο: Το AP αποκρυπτογραφεί την κρυπτογραφημένη τυχαία συμβολοσειρά με το δικό του WEP κλειδί. Αν η αποκρυπτογραφημένη τυχαία συμβολοσειρά είναι ίδια με την αρχική που είχε αποστείλει, συμπεραίνει ότι τα δύο κλειδιά είναι ίδια. Βήμα 6ο: Αν στο βήμα 5 αποδείχτηκε ότι τα κλειδιά είναι ίδια, τότε το AP αυθεντικοποιεί τον σταθμό. Η αυθεντικοποίηση διαμοιραζόμενου κλειδιού έχει ένα σύνολο από αδυναμίες: Δεν προβλέπεται κάποιος μηχανισμός αυτόματης διαμοίρασης των κλειδιών. Τα κλειδιά επομένως θα πρέπει να διαμοιραστούν εκτός δικτύου και να καταχωρηθούν χειροκίνητα, πράγμα χρονοβόρο και επιρρεπές σε διαρροές και υποκλοπές. Δεν προβλέπεται κάποιος μηχανισμός βάσει του οποίου να καθορίζονται οι σταθμοί και τα AP που θα μοιράζονται το ίδιο κλειδί. Αυτό το ζήτημα θα πρέπει να το αντιμετωπίσει ο διαχειριστής του δικτύου, πράγμα όμως που περιορίζει την ευελιξία του δικτύου. Η απόκτηση του κλειδιού από έναν σταθμό, επιτρέπει σε έναν εισβολέα πλήρη πρόσβαση στο δίκτυο από οποιοδήποτε άλλο σταθμό. Είναι σύνηθες φαινόμενο να επιλέγονται ευκολομνημόνευτα κλειδιά, οπότε αυτό οδηγεί σε ακατάλληλη επιλογή κλειδιών (κοινές λέξεις, ημερομηνίες). Ο αλγόριθμος WEP έχει ένα αριθμό από αδυναμίες που τον καθιστούν ανασφαλή. Οι αδυναμίες αυτές θα αναλυθούν παρακάτω. Η αυθεντικοποίηση διαμοιραζόμενου κλειδιού (και το WEP κατά συνέπεια), παρέχουν κάποια ασφάλειας, αλλά σίγουρα απέχει πολύ από το επιθυμητό επίπεδο ασφάλειας Αυτό σημαίνει ότι δεν μπορεί να εμποδίσει ένα αποφασισμένο εισβολέα. Επίσης, η χρήση του έχει νόημα μόνο σε περιβάλλοντα με λίγους σταθμούς, γιατί όσο αυξάνεται ο αριθμός των σταθμών, αυξάνεται κατακόρυφα και το διαχειριστικό κόστος του δικτύου Λειτουργία του αλγορίθμου WEP Ο μηχανισμός του WEP περιγράφεται στο πρότυπο και φαίνεται γραφικά στο Σχήμα 4-4. Παρακάτω θα περιγράψουμε κάθε μέρος του διαγράμματος. 23

30 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN Σχήμα 4-4: Λειτουργίες αλγορίθμου WEP Αλγόριθμος Κρυπτογράφησης Το WEP κάνει χρήση του αλγόριθμου κρυπτογράφησης RC4. Ο RC4 είναι ένας συμμετρικός αλγόριθμος (χρησιμοποιεί το ίδιο κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση) και είναι αλγόριθμος συρμού (stream cipher). Αυτό σημαίνει ότι το κλειδί θεωρείται ως ένας συρμός (stream) από bits και εφαρμόζεται στο απλό κείμενο (Plain Text) bit προς bit για να παραχθεί το κρυπτογραφημένο κείμενο (Cipher Text). Αυτό έχει το πλεονέκτημα ότι μπορεί να εφαρμοστεί σε κείμενο μεταβλητού μεγέθους, σε αντίθεση με τους Block Ciphers που εφαρμόζονται σε κομμάτια (blocks) κειμένου σταθερού μεγέθους (συνήθως 64 bits). 24

31 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN Ο RC4 περιλαμβάνει δύο φάσεις: Την παραγωγή του συρμού κλειδιού (Κey Stream) και την κρυπτογράφηση του καθαρού κειμένου. Για την παραγωγή του key stream ο RC4 δέχεται σαν είσοδο ένα σπόρο (seed) και χρησιμοποιεί μια διαδικασία παραγωγής ψευδοτυχαίων αριθμών. Στη φάση της κρυπτογράφησης, το key stream γίνεται XOR με το plain text για να παραχθεί το τελικό κρυπτογραφημένο κείμενο. Εξασφάλιση Ακεραιότητας Δεδομένων Η εξασφάλιση της ακεραιότητας του μηνύματος στο WEP βασίζεται στον αλγόριθμο CRC32. Ο αλγόριθμος CRC-32 εφαρμόζεται στο απλό κείμενο και παράγει την τιμή ελέγχου ακεραιότητας (ICV - Integrity Check Value) μήκους τεσσάρων bytes. Αυτή η πληροφορία αργότερα κρυπτογραφείται μαζί με το απλό κείμενο, με τον RC4 αλγόριθμο. Η κρυπτογράφηση του ICV μαζί με το απλό κείμενο κάνει δύσκολη την τροποποίηση των κρυπτογραφημένων δεδομένων και του ICV, με τέτοιο τρόπο ώστε το νέο ICV να ανταποκρίνεται στα τροποποιημένα δεδομένα. Ο αλγόριθμος CRC-32 περιγράφεται στο RFC Σπόρος και Μήκος Κλειδιού Ο σπόρος WEP παράγεται βάση του IV μήκους 24 bits και ενός κλειδιού 40 bits που παρέχεται από τον χρήστη. Ο συνδυασμός των δύο αυτών δίνει τον σπόρο μήκους 64 bits. Διάφορες υλοποιήσεις έχουν αυξήσει το μήκος του κλειδιού σε 104-bit, δίνοντας ένα μήκος σπόρου 128-bit. Σημείωση: Ο RC4 μπορεί να χρησιμοποιήσει μήκη κλειδιών έως 256 bytes (2048 bits). Όμως για το πρότυπο επιλέχτηκε μήκος κλειδιού 40 bits εξαιτίας απαγορεύσεων εξαγωγής αλγορίθμων κρυπτογράφησης. Παραγωγή του IV (Initialization Vector Διάνυσμα Αρχικοποίησης) Η ύπαρξη του IV είναι αναγκαία προκειμένου το ίδιο κλειδί με τα ίδια δεδομένα να μην παράγουν το ίδιο κρυπτογραφημένο κείμενο. Κάτι τέτοιο θα επέτρεπε την εφαρμογή ορισμένων στατιστικών μεθόδων προκειμένου να ανακαλυφθεί το απλό κείμενο (residual effect). Επομένως αυτό που μας ενδιαφέρει στο IV είναι να αλλάζει με κάθε πλαίσιο που αποστέλλεται. Μπορεί να ξεκινάει από το μηδέν ή έναν τυχαίο αριθμό και μετά να αυξάνει κατά ένα κάθε φορά. Θα μπορούσε εναλλακτικά κάθε φορά να αποκτάει μία τυχαία τιμή, αλλά κάτι τέτοιο μεγαλώνει την πιθανότητα ταύτισης των IV σε χρονικά κοντινά πλαίσια. Σε κάθε περίπτωση πάντως, επειδή το IV είναι μόνο 24 bits, έχει πεπερασμένο άνω όριο και κάποια στιγμή θα πρέπει να αρχικοποιηθεί. Όταν γίνει αυτό τα IV θα αρχίσουν να επαναλαμβάνονται. Παραγωγή Κλειδιού Όπως προαναφέραμε, το κλειδί μπορεί να έχει μήκος 40 ή 104 bits. Επιπλέον κάθε σταθμός μπορεί να έχει τέσσερα κλειδιά ταυτόχρονα και να χρησιμοποιεί ένα από αυτά σε κάθε αποστολή ή 25

32 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN λήψη πλαισίου, για κρυπτογράφηση και αποκρυπτογράφηση. Το πιο κάθε φορά χρησιμοποιείται ορίζεται σε ένα πεδίο του κρυπτογραφημένου πλαισίου που λέγεται αριθμός κλειδιού (Key ID). Η αντιστοιχία και η αρίθμηση θα πρέπει να είναι η ίδια μεταξύ των σταθμών. Η δυνατότητα παράλληλης χρήσης περισσοτέρων κλειδιών αυξάνει την συνολική ασφάλεια της επικοινωνίας. Εφόσον γίνεται ήδη χρήση και των τεσσάρων κλειδιών, ο χρόνος που απαιτείται για την εύρεση αυτών με τη μέθοδο της εξαντλητικής αναζήτησης (brute force) τετραπλασιάζεται. Σύνθεση Πλαισίου Ο αλγόριθμος RC4 παράγει βάση του σπόρου και του αρχικών δεδομένων, τα κρυπτογραφημένα δεδομένα, τα οποία μαζί με το IV και το key ID τοποθετούνται στο πλαίσιο προς αποστολή. Πρέπει να τονιστεί ότι κρυπτογραφημένα είναι μόνο τα δεδομένα και το ICV, ενώ όλα τα υπόλοιπα στέλνονται χωρίς κρυπτογράφηση. Αποκρυπτογράφηση Κατά την λήψη του πλαισίου ακολουθείται ουσιαστικά η αντίστροφη διαδικασία. Εντοπίζεται το κλειδί που χρησιμοποιήθηκε βάσει του πεδίου key ID, παράγεται το key stream και αποκρυπτογραφείται το περιεχόμενο του πλαισίου. Τέλος, υπολογίζεται το ICV και συγκρίνεται με το ICV που παραλήφθηκε, προκειμένου να αποδειχθεί η ακεραιότητα των δεδομένων. Αδυναμίες του WEP Παρακάτω αναφέρονται τα σημεία στα οποία εντοπίστηκαν αδυναμίες: Η επιλογή του IV Η μετάδοση του IV Η ύπαρξη αδύναμων IV Η ύπαρξη αδύναμων κλειδιών RC4 Ο μηχανισμός CRC-32 Η απουσία μηχανισμού αυτόματης διαμοίρασης των κλειδιών Η απουσία μηχανισμού αμοιβαίας αυθεντικοποίησης μεταξύ των κόμβων Αυθεντικοποίηση βασισμένη σε MAC διεύθυνση Η αυθεντικοποίηση με βάση την MAC διεύθυνση δεν αποτελεί μέρος του προτύπου Ουσιαστικά πρόκειται για μια διαδικασία επιβολής πολιτικής ασφάλειας από το AP. Είναι δηλαδή ένα επιπλέον επίπεδο ασφάλειας, αφού μπορεί να χρησιμοποιηθεί και με τις δύο μεθόδους αυθεντικοποίησης που περιγράφτηκαν. Το AP έχει αποθηκευμένο ένα πίνακα με MAC διευθύνσεις σταθμών στους οποίους επιτρέπει να αποκτήσουν πρόσβαση στο δίκτυο. Επειδή, δεν αποτελεί μέρος του προτύπου, υπάρχουν διάφορες υλοποιήσεις. Για παράδειγμα κάποιες υλοποιήσεις δεν επιτρέπουν τη συσχέτιση, ενώ άλλες την επιτρέπουν αλλά μπλοκάρουν όλη την κίνηση. 26

33 ΚΕΦΑΛΑΙΟ 4: Μηχανισμοί αυθεντικοποίησης WLAN Η μέθοδος αυτή δεν προσφέρει μεγάλη ασφάλεια, γιατί είναι εξαιρετικά εύκολο κάποιος εισβολέας να μάθει μια νόμιμη MAC διεύθυνση παρακολουθώντας τα πλαίσια που διακινούνται, και στη συνέχεια να αλλάξει την δική του MAC διεύθυνση με την διεύθυνση που υπέκλεψε. Η δυνατότητα αλλαγής της MAC διεύθυνσης συνήθως παρέχεται από τους οδηγούς των καρτών δικτύου. Η αυθεντικοποίηση με βάση την MAC είναι κατάλληλη για χρήση μόνο σε περιβάλλοντα με λίγους σταθμούς. Η καταχώρηση των MAC διευθύνσεων των σταθμών του δικτύου πρέπει να γίνεται χειροκίνητα, οπότε όσο μεγαλώνει ο αριθμός των σταθμών, αυξάνεται και το διαχειριστικό κόστος των πινάκων με τις MAC διευθύνσεις Αυθεντικοποίηση σύμφωνα με i Όπως είδαμε στην προηγούμενη παράγραφο και θα αναφερθούμε αναλυτικά στο κεφάλαιο περί ευπαθειών, η ασφάλεια του βασικού πρωτοκόλλου δεν ανταποκρίνεται σε περιπτώσεις αυξημένων απαιτήσεων. Παρ' όλα αυτά, η παρεχόμενη ασφάλεια μπορεί να είναι επαρκής σε ορισμένες περιπτώσεις χρήσης, όπως σε ένα προσωρινό ad-hoc δίκτυο στα πλαίσια μιας συνδιάσκεψης. Το κενό ασφάλειας ήρθε να καλύψει το πρωτόκολλο i. Το πρωτόκολλο i ορίζει μηχανισμούς αυθεντικοποίησης και εμπιστευτικότητας. Με τους μηχανισμούς εμπιστευτικότητας θα ασχοληθούμε στο επόμενο κεφάλαιο. Το ίδιο το i βασίζεται σε ένα σύνολο άλλων πρωτοκόλλων, πολλά από τα οποία βρίσκονταν σε χρήση επί χρόνια, κυρίως στην αυθεντικοποίηση dial-up χρηστών EAP-CHAP, EAP-MD5, EAP-TLS, EAP-TTLS, EAP-MSCHAP, PEAP, LEAP Αυθεντικοποίηση τύπου Hotspot [5] 27

34 ΚΕΦΑΛΑΙΟ 5: Η κατασκευή του Access Point ΚΕΦΑΛΑΙΟ 5: Η κατασκευή του Access Point Στα πλαίσια της πτυχιακής εργασίας, κατασκευάστηκε ένα Access Point για να καλύψει τις ανάγκες ασύρματης δικτύωσης του τμήματος Πληροφορικής. Η επιλογή της κατασκευής ενός Access Point από το μηδέν, αντί για αγορά ενός έτοιμου εμπορικού προϊόντος, έγινε επειδή έπρεπε να υπάρχει ο μέγιστος δυνατός έλεγχος στις λειτουργίες και υπηρεσίες που παρέχονται. Η ανάγκη για ελεγχόμενη λειτουργία είναι επακόλουθο του στόχου που τέθηκε για αυτό το σύστημα, δηλαδή να παρέχει υπηρεσίες δικτύωσης με την μέγιστη δυνατή ασφάλεια. Φυσικά, για να είναι εφικτά τα παραπάνω, χρειάζεται πρόσβαση στο λογισμικό του Access Point και αυτός είναι και ο λόγος που τα έτοιμα εμπορικά προϊόντα απορρίφθηκαν. Το συγκεκριμένο Access Point έπρεπε να λειτουργεί με ανοιχτού τύπου λογισμικό, ώστε να είναι ευέλικτο και προσαρμόσιμο. Είναι προφανές βέβαια ότι η καλύτερη λύση για αυτό το σκοπό είναι η χρήση μιας διανομής Linux. Για να δώσει ζωή στο Access Point, κατασκευάστηκε μια διανομή Linux που ονομάσαμε AspisOS και θα αναλυθεί σε επόμενο κεφάλαιο. Τελικά, κατασκευάστηκαν δύο υλοποιήσεις Access Point, που θα μπορούσαν να χαρακτηριστούν ως δύο γενιές. Αυτό συνέβει γιατί ενώ κατασκευάστηκε η πρώτη υλοποίηση, που θα παρουσιαστεί παρακάτω, διαπιστώθηκε ότι υπήρχαν κάποιοι ανυπέρβλητοι περιορισμοί που είχαν να κάνουν με την επιλογή του hardware που χρησιμοποιήθηκε. Έτσι, αποφασίσαμε την κατασκευή και μιας ακόμα υλοποίησης (δεύτερης γενιάς), που έχει βασιστεί σε καλύτερο hardware. Και οι δύο υλοποιήσεις έχουν πλεονεκτήματα και μειονεκτήματα, όμως η δεύτερη υλοποίηση υπερέχει συνολικά. Αξίζει να σημειωθεί, ότι το AspisOS τρέχει και στις δύο υλοποιήσεις με πολύ μικρές αλλαγές. 5.1 Υλοποίηση πρώτης γενιάς Κατά το σχεδιασμό της πρώτης υλοποίησης, τέθηκαν κάποιες απαιτήσεις για το σύστημα: Να είναι περιορισμένο σε διαστάσεις. Να είναι οικονομικό. Να μην έχει κινούμενα μέρη (π.χ. σκληρούς δίσκους) Να μπορεί να τρέξει Linux (φυσικά...) Προδιαγραφές Έχοντας κατά νου τα παραπάνω, συγκεντρώθηκαν διάφορα εξαρτήματα (καινούργια και μεταχειρισμένα) και τελικά το σύστημα έχει την παρακάτω σύνθεση: Επεξεργαστής AMD K6 350 Mhz M/B Elite Group με δύο PCI και δύο ISA θύρες επέκτασης 28

35 ΚΕΦΑΛΑΙΟ 5: Η κατασκευή του Access Point 64 ΜΒ RAM Ασύρματη κάρτα δικτύου PCMCIA Engenius b 200 mw (Εικόνα 5-1) Pigtail MMCX-to-N Female βιδωτό (για case) Εικόνα 5-2 PCMCIA-to-ISA adapter Κάρτα δικτύου 100 Mbps με chipset Realtek CompactFlash-to-IDE adapter Κάρτα CompactFlash 8 MB (περιέχει το AspisOS) Κάρτα γραφικών ISA Τροφοδοτικό ΑΤΧ Μεταλλικό κουτί κατασκευών (ως case) Σε γενικές γραμμές ο εξοπλισμός είναι παλαιάς τεχνολογίας, αλλά το AspisOS τον εκμεταλλεύεται πλήρως για το σκοπό του. Κάποια βασικά εξαρτήματα που χρησιμοποιήθηκαν περιγράφονται στη συνέχεια. Στην Εικόνα 5-1 φαίνεται η ασύρματη κάρτα δικτύου PCMCIA που χρησιμοποιήθηκε. Είναι μια Engenius EL-2511CD, με ισχύ 200 mw, χωρίς ενσωματωμένη κεραία. Η κάρτα αυτή υποστηρίζει το πρότυπο b. Κάτω αριστερά, διακρίνεται μια από τις υποδοχές σύνδεσης εξωτερικής κεραίας. Εικόνα 5-1: Η κάρτα Engenius EL-2511CD To pigtail (Εικόνα 5-2) είναι ουσιαστικά ένας μετατροπέας από ένα τύπο βύσματος σε ένα άλλο. Χρησιμοποιείται όταν πρέπει να συνδεθεί μια κάρτα (με μικρό βύσμα) σε μια κεραία (με μεγάλο βύσμα). Το καλώδιο χρησιμεύει στο να μην υπάρχουν δυνάμεις πάνω στα βύσματα (που μπορεί να τα καταστρέψουν). Εικόνα 5-2: Pigtail MMCX to N Female 29

36 ΚΕΦΑΛΑΙΟ 5: Η κατασκευή του Access Point Στην Εικόνα 5-3 φαίνεται το IDE-to-CompactFlash adapter. Είναι το εξάρτημα που επιτρέπει στο M/B, να αναγνωρίζει την κάρτα CompactFlash σαν σκληρό δίσκο. Αυτό είναι δυνατόν, επειδή οι προδιαγραφές των καρτών CompactFlash προβλέπουν ένα mode προσομοίωσης IDE. Εικόνα 5-3: IDE-to-CompactFlash adapter Το τελικό συναρμολογημένο σύστημα φαίνεται στην Εικόνα 5-4. Διακρίνονται: η κάρτα CF συνδεδεμένη με τον IDE-to-CompactFlash adapter (στα δεξιά), η ασύρματη κάρτα PCMCIA συνδεδεμένη στο PCMCIA-to-ISA adapter (στο πάνω μέρος). Εικόνα 5-4: Η υλοποίηση πρώτης γενιάς συναρμολογημένη Στην Εικόνα 5-5 φαίνεται το σύστημα κατά τη διάρκεια της ανάπτυξης και δοκιμών. Φαίνεται καθαρά η κάρτα Engenius συνδεδεμένη στην υποδοχή PCMCIA του PCMCIA-to-ISA adapter, καθώς και το pigtail. 30

37 ΚΕΦΑΛΑΙΟ 5: Η κατασκευή του Access Point Εικόνα 5-5: Το σύστημα κατά τη διάρκεια της ανάπτυξης Στην Εικόνα 5-6 βρίσκεται ως έκθεμα του τμήματος Πληροφορικής στην έκθεση Infosystem Εικόνα 5-6: Το σύστημα στην Infosystem

38 ΚΕΦΑΛΑΙΟ 5: Η κατασκευή του Access Point 5.2 Υλοποίηση δεύτερης γενιάς Η πρώτη υλοποίηση αποδείχτηκε ότι είχε κάποιους περιορισμούς λόγω του παλαιού hardware, οι οποίοι θα αναλυθούν σε επόμενη παράγραφο. Για να ξεφύγουμε από τους περιορισμούς αυτούς κατασκευάσαμε την δεύτερη υλοποίηση Access Point. Για την δεύτερη υλοποίηση αποφασίσαμε να χρησιμοποιήσουμε ως βάση ένα SBC (Single Board Computer). Τέτοιο hardware δεν ήταν διαθέσιμο στην Ελλάδα, όταν κατασκευάζαμε την πρώτη υλοποίηση, επομένως τότε είχε απορριφθεί η ιδέα. Επιλέξαμε ένα SBC της Pcengines ( που λέγεται WRAP (Wireless Router Application Platform), είναι δηλαδή μια πλατφόρμα κατασκευής embedded συστημάτων με κατεύθυνση τους ασύρματους δρομολογητές Προδιαγραφές Τα χαρακτηριστικά του μοντέλου WRAP.2C που επιλέξαμε (Εικόνα 5-7) είναι: Επεξεργαστής AMD Geode SC Mhz (χωρίς ανεμιστήρα) 64 ΜΒ RAM Μια θύρα LAN Δύο υποδοχές minipci για ισάριθμες ασύρματες κάρτες Ενσωματωμένη υποδοχή CompactFlash Τροφοδοσία από εξωτερικό τροφοδοτικό (7 έως 18 Volt), επίσης υποστηρίζει και POE (Power Over Ethernet) Χαμηλή κατανάλωση (3-5 Watt) Σειριακή θύρα για διαχείριση από κονσόλα (όχι οθόνη και πληκτρολόγιο) Μικρό μέγεθος ( 10x16 cm) Στην Εικόνα 5-7 φαίνεται το WRAP.2C.Διακρίνεται το chip του επεξεργαστή Geode (στο κέντρο), η μία από τις δύο υποδοχές minipci (δεξιά) και οι διάφορες θύρες (σειριακή, LAN, τροφοδοσία). Η δεύτερη υποδοχή minipci και η υποδοχή CF βρίσκονται στην πίσω πλευρά του board. Εικόνα 5-7: Το SBC WRAP.2C 32

39 ΚΕΦΑΛΑΙΟ 5: Η κατασκευή του Access Point Τα υπόλοιπα εξαρτήματα που επιλέξαμε είναι: Ασύρματη κάρτα δικτύου Ubiquity Networks Super Range 2 minipci 400mW Pigtail U.FL-to-RP-SMA Male (βιδωτό) Κάρτα CompactFlash 128 MB Τροφοδοτικό 12 Volt Case από αλουμίνιο ειδικά για WRAP Στην Εικόνα 5-8 φαίνεται η ασύρματη κάρτα Ubiquity Super Range 2 minipci. Υποστηρίζει τα πρότυπα b/g. Εικόνα 5-8: Ubiquity Super Range 2 minipci Στην Εικόνα 5-9 φαίνεται το pigtail που χρησιμοποιήθηκε. Το συγκεκριμένο έχει ένα πολύ μικρό και εύθραυστο βύσμα που λέγεται U.FL και είναι αυτό που συνδέεται στην κάρτα minipci. Εικόνα 5-9: Pigtail U.FL to RP-SMA Male Στην Εικόνα 5-10 φαίνεται το WRAP συναρμολογημένο. Διακρίνεται τοποθετημένη η κάρτα minipci και το pigtail, ενώ έχει βιδωθεί και η πρόσοψη του κουτιού. Στην Εικόνα 5-11 είναι το ολοκληρωμένο σύστημα μέσα στο κουτί. 33

40 ΚΕΦΑΛΑΙΟ 5: Η κατασκευή του Access Point Εικόνα 5-10: Το WRAP συναρμολογημένο Εικόνα 5-11: Το WRAP στο κουτί του 34

41 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Τα Access Point που κατασκευάσαμε χρησιμοποιούν ως λειτουργικό σύστημα την linux διανομή AspisOS. Η διανομή αυτή στοχεύει σε SBCs (Single Board Computers) και σε PCs που λειτουργούν ως ασύρματα σημεία πρόσβασης/δρομολογητές (AP/Routers). Έχει βελτιστοποιηθεί ως προς το μέγεθος και τις δυνατότητες ασύρματης (και όχι μόνο) ασφάλειας που παρέχει. 6.1 Βασικά χαρακτηριστικά σχεδίασης της διανομής Ελάχιστες απαιτήσεις εξοπλισμού Το AspisOS αποτελεί ένα image μεγέθους μόλις 8 MB για να παρέχει ένα πλήθος υπηρεσιών και λειτουργιών. Μπορεί να εγκατασταθεί σε σκληρό δίσκο, όμως η βέλτιστη λύση είναι η χρήση κάρτας CompactFlash (CF) συνδεδεμένης σε μετατροπέα IDE-to-CF. Οι κάρτες CompactFlash διαθέτουν ένα mode προσομοίωσης IDE, οπότε το BIOS τις αναγνωρίζει ως σκληρούς δίσκους. Υπάρχει επίσης και μια 16 MB έκδοση για εκείνες τις περιπτώσεις ότι το image των 8 MB είναι ανεπαρκές. Οι απαιτήσεις σε μνήμη RAM είναι επίσης χαμηλές. Η ελάχιστη ποσότητα RAM που απαιτείται είναι 16 MB, αν και δεν αρκεί για να φορτωθούν όλες οι υπηρεσίες που υποστηρίζονται. Η προτεινόμενη ποσότητα είναι 32 ή 64 ΜΒ. Το AspisOS μπορεί να τρέξει σε SBCs, αλλά και σε κανονικά PC και μάλιστα αρκετά παλαιάς τεχνολογίας. Μπορεί να τρέξει σε οποιοδήποτε PC με επεξεργαστή 486 και πάνω. Θεωρητικά (με κάποιες αλλαγές) μπορεί να τρέξει σε όλες τις πλατφόρμες που υποστηρίζει o πυρήνας του linux (π.χ. RISC κ.α.) Δυνατότητες και υποστηριζόμενες λειτουργίες Το AspisOS διαθέτει πληθώρα λογισμικού που περιλαμβάνεται στο image των 8 MB. Αυτό του επιτρέπει να εξυπηρετεί πολλαπλούς σκοπούς, αποφεύγοντας την ανάγκη για πρόσθετες συσκευές δικτύου. Για παράδειγμα, διαθέτει όλα τα απαραίτητα συστατικά για ασφαλή ασύρματη δικτύωση: πρωτόκολλα του προτύπου i, Supplicant/Authenticator/RADIUS, Firewall, SHTTP Server, WIDS (Wireless IDS) και υποστήριξη Hotspot. Πιο αναλυτικά το AspisOS, περιλαμβάνει τις παρακάτω δυνατότητες / χαρακτηριστικά: Δρομολόγηση: Static/Dynamic routing. IPv4 and Ipv6. Dynamic routing protocols supported: BGP, RIP, OSPF, ISIS NAT/Port-forwarding 35

42 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Statefull και Stateless firewall DHCP server/client/relay DNS forwarder 801.X Supplicant/Authenticator/RADIUS Authentication Server ADSL gateway (PPPoE/PPPoA) Web server με υποστήριξη CGI και SSL IP-layer QoS SNMP agent Dynamic DNS SMTP client Εργαλεία Network security penetration/testing: tcptraceroute, ngrep, hping και άλλα Στατιστικά δικτύου: vnstat Και πολλά άλλα Προσανατολισμός στην ασφάλεια Το AspisOS, εάν ρυθμιστεί σωστά, παρέχει ένα πολύ καλό επίπεδο ασφάλειας τόσο για τον εαυτό του, όσο και για το δίκτυο που εξυπηρετεί. Επιπλέον, περιέχει πολύ λογισμικό σχετικά με ασφάλεια δικτύων, προκειμένου να δοκιμαστεί το επίπεδο ασφάλειας του υπόλοιπου δικτύου. Δυστυχώς, η έλλειψη ενός ενός ενιαίου συστήματος διαχείρισης και ρύθμισης όλων των λειτουργιών, απαιτεί αρκετή εξοικείωση με το linux για να μπορέσει να ρυθμιστεί. Αυτό μπορεί να έχει ως αποτέλεσμα ένα λιγότερο ασφαλές σύστημα, αλλά ακόμα και με τις προεπιλεγμένες ρυθμίσεις το AspisOS είναι πολύ ασφαλέστερο από πολλά άλλα λειτουργικά συστήματα για embedded συσκευές Αρθρωτή αρχιτεκτονική Το AspisOS σχεδιάστηκε με αρθρωτή αρχιτεκτονική, ώστε να είναι επεκτάσιμο. Το αρχικό image περιέχει την ελάχιστη απαιτούμενη λειτουργικότητα, αλλά στη συνέχεια μπορεί να επεκταθεί με την εγκατάσταση πρόσθετων αρθρωμάτων που ονομάζονται add-ons. Υπάρχουν addons για διάφορες λειτουργίες, όπως δυναμική δρομολόγηση, bridging, debugging, drivers συσκευών κ.λ.π Επεκτασιμότητα / Προσαρμοσιμότητα Αρχιτεκτονική μετα-διανομής Ακόμα κι αν χρειαστεί μια λειτουργία ή κάποιο λογισμικό που δεν είναι διαθέσιμο στο AspisOS, είναι εξαιρετικά εύκολο να προστεθεί από οποιονδήποτε έχει βασικές γνώσεις linux. Αυτό οφείλεται στο ευπροσάρμοστο περιβάλλον ανάπτυξης που διαθέτει το AspisOS. Το AspisOS χαρακτηρίζεται από αρχιτεκτονική μετα-διανομής (Meta-distribution). Αυτό σημαίνει ότι διανέμεται ως ένας συνδυασμός ενός λειτουργικού συστήματος με embedded χαρακτήρα και του αυτοματοποιημένου περιβάλλοντος ανάπτυξης που το διαμορφώνει. 36

43 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Η αρχιτεκτονική αυτή λύνει κάποια προβλήματα που συναντώνται σε περιπτώσεις χρήσης παραδοσιακών embedded διανομών. Ο συνηθισμένος τρόπος εργασίας των υπευθύνων ανάπτυξης embedded διανομών, είναι να μεταγλωττίζουν τα πάντα στον υπολογιστή τους και μετά να παρέχουν έτοιμα image σε τρίτους. Η μέθοδος αυτή έχει τα παρακάτω μειονεκτήματα: Δεν είναι δυνατόν κάποιος χρήστης (ακόμη και πεπειραμένος) να επηρεάσει τον τρόπο με τον οποίο μεταγλωττίζεται ένα πακέτο ή να προσθαφαιρέσει κάποιο πακέτο. Ο χρήστης πρέπει να περιμένει τον υπεύθυνο ανάπτυξης, για να συμπεριλάβει κάποιο νέο χαρακτηριστικό ή για να διορθώσει κάποιο σφάλμα. Το περιβάλλον ανάπτυξης (γνωστό ως AspisOS DevEnv) έχει την δυνατότητα να καθορίσει το τρόπο με τον οποίο μεταγλωττίζεται το κάθε πακέτο και πως όλα τα δομικά του συστατικά εμπλέκονται, ώστε να σχηματίσουν το τελικό σύστημα στη μόρφή ενός image. Ουσιαστικά, αποτελείται από οδηγίες για το πώς θα μεταγλωττιστεί το κάθε πακέτο και πώς θα σχηματιστεί ολόκληρο το σύστημα. Με την αλλαγή αυτών των οδηγιών, δημιουργείται πραγματικά μια νέα διανομή! Αυτό είναι ο λόγος για τον οποίο AspisOS θεωρείται meta-distribution και είναι ένα από τα πλεονεκτήματα του. 6.2 Υποστηριζόμενος εξοπλισμός Όταν έχουμε διαφορετικά μοντέλα SBC τα οποία θέλουμε να τρέξουν το AspisOS, συνήθως χρειαζόμαστε διαφορετικές εκδόσεις του λειτουργικού, ανάλογα με την αρχιτεκτονική του hardware. Όμως, ένα σύνολο συσκευών είναι κοινό και υποστηρίζεται από όλες τις εκδόσεις και υπάρχουν μόνο κάποιες εξειδικευμένες συσκευές που διατίθενται μόνο σε συγκεκριμένα μοντέλα. Εδώ αναφέρονται οι συσκευές και τα filesystems που υποστηρίζονται από όλες τις εκδόσεις. Να σημειωθεί ότι για να ενεργοποιηθεί η υποστήριξη κάθε συσκευής πρέπει να εγκατασταθούν στο αρχικό σύστημα τα αντίστοιχα add-ons Συσκευές WLAN Το AspisOS υποστηρίζει chipset/κατασκευαστές: πλήρως κάρτες που βασίζονται Atheros chipset Prism 2/2.5 chipset Cisco/Aironet 34X/35X/4500/4800 ISA, PCI και PCMCIA κάρτες Επίσης, πειραματικά υποστηρίζονται και οι παρακάτω: Atmel chipsets Atmel at76c50x chipset (802.11b) Atmel at76c506 PCI κάρτες 37 στα παρακάτω

44 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Πολλές κάρτες που βασίζονται σε αυτό το chipset δεν έχουν τη μνήμη flash και χρειάζονται ένα firmware που φορτώνεται στο ξεκίνημα. Το firmware της Atmel που χρειάζεται μπορεί να κατέβει από το site Atmel at76c502/at76c504 PCMCIA κάρτες Κάρτες Planet Planet WL3501 PCMCIA κάρτες Prism GT/Indigo/Duette chipset Οι drivers χρειάζονται ένα firmware που θα πρέπει να τοποθετηθεί στο φάκελο /usr/lib/hotplug/firmware/isl3890. Μπορεί να κατέβει από το site ISL Prism GT b/g ISL Prism Indigo a ISL Prism Duette a/b/g Intel chipsets Οι drivers για αυτά τα chipsets χρειάζονται ένα firmware τοποθετημένο στο φάκελο /etc/firmware. Intel PRO/Wireless 2100 Το firmware μπορεί να κατέβει από το site Intel PRO/Wireless 2200BG and 2915ABG Το firmware μπορεί να κατέβει από το site Συσκευές ISDN Υποστηρίζονται οι παρακάτω ISDN κάρτες: AVM active ISDN AVM B1 ISA/PCI AVM T1/T1-B ISA AVM B1/M1/M2 PCMCIA AVM T1/T1-B PCI AVM C4/C2 Eicon DIVA Server DIVA Server BRI/PCI DIVA Server PRI/PCI 38

45 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Υποστήριξη USB Υπάρχει ένας driver για γενικούς μετατροπείς USB-to-Serial Συστήματα αρχείων (Filesystems) Υποστηρίζονται τα παρακάτω συστήματα αρχείων: NFS v2 και v3 SAMBA FAT / VFAT MINIX SquashFS (Συμπιεσμένο σύστημα αρχείων) 6.3 Χαρακτηριστικά και δυνατότητες ασφάλειας Το AspisOS είναι μια διανομή GNU/Linux ενισχυμένης ασφάλειας, που προορίζεται για Ασύρματα σημεία πρόσβασης (AP), για ασύρματους δρομολογητές (Wireless AP/Routers) και για Hotspots. Σε κάθε περίπτωση παρέχει ένα πολύ υψηλό επίπεδο ασφάλειας. Για να γίνει αυτό, το AspisOS συνδυάζει ένα πλήθος χαρακτηριστικών και εργαλείων ασφάλειας που είναι διαθέσιμα για το Linux. Πιο συγκεκριμένα το AspisOS παρέχει ενισχυμένη ασφάλεια στους παρακάτω τομείς: Ασφάλεια συστήματος Ασφάλεια δικτύου Ασφάλεια ασύρματης δικτύωσης Διαθεσιμότητα Έλεγχος και αποτίμηση ασφάλειας δικτύου (Νetwork Security Auditing and Assessment) 39

46 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Ασφάλεια συστήματος Βελτιώσεις ασφάλειας του πυρήνα Linux Pax Security System Το Pax έρχεται με την μορφή ενός patch για τον πυρήνα και ενός προγράμματος για τον χρήστη και παρέχει προστασία από εκμετάλλευση (exploitation) προβλημάτων ασφαλείας του λογισμικού. [6] Τέτοιες περιπτώσεις εκμετάλλευσης μπορεί να παραδώσουν τον έλεγχο του συστήματος σε έναν επιτιθέμενο. Ένα χαρακτηριστικό παράδειγμα είναι οι επιθέσεις buffer overflow, με τις οποίες ένας επιτιθέμενος μπορεί να καταφέρει να τρέξει κακόβουλο κώδικα στο σύστημα. Με αυτόν τον τρόπο ο επιτιθέμενος μπορεί να αποκτήσει παράνομη πρόσβαση στο σύστημα ή αν είναι νόμιμος χρήστης, να αυξήσει τα δικαιώματα χρήσης του (σχεδόν πάντα επιδιώκονται τα δικαιώματα υπερχρήστη ή αλλιώς root). Νmap-freak-patch Αυτό είναι ένα patch μόνο για τον πυρήνα της σειράς 2.4, το οποίο προστατεύει το σύστημα από σαρώσεις πορτών (port scans) του εργαλείου nmap. Random-pid patch Αυτό το patch τυχαιοποιεί διάφορες πτυχές του συστήματος (όπως τα PID ή τους αριθμούς των TCP ports), καθιστώντας το σύστημα σκληρότερο απέναντι σε επιθέσεις, δεδομένου ότι είναι λιγότερο πιθανό για τον επιτιθέμενο να προβλέψει τέτοιες ιδιότητες. Είναι διαθέσιμο μόνο για τον πυρήνα της σειράς 2.4. Antidote patch Αυτό το patch είναι η υλοποίηση μιας απλής ιδέας που προστατεύει το σύστημα από ARP spoofing οπότε και από τις επιθέσεις Man-in-the-middle. Όταν το πυρήνας λαμβάνει μια απάντηση ARP η οποία αλλάζει μια ήδη υπάρχουσα αντιστοιχία του πίνακα ARP, αποστέλλεται ένα ARP αίτημα προς την παλιά διεύθυνση MAC. Αν ληφθεί απάντηση σημαίνει ότι ο σταθμός υπάρχει και κάποιος άλλος προσπαθεί να πλαστογραφήσει την διεύθυνση του, οπότε το γεγονός αναφέρεται. Αν δεν λάβει απάντηση προχωρά στην ενημέρωση του πίνακα ARP. Φυσικά, το patch αυτό δεν μπορεί να προσφέρει προστασία, αν την ώρα του ARP spoofing ο νόμιμος σταθμός είναι απενεργοποιημένος. Το patch είναι διαθέσιμο μόνο για τον πυρήνα

47 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Ενίσχυση ασφάλειας εφαρμογών Όλες οι εφαρμογές έχουν μεταγλωττιστεί με προστασία σωρού (stack-smashing protection), η οποία περιορίζει την πιθανή ζημιά των επιθέσεων buffer overflow. Η προστασία αυτή πετυχαίνεται με μια επέκταση του GCC (Gnu C Compiler) που ονομάζεται SSP (Stack-Smashing Protector) ή ProPolice[7]. Αυτό ουσιαστικά επιτρέπει στον compiler,κατά τη διάρκεια της μεταγλώττισης, να ενσωματώσει στα εκτελέσιμα αρχεία κώδικα προστασίας για κάποιες επιθέσεις, όπως buffer overflows LIDS Linux Intrusion Detection System Το LIDS είναι αποτελείται από ένα patch για τον πυρήνα και κάποια εργαλεία διαχείρισης που ενισχύουν την ασφάλεια του πυρήνα υλοποιώντας τον Υποχρεωτικό Έλεγχο Πρόσβασης (Mandatory Access Control - MAC).[8] Η χρήση του LIDS έρχεται να λύσει ένα μεγάλο πρόβλημα που είναι η προστασία από την παντοδυναμία του λογαριασμού υπερχρήστη. Όταν μια διεργασία ή ένας χρήστης έχει τα δικαιώματα υπερχρήστη, τίποτα δεν μπορεί να τους αποτρέψει από το να καταστρέψουν το σύστημα. Όμως, όταν το LIDS είναι ενεργοποιημένο, οποιαδήποτε ενέργεια, όπως πρόσβαση σε αρχεία, διαχείριση δικτύου, πρόσβαση σε συσκευές και μνήμη, μπορεί να απαγορευθεί ακόμα και για τον υπερχρήστη. Έπίσης, μπορεί να καθοριστεί ποια προγράμματα μπορούν να έχουν πρόσβαση σε συγκεκριμένα αρχεία και να αποκρυφτούν κρίσιμες διεργασίες Έλεγχος ακεραιότητας αρχείων (integrit) To integrit είναι ένα εργαλείο το οποίο παρακολουθεί τα σημαντικά αρχεία του συστήματος και ενημερώνει τον χρήστη, αν γίνει κάποια αλλαγή χωρίς την συγκατάθεση του Ανακάλυψη Root kit (chrootkit) Πρόκειται για ένα σύνολο από εργαλεία τα οποία ελέγχουν το σύστημα για την ύπαρξη rootkits και άλλων κακόβουλων προγραμμάτων Ασφάλεια δικτύου 41

48 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Firewall (iptables) Για την δημιουργία firewall χρησιμοποιούνται τα iptables. Μπορούν επίσης να χρησιμοποιηθούν για τη δημιουργία ΝΑΤ και για διάφορες άλλες λειτουργίες Patch-o-matic Βελτιώσεις (με την μορφή patches) για τα iptables VPN (OpenVPN) Περιλαμβάνεται το πακέτο OpenVPN για την δημιουργία VPNs Προστασία από επίθεση TCP SYN Flood Το πακέτο syncookies προστατεύει από επιθέσεις TCP SYN Flood. Πρόκειται για γνωστή επίθεση DoS (Denial of Service) κατά την οποία ο επιτιθέμενο ανοίγει πολλαπλά sessions με το θύμα, εκτελώντας όμως μόνο τα δύο από τα τρία βήματα της χειραψίας τριών βημάτων (3-way handshake). Αυτό έχει ως αποτέλεσμα, το θύμα να περιμένει το τελευταίο μήνυμα SYN-ACK για κάθε session, οπότε να υπερφορτώνεται Προστασία από ICMP Redirects και Broadcasts Το AspisOS είναι ρυθμισμένο ώστε να απορρίπτει τα πακέτα ICMP Redirects και Broadcasts. Τα ICMP Redirects μπορούν να χρησιμοποιηθούν από ένα επιτιθέμενο για να ξεκινήσει μια επίθεση Man-in-the-Middle, ενώ τα ICMP Broadcasts, μπορούν να επιταχύνουν την φάση απαρίθμησης (enumeration phase) ενός επιτιθέμενου, δηλαδή την φάση κατά την οποία συλλέγει πληροφορίες για τους στόχους του Προστασία από Port Scanning Το TARPIT είναι μια επέκταση των iptables που προστατεύει από το port scanning. Ουσιαστικά, καθιστά άχρηστη την διαδικασία του port scanning, γιατί ανιχνεύει την προσπάθεια για port scan και απαντάει με τέτοιο τρόπο ώστε το αποτέλεσμα του να είναι λανθασμένο ή να μη βγάζει νόημα. Με άλλα λόγια, μπορεί να φαίνεται ότι στο σύστημα τρέχουν υπηρεσίες που στην πραγματικότητα δεν υπάρχουν ή να εμφανίζονται όλα τα ports ανοιχτά. 42

49 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Ασφάλεια ασύρματης δικτύωσης Υποστήριξη προτύπου i Το AspisOS περιλαμβάνει όλο το απαραίτητο λογισμικό, ώστε να είναι πλήρως συμβατό με τις προδιαγραφές του i. Αυτό σημαίνει ότι μπορεί να επιτύχει την μέγιστη δυνατή ασφάλεια ασύρματης δικτύωσης Kismet Το kismet είναι ένα εργαλείο ανίχνευσης ασύρματων δικτύων, που λειτουργεί στο δεύτερο επίπεδο του Στο AspisOS, περιλαμβάνεται το kismet drone, που είναι μόνο ο πυρήνας του kismet που ακούει τα διάφορα πακέτα και έπειτα αναφέρει τα ευρήματα του σε ένα server που βρίσκεται σε κάποιο άλλο σταθμό wids (Wireless Intrusion Detection System) Το wids είναι ένα μικρό σύστημα ανίχνευσης εισβολής για ασύρματα δίκτυα. Έχει την δυνατότητα να ανιχνεύει παράνομα AP (Rogue APs) καθώς και κάποιους τύπους επιθέσεων DoS Διαθεσιμότητα Software/Hardware watchdog Κάποια μοντέλα SBCs ενσωματώνουν κυκλώματα ελέγχου (hardware watchdogs), που παρακολουθούν συνεχώς το σύστημα και αν διαπιστώσουν ότι δεν αποκρίνεται για κάποιο χρονικό διάστημα, κάνουν επανεκκίνηση. Έτσι, το χρονικό διάστημα που ένα τέτοιο σύστημα παραμένει εκτός λειτουργίας λόγω κολλήματος μειώνεται στο ελάχιστο δυνατόν. Το AspisOS υποστηρίζει κάποια τέτοια watchdogs, αλλά και για τα μηχανήματα που δεν διαθέτουν τέτοιο κύκλωμα (π.χ. επιτραπέζια PC), παρέχει μια υλοποίηση software watchdog, με λίγο χαμηλότερη αποτελεσματικότητα από την hardware υλοποίηση Επανεκκίνηση σε περίπτωση Kernel Panic Πρόκειται για μηχανισμό του Linux Kernel, που κάνει επανεκκίνηση το σύστημα, αν έλθει σε κατάσταση Kernel Panic. Η επανεκκίνηση γίνεται μετά από 60 δευτερόλεπτα. 43

50 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS Έλεγχος και αποτίμηση ασφάλειας δικτύου (Νetwork Security Auditing and Assessment) ngrep Είναι ένα εργαλείο grep, αλλά χρησιμοποιείται σαν φίλτρο για κίνηση δικτύου tcptraceroute Βελτιωμένη υλοποίηση του εργαλείου traceroute. Χρησιμοποιείται όταν το παραδοσιακό traceroute αποτυγχάνει hydra Είναι ένα εργαλείο ανίχνευσης συνθηματικών δικτύου tcpdump Είναι ένα εργαλείο ανίχνευσης και ανάλυσης κίνησης δικτύου nmap Το καλύτερο ίσως εργαλείο για εξερεύνηση δικτύων και έλεγχο ασφάλειας. Πρόκειται για ένα πολύ ευέλικτο port scanner hping2 Τρομερά βελτιωμένη έκδοση του εργαλείου ping fragrouter Εργαλείο που προσπαθεί να περάσει απαρατήρητο από τον έλεγχο των Συστημάτων Ανίχνευσης Εισβολής (IDS). Μπορεί να χρησιμοποιηθεί για τον έλεγχο σωστής λειτουργίας του IDS. 44

51 ΚΕΦΑΛΑΙΟ 6: Το λειτουργικό σύστημα AspisOS nemesis Εργαλείο το οποίο προωθεί στο δίκτυο πακέτα, τα οποία κατασκευάζει σύμφωνα με τις απαιτήσεις του χρήστη. Μπορεί να χρησιμοποιηθεί για τον έλεγχο λειτουργίας συστημάτων IDS, Firewall και άλλα. Μπορεί να κατασκευάσει και να στείλει πακέτα ARP, DNS, ETHERNET, ICMP, IGMP, IP, OSPF, RIP, TCP και UDP amap Το amap είναι ένα εργαλείο παρόμοιο με το nmap, το οποίο προσπαθεί να ανιχνεύσει τις δικτυακές υπηρεσίες ενός σταθμού ανεξάρτητα από το port στο οποίο ακούνε Λοιπά εργαλεία σχετικά με ασφάλεια macchanger Εργαλείο που αλλάζει τις διευθύνσεις MAC των δικτυακών συσκευών wipe Εργαλείο ασφαλούς διαγραφής αρχείων. Μετά, την διαγραφή δεν υπάρχει τρόπος ανάκτησης pwgen Μια γεννήτρια ισχυρών συνθηματικών fakeroot Επιτρέπει την εκτέλεση εφαρμογών τρεξίματος σε ένα περιβάλλον που κάνει την εφαρμογή να νομίζει ότι εκτελείται με δικαιώματα root. 45

52 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Ένα από τα δυνατά σημεία του AspisOS, είναι το ευπροσάρμοστο περιβάλλον ανάπτυξής του (DevEnv από εδώ και στο εξής). Το DevEnv είναι βασισμένο στο buildroot, το οποίο όμως υπέστη εκτεταμένες τροποποιήσεις για να ικανοποιήσει τις ανάγκες του AspisOS. Στην πραγματικότητα, τροποποιήθηκε τόσο πολύ που πλέον δεν θυμίζει το buildroot. Το Buildroot είναι ένα σύνολο από Makefiles και patches που διευκολύνουν την δημιουργία ενός συνόλου εργαλείων (toolchain) για cross-compilation και ενός root file system, για την δημιουργία ενός άλλου συστήματος Linux που βασίζεται στην μινιμαλιστική C βιβλιοθήκη uclibc. Ο όρος cross-compilation σημαίνει ότι ενώ η μεταγλώττιση εφαρμογών γίνεται σε ένα σύστημα Linux, οι εφαρμογές προορίζονται να τρέξουν σε άλλο σύστημα μη συμβατό με το αρχικό. Το Buildroot είναι χρήσιμο κυρίως για αυτούς που εργάζονται με μικρά ή ενσωματωμένα (embedded) συστήματα, καθώς αυτά τα συστήματα συνήθως χρησιμοποιούν επεξεργαστές που δεν είναι κανονικής αρχιτεκτονικής x86. Μπορεί να είναι επεξεργαστές PowerPC, MIPS, ARM κ.λπ. Το DevEnv μπορεί να θεωρηθεί ως μια βασική ακολουθία γεγονότων απαραίτητων για την παραγωγή images για διάφορες αρχιτεκτονικές και SBCs (Single Board Computers). Περιέχει οδηγίες για το πώς πρέπει να μεταγλωττιστεί κάθε πακέτο και πώς θα συντεθεί το τελικό image και μάλιστα για όλες τις υποστηριζόμενες αρχιτεκτονικές και SBCs. Αυτό το καθιστά τρομερά εύκολο να αναπαραγάγει το ίδιο image σε πολλά διαφορετικά συστήματα host, καθώς και να επεκτείνει την λειτουργικότητα του. Εάν αυτή τη στιγμή γίνει μια σύγκριση του DevEnv και του Buildroot, θα βλέπαμε ότι το Buildroot είναι γενικότερου σκοπού, ενώ το DevEnv έχει πιο συγκεκριμένους στόχους και επιβάλλει συγκεκριμένες πολιτικές για τον τρόπο με τον οποίο πρέπει να γίνονται κάποια πράγματα, καθώς και τον τρόπο με τον οποίο πρέπει να γράφονται τα διάφορα scripts. Αλλά και οι τελικοί στόχοι του καθενός είναι τελείως διαφορετικοί. Ο στόχος του Buildroot είναι να χτίσει ένα περιβάλλον chroot μέσα στο οποίο μπορεί ο χρήστης να να μεταγλωττίσει εφαρμογές με ασφάλεια χωρίς οποιαδήποτε αλληλεπίδραση με το host σύστημα. Από την άλλη, το DevEnv δημιουργεί και αυτό ένα ανεξάρτητο περιβάλλον μεταγλώττισης, αλλά η διαδικασία είναι αυτοματοποιημένη και τελικά παράγεται ένα image έτοιμο για χρήση, χωρίς ο χρήστης να χρειαστεί να εισέλθει στο περιβάλλον του DevEnv. 7.1 Οδηγίες χρήσης του AspisOS DevEnv Η βασική εντολή του DevEnv είναι η make. Αν εκτελεστεί χωρίς ορίσματα: # make Εμφανίζει περιληπτικά τις εντολές που μπορούν να εκτελεστούν. (Εικόνα 7-1) 46

53 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Εικόνα 7-1: Βασικές επιλογές του DevEnv Η βασική ακολουθία εντολών για τη δημιουργία ενός image είναι η παρακάτω: 1. Αντιγραφή μιας υπάρχουσας διαμόρφωσης για ένα από τα SBC που ήδη υποστηρίζονται. Αυτές οι διαμορφώσεις βρίσκονται στον κατάλογο./configs. Για κάθε SBC υπάρχει μια ξεχωριστή διαμόρφωση για τον πυρήνα 2.4 και τον πυρήνα 2.6. Για να τεθεί η επιθυμητή διαμόρφωση σε ισχύ, πρέπει να εκτελεστεί το εξής: # cp./configs/<configuration_file>.config 2. Αν χρειάζεται κάποια παραμετροποίηση, το παρακάτω αρκεί: # make menuconfig Η εντολή εμφανίζει το μενού παραμετροποίησης από όπου μπορούν εύκολα να επιλεγούν οι απαιτούμενες ρυθμίσεις. (Εικόνα 7-2) 47

54 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Εικόνα 7-2: Το περιβάλλον menuconfig του DevEnv 3. Αφού τελειώσει η παραμετροποίηση, μπορεί να ξεκινήσει η διαδικασία μεταγλώττισης των πακέτων: # make packages Αυτό θα μεταγλωττίσει πρώτα τα πακέτα του toolchain, μετά τον πυρήνα του Linux και τέλος τα πακέτα του τελικού συστήματος. 4. Για την δημιουργία του τελικού image αρκεί το: # make images Ως προεπιλογή, δημιουργούνται δύο images. Ένα μεγέθους 8 ΜΒ και ένα 16 ΜΒ. Τα images αυτά θα είναι τοποθετημένα στον κατάλογο./<sbc>/images. Αντίστοιχα, τα Add-ons βρίσκονται στον κατάλογο./<sbc>/addons και τα modules στον κατάλογο./<sbc>/modules. Γενικά, όλα τα παραγόμενα αρχεία τοποθετούνται μέσα στον κατάλογο./<sbc> 7.2 Δομή του AspisOS DevEnv Η δομή του DevEnv θα αναλυθεί σε δύο φάσεις: Πριν την μεταγλώττιση και Μετά την μεταγλώττιση. 48

55 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Φάση πριν την μεταγλώττιση Σε αυτή την φάση θα αναλυθεί η δομή των καταλόγων και αρχείων, όπως είναι αμέσως μετά την αποσυμπίεση του tarball του DevEnv. Μετά την αποσυμπίεση, υπάρχουν εφτά κατάλογοι και δύο αρχεία στο βασικό κατάλογο../configs Αυτός είναι ο κατάλογος που περιέχει τα αρχεία διαμόρφωσης για όλα τα SBCs που υποστηρίζονται από το AspisOS. Τα αρχεία αυτά χρησιμοποιούνται από το DevEnv για να καθορίσουν την διαδικασία μεταγλώττισης. Υπάρχουν δύο εκδόσεις των αρχείων, μία για κάθε έκδοση του πυρήνα (2.4 ή 2.6). Πάντως οι εκδόσεις για πυρήνα 2.4 δεν είναι σίγουρο ότι θα λειτουργήσουν σωστά γιατί πλέον η κυρίως υποστήριξη είναι για τον πυρήνα 2.6../device Εδώ βρίσκονται τα αρχεία διαμόρφωσης που ανήκουν αποκλειστικά σε συγκεκριμένα SBC. Για παράδειγμα, τα αρχεία /etc για κάθε συσκευή, τα αρχεία διαμόρφωσης του Linux και διάφορα άλλα σημαντικά αρχεία διαμόρφωσης. Για κάθε SBC υπάρχει και ένας κατάλογος, καθώς και ένας κοινός κατάλογος που ονομάζεται./common. Αυτός, όπως υποδηλώνει και το όνομα του περιέχει τα αρχεία που είναι κοινά για όλα τα SBCs. Με αυτό το τρόπο αποφεύγεται η ύπαρξη του ίδιου αρχείου πολλές φορές σε διαφορετικούς καταλόγους../package Είναι ένας από τους σημαντικότερους καταλόγους του DevEnv. Περιέχει όλες οι απαραίτητες οδηγίες, ύπο την μορφή make files, για το κατέβασμα, την αποσυμπίεση, την επιδιόρθωση, την ρύθμιση, την μεταγλώττιση και την εγκατάσταση κάθε ενός πακέτου. Οι οδηγίες αυτές εκτελούνται με: # make packages Για κάθε πακέτο υπάρχει και ένας ξεχωριστός υποκατάλογος. Κάθε τέτοιος υποκατάλογος έχει το ακόλουθο περιεχόμενο: <package>.mk Αυτό το αρχείο περιέχει όλες τις οδηγίες για το συγκεκριμένο πακέτο. Έχει μια συγκεκριμένη σύνταξη, η οποία ακολουθεί συγκεκριμένη πολιτική και ύφος κωδικοποίησης. Config.in Αυτό το αρχείο αναφέρεται στο σύστημα διαμόρφωσης menuconfig. Περιέχει μια μικρή 49

56 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) περιγραφή του πακέτου, το URL του, τις εξαρτήσεις του από άλλα πακέτα και διάφορες άλλες σχετικές πληροφορίες. Η μορφή σύνταξης είναι αυστηρή. διάφορα patches που πρόκειται να εφαρμοστούν στο πακέτο διάφορα αρχεία διαμόρφωσης (όπως scripts αρχικοποίησης (init) ) που χρησιμοποιούνται από το πακέτο στο σύστημα-στόχο, αλλά δεν συμπεριλαμβάνονται στον πηγαίο κώδικα του. οποιαδήποτε άλλη πληροφορία σχετική με το συγκεκριμένο πακέτο /.release Αυτός ο κατάλογος περιέχει όλες τις οδηγίες που είναι ανεξάρτητες από το SBC και αφορούν το τι πρέπει να γίνει για παραχθούν τα τελικά images. Αυτές οι οδηγίες εκτελούνται με την εντολή: # make images Συγκεκριμένα υπάρχουν τα παρακάτω make files: optimize.mk Αυτό εφαρμόζει διάφορες τεχνικές βελτιστοποίησης μεγέθους στα αρχεία στόχου που παράγονται κατά τη φάση της μεταγλώττισης. Η βελτιστοποίηση περιλαμβάνει: διαγραφή των αρχείων που δεν χρησιμοποιούνται (cropping), stripping και sstriping (super stripping), αναζήτηση για τυχόν μη χρησιμοποιούμενες βιβλιοθήκες και τέλος διαχωρισμός των αρχείων κάθε πακέτου σε διάφορα modules. Modules.mk Αυτό πακετάρει τα modules, που παρήχθησαν στην προηγούμενη διαδικασία, σε ξεχωριστά squashfs filesystems. addons.mk Πακετάρει τα modules σε addons, επιλύοντας οποιεσδήποτε εξαρτήσεις εμφανιστούν κατά την διάρκεια της διαδικασίας. images.mk Δημιουργεί τα images και αντιγράφει όλα τα απαραίτητα αρχεία μέσα σε αυτά../target Αυτός ο κατάλογος περιέχει ότι χρειάζεται για τα συστήματα αρχείων που υποστηρίζει το AspisOS. Υπάρχουν οι οδηγίες μεταγλώττισης, καθώς και διάφορες άλλες πληροφορίες../toolchain Ο κατάλογος αυτός είναι παρόμοιος με τον κατάλογο./packages, αλλά περιέχει μόνο εκείνα τα πακέτα που είναι απαραίτητα για την δημιουργία του toolchain. Ο όρος toolchain αναφέρεται στα διάφορα πακέτα που αποτελούν το σύνολο εργαλείων, με το οποίο μεταγλωττίζονται όλα τα υπόλοιπα πακέτα. Το σύνολο εργαλείων περιλαμβάνει το μεταγλωττιστή gcc, τις βιβλιοθήκες uclibc, τα αρχεία header του πυρήνα, τα binutils, το ccache και άλλα. Εκτός από τα 50

57 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) προαναφερθέντα πακέτα, ο κατάλογος περιέχει και διάφορα scripts τα οποία χρησιμοποιούνται σε διάφορα σημεία σε όλη τη διαδικασία μεταγλώττισης../upload Αυτός ο κατάλογος περιέχει ένα script και κάποιους πρότυπους καταλόγους, που αυτοματοποιούν τη διαδικασία δημιουργίας ενός δέντρου αρχείου για τις επόμενες εκδόσεις AspisOS, ώστε να είναι έτοιμο να διανεμηθεί ή να μεταφερθεί σε κάποιο FTP server. Το script εκτελείται με την παρακάτω σύνταξη: #./prepare.sh <version> <SBC> Φάση μετά την μεταγλώττιση Σε αυτή την φάση θα αναλυθεί η δομή των καταλόγων και αρχείων, όπως είναι αμέσως μετά το τέλος της διαδικασίας μεταγλώττισης. Μετά την μεταγλώττιση δημιουργούνται άλλοι πέντε κατάλογοι../dl Σε αυτόν τον κατάλογο περιέχεται ο πηγαίος κώδικας για κάθε πακέτο. Ο πηγαίος κώδικας κατεβαίνει αυτόματα και ελέγχεται η ακεραιότητα του, πριν τοποθετηθεί στον κατάλογο. Κατά το download κάθε πακέτου, πρώτα δοκιμάζεται η αρχική του θέση στο διαδίκτυο, και σε περίπτωση αποτυχίας, δοκιμάζονται διάφορες αποθήκες πηγαίου κώδικα πακέτων που βρίσκονται στο site του AspisOS../toolchain_build_<ARCH>_<SBC> Αυτός είναι ο κατάλογος μέσα στον οποίο αποσυμπιέζονται, διαμορφώνονται και μεταγλωττίζονται τα πακέτα που αποτελούν το toolchain. Με άλλα λόγια, είναι ο κατάλογος εργασίας του συνόλου εργαλείων../build_<arch>_<sbc> Αυτός είναι ο κατάλογος μέσα στον οποίο αποσυμπιέζονται, διαμορφώνονται και μεταγλωττίζονται τα πακέτα που αποτελούν το τελικό image και τα addons../target_<arch>_<sbc> Αυτός είναι ο κατάλογος στον οποίο εγκαθίστανται τα μεταγλωττισμένα πακέτα. Για κάθε πακέτο δημιουργείται ένας ξεχωριστός υποκατάλογος που περιλαμβάνει όλα τα αρχεία που 51

58 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) απαρτίζουν το συγκεκριμένο πακέτο. Αυτός ο διαχωρισμός, παρέχει καλύτερο έλεγχο των αρχείων που εγκαθιστά το κάθε πακέτο../<sbc> Αυτός ο κατάλογος περιέχει τα προϊόντα όλης της διαδικασίας κατασκευής του AspisOS. Έχει τους παρακάτω υποκαταλόγους: images Τα τελικά images περιέχονται σ' αυτό τον υποκατάλογο disk Τα περιεχόμενα των τελικών images initrd.fs Το initrd που τοποθετήθηκε μέσα στα τελικά images initrd Τα περιεχόμενα του initrd modules Αυτός ο υποκατάλογος περιέχει τα modules που δημιουργήθηκαν module_bins Τα περιεχόμενα των modules. Τα αρχεία είναι διαχωρισμένα ανά module addons Τα addons που δημιουργήθηκαν βρίσκονται σ' αυτό τον υποκατάλογο optimized Εδώ υπάρχουν τα βελτιστοποιημένα δυαδικά αρχεία, διαχωρισμένα ανά πακέτο mnt Αυτός ο υποκατάλογος είναι βοηθητικός και χρησιμοποιείται για να προσαρτώνται (mount) τα διάφορα filesystems που παράγονται κατά τη διαδικασία κατασκευής stats Σ' αυτόν τον υποκατάλογο αποθηκεύονται διάφορα στατιστικά, τα οποία παράγονται κατά την διαδικασία κατασκευής. 7.3 Πακέτα, Modules και Addons Ένα πακέτο μπορεί να τμηματοποιηθεί σε πολλά modules, και ένα module μπορεί να περιέχει αρχεία από πολλά πακέτα. Ουσιαστικά, ένα module αντιπροσωπεύει την ελάχιστη ανεξάρτητη οντότητα λειτουργικότητας που έχει κάποια χρησιμότητα για τον χρήστη. Ένα μόνο module δεν παρέχει μια πλήρη υπηρεσία. Συνήθως μια υπηρεσία συνδυάζει περισσότερα από ένα module. Αυτός ο συνδυασμός από modules σχηματίζει τα addons. Τα addons είναι διάφορα modules που πακετάρονται μαζί, με σκοπό να παρέχουν μια ολοκληρωμένη υπηρεσία. Τα addons πρέπει να επιλύσουν τις εξαρτήσεις που μπορεί να υπάρχουν μεταξύ των modules που περιέχουν. Έτσι, μερικές φορές, ένα module μπορεί να εμφανίζεται σε πολλά addons, προκειμένου να ικανοποιηθούν οι εξαρτήσεις. Εξαρτήσεις υπάρχουν μόνο μεταξύ των modules και όχι μεταξύ των addons. 52

59 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Στην ιδανική περίπτωση, δεν υπάρχουν modules που να περιέχουν το ίδιο αρχείο. Όμως, δύο (ή περισσότερα) addons μπορούν περιέχουν το ίδιο module. H ύπαρξη πολλαπλών αντιγράφων κάποιων modules δεν επιφέρει μείωση στην αποτελεσματικότητα του συστήματος, γιατί κατά την φάση της εγκατάστασης των addons, μόνο ένα αντίγραφο από κάθε module παραμένει στο τελικό σύστημα. Αυτό συμβαίνει κατά την πρώτη επανεκκίνηση του λειτουργικού συστήματος, αφότου εγκατασταθεί ένα ή περισσότερα νέα addons. O διαχωρισμός των αρχείων των πακέτων σε modules γίνεται για κάθε πακέτο με βάση ένα αρχείο διαμόρφωσης. Ένα τέτοιο αρχείο υπάρχει για κάθε πακέτο στο:./package/<package>/<package>-files.in. Το τμήμα του ονόματος που αναφέρεται ως files μπορεί να οριστεί διαφορετικά μέσω μιας επιλογής του menuconfig. Αυτό επιτρέπει την εφαρμογή διαφορετικών πολιτικών, που επιβάλλονται ανάλογα με το αρχείο που εξετάζεται κάθε φορά. Το πρώτο πεδίο του παραπάνω αρχείου δηλώνει εάν η εγγραφή αναφέρεται σε αρχείο (F) ή σε κατάλογο (D). Το δεύτερο πεδίο είναι η διαδρομή και το όνομα του αρχείου που εγκαθίσταται, και όλα τα υπόλοιπα πεδία δηλώνουν τα module στα οποία πρέπει να ανατεθεί το αρχείο. Όμως, πρέπει πάντα να υπάρχει ένα πεδίο με τιμή all. Το all είναι ένα module που περιλαμβάνει όλα τα αρχεία του συστήματος στόχου. Αντίστοιχα, η ανάθεση των modules σε addons γίνεται με βάση ένα ειδικό αρχείο που λέγεται./package/modules. Η σύνταξη αυτού του αρχείου είναι απλή. Το αρχείο./package/dependencies έχει καταχωρημένες τις εξαρτήσεις, συνήθως μεταξύ δυαδικών αρχείων και βιβλιοθηκών ή δυαδικών αρχείων και modules του πυρήνα. Αυτό γίνεται για να αποφευχθεί η επανάληψη όλων των εξαρτήσεων για κάθε εμφάνιση ενός module στο αρχείο./package/modules, πράγμα που θα ήταν πολύ επιρρεπές σε λάθη Ακολουθία κατασκευής Προετοιμασία του toolchain Πρώτα μεταγλωττίζονται τα εργαλεία που αποτελούν το toolchain. Αυτά τα εργαλεία θα χρησιμοποιηθούν αργότερα για να μεταγλωττιστούν τα υπόλοιπα πακέτα. Η διαδικασία είναι η παρακάτω: 1. Αποσυμπίεση των αρχείων header του πυρήνα (χρησιμοποιούνται από την βιβλιοθήκη uclibc) 2. Διαμόρφωση της βιβλιοθήκης uclibc (χρησιμοποιείται από το gcc) 3. Μεταγλώττιση των εργαλείων binutils με τον μεταγλωττιστή gcc του host Linux συστήματος 4. Μεταγλώττιση του gcc με τον gcc του host Linux συστήματος 5. Μεταγλώττιση της βιβλιοθήκης uclibc με τον καινούριο μεταγλωττιστή gcc του προηγούμενου βήματος 53

60 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) 6. Δεύτερη μεταγλώττιση του gcc, αυτή τη φορά με σύνδεση στη βιβλιοθήκη uclibc που μεταγλωττίστηκε στο προηγούμενο βήμα 7. Προαιρετική μεταγλώττιση του εργαλείου ccache, το οποίο επιταχύνει την μεταγλώττιση του πηγαίου κώδικα των υπολοίπων πακέτων Κατασκευή των πακέτων Κατά τη διάρκεια της κατασκευής το κάθε πακέτο περνά από μια σειρά σταδίων. Κάθε στάδιο, αφήνει σε ένα κρυφό αρχείο στον κατάλογο εργασίας του πακέτου (< package>_dir ή < package>_build_dir). Η ύπαρξη κάθε τέτοιου αρχείου υποδηλώνει την ολοκλήρωση του αντίστοιχου σταδίου, και απλοποιεί τη διαχείριση της συνολικής διαδικασίας κατασκευής. Εάν κάποιο στάδιο της διαδικασίας κατασκευής χρειάζεται να επαναληφθεί για κάποιο πακέτο, αρκεί η διαγραφή του αντίστοιχου κρυφού αρχείου και η επανέναρξη της διαδικασίας. Ο Πίνακας 7-1 παρουσιάζει τα κρυφά αρχεία που αντιστοιχούν σε κάθε στάδιο, και την σειρά εκτέλεσης των σταδίων: Σειρά Στάδιο Κρυφό αρχείο 1 Αποσυμπίεση.unpacked 2 Διόρθωση (patching).patched 3 Διαμόρφωση.configured 4 Μεταγλώττιση.compiled 5 Εγκατάσταση.installed Πίνακας 7-1: Στάδια κατασκευής και αντίστοιχα κρυφά αρχεία Παραγωγή των τελικών images Τα scripts που βρίσκονται στον κατάλογο./release, εκτελούνται προκειμένου να παραχθούν τα τελικά images. Η ακολουθία των γεγονότων είναι η παρακάτω: 1. Τα αρχεία κάθε πακέτου κατηγοριοποιούνται σε modules. Αυτό γίνεται αντιγράφοντας κάθε αρχείο στον κατάλληλο υποκατάλογο μέσα στο./<sbc>/optimized. Τα άχρηστα αρχεία δεν αντιγράφονται (φάση Cropping - Εικόνα 7-3), και ως εκ τούτου, δεν θα συμπεριληφθούν στο τελικό image ή σε κάποιο module/addon. 54

61 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Εικόνα 7-3: Η φάση του Cropping 2. Όλα αυτά τα αρχεία στη συνέχεια περνούν από τις διαδικασίες βελτιστοποίησης μεγέθους stripping και super stripping. Επίσης, ανακαλύπτονται οι βιβλιοθήκες που δεν χρησιμοποιούνται και εμφανίζονται αντίστοιχα μηνύματα προειδοποίησης. 3. Αν έχει ενεργοποιηθεί το LIDS, τα συμβολικά links (symlinks) του busybox αντικαθίσταται από εκτελέσιμα αρχεία, για να μπορεί το LIDS να λειτουργήσει σωστά. Το busybox είναι ένα πακέτο που περιέχει βασικά προγράμματα που χρησιμοποιούνται στο Linux, όπως ls, cp, rm κ.λ.π. 4. Η εντολή mksquashfs εκτελείται για κάθε υποκατάλογο που βρίσκεται στο./<sbc>/optimized. Αυτό παράγει ένα ενιαίο module, με σύστημα αρχείων squashfs, για κάθε υποκατάλογο. Τα modules που δημιουργούνται έχουν το όνομα του υποκαταλόγου, του οποίου τα αρχεία περιέχουν. 5. Με βάση τα αρχεία./package/modules και./package/dependencies, τα modules πακετάρονται σε addons με τη βοήθεια του εργαλείου tar. Τα addons δεν συμπιέζονται, γιατί το σύστημα αρχείων squashfs είναι συμπιεσμένο από τη φύση του. Μια πρόσθετη συμπίεση όχι μόνο δεν θα προσέφερε όφελος ως προς το μέγεθος, αλλά θα καθιστούσε και τη διαδικασία εκκίνησης του συστήματος αρκετά πιο αργή. 55

62 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) 6. Έπειτα προετοιμάζεται το initrd. Το initrd είναι ουσιαστικά το βασικό module με μερικά πρόσθετα αρχεία (εκείνα που βρίσκονται initrd_skeleton). Περιέχει όλα τα απαραίτητα εργαλεία (ειδικά το busybox) και όλες οι απαραίτητες βιβλιοθήκες, ώστε να μπορεί το σύστημα να λειτουργήσει διαθέτοντας μια ελάχιστη λειτουργικότητα. 7. Τέλος, δημιουργούνται τα images, φορμάρονται με σύστημα αρχείων VFAT και προσαρτώνται (mount). Αφού προσαρτηθούν, ο πυρήνας, το initrd, το addon BASE.TAR και το addon <SBC>.TAR, αντιγράφονται στα images. Μετά από αυτό τα τελικά images είναι έτοιμα να χρησιμοποιηθούν (π.χ. να μεταφερθούν σε κάρτα CompactFlash). 7.5 Άλλα σημαντικά αρχεία Το αρχείο./package/md5sums Περιέχει μια λίστα από MD5 hashes για κάθε αρχείο tar πηγαίου κώδικα που κατέβηκε από το Internet Το αρχείο./package/mirrors Μια λίστα με mirror sites, από το DevEnv προσπαθεί (από ένα κάθε φορά) να κατεβάσει τον πηγαίο κώδικα των πακέτων, σε περίπτωση που δεν είναι διαθέσιμα από τα κανονικά sites τους Το αρχείο./target/device_table.txt Περιέχει, σε κωδικοποιημένη μορφή, μια λίστα με όλες τις συσκευές που πρέπει να δημιουργηθούν μέσα στο initrd. 7.6 Επέκταση του DevEnv Το DevEnv μπορεί να επεκταθεί προς δύο κατευθύνσεις. Να επεκταθεί ώστε να υποστηρίζει νέα μοντέλα SBCs, καθώς και να επεκταθεί ώστε να περιέχει νέα πακέτα λογισμικού Υποστήριξη νέων SBCs Για την ανάλυση της διαδικασίας επέκτασης, θα γίνει ένα παράδειγμα με όλες τις απαραίτητες ενέργειες για την υποστήριξη ενός SBC με όνομα Ikaros, καθώς και την διαδικασία κατασκευής του image Αντιγραφή μιας υπάρχουσας διαμόρφωσης SBC Ο κατάλογος./device περιέχει αρχεία ρυθμίσεων για όλα τα SBCs που υποστηρίζονται από το AspisOS. Ο κατάλογος./device/common, περιέχει τα αρχεία διαμόρφωσης που κοινά για όλα τα SBCs. 56

63 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Είναι προτιμότερο, να αντιγραφεί ένας υπάρχοντας κατάλογος και να γίνουν εκεί οι απαραίτητες αλλαγές. Ο κατάλογος./device/example έχει δημιουργηθεί για αυτόν το λόγο. Δεν απευθύνεται σε κάποιο συγκεκριμένο πραγματικό SBC, αλλά υπάρχει για να διευκολύνει τη διαδικασία επέκτασης που περιγράφεται. Yποθέτοντας ότι το όνομα του νέου SBC είναι ikaros, η αντιγραφή των αρχείων γίνεται με: # cp -a./device/example./device/ikaros Τα αρχεία διαμόρφωσης που βρίσκονται σε κάποιο κάποιο κατάλογο για SBC, έχουν προτεραιότητα σε σχέση με αυτά που βρίσκονται στον κατάλογο./device/common. Επομένως, όποτε υπάρχει ανάγκη για παρέκκλιση από τη βασική διαμόρφωση, μπορούν να δημιουργηθούν τα απαραίτητα αρχεία διαμόρφωσης και μέσα στον κατάλογο για το SBC. Εντούτοις, καλό είναι να παραμένουν τα πράγματα απλά και μην γίνονται τέτοιες παρεκκλίσεις χωρίς σοβαρό λόγο Ενημέρωση του menuconfig Στο αρχείο./device/config.in, στα τμήματα choice και config πρέπει να προστεθούν τα παρακάτω: config BR2_TARGET_ASPISOS_IKAROS_BASE bool "Ikaros" depends BR2_i386 και default "ikaros" if BR2_TARGET_ASPISOS_IKAROS_BASE και source "device/ikaros/config.in" Τα ακριβή σημεία που πρέπει να τοποθετηθούν τα παραπάνω είναι προφανή. Η ονοματολογία που ακολουθείται είναι: BR2_TARGET_ASPISOS_<SBC>_<CONF> <SBC> Υποδηλώνει το SBC στο οποίο θα τρέξει το image. Για παράδειγμα I486, NET4521, WRAP κ.λ.π. <CONF> Υποδηλώνει αν το image θα ακολουθεί την βασική παραμετροποίηση του AspisOS ή αν θα έχει κάποια εξειδικευμένη παραμετροποίηση. Όλα τα images που υποστηρίζει εξ'ορισμού το AspisOS, έχουν την κατάληξη _BASE γιατί ακολουθούν τη βασική παραμετροποίηση. Μετά τις αλλαγές που είναι απαραίτητες για να εμφανίζεται η νέα υλοποίηση SBC ως επιλογή στο menuconfig, πρέπει να γίνουν και μερικές αλλαγές μεταβλητών και συμβολοσειρών που υπάρχουν σε διάφορα αρχεία διαμόρφωσης, ώστε να ανταποκρίνονται στο νέο SBC. 57

64 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Οι αλλαγές αυτές μπορούν να γίνουν αυτόματα με τις παρακάτων εντολές, στον κατάλογο./device/ikaros : # find. -type f -path './var' -prune -o -exec sed -i 's/oooooo/ikaros/g' \{\} \; # find. -type f -path './var' -prune -o -exec sed -i 's/oooooo/ikaros/g' \{\} \; # mv./example.mk./ikaros.mk # find. -name 'sed*' -exec rm \{\} \; # find. -name '.svn' -exec rm -rf \{\} \; Η παραπάνω εντολές εμφανίζουν κάποια μηνύματα όπως Permission denied και No such file or directory, τα οποία όμως είναι φυσιολογικά. Για να ενεργοποιηθεί η διαμόρφωση του νέου SBC, πρέπει να επιλεγεί από το μενού AspisOS Board Support του menuconfig Προσαρμογή των διαφόρων αρχείων ρυθμίσεων Πρέπει να οριστούν κάποιοι παράμετροι στα αρχεία ρυθμίσεων που καθορίζουν τον τρόπο με τον οποίο θα μεταγλωττιστούν διάφορα συστατικά του AspisOS:./device/ikaros/linux-2.6.config Είναι το αρχείο ρυθμίσεων του πυρήνα της σειράς 2.6 του Linux. Ο καλύτερος τρόπος για να διαμορφωθεί το αρχείο αυτό είναι ο εξής: 1. Αποσυμπίεση του πηγαίου κώδικα του πυρήνα σε ένα προσωρινό κατάλογο. 2. Αντιγραφή του αυτού του αρχείου στον προσωρινό κατάλογο με τον κώδικα του πυρήνα και μετονομασία του σε.config 3. Μετάβαση στον προσωρινό κατάλογο και εκτέλεση των εντολών: # make oldconfig και # make menuconfig 4. Αφού γίνουν οι απαραίτητες αλλαγές στις ρυθμίσεις, γίνεται αντιγραφή του ενημερωμένου.config πίσω στον κατάλογο ikaros και μετονομάζεται σε linux-2.6.config Να σημειωθεί όμως ότι αν αργότερα εφαρμοστούν patches στον πυρήνα, μπορεί να προστεθούν επιλογές που δεν είναι διαθέσιμες τώρα. Υπάρχει επίσης και αντίστοιχο αρχείο για τον πυρήνα της σειράς

65 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv)./device/ikaros/uClibc.config Είναι το αρχείο ρυθμίσεων της βιβλιοθήκης uclibc. Η διαμόρφωση του αρχείου γίνεται παρόμοια με τον τρόπο που περιγράφτηκε παραπάνω. Είναι symlink προς το αρχείο./device/common/uclibc.config../device/ikaros/busybox-ipv4.config Είναι το αρχείο ρυθμίσεων του busybox. Η διαμόρφωση του αρχείου γίνεται παρόμοια με τον τρόπο που περιγράφτηκε παραπάνω. Υπάρχει και το αντίστοιχο αρχείο busybox-ipv6.config. Είναι symlink προς το αρχείο./device/common/busybox-ipv4.config../device/ikaros/hostapd.buildconf Είναι το αρχείο ρυθμίσεων του πακέτου Hostapd. Το αρχείο αυτό καθορίζει ποιους drivers υποστηρίζει το hostapd, καθώς και διάφορες άλλες ρυθμίσεις. Είναι symlink προς το αρχείο./device/common/hostapd.buildconf../device/ikaros/wpasupplicant.buildconf Είναι το αρχείο ρυθμίσεων του πακέτου wpasupplicant. Το αρχείο αυτό καθορίζει ποιους drivers υποστηρίζει το wpasupplicant, καθώς και διάφορες άλλες ρυθμίσεις. Είναι symlink προς το αρχείο./device/common/wpasupplicant.buildconf. Υπάρχουν και κάποιοι ακόμα κατάλογοι που περιέχουν αρχεία που ίσως χρειαστεί να υποστούν αλλαγές:./device/ikaros/disk_skeleton/ Κατάλογος που περιέχει τα αρχεία που θα αντιγραφούν στο σύστημα αρχείων (VFAT) του image, μαζί με τα αρχεία του πυρήνα Linux, το initrd, το etc.tar.gz και το var.tar.bz2. Για να περάσουν παράμετροι στον πυρήνα κατά το boot, χρησιμοποιείται το αρχείο syslinux.cfg../device/ikaros/initrd_skeleton/ Παρόμοιος κατάλογος με τον παραπάνω, μόνο που περιέχει τα αρχεία του root filesystem. 59

66 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv)./device/ikaros/etc Αυτά είναι τα αρχεία που βρίσκονται στον κατάλογο /etc του συστήματος στόχου. Περιέχει σημαντικά αρχεία διαμόρφωσης εφαρμογών. Αυτά τα αρχεία βρίσκονται συμπιεσμένα στο αρχείο etc.tar.gz στο disk filesystem και αποσυμπιέζονται και τοποθετούνται στο /etc κατά την εκκίνηση. Συνεπώς αν γίνουν αλλαγές κατά το run-time, πρέπει να αποθηκευτούν στο δίσκο, γιατί αλλιώς θα χαθούν στην επόμενη επανεκκίνηση Το backup των αρχείων κατά το run-time μπορεί να γίνει εκτελώντας το παρακάτω script: # /usr/scripts/etcupdate /dev/hda./device/ikaros/var Ισχύουν τα παραπάνω όπως και στο etc../device/ikaros/kernel-patches-2.6 Όπως υποδηλώνει και το όνομα του, αυτός ο κατάλογος περιέχει τα patches που θα εφαρμοστούν στον πυρήνα της σειράς 2.6. Οι οδηγίες για την κατασκευή του πυρήνα βρίσκονται στο αρχείο./device/common/linux-2.6.mk. Υπάρχει και αντίστοιχος κατάλογος για τον πυρήνα της σειράς 2.4. Να σημειωθεί ότι οι δύο σειρές δεν διαθέτουν τα ίδια patches Προσαρμογή του image Τα αρχεία που βρίσκονται στον κατάλογο./configs/ είναι τα κεντρικά αρχεία ρυθμίσεων για όλα τα υποστηριζόμενα SBCs. Τα αρχεία example-config-2.4 και example-config-2.6 δημιουργήθηκαν για να χρησιμοποιηθούν στην διαδικασία που περιγράφεται. Όπως υπονοούν και τα ονόματα τους, το πρώτο είναι για τη σειρά 2.4 του πυρήνα και το δεύτερο για τη σειρά 2.6. Υποθέτοντας ότι θα χρησιμοποιηθεί ο πυρήνας 2.6, πρέπει να εκτελεστούν τα παρακάτω από τον κεντρικό κατάλογο (aspisos-dev): # cp configs/example-config-2.6.config # sed -i 's/oooooo/ikaros/g'.config # sed -i 's/oooooo/ikaros/g'.config # make oldconfig Για να γίνουν οι επιθυμητές αλλαγές, πρέπει να εκτελεστεί: # make menuconfig Αφού γίνουν οι αλλαγές, καλό είναι να κρατήσουμε ένα αντίγραφο από το αρχείο ρυθμίσεων: # cp.config configs/ikaros-config

67 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Μεταγλώττιση Τέλος, για να ξεκινήσει η διαδικασία μεταγλώττισης, πρέπει να εκτελεστεί η παρακάτω εντολή στον κεντρικό κατάλογο (aspisos-dev): # make packages Αφού τελειώσει η μεταγλώττιση θα πρέπει να κατασκευαστούν τα τελικά images. Η διαδικασία κατασκευής απαιτεί δικαιώματα υπερχρήστη σε κάποια σημεία, οπότε θα ζητήσει το αντίστοιχο password του υπερχρήστη. Για να ξεκινήσει η διαδικασία αρκεί η παρακάτω εντολή στον κεντρικό κατάλογο: # make images Μετά από αυτό θα έχει δημιουργηθεί ένας καινούργιος κατάλογος./ikaros, ο οποίος περιέχει όλα τα προϊόντα της διαδικασίας κατασκευής. Ανάμεσα σε όλα αυτά, τα πιο χρήσιμα είναι τα τελικά images, τα modules και τα addons. Ο τρόπος εγκατάστασης του image και των addons περιγράφεται στην παράγραφο Υποστήριξη νέων πακέτων Επειδή πάντα υπάρχει η περίπτωση να χρειαστεί κάποιο πακέτο που δεν υποστηρίζεται από το AspisOS, υπάρχει μια σχετικά απλή διαδικασία επέκτασης του DevEnv που περιγράφεται στη συνέχεια Αντιγραφή μιας υπάρχουσας διαμόρφωσης πακέτου Ο κατάλογος./package/customize έχει δημιουργηθεί για να διευκολύνει τη διαδικασία προσθήκης ενός νέου πακέτου στο DevEnv. Το πρώτο βήμα είναι η αντιγραφή και μετονομασία του στο όνομα του νέου πακέτου. Για το παράδειγμα το πακέτο που θέλουμε να προσθέσουμε ονομάζεται rinterface: # cp -a./package/customize./package/rinterface # rm -rf./package/rinterface/.svn Στη συνέχεια πρέπει να προσαρμοστούν δύο αρχεία: Το αρχείο Config.in Οι αλλαγές που πρέπει να γίνουν εδώ είναι προφανείς. Το αρχείο customize.mk Αυτό το αρχείο περιέχει της οδηγίες μεταγλώττισης. Πρέπει να μετονομαστεί: mv./package/rinterface/customize.mk./package/rinterface/rinterface.mk Στη συνέχεια πρέπει να προσαρμοστεί σύμφωνα με τα δεδομένα του πακέτου. Οι αλλαγές μπορούν να γίνουν με βάση τις ενσωματωμένες οδηγίες και ενδείξεις. 61

68 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Ανάθεση των αρχείων σε modules Η ανάθεση των αρχείων σε modules μπορεί να γίνει με αυτόματο τρόπο ή χειροκίνητα. Ο αυτόματος τρόπος ενδείκνυται για πακέτα με λίγα αρχεία, γιατί αν τα αρχεία είναι πολλά είναι λίγο κουραστικός. Δεν χρειάζεται να γίνει κάτι άλλο, παρά να ξεκινήσει η διαδικασία δημιουργίας των images (make images). Όταν η διαδικασία φτάσει στο εν λόγω πακέτο, για κάθε αρχείο θα ρωτήσει αν θα συμπεριληφθεί σε κάποιο module και αν ναι σε ποιο, ενημερώνοντας και τα κατάλληλα αρχεία ανάλογα με τις απαντήσεις. Αν η ανάθεση γίνει χειροκίνητα, θα πρέπει να προσαρμοστούν τα παρακάτω αρχεία:./package/rinterface/rinterface-files.in Αυτό το αρχείο καταγράφει κάθε αρχείο που θα ανατεθεί σε κάποιο module και το όνομα του module. Κάθε αρχείο θα πρέπει να ανατεθεί τουλάχιστον σε ένα module: το module all../package/rinterface/rinterface-files.out Τα αρχεία που δηλώνονται σε αυτό το αρχείο, θα αγνοηθούν κατά την διαδικασία δημιουργίας των images. Να σημειωθεί ότι κάθε αρχείο του πακέτου πρέπει να δηλωθεί είτε στο πρώτο αρχείο είτε στο δεύτερο. Αν κάποιο αρχείο δεν δηλωθεί σε κανένα από τα δύο, τότε κατά τη δημιουργία του image, θα αναλάβει τον έλεγχο ο αυτόματος τρόπος ανάθεσης και θα ρωτήσει αν θα αναθέσει το αρχείο σε κάποιο module Ανάθεση των modules σε addons Η ανάθεση των modules σε addons γίνεται στο αρχείο./package/modules. Το module ή τα modules στα οποία ανατέθηκαν τα αρχεία του πακέτου, πρέπει να ανατεθούν σε κάποιο υπάρχον ή σε κάποιο νέο addon. Τέλος, πρέπει να δηλωθούν οι τυχόν εξαρτήσεις βιβλιοθηκών των πακέτων. Αυτό γίνεται στο αρχείο./package/dependencies. 7.8 Διαδικασία εγκατάστασης του AspisOS image Ως προεπιλογή, το DevEnv παράγει δύο image για κάθε πλατφόρμα, που διαφέρουν μόνο στη διαθέσιμη χωρητικότητα (8 ΜΒ και 16 ΜΒ) και όχι στο περιεχόμενο. Η επιλογή του image, μπορεί να γίνει ανάλογα με την χωρητικότητα της διαθέσιμης κάρτας CF, καθώς και στο συνολικό μέγεθος των addons που θα εγκατασταθούν. Τα προεπιλεγμένα images παρέχουν κάποια βασική λειτουργικότητα. Αυτή η λειτουργικότητα μπορεί να επεκταθεί με τη χρήση των addons. Έτσι, μπορούν να εγκατασταθούν διάφοροι συνδυασμοί από addons, ανάλογα με το αποτέλεσμα που θέλουμε να επιτύχουμε. Για παράδειγμα, αν θέλουμε ένα σύστημα με ρόλο ασύρματου δρομολογητή, θα πρέπει να 62

69 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) εγκαταστήσουμε τα addons που είναι υπεύθυνα για δυναμική δρομολόγηση, bridging, και αυτά που περιέχουν drivers ασύρματων καρτών (Atheros, Prism, κ.λπ.) Μεταφορά του image στην κάρτα CF Η μεταφορά του image στην κάρτα CF είναι εύκολη. Η πιο απλή περίπτωση είναι η απευθείας μεταφορά στην κάρτα (συνήθως στο /dev/hda/). Σ' αυτή την περίπτωση όμως, και αν η κάρτα είναι μεγαλύτερη από το image (συνήθως είναι), η υπόλοιπη χωρητικότητα θα είναι άχρηστη. Η δεύτερη λύση είναι να χωριστεί η κάρτα σε δύο κατατμήσεις, π.χ. /dev/hda1 και /dev/hda2. Τότε, απλά το image μεταφέρεται στο /dev/hda1 και το /dev/hda2 μπορεί να χρησιμοποιηθεί για κάποιο άλλο σκοπό Μεταφορά από το Linux Στο Linux, απλά εκτελούμε τις παρακάτω εντολές, αφού έχουμε συνδέσει την κάρτα στο σύστημα: # dd if=<path/to/image> of=<path/to/device> bs=1k # sync Μεταφορά από Windows Για τη μεταφορά από Windows, μπορούν να γίνουν τα παρακάτω βήματα: 1. Για την αποσυμπίεση του image, μπορούν να χρησιμοποιηθούν τα unxutils for Windows: 2. Για την αποσυμπίεση αρκεί να εκτελεστεί η παρακάτω εντολή: bunzip2 <image_file_name.bz2> 3. Για την μεταφορά του image, θα χρησιμοποιήθεί το εργαλείο physdiskwrite.exe, το οποίο μπορεί να κατέβει από το: 4. Για την μεταφορά πρέπει να εκτελεστεί η παρακάτω εντολή: C:\aspisOS\images>physdiskwrite <image_file_name> Το συγκεκριμένο εργαλείο χρειάζεται προσοχή κατά τη χρήση του, γιατί μετά την εκτέλεση εμφανίζει μια λίστα με τις συσκευές IDE που ανίχνευσε και ζητάει να επιλεγεί σε ποια συσκευή θα μεταφερθεί το image. Συνήθως, φαίνεται ποια είναι η ζητούμενη συσκευή, αλλά χρειάζεται προσοχή, γιατί μια λάθος επιλογή, μπορεί να σβήσει τον σκληρό δίσκο του συστήματος Εγκατάσταση των addons Η εγκατάσταση addons είναι ένας τρόπος να επεκταθεί η βασική λειτουργικότητα ενός image. Από του την πλευρά του συστήματος, τα addons ομαδοποιούν ένα αριθμό από σχετικά μεταξύ τους modules, προκειμένου να παρέχουν επιπλέον λειτουργικότητα στο χρήστη. Τα addons μπορεί να θεωρηθούν ως επεκτάσεις προσανατολισμένες σε εφαρμογές, ενώ τα modules είναι 63

70 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) περισσότερο προσανατολισμένα σε πακέτα και αποτελούν τα βασικά συστατικά που συνθέτουν το σύστημα. Τα addons εγκαθίσταται με την απλή αντιγραφή τους στο root κατάλογο της κάρτας CF. Κατά την εγκατάσταση νέων addons, πρέπει να αφεθεί κάποιος ελεύθερος χώρος στην κάρτα, για τα αρχεία ρυθμίσεων του συστήματος. Εντούτοις, μετά την πρώτη εκκίνηση του συστήματος, κάποιος χώρος που καταλαμβάνεται από τα addons θα ελευθερωθεί, οπότε δεν είναι απαραίτητο να αφεθεί πολύς χώρος. 50k-100k συνήθως είναι αρκετά για κανονική χρήση Εναλλακτική μέθοδος εγκατάστασης addons Όπως αναφέρθηκε νωρίτερα, τα addons είναι μια δέσμη από διάφορα modules, με σκοπό να παρέχουν μια ορισμένη λειτουργικότητα στο χρήστη. Όμως, μερικές φορέας, ένα module πρέπει να περιέχεται σε πολλά addons, λόγω ζητημάτων εξάρτησης. Αυτός ο πρόσθετος χώρος ελευθερώνεται μετά από την εγκατάσταση των modules, κατά τη διάρκεια της πρώτης εκκίνησης αλλά εντούτοις, περιορίζει τον αριθμό addons που μπορείτε να αντιγράψετε στην κάρτα CF. Για να λύσετε αυτό το πρόβλημα, ή εάν θέλετε να έχετε καλύτερο έλεγχο αυτών που εγκαθίσταται πραγματικά, μπορείτε να να αντιγράψετε modules, απευθείας στον κατάλογο /modules (στο filesystem της CF). Όμως στην περίπτωση αυτή, εξαρτήσεις που τυχόν υπάρχουν μεταξύ των modules, πρέπει να επιλυθούν χειροκίνητα Πρόσβαση στο νέο σύστημα Η πρόσβαση στο σύστημα μπορεί να γίνει με τους παρακάτω τρόπους: Μέσω telnet στην ΙP /24 Μέσω σειριακής θύρας και καλώδιο null modem, με τις παρακάτω ρυθμίσεις ανάλογα με το μοντέλο SBC: Για το Soekris NET4521: ,Ν,1 και No hardware flow control Για την σειρά WRAP: ,Ν,1 και No hardware flow control Μέσω πληκτρολογίου και οθόνης, αν πρόκειται για κανονικό PC με εγκατεστημένη κάρτα γραφικών Σε όλες τις περιπτώσεις ο προεπιλεγμένος λογαριασμός είναι: username: root password: default Παραμετροποίηση του νέου συστήματος Το επόμενο βήμα είναι η παραμετροποίηση του συστήματος. Χρειάζεται προσοχή για να μην κλειδωθείτε έξω από το σύστημα. Τα init scripts βρίσκονται στον κατάλογο./etc/init.d. Για να ενεργοποιηθεί μια υπηρεσία για εκτέλεση κατά την εκκίνηση, πρέπει να δημιουργηθεί ένα symlink μέσα στο /etc/runlevels/startup που να δείχνει στο κατάλληλο script μέσα στο /etc/init.d. Το symlink πρέπει να έχει ένα πρόθεμα της μορφής Sxx, όπου το xx είναι ένας διψήφιος αριθμός από 00 έως 99. Αυτός ο αριθμός καθορίζει τη σειρά με την οποία εκτελούνται τα scripts. Όσο μικρότερος είναι ο αριθμός, τόσο νωρίτερα θα εκτελεσθεί το script κατά την εκκίνηση. Ο ίδιος κανόνας ισχύει και για τα symlinks του./etc/runlevels/shutdown, που εκτελούνται κατά το 64

71 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) κλείσιμο του συστήματος. Όμως, δεν είναι απαραίτητο να έχουν όλες οι υπηρεσίες script κλεισίματος. Μετά από αλλαγή στα αρχεία ρυθμίσεων του συστήματος, δεν πρέπει να ξεχάσουμε να εκτελέσουμε τις παρακάτω εντολές, ώστε να μονιμοποιηθούν οι αλλαγές: # /usr/scripts/etcupdate # /usr/scripts/varupdate Η πρώτη εντολή, σώζει όλα τα αρχεία που βρίσκονται στον κατάλογο /etc, ενώ η δεύτερη, σώζει τα αρχείου του καταλόγου /var (χωρίς όμως να σώσει αρχεία.pid) Αναβάθμιση ενός συστήματος σε λειτουργία Στην περίπτωση που ένα σύστημα βρίσκεται σε λειτουργία και πρέπει να αναβαθμιστεί, δεν είναι απαραίτητο να κλείσει. Η μεταφορά και εγκατάσταση του νέου image μπορεί να γίνει απομακρυσμένα μέσω δικτύου. Η διαδικασία είναι η παρακάτω: 1. Στο σύστημα του SBC, εκτελούμε: # nc -l -p 4444 dd of=/dev/hda bs=1k 2. Στη συνέχεια, στο απομακρυσμένο σύστημα εκτελούμε: # dd if=<path/to/image> bs=1k nc <IP του SBC> Όταν η μεταφορά ολοκληρωθεί, στο SBC εκτελούμε τις παρακάτω εντολές: # sync # /usr/scripts/etcupdate # /usr/scripts/varupdate # reboot Αναβάθμιση των addons Για την αναβάθμιση των addons, αρκεί να αντιγραφούν τα νέα addons στην CF (είτε τοπικά, είτε απομακρυσμένα με scp), και να γίνει επανεκκίνηση. Να σημειωθεί όμως ότι τα νέα addons μπορεί να μην είναι πάντα συμβατά με παλαιότερες εκδόσεις του AspisOS. Γι' αυτό, είναι καλό να διατηρούνται το image και όλα τα addons του συστήματός σας στην ίδια έκδοση. 7.9 Διαδικασία εκκίνησης του AspisOS Κρίνεται σκόπιμο να αναλυθεί η διαδικασία εκκίνησης του AspisOS, για καλύτερη κατανόηση του συνολικού συστήματος. Τα στάδια της διαδικασίας είναι τα παρακάτω: 65

72 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) 1. BIOS Το πρώτο πράγμα που εκτελείται, μόλις τεθεί σε λειτουργία ένα σύστημα, είναι ο κώδικας του BIOS. Το BIOS, αφού πραγματοποιήσει τους ελέγχους του υλικού, εκτελεί τον κώδικα που βρίσκεται στον πρώτο τομέα (sector) του CF/σκληρού δίσκου. Σε αυτό το σημείο, εάν ο δίσκος/cf έχει κατατμήσεις (partitions), αυτός ο κώδικας ελέγχει το MBR (Master Boot Record) για να επικυρώσει τον πίνακα κατατμήσεων (partition table) και για να βρει ποια κατάτμηση είναι ενεργή. Κατόπιν δίνει τον έλεγχο της εκκίνησης, στον πρώτο τομέα της ενεργής κατάτμησης. Αυτός ο τομέας ονομάζεται και τομέας εκκίνησης (boot sector) της κατάτμησης. Όμως αν ο δίσκος/cf δεν έχει κατατμήσεις, τότε πρώτος τομέας του δίσκου είναι επίσης και τομέας εκκίνησης (boot sector). 2. Boot Loader Σε αυτό το σημείο αναλαμβάνει ο φορτωτής εκκίνησης (Boot Loader). Είναι μια εφαρμογή που φορτώνει τον πυρήνα του Linux, και είναι εγκατεστημένη στον πρώτο τομέα του δίσκου (αν δεν υπάρχουν κατατμήσεις) ή στον τομέα εκκίνησης της ενεργής κατάτμησης. Στην περίπτωση του AspisOS, ο Boot Loader είναι το syslinux. Ο τομέας εκκίνησης δεν είναι αρκετά μεγάλος να αποθηκεύσει ολόκληρο το syslinux, αλλά είναι αρκετός για να αποθηκεύσει ένα βοηθητικό κομμάτι κώδικα, το οποίο θα ψάξει για την βασική εφαρμογή μέσα στο filesystem του δίσκου (αν δεν υπάρχουν κατατμήσεις) ή στο filesystem κάποιας κατάτμησης. Η βασικός κώδικας του syslinux είναι στο αρχείο ldlinux.sys, και οι ρυθμίσεις του στο αρχείο syslinux.cfg. Μόλις εκτελεστεί το syslinux, εμφανίζει μια προτροπή για εισαγωγή οποιασδήποτε ειδικής παραμέτρου για τον πυρήνα, και περιμένει για ένα δευτερόλεπτο πριν φορτώσει τον πυρήνα και το initrd στη μνήμη (τα αρχεία linux και initrd αντίστοιχα). Μόλις φορτωθούν και τα δύο, το syslinux παραδίδει τον έλεγχο της διαδικασίας στον πυρήνα Linux. 3. Πυρήνας Linux Ο πυρήνας Linux εκτελεί διάφορους ελέγχους, φορτώνει τους οδηγούς συσκευών που είναι ενσωματωμένοι σε αυτόν και κάνει και διάφορα άλλα πράγματα. Λίγο πριν το τέλος όλης αυτής της διαδικασίας, ο πυρήνας μετασχηματίζει το initrd σε ramdisk, και το προσαρτεί (mount) ως root filesystem. To επόμενο βήμα είναι η εκτέλεση ενός αρχείου μέσα στο root filesystem, το οποίο θα αναλάβει την εκκίνηση του συστήματος από δω και πέρα. Αυτό το αρχείο μπορεί να είναιι τοποθετημένο σε διάφορες θέσεις, αλλά στην περίπτωση του AspisOS είναι το /linuxrc. Αυτό μπορεί να είναι ένα ανεξάρτητο πρόγραμμα, αλλά στην περίπτωσή του AspisOS δείχνει στο busybox. Έτσι, το busybox παίρνει τον έλεγχο και φορτώνει τις υπόλοιπες υπηρεσίες βασιζόμενο στο αρχείο /etc/inittab. 4. Το αρχείο /etc/inittab Αυτό το αρχείο έχει ειδική σύνταξη, και δηλώνει τι πρέπει να γίνει κατά την εκκίνηση του συστήματος αλλά και κατά το κλείσιμο. Καθορίζει επίσης και σε ποιες σειριακές θύρες ή εικονικά τερματικά θα πρέπει να "ακούει" το σύστημα για συνδέσεις χρηστών (user 66

73 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) logins). Κατά την εκκίνηση εκτελείται το script /etc/init.d/unify. Στο κλείσιμο εκτελείται το script /etc/init.d/rck. 5. Το αρχείο /etc/unify Αυτό το script αναλαμβάνει την εγκατάσταση των addons, το φόρτωμα των modules και διάφορες άλλες σημαντικές ενέργειες αρχικοποίησης. Συνοπτικά οι ενέργειες που εκτελεί είναι: 1. Ελέγχει αν υπάρχουν αρχεία *.TAR (δηλαδή addons) στο CF, και αν υπάρχουν τα ξεπακετάρει και τοποθετεί το περιεχόμενο τους στον κατάλογο /modules του CF. 2. Προσαρτεί (loop-mount) όλα τα modules που βρίσκονται στον κατάλογο /modules, στο / (root), αρχίζοντας από το base.mod. 3. Ενοποιεί όλα τα σημεία προσάρτησης (υπάρχει ένα για κάθε module) σε έναν ενιαίο κατάλογο. Αυτό είναι δυνατόν με την χρήση του unionfs. 4. Προσθέτει στο unionfs (εάν είναι απαραίτητο) ακόμα ένα συστατικό που επιτρέπει ανάγνωση και εγγραφή (όλα τα προηγούμενα ήταν μόνο για ανάγνωση). 5. Για όσα modules έχουν αρχεία που πρέπει να εγκατασταθούν στους καταλόγους /etc, /var και /lib/modules, τα βήματα 2,3 και 4 επαναλαμβάνονται προσαρτώντας στα αντίστοιχα σημεία προσάρτησης. 6. Εκτελεί τις εντολές pivot_root και chroot. 7. Εκτελεί το script /etc/init.d/rcs 6. Το αρχείο /etc/rcs Το script αυτό, εκτελεί με τη σειρά του τα scripts που βρίσκονται στον κατάλογο /etc/runlevel/startup, με τη σειρά που υποδηλώνεται από το πρόθεμα στο όνομά τους. Αυτά τα scripts είναι symlinks προς τα πραγματικά scripts που βρίσκονται στο /etc/init.d. 7. Το αρχείο /etc/rck Το script αυτό, είναι παρόμοιο με το /etc/init.d/rcs, αλλά χρησιμοποιείται για την διακοπή των υπηρεσιών κατά το κλείσιμο του συστήματος. Όπως και το rcs, εκτελεί όλα τα symlinks που βρίσκονται στον κατάλογο /etc/runlevel/shutdown με αντίστροφη σειρά από αυτή που δηλώνεται από το πρόθεμα τους. Εντούτοις, δεν είναι απαραίτητο να διακόπτονται όλες οι υπηρεσίες. 67

74 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Στην Εικόνα 7-4 φαίνεται η προτροπή login του AspisOS, αφού έχει τελειώσει η διαδικασία εκκίνησης σε ένα SBC WRAP. 68

75 ΚΕΦΑΛΑΙΟ 7: Το περιβάλλον ανάπτυξης του AspisOS (DevEnv) Εικόνα 7-4: Μόλις τελείωσε η διαδικασία εκκίνησης του AspisOS 69

76 ΚΕΦΑΛΑΙΟ 8: Βασική παραμετροποίηση του συστήματος ΚΕΦΑΛΑΙΟ 8: Βασική παραμετροποίηση του συστήματος Ένα νέο image του AspisOS, πρέπει να παραμετροποιηθεί σε κάποιους βασικούς τομείς, ώστε να παρέχει τις επιθυμητές υπηρεσίες. Μερικοί από αυτούς τους τομείς είναι: Ρύθμιση των drivers των interface δικτύου (ασύρματων και ασύρματων) Ενεργοποίηση των απαιτούμενων υπηρεσιών (https, Radius Server κλπ) Ρύθμιση των χαρακτηριστικών ασφαλείας (WPA, EAP-TLS κλπ) 8.1 Ρύθμιση δικτυακών interfaces Προϋποθέσεις Η ασύρματη κάρτα που διαθέτει το σύστημα έχει chipset Atheros Έχουμε κάνει login είτε μέσω κονσόλας, είτε με οθόνη και πληκτρολόγιο Ρύθμιση ενσύρματου interface Υποθέτοντας ότι θέλουμε να δώσουμε στο ενσύρματο interface την διεύθυνση , εκτελούμε την παρακάτω εντολή: $ ifconfig eth netmask up Ρύθμιση ασύρματου interface Η τελευταίες εκδόσεις του driver madwifi που χρησιμοποιείται για τις κάρτες Atheros, έχουν την δυνατότητα δημιουργίας Virtual interfaces (για την δημιουργία Virtual Access Points, βλέπε παράγραφο σελ. 11). Πρώτα πρέπει να δημιουργήσουμε ένα virtual interface: $ wlanconfig wlan0 create wlandev wifi0 wlanmode ap Εδώ, wifi0 είναι το όνομα της κάρτας atheros και το wlan0 είναι το όνομα του virtual interface που μόλις δημιουργήσαμε. Η παράμετρος ap σημαίνει ότι το virtual interface λειτουργεί σαν Access Point. Για να ρυθμίσουμε το virtual interface εκτελούμε τα παρακάτω: $ iwconfig wlan0 essid TEST $ iwconfig wlan0 channel 6 $ iwconfig wlan0 rate 54MB Και τέλος ορίζουμε και μια διεύθυνση IP: $ ifconfig wlan netmask up 70

77 ΚΕΦΑΛΑΙΟ 8: Βασική παραμετροποίηση του συστήματος 8.2 Ρύθμιση του SHTTP Web Server To AspisOs διαθέτει ένα SHTTP Web Server, τον οποίο χρησιμοποιεί για να έχουν οι χρήστες πρόσβαση στο HotSpot Authentication. Η ρύθμιση του περιγράφεται στη συνέχεια: Για να λειτουργήσει ο SHTTPD (η υπηρεσία του SHTTP Server), απαιτείται η ύπαρξη του πακέτου OpenSSL Δημιουργία πιστοποιητικού για τον SHTTP Server Η διαδικασία δημιουργίας πιστοποιητικών περιγράφεται αναλυτικά στην παράγραφο , σελ. 76). Όμως δεν είναι απαραίτητο να δημιουργηθεί ξεχωριστό πιστοποιητικό, αν υπάρχει ήδη για τον RADIUS Server. Mπορεί να χρησιμοποιηθεί το ίδιο πιστοποιητικό. Με τις παρακάτω εντολές έχουμε έτοιμο το πιστοποιητικό: $ cd /etc/ssl/servers $ cat ikaros.crt ikaros.key > /etc/shttpd.pem Προσαρμογή του αρχείου ρυθμίσεων shttpd.conf Πρέπει να ορίσουμε την μεταβλητή ssl_certificate να δείχνει στο αρχείο /etc/httpd.pem που μόλις δημιουργήσαμε. 71

78 ΚΕΦΑΛΑΙΟ 9: Οδηγός δημιουργίας δικτύου i/WPA και i/WPA2 ΚΕΦΑΛΑΙΟ 9: Οδηγός δημιουργίας δικτύου i/WPA και i/WPA2 Για την υποστήριξη των μηχανισμών ασφάλειας του i, απαιτείται η συνεργασία μεταξύ κάποιων υποσυστημάτων. Γενικά, ακολουθείται η τοπολογία του προτύπου 802.1Χ, που ορίζει τρεις οντότητες: Τον Ικέτη Αυθεντικοποίησης (Supplicant), τον Αυθεντικοποιητή (Authenticator) και τον Διακομιστή αυθεντικοποίησης (Authentication Server). Στην περίπτωση του AspisOS, το ρόλο του Authenticator παίζει το hostapd, το ρόλο του Authentication Server, ο Freeradius και του Supplicant, το wpa_supplicant. 9.1 Υποδομή Διαμοιραζόμενου Κλειδιού (PSK) Για WPA-PSK και WPA2-PSK αρκεί μόνο η ρύθμιση του hostapd στο AspisOS και στους clients του WPA Supplicant. Αν οι clients τρέχουν Windows, υπάρχει ενσωματωμένο supplicant στα Windows XP SP2, καθώς και σε κάποια εργαλεία ασύρματων καρτών δικτύου. Αν οι clients τρέχουν Linux, υπάρχουν διάφορες εφαρμογές Supplicant, όπως το wpa_supplicant και το Xsupplicant). Στα παραδείγματα που ακολουθούν θα χρησιμοποιηθεί το wpa_supplicant Ρυθμίσεις στο AspisOS Στο παράδειγμα μας, χρησιμοποιείται μια ασύρματη κάρτα με chipset Atheros, που είναι το interface ath2. Οι κάρτες με chipset Atheros, λειτουργούν με τον driver madwifi. Το αρχείο ρυθμίσεων /etc/hostapd.conf πρέπει να έχει την παρακάτω μορφή: interface=ath2 # το όνομα του ασύρματου interface driver=madwifi # το όνομα του driver logger_syslog=-1 logger_syslog_level=2 logger_stdout=-1 logger_stdout_level=3 debug=0 dump_file=/tmp/hostapd-ath2.dump ssid=it-guests # το ssid του δικτύου macaddr_acl=0 accept_mac_file=/etc/hostapd.accept deny_mac_file=/etc/hostapd.deny ieee8021x=0 wpa=1 wpa_passphrase=foobarrr wpa_key_mgmt=wpa-psk wpa_pairwise=ccmp # CCMP TKIP wpa_group_rekey=600 wpa_gmk_rekey=86400 # 0=δεν χρησιμοποιείται Authentication Server # 1=WPA2, 0=WPA # το κλειδί PSK (8 έως 63 χαρακτήρες) # μηχανισμός διαχείρισης κλειδιών # επιλογή αλγορίθμου κρυπτογράφησης #διάστημα(sec) ισχύος του Master Key 72

79 ΚΕΦΑΛΑΙΟ 9: Οδηγός δημιουργίας δικτύου i/WPA και i/WPA Ρυθμίσεις στους clients Λειτουργικό σύστημα Linux Ας υποθέσουμε ότι έχουμε μια ασύρματη κάρτα στο interface wlan0. Το αρχείο ρυθμίσεων /etc/wpa_supplicant πρέπει να μοιάζει όπως το παρακάτω: ctrl_interface_group=0 eapol_version=1 ap_scan=1 fast_reauth=1 network={ ssid="it-guests" proto=wpa WPA2 key_mgmt=wpa-psk pairwise=ccmp # TKIP group=ccmp # TKIP psk="foobarrr" priority=0 } # το ssid του δικτύου # Πρωτόκολλα που υποστηρίζονται #μηχανισμός διαχείρισης κλειδιών # επιλογή αλγορίθμου κρυπτογράφησης # Το κλειδί PSK (8 εως 63 χαρακτήρες) Λειτουργικό σύστημα Windows XP Για την σύνδεση στο δίκτυο με Windows XP, πρέπει να έχει εγκατασταθεί το Service Pack 2, το οποίο παρέχει υποστήριξη για WPA/WPA2. Σε αντίθετη περίπτωση μπορεί να χρησιμοποιηθεί μόνο κάποιο εργαλείο της κάρτας δικτύου που να υποστηρίζει WPA (αν υπάρχει). Πριν ξεκινήσει η διαδικασία πρέπει να βεβαιωθούμε ότι η ασύρματη κάρτα είναι ενεργοποιημένη και ότι τρέχει η υπηρεσία Wireless Zero Configuration. Οι ρυθμίσεις γίνονται από το παράθυρο Properties της ασύρματης σύνδεσης (Εικόνα 9-1). Αφού επιλεγούν οι σχετικές ρυθμίσεις για το TCP/IP, στην καρτέλα Wireless Networks τσεκάρετε την επιλογή Use Windows to configure my wireless network settings και κάντε κλικ στο κουμπί Add. Εικόνα

80 ΚΕΦΑΛΑΙΟ 9: Οδηγός δημιουργίας δικτύου i/WPA και i/WPA2 Μετά το add εμφανίζεται η Εικόνα 9-2 όπου στο Network name (SSID) πληκτρολογείστε IT-GUESTS, στο Network Authentication επιλέξτε WPA-PSK, και στο Data Encryption επιλέξτε AES. Στα Network Key και Confirm Network Key, καταχωρείτε το κλειδί (foobarrr για το παράδειγμα). Επιλέξτε ΟΚ δύο φορές και πλέον όταν ο υπολογιστής θα βρίσκεται στην εμβέλεια του ασύρματου δικτύου θα συνδέεται αυτόματα. Εικόνα Υποδομή δημόσιου κλειδιού (EAP-TLS) Για την δημιουργία ενός ασύρματου δικτύου, που υιοθετεί τον μηχανισμό EAP-TLS για την ασφάλεια, περιλαμβάνει τη διαμόρφωση τριών συστατικών από την πλευρά του AspisOS και ενός στον πελάτη/χρήστη. Από την πλευρά του AspisOS: OpenSSL Χρησιμοποιείται για την δημιουργία των κλειδιών της CA (Certificate Authority) και των χρηστών FreeRADIUS Είναι ο Διακομιστής Αυθεντικοποίησης. Χρειάζεται κάποιες ρυθμίσεις και εγκατάσταση των κλειδιών Hostapd Είναι ο Αυθεντικοποιητής. Πρέπει να ρυθμιστεί, ώστε να επικοινωνεί με τον Διακομιστή Αυθεντικοποίησης. Από την πλευρά του πελάτη/χρήστη: wpa_supplicant (στο Linux) ή Windows XP utility (στα Windows XP) Είναι μια εφαρμογή που αναλαμβάνει τον έλεγχο της επικοινωνίας μεταξύ του πελάτη και του Αυθεντικοποιητή. 74