Jak na bezdrátovou síť

Jak si udělat bezdrátovou síť a jak ji zabezpečit
1. Potřebný hardware
S ohledem na stav (existence nebo naopak neexistence) vaší lokální sítě (dále jen
LAN) je třeba nejprve určit, jaký aktivní síťový prvek budeme potřebovat - zda prostý
Access Point (zkráceně AP; česky přístupový bod) nebo Router
Obecně vzato, typická dnešní domácnost je připojena nějakým broadband
(širokopásmovým) připojením, např. DSL, různé bezdráty nebo optickým vláknem.
Pokud máte doma jen jedno PC a síťový kabel vede přímo z poskytovatelova
zařízení (kterým může být např. wifi klient na půdě, optický převodník apod.), pak v
takovém případě nemáte vlastní LAN síť a potřebujete router (který vám umožní
připojit vícero PC, ať už drátově nebo bezdrátově).
WIFI ROUTERY: Asus WL-520gC nebo TP-Link TL-WR542G (nebo TL-WR543G),
přičemž Asus podporuje i alternativní a vysoce stabilní firmware DD-WRT (který
poskytuje další rozšířené a sofistikované funkce a je zcela zdarma)
AP: OvisLink WL-5460AP (stará dobrá "klasika" s možností změny firmware na
alternativní), nebo TP-Link TL-WA501G
Na závěr této kapitoly bych uvedl grafickou rekapitulaci předchozího:
2. Prvotní konfigurace nového zařízení v LAN
1
Zde se postup opět liší, podle toho, zda jste se vydali cestou routeru nebo AP. Předem
všechny varuji před používáním různých "instalátorů", "průvodců" a "EZ-setupů" jejich použití vede spíše ke zmatení a nefunkčnosti, než k jednoduchému a funkčnímu
nastavení sítě. Prvotní konfigurace se vždy provádí pomocí "pevného" ethernetového
připojení, nikdy pomocí wifi.
Nejprve probereme Wifi Router, jehož nastavení bude jednodušší.
2.1 Wifi Router
Router už ze své podstaty de facto vytváří samotnou LAN, jeho konfigurace tedy bude
velmi přímočará. Prakticky postačuje správně nastavit WAN rozhraní, LAN síť funguje
prakticky okamžitě po zapnutí, už z továrního nastavení. Pokud jste měli v PC
nastavenou pevnou IP adresu, pečlivě si poznamenejte všechny údaje (tj. VŽDY
pár IP adresa - hodnota, maska - hodnota, brána - hodnota, DNS servery - hodnoty),
tak abyste byli vždy schopni rekonstruovat původní stav v případě potřeby. V
některých případech některých poskytovatelů, je třeba použít tunelového připojení
(L2TP, PPPoE) - v takových případech si poznačte/zjistěte všechny ostatní informace,
tj. jméno/heslo, případně další informace. Následně přepněte rozhraní do režimu
DHCP klienta (tj. nastavte "automatické získání adresy") a připojte počítač k routeru
do jednoho z LAN portů.
Linku od poskytovatele připojte do WAN portu a ještě jednou se ubezpečte, že se
jedná o ethernet, a nikoliv telefonní linku - o tento vražedný pokus se zhusta
pokoušejí uživatelé DSL linek, kteří při "velkém štěstí" mohou "brnknutím" malého
konektoru o ethernetové kontakty "usmažit" WAN port routeru - v telefonním vedení
je napětí 60V...
Nyní se připojte prohlížečem internetu (Firefox, Opera, IE apod.) na výchozí IP adresu
routeru, v drtivé většině to bude IP adresa 192.168.1.1 (správnou adresu najdete na
nálepce routeru, v manuálu nebo PDF dokumentu na CD, případně výpisem příkazu
ipconfig, kde IP routeru je skryto pod adresou brány), některé routery používají
adresu 192.168.2.1. Pomocí webového průvodce nebo ručně nakonfigurujte WAN
rozhraní podle původního nastavení Vašeho PC - v drtivé většině případů bude
nastavení rovněž na "automaticky" z DHCP, někteří ISP poskytují pouze pevnou IP
adresu, v takovém případě přepište informace, které jste si poznačili ze síťového
adaptéru Vašeho PC. Konfiguraci uložte a router pro jistotu restartujte. Po restartu
routeru byste měli být schopni přistupovat k internetu. Pokud tomu tak není, použijte
následující články k tomu, abyste zjistili, kde se stala chyba:
Tímto je základní konfigurace routeru dokončena, a Vy můžete přejít ke konfiguraci
bezdrátové části, které se budeme věnovat v kapitole 3.
2.2 Konfigurace AP
Konfigurace samostatného AP je v něčem složitější, v něčem zase jednodušší. Protože
už vlastníte existující LAN síť, je potřeba nové AP zařadit do této stávající sítě.
2
Nové AP, má, stejně jako router, v drtivé většině případů přednastavenou IP adresu,
která ovšem velmi často koliduje nebo zcela nesouhlasí s IP adresami používanými ve
Vaší LAN. V takovém případě je potřeba nejprve nastavit správnou IP adresu. To
provedeme tak, že z dokumentace zjistíme, jak je AP nastaveno z výroby. Pokud má
integrovaný DHCP server, je to velmi jednoduché - připojíme se s počítačem síťovým
kabelem napřímo k AP a necháme si přidělit IP adresu, v opačném případě je nutno IP
adresu nastavit ručně na nějakou nekolidující z IP rozdahu ve kterém je i IP adresa
AP. Nyní je třeba připojit se do webového rozhraní AP (např. Ovislink má IP adresu
všech AP nastavenu na 192.168.100.252), vypnout DHCP server a nastavit IP adresu
AP na adresu z rozsahu naší LAN (např. 192.168.1.250), nebo nastavit IP adresu na
automatické získání z DHCP serveru. Zde je třeba jisté opatrnosti. Je nutno vyhnout
se dvěma fatálním situacím:


možnosti, že v LAN jsou aktivní dva DHCP servery
možnosti, že DHCP server v routeru přidělí jinému PC v síti stejnou IP adresu,
jakou už má "natvrdo" nastaven AP
První nebezpečí lze eliminovat vypnutím jednoho z DHCP serverů, ideální je ponechat
DHCP server v routeru. Eliminace druhého nebezpečí už tak triviální není, je nutno
zvolit jeden ze dvou scénářů: první, jednodušší na nastavení (zato horší na
spravování) je nechat IP adresu pro AP přidělit DHCP serverem z routeru. Výhoda je,
že i při změně sítě bude AP jednoduše dosažitelné, nevýhoda tkví v tom, že DHCP
může (ale nemusí) APčku pokaždé přiřadit zcela jinou adresu, a tedy dosažení
administračního rozhraní APčka v budoucnu nemusí být jednoduchou záležitostí. Z
tohoto ohledu je více než vhodné, aby byla pro AP v routeru vytvořena tzv. DHCP
rezervace, tedy napevno určená MAC adresa (opsaná z AP), která za každých
okolností obdrží stejnou IP adresu. Druhá varianta počítá s faktem, že většina DHCP
serverů přiděluje IP adresy ve vzestupném pořadí, tedy postupně přiděluje adresy .2 ,
.3, .4 atd. - pak postačuje APčku určit IP adresu dostatečně vysoko (např. adresa
192.168.1.250). Dvaapůltá varianta je, že některé routery neposkytují DHCP rozsah
pro celý IP rozsah, ale pouze část (nebo lze tento rozsah určit v menu routeru, např.
rozsah adres 100 až 254) - pak lze nastavit IP adresu "natvrdo" mimo tento rozsah
relativně bezpečně.
Tím máme dokončenu IP konfiguraci zařízení a budeme pokračovat kapitolou 3.
3. Konfigurace wifi rozhraní
budeme se věnovat samotné konfiguraci wifi. Než se do toho pustíme, rád bych
probral jednu zásadní otázku, a tou je bezpečnost.
3.1 Co je bezpečné a co je nebezpečné?
žádná bezdrátová komunikace není a nemůže být stejně bezpečná jako komunikace
"po kabelu". Tím důvodem je to, že k odposlechu bezdrátové komunikace vám stačí
dvě věci: být v dosahu signálu a mít anténu a zařízení, které dokáže signál přijímat;
3
oproti tomu u "drátu" je potřeba fyzicky narušit datové vedení, což je např. v budově
o dost zásadnější problém. V případě wifi je obojí bez problémů splnitelné a
dosažitelné. A případný útočník se tak okamžitě ocitá za Vaším firewallem, ve Vaší
LAN. Z tohoto důvodu je více než vhodné komunikaci v bezdrátové části Vaší LAN
šifrovat.
Důvody pro šifrování jsou dva:


znemožnit útočníkovi odposlech komunikace (mj. hesla, hashe hesel, jakož i další
důležité informace)
znemožnit útočníkovi připojení do takové sítě.
Během vývoje se u wifi sítí vyvinulo několik šifrovacích metod a standardů:



WEP 64/128/256bitů - silné šifrování pomocí metody RC4 (běžnými prostředky
"nerozlousknutelná"), nicméně díky chybě v návrhu protokolu (omezený počet
tzv. inicializačních vektorů (IV)) je možno toto šifrování pomocí specifického
útoku prolomit do několika minut, nezávisle na délce šifrovacího klíče
WPA (Wireless (nebo Wifi) Protected Access) - v podstatě "opravený" WEP,
použit je opět algoritmus RC4, nicméně chyba v IV je odstraněna, tudíž se jedná
o bezpečné šifrování - dodnes není znám funkční útok s výjimkou útoku hrubou
silou, respektive slovníkovým útokem. V poslední době se objevily modely
přístrojů s "pre-WPA2" šifrováním, které místo RC4 používají AES, které je ještě
řádově bezpečnější. Takové šifrování se označuje jako WPA-AES. Problém je v
tom, že ne všechny operační systémy toto šifrování podporují, pak je na tahu
výrobce bezdrátové karty.
WPA2 - finální verze WPA s AES a ještě dalšími, pro domácí použití
nevýznamnými vlastnostmi. Výše napsané platí bezezbytku i zde.
Prosím berte na vědomí, že filtrování podle MAC adres a jiné "bezpečnostní"
opatření, jako vypínání vysílání SSID nebo vypnutí DHCP útočníky opravdu
nezastaví!! Jediným opravdu účinným opatřením proti útoku na bezdrátovou
síť je WPA a vyšší!
3.2 Základní pravidla konfigurace a provozu
Pro následný bezproblémový provoz Wifi sítě byste měli dodržet následující pravidla:




síť dostatečně dobře zabezpečit
zvolíme jméno sítě (SSID) - ideální jméno je takové, které nijak neukazuje, kdo
síť provozuje a ani z něj nelze odhadnout heslo pro šifrování.
najít si předem volný kanál, ideálně takový, který má kolem sebe (tedy z obou
stran) ještě alespoň jeden kanál volný
najít pro umístění antény co nejlepší umístění, které přesně pokrývá oblast, ve
které budete chtít signál používat (např. v bytě je ideální umístění někde okolo
geometrického středu bytu)
4


AP/router mít co nejblíže anténě, aby vedení VF signálu bylo co nejkratší
výkon VF části zbytečně nezvyšujte, naopak, pokud máte dobrý signál všude kde
potřebujete, je více než vhodné výkon snižovat
3.3 Nastavení wifi krok za krokem
Nyní, po "teoretickém úvodu" nastavíme náš bezdrát:
1. připojíme se do webového rozhraní APčka/routeru
2. zvolíme konfiguraci WLAN
3. vyplníme SSID (u některých AP/routerů je mezi jednotlivými kroky nutné provádět
restart)
4. zvolíme (menu) zabezpečení, zde zvolíme šifrování WPA-PSK (někde se označuje
jako WPA-TKIP *) vysvětlení níže)
5. zapíšeme heslo pro šifrování. Heslo by mělo mít minimálně 8 znaků, mělo
by obsahovat velká a malá písmena, číslice i interpunkční znaménka (znaky
jako !?&%% apod.). Heslo by se nemělo nacházet v jakémkoli myslitelném
slovníku, ideální je náhodný shluk znaků. Uvědomte si prosím, že toto heslo
nebudete zadávat každý den, proto může být klidně dlouhé a velmi bezpečné, ale ze
stejného důvodu si jej velmi dobře poznačte!
6. restartujeme AP/router
7. otestujeme pomocí počítače s wifi kartou spojení, zda se síť hlásí jako zabezpečená
pomocí WPA a zda je se správným SSID (jménem)
Pokud vše funguje, blahopřeji, máte bezpečnou bezdrátovou síť.
*) WPA-PSK je režim šifrování, kdy heslo je "napevno" vloženo do všech
komunikujících zařízení. Tento režim byl vymyšlen speciálně pro domácnosti, které
nedisponují pokročilými autentikačními mechanismy jako je např. RADIUS server.
WPA podporuje i autentikaci pomocí RADIUS serveru, tento způsob distrubuce
šifrovacích klíčů je ovšem vázán na další síťovou infrastrukturu a v domácnostech se
prakticky nepoužívá - má smysl jen u velkých sítí, kde by distribuce statického hesla
byla velmi obtížná, nebo prakticky nemyslitelná.
4. Co byste měli čas od času kontrolovat?
Dobrým zvykem je čas od času provádět následující činnosti:




aktualizace firmware všech wifi zařízení (odstraňování případných chyb)
aktualizace driverů a firmware všech klientských adaptérů (v PC, noteboocích,
síťových wifi zařízeních)
aktualizace OS (dneska minimálně WinXP SP2, lépe SP3, Vista SP1, Linux
aktuální jádro a wireless-tools nebo WPA-supplicant, pokud je použit)
sledovat, zda použité šifrování je ještě stále bezpečné, zda nebyl v mezičase
vyvinut nový útok obcházející nasazené zabezpečení
5

projít si seznam počítačů a osob, které mají/znají aktuální heslo a případně
provést změnu hesla
Pár praktických rad a obrázků
Na "vstupu" do routeru (tím je myšleno místo, které je určené pro připojení externí sítě nejčastěji s přístupem k Internetu) se nachází standardní síťový konektor označený WAN
(Wide Area Network).
V našem případě se jedná o běžný konektor RJ45. Pokud máte k počítači "přivedený" Internet pomocí
kabelu s tímto konektorem (ať již z ADSL či kabelového modemu, nebo přímo z počítačové zásuvky LAN
Co musíte vědět: pro WiFi router je nezbytně nutné připojení k modemu nebo k sítí LAN s Internetem
pomocí klasického "ethernetového" UTP kabelu s konektorem RJ-45.
musíte zjistit parametry připojení k Internetu
Náš plán na domácí bezdrátový zabezpečený Internet předpokládá několik konfiguračních kroků.
V prvním kroku nastavíme router tak, aby se náš poskytovatel připojení domníval (a zejména jeho
HW zařízení ), že k síti je připojený náš původní počítač. Router jej musí po správné konfiguraci
věrně "napodobit" - jedině tak se vyhneme tápání a dotazům na technickou podporu poskytovatele
připojení k Internetu.
Co musíte vědět: abychom router mohli odpovídajícím způsobem nastavit, musíme předem znát
parametry potřebné pro připojení k Internetu.
6
1. typ připojení
První věcí, kterou bude chtít systém routeru vědět, je typ připojení k Internetu:
PPPoE
V poměrně nevelkém procentu případů to bude protokol PPPoE (Point-to-Point Protocol
over Ethernet) určený pro tzv. vytáčené připojení. Jedná se o způsob připojení počítačů k
Internetu pomocí širokopásmového připojení (DSL nebo kabelového připojení). Na rozdíl od
standardních širokopásmových připojení vyžaduje připojení PPPoE zadání uživatelského
jména a hesla.
Pokud jste pro připojení k Internetu ve vašem počítači obdrželi jen přístupové jméno a
heslo a připojení se před prvním použitím Internetu několik okamžiků "vytáčí", použijte
volbu PPPoE.
7
Dynamic IP
Zde je situace asi nejjednodušší. Pokud Vám bylo řečeno, že se o nic v nastavení počítače
nemusíte starat, pak se jistě jedná o dynamické přidělování IP adresy. V síti, která vás
připojuje k Internetu pak nejspíše existuje server DHCP, které potřebné parametry (IP
adresu, výchozí bránu, servery DNS) všem počítačům v síti automaticky přiděluje.
Poznámka: Dynamic IP je často zřízené tam, kde je Internet k dispozici zdarma...
Poznámka: aby se do takové sítě nepřipojil každý "jouda" (pokud nemá právě tento zájem),
bývá v mnoha případech přidělování IP adresy vázáno na unikátní číslo síťové karty, na tzv.
MAC adresu.
8
Static IP
Pokud jste pro připojení k Interentu dostali kartičku s řadou parametrů jako: IP adresu,
výchozí bránu, masku podsítě a servery DNS, pak se jistě jedná o situaci, kdy tyto parametry
musíte zadat do konfiguraci parametrů sítě "ručně".
Router místo počítače
Veškeré tyto způsoby připojení (+ několik dalších), včetně možného napodobení potřebné
MAC adresy, dokáže router TP-LINK TL-WR542G provést místo původního PC. Vy jen musíte
detailně znát síťovou konfiguraci vašeho PC a nastavit ji v routeru...
Co byste měli vědět: jakmile se rozhodnete použít router, stane se právě on ve vaši nové
(domácí) sítí šéfem. Bude využívat původní kabel připojení k Internetu a původní parametry
připojení. Ostatní počítače v síti (i ten původní) se stanou pak jen "klienty".
Z toho plynou dvě skutečnosti: 1. musíte si pečlivě poznamenat parametry připojení k
Internetu (minimálně proto, abyste tuto konfiguraci mohli vrátit po nezdařeném pokusu
9
zpět), 2. budete muset sáhnout na konfiguraci IP adresy vašeho počítače (ta je ve
vlastnostech připojení k Internetu, kde se skrývá pod položkou "Protokol sítě Internet
TCP/IP" - Vlastnosti).
Je docela možné, že ani sami nevíte, jak je váš počítač nastavený - například jej nastavil technik
providera nebo kamarád. V takovém případě pomůže vypsání síťové konfigurace počítače
připojeného k Internetu
. A provedete to takto:
Připojíme se k Internetu a ručně spustíme příkazovou řádku (Spustit -> cmd):
10
V černém systémovém okénku s kurzorem zadáme příkaz: ipconfig /all
Ve výpisu vidíme pohromadě veškeré aktuálně platné parametry, údaje si poznamenáme nebo
vytiskneme (poznamenejte si také MAC adresu síťového rozhraní - můžeme to dále
potřebovat).
K příkladu výše: Všimněte si, že počítač má WiFi kartu , ale připojený k Internetu je pomocí
běžného ethernetového kabelu (tj. přes 2. síťový adaptér).
11
Router,
stejně jako jakýkoliv počítač a aktivní prvek v "Internetové síti" TCP/IP má svou unikátní IP
adresu. Tu lze změnit, ale výchozí nastavení (po uvedení do provozu nebo "Resetu") je
routeru TL-WR542G vždy stejné: 192.168.1.1 (maska podsítě je nastavena ve všech
příkladech na 255.255.255.0).
Router má z výroby zapnutý DHCP server a počítačům jež se k němu připojí, přidělí potřebné
parametry IP sítě. Proto počítač kterým budeme router nastavovat, musíme předem
nastavit na automatické získávání IP adresy z DHCP serveru:
Po připojení počítače kabelem k routeru (k rozhraní LAN 1-4) nastaví router IP adresy v
počítači tak, aby vytvořil svou lokální síť LAN. Přidělí adresu z výrobcem nastaveného
rozsahu 192.168.1.xxx a jako bránu k Internetu určí sám sebe tj.: 192.168.1.1. Tato
nastavení IP adresy počítače se provede po restartu počítače nebo restartu síťového
rozhraní (odpojit / připojit).
12
Ověřte si příkazem "ipconfig /all", jestli počítač s routerem komunikuje správně. Router by
měl počítači nastavit IP adresu v rámci výrobcem určeného rozsahu (což konkrétně je
192.169.1.100 až 199)
13
Přihlášení se k routeru
Po zadání do internetového prohlížeče adresy routeru: http://192.168.1.1/ se nás systém
zeptá na heslo (výchozí jméno a heslo je admin a admin). Otevřou se nám stránky (ano
router obsahuje jednoduchý www server), ve kterých je možné provést finální konfiguraci.
14
Výchozí nastavení není vždy dobré...
Velmi důležitou věcí je pochopení faktu, že router vytváří vlastní síť podle předem
nastaveného schématu. Počítá s tím, že sám bude mít číslo 192.169.1.1 a ostatní počítače v
síti pak mohou mít adresy 192.168.1.2 až 192.168.1.254 (tedy maximálně 253 počítačů). Je
to jako název ulice(zde 192.168.1) na které pak leží domy číslo 2 (jedničku si rezervoval
router) až 254.
Bez zabíhání do zbytečných detailu (předpokládáme masku podsítě 255.255.255.0) můžeme
říci, že první tři čísla 192.168.1 patří síti, zatímco číslo poslední je adresa počítače patřícího do
této sítě.
Uvedu příklad:

počítače 192.168.1.20 a 192.168.1.85 jsou "přímými sousedy" - leží na stejné síti
15

počítače 192.168.1.20 a 192.168.2.20 leží na různých podsítích...
Jinak řečeno: sítě 192.168.1.xxx a 192.168.2.xxx jsou rozdílné "síťové ulice". Do těchto
detailu bych nezabíhal, kdyby to nebylo nutné. Proč? Dnes je totiž velmi pravděpodobné
(jako i v mém případě), že vaše připojení k Internetu leží už za jiným routerem. Pak je
pravděpodobné, že vaše připojení k Internetu využívá také sítě schématu: 192.168.1.xxx.
Router pracuje správně jen tehdy, když na straně WAN (připojení k Internetu) i straně LAN (to
je vaše domácí síť) jsou rozdílné sítě. Obě tudíž nemohou využívat číslování 192.168.1.xxx
Konflikt sítí LAN a WAN
Zda-li dochází k takovému konfliktu zjistíte snadno pohledem na dříve opsanou nebo
vytištěnou adresu konfigurace IP vašeho původního připojení k Internetu. Pokud v ní vidíte,
že adresa Vašeho PC ležela po připojení k Internetu v rozsahu: 192.168.1.2 až 192.168.1.255
(IP adresa, včetně adres proxy a výchozí brány), pak ke konfliktu s výrobcem přednastavenou
sítí LAN routeru (192.168.1.xxx) nejspíše dojde.
V této situaci musíte změnit nastavení routeru předem tak, aby začal využívat np. "sousední"
sítě 192.168.2.xxx (mohli bychom zjednodušeně říci, že nově budeme využívat "dvojkové"
sítě).
V případě konfliktu sítí WAN a LAN (cca 20% případů) musíte v konfiguraci routeru změnit
adresu routeru na: 192.169.2.1...
16
...a také odpovídajícím způsobem změnit nastavení DHCP, aby počítačům ve vaši nové sítí
přiděloval adresy v rozsahu np. 192.168.2.100 až 192.168.2.199
Poté stačí nastavení uložit (Save) a router restartovat:
17
Po restartu síťového připojení dostane náš počítač novou IP adresu - již z rozsahu
192.168.2.100 až 199 a router se bude k výkonu služby hlásit na adrese http://192.168.2.1
Zkusme na konfiguračním počítači v příkazové řádce ještě spustit "ipconfig /all":
Pokud počítač s routerem komunikuje, zbývá jen nastavit část WAN odpovědnou za
připojení routeru k Internetu.
Klonování MAC adresy
Provideři často využívají možnosti omezit internetové připojení jen na jeden počítač. V této situaci
si poznamenají unikátní síťovou MAC adresu tohoto počítače, a jiným počítačům s jinou
MAC adresou tuto komunikaci zakážou. TP-LINK TL-WR542G je na takovouto eventualitu
připravený a dokáže v části WAN nasimulovat libovolnou MAC adresu.
Podívejte se na můj původní počítač:
18
Věděl jsem, že pokud by se k síti poskytovatele nepřipojoval systém s MAC adresou 04-4B-8080-80-03 (pro poskytovatele by se jednalo o "cizí počítač") pak by ke komunikaci s
Internetem nedošlo. Připojení mám u poskytovatele omezené jen na tuto MAC adresu.
Router však tuto adresu dokáže "naklonovat" na své WAN rozhraní (a přístup do sítě
poskytovatele mu tedy bude umožněn).
Teď už nám nic nebraní do rozhraní WAN zadat dříve opsané parametry připojení (podle
typu připojení):
19
V mém případě jsem zadal statickou adresu (Static IP) kam jsem vložil dříve opsané
parametry (tj. stejné které mi ukazoval počítač připojený k Internetu - viz první screenshot
ipconfig):
Hodnoty uložíme a router restartujeme.
Pokud počítač používal připojení pomocí proxy serveru, musíme toto nastavení do
prohlížeče vrátit:
20
Proxy nemusí být v některých sítích zapnuté, jinde je pak jiné nastaveníadresy i portu
(neopisujte z tohoto obrázku, nemá to cenu )...
Po tomto kroku (sichrovat se můžete restartem všech prvků řetězce) by už na portech LAN
mělo fungovat přidělování adres pomocí DHCP a pokud v prohlížeči nastavíte proxy podle
původního počítače, měli byste mít "4" internety v "1".
HW router je funkční...
Po připojení libovolného počítače k portům LAN (nakonfigurovaného pro automatické
získávání IP adresy - tj. "Dynamic IP"), budete mít (pokud vše proběhlo v pořádku) k
dispozici nejenom interní síť LAN, ale i sdílené připojení k Internetu...
21
Důležité: Nezapomeňte však, že problematika Internetu, ADSL a kabelových modemů a
TCP/IP sítí patří mezi nejsložitější vůbec (ve srovnání s tím je přetaktování procesoru hračka)
a ne vždy musí být vaše snaha korunována úspěchem.
WiFi or not WiFi?
Podívejte se na tento obrázek. Není to skvělé? Nastavíte sdílení internetu, zapnete
bezdrátový přístupový bod (router nebo AP; Access Point) a k takto vytvořené WiFi sítí se
připojujete kdekoliv v rámci vašeho bytu a nepochybně také i na zahradě před domem.
22
Na bezdrátovou síť rozprostřenou v rodinném domku se "pověsí" tatínek s notebookem ,
maminka s PDA, dětičky s HTPC a nakonec bude chráněn i byt jako takový (na vchodové dveře
je přece namířená IP kamera). Je to jako v ráji? Ano, ale i nad tímto rájem krouží temný stín.
V dosahu nezabezpečené, nebo slabě zabezpečené bezdrátové sítě to vypadá, jako by
všude v dosahu této sítě ležely natažené UTP kabely vaší LAN. K této síti se pak může
připojit prakticky kdokoliv - například soused, a pozorovat váš byt vaší vlastní IP kamerou - a
sami víme, jak takové aféry končí...
Nepřítel naslouchá...
Okřídlené přísloví říká: To, že jsem paranoidní ještě neznamená, že po mě nejdou. Nikdy
nevíte, kdo v dosahu vaší sítě sedí u počítače nebo notebooku s bezdrátovým adaptérem a
jaké má úmysly. Vždy vycházejte z té horší varianty - předpokládejte, že někoho bude
skutečně zajímat obsah vašeho disku, nebo (a to je snad ještě horší), že někdo bude chtít stahovat
z internetu nelegální porno na vaše konto i účet.
Ano, nechat WiFi síť nezabezpečenou je jako nechávat klíče od bytu vně vchodových dveří.
Osobně nemám zájem nabourávat se do cizí sítě - někdy to však při přihlašování do své vlastní
sítě vypadá takto:
23
Změna hesla - první krok
Ponechání sítě nezabezpečené s výchozím (defaultním) nastavením hesel a adres je dnes
(bohužel) běžnou praktikou. Proto, dříve než spustíte WIFi, vejděte na stránky routeru
(jméno: admin, heslo: admin) a změňte si přihlašovací údaje (alespoň heslo) na něco
tajnějšího.
Poznámka: pokud vstupní heslo routeru zapomenete a budete chtít jej nadále administrovat,
budete muset zařízení resetovat miniaturním tlačítkem na zadním panelu (vrátí se mu
"tovární" adresa 192.168.1.1 a heslo admin / admin) a celý jej nastavit znovu "od píky".
Šifrování
v naši malé síti použijeme šifrování WPA nebo WPA2 s tzv. s předsdíleným heslem (PSK,
pre-shared key).
24
WEP (Wired Equivalent Privacy) - vás nevytrhne
WEP je původním standardem zabezpečení bezdrátových Wi-Fi sítí (je součástí normy IEEE
802.11 z roku 1999). Je založen na tzv. "proudovém" šifrovacím algoritmu RC4 s tajným
klíčem o velikosti 40 nebo 104 bitů, ten je kombinovaný s 24 bitovým inicializačním
vektorem (IV) - pro ověření správnosti používá metodu kontrolních součtů CRC-32.
64 bitový WEP je kombinací 40 bitového klíče a 24 bitového inicializačního vektoru, 128
bitový WEP využívá 104 bitový klíč + 24 bitový IV. Někteří výrobci bezdrátových zařízení
podporují i 256 bitový WEP.Už v prvních létech svého využívání se prokázala zranitelnost
šifrovacího algoritmu RC4, který je vzhledem k délce klíče a tzv. "kolizím inicializačních
vektorů" lehce překonatelnou ochranou. Použití WEPu se dnes nedoporučuje ani pro
domácnosti.
Získat WEP klíč za použití speciálního software *airodump, aircrack, aireplay, airparse* je
otázkou několika až desítek minut. Software neanalyzuje šifrovaný přenos, ale hledá v něm
zvláštní události, tzv. kolize inicializačních vektorů. Na základě určitého objemu
přenesených dat je pak možné odhalit původní klíč. Čím delší je klíč, tím delší dobu musíme
komunikaci "poslouchat"
WEP2
25
K vytvoření druhé verze WEPu vedla snaha odstranit slabá místa verze původní – došlo k
rozšíření inicializačních vektorů a zesílení 128 bitového šifrování. Tím se dekódování stalo
obtížnější, slabá místa šifrovací metody RC4 však zůstala - útočníkovi jen zabere více času
klíč najít. WEP2 byl použit zpravidla na zařízeních, která hardwarově nestačila na novější
šifrování WPA.
WPA (Wi-Fi Protected Access) - je pro nás řešením
WPA se objevilo jako dočasná (implementuje tzv. draft 3 normy IEEE 802.11i) náhrada za
slabé zabezpečení WEP. Základ je překvapivě stejný: je použit šifrovací algoritmus RC4 s
128 bitovým klíčem a 48 bitovým inicializačním vektorem (IV). I zde je možné sledovat
kolize IV. Zásadní vylepšení však spočívá v dynamicky se měnícím klíči – TKIP (Temporal Key
Integrity Protocol). Hacker tak v průběhu útoku získává nepoužitelné fragmenty stále se
měnících dočasných komunikačních klíčů.
U WPA je také zároveň vylepšena také kontrola integrity (správnosti) dat - místo CRC-32 se
zde používá bezpečnější MIC (Message-Integrity Check), konkrétně se používá algoritmus
nazvaný "Michael".
WPA2 již plně implementuje pokročilejší prvky IEEE 802.11i. K TKIP a algoritmu Michael
přidává nový algoritmus CCMP založený na blokové šifře AES (ta je považována za zcela
bezpečnou ).
Od března 2006 je certifikace WPA2 povinná pro všechna nová zařízení, jež chtějí
být certifikována logem Wi-Fi.
Zvětšení velikosti klíče a inic.vektorů, snížení počtu zaslaných paketů s podobnými klíči +
lepší ověřování integrity dělá (za předpokladu správného zacházení s klíči) ze zabezpečení
WPA a zejména WPA2 těžko prolomitelnou hráz.
Jak na klíče s WPA
WPA nabízí více možností, jak síť zacházet s klíči určenými pro inicializaci komunikace:
26

první metodou je využití speciálního autentizačního serveru (RADIUS), který zasílá
každému uživateli jiný klíč (podnikové řešení),

nebo pomocí tzv. PSK klíče (Pre-Shared Key), kdy každý uživatel používá stejný
přístupový klíč (malé podnikové sítě nebo domácnosti).
V naši síti použijeme PSK klíče - tento režim se česky nazývá "režim s předsdíleným
heslem". Ten je navržen pro sítě v domácnostech a malých kancelářích, které si nemohou
dovolit náklady a složitost autentizačního serveru. Před vstupem do sítě musí každý uživatel
zadat heslo obsahující 8 až 63 tisknutelných ASCII znaků nebo 64 šestnáctkových číslic.
Heslo musí být pochopitelně uloženo na přístupových bodech WiFi sítě.
Poznámka: Existují další metody zabezpečení – EAP typy ověřování pod WPA / WPA2
Enterprise, určené pro silné zabezpečení podnikových bezdrátových sítí
27
Síťová část
Jak diagnostikujeme a řešíme problémy se síťovými
připojeními - TCP/IP stack
Jak to vlastně všechno začíná
Představte si, že vám přestal fungovat váš internet, nebo že vás, jakožto IT
odborníka, pozvali k sousedům, že jim "nejde ten internet". Je to situace nemilá,
protože v takových případech nejsou dostupné internetovské zdroje informací, abyste
byli schopni navštívit vyhledávač nebo poradna.net a vyžádat si radu zkušenějších.
Tento článek se vás pokusí nasměrovat k diagnostice a řešením, která v jednodušších
sítích vedou téměř ve 100% k úspěchu, a to velmi přímočarou a bezbolestnou cestou.
Nejprve trochu suché teorie
TCP/IP je sada protokolů, postavená nad IP protokolem. Je to bez diskuze
nejpoužívanější síťový protokol dneška. Díky své univerzálnosti, robustnosti a zároveň
jednoduchosti návrhu si proklestil cestu k de facto obecnému komunikačnímu
standardu.
Z hlediska hardwaru a nad ním položeného operačního systému je pak TCP/IP
implementováno samotným síťovým zařízením (představte si např. ethernetový
adaptér, ale může to být i sériová či paralelní linka, optický port či wifi karta) a tzv.
stackem, což je kód, který je zodpovědný za veškerou komunikaci pomocí TCP/IP.
Najdeme zde tedy vše od ovladačů daného zařízení, až po kód zajišťující implementaci
vlastních TCP protokolů (tj. TCP, UDP, ICMP apod.) a komunikační rozhraní pro
sofware třetích stran (sokety - viz dále). Nad tímto stackem už dlí aplikace které s
ním komunikují pomocí soketů. Jednoduše vzato je soket síťové API (předem dané
"meziaplikační" komunikační rozhraní).
Loopback
Každý TCP/IP stack pak zahrnuje jeden specifický adaptér, který se jmenuje loopback
(zpětná smyčka). Tento "vynález" je jedno z nejgeniálnějších zařízení celého TCP/IP,
protože dává vývojářům i uživatelům jednu zásadní výhodu - používat TCP/IP (tj.
používat síťové aplikace, např. databázový server a klient) i v případě, že nemáte v
systému jediné hardwarové komunikační zařízení.
Samotný loopback poznáte snadno - má adresu 127.0.0.1 (v reále je to celá sada
adres 127.0.0.0/8). Pokud jej opingáte, máte jistotu, že váš TCP/IP stack je v
pořádku.
C:\>ping 127.254.254.254
28
Příkaz PING na 127.254.254.254 s délkou 32 bajtů:
Odpověď
Odpověď
Odpověď
Odpověď
od
od
od
od
127.0.0.1:
127.0.0.1:
127.0.0.1:
127.0.0.1:
bajty=32
bajty=32
bajty=32
bajty=32
čas
čas
čas
čas
<
<
<
<
1ms
1ms
1ms
1ms
TTL=128
TTL=128
TTL=128
TTL=128
Jak vidíte, funguje.
Poznámka: příklad pro loopback není na 127.0.0.1 ale na 127.254.254.254.
Text "v reále je to celá sada adres 127.0.0.0/8)." jsem četl a rozumí mu, ale v tomto znění to
je spíše hádanka než příklad. Když je to příklad, tak bych spíše očekával ping na adresu
127.0.0.1.
právě to je schválně, jako demonstrace toho, že loopback je opravdu celý rozsah
adres od 127.0.0.1 až po 127.255.255.254.
Co je to ping?
Ping je "lidské" označení dvou typů ICMP paketů - ICMP echo request a ICMP echo reply.
Hostitel A odesílá hostiteli B ICMP (servisní typ paketu bez datových informací) paket s
požadavkem (request) o odpověď, hostitel B tento požadavk zpracuje a pošle odpověď
(reply), přičemž hostitel A je schopen jako bonus změřit čas jak dlouho trvala zprávě cesta
tam a zase zpět.
Fyzické připojení
Tato kapitolka je velmi krátká. Uvažujeme-li ethernetové připojení, zkontrolujte, zda
blikají/svítí LED indikující fyzické připojení kabelu. Používáte-li wifi, přesvědčete se, že
adaptér je v systému aktivní. Případně napravte závadu. U kabelů typicky zastrčte
konektor, očistěte kontakty, připadně překrimpujte nebo nechte překrimpovat (tj.
znovu nacvaknout) konektory.
29
Lokální subnet
Každá TCP/IP síť se skládá ze subnetu (česky podsíť), což je skupina hostitelů
(hostitel je zařízení se síťovým rozhraním) připojeným fyzicky ke stejné fyzické síti a s
TCP/IP stackem který má na daném rozhraní IP adresu ve stejné IP síti. Stejná síť je
pak definována IP adresním prostorem, který je definován maskou. Určování masky
se odehrává podle požadavku na počet zařízení v daném subnetu. Zde najdete velmi
jednoduchou kalkulačku: http://www.cotse.com/networkcalculator.html . Myslím, že
zdrojů informací o subnetech je na internetu dostatek. Ve standardních podmínkách
domácích a podnikových sítí se adresy přidělují pomocí tzv. DHCP serveru, který
dynamicky přidělí všem hostitelům jejich unikátní IP adresy. Druhá alternativa je
ruční přidělení IP adresy uživatelem
Můžete-li tedy pingnout jiné zařízení v síti, funguje vám fyzické připojení a i TCP
připojení je v pořádku. Jaké zařízení byste měli pingat? Doporučuji vždy testovat
oproti routeru (směrovači; viz kapitola o routingu), typicky jím je v malých domácích
sítích "krabička" do které vedou všechny síťové dráty a jejíž IP adresa je buď výchozí
(a ta je napsána v manuálu) anebo jste si ji nastavili sami (a pak ji znáte).
Předpokládejme, že máte síť s routerem, který vám přiděluje IP adresy z rozsahu
192.168.1.0/24 a jehož IP adresa je 192.168.1.1. Pokud pomocí příkazu ipconfig
dostanete hlášení, že na adaptéru připojeném do této sítě je jiná adresa než z
uvedeného rozsahu, nejspíše ji máte nastavenu napevno (a samozřejmě to nebude
fungovat). Pokud vidíte adresu z rozsahu Bonjour, váš PC neobdržel adresu z DHCP
serveru, a to buď díky tomu, že je vadné fyzické připojení (kabel, síťová karta) NEBO
kvůli tomu, že aktuálně v dané fyzické síti neběží DHCP server. Řešením je nastavit IP
adresy ručně (horší řešení), nebo zprovoznit DHCP server (toto je preferované
řešení).
výpis ipconfig
C:\>ipconfig
Konfigurace protokolu IP systému Windows
Adaptér sítě Ethernet Bezdrátové připojení k síti:
30
Přípona DNS podle
Adresa IP . . . .
Maska podsítě . .
Výchozí brána . .
připojení
. . . . .
. . . . .
. . . . .
.
.
.
.
.
.
.
.
.
.
.
.
:
: 192.168.1.100
: 255.255.255.0
: 192.168.1.1
Adaptér sítě Ethernet Připojení k místní síti:
Stav média
. . . . . . . . . . . : odpojeno
výpis ping
C:\>ping 192.168.1.1
Příkaz PING na 192.168.1.1 s délkou 32 bajtů:
Odpověď
Odpověď
Odpověď
Odpověď
od
od
od
od
192.168.1.1:
192.168.1.1:
192.168.1.1:
192.168.1.1:
bajty=32
bajty=32
bajty=32
bajty=32
čas=3ms
čas=1ms
čas=1ms
čas=1ms
TTL=127
TTL=127
TTL=127
TTL=127
Pokud je něco špatně, ping vypisuje následující hlášení:
C:\>ping 192.168.1.1
Příkaz PING na 192.168.1.1 s délkou 32 bajtů:
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
V takovém případě je potřeba začít zjišťovat, zda opravdu zařízení "naproti" funguje,
případně jej otestovat či zkusit pingnout jiné zařízení v síti (pokud možno). Jak vidíte,
stále ještě nejsme u Internet Exploreru . Dokud nefunguje LAN, nemá smysl
zabývat se internetem.
31
směr internet
Pokud již ping v LAN funguje, můžete zkusit pingnout IP adresu v internetu. Pro
testování bych všem doporučil IP adresu seznam.cz, což je 212.80.76.3, a to z toho
důvodu, že nemá blokované ICMP echo requesty a vrací korektně ICMP echo replies,
takže se spolehlivě dozvíte, zda hostitel odpovídá, a tedy že spojení opravdu funguje.
C:\>ping 212.80.76.3
Příkaz PING na 212.80.76.3 s délkou 32 bajtů:
Odpověď
Odpověď
Odpověď
Odpověď
od
od
od
od
212.80.76.3:
212.80.76.3:
212.80.76.3:
212.80.76.3:
bajty=32
bajty=32
bajty=32
bajty=32
čas=20ms
čas=20ms
čas=24ms
čas=19ms
TTL=55
TTL=55
TTL=55
TTL=55
Pokud pingání nefunguje, je třeba začít řešit problém routingu či konektivity. Routing
bude popsán v II. díle, konektivitu si bohužel budete muset ověřit sami nebo ve
spolupráci s vaším ISP.
Pokud zafungovalo pingnutí na IP adresu, je zřejmé, že routing funguje a konektivita
směr internet je funkční. Můžeme tedy přistoupit k testu DNS, což znamená pingnout
jmennou adresu. Použijeme opět seznam.cz:
C:\>ping www.seznam.cz
Příkaz PING na www.seznam.cz [212.80.76.3] s délkou 32 bajtů:
Odpověď
Odpověď
Odpověď
Odpověď
od
od
od
od
212.80.76.3:
212.80.76.3:
212.80.76.3:
212.80.76.3:
bajty=32
bajty=32
bajty=32
bajty=32
čas=20ms
čas=20ms
čas=20ms
čas=19ms
TTL=55
TTL=55
TTL=55
TTL=55
Pokud ping funguje, gratuluji, máte funkční TCP/IP stack připojený k internetu.
Můžeze zkusit použít prohlížeč webu či jinou síťovou aplikaci.
Pokud ping na jmenný název funguje, a přesto nejste schopni připojit se pomocí
webového prohlížeče (typicky Internet Explorer), zkontrolujte jeho nastavení
(obzvláště způsob připojování k internetu) stejně jako samotný operační systém na
přítomnost malware (spyware, viry, trojany). Toto je bohužel už zcela mimo zaměření
článku.
Resumé
Nefunguje-li vám síťové připojení, postupujte následnovně:
32
1.
2.
3.
4.
opingejte
opingejte
opingejte
opingejte
loopback
výchozí bránu (směrovač, též router)
IP adresu v internetu
jmenný název v internetu
Tam, kde se zastavíte, bude nejspíše chyba.
A dál
Sítě TCP/IP, jak už víme, se skládají z jednotlivých subnetů(podsítí). Tyto subnety
jsou propojeny routery (směrovači). Dále nejprve popíšeme princip fungování a
posléze i základní postupy testování a opravy. Předem se omlouvám za poněkud vyšší
porci úvodní teorie, ta je nicméně nutným požadavkem pro pochopení funkčnosti
směrování.
Základní stavební kameny směrování
Celý proces směrování je "vztahem" dvou komplementárních subjektů: samotného
routeru , který reprezentuje fyzickou topologii sítě a routovací tabulkou, která je jeho
elektronickým ekvivalentem. Zní to podivně , ale princip je jednoduchý a bude
vysvětlen dále.
Víme už, že subnet je definován IP adresním rozsahem, přesněji řečeno sadou IP
adres definovanou číslem sítě a maskou. Typicky v domácnostech a malých firmách
se ponejvíce používá rozsahu 192.168.x.0/24 (kde "x" nabývá hodnot od 0 do 254).
Mějme nyní hypotetickou situaci: na tomto subnetu existuje hostitel A, který chce
odeslat data hostiteli B, schválně nespecifikuji, kde se hostitel B nachází. První, k
čemu dojde, je zpětný překlad jména hostitele B na IP adresu. Jak k tomu dochází,
záleží na použitém protokolu, buď je dotazován server DNS (většina případů), nebo
se použije proprietární překlad pomocí vlastních prostředků protokolu (např. u
NetBIOS to může být dotaz u BrowseMastera sítě, WINS serveru nebo už výše
zmiňovaného DNS serveru). Resolving, jak dopředný, tak zpětný bude popsán ve třetí
kapitole věnované DNS. A nyní to začne být zajímavé. V každém případě stack projde
routovací tabulku a na jejím základě odešle paket vybraným rozhraním na vybraného
hostitele.
Routovací tabulka
Routovací tabulka je seznam, ve kterém jsou uvedeny záznamy o tom, kam a kudy
má systém poslat paket. Jedná se o celkem triviální záležitost, obsahem této tabulky
jsou záznamy o cíli směrování, masce, bráně, rozhraní a metrice. Systém prochází
jednotlivé záznamy, a pokud odpovídají adrese cílového hostitele B, použijí se
informace nacházející se na daném řádku.
33
Než přikročíme k názorným ukázkám, řekneme si, jak zobrazit routovací tabulku. Na
Windows systémech k tomu slouží příkaz route, speciálně pak pro výpis tabulky ve
spojení s parametrem print. Kompletní nápovědu získáte zadáním samotného příkazu
route, připadně můžete použít i nápovědu Windows XP, která je velmi dobře
zpracována. Pro systémy postavené na GNU/Linux slouží k témuž rovněž příkaz route,
ovšem bez parametru print. Namísto něj doporučuju použít přepínač -n, kterým
zajistíte, že tabulka bude vypisována bez překladu IP adres na jmenné názvy (tedy
podobně, jak je vypisována ve Windows a dle mého názoru lépe čitelně)
Nejjednodušší routovací tabulka vypadá takto:
C:\>route print
==============================================================
Seznam rozhraní
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0c 29 79 e7 f0 ...... AMD PCNET Family PCI Ethernet Adapter Packet Scheduler Miniport
========================================================================
===
========================================================================
===
Aktivní směrování:
Cíl v síti
Síťová maska
Brána
Rozhraní
Metrika
127.0.0.0
255.0.0.0
127.0.0.1
127.0.0.1
1
255.255.255.255 255.255.255.255 255.255.255.255
2
1
========================================================================
===
Trvalé trasy:
Žádné
Toto je výpis routovací tabulky stroje, který má aktivní TCP/IP stack, ale nemá aktivní
žádná fyzická síťová rozhraní (rozhraní č.2 je odpojeno). Jak je patrné, celá síť
127.0.0.0/8 je směrována na virtuální adaptér 127.0.0.1 přes loopback rozhraní
127.0.0.1. Jiné směrování není možné (a pomocí ping si to můžete sami ověřit)
Trochu zajímavější to bude, nainstalujete-li do systému nějaké rozhraní:
C:\Documents and Settings\user>route print
========================================================================
===
Seznam rozhraní
0x1 ........................... MS TCP Loopback interface
34
0x2 ...00 0c 29 79 e7 f0 ...... AMD PCNET Family PCI Ethernet Adapter Packet Scheduler Miniport
========================================================================
===
========================================================================
===
Aktivní směrování:
Cíl v síti
Síťová maska
Brána
Rozhraní
Metrika
0.0.0.0
0.0.0.0
192.168.10.1 192.168.10.225
10
127.0.0.0
255.0.0.0
127.0.0.1
127.0.0.1
1
192.168.10.0
255.255.255.0
192.168.10.225 192.168.10.225
10
192.168.10.225 255.255.255.255
127.0.0.1
127.0.0.1
10
192.168.10.255 255.255.255.255
192.168.10.225 192.168.10.225
10
224.0.0.0
240.0.0.0
192.168.10.225 192.168.10.225
10
255.255.255.255 255.255.255.255
192.168.10.225 192.168.10.225
1
Výchozí brána:
192.168.10.1
========================================================================
===
Trvalé trasy:
Žádné
Jak je patrno, tabulka nám přidáním jednoho rozhraní pěkně nabobtnala. Pokusíme se
ji společně interpretovat (POZOR, v případě Windows začínáme odspodu, u Linuxu
zase odshora):
První řádek se samými 255 je tzv. limitovaný broadcast, který označuje v routovací
tabulce existenci vlastního rozhraní hostitele (proto je také první; tj. komunikace vůči
sobě samému není fyzicky směrována mimo počítač).
Řádek začínající 224.0.0.0 je směrovací záznam pro multicast (kdo chce vědět více,
odkážu jej na wikipedii: http://en.wikipedia.org/wiki/Multicast_address ).
Řádky s cíli 192.168.10.255 označují směrování broadcastu, tj. vysílání paketů
určených všem hostitelům na daném subnetu.
Analogicky řádek s cílem subnetu 192.168.10.0 (resp. 127.0.0.0 pro loopback) pak
označuje jak mají být směrovány pakety do lokálního subnetu.
A konečně poslední řádek označuje výchozí směr, pokud není nalezena shoda v jiném
řádku. Poznáte jej tak, že cíl je označen jako 0.0.0.0 a maska rovněž 0.0.0.0.
Záznam je ještě jednou uveden pod položkou "Výchozí brána".
35
Speciálně bych zmínil položku metrika, která nalézá uplatnění ve složitějších sítích, a
která určuje prioritu použití záznamu v případě, že se směruje přes více spojení. Lze
tak určit "výhodnější" směr. Bohužel bližší popis (stejně jako popis směrovacích
protokolů pro použití ve velkých WAN sítích) je nad rámec už tak hutného článku.
Nyní, když jsme si popsali významy jednotlivých řádků, bych rád uvedl přesnou
interpretaci některých z nich a následně uvedl příklad spojení a aplikovaného
směrovacího pravidla.
Vezměme tento řádek:
Cíl v síti
Metrika
192.168.10.0
10
Síťová maska
255.255.255.0
Brána
192.168.10.225
Rozhraní
192.168.10.225
Můžeme jej lidsky interpretovat takto:
"Pakety pro hostitele, kteří mají adresu v subnetu 192.168.10.0/24 (kombinace čísla
subnetu a masky; adresy 192.168.10.1 až 192.168.10.254) směruj přes bránu
192.168.10.225 a totožné rozhraní. S ohledem na to, že adresa 192.168.10.225 je
adresa našeho adaptéru, odesílají se data přímo hostiteli B."
Další, už složitější příklad:
Cíl v síti
Metrika
0.0.0.0
10
Síťová maska
Brána
Rozhraní
0.0.0.0
192.168.10.1
192.168.10.225
Interpretujeme následovně:
"Pakety pro hostitele, o nichž nemáme informace v jakém subnetu leží (0.0.0.0 s
maskou 0 odpovídá celému adresnímu prostoru IP verze 4), předej bráně
192.168.10.1 přes své rozhraní 192.168.10.225. S ohledem na to, že nevíme nic o
topologii sítě nebo sítí mimo náš subnet, musíme využít služeb směrovače v našem
subnetu. Ten zařídi další spojení k hostiteli B."
Jako reálný příklad můžeme uvést paket, který chceme odeslat dvěma hostitelům B1
a B2, kteří mají adresy 192.168.10.10 a 195.32.47.5: hostiteli B1 lze odeslat paket
přímo, protože z routovací tabulky je jasné, že hostitel B1 patří do stejného subnetu
jako náš stroj A. S hostitelem B2 je to už horší, žádná z řádek na něj nesedí, vyjma
poslední řádky, kterou je směr na výchozí bránu. Tudíž jediné, co může hostitel A
udělat, je odeslat paket bráně 1921.168.10.1 a my můžeme doufat, že vše funguje
jak má a paket dorazí do cíle.
Router
36
Nyní jsme narazili na samotný router. Zatím jsme jej nijak nedefinovali ani neřekli jak
funguje. Pokusím se to tedy objasnit. Router je hostitel, který je připojen k alespoň
dvěma subnetům a zároveň je schopen předávat pakety (tj. routovat či česky
směrovat). Standardní hostitelé používající obecné operační systémy, jako Windows,
Linux či BSD mají v základní konfiguraci předávání paketů vypnuté, je tedy třeba na
místě toto zmínit. Vyjímečnost routeru tkví v tom, že "vidí" i jinou síť či jiné sítě a je i
jejich součástí. Pokud byste si to chtěli geometricky představit, doporučuji analogii se
dvěma kružnicemi, které se dotýkají v jednom bodě. Tento bod je pak součástí obou
kružnic a když pojedete tužkou po jedné kružnici, musíte projít tímto bodem, abyste
byli schopni přejít na kružnici druhou.
Router jako takový implementuje z hlediska funkčnosti naprosto totožnou směrovací
tabulku jako každý jiný hostitel, rozdíl je v tom, že jeho tabulka obsahuje více
záznamů, minimálně přibudou ty, které určují směr pro druhý (či další) subnet(y). Co
se stane, obdrží-li router paket od hostitele A, umístěného v subnetu
192.168.10.0/24 pro hostitele B v subnetu 10.0.0.0/24 s adresou 10.0.0.138? Je to
velmi podobné tomu, jak se chová samotný hostitel: Za předpokladu, že jedno z jeho
rozhraní je součástí subnetu v němž se nachází hostitel B (tj. má odpovídající záznam
v routovací tabulce), předá paket přímo hostiteli B. Za předpokladu, že žádné jeho
rozhraní není součástí cílového subnetu, předá paket své výchozí bráně (prakticky
každý router připojený k internetu musí mít svou výchozí bránu; příklad, kde není
výchozí brána potřeba je izolovaná síť vytvořená ze dvou subnetů). Jak je vidět, celý
proces s hledáním hostitele B se opakuje, jen na vyšší úrovni a probíhá, dokud
existuje cesta (tj. dokud lze paket na základě routovací tabulky předat), nebo dokud
nevyprší hodnota TTL (hostitelem A nastavená na 64), kterou každý router snižuje o
jedničku). TTL hodnota je implementována z prostého důvodu: aby v síti nebloudili
"bludní Holanďani" - pakety, jež není možno doručit kvůli zacyklení směrovacích
tabulek (příklad směrování mezi hostiteli: A -> B -> C -> A -> ... )
(kontrolní otázka: Co znamenají čísla s lomítkem za ip adresou -10.0.0.0/24
to "číslo" za lomítkem je počet bitů masky zleva, které mají jedničku.
tj. 10.0.0.0/24 je subnet 10.0.0.0/255.255.255.0
čili maska 255.255.255.0 je v binárním zápise taková:
11111111.11111111.11111111.00000000 (když spočteš jedničky, zjistíš, že jich je 3*8=24
37
Co je důležité
Každý hostitel musí mít alespoň jednu výchozí bránu, každý router musí znát (tj mít v
routovací tabulce) alespoň dvě sítě a rovněž mít výchozí bránu.
Řešíme problémy
Nyní se, již vybaveni teoretickými základy, vrhněme na naši nefungující síť. V prvé
řadě je třeba zkontrolovat, zda všichni hostitelé mají nastavenu správnou výchozí
bránu. Ve windows to provedete pomocí už známého příkazu ipconfig
C:\>ipconfig
Konfigurace protokolu IP systému Windows
Adaptér sítě Ethernet Připojení k místní síti:
Přípona DNS podle
Adresa IP . . . .
Maska podsítě . .
Výchozí brána . .
připojení
. . . . .
. . . . .
. . . . .
.
.
.
.
.
.
.
.
.
.
.
.
:
:
:
:
testing
192.168.10.225
255.255.255.0
192.168.10.1
jak je vidět, výchozí brána je nastavena. V naprosté většině případů bude brána
nastavena pomocí protokolu DHCP, pokud si nejste jisti, použije detailnější výpis
ipconfig /all, ve kterém lze dohledat, zda bylo použito DHCP, případně se podívejte
na vlastnosti protokolu TCP/IP v
nastavení síťového adaptéru.
V případě, že je nastavení výchozí
pořádku, je možno bránu opingat, a
ping na IP adresu mimo náš subnet
úspěšný, je třeba upřít pozornost na
samotný router. V první řadě
zkontrolujte, že router je korektně
připojen ke všem sítím jichž by měl být
členem. Velmi často se stává, že např.
routery ztratí spojení s DSLAM, u WAN
dochází k poruchám na spojové
infrastruktuře apod. Pokud vše vypadá
pořádku, zkontrolujte routovací tabulku
routeru.
brány v
přesto
není
DSL
linek
v
na
38
"Velké" systémy jako Windows či Linux si přidávají záznamy do routovací tabulky
samy podle toho, jak se spouštějí jednotlivá síťová rozhraní. Oproti tomu například u
některých verzí Cisco IOS (operační systém routerů Cisco) si systém routovací
tabulku sám nemodifikuje a je třeba ruční úpravy konfigurace.
U typického "domácího" připojení je problém routování do značné míry omezen,
protože WAN rozhraní routeru obdrží výchozí bránu, jakož i další informace v drtivé
většině případů pomocí DHCP a nastavení počítačů v LAN se řídí opět pomocí DHCP,
tudíž stačí nechat přednastavené hodnoty konfigurace a mělo by vše fungovat. V
případě, že některá část sítě není spravována pomocí DHCP, doporučuji ověřit a
zkontrolovat správnost a aktuálnost nastavení.
Takto jsme zkontrolovali první tzv. hop (tj. první přesměrování routerem). Co ale
dělat v případě, když chyba není u nás, ale spojení přesto nefunguje? V takovém
případě je nutno použít nástroj pro trasování cesty směrování. Tímto nástrojem je
příkaz tracert (u Linuxu existuje obdoba traceroute v balíku iptools; případně
můžete použít příkaz ping -R).
Typická ukázka (cíl je záměrně zvolen tak, že je nedostupný):
C:\>tracert -d 195.32.47.5
Výpis trasy k 195.32.47.5 s nejvýše 30 směrováními
1
2
3
4
5
6
7
8
9
10
11
12
13
< 1 ms
39 ms
39 ms
*
*
44 ms
43 ms
43 ms
45 ms
*
*
*
^C
<
38
40
*
*
42
42
43
43
*
*
*
1 ms
ms
ms
ms
ms
ms
ms
< 1 ms 192.168.10.1
39 ms 88.123.201.71
39 ms 88.123.202.17
*
Vypršel časový limit
*
Vypršel časový limit
43 ms 80.188.33.246
43 ms 80.188.33.245
42 ms 194.228.21.32
41 ms 194.228.21.90
*
Vypršel časový limit
*
Vypršel časový limit
*
Vypršel časový limit
žádosti.
žádosti.
žádosti.
žádosti.
žádosti.
Zde je vidět, že pakety prošly dvanácti routery, ale třináctý hop byl už neúspěšný. Je
třeba ovšem poznamenat, že samotné hvězdičky neznamenají neúspěch, to může
znamenat i jen to, že daný router má ve firewallu zakázáno odesílat odpovídající ICMP
informace o trasování s tím, že trasování probíhá dále. Viz následující příklad:
C:\>tracert -d 194.228.32.3
Výpis trasy k 194.228.32.3 s nejvýše 30 směrováními
39
1
2
3
4
5
6
7
8
9
10
11
12
< 1 ms
39 ms
39 ms
*
*
43 ms
42 ms
43 ms
43 ms
44 ms
*
42 ms
<
38
40
*
*
42
42
42
42
55
*
43
1 ms
ms
ms
ms
ms
ms
ms
ms
< 1 ms 192.168.10.1
39 ms 88.123.201.71
39 ms 88.123.202.17
*
Vypršel časový limit žádosti.
*
Vypršel časový limit žádosti.
43 ms 80.188.33.246
42 ms 80.188.33.245
42 ms 194.228.21.32
42 ms 194.228.21.102
43 ms 194.228.37.219
*
Vypršel časový limit žádosti.
43 ms 194.228.32.3
ms
Trasování bylo dokončeno.
Zde se dostavil úspěch, cíl byl nalezen po dvanáctém hopu.
Složitější problémy s routingem
Jako zásadnější problém se může jevit, máme-li topologii sítě rozvinutější, tj.
používáme více segmentů sítě s různými subnety. Takovým příkladem může být
hvězdicovitá nebo lineární topologie sítě.
Typickou ukázkou hvězdicovité topologie může být jednoduchá LAN síť, ve které běží
VPN server a z důvodů bezpečnosti jsou VPN klienti umístěni v separátním subnetu
(virtuální VPN adaptér není přemostěn do sítě LAN, nýbrž routován). V takovém
případě je nutno dbát, aby VPN koncentrátor měl ve své routovací tabulce umístěny
veškeré možné a povolené směry, tj. minimálně směr do LAN a obráceně do VPN,
případně i směrem do internetu.
40
V případě lineární sítě, která může být reprezentována nějakou větší místní komunitní
sítí, která takto řeší např. problém dosahu či konektivity apod. V takovém případě,
pokud není implemetován nějaký routovací protokol, je potřeba, aby všechny routery
v dopředném směru "věděly", že za daným subnetem, jehož jsou členy, existují i další
subnety. Jen ve velmi sporadických případech lze toto řešit pomocí výchozí brány
(nelze tehdy, pokud směr do internetu se odlišuje od směru k dalším subnetům,
případně pokud se jedná o hybridní síť, tj. jak hvězdicovitou, tak lineární). V takových
případech nastupuje nutnost ruční editace směrovací tabulky (což je úkon, jak
jste si možná všimli, který jsme dosud nepoužili) a přidat do směrovací tabulky směry
na "skryté" sítě.
41
Závěr
ukázali jsme si, jakým způsobem funguje směrování, popsali jsme si základní
lokalizaci a odstraňování problémů a v závěru jsme si ukázali i typické problémy
větších a rozlehlejších sítí.
Dobrá rada na závěr je jedna: máte-li problém se složitější topologií sítě, namalujte si
ji na papír, všechno pak vypadá jednodušeji a snadněji odhalíte chybu.
Nyní se podíváme na potíže se servery DNS
Co je DNS? Znamená to Domain Name System a v praxi se jedná o systém, jakým se
tzv. překládá jmenná internetová adresa na IP adresu (a obráceně). K čemu je to
dobré? Hned si to vysvětlíme. Kdysi, v dávných dobách, kdy Internet nebyl ještě ani
Internetem, ale Arpanetem, se počet připojených počítačů zvětšil takovým tempem a
na takové množství, že se pomalu přestalo dařit udržovat v aplikacích a systémech
seznamy IP adres počítačů se kterými bylo nutno komunikovat.
2.1 Soubory hosts
Jako přechodné řešení bylo přijato použití souborů hosts, první, takřka "nulté" verze
jmenného systému. Prakticky se jednalo o přiřazení "lidských" jmen jednotlivým
adresám. Nevýhodou tohoto řešení ovšem bylo, že se jednalo o striktně lokální řešení,
tedy každý počítač měl vlastní soubor hosts. Udržovat tedy takové seznamy bylo jen
o trochu jednodušší, než zadávat do aplikací přímo IP adresy. Navíc vždy hrozilo, že
tyto soubory nebudou totožné na všech navzájem komunikujících počítačích, a tedy
že komunikace selže díky triviální chybě - že zdrojový počítač jednoduše nenajde
42
správný cílový počítač. Nicméně hosts soubory přežily dodnes, protože umožňují
"doladění" překladu jmen lokálně na konkrétním počítači.
Zde je ukázka klasického hosts souboru z Windows XP:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Toto je ukázka souboru HOSTS používaného službou Microsoft TCP/IP for
Windows.
#
# Soubor obsahuje mapování adres IP na názvy hostitelů. Každá položka
# by měla být na jednom řádku. Adresa IP by měla být umístěna
# v prvním sloupci a měla by být následována odpovídajícím názvem
hostitele.
# Adresa IP a název hostitele by měly být odděleny nejméně jednou
# mezerou.
#
# Komentáře (jako například tento) lze vkládat na jednotlivé řádky
# nebo za název hostitele, komentář je určen znakem '#'.
#
# Příklad:
#
#
102.54.94.97
rhino.acme.com
# zdrojový server
#
38.25.63.10
x.acme.com
# hostitel klientů x
127.0.0.1
localhost
2.2 DNS - logická evoluce
Z výše uvedeného je jasné, že soubory hosts nebyly považovány za ideální řešení.
Tehdejší vývojáře napadla geniálně prostá myšlenka - sjednotit tyto hosts soubory na
jednom počítači a přes síťovou službu je poskytnout všem ostatním počítačům. Tím se
jednoduše eliminuje nutnost duplikace stejných hosts souborů. Tak vznikl systém
DNS.
S ohledem na univerzálnost byl systém navržen hierarchicky, tedy existuje několik
tzv. root (též kořenových - v doménovém zápise se jedná o prostou tečku - ".")
doménových serverů, které se označují písmeny a jsou rozmístěny po celém světě,
které spravují domény jednotlivých tzv. Top Level Domén (TLD) - tedy např. domény
.COM, .NET, .ORG (dále EDU, MIL) nebo národní domény (.CZ, .SK, .EU, nebo .UK).
Každá z těchto TLD má své DNS servery které jsou známy kořenovým serverům, a
které spravují tzv. domény druhého řádu, tedy např. DNS server domény .NET
spravuje záznamy pro tuto doménu, např. doménu 2. řádu PORADNA (a "ví" kde je
DNS server pro tuto doménu 2. řádu). Následně tento server pro doménu PORADNA
je serverem, který spravuje domény 3. řádu a hostitele platné pro tuto doménu, tedy
např. hostitele pc.poradna.net - je zde vidět striktní hierarchie ukládání záznamů.
Samotné použití DNS se sestává z dotazování jednotlivých serverů, a to opět
43
hierarchicky. Uživatel se ptá svého DNS serveru, který, pokud nezná odpověď, se ptá
svého nadřazeného serveru až do doby, než nenajde cílový název domény nebo
nenarazí na kořenový server - v takovém případě pak dochází k "sestupování" do
dané doménové struktury, dokud není nalezen záznam odpovídajícího požadovaného
hostitele.
Příklad: Uživatel v doméně poradna.net požaduje adresu hostitele www.seznam.cz
(předpokládáme, že žádný server nemá požadované názvy v cache).
Nejprve je dotazován místní DNS server, který, protože neví, kde leží doména CZ, kontaktuje
některý kořenový server, který mu sdělí adresu TLD serveru domény CZ, následně je
dotazován tento server na doménu SEZNAM a obdrží adresu doménového serveru
seznamu. Poslední dotaz již směřuje přímo na DNS server seznamu a je dotazován na adresu
hostitele "WWW", na což by měl odpovědět jeho IP adresou.
V následující kapitole se mírně dotkneme technického pozadí služby DNS, a to jak
stručného popisu samotných záznamů, tak existujících serverů.
3. Technický pohled na DNS
V předchozí kapitole bylo nastíněno, jakým způsobem služba funguje, nyní si
rozebereme vlastní způsob uložení nejdůležitějších záznamů a jejich fungování.
3.1 Záznamy DNS
Záznamy DNS se rozumí samotné informace o doménách a hostitelích. Logicky
nejstarším typem záznamu je záznam typu A, který v sobě obsahuje překlad
jmenné adresy na IP adresu. Logickým doplňkem tohoto záznamu je záznam PTR
(PoinTeR), který má funkci přesně opačnou, tedy překládá IP adresu na jmenný tvar.
Zde je třeba poznamenat, že pro jednu IP adresu může existovat několik A záznamů,
ale vždy pouze jeden PTR záznam. Dalším významným, nicméně později uvedeným
záznamem je záznam MX (Mail eXchanger), který je vázán na existující A záznam
domény a určuje poštovní server (nebo servery), které pro danou doménu přijímají
poštu. Mezi další záznamy se pak počítají mj. NS (záznamy o NameServerech - tj.
ostatních DNS), CNAME (alternativní jméno k A záznamu), SOA (technické informace
o doménové zóně), SRV (dostupné služby), AAAA (IPv6) nebo TXT (textové
rozšiřující informace).
3.2 Nejznámější servery DNS
Z historického hlediska je zcela určitě nutno zmínit na prvním místě ISC BIND
(Linux/Unix platforma), který se nachází již v deváté verzi a jehož historie je s
vývojem DNS úzce spjata. Mezi mé oblíbené DNS servery se řadí rovněž velmi
bezpečný server djbDNS (Linux/Unix) nebo MyDNS (opět Linux/Unix). Mezi dobré
44
DNS servery se rovněž řadí DNS server obsažený ve Windows Server, samozřejmě v
aktuální a opatchované verzi, což je ovšem podmínka, kterou by měly splňovat
všechny DNS servery, nezávisle na platformě a vývojáři.
3.3 Funkce DNS serveru
Nyní se už dostáváme k funkcím, ve kterých může DNS server pracovat (přičemž
jeden fyzický server může poskytovat jednu, několik, nebo všechny tyto funkce) .
Prakticky se jedná o čtyři základní funkce:

Primární DNS server - DNS je primárním serverem pro danou doménu, pokud je jeho
adresa zanesena v hierarchicky nadřazeném DNS serveru jako adresa jmenného
serveru dané domény. Na tomto serveru se spravují záznamy dané domény a je tzv.
autoritativní, tedy jeho data mají nejvyšší a trvalou platnost. Existuje vždy jen jeden
primární server pro danou doménu.

Sekundární DNS server - tento server je opět definován v nadřazené struktuře, jeho
funkcí je převzít úlohu primárního serveru v případě, že samotný primární server je
mimo provoz. Sekundární server neumožňuje editaci a je možné definovat vícero
sekundárních serverů s prioritou.

Caching DNS server - jedná se o "pouhé" rozložení zátěže. Místo aby klienti neustále
dotazovali primární servery po celém světě, zodpovídá tento server již jednou
zodpovězené dotazy ze své cache (vyrovnávací paměti). Tímto tak značným způsobem
urychluje funkci vyhledávání v DNS. Tento server poskytuje NEAUTORIZOVANÉ
odpovědi a je potenciálním cílem útoků na DNS, o kterých byla řeč v úvodu, a které
budou rozebrány ve samostatné kapitole.

Forwarding DNS - toto je nejnižší možná varianta, která se zhusta vyskytuje v
domácích "krabičkoidních" routerech. Jedná se defacto o DNS proxy, která veškeré
dotazy na ni okamžitě přeposílá na jiné DNS servery (typicky servery ISP)
3.4 Nástroje pro vyhledávání v DNS
Kromě samotného systému můžete dotazovat DNS servery i přímo, pomocí nástrojů,
které jsou součástí systému. Součástí všech Windows je příkaz nslookup, který je
možno nalézt i v Linuxech, tam je ale již vytlačován nástrojem dig, který se dá lépe
používat např. v skriptech.
4. Diagnostikujeme problémy
Nyní nadešel čas, kdy si povíme něco blíže o diagnostice problémů s DNS. Pokud již
máte ověřeno (viz předchozí díly), že vaše připojení a směrování je v pořádku, je
nutno ověřit ještě možné problémy s DNS. Pro jednoduchost budeme používat nástroj
nslookup, kderý se dá najít nebo nainstalovat prakticky ve všech soudobých
systémech.
45
4.1 Kontrola funkčního DNS
Jak již bylo řečeno, možný problém v případě, že síť i směrování funguje a prohlížeč
přesto nefunguje, lze hledat v nefunkčním nebo nedostatečně fungujícím DNS
serveru. Ověření funkce můžeme provést následujícím způsobem:
Spustíme nslookup (buď přímo z příkazového řádku, nebo v případě Windows
můžeme i z nabídky Start pomocí položky "Spustit" a zadáme příkaz zde. Přivítá nás
prompt (všimněte si špatně kódované češtiny, toto je bohužel vlastní Windows
verzím, fungují ve špatném kódování):
Věchozˇ server:
mygateway1.ar7
Address: 10.0.0.138
>
Co lze z tohoto výpisu zjistit? Dvě informace: náš výchozí server má adresu
10.0.0.138 a je funkční, protože nslookup se s ním bez problémů spojil. Pokud vám
nslookup po spuštění vyhodí jakoukouliv chybu, jedná se o nějaký zásadnější
problém. Typickým problémem může být např. pomalá odezva DNS serverů ISP (což
je vlastní např. serverům české Telefónicy O2), nebo dokonce nulová odpověď - v
takovém případě DNS server nefunguje vůbec a tím pádem jste našli chybu prakticky
okamžitě.
Nyní přikročíme k otestování základní funkce:
Věchozˇ server:
mygateway1.ar7
Address: 10.0.0.138
> set type=a
> www.seznam.cz
Server: mygateway1.ar7
Address: 10.0.0.138
Neautorizovan odpovŘÔ:
N zev:
www.seznam.cz
Address: 77.75.72.3
Přepnuli jsme dotazy na záznamy typu A a zeptali se DNS serveru na IP adresu
serveru www.seznam.cz. Jak je patrno, vše funguje. V případě, že se místo odpovědi
objeví něco
podobného:
> www.seznam.cz
Server: mygateway1.ar7
Address: 10.0.0.138
46
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** ¬asově limit po§adavku pro mygateway1.ar7 vyprçel.
>

pak se jedná o poruchu a je třeba problém řešit (viz následující kapitola)
4.2 Možné způsoby řešení problémů
Pokud nefunguje základní překlad existujících adres (typicky seznam.cz apod.),
můžete zkusit v případě, že používáte forwarder v routeru (jako je uvedeno výše)
přepnout pomocí direktivy server ip_adresa na server ISP (IP adresy DNS serverů
ISP bývají většinou součástí technických dokumentů předávaných při zřízení
připojení) a pokusit se znova o vyhledání IP adresy. Pokud to zafunguje, je chyba ve
vašem routeru a je třeba jej minimálně restartovat (doporučuji podívat se na
internetu, zda neexistuje novější firmware pro váš router řešící tento problém).
V případě, že ani server ISP nereaguje, je třeba ověřit, že jsou průchodné porty
53/TCP a 53/UDP přes vaše firewally (jak lokální na PC, tak firewall na routeru).
Jestliže ani po této kontrole není vyhledání úspěšné, je nejspíše problém na straně
DNS serveru ISP.
V takové situaci máte už jen dvě možnosti, můžete je ale realizovat naráz. Měli byste
zavolat svému ISP a uvědomit jej o problémech s jeho DNS a zároveň můžete na
svém routeru (pokud to umožňuje) nastavit jiný server DNS. Tuto možnost popíšeme
v kapitole 5.
5. Řešení problému s (děravým) DNS serverem u ISP
Mnoho současných caching serverů ISP je v žalostném stavu, jsou přetížené a
neaktualizované. Zde je možno otestovat DNS server na aktuální velkou chybu:
www.dns-oarc.net. Pokud se vám u kteréhokoliv serveru objeví hlášení
"POOR", jste zranitelní! (více v následující kapitolce).
Pokud jsme se dobrali zjištění, že server u vašeho poskytovatele není funkční, nebo
že je děravý, máte možnost přejít jinam. Lehce se to řekne, ale už hůře udělá.
Bohužel, z bezpečnostních ohledů poskytují ISP své caching servery pouze pro své
zákazníky, není tedy možno využívat DNS server jiného ISP, než toho, kterého
používáte. Naštěstí zde existuje jedno "globální" řešení, které je možno použít
nezávisle na tom jak a přes koho jste připojeni. Jedná se o OpenDNS. Není to řešení
ideální, neboť jako protiváhu DNS serverů zdarma je používáno tzv. wildcardů, tj.
pokaždé když zadáte v prohlížeči neexistující adresu, zobrazí se vám reklama. Taktéž
je známo, že OpenDNS přesměrovává Google na své servery, což je daleko horší,
47
nicméně s ohledem na potenciální problémy vašeho ISP (viz další kapitola) se jedná o
problém řádově menší.
Samotné přenastavení proveďte buď ve vašem routeru (pokud to umožňuje, což by
měl) nastavením IP adres 208.67.222.222 a 208.67.220.220 v položkách DNS
serverů u WAN rozhraní. Pokud toto váš router neumožňuje (a standardně přijímá
pouze DNS adresy z DHCP), můžete si tyto adresy nastavit v políčkách DNS serverů u
vašeho síťového připojení v počítači (vypněte přiřazení DNS serverů z DHCP a zadejte
tyto dvě adresy).
Pro mnoho routerů, jakož i pro operační systémy jsou podrobné návody zde:
https://www.opendns.com/start
Nastavení můžete po uložení a restartu otestovat novým dotazem podle návodu v
kap. 4.1, případně otestovat děravost testem uvedeným v této kapitole.
Vše by mělo být od této chvíle funkční, a vy byste se měli být schopni dostat se na
internet.
6. Současná bezpečnostní hrozba týkající se systémů DNS
Nedávno byl veřejně publikován způsob včetně ukázkového kódu, jak
zneužít caching DNS
server k útoku Man in the Middle. V podstatě se jedná o vynucení serveru načíst DNS informace o útočníkově DNS zóně, ve které
je ukryt specifický kód, kterým se "otráví" (tj. záměrně poškodí) cache DNS serveru tak, že začne poskytovat nekorektní
překlady pro doménu na kterou útočník útočí. V praxi tedy útočníkovi stačí požádat caching server o načtení své "útočné"
domény (např. hax0r.net), která pozmění data (IP adresu daného serveru) pro doménu na kterou útočí (např.
internetbanking.com) a která jsou dále poskytovaná ostatním uživatelům. V konečném důsledku pak stačí, aby na IP adrese, na
kterou nyní ukazuje upravený záznam www.internetbanking.com, běžela upravená kopie téhož webu, která bude odchytávat
hesla a následně jen uživateli sdělí, že heslo není platné (nebo v lepším případě vystaví spojení na původní server s tím, že
budou logovány veškeré úkony a transakce). Jak je vidět, jedná se o velmi nebezpečnou záležitost.
Obrana proti tomuto je dvojí: používat pouze bezpečné DNS servery a pokud možno zabezpečenou komunikaci pomocí SSL,
ideálně podepsanou certifikátem vydaným spolehlivou certifikační autoritou - samozřejmě je nutno sledovat, zda certifikát je
stále tentýž a zda se "náhodou" nezměnil.
Výše popsaný útok je znám již hodně dlouhou dobu. Jeho nebezpečnost byla velmi nízká, díky tomu, že k útoku bylo potřeba se
"trefit" do DNS serveru. Nicméně právě poslední bezpečnostní hrozba kombinuje tento útok s jinými dvěma bezpečnostními
děrami, a to malé náhodnosti zdrojových portů DNS serveru a malé náhodnosti transakčních ID. V kombinaci je to již velmi
nebezpečná záležitost, a proto se doporučuje, v případě, že používáte takto nezabezpečený server, upgradovat tento server,
nebo přejít na jiný.
7. Závěr
Doufám, že Vám tento článek pomohl nebo pomůže těm, kdo řeší problémy s připojením k síti.
48