Konfiguracija i zaštita lokalne mreže - DD-WRT

Sadržaj 1 Konfiguracija lokalne mreže i firewall konfiguracija 2 DD-WRT – prilagođeni firmware za bežićne routere 3 DD-WRT - Postavljanje mreže 4 DD-WRT - Konfiguracija naprednih postavaka i firewall-a 5 DD-WRT - Zasebna virtualna mreža 6 Literatura

Konfiguracija lokalne mreže i firewall konfiguracija

Student: Nino Cerovec, 44444/15-R

Mentor: Doc. dr. sc. Tonimir Kišasondi

Konfiguriranje lokalne mreže i firewall-a na DD-WRT firmware sustavu. Određivanje podmreža, razdvajanje prometa i definiranje ograničenja mrežnog prometa.

--Nino.cerovec 15:38, 12. siječnja 2016. (CET)

DD-WRT – prilagođeni firmware za bežićne routere

Privatnu lokalnu mrežu možemo jeftino i kvalitetno konfigurirati koristeći router koji već posjedujemo, ako on podržava DD-WRT firmware. DD-WRT je besplatan linux firmware za bežične routere koji omogućava mnogo više funkcionalnosti (u granicama hardware mogućnosti) od originalnog (tvorničkog) firmware-a kućnih routera. Osim toga, pruža jednostavno rukovanje pomoću web grafičkog sučelja i podržava velik broj kućnih routera (baza podržanih routera nalazi se na DD-WRT web stranicama - http://www.dd-wrt.com/site/support/router-database). Može se reći da je router koji koristi DD-WRT - „supercharged“ router. Kako bi instalirali (flash) DD-WRT na vlastiti router najlakše je slijediti neke od online uputa za instalaciju specifičnih za model vašeg router-a, a službene upute nalaze se na adresi: http://www.dd-wrt.com/wiki/index.php/Installation. Prije instalacije dobro je napraviti sigurnosnu kopiju (backup) router postavaka i tvorničkog software-a. Važno je napomenuti da svaka pogreška prilikom instalacije prilagođenog (modificiranog) firmware-a može uzrokovati (trajno i moguće nepopravljivo) oštećenje (kvar), što znači da će vaš router postati komad nefunkcionalnog hardware-a. DD-WRT dolazi s dvije instalacijske .bin datoteke, kod upgrade-a ili downgrade-a DD-WRT firmware-a potrebno je učitati obije datoteke (prvo factory-to-ddwrt.bin i zatim *-webflash.bin). Kad instaliramo DD-WRT možemo pristupiti postavkama routera na adresi: http://192.168.1.1, gdje na početku trebamo odrediti korisničko ime i lozinku za pristupanje routeru. Firmware trebamo spremiti lokalno kako bi ga mogli koristiti za vraćanje tvorničkih postavaka ili instalaciju na router iste vrste. Ukoliko dođe do kvara, možemo lako zamijeniti router (ako imamo ili možemo nabaviti zamjenski) i brzo popraviti mrežu instalacijom firmwarea – (3.) contingency plan. Ukoliko ne možemo nabaviti isti model zamjenskog routera i ako router ne podržava DD-WRT firmware, uvijek možemo pokušati konfigurirati temeljne postavke mreže na tvorničkom firmware-u novog routera – (4.) emergency plan.

Instalacija je izvedena na TP-Link TL-WR841N routeru.

--Nino.cerovec 16:18, 10. studenog 2015. (CET)

DD-WRT - Postavljanje mreže

U ovom slučaju je specifična situacija i potrebno je postaviti WAN mrežu koristeći PPTP (VPN), ali pri tome treba omogućiti pristup i mreži kroz koju se tunelira PPTP protokol i DNS usmjeravanje na toj mreži. Mreža preko koje pristupamo internetu je wireless mreža lokalne udruge, a pristup internetu omogućen je preko VPN servera. Kako bi pristupili internetu trebamo postaviti WAN postavke, koje se nalaze pod Setup → Basic Setup → WAN Setup → WAN Connection Type. Ovisno o vrsti pristupa internetu odaberemo način pristupanja i unesemo podatke internet pružatelja usluge za pristup internetu. Obično je dovoljno ostaviti standardne postavke „Automatic Configuration - DHCP“ koje su najčešće korištene. U ovom slučaju želimo postaviti PPTP (VPN) pristup internetu i nakon unosa korisničkog imena i lozinke, pristup internetu funkcionira. Postavke za pristup internetu korištenjem PPTP veze možemo vidjeti na slici 1. [PPTP postavke veze].

Na slici 1. je označena važna opcija za ovaj slučaj gdje je potrebno omogućiti pristup mreži i internetu. Kako bi se omogućio pristup mreži, a ne samo internetu preko (tunelirane) PPTP veze, potrebno je uključiti opciju „Dual-Access mode“. Postavke lokalne mreže nalaze se pod Setup → Basic Setup → Network Setup → Router IP. Lokalna adresa routera „Local IP Address“ i „Subnet Mask“ je automatski postavljena, ali je možemo prilagoditi vlastitim potrebama. Osim toga trebamo postaviti (ovisno o lokalnoj mreži) „Gateway“ i „Local DNS“ adrese, ali to ponekad nije nužno. Postavke ovih adresa možemo vidjeti na slici 2. [Local IP Address, Gateway i Local DNS].

Ponekad router ne mapira sve mrežne rute kako bi trebao, pa možemo ručno dodati rutu za koju znamo kako treba funkcionirati. Primjer ručno unesene rute je prikazan na slici 3. [Advanced routing].

U ovom trenutku funkcionira pristup internetu i pristup lokalnoj mreži wireless udruge, ali ne funkcionira DNS usmjeravanje na lokalnoj mreži wireless udruge. Kako bi omogućili DNS usmjeravanje na mreži trebamo isključiti DNSMasq servis koji se nalazi pod Services → Services Managment → DNSMasq. Prije toga trebamo isključiti korištenje tog servisa u postavkama DHCP servera, gdje je potrebno isključiti opcije „Use DNSMasq for DHCP“ i „Use DNSMasq for DNS“. Postavke DHCP servera nalaze se pod Setup → Basic Setup → Network Setup → Network Address Server Settings (DHCP), a možemo ih vidjeti na slici 4. [DHCP - DNSMasq].

--Nino.cerovec 15:38, 12. siječnja 2016. (CET)

DD-WRT - Konfiguracija naprednih postavaka i firewall-a

Sada mreža funkcionira na željeni način, ali ne postoje nikakve postavke sigurnosti i optimizacije prometa. Kako bi se u svakom trenutku mogli vratiti na postavke kada mreža funkcionira, ali ne postoje nikakve napredne postavke, trebamo napraviti backup trenutnih postavaka routera – (2.) alternate plan. Backup trebamo spremiti lokalno, kako bi mu u svakom trenutku mogli pristupiti i koristiti ga bez obzira na funkcionalnost mreže. Backup postavaka pruža mogućnost lakog oporavka uslijed pogreške prilikom konfiguracije ili prilikom kvara routera. Kod postavljanja naprednih postavaka routera možemo raditi inkrementalni backup postavaka, nakon svake značajnije konfiguracije i na kraju nakon finalne konfiguracije routera. Inkrementalni/finalni backup naprednih postavaka daje mogućnosti migracije svih postavaka na zamjenski router ili vraćanje na posljednje funkcionalno stanje kod pogreške u konfiguraciji routera – (1.) primary plan. Korisno je prije svega uključiti dnevnik (log) prometa na firewallu routera, kako bi mogli pratiti promet i ponašanje routera. Firewall log možemo vidjeti na slici 5. [Firewall log].

Kako bi postavili firewall pravila možemo koristiti komandnu liniju (shell) routera. Komandnoj liniji DD-WRT-a možemo pristupiti koristeći Telnet ili SSH. Prije pristupanja komandnoj liniji trebamo omogućiti pristup na web sučelju DD-WRT-a kako je prikazano na slici 6. [SSH & Telnet].

Korisničko ime za prijavu u naredbeni redak je „root“, a loznka kako smo je definirali u web sučelju. Komandna linija ponaša se kao Linux naredbeni redak s ograničenim mogućnostima naredbi, prikazana je na slici 7. [DD-WRT Shell].

Firewall pravila možemo unositi ručno koristeći naredbu „iptables“ ili ih možemo definirati koristeći besplatan alat Firewall Builder. Korisne „iptables“ naredbe možemo pronaći na stranici: http://www.dd-wrt.com/wiki/index.php/Iptables_command. Alat Firewall Builder prikazan je na slici 8. [Firewall Builder], a postavke za stvaranje novog DD-WRT firewall-a na slici 9. [Izrada firewall-a]. Upute za korištenje alata Firewall Builder za DD-WRT nalaze se na adresi: http://www.dd-wrt.com/wiki/index.php/Firewall_Builder i potrebno ih je dosljedno slijediti.

Kad izradimo novi firewall koristeći predkonfigurirani firewall predložak, dobijemo set standardnih firewall „white-listing“ pravila, što znači da se sav promet odbija osim onog koji je eksplicitno definiran ostalim pravilima. Vlastita firewall pravila možemo dodati i zatim ih možemo prevesti i izvršiti na DD-WRT koristeći Firewall Builder alat. U ovom slučaju trebali smo unijeti opciju „-scp“ u polje "Additional command line parameters for scp" pod postavkama firewall-a, kako bi funkcionirao prijenos podataka na router. Važno je napomenuti da kod definiranja firewall pravila trebamo biti vrlo oprezni, jer je lako moguće instalirati pravila koja će onemogućiti pristup routeru. Ukoliko dođe do takve situacije, pokušajte resetirati router na tvorničke postavke fizičkim putem (gumb za reset) i zatim iskoristiti backup postavaka, kako bi vratili router u funkcionalno stanje.

Ostale napredne postavke routera možemo definirati u komandnoj liniji (shell) routera, kako koristiti naredbeni redak možemo pronaći na stranici: http://www.dd-wrt.com/wiki/index.php/Startup_Scripts, a pri tome nam mogu pomoći korisne skripte koje se nalaze na stranici: http://www.dd-wrt.com/wiki/index.php/Useful_Scripts.

--Nino.cerovec 16:18, 10. studenog 2015. (CET)

DD-WRT - Zasebna virtualna mreža

DD-WRT nam omogućava stvaranje posebnih izdvojenih mreža. Tako možemo stvoriti virtualni WLAN koji će imati pristup internetu i biti potpuno izdvojen od lokalne mreže glavnog WLAN-a. Upute za postavljanje zasebne virtualne mreže dostupne su na stranici: http://www.dd-wrt.com/wiki/index.php/Multiple_WLANs. Jednostavniji način od postavljanja bridge-a za novi virtualni WLAN, je postavljanje „unbridged“ opcije za novi virtualni WLAN. Zatim postavimo mrežne postavake (IP address i Subnet mask) za ovaj interface i nakon toga samo trebamo dodati novi DHCP server (jednako kao i kod „bridge“ načina). Postavke zasebne virtualne WLAN mreže prikazane su na slici 10. [Virtaul WLAN].

Osim toga za novu mrežu možemo postaviti prioritet, kako bi glavnoj mreži dopustili prioritetniji promet od virtualne mreže. Postavke Quality Of Service prikazane su na slici 11. [QoS].

Kako bi u potpunosti razdvojili pristupanje iz virtualne WLAN mreže u glavnu WLAN+LAN mrežu, možemo postaviti firewall pravila. Trebamo zabraniti pristup iz virtualne mreže u glavnu lokalnu mrežu i pristup router-u. Ispis firewall pravila možemo vidjeti na slici 12. [Firewall rules].

Također možemo postaviti HotSpot na novu virtualnu WLAN mrežu, kako bi ograničili i kontrolirali pristup internetu. Postoje razne opcije hotspot-a, a upute za postavljanje mogu se pronaći na službenim stranicama DD-WRT-a. Hotspot opcije možemo vidjeti na slici 13. [Hotspots].

Ako želimo omogućiti pristup vlastitoj lokalnoj mreži preko interneta, možemo uključiti opciju DynamicDNS i postaviti servis za pristupanje sa interneta. Postoje razni DDNS servisi koji pružaju uslugu za pristupanje lokalnoj mreži preko njihovog online servera koji bilježi promjene o IP adresi na kojoj se nalazi naš lokalni router i mreža. Registracijom na neki od tih servisa možemo postaviti DDNS na vlastitom router-u.

--Nino.cerovec 15:57, 16. siječnja 2016. (CET)

Literatura

http://www.dd-wrt.com/site/support/router-database

http://www.dd-wrt.com/wiki/index.php/Installation

http://www.dd-wrt.com/wiki/index.php/Iptables_command

http://www.dd-wrt.com/wiki/index.php/Firewall_Builder

http://www.dd-wrt.com/wiki/index.php/Startup_Scripts

http://www.dd-wrt.com/wiki/index.php/Useful_Scripts

http://www.dd-wrt.com/wiki/index.php/Multiple_WLANs

--Nino.cerovec 09:38, 18. siječnja 2016. (CET)