Date: Fri, 15 Aug 2008 06:51:32 GMT From: Remko Lodder <remko@FreeBSD.org> To: Perforce Change Reviews <perforce@freebsd.org> Subject: PERFORCE change 147424 for review Message-ID: <200808150651.m7F6pWbd030896@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=147424 Change 147424 by remko@remko_nakur on 2008/08/15 06:51:10 Import Rene's latest work. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml#6 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml#6 (text+ko) ==== @@ -159,7 +159,7 @@ <indexterm><primary>teruglusapparaat</primary></indexterm> - <para>Het interface (kolom <literal>Netif</literal>) dat deze + <para>De interface (kolom <literal>Netif</literal>) dat deze routeertabel aangeeft om voor <literal>localhost</literal> te gebruiken is <devicename>lo0</devicename>, ook bekend als het teruglusapparaat. Dit geeft aan dat alle verkeer voor deze @@ -178,7 +178,7 @@ adressen, ook bekend als MAC-adressen. &os; zal automatisch elke host (<hostid>test0</hostid> in het voorbeeld) op het lokale Ethernet identificeren en een route voor die host - toevoegen, direct van deze host over het Ethernet-interface, + toevoegen, direct van deze host over de Ethernet-interface, <devicename>ed0</devicename>. Er is ook een timeout (kolom <literal>Expire</literal>) met deze routesoort geassocieerd, die gebruikt wordt indien er binnen een bepaalde tijd geen @@ -209,14 +209,14 @@ <para>De regel met <literal>host1</literal> verwijst naar deze host, het kent deze door het Ethernetadres. Aangezien het de - zendende host is, weet &os; dat het het teruglus-interface ( + zendende host is, weet &os; dat het de teruglus-interface ( <devicename>lo0</devicename>) moet gebruiken, in plaats van het - over het Ethernet-interface te verzenden.</para> + over de Ethernet-interface te verzenden.</para> <para>De twee regels met <literal>host2</literal> geven een voorbeeld van wat er gebeurt als een alias met &man.ifconfig.8; gebruikt wordt (in de sectie over Ethernet staan redenen waarom - dit gedaan wordt). Het symbool <literal>=></literal> na het + dit gedaan wordt). Het symbool <literal>=></literal> na de interface <devicename>lo0</devicename> zegt dat niet alleen de teruglus gebruikt wordt (aangezien dit adres ook verwijst naar de lokale host), maar specifiek dat dit een alias is. Zulke @@ -296,7 +296,7 @@ moet maken, controleert het de routeertabel op reeds bekende paden. Indien de verre host binnen een subnet valt waarvan bekend is hoe het bereikt kan worden (gekloonde routes), - controleert het systeem of het met het daarbij behorende + controleert het systeem of het met de daarbij behorende interface verbinding kan maken.</para> <para>Indien alle bekende paden falen, heeft het systeem @@ -333,7 +333,7 @@ <hostid>Lokaal2</hostid> staan op deze site. <hostid>Lokaal1</hostid> is verbonden met een internetprovider via een inbel-PPP-verbinding. Deze PPP-server is door een LAN - verbonden met een andere gateway-computer door een extern + verbonden met een andere gateway-computer door een externe interface naar de Internet-feed van de internetprovider.</para> <para>De standaardroutes voor de machines zijn:</para> @@ -369,7 +369,7 @@ is voor <hostid>Lokaal1</hostid>, in plaats van de server van de internetprovider waarmee het verbonden is?</quote>.</para> - <para>Onthoud dat, aangezien het PPP-interface een adres gebruikt + <para>Onthoud dat, aangezien de PPP-interface een adres gebruikt op het lokale netwerk van de internetprovider voor deze kant van de verbinding, routes voor alle andere machines op het lokale netwerk van de internetprovider automatisch aangemaakt worden. @@ -467,7 +467,7 @@ <indexterm><primary>router</primary></indexterm> <para>Een netwerkrouter is simpelweg een systeem dat pakketten van - het ene naar het andere interface doorstuurt. + de ene naar de andere interface doorstuurt. Internetstandaarden en goede ontwerppraktijken verhinderen het &os; Project dit standaard in &os; aan te zetten. Deze mogelijkheid kan worden aangezet door de volgende variabele in @@ -998,9 +998,9 @@ freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 EPS WPA</screen> <note> - <para>Het interface dient als up te worden gemarkeerd + <para>De interface dient als up te worden gemarkeerd voordat het scannen begint. Voor verdere scans is het - niet nodig om het inferface als up te markeren.</para> + niet nodig om de interface als up te markeren.</para> </note> <para>De uitvoer van een scanverzoek vermeld elk gevonden @@ -1040,7 +1040,7 @@ <para>Privacy. Vertrouwelijkheid is vereist voor alle gegevensframes die binnen het BSS worden uitgewisseld. Dit betekent dat dit BSS eist dat het station - cryptografsiche middelen als WEP, TKIP of AES-CCMP + cryptografische middelen als WEP, TKIP of AES-CCMP dient te gebruiken om de gegevensframes die met anderen worden uitgewisseld te versleutelen en te ontsleutelen.</para> @@ -1205,7 +1205,8 @@ te bereiken, dient <filename>/etc/rc.conf</filename> bewerkt te worden en <literal>DHCP</literal> aan de instellingen voor het apparaat toegevoegd te worden zoals - in de verschillende bovenstaande voorbeelden is laten zien :</para> + in de verschillende bovenstaande voorbeelden is laten zien + :</para> <programlisting>ifconfig_ath0="DHCP"</programlisting> @@ -1214,9 +1215,9 @@ <screen>&prompt.root; <userinput>/etc/rc.d/netif start</userinput></screen> - <para>Wanneer het interface draait, kan + <para>Wanneer de interface draait, kan <command>ifconfig</command> gebruikt worden om de status - van het interface <devicename>ath0</devicename> te zien: + van de interface <devicename>ath0</devicename> te zien: </para> <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> @@ -1256,67 +1257,201 @@ <sect4 id="network-wireless-wpa"> <title>WPA</title> - <para></para> + <para>WPA (Wi-Fi Protected Access) is een beveiligingsprotocol + dat samen met 802.11-netwerken wordt gebruikt om het gebrek + aan degelijke authenticatie en de zwakte van <link + linkend="network-wireless-wep">WEP</link> te benadrukken. + WPA verbetert het 802.1X-authenticatieprotocol en gebruikt + een sleutel gekozen uit meerdere in plaats van WEP voor + gegevensintegriteit. De enige sleutel welke WPA vereist is + TKIP (Temporary Key Integrity Protocol), een sleutel dat de + basis-RC4-sleutel welke door WEP wordt gebruikt uitbreidt + door integriteitscontroles, knoeidetectie, en maatregelen om + op elke gedectecteerde inbraak te reageren toe te voegen. + TKIP is ontworpen om op verouderde hardware met enkel + wijzigingen in software te draaien; het representeert een + compromis dat de veiligheid verbetert maar nog steeds niet + geheel immuun is tegen aanvallen. WPA specificeert ook de + sleutel AES-CCMP als een alternatief voor TKIP welke te + verkiezen is indien mogelijk; voor deze specificatie wordt + gewoonlijk de term WPA2 (of RSN) gebruikt.</para> - <para></para> + <para>WPA definieert protocollen voor authenticatie en + versleuteling. Authenticatie gebeurt het meeste door + één van deze twee technieken te gebruiken: + door 802.1X en een achterliggende authenticatiedienst zoals + RADIUS, of door een minimale overeenkomst tussen het station + en het toegangspunt door een van te voren gedeeld geheim te + gebruiken. Het eerste wordt vaak WPA Enterprise genoemd en + het laatste staat bekend als WPA Personal. Aangezien de + meeste mensen geen achterliggende RADIUS-server voor een + draadloos netwerk zullen opzetten, is WPA-PSK veruit de + meest gebruikte configuratie voor WPA.</para> - <para></para> + <para>Het beheer van de draadloze verbinding en de + authenticatie (sleutelonderhandeling of authenticatie met + een server) gebeurt met het gereedschap + &man.wpa.supplicant.8;. Dit programma vereist dat er een + instellingenbestand, + <filename>/etc/wpa_supplicant.conf</filename>, draait. + Meer informatie over dit bestand kan in de hulppagina + &man.wpa.supplicant.conf.5; worden gevonden.</para> <sect5 id="network-wireless-wpa-wpa-psk"> <title>WPA-PSK</title> - <para></para> + <para>WPA-PSK, ook bekend als WPA-Personal, is gebaseerd op + een vooraf gedeelde sleutel (PSK) gegenereerd vanuit een + gegeven wachtwoord die gebruikt zal worden als de + hoofdsleutel in het draadloze netwerk. Dit betekent dat + alle draadloze gebruikers dezelfde sleutel zullen delen. + WPA-PSK is bedoeld voor kleine netwerken waar het gebruik + van een authenticatieserver niet mogelijk of gewenst is. + </para> <warning> - <para></para> + <para>Gebruik altijd sterke wachtwoorden welke voldoende + lang zijn en opgebouwd zijn uit een grote + tekenverzameling zodat ze niet gemakkelijk worden + geraden of aangevallen.</para> </warning> - <para></para> + <para>De eerste stap is het instellen van het bestand + <filename>/etc/wpa_supplicant.conf</filename> met het SSID + en de vooraf gedeelde sleutel van het netwerk:</para> <programlisting>network={ ssid="freebsdap" psk="freebsdmall" }</programlisting> - <para></para> + <para>Daarna zal in <filename>/etc/rc.conf</filename> worden + aangegeven dat de draadloze configuratie met WPA zal + gebeuren en dat het IP-adres met DHCP zal worden verkregen + :</para> <programlisting>ifconfig_ath0="WPA DHCP"</programlisting> - <para></para> + <para>Hierna kan de interface geactiveerd worden:</para> - <screen></screen> + <screen>&prompt.root; <userinput><filename>/etc/rc.d/netif</filename> start</userinput> +Starting wpa_supplicant. +DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 5 +DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 6 +DHCPOFFER from 192.168.0.1 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.1 +bound to 192.168.0.254 -- renewal in 300 seconds. +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 + protmode CTS roaming MANUAL bintval 100</screen> - <para></para> + <para>Ook kan gepoogd worden dit handmatig in te stellen + door hetzelfde + <filename>/etc/wpa_supplicant.conf</filename> als <link + linkend="network-wireless-wpa-wpa-psk">hierboven</link> + te gebruiken, en dit te draaien:</para> - <screen></screen> + <screen>&prompt.root; <userinput>wpa_supplicant -i <replaceable>ath0</replaceable> -c /etc/wpa_supplicant.conf</userinput> +Trying to associate with 00:11:95:c3:0d:ac (SSID='freebsdap' freq=2412 MHz) +Associated with 00:11:95:c3:0d:ac +WPA: Key negotiation completed with 00:11:95:c3:0d:ac [PTK=TKIP GTK=TKIP]</screen> - <para></para> + <para>De volgende stap is het lanceren van het commando + <command>dhclient</command> om een IP-adres van de + DHCP-server te krijgen:</para> - <screen></screen> + <screen>&prompt.root; <userinput>dhclient <replaceable>ath0</replaceable></userinput> +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.1 +bound to 192.168.0.254 -- renewal in 300 seconds. +&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/48Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 + protmode CTS roaming MANUAL bintval 100</screen> <note> - <para></para> + <para>Indien <filename>/etc/rc.conf</filename> is + ingesteld met de regel + <literal>ifconfig_ath0="DHCP"</literal> is het niet + nodig om het commando <command>dhclient</command> + handmatig te draaien, <command>dhclient</command> zal + dan gedraaid worden nadat + <command>wpa_supplicant</command> de sleutels heeft + onderzocht.</para> </note> - <para></para> + <para>In het geval dat het niet mogelijk is om DHCP te + gebruiken, kan een statisch IP-adres worden ingesteld + nadat <command>wpa_supplicant</command> het station heeft + geauthenticeerd:</para> - <screen></screen> + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> inet <replaceable>192.168.0.100</replaceable> netmask <replaceable>255.255.255.0</replaceable></userinput> +&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 + protmode CTS roaming MANUAL bintval 100</screen> - <para></para> + <para>Indien DHCP niet wordt gebruikt, dienen ook de + standaard gateway en de naamserver handmatig ingesteld te + worden:</para> - <screen></screen> + <screen>&prompt.root; <userinput>route add default <replaceable>uw_standaard_router</replaceable></userinput> +&prompt.root; <userinput>echo "nameserver <replaceable>uw_DNS_server</replaceable>" >> /etc/resolv.conf</userinput></screen> </sect5> <sect5 id="network-wireless-wpa-eap-tls"> <title>WPA met EAP-TLS</title> - <para></para> + <para>De tweede manier om WPA te gebruiken is met een + achterliggende 802.1X-authenticatieserver, in dit geval + wordt WPA WPA-Enterprise genoemd om het verschil met het + minder veilige WPA-Personal met de vooraf gedeelde sleutel + aan te duiden. De authenticatie in WPA-Enterprise is + gebaseerd op EAP (Uitbreidbaar Authenticatie-Protocol). + </para> - <para></para> + <para>EAP wordt niet met een encryptiemethode geleverd, het + was besloten om EAP in een versleutelde tunnel te + omsluiten. Er zijn vele soorten van + EAP-authenticatiemethodes ontworpen, de meest voorkomende + methodes zijn EAP-TLS, EAP-TTLS, en EAP-PEAP.</para> - <para></para> + <para>EAP-TLS (EAP met TransportLaagBeveiliging) is een zeer + goed ondersteund authenticatieprotocol in de draadloze + wereld aangezien het de eerste EAP-methode was die + gecertificeerd werd door de <ulink + url="http://www.wi-fi.org">Wi-Fi alliantie</ulink>. + EAP-TLS vereist dat er drie certificaten draaien: het + CA-certificaat (geïnstalleerd op alle machines), het + servercertificaat voor de authenticatieserver, en een + clientcertificaat voor elke draadloze client. Bij deze + EAP-methode authenticeren zowel de authenticatieserver als + de draadloze client elkaar door hun respectievelijke + certificaten te laten zien, en ze controleren dat deze + certificaten zijn getekend door de certificatenauthoriteit + (CA) van de organisatie.</para> - <para></para> + <para>Zoals voorheen gebeurt het instellen via + <filename>/etc/wpa_supplicant.conf</filename>:</para> <programlisting>network={ ssid="freebsdap" <co id="co-tls-ssid"> @@ -1332,59 +1467,104 @@ <calloutlist> <callout arearefs="co-tls-ssid"> - <para></para> + <para>Dit veld geeft de naam van het netwerk (SSID) aan. + </para> </callout> <callout arearefs="co-tls-proto"> - <para></para> + <para>Hier wordt het RSN (IEEE 802.11i) protocol + gebruikt, ofwel WPA2.</para> </callout> <callout arearefs="co-tls-kmgmt"> - <para></para> + <para>De regel <literal>key_mgmt</literal> verwijst naar + het gebruikte sleutelbeheerprotocol. In dit geval is + het WPA dat EAP-authenticatie gebruikt: + <literal>WPA-EAP</literal>.</para> </callout> <callout arearefs="co-tls-eap"> - <para></para> + <para>In dit veld wordt de EAP-methode voor de + verbinding genoemd.</para> </callout> <callout arearefs="co-tls-id"> - <para></para> + <para>Het veld <literal>identity</literal> bevat de + identiteitsstring voor EAP.</para> </callout> <callout arearefs="co-tls-cacert"> - <para></para> + <para>Het veld <literal>ca_cert</literal> geeft de + padnaam van het CA-certificaatbestand aan. Dit + bestand is nodig om het servercertificaat te + controleren.</para> </callout> <callout arearefs="co-tls-clientcert"> - <para></para> + <para>De regel <literal>client_cert</literal> geeft de + padnaam van het clientcertificaatbestand aan. Dit + certificaat is uniek voor elke draadloze client van + het netwerk.</para> </callout> <callout arearefs="co-tls-pkey"> - <para></para> + <para>Het veld <literal>private_key</literal> is de + padnaam naar het bestand dat de privésleutel + van het clientcertificaat bevat.</para> </callout> <callout arearefs="co-tls-pwd"> - <para></para> + <para>Het veld <literal>private_key_passwd</literal> + bevat het wachtwoord voor de privésleutel. + </para> </callout> </calloutlist> - <para></para> + <para>Voeg vervolgens de volgende regel toe aan + <filename>/etc/rc.conf</filename>:</para> <programlisting>ifconfig_ath0="WPA DHCP"</programlisting> - <para></para> + <para>De volgende stap is het activeren van de interface met + behulp van de faciliteit <filename>rc.c</filename>:</para> - <screen></screen> + <screen>&prompt.root; <userinput>/etc/rc.d/netif start</userinput> +Starting wpa_supplicant. +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.20 +bound to 192.168.0.254 -- renewal in 300 seconds. +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit + txpowmax 36 protmode CTS roaming MANUAL bintval 100</screen> - <para></para> + <para>Zoals eerder is laten zien, is het ook mogelijk om de + interface handmatig te activeren met zowel de commando's + <command>wpa_supplicant</command> en + <command>ifconfig</command>.</para> </sect5> <sect5 id="network-wireless-wpa-eap-ttls"> <title>WPA met EAP-TTLS</title> - <para></para> + <para>Bij EAP-TLS hebben zowel de authenticatieserver als de + client een certificaat nodig, met EAP-TTLS (EAP-Getunnelde + TransportLaagBeveiliging) is een clientcertificaat + optioneel. Deze methode komt in de buurt van wat sommige + beveiligde websites doen, waar de webserver een veilige + SSL-tunnel kan aanmaken zelfs als de bezoekers geen + client-side certificaten hebben. EAP-TTLS zal de + versleutelde TLS-tunnel gebruiken voor het veilig + transporteren van de authenticatiegegevens.</para> - <para></para> + <para>De instellingen worden gedaan via het bestand + <filename>/etc/wpa_supplicant.conf</filename>:</para> <programlisting>network={ ssid="freebsdap" @@ -1399,43 +1579,90 @@ <calloutlist> <callout arearefs="co-ttls-eap"> - <para></para> + <para>Dit veld noemt de EAP-methode voor de verbinding. + </para> </callout> <callout arearefs="co-ttls-id"> - <para></para> + <para>Het veld <literal>identity</literal> bevat de + identiteitsstring voor EAP-authenticatie binnen de + versleutelde TLS-tunnel.</para> </callout> <callout arearefs="co-ttls-passwd"> - <para></para> + <para>Het veld <literal>password</literal> bevat het + wachtwoord voor de EAP-authenticatie.</para> </callout> <callout arearefs="co-ttls-cacert"> - <para></para> + <para>Het veld <literal>ca_cert</literal> wijst naar de + padnaam van het CA-certificaatbestand. Dit bestand is + nodig om het servercertificaat te controleren.</para> </callout> <callout arearefs="co-ttls-pha2"> - <para></para> + <para>Dit veld noemt de gebruikte authenticatiemethode + in de versleutelde TLS-tunnel. In dit geval is EAP + met MD5-Challenge gebruikt. De <quote>binnenste + authenticatie</quote>-fase wordt vaak + <quote>phase2</quote> genoemd.</para> </callout> </calloutlist> - <para></para> + <para>Ook dient de volgende regel toegevoegd te worden aan + <filename>/etc/rc.conf</filename>:</para> <programlisting>ifconfig_ath0="WPA DHCP"</programlisting> - <para></para> + <para>De volgende stap is het activeren van de interface:</para> - <screen></screen> + <screen>&prompt.root; <userinput>/etc/rc.d/netif start</userinput> +Starting wpa_supplicant. +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.20 +bound to 192.168.0.254 -- renewal in 300 seconds. +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit + txpowmax 36 protmode CTS roaming MANUAL bintval 100</screen> </sect5> <sect5 id="network-wireless-wpa-eap-peap"> <title>WPA met EAP-PEAP</title> - <para></para> + <para>PEAP (Beveiligd EAP) is ontworpen als een alternatief + voor EAP-TTLS. Er zijn twee soorten PEAP-methodes, de + meest voorkomende is PEAPv0/EAP-MSCHAPv2. In de rest van + dit document wordt de term PEAP gebruikt om te verwijzen + naar die EAP-methode. PEAP is de meest gebruikte + EAP-standaard na EAP-TLS, in andere woorden, indien er een + netwerk met verschillende besturingssystemen is, zou PEAP + de best ondersteunde standaard na EAP-TLS moeten zijn. + </para> - <para></para> + <para>PEAP is soortgelijk aan EAP-TTLS: het gebruikt een + server-side certificaat om de clients te authenticeren + door een beveiligde TLS-tunnel tussen de client en de + authenticatieserver aan te maken, welke de uitwisseling + van de authenticatie-informatie beschermt. Vanuit een + beveiligingsoogpunt gezien is het verschil tussen EAP-TTLS + en PEAP dat PEAP-authenticatie de gebruikersnaam + onversleuteld uitzendt, alleen het wachtwoord wordt in de + beveiligde TLS-tunnel verzonden. EAP-TTLS gebruikt de + TLS-tunnel voor zowel de gebruikersnaam als het wachtwoord + .</para> - <para></para> + <para>Het bestand + <filename>/etc/wpa_supplicant.conf</filename> dient + gewijzigd te worden om de EAP-PEAP-gerelateerde + instellingen toe te voegen:</para> <programlisting>network={ ssid="freebsdap" @@ -1451,46 +1678,566 @@ <calloutlist> <callout arearefs="co-peap-eap"> - <para></para> + <para>Dit veld noemt de EAP-methode voor de verbinding. + </para> </callout> <callout arearefs="co-peap-id"> - <para></para> + <para>Het veld <literal>identity</literal> bevat de + identiteitsstring voor EAP-authenticatie binnen de + versleutelde TLS-tunnel.</para> </callout> <callout arearefs="co-peap-passwd"> - <para></para> + <para>Het veld <literal>password</literal> bevat het + wachtwoord voor de EAP-authenticatie.</para> </callout> <callout arearefs="co-peap-cacert"> - <para></para> + <para>Het veld <literal>ca_cert</literal> wijst naar de + padnaam van het CA-certificaatbestand. Dit bestand is + nodig om het servercertificaat te controleren.</para> </callout> <callout arearefs="co-peap-pha1"> - <para></para> + <para>Dit veld bevat de parameters voor de eeerste fase + van de authenticatie (de TLS-tunnel). Afhankelijk van + de gebruikte authenticatieserver moet er een specifiek + label voor de authenticatie worden opgegeven. In de + meeste gevallen zal het label <quote>client EAP + encryption</quote> zijn welke ingesteld is door + <literal>peaplabel=0</literal> te gebruiken. Meer + informatie kan in de hulppagina + &man.wpa.supplicant.conf.5; gevonden worden.</para> </callout> <callout arearefs="co-peap-pha2"> - <para></para> + <para>Dit veld noemt het authenticatieprotocol dat in de + versleutelde TLS-tunnel gebruikt wordt. In het geval + van PEAP is dit <literal>auth=MSCHAPV2</literal>. + </para> </callout> </calloutlist> - <para></para> + <para>Het volgende dient te worden toegevoegd aan + <filename>/etc/rc.conf</filename>:</para> <programlisting>ifconfig_ath0="WPA DHCP"</programlisting> - <para></para> + <para>Hierna kan de interface worden geactiveerd:</para> - <screen></screen> + <screen>&prompt.root; <userinput>/etc/rc.d/netif start</userinput> +Starting wpa_supplicant. +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.20 +bound to 192.168.0.254 -- renewal in 300 seconds. +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit + txpowmax 36 protmode CTS roaming MANUAL bintval 100</screen> </sect5> </sect4> <sect4 id="network-wireless-wep"> <title>WEP</title> - <para></para> + <para>WEP (Bedraad Equivalent Privacy) maakt deel uit van de + oorspronkelijke 802.11 standaard. Er is geen + authenticatiemechanisme, slechts een zwakke vorm van + toegangscontrole, en het is gemakkelijk te kraken.</para> + + <para>WEP kan worden opgezet met <command>ifconfig</command>: + </para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> ssid mijn_net wepmode on weptxkey 3 wepkey 3:0x3456789012 \ + inet <replaceable>192.168.1.100</replaceable> netmask <replaceable>255.255.255.0</replaceable></userinput></screen> + + <itemizedlist> + <listitem> + <para>De <literal>weptxkey</literal> geeft aan welke + WEP-sleutel zal worden gebruikt tijdens het verzenden. + Hier wordt de derde sleutel gebruikt. Dit dient + overeen te komen met de instelling in het toegangspunt. + </para> + </listitem> + + <listitem> + <para>De <literal>wepkey</literal> stelt de geselecteerde + WEP-sleutel in. Het dient in het formaat + <replaceable>index:sleutel</replaceable> te zijn, als de + sleutel niet is gegeven, wordt sleutel + <literal>1</literal> ingesteld. Dat wil zeggen dat de + index opgegeven dient te worden indien er een andere + sleutel dan de eerste wordt gebruikt.</para> + + <note> + <para>De <literal>0x3456789012</literal> dient vervangen + te worden door de sleutel die ingesteld is voor + gebruik met het toegangspunt.</para> + </note> + </listitem> + </itemizedlist> + + <para>Het wordt aangeraden om de hulppagina &man.ifconfig.8; + te lezen voor verdere informatie.</para> + + <para>De faciliteit <command>wpa_supplicant</command> kan ook + gebruikt worden om de draadloze interface in te stellen voor + WEP. Het bovenstaande voorbeeld kan worden ingesteld door + de volgende regels toe te voegen aan + <filename>/etc/wpa_supplicant.conf</filename>:</para> + + <programlisting>network={ + ssid="mijn_net" + key_mgmt=NONE + wep_key3=3456789012 + wep_tx_keyid=3 +}</programlisting> + + <para>Daarna:</para> + + <screen>&prompt.root; <userinput>wpa_supplicant -i <replaceable>ath0</replaceable> -c /etc/wpa_supplicant.conf</userinput> +Trying to associate with 00:13:46:49:41:76 (SSID='dlinkap' freq=2437 MHz) +Associated with 00:13:46:49:41:76</screen> + </sect4> + </sect3> + </sect2> + + <sect2> + <title>Ad-hoc-modus</title> + + <para>IBSS-modus, ook ad-hoc-modus genoemd, is ontworpen voor + point-to-point-verbindingen. Om bijvoorbeeld een ad-hoc-netwerk + tussen de machine <hostid>A</hostid> en de machine + <hostid>B</hostid> op te zetten, is het slechts nodig om twee + IP-adressen en een SSID te kiezen.</para> + + <para>Op machine <hostid>A</hostid>:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> ssid <replaceable>freebsdap</replaceable> mediaopt adhoc inet <replaceable>192.168.0.1</replaceable> netmask <replaceable>255.255.255.0</replaceable></userinput> +&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> + ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 + inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4 + ether 00:11:95:c3:0d:ac + media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>) + status: associated + ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac + authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100</screen> + + <para>De parameter <literal>adhoc</literal> geeft aan dat de + interface in de IBSS-modus draait.</para> + + <para>Op <hostid>B</hostid> zal het mogelijk moeten zijn om + <hostid>A</hostid> te detecteren:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> up scan</userinput> + SSID BSSID CHAN RATE S:N INT CAPS + freebsdap 02:11:95:c3:0d:ac 2 54M 19:3 100 IS</screen> + + <para>De <literal>I</literal> in de uitvoer bevestigt dat machine + <hostid>A</hostid> in ad-hoc-modus verkeert. Het is slechts + nodig om <hostid>B</hostid> met een ander IP-adres in te stellen + :</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> ssid <replaceable>freebsdap</replaceable> mediaopt adhoc inet <replaceable>192.168.0.2</replaceable> netmask <replaceable>255.255.255.0</replaceable></userinput> +&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> + ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>) + status: associated + ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac + authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100</screen> + + <para>Zowel <hostid>A</hostid> als <hostid>B</hostid> zijn nu + klaar om informatie uit te wisselen.</para> + </sect2> + + <sect2 id="network-wireless-ap"> + <title>&os; Host Toegangspunten</title> + + <para>&os; kan als toegangspunt (AP) functioneren wat de noodzaak + om een hardwarematig AP te kopen of een ad-hoc-netwerk te + draaien wegneemt. Dit kan bijzonder nuttig zijn indien de + &os;-machine als gateway naar een ander netwerk (bijvoorbeeld + het Internet) functioneert.</para> + + <sect3 id="network-wireless-ap-basic"> + <title>Basisinstellingen</title> + + <para>Voordat de &os;-machine als een AP wordt ingesteld, dient + de kernel te worden ingesteld met de juiste ondersteuning voor + draadloos netwerken voor de draadloze kaart. Ook dient er + ondersteuning voor de te gebruiken beveiligingsprotocollen te + worden toegevoegd. Meer details staan in <xref + linkend="network-wireless-basic">.</para> + + <note> + <para>Momenteel staan de NDIS-stuurpgrogrammawrapper en de + stuurprogramma's van &windows; het werken als AP niet toe. + Alleen originele draadloze &os;-stuurprogramma's + ondersteunen AP-modus.</para> + </note> + + <para>Wanneer de ondersteuning voor draadloos netwerken is + geladen, kan gecontroleerd worden of het draadloze apparaat + de hostgebaseerde toegangspuntmodus ondersteunt (ook bekend + als hostap-modus):</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> list caps</userinput> +ath=783ed0f<WEP,TKIP,AES,AES_CCM,IBSS,HOSTAP,AHDEMO,TXPMGT,SHSLOT,SHPREABLE,MONITOR,TKIPMIC,WPA1,WPA2,BURST,WME></screen> + + <para>Deze uitvoer geeft de mogelijkheden van de kaart weer, het + woord <literal>HOSTAP</literal> bevestigt dat deze draadloze + kaart als toeganspunt kan functioneren. Ook worden + verschillende ondersteunde versleutelmethoden genoemd: WEP, + TKIP, WPA2, enz., deze informatie is belangrijk om te weten + welke beveiligingsprotocollen ingesteld kunnen worden op het + toegangspunt.</para> + + <para>Het draadloze apparaat kan nu in hostap-modus worden gezet + en ingesteld worden met de juiste SSID en IP-adres:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> ssid <replaceable>freebsdap</replaceable> mode 11g mediaopt hostap</userinput> inet <replaceable>192.168.0.1</replaceable> netmask <replaceable>255.255.255.0</replaceable></screen> + + <para>Gebruik weer <command>ifconfig</command> om de status van + de interface <devicename>ath0</devicename> te zien:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> + ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 + inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4 + ether 00:11:95:c3:0d:ac + media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap> + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode OPEN privacy OFF txpowmax 38 bmiss 7 protmode CTS burst dtimperiod 1 bintval 100</screen> + + <para>De parameter <literal>hostap</literal> geeft aan dat de + interface in hostgebaseerde toegangspuntmodus draait.</para> + + <para>Het instellen van de interface kan automatisch tijdens het + opstarten gedaan worde door de volgende regel aan + <filename>/etc/rc.conf</filename> toe te voegen:</para> + + <programlisting>ifconfig_ath0="ssid <replaceable>freebsdap</replaceable> mode 11g mediaopt hostap inet <replaceable>192.168.0.1</replaceable> netmask <replaceable>255.255.255.0</replaceable>"</programlisting> + </sect3> + + <sect3> + <title>Hostgebaseerde toegangspunt zonder authenticatie of + versleuteling</title> + + <para>Hoewel het niet aangeraden wordt om een AP zonder enige + vorm van authenticatie of encryptie te draaien, is dit een + eenvoudige manier om te controleren of het AP werkt. Deze + configuratie is ook belangrijk voor het debuggen van problemen + met clients.</para> + + <para>Nadat het AP is ingesteld als eerder is laten zien, is het + mogelijk om van een andere draadloze machine een scan te + beginnen om het AP te vinden:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> up scan</userinput> +SSID BSSID CHAN RATE S:N INT CAPS +freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 ES</screen> + + <para>De clientmachine heeft het AP gevonden en kan ermee + geassocieeerd worden:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> ssid <replaceable>freebsdap</replaceable> inet <replaceable>192.168.0.2</replaceable> netmask <replaceable>255.255.255.0</replaceable></userinput> +&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> + ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100</screen> + </sect3> + + <sect3> + <title>WPA hostgebaseerde toegangspunt</title> + + <para>Deze sectie zal zich richten op opzetten van een &os; + toegangspunt dat het beveilingsprotocol WPA gebruikt. Meer + details over WPA en het instellen van op WPA gebaseerde + draadloze clients kan gevonden worden in <xref + linkend="network-wireless-wpa">.</para> + + <para>De daemon <application>hostapd</application> wordt + gebruikt om clientauthenticatie en sleutelbeheer op het + toegangspunt met WPA af te handelen.</para> + + <para>In het volgende zullen alle instellingsbewerkingen worden + uitgevoerd op de &os;-machine die als AP dienst doet. Wanneer + het AP correct werkt, zou <application>hostapd</application> + automatisch tijdens het opstarten aangezet moeten worden met + de volgende regel in <filename>/etc/rc.conf</filename>:</para> + + <programlisting>hostapd_enable="YES"</programlisting> + + <para>Zorg ervoor dat voordat geprobeerd wordt om + <application>hostapd</application> in te stellen, de + basisinstellingen die in <xref + linkend="network-wireless-ap-basic"> zijn geïntroduceerd + zijn uitgevoerd.</para> + + <sect4> + <title>WPA-PSK</title> + + <para>WPA-PSK is bedoeld voor kleine netwerken waar het + gebruik van een achterliggende authenticatieserver niet + mogelijk of gewenst is.</para> + + <para>Het instellen wordt gedaan in het bestand + <filename>/etc/hostapd.conf</filename>:</para> + + <programlisting>interface=ath0 <co id="co-ap-wpapsk-iface"> +debug=1 <co id="co-ap-wpapsk-dbug"> +ctrl_interface=/var/run/hostapd <co id="co-ap-wpapsk-ciface"> +ctrl_interface_group=wheel <co id="co-ap-wpapsk-cifacegrp"> +ssid=freebsdap <co id="co-ap-wpapsk-ssid"> +wpa=1 <co id="co-ap-wpapsk-wpa"> +wpa_passphrase=freebsdmall <co id="co-ap-wpapsk-pass"> +wpa_key_mgmt=WPA-PSK <co id="co-ap-wpapsk-kmgmt"> +wpa_pairwise=CCMP TKIP <co id="co-ap-wpapsk-pwise"></programlisting> + + <calloutlist> + <callout arearefs="co-ap-wpapsk-iface"> + <para>Dit veld geeft aan welke draadloze inteface voor het + toegangspunt wordt gebruikt.</para> + </callout> + + <callout arearefs="co-ap-wpapsk-dbug"> + <para>Dit veld stelt het verbositeitsniveau in dat tijdens + het draaien van <application>hostapd</application> wordt + gebruikt. Een waarde van <literal>1</literal> + vertegenwoordigt het minimale niveau.</para> + </callout> + + <callout arearefs="co-ap-wpapsk-ciface"> + <para>Het veld <literal>ctrl_interface</literal> geeft de + padnaam van de door <application>hostapd</application> + gebruikte map om de domeinsocketbestanden voor + communicatie met externe programma's zoals + &man.hostapd.cli.8; in op te slaan. Hier wordt de + standaardwaarde gebruikt.</para> + </callout> + + <callout arearefs="co-ap-wpapsk-cifacegrp"> + <para>De regel <literal>ctrl_interface_group</literal> + stelt de groep in (hier is het de groep + <groupname>wheel</groupname>) die toegang heeft tot de + control interfacebestanden.</para> + </callout> + + <callout arearefs="co-ap-wpapsk-wpa"> + <para>Het veld <literal>wpa</literal> maakt WPA mogelijk + en specificeert welk WPA-authenticatieprotocol nodig zal + zijn. De waarde <literal>1</literal> stelt het AP in op + WPA-PSK.</para> + </callout> + + <callout arearefs="co-ap-wpapsk-pass"> + <para>Het veld <literal>wpa_passphrase</literal> bevat het + ASCII-wachtwoord voor de WPA-authenticatie. + + <warning> + <para>Gebruik altijd sterke wachtwoorden welke voldoende + lang zijn en opgebouwd zijn uit een grote + tekenverzameling zodat ze niet gemakkelijk worden + geraden of aangevallen.</para> + </warning> + </callout> + + <callout arearefs="co-ap-wpapsk-kmgmt"> + <para>De regel <literal>wpa_key_mgmt</literal> verwijst + naar het gebruikte sleutelbeheerprotocol. In dit geval + is dat WPA-PSK.</para> + </callout> + + <callout arearefs="co-ap-wpapsk-pwise"> + <para>Het veld <literal>wpa_pairwise</literal> geeft aan + welke versleutelingsalgoritmes door het toegangspunt + worden geaccepteerd. Hier worden zowel de versleuteling + TKIP (WPA) en CCMP (WPA2) geaccepteerd. De + versleuteling CCMP is een alternatief voor TKIP en wordt + sterk aangeraden indien mogelijk; TKIP dient alleen + gebruikt te worden voor stations die geen CCMP aankunnen + .</para> + </callout> + </calloutlist> + + <para>De volgende stap is het starten van + <application>hostapd</application>:</para> + + <screen>&prompt.root <userinput>/etc/rc.d/hostapd forcestart</userinput></screen> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> + ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 2290 + inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 + inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4 + ether 00:11:95:c3:0d:ac + media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap> + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200808150651.m7F6pWbd030896>