PDF de programación - Configurando un punto de acceso freebsd para tu red wireless

CONFIGURANDO UN PUNTO DE
ACCESO FREEBSD PARA TU RED

WIRELESS


Por Michael S. DeGraw-Bertsch
y traducción por Alberto Fernández Sanchez (LievenX)


A

i
r
o
n
e
t

Yagi Antenna-1

BSD AP Wireless



1




INTRODUCCIÓN



Un punto de acceso es (semejante a un teléfono celular), tiene un enlace desde la LAN
wíreless a la red cableada y la salida a Internet . Hay bastantes puntos de accesos
disponibles en el mercado, integrados con las funciones de cable-modem o router DSL
firewall. Estas soluciones especiales son convenientes , pero se hacen a veces un tanto
rígidos en cuanto a nuestros propósitos y algo inseguros.

La mayoría de los puntos de acceso comerciales (Access Points) están sujetos a las
limitaciones propias del protocolo WEB . (Para mas información buscar por el
documento de Ido Dubrawsky “Wíreless (In)Security”.

Este artículo describe como configurar un PC corriendo con FreeBSD para servir como
punto de acceso (AP) aplicado a un escenario de una red inalámbrica. Este punto de
acceso FreeBSD no necesita que sea un servidor o un PC moderno. En base a esto, hay
gente que recomienda el aprovechar las viejas “máquinas” tipo 386 o 486 para
desempeñar esta tarea, los procesadores altos la verdad es que sobran en esta
implementación.


Encontrando el Hardware

Una vez que consigas tu viejo portátil ( futuro access point ), necesitaras tarjetas
wíreless 802.11b . Algunas compañías trabajan con este tipo de Standard , como
Orinoco (a.k.a, WaveLAN,Lucent, o Agüere), Cisco, o LinkSys. Las Orinoco siempre
son las mas popularmente aceptadas debido a su conector para una posible conexión a
una antena externa, (aunque el conector del pigtail es propietario…). La potencia de la
tarjeta suele ser de 30 mW de salida que será suficiente ya que le conectaremos una
tarjeta externa. Las tarjetas Cisco Aironet 350 tiene una potencia de salida en EEUU de
100 mW (autolimitadas a 30 mW por favor si conseguís que trabajen a 100 mW
hacermelo saber [email protected]) claro está que el precio de estas tarjetas Cisco son
bastante mas elevado. Todos los casos prácticos de este manual están basados en tarjetas
wíreless Orinoco, pero pueden ser exportadas las ideas a otro tipo de tarjetas


.



2

Una nota desafortunada referente a las tarjetas Orinoco:


Las tarjetas antiguas llamadas WaveLAN en vez de Orinoco , necesitarán una
actualización de BIOS antes para que trabajen debidamente bajo FreeBSD. La
actualización está gratis disponible en la página web de Orinoco
(http://www.wavelan.com). El problema es que la utilidad de actualización solo
funciona bajo Microsoft Windows. La solución sería saltar a Windows y con un
adaptador PCMCIA actualizar la tarjeta.



Se puede considerar la posibilidad de obtener una antena externa o dos . Así si la zona
donde esté ubicado tu FreeBSD tiene poca cobertura podremos desplazar la antena
externa en zonas mas ricas en cobertura.

Las antenas externas también serán usadas para el control de la radiación y aprovecharlo
al máximo. El rango de radiacción de una antena PCMCIA y mayoritariamente vertical,
el cual limita algo el alcance de la radiación. En cambio las antenas externas proveerá
mayor cobertura (ya que la radiaccion es mayoritariamente horizontal) se podrá
concentrar el rango de radiación para proveer mayor ganancia de señal.

En lo referente a la seguridad, las tarjetas wireless pueden trabajar con encriptación de
128 bits WEP o con 40 bits WEP. WEP es ( Wired Equivalency Protocol). Esta
seguridad es deficitaria y realmente no trabaja en una encriptación fiable (tal como
discutiremos al final del artículo). La compra de una tarjeta con 128 bits de WEP
realmente no merece la pena por la gran diferencia en cuanto a la relación servicios
prestados-precio. El consejo es que se compren tarjetas de 40-bits de WEP y que os
ahorreis el dinero.

Finalmente, si tu punto de acceso es una máquina de sobremesa, necesitaras también los
correspondientes adaptadores PCI o ISA a PCMCIA , ya que las tarjetas wíreles solo
son vencidas como PCMCIA . Ambos adaptadores trabajan con FreeBSD , a través de
PCI Orinoco y requieren a versión de FreeBSD más reciente ( por lo menos 4.4-
RELEASE). Mira la sección de loader.conf para las opciones que necesitaras si estas
usando adaptadores PCI. .

CONFIGURANDO EL FREEBSD

Una vez se haya reunido todo el material necesario (antenas,adaptadores,tarjetas,equipo)
puedes configurar el FreeBSD. Con algunos cambios en el kernel, un script de
configuración adaptado a nuestras prentensiones, y unos a cuantos minutos de
paciencia, entonces ya estaremos listos. Las siguientes secciones te guiarán a través de
los cambios que se necesitarán hacer a nivel de configuración.



3

EL KERNEL

El primer paso es configurar el kernel . Si tu has hecho esto anteriormente , estupendo,
solo pasa a la siguiente sección para las opciones que necesitas añadir . Si crees que no
lo tienes el kernel adaptado y no sabes como no te preocupes dirígete al episodio 9 de el
HandBook de FreeBSD
(http://www.freebsd.org/doc/en_US.ISO88591/books/handbook/kernelconfig.html).
Una pequeña guía que te servirá para empezar.

Para empezar, necesitarás las fuentes del kernel en tu mákina. Si no existe el directorio
/usr/src/sys/ en tu sistema, necesitaras instalar las fuentes. La manera más facil de
hacerlo es arrancar /stand/sysinstall como root, elegir “Configure”, después
“Distributions”, luego “src” , y finalmente “sys”.


1.- CONFIGURE
2.- DISTRIBUTIONS
3.- SRC
4.- SYS


Aceptamos después y las fuentes del kernel estarán en tu máquina.
Con las fuentes instaladas, cambia de directorio a /usr&src/sys/i386/conf. Copia
GENERIC a un nuevo archivo, como por ejemplo MYKERNEL.

Edita el archivo, añade las opciones de la siguiente seccion y cuando termines graba el
archivo y pon:

config MYKERNEL
cd ../ ../compile/MYKERNEL
make depend && make && make install

Reinicia el sistema , y cuando rearranques de Nuevo estaremos usando el Nuevo kernel
adaptado a nuestras pretensions. ( Si observamos cualquier problema o incluso no
arranca , cuando salga la linea de comandos en el arranque, presiona cualquier tecla, y
teclea “boot kernel.old [enter] así lo que conseguiremos es usar el kernel viejo. Si esto
pasa por favor vuelve al capitulo 9 de el HandBook mencionado anteriormente.)

LAS OPCIONES DEL KERNEL

Si estas usando el kernel genérico (GENERIC KERNEL), solo hay unas pocas opciones
que deberías activar; todo lo demás está activado por defecto con lo cual no hará falta
modificarlo.
Si tienes ya en el momento de ponernos manos a la obra un kernel personalizado,
verifica que tu tienes activadas las líneas apropiadas.



4

Primero, debes añadir el soporte para tarjetas wireless . Si lo tienes quitado, añade el
dispositivo <wi|an|awi>, donde WI es para tarjetas Orinoco, AN es para tarjetas
Airones, y AWI es para tarjetas PRISM.

Segundo, si es necesario, añade el soporte para PCMCIA con las siguientes tres
lineas:
device card
devide pcic0 at isa? Irq 0 port 0x3e0 iomem 0xd0000
device pcic1 at isa? Irq 0 port 0x3e2 iomem 0xd4000 disable

Además de lo expuesto deberíamos añadir el soporte para filtros IP y para desvio de IP,
con las siguientes opciones:


1.- filtros IP -> con la opcion IPFILTER
2.- desvio de IP -> con la opcion IPDIVERT.
3.- demas opciones -> device bpf , y opcionalmente, options IPFILTER_LOG.


Mientras lo estas activando podríamos aprovechar y activar las opciones relativas a
IPsec , para configurar la seguridad en nuestro sistema: options IPSEC, options
IPSEC_ESP, y options IPSEC_DEBUG. Estas utilidades serán discutidas en breve en
el apartado de Seguridad en Redes Wireless. Con los dispositivos apropiados y las
opciones en su sitio, compila e instala tu kernel.



LOADER.CONF



Si estas usando un adaptador PCI y tienes algún problema (como por ejemplo a la hora
de arrancar y no reconoce tu tarjeta wireless, o la tarjeta directamente no trabaja) ,
prueba añadiendo las siguientes líneas a /boot/loader.conf:



hw.pcic.intr_path=”1”
hw.pcic.irq=”0”

Tal vez necesites decir a tu BIOS que no esta corriendo un Sistema Operativo PnP
(plug & play), y permitir las interrupciones ISA en el parámetro IRQ que estes usando.
(El tema de IRQs será tratado también en la sección de pccard.conf.) Si estás usando un
equipamiento viejo WaveLAN , tendrás que añadir hw.pic.ignore_function_1=”1” al
fichero /boot/loador.conf . Es la solución más fácil, de todas formas, para usarlos
juntos en un portátil o en un adaptador ISA.



5

RC.CONF

Tu fichero de configuración /etc/rc.conf necesita 3 cambios. Primero, añade la linea
pccard_enable=”YES” para habilitar el demonio de PCMCIA . Si estás usando un
portátil, esta opció debería estar activada pero nunca esta de más que te lo repases una
segunda vez. Segundo , poner el gateway_enable=”YES” para permitir tu servidor para
pasar el trafico gíreles al resto de la red. Tercero y último , para NAT (Network Address
Translation ) o lo que es lo mismo traducción de direcciones de red , añade la linea
ipnat_enable=”YES”. NAT sera explicada en la siguiente sección.


TRADUCCIÓN DE DIRECCIONES DE
RED (NAT)

NAT es un de los grandes “diablillos “ de Internet hoy en día. Previene las conexiones
end-to-end . Desafortunadamente, IPV6 no tiene un uso extenso, y almenos que tu
quieras invertir un buen rato configurando la red con IPV6 , recurriremos a NAT. ( Si
quieres gastar tiempo configurando IPV6, revisa la pagina http://www.6bone.net y, si tu
tienes una ip dinámica, mira esta otra: http://www.freenet6.net.) El NAT en FreeBSD
usa el codigo de filtro de IP del kernel y es muy simple de ponerlo.

En la sección anterior habilitamos NAT en el arranque , pero no lo configuramos. Lo
siguiente es un ejemplo /etc/ipnat.conf, el cual e