random_file = ${raddbdir}/certs/random

        }

        peap {

            default_eap_type = mschapv2

        }

        mschapv2 {

        }

    }

В файле /etc/raddb/users определим имена и пароли для доступа к беспроводной сети:

user1 User-Password == "password1"

user2 User-Password == "password2"

user3 User-Password == "password3"

Настроим автоматический запуск Freeradius при старте системы:

# rc-update add radiusd default

Если все было сделано правильно, то после перезагрузки компьютера (или просто запуска соответствующих служб) беспроводные клиенты увидят следующее (см. рис. 6). Беспроводная сеть с поддержкой WPA, при подключении к которой необходимо указать пароль.

Рисунок 6. WPA-сеть

Если же по каким-либо причинам увидеть сеть не удалось, можно воспользоваться режимами отладки:

# hostapd –Kdddd

# radiusd –X

Enterprise-режим

Немного изменив настройки модуля EAP Freeradius, можно настроить работу в режиме EAP-TLS. Так, чтобы настроить работу анологично описанному в [5], необходимо всего лишь поменять тип пакетов eap в файле eap.conf:

default_eap_type = tls

и скопировать клиентский сертификат на компьютер пользователя.

Обнаружение вторжений

С использованием программной точки доступа можно просто и быстро организовать простейшую систему обнаружения вторжений. В простейшем случае можно воспользоваться пакетом arpwatch. С его помощью точка доступа будет отслеживать arp-запросы в сети и при появлении новых MAC-адресов отсылать уведомления на e-mail администратора.

Для более «тонкой» защиты можно использовать связку Kismet+Snort. С помощью первого можно отслеживать атаки на уровне пакетов 802.11, а средствами второго организовать защиту на сетевом уровне и уровне приложений.

Заключение

На этом базовую настройку нашей точки доступа можно считать законченной, однако это совсем не значит, что ничего больше сделать нельзя.

Дальнейшая функциональность точки может быть расширена в 2 основных направлениях: