Одно из новшеств Windows XP - расширенная поддержка беспроводных сетей на базе стандарта 802.11b. В ходе разработки предварительных версий XP Microsoft усердно рекламировала XP как идеальную платформу для беспроводных локальных сетей (WLAN) 802.11b. Я протестировал функции WLAN окончательной версии XP Professional. Но, прежде чем поделиться результатами своих исследований, хочу немного рассказать об истории WLAN и о тех трудностях, с которыми сталкиваются организации при развертывании таких сетей.
История беспроводных локальных сетей
Компании применяют беспроводные сети не так давно, хотя на самом деле возраст технологии насчитывает уже несколько лет. Недавний всплеск ее популярности - отчасти заслуга комитета IEEE, который опубликовал несколько стандартов, объединивших коллективный опыт отрасли в унифицированной модели WLAN. В результате в продаже появилось множество недорогих 802.11-совместимых устройств с высокой пропускной способностью.
Когда в 1997 г. комитет IEEE опубликовал стандарт 802.11 для WLAN, полоса пропускания беспроводных каналов связи не превышала 2 Мбит/с. Стоимость беспроводной сетевой платы была выше 500 долларов, а цена точки доступа (access point, AP) - устройства, которое играет роль концентратора для беспроводных клиентов и моста для связи проводных и беспроводных сетей, - превышала 1200 долларов. В 1999 г. комитет IEEE одобрил стандарт 802.11b и обеспечил возможность связи со скоростью 11 Мбит/с. Благодаря увеличению производительности в сочетании со снижением цен на беспроводные аппаратные устройства в среднем на 80%, технология WLAN привлекла внимание предприятий различных масштабов. В Microsoft с интересом наблюдали за развитием событий.
Несмотря на огромный потенциал беспроводных сетей 802.11b, новая технология по-прежнему находится на стадии развития. Самая большая работа предстоит в двух областях - роуминг и безопасность. Неудивительно, что разработчики Microsoft постарались реализовать в XP функции, ориентированные на решение именно этих проблем.
Роуминг
Возможность свободно перемещаться по территории предприятия с портативным беспроводным устройством - одно из главных достоинств беспроводных сетей 802.11, но в стандарте ничего не сказано о том, как организовать роуминг. В стандарте определена только функциональность уровней 1 и 2 (физического и канального) модели OSI, тогда как функции роуминга принадлежат уровню 3 (сетевому). Поэтому поставщики предложили собственные методы надежного роуминга, соответствующего ожиданиям пользователей. Пытаясь остановить распространение разнородных решений роуминга, специалисты комитета IEEE подготовили документ 802.11f, включающий рекомендации по реализации беспроводного роу-минга. Эти рекомендации помогли сблизить решения разных компаний, но некоторые поставщики (например, NetMotion Wireless, NetSeal Techno-logies, ReefEdge, Ecutel) усовершенствовали беспроводные технологии, предложив особенно мощные решения для роуминга и информационной защиты.
Каждый сценарий роуминга уникален, но базовая схема показана на Рисунке 1. Чтобы подключиться к сети, беспроводное устройство должно соединиться с соответствующей точкой доступа. Устройство периодически проверяет доступные беспроводные каналы в поисках сигналов от других точек доступа. Если обнаружен более сильный сигнал от другой точки доступа - обычное событие при перемещении между зонами обслуживания различных точек, - устройство переключает каналы и связывается с новой точкой доступа. Чтобы сделать этот процесс незаметным, многие поставщики используют протокол Inter-Access Point Protocol (IAPP). В сценарии, показанном на Рисунке 1, каждая точка доступа должна располагать таблицей ассоциаций, чтобы отслеживать обслуживаемые устройства и активные сеансы связи с машинами сети. Когда устройство перемещается от одной точки доступа к другой, точки обмениваются информацией через IAPP, что гарантирует правильную маршрутизацию всех входящих и исходящих потоков данных. Процесс часто нарушается, когда беспроводное устройство пересекает сетевую границу смены IP-адресов. В XP предложено решение данной проблемы. При переходе через сетевую границу необходимо решить две задачи. Во-первых, обычно конечный пользователь должен соединиться с точкой доступа новой сети. Для этого он вводит имя новой сети (Service Set Identifier, SSID) и, в некоторых случаях, ключ шифрования. Во-вторых, конфигурация TCP/IP беспроводного устройства в новой сети недействительна, поэтому пользователь должен вручную изменить параметры TCP/IP или инициировать процедуру обновления конфигурации на DHCP-сервере. Это неудобно для опытного пользователя, может оказаться потенциальной ловушкой для начинающего и создаст массу хлопот для администратора. Решение проблемы - механизм Zero Configuration for Wireless операционной системы Windows XP.
Zero Configuration for Wireless автоматизирует процесс конфигурирования и аутентификации «блуждающих» беспроводных устройств. Основные функции Zero Configuration for Wireless - обнаружение доступных беспроводных сетей, автоматическая настройка сетевых параметров и соединение с точкой доступа (в большинстве случаев без участия пользователя). Можно построить профили, содержащие все необходимые ключи шифрования и другую идентификационную информацию для соединения с WLAN, в автоматическом режиме или в порядке предпочтений. Выяснив, что точка отсутствует, XP может даже инициировать специальный или одноранговый сеанс связи с другим устройством 802.11b. Разработчики Microsoft предупреждают, что этими функциями можно воспользоваться лишь при наличии сетевой платы 802.11b, совместимой с Zero Configuration for Wireless. Во время подготовки данной статьи такие платы выпускали только компании Agere Systems, Cisco Systems и Symbol Technologies, а фирмы Intersil и 3Com планируют выпустить их к моменту публикации материала.
Чтобы протестировать Zero Configu-ration for Wireless, я использовал ноутбук Dell Latitude 600 и точки доступа компаний Intel, Intermec и Dell. Кроме того, я проверил технологию на двух настольных машинах Compaq DeskPro EN, оснащенных платой LAN PCI Carrier с гнездом PC Card для подключения беспроводного сетевого адаптера 802.11b.
Первое впечатление от XP было благоприятным: я без труда инсталлировал операционную систему, в которой есть драйверы для сетевых плат Dell Integrated TrueMobile 1150 Mini PCI Wireless и Intel PRO/Wireless 2011. Я зарегистрировался на локальном компьютере и заметил, что XP сразу же обнаружила точки доступа (установленные в лаборатории) и соединилась с одной из них. Я проверил параметры IP из командной строки и увидел, что ноутбук Dell получил IP-адрес от DHCP-сервера сети, с которой он был соединен. Вся процедура была такой же, как в беспроводных сетях.
Экран 1. Список точек доступа для беспроводного клиента XP. |
Затем я исследовал сетевые соединения: щелкнул правой кнопкой мыши на пиктограмме беспроводного соединения и выбрал из экранного меню функцию просмотра View Available Wireless Networks. На Экране 1 показано диалоговое окно Connect to Wireless Network со списком точек доступа, обнаруженных XP в лаборатории. Чтобы установить связь с точкой доступа, я просто выбрал SSID точки и щелкнул на кнопке Connect. Смена сетей происходила быстро, и система каждый раз автоматически изменяла параметры TCP/IP через DHCP. После того как я активизировал для каждой сети функции защиты 802.11b Wired Equivalent Privacy (WEP), для организации соединения потребовался еще один шаг - ввести сетевой ключ шифрования (WEP и проблемы безопасности будут подробно рассмотрены ниже). Ключ представляет собой пароль длиной от 5 до 13 символов ASCII, что соответствует 40- или 104-разрядному ключу шифрования. Ключ вводится в поле Network key диалогового окна на Экране 1. После того как введена информация о соединении с сетью, можно указать сетевые предпочтения, и XP сохранит информацию. В целом, процесс соединения XP с беспроводной сетью прошел относительно гладко, особенно по сравнению с аналогичной процедурой Windows 2000. При перемещении между различными сетями в Windows 2000 необходим беспроводный клиент от поставщика сетевой платы, а многие операции приходится выполнять вручную.
Продолжая тестирование возможностей Zero Configuration for Wireless, я перемещался между различными точками доступа, одновременно меняя параметры сети и безопасности, условия приема и уровень помех, покидая зону связи и возвращаясь в нее. XP превосходно автоматически настраивается на доступные сетевые и специальные соединения, следуя заданному порядку и выбирая точку доступа с самым мощным сигналом. Zero Configuration for Wireless значительно облегчает роуминг между сетями.
Однако несмотря на все усилия Microsoft, Zero Configuration for Wireless - лишь частичное решение проблемы роуминга в сетях 802.11b. Автоматическая настройка сетевых параметров снимает остроту некоторых проблем роуминга, но полным будет лишь решение, обеспечивающее неизменное состояние сеанса при переходе через любые сетевые границы. В идеальном случае сотрудник, находящийся в дороге, будет располагать всей функциональностью, доступной в офисе компании.
В настоящее время такие компании, как NetMotion Wireless и NetSeal Technologies, предлагают новаторские решения для роуминга. Однако только исчерпывающее решение на базе стандартов обеспечит желанную функциональность для пользователей и возможности, необходимые администраторам.
Проблема безопасности
С появлением WLAN специалистам ИТ придется решать новую задачу. Большинство точек доступа 802.11b в стандартной конфигурации непрерывно передают сигнал маяка, сообщая о своем присутствии. Сигнал маяка проходит сквозь стены до границ зоны охвата, которая может достигать 100 м. Подключить точку доступа к сети - все равно, что установить сетевые гнезда на ближайшей автостоянке и повесить неоновый знак: «Сетевой доступ здесь!»
Даже создатели стандарта 802.11 признают недостатки WLAN. Как я отмечал ранее, клиент XP совместим с WEP, основным механизмом безопасности 802.11b, определяющим метод шифрования данных перед пересылкой. Другой компонент WEP определяет процедуру аутентификации с использованием 40- или 104-разрядного ключа. Специалисты по системам безопасности, как и хакеры, которые безжалостно эксплуатировали компоненты шифрования и аутентификации 802.11, считают, что WEP не обеспечивает надежной защиты (подробный анализ изъянов WEP приведен в статье Шона Харриса «Пробелы в стандарте 802.11», опубликованной в предыдущем номере журнала).
Из-за недостатков WEP многие поставщики предлагают собственные решения с различными уровнями совместимости. В результате трудно разобраться в существующих системах защиты, из которых лишь немногие взаимодействуют друг с другом (из-за различий в фирменных алгоритмах) и масштабируются в среде предприятия. Разумное решение - заставить клиентов WLAN использовать соединения VPN таким образом, как будто они обращаются к корпоративной сети из Internet. В этом случае вместо WEP используются более надежные схемы шифрования и аутентификации туннелей VPN.
Появление 802.1x
В операционной системе XP принят сравнительно новый подход к вопросам безопасности. Вместе с компанией Cisco и другими членами группы IEEE 802.11 Microsoft продвигает стандарт 802.1x, независимый от 802.11b, но пригодный для интеграции с беспроводными сетями 802.11. Стандарт 802.1x можно использовать для контроля доступа к любой сети 802.11 и в качестве транспортного средства для протокола Extensible Authentication Protocol (EAP), описанного в документе RFC 2284 комитета IETF.
Надежность аутентификации методом 802.1x должна повыситься благодаря управлению ключами шифрования. В протоколе WEP обязанности создания, распространения и обновления ключей шифрования по умолчанию целиком возлагаются на администраторов и пользователей. Но клиент 802.1x XP задействует для аутентификации инфраструктуру открытых ключей (PKI) и сервер Remote Authentication Dial-In User Service (RADIUS - служба дистанционной аутентификации коммутируемого пользователя), а затем управляет парами ключей для шифрования и восстановления данных, пересылаемых между устройством и точкой доступа. По умолчанию, XP меняет ключи шифрования каждые 30 мин, что значительно снижает риск взлома с подбором пароля или с использованием похищенного пароля. Благодаря глубокой интеграции беспроводного клиента XP с 802.1x, можно детально настроить процедуру аутентификации в рамках беспроводного сетевого профиля. В результате механизм Zero Configuration for Wireless сможет автоматически выполнять повторную аутентификацию пользователей, перемещающихся между 802.1x-совместимыми точками доступа.
К сожалению, я смог рассмотреть функциональность 802.1x системы XP только теоретически. В то время, когда я тестировал XP с беспроводными устройствами, разработчики Microsoft завершали конфигурирование компонентов проводной сети, необходимых для работы 802.1x; среди этих компонентов - Microsoft Certificate Server, Active Directory (AD) и служба Microsoft Internet Authentication Service (IAS), которая выполняет функции сервера RADIUS. Кроме того, лишь немногие поставщики выпускают 802.1x-совместимое беспроводное оборудование. Таким образом, мне пришлось довольствоваться знакомством с данными, представленными на закладке Authentication клиента 802.1x (см. Экран 2). Эта закладка - единственное диалоговое окно настройки клиента XP 802.1x.
Экран 2. Настройка конфигурации XP 802.1x. |
В целом попытка Microsoft повысить уровень безопасности 802.1x заслуживает похвалы. Но необходимо помнить, что в основе методов защиты 802.1x лежат 802.1x-совместимые аппаратные средства, например Cisco Aironet 350. Мобильным пользователям, подключенным через точки доступа в аэропорту или другом общественном месте, в которых не реализованы функции 802.1x, не удастся использовать 802.1x для связи с сетью своей компании. В результате компании, чьи сотрудники выходят за пределы контролируемой сети, рискуют своими данными. Оптимальное решение - организовать доступ через туннель VPN, защищенный более надежными механизмами и алгоритмами.
Перспективная платформа
XP - перспективная платформа для мобильных пользователей беспроводных сетей. Благодаря Zero Configuration for Wireless к администраторам будут обращаться за помощью значительно реже. Несмотря на некоторые ограничения клиента 802.1x, которые обусловлены в основном несовершенством продукта, это решение масштабируется гораздо лучше, чем большинство фирменных решений поставщиков. Тем не менее реализация 802.1x в XP не обеспечивает исчерпывающую защиту беспроводных сетей.
Том Ивански - старший обозреватель лаборатории Windows & .NET Magazine Lab. Его адрес: tiwanski@win2000mag.com.