Несколько уроков перед развертыванием беспроводной сети.
За последние несколько лет стандарт 802.11b фактически стал основным стандартом беспроводных сетей крупных корпораций и домашних беспроводных сетей. Различные вариации стандарта (802.11a, 802.11g, 802.11i, 802.11x) обладают более широкой полосой пропускания и теоретически лучше защищены, но все же, пусть с ошибками и изъянами, 802.11b остается в строю. Рассмотрим, как работает 802.11b и как добиться от этой технологии максимальной безопасности.
Происхождение 802.11b
Частные беспроводные сети появились в 1990-х гг., а стандарт IEEE 802.11 был разработан в 1997 г. как способ обеспечить совместимость между беспроводными устройствами разных производителей. Отчасти функциональность 802.11 представляет собой возврат к оригинальному дизайну Ethernet — то, что происходит в Ethernet, очень похоже на трансляцию в эфир какой-нибудь радиостанции. Представьте себе коаксиальный кабель 10Base-2, в котором все адаптеры локальной сети Ethernet параллельно подключены к одной линии. В стандарте 802.11b эта линия заменена передачей на свободной радиочастоте 2,4 ГГц (802.11a использует частоту 5 ГГц, а некоторые устройства могут работать на обеих частотах). В пределах радиуса действия беспроводные адаптеры могут обмениваться данными, как если бы они имели общий кабель, хотя скорость передачи уменьшается при ослабевании сигнала, сила которого зависит от наличия стен и мебели, а также от расстояния между адаптерами.
Конечно, тот факт, что устройства не соединены никакими кабелями, означает, что с ними можно передвигаться. Они могут начать работу за пределами радиуса действия друг друга, войти в область действия, а затем снова выйти. Чтобы приспособиться к такой подвижности в процессе взаимодействия, в 802.11b включены функции проверки ошибок, и эти функции превосходят аналогичные им в стандартном Ethernet. Подобные функции приносят большую пользу. Несмотря на то что устройства 802.11b должны функционировать на скорости 11 Мбит/с, как это обычно заявляется поставщиками, скорость передачи данных держится на уровне 6 Мбит/с или меньше, в зависимости от параметров шифрования и других факторов.
Как сделать беспроводную сеть безопасной
В беспроводной сети, как и в обычной, нельзя не уделять внимание вопросам безопасности. Начальный уровень безопасности в сети 802.11b обеспечивается шифрованием Wired Equivalent Privacy (WEP). Сначала WEP поддерживал 64-разрядные шифры (иногда называемые 40-разрядными из-за того, что 24 разряда используются для не подлежащего шифрованию вектора инициализации), но теперь большинство устройств поддерживает 128-разрядные (иногда по той же причине их называют 104-разрядным) и 256-разрядные шифры. К сожалению, в последнее время WEP снискал дурную славу, не сумев отразить атаки на стандарт шифрования. WEP-шифрование является одним из слабых мест стандарта 802.11b, так что опытный хакер имеет возможность за несколько часов без особых усилий провести разрушительную атаку, которая нейтрализует шифрование. Тем не менее я уверен, что реальная угроза возникает тогда, когда специалисты, выполняющие настройку сетей 802.11b, не удосуживаются обеспечить хоть какую-нибудь защиту.
Большинство сетей 802.11b сделано таким образом, что их можно обнаружить — в конце концов, если вы пытаетесь добавить в сеть новое устройство, то должны иметь возможность проверить настройки. Встроенные инструменты просмотра операционной системы (такие, как средство Windows XP, показанное на Экране 1) и программы просмотра, предоставляемые поставщиками беспроводных сетей, дают пользователю возможность осуществлять поиск беспроводной сети.
Экран 1. Обзор доступных беспроводных сетей. |
Эквивалентом устоявшегося названия подсеть «Ethernet для 802.11b» являются одноранговая сеть (в которой компьютеры с совместимыми беспроводными картами связываются непосредственно один с другим) и сеть с инфраструктурой (т. е. сеть с беспроводной точкой доступа Access Point, AP), каждая из которых состоит из устройств с общими параметрами настройки. Одним из основных общих параметров, однозначно определяющих каждую беспроводную сеть, является 32-разрядный идентификатор Extended Service Set Identifier (ESSID), его иногда называют сетевым именем, которое и используется в процессе поиска сети для подключения нового устройства.
Необходимо помнить, что если шифрование не используется, то сеть абсолютно открыта для внешних атак. Возможно, многие уже слышали о war drivers — хакерах, приспосабливающих самодельные высокочувствительные антенны к своим переносным компьютерам с беспроводной картой, чтобы, припарковавшись вблизи здания какой-нибудь корпорации, «припасть к замочной скважине» и насладиться видом незашифрованного трафика. Отмечались случаи подобного рода атак даже с небольшого самолета.
Безусловно, WEP несовершенен, но, используя его, администратор сильно осложняет взломщику жизнь, а это может подтолкнуть его выбрать себе другую цель — попроще. Однако технически грамотный хакер, помешанный на промышленном шпионаже, даже натолкнувшись на WEP, мог бы подслушать сигнал с помощью подходящего радиооборудования, записать большую последовательность пакетов и подвергнуть их массированной атаке, в процессе которой предпринимаются попытки применить один за другим различные шифры до тех пор, пока пакеты нельзя будет прочитать. Вот почему 802.11b с WEP запрещен для развертывания в правительственных структурах, требующих высокого уровня безопасности. Незадолго до опубликования статьи Национальное агентство безопасности США (NSA) официально одобрило вариант 802.11b со специальным протоколом шифрования (подробности можно найти на сайте http://www.govcomm.harris.com/secure-comm).
Относительно высокого уровня безопасности можно достигнуть, если комбинировать 802.11b с технологией VPN — так делают специалисты Microsoft в резиденции в Редмонде. Все беспроводные точки доступа 802.11b там находятся вне корпоративного брандмауэра Microsoft и считаются небезопасными. Для того чтобы открыть пользователям доступ к ресурсам за брандмауэром, компания использует VPN. VPN обеспечивает шифрование данных и аутентификацию прав доступа пользователей, когда соединение установлено. Я рекомендую использовать VPN вместе с WEP, если только вы не преследуете противоположную цель — предоставить публичный шлюз для доступа пользователей из Internet через конкретную AP.
Основы 802.11b
Как и в случае с любой другой технологией, после первого знакомства с 802.11b можно и не получить ясного представления о предмете. Отчасти это объясняется нагромождением незнакомых терминов. Ниже перечислено несколько понятий, помимо тех, что уже упоминались в этой статье.
Authentication (аутентификация). Этот термин относится к системе безопасности, действующей между беспроводной AP и беспроводными сетевыми картами. Можно использовать один из двух типов аутентификации: Open-System Authentication и Shared-Key Authentication. Пользователи с ограниченными возможностями обычно применяют Shared-Key Authentication и WEP. Высокопроизводительные системы могут потребовать дополнительных средств безопасности. Если не создается общедоступная AP, то лучше выбрать Shared-Key Authentication и подходящую форму шифрования.
Basic Service Set Identifier (BSSID). BSSID — это адрес управления доступом к среде (MAC-адрес) беспроводной сетевой карты или беспроводной AP.
Channel Number (номер канала). В США протокол 802.11b использует 11 каналов в диапазоне частоты 2,4 ГГц. Несмотря на то что каждый канал имеет ширину 30 МГц, центральные частоты отличаются друг от друга только на 5 МГц. В результате из всех каналов гарантированно не перекрываются только первый, шестой и 11-й. Разумно прибегнуть к использованию одного и того же канала, только если все беспроводные устройства имеют один и тот же ESSID. В больших инфраструктурах со многими ESSID следует использовать разные каналы, уменьшая таким образом интерференцию близко расположенных сетей.
Encryption (шифрование). Конкретная форма аутентификации Shared-Key Authentication, которую использует WEP в сети 802.11b, называется типом шифрования. Обычно этот параметр принимает значение 64-разрядное, 128-разрядное или отключено. Применение 128-разрядного шифрования или большего, чем 128-разрядное, затрудняет действия хакера.
Fragmentation Threshold (порог фрагментации). Эта величина устанавливает максимальный размер беспроводных пакетов — пакеты большего размера разбиваются и передаются как отдельные фрагменты. В большинстве случаев не следует менять значение по умолчанию, установленное на заводе-изготовителе, но выбор меньшего числа (около 500 байт) может улучшить производительность перегруженных сетей.
MAC Address Filtering (фильтрование MAC-адресов). Одной из дополнительных функций безопасности может стать задание на некоторых беспроводных AP адресов сетевых карт подсети. На Экране 2 показан пример списка беспроводных устройств, имеющих доступ. Но нужно иметь в виду, что опытные взломщики владеют приемом имитации подключения и могут обойти эту защиту.
Экран 2. Фильтр беспроводного доступа по MAC-адресам. |
Operating Mode (тип сети). При установке Operating Mode можно выбрать или режим одноранговой сети, или режим инфраструктурной сети. Беспроводные AP стоят недорого, и инфраструктурный режим стал практически универсальным даже для домашних сетей. Тем не менее пользователи переносных или карманных компьютеров могут полагаться на одноранговый режим, позволяющий обмениваться файлами в дороге, вдали от беспроводной AP.
Rate (скорость). Некоторые устройства 802.11b позволяют устанавливать скорость пересылки данных, обычно 1 Мбит/с, 2 Мбит/с, 5,5 Мбит/с, 11 Мбит/с или автоматический выбор (в последнем случае устройство установит максимальную скорость, при которой будет обеспечиваться надежная связь). Ручная установка фиксированной скорости может пригодиться, когда производится настройка на слабый сигнал.
RTS Threshold (порог RTS). Это значение соответствует размеру пакета, который будет инициировать процедуру установления связи и запроса/подтверждения готовности в сети 802.11. Обычно порог RTS отключен, но с его помощью можно повысить пропускную способность беспроводной сети со многими клиентами, причем некоторые из них могут быть какое-то время скрыты друг от друга.
В данной статье я уделил основное внимание 802.11b, поскольку на сегодня это самый распространенный вариант стандарта 802.11, однако стоит упомянуть и о нескольких разработках последнего времени. Например, 802.11a переживает сейчас возрождение. Этот старый стандарт на 5 ГГц при использовании вместе с новой технологией Orthogonal Frequency Division Multiplexing (OFDM) дает более высокую скорость передачи данных в беспроводной сети. Другой стандарт, 802.11g, также использует OFDM для повышения пропускной способности на частоте 2,4 ГГц стандарта 802.11b. Некоторые компании поставляют на рынок двухполосные устройства, способные работать в стандарте 802.11a, если таковой имеется, но при необходимости переходить обратно на 802.11b. Новые стандарты, в том числе 802.11i и 802.11x, будут защищены лучше (хотя устройство системы безопасности зависит от поставщика и будет оставаться таким до тех пор, пока IEEE не закончит разработку стандарта 802.11i, предположительно к концу этого года). Дополнительную информацию о стандарте 802.11b можно найти в перечисленных ниже статьях, а также посетив следующие сайты:
- страница Wi-Fi компании Microsoft http://www.microsoft.com/windows2000/technologies/ communications/wifi/default.asp
- Wi-Fi Alliance Site http://www.wi-fi.org
- 802.11 Planet http://www.80211-planet.com.
Джон Рулей — независимый технический писатель. Готовит еженедельные выпуски Windows 2000 Pro UPDATE (http://www.win2000mag.com/update). С ним можно связаться по адресу: jruley@ainet.com