Как и большинство технологий, с которыми имеет дело ИТ-специалист, беспроводная технология меняется день ото дня. Не так давно владение беспроводной технологией WLAN считалось едва ли не роскошью. Однако сегодня наличие доступа к WLAN является необходимостью, поскольку производители мобильных устройств предоставляют Wi-Fi как ключевой элемент при продаже. При этом сотовые операторы начинают устанавливать беспроводные планы обмена данными; неограниченные планы обмена сотовыми данными отходят в прошлое, а Wi-Fi практически всегда безграничен (и быстрее работает).
Важно воспользоваться запасом текущей инфраструктуры WLAN, если он у вас есть, и позаботиться о том, чтобы он соответствовал самым современным стандартам, если вы занимаетесь конструированием новой инфраструктуры, даже когда она состоит из единственной точки доступа Access Point (AP). .
Диапазон «в игре»
Почти все рассуждения о Wi-Fi содержат как минимум упоминание о спектре диапазонов, и данная статья — не исключение. В США существует два спектра диапазонов, связанных с Wi-Fi: диапазон 2,4 ГГц и диапазон 5 ГГц. Оба являются частью более широкого набора радиодиапазонов, известных в мире как промышленный, научный и медицинский (ISM) диапазоны. В целом доступ к этим радиодиапазонам не ограничен, и вопрос регулирования решается на локальном уровне.
Стандарты комитета IEEE, описывающие взаимодействие с различными WLAN, объединены спецификацией 802.11. Стандарты IEEE определяют протоколы, отвечающие за частоту, ширину полосы пропускания, максимальную скорость передачи данных и модуляцию беспроводных сигналов. Мы имеем дело с четырьмя основными протоколами — 802.11a, 802.11b, 802.11g и 802.11n, оставляя в стороне устаревший 802.11 (802.11–1997).
- 802.11b является, вероятно, самым широко распространенным протоколом, и на то есть причины. Это первый протокол, который получил всеобщее признание в индустрии; большинство следующих протоколов обратно совместимо с ним. Протокол ведет свою историю от 1999 года и работает в диапазоне 2,4 ГГц. Максимальная пропускная способность — 11 Мбит/с.
- 802.11a также появился в 1999 году как альтернатива 802.11b. Это стало возможным вследствие работы 802.11a в диапазоне 5 ГГц с модуляцией Orthogonal Frequency Division Multiplexing (OFDM). По сравнению с модуляцией Direct Sequence Spread Spectrum (DSSS), используемой 802.11b, данная модуляция позволяет устройствам, поддерживающим 802.11a, достигать максимальной пропускной способности в 54 Мбит/с. Основным недостатком 802.11a является неполная совместимость с 802.11b.
- 802.11g вышел в 2003 году, соединив в себе все лучшее от 802.11b и 802.11a. Стандарт 802.11g работает в диапазоне 2,4 ГГц и совместим с устройствами 802.11b посредством поддержки модуляций DSSS и OFDM. Это позволяет устройствам 802.11g достигать максимальной пропускной способности в 54 Мбит/с, но с одним ограничением: добавление одиночного устройства 802.11b к сети 802.11g замедляет максимальную пропускную способность сети до 11 Мбит/с, что соответствует уровню 802.11b.
- 802.11n является самым новым и на сегодня привилегированным протоколом. Выпущенный в 2009 году, 802.11n значительно улучшает беспроводную сеть, поддерживая максимальную пропускную способность в 600 Мбит/с. Однако достижение такой скорости не является данностью. 802.11n работает как в диапазоне 2,4 ГГц, так и в диапазоне 5 ГГц, используя модуляцию OFDM. В диапазоне 2,4 ГГц 802.11n поддерживает четыре потока (радиоканала) MIMO с шириной пропускной полосы 20 МГц при максимальной пропускной способности в 260 Мбит/с. В диапазоне 5 ГГц 802.11n подробным же образом поддерживает четыре MIMO-потока, но в сочетании с более широкой полосой пропускания в 40 МГц, и позволяет получить 600 Мбит/с максимальной пропускной способности. 802.11n предусматривает полную совместимость с предыдущими версиями не только для 802.11g и 802.11b, но и для 802.11a.
Прежде чем перейти к радиоканалам, обсудим радиодиапазон 2,4 ГГц в сравнении с диапазоном 5 ГГц. Диапазон 2,4 ГГц является более насыщенным, поскольку он разделяет спектр со множеством других нелицензированных устройств. Микроволновые печи, мини-мониторы и беспроводные телефоны соревнуются в этом диапазоне за доступный спектр. Также количество используемых радиоканалов в диапазоне 2,4 ГГц ограничено. Диапазон 5 ГГц является менее насыщенным и имеет больше используемых каналов за счет немного более короткой зоны действия.
Серфинг по каналам
В пределах радиодиапазонов 2,4 ГГц и 5 ГГц существует множество каналов, которые устройства Wi-Fi могут использовать. Хотя обсуждение модуляции радиосигналов, транков каналов, разделения каналов и других подобных тем не является предметом данной статьи, хочу поделиться с вами некоторыми мыслями о радиоканалах Wi-Fi, представление о которых иметь необходимо.
В Соединенных Штатах в диапазоне 2,4 ГГц существует 11 каналов. Однако реальные частоты у них слегка перекрывают одна другую по мере движения от первого канала к одиннадцатому. Это сильно снижает количество непересекающихся каналов, специфичных для протокола 802.11, и ширину используемого канала. Ликвидация процесса перекрывания каналов приводит к более широкой зоне действия и увеличенной пропускной способности вашей беспроводной сети.
- Для протокола 802.11 b каналы 1, 6 и 11 не будут перекрываться.
- Для протокола 802.11 g и 802.11 n с шириной канала в 20 МГц каналы 1, 5 и 9 не будут перекрываться.
- Для протокола 802.11 n с шириной канала в 40 МГц каналы 3 и 11 не будут перекрываться.
На частоте 5 ГГц (опять же в США) все гораздо проще. В протоколах 802.11a и 802.11n с шириной канала в 20 или 40 МГц доступны каналы 36, 40, 44, 48, 149, 153, 157, 161 и 165. Они не будут перекрывать друг друга. Без перекрытия также доступны каналы 52, 56, 60, 64, 100, 104, 108, 112, 116, 136 и 140, но это если оборудование Wi-Fi поддерживает функции Dynamic Frequency Selection (DFS) и Transmit Power Control (TPC).
Это связано с тем, что правила FCC написаны так, чтобы защищать другое оборудование, главным образом связанное с военными целями и метеорологией, которое использует те же самые каналы. Если ваша точка доступа Wi-Fi не поддерживает DFS и TPC, эти каналы даже не будут доступны при выборе.
Безопасность, а не неизвестность
Мы рассмотрели диапазоны и каналы. А как насчет безопасности? Любое приложение, имеющееся на рынке, поддерживает как минимум несколько типов шифрования для Wi-Fi, но если вы запускаете Mac или PC и сканируете радиоволны на предмет наличия сетей WLAN, вы, вероятно, найдете много сетей со слабым шифрованием или даже без него.
Wired Equivalent Privacy (WEP) является самым старым алгоритмом шифрования и единственным, которого следует избегать. Вдобавок к 64-разрядному шифрованию WEP поддерживает 128-разрядное шифрование, но оба варианта имеют многочисленные дефекты в системе безопасности. Сражаться с шифрованием на WLAN при помощи WEP банально. Существуют бесплатные утилиты, которые легко установить, и они выполнят расшифровку за несколько секунд. К WEP относятся с опаской и использовать не рекомендуют.
Протокол Wi-Fi Protected Access (WPA) был сконструирован для замены WEP. WPA был создан для устранения недочетов в системе безопасности, но он так же уязвим, как и WEP. Дальнейшее развитие привело к появлению более безопасного протокола Wi-Fi Protected Access 2 (WPA2), золотого стандарта системы безопасности Wi-Fi на сегодня.
WPA и WPA2 доступны в двух вариантах: варианты Personal (или предварительно выданный ключ — PSK) и Enterprise (или 802.1x). Вариант Personal (WPA-PSK) сконструирован для пользователей небольших или домашних офисов. Его легко установить при помощи предварительно заданного ключа, вводимого в точке доступа и в дальнейшем на клиентах Wi-Fi. Вариант Enterprise (WPAEnterprise) задействует сервер Remote Authentication Dial-In User Service (RADIUS) и протокол Extensible Authentication Protocol (EAP) для аутентификации пользователей или устройств Wi-Fi перед разрешением доступа к динамично изменяющемуся ключу шифрования, который использует точка доступа.
WPA и WPA2 также поддерживают два протокола шифрования: Temporal Key Integrity Protocol (TKIP) и Advanced Encryption Standard (AES). WPA использует TKIP, а WPA2 применяет Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (CCMP); поскольку CCMP базируется на AES, к нему обычно обращаются как к AES. В варианте Personal вы увидите, что на эти протоколы шифрования в документации и программном обеспечении по управлению точкой доступа ссылаются как на WPA-PSK (TKIP) или WPA2-PSK (AES).
Cобираем все вместе
Итак, у нас достаточно информации, но как использовать ее на практике? Очевидно, что 802.11 n предпочтительнее при новых установках и обновлениях. Но как добиться максимальной пропускной способности в 600 Мбит/с? Чтобы ответить на этот вопрос, перечислим девять правил хорошо работающей сети Wi-Fi.
- Установите для своих точек доступа и всех устройств наивысшие значения: 802.11n, 5-ГГц, 40-МГц полосы пропускания, четыре MIMO-потока, WPA2-PSK (AES) на каналах 36, 40, 44, 48, 149, 153, 157, 161 или 165. Это максимально увеличит уровень системы безопасности, обеспечит высокую пропускную способность, позволит избежать вмешательства других устройств.
- Составляйте короткие списки покупок и всегда проверяйте документацию перед оплатой. Многие точки доступа, которые поддерживают 802.11n, не поддерживают четыре MIMO-потока. Другие будут поддерживать 802.11n, но только на частоте 2,4 ГГц. То же касается и устройств Wi-Fi. Однажды я купил камеру с поддержкой 802.11n и хотел подсоединить ее к сети 802.11n на 5 ГГц. Мне не удалось этого сделать, поскольку моя камера работала только на частоте 2,4 ГГц. Информация об этом была в документации, но я не озаботился тем, чтобы внимательно прочесть инструкцию перед покупкой.
- Делайте пароли длинными. Чем длиннее пароль, тем больше времени хакер затратит на его взлом.
- Располагайте точки доступа повыше. Чем выше точки доступа находятся физически, тем дальше будет идти сигнал, который они генерируют.
- Спускайтесь на уровень ниже, только если это действительно необходимо и тогда, когда это нужно. У вас есть великолепная сеть 802.11n 5 ГГц и все работает замечательно, но затем появляется новый гаджет, и вы хотите, чтобы он поддерживал 802.11g на частоте 2,4 ГГц, а ваша точка доступа работает на частоте 2,4 или 5 ГГц. Вы понимаете, что вам необходимо опуститься на частоту 2,4 ГГц, но нужно не забыть установить на вашей точке доступа запрет на доступ устройств 802.11b, поскольку их вы использовать не будете.
- Сканируйте свою среду при помощи сканера Wi-Fi, чтобы увидеть, как используются другие сети, которые есть поблизости. Если все сети, которые есть вокруг, используют каналы 36, 40, 149 и 161, вы будете точно знать, какие каналы для вашей сети задействовать не следует. Доступно коммерческое и бесплатное программное обеспечение, такое как inSSIDer для Windows и iStumbler для Mac OS X.
- Подумайте над тем, чтобы скрыть идентификатор сети SSID. Общее пожелание: сделать сетевое имя скрытым, чтобы потенциальный хакер не видел его. В этом случае каждый, кто захочет подсоединиться к сети, должен знать пароль и точный SSID. Хотя взломщики не будут видеть имя вашей сети, они смогут обнаружить, что сеть существует. Поэтому опытный взломщик все равно узнает SSID, если ему будет надо.
- Используйте фильтрование MAC. Если у вас небольшое количество клиентов Wi-Fi и вы нечасто добавляете или удаляете устройства, подумайте над тем, чтобы установить список фильтра адресов MAC на своих точках доступа. Хотя этот подход и потребует того, чтобы вы получили адрес МАС каждого устройства и вручную ввели его в свою точку доступа, это создаст трудности для взломщика, пытающегося подсоединиться к вашей WLAN, потому что он должен будет подделать реально существующий адрес MAC. Возможно, вам стоит подумать над этим, особенно если ваша WLAN содержит большое количество постоянно меняющихся устройств.
- Всегда хорошо подумайте, прежде чем подсоединиться к чужой WLAN. Когда вы подключаетесь к WLAN в кафе, отеле или в гостях, подумайте минутку, с какой целью вы подсоединяетесь, и о безопасности. Помните, что шифрование WEP — это, строго говоря, не шифрование. Многое из того, что мы делаем в Интернете, передается незашифрованным HTTP. Однако если вам нужно только подсоединиться к WLAN, охраняемой WEP, для того чтобы запустить соединение VPN, зашифрованное 2048 разрядами, вы, вероятно, должны чувствовать себя комфортно, потому что информация, которая будет проходить по беспроводной сети, имеет хороший уровень шифрования.
Как всегда, ничто из перечисленного не заменит обновлений ваших систем и установки подходящего программного обеспечения против взлома, а также аппаратного брандмауэра и программного сетевого экрана.
Теперь, когда мы рассмотрели беспроводную сеть и несколько основных правил для обеспечения безопасности и высокой производительности WLAN, подумайте, как вы можете перевести свои сети WLAN и точки доступа на более высокий уровень производительности. Ваши устройства iPad будут благодарны за предоставление легкого доступа онлайн.
Майкл Дрегон (articles@mikerochip.com) — редактор Windows IT Pro и старший сетевой инженер. Имеет сертификаты MCDST, MCSE: Messaging, MCTS и MCITP