БЕСПРОВОДНЫЕ СЕТИ WI-FI - Мои статьи - Каталог статей

     В этой статье речь пойдет о набирающих популярность беспроводных сетях, а именно — о внутриофисных (SOHO) решениях. Все меньше людей пребывают во мраке и не знают, что такое компьютер (хотя есть и такие). Из «просветленных» практически всем известно (или, по крайней мере, они догадываются), что такое компьютерная (локальная) сеть. А вот о беспроводных сетях знает гораздо меньшее количество «компьютеризированного населения».

     На данный момент беспроводные сети — это одна из самых популярных и развивающихся технологий. Их разработкой сейчас занимаются самые могучие и известные производители, такие как Cisco, Intel, Lucent, D-Link и др.

     Мы сегодня будем говорить о wireless сети стандарта 802.11b/g, 2.4 ГГц. Чтобы создать такую сеть (для внутриофисных решений (Small office home office, SOHO)), нам понадобятся следующие устройства:

точки доступа (access point);
радиокарточки или другие клиентские устройства (внешние и внутренние);
print-серверы.

     Точка доступа осуществляет раздачу цифровых потоков. Она-то как раз и занимается «дележкой» Интернета или доступа в локальную сеть между компьютерами с радиокарточками или другими клиентскими радиоустройствами передачи данных. Она может служить DHCP-сервером (Dynamic Host Configuration Protocol, протокол динамического назначения IP-адресов компьютерам), шлюзом, брандмауэром (firewall), принт-сервером. Разнообразие возможностей увеличивается синхронно с ценой устройства.

     У точек доступа присутствуют сетевые разъемы (для подключения к компьютеру или серверу), иногда даже телефонные. Также access point в большинстве своем имеют возможность шифрования радиосигнала (защита подключения к вашей сети ).

     Радиокарточки и другие клиентские устройства собственно являются беспроводными аналогами простых сетевых карт. Для установки сетевой wireless-карточки вам понадобится свободный PCI-слот либо PCMCIA-адаптер (иногда продается в комплекте карт). Для иных устройств может понадобиться USB-порт. В ноутбуках обычно уже есть PCMCIA-слот, куда вставляется карточка беспроводной связи.

     Print-серверы. Что тут говорить? Вы можете поставить ваш принтер в офисе там, где вам будет удобно. Совсем нет необходимости подключать его к компьютеру!

Виды соединений

Существует несколько видов беспроводных соединений:

     Первый способ (Ad-hoc) представляет собой связь нескольких компьютеров между собой без точки доступа. Как если бы их соединить между собой сетевыми шнурками, не подключаясь через хаб/свич.

     Второй способ (Infrastructure) дает возможность работать клиентским беспроводным станциям с Интернетом через беспроводную точку доступа, в свою очередь, подключенную к серверу/хабу/роутеру.

Теперь рассмотрим главные достоинства и недостатки беспроводных сетей.

     Самый главный недостаток (IMHO) — это высокая стоимость радиооборудования . Особенно это актуально для нашей страны. Ведь покупка точки доступа и десятка PCMCIA-карточек обойдется более чем в тысячу вечнозеленых бумажных человеческих ценностей!

     Второй, но не менее важный недостаток, — невысокие показатели скорости. Особенно это влияет при работе с большими объемами информации (базы данных и т.п.)

     Ну а в-третьих, необходима прямая видимость! Если между объектами, которые мы хотим соединить, присутствует мощное перекрытие (в офисах это чаще всего железобетонные стены), то сигнал магическим образом пропадет за углом . Посему в некоторых офисах возникает необходимость в нескольких точках доступа, дабы покрыть радиосигналом все офисное пространство. Это, конечно, вызывает дополнительные затраты в размере стоимости точки доступа , хорошо еще, если одной.

А теперь хорошие «новости».

Самый главный плюс — никаких проводов! Свобода! Вы можете схватить свой компьютер (в зависимости от вашего физического состояния) и потащить/поволочь его к другому сотруднику на стол хотя бы из-за того, что он ближе к кондиционеру. И при этом вы останетесь в сети! Вы можете менять помещение своего офиса, не задумываясь о проводах! Вас не будут раздражать своим шумом рабочие с перфораторами, протягивающие витую пару в вашем кабинете.

     Возможность конфигурирования, настройки точки доступа в вашем офисе, не отходя от рабочего места. Для некоторых точек доступа предусмотрены специальные утилиты, у некоторых меню — простая web-страница. Сконфигурировать точку доступа сможет почти каждый… достаточно прочитать инструкцию.

     Поддержка операционными системами этих замечательных девайсов! Windows XP на лету «подхватывает» карточку Orinoco. Linux лучше инсталлировать с уже установленной в слот карточкой. Тогда после установки вам будет достаточно ввести все нужные параметры беспроводной сети, чтобы начать работу. Разнообразие и обновление драйверов.

Приступаем к настройке

     Рассмотрим основные параметры сети, о которых я сказал выше. Для идентификации пользователя в wireless-сети используется SSID (Service Set Identifier, сетевой идентификатор, имя сети). Он может быть произвольным, назначается вами и должен быть одинаков на всех устройствах беспроводной связи в вашей сети. Это как имя рабочей группы. Далее привычный для всех IP-адрес. Вы назначаете его в соответствии с требованиями вашей сети.

     Каналы можно выбирать в ПО к беспроводному оборудованию. Каждый канал — это определенная частота. Разница между ними не велика, но существенна. Если у вас SSID — «office», IP-адрес — 10.10.10.12, канал 6, а у друга все то же самое, но канал 7, то вы работать в одной сети не сможете.

     Еще один немаловажный параметр — ключ шифрования. Вы можете сгенерировать уникальный ключ (48-, 64-, 128-битный), по которому точка доступа будет проверять принадлежность рабочей станции к вашей сети. Если ключ не совпадет — удаленный компьютер не получит доступа. Однако процесс шифрования данных несколько замедляет скорость сети. Все зависит от устройства.

     У беспроводных сетей очень много общего с проводными, но есть и различия. Для того, чтобы проникнуть в проводную сеть, хакеру необходимо физически к ней подключиться. В варианте Wi-Fi ему достаточно установить антенну в ближайшей подворотне в зоне действия сети.

     Хотя сегодня в защите Wi-Fi-сетей и применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи, тем не менее на начальных этапах распространения Wi-Fi нередко появлялись сообщения о том, что даже не используя сложного оборудования и специальных программ можно было подключиться к некоторым корпоративным сетям просто проезжая мимо с ноутбуком. Появились даже легенды о разъезжающих по крупным городам хакерах (war driver) с антеннами, сооруженными из консервной банки или упаковки из-под чипсов. Якобы у них даже была своя условная система знаков, которые рисовались на тротуаре и указывали незащищенные должным образом точки доступа. Возможно, так и было, лишь вместо банок из-под чипсов использовались мощные антенны, а условные знаки обозначались на карте, связанной с системой глобального позиционирования (GPS).

     Что же теоретически может получить злоумышленник в беспроводной сети, настройке которой не было уделено должного внимания? Вот стандартный список:

доступ к ресурсам и дискам пользователей Wi-Fi-сети, а через неё — и к ресурсам LAN;
подслушивание трафика, извлечение из него конфиденциальной информации;
искажение проходящей в сети информации;
воровство интернет-траффика;
атака на ПК пользователей и серверы сети (например, Denial of Service или даже глушение радиосвязи);
внедрение поддельной точки доступа;
рассылка спама, противоправная деятельность от имени вашей сети.

Развитие защиты Wi-Fi

     В 1997 году вышел первый стандарт IEEE 802.11, безопасность которого, как оказалось, далека от идеала. Простой пароль SSID (Server Set ID) для доступа в локальную сеть по современным меркам нельзя считать защитой, особенно, учитывая факт, что к Wi-Fi не нужно физически подключаться.

     Главной же защитой долгое время являлось использование цифровых ключей шифрования потоков данных с помощью функции Wired Equivalent Privacy (WEP). Сами ключи представляют из себя обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне. Как показало время, WEP оказалась не самой надёжной технологией защиты. И, кстати, все основные атаки хакеров пришлись как раз-таки на эпоху внедрения WEP.

     После 2001 года для проводных и беспроводных сетей был внедрён новый стандарт IEEE 802.1X, который использует вариант динамических 128-разрядных ключей шифрования, то есть периодически изменяющихся во времени. Таким образом, пользователи сети работают сеансами, по завершении которых им присылается новый ключ. Например, Windows XP поддерживает данный стандарт, и по умолчанию время одного сеанса равно 30 минутам.

     В конце 2003 года был внедрён стандарт Wi-Fi Protected Access (WPA), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа Temporal Key Integrity Protocol (TKIP), протоколом расширенной аутентификации Extensible Authentication Protocol (EAP) и технологией проверки целостности сообщений Message Integrity Check (MIC).

     Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков, в частности, в данном направлении преуспевают Intel и Cisco. В 2004 году появляется WPA2, или 802.11i, — максимально защищённый стандарт.

Технологии защиты

WEP
     Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации Initialization Vector (IV), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит. Идея очень здравая, поскольку при шифровании мы оперируем и постоянными, и случайно подобранными символами.

     Но, как оказалось, взломать такую защиту можно — соответствующие утилиты присутствуют в Интернете (например, AirSnort, WEPcrack). Основное её слабое место — это как раз-таки вектор инициализации. Поскольку мы говорим о 24 битах, это подразумевает около 16 миллионов комбинаций (2 в 24 степени) — после использования этого количества ключ начинает повторяться. Хакеру необходимо найти эти повторы (от 15 минут до часа для ключа 40 бит) и за секунды взломать остальную часть ключа. После этого он может входить в сеть как обычный зарегистрированный пользователь.

802.1X
     IEEE 802.1X — это новый стандарт, который оказался ключевым для развития индустрии беспроводных сетей в целом. На данный момент он поддерживается только со стороны ОС Windows XP и анонсирован для Windows Server 2003. За основу взято исправление недостатков технологий безопасности, применяемых в 802.11, в частности, возможность взлома WEP, зависимость от технологий производителя и т. п. 802.1X позволяет подключать в сеть даже PDA-устройства, что позволяет более выгодно использовать саму идею беспроводной связи. С другой стороны, 802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно — RC4, но с некоторыми отличиями.

     802.1X базируется на протоколе расширенной аутентификации Extensible Authentication Protocol (EAP), протоколе защиты транспортного уровня Transport Layer Security (TLS) и сервере доступа RADIUS (Remote Access Dial-in User Server). Плюс к этому стоит добавить новую организацию работы клиентов сети. После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время — время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию.

WPA
     WPA — это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA = 802.1X + EAP + TKIP + MIC, где:

WPA — технология защищённого доступа к беспроводным сетям (Wi-Fi Protected Access),
EAP — протокол расширенной аутентификации (Extensible Authentication Protocol),
TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol),
MIC — технология проверки целостности сообщений (Message Integrity Check).

     Как видим, ключевыми здесь являются новые модули TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых достигает 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой.

     От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.

     Правда, TKIP сейчас не является лучшим в реализации шифрования, поскольку в силу вступают новые алгоритмы, основанные на технологии Advanced Encryption Standard (AES), которая, кстати говоря, уже давно используется в VPN. Что касается WPA, поддержка AES уже реализована в Windows XP, пока только опционально.

VPN
     Технология виртуальных частных сетей Virtual Private Network (VPN) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN очень хорошо себя зарекомендовали с точки зрения шифрования и надёжности аутентификации. Плюс технологии состоит и в том, что на протяжении более трёх лет практического использования в индустрии данный протокол не получил никаких нареканий со стороны пользователей. Информации о его взломах не было.

     Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65—70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.

     И хотя технология VPN не предназначалась изначально именно для Wi-Fi, она может использоваться для любого типа сетей, и идея защитить с её помощью беспроводные их варианты одна из лучших на сегодня.

     Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы.

     Хотя всё это достаточно громоздко, но очень надёжно, главный недостаток такого решения — необходимость в администрировании. Второй существенный минус — уменьшение пропускной способности канала на 30—40%.

Методы защиты
     Таким образом, на сегодняшний день у обычных пользователей и администраторов сетей имеются все необходимые средства для надёжной защиты Wi-Fi, и при отсутствии явных ошибок (пресловутый человеческий фактор) всегда можно обеспечить уровень безопасности, соответствующий ценности информации, находящейся в такой сети. Основные же правила при организации и настройке частной Wi-Fi-сети (если нет задачи сделать её общедоступной) таковы:

максимальный уровень безопасности обеспечит применение VPN — используйте эту технологию в корпоративных сетях;
если есть возможность использовать 802.1X (например, точка доступа поддерживает, имеется RADIUS-сервер) — воспользуйтесь ей (впрочем, уязвимости есть и у 802.1X);
перед покупкой сетевых устройств внимательно ознакомьтесь с документацией. Узнайте, какие протоколы или технологии шифрования ими поддерживаются. Проверьте, поддерживает ли эти технологии шифрования ваша ОС. Если нет, то скачайте апдейты на сайте разработчика. Если ряд технологий не поддерживается со стороны ОС, то это должно поддерживаться на уровне драйверов;
обратите внимание на устройства, использующие WPA2 и 802.11i, поскольку в этом стандарте для обеспечения безопасности используется новый Advanced Encryption Standard (AES);
если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Настраивайте AP только по проводам. Не используйте по радио протокол SNMP, web-интерфейс и telnet;
если точка доступа позволяет управлять доступом клиентов по MAC-адресам (Media Access Control, в настройках может называться Access List), используйте эту возможность. Хотя MAC-адрес и можно подменить, тем не менее это дополнительный барьер на пути злоумышленника;
если оборудование позволяет запретить трансляцию в эфир идентификатора SSID, используйте эту возможность (опция может называться "closed network”), но и в этом случае SSID может быть перехвачен при подключении легитимного клиента;
запретите доступ для клиентов с SSID по умолчанию "ANY”, если оборудование позволяет это делать. Не используйте в своих сетях простые SSID — придумайте что-нибудь уникальное, не завязанное на название вашей организации и отсутствующее в словарях. Впрочем, SSID не шифруется и может быть легко перехвачен (или подсмотрен на ПК клиента);
располагайте антенны как можно дальше от окон, внешних стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «с улицы». Используйте направленные антенны, не используйте радиоканал по умолчанию;
если при установке драйверов сетевых устройств предлагается выбор между технологиями шифрования WEP, WEP/WPA (средний вариант), WPA, выбирайте WPA (в малых сетях можно использовать режим Pre-Shared Key (PSK)). Если устройства не поддерживают WPA, то обязательно включайте хотя бы WEP. При выборе устройства никогда не приобретайте то, что не поддерживает даже 128bit WEP.
всегда используйте максимально длинные ключи. 128-бит — это минимум (но если в сети есть карты 40/64 бит, то в этом случае с ними вы не сможете соединиться). Никогда не прописывайте в настройках простые, «дефолтные» или очевидные ключи и пароли (день рождения, 12345), периодически их меняйте (в настройках обычно имеется удобный выбор из четырёх заранее заданных ключей — сообщите клиентам о том, в какой день недели какой ключ используется).
не давайте никому информации о том, каким образом и с какими паролями вы подключаетесь (если используются пароли). Искажение данных или их воровство, а также прослушивание траффика путем внедрения в передаваемый поток — очень трудоемкая задача при условиях, что применяются длинные динамически изменяющиеся ключи. Поэтому хакерам проще использовать человеческий фактор;
если вы используете статические ключи и пароли, позаботьтесь об их частой смене. Делать это лучше одному человеку — администратору;
если в настройках устройства предлагается выбор между методами WEP-аутентификации "Shared Key” и "Open System”, выбирайте "Shared Key”. Если AP не поддерживает фильтрацию по MAC-адресам, то для входа в "Open System” достаточно знать SSID, в случае же "Shared Key” клиент должен знать WEP-ключ (www.proxim.com/ support/ all/ harmony/ technotes/ tn2001-08-10c.html). Впрочем, в случае "Shared Key” возможен перехват ключа, и при этом ключ доступа одинаков для всех клиентов. В связи с этим многие источники рекомендуют "Open System”;
обязательно используйте сложный пароль для доступа к настройкам точки доступа. Если точка доступа не позволяет ограничивать доступ паролем, её место на свалке;
если для генерации ключа предлагается ввести ключевую фразу, то используйте набор букв и цифр без пробелов. При ручном вводе ключа WEP вводите значения для всех полей ключа (при шестнадцатеричной записи вводить можно цифры 0—9 и буквы a—f).
по возможности не используйте в беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеров общего доступа. Организация разделяемых ресурсов средствами NetBEUI в данном случае безопаснее. Не разрешайте гостевой доступ к ресурсам общего доступа, используйте длинные сложные пароли;
по возможности не используйте в беспроводной сети DHCP — вручную распределить статические IP-адреса между легитимными клиентами безопаснее;
на всех ПК внутри беспроводной сети установите файерволлы, старайтесь не устанавливать точку доступа вне брандмауэра, используйте минимум протоколов внутри WLAN (например, только HTTP и SMTP). Дело в том, что в корпоративных сетях файерволл стоит обычно один — на выходе в интернет, взломщик же, получивший доступ через Wi-Fi, может попасть в LAN, минуя корпоративный файерволл;
регулярно исследуйте уязвимости своей сети с помощью специализированных сканеров безопасности (в том числе хакерских типа NetStumbler), обновляйте прошивки и драйвера устройств, устанавливайте заплатки для Windows.

Наконец, просто не отправляйте особо секретные данные через Wi-Fi.