Текст книги "Беспроводная сеть своими руками"

Глава 3
Безопасность сети

• Основные понятия.

• Протокол безопасности WEP.

• Протокол безопасности WPA.

• Идентификатор точки доступа и МАС-фильтрация.

3.1. Основные понятия

Как уже упоминалось, безопасность работы в сети играет огромную роль. Это связано с тем, что предприятие, на котором организована сеть, может в своей работе использовать документы и данные, предназначенные только для своих сотрудников. Кроме того, вряд ли кому-то понравится, если с его личными документами сможет ознакомиться любой человек. Следовательно, сеть должна располагать определенными средствами безопасности.

На сегодняшний день используются два типа сетей – проводные и беспроводные.

Что касается проводных сетей, то доступ к ним можно получить лишь подключившись к сети физически, то есть с помощью проводного подключения. Это означает, что контролировать подключение достаточно просто.

Беспроводные сети используют радиоволны, которые распространяются по законам физики и принципу действия передающих антенн в зоне радиуса сети. Контролировать поведение радиоволн практически невозможно. Это означает, что любой человек, у которого есть компьютер или переносное устройство с радиоинтерфейсом, может подключиться к сети, находясь в радиусе ее действия. Вычислить местоположение этого пользователя практически невозможно, поскольку он может быть как рядом, так и на значительном удалении от сети (при использовании антенны с усилителем).

Именно тот факт, что подключиться к беспроводной сети может любой, требует от ее организаторов серьезного отношения к обеспечению достаточного уровня безопасности. Для этого следует использовать существующие стандарты.

Чтобы обеспечить минимальный уровень безопасности в беспроводной сети, необходимо использовать следующие механизмы:

• механизм аутентификации рабочей станции – позволяет определить, кто подключается к беспроводной сети и имеет ли он право на такое подключение;

• механизм защиты информации посредством ее шифрования с помощью специальных алгоритмов.

Если хотя бы один из описанных механизмов не используется, то можно сказать, что сеть является абсолютно незащищенной. Это незамедлительно приведет к негативным последствиям. Как минимум, злоумышленник увеличит трафик вашей сети (Интернет, файловые ресурсы), а при наиболее неблагоприятных условиях сможет навредить другой сети, которая подключена к выбранной беспроводной сети.

На сегодняшний день стандартами предусмотрено использование нескольких механизмов безопасности, позволяющих в той или иной мере защитить беспроводную сеть. Обычно такой механизм содержит в себе как средства аутентификации, так и средства шифрования, хотя бывают и исключения.

Однако проблема защиты сети все еще существует, поскольку каким бы строгим ни был стандарт безопасности, далеко не все оборудование поддерживает его. Часто получается так, что, например, точка доступа поддерживает последние алгоритмы безопасности, а сетевой компьютер этот алгоритм не воспринимает. В результате вся сеть работает с тем стандартом, который поддерживают все компьютеры в сети.

3.2. Протокол безопасности WEP

Протокол безопасности WEP (Wired Equivalent Privacy, секретность, эквивалентная секретности проводной сети) – первый протокол безопасности, описанный стандартом IEEE 802.11. Для шифрования данных этот протокол использует ключ с разрядностью от 40 до 104 бит. Кроме того, он дополнительно использует шифрование, основанное на алгоритме кодирования RC4, – алгоритм обеспечения целостности данных.

Что касается шифрования для обеспечения целостности данных, то шифрованием его можно назвать с натяжкой, поскольку для этого процесса используется статическая последовательность длиной 32 бита, которая присоединяется к каждому пакету данных, увеличивая при этом его и без того объемную служебную часть.

Отдельно стоит упомянуть о процессе аутентификации, поскольку без него защиту передаваемой информации нельзя считать минимально достаточной. Изначально стандарт IEEE 802.11 описывает два варианта аутентификации: аутентификация для открытых систем с открытым ключом и аутентификация с общим ключом.

Фактически этот метод аутентификации не предусматривает никаких средств безопасности соединения и передачи данных. Выглядит это следующим образом. Когда двум компьютерам нужно установить связь, отправитель посылает получателю специально сформированный пакет данных, называемый кадром аутентификации. В свою очередь адресат, получив такой пакет, понимает, что требуется аутентификация с открытыми ключами и в ответ отправляет аналогичный кадр. На самом деле эти кадры аутентификации, естественно, отличаются друг от друга и по сути содержат только информацию об отправителе и получателе информации.

Данный уровень аутентификации подразумевает использование общего ключа секретности, которым владеют только отправитель и получатель информации. В этом случае процесс аутентификации выглядит следующим образом.

Чтобы начать передачу данных, отправителю необходимо «договориться» с получателем. Для этого он посылает кадр аутентификации, содержащий информацию о себе и тип ключа шифрования. Получив кадр аутентификации, адресат в ответ посылает пробный текст, зашифрованный с помощью указанного ключа (используется 128-битный ключ алгоритма шифрования WEP). Получив пробный зашифрованный текст, отправитель пытается его декодировать с помощью договоренного ключа шифрования. Если изначальный текст совпадает с результатом расшифровки (используются контрольные суммы зашифрованного и расшифрованного сообщений), то отправитель посылает получателю сообщение об успехе аутентификации. Только после этого данные передаются с использованием указанного ключа шифрования.

Кажется, все выглядит достаточно просто и эффективно. На самом же деле практическое использование метода шифрования WEP показало, что алгоритм кодирования имеет явные прорехи в механизме безопасности, которые нельзя скрыть даже с помощью длинного ключа шифрования. Благодаря сторонним тестировщикам и хакерам оказалось, что, проанализировав достаточно большой объем трафика сети (3–7 млн пакетов), можно вычислить ключ шифрования. В таком случае не спасет даже 104-битный ключ шифрования. Остается только радоваться тому факту, что развитие компьютерных технологий и стандартов не стоит на месте и на смену старым технологиям приходят новые.

Конечно, это совершенно не означает, что протокол безопасности WEP не годится совсем. Для небольших беспроводных сетей, состоящих из нескольких компьютеров, такой защиты вполне достаточно, поскольку трафик сети в этом случае сравнительно небольшой и для его анализа и взлома ключа шифрования нужно потратить значительно больше времени.

Что же касается больших, развернутых беспроводных сетей, то использование в них протокола WEP небезопасно и крайне не рекомендуется. Стоит также учитывать, что в Интернете представлено множество специализированных утилит, которые позволяют взломать защиту WEP-протокола и обеспечить доступ к беспроводной сети. Именно поэтому для обеспечения нужного уровня безопасности лучше использовать более современные протоколы шифрования, в частности протокол безопасности WPA.

Конечно, можно использовать ключи шифрования максимальной длины, но не стоит забывать о том, что это чревато уменьшением скорости передачи данных за счет увеличения их избыточности.

Другим выходом из описанной ситуации можно считать использование направленных антенн передачи сигнала. В некоторых условиях это хороший выход, но в организации домашних беспроводных сетей этот подход не применим.

3.3. Протокол безопасности WPA

Протокол безопасности WPA пришел не смену протоколу безопасности WPE в силу понятных причин, главной из которых является практическая незащищенность WPE. Именно эта незащищенность сдерживала развитие и распространение беспроводных сетей. Однако с выходом протокола WPA все стало на свои места.

Протокол безопасности WPA (Wi-Fi Protected Access, защищенный доступ Wi-Fi) был стандартизирован в 2003 году и сразу стал востребован. Главным отличием протокола WPA от WPE стало наличие динамической генерации ключей шифрования, что позволило кодировать каждый отправляемый пакет собственным ключом шифрования. Кроме того, каждое устройство в сети снабжается дополнительным ключом, который меняется через определенный промежуток времени.

Аутентификация происходит с применением протокола аутентификации EAP (Extensible Authentication Protocol, расширяемый протокол аутентификации) с помощью службы (сервера), дистанционной аутентификации RADIUS или предварительно согласованного общего ключа. При этом аутентификация подразумевает вход пользователя после ввода логина и пароля, которые проверяются на сервере аутентификации RADIUS.

Для шифрования данных используется модернизированный алгоритм шифрования RC4, основанный на протоколе краткосрочной целостности ключей TKIP. Это позволяет не только повысить уровень защищенности данных, но и сохранить обратную совместимость с протоколом безопасности WEP.

Шифрование базируется на использовании случайного вектора инициализации IV (Initialization Vector, вектор инициализации) и WEP-ключа, которые складываются и в дальнейшем используются для кодирования пакетов. Результатом такого складывания может стать огромное количество разных ключей, что позволяет добиться практически стопроцентной защиты данных.

Кроме того, протокол безопасности WPA поддерживает усовершенствованный стандарт шифрования AES. Этот стандарт использует защищенный алгоритм кодирования, который намного эффективнее алгоритма RC4. Однако за это приходится платить повышенным трафиком и, соответственно, уменьшением пропускной способности сети.

Примечание.

Для работы с протоколом безопасности WPA необходимо, чтобы все устройства, подключенные к сети, располагали его поддержкой. В противном случае будет использоваться стандартный протокол безопасности WPE.

3.4. Идентификатор точки доступа и MAC-фильтрация

Каков бы ни был уровень безопасности, его всегда недостаточно. Однако это совсем не означает, что этот уровень должен быть настолько высоким, насколько возможно. Всегда должен быть достигнут компромисс, особенно если учесть, что каждый дополнительный алгоритм защиты «съедает» у сети часть пропускной способности, что снижает скорость передачи данных в сети.

Обеспечением минимального уровня безопасности можно считать использование идентификатора точки доступа и MAC-фильтрации адресов устройств.

Любая точка доступа, которая участвует в работе беспроводной сети, характеризуется идентификатором расширенного сервисного набора (ESSID – Extended Service Set ID), который представляет собой восьмибитный код. Если в сети присутствует несколько точек доступа, то в целях безопасности всем им присваивается одинаковый идентификатор.

Фактически ESSID – это название вашей беспроводной сети, которое вы можете изменять, используя как буквы, так и цифры. Вы можете изменить это название в любой момент, не забывая при этом сообщить каждому подключенному компьютеру ESSID. Компьютер, который не будет знать ESSID, не сможет подключиться к вашей сети.

Чтобы еще больше усложнить задачу взломщикам сети, можно настроить точку доступа таким образом, чтобы она не транслировала ESSID в эфир.

«Природным» способом защиты беспроводной сети можно считать фильтрацию по MAC-адресу. Дело в том, что MAC-адрес (Media Access Control, управление доступом к среде) – уникальный идентификатор, который присвоен любому сетевому оборудованию. Этот идентификатор используется с момента появления первых сетевых устройств, и изменить его невозможно. Итак, применяя фильтр по MAC-адресам в точке доступа, вы можете эффективно отсеивать «непрошеных гостей», тем самым дополнительно защищая свою беспроводную сеть.

Глава 4
Сетевое оборудование

• Адаптер.

• Точка доступа.

• Мост.

• Маршрутизатор.

• Антенна.

Основу любой сети, естественно, составляет оборудование – активное и пассивное. Именно оно позволяет подключать компьютер к сети, передавать данные, маршрутизировать пакеты в комбинированных сетях и т. д.

К сетевому оборудованию, которое используется в беспроводных сетях, относятся сетевой адаптер, точка доступа, мост, маршрутизатор, принт-сервер и многое другое. Кроме того, сюда же можно отнести антенны, служащие для усиления или узкой направленности сигнала.

4.1. Адаптер

Как уже упоминалось, сетевой адаптер служит для подключения компьютера (или другого устройства) к имеющейся сети. Существует достаточно много видов сетевых адаптеров. Они отличаются друг от друга производителем, техническими особенностями и типом интерфейса. Наибольшее распространение получили адаптеры с интерфейсом PCI и USB производства компаний D-Link, ASUSTek, 3Com, SureCom, Trednet и др. Кроме того, часто можно встретить адаптеры с дополнительными устройствами, например flash– или HDD-накопителем.

Сетевой адаптер D-Link Air Xpert DWL-AG650 (рис. 4.1) предназначен для ноутбуков и переносных компьютеров, снабженных соответствующим разъемом (слот 32-bit CardBus).

Рис. 4.1. Сетевой адаптер D-Link Air Xpert DWL-AG650.

Особенность данного адаптера в том, что он является универсальным устройством, способным работать в беспроводных сетях стандарта IEEE 802.11a, IEEE 802.11b IEEE 802.11g. Это означает, что, подключив его к ноутбуку, вы можете не беспокоиться о несовместимости каких-либо стандартов.

Данный беспроводной адаптер обеспечивает скорость передачи данных до 54 Мбит/с при использовании стандартов IEEE 802.11а и IEEE 802.11g и 11 Мбит/с в сетях стандарта IEEE 802.11b.

Что касается вопросов безопасности, то такой адаптер поддерживает протокол безопасности WPA с использованием протокола TKIP и аутентификации с помощью сервера RADIUS. Кроме того, обеспечена поддержка более старого протокола безопасности WAP (Wareless Access Protocol, протокол беспроводного доступа).

Сетевой адаптер беспроводной связи D-Link DWL-G122 (рис. 4.2) предназначен для работы в компьютерах, снабженных интерфейсом USB.

Рис. 4.2. Адаптер D-Link DWL-G122.

Такой адаптер может работать в сетях стандартов IEEE 802.11g и IEEE 802.11b, обеспечивая при этом скорость передачи данных 54 и 11 Мбит/с соответственно. Для подключения устройства используется скоростной порт USB 2.0, который присутствует практически в любом компьютере. Это означает, что, подсоединив устройство к порту, вы сразу же можете начать работать в сети.

В адаптере реализована поддержка протокола безопасности WPA с использованием протокола TKIP и аутентификации с помощью сервера RADIUS. Кроме того, устройство поддерживает более старый протокол безопасности WAP.

В табл. 4.1 приведены некоторые характеристики рассматриваемого устройства.

Таблица 4.1. Технические и другие характеристики сетевого адаптера D-Link DWL-G122

Сетевой адаптер 3Com OfficeConnect Wireless 11g (3CRWE154G72) (рис. 4.3) предназначен для установки в ноутбуки и переносные компьютеры, снабженные соответствующим разъемом (слот 32-bit CardBus).

Рис. 4.3. Адаптер 3Com OfficeConnect Wireless 11g (3CRWE154G72).

Данный адаптер рассчитан на работу в небольших офисах или квартирах, обеспечивая при этом устойчивую работу в сетях стандартов IEEE 802.11b и IEEE 802.11g и скорость передачи данных до 11 и 54 Мбит/с соответственно. При этом карта обладает механизмами динамического выбора скорости передачи данных (Dynamic Rate Shifting) в зависимости от трафика и условий окружающей среды.

В адаптере реализована поддержка протокола безопасности WPA с использованием 256-разрядных ключей шифрования и протокола безопасности WAP с использованием 128-разрядных ключей.

Представленный на рис. 4.4 сетевой адаптер беспроводной связи 3Com 11a/b/g Wireless PCI Adapter (3CRDAG675) предназначен для установки в PCI-слот персонального компьютера.

Рис. 4.4. 3Com 11a/b/g Wireless PCI Adapter (3CRDAG675).

Особенностью этого адаптера является способность работать в сетях стандартов IEEE 802.11a, IEEE 802.11b и IEEE 802.11g, что делает его абсолютно универсальным в применении. При этом при работе в сетях стандарта IEEE 802.11a и IEEE 802.11g достигается скорость передачи данных 54 Мбит/с (108 Мбит/с – в турбо-режиме).

Данный адаптер снабжен множеством дополнительных средств для безопасности и аутентификации, что делает его одним из самых надежных беспроводных адаптеров на рынке. В частности, он поддерживает протоколы шифрования WPA, AES (128-битный ключ) и WEP(40/64-, 128– и 152-битный ключ), механизмы аутентификации MD5, 802.1x и EAP.

Отдельно можно отметить факт наличия в адаптере механизмов автономной балансировки нагрузки (Autonomous Load Balancing), что позволяет добиться максимальной скорости передачи данных и механизма динамического изменения скорости передачи информации (Dynamic Rate Shifting), позволяющего подобрать скорость соединения в зависимости от текущего трафика в сети и условий окружающей среды.

Сетевой адаптер беспроводной связи 3Com OfficeConnect Wireless 54Mbps 11g USB Adapter (3CRUSB10075) (рис. 4.5) предназначен для работы в персональных или переносных компьютерах, снабженных интерфейсом USB.

Рис. 4.5. 3Com OfficeConnect Wireless 54Mbps 11g USB Adapter (3CRUSB10075).

Адаптер рассчитан на работу в беспроводных сетях стандартов IEEE 802.11g и IEEE 802.11b. При этом скорость передачи данных может достигать 54 и 11 Мбит/с соответственно.

В адаптере реализована технология шифрования данных WPA и базовое шифрование WEP с использованием последней версии стандарта аутентификации 802.1х (TKIP, RADIUS).

Благодаря наличию механизма Dynamic Rate Shifting адаптер умеет выбирать скорость передачи данных исходя из загруженности сети и условий окружающей среды.

Сетевой адаптер беспроводной связи SureCom EP-9321-g1 54M Wireless LAN PCI Adapter (рис. 4.6) предназначен для установки в PCI-слот персонального компьютера.

Производитель SureCom зарекомендовал себя как достаточно известный производитель проводного и беспроводного сетевого оборудования. Правда, его популярность заключается в основном в дешевизне оборудования, хотя это и не означает, что качество оборудования страдает.

Данный беспроводной адаптер рассчитан на работу в беспроводных сетях стандартов IEEE 802.11g и IEEE 802.11b, обеспечивая при этом скорость передачи данных 54 и 11 Мбит/с соответственно. Из особенностей адаптера можно отметить наличие антенны, которую можно удалять от адаптера на длину ее шнура (1,5–2 м).

Рис. 4.6. SureCom EP-9321-g1 54M Wireless LAN PCI Adapter.

4.2. Точка доступа

Производитель D-Link достаточно распространен на территории СНГ. Кроме всего прочего, эта компания занимается разработкой оборудования для работы в беспроводных сетях.

Точка доступа D-Link DWL-2100AP (рис. 4.7) – распространенное устройство, сочетающее в себе не только свойства точки доступа, но и беспроводные мост, клиент и повторитель. Данный факт делает это устройство универсальным для организации работы беспроводной сети.

Рис. 4.7. Точка доступа D-Link DWL-2100AP (вид спереди и сзади).

Рассматриваемая точка доступа умеет работать с беспроводными сетями стандартов IEEE 802.11b и IEEE 802.11g, обеспечивая при этом максимальную скорость передачи данных: 54 Мбит/с (108 Мбит/с – в турборежиме). При этом существует возможность подключения сегмента сети стандарта Fast Ethernet 802.3 со скоростью передачи данных 10/100 Мбит/с.

Данное устройство поддерживает протоколы безопасности WPE и WPA. В последнем случае используется протокол целостности временного ключа TKIP. Аутентификация пользователей происходит с помощью сервера RADIUS. Кроме того, если у некоторых клиентов сети отсутствует поддержка аутентификации с помощью сервера RADIUS, то D-Link DWL-2100AP готова предоставить механизм WPA Pre-Shared Key, позволяющий получать таким пользователям временный ключ шифрования каждый раз при подключении к точке доступа.

Следует отметить наличие встроенного механизма DHCP, который позволяет назначать IP-адреса компьютерам, подключенным к беспроводной сети.

В табл. 4.2 приведены некоторые характеристики рассматриваемого устройства.

Таблица 4.2. Технические и другие характеристики точки доступа D-Link DWL-2100AP