Страница 6 из 8 Настройка безопасности распределённой беспроводной сети Если первоначальное тестирование созданной распределённой беспроводной сети прошло успешно, можно переходить ко второму этапу – настройке безопасности сети для предотвращения несанкционированного доступа в свою сеть хотя бы со стороны соседей. Прежде всего отметим, что созданная нами беспроводная сеть является одноранговой, то есть все компьютеры этой сети равноправны и отсутствует выделенный сервер, регламентирующий работу сети. Поэтому полагаться на политику системной безопасности в такой сети бессмысленно, поскольку подобной политики там просто нет. Поэтому настройку безопасности беспроводной сети необходимо проводить на уровне точек доступа. Безопасность беспроводной сети строится на нескольких «рубежах». На первом рубеже будет использована фильтрация беспроводных клиентов по MAC-адресам, на втором рубеже – использование скрытого идентификатора сети, и на последнем рубеже – шифрование данных. Фильтрация по MAC-адресам Итак, на первой «линии обороны» желательно настроить фильтрацию беспроводных клиентов по MAC-адресам, что позволяет реализовать своего рода аутентификацию пользователей беспроводной сети. Для того чтобы выяснить MAC-адрес установленного на клиенте беспроводного адаптера, достаточно выполнить в командной строке команду ipconfig/all. Это позволит узнать IP-адрес беспроводного адаптера и его MAC-адрес. После того как будут выяснены MAC-адреса всех беспроводных клиентов сети (в нашем случае такой клиент всего один), необходимо настроить таблицу фильтрации по MAC-адресам на обеих точках доступа. Практически любая точка доступа предоставляет подобную возможность. Настройка этой таблицы (MAC Access Control) сводится, во-первых, к необходимости разрешить фильтрацию по MAC-адресам, а во-вторых, к внесению в таблицу разрешённых MAC-адресов беспроводных адаптеров (рис. 8). | Рис. 8. Настройка таблицы фильтрации по MAC-адресам | После настройки таблицы фильтрации по MAC-адресам любая попытка входа в сеть с использованием беспроводного адаптера, MAC-адрес которого не внесён в таблицу, будет отвергнута точкой доступа. Использование режима скрытого идентификатора сети Как уже отмечалось выше, используя режим скрытого идентификатора беспроводной сети, пользователь, сканирующий эфир на предмет наличия беспроводных сетей, не будет видеть SSID существующей беспроводной сети. Для активации данного режима (режим Hidden SSID) на каждой точке доступа необходимо установить опцию Enable (рис. 9). В некоторых точках доступа данный режим может называться как Broadcast SSID. В этом случае используется опция disable. | Рис. 9. Активация режима скрытого идентификатора сети | Настройка шифрования и аутентификации пользователей Любая точка доступа и тем более беспроводной маршрутизатор предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Первым стандартом, который использовался для шифрования данных в беспроводных сетях, был стандарт WEP (Wired Equivalent Privacy). В соответствии с этим стандартом шифрование осуществляется с помощью 40- или 104-битного ключа, а сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Допустимо также вместо набора ASCII-символов напрямую использовать шестнадцатеричные значения (той же длины). Как правило, в утилитах настройки беспроводного оборудования указываются не 40- или 104-битные ключи, а 64- или 128-битные. Дело в том, что 40 или 104 бита – это статическая часть ключа, к которой добавляется 24-битный вектор инициализации, необходимый для рандомизации статической части ключа. Вектор инициализации выбирается случайным образом и динамически меняется во время работы. В результате c учетом вектора инициализации общая длина ключа получается равной 64 (40+24) или 128 (104+24) битам. Протокол WEP-шифрования, даже со 128-битным ключом, считается не очень стойким, поэтому в устройствах стандарта 802.11g поддерживается улучшенный алгоритм шифрования WPA – Wi-Fi Protected Access. Однако, как мы уже отмечали, при использовании WDS-технологии поддерживается только WEP-шифрование на основе статических ключей. Поэтому в данном случае это единственная реализуемая возможность. При настройке точек доступа для использования WEP-шифрования (обе точки доступа настраиваются одинаково) необходимо установить тип аутентификации Shared Key (Общая). Далее следует установить размер ключа (рекомендуемое значение 128 бит) и ввести сам ключ (в нашем примере используется ключ в шестнадцатеричном формате). Всего возможно задать до четырёх значений ключа, и, если задано несколько ключей, необходимо указать, какой именно из них используется по умолчанию (рис. 10). | Рис. 10. Пример настройки WEP-шифрования в точке доступа | Далее требуется реализовать аналогичные настройки на беспроводных адаптерах сетевых клиентов. Делается это с помощью утилиты управления Intel PROSet/Wireless. Откройте главное окно утилиты, выберите профиль соединения и нажмите на кнопку Свойства…. В открывшемся диалоговом окне перейдите к закладке Настройка защиты и выберите тип сетевой аутентификации Общая (это соответствует типу Shared Key). Далее выберите тип шифрования WEP, задайте длину ключа 128 бит и введите ключ шифрования. | Рис. 11. Задание параметров WEP-шифрования на беспроводном адаптере с помощью утилиты Intel PROSet/Wireless | |