Страница 8 из 8 Настройка режимов шифрования и аутентификации пользователей Любая точка доступа, и тем более беспроводной маршрутизатор, предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Существует несколько стандартов шифрования, которые поддерживаются точками доступа. Первым стандартом, использующимся для шифрования данных в беспроводных сетях, был стандарт WEP (Wired Equivalent Privacy). В соответствии со стандартом WEP шифрование осуществляется с помощью 40-или 104-битного ключа (некоторые модели беспроводного оборудования поддерживают и более длинные ключи), а сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Допустимо также вместо набора ASCII-символов напрямую использовать шестнадцатеричные значения (той же длины). Как правило, в утилитах настройки беспроводного оборудования указываются не 40-или 104-битные ключи, а 64-или 128-битные. Дело в том, что 40 или 104 бита – это статическая часть ключа, к которой добавляется 24-битный вектор инициализации, необходимый для рандомизации статической части ключа. Вектор инициализации выбирается случайным образом и динамически меняется во время работы. В результате c учётом вектора инициализации общая длина ключа получается равной 64 (40+24) или 128 (104+24) битам. Протокол WEP-шифрования, даже со 128-битным ключом, считается не очень стойким, поэтому в устройствах стандарта 802.11g поддерживается улучшенный алгоритм шифрования WPA – Wi-Fi Protected Access, который включает протоколы 802.1х, EAP, TKIP и MIC. Протокол 802.1х — это протокол аутентификации пользователей. Для своей работы данный протокол требует наличия выделенного RADIUS-сервера, которого в домашней сети, естественно, нет. Поэтому воспользоваться данным протоколом в домашних условиях не удастся. Протокол TKIP (Temporal Key Integrity Protocol) – это реализация динамических ключей шифрования. Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее количество возможных вариантов ключей достигает сотни миллиардов, и меняются они очень часто. Протокол MIC (Message Integrity Check) – это протокол проверки целостности пакетов. Протокол позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом. Помимо упомянутых протоколов, многие производители беспроводного оборудования встраивают в свои решения поддержку стандарта AES (Advanced Encryption Standard), который приходит на замену TKIP. Итак, после небольшого экскурса в основные понятия технологии шифрования и сетевой аутентификации пользователей приступим к настройке нашего беспроводного оборудования. При этом будем по возможности придерживаться следующих рекомендаций: если все устройства в сети поддерживают шифрование на основе WPA, мы будем использовать именно этот способ шифрования (в противном случае следует выбрать WEP-шифрование со 128-битным ключом). Ну а если все устройства в сети поддерживают AES-шифрование, то воспользуемся именно им. Начнём с настройки беспроводной точки доступа. Прежде всего, выберем тип аутентификации (Authentication). В списке типа аутентификации возможны следующие варианты: - Open System (открытая);
- Shared Key (общая);
- 802.1х;
- WPA;
- WPA Pre-shared key.
Open System (режим по умолчанию) – фактически это режим, не имеющий сетевой аутентификации. При выборе данного режима для входа в беспроводную сеть достаточно знать лишь идентификатор сети (SSID). В режиме Shared Key возможно использование WEP-шифрования трафика. Причём для входа в сеть требуется установить общий для всей сети WEP-ключ шифрования. Настройка WEP-шифрования Если по каким-либо соображениям принято решение использовать WEP-шифрование, то необходимо установить тип аутентификации Shared Key. Далее следует установить размер ключа (рекомендуемое значение 128 бит) и ввести сам ключ. К примеру, ключ можно записать в шестнадцатеричном формате: 00-11-22-33-44-55-66-77-88-aa-bb-cc-dd. Всего возможно задать до четырёх значений ключа, и, если задано несколько ключей, необходимо указать, какой именно из них используется. Далее требуется реализовать аналогичные настройки на всех беспроводных адаптерах сетевых компьютеров. Делается это либо с помощью утилиты управления (в нашем случае Intel PROSet / Wireless), либо посредством клиента Microsoft. Если используется утилита Intel PROSet / Wireless, откройте главное окно утилиты, выберите профиль соединения и нажмите на кнопку «Свойства…». В открывшемся диалоговом окне (рис. 11) перейдите к закладке «Настройка защиты» и выберите тип сетевой аутентификации «Общая» (это соответствует типу Shared Key). Далее выберите тип шифрования WEP, задайте длину ключа 128 бит и введите ключ шифрования (00-11-22-33-44-55-66-77-88-aa-bb-cc-dd). | Рис. 11. Задание параметров WEP-шифрования на беспроводном адаптере с помощью утилиты Intel PROSet/Wireless | При использовании для настройки адаптера клиента Microsoft откройте диалоговое окно Wireless Network Connection Properties (Свойства беспроводного сетевого соединения) и на вкладке «Wireless Networks» (беспроводные сети) выберите нужный профиль беспроводного соединения. Нажмите на кнопку «Properties» (Свойства) и в открывшемся диалоговом окне (рис. 12) установите тип сетевой аутентификации (Network Authentication) Shared, тип шифрования (Data encryption) WEP и введите точно такой же ключ шифрования, который был задан при настройке точки доступа. | Рис. 12. Задание параметров WEP-шифрования на беспроводном адаптере с помощью клиента Microsoft | Настройка WPA-шифрования Если есть возможность использовать WPA-шифрование (то есть если все устройства сети его поддерживают), то рекомендуется выбрать именно этот тип шифрования. Существует два типа WPA-шифрования: стандартный режим WPA (иногда встречается название WPA — Enterprise) и WPA Pre-shared key или WPA — персональный. Режим WPA — Enterprise используется в корпоративных сетях, поскольку требует наличия RADIUS-сервера. Естественно, что в домашних условиях воспользоваться данным режимом не удастся. А вот режим WPA Pre-shared key предназначен для персонального использования. Этот режим предусматривает использование заранее заданных ключей шифрования (пароль доступа), одинаковых для всех сетевых устройств, а первичная аутентификация пользователей осуществляется с использованием данного ключа. Существует также алгоритм WPA 2 (следующая версия протокола WPA). Если все устройства беспроводной сети поддерживают данный режим, то вполне можно им воспользоваться. Настройки в данном случае осуществляются точно такие же, как и в случае WPA-режима. В качестве алгоритмов шифрования при использовании стандарта WPA можно выбрать TKIP или AES. Для настройки WPA-шифрования в главном окне настройки точки доступа выберите тип аутентификации WPA Pre-shared key и установите тип шифрования (WPA Encryption) TKIP или AES. Затем требуется задать ключ шифрования (WPA PSK Passphrase). В качестве ключа может быть любое слово (например, FERRA). Далее необходимо реализовать аналогичные настройки на всех беспроводных адаптерах сетевых компьютеров. Делается это точно так же, как и в случае уже рассмотренного нами WEP-шифрования. Пример настройки беспроводного адаптера при помощи утилиты управления Intel PROSet / Wireless показан на рис. 13. | Рис. 13. Пример настройки WPA-шифрования на беспроводном адаптере с помощью утилиты Intel PROSet/Wireless | По материалам Ferra.ru |