Характеристика беспроводных компьютерных сетей

Данная модель используется когда необходимо соединить больше двух компьютеров. Сервер с точкой доступа может выполнять роль роутера и самостоятельно распределять интернет-канал.

3. Точка доступа, с использованием роутера и модема.

Точка доступа включается в роутер, роутер — в модем (эти устройства могут быть объединены в два или даже в одно). Теперь на каждом компьютере в зоне действия Wi-Fi , в котором есть адаптер Wi-Fi, будет работать интернет.

4.  Соединение мост.

Компьютеры объединены в проводную сеть. К каждой группе сетей подключены точки доступа, которые соединяются друг с другом по радио каналу. Этот режим предназначен для объединения двух и более проводных сетей. Подключение беспроводных клиентов к точке доступа, работающей в режиме моста невозможно.

5. Репитер.

Точка доступа просто расширяет радиус действия другой точки доступа, работающей в инфраструктурном режиме.

1.5. Безопасность Wi-Fi сетей

Как и любая компьютерная сеть, Wi-Fi  – является источником повышенного риска несанкционированного доступа. Кроме того,  проникнуть в беспроводную сеть значительно проще, чем в обычную, — не нужно подключаться к проводам, достаточно оказаться в зоне приема сигнала.

Беспроводные сети отличаются от кабельных только на первых двух - физическом (Phy) и отчасти канальном (MAC) - уровнях семиуровневой модели взаимодействия открытых систем. Более высокие уровни реализуются как в проводных сетях, а реальная безопасность сетей обеспечивается именно на этих уровнях. Поэтому разница в безопасности тех и других сетей сводится к разнице в безопасности физического и MAC-уровней.

Хотя сегодня в защите Wi-Fi-сетей применяются сложные алгоритмические математические модели аутентификации, шифрования данных и контроля целостности их передачи, тем не менее, вероятность доступа к информации посторонних лиц является весьма существенной. И если настройке сети не уделить должного внимания злоумышленник может:

                       заполучить доступ к ресурсам и дискам пользователей Wi-Fi-сети, а через неё и к ресурсам LAN;

                       подслушивать трафик, извлекать из него конфиденциальную информацию;

                       искажать проходящую в сети информацию;

                       воспользоваться интернет-траффиком;

                       атаковать ПК пользователей и серверы сети

                       внедрять поддельные точки доступа;

                       рассылать спам, и совершать другие противоправные действия от имени вашей сети.

Для защиты сетей 802.11 предусмотрен комплекс мер безопасности передачи данных.

На раннем этапе использования Wi-Fi сетей таковым являлся пароль SSID (Server Set ID) для доступа в локальную сеть, но со временем оказалось, что данная технология не может обеспечить надежную защиту.

Главной же защитой долгое время являлось использование цифровых ключей шифрования потоков данных с помощью функции Wired Equivalent Privacy (WEP). Сами ключи представляют из себя обыкновенные пароли с длиной от 5 до 13 символов ASCII. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации Initialization Vector (IV), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, в результате при шифровании мы оперируем и постоянными, и случайно подобранными символами.

Но, как оказалось, взломать такую защиту можно соответствующие утилиты присутствуют в Интернете (например, AirSnort, WEPcrack). Основное её слабое место — это вектор инициализации. Поскольку мы говорим о 24 битах, это подразумевает около 16 миллионов комбинаций, после использования этого количества, ключ начинает повторяться. Хакеру необходимо найти эти повторы (от 15 минут до часа для ключа 40 бит) и за секунды взломать остальную часть ключа. После этого он может входить в сеть как обычный зарегистрированный пользователь.

Как показало время, WEP тоже оказалась не самой надёжной технологией защиты. После 2001 года для проводных и беспроводных сетей был внедрён новый стандарт IEEE 802.1X, который использует вариант динамических 128-разрядных ключей шифрования, то есть периодически изменяющихся во времени. Таким образом, пользователи сети работают сеансами, по завершении которых им присылается новый ключ. Например, Windows XP поддерживает данный стандарт, и по умолчанию время одного сеанса равно 30 минутам. IEEE 802.1X — это новый стандарт, который оказался ключевым для развития индустрии беспроводных сетей в целом. За основу взято исправление недостатков технологий безопасности, применяемых в 802.11, в частности, возможность взлома WEP, зависимость от технологий производителя и т. п. 802.1X позволяет подключать в сеть даже PDA-устройства, что позволяет более выгодно использовать саму идею беспроводной связи. С другой стороны, 802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно — RC4, но с некоторыми отличиями. 802.1X базируется на протоколе расширенной аутентификации (EAP), протоколе защиты транспортного уровня (TLS) и сервере доступа Remote Access Dial-in User Server. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию.

В конце 2003 года был внедрён стандарт Wi-Fi Protected Access (WPA), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP, протоколом расширенной аутентификации (EAP) и технологией проверки целостности сообщений MIC. WPA — это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA = 802.1X + EAP + TKIP + MIC, где:

                  WPA — технология защищённого доступа к беспроводным сетям

                  EAP — протокол расширенной аутентификации (Extensible Authentication Protocol)

                  TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol)

                  MIC — технология проверки целостности сообщений (Message Integrity Check).

Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых достигает 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой.
От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.

Правда, TKIP сейчас не является лучшим в реализации шифрования, поскольку в силу вступают новые алгоритмы, основанные на технологии Advanced Encryption Standard (AES), которая, уже давно используется в VPN. Что касается WPA, поддержка AES уже реализована в Windows XP, пока только опционально.

Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков, в частности, в данном направлении преуспевают Intel и Cisco. В 2004 году появляется WPA2, или 802.11i, который, в настоящее время является максимально защищённым.

Таким образом, на сегодняшний день у обычных пользователей и администраторов сетей имеются все необходимые средства для надёжной защиты Wi-Fi, и при отсутствии явных ошибок (пресловутый человеческий фактор) всегда можно обеспечить уровень безопасности, соответствующий ценности информации, находящейся в такой сети.

Сегодня беспроводную сеть считают защищенной, если в ней функционируют три основных составляющих системы безопасности: аутентификация пользователя, конфиденциальность и целостность передачи данных. Для получения достаточного уровня безопасности необходимо воспользоваться рядом правил при организации и настройке частной Wi-Fi-сети:

  Шифровать данные путем использования различных систем. Максимальный уровень безопасности обеспечит применение VPN;

    использовать протокол 802.1X;

 запретить доступ к настройкам точки доступа с помощью беспроводного подключения;

  управлять доступом клиентов по MAC-адресам;

  запретить трансляцию в эфир идентификатора SSID;

 располагать антенны как можно дальше от окон, внешних стен здания, а также ограничивать мощность радиоизлучения;

  использовать максимально длинные ключи;

  изменять статические ключи и пароли;

  использовать метод WEP-аутентификации  “Shared Key" так как клиенту для входа в сеть необходимо будет знать WEP-ключ;

  пользоваться сложным паролем для доступа к настройкам точки доступа;

 по возможности не использовать в беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеров общего доступа. Организация разделяемых ресурсов средствами NetBEUI в данном случае безопаснее;

 не разрешать гостевой доступ к ресурсам общего доступа, использовать длинные сложные пароли;

 не использовать в беспроводной сети DHCP. Вручную распределить статические IP-адреса между легитимными клиентами безопаснее;

 на всех ПК внутри беспроводной сети установить файерволлы, не устанавливать точку доступа вне брандмауэра, использовать минимум протоколов внутри WLAN (например, только HTTP и SMTP);

  регулярно исследовать уязвимости сети с помощью специализированных сканеров безопасности (например NetStumbler)

 использовать специализированные сетевые операционные системы такие как, Windows Nt, Windows 2003, Windows Xp.

Так же угрозу сетевой безопасности могут представлять природные явления и технические устройства, однако только люди (недовольные уволенные служащие, хакеры, конкуренты) внедряются в сеть для намеренного получения или уничтожения информации и именно они представляют наибольшую угрозу.

Глава 2.

2. Точка доступа D-link и ZyXel

DWL-2100AP –многофункциональная беспроводная точка доступа для сетей предприятий, которая может выполнять функции базовой станции для подключения к беспроводной сети устройств, работающих по стандартам 802.11b и 802.11g. Точка доступа разработана для установки в помещениях и предоставляет расширенные функции, включая Турбо-режим со скоростью соединения до 108 Мбит/с, функции безопасности и качества обслуживания (QoS), а также поддержку нескольких режимов работы позволяя развертывать управляемые и надежные беспроводные сети.

Скорость соединения до 108 Мбит/с
DWL-2100AP устанавливает надежное соединение с беспроводными устройствами стандарта 802.11g на скорости до 54 Мбит/с и поддерживает технологию D-Link 108G, обеспечивающую соединение на скорости до 108 Мбит/с (Турбо режим). Высокая пропускная способность, предоставляемая точкой доступа, делает это устройство идеальным решением для приложений, требовательных к полосе пропускания. Точка доступа обратно совместима с беспроводными устройствами стандарта 802.11b.

ВНИМАНИЕ! 
Скорость соединения до 108 Мбит/с при работе в режиме инфраструктуры поддерживают только следующие адаптеры: 
DWL-G650: H/W C1 и выше 
DWL-G520: H/W A3 , B1 и выше

Повышенная сетевая безопасность
DWL-2100AP поддерживает WEP-шифрование данных 64/128-бит и функции безопасности WPA/WPA2. Кроме того, она обеспечивает управление доступом пользователей с помощью фильтрации MAC-адресов, и функцию запрета широковещания SSID для ограничения доступа извне к внутренней сети.

Повышение гибкости и эффективности сети
Точка доступа может быть настроена для работы в режиме точки доступа (AP), беспроводного клиента, моста (Wireless Distribution System или WDS), WDS с точкой доступа или беспроводного повторителя. Она поддерживает до 8 SSID, позволяя администраторам логически разделить точку доступа на несколько виртуальных точек доступа внутри одной аппаратной платформы. Чтобы не создавать две отдельных сети с двумя точками доступа, администраторы могут использовать одну точку доступа для поддержки более одного приложения, например публичного доступа в Интернет и управления внутренней сетью для повышения гибкости сети и понижения расходов. Точка доступа DWL-2100AP поддерживает функцию 802.1Q VLAN Tagging, работающую с multiple SSID для сегментации трафика, с целью повышения производительности и безопасности. DWL-2100AP имеет сертификат WMM (Wi-Fi Multimedia) для качества обслуживания (QoS).

DWL-2100AP поддерживает разделение WLAN STA, функцию удобную для развертывания сетей, подобных хот спотам. Благодаря наличию разделения типа «станция-станция», повышается безопасность сети. Это связано с тем, что беспроводные пользователи не могут видеть данные друг друга и вероятность воровства информации уменьшается. Однако администраторы могут отключить эту функцию, таким образом, пользователи в офисе могут совместно использовать жесткие диски, данные и периферийные устройства, такие как беспроводный принтер. DWL-2100AP также поддерживает функцию группировки точек доступа, позволяя использовать несколько точек доступа для балансировки нагрузки и распределения беспроводных клиентов между точками доступа с одинаковыми SSID и различными неперекрывающимися каналами частот.

Расширенные функции сетевого управления
Сетевые администраторы могут управлять настройками DWL-2100AP через Web-интерфейс или Telnet. Также доступно еще одно средство администрирования - утилита на базе ОС Windows, называемая менеджером точки доступа (AP Manager). Она позволяет автоматически обнаруживать все установленные беспроводные устройства сети и настраивать несколько точек доступа. Надежная защита обеспечивается благодаря возможности доступа к интерфейсу управления точки доступа только с двух заданных администратором IP-адресов и поддержке протоколов безопасности SSL/SSH.