Беспроводные локальные сети. Беспроводная сеть что это. Обеспечение безопасности беспроводной локальной сети.

Подробное описание

Беспроводная локальная сеть (WLAN) представляет собой беспроводную компьютерную сеть , которая связывает два или более устройств с помощью метода беспроводного распределения (часто с расширенным спектром или OFDM) в пределах ограниченной области, таких как дома, школы, компьютерной лаборатории или офисного здания. Это дает пользователям возможность передвигаться в пределах локальной зоны покрытия и по-прежнему быть подключенными к сети , а также может обеспечить подключение к Интернету . Большинство современных беспроводных локальных сетей основаны на стандартах IEEE 802.11, продаваемые под торговой маркой Wi-Fi .

Беспроводные локальные сети стали популярными в быту, благодаря простоте установки и использования, а также в коммерческих комплексах, предлагающих беспроводный доступ к своим клиентам, часто бесплатно.

А знаете ли Вы, что... Нью-Йорк, к примеру, начал пилотную программу по предоставлению городским рабочим во всех районах города беспроводного доступа в Интернет.

Изначально аппаратные средства WLAN (Wireless Local Area Network) использовались только в качестве альтернативы кабельной сети , где использование кабелей было труднодоступным или невозможным вовсе.

СТАНЦИИ
Все компоненты, которые могут быть соединены в беспроводную среду в сети, называются станциями . Все станции оснащены беспроводными контроллерами сетевого интерфейса (WNICs) . Беспроводные станции попадают в одну из двух категорий: точки беспроводного доступа и клиентов . Точки доступа , как правило, беспроводные маршрутизаторы являются базовыми станциями для беспроводной сети . Они передают и принимают радиочастоты для беспроводных устройств с поддержкой для связи с другими. Беспроводными клиентами могут быть мобильные устройства, такие как ноутбуки, карманные персональные компьютеры, IP-телефоны и другие смартфоны или стационарные устройства, такие как настольные компьютеры и рабочие станции, которые оснащены беспроводным сетевым интерфейсом .

БАЗОВЫЙ КОМПЛЕКТ
Базовый набор обслуживания представляет собой совокупность всех станций, которые могут взаимодействовать друг с другом на физическом уровне. Каждый набор имеет идентификационный номер и называется BSSID , который является MAC-адресом точки доступа , обслуживающей базовый сервис.

Есть два типа базового набора обслуживания : Независимый BSS (IBSS) и инфраструктура BSS . Независимый BSS (IBSS) представляет собой специальную сеть, которая не содержит точек доступа , что означает, что они не могут подключаться к любым другим основынм службам.

РАСШИРЕННЫЙ НАБОР УСЛУГ
Расширенный набор обслуживания (ESS) представляет собой набор связных BSS , точки доступа в котором соединены системой распределения. Каждая ESS имеет идентификатор, называемый идентификатор SSID , который является 32-байтовой строкой символов.

СИСТЕМА РАСПРЕДЕЛЕНИЯ
Система распределения (DS) соединяет все точки доступа в Расширенном наборе услуг . DS может использоваться для увеличения зоны покрытия сети через роуминг между ячейками.

Также, DS может быть проводной или беспроводной . Современные беспроводные системы распределения в основном базируются на WDS или сетчатых протоколах, однако используются и другие системы.

Беспроводные технологии – классификация беспроводных сетей

Прежде всего, давайте определимся с названиями и стандартами, дабы мы с вами говорили на одном языке.
Итак, взаимодействие беспроводных устройств регламентируется целым рядом стандартов. В них указывается спектр радиочастотного диапазона, скорость передачи данных, способ передачи данных и прочая информация. Главным разработчиком технических стандартов беспроводной связи является организация IEEE .
Стандарт IEEE 802.11 регламентирует работу беспроводных устройств в сетях WLAN (Wireless LAN). На сегодняшний день действуют следующие поправки - 802.11a, 802.11b, 802.11g и 802.11n. Все эти технологии отнесены к категории Wi-Fi (Wireless Fidelity).

Организация "Wi-Fi Alliance " отвечает за тестирование устройств для беспроводных LAN, выпущенных разными производителями. Логотип Wi-Fi на корпусе устройства означает, что это оборудование может взаимодействовать с другими устройствами того же стандарта.
Для тех, кому любопытно, я привожу некоторые технические данные существующих ревизий стандарта IEEE 802.11:
802.11a:

• использует радиочастотный спектр 5 ГГц;
• несовместим со спектром 2.4 ГГц, т.е. устройствами 802.11 b/g/n;
• радиус действия – приблизительно 33% от 802.11 b/g;
• сравнительно дорог в реализации по сравнению с другими технологиями;
• оборудование, отвечающее стандарту 802.11a, становится все более редким.

802.11b:

• первая технология 2.4 ГГц;
• максимальная скорость передачи данных 11 Мбит/с;
• радиус действия – приблизительно 46 м в помещении и 96 м на открытом воздухе.

802.11g:

• семейство технологий 2.4 ГГц;
• максимальная скорость передачи данных повышена до 54 Мбит/с;
• радиус действия – такой же, как у 802.11b;
• имеется обратная совместимость с 802.11b.

802.11n:

• новейший стандарт;
• технологии 2.4 ГГц (в проекте стандарта предусмотрена поддержка 5 ГГц);
• увеличенный радиус действия и пропускная способность;
• обратная совместимость с существующим оборудованием 802.11g и 802.11b.

Большинство существующих ныне устройств работают со стандартами 802.11g и 802.11n. Примечательно, что из-за массы преимуществ, широкое использование стандарта 802.11n началось задолго до его ратификации.
Каждая беспроводная точка доступа имеет свой идентификатор набора услуг (SSID) – нам, пользователям, этот идентификатор представлен как имя сети:

Идентификатор SSID сообщает беспроводным устройствам, к какой беспроводной сети они принадлежат и с какими устройствами они взаимодействуют. Соответственно, если несколько беспроводных устройств (компьютеров) подключаются к одной точке доступа – они образуют локальную беспроводную сеть.
Идентификатор SSID представляет собой алфавитно-цифровую строку, воспринимаемую с учетом регистра, длиной до 32 символов. Этот идентификатор пересылается в заголовке всех пакетов данных, передаваемых по локальной беспроводной сети.

Существуют два вида беспроводных сетей: ad-hoc и инфраструктурная сеть.

Как было упомянуто, точка доступа имеет ограниченную зону покрытия. Для увеличения зоны покрытия, можно установить несколько точек доступа с общим SSID. В таком случае, следует помнить, что для того, чтобы переход между сотами был возможен без потери сигнала, зоны покрытия соседних точек доступа должны пересекаться между собой примерно на 10%. Это позволяет клиенту подключаться ко второй точке доступа перед тем, как отключиться от первой точки доступа.

Базовая настройка точки доступа

Давайте попробуем настроить точку доступа. Я приведу пример настройки интегрированного маршрутизатора (именно так называется та коробочка, которая совмещает в себе маршрутизатор, коммутатор и беспроводную точку доступа) D-Link DGL-4500. Поскольку веб-интерфейс взаимодействия с маршрутизатором очень похож у различных моделей различных производителей, вы без труда сможете проделать те же операции со своим устройством.
В моем случае настройки беспроводного соединения выглядят следующим образом:

Разберем наиболее значимые пункты:

• Enable Wireless – включает и выключает точку доступа. Нас, разумеется, интересует состояние «вкл».
• Wireless Network Name (Also called SSID) – идентификатор беспроводной сети, или иными словами, её имя. Идентификатор SSID является отличительным признаком каждой беспроводной локальной сети, и все устройства, участвующие в одной сети, должны использовать единый идентификатор SSID.
• 802.11 Band – эта настройка не присутствует в большинстве маршрутизаторов и отвечает частоту используемого радиочастотного спектра. Оставим значение по умолчанию – 2.4 ГГц.
• 802.11 Mode – здесь стоит заострить внимание. Большинство точек доступа для домашнего использования поддерживают различные стандарты. Это, в основном, стандарты 802.11b, 802.11g и 802.11n. Хотя все они используют диапазон частот 2.4 ГГц, в каждом из них применяется своя технология достижения максимальной пропускной способности. Поэтому выбор 802.11 Mode в точке доступа зависит от типа подключенного беспроводного устройства. Если к точке доступа подключен только один тип устройств, выберите 802.11 Mode, поддерживающий данное устройство. Если подключено несколько типов беспроводных устройств, следует выбрать смешанный режим, но помните, что производительность сети снизится из-за повышенной нагрузки на поддержку нескольких 802.11 Mode. О типе стандарта беспроводной связи в каждом устройстве можно узнать в руководстве пользователя.
• Wireless Channel – если бы все точки доступа работали на единой частоте, то окажись в единой зоне покрытия, они стали бы серьезной помехой друг на друга, так же как мешаю две радиостанции на соседних частотах. Для решения этой проблемы, были созданы 11 каналов беспроводной связи – каждому каналу своя частота (все они близки к 2.4ГГц или 5ГГц в зависимости от используемого типа соединения). Канал для точки доступа выбирается с учетом прилегающих беспроводных сетей. Для достижения оптимальной работы соседних точек доступа следует пропускной способности необходимо выбирать в каждой из них каналы с разницей как минимум в 6 каналов (например, в одной 1й канал, во второй 7ой и выше). Во всех точках доступа предусмотрена возможность ручной настройки канала. В моей точке доступа также предусмотрена возможность автоматического поиска наименее загруженных каналов (настройка Enable Auto Channel Scan).
• Transmission Rate и Channel Width – эти настройки также не присутствует в большинстве маршрутизаторов и отвечают за скорость передачи данных. Оставим в них значения по умолчанию.
• Visibility Status – для быстрого обнаружения беспроводной сети клиентами, точка доступа каждые несколько секунд рассылает идентификатор сети SSID. Функцию рассылки SSID можно отключить, если установить Visibility Status в положение «invisible». В таком случает, идентификатор SSID не будет выдаваться в эфир, то его необходимо будет вручную настроить на беспроводных клиентах, поэтому невидимость сети может служить дополнительной мерой безопасности для пресечения нежелательных подключений. Это может быть полезным, в случае, если необходимо скрыть сеть (она просто не будет показываться в результатах поиска доступных сетей на клиентских устройствах).

После сохранения настроек, беспроводная сеть станет доступной для подключения. Настало время познакомиться с настройками безопасности.

Обеспечение безопасности беспроводной локальной сети

Одним из главных преимуществ беспроводных сетей является удобство в подключении устройств. Обратной стороной медали является уязвимость сети для перехвата информации и атак со стороны злоумышленников – взломщику не требуется физического подключения к вашему компьютеру или к любому другому устройству для получения доступа в вашу сеть; он может настраиваться на сигналы вашей беспроводной, сети точно так же, как на волну радиостанции.
Взломщик может получить доступ в вашу сеть из любой точки в пределах действия беспроводной связи. Получив доступ к вашей сети, злоумышленники смогут бесплатно воспользоваться вашими интернет-услугами, а также получить доступ к компьютерам в сети и повредить файлы, либо украсть персональную или конфиденциальную информацию. Разумеется, сказанное не относится к кафе, аэропортам и других заведениях, где специально устанавливается точка доступа лишенная какой-либо защиты, для того чтобы ей могли пользоваться все желающие.
Для защиты от упомянутых уязвимостей беспроводной связи необходимы специальные функции обеспечения безопасности и методы защиты от внешних атак. Для этого достаточно выполнить несколько несложных операций в процессе исходной настройки точки доступа.
Как было сказано, один из простейших способов ограничить доступ в беспроводную сеть – отключить рассылку идентификатора SSID.
В качестве дополнительной меры защиты настоятельно рекомендуется изменить настройки, заданные по умолчанию, так как интегрированные маршрутизаторы поставляются с предварительно настроенными SSID, паролями и IP-адресами. Используя настройки по умолчанию, злоумышленник сможет легко идентифицировать сеть и получить доступ.
Даже если рассылка SSID отключена, существует вероятность проникновения в сеть, если злоумышленнику стал известен SSID, заданный по умолчанию. Если не изменить другие настройки по умолчанию, а именно пароли и IP-адреса, то взломщики могут проникнуть в точку доступа и внести изменения в ее конфигурацию. Настройки, заданные по умолчанию, должны быть изменены на более безопасные и уникальные.
Эти изменения сами по себе еще не гарантируют безопасности вашей сети. Например, SSID передаются открытым текстом, без шифрования данных. Но сегодня имеются устройства для перехвата беспроводных сигналов и чтения сообщений, составленных открытым текстом. Даже если функция рассылки SSID отключена и значения по умолчанию изменены, взломщики могут узнать имя беспроводной сети с помощью таких устройств, так как идентификатор пересылается в заголовке всех пакетов данных, передаваемых по локальной беспроводной сети. Используя эту информацию, они смогут подключиться к сети. Для обеспечения безопасности беспроводной локальной сети следует использовать комбинацию из нескольких методов защиты.
Один из способов ограничения доступа в беспроводную сеть – фильтрация по MAC-адресам :

При использовании фильтрации по MAC-адресам решение о допуске конкретного устройства в беспроводную сеть принимается на основании MAC-адреса. При каждой попытке беспроводного клиента установить соединение или ассоциироваться с точкой доступа он должен передать свой MAC-адрес. Если включена функция фильтрации по MAC-адресам, то точка доступа выполнит поиск MAC-адреса этого устройства по своему предварительно заданному списку. Подключение к сети будет разрешено только тем устройствам, чьи MAC-адреса внесены в базу данных маршрутизатора. Если MAC-адрес в базе данных отсутствует, то устройству будет отказано в подключении или обмене данных по беспроводной сети.
Узнать MAC-адрес сетевой карты компьютера можно выполнив команду getmac в командной строке. MAC-адреса других сетевых устройств доступны в настройках самих устройств либо в руководстве пользователя.
Такой способ обеспечения безопасности имеет некоторые недостатки. Например, он предполагает, что MAC-адреса всех устройств, которым должен быть предоставлен доступ в сеть, включены в базу данных до того, как будет выполнена попытка соединения. Устройство, не распознанное по базе данных, не сможет выполнить соединение. Кроме того, взломщик может создать клон MAC-адреса устройства, имеющего доступ в сеть.
Другой способ администрирования доступа – аутентификация. Аутентификация – это предоставление разрешения на вход в сеть по результатам проверки подлинности набора учетных данных (пароля и в некоторых случаях имени пользователя).
Существует три группы методов аутентификации в беспроводных сетях: открытая аутентификация, PSK и EAP.

• Открытая аутентификация – это установка аутентификации по умолчанию, при которой всем устройствам разрешено устанавливать соединения независимо от их типа и принадлежности. Открытая аутентификация должна использоваться только в общедоступных беспроводных сетях, например, в школах и интернет-кафе (ресторанах).
• Предварительно согласованный ключ (PSK) – в данном режиме точка доступа и клиент должны использовать общий ключ или кодовое слово. Точка доступа отправляет клиенту случайную строку байтов. Клиент принимает эту строку, шифрует ее, используя ключ, и отправляет ее обратно в точку доступа. Точка доступа получает зашифрованную строку и для ее расшифровки использует свой ключ. Если расшифрованная строка, принятая от клиента, совпадает с исходной строкой, отправленной клиенту, то клиенту дается разрешение установить соединение. Как видно, в этой технологии выполняется односторонняя аутентификация, т.е. точка доступа проверяет реквизиты подключаемого узла. PSK не подразумевает проверки устройством подлинности точки доступа, а также не проверяет подлинности пользователя, подключающегося к точке доступа.
• Расширяемый протокол аутентификации (EAP) – обеспечивает взаимную или двухстороннюю аутентификацию, а также аутентификацию каждого конкретного пользователя. Если на стороне клиента установлено программное обеспечение EAP, клиент взаимодействует с внутренним сервером аутентификации, таким как служба удаленной аутентификации пользователей с коммутируемым доступом (RADIUS). Этот внутренний сервер работает независимо от точки доступа и ведет базу данных пользователей, имеющих разрешение на доступ в сеть. При применении EAP пользователь должен предъявить имя и пароль, которые затем проверяются по базе данных сервера RADIUS. Если предъявленные учетные данные являются допустимыми, пользователь рассматривается как прошедший аутентификацию.

Если функция аутентификации включена, то независимо от применяемого метода клиент должен успешно пройти аутентификацию до того, как ему будет предоставлено разрешение на соединение с точкой доступа. Если включены функции аутентификации и фильтрации по MAC-адресам, то в первую очередь выполняется аутентификация.
Аутентификация и фильтрация по MAC-адресам могут блокировать взломщику доступ в беспроводную сеть, но не смогут предотвратить перехват передаваемых данных. Поскольку не существует четких границ беспроводных сетей и весь трафик передается без проводов, то взломщик может легко перехватить или прочитать кадры данных беспроводной сети. Шифрование – это процесс преобразования данных таким образом, чтобы даже перехват информация оказывается бесполезным. Существуют несколько способов шифрования данных в беспроводных сетях:

• Протокол обеспечения конфиденциальности, сопоставимой с проводными сетями (WEP) – это усовершенствованный механизм безопасности, позволяющий шифровать сетевой трафик в процессе передачи. В протоколе WEP для шифрования и расшифровки данных используются предварительно настроенные ключи. WEP-ключ вводится как строка чисел и букв длиной 64 или 128 бит (в некоторых случаях протокол WEP поддерживает и 256-битные ключи). Для упрощения создания и ввода этих ключей во многих устройствах используются фразы-пароли. Фраза-пароль – это простое средство запоминания слова или фразы, используемых при автоматической генерации ключа.
• Для эффективной работы протокола WEP точка доступа, а также каждое беспроводное устройство, имеющее разрешение на доступ в сеть, должны использовать общий WEP-ключ. Без этого ключа устройства не смогут распознать данные, передаваемые по беспроводной сети.
• Протокол WEP – это эффективное средство защиты данных от перехвата. Тем не менее, протокол WEP также имеет свои слабые стороны, одна из которых заключается в использовании статического ключа для всех устройств с поддержкой WEP. Существуют программы, позволяющие взломщику определить WEP-ключ. Эти программы можно найти в сети Интернет. После того как взломщик получил ключ, он получает полный доступ ко всей передаваемой информации.
• Одним из средств защиты от такой уязвимости является частая смена ключей. Существует усовершенствованное и безопасное средство шифрования – протокол защищенного доступа к Wi-Fi (WPA).
• Протокол защищенного доступа к Wi-Fi (WPA) – в этом протоколе используются ключи шифрования длиной от 64 до 256 бит. При этом WPA, в отличие от WEP, генерирует новые динамические ключи при каждой попытке клиента установить соединение с точкой доступа. По этой причине WPA считается более безопасным, чем WEP, так как его значительно труднее взломать.

Наиболее предпочтительным видом соединения в условиях дома или небольшого офиса является использование режима WPA-Personal:

При таком соединении все пользователи, желающие подключиться к сети, будут должны ввести единый пароль, заранее заданный в настройках точки доступа (Pre-Shared Key), а пересылаемые данные будут зашифрованы протоколом WPA.
В условиях масштабной беспроводной сети, возможно, стоит перейти на использование WPA-Enterprise, где контроль доступа к сети будет регулироваться сервером аутентификации RADIUS, а пересылаемые данные будут зашифрованы протоколом WPA.

Настройка клиентов

В случае включенной рассылки SSID, настройка клиентов, укомплектованных современным программным обеспечением, сводится к простому вводу пароля (в случае не открытой аутентификации в сети):

В случае отключенной рассылки SSID, сеть единожды придется определить вручную. В Windows 7 для этого нужно зайти в Network and Sharing Center, выбрать Manage Wireless Networks и нажать кнопку Add. В появившемся окне выбираем Manually create a network profile и в появившемся окне вводим все данные сети:

После сохранения настроек вы сможете подключаться к данной скрытой сети в любое время, выбрав ее в списке доступных.

Метки: wlan, беспроводные сети, аутентификация