Рис. 2.20 Алгоритм тестирования производительности беспроводной сети

Кроме того, при тестировании точки доступа оценивались такие характеристики, как стабильность связи. Оценка этого параметра являлась субъективной. Для этого один из ноутбуков с беспроводным адаптером удалялся от точки доступа на 40-45 метров так, чтобы их разделяло несколько стен. Если при этом связь с точкой доступа обрывалась, то тест считался непройденным.

Таблица 7. Зависимость сетевого трафика от числа клиентов для точек доступа в режиме взаимодействия Infrastructure

Однако, в любом случае, те преимущества, которые позволяет получить беспроводная сеть, с лихвой компенсируют и незначительное снижение скорости передачи.

3.7 Защита беспроводной сети

Если первоначальное тестирование созданной беспроводной сети прошло успешно, можно переходить ко второму этапу - настройке безопасности сети для предотвращения несанкционированного доступа в свою сеть.

Одной из главных проблем беспроводных сетей является их безопасность. Ведь злоумышленник, имея ноутбук с адаптером IEEE 802.11b и находясь рядом с помещением (а при использовании антенн с усилением - и со зданием), в котором имеется беспроводная сеть, может без особого труда проникнуть в нее (со всеми вытекающими из этого последствиями). Причем факт прослушивания сети практически невозможно зафиксировать, да и в отличие от традиционных атак по Интернету, привычный Firewall в данных условиях ничем не поможет

Любая точка доступа, и тем более беспроводной маршрутизатор, предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Существует несколько стандартов шифрования, которые поддерживаются точками доступа.

Первым стандартом, использующимся для шифрования данных в беспроводных сетях, был стандарт WEP (Wired Equivalent Privacy). В соответствии со стандартом WEP шифрование осуществляется с помощью 40-или 104-битного ключа (некоторые модели беспроводного оборудования поддерживают и более длинные ключи), а сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Допустимо также вместо набора ASCII-символов напрямую использовать шестнадцатеричные значения (той же длины).

Как правило, в утилитах настройки беспроводного оборудования указываются не 40-или 104-битные ключи, а 64-или 128-битные. Дело в том, что 40 или 104 бита - это статическая часть ключа, к которой добавляется 24-битный вектор инициализации, необходимый для рандомизации статической части ключа. Вектор инициализации выбирается случайным образом и динамически меняется во время работы. В результате c учётом вектора инициализации общая длина ключа получается равной 64 (40+24) или 128 (104+24) битам.

Протокол WEP-шифрования, даже со 128-битным ключом, считается не очень стойким, поэтому в устройствах стандарта 802.11g поддерживается улучшенный алгоритм шифрования WPA - Wi-Fi Protected Access, который включает протоколы 802.1х, EAP, TKIP и MIC.

Протокол 802.1х -- это протокол аутентификации пользователей. Для своей работы данный протокол требует наличия выделенного RADIUS-сервера.

Протокол TKIP (Temporal Key Integrity Protocol) - это реализация динамических ключей шифрования. Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее количество возможных вариантов ключей достигает сотни миллиардов, и меняются они очень часто.

Протокол MIC (Message Integrity Check) - это протокол проверки целостности пакетов. Протокол позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом.

Помимо упомянутых протоколов, многие производители беспроводного оборудования встраивают в свои решения поддержку стандарта AES (Advanced Encryption Standard), который приходит на замену TKIP.

Однако с точки зрения всеобщей стандартизации все эти схемы защиты являются скорее заплатками, споры о надежности которых не утихают до сих пор, нежели органичной частью беспроводной технологии. Поэтому в настоящее время идет работа над официальным стандартом 802.11i, который будет описывать принципы и механизмы защиты беспроводных локальных сетей от всех известных на сегодняшний день "напастей". В стандарте 802.11i будет реализована система обновления ключей перед началом каждой сессии, кроме того, будет осуществляться проверка пакетов на предмет их принадлежности к данной сессии (дело в том, что в целях несанкционированного доступа хакеры могут повторять проходившие в сети пакеты). Для управления криптографическими ключами будет использоваться стандартная служба аутентификации при удаленном доступе RADIUS (Remote Authentication Dial-In User Service), а также спецификация IEEE802.1x Как видно, заявка на новую спецификацию является довольно всеобъемлющей, так как в ее рамках разработчикам придется охватить множество разнородных вопросов, поэтому и окончательное ее принятие будет задержано как минимум до следующего года.

3.8 Преимущества беспроводных сетей передачи данных

Беспроводные локальные сети (WLAN) обладают следующими преимуществами перед кабельными сетями (LAN):

· возможность неограниченного передвижения в области покрытия WLAN, сохраняя доступ к корпоративным информационным ресурсам;

· возможность инсталляции WLAN в случаях, когда установка обычной кабельной сети затруднена или невозможна (в исторических зданиях, на открытой местности);

· возможность создания мобильных передвижных LAN;

· высокая скорость развертывания WLAN;

· близкая к нулю стоимость эксплуатации WLAN.

3.9 Недостатки беспроводных сетей передачи данных

Низкую безопасность и защищенность данных и самих сетей Wi-Fi на сегодня можно считать главным минусом технологии. «Физически» же отследить и отсечь возможного злоумышленника или его аппаратуру внутри сферы радиусом 100 и более метров вряд ли возможно, особенно в многоярусных городских условиях. Некоторые владельцы сетей накладывают дополнительные средства секретности на более верхних уровнях. Однако все равно Wi-Fi сегодня не рекомендуется для использования в правительственных структурах, в ряде частных компаний.

Впрочем, в большей части работающих сегодня сетей не задействованы даже те средства защиты, которыми обладает нынешний Wi-Fi, даже элементарные пароли (это дает повод специалистам по безопасности говорить, что подобная, полностью открытая, сеть -- идеальное место для криминальных хакерских атак: хакер со своим компьютером просто входит в «пятно» сети, выполняет свои действия и затем покидает его; при последующем расследовании все улики покажут на владельца сети -- и ему даже, возможно, придется отвечать перед законом).

Еще один недостаток технологии -- быстрый расход батареек из-за постоянной работы передатчика у оснащенных Wi-Fi-цепями мобильных устройств. Особенно это чувствительно для маленьких устройств вроде PDA и телефонов -- из-за чего их изготовители и не спешат добавлять им функции Wi-Fi; некоторые даже требуют введения в стандарт режимов работы с меньшими скоростями, на которых расход энергии идет не столь интенсивно, разрабатывают специальные маломощные энергосберегающие чипсеты, не удовлетворяющие требованиям 802.11g по дальнобойности. Сейчас готовятся наборы микросхем нового поколения, которые допускают для абонентского устройства «спящий» режим Wi-Fi, из которого его может вывести базовая станция доступа беспроводных сетей передачи данных.

Заключение

В России пока существенно меньше ноутбуков и мобильных телефонов, чем в западных странах, но благодаря новым беспроводным технологиям наша страна имеет шанс совершить мощный скачок и стать на один уровень с наиболее развитыми странами. Как ни парадоксально, предпосылкой для такого скачка является тот факт, что Россия не делала колоссальных инвестиций в создание проводной инфраструктуры и может сразу начать внедрение самых современных беспроводных сетей. С их помощью можно дать доступ в Интернет малому бизнесу, школам, университетам во всех уголках России.

Моделирование беспроводной локальной сети в условиях высокой нагрузки

Как уже отмечалось выше, используя режим скрытого идентификатора беспроводной сети, пользователь, сканирующий эфир на предмет наличия беспроводных сетей, не будет видеть SSID существующей беспроводной сети. Для активации данного режима (режим Hidden SSID) на каждой точке доступа необходимо установить опцию Enable (рис. 5.2). В некоторых точках доступа данный режим может называться как Broadcast SSID. В этом случае используется опция disable.

Рис. 5.2 Активация режима скрытого идентификатора сети (поменять рисунок)

Итак, после того как все основные настройки точки доступа сделаны, можно приступать к настройкам беспроводных адаптеров на клиентах сети.

5.1.3 Настройка шифрования и аутентификации пользователей

Любая точка доступа и тем более беспроводной маршрутизатор предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Я использовал шифрование WPA-TKIP.

Существует два типа WPA-шифрования: стандартный режим WPA (иногда встречается название WPA -- Enterprise) и WPA Pre-shared key или WPA -- персональный.

Режим WPA -- Enterprise используется в корпоративных сетях, поскольку требует наличия RADIUS-сервера.

А вот режим WPA Pre-shared key предназначен для персонального использования. Этот режим предусматривает использование заранее заданных ключей шифрования (пароль доступа), одинаковых для всех сетевых устройств, а первичная аутентификация пользователей осуществляется с использованием данного ключа.

Существует также алгоритм WPA 2 (следующая версия протокола WPA). Если все устройства беспроводной сети поддерживают данный режим, то вполне можно им воспользоваться. Настройки в данном случае осуществляются точно такие же, как и в случае WPA-режима.

В качестве алгоритмов шифрования при использовании стандарта WPA можно выбрать TKIP или AES.

Для настройки WPA-шифрования в главном окне настройки точки доступа выберите тип аутентификации WPA Pre-shared key и установите тип шифрования (WPA Encryption) TKIP или AES. Затем требуется задать ключ шифрования (WPA PSK Passphrase). В качестве ключа может быть любое слово.

Далее необходимо реализовать аналогичные настройки на всех беспроводных адаптерах сетевых компьютеров. Пример настройки беспроводного адаптера при помощи утилиты управления Intel PROSet / Wireless показан на рис. 5.3.

Рис. 5.3. Настройки WPA-TKIP-шифрования в точке доступа (поменять рисунок)

5.2 Настройка беспроводных адаптеров пользователей

5.2.1 Настройка с использованием утилиты Intel PROSet/Wireless

Настройка конкретного беспроводного адаптера, естественно, зависит от версии используемого драйвера и утилиты управления. Однако сами принципы настройки остаются неизменными для всех типов адаптеров. Учитывая популярность ноутбуков на базе мобильной технологии Intel Centrino, неотъемлемой частью которой является наличие модуля беспроводной связи, настройку беспроводного соединения мы произведем в диалоговом окне Intel PROSet/Wireless (значок этого окна находится в системном трее), с помощью которого будет создаваться профиль нового беспроводного соединения (рис. 5.4).

Нажмите на кнопку Добавить, чтобы создать профиль нового беспроводного соединения. В открывшемся диалоговом окне Создать профиль беспроводной сети (рис. 5.4) введите имя профиля (Weber) и имя беспроводной сети (SSID), которое было задано при настройке точки доступа (weber-wireless-network).

Рис. 5.4 Диалоговое окно настройки нового профиля беспроводной сети

Далее настроиваем защиту беспроводной сети. Откроем главное окно утилиты, выберем профиль соединения и нажмите на кнопку Свойств. В открывшемся диалоговом окне перейдем к закладке Настройка защиты и выберем тип сетевой аутентификации WPA-PSK. Далее выберите тип шифрования TKIP, введем ключ шифрования (рис. 5.5).

Рис. 5.5 Задание параметров TKIP-шифрования на беспроводном адаптере с помощью утилиты Intel PROSet/Wireless

5.2.2 Настройка с использованием клиента Microsoft

При использовании для настройки беспроводного адаптера клиента Microsoft (универсальный метод, который подходит для всех беспроводных адаптеров) прежде всего следует убедиться в том, что не используется утилита управления адаптером.

Щелкните на значке My Network Places (Сетевое окружение) правой кнопкой мыши и в открывшемся списке выберите пункт Properties (Свойства). В открывшемся окне Network Connection (Сетевые соединения) выберите значок Wireless Network Connection (Беспроводные соединения) и, щёлкнув на нём правой кнопкой мыши, снова перейдите к пункту Properties. После этого должно открыться диалоговое окно Wireless Network Connection Properties (Свойства беспроводного сетевого соединения), позволяющее настраивать беспроводной сетевой адаптер (рис. 5.6).

Рис. 5.6 Диалоговое окно настройки беспроводного сетевого адаптера (поменять рисунок)

Перейдя на вкладку «Wireless Networks» (беспроводные сети), нажмите на кнопку «Add…» (добавить) и в открывшемся диалоговом окне «Wireless network properties» (свойства беспроводного соединения) введите имя беспроводной сети (SSID) (рис. 5.7). Остальные поля (настройка защиты) пока оставьте без изменения.

Рис. 5.7 Настройка профиля беспроводного соединения (поменять рисунок)

Независимо от того, какой из перечисленных способов используется для создания профиля беспроводного соединения, после его создания беспроводной адаптер должен автоматически установить соединение с точкой доступа.

5.3 Установка и настройка сервера VPN

На рис. 5.8 показана сеть LAN с серверами Windows 2003. Офис имеет сеть в диапазоне адресов от 10.10.10.1 до 10.10.10.254, а пользователи WI-FI получают IP в диапазоне от 192.168.10.3 до 192.168.10.254. Эти сети соединены через WI-FI, который можно использовать для строительства сети VPN.

Рис. 5.8 Использование Server VPN в сетях LAN и WLAN

На сервере из меню Administrative Tools (рис. 5.9) выбераем пункт Routing and Remote Access. Если на систему не установлен RRAS, то необходимо добавить его в конфигурацию сервера. Операционная система Windows 2003 Server не устанавливает или конфигурирует RRAS по умолчанию. Если RRAS предварительно установлен и сконфигурированы какие-либо маршруты или режимы удаленного доступа к системе, то будет необходимо использовать установки VPN.

Рис. 5.9 Меню Administrative Tools

Нажимаем правую кнопку мыши на имени сервера (SERVER-DIP1 в этом случае) на левой панели окна Microsoft Management Console (MMC), затем выберем Configure and Enable Routing and Remote Access (RRAS). Это действие запускает мастер, который проводит через процесс конфигурации RRAS в системе. Хотя мастера полезны для большинства задач администрирования и конфигурирования, в этом случае мастер не позволяет выполнить все необходимые операции по настройке. Следовательно, выбираем режим Manually Configured Server в первом диалоговом окне мастера.

После того как мы проинструктировали мастера, что хотим конфигурировать систему вручную, он запускает RRAS. После запуска RRAS снова нажимаем правую кнопку мыши на имени сервера на левой панели окна MMC. Выберите пункт Properties и откроете страницу SERVER-DIP1 Properties. На закладке General убедитесь, что активизирован режим маршрутизации между локальной сетью и коммутируемым соединением.

Следующий шаг - это выбор протоколов, которые сервер может маршрутизировать. В VPN данные шифруются и скрываются внутри IP пакетов, поэтому она может маршрутизировать протоколы, которые обычно не используются в Internet, такие как NWLink IPX/SPX. Для выбора протоколов, которые хочется маршрутизировать по сети Internet, отметьте режимы маршрутизации и соединения по запросу, затем щелкните левой кнопкой мыши на кнопке Apply. На рис. 5.10 показана закладка IP с необходимыми режимами. Проверьте закладки для протоколов, которые не требуется маршрутизировать, и сбросьте у них все установки по маршрутизации и соединению по запросу.

Рис 5.10 Закладка IP с необходимыми режимами

5.3.1 Создание интерфейса соединения по запросу

После того, как мы выбрали протоколы системы удаленного офиса для маршрутизации через сеть Internet, вы должны определить на удаленной системе интерфейс подключения по запросу к главной офисной системе и создать Internet соединение между двумя точками. В окне оснастки Routing and Remote Access нажмите правую кнопку мыши на контейнере Routing Interfaces на сервере SERVER-DIP1 и выберите New Demand-Dial Interface.

Первый шаг мастера - присваивание интерфейсу имени - очень важен. Хотя большинство мастеров Windows 2003 Server используют предлагаемое имя просто как описание, имя интерфейса подключения по запросу в удаленном офисе должно быть точно таким же, как имя в учетных записях в главном офисе. Причина этого проста. Когда сервер главного офиса получает входящий вызов (сигнал, что другой компьютер подсоединяется к серверу через Internet), Windows 2003 Server должна определить, кто подсоединяется - пользователь или маршрутизатор. Чтобы сделать это, система Windows 2000 сравнивает имя вызывающего пользователя со списком интерфейсов подключения по запросу. Если существует точное совпадение, Windows 2003 Server предполагает, что входящий абонент это маршрутизатор и реагирует соответственно. В противном случае, система Windows 2000 просто предполагает, что входящий абонент является обычным пользователем, подключающимся удаленно.

Поскольку присвоение имени есть такой важный шаг, я ещё раз повторю: Вы должны дать интерфейсу подключения по запросу имя, которое даете учетной записи для этого интерфейса на другой системе. Для сервера удаленного офиса в данном примере, требуется обратиться к интерфейсу подключения по запросу SERVER-DIP1, потому что вы будете использовать этот интерфейс для соединения с главным офисом.

После выбора имени для интерфейса подключения по запросу выберите Next. Можно использовать интерфейсы подключения по запросу для маршрутизации трафика по стандартным аналоговым телефонным линиям и ISDN каналам или через Internet (с VPN). Для создания сети VPN выберите второй вариант - соединение с использованием VPN. Щелкните Next.

Рис. 5.11 Выбор протокола

На рис. 5.11 показано диалоговое окно, где выбирается протокол. Компания Microsoft включила в операционную систему Windows 2003 Server два протокола для VPN: PPTP и Layer 2 Tunneling Protocol (L2TP). Компания Microsoft разработала протокол PPTP, который определен в Internet Engineering Task Force (IETF) Request for Comments (RFC) 2637 и запустила его в действие в операционной системе Windows NT в 1996 году. Протокол PPTP использует TCP порт 1723 и IP протокол 47 (Generic Routing Encapsulation - GRE). Почти в тоже время компания Cisco Systems разработала протокол Layer 2 Forwarding (L2F) для VPN и использовала его в своих устройствах. В дальнейшем компании Microsoft и Cisco объединили свои протоколы, сформировав в результате протокол L2TP (RFC 2661), который использует UDP порты 500 и 1701. Лично я предпочитаю протокол L2TP, а не протокол PPTP, потому что первый основывается на IP Security (IPSec) для шифрования рутинных операций, а не на Microsoft Point-to-Point Encryption (MPPE). Однако в соответствии с информацией из файлов подсказки Microsoft, протокол PPTP проще настраивать, поэтому в данном примере будем использовать PPTP.

Рис. 5.12 Установка IP адреса

Для выбора VPN протокола для дальнейшей работы, щелкните Next. Интерфейсу подключения по запросу необходимо задать номер для <набора>, поэтому введите общедоступный IP адрес системы SERVER-DIP1 (например, 10.0.0.130), как показано на (рис. 5.12) Windows 2003 Server попытается создать VPN соединение по этому адресу, маршрутизируя трафик рабочей станции, размещенной в локальной сети, из удаленного офиса в главный офис.

Следующий шаг в задании интерфейса подключения по запросу - это выбор протоколов для маршрутизации через этот интерфейс. Мы предварительно сконфигурировали протоколы, которые сервер мог маршрутизировать; сейчас определяются протоколы для специфичного интерфейса подключения по запросу. На рис. 5.13 показано окно для выбора необходимых протоколов. Также можно выбрать режим создания учетной записи для удаленного роутера при его подключении, но я предпочитаю выполнять этот шаг вручную. Щелкните Next.

Рис. 5.13 Окно протоколов

Когда ваша удаленная офисная система "позвонит" роутеру в главном офисе, система главного офиса должна установить подлинность удаленной системы, перед тем как маршрутизировать трафик удаленной системы в сеть главного офиса. Таким образом, необходимо установить специальный набор Dial Out Credentials для Windows 2000 Server и использовать его, когда сервер подключается по запросу к удаленным системам. Выбираемые имя и пароль важны потому, что необходимо создать учетную запись в системе главного офиса с тем же самым именем и паролем. Интерфейс подключения по запросу главного офиса так же будет использовать это имя.

После присвоения имени своей удаленной системе, интерфейс подключения по запросу из удаленного офиса будет полностью скопирован в главный офис. Следующий шаг - это определить на сервере удаленного офиса статический маршрут в главную офисную сеть.

5.3.2 Создание статического маршрута

Для создания статической маршрутизации откройте окно MMC Routing and Remote Access, контейнер сервера и выберите IP Routing. Нажмите правой кнопкой мыши на узле Static Routes и выберите New Static Route, открыв диалоговое окно, которое показано на рис 5.14. Это диалоговое окно применяется для указания системе Windows 2000 Server использовать интерфейс подключения по запросу для доставки любых пакетов, отправленных в заданную область IP адресов. Для нашей сети, Windows 2000 сервер удаленного офиса должен использовать ранее определенный интерфейс MAIN-OFFICE для маршрутизации в главный офис любых пакетов с адресами пунктов назначения в диапазоне от 172.16.0.1 до 172.16.0.254. Следовательно, для создания надежного и правильного интерфейса подключения по запросу, появившегося в поле Interface, необходимо ввести соответствующий IP адрес и маску подсети, а затем выбрать флажок Use this route to initiate demand-dial connections.

Рис. 5.14 Диалоговое окно интерфейса подключения

После окончания конфигурации маршрутизации системы удаленного офиса, необходимо добавить пользователя. Когда один сервер соединяется с другим сервером для маршрутизации трафика, он должен иметь комбинацию из имени пользователя и пароля для того, чтобы принимающая система могла установить подлинность вызывающей. На сервере удаленного офиса создайте пользователя с именем MAIN-OFFICE, это имя используется для интерфейса подключения по запросу. Задайте пользователю стандартные установки (сбросьте флажки User must change password at next logon, Password never expires и User cannot change password), затем сконфигурируйте свойства для подключения, как показано на рис 5.15.