Автор: Пользователь скрыл имя, 10 Марта 2013 в 07:42, отчет по практике
В первой части будет рассмотрен самый простой случай. Имеем 2 или более компьютеров со встроенной в материнскую плату или установленной отдельно сетевой картой, коммутатор (switch) или даже без него, а так же канал в Интернет, предоставленный ближайшим провайдером. Зафиксируем, что на всех компьютерах установлена операционная система Microsoft Windows XP Professional с Service Pack версии 1. Если у нас всего лишь два компьютера и в наличии нет коммутатора, то для создания сети между двумя компьютерами требуется наличие сетевой карты в каждом из них и кросс-овер кабель для объединения компьютеров друг с другом. Почему кросс-овер и чем плох обычный кабель?
Введение………………………………………………………………………………………….3
Развертывание локальной проводной сети и подключение её к интернету…………………4
Построение WiFi сети………………………………………………………………………….16
Настройка WEP/WPA шифрования в беспроводной сети…………………………………...24
В ASUS WLAN Control Center есть еще одна полезная опция — сохранение текущих настроек в профайл. Таким образом, можно создать несколько профилей (один — для дома, другой — для работы) и подгружать тот или другой (например, через Asus Mobile Manager) по мере необходимости. Возможность сохранения профилей есть в интерфейсах к беспроводным картам у многих производителей. В том числе и в интерфейсе Zero Wireless Configuration (встроенный в Windows интерфейс управления беспроводными устройствами).
Беспроводной адаптер на ноутбуке настроен (исключая шифрование). Переходим к настройке адаптера с PCI интерфейсом.
2. Интерфейс управления в реализации от Ralink — Asus WL-130g
Ralink Configuration Utility помещает себя в трей. При нажатии правой кнопкой на него появляется меню, позволяющее выбрать, кто будет управлять беспроводным адаптером — Windows или Ralink Utility.
При запуске интерфейса мы попадаем в раздел Site Survey, где показываются находящиеся поблизости беспроводные сети. В данном случае видна лишь одна сеть — my_net, так как сеть с этим именем уже настроена на ноутбуке. Достаточно выделить ее и кликнуть на кнопку Add to Profile (создать профиль настроек для этой сети).
Если в Site Survey нет списка доступных сетей (допустим, это первый компьютер, на котором настраивается беспроводная сеть), достаточно перейти в закладку Profile(профили) и нажать Add (добавить).
Для этого в Пуск —> Выполнить
ping 169.254.21.55 -t
и жмем Enter или кнопку Ok.
Удаленный компьютер должен отвечать на ping-запросы, а счетчик полученных пакетов — увеличиваться. Если этого не происходит, то беспроводная сеть не функционирует. Возможные причины — разные каналы, разные SSID, разные ключи/типы шифрования, или на одном компьютере оно включено, на втором — нет. Так же возможно, что на каком-то из компьютеров установлен 802.11b адаптер, а на другом — 802.11g, а также на втором отключена работа в режиме совместимости с 802.11b (возможно, также вместо 54G Auto нужно поставить 54G LRS или даже перевести все адаптеры в режим 802.11b Only).
3. Zero Wireless Configuration (встроенный в Windows интерфейс) - ASUS WL-140
Последний рассматриваемый интерфейс конфигурирования — встроенный в Windows. Его мы рассмотрим, настраивая внешний адаптер с USB интерфейсом ASUS WL-140.
При клике на значок беспроводного адаптера операционная система предупреждает (если она увидела беспроводную сеть), что в выбранной сети отсутствует шифрование. Все верно, мы его отключили на этапе конфигурирования (о его включении и настройке пойдет речь чуть позже). Можно установить флажок Разрешить подключение и нажать кнопку подключить — Windows установит параметры самостоятельно и мы попадем (скорее всего) в беспроводную сеть. А можно нажать кнопку Дополнительно, что и сделаем.
Выбираем доступную сеть из списка и жмем Настроить (если сети нет, то можно создать профиль для нее, нажав кнопку Добавить).
Тут проверяем, что бы SSID сети был верным, а флажок Прямое соединение компьютер-компьютер (режим Ad Hoc) — активен. Шифрование пока отключено.
После нажатия Ok, в списке Предпочитаемых сетей появится наш новый профиль. Не помешает кликнуть на Дополнительные сведения — это ссылка на систему помощи Windows по настройке беспроводных сетей. Там написано довольно много интересного. До расширенных (Advanced) настроек беспроводного адаптера можно добраться, зайдя на закладку Общие и нажав Настроить. На этом настройку последнего адаптера можно считать законченной. Опять же имеет смысл проверить работу беспроводной сети, пропинговав с каждого компьютера. Именно так, потому что в Ad Hoc сети все машины для обмена данными друг с другом, соединяются напрямую. Поэтому вполне возможна ситуация, что в сети из трех машин (A, B, C), машина A пингует машину B, машина B пингует машину C (т.е. вроде бы сеть работает), но машина C не пингует машину A. Стоит отметить, что вместо IP-адресов при пинге можно использовать Netbios-имена компьютеров. Беспроводная сеть работает, ресурсы расшариваются, компьютеры друг друга видят. Пора включать шифрование данных и выводить беспроводную локальную сеть в Интернет.
НАСТРОЙКА WEP/WPA ШИФРОВАНИЯ В БЕСПРОВОДНОЙ СЕТИ
Шифрованию данных в беспроводных сетях уделяется так много внимания из-за самого характера подобных сетей. Данные передаются беспроводным способом, используя радиоволны, причем в общем случае используются всенаправленные антенны. Таким образом, данные слышат все — не только тот, кому они предназначены. Конечно, расстояния, на которых работают беспроводные сети (без усилителей или направленных антенн), невелики — около 100 метров в идеальных условиях. Стены, деревья и другие препятствия сильно гасят сигнал, но это все равно не решает проблему.
Изначально для защиты использовался лишь SSID (имя сети). Но, вообще говоря, именно защитой такой способ можно называть с большой натяжкой — SSID передается в открытом виде и никто не мешает злоумышленнику его подслушать, а потом подставить в своих настройках нужный. Не говоря о том, что (это касается точек доступа) может быть включен широковещательный режим для SSID, т.е. он будет принудительно рассылаться в эфир для всех слушающих.
Поэтому возникла потребность именно в шифровании данных. Первым таким стандартом стал WEP — Wired Equivalent Privacy. Шифрование осуществляется с помощью 40 или 104-битного ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе). А сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Драйвера многих производителей позволяют вводить вместо набора ASCII-символов напрямую шестнадцатеричные значения (той же длины).
Производители заявляют о поддержке 64 и 128-битного шифрования Реально шифрование данных происходит с использованием ключа длиной 40 или 104. Но кроме ASCII-фразы (статической составляющей ключа) есть еще такое понятие, как Initialization Vector — IV — вектор инициализации. Он служит для рандомизации оставшейся части ключа. Вектор выбирается случайным образом и динамически меняется во время работы. В принципе, это разумное решение, так как позволяет ввести случайную составляющую в ключ. Длина вектора равна 24 битам, поэтому общая длина ключа в результате получается равной 64 (40+24) или 128 (104+24) бит.
К сожалению, используемый алгоритм шифрования (RC4) в настоящее время не является особенно стойким — при большом желании, за относительно небольшое время можно подобрать ключ перебором. Но все же главная уязвимость WEP связана как раз с вектором инициализации. Длина IV составляет всего 24 бита. Это дает нам примерно 16 миллионов комбинаций — 16 миллионов различных векторов. Хотя цифра «16 миллионов» звучит довольно внушительно, но в мире все относительно. В реальной работе все возможные варианты ключей будут использованы за промежуток от десяти минут до нескольких часов (для 40-битного ключа). После этого вектора начнут повторяться. Злоумышленнику стоит лишь набрать достаточное количество пакетов, просто прослушав трафик беспроводной сети, и найти эти повторы. После этого подбор статической составляющей ключа (ASCII-фразы) не занимает много времени.
Существуют так называемые «нестойкие» вектора инициализации. Использование подобных векторов в ключе дает возможность злоумышленнику практически сразу приступить к подбору статической части ключа, а не ждать несколько часов, пассивно накапливая трафик сети. Многие производители встраивают в софт (или аппаратную часть беспроводных устройств) проверку на подобные вектора, и, если подобные попадаются, они молча отбрасываются, т.е. не участвуют в процессе шифрования. К сожалению, далеко не все устройства обладают подобной функцией.
В настоящее время некоторые
производители беспроводного
К сожалению, при использовании протокола 802.11b ничего кроме WEP выбрать не удастся. Точнее, некоторые (меньшинство) производители поставляют различные реализации WPA шифрования (софтовыми методами), которое гораздо более устойчиво, чем WEP. Но эти «заплатки» бывают несовместимы даже в пределах оборудования одного производителя. В общем, при использовании оборудования стандарта 802.11b, есть всего три способа зашифровать свой трафик:
1. Использование WEP с максимальной
длиной ключа (128 бит или выше),
если оборудование
2. Использование стандарта 802.1x
3. Использование стороннего
802.1x использует связку из
- EAP (Extensible Authentication Protocol) — протокол расширенной аутентификации пользователей или удаленных устройств;
- TLS (Transport Layer Security) — протокол защиты транспортного уровня, он обеспечивает целостность передачи данных между сервером и клиентом, а так же их взаимную аутентификацию;
- RADIUS (Remote Authentication Dial-In User Server) — сервер аутентификации (проверки подлинности) удаленных клиентов. Он и обеспечивает аутентификацию пользователей.
Протокол 802.1x обеспечивает аутентификацию удаленных клиентов и выдачу им временных ключей для шифрования данных. Ключи (в зашифрованном виде) высылаются клиенту на незначительный промежуток времени, после которого генерируется и высылается новый ключ. Алгоритм шифрования не изменился — тот же RC4, но частая ротация ключей очень сильно затрудняет вероятность взлома. Поддержка этого протокола есть только в операционных системах (от Microsoft) Windows XP. Его большой минус (для конечного пользователя) в том, что протокол требует наличие RADIUS-сервера, которого в домашней сети, скорее всего, не будет.
Устройства, поддерживающие стандарт 802.11g, поддерживают улучшенный алгоритм шифрования WPA — Wi-Fi Protected Access. WPA включает в себя 802.1X, EAP, TKIP и MIC. Из нерассмотренных протоколов тут фигурируют TKIP и MIC:
- TKIP (Temporal Key Integrity Protocol) — реализация динамических ключей шифрования, плюс к этому, каждое устройство в сети так же получает свой Master-ключ (который тоже время от времени меняется). Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее кол-во возможных вариантов ключей достигает сотни миллиардов, а меняются они очень часто. Тем не менее, используемый алгоритм шифрования — по--прежнему RC4.
- MIC (Message Integrity Check) — протокол проверки целостности пакетов. Протокол -позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом, т.е. ушли не от валидного отправителя.