Системное администрирование

Передаются  ли (а точнее — принимаются ли) данные в сети можно узнать, кликнув  на иконку беспроводного соединения в трее. Или выбрав ее в разделе Сетевые подключения, в которые можно попасть через панель управления, или меню Пуск, или райткликнув на иконкеСетевое окружение на рабочем столе и выбрав в появившемся меню пункт Свойства.

В появившемся  окне свойств сетевого подключения  нужно обратить внимание на счетчик принятых пакетов. Если там стоит число, отличное от нуля, значит, беспроводная сеть работает, точнее беспроводной адаптер принимает пакеты, т.е. слышит другие адаптеры в той же беспроводной сети. Счетчик же отправленных пакетов показателем работоспособности сети не является. Адаптер (точнее его драйвер) может отправлять пакеты «в никуда», даже в случае неработоспособности беспроводной сети.

В ASUS WLAN Control Center есть еще одна полезная опция — сохранение текущих настроек в профайл. Таким образом, можно создать несколько профилей (один — для дома, другой — для работы) и подгружать тот или другой (например, через Asus Mobile Manager) по мере необходимости. Возможность сохранения профилей есть в интерфейсах к беспроводным картам у многих производителей. В том числе и в интерфейсе Zero Wireless Configuration (встроенный в Windows интерфейс управления беспроводными устройствами).

Беспроводной адаптер на ноутбуке настроен (исключая шифрование). Переходим  к настройке адаптера с PCI интерфейсом.

 

2. Интерфейс управления в реализации от Ralink — Asus WL-130g

Ralink Configuration Utility помещает себя в трей. При нажатии правой кнопкой на него появляется меню, позволяющее выбрать, кто будет управлять беспроводным адаптером — Windows или Ralink Utility.

При запуске интерфейса мы попадаем в раздел Site Survey, где показываются находящиеся поблизости беспроводные сети. В данном случае видна лишь одна сеть — my_net, так как сеть с этим именем уже настроена на ноутбуке. Достаточно выделить ее и кликнуть на кнопку Add to Profile (создать профиль настроек для этой сети).

 

 

Если в Site Survey нет списка доступных сетей (допустим, это первый компьютер, на котором настраивается беспроводная сеть), достаточно перейти в закладку Profile(профили) и нажать Add (добавить).

При создании профиля мы, как и в случае с  картой на ноутбуке, ставим тип сети в Ad Hoc, SSID — my_net, и устанавливаем рабочим шестой канал.

В разделе Authentification and Security временно отключаем шифрование. Осталось лишь активировать настроенный профиль, нажав кнопку Activate.

Напротив  созданного профиля появилась пометка, говорящая о том, что в беспроводном адаптере используются настройки именно из этого профиля. Так же имеет  смысл зайти в раздел Advanced, дополнительных настроек. В нем установим типы адаптеров, которые могут работать в нашей беспроводной сети (Wireless mode) в состояние 802.11 B/G mix, т.е. беспроводной адаптер на данном компьютере сможет общаться как с 802.11b, так и с 802.11g картами, установленными на других машинах (возможно, что для совместимости со старыми 802.11b адаптерами, возможно, понадобится вместо Auto, установить эту опцию в 54G LRS). Опцию B/G Protection, относящуюся к той же области, поставим в состояние Auto. TX Rate — скорость работы адаптера, то же установим в автоматический режим.

Теперь мы имеем два компьютера, подключенных к общей беспроводной сети. Имеет  смысл проверить, видят ли они  друг друга. Для этого, вызываем окно Состояния беспроводного адаптера (кликнув на беспроводной адаптер в Сетевых подключениях). Видим нулевое количество принятых пакетов — это нормально, мы пока не обменивались информацией с другим компьютером.

Выясняем IP адреса обоих компьютеров, перейдя на закладку Поддержка. Разумеется, на обоих адаптерах должно стоять автоматическое определение IP-адреса и DNS серверов.

Ноутбук у  нас имеет адрес 169.254.21.55, стационарных компьютер с PCI беспроводным адаптером — 169.254.218.234. Пингуем ноутбук со стационарного компьютера.

Для этого в Пуск —> Выполнить пишем:

ping 169.254.21.55 -t

и жмем Enter или кнопку Ok.

 

Удаленный компьютер должен отвечать на ping-запросы, а счетчик полученных пакетов — увеличиваться. Если этого  не происходит, то беспроводная сеть не функционирует. Возможные причины — разные каналы, разные SSID, разные ключи/типы шифрования, или на одном компьютере оно включено, на втором — нет. Так же возможно, что на каком-то из компьютеров установлен 802.11b адаптер, а на другом — 802.11g, а также на втором отключена работа в режиме совместимости с 802.11b (возможно, также вместо 54G Auto нужно поставить 54G LRS или даже перевести все адаптеры в режим 802.11b Only).

 

      

 

 

 

 

 

 

 

 

 

 3. Zero Wireless Configuration (встроенный в Windows интерфейс) - ASUS WL-140

Последний рассматриваемый интерфейс  конфигурирования — встроенный в Windows. Его мы рассмотрим, настраивая внешний  адаптер с USB интерфейсом ASUS WL-140.

 

При клике на значок беспроводного  адаптера операционная система предупреждает (если она увидела беспроводную сеть), что в выбранной сети отсутствует  шифрование. Все верно, мы его отключили  на этапе конфигурирования (о его  включении и настройке пойдет речь чуть позже). Можно установить флажок Разрешить подключение и нажать кнопку подключить — Windows установит параметры самостоятельно и мы попадем (скорее всего) в беспроводную сеть. А можно нажать кнопку Дополнительно, что и сделаем.

Выбираем доступную сеть из списка и жмем Настроить (если сети нет, то можно создать профиль для нее, нажав кнопку Добавить).

Тут проверяем, что бы SSID сети был верным, а флажок Прямое соединение компьютер-компьютер (режим Ad Hoc) — активен. Шифрование пока отключено.

После нажатия Ok, в списке Предпочитаемых сетей появится наш новый профиль. Не помешает кликнуть на Дополнительные сведения — это ссылка на систему помощи Windows по настройке беспроводных сетей. Там написано довольно много интересного. До расширенных (Advanced) настроек беспроводного адаптера можно добраться, зайдя на закладку Общие и нажав Настроить. На этом настройку последнего адаптера можно считать законченной. Опять же имеет смысл проверить работу беспроводной сети, пропинговав с каждого компьютера. Именно так, потому что в Ad Hoc сети все машины для обмена данными друг с другом, соединяются напрямую. Поэтому вполне возможна ситуация, что в сети из трех машин (A, B, C), машина A пингует машину B, машина B пингует машину C (т.е. вроде бы сеть работает), но машина C не пингует машину A. Стоит отметить, что вместо IP-адресов при пинге можно использовать Netbios-имена компьютеров. Беспроводная сеть работает, ресурсы расшариваются, компьютеры друг друга видят. Пора включать шифрование данных и выводить беспроводную локальную сеть в Интернет. 

 

 

 

 

 

 

НАСТРОЙКА WEP/WPA ШИФРОВАНИЯ В БЕСПРОВОДНОЙ СЕТИ

Шифрованию данных в беспроводных сетях уделяется так много  внимания из-за самого характера подобных сетей. Данные передаются беспроводным способом, используя радиоволны, причем в общем случае используются всенаправленные антенны. Таким образом, данные слышат все — не только тот, кому они предназначены. Конечно, расстояния, на которых работают беспроводные сети (без усилителей или направленных антенн), невелики — около 100 метров в идеальных условиях. Стены, деревья и другие препятствия сильно гасят сигнал, но это все равно не решает проблему.

Изначально для защиты использовался  лишь SSID (имя сети). Но, вообще говоря, именно защитой такой способ можно  называть с большой натяжкой — SSID передается в открытом виде и никто не мешает злоумышленнику его подслушать, а потом подставить в своих настройках нужный. Не говоря о том, что (это касается точек доступа) может быть включен широковещательный режим для SSID, т.е. он будет принудительно рассылаться в эфир для всех слушающих.

Поэтому возникла потребность именно в шифровании данных. Первым таким  стандартом стал WEP — Wired Equivalent Privacy. Шифрование осуществляется с помощью 40 или 104-битного  ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе). А сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Драйвера многих производителей позволяют вводить вместо набора ASCII-символов напрямую шестнадцатеричные значения (той же длины).

Производители заявляют о поддержке 64 и 128-битного шифрования Реально  шифрование данных происходит с использованием ключа длиной 40 или 104. Но кроме ASCII-фразы (статической составляющей ключа) есть еще такое понятие, как Initialization Vector — IV — вектор инициализации. Он служит для рандомизации оставшейся части ключа. Вектор выбирается случайным образом и динамически меняется во время работы. В принципе, это разумное решение, так как позволяет ввести случайную составляющую в ключ. Длина вектора равна 24 битам, поэтому общая длина ключа в результате получается равной 64 (40+24) или 128 (104+24) бит.

К сожалению, используемый алгоритм шифрования (RC4) в настоящее время не является особенно стойким — при большом желании, за относительно небольшое время можно подобрать ключ перебором. Но все же главная уязвимость WEP связана как раз с вектором инициализации. Длина IV составляет всего 24 бита. Это дает нам примерно 16 миллионов комбинаций — 16 миллионов различных векторов. Хотя цифра «16 миллионов» звучит довольно внушительно, но в мире все относительно. В реальной работе все возможные варианты ключей будут использованы за промежуток от десяти минут до нескольких часов (для 40-битного ключа). После этого вектора начнут повторяться. Злоумышленнику стоит лишь набрать достаточное количество пакетов, просто прослушав трафик беспроводной сети, и найти эти повторы. После этого подбор статической составляющей ключа (ASCII-фразы) не занимает много времени.

Существуют так называемые «нестойкие»  вектора инициализации. Использование  подобных векторов в ключе дает возможность  злоумышленнику практически сразу  приступить к подбору статической части ключа, а не ждать несколько часов, пассивно накапливая трафик сети. Многие производители встраивают в софт (или аппаратную часть беспроводных устройств) проверку на подобные вектора, и, если подобные попадаются, они молча отбрасываются, т.е. не участвуют в процессе шифрования. К сожалению, далеко не все устройства обладают подобной функцией.

В настоящее время некоторые  производители беспроводного оборудования предлагают «расширенные варианты»  алгоритма WEP — в них используются ключи длиной более 128 (точнее 104) бит. Но в этих алгоритмах увеличивается лишь статическая составляющая ключа. Длина инициализационного вектора остается той же самой, со всеми вытекающими отсюда последствиями (другими словами, мы лишь увеличиваем время на подбор статического ключа). Само собой разумеется, что алгоритмы WEP с увеличенной длиной ключа у разных производителей могут быть не совместимы.

К сожалению, при использовании  протокола 802.11b ничего кроме WEP выбрать  не удастся. Точнее, некоторые (меньшинство) производители поставляют различные реализации WPA шифрования (софтовыми методами), которое гораздо более устойчиво, чем WEP. Но эти «заплатки» бывают несовместимы даже в пределах оборудования одного производителя. В общем, при использовании оборудования стандарта 802.11b, есть всего три способа зашифровать свой трафик:

1. Использование WEP с максимальной  длиной ключа (128 бит или выше), если оборудование поддерживает  циклическую смену ключей из  списка (в списке — до четырех  ключей), желательно эту смену  активировать.

2. Использование стандарта 802.1x

3. Использование стороннего программного  обеспечения для организации  VPN туннелей (шифрованных потоков  данных) по беспроводной сети. Для  этого на одной из машин  ставится VPN сервер (обычно с поддержкой pptp), на других — настраиваются VPN клиенты.

802.1x использует связку из некоторых  протоколов для своей работы:

- EAP (Extensible Authentication Protocol) — протокол расширенной аутентификации пользователей или удаленных устройств;

- TLS (Transport Layer Security) — протокол защиты транспортного уровня, он обеспечивает целостность передачи данных между сервером и клиентом, а так же их взаимную аутентификацию;

- RADIUS (Remote Authentication Dial-In User Server) — сервер аутентификации (проверки подлинности) удаленных клиентов. Он и обеспечивает аутентификацию пользователей.

Протокол 802.1x обеспечивает аутентификацию удаленных клиентов и выдачу им временных  ключей для шифрования данных. Ключи (в зашифрованном виде) высылаются клиенту на незначительный промежуток времени, после которого генерируется и высылается новый ключ. Алгоритм шифрования не изменился — тот же RC4, но частая ротация ключей очень сильно затрудняет вероятность взлома. Поддержка этого протокола есть только в операционных системах (от Microsoft) Windows XP. Его большой минус (для конечного пользователя) в том, что протокол требует наличие RADIUS-сервера, которого в домашней сети, скорее всего, не будет.

Устройства, поддерживающие стандарт 802.11g, поддерживают улучшенный алгоритм шифрования WPA — Wi-Fi Protected Access. WPA включает в себя 802.1X, EAP, TKIP и MIC. Из нерассмотренных протоколов тут фигурируют TKIP и MIC:

- TKIP (Temporal Key Integrity Protocol) — реализация динамических ключей шифрования, плюс к этому, каждое устройство в сети так же получает свой Master-ключ (который тоже время от времени меняется). Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее кол-во возможных вариантов ключей достигает сотни миллиардов, а меняются они очень часто. Тем не менее, используемый алгоритм шифрования — по--прежнему RC4.

- MIC (Message Integrity Check) — протокол проверки целостности пакетов. Протокол -позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом, т.е. ушли не от валидного отправителя.