oldi

Развертывание беспроводной сети в домашних условиях: от А до Я

Сергей Пахомов

Что нужно для развертывания беспроводной сети

Выбор беспроводного оборудования

Точка доступа или беспроводной маршрутизатор?

Настройка точки доступа/беспроводного маршрутизатора

Настройка беспроводных адаптеров

Обмен данными в беспроводной сети

Реализация разделяемого доступа в Интернет с использованием аналогового модема

Настройка защиты беспроводной сети

   Фильтрация по MAC-адресам

   Настройка шифрования и аутентификации пользователей

   Пример WPA-шифрования

Тестирование производительности беспроводной сети

 

О беспроводных сетях слышали, наверное, все, кто имеет хоть какое-то отношение к компьютерам. Беспроводные сети, называемые также Wi-Fi- или WLAN (Wireless LAN)-сети, обладают немалыми преимуществами по сравнению с традиционными проводными сетями, главным из которых, конечно же, является простота развертывания. Так, беспроводная сеть не нуждается в прокладке кабелей (часто требующей штробления стен); трудно оспорить такие достоинства беспроводной сети, как мобильность пользователей в зоне ее действия и простоту подключения к ней новых пользователей. В то же время беспроводные сети не лишены определенных недостатков. Прежде всего это низкая, по сегодняшним меркам, скорость соединения, которая наряду с этим серьезно зависит от наличия преград и от расстояния между приемником и передатчиком; плохая масштабируемость, а также, если речь идет об использовании беспроводной сети в помещениях, довольно ограниченный радиус действия сети. Есть также некоторые проблемы, связанные с обеспечением безопасности беспроводной сети. Однако, несмотря на все характерные для беспроводных сетей проблемы (число которых, кстати, год от года сокращается), они бурно развиваются и уже прочно вошли в нашу жизнь.

Использование беспроводных сетей в местах общественного пользования (так называемые хот-споты), таких как аэропорты, вокзалы, кафе, гостиницы, выставки, стало уже нормой для европейских стран и США и постепенно распространяется на российских просторах. Не менее широко применяются беспроводные сети и в домашних условиях. Действительно — вместо того чтобы долбить стены и укладывать в них кабели, заранее планируя стационарные места установки ПК, насколько проще поставить в квартире одну (в крайнем случае — две) точки доступа, превратив жилище в одну беспроводную зону! Кроме того, таким образом создается разделяемый доступ в Интернет для всех компьютеров беспроводной сети, а в случае использования в квартире мобильных ПК (ноутбуков) больше не потребуется привязка к стационарному месту, имеющему выход в сеть.

В этой статье мы подробно расскажем о том, как шаг за шагом развернуть и настроить беспроводную сеть в домашних условиях.

Что нужно для развертывания беспроводной сети

Итак, для построения беспроводной сети потребуются точка доступа (Access Point) и компьютеры (ноутбуки), оснащенные беспроводными адаптерами. При этом отметим, что существует два режима функционирования беспроводных сетей: режим Infrastructure и режим Ad Hoc.

В режиме Infrastructure Mode конечные узлы сети (компьютеры с беспроводными адаптерами) взаимодействуют друг с другом через точку доступа. При этом точка доступа выступает в роли координирующего узла, обеспечивая совместное использование среды передачи данных всеми беспроводными адаптерами. Рассматривают два режима Infrastructure — основной режим BSS (Basic Service Set) и расширенный режим ESS (Extended Service Set). В режиме BSS все узлы сети связываются между собой только через одну точку доступа, которая может выполнять также роль моста к внешней сети. В расширенном режиме ESS существует инфраструктура нескольких сетей BSS, причем сами точки доступа взаимодействуют друг с другом, что позволяет передавать трафик от одной BSS к другой. Между собой точки доступа соединяются при помощи либо сегментов кабельной сети, либо радиомостов.

Помимо архитектуры беспроводной сети с точкой доступа (режим Infrastructure), существует также архитектура, не имеющая точки доступа (режим Ad Hoc). В режиме Ad Hoc, который также называют Independent Basic Service Set (IBSS) или режимом Peer to Peer (точка-точка), узлы сети непосредственно взаимодействуют друг с другом. Этот режим требует минимального оборудования: каждая станция должна быть оснащена беспроводным адаптером. При такой конфигурации не требуется создания сетевой инфраструктуры. Основными недостатками режима Ad Hoc являются ограниченный диапазон действия получаемой сети и невозможность подключения к внешней сети (например, к Интернету).

В дальнейшем речь пойдет об архитектуре беспроводных сетей на базе точки доступа.

В начало В начало

Выбор беспроводного оборудования

Есть несколько типов беспроводных стандартов: 802.11a, 802.11b и 802.11g. В соответствии с этими стандартами существуют и различные типы оборудования. Стандарты беспроводных сетей семейства 802.11 отличаются друг от друга прежде всего максимально возможной скоростью передачи. Так, стандарт 802.11b подразумевает максимальную скорость передачи до 11 Мбит/с, а стандарты 802.11a и 802.11g — максимальную скорость передачи до 54 Мбит/с. Кроме того, в стандартах 802.11b и 802.11g предусмотрено использование одного и того же частотного диапазона — от 2,4 до 2,4835 ГГц, а стандарт 802.11a подразумевает применение частотного диапазона от 5,15 до 5,35 ГГц.

Оборудование стандарта 802.11a, в силу используемого им частотного диапазона, не сертифицировано в России. Это, конечно, не мешает применять его в домашних условиях. Однако купить такое оборудование проблематично. Именно поэтому в дальнейшем мы сосредоточимся на рассмотрении стандартов 802.11b и 802.11g.

Следует учесть, что стандарт 802.11g полностью совместим со стандартом 802.11b, то есть стандарт 802.11b является подмножеством стандарта 802.11g, поэтому в беспроводных сетях, основанных на оборудовании стандарта 802.11g, могут также работать клиенты, оснащенные беспроводным адаптером стандарта 802.11b. Верно и обратное — в беспроводных сетях, основанных на оборудовании стандарта 802.11b, могут работать клиенты, оснащенные беспроводным адаптером стандарта 802.11b. Впрочем, в таких смешанных сетях скрыт один подводный камень: если мы имеем дело со смешанной сетью, то есть с сетью, в которой имеются клиенты как с беспроводными адаптерами 802.11b, так и с беспроводными адаптерами 802.11g, то все клиенты сети будут работать по протоколу 802.11b. Более того, если все клиенты сети используют один и тот же протокол, например 802.11b, то данная сеть является гомогенной и скорость передачи данных в ней выше, чем в смешанной сети, где имеются клиенты как 802.11g, так и 802.11b. Дело в том, что клиенты 802.11b «не слышат» клиентов 802.11g. Поэтому для того, чтобы обеспечить совместный доступ к среде передачи данных клиентов, использующих различные протоколы, в подобных смешанных сетях точки доступа должны отрабатывать определенный механизм защиты. Не вдаваясь в подробности реализации данных механизмов, отметим лишь, что в результате применения механизмов защиты в смешанных сетях реальная скорость передачи становится еще меньше.

Поэтому при выборе оборудования для беспроводной домашней сети стоит остановиться на оборудовании одного стандарта. Протокол 802.11b сегодня является уже устаревшим, да и реальная скорость передачи данных при использовании данного стандарта может оказаться неприемлемо низкой. Так что оптимальный выбор — оборудование стандарта 802.11g.

Некоторые производители предлагают оборудование стандарта 802.11g+ (SuperG), а на коробках своих изделий (точках доступа и беспроводных адаптерах), помимо надписи «802.11g+», указывают еще и скорость в 100, 108 или даже 125 Мбит/с.

Фактически никакого протокола 802.11g+ не существует, и все что скрывается за этим загадочным протоколом — это расширение базового стандарта 802.11g.

В действительности все производители чипсетов для беспроводных решений (Intersil, Texas Instruments, Atheros, Broadcom и Agere) в том или ином виде реализовали расширенный режим 802.11g+. Однако проблема заключается в том, что сделали они это по-разному и нет никакой гарантии, что решения разных производителей смогут взаимодействовать друг с другом. Поэтому при покупке точки доступа стандарта 802.11g+ следует убедиться, что беспроводные адаптеры также поддерживают данный стандарт.

В начало В начало

Точка доступа или беспроводной маршрутизатор?

Основным элементом любой беспроводной сети является точка доступа. Последняя может представлять собой как отдельное устройство, так и быть интегрированной в беспроводной маршрутизатор. Таким образом, прежде всего необходимо установить, какое именно оборудование оптимально для конкретной беспроводной сети. Ответ на этот вопрос зависит от того, на решение каких задач рассчитана данная беспроводная сеть. Рассмотрим несколько типичных ситуаций.

В простейшем случае (рис. 1) несколько компьютеров объединяются в беспроводную сеть исключительно для обмена данными между ПК. В этом случае идеальным выбором будет точка доступа, которая подключается к одному из ПК сети (причем ПК, к которому подключается точка доступа, не должен быть оборудован беспроводным адаптером).

 

Рис. 1. Простейший тип беспроводной сети на основе точки доступа

Рис. 1. Простейший тип беспроводной сети на основе точки доступа

Во втором варианте (рис. 2) предполагается, что помимо обмена данными между компьютерами, объединенными в беспроводную сеть, необходимо реализовать для всех компьютеров разделяемый доступ в Интернет с использованием аналогового модема (модема, который подключается к телефонной линии). В этом случае модем подключается к одному из компьютеров беспроводной сети, а Интернет-соединение настраивается в режиме разделяемого доступа. К этому же компьютеру подключается точка доступа, а на всех компьютерах беспроводной сети настраивается выход в Интернет в режиме доступа через локальную сеть. Понятно, что оптимальным решением в рассмотренном случае является именно использование точки доступа.

Рис. 2. Беспроводная сеть с выходом в Интернет при использовании аналогового модема

Рис. 2. Беспроводная сеть с выходом в Интернет при использовании аналогового модема

И наконец, последний вариант топологии беспроводной сети — применение высокоскоростного доступа в Интернет с использованием DSL, кабельного модема или Ethernet-подключения (рис. 3). В этом случае оптимальным вариантом является применение точки беспроводного доступа, встроенной в маршрутизатор.

 

Рис. 3. Беспроводная сеть с выходом в Интернет при использовании DSL/кабельного модема

Рис. 3. Беспроводная сеть с выходом в Интернет при использовании DSL/кабельного модема

Маршрутизаторы являются пограничными сетевыми устройствами, то есть устройствами, устанавливаемыми на границе между двумя сетями или между локальной сетью и Интернетом, и в этом смысле они выполняют роль сетевого шлюза. С конструктивной точки зрения они должны иметь как минимум два порта, к одному из которых подключается локальная сеть (этот порт называется внутренним LAN-портом), а ко второму — внешняя сеть, то есть Интернет (этот порт называется внешним WAN-портом). Как правило, маршрутизаторы класса SOHO имеют один WAN-порт и несколько (от одного до четырех) внутренних LAN-портов, которые объединяются в коммутатор. В большинстве случаев WAN-порт коммутатора имеет интерфейс 10/100Base-TX и к нему может подключаться xDSL-модем с соответствующим интерфейсом либо сетевой Ethernet-кабель.

Интегрированная в маршрутизатор точка беспроводного доступа позволяет организовать беспроводной сегмент сети, которая для маршрутизатора относится к внутренней сети, и в этом смысле компьютеры, подключаемые к маршрутизатору беспроводным способом, ничем не отличаются от тех, что подключены к LAN-порту.

Использование беспроводного маршрутизатора вместо точки доступа выгодно не только потому, что позволяет сэкономить на покупке дополнительного сетевого Ethernet-контроллера или мини-коммутатора, но и потому, что маршрутизаторы предоставляют дополнительные средства защиты внутренней сети от несанкционированного доступа. Так, практически все современные маршрутизаторы класса SOHO имеют встроенные аппаратные брандмауэры, которые также называются сетевыми экранами или firewall.

В начало В начало

Настройка точки доступа/беспроводного маршрутизатора

Для развертывания беспроводной сети прежде всего необходимо настроить точку доступа (беспроводной маршрутизатор). Мы будем рассматривать процесс настройки точки доступа, интегрированной в беспроводной маршрутизатор Gigabyte B49G. Предполагается, что на всех компьютерах, входящих в беспроводную сеть, используется операционная система Windows XP Professional SP2 (английская версия). Настройка других точек доступа производится аналогично.

Итак, первое, что потребуется выяснить, — это IP-адрес точки доступа и пароль, заданный по умолчанию. Любая точка доступа или маршрутизатор, будучи сетевым устройством, имеет собственный сетевой адрес (IP-адрес). Для того чтобы выяснить IP-адрес и пароль, придется пролистать инструкцию пользователя. Предположим, что IP-адрес точки доступа по умолчанию 192.168.1.254.

Далее точку доступа необходимо подключить к компьютеру с использованием традиционного сетевого интерфейса Ethernet (для этого на компьютере должен быть установлен сетевой Ethernet-контроллер). В случае применения беспроводного маршрутизатора подключение компьютера производится через LAN-порт маршрутизатора.

Для настройки точки доступа необходимо, чтобы компьютер, к которому подключается точка доступа, и сама точка доступа имели бы IP-адреса, принадлежащие к одной и той же подсети. Поскольку в нашем случае точка доступа имеет IP-адрес 192.168.1.254, то компьютеру необходимо присвоить статический IP-адрес 192.168.1.х (например, 192.168.1.100) с маской подсети 255.255.255.0.

Для присвоения компьютеру статического IP-адреса щелкните на значке My Network Places (Сетевое окружение) правой кнопкой мыши и в открывшемся списке выберите пункт Properties (Свойства). В открывшемся окне Network Connection (Сетевые соединения) выберите значок Local Area Connection (Локальная сеть) и, щелкнув на нем правой кнопкой мыши, снова перейдите к пункту Properties. После этого должно открыться диалоговое окно Local Area Connection Properties (Свойства сетевого соединения), позволяющее настраивать сетевой адаптер (рис. 4).

 

Рис. 4. Диалоговое окно Local Area Connection Properties

Рис. 4. Диалоговое окно Local Area Connection Properties

На вкладке General выделите протокол Internet Protocol (TCP/IP) и нажмите на кнопку Properties. Перед вами откроется диалоговое окно, позволяющее задавать IP-адрес компьютера и маску подсети. Отметьте в данном диалоговом окне пункт Use the following IP address: и введите в соответствующие текстовые поля IP-адрес и маску подсети (рис. 5).

 

Рис. 5. Задание статического IP-адреса и маски подсети

Рис. 5. Задание статического IP-адреса и маски подсети

После того как задан статический IP-адрес компьютера, можно получить непосредственный доступ к настройкам самой точки доступа. Для этого в поле адреса Web-браузера введите IP-адрес точки доступа (192.168.1.254). Если все сделано правильно, то перед вами откроется диалоговое окно настроек точки доступа (маршрутизатора) (рис. 6). Возможно, предварительно потребуется ввести логин и пароль (они имеются в документации).

 

Рис. 6. Окно настроек беспроводного соединения

Рис. 6. Окно настроек беспроводного соединения

Используя диалоговое окно настроек, можно изменить IP-адрес точки доступа (к примеру, это придется сделать для реализации разделяемого доступа в Интернет с использованием аналогового модема), а также настроить беспроводную сеть.

Для настройки беспроводной сети требуется задать следующие параметры:

  • тип беспроводной сети. Если точка доступа поддерживает несколько беспроводных стандартов, необходимо в явном виде указать стандарт беспроводной сети (например, 802.11g);
  • номер канала. Для беспроводного соединения точки доступа с клиентами сети могут использоваться различные частотные каналы. К примеру, в случае протокола 802.11g можно применять каналы с первого по тринадцатый. Можно в явном виде указать, какой именно канал будет использоваться для установления соединения, а можно задать автоматический выбор канала (Enable auto channel select);
  • SSID. Каждая беспроводная сеть имеет свой уникальный идентификатор SSID, который представляет собой условное название беспроводной сети. В нашем случае используется название Gigabyte;
  • Rate. Точка доступа позволяет в явном виде указать скорость устанавливаемого соединения. Впрочем, делать это не рекомендуется и лучше всего задать автоматическое определение скорости соединения (auto/best).

Итак, после того как все основные настройки точки доступа сделаны, можно приступать к настройкам беспроводных адаптеров на клиентах сети.

В начало В начало

Настройка беспроводных адаптеров

Настройка конкретного беспроводного адаптера, естественно, зависит от версии используемого драйвера и утилиты управления. Однако сами принципы настройки остаются неизменными для всех типов адаптеров. Кроме того, существует и общий, независимый от типа утилиты управления конкретного адаптера способ — использовать для настройки беспроводного адаптера клиент Microsoft (встроенную в операционную систему Windows XP утилиту настройки беспроводного адаптера). Рассмотрим подробно оба способа настройки. Кроме того, учитывая популярность ноутбуков на базе мобильной технологии Intel Centrino, неотъемлемой частью которой является наличие модуля беспроводной связи, настройку беспроводного соединения мы опишем на примере драйвера Intel PROSet/Wireless (версия 9.0.1.9), используемого в ноутбуках на базе технологии Intel Centrino.

Итак, прежде всего необходимо установить драйвер беспроводного адаптера. В случае ноутбука на базе мобильной технологии Intel Centrino откройте диалоговое окно Intel PROSet/Wireless (значок этого окна находится в системном трее), с помощью которого будет создаваться профиль нового беспроводного соединения (рис. 7).

 

Рис. 7. Диалоговое окно настройки беспроводного соединения

Рис. 7. Диалоговое окно настройки беспроводного соединения

Нажмите на кнопку Добавить, чтобы создать профиль нового беспроводного соединения. В открывшемся диалоговом окне Создать профиль беспроводной сети (рис. 8) введите имя профиля (например, HOME) и имя беспроводной сети (SSID), которое было задано при настройке точки доступа (Gigabyte).

 

Рис. 8. Диалоговое окно настройки нового профиля беспроводной сети

Рис. 8. Диалоговое окно настройки нового профиля беспроводной сети

Далее предлагается настроить защиту беспроводной сети, но на первом этапе (этап отладки) делать этого не нужно, поэтому следующие диалоговые окна оставьте без изменений.

При использовании для настройки беспроводного адаптера клиента Microsoft (универсальный метод, который подходит для всех беспроводных адаптеров) прежде всего следует убедиться в том, что не применяется иная утилита управления адаптером.

Щелкните на значке My Network Places (Сетевое окружение) правой кнопкой мыши и в открывшемся списке выберите пункт Properties (Свойства). В открывшемся окне Network Connection (Сетевые соединения) выберите значок Wireless Network Connection (Беспроводные соединения) и, щелкнув на нем правой кнопкой мыши, снова перейдите к пункту Properties. После этого должно открыться диалоговое окно Wireless Network Connection Properties (Свойства беспроводного сетевого соединения), позволяющее настраивать беспроводной сетевой адаптер (рис. 9).

 

Рис. 9. Диалоговое окно настройки беспроводного сетевого адаптера

Рис. 9. Диалоговое окно настройки беспроводного сетевого адаптера

Перейдя на вкладку Wireless Networks (беспроводные сети), нажмите на кнопку Add… (добавить) и в открывшемся диалоговом окне Wireless network properties (свойства беспроводного соединения) введите имя беспроводной сети (SSID) — в нашем случае Gigabyte (рис. 10). Остальные поля (настройка защиты) пока оставьте без изменений.

 

Рис. 10. Настройка профиля беспроводного соединения

Рис. 10. Настройка профиля беспроводного соединения

Независимо от того, какой из перечисленных способов используется для создания профиля беспроводного соединения, после его создания беспроводной адаптер должен автоматически установить соединение с точкой доступа.

В начало В начало

Обмен данными в беспроводной сети

Если после настройки точки доступа и беспроводных адаптеров сетевых компьютеров вы попытаетесь получить доступ с одного ПК к данным, хранящимся на другом ПК, то, скорее всего, у вас ничего не получится. Дело в том, что данные, к которым необходимо организовать сетевой доступ, должны располагаться в разделяемой (shared) папке или даже на логическом диске. Поэтому на тех компьютерах, между которыми предполагается реализовать обмен данными, необходимо создать разделяемые сетевые ресурсы.

Для этого щелкните левой кнопкой мыши на значке My Computer (Мой компьютер) и в открывшемся окне выберите логический диск (или папку), которую требуется сделать доступной для пользователей сети. Щелкнув на ней правой кнопкой мыши, выберите в открывшемся списке пункт Sharing and Security…. В открывшемся диалоговом окне (рис. 11) перейдите на вкладку Sharing.

 

Рис. 11. Диалоговое окно создания разделяемого логического диска

В этом диалоговом окне имеется только одна опция: if you understand the risk but still want to share the root of the drive, click here. Это не что иное, как предупреждение о риске разделения логического диска. Если вы, несмотря ни на что, желаете сделать этот диск доступным для пользователей сети, то просто щелкните на этой надписи. Диалоговое окно изменит свой вид, и в новом окне (рис. 12) нужно будет выбрать пункт Share this folder on the network (сделать данную папку (диск) доступной для пользователей сети). Кроме того, если вы хотите, чтобы пользователи сети могли изменять (а не только скачивать) данные разделяемого диска, то необходимо дополнительно выбрать опцию Allow network users to change my files (разрешить пользователям сети изменять файлы).

 

Рис. 12. Задание опций разделяемого логического диска

Рис. 12. Задание опций разделяемого логического диска

В начало В начало

Реализация разделяемого доступа в Интернет с использованием аналогового модема

Следующий важный аспект, который необходимо рассмотреть, — это реализация разделяемого доступа в Интернет с использованием аналогового модема. Для этого прежде всего необходимо присвоить статический IP-адрес компьютеру, к которому подключен модем.

IP-адрес компьютера должен быть 192.168.0.1, а маска подсети — 255.255.255.0. Использование другого IP-адреса при создании разделяемого доступа в Интернет не допускается. В крайнем случае если вы зададите другой IP-адрес, то при активизации разделяемого доступа вам будет послано уведомление об автоматическом изменении IP-адреса сервера.

После того как компьютеру будет присвоен статический IP-адрес, щелкните на значке My Network Places (Сетевое окружение) правой кнопкой мыши и в открывшемся списке выберите пункт Properties (Свойства). В открывшемся окне Network Connection (Сетевые соединения) выберите значок с названием соединения с Интернетом (название этого соединения задается произвольно при настройке соединения с Интернетом). Щелкнув на нем правой кнопкой мыши, перейдите к пункту Properties и в открывшемся диалоговом окне Internet Properties (Свойства соединения с Интернетом) перейдите к вкладке Advanced.

В группе Internet Connection Sharing (Разделяемый доступ в Интернет) отметьте пункт Allow other network users to connect through this computer’s Internet connection (Разрешить пользователям локальной сети пользоваться соединением с Интернетом через данный компьютер). Тем самым вы активизируете разделяемый доступ в Интернет для всех компьютеров вашей локальной сети. Автоматически в этом диалоговом окне окажутся отмеченными и два последующих пункта. Первый из них (Establish a dial-up connection whenever a computer on my network attempts to access the Internet) разрешает устанавливать соединение с Интернетом по требованию с любого компьютера вашей сети. Даже при отсутствии в данный момент на сервере непосредственного соединения с Интернетом в случае соответствующего запроса с любого компьютера сети модем начнет набор номера провайдера и установит соединение с Интернетом.

Второй пункт (Allow other networks users to control or disable the shared Internet connection) разрешает всем пользователям сети управлять разделяемым доступом в Интернет.

После того как разделяемый доступ в Интернет будет активизирован на компьютере, необходимо проверить сетевые настройки на всех остальных компьютерах сети. В отличие от сервера, все остальные компьютеры сети не должны иметь статического IP-адреса. Для того чтобы убедиться, что это действительно так, повторите процедуру назначения IP-адреса на всех компьютерах сети, но в диалоговом окне Internet Protocol (TCP/IP) Properties отметьте пункт Obtain an IP address automatically. При этом все компьютеры локальной сети (кроме сервера) будут автоматически получать динамические IP-адреса.

Не вникая во все тонкости динамического конфигурирования сети, отметим лишь, что на сервере будет запущен специальный сервис DHCP, который и будет заниматься автоматическим распределением IP-адресов в диапазоне той же самой подсети, что и сервер, то есть в диапазоне 192.168.0.х.

По окончании настройки сервера и всех компьютеров сети можно будет пользоваться разделяемым доступом в Интернет.

В начало В начало

Настройка защиты беспроводной сети

Если первоначальное тестирование созданной беспроводной сети прошло успешно, можно переходить ко второму этапу — настройке безопасности сети для предотвращения несанкционированного доступа в свою сеть хотя бы со стороны соседей. Конечно, если у вас за стенкой проживает бабушка — божий одуванчик, которая ничего не смыслит в компьютерных технологиях, то можно этого и не делать, но вот если у бабушки есть внуки, то лучше все же себя обезопасить.

Прежде всего отметим, что созданная нами беспроводная сеть является одноранговой, то есть все компьютеры этой сети равноправны и отсутствует выделенный сервер, регламентирующий работу сети. Поэтому полагаться на политику системной безопасности в такой сети бессмысленно, поскольку подобной политики там просто нет. К сожалению, посредством операционной системы Windows XP Professional в такой сети не удастся настроить список авторизованных для доступа в сеть пользователей. Но выход все же есть. Для этого необходимо воспользоваться возможностями точки доступа или беспроводного маршрутизатора, то есть реализовать защиту сети на аппаратном уровне.

Фильтрация по MAC-адресам

На первой «линии обороны» желательно настроить фильтрацию по MAC-адресам. MAC-адрес — это уникальный (в том смысле, что не может быть двух одинаковых) идентификатор конкретного сетевого оборудования, например беспроводного адаптера или точки доступа. MAC-адрес записывается в шестнадцатеричном формате. Например, MAC-адрес может быть записан в виде 00-0F-EA-91-77-9B. Для того чтобы выяснить MAC-адрес установленного беспроводного адаптера, нажмите кнопку Start (Пуск) и в появившемся списке выберите пункт Run… (Выполнить). В открывшемся окне наберите команду cmd (рис. 13), что приведет к запуску окна командной строки.

 

Рис. 13. Запуск окна командной строки

Рис. 13. Запуск окна командной строки

В командной строке наберите команду ipconfig/all (рис. 14).

 

Рис. 14. Выполнение команды ipconfig/all

Рис. 14. Выполнение команды ipconfig/all

Это позволит узнать IP-адрес беспроводного адаптера и его MAC-адрес.

После того как будут выяснены MAC-адреса всех компьютеров в сети, необходимо настроить таблицу фильтрации по MAC-адресам на точке доступа. Практически любая точка доступа и маршрутизатор предоставляют подобную возможность. Настройка этой таблицы сводится, во-первых, к необходимости разрешить фильтрацию по MAC-адресам, а во-вторых, к внесению в таблицу разрешенных MAC-адресов беспроводных адаптеров (рис. 15).

 

Рис. 15. Настройка таблицы фильтрации по MAC-адресам

Рис. 15. Настройка таблицы фильтрации по MAC-адресам

После настройки таблицы фильтрации по MAC-адресам любая попытка входа в сеть с использованием беспроводного адаптера, MAC-адрес которого не внесен в таблицу, будет отвергнута точкой доступа.

Настройка шифрования и аутентификации пользователей

Любая точка доступа и тем более беспроводной маршрутизатор предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде.

Но прежде чем переходить к непосредственной настройке режимов шифрования в беспроводной сети, сделаем небольшое теоретическое отступление, чтобы ознакомить читателей с основными понятиями и терминологией.

Первым стандартом, который использовался для шифрования данных в беспроводных сетях, был стандарт WEP (Wired Equivalent Privacy). В соответствии с этим стандартом шифрование осуществляется с помощью 40- или 104-битного ключа (некоторые модели беспроводного оборудования поддерживают и более длинные ключи), а сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Допустимо также вместо набора ASCII-символов напрямую использовать шестнадцатеричные значения (той же длины).

Как правило, в утилитах настройки беспроводного оборудования указываются не 40- или 104-битные ключи, а 64- или 128-битные. Дело в том, что 40 или 104 бита — это статическая часть ключа, к которой добавляется 24-битный вектор инициализации, необходимый для рандомизации статической части ключа. Вектор инициализации выбирается случайным образом и динамически меняется во время работы. В результате c учетом вектора инициализации общая длина ключа получается равной 64 (40+24) или 128 (104+24) битам.

Протокол WEP-шифрования, даже со 128-битным ключом, считается не очень стойким, поэтому в устройствах стандарта 802.11g поддерживается улучшенный алгоритм шифрования WPA — Wi-Fi Protected Access, который включает протоколы 802.1х, EAP, TKIP и MIC.

Протокол 802.1х — это протокол аутентификации пользователей. Для своей работы данный протокол требует наличия выделенного RADIUS-сервера, которого в домашней сети, естественно, нет. Поэтому воспользоваться данным протоколом в домашних условиях не удастся.

Протокол TKIP (Temporal Key Integrity Protocol) — это реализация динамических ключей шифрования. Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее количество возможных вариантов ключей достигает сотни миллиардов, и меняются они очень часто.

Протокол MIC (Message Integrity Check) — это протокол проверки целостности пакетов. Протокол позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом.

Помимо упомянутых протоколов многие производители беспроводного оборудования встраивают в свои решения поддержку стандарта AES (Advanced Encryption Standard), который пришел на замену TKIP.

Итак, после небольшого экскурса в основные понятия технологии шифрования и сетевой аутентификации пользователей приступим к настройке нашего беспроводного оборудования. При этом будем по возможности придерживаться следующих рекомендаций. Если все устройства в сети поддерживают шифрование на основе WPA, мы будем использовать именно этот способ (в противном случае следует выбрать WEP-шифрование с 128-битным ключом). Ну а если все устройства в сети поддерживают AES-шифрование, то воспользуемся именно им.

Начнем с настройки беспроводной точки доступа. Прежде всего выберем тип аутентификации (Authentication) (рис. 16). В списке типа аутентификации возможны следующие варианты:

• Open System (открытая);

• Shared Key (общая);

• 802.1х;

• WPA;

• WPA Pre-shared key.

 

Рис. 16. Задание типа аутентификации

Open System (режим по умолчанию) — фактически это режим, не имеющий сетевой аутентификации. При выборе данного режима для входа в беспроводную сеть достаточно знать лишь идентификатор сети (SSID).

В режиме Shared Key, как и в режиме Open System, возможно использование WEP-шифрования трафика. Отличие Shared Key от Open System заключается в том, что в первом случае для входа в сеть требуется также установить общий для всей сети WEP-ключ шифрования.

Пример WEP-шифрования

Если по каким-либо соображениям принято решение использовать WEP-шифрование, то необходимо установить тип аутентификации Shared Key. Далее следует установить размер ключа (рекомендуемое значение 128 бит) и ввести сам ключ (в нашем примере используется ключ в шестнадцатеричном формате). Всего возможно задать до четырех значений ключа, и, если задано несколько ключей, необходимо указать, какой именно из них используется (рис. 17).

 

Рис. 17. Пример настройки WEP-шифрования в точке доступа

Рис. 17. Пример настройки WEP-шифрования в точке доступа

Далее требуется реализовать аналогичные настройки на всех беспроводных адаптерах сетевых компьютеров. Делается это либо с помощью утилиты управления (в нашем случае Intel PROSet/Wireless), либо посредством клиента Microsoft. Если используется утилита Intel PROSet/Wireless, откройте главное окно утилиты, выберите профиль соединения и нажмите на кнопку Свойства…. В открывшемся диалоговом окне (рис. 18) перейдите к закладке Настройка защиты и выберите тип сетевой аутентификации Общая (это соответствует типу Shared Key). Далее выберите тип шифрования WEP, задайте длину ключа 128 бит и введите ключ шифрования.

 

Рис. 18. Задание параметров WEP-шифрования на беспроводном адаптере с помощью утилиты Intel PROSet/Wireless

Рис. 18. Задание параметров WEP-шифрования на беспроводном адаптере с помощью утилиты Intel PROSet/Wireless

При использовании для настройки адаптера клиента Microsoft откройте диалоговое окно Wireless Network Connection Properties (Свойства беспроводного сетевого соединения) и на вкладке Wireless Networks (беспроводные сети) выберите нужный профиль беспроводного соединения. Нажмите на кнопку Properties (Свойства) и в открывшемся диалоговом окне (рис. 19) установите тип сетевой аутентификации (Network Authentication) Shared, тип шифрования (Data encryption) WEP и введите точно такой же ключ шифрования, который был задан при настройке точки доступа.

 

Рис. 19. Задание параметров WEP-шифрования на беспроводном адаптере с помощью клиента Microsoft

Рис. 19. Задание параметров WEP-шифрования на беспроводном адаптере с помощью клиента Microsoft

Пример WPA-шифрования

Если возможно использовать WPA-шифрование (то есть если все устройства сети его поддерживают), то рекомендуется выбрать именно этот тип шифрования.

Существует два типа WPA-шифрования: стандартный режим WPA (иногда встречается название WPA-Enterprise) и WPA Pre-shared key, или WPA-персональный.

Режим WPA-Enterprise используется в корпоративных сетях, поскольку требует наличия RADIUS-сервера. Естественно, что в домашних условиях воспользоваться данным режимом не удастся.

А вот режим WPA Pre-shared key предназначен для персонального использования. Этот режим предусматривает применение заранее заданных ключей шифрования (пароль доступа), одинаковых для всех сетевых устройств, а первичная аутентификация пользователей осуществляется с использованием данного ключа.

Существует также алгоритм WPA2 (следующая версия протокола WPA). Если все устройства беспроводной сети поддерживают данный режим, то вполне можно им воспользоваться. Настройки в данном случае осуществляются точно так же, как и в случае WPA-режима.

В качестве алгоритмов шифрования при использовании стандарта WPA можно выбрать TKIP или AES.

Для настройки WPA-шифрования на точке доступа в главном окне настройки выберите тип аутентификации WPA Pre-shared key и установите тип шифрования TKIP или AES (рис. 20). Затем требуется задать ключ шифрования (WPA PSK Passphrase). В нашем примере ключом служит слово Gigabyte.

Далее необходимо реализовать аналогичные настройки на всех беспроводных адаптерах сетевых компьютеров. Делается это точно так же, как и в случае уже рассмотренного нами WEP-шифрования. Пример настройки беспроводного адаптера при помощи утилиты управления Intel PROSet/Wireless показан на рис. 21.

 

Рис. 20. Пример настройки WPA-шифрования в точке доступа

Рис. 20. Пример настройки WPA-шифрования в точке доступа

Рис. 21. Пример настройки WPA-шифрования

Рис. 21. Пример настройки WPA-шифрования
на беспроводном адаптере с помощью утилиты Intel PROSet/Wireless

В начало В начало

Тестирование производительности беспроводной сети

Рассказывая о проблемах выбора различных режимов шифрования трафика, мы до сих пор не затрагивали вопрос о том, как повлияет алгоритм шифрования на максимальную скорость передачи трафика. Действительно, если предположить, что использование криптографических алгоритмов не будет осуществляться на аппаратном уровне (то есть контроллером беспроводного адаптера), а будет частично задействовать ресурсы центрального процессора, то это может серьезно отразиться на трафике.

Чтобы определить степень влияния различных алгоритмов шифрования на скорость передачи данных, мы провели тестирование беспроводного канала связи между точкой доступа Gigabyte B49G и беспроводным адаптером, интегрированным в ноутбук на базе мобильной технологии Intel Centrino с процессором Intel Pentium M 1,6 ГГц.

Для генерации максимального сетевого трафика мы использовали пакет NetIQ Chariot 5.0. Результаты тестирования представлены в таблице.

 

Результаты тестирования беспроводного канала связи для различных режимов шифрования трафика

Результаты тестирования беспроводного канала связи для различных режимов шифрования трафика

Как показывают результаты тестирования, сетевой трафик абсолютно не зависит от применяемого алгоритма шифрования и единственное, что меняется для разных алгоритмов, — это степень утилизации процессора на ноутбуке с беспроводным адаптером. Наиболее ресурсоемким в этом смысле оказывается алгоритм шифрования TKIP. Так, в случае использования процессора Intel Pentium M с тактовой частотой 1,6 ГГц средняя степень его утилизации составляла 48% для входящего трафика и 30% для исходящего. Таким образом, применять данный алгоритм шифрования целесообразно только в том случае, когда все сетевые компьютеры оснащены достаточно мощными процессорами.

КомпьютерПресс 5'2005