- | Головна » Статті » Техніка безпеки в мережі Wi-Fi |
 Техніка безпеки в мережі Wi-Fi Мережі Wi-Fi - це звичайно здорово, але не завжди надійно. Ось кілька міркувань про те, навіщо і як можна підвищити безпеку бездротової мережі. Типова ситуація: ми встановлюємо бездротову мережу включаємо ... і через пару тижнів у бездротового шлюзу починаються дивні "напади": через якихось п'ять хвилин він розриває з'єднання. Для того щоб діагностувати проблему встановлюємо наприклад утиліту В інших ситуаціях багато користувачів Windows XP і експерти по мережах Wi-Fi радять навпаки повністю відключити Wireless Zero Configuration - така божевільна непередбачувана природа бездротових мереж: те що спрацьовує в одних випадках марно в інших. Швидкісний бездротовий доступ до комп'ютерів та інших пристроїв не можна ігнорувати особливо в тих місцевостях де інші засоби зв'язку мало розвинені. Однак при цьому необхідно враховувати і супутні йому проблеми. Крім конфліктів з програмним забезпеченням Windows обладнання для бездротових мереж страждає і від інших неполадок до числа яких входять "мертві зони" відсутність з'єднання із-за помилок Windows, звужений діапазон Wi-Fi, перешкоди і порушення безпеки. "Чорні діри" Згідно з тестами Wi-Fi Alliance бездротовий адаптер персонального комп'ютера здатний встановлювати з'єднання зі шлюзом на відстані 40-60 футів (12-18 м) в домашніх умовах і 60-80 футів (18-24 м) в офісі. Це менше ніж радіус в 150 футів (45,7 м) теоретично передбачений деякими виробниками пристроїв Wi-Fi. Головна причина цього - перешкоди, спричинені внутрішніми перегородками, підлогами і цими мішками з водою, які тиняються по коридорах і поглинають сигнал, - нами, людьми. З цим нічого поробити не можна. Проте антени на шлюзах тільки додають проблем, так як навіть у найкращою з них область поширення сигналу не має форму ідеальної сфери. Що робити в цій ситуації? Знайти більш вдале місце для шлюзу або купити ще кілька антен. Однак у будь-якому випадку, перш ніж діяти, необхідно виміряти силу сигналу Wi-Fi в "мертвій зоні" - тому місці, де ви хочете використовувати комп'ютер, але не можете цього зробити. Наприклад, може виявитися, що на одному кінці великого столу сигналу практично немає, зате на іншому кінці прийом відмінний. Тільки не здумайте повертати стіл ... може бути, краще пересунути стілець? Для вимірювання сили сигналу можна скористатися найпростішими програмними засобами, що поставляються в комплекті з багатьма бездротовими адаптерами і деякими ноутбуками. Однак для серйозної роботи з усунення проблем цього буде замало. За допомогою вже згадуваної тут безкоштовної утиліти NetStumbler можна тимчасово перетворити ноутбук або КПК c адаптером Wi-Fi в зручний аналізатор бездротових сигналів, скануючий частоти, використовувані Wi-Fi-пристроями. Програма складає список усіх виявлених поблизу пристроїв з бездротовим підключенням, вказуючи силу сигналу кожного з них. Втім, NetStumbler - кілька неспокійна програма. Вона підтримується не всіма моделями адаптерів Wi-Fi, і її не так-то просто освоїти. Альтернативою може послужити пристрій на зразок Виявивши основні джерела перешкод, можна пошукати більш вдале місце для шлюзу - зрозуміло, якщо вдасться таке знайти. В ідеалі, воно повинно бути як можна ближче до "мертвої зони". Особливу увагу варто звернути на просторову орієнтацію шлюзу. Навіть так звані всеспрямовані антени насправді мають "переважаючі" напрями, в результаті чого шлюз, повішений на стіну, може посилати сигнал головним чином в підлогу або стелю. При кожному переміщенні шлюзу або антени необхідно перевіряти ще раз інтенсивність сигналу в тій точці, де він повинен прийматися. Якщо переміщення або зміна просторової орієнтації шлюзу і антен не вирішує проблему, можна спробувати змінити антену. До деяких шлюзів, таким як Apple AirPort Extreme Base Station, пропонується дві антени. Деякі компанії виробляють антени високої якості, сумісні з будь-якими шлюзами. Як ми з Windows шукали Wi-Fi .... Поняття zero configuration - "нульова конфігурація" - передбачає максимально просте налаштування. Але у випадку зі службою Windows XP Wireless Zero Configuration (WZC) це часто не так. Проблема ось у чому: час від часу при включенні Windows XP не з'єднується з мережею. Найбільш поширеним симптомом є недоступна (сіра) кнопка Connect (З'єднати) у діалоговому вікні мережевих підключень. Ситуація ускладнюється ще тим, що адаптер як ні в чому не бувало блимає лампочками, а у вікні Device Manager (Менеджер пристроїв) відображається так, як ніби встановлений абсолютно правильно. У деяких конфігураціях ця помилка виникає при кожному перезавантаженні, в інших - з п'ятого разу на шостий. Іноді вона довго не виявляється, але у будь-якому випадку, коли виникає, завдає багато клопоту. На дискусійних форумах висловлюється думка, що ця помилка іноді - але не завжди - може бути виправлена після установки Якщо патч встановлений, а проблема підключення залишилася, спробуйте зупинити і знову запустити службу Wireless Zero Configuration, чому Windows XP перевстановить драйвери мережевого адаптера. Для того щоб це зробити, потрібно відкрити консоль Services (Служби). Для цього клацніть правою кнопкою миші на піктограмі My Computer (Мій комп'ютер), розташованої на робочому столі, і виберіть команду Manage (Керування). На лівій панелі консолі керування відкрийте список Services and Applications (Служби і додатки) і виберіть із нього елемент Services (Служби). Перегляньте список на правій панелі і двічі клацніть на елементі Wireless Zero Configuration. Якщо служба не була відключена раніше, у діалоговому вікні буде вказано статус служби Started (Запущена), а кнопка Stop (Стоп) буде активною. Клацніть по ній, трошки зачекайте, поки стане активною кнопка Start (Пуск), і клацніть по ній. Якщо з'єднання відновиться, - рано радіти: швидше за все, проблема буде повторюватися, і вам доведеться кожного разу знову виконувати цю операцію. Якщо після перезапуску служби все залишається по-старому, - схоже, час оновлювати прошивку адаптера Wi-Fi ноутбука або драйвери Wi-Fi, щоб їх версія підтримувалася Windows XP. У самому гіршому випадку, коли WZC частіше дає збої, ніж працює, вимкніть цю службу і використовуйте для налаштування з'єднання з локальною мережею програмне забезпечення, що постачається з адаптером. Розширення кордонів мережі Є кілька способів розширити діапазон бездротової мережі за межі досяжності одного шлюзу. Дешевше і надійніше за все буде встановити кілька шлюзів Wi-Fi. Точки доступу складаються лише з радіоприймача Wi-Fi, тому їх простіше налаштовувати, і з ними менше проблем, проте вони часто коштують дорожче, ніж шлюз. Якщо є можливість прокласти дроти у стінах або під підлогою, можна об'єднати кілька шлюзів локальною мережею Ethernet, створивши своєрідний укрупнений вузол зв'язку. Можна також скористатися бездротовою системою розповсюдження (Wireless Distribution System, WDS), що дозволяє створити бездротовий "ланцюжок" з кількох шлюзів Wi-Fi. WDS ще називають бездротовим мостом, оскільки трафік кожного шлюзу передається (по "мосту") іншим шлюзам. Однак оскільки WDS не є стандартом, то ця технологія підтримується не всіма моделями шлюзів, і по-різному працює на пристроях різних виробників. Для використання WDS краще всього придбати всі шлюзи однієї фірми. Зокрема, хорошими прикладами WDS-сумісних шлюзів, повністю сумісних з Windows, є Apple AirPort Extreme Base Station і Buffalo WBR-G54. Незалежно від того, чи використовуються шлюзи або точки доступу, неправильне налаштування WDS-мосту загрожує багатьма проблемами. Типова ситуація - коли три шлюзи передають інформацію по колу, і вона так і не потрапляє ні в інтернет, ні користувачу. Зазвичай один з шлюзів бездротової мережі ("інтелектуальний") забезпечує мостовий зв'язок між звичайною, кабельною мережею і бездротовими клієнтами, грає роль міжмережевого екрану, а іноді призначає IP-адреси комп'ютерів, підключених до мережі за протоколом DHCP (Dynamic Host Configuration Protocol, протокол динамічної конфігурації хосту). Цей шлюз грає роль бар'єру і сполучної ланки між внутрішньою мережею і мережею Інтернет. Решта ("німі") шлюзи виконують єдину функцію: забезпечують бездротовий доступ. (Активація сервера DHCP на декількох шлюзах - вірний шлях до проблем. DHCP-сервер повинен працювати тільки на одному шлюзі, підключеному безпосередньо до інтернету.) Ще один спосіб розширити діапазон бездротової мережі полягає у використанні адаптерів HomePlug, що дозволяє передавати дані по кабелях електропроводки. Таким чином можна з'єднати два досить віддалених шлюза, якщо тільки вони знаходяться в одній будівлі. Для цього мережевий кабель одного шлюзу підключають адаптера HomePlug, який включається у найближчу електричну розетку. В іншій кімнаті монтується аналогічна система, що складається з другого адаптера HomePlug і шлюзу. Якщо Вам вдасться придбати адаптер HomePlug-Wi-Fi, то необхідність у другому шлюзі відпаде. Головним обмеженням адаптерів HomePlug є неможливість роботи в ізольованих ланцюгах, а саме, у тих випадках, коли розетка з'єднана з вимикачем. Перекриття мереж Одна і та ж мережа, відважно пропрацювавши цілий день, назавтра починає давати збої ... проблема може бути в тому, що Ваші добрі сусіди використовують погану технологію Wi-Fi. Будь-яке обладнання, що працює в діапазоні 2,4 ГГц (у тому числі й пристрої Wi-Fi), сконструйовано так, щоб створювати мінімальні перешкоди для інших пристроїв цього ж діапазону, таких як радіотелефони. Пристроям Wi-Fi доводиться відрізняти корисні сигнали від радіосміття. Проте одні моделі справляються з цим завданням краще, а інші - гірше. Наприклад, компанія Broadcom, виробник мікросхем для бездротового зв'язку, опублікувала в минулому році результати тестів, згідно з якими мікросхеми її конкурента, компанії Atheros, створюють перешкоди для інших бездротових пристроїв. Broadcom постачає мікросхеми стандарту 802.11g для шлюзів Apple, Belkin, Buffalo, Linksys і Motorola, а також для ноутбуків Dell, EMashines і Fujitsu. Технологія Atheros використовується у шлюзах та інших пристроях D-Link і NetGear. Причиною проблеми, на яку посилається Broadcom, є режим Turbo, доступний для шлюзів Atheros, у якому подвоюється швидкість обміну даними між пристроями Atheros. Зрозуміло, Atheros заперечує наявність перешкод від її пристроїв. Що ж стосується незалежних інстанцій, таких як Wi-Fi Alliance, то там дана проблема в даний час вивчається. Тому, якщо в сусідній фірмі встановили обладнання на базі Atheros, і включили режим Turbo, залишається тільки одне - вирішити питання по-хорошому, по-сусідськи. І навпаки, якщо Ви використовуєте обладнання Atheros, можливо, одного дня хтось постукає у Ваші двері .... У будь-якому випадку, перешкоди можна зменшити, домовившись із сусідами використовувати різні канали. Якщо ж не вдається встановити джерело перешкод або зміна каналу не дає бажаного ефекту, залишається скористатися спрямованої антеною. Така антена, встановлена у потрібному місці будівлі і спрямована на іншу його частину, дозволяє усунути перешкоди, при цьому не створюючи проблем сусідам. Підвищення безпеки Wi-Fi Технологія Wi-Fi заслужила репутацію незахищеної, коли мова йде про об'єднання комп'ютерів в локальну мережу. Більшість пристроїв Wi-Fi поставляються з відключеними функціями захисту, так що будь-який власник ноутбука або PDA з адаптером Wi-Fi може зупинитися під Вашими вікнами і впровадитися в мережу. Перша лінія оборони, що отримала назву WEP (Wired Equivalent Privacy, захищеність кабельної мережі), не пройшла "перевірку на міцність". Однак кошти WEP-шифрування вбудовуються в усі пристрої Wi-Fi, і краще вже користуватися ними, ніж взагалі нічим. Тим не менш, алгоритми шифрування WEP недосконалі. Їх достатньо, щоб зупинити випадкового перехожого, але справжній зловмисник, маючи широко доступні програмні засоби, зламає WEP-захист хвилин за 15, незважаючи на завантаження мережі. Для обмеження доступу в мережу можна скористатися фільтрацією адрес MAC (Media Access Control, управління доступом до середовища) на шлюзі. Ця служба обмежує адреси за допомогою унікального коду, вбудованого в кожен адаптер Wi-Fi і Ethernet. MAC-фільтрація зупинить хакера-новачка, але і вона не ідеальна: оскільки навіть при використанні шифрування MAC-адреси передаються відкритим текстом, досвідчений зломщик легко їх розпізнає. Замість того, щоб покладатися виключно на MAC-фільтрацію, краще використовувати її в поєднанні з шифруванням WPA (Wi-Fi Protecting Access, захищений доступ до Wi-Fi), що прийшов на зміну WEP. У WPA були виправлені основні недоліки WEP, і ця технологія вбудована в усі пристрої з сертифікатом Wi-Fi, що випускаються починаючи з вересня 2003 р. Що ж стосується старого обладнання стандарту 802.11g, то для багатьох таких пристроїв (на жаль, не для всіх) , випущених в період з 1999 по 2002 рр.., доступні оновлення вбудованого ПЗ. Більш докладні відомості про це повинні бути на сайті виробника. Перш ніж використовувати WPA в Windows XP, іноді потрібно завантажити Цей патч підтримки WPA можна встановити і на ноутбуки, що підтримують технологію Intel Centrino. Однак, незважаючи на випуск Intel оновлених драйверів, ще не всі виробники інтегрували ці драйвери у версію Windows XP, що встановлюється на їх ПК. Тому більш докладну інформацію про налаштування WPA на даній моделі ноутбука слід шукати на сайті його виробника. У цьому році має з'явитися новий адаптер Intel Centrino стандарту 802.11g з повною підтримкою WPA, що не вимагає завантаження драйверів і оновлень. WPA передбачає захист мережі за допомогою парольної фрази (довгого паролю - від 8 до 63 символів). Парольна фраза вводиться на шлюзі, на сторінці налаштування WPA. Після цього той, хто хоче підключитися до мережі, повинен вказати таку ж фразу у параметрах свого адаптера Wi-Fi. Без парольної фрази з'єднання не відбувається. Для того щоб ввести парольну фразу WPA у профіль Wireless Network Connections, двічі клацніть на піктограмі My Network Places (Мої мережні з'єднання), а потім - на написі View Network Connections (Перегляд мережевих з'єднань), розташованому на лівій панелі. Клацніть правою кнопкою миші на мережевому з'єднанні Wi-Fi, виберіть команду Properties (Властивості) і двічі клацніть на піктограмі Вашої мережі на панелі Preferred Networks (Бажані мережі), розташованої у нижній частині діалогового вікна Properties (Властивості). Перейдіть на вкладку Association (З'єднання) і виберіть зі списку Network Authentication (Аутентифікація мережі) команду WPA-PSK. (При підключенні до мережі підприємства можна вибрати простий режим WPA.) Зі списку Data Encryption (Шифрування даних) виберіть команду TKIP, двічі введіть парольну фразу WPA і клацніть на кнопку OK. Наостанок відзначимо одну особливість, пов'язану з використанням WPA: незважаючи на те, що цей стандарт забезпечує високу захищеність, у кінці 2003 р. було опубліковано дослідження, згідно з яким парольна фраза коротше 20 символів і яка складається виключно зі слів, які є в словнику, може бути розшифрована. Висновок простий: використовуйте довгі парольні фрази, включайте в них цифри і знаки пунктуації. Коли необхідна захищена мережа ? Незважаючи на те, що технологія Wi-Fi розрахована на короткі дистанції, її діапазону досить для того, щоб сусіди (або просто пасажири, випадково проїхавшого повз автомобіля) стали і сусідами по бездротовій мережі. Деякі користувачі інтернету розглядають проникнення в незахищені бездротові мережі як вид спорту (відомий під назвою wardriving - "бойове водіння"). На деяких веб-сайтах публікуються карти відкритих мереж і дані, надані "гравцями", проїхали мимо на автомобілі з ноутбуком, обладнаним GPS-пристроєм та програмним забезпеченням начебто NetStumbler або Наскільки ризиковано працювати у незахищеній мережі? Як коли. Якщо ніколи не читати пошту і не робити електронних платежів, то можна відбутися порівняно дешево. Максимально можлива неприємність пов'язана з використанням паролів шлюза, пропонованих за замовчуванням. Ці паролі широко відомі (є в документації і опубліковані в інтернеті), так що будь-який тінейджер, бажаючий самоствердитися, може, потрапивши у зону дії мережі, реєструватися в ній і ввести нові паролі, яких Ви не знаєте. З усіма витікаючими наслідками .... Наприклад, якщо зловмисник видалить доступ до DSL, Ви втратите доступ до інтернету, а якщо включить WEP-шифрування, - то й до власної локальної мережі. Насправді ризик ще більше. Якщо до мережі підключено, наприклад, комп'ютер з загальнодоступними файлами, то який-небудь Джеймс Бонд, що не відбувся, цілком може зробити з цими файлами все, що захоче. Якщо ж він знайде ще й мережевий принтер з бездротовим адаптером, - то напевно винищить весь вміст лотка на зразки дотепності власного виготовлення .... Нарешті, у такий спосіб на комп'ютер здатний проникнути вірус або "троянець", господар якого зможе керувати ним, перебуваючи десь поблизу . Що ж робити власникові Wi-Fi? У першу чергу, активувати систему безпеки. Саме менше, - змінити стандартні налаштування, такі як SSID та паролі, а також захистити паролем загальнодоступні диски. Як закрити бездротову "чорну діру" ? Є три способи розширення діапазону бездротової мережі, які дозволяють перекрити "мертві зони" або просто збільшити простір доступу для одного шлюзу. 1. Міст Ethernet: з'єднання шлюзів Ethernet-кабелем
Бездротова "аптечка швидкої допомоги" Ось кілька програмних та апаратних засобів, що дозволяють виявити точки доступу до бездротової мережі, знайти причини неполадок та визначити якість з'єднання.
| |
| Переглядів: 3097 | Теги: | Рейтинг: 4.8/4 |
| Всього коментарів: 0 | |