13 лет назад 4 августа 2005 в 1:53 65

Вы купили беспроводную точку доступа, подключили ее к сети – и все сразу заработало? А инструкцию к точке доступа вы читали? Нет? Тогда мы идем к вам!

В том, что беспроводная сеть – это очень удобно, вроде бы не сомневается никто. Если у нас есть возможность организовать дома или в офисе беспроводную сеть, мы непременно это делаем (даже если не полностью беспроводную, то обязательно с беспроводным сегментом). А поскольку технология становится массовой, слишком часто установка оборудования производится самостоятельно по схеме купил – включил – заработало – все счастливы.

При этом мы даже не удосуживаемся разобраться: купленная нами точка доступа – это только точка доступа или, может быть, целый роутер? Этот материал написан не для системных администраторов и сетевых специалистов, а для обычных пользователей, которые, так уж получается, очень часто вынуждены сами становиться администраторами своих небольших домашних и офисных сетей.

ЗАЩИТА БЕСПРОВОДНЫХ СОЕДИНЕНИЙ
Что там говорить об использовании широких функциональных возможностей установленных точек доступа, если даже элементарное шифрование часто оказывается не включено и большое количество точек вообще функционируют с установками по умолчанию, которые годятся только для того, чтобы на первом этапе облегчить пользователям настройку беспроводного соединения.

Очень интересны данные, собранные лабораторией сетевой безопасности учебного центра “Информзащита” и опубликованные на сайте SecurityLabru (www.securitylab.ru/53409.html). Проведенное обследование защищенности беспроводных сетей города Москвы показало, что:
– 69% сетей не задействует шифрование вообще;

– только 5% точек доступа, где шифрование включено, используют технологии WPA или 802.11i, во всех остальных случаях используется WEP;

– широковещательная рассылка идентификатора сети (SSID Broadcast) отключена только в трех из ста случаев;

– 12% всех точек доступа, судя по косвенным признакам, используют настройки “по умолчанию”.

Мы как зайцы, которые ночью чего-то там косят в лесу и напевают: “А нам все равно!” – wardrivers нам нипочем. И потому в Москве на данный момент огромное количество легкодоступных, никак не защищенных точек доступа – как частных, так и принадлежащих различным небольшим фирмам. Если сейчас у вашего соседа нет беспроводной карты, это совсем не значит, что она не появится у него завтра. А потому, если у вас нет желания оплачивать чужой трафик или вам не нравится идея, что кто-то спокойно будет рыться в ваших личных файлах, нужно постараться обеспечить максимальную защиту своей беспроводной сети.

Для этого после предварительной настройки сетевых соединений нужно обязательно включить и настроить шифрование трафика с помощью одного из доступных методов. И тут есть один важный момент: для нормальной работы сети необходимо, чтобы все устройства поддерживали выбранный метод шифрования.

На данный момент в точках доступа для SOHO реализуются три стандарта: WEP-шифрование с заданным ключом/ключами, WPA и WPA2. Последний наиболее надежен, но, к сожалению, пока мало распространен, поэтому чуть подробнее рассмотрим только первые два.

WEP в чистом виде
Кое-кто до сих пор уверен, что для того чтобы подобрать WEP-ключ при 128-битной схеме кодирования, необходимо потратить несколько суток, и потому если менять ключи хотя бы раз в час, беспроводную сеть можно считать неуязвимой. Увы, это совсем не так. Сейчас есть реализованные в утилитах алгоритмы поиска WEP-ключа атакуемой беспроводной сети, которые могут найти 104-битный ключ за несколько минут.

Например, утилита Aircrack способна найти такой ключ в среднем за 86 секунд – примерно полторы минуты. Поэтому шифрование с помощью WEP (Wired Equivalent Privacy) в чистом виде – худший из возможных методов, и пользоваться им стоит только в том случае, если какое-либо из устройств в сети не поддерживает более серьезные алгоритмы (впрочем, лучше бы заменить это устройство на более современное или найти прошивку, в которой реализована поддержка WPA).

Путаница с ключами
Вернее, с длиной ключей WEP-шифрования. В некоторых источниках говорится о 40– и 104-битных ключах, где-то – о 64 и 128-битных, а кое-где можно найти сочетания вроде 64 и 104. В общем, неразбериха. На самом деле все просто. Схема, наиболее часто называемая “64-bit WEP Encryption”, использует ключ длиной 40 бит и вектор инициализации длиной 24 бита, а “128-bit WEP Encryption” использует ключ в 104 бита и вектор инициализации такой же длины, как и в предыдущем варианте. При этом именно ключ определяет “глубину” защиты, и правильнее было бы говорить о шифровании с помощью 40– и 104-битных ключей. Но поскольку маркетологи убеждены в том, что большие цифры заслуживают большего внимания, схемы эти очень часто именуют именно 64– и 128-битными.

WPA (Wi-Fi Protected Access)
Этот стандарт основан на WEP-шифровании, но включает в себя проверку подлинности 802.1x и несколько дополнительных протоколов, призванных защитить беспроводное соединение от наиболее распространенных методов атак. Подлинность 802.1x проверяется с помощью серверов RADIUS (Remote Authentication Dial-In User Service), которые используются для аутентификации и ведения базы зарегистрированных клиентов сети.

Такие серверы, например, используются интернет-провайдерами для аутентификации подключаемых к их пулам пользователей, но RADIUS Server может применяться и в обычной сети для обеспечения более высокого уровня защиты от проникновения. Сети, построенные на основе инфраструктуры RADIUS и использующие для шифрования трафика динамически сменяемые WEP-ключи, обеспечивают максимальную степень защиты беспроводных соединений.

Такая структура актуальна для корпоративных сетей и слишком сложна и дорога для сетей SOHO. Поэтому домашним пользователям и небольшим офисам приходится использовать остальные прелести WPA, отказавшись от предусматриваемой этим стандартом проверки подлинности 8021x.

И что же нам от WPA остается? Те самые “несколько дополнительных протоколов”, защищающих соединение от наиболее распространенных методов атак. Протокол TKIP (Temporal Key Integrity Protocol) позволяет усилить защиту шифрования трафика за счет механизмов PPK (Per-Packet Keying) и MIC (Message Integrity Check).

Первый механизм (PPK) занимается тем, что меняет ключ для каждого передаваемого пакета. Второй (MIC) встраивает в передаваемый пакет дополнительные поля, по которым впоследствии определяет повторное использование вектора инициализации и манипуляцию битами пакета (наиболее распространенные методы атак, целью которых является поиск ключа WEP-шифрования). Протокол TKIP может быть надстройкой для WEP-шифрования, а может, использовать и более современный алгоритм AES (Advanced Encryption Standard).

Заливаем новые прошивки!
Важно знать, что WPA реализуется на уровне встроенного ПО точек доступа и адаптеров, поэтому вполне возможно, что для поддержки этого стандарта старым оборудованием может быть достаточно залить новую прошивку и/или сменить драйвер. Так что не забываем проверять обновления на сайте производителя!

ВАЖНЫЕ МЕЛОЧИ
Всякий мало-мальски разбирающийся в сетях человек скажет, что скрывать идентификатор точки доступа (выключать SSID Broadcast) – это прятки для совсем неумелых хакеров, поскольку идентификатор этот передается в открытом виде и элементарно перехватывается из пойманных пакетов. Разрешать доступ клиентам с заданными MAC-адресами – задачка лишь чуть более сложная: существуют утилиты, способные подделывать MAC-адрес, встраиваясь в стек сетевых протоколов. Но несмотря на очевидную слабость этих двух элементарных способов защиты, мы настоятельно рекомендуем использовать их в комплексе с WPA. Лучше не дать повода юному хакеру для углубления в суть вопроса и не провоцировать его на попытки взлома свободно видимой сети – зацепится, начнет ковырять – кто знает, чем дело кончится.

Еще один нюанс связан с использованием совместимости стандартов 802.11g и 802.11b. Дело в том, что 802.11b, основанный на технологии с прямой последовательностью распространения спектра (DSSS), уязвим для DoS-атак. Хакер может имитировать постоянную занятость беспроводной сети и таким образом отключить пользователей, работающих с атакуемой точкой доступа. Защиты от DoS-атак для оборудования стандарта 802.11b на данный момент не существует, и если наша точка стандарта 802.11g работает в режиме совместимости с 802.11b, то элементарное подключение клиентского устройства хакера стандарта 802.11b переведет точку доступа в этот режим и сделает ее уязвимой. Поэтому, если используется оборудование только стандарта 802.11g, лучше отключить обратную совместимость.

САМАЯ ГЛАВНАЯ ТАЙНА
Собственно говоря, никакой тайны тут нет – любая защита, какой бы совершенной она ни была, рано или поздно оказывается взломанной. Этот совершенно естественный процесс в чем-то сродни шахматной партии: сначала ходят белые, потом черные, потом снова белые и т. д., пока вопрос так или иначе не потеряет свою актуальность.

Понятно, что ни один из перечисленных выше методов защиты и ни одна их комбинация не обеспечивают абсолютной защиты беспроводной сети от взлома. Более того, методов абсолютно надежных вообще не существует. Весь смысл защиты состоит в том, чтобы сделать взлом максимально трудоемким, чтобы затраты на обеспечение доступа хакера в нашу сеть оказались несоизмеримо большими, чем гипотетическая выгода, которую он может от этого доступа получить. С обеспечением безопасности на сегодня все.

ВОЗМОЖНОСТИ, О КОТОРЫХ СТОИТ ЗНАТЬ
Даже в самых простых беспроводных точках доступа обязательно есть несколько функций, назначение которых может быть не очень понятно пользователю, неискушенному в премудростях функционирования локальных сетей. Ниже мы постараемся объяснить, что делает та или иная функция и зачем она нужна. Двигаться будем постепенно от простых точек доступа до беспроводных маршрутизаторов.

DHCP-сервер
Любая точка доступа имеет встроенный DHCP-сервер. Dynamic Host Configuration Protocol – это протокол, отвечающий за динамическое присвоение IP-адреса каждому компьютеру в сети. Нужен он для того, чтобы компьютер, подключенный к сети, мог автоматически, без вмешательства со стороны пользователя, получить IP-адрес, пригодный для работы с данной сетью. Использование DHCP-сервера очень удобно: не нужно вручную прописывать адреса для вновь подключаемого компьютера, достаточно просто подключить его к локальной сети – сервер все сделает сам. Обычно DHCP-серверы, встроенные в точки доступа, которые предназначены для SOHO, поддерживают до 254 IP-адресов.

Чаще всего управление сервером DHCP сводится к минимуму: у нас есть возможность задать начальный адрес и диапазон адресов, в котором будут генерироваться новые IP. Иногда встроенный DHCP-сервер позволяет присваивать отдельным компьютерам в сети фиксированные адреса – достаточно указать, что клиенту с таким-то MAC-адресом необходимо присвоить такой-то IP.
Порой возникает ситуация, когда после отключения DHCP-сервера в точке доступа и настройки адресов вручную исчезает доступ в интернет: мы набираем в строке браузера какой-либо URL-адрес и получаем сообщение о том, что сервер не найден и страница не может быть отображена. Ситуация вполне нормальная. Интернет никуда не пропал – просто наш компьютер не знает, где расположены DNS-серверы, переводящие привычные нам URL в IP-адреса.

Произошло это потому, что мы отключили DHCP-сервер, который как раз и отвечает за автоматическое определение адресов наших DNS-серверов. Безусловно, все можно исправить, и для этого совсем не обязательно отказываться от ручной настройки сети и возвращаться к DHCP-серверу. Если мы задавали статические адреса через встроенный DHCP и он позволяет напрямую указать адреса DNS-серверов, достаточно указать их в настройках; если же нет – нам придется вручную прописать эти адреса в свойствах сетевых адаптеров компьютеров нашей сети.

Беспроводные мосты
Некоторые точки доступа обладают возможностью работы в режиме WDS (Wireless Distribution System), называемом также Wireless Bridge (беспроводный мост). Этот режим позволяет соединять несколько точек доступа между собой, объединяя отдельные сегменты в одну сеть. К сожалению, клиентские устройства не могут быть подключены к точке, работающей в этом режиме (этого недостатка лишены точки доступа, поддерживающие режим WDS Hybrid). Для того чтобы настроить Wireless Bridge, необходимо задать список MAC-адресов удаленных мостов (Remote Bridge List), с которыми будет соединяться наша точка доступа.

Access Filter (URL Filter)
Эта функция позволяет заблокировать доступ к интернет-серверам, доменные имена которых содержат те или иные ключевые слова. Достаточно внести их в Keyword List. В идеале встроенный в точку доступа фильтр позволяет создавать специальные правила, в которых указываются в какой день недели, в какое время, для какого клиента разрешается или прекращается доступ в интернет или какие сервисы и сайты блокируются. Например, мы можем создать правило, в котором укажем, что клиенту с таким-то MAC-адресом запрещается доступ к определенному списку сайтов, а также к сайтам, содержащим определенный нами список ключевых слов.

E-mail Notification
Эта функция может оказаться очень полезной. Суть ее очень проста: при обнаружении известной встроенному программному обеспечению DoS-атаки, сканирования портов или попытки доступа к запрещенным в URL-фильтре адресам на указанный почтовый адрес отправляется письмо с подробным описанием ситуации. Кроме этого, на этот же адрес по расписанию может высылаться лог-файл описания всех фиксируемых точкой событий. В итоге, если кто-то попытается взломать сеть, вполне вероятно, что мы об этом узнаем, просмотрев присланные предупреждения и логи. Для работы E-mail Notification необходимо, чтобы точка доступа была подключена к интернету и у нас был почтовый адрес с SMTP-сервером (онлайновые почтовые службы, не поддерживающие SMTP, не подойдут).

Router
Вот мы и добрались до маршрутизатора, или роутера (кому как нравится). Мы не станем углубляться, а лишь постараемся просто и кратко объяснить, зачем маршрутизаторы вообще нужны.
Маршрут (Route) – это возможный путь от одного компьютера в сети, называемого хостом, до другого. Если хост, которому мы хотим отправить данные, находится в нашей сети, то отправить эти данные в сеть достаточно просто.

Если же нет, нам ничего не остается, как отдать эту информацию роутеру и положиться на то, что он знает, куда передать эти данные, чтобы они попали адресату. Именно это самое “он знает” и описывается правилом, помещаемым в таблицу маршрутов, которая своя у каждого роутера сети. Фактически с помощью маршрутизаторов и хранящихся в них правил маршрутизации формируется логическая топология сети: можно объединить несколько отдельных сетей, можно одну сеть разбить на подсети и т. д. Именно маршрутизаторы формируют логическую топологию как локальных сетей, так и интернета.

Если наша беспроводная точка доступа имеет встроенный ADSL-модем или порт WAN, это значит, что мы имеем дело с роутером и наша сеть, состоящая из нескольких компьютеров, может быть подключена к другой сети: локальной или глобальной (интернет). При этом из другой сети будет виден только один единственный компьютер нашей сети – роутер – остальные будут спрятаны за ним.

Virtual Server
С появлением услуг “Стрим”, когда за небольшую сумму можно получить неограниченный по трафику, постоянно подключенный доступ в интернет, у многих стала возникать мысль создания собственных серверов (WEB, MAIL, FTP и т. д.). Собственных именно в смысле хостинга в домашних условиях, то есть когда сервер находится на одном из наших личных, постоянно подключенных к интернету компьютерах. Современные беспроводные роутеры позволяют сделать это встроенными средствами. Достаточно просто указать, какой из компьютеров в сети работает в качестве сервера, выбрать тип сервера и назначить порт или диапазон портов доступа – роутер сделает это порт видимым извне.

Если не касаться вопроса защиты, при организации домашнего сервера существует единственная проблема – динамические IP-адреса: для доступа к созданному серверу нужно знать текущий IP-адрес, выданный провайдером нашему роутеру. Для решения этой проблемы существуют коммерческие DDNS-серверы (Dynamic-DNS), например www.dyndnsorg, www.tzo.com, www.dhsorg, которые (при поддержке функции DDNS со стороны беспроводного роутера) позволяют при каждой смене IP-адреса ассоциировать его с зарегистрированным нами доменным именем. В итоге какой бы адрес ни был в данный момент у нашего сервера, достаточно набрать в строке зарегистрированное имя (например, www.mywebserver.ru).

Не дадим денег за DDNS?
В принципе существует способ, при котором можно обойтись без Dynamic-DNS-служб, но он не слишком удобен и требует определенных знаний и навыков. Учитывая, что в большинстве точек доступа функционирует та или иная версия Linux и обычно встроена функция E-mail Notification, можно модифицировать прошивку таким образом, чтобы всякий раз при смене IP в наш почтовый ящик отправлялось письмо с новым адресом. В итоге везде, где мы сможем добраться до своей почты, мы будем иметь и доступ к собственному серверу. Это, конечно, не слишком удобно, но, во-первых, бесплатно, во-вторых, сервер, который постоянно меняет свой адрес, не заинтересует хакеров – вряд ли на нем будет что-то настолько ценное, чтобы за ним стоило гоняться.

Встроенный FTP Server
У компании ASUSTek есть два устройства: беспроводной маршрутизатор ASUS WL-500g и беспроводной сетевой жесткий диск ASUS WL-HDD 2.5, – в которых реализована функция FTP-сервера. К первому можно подключить внешний USB-накопитель и на его основе организовать доступный как внутри сети, так и из интернета FTP-сервер.

Второй сам по себе является накопителем и также может функционировать как FTP-сервер. Кроме того, так же, как и к WL-500g, к WL-HDD может быть подключен внешний USB-накопитель (некоторым экземплярам может потребоваться обновление прошивки). Оба эти устройства позволяют создать FTP-сервер без использования ресурсов какого-либо из компьютеров сети, и мы можем организовать сервер, который будет постоянно доступен независимо от того, включен ли какой-либо компьютер в сети или нет.

Основным недостатком этих решений является низкая скорость передачи данных, связанная, прежде всего, с невысокой производительностью процессоров, которые используются в устройствах. Несмотря на наличие USB 2.0 интерфейса в ASUS WL-500g Deluxe, средняя скорость чтения с внешнего накопителя не превышает 1800 кб/с, а скорость записи – 1000 кб/с. Для ASUS WL-HDD 2.5 при работе с установленным в устройство жестким диском скорость может достигать 3-4 Мб/с по Ethernet-каналу и порядка 1300 кб/с через беспроводный интерфейс.

Firewall
Встроенный в беспроводной роутер Firewall гораздо менее гибок и функционален, чем программы, которые используются на наших компьютерах (например, тот же Norton Internet Security). Тем не менее, это дополнительный программно-аппаратный барьер, который при грамотной настройке станет препятствием на пути различного рода хакерских программ.

Кроме возможности блокировать попытки доступа в нашу сеть извне встроенный Firewall, оперируя IP-адресами и портами, может запрещать доступ компьютеров нашей сети к тем или иным сервисам и URL-адресам. Как и в случае с URL-фильтром, обычно у пользователя есть возможность запускать то или иное правило по расписанию.

СОХРАНЯЕМ НАСТРОЙКИ
Мы подошли к концу. Все наиболее важные функции точек доступа пусть кратко, но описаны. И если вы дочитали этот материал до конца, то наверняка сможете разобраться с настройками собственной беспроводной сети. По крайней мере, вряд ли оставите точку с настройками по умолчанию, а это уже не мало.

Напоследок хочется сказать, что подавляющее большинство точек доступа позволяют сохранять настройки в файл и затем при необходимости восстанавливать их. Это особенно актуально, если приходится производить тонкую настройку и выставлять большое количество различных параметров. Кроме того, никто не мешает нам создавать установки для различных (типичных для наших конкретных условий) конфигураций, сохранять их в отдельные файлы и затем переключать конфигурации простой загрузкой одного из файлов. Вот теперь мы точно пришли. Точка.