Проектирование и реализация беспроводной компьютерной сети

      Режим «мост».

      В этом режиме точка доступа объединяет физически удаленные сегменты сети в одно целое. Используется при построении «линков» или, другими словами, обеспечения связи между отдаленными объектами.

      Важно отметить, что для осуществления  исправной работы в режимах «ретранслятор» и «мост», SSID (идентификатор беспроводной сети), канал и тип шифрования должны совпадать [18, с.98]. 
 

1.4.4. Сетевые адаптеры и модемы 

      Для подключения ПК к сети требуется  устройство сопряжения, которое называют сетевым адаптером, интерфейсом, модулем, или картой. Оно вставляется в гнездо материнской платы. Карты сетевых адаптеров устанавливаются на каждой рабочей станции и на файловом сервере. Рабочая станция отправляет запрос через сетевой адаптер к файловому серверу и получает ответ через сетевой адаптер, когда файловый сервер готов. Сетевые адаптеры вместе с сетевым программным обеспечением способны распознавать и обрабатывать ошибки, которые могут возникнуть из-за электрических помех, коллизий или плохой работы оборудования.

     Последние типы сетевых адаптеров поддерживают технологию Plug and Play (вставляй и работай). Если сетевую карту установить в компьютер, то при первой загрузке система определит тип адаптера и запросит для него драйверы.

     Различные типы сетевых адаптеров отличаются не только методами доступа к каналу связи и протоколами, но еще и следующими параметрами:

• скорость передачи;
• объем буфера для пакета;
• тип шины;
• быстродействие шины;
• совместимость с различными микропроцессорами;
• использованием прямого доступа к памяти (DMA);
• адресация портов ввода/вывода и запросов прерывания;
• конструкция разъема.

     Модем - (модулятор-демодулятор) - устройство, применяющееся в системах связи  и выполняющее функцию модуляции и демодуляции. Модулятор осуществляет модуляцию несущего сигнала, то есть изменяет его характеристики в соответствии с изменениями входного информационного сигнала, демодулятор осуществляет обратный процесс. Частным случаем модема является широко применяемое периферийное устройство для компьютера, позволяющее ему связываться с другим компьютером, оборудованным модемом, через телефонную сеть (телефонный модем) или кабельную сеть (кабельный модем).

     Модем выполняет функцию оконечного оборудования линии связи. При этом формирование данных для передачи и обработку принимаемых данных осуществляет терминальное оборудование, в простейшем случае -персональный компьютер.

     Типы  модемов для компьютеров:

• Внешние — подключаются через COM, USB порт или стандартный разъем в сетевой карте RJ-45, обычно имеют внешний блок питания (существуют USB-модемы, питающиеся от USB и LPT-модемы).
• Внутренние — устанавливаются внутрь компьютера в слот ISA, PCI, PCI-E, PCMCIA, AMR, CNR

       • Встроенные — являются внутренней частью устройства, например ноутбука или док-станции.

       Модемы  для коммутируемых телефонных линий  — наиболее распространённый тип  модемов.

• ISDN — модемы для цифровых коммутируемых телефонных линий
• DSL — используются для организации выделенных (некоммутируемых) линий используя обычную телефонную сеть. Отличаются от коммутируемых модемов тем, что используют другой частотный диапазон, а также тем, что по телефонным линиям сигнал передается только до АТС. Обычно позволяют одновременно с обменом данными осуществлять использование телефонной линии в обычном порядке.
• Кабельные — используются для обмена данными по специализированным кабелям — к примеру, через кабель коллективного телевидения по протоколу DOCSIS.

       • Радио - работают в радиодиапазоне, используют собственные наборы частот и протоколы.

       • Сотовые — работают по протоколам сотовой связи — GPRS, EDGE, 3G, 4G и т. п. Часто имеют исполнения в виде USB-брелка. В качестве таких модемов также часто используют терминалы мобильной связи.

       • Спутниковые PLC — используют технологию передачи данных по проводам бытовой электрической сети [15, с.45]. 
 

1.5. Защита беспроводной  сети WLAN (Wi-Fi) 

       Существует 3 вида беспроводных сетей:

• намеренно открытая сеть;
• закрытая (запароленная/защищённая);
• и непреднамеренно открытая, либо плохо защищенная сеть.

     К первым относятся те сети, чьи владельцы  дают пользоваться всем, либо слабо ограниченной группе людей своим интернетом. К примеру, существуют комьюнити по всему миру, которые дают доступ своим к своему выходу в интернет абсолютно безвозмездно, т.е. бесплатно. Эта группа людей, должна понимать, что именно они делают. А так же то, что компьютер и данные на нём надо защищать.

     Ко  вторым относятся те, кто ни с  кем, ни чем не хочет делиться, ни данными, ни интернетом. Они либо сами закрыли роутер от внешнего проникновения, либо привлекли специалистов.

     К третьим очень часто относятся  те, кто либо даже не знает, что у  него открытый доступ, либо беспроводная сеть наспех неграмотно отрегулирована.

     Постепенно  мы подошли к выводу, что требуется информация о защите компьютера от внешних атак. И о защите WLAN от несанкционированного входа. В данной заметке я попробую осветить аспекты по защите беспроводной сети.

     Защита  беспроводной сети.

     1. Выключайте роутер, если он вам не нужен. Берегите электроэнергию!

     2.   По возможности, необходимо изменить стандартные настройки роутера. Заменить пароль администратора (и имя пользователя, если можно) и идентификатор SSID (имя сети) на точке доступа.

     3. Обновите прошивку роутера. Крайне редко, просто так, производители меняют прошивки. С каждым обновлением вы получаете либо новые функции, либо избавляетесь от известных дыр. Задумайтесь о замене вашего роутера или адаптера, если он не отвечает современным (нижеприведённым) методам защиты. Wi-Fi Alliance поможет узнать, что может ваш уникальный прибор.

       4.  Фильтруйте пользователей по МАС - адресам. Тогда доступ в сеть получают только авторизированные компьютеры. Фильтрация защитит вашу сеть от новичков, но более опытные хакеры могут легко перехватить МАС- адреса и подменить свой адрес на один из разрешённых.

       5. Аутентификация и VPN. Аутентификация – принудительная регистрация  на сервере  в  сети  при  помощи  сертификатов,  маркеров  или паролей (также известных как Pre-Shared-Key). Настройка VPN и RADIUS-сервера, по моему скромному мнению должна производится профессионалами, поэтому в данной статье они рассматриваться не будут. Так же я не буду подробно освещать сегментирование сети. Несколько правильно настроенных недорогих маршрутизаторов NAT могут послужить прекрасной основой для создания защищенных сегментов LAN, с возможностью доступа из них в Интернет. Коммутаторы или маршрутизаторы с поддержкой VLAN помогут также с разделением  сети.  Функции VLAN  встречаются на большинстве управляемых коммутаторов, однако они практически не встречаются в недорогих маршрутизаторах и неуправляемых коммутаторах.

       6. Шифрование. В беспроводных сетях для защиты приходится выбирать между WEP, WPA или WPA2.

     WEP (Wired Equivalent Privacy - безопасность, эквивалентная проводной сети) является наиболее слабым протоколом, но на текущее время он наиболее широко распространён и поддерживается практически всем оборудованием 802.11. Возможно, придётся остановиться на использовании этой технологии и потому, что не все производители беспроводного оборудования выпустили обновления прошивки с поддержкой WPA для оборудования 802.11b. Некоторые до сих пор выпускают оборудование, которое поддерживает только WEP, например - беспроводные VoIP-телефоны. Таким образом, приходится искусственно снижать безопасность сети из-за того, что не всё оборудование поддерживает более новые технологии.

     Как WPA (Wi-Fi Protected Access), так и WPA2 обеспечивают хорошую защиту беспроводной сети, что достигается благодаря более стойкому алгоритму шифрования и улучшенному алгоритму управления ключами. Основное отличие между ними состоит в том, что WPA2 поддерживает более стойкое шифрование AES (Advanced Encryption Standard). Однако, ряд продуктов, поддерживающих WPA, тоже позволяют использовать алгоритм шифрования AES вместо стандартного TKIP.

     Большинство потребительских точек доступа WPA и WPA2 поддерживают только режим с общим паролем WPA-PSK (Pre-Shared Key) WPA2 или WPA "Enterprise" (он же WPA "RADIUS") также поддерживается в некотором оборудовании, однако его использование требует наличия сервера RADIUS.

     Для большинства частных беспроводных сетей использование WPA-PSK обеспечит вполне достаточную защиту, но только при выборе относительно длинного и сложного пароля [7, с.76].

     Технологии  защиты данных в Wi-Fi сетях.

     1. WEP (Wired Equivalent Privacy, или Защита Эквивалентная Проводной). Этот способ защиты применялся на ранних этапах развития беспроводных сетей. Данные шифруются с помощью -специальных ключей, - ключ представляет собой пароль длиной 5 или 13 символов ASCII (статическая часть) плюс вектор инициализации, сформированный случайным образом (из трех ASCII символов). Этот самый вектор инициализации несложно подобрать прямым перебором - пару часов работы относительно мощного компьютера, и ключ подобран.   Сегодня   считается,   что   использование   технологии   WEP равносильно ее отсутствию. Использовать не рекомендуется.

     2. 802. IX. Эта технология защиты внедрена с 2001 года как для проводных так и для беспроводных сетей. Используются динамические ключи шифрования, то есть те, которые периодически меняются во времени. Пользователи работают сеансами, по окончании сеансов им присылается новый ключ. В Windows XP время каждого сеанса равно 30 минутам.

     3. WPA (Wi-Fi Protected Access) - введен в работу с конца 2003 года. Из 802, IX позаимствована идея динамической смены ключа, плюс многочисленные улучшения включая проверку целостности сообщений. Очень хорошая технология, рекомендуется для домашних сетей и малого офиса.

     4. WPA2 (он же 802.111). Появился в 2004 году, максимально защищенный стандарт изначально разработанный для беспроводных сетей  (в отличие от VPN). Сочетает средства WPA1 и AES (Advanced Encryption Standard).

     5. VPN (Virtual Private Network) - эта технология предложена компанией Intel и предназначена для безопасного соединения клиентских ПК с серверами по общедоступным (!) интернет каналам. VPN очень хороша в плане шифрования и надежности аутентификации. Хотя эта технология и не разрабатывалась для применения в беспроводных сетях, она может с успехом применяться и здесь. За несколько лет эксплуатации VPN сетей информации о их взломе не было. Отличный способ защиты, ориентированный больше на крупные компании. Требует грамотного администрирования. Технология VPN, кстати, успешно применяется в компании «iLand», что позволяет сотрудникам подключаться к офисной сети из любого места с целью обмена данными или для выхода в интернет через «свои» сервера [13, с. 128]. 
 

1.6. Преимущества и  недостатки беспроводной  сети 

WLAN (Wi-Fi) 

     Преимущества  Wi-Fi.

     Беспроводные локальные сети (WLAN) обладают следующими преимуществами перед кабельными сетями (LAN):

     • позволяет развернуть сеть без прокладки кабеля, что может уменьшить стоимость развёртывания и/или расширения сети. Места, где нельзя проложить кабель, например, вне помещений и в зданиях, имеющих историческую ценность, могут обслуживаться беспроводными сетями;

• позволяет иметь доступ к сети мобильным устройствам;
• Wi-Fi-устройства широко распространены на рынке. А устройства разных производителей могут взаимодействовать на базовом уровне сервисов.
• Wi-Fi — это набор глобальных стандартов. В отличие от сотовых телефонов, Wi-Fi оборудование может работать в разных странах по всему миру.
• возможность неограниченного передвижения в области покрытия WLAN, сохраняя доступ к корпоративным информационным ресурсам;
• высокая скорость развертывания WLAN;