Защита домашней сети WiFi от взлома. Повышаем безопасность по максимуму! Зачем устанавливать защиту беспроводной сети Windows

Беспроводные сети удобнее проводных , но они также могут быть уязвимыми для хакеров и вредоносных программ (например, червей). Поскольку беспроводные сети используют радиоволны, которые могут проходить сквозь стены, сетевой сигнал может выйти за пределы дома.

Если не пытаться защитить сеть, пользователи компьютеров, неподалеку, смогут получить доступ к данным, которые хранятся на компьютерах сети, и пользоваться вашим подключением к интернету . С помощью настройки ключа безопасности в беспроводной сети можно защитить от несанкционированного доступа.

Способы защиты беспроводной сети

Беспроводную сеть следует настраивать таким образом, чтобы только избранные пользователи имели к ней доступ.

Ниже описано несколько параметров безопасности беспроводной сети:

Технология защищенного доступа Wi-Fi (WPA и WPA2)

Технология защищенного доступа Wi-Fi шифрует информацию и проверяет, не изменен сетевой ключ безопасности. Кроме того, технология защищенного доступа Wi-Fi выполняет аутентификацию пользователей, чтобы обеспечить доступ к сети только авторизованным пользователям.

Существует два типа аутентификации WPA: WPA и WPA2.

Тип WPA предназначен для работы со всеми беспроводными сетевыми адаптерами, но он не совместим с более старыми маршрутизаторами или точками доступа. Тип WPA2 безопаснее типа WPA, но он несовместим с некоторыми старыми сетевыми адаптерами.

Технология WPA предназначена для использования с сервером аутентификации 802.1х, который создает различные ключи для каждого пользователя. Тогда она называется WPA-Enterprise или WPA2-Enterprise. Она может также использоваться в режиме заранее установленного общего ключа (PSK), когда каждый пользователь получает одинаковую идентификационную фразу. Тогда это называется WPA-Personal или WPA2-Personal.

Протокол Wired Equivalent Privacy (WEP)

WEP как старый метод безопасности сети, по-прежнему доступен для поддержки старых устройств, больше использовать не рекомендуется . При включении протокола WEP устанавливается сетевой ключ безопасности. Этот ключ шифрования, которые направляются через сеть с одного компьютера на другой. Однако безопасность WEP относительно легко взломать.

Внимание! По возможности рекомендуется использовать WPA2. Не рекомендуется использовать WEP. WPA или WPA2 безопаснее. Если при попытке запуска WPA или WPA2 они не работают, рекомендуется обновить сетевой адаптер для работы с одним из работающих технологий WPA или WPA2.

Аутентификация 802.1х

Аутентификация 802.1х может повысить уровень защиты беспроводных сетей стандарта 802.11 и сетей Ethernet. Аутентификация 802.1х использует сервер аутентификации для проверки пользователей и предоставления разрешения на доступ к сети. В беспроводных сетях подлинности 802.1х можно использовать с ключами протокола WPA, WPA2 или WEP. Этот тип аутентификации обычно используется для подключения к сети на рабочем месте.

В 1997 году вышел первый стандарт IEEE 802.11, безопасность которого, как оказалось, далека от идеала. Простой пароль SSID (Server Set ID) для доступа в локальную сеть по современным меркам нельзя считать защитой, особенно, учитывая факт, что к Wi-Fi не нужно физически подключаться.

Главной же защитой долгое время являлось использование цифровых ключей шифрования потоков данных с помощью функции Wired Equivalent Privacy (WEP). Сами ключи представляют из себя обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне. Как показало время, WEP оказалась не самой надёжной технологией защиты. И, кстати, все основные атаки хакеров пришлись как раз-таки на эпоху внедрения WEP.

После 2001 года для проводных и беспроводных сетей был внедрён новый стандарт IEEE 802.1X, который использует вариант динамических 128-разрядных ключей шифрования, то есть периодически изменяющихся во времени. Таким образом, пользователи сети работают сеансами, по завершении которых им присылается новый ключ. Например, Windows XP поддерживает данный стандарт, и по умолчанию время одного сеанса равно 30 минутам.

В конце 2003 года был внедрён стандарт Wi-Fi Protected Access (WPA), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа Temporal Key Integrity Protocol (TKIP), протоколом расширенной аутентификации Extensible Authentication Protocol (EAP) и технологией проверки целостности сообщений Message Integrity Check (MIC).

Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков, в частности, в данном направлении преуспевают Intel и Cisco.

В 2004 году появился WPA2, или 802.11i, - максимально защищённый стандарт на сегодняшний день.

Методы передачи и защиты беспроводной сети

Технология размытого спектра известна еще со времен второй мировой войны. Основной принцип - передаваемый сигнал как бы размазан по некоторому частотному диапазону. Само по себе словосочетание "размытый спектр" означает, что для кодирования сигнала используется более широкий частотный диапазон, чем тот, что потребовался бы при передаче только полезной информации. Эта технология получила распространение благодаря высокой помехоустойчивости. Очевидно, что эта ее особенность актуальна и для современного бизнеса, так как компаниям приходится зачастую доверять радиоволнам важную конфиденциальную информацию. Кроме того, технология оказалась относительно дешевой при массовом производстве. Отметим, что максимальная скорость передачи данных в канале зависит только от ширины канала, а не от участка спектра. Передающая станция беспроводной сети постоянно меняет частотный диапазон, в котором ведется передача сигнала. Получается, что одна часть информации передается на одной частоте, другая - на второй, третья - на третьей и т.д. Конкретная последовательность используемых частот называется последовательностью скачков. Она должна быть синхронизирована между передающей и принимающей станцией. В противном случае они не смогут общаться друг с другом. Не зная нужной последовательности и частоты переключения поддиапазонов, расшифровать сигнал практически невозможно. Стандарт определяет 79 каналов и 78 частот, изменяющихся скачкообразно. Метод частотных скачков обеспечивает конфиденциальность и некоторую помехозащищенность передач беспроводной сети. Помехозащищенность обеспечивается тем, что если на каком-то из 79 подканалов передаваемый пакет не удалось принять, то приемник сообщает об этом, и передача этого пакета повторяется на одном из следующих (в последовательности скачков) подканалов. С другой стороны, поскольку при использовании метода частотных скачков на каждом подканале передача ведется на достаточно большой мощности, сравнимой с мощностью обычных узкополосных передатчиков, об этом методе нельзя сказать, что он не мешает другим видам передач. Первый очевидный результат применения этого метода - защита передаваемой информации беспроводной сети от подслушивания. Но более важным оказалось другое свойство, состоящее в том, что благодаря многократной избыточности передачи можно обойтись сигналом очень маленькой мощности (по сравнению с обычной узкополосной технологией), не увеличивая при этом размеров антенн. При этом в беспроводной связи сильно уменьшается отношение сигнал/шум (под шумом имеются в виду случайные или преднамеренные помехи), так что передаваемый сигнал уже как бы неразличим в общем шуме. Тем не менее, благодаря избыточности сигнала принимающее устройство все же сумеет его распознать. Ясно, что при генерации и кодировании избыточных разрядов эффективная частота полученного сигнала возрастает, поэтому для его передачи требуется более широкий диапазон, чем для передачи "чистой" информации, в результате чего спектр и растягивается, или "размывается". Защита информации в беспроводных сетях предлагают четыре уровня средств безопасности: физический, идентификатор набора служб, идентификатор управления доступом к среде и шифрование. Еще одно преимущество беспроводных сетей связано с тем, что физические характеристики сети делают ее локализованной. В результате дальность действия сети ограничивается лишь определенной зоной покрытия. Для подслушивания потенциальный злоумышленник должен будет находиться в непосредственной физической близости, а значит, привлекать к себе внимание. В этом преимущество беспроводных сетей с точки зрения безопасности. Беспроводные сети имеют также уникальную особенность: их можно отключить или модифицировать их параметры, если безопасность зоны вызывает сомнения. Благодаря средствам аутентификации и шифрования данных, злоумышленнику почти невозможно получить доступ к сети или перехватить передаваемые данные. В сочетании с мерами безопасности на сетевом уровне протокола (подключение к беспроводной сети парольного доступа и т.д.), а также функциями безопасности тех или иных конкретных приложений (шифрование, парольный доступ и т.д.) средства безопасности продуктов беспроводной сети открывают путь к безопасной связи.

Шифрованию данных в беспроводных сетях уделяется так много внимания из-за самого характера подобных сетей. Данные передаются беспроводным способом, используя радиоволны, причем в общем случае используются всенаправленные антенны. Таким образом, данные слышат все, не только тот, кому они предназначены. Конечно, расстояния, на которых работают беспроводные сети (без усилителей или направленных антенн), невелики – около 100 метров в идеальных условиях. Стены, деревья и другие препятствия сильно гасят сигнал, но это все равно не решает проблему.

Изначально для защиты использовался лишь SSID (имя сети ). Но SSID передается в открытом виде и никто не мешает злоумышленнику его подслушать, а потом подставить в своих настройках нужный. Не говоря уже о том, что (это касается точек доступа) может быть включен широковещательный режим для SSID, т.е. он будет принудительно рассылаться в эфир для всех слушающих.

Поэтому встала нужда именно в шифровании данных. Первым таким стандартом стал WEP – Wired Equivalent Privacy . Шифрование осуществляется с помощью 40 или 104-битного ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе). Сам же ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Драйвера многих производителей позволяют вводить вместо набора ASCII-символов напрямую шестнадцатеричные значения (той же длины). Алгоритмы перевода из ASCII-последовательности символов в шестнадцатеричные значения ключа могут различаться у производителей, поэтому, если в сети используется разнородное беспроводное оборудование и настройка WEP шифрования с использованием ключа-ASCII-фразы никак не удается, необходимо ввести вместо нее ключ в шестнадцатеричном представлении.

Реально шифрование данных происходят с использованием ключа длиной 40 или 104. Но кроме ASCII-фразы (статической составляющей ключа) есть еще такое понятие, как Initialization Vector (IV) – вектор инициализации . Он служит для рандомизации оставшейся части ключа. Вектор выбирается случайным образом и динамически меняется во время работы. В принципе, это разумное решение, так как позволяет ввести случайную составляющую в ключ. Длина вектора равна 24 битам, поэтому общая длина ключа в результате получается равной 64 (40+24) или 128 (104+24) бит.

Используемый алгоритм шифрования (RC4) в настоящее время не является особенно стойким – при большом желании, за относительно небольшое время можно подобрать ключ перебором. Но все же главная уязвимость WEP связана как раз с вектором инициализации. Длина IV составляет всего 24 бита. Это дает примерно 16 миллионов комбинаций – 16 миллионов различных векторов. В реальной работе все возможные варианты ключей будут использованы за промежуток от десяти минут до нескольких часов (для 40-битного ключа). После этого вектора начнут повторяться. Злоумышленнику достаточно набрать достаточное количество пакетов, просто прослушав трафик беспроводной сети, и найти эти повторы. После этого подбор статической составляющей ключа (ASCII-фразы) не занимает много времени.

Многие производители встраивают в софт (или аппаратную часть беспроводных устройств) проверку на подобные вектора, и, если подобные попадаются, они молча отбрасываются, т.е. не участвую в процессе шифрования.

Для увеличения безопасности беспроводных сетей был разработан протокол WPA (Wi-Fi Protected Access - защищенный доступ Wi-Fi). Протокол WPA был призван закрыть слабые места беспроводных сетей, где используется WEP. Спецификация требует, чтобы сетевые элементы были оснащены средствами динамической генерации ключей и использовали усовершенствованную схему шифрования данных RC4 на основе TKIP (Temporal Key Integrity Protocol - протокол краткосрочной целостности ключей). Таким способом удалось повысить защищенность пакетов и обеспечить обратную совместимость с WEP, пусть даже за счет дополнительной нагрузки на сетевые каналы. Кроме того, контрольные криптографические суммы в WPA рассчитываются по новому методу под названием Michael. В каждый кадр 802.11 здесь помещается специальный восьмибайтный код целостности сообщения, проверка которого позволяет отражать атаки с применением подложных пакетов.

Все устройства с поддержкой WPA производят обязательную аутентификацию 802.1х посредством протокола EAP (Extensible Authentication Protocol - расширенный протокол аутентификации) . При этом применяется сервер RADIUS (Remote Authentication Dial - In User Service - служба дистанционной аутентификации пользователей по коммутируемым линиям) либо предварительно заданный общий ключ.

Аутентификация 802.1х основана на клиент-серверной архитектуре и использует три элемента: клиентский запросчик (client supplicant), аутентификатор и сервер аутентификации. Широкому применению этой технологии в корпоративных беспроводных ЛВС способствуют реализованная в ней модель централизованного управления безопасностью и возможность интеграции с действующими схемами корпоративной аутентификации.

Большинству организаций для использования WPA будет достаточно установить новые микропрограммы и клиенты, интегрировав их со своими системами аутентификации. Компаниям же малого и среднего бизнеса, которые обходятся без сервера аутентификации, придется предварительно инсталлировать общий ключ на каждом клиенте и точке доступа.
WPA уже находит поддержку и в операционных системах.

Не так давно вышел новый стандарт 802.11i, направленный на повышение безопасности беспроводных сетей: он предполагает применение шифрования AES (Advanced Encryption Standa rd) с длиной ключа 128, 192 или 256 бит и применяется с устройствами стандартов 802.11b и 802.11g.

Стандарт 802.11i, предназначенный для обеспечения информационной безопасности БЛВС крупных предприятий и небольших офисов, задуман с целью усовершенствования защитных функций стандарта 802.11. Вместе с тем этот стандарт, предусматривающий шифрование данных и контроль их целостности, отличается повышенной сложностью реализации и может оказаться несовместимым с уже существующим беспроводным оборудованием.

В защитном стандарте 802.11i предусмотрена промежуточная спецификация на так называемую переходную защищенную сеть - Transitional Security Network (TSN) , в которой допускается возможность одновременного использования решений RSN и устаревших систем WEP. Однако при этом беспроводная сеть будет защищена не столь хорошо.

Определенный по умолчанию в стандарте IEEE 802.11i механизм обеспечения конфиденциальности данных основан на блочном шифре стандарта AES. Использующий его защитный протокол получил название Counter-Mode CBC MAC Protocol, или CCMP. На нижних уровнях модели OSI, где происходят шифрование и расшифровка передаваемых данных AES использует три временных ключа шифрования. AES (Advanced Encryption Standard - усовершенствованный стандарт шифрования) отличается от включенной в WEP реализации RC4 гораздо более стойким криптоалгоритмом, однако предъявляет повышенные требования к пропускной способности каналов связи, поэтому переход на новый стандарт потребует и модернизации сетевой аппаратуры. К тому же у AES отсутствует обратная совместимость с нынешним оборудованием WPA и WEP.

Чтобы корпоративные точки доступа работали в системе сетевой безопасности стандарта 802.11i, они должны поддерживать аутентификацию пользователей по протоколу RADIUS и иметь возможность быстро осуществлять повторную аутентификацию пользователей после разрыва соединения с сетью. Это особенно важно для нормального функционирования приложений, работающих в реальном масштабе времени (например, средств передачи речи по БЛВС).

Если сервер RADIUS, применяемый для контроля доступа пользователей проводной сети, поддерживает нужные методы аутентификации EAP, то его можно задействовать и для аутентификации пользователей беспроводной сети. В противном случае стоит установить сервер WLAN RADIUS, который будет взаимодействовать с имеющимся сервером RADIUS в качестве сервера-посредника. Сервер WLAN RADIUS работает следующим образом: сначала он проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей базы данных об их идентификаторах и паролях) или его цифровой сертификат, а затем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи. В стандарте IEEE 802.11i применение каких-либо конкретных методов аутентификации EAP не оговаривается. Выбор метода аутентификации EAP определяется спецификой работы клиентских приложений и архитектурой сети.

Новый стандарт приобрел несколько относительно малоизвестных свойств. Одно из них - key-caching - незаметно для пользователя записывает информацию о нем, позволяя при выходе из зоны действия беспроводной сети и последующем возвращении в нее не вводить всю информацию о себе заново.

Второе нововведение - пре-аутентификация. Суть ее в следующем: из точки доступа, к которой в настоящее время подключен пользователь, пакет пре-аутентификации направляется в другую точку доступа, обеспечивая этому пользователю предварительную аутентификацию еще до его регистрации на новой точке и тем самым сокращая время авторизации при перемещении между точками доступа.

Чтобы ноутбуки и карманные ПК работали в системе сетевой безопасности стандарта 802.11i, они должны быть оснащены клиентскими программами, поддерживающими стандарт 802.1x. Фирма Cisco включила ее в свою утилиту Aironet Client Utility. Компания Microsoft предусмотрела наличие поддержки стандарта 802.1x в ОС Windows XP, Vista, Seven. К сожалению, эти клиентские программы, заранее включаемые в ОС и в другие средства, как правило, поддерживают не все методы аутентификации EAP, таблица 4.8

Таблица 4.8 - Стандарты шифрования данных.

5 Отказоустойчивые системы хранения данных:
RAID - массивы

Проблема повышения надежности хранения информации и одновременного увеличения производительности системы хранения данных занимает умы разработчиков компьютерной периферии уже давно. Относительно повышения надежности хранения все понятно: информация - это товар, и нередко очень ценный. Для защиты от потери данных придумано немало способов, наиболее известный и надежный из которых - это резервное копирование информации.

RAID - это избыточный массив независимых дисков (Redundant Arrays of Independent Discs ) , на который возлагается задача обеспечения отказоустойчивости и повышения производительности. Отказоустойчивость достигается за счет избыточности. То есть часть емкости дискового пространства отводится для служебных целей, становясь недоступной для пользователя.

Повышение производительности дисковой подсистемы обеспечивается одновременной работой нескольких дисков, и в этом смысле чем больше дисков в массиве (до определенного предела), тем лучше.

Совместную работу дисков в массиве можно организовать с использованием либо параллельного, либо независимого доступа.

При параллельном доступе дисковое пространство разбивается на блоки (полоски) для записи данных. Аналогично информация, подлежащая записи на диск, разбивается на такие же блоки. При записи отдельные блоки записываются на различные диски (рисунок 5.1), причем запись нескольких блоков на различные диски происходит одновременно, что и приводит к увеличению производительности в операциях записи. Нужная информация также считывается отдельными блоками одновременно с нескольких дисков (рисунок 5.2).

Рисунок 5.1 - Структура записи	Рисунок 5.2 - Структура считывания

Что также способствует росту производительности пропорционально количеству дисков в массиве.

Следует отметить, что модель с параллельным доступом реализуется только при условии, что размер запроса на запись данных больше размера самого блока. В противном случае реализовать параллельную запись нескольких блоков просто невозможно. Представим ситуацию, когда размер отдельного блока составляет 8 Кбайт, а размер запроса на запись данных - 64 Кбайт. В этом случае исходная информация нарезается на восемь блоков по 8 Кбайт каждый. Если имеется массив из четырех дисков, то одновременно можно записать четыре блока, или 32 Кбайт, за один раз. Очевидно, что в рассмотренном примере скорость записи и скорость считывания окажется в четыре раза выше, чем при использовании одного диска. Однако такая ситуация является идеальной, поскольку далеко не всегда размер запроса кратен размеру блока и количеству дисков в массиве.

Если же размер записываемых данных меньше размера блока, то реализуется принципиально иная модель доступа - независимый доступ. Более того, эта модель может быть реализована и в том случае, когда размер записываемых данных больше размера одного блока. При независимом доступе все данные отдельного запроса записываются на отдельный диск, то есть ситуация идентична работе с одним диском. Преимущество модели с параллельным доступом в том, что при одновременном поступлении нескольких запросов на запись (чтение) все они будут выполняться независимо, на отдельных дисках (рисунок 5.3). Подобная ситуация типична, например, в серверах.

В соответствии с различными типами доступа существуют и различные типы RAID-массивов, которые принято характеризовать уровнями RAID. Кроме типа доступа, уровни RAID различаются способом размещения и формирования избыточной информации. Избыточная информация может либо размещаться на специально выделенном диске, либо перемешиваться между всеми дисками. Способов формирования этой информации несколько больше. Простейший из них - это полное дублирование (100-процентная избыточность), или зеркалирование. Кроме того, используются коды с коррекцией ошибок, а также вычисление четности.

В настоящее время существует несколько стандартизированных RAID-уровней: от RAID 0 до RAID 5. К тому же используются комбинации этих уровней, а также фирменные уровни (например, RAID 6, RAID 7). Наиболее распространенными являются уровни 0, 1, 3 и 5.

RAID уровня 0, строго говоря, не является избыточным массивом и соответственно не обеспечивает надежности хранения данных. Тем не менее данный уровень находит широкое применение в случаях, когда необходимо обеспечить высокую производительность дисковой подсистемы. Особенно популярен этот уровень в рабочих станциях. При создании RAID-массива уровня 0 информация разбивается на блоки, которые записываются на отдельные диски, то есть создается система с параллельным доступом (если, конечно, размер блока это позволяет). Благодаря возможности одновременного ввода-вывода с нескольких дисков RAID 0 обеспечивает максимальную скорость передачи данных и максимальную эффективность использования дискового пространства, поскольку не требуется места для хранения контрольных сумм. Реализация этого уровня очень проста. В основном RAID 0 применяется в тех областях, где требуется быстрая передача большого объема данных.

RAID 1 (Mirrored disk)

RAID уровня 1 - это массив дисков со 100-процентной избыточностью. То есть данные при этом просто полностью дублируются (зеркалируются), за счет чего достигается очень высокий уровень надежности (как, впрочем, и стоимости). Отметим, что для реализации уровня 1 не требуется предварительно разбивать диски и данные на блоки. В простейшем случае два диска содержат одинаковую информацию и являются одним логическим диском. При выходе из строя одного диска его функции выполняет другой (что абсолютно прозрачно для пользователя). Кроме того, этот уровень удваивает скорость считывания информации, так как эта операция может выполняться одновременно с двух дисков. Такая схема хранения информации используется в основном в тех случаях, когда цена безопасности данных намного выше стоимости реализации системы хранения.

RAID уровня 2 - это схема резервирования данных с использованием кода Хэмминга для коррекции ошибок. Записываемые данные формируются не на основе блочной структуры, как в RAID 0, а на основе слов, причем размер слова равен количеству дисков для записи данных в массиве. Если, к примеру, в массиве имеется четыре диска для записи данных, то размер слова равен четырем дискам. Каждый отдельный бит слова записывается на отдельный диск массива. Например, если массив имеет четыре диска для записи данных, то последовательность четырех бит, то есть слово, запишется на массив дисков таким образом, что первый бит окажется на первом диске, второй бит - на втором и т.д.

Кроме того, для каждого слова вычисляется код коррекции ошибок (ECC), который записывается на выделенные диски для хранения контрольной информации. Их число равно количеству бит в контрольном слове, причем каждый бит контрольного слова записывается на отдельный диск.

RAID 2 - один из немногих уровней, позволяющих не только исправлять «на лету» одиночные ошибки, но и обнаруживать двойные. При этом он является самым избыточным из всех уровней с кодами коррекции. Эта схема хранения данных применяется редко, поскольку плохо справляется с большим количеством запросов, сложна в организации и обладает незначительными преимуществами перед уровнем RAID 3.

RAID уровня 3 - это отказоустойчивый массив с параллельным вводом-выводом и одним дополнительным диском, на который записывается контрольная информация. При записи поток данных разбивается на блоки на уровне байт (хотя возможно и на уровне бит) и записывается одновременно на все диски массива, кроме выделенного для хранения контрольной информации. Для вычисления контрольной информации (называемой также контрольной суммой) используется операция «исключающего ИЛИ» (XOR), применяемая к записываемым блокам данных. При выходе из строя любого диска данные на нем можно восстановить по контрольным данным и данным, оставшимся на исправных дисках.

RAID уровня 3 имеет намного меньшую избыточность, чем RAID 2. Благодаря разбиению данных на блоки RAID 3 имеет высокую производительность. При считывании информации не производится обращение к диску с контрольными суммами (в случае отсутствия сбоя), что происходит всякий раз при операции записи. Поскольку при каждой операции ввода-вывода производится обращение практически ко всем дискам массива, одновременная обработка нескольких запросов невозможна. Данный уровень подходит для приложений с файлами большого объема и малой частотой обращений. Кроме того, к достоинствам RAID 3 относятся незначительное снижение производительности при сбое и быстрое восстановление информации.

RAID уровня 4 - это отказоустойчивый массив независимых дисков с одним диском для хранения контрольных сумм. RAID 4 во многом схож с RAID 3, но отличается от последнего прежде всего значительно большим размером блока записываемых данных (большим, чем размер записываемых данных). В этом и есть главное различие между RAID 3 и RAID 4. После записи группы блоков вычисляется контрольная сумма (точно так же, как и в случае RAID 3), которая записывается на выделенный для этого диск. Благодаря большему, чем у RAID 3, размеру блока возможно одновременное выполнение нескольких операций чтения (схема независимого доступа).

RAID 4 повышает производительность передачи файлов малого объема (за счет распараллеливания операции считывания). Но поскольку при записи должна вычисляться контрольная сумма на выделенном диске, одновременное выполнение операций здесь невозможно (налицо асимметричность операций ввода и вывода). Рассматриваемый уровень не обеспечивает преимущества в скорости при передаче данных большого объема. Эта схема хранения разрабатывалась для приложений, в которых данные изначально разбиты на небольшие блоки, поэтому нет необходимости дополнительно их разбивать. RAID 4 представляет собой неплохое решение для файл-серверов, информация с которых преимущественно считывается и редко записывается. Эта схема хранения данных имеет невысокую стоимость, но ее реализация достаточно сложна, как и восстановление данных при сбое.

RAID уровня 5 - это отказоустойчивый массив независимых дисков с распределенным хранением контрольных сумм (рисунок 5.4). Блоки данных и контрольные суммы, которые рассчитываются точно так же, как и в RAID 3, циклически записываются на все диски массива, то есть отсутствует выделенный диск для хранения информации о контрольных суммах.

Рисунок 5.4 - Структура RAID 5

В случае RAID 5 все диски массива имеют одинаковый размер, однако общая емкость дисковой подсистемы, доступной для записи, становится меньше ровно на один диск. Например, если пять дисков имеют размер 10 Гбайт, то фактический размер массива составляет 40 Гбайт, так как 10 Гбайт отводится на контрольную информацию.

RAID 5, так же как и RAID 4, имеет архитектуру независимого доступа, то есть в отличие от RAID 3 здесь предусмотрен большой размер логических блоков для хранения информации. Поэтому, как и в случае с RAID 4, основной выигрыш такой массив обеспечивает при одновременной обработке нескольких запросов.

Главным же различием между RAID 5 и RAID 4 является способ размещения контрольных сумм.

Наличие отдельного (физического) диска, хранящего информацию о контрольных суммах, здесь, как и в трех предыдущих уровнях, приводит к тому, что операции считывания, не требующие обращения к этому диску, выполняются с большой скоростью. Однако при каждой операции записи меняется информация на контрольном диске, поэтому схемы RAID 2, RAID 3 и RAID 4 не позволяют проводить параллельные операции записи. RAID 5 лишен этого недостатка, поскольку контрольные суммы записываются на все диски массива, что обеспечивает возможность выполнения нескольких операций считывания или записи одновременно.

Практическая реализация

Для практической реализации RAID-массивов необходимы две составляющие: собственно массив жестких дисков и RAID-контроллер. Контроллер выполняет функции связи с сервером (рабочей станцией), генерации избыточной информации при записи и проверки при чтении, распределения информации по дискам в соответствии с алгоритмом

Основной функцией RAID-массива является не увеличение емкости дисковой подсистемы (как видно из его устройства, такую же емкость можно получить и за меньшие деньги), а обеспечение надежности сохранности данных и повышение производительности. Для серверов, кроме того, выдвигается требование бесперебойности в работе, даже в случае отказа одного из накопителей. Бесперебойность в работе обеспечивается при помощи горячей замены, то есть извлечения неисправного SCSI-диска и установки нового без выключения питания. Поскольку при одном неисправном накопителе дисковая подсистема продолжает работать (кроме уровня 0), горячая замена обеспечивает восстановление, прозрачное для пользователей. Однако скорость передачи и скорость доступа при одном неработающем диске заметно снижается из-за того, что контроллер должен восстанавливать данные из избыточной информации. Правда, из этого правила есть исключение - RAID-системы уровней 2, 3, 4 при выходе из строя накопителя с избыточной информацией начинают работать быстрее! Это закономерно, поскольку в таком случае уровень «на лету» меняется на нулевой, который обладает великолепными скоростными характеристиками.

ВЫВОД : Учитывая специфику работы предприятия, лучшим вариантом применения массива является массив RAID 5 т.к. он имеет достаточно высокую скорость записи-считывания (скорость чтения ниже, чем у RAID 4) и малую избыточность, т.е. он экономичен.

"…Защита информации и беспроводные сети?
А что, разве это не взаимоисключающие понятия?"
Из разговора на выставке "Связьэкспоком-2004 "

Устройства беспроводной связи на базе стандартов 802.11х очень агрессивно продвигаются сегодня на рынке сетевого оборудования. Это и не удивительно: удобство работы для мобильных и квазимобильных пользователей, организация коммерческих и корпоративных хот-спотов, "последняя миля", связь локальных сетей (ЛС) между собой - все это далеко не полный перечень оснований для внедрения таких решений. И действительно, количество всевозможного работающего оборудования стандартов 802.11х в мире впечатляет: по данным компании J"son & Partners, число только хот-спотов в конце 2003 г. превысило 43 тыс., а к концу 2004 г. оно должно достигнуть 140 тыс. Доля России в этих показателях невелика, однако количество сетей беспроводной связи (и хот-спотов в том числе) и у нас неуклонно растет. Заметим также, что в нашей стране более 80% корпоративных сетей беспроводной связи построено на "старейшем" и наиболее часто используемом оборудовании - Cisco Aironet.

Но впечатляют не только цифры; гораздо удивительнее количество заблуждений, связанных с обеспечением безопасной передачи данных в таких сетях. Разброс мнений здесь самый широкий: от полного доверия ко всякому оборудованию и любым его настройкам до нелестных характеристик того рода, что мы привели в качестве эпиграфа.

802.11х - восприимчивость к угрозам извне

Сама суть беспроводной передачи данных таит в себе возможность несанкционированных подключений к точкам доступа, перехвата данных и прочих неприятностей. Отсутствие кабеля, который организационно несложно защитить, вызывает ощущение неприятной открытости и доступности.

Стоит упомянуть о "непротокольных" угрозах - именно они и составляют основу проблемы. При разработке беспроводной корпоративной сети администраторы в первую очередь заботятся о качественном покрытии территории офиса. Очень часто никто просто не берет в расчет, что коварные хакеры могут подключиться к сети прямо из автомобиля, припаркованного на улице. Кроме того, бывают ситуации, когда в принципе нельзя ликвидировать саму возможность "слышать" передаваемый трафик. Пример - внешние антенны. Кстати, в странах СНГ соединение ЛС офисов между собой с помощью "беспроводки" - весьма популярное решение.

Не менее опасная угроза - возможность хищения оборудования. Если политика безопасности беспроводной сети построена на МАС-адресах, то любой компонент (сетевая карта, точка доступа), украденный злоумышленником, моментально делает эту сеть открытой.

И, наконец, проблема "слишком умных" пользователей. Часто несанкционированное подключение точек доступа к ЛС - дело рук самих сотрудников организации. Причем делается это исключительно для удобства работы, иногда даже с благими намерениями. Конечно же, защиту информации при подключении к сети таких устройств эти сотрудники обеспечивают тоже самостоятельно и не всегда представляют себе последствия такой "самозащиты".

Решением этих и подобных проблем нужно заниматься комплексно. Заметим сразу, что организационные мероприятия в рамках данной статьи не рассматриваются, - они чаще всего выбираются на основании условий работы каждой конкретной сети. Что касается мероприятий технического свойства, то весьма хороший результат дают обязательная взаимная аутентификация устройств и внедрение активных (например, Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) и пассивных (таких, как APTools 0.1.0, xprobe 0.0.2) средств контроля.

Уязвимость "старых" методов защиты

Защитой данных в беспроводных сетях комитет IEEE 802.11 занимался всегда. К сожалению, методы обеспечения безопасности сетей 802.11х на этапе их начального развития (1997-1998 гг.) использовались, мягко говоря, неудачные. Они включали шифрование по протоколу WEP (Wired Equivalent Privacy) и аутентификацию: на основании МАС-адреса, открытую (Open) и по разделяемому ключу (PreShared Key).

Рассмотрим перечисленные методы по порядку. Классический протокол шифрования WEP, разработанный компанией RSA Data Security, использует 40-разрядный ключ, который складывается со сгенерированным вектором инициализации (IV, его длина 24 бит). С помощью полученного ключа по алгоритму RC4 шифруются пользовательские данные и контрольная сумма. Вектор IV передается в открытом виде.

Первый минус этого способа - 40-разрядного ключа недостаточно для спокойствия. Даже DES с его 56-разрядным ключом давно признан ненадежным. Второй минус - неизменяемость ключа; применение статичного ключа упрощает проблему взлома. Раз уж 40-разрядный ключ ненадежен, хотелось бы его менять почаще. И, наконец, сам подход к шифрованию весьма сомнителен. Размер IV - 24 бит, значит, он повторится не позднее чем через 5 ч (длина пакета 1500 байт, скорость 11 Мбит/с).

Никита Борисов, Йэн Голдберг и Дэвид Вагнер первыми изучили эту проблему, и уже в 2001 г. появились первые реализации драйверов и программ, позволяющих справиться с шифрованием WEP. Документ, описывающий эту уязвимость, опубликован по адресу: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l.

Способы аутентификации тоже не слишком надежны. Например, ничего не стоит "подслушать" всю процедуру аутентификации по МАС-адресу - ведь МАС-адреса в кадре передаются незашифрованными. Если злоумышленник знает о принятом способе аутентификации - он уже практически готов войти в сеть. Самый надежный из перечисленных способов - PreShared Key, но и он хорош только при надежном шифровании и регулярной замене качественных паролей.

Распространено заблуждение, что применение уникального Service Set ID (SSID) позволяет избежать несанкционированных подключений. Увы, SSID пригоден лишь для логического разбиения сетевых устройств на группы - не более того. Единственное, что можно сделать с помощью SSID, - это смутить юного хакера использованием "непечатных" символов. Точки доступа (Access Point, AP), например, от Cisco Systems позволяют сделать это (можно указывать символы, входящие в SSID в шестнадцатеричном виде, - \xbd\xba).

Таким образом, если еще учесть массу "любознательных" подростков с ноутбуками, в сети беспроводной связи неизбежно встает проблема защиты от почти гарантированных WEP-атак.

WEP-атаки

Недостаточность длины ключа, отсутствие его ротаций и сам принцип шифрования RC4, описанный выше, позволяют организовать весьма эффективную пассивную атаку. Причем злоумышленнику не нужно совершать никаких действий, по которым его можно было бы обнаружить, достаточно просто слушать канал. При этом не требуется и специального оборудования - хватит обычной WLAN-карточки, купленной долларов за 20-25, а также программы, которая будет накапливать пакеты на жестком диске до совпадения значений вектора IV. Когда количество пакетов станет достаточным (чаще всего от 1 млн до 4 млн), легко вычислить WEP-ключ. Одна из самых популярных программ для таких "упражнений" - AirSnort (http://airsnort.shmoo.com). Это ПО работает с сетевыми картами от Cisco Systems, карточками на базе НМС Prism-2 (их довольно много), а также на картах Orinoco или их клонах.

Неплохих результатов может достичь хакер, использующий активные способы атаки. Например, можно посылать известные данные извне ЛС, скажем, из Интернета, одновременно анализируя, как их зашифровала точка доступа. Такой метод позволяет и вычислить ключ, и манипулировать данными.

Еще один метод активной атаки - Bit-Flip attack. Алгоритм действий здесь следующий (рис. 1):

1. Перехватываем фрейм, зашифрованный WEP.
2. Меняем произвольно несколько битов в поле "данные" и пересчитываем контрольную сумму CRC-32.
3. Посылаем модифицированный фрейм на точку доступа.
4. Точка доступа примет фрейм на канальном уровне, поскольку контрольная сумма верна.
5. Точка доступа попытается дешифровать данные и ответит заранее известным текстом, например: "Ваш ключ шифрования неверен".
6. Сравнение текста в зашифрованном и незашифрованном виде может позволить вычислить ключ.

В рамках данной статьи мы не будем рассматривать возможную DOS-атаку на оборудование, использующее способ широкополосной модуляции DSSS. К оборудованию этого типа относятся устройства стандарта 802.11b и 802.11a, работающие на низких скоростях.

Промежуточные выводы

Все вышесказанное позволяет говорить о ненадежности старых методов обеспечения безопасности в беспроводных сетях; а если оборудование не позволяет реализовать современные решения для защиты информации, то выбор стратегий невелик: либо использовать строжайшую административную политику (см. врезку "Административные меры"), либо применять технологию IPSec - ESP.

Технология IPSec - ESP, безусловно, позволит защитить данные, но сильно снизит производительность ЛС. Все-таки эта технология была разработана для глобальных сетей, и в пределах беспроводной локальной сети использовать ее расточительно. Ее применение поверх беспроводных каналов оправдано лишь в случае соединения филиалов или других подобных решений.

Современные требования к защите, или "Из жизни с Cisco"

Для спокойствия любого пользователя нужно обеспечить решение всего трех проблем для его трафика: это конфиденциальность (данные должны быть надежно зашифрованы), целостность (данные должны быть гарантированно не изменены третьим лицом) и аутентичность (уверенность в том, что данные получены от правильного источника).

Аутентификация

В стандарте 802.1x определен более современный по сравнению со стандартами 1997-1998 гг. способ аутентификации, который широко применяется в различном сетевом оборудовании, в беспроводных устройствах в том числе. Принципиальное отличие его от старых способов аутентификации заключается в следующем: пока не будет проведена взаимная проверка, пользователь не может ни принимать, ни передавать никакие данные. Стандарт предусматривает также динамическое управление ключами шифрования, что, естественно, затрудняет пассивную атаку на WEP.

Например, ряд разработчиков используют для аутентификации в своих устройствах протоколы EAP-TLS и PEAP, но более "широко" к проблеме подходит Cisco Systems (http://www.cisco.com), предлагая для своих беспроводных сетей, наряду с этими, следующий ряд протоколов.

Extensible Authentication Protocol - Transport Layer Security (EAP-TLS) - это стандарт IETF, который обеспечивает аутентичность путем двустороннего обмена цифровыми сертификатами.

Protected EAP (PEAP) - пока предварительный стандарт (draft) IETF. Он предусматривает обмен цифровыми сертификатами и дополнительную проверку имени и пароля по специально созданному шифрованному туннелю.

Lightweight EAP (LEAP) - фирменный протокол Cisco Systems. "Легкий" протокол взаимной аутентификации, похожий на двусторонний Challenge Authentication Protocol (CHAP). Использует разделяемый ключ, поэтому требует определенной разумности при генерации паролей. В противном случае, как и любой другой способ PreShared Key, подвержен атакам по словарю.

EAP - Flexible Authentication via Secure Tunneling (EAP-FAST) - разработан Cisco на основании предварительного стандарта (draft) IETF для защиты от атак по словарю и имеет высокую надежность. Требует от администратора минимума усилий для поддержки. Принцип его работы схож с LEAP, но аутентификация проводится по защищенному туннелю. Первые реализации появились в апреле 2004 г. Поддерживается, начиная с версий ПО IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3.

Все современные способы аутентификации (см. таблицу) подразумевают поддержку динамических ключей, что не может не радовать. Однако если сравнивать все эти стандарты и по остальным параметрам, то способы EAP-TLS и PEAP кажутся более тяжеловесными. И это действительно так. Они больше подходят для применения в сетях, построенных на базе оборудования различных производителей.

Особенности способов аутентификации

Способы аутентификации, разработанные Cisco, выглядят симпатичнее. Особенную прелесть им придает поддержка технологии Fast Secure Roaming, позволяющей переключаться между различными точками доступа (время переключения примерно 100 мс), что особенно важно при передаче голосового трафика. При работе с EAP-TLS и PEAP повторная аутентификация займет существенно больше времени, и в результате разговор прервется. Главный недостаток LEAP и LEAP-FAST очевиден - эти протоколы поддерживаются только в оборудовании Cisco Systems.

Шифрование и целостность

На основании рекомендаций 802.11i Cisco Systems реализовала протокол TKIP (Temporal Кey Integrity Protocol), который обеспечивает смену ключа шифрования PPK (Рer Рacket Кeying) в каждом пакете и контроль целостности сообщений MIC (Message Integrity Check).

Процедура PPK предусматривает изменение вектора инициализации IV в каждом пакете. Причем шифрование осуществляется значением хэш-функции от IV и самого WEP-ключа. Если еще учесть, что WEP-ключи динамически меняются, то надежность шифрования становится довольно высокой.

Обеспечение целостности возложено на процедуру MIC. В формирующийся фрейм добавляются поля MIC и SEQuence number, в поле SEQ указывается порядковый номер пакета, что позволяет защититься от атак, основанных на повторах и нарушениях очередности. Пакет с неверным порядковым номером просто игнорируется. В 32-разрядном поле MIC располагается значение хэш-функции, вычисленной по значениям самого заголовка пакета 802.11, поля SEQ, пользовательских данных (рис. 2).

Другой перспективный протокол шифрования и обеспечения целостности, уже зарекомендовавший себя в проводных решениях, - это AES (Advanced Encryption Standard). Он разработан сравнительно недавно - в октябре 2001 г. и обладает лучшей криптостойкостью по сравнению с DES и ГОСТ 28147-89. Длина ключа AES составляет 128, 192 или 256 бит. Как уже отмечалось, он обеспечивает и шифрование, и целостность.

Заметим, что используемый в нем алгоритм (Rijndael) не требует больших ресурсов ни при реализации, ни в работе, что очень важно для уменьшения времени задержки данных и нагрузки на процессор.

AES уже работает в ОС Cisco IOS (k9), начиная с 12.2(13)T. В настоящее время практически все устройства Cisco Systems стандарта 802.11g готовы к поддержке AES. Сетевая общественность находится в ожидании объявления о выходе этого ПО в свет, однако неоднократно называвшиеся сроки не соблюдаются. Впрочем, сейчас определенная ясность все-таки появилась. Компания объявила, что все устройства, работающие в стандарте 802.11g, можно будет совершенно свободно снабдить новым ПО, которое обязательно появится вскоре… Но - только после ратификации стандарта 802.11i. Стандарт ратифицирован IEEE в конце июня (см. врезку "Стандарт 802.11i ратифицирован"). Так что ждем-с.

Wi-Fi Protected Access

Стандарт Wi-Fi Protected Access (WPA) - это набор правил для реализации защиты данных в сетях 802.11х. Начиная с августа 2003 г., соответствие WPA входит в состав требований к оборудованию, сертифицирующемуся на высокое звание Wi-Fi Certified (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf).

Заметим, что в спецификации WPA входит немного измененный протокол TKIP-PPK. Шифрование выполняется на "смеси" нескольких ключей - текущего и последующего. При этом длина IV увеличена до 48 бит.

WPA определяет и контроль целостности сообщений согласно упрощенной версии MIC (Michael MIC), отличающейся от описанной тем, что хэш-функция рассчитывается на основании меньшего количества полей, но само поле MIC имеет большую длину - 64 бит. Это дает возможность реализовать дополнительные меры защиты информации, например, ужесточить требования к ре-ассоциациям, ре-аутентификациям и т. п.

Спецификации предусматривают также поддержку 802.1x/EAP и аутентификации с разделяемым ключом и, несомненно, - управление ключами.

Особенно радует, что WPA-устройства готовы к работе и с клиентами, оборудование у которых поддерживает современные стандарты, и с клиентами, совершенно не заботящимися о своей безопасности и использующими старое оборудование или ПО. Автор категорически рекомендует: распределяйте пользователей с разной степенью защищенности по разным виртуальным ЛС и в соответствии с этим реализуйте свою политику безопасности.

Сегодня, при условии использования современного оборудования и ПО, защищенную и устойчивую к атакам беспроводную сеть на базе стандартов 802.11х построить вполне возможно. Для этого нужно только применить в ней несколько разумных постулатов.

Надо помнить, что почти всегда беспроводная сеть связана с проводной. Кроме необходимости защищать беспроводные каналы, данный факт служит побудительным мотивом к внедрению новых методов защиты и в проводных сетях. В противном случае может сложиться ситуация, когда сеть будет иметь фрагментарную защиту, что по сути создает потенциальную угрозу безопасности.

Желательно использовать оборудование, имеющее сертификат Wi-Fi Certified, выданный позднее августа 2003 г., т. е. подтверждающий соответствие WPA.

Многие администраторы, устанавливая в ЛС устройства, сохраняют настройки производителя по умолчанию. В серьезных беспроводных сетях это категорически недопустимо.

Несомненно, нужно внедрять 802.1х/EAP/TKIP/MIC и динамическое управление ключами. Если сеть смешанная - используйте виртуальные локальные сети. Сейчас практически любой серьезный производитель точек доступа поддерживает данную технологию. А если он ее не поддерживает, то не стоит поддерживать и такого производителя, приобретая его оборудование. В случае использования внешних антенн (например, при соединении разных ЛС между собой) рекомендуется технология виртуальных частных сетей VPN.

Стоит сочетать протокольные и программные способы защиты с административными. Имеет смысл подумать и о внедрении технологии Intrusion Detection System (IDS) для обнаружения возможных вторжений. Можно также использовать описанные выше программные продукты.

И, наконец, самое главное - при планировании защищенной беспроводной сети руководствуйтесь здравым смыслом. Помните: любое шифрование или другие манипуляции с данными неизбежно привносят дополнительную задержку, увеличивают объем служебного трафика и нагрузку на процессоры сетевых устройств. Безусловно, безопасность - важный фактор в современных сетях, но она теряет всякий смысл, если трафик пользователя не получает должной полосы пропускания. Ведь, к сожалению, любые сети создаются в конечном счете для пользователей, а не для администраторов. Впрочем, тема QoS в беспроводных сетях стандарта 802.11х заслуживает отдельной статьи.

Беспроводные сети не являются защищенными. Позвольте повторить: беспроводные сети не являются защищенными. Большую часть времени они достаточно безопасны для большинства пользователей, но абсолютно частными такие сети сделать невозможно.

Простая истина состоит в том, что беспроводная сеть использует радиосигналы с четко определенным набором характеристик, поэтому любой, желающий уделить достаточное количество времени и усилий отслеживанию этих сигналов, скорее всего, сможет найти способ перехватить и прочитать данные, содержащиеся в них. Если вы посылаете конфиденциальную информацию по беспроводному соединению, недоброжелатель может скопировать ее. Номера кредитных карт, пароли учетных записей и другая персональная информация является уязвимой.

Шифрование и другие методы защиты могут слегка усложнить перехват данных, но они не обеспечивают полной защиту от действительно опытного шпиона. Как вам может сказать любой полицейский, замки хороши от честных людей, но опытные воры знают, как справиться с ними. В Интернете легко найти целый каталог инструментов для взлома WEP-шифрования.

Делая ситуацию еще более опасной, многие сетевые администраторы и пользователи домашней беспроводной сети оставляют двери и окна своих сетей широко открытыми, не используя шифрование и другие функции защиты, интегрированные в каждую беспроводную точку 802.11b и сетевой узел. «Вход по логинам» в незащищенные частные сети возможен во многих городских районах и в огромном количестве местных сетей. Весной 2001 года San Francisco Chronicle сообщила, что эксперт по сетевой защите с направленной антенной, смонтированной на крыше фургона, в деловом районе Сан-Франциско смог зарегистрироваться в среднем в полудюжине беспроводных сетей на квартал. Число таких сетей неуклонно растет. Годом позже группа сотрудников Microsoft, проводящая «неофициальный тест», обнаружила более 200 незащищенных точек с открытым доступом в пригородной окрестной сети Сиэтла. А магазины Tully"s Coffee сообщают, что замечают, как их клиенты регистрируются в Wi-Fi-сетях через точки доступа в магазинах Starbucks, расположенных напротив.

Простых арифметических действий достаточно: ваша точка доступа имеет дальность действия 100 м или более во всех направлениях, поэтому сигнал, скорее всего, распространяется за пределы вашей собственности (или стен ваших апартаментов). Сетевое устройство в соседней комнате здания или через улицу, скорее всего, может сеть обнаружить. На подобное действие способен и ноутбук или PDA, размешенный в припаркованной на улице машине. Если не выполнить некоторых мер предосторожности, оператор данного устройства сможет зарегистрироваться в вашей сети, похитить файлы с серверов и внедриться в интернет-подключение с потоковым видео или сетевыми играми.

Важно понимать, что мы говорим о двух разных типах угроз безопасности беспроводной сети. Первой является опасность подключения к вашей сети постороннего лица без вашего ведома или разрешения; второй является возможность того, что опытный взломщик может похитить данные, когда вы передаете и принимаете их. Каждая из них - отдельная потенциальная проблема, и каждая требует специального метода профилактики и защиты. Несмотря на определенную правоту утверждения, что ни один из ныне доступных инструментов не может обеспечить полной защиты, они могут значительно усложнить жизнь большинству случайных недоброжелателей.

Беспроводные сети представляют собой компромисс между защитой и удобством использования. Очевидные преимущества беспроводного сетевого подключения - быстрый и простой доступ в сеть с портативного компьютера или из изолированного месторасположения - требуют затрат. Для большинства пользователей эти затраты не перевешивают удобства работы с беспроводной сетью. Но аналогично тому, как, паркуясь, вы запираете двери своей машины, вы должны принять похожие меры для защиты сети и данных.

Что вы можете предпринять для защиты от посторонних как оператор беспроводной сети? У вас есть два пути: вы можете смириться с фактом, что сети 802.11b не являются полностью защищенными, но использовать встроенные функции сетевой защиты для замедления работы недоброжелателей; можно отказаться от встроенных инструментов и вместо этого для изолирования использовать брандмауэр.

Понятно, что функции защиты, интегрированные в протоколы 802.11b.

неприемлемы для абсолютной защиты передаваемых данных. Если вы читали статьи о защите беспроводной сети в отраслевых журналах и изучали дискуссии на сетевых форумах, легко поверить, что Wi-Fi-сети такие же дырявые, как и вошедшее в пословицу решето. Но, возможно, реальная угроза вашей собственной сети этим преувеличивается. Помните, что большинство людей, близких к похищению ваших сообщений или проникновению в вашу сеть, не будут просто сидеть и ждать, когда вы начнете передавать данные. И, говоря совсем начистоту, большинство данных, пересылаемых через вашу сеть, на самом деле не представляют никакого интереса. Но инструменты шифрования доступны в каждой Wi-Fi-сети, поэтому вам на самом деле стоит их использовать.

Более серьезная угроза заключается не в том, что ваши сообщения будут перехватываться, а в том, что будут создаваться нелегальные к ней подключения. При этом неавторизованный пользователь сможет либо читать файлы, хранящиеся на других сетевых компьютерах, либо использовать ваше широкополосное подключение к интернету без вашего ведома или разрешения.

Имеет смысл позаботиться об управлении вашей сетью. Если вы выбрали реализацию защиты 802.11b, следует выполнить специальные шаги:

Расположите вашу точку доступа в середине здания, а не рядом с окном. Это уменьшит расстояние, которое должны преодолевать ваши сигналы, проходящие через стены;

Используйте шифрование WEP (Wired Equivalent Privacy - защита, эквивалентная проводной), имеющееся во всех сетевых узлах 802.11b. При наличии достаточного количества времени и нужного оборудования WEP несложно взломать, но шифрованные пакеты прочитать все же труднее, чем данные, пересылаемые без шифрования. В этой главе приводится больше информации о WEP-шифроваиии;

Чаще меняйте WEP-ключи. Извлечение ключей WEP-шифрования из потока данных требует времени, и каждый раз при смене ключей недоброжелателям, пытающимся похитить ваши данные, приходится все начинать сначала. Поменять ключи раз или два за месяц - это не слишком часто;

Не храните WEP-ключи в легкодоступном месте. В крупной сети может быть предпринята попытка сохранить их на локальной Web-странице или в текстовом файле. Не делайте этого;

Не используйте электронную почту для передачи WEP-ключей. Если посторонний украл названия учетных записей и пароли, похититель будет получать сообщения с вашими новыми ключами до того, как их получат ваши законные пользователи;

Добавьте другой уровень шифрования, например Kerberos, SSH или VPN поверх WEP-шифрования, интегрированного в беспроводную сеть;

Не используйте принятый по умолчанию SSID вашей точки доступа. Эти настройки хорошо известны сетевым хакерам;

Смените SSID на что-либо, не определяющее вашу работу или месторасположение. Если недоброжелатель обнаружит название BigCorpNet и, оглядевшись, увидит штаб-квартиру BigCorp напротив через улицу, он, скорее всего, целенаправленно проникнет в вашу сеть. То же касается домашней сети. Не называйте ее Перкинсы (Perkins), если это имя написано на внешней стороне вашего почтового ящика. Не используйте SSID, который звучит так, как будто ваша сеть содержит некоторого рода заманчивую информацию, - используйте непримечательное название, например пустое поле, «сеть- или даже строку из случайных символов (W24rnQ);

Смените IP-адрес и пароль вашей точки доступа. Принятые по умолчанию пароли для большинства инструментов конфигурирования точек доступа найти легко (и они часто повторяются от одного производителя к другому - совет: не используйте «admin»), поэтому они недостаточно хороши даже для защиты от ваших собственных пользователей, не говоря уже о посторонних недоброжелателях, намеревающихся использовать вашу сеть в своих собственных целях;

Отключите функцию «широковещательный SSID» для точки доступа, которая допускает реализацию подключений от клиентов без наличия правильного SSID. Это не дает гарантии, что ваша сеть будет невидима, но может помочь;

Включите функцию управления доступом для своей точки доступа. Управление доступом ограничивает подключения к сетевым клиентам с заданными МАС-адресами. Точка доступа будет отказывать в соединении любому адаптеру, чей адрес не присутствует в списке. Это может быть непрактично, если вы хотите разрешить другим посетителям пользоваться вашей сетью, но это полезный инструмент для домашней и малой офисной сети, где вы знаете всех своих потенциальных пользователей. Аналогично функции «широковещательный SSID» это не дает гарантии, но и не повредит;

Протестируйте защиту своей сети, попробовав найти ее с улицы. Возьмите портативный компьютер с запущенной программой сканирования, такой как Network Stumbler или утилита отображения состояния вашего сетевого адаптера, и начинайте отходить от здания. Если вы можете обнаружить свою сеть на расстоянии квартала, это же сможет и посторонний. Помните, что недоброжелатели могут использовать направленные антенны с высоким коэффициентом усиления, которые это расстояние увеличивают;

Воспринимайте сеть как широко открытую для коллективного доступа. Удостоверьтесь, что все использующие сеть сознают, что они используют небезопасную систем;

Распространяйте файловый доступ только на файлы, которые действительно хотите сделать доступными. Не открывайте весь диск. Используйте защиту паролем для каждого доступного элемента;

Используйте тс же инструменты защиты, которые использовали бы в проводной сети. В лучшем случае беспроводная часть вашей локальной сети является не более защищенной, чем проводная часть, поэтому вы должны соблюдать все те же предосторожности. В большинстве случаев беспроводная часть сети является гораздо менее защищенной, чем проводная;

Рассмотрите использование виртуальной частной сети (VPN) для дополнительной защиты.

Некоторые специалисты используют другой метод защиты беспроводной сети. Они принимают идею о том, что сеть 802.11b является незащищенной, поэтому даже не пытаются использовать встроенные функции защиты. Например, группа сетевой защиты Advanced Supercomputing Division NASA в Калифорнии установила, что «сеть сама по себе не обеспечивает надежной аутентификации и защиты от взлома» и что «функции защиты 802.11b лишь потребляют ресурсы, не обеспечивая взамен никакой реальной защиты». Поэтому она отключила все функции защиты 802.11b и использует вместо этого свой собственный файерволл беспроводной сети - Wireless Firewall Gateway (WFG). WFG представляет собой маршрутизатор, расположенный между беспроводной и остальной частью сети, поэтому весь входящий и исходящий сетевой трафик с беспроводных устройств (включая доступ в Интернет) должен проходить через шлюз.

Как дополнительное преимущество такой метод защиты сводит администраторскую долю в каждом пакете к минимуму, так как они не содержат аутентификации или шифрования. Это уменьшает количество битов в каждом пакете, что увеличивает эффективную скорость передачи данных по сети.

Другие операторы беспроводной сети используют VPN для управления доступом через свои беспроводные шлюзы. VPN добавляет другой уровень защиты от точки к точке к IP-слою (вместо физического уровня, где в 802.11b происходит шифрование) перед тем, как пользователь сможет работать в сети.

Сетевая защита необходима в двух случаях - сетевой администратор не хочет допустить проникновения в свою сеть неавторизованных пользователей, а индивидуальные пользователи не хотят, чтобы кто-то получил доступ к их личным файлам. Когда вы регистрируетесь в коллективной сети, необходимо принять некоторые меры предосторожности против чтения ваших файлов по сети.

Чтобы отключить File Sharing (Доступ к файлам) перед подключением к коллективной сети, используйте следующую процедуру в Windows 95, Windows 98 и Windows ME:

1. В Control Panel (Панель управления) откройте диалоговое окно Network (Сеть).

2. Выберите File and Printer Sharing (Доступ к файлам и принтерам).

3. В диалоговом окне File and Printer Sharing отключите функцию I Want to Give Others Access to My Files (Открыть доступ остальным к моим файлам).

В Windows 2000 и Windows ХР отсутствует центральное место для отключения доступа к файлам, поэтому вы должны отключать каждый доступ отдельно.

1. Откройте окно My Computer (Мой компьютер).

2. Иконки для всех ваших доступных дисков и папок снабжены изображением руки. Для отключения доступа щелкните правой клавишей мыши по иконке и выберите Sharing and Security (Доступ и безопасность) в меню.

3. Отключите функцию Share This Folder on the Network (Открыть доступ к этой папке по сети).

4. Щелкните по кнопке ОК (Да), чтобы закрыть диалоговое окно.

5. Повторите процесс для каждой доступной папки или файла. Не забудьте о папке Shared Documents (Общие документы).

Возвращаясь в офисную или домашнюю сеть, вы должны выполнить процедуру в обратном порядке для возобновления доступа к файлам.

Другая проблема заключается в опасности отслеживания шпионом данных, пересылаемых по радиосвязи, и похищения конфиденциальной информации на лету. Это не настолько широко распространено, как получение доступа к сети и чтение файлов шпионом, но возможно. Шифрование и другие инструменты защиты могут усложнить декодирование данных, но лучше поступать с сетью Wi-Fi, как с сотовым телефоном: никогда не посылайте сообщение или файл с конфиденциальной информацией.

Инструменты защиты в спецификациях 802.11b не идеальны, но это лучше, чем ничего. Даже если вы решите их не использовать, перед отключением важно понимать, что они собой представляют и как работают.

Название сети (SSID)

Как уже говорилось в главе 1, каждая беспроводная сеть имеет название. В сети только с одной точкой доступа названием является ID набора основных служб - Basic Service Set ID (BSSID). Когда сеть содержит более чем одну точку доступа, название превращается в ID расширенного набора служб- Extended Service Set ID (ESSID). Стандартным обозначением всех сетевых названий является SSID - термин, который вы наиболее часто будете встречать в программах конфигурационных утилит для беспроводных точек доступа и клиентов.

При конфигурировании точек доступа для сети вы должны присвоить ей SSID. Каждая точка доступа и сетевой клиент в сети должны использовать один и тот же SSID. На компьютерах, работающих под Windows, SSID беспроводного адаптера должен также быть названием рабочей группы.

При обнаружении двух или более точек доступа с одинаковым SSID пользователь предполагает, что все они являются частью одной и той же сети (даже если точки доступа работают на разных радиоканалах), и связывается с точкой доступа, обеспечивающей наиболее сильный или чистый сигнал. Если вследствие помех или затухания данный сигнал ухудшится, клиент попытается перейти на другую точку доступа, которая, как он считает, принадлежит этой же сети.

Если две разные сети с перекрытием сигналов имеют одно и то же название, клиент предположит, что обе они являются частью одной сети, и может попытаться выполнить переход. С точки зрения пользователя, такой ошибочный переход выглядит как полное прерывание сетевого подключения. Поэтому каждая беспроводная сеть, которая может перекрываться другой, должна иметь уникальный SSID.

Исключениями из правила уникального SSID являются коллективные и групповые сети, которые обеспечивают доступ только в Интернет, но не к другим компьютерам или устройствам в локальной сети. Такие сети часто имеют общий SSID, поэтому абоненты могут обнаруживать и подключаться к ним из нескольких мест.

Некоторые точки доступа, включая Apple AirPort Base Station и похожие системы Orinoco, имеют функцию, которая предоставляет выбор между «открытым» и «закрытым» доступом. Когда точка доступа настроена на открытый доступ, она принимает подключение от клиента, чей SSID установлен в положение Any (Любой), так же, как и от устройств, сконфигурированных для общения по собственному SSID точки доступа. Когда точка доступа настроена на закрытый доступ (Apple называет это «скрытая сеть»), она принимает только те подключения, чей SSID совпадает с ее SSID. Это хороший способ защиты сети от посторонних, но он работает, только если каждый узел в сети использует адаптер от Orinoco (Apple AirPort Card является частной версией адаптера Orinoco). Если адаптер, изготовленный каким-либо другим производителем, пытается подключиться к закрытой точке доступа, она будет игнорировать его, даже при совпадении SSID.

Сетевой SSID обеспечивает весьма ограниченную форму управления доступом, так как необходимо задавать SSID при настройке беспроводного подключения. Функция SSID точки доступа всегда представляет собой текстовое поле, принимающее любое название, которое вы захотите присвоить. Однако многие программы конфигурирования сети (включая инструменты беспроводной сети в Windows ХР и те, что поставляются с некоторыми основными марками сетевых адаптеров) автоматически обнаруживают и отображают SSID каждой активной сети в пределах зоны действия их сигналов. Поэтому не всегда обязательно знать SSID сети перед подключением. Иногда конфигурационная утилита (монитор сети или программа сканирования, аналогичная Network Stumbler) будет показывать вам названия каждой близлежащей сети в виде списка или меню.

В качестве примера на рис. 14.1 показан результат работы сканера Network Stumbler в аэропорту Сиэтл-Такома, где пассажирский терминал обслуживает WayPort, a MobileStar обеспечивает покрытие в VIP-клубе American Airlines. (MobileStar вошла в состав другой службы вскоре после того, как я составил данный план, поэтому названия сетей изменились, но служба осталась на месте).

Каждая точка доступа поставляется с принятой по умолчанию настройкой SSID. Эти принятые по умолчанию параметры хорошо известны и опубликованы в сообществах сетевых шпионов (см., например, http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults). Очевидно, что принятые по умолчанию настройки не должны использоваться в любой сети.

Рис. 14.1

Многие точки доступа поставляются с функцией скрытия SSID, часто называемой Скрытая сеть или Скрываемая сеть . Эта функция помогает помешать некоторым шпионам обнаружить название вашей сети, но всякий раз, когда новый клиент подключается к ней или существующий клиент получает слабый сигнал, выполняется передача SSID, и такая программа, как Kismet, его определяет. Сокрытие SSID может замедлить работу случайного гостя, но не обеспечивает реальной защиты.

WEP-шифрование является функцией каждой системы 802.11b, поэтому важно знать принцип его работы, даже если вы решили им не пользоваться. Как следует из названия, первоначальной задачей протокола защиты, эквивалентной проводной - Wired Equivalent Privacy (WEP), было обеспечение уровня защиты беспроводных сетей, сравнимой с защитой проводной сети. Но существует весьма распространенное утверждение, что сеть, основанная на WEP-шифровании, почти так же уязвима к вторжению, как и сеть с абсолютным отсутствием защиты. Она будет защищать от случайных шпионов, но не будет особенно эффективна против упорного взломщика.

WEP выпоняет три функции: предотвращает неавторизованный доступ в сеть, выполняет проверку целостности каждого пакета и защищает данные от недоброжелателей. Для шифрования пакетов данных WEP использует секретный ключ шифрования перед тем, как сетевой клиент или точка доступа передаст их, и применяет этот же ключ для декодирования данных после их приема.

Когда клиент пытается обменяться данными с сетью, используя другой ключ, результат искажается и игнорируется. Поэтому WEP-настройки должны быть абсолютно одинаковыми на каждой точке доступа и адаптере клиента в сети. Это звучит достаточно просто, но вызывает затруднения, так как производители используют разные методы для определения размера и формата WEP-ключа. Функции неизменны от марки к марке, но одинаковые настройки не всегда имеют одинаковые обозначения.

Сколько битов в вашем WEP-ключе?

Во-первых, WEP-ключ может состоять либо из 64, либо из 128 битов. 128-битные ключи взломать труднее, но они также увеличивают количество времени, необходимое для передачи каждого пакета.

Путаница в реализациях разных производителей возникает оттого, что 40-битный WEP представляет собой то же, что и 64-ключ WEP, а 104-битный ключ - то же, что и 128-битный ключ. Стандартный 64-битный WEP-ключ является строкой, содержащей внутренне сгенерированный 24-битный вектор инициализации и 40-битный секретный ключ, присвоенный сетевым администратором. Спецификации некоторых производителей и конфигурационные программы называют это «64-битным шифрованием», а другие - «40-битным шифрованием». В любом случае схема шифрования остается той же самой, поэтому адаптер, использующий 40-битное шифрование, полностью совместим с точкой доступа или адаптером, использующим 64-битное шифрование.

Многие сетевые адаптеры и точки доступа также содержат функцию «сильное шифрование», использующую 128-битный ключ (который на самом деле является секретным 104-битным ключом с 24-битным вектором инициализации).

Сильное шифрование односторонне совместимо с 64-битным шифрованием, но не является автоматическим, поэтому все составляющие смешанной сети из устройств со 128-битным и 64-битным ключом будут работать с 64-битным шифрованием. Если точка доступа и все адаптеры допускают 128-битное шифрование, используйте 128-битный ключ. Но если вы хотите, чтобы ваша сеть была совместима с адаптерами и точками доступа, которые распознают только 64-битное шифрование, настройте всю сеть на использование 64-битных ключей.

ASCII или шестнадцатеричный ключ?

Но только длина ключа сбивает с толку при настройке WEP-шифрования. Некоторые программы требуют ключа в виде строки из текстовых символов, а другие - в виде шестнадцатеричных чисел. Остальные могут генерировать ключ из опциональной идентификационной фразы.

Каждый ASCII-символ состоит из 8 битов, поэтому 40-битный (или 64-битный) WEP-ключ содержит 5 символов, а 104-битный (или 128-битный) ключ состоит из 13 символов. В шестнадцатеричной системе каждое число состоит из 4 битов, поэтому 40-битный ключ содержит 10 шестнадцатеричных символов, а 128-битный имеет 26 символов.

На рис. 14.2, где показано окно Wireless Setting (Настройка беспроводной сети) для точки доступа D-Link, поле 40-bit Shared Key Security (Защита с 40-битным ключом доступа) использует шестнадцатеричные символы и имеет пространство для десяти символов. Программа D-Link содержит все десять символов в одной строке, но некоторые другие разделяют их на пять групп по два числа или на две группы из пяти чисел.

Рис. 14.2

Для компьютера ключ выглядит одинаково в любом случае, но проще копировать строку, когда она разделена на части.

Многие утилиты клиентов, такие как диалоговое окно Wireless Network Properties (Свойства беспроводной сети) в Windows ХР (изображенное на рис. 14.3), предлагают на выбор либо шестнадцатеричный код, либо текст, поэтому вы можете использовать формат, соответствующий определенному, для точки доступа.

Идентификационная фраза представляет собой текстовую строку, которую адаптеры и точки доступа автоматически преобразуют в строку из шестнадцатеричных символов. Так как люди обычно легче запоминают осмысленные слова или фразы, чем абракадабру из шестнадцатеричных символов, идентификационную фразу легче передавать, чем шестнадцатеричную строку. Тем не менее идентификационная фраза полезна только тогда, когда все адаптеры и точки доступа в сети сделаны одним производителем.

Рис. 14.3

Какие функции присутствуют

Аналогично практически всем настройкам в конфигурационной утилите 802.11Ь-названия WEP-функций не являются постоянными от одной программы к другой.

Некоторые используют открытый набор таких функций, как «включить WEP-шифрование», а другие используют техническую терминологию, взятую из официальной спецификации 802.11. Открытая системная аутентификация - это второй вариант названия «WEP-шифрование отключено».

Некоторые точки доступа также предоставляют опциональную функцию аутентификации с открытым ключом, использующей WEP-шифрование, когда сетевой клиент имеет ключ, но нешифрованные данные принимаются с других сетевых узлов.

Комбинирование шестнадцатеричных и текстовых ключей

Настройка смешанной сети усложняется, когда некоторые сетевые узлы используют только шестнадцатеричные ключи, а другие требуют текстовых. Если такая ситуация возникла в вашей сети, нужно следовать нижеперечисленным правилам для их настройки WEP:

Преобразуйте все текстовые ключи в шестнадцатеричные. Если конфигурационная программа требует текстового ключа, введите символы Ох (ноль с последующей строчной буквой х) перед шестнадцатеричной строкой. Если вы используете программное обеспечение AirPort от Apple, вместо Ох в начале шсстнадцатеричного ключа необходимо ввести символ доллара ($ );

Удостоверьтесь, что все ваши ключи шифрования имеют правильное количество символов;

Если все по-прежнему не работает, прочтите разделы, посвященные защите, в руководствах для ваших сетевых адаптеров и точек доступа. Возможно, что одно или более из этих устройств в сети имеет некую скрытую индивидуальную особенность, о которой вы не знаете.

Смена WEP-ключей

Многие точки доступа и адаптеры сетевых клиентов могут поддерживать до четырех разных 64-битных WEP-ключей, но только один является активным в отдельный момент времени, как показано на рис. 14.4. Другие ключи являются запасными, что может позволить сетевому администратору корректировать защиту сети с помощью короткого уведомления. Адаптеры и точки доступа, поддерживающие 128-битное шифрование, используют только один 128-битный WEP-ключ в отдельный момент времени.

Рис. 14.4

В сети, где WEP-шифрование организовано серьезно. WEP-ключи должны меняться регулярно, по расписанию. Срок в месяц достаточен для сети, по которой не передаются важные данные, но для более серьезной сети новый ключ необходимо устанавливать раз или два в неделю. Не забывайте записывать свои текущие WEP-ключи в безопасном месте.

В домашней или малой офисной сети вы, скорее всего, будете менять все WEP-ключи самостоятельно. В противном случае сетевой администратор или специалист по защите должен распространять новые WEP-ключи на бумаге, в служебной записке, а не по электронной почте. Для дополнительного уровня защиты в сетях с использованием 64-битного шифрования проинструктируйте ваших пользователей о смене двух ключей одновременно (не текущих принятых по умолчанию). Отправьте отдельную служебную записку с уведомлением пользователей о том, какой ключ стал новым, принятым по умолчанию, и когда должна произойти его смена.

Типовое еженедельное указание может выглядеть так:

Пожалуйста, введите следующие новые 64-битные WEP-ключи:

Ключ 1: XX XX XX XX XX

Ключ 4: YY YV YY YY YY

В другой записке, неделей позже, будут предоставлены коды для Ключа 2 и Ключа 3.

Отдельное указание может сообщать: «Наша сеть перейдет на использование Ключа 3 в полночь на вторник. Пожалуйста, смените принятый по умолчанию ключ вашего сетевого адаптера». Для смены выбирайте время, когда беспроводную сеть использует наименьшее количество пользователей, поскольку любое активное соединение на точке доступа в момент смены ключей будет разорвано и его нельзя будет восстановить до изменения ключей на адаптере клиента. Пользователи могут ввести новые ключи заранее как альтернативы текущему активному ключу и сменить их несколькими щелчками мыши, когда новый ключ вступит в силу.

Некоторые ученые, изучающие компьютеры, опубликовали доклады о WEP-шифровании, в которых приводятся аргументы против его использования для защиты конфиденциальных данных. Все они указывают на серьезные недостатки в теории и практике криптографии, используемые при составлении алгоритмов WEP-шифрования. Эти эксперты единогласны в своих рекомендациях: всякий, кто использует беспроводную сеть 802.11, не должен полагаться на WEP в целях защиты. Необходимо задействовать другие методы защиты своих сетей.

Группа из Калифорнийского университета в Беркли нашла многочисленные недостатки в алгоритме WEP, делающие его уязвимым по крайней мере для четырех различных видов атак:

Пассивных атак с использованием статистического анализа для декодирования данных;

Активных атак с созданием шифрованных пакетов, которые заставляют точку доступа принимать ложные команды;

Атак с анализом шифрованных пакетов для создания словаря, который затем может быть использован для автоматического декодирования данных в реальном времени;

Атак с изменением заголовков пакетов для перенаправления данных в точку назначения, управляемую атакующим.

Доклад из Беркли завершается недвусмысленным утверждением: «WEP-защита не эквивалентна проводной. Проблемы с протоколом - это результат неправильного понимания некоторых основ криптографии и, следовательно, небезопасного использования методов шифрования».

Исследователи из Университета Раиса и из AT&T Labs опубликовали собственное описание своих атак на сети с WEP-шифрованием (http:/ /www.cs.rice .edu/~astubble/wep), что привело их к похожему заключению: «WEP в 802.11 полностью небезопасен». Они смогли заказать и получить необходимое оборудование, установить испытательный стенд, разработать свой инструмент для атаки и успешно завладеть 128-битным WEP-ключом менее чем за неделю.

Как доклады из Беркли, так и доклады AT&T Labs написаны техническими экспертами и для технических экспертов, с анализом криптографии. Их доводы понятны, но методы предполагают наличие у недоброжелателя некоторых серьезных технических знаний. Тем не менее инструменты для менее искушенных взломщиков кодов можно найти так же легко. Как AirSnort (http://airsnort. shmoo.com), так и WEPCrack () являются программами для Linux, которые отслеживают сигналы беспроводной сети и используют слабые места WEP-алгоритма для получения ключа кодирования.

Разработчики AirSnort утверждают, что их программа может успешно взламывать большинство сетей в течение двух недель. Данная технология отслеживает сетевые сигналы без влияния на них, поэтому сетевой администратор не может обнаружить наличие атаки. Программа выпускается с целью усугубления проблемы. Если взломать WEP-шифрование легко, группы, создающие стандарты, вынуждены либо искать способ сделать его безопаснее, либо заменить более трудным для взлома вариантом.

Подведем итог: смотрите на это проще и шифруйте свои сетевые данные.

Шифрованные данные защищеннее передачи открытым текстом, а взлом WEP-ключа требует времени, поэтому WEP добавляет другой (предположительно слабый) уровень защиты, особенно если вы часто меняете ключи. Для защиты вас от серьезных врагов WEP-шифрование много сделать не в состоянии, но оно обезопасит от случайных недоброжелателей. Гораздо проще проникнуть в сеть, не использующую шифрование (что и делает большинство из них), поэтому хакер, обнаруживший зашифрованный сигнал, скорее всего, переключится на цель с меньшей защитой.

Помощь на подходе

Очевидно, что схема защиты с прорехами, достаточными для того, чтобы провести через них гигантский «цифровой грузовик», почти так же плоха, как и полное отсутствие защиты. Успешные атаки на WEP-шифрование и легко доступные инструменты для использования недостатков протокола защиты заставляют участников Wi-Fi Alliance серьезно задуматься о поддержке своей лицензии как стандарта де-факто для беспроводной сети. Такие слова, как «кризис», используются ими для описания внимания, уделяемого данным проблемам.

Они хотят найти решение до того, как дурная слава о взломах защиты перевесит спрос на беспроводное Ethernet-оборудование, тщательно созданное и разрекламированное ими.

Новые стандарты, которые разрешат эту проблему, будут называться 802.11i.IEEE. Комитет стандартов 802.11 приступил к обсуждению проблемы за несколько месяцев до того, как она стала достоянием общественности. Комитет, названный Task Group i (TGi), занят работой над новой усовершенствованной спецификацией защиты, которая будет (как предполагается) лишена всех известных недостатков стандартов WEP-шифрования. Группа обещает, что новые инструменты защиты заработают автоматически и будут совместимы с более старым оборудованием, не использующим новые инструменты. У исследовательской группы есть Web-сайт на http://grouper.ieee.Org/groups/802/11/Reports , где можно найти информацию о встречах и прочесть некоторые технические документы.

Wi-Fi Alliance желает, чтобы его члены приступили к использованию продукта TGi как можно быстрее. Это может разрядить ситуацию до того, как она превратится в коммерческое бедствие. Как только инженеры сообщат о найденном решении, все производители точек доступа и сетевых адаптеров будут интегрировать новые методы защиты в свою продукцию, a Alliance добавит их к тестовому комплекту сертификации Wi-Fi. Обновленное программное обеспечение и прошивки обеспечат совместимость существующих продуктов 802.11b с новыми протоколами 802.11i.

Большинство точек доступа имеет функцию, разрешающую сетевому администратору ограничивать доступ к адаптерам клиентов из заданного списка. Если сетевое устройство, чей МАС-адрес не присутствует в списке авторизованных пользователей, пытается подключиться, точка доступа игнорирует запрос на ассоциирование с сетью. Такой способ может стать эффективным для предотвращения подключения посторонних к беспроводной сети, но это вынуждает сетевого администратора хранить полный список адаптеров пользователей и их МАС-адресов. Каждый раз, когда новый пользователь хочет подключиться к сети и когда легальный пользователь меняет адаптеры, кто-то должен добавлять в список еще один МАС-адрес. Это осуществимо в домашней или малой офисной сети, но может стать большой проблемой для крупной корпоративной или кампусной системы.

Каждая конфигурационная утилита точки доступа для списков доступа использует свой формат. Руководство и on line-документация, поставляемые с вашей точкой доступа, должны предоставлять подробные инструкции по созданию и использованию списка управления доступом. Стандарт 802.11b не определяет максимальный размер списка управления доступом для точки доступа, поэтому номера распределяются по всей карте. Некоторые точки доступа ограничивают список несколькими десятками параметров. Другие, например Proxim Harmony АР Controller, будут поддерживать вплоть до 10000 отдельных адресов. Остальные допускают неограниченное количество. Если вы планируете использовать список адресов для управления доступом в свою сеть, удостоверьтесь, что точка доступа будет работать с достаточно большим списком для поддержки всех пользователей с достаточным запасом на будущее. Непреложное правило - точка доступа должна допускать по крайней мере вдвое большее число МАС-адресов по сравнению с нынешним числом пользователей вашей сети.

МАС-аутентификация не может защитить от всех вторжений, так как смена МАС-адреса в большинстве сетевых карт является тривиальной: все, что нужно сделать недоброжелателю, - это достаточно долго отслеживать трафик вашей сети, чтобы найти действующего пользователя и скопировать его МАС-адрес.

Тем не менее это может стать весьма эффективным способом замедлить работу случайного шпиона.

Аутентификация: стандарт 802.1х

Из-за прорех в защите со спецификацией WEP-шифронания многие производители беспроводного сетевого оборудования и разработчики программного обеспечения уже адаптировали новый IEEE-стандарт - 802.1x - для добавления в свои сети другого уровня защиты. Стандарт 802.1х определяет структуру, которая может поддерживать несколько различных форм аутентификации, включая сертификаты, смарт-карты и однократные пароли, все из которых обеспечивают большую защиту, чем управление доступом, интегрированное в 802.11.

В беспроводных сетях 802.11 технология, названная устойчивой защитой сети - Robust Security Network, встраивается поверх структуры 802.1х для ограничения доступа в сеть авторизованными устройствами.

Большинство конечных пользователей должны знать две вещи о 802.1х: во-первых, она интегрирована в некоторое (но не все) аппаратное и программное обеспечение 802.11b, включая конфигурационную утилиту беспроводной сети, поставляемую с Windows ХР и многими современными точками доступа, поэтому может обеспечить еще один потенциальный уровень защиты; а во-вторых, она все еще обладает серьезными недостатками, которые опытный сетевой хакер может использовать для внедрения в беспроводную сеть. Малоприятные технические подробности, в виде анализа подготовленные двумя исследователями Университета Мериленда, доступны в режиме online на http://www.cs.umd.edu/~waa/1x.pdf .

Кажется, что появился ориентир, не так ли? Инженеры из заинтересованных компаний, производящих оборудование и программное обеспечение, объединяются вместе под флагом исследовательской группы

Что делать? Является ли безопасная беспроводная сеть недостижимым идеалом? Если вы посмотрите на беспроводную защиту как на игру в кошки-мышки, весьма очевидно, что мыши (шпионы и сетевые кракеры) остаются в выигрыше. Но этим мышам необходимы углубленные знания и оборудование для преодоления существующих инструментов кодирования и аутентификации.

Подумайте об этом как о парадной двери вашего дома: если вы оставите ее широко открытой, любой может войти и похитить ваши вещи, но если вы запрете дверь и закроете на щеколду окна, грабителю будет гораздо труднее проникнуть внутрь. Специалист может вскрыть замок, но на это потребуется много времени и усилий.

Если вы допускаете мысль о том, что WEP-шифрование и 802.1х не обеспечивают приемлемой защиты беспроводной сети, следующим логичным шагом будет поиск другого способа предотвращения доступа посторонних в вашу сеть. Вам нужен брандмауэр.

Брандмауэр является прокси-сервером, фильтрующим все данные, проходящие через него в сеть или из нее, в зависимости от набора правил, установленных сетевым администратором. Например, брандмауэр может отсеивать данные от неизвестного источника или файлы, связанные с определенным источником (вирусы). Или он может пропускать все данные, передающиеся из локальной сети в Интернет, но пропускать только конкретные их типы из Интернета. Наиболее общим использованием брандмауэра сети является шлюз в Интернет, как показано на рис. 14.5. Брандмауэр отслеживает все входящие и исходящие данные между локальной сетью на одной стороне и Интернетом на другой. Такой тип брандмауэра предназначен для защиты компьютеров в сети от неавторизованного доступа из Интернета.

Рис. 14.5

В беспроводной сети брандмауэр может быть также расположен на шлюзе между беспроводными точками доступа и проводной сетью. Такой брандмауэр изолирует беспроводную часть сети от проводной сети, поэтому недоброжелатели, подключившие свои компьютеры к сети без разрешения, не могут использовать беспроводное подключение для выхода в Интернет или проводную часть сети. На рис. 14.6 показано местоположение брандмауэра в беспроводной сети.

Рис. 14.6

Не оставляйте шансов захватчикам беспроводной сети

Большинство людей, пытающихся присоединиться к беспроводной сети, не беспокоятся о других компьютерах; их интересует бесплатный высокоскоростной доступ в Интернет. Если они не могут использовать вашу сеть для загрузки файлов или подключения к своим любимым Web-страницам, то, скорее всего, попытаются найти какую-либо другую незащищенную беспроводную точку. Это не означает, что вы должны хранить конфиденциальные данные в доступных файлах на незащищенных компьютерах, но если можно ограничить или запретить доступ в Интернет, вы сделаете свою сеть гораздо менее привлекательной для недоброжелателей. Брандмауэр в беспроводной сети может выполнять несколько функций: он действует как маршрутизатор между беспроводной и проводной сетью или как мост между сетью и Интернетом, блокирует все перемещения трафика с беспроводной части в проводную, которые не исходят от аутентифицированного пользователя. Но он не вмешивается в команды, сообщения и передачу файлов, осуществляемые доверенными пользователями.

Так как и авторизованные пользователи, и посторонние находятся на незащищенной стороне брандмауэра, это не изолирует беспроводные узлы один от другого. Недоброжелатель по-прежнему может получить доступ к другому компьютеру в этой же беспроводной сети и считать доступные файлы, поэтому лучше отключить File Sharing (Доступ к файлам) на любом компьютере, подключенном к беспроводной сети.

Брандмауэр для беспроводной сети должен использовать некий тип аутентификации, чтобы пропускать авторизованных пользователей через шлюз, а всех остальных отсеивать. Если управление доступом, основанное на МАС-адресах, встроено в системы 802.11Ь, а дополнительная аутентификация в802.1х неприемлема, то внешний брандмауэр должен требовать от каждого пользователя ввода логина и пароля до подключения к Интернету.

Если ваша беспроводная сеть содержит компьютеры, работающие под несколькими операционными системами, брандмауэр должен использовать логин, работающий на любой платформе. Самым простым способом выполнения этого условия является использование сервера аутентификации на базе Web, наподобие включенного в Apache Web-сервер (http://httpd.apache.org).

Центр NASA использует Apache на выделенном сервере для создания Web-сайта, уведомляющего пользователей о вводе названия учетной записи и пароля.

Сервер использует скрипт Perl/CGI для сравнения логина и пароля с базой данных. Если они правильные, он инструктирует сервер о принятии команд и данных по IP-адресу пользователя. Если в базе данных логина нет или пароль неточный, сервер Apache отображает Web-страницу «Invalid Username and Password - («Неверный логин и пароль»).

Web-сервер Apache доступен как Unix приложение, которое запускается на старом медленном компьютере с ранним Pentium или лаже 486 CPU, поэтому часто можно заново использовать старый компьютер, который больше не применяется в повседневной работе, чтобы задействовать его в качестве брандмауэра. Как приложение Apache, так и операционная система Unix доступны в качестве открытого программного обеспечения, поэтому далжна быть возможность построить брандмауэр на базе Apache за предельно низкую стоимость.

Если вы предпочитаете вместо Unix использовать Windows, у вас есть несколько вариантов. Можно использовать Windows NT/2000 версию Apache либо такую коммерческую утилиту, как Wireless Enforcer от Sygate (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) - Wireless Enforcer работаете другими элементами Sygate Secure Enterprise Suite (Комплект корпоративной защиты Sygate) для назначения и проверки уникального отпечатка пальца каждому авторизованному пользователю. Если посторонние пытаются подключиться к точке доступа без необходимого отпечатка, сеть блокирует их.

Не все атаки на беспроводную сеть осуществляются по воздуху. Беспроводная сеть требует такого же рода брандмауэрной поддержки против атак из интернета, как и любая другая сеть. Многие точки доступа содержат функции конфигурируемого брандмауэра, но, если ваши этого не обеспечивают, сеть должна содержать один или более следующих брандмауэров:

Программа брандмауэра на каждом компьютере;

Отдельный маршрутизатор или выделенный компьютер для работы в качестве сетевого брандмауэра;

Интегрированный пакет защиты, например пакет Sygate, описанный в предыдущем разделе.

Клиентские программы брандмауэров обеспечивают другую линию защиты от атак вашей сети через Интернет. Некоторые из них исходят от недоброжелателей, ищущих способ прочесть ваши файлы и другие ресурсы, которые вы хотите скрыть от внешнего мира. Другие могут захотеть использовать ваш компьютер в качестве рассыльной точки для спама или попыток внедрения в компьютер в другой точке земного шара, чтобы сделать реальный ресурс сложнее для отслеживания. Остальные распространяют вирусы или используют нежелательные программы, перехватывающие управление компьютером и отображающие устрашающие или рекламные сообщения. К тому же незащищенная машина с большим объемом неиспользуемого пространства хранения может стать привлекательной мишенью для хакеров, желающих распространять пиратское программное обеспечение, музыку или видеофайлы (не думаете же вы, что они хранят этот хлам на своих собственных компьютерах?).

Если вы установите брандмауэр, уведомляющий вас о попытке внешнего компьютера подключиться к сети, то, скорее всего, будете отмечать несколько попыток вторжения каждый день.

Точки доступа с брандмауэрами

Самым простым вариантом использования брандмауэра для беспроводной сети является использование встроенного в точку доступа. Некоторые сочетают функции беспроводной точки доступа с широкополосным маршрутизатором и свитчем Ethernet, поэтому поддерживают как проводных, так и беспроводных сетевых клиентов.

Как известно, сетевой маршрутизатор обеспечивает преобразование между числовым IP-адресом, определяющим шлюз локальной стеи, и внутренними IP-адресами, определяющими индивидуальные компьютеры в ее пределах. Брандмауэр обычно блокирует все входящие запросы данных к локальным сетевым хостам, но это создает проблемы, когда вы хотите использовать один или более компьютеров локальной сети в качестве файловых серверов. Для решения этой проблемы брандмауэр включает виртуальный сервер, который перенаправляет запросы определенного типа на соответствующий компьютер внутри сети.

Каждый запрос на подключение к серверу содержит номер конкретного порта, определяющего тип сервера. Например, Web-серверы работают с портом 80, a FTP используют порт 21, поэтому номера этих портов являются частью запроса на доступ. Принимая запросы на доступ к серверу, вы должны включить в брандмауэре функцию преобразования сетевого адреса - network address translation (NAT) для направления этих запросов на заданный компьютер в пределах локальной сети. На рис. 14.7 виртуальный сервер сконфигурирован для использования компьютера с локальным IP-адресом 192.168.0.177 в качестве Web-сервера и 192.168.0.164 в качестве FTP файлового сервера. В табл. 14.1 приведены наиболее распространенные номера служебных портов.

Табл. 14.1 Распространенные номера служебных портов протокола TCP/IP

В разных сетях используются сотни номеров других портов, но большинство из них вы никогда не встретите в реальном использовании. Официальный список назначенных портов находится на http://www.iana.org/assignments/port-numbers .

Рис. 14.7

NAT-преобразование предполагает, что IP-адреса каждого виртуального сервера от одного запроса к следующему меняться не должны. Web-сервер с текущим номером 192.168.0.23 не должен через неделю переходить на 192.168.0.47. Обычно это не является проблемой в проводной сети, но в беспроводной, где сетевые клиенты подключаются и выходят непрерывно. DHCP-сернер автоматически присваивает следующий доступный номер каждому новому клиенту. Если один из этих пользователей является месторасположением одного из сетевых служебных портов, NAT, возможно, его не обнаружит. Проблема эта не слишком распространена, так как в большинстве сетей в качестве серверов не используются портативные компьютеры, но иногда такое случается. Решением является либо отключение DHCP-сервсра и назначение постоянного IP-адреса каждому клиенту, либо перемещение служебного порта на компьютер, имеющий проводное соединение с сетью.

Брандмауэрное программное обеспечение

Брандмауэр беспроводного шлюза на интерфейсе между точкой доступа и проводной частью вашей LAN предотвратит использование сети посторонними для выхода в Интернет, а брандмауэр интернет-подключения отклонит попытки подключения к сети из Интернета, но для беспроводной сети необходима еще одна форма защиты. Если кто-либо получает доступ к вашей беспроводной сети без разрешения, вы захотите избавить от него другие легальные компьютеры в этой же сети. Это означает, что вам необходима программа брандмауэра клиента для каждого сетевого узла.

Брандмауэр клиента выполняет те же функции на сетевом интерфейсе компьютера, которые сетевой или корпоративный брандмауэр выполняет для всей сети. Он обнаруживает попытки подключения к портам TCP и игнорирует их, если они не совпадают с одной или более конфигурационными настройками программы брандмауэра.

Некоторые брандмауэры доступны в виде испытательной версии, а другие являются бесплатными для некоммерческих пользователей, поэтому можно легко попробовать их на вашей собственной системе и выбрать наиболее понравившийся.

Ниже приведены некоторые программы для Windows:

Пользователи Unix и Linux также имеют многие функции брандмауэра. Большинство из них были написаны для использования на автономных брандмауэрных компьютерах, которые широко применяются в качестве сетевых шлюзов, но они в равной степени могут выступать в качестве защиты индивидуальных сетевых клиентов.

В Linux брандмауэр является частью ядра, пользователь работает с ним через консольные утилиты - либо ipchains, либо iptables. Обе документированы на http:// linuxdoc.org/HOWTO /IPCHAINS-HOWVTO.html и http:// www.netfilter .org/unreliable-guides/packet-filtering-HOWTO соответственно. IP Filter представляет собой программный пакет, обеспечивающий службы брандмауэра для систем FreeBSD и NetBSD. Официальный Web-сайт IP Filter находится на http://coombs.anu.edu.au/-avalon , а на http://www.obfuscation.org/ipf/ipf-howto.txt представлен отличный документ по его использованию. Программа может отклонять или разрешать любой пакет, проходящий через брандмауэр, а также выполнять фильтрацию по сетевой маске или адресу хоста, реализовать ограничения по служебному порту и обеспечивать службы NAT-преобразования.

NetBSD/i386 Firewall является другим бесплатным брандмауэром на Unix.

Он работает на любом PC с 486-м или более современном CPU с минимальным объемом памяти 8 Мб. Домашняя страница NetBSD/i386 Firewall Project находится на http://www.dubbele.com .

PortSentry является инструментом определения сканируемых портов, интегрируемым в несколько широко используемых версий Linux, включая Red Hat, Caldera, Debian и Turbo Linux. Он доступен для загрузки на http:// www.psionic .com/products/portsentry.html.

Изолируя подключение между сетевыми узлами от другого сетевого трафика, VPN может добавлять еще один уровень защиты. VPN является кодированным каналом передачи, который соединяет две сетевые конечные точки через «туннель данных». Многие эксперты по сетевой защите рекомендуют VPN как эффективный способ защиты беспроводной сети от недоброжелателей и неавторизованных пользователей. Вы можете найти более подробную информацию о настройке и использовании VPN в следующей главе.

Физическая защита

До сих пор мы говорили о предотвращении доступа электронных воришек в вашу сеть. Достаточно просто получить доступ к сети, используя имеющееся в наличии оборудование, которое еще не было для нее сконфигурировано. Сделать это еще проще, если у злоумышленника есть компьютер, украденный у авторизованного пользователя.

Потерять портативный компьютер малоприятно. Еще хуже позволить похитителю использовать украденный компьютер для ретстрации в сети. Как сетевой оператор вы должны напоминать своим пользователям, что их портативные устройства - это привлекательные мишени для воришек, и предлагать некоторые советы по их защите. Будучи пользователем, вы и сами должны придерживаться тех же правил.

Первое правило простое - не забывайте о том, что вы носите компьютер. Это кажется очевидным, но водители такси в Лондоне нашли примерно 2900 ноутбуков (и 62 ООО мобильных телефонов!), оставленных в автомобилях в течение шести месяцев. Бесчисленное количество других были оставлены в самолетах, гостиничных номерах, пригородных электричках и конференц-залах. Не афишируйте то, что вы носите компьютер. Нейлоновые сумки с крупной надписью «IВМ» или «COMPAQ» на боку могут выглядеть модно, но они не так безопасны, как обычный портфель или хозяйственная сумка.

Держите компьютер в руках или на плече всегда, когда он не заперт в шкафу или камере хранения. Отвлекитесь на минуту - и опытный вор сможет его похитить. Терминалы аэропортов, железнодорожные станции и вестибюли отелей являются привычными местами для краж. Не оставляйте незащищенный персональный компьютер в офисе на ночь. Не пропускайте его через сканеры в аэропортах. Попросите контролера досмотреть его собственноручно или удостоверьтесь, что можете вернуть компьютер сразу же после того, как он закончит прохождение по ленте транспортера. Два человека, работающих в паре, могут элементарно задержать вас и украсть компьютер до того, как он окажется у вас. Если кто-либо пытается стащить компьютер во время проверки багажа, поднимите шум и позовите на помощь охрану. Удостоверьтесь, что ваши компьютеры и отдельные компоненты, такие как РС-карты, имеют ярлыки, указывающие на право собственности, внутри и снаружи.

Компания Security Tracking of Office Property (http://www.stoptheft.com) предлагает регистрируемые защитные печатные ярлыки на цианокрилатном клее, для удаления которых требуется усилие в 360 кг, с нестираемой химической маркировкой «Похищенная собственность», которая проявляется, если кто-либо удалит ярлык.

Если вы можете убедить своих клиентов использовать на компьютерах устройства оповещения, это может повысить шансы на их возвращение. ТгаскIТ (http:// www.trackit-corp.co m) представляет собой устройство оповещения, состоящее из двух частей, которое использует пристегиваемый цепочкой передатчик и миниатюрный приемник, находящийся в компьютерной сумке. Когда передатчик находится на расстоянии более 12 м от приемника, тот издает сирену силой 110 дБ, что обычно заставляет вора бросить украденную сумку.

И наконец, храните список моделей и серийных номеров отдельно от самих устройств. Эта информация необходима вам для страхового требования.

Когда вы обнаруживаете, что один из компьютеров, подключенных к вашей сети, был утерян или украден, важно защитить остальную сеть. По возможности смените сетевой SSID, пароль и WEP-ключи как можно скорее. Если ваша сеть использует список МАС-адресов для управления доступом, удалите МАС-адрес похищенного устройства из списка авторизованных подключений.

Если вы используете беспроводную сеть для обеспечения коллективного доступа в Интернет окрестной сети или кампуса или хотите позволить заказчикам и другим посетителям подключаться к вашей беспроводной сети, не стоит использовать WEP или другие инструменты защиты для ограничения доступа известными пользователями, но все же необходимо обеспечить некоторые меры защиты.

Ваше желание предоставить людям прямое подключение к Интернету не означает, что вы хотите позволить им бродить по другим компьютерам вашей сети, - необходимо изолировать беспроводные точки доступа от остальной ее части.

Если все локальные узлы вашей сети подключены по проводам, наилучшим методом будет размещение брандмауэра между беспроводной точкой доступа и проводной LAN, что позволит точке доступа (и компьютерам, подключенным к ней через беспроводные соединения) подключаться только к Интернету, а не к любому из локальных узлов проводной сети, как показано на рис. 14.8.

Тем не менее, если некоторые из ваших домашних компьютеров используют беспроводные подключения, необходимо защитить их от доступа посторонних, использующих коллективную часть вашей сети. Для осуществления этого плана существует пара способов: на рис. 14.9 показана беспроводная сеть с программным брандмауэром на каждом домашнем компьютере, а на рис. 14.10 - система, использующая две отдельные беспроводные сети с разными SSID, подключенные к одному и тому же интернет-узлу. Основным правилом является использование одного или более брандмауэров для изолирования коллективной части вашей сети от компьютеров, которые вы не хотите делать доступными для остального мира.

Рис. 14.8

Рис. 14.9

Рис. 14.10

Примечания:

Для централизованного управления доступом к файлам в Windows ХР и Windows 2000 откройте правой кнопкой мыши контекстное меню My Computer и выберите Manage . В правой панели выберите закладку Shared Folders , затем Shares . - Прим. науч. ред.