Wi-Fi. Беспроводная сеть
Шрифт:
Многие сетевые адаптеры и точки доступа также содержат функцию «сильное шифрование», использующую 128-битный ключ (который на самом деле является секретным 104-битным ключом с 24-битным вектором инициализации).
Сильное шифрование односторонне совместимо с 64-битным шифрованием, но не является автоматическим, поэтому все составляющие смешанной сети из устройств со 128-битным и 64-битным ключом будут работать с 64-битным шифрованием. Если точка доступа и все адаптеры допускают 128-битное шифрование, используйте 128-битный ключ. Но если вы хотите, чтобы ваша сеть была совместима с адаптерами и точками доступа, которые распознают только 64-битное шифрование, настройте всю сеть на использование 64-битных ключей.
ASCII
Но только длина ключа сбивает с толку при настройке WEP-шифрования. Некоторые программы требуют ключа в виде строки из текстовых символов, а другие — в виде шестнадцатеричных чисел. Остальные могут генерировать ключ из опциональной идентификационной фразы.
Каждый ASCII-символ состоит из 8 битов, поэтому 40-битный (или 64-битный) WEP-ключ содержит 5 символов, а 104-битный (или 128-битный) ключ состоит из 13 символов. В шестнадцатеричной системе каждое число состоит из 4 битов, поэтому 40-битный ключ содержит 10 шестнадцатеричных символов, а 128-битный имеет 26 символов.
На рис. 14.2, где показано окно Wireless Setting (Настройка беспроводной сети) для точки доступа D-Link, поле 40-bit Shared Key Security (Защита с 40-битным ключом доступа) использует шестнадцатеричные символы и имеет пространство для десяти символов. Программа D-Link содержит все десять символов в одной строке, но некоторые другие разделяют их на пять групп по два числа или на две группы из пяти чисел.
Рис. 14.2
Для компьютера ключ выглядит одинаково в любом случае, но проще копировать строку, когда она разделена на части.
Многие утилиты клиентов, такие как диалоговое окно Wireless Network Properties (Свойства беспроводной сети) в Windows ХР (изображенное на рис. 14.3), предлагают на выбор либо шестнадцатеричный код, либо текст, поэтому вы можете использовать формат, соответствующий определенному, для точки доступа.
Идентификационная фраза представляет собой текстовую строку, которую адаптеры и точки доступа автоматически преобразуют в строку из шестнадцатеричных символов. Так как люди обычно легче запоминают осмысленные слова или фразы, чем абракадабру из шестнадцатеричных символов, идентификационную фразу легче передавать, чем шестнадцатеричную строку. Тем не менее идентификационная фраза полезна только тогда, когда все адаптеры и точки доступа в сети сделаны одним производителем.
Рис. 14.3
Какие функции присутствуют
Аналогично практически всем настройкам в конфигурационной утилите 802.11Ь-названия WEP-функций не являются постоянными от одной программы к другой.
Некоторые используют открытый набор таких функций, как «включить WEP-шифрование», а другие используют техническую терминологию, взятую из официальной спецификации 802.11. Открытая системная аутентификация — это второй вариант названия «WEP-шифрование отключено».
Некоторые точки доступа также предоставляют опциональную функцию аутентификации с открытым ключом, использующей WEP-шифрование, когда сетевой клиент имеет ключ, но нешифрованные данные принимаются с других сетевых узлов.
Комбинирование шестнадцатеричных и текстовых ключей
Настройка смешанной сети усложняется, когда некоторые сетевые узлы используют только шестнадцатеричные ключи, а другие требуют текстовых. Если такая ситуация возникла в вашей сети, нужно следовать нижеперечисленным правилам для их настройки WEP:
— преобразуйте все текстовые ключи в шестнадцатеричные. Если конфигурационная программа требует текстового ключа, введите символы Ох (ноль с последующей строчной буквой х) перед шестнадцатеричной строкой. Если вы используете программное обеспечение AirPort от Apple, вместо Ох в начале шсстнадцатеричного ключа необходимо ввести символ доллара ($);
— удостоверьтесь, что все ваши ключи шифрования имеют правильное количество символов;
— если все по-прежнему не работает, прочтите разделы, посвященные защите, в руководствах для ваших сетевых адаптеров и точек доступа. Возможно, что одно или более из этих устройств в сети имеет некую скрытую индивидуальную особенность, о которой вы не знаете.
Смена WEP-ключей
Многие точки доступа и адаптеры сетевых клиентов могут поддерживать до четырех разных 64-битных WEP-ключей, но только один является активным в отдельный момент времени, как показано на рис. 14.4. Другие ключи являются запасными, что может позволить сетевому администратору корректировать защиту сети с помощью короткого уведомления. Адаптеры и точки доступа, поддерживающие 128-битное шифрование, используют только один 128-битный WEP-ключ в отдельный момент времени.
Рис. 14.4
В сети, где WEP-шифрование организовано серьезно. WEP-ключи должны меняться регулярно, по расписанию. Срок в месяц достаточен для сети, по которой не передаются важные данные, но для более серьезной сети новый ключ необходимо устанавливать раз или два в неделю. Не забывайте записывать свои текущие WEP-ключи в безопасном месте.
В домашней или малой офисной сети вы, скорее всего, будете менять все WEP-ключи самостоятельно. В противном случае сетевой администратор или специалист по защите должен распространять новые WEP-ключи на бумаге, в служебной записке, а не по электронной почте. Для дополнительного уровня защиты в сетях с использованием 64-битного шифрования проинструктируйте ваших пользователей о смене двух ключей одновременно (не текущих принятых по умолчанию). Отправьте отдельную служебную записку с уведомлением пользователей о том, какой ключ стал новым, принятым по умолчанию, и когда должна произойти его смена.
Типовое еженедельное указание может выглядеть так:
Пожалуйста, введите следующие новые 64-битные WEP-ключи:
Ключ 1: XX XX XX XX XX
Ключ 4: YY YV YY YY YY
В другой записке, неделей позже, будут предоставлены коды для Ключа 2 и Ключа 3.
Отдельное указание может сообщать: «Наша сеть перейдет на использование Ключа 3 в полночь на вторник. Пожалуйста, смените принятый по умолчанию ключ вашего сетевого адаптера». Для смены выбирайте время, когда беспроводную сеть использует наименьшее количество пользователей, поскольку любое активное соединение на точке доступа в момент смены ключей будет разорвано и его нельзя будет восстановить до изменения ключей на адаптере клиента. Пользователи могут ввести новые ключи заранее как альтернативы текущему активному ключу и сменить их несколькими щелчками мыши, когда новый ключ вступит в силу.