Чтение онлайн

на главную - закладки

Жанры

Wi-Fi. Беспроводная сеть
Шрифт:

Каждая конфигурационная утилита точки доступа для списков доступа использует свой формат. Руководство и on line-документация, поставляемые с вашей точкой доступа, должны предоставлять подробные инструкции по созданию и использованию списка управления доступом. Стандарт 802.11b не определяет максимальный размер списка управления доступом для точки доступа, поэтому номера распределяются по всей карте. Некоторые точки доступа ограничивают список несколькими десятками параметров. Другие, например Proxim Harmony АР Controller, будут поддерживать вплоть до 10000 отдельных адресов. Остальные допускают неограниченное количество. Если вы планируете использовать список адресов для управления доступом в свою сеть, удостоверьтесь, что точка доступа будет работать с достаточно

большим списком для поддержки всех пользователей с достаточным запасом на будущее. Непреложное правило — точка доступа должна допускать по крайней мере вдвое большее число МАС-адресов по сравнению с нынешним числом пользователей вашей сети.

МАС-аутентификация не может защитить от всех вторжений, так как смена МАС-адреса в большинстве сетевых карт является тривиальной: все, что нужно сделать недоброжелателю, — это достаточно долго отслеживать трафик вашей сети, чтобы найти действующего пользователя и скопировать его МАС-адрес.

Тем не менее это может стать весьма эффективным способом замедлить работу случайного шпиона.

Аутентификация: стандарт 802.1х

Из-за прорех в защите со спецификацией WEP-шифронания многие производители беспроводного сетевого оборудования и разработчики программного обеспечения уже адаптировали новый IEEE-стандарт — 802.1x — для добавления в свои сети другого уровня защиты. Стандарт 802.1х определяет структуру, которая может поддерживать несколько различных форм аутентификации, включая сертификаты, смарт-карты и однократные пароли, все из которых обеспечивают большую защиту, чем управление доступом, интегрированное в 802.11.

В беспроводных сетях 802.11 технология, названная устойчивой защитой сети — Robust Security Network, встраивается поверх структуры 802.1х для ограничения доступа в сеть авторизованными устройствами.

Большинство конечных пользователей должны знать две вещи о 802.1х: во-первых, она интегрирована в некоторое (но не все) аппаратное и программное обеспечение 802.11b, включая конфигурационную утилиту беспроводной сети, поставляемую с Windows ХР и многими современными точками доступа, поэтому может обеспечить еще один потенциальный уровень защиты; а во-вторых, она все еще обладает серьезными недостатками, которые опытный сетевой хакер может использовать для внедрения в беспроводную сеть. Малоприятные технические подробности, в виде анализа подготовленные двумя исследователями Университета Мериленда, доступны в режиме online на http://www.cs.umd.edu/~waa/1x.pdf.

Кажется, что появился ориентир, не так ли? Инженеры из заинтересованных компаний, производящих оборудование и программное обеспечение, объединяются вместе под флагом исследовательской группы

Что делать? Является ли безопасная беспроводная сеть недостижимым идеалом? Если вы посмотрите на беспроводную защиту как на игру в кошки-мышки, весьма очевидно, что мыши (шпионы и сетевые кракеры) остаются в выигрыше. Но этим мышам необходимы углубленные знания и оборудование для преодоления существующих инструментов кодирования и аутентификации.

Подумайте об этом как о парадной двери вашего дома: если вы оставите ее широко открытой, любой может войти и похитить ваши вещи, но если вы запрете дверь и закроете на щеколду окна, грабителю будет гораздо труднее проникнуть внутрь. Специалист может вскрыть замок, но на это потребуется много времени и усилий.

Брандмауэры

Если вы допускаете мысль о том, что WEP-шифрование и 802.1х не обеспечивают приемлемой защиты беспроводной сети, следующим логичным шагом будет поиск другого способа предотвращения доступа посторонних в вашу сеть. Вам нужен брандмауэр.

Брандмауэр является прокси-сервером, фильтрующим все данные, проходящие через него в сеть или из нее, в зависимости от набора правил, установленных сетевым администратором.

Например, брандмауэр может отсеивать данные от неизвестного источника или файлы, связанные с определенным источником (вирусы). Или он может пропускать все данные, передающиеся из локальной сети в Интернет, но пропускать только конкретные их типы из Интернета. Наиболее общим использованием брандмауэра сети является шлюз в Интернет, как показано на рис. 14.5. Брандмауэр отслеживает все входящие и исходящие данные между локальной сетью на одной стороне и Интернетом на другой. Такой тип брандмауэра предназначен для защиты компьютеров в сети от неавторизованного доступа из Интернета.

Рис. 14.5

В беспроводной сети брандмауэр может быть также расположен на шлюзе между беспроводными точками доступа и проводной сетью. Такой брандмауэр изолирует беспроводную часть сети от проводной сети, поэтому недоброжелатели, подключившие свои компьютеры к сети без разрешения, не могут использовать беспроводное подключение для выхода в Интернет или проводную часть сети. На рис. 14.6 показано местоположение брандмауэра в беспроводной сети.

Рис. 14.6

Не оставляйте шансов захватчикам беспроводной сети

Большинство людей, пытающихся присоединиться к беспроводной сети, не беспокоятся о других компьютерах; их интересует бесплатный высокоскоростной доступ в Интернет. Если они не могут использовать вашу сеть для загрузки файлов или подключения к своим любимым Web-страницам, то, скорее всего, попытаются найти какую-либо другую незащищенную беспроводную точку. Это не означает, что вы должны хранить конфиденциальные данные в доступных файлах на незащищенных компьютерах, но если можно ограничить или запретить доступ в Интернет, вы сделаете свою сеть гораздо менее привлекательной для недоброжелателей. Брандмауэр в беспроводной сети может выполнять несколько функций: он действует как маршрутизатор между беспроводной и проводной сетью или как мост между сетью и Интернетом, блокирует все перемещения трафика с беспроводной части в проводную, которые не исходят от аутентифицированного пользователя. Но он не вмешивается в команды, сообщения и передачу файлов, осуществляемые доверенными пользователями.

Авторизованный пользователь может подключаться к сетевым узлам проводной части смешанной сети или к Интернету, а посторонний будет отсекаться брандмауэром.

Так как и авторизованные пользователи, и посторонние находятся на незащищенной стороне брандмауэра, это не изолирует беспроводные узлы один от другого. Недоброжелатель по-прежнему может получить доступ к другому компьютеру в этой же беспроводной сети и считать доступные файлы, поэтому лучше отключить File Sharing (Доступ к файлам) на любом компьютере, подключенном к беспроводной сети.

Брандмауэр для беспроводной сети должен использовать некий тип аутентификации, чтобы пропускать авторизованных пользователей через шлюз, а всех остальных отсеивать. Если управление доступом, основанное на МАС-адресах, встроено в системы 802.11Ь, а дополнительная аутентификация в802.1х неприемлема, то внешний брандмауэр должен требовать от каждого пользователя ввода логина и пароля до подключения к Интернету.

Если ваша беспроводная сеть содержит компьютеры, работающие под несколькими операционными системами, брандмауэр должен использовать логин, работающий на любой платформе. Самым простым способом выполнения этого условия является использование сервера аутентификации на базе Web, наподобие включенного в Apache Web-сервер .

Поделиться:
Популярные книги

Купидон с топором

Юнина Наталья
Любовные романы:
современные любовные романы
7.67
рейтинг книги
Купидон с топором

Смерть может танцевать 4

Вальтер Макс
4. Безликий
Фантастика:
боевая фантастика
5.85
рейтинг книги
Смерть может танцевать 4

Возвышение Меркурия. Книга 12

Кронос Александр
12. Меркурий
Фантастика:
героическая фантастика
попаданцы
аниме
5.00
рейтинг книги
Возвышение Меркурия. Книга 12

Мастер Разума III

Кронос Александр
3. Мастер Разума
Фантастика:
героическая фантастика
попаданцы
аниме
5.25
рейтинг книги
Мастер Разума III

Попаданка в академии драконов 2

Свадьбина Любовь
2. Попаданка в академии драконов
Любовные романы:
любовно-фантастические романы
6.95
рейтинг книги
Попаданка в академии драконов 2

Ваше Сиятельство

Моури Эрли
1. Ваше Сиятельство
Фантастика:
фэнтези
попаданцы
5.00
рейтинг книги
Ваше Сиятельство

На границе империй. Том 7. Часть 5

INDIGO
11. Фортуна дама переменчивая
Фантастика:
боевая фантастика
космическая фантастика
попаданцы
5.00
рейтинг книги
На границе империй. Том 7. Часть 5

Титан империи 7

Артемов Александр Александрович
7. Титан Империи
Фантастика:
боевая фантастика
попаданцы
аниме
5.00
рейтинг книги
Титан империи 7

Кодекс Охотника. Книга XIV

Винокуров Юрий
14. Кодекс Охотника
Фантастика:
боевая фантастика
попаданцы
аниме
5.00
рейтинг книги
Кодекс Охотника. Книга XIV

Вперед в прошлое 2

Ратманов Денис
2. Вперед в прошлое
Фантастика:
попаданцы
альтернативная история
5.00
рейтинг книги
Вперед в прошлое 2

Путь Шамана. Шаг 1: Начало

Маханенко Василий Михайлович
1. Мир Барлионы
Фантастика:
фэнтези
рпг
попаданцы
9.42
рейтинг книги
Путь Шамана. Шаг 1: Начало

Ваше Сиятельство 5

Моури Эрли
5. Ваше Сиятельство
Фантастика:
городское фэнтези
аниме
5.00
рейтинг книги
Ваше Сиятельство 5

Измена. Ребёнок от бывшего мужа

Стар Дана
Любовные романы:
современные любовные романы
5.00
рейтинг книги
Измена. Ребёнок от бывшего мужа

Под знаменем пророчества

Зыков Виталий Валерьевич
3. Дорога домой
Фантастика:
фэнтези
боевая фантастика
9.51
рейтинг книги
Под знаменем пророчества