ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.02.2024
Просмотров: 57
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
70
Глава 3
скорость передачи данных снижается на максимальных расстояниях при слабом уровне сигнала. Установка дополнительных точек доступа позволит распределить между ними пользователей и повысить скорость обмена данными. В связи с этим обычно рекомендуется устанавливать одну точку доступа приблизительно на
10 клиентов, хотя технический предел подключений беспроводных устройств, как правило, составляет не одну сотню систем.
1 ... 5 6 7 8 9 10 11 12 13
Рис. 3.8. Проектирование установки беспроводных точек доступа.
Для обеспечения работы в любой точке здания в беспроводной сети необходимо учесть многие факторы. Специализированное программное обеспечение позволяет построить возможные зоны покрытия на основе замеров и анализа параметров радиосигнала.
На рисунке представлен пример от AirMagnet, Inc.
Беспроводные решения могут помочь соединить, например, два здания. Для этого созданы специализированные беспроводные мосты и направленные антенны.
П
РИМЕЧАНИЕ
Если режим работы системы предполагает мобильность устройств (постоянное пере- мещение их во время работы с системой с переключением между различными точка- ми доступа), то для исключения прерывания сессий необходимо использовать специ- альное программное обеспечение.
Структура сети
71
Безопасность беспроводной сети
Точку доступа можно сравнить с концентратором локальной сети, который постав- лен в общедоступное помещение. Любой может "подключиться" к данному сегмен- ту и прослушивать передаваемую информацию. Поэтому правильной настройке подключения клиентов необходимо уделить особое внимание.
Шифрование трафика беспроводной сети
Для защиты передаваемой по беспроводной сети информации все данные шифру-
ются. Исторически первый стандарт безопасности для Wi-Fi — протокол WEP
(Wired Equivalent Privacy или Wireless Encryption Protocol, протокол шифрования в беспроводной связи) — предусматривает шифрование с помощью статичного клю- ча, известного как пользователю, так и администратору точки доступа. К сожале- нию, в практической реализации этого документа были найдены ошибки, которые позволяют за короткое время (порядка нескольких часов) вычислить данный ключ.
Поэтому протоколы WEP, даже с увеличенной длиной ключа, не могут считаться безопасными при создании корпоративной беспроводной сети.
П
РИМЕЧАНИЕ
Если примененные при создании беспроводной сети устройства не поддерживают но- вых протоколов безопасности, то администраторы могут защитить передаваемую ин- формацию путем создания виртуальных частных сетей (VPN) поверх беспроводных каналов связи.
Новый стандарт безопасности WPA (Wi-Fi Protected Access) предусматривает как использование динамических (изменяемых) ключей шифрования, так и аутентифи- кацию пользователя при входе в беспроводную сеть. Проектируя беспроводной сегмент сети, следует приобретать только устройства, удовлетворяющие данному стандарту.
Аутентификация пользователей и устройств Wi-Fi
В беспроводных сетях применяются два способа проверки пользователей и уст- ройств при их подключении. Первый — это проверка MAC-адресов устройств, подключаемых к данной точке доступа. В этом случае администратор вручную должен настроить для каждой точки доступа соответствующий список MAC- адресов устройств, которым разрешено беспроводное подключение.
Способ не может считаться безопасным, поскольку МАС-адреса легко определяют- ся при прослушивании беспроводного сегмента, а "подмена" MAC-адреса не пред- ставляет никакой сложности даже для не совсем опытного пользователя.
Второй способ основан на протоколе двухточечного соединения с надежной аутен- тификацией — EAP (Extensible Authentication Protocol). Для предприятий следует рекомендовать аутентификацию на основе стандарта 802.1x с использованием сер- вера RADIUS.
Наиболее безопасен способ, при котором для аутентификации вместо паролей ис- пользуются сертификаты. Однако он требует наличия на предприятии настроенной
72
Глава 3
системы PKI (Public Key Infrastructure, инфраструктура открытых ключей)
(см. главу 9). Настройка беспроводных устройств для аутентификации с использо- ванием сертификатов по протоколу 802.1x практически идентична примеру, опи- санному в главе 9 в разд. "Настройка протокола 802.1х". Единственное отличие заключается в выборе шаблона политики, используемой на сервере RADIUS
(рис. 3.9).
Рис. 3.9. Создание политики RADIUS-сервера для беспроводной сети.
При создании политики удаленного доступа для сервера RADIUS должен быть выбран шаблон Беспроводной доступ
П
РИМЕЧАНИЕ
При такой настройке клиенты, ранее не работавшие в составе домена, не могут быть подключены к нему по беспроводной сети, поскольку на них не установлены необхо- димые сертификаты. Вам следует либо заранее осуществить подсоединение компью- тера к домену с помощью проводной сети, либо настроить особую политику для вре- менного подключения гостевых записей (введя в этом случае временные ограничения сессии в политике подключения сервера RADIUS). При краткосрочном подключении к сети клиент получит сертификат и в дальнейшем будет работать в соответствии с постоянной политикой беспроводного доступа.
Безопасность клиента
При подключении компьютера к публичной беспроводной сети следует принимать те же меры безопасности, что и при работе в Интернете. Прежде всего следует обя- зательно защитить подключение брандмауэром (например, встроенный брандмауэр
Windows — опция Защитить подключение к Интернету в свойствах беспровод- ного подключения). Этим вы блокируете доступ к данным, хранимым на локальном компьютере, из внешней сети.
Структура сети
73
Обратите внимание, что в целях безопасности необходимо в обязательном порядке
запретить допущенные разработчиком по умолчанию разрешения доступа к ком- пьютеру извне (осуществляется через настройку брандмауэра отключением исклю- чений, рис. 3.10).
Рис. 3.10. Настройка брандмауэра Windows.
В межсетевом экране Windows XP имеются так называемые исключения, предназначенные для работы в локальной доверенной сети, которые позволяют подключиться к защищенному компьютеру извне. Не нужно забывать, что в публичных сетях допущенные по умолчанию исключения должны быть запрещены (выделено на рисунке)
Настройка транспортных протоколов
Протоколы
Сетевой протокол — это набор программно реализованных правил общения ком- пьютеров, подключенных к сети. Практически это "язык", на котором компьютеры разговаривают друг с другом. В настоящее время стандартом стало использование
только протокола TCP/IP. В предыдущих версиях Windows по умолчанию устанав- ливалось несколько протоколов, обычно это NetBEUI, NWLink IPX/SPX, TCP/IP.
NetBEUI.
Компактный и эффективный протокол для взаимодействия в малых сетях (до
200 компьютеров). Используется в самых разнообразных системах: Microsoft
LAN Manager, Windows 3.1/3.11 for Workgroups/95/98/NT 4.0, IBM PCLAN, LAN
74
Глава 3
Server и т. п. В Windows 2000 и старше применяется новая спецификация этого протокола, которая получила название NetBIOS Frame Protocol (NBFP). NetBEUI
(NBFP) не требует никаких дополнительных настроек. Если нужно быстро соз- дать сеть и вы не чувствуете себя уверенными в понимании дополнительных на- строек, которых, например, требует протокол TCP/IP, то включите протокол
NBFP. Вы получите простую и весьма быстро функционирующую локальную сеть.
NWLink IPX/SPX.
Если в сети есть серверы Novell NetWare (в последних версиях Netware по умол- чанию используется протокол TCP/IP), то этот протокол необходим для органи- зации с ними связи. В противном случае данный протокол следует исключить из числа используемых в системе.
TCP/IP.
Основной рекомендуемый протокол как для больших сетей предприятий и ма- лых офисов, так и для соединения домашних компьютеров в частную сеть.
В отличие от других протоколов требует ряда предварительных настроек.
П
РИМЕЧАНИЕ
Не следует использовать в сети больше служб и протоколов, чем требуется для нор- мальной работы в конкретной ситуации. Во-первых, при этом будут непроизводитель- но использоваться ресурсы компьютера. Во-вторых, любая дополнительная служба и неиспользуемый протокол — это еще один "вход" в систему, который надо защи- щать. Поэтому проще не предоставлять дополнительных возможностей хакерам, чем постоянно следить за обнаруживаемыми в этих службах уязвимостями, устанавливать необходимые обновления и т. п.
Модель OSI
С целью систематизации часто используется модель OSI (Open Systems Inter-
connection model, модель взаимодействия открытых систем), условно разбиваю- щая сетевое взаимодействие на семь уровней (табл. 3.5).
Знание уровней OSI обычно требуется при сдаче тех или иных сертификационных экзаменов, но на практике такое деление потеряло свое значение. Если первые три уровня еще можно достаточно хорошо вычленить при анализе того или иного сете- вого проекта, то классифицировать функциональность оборудования по остальным уровням достаточно сложно. В маркетинговых целях часто указывают в описаниях коммутаторов, что они работают, например, на уровне 4 или 7. На практике это оз- начает только, что при реализации определенного функционала в коммутаторах осуществляется анализ пакета данных по характеристикам, относящимся к соответ- ствующим уровням. Например, это происходит при операциях маршрутизации группового трафика (коммутатор анализирует пакет на принадлежность той или иной программе), приоритезации пакетов и т. п.
Структура сети
75
Таблица 3.5. Модель OSI
Уровень
OSI
Назначение
Примеры
Необходимое
сетевое
оборудование
Application
(7)
Обеспечение служб сетевых приложений
Протоколы SMTP, HTTP,
FTP и т. п.
—
Presentation
(6)
Службы кодирования и пре- образования данных, исполь- зуемых на уровне приложе- ний
Стандарты кодирования изображений (GIF, JPEG,
TIFF и т. п.), аудио и видео (MPEG) и т. п.
—
Session
(5)
Обеспечение коммуникаций между приложениями более высокого уровня (согласова- ние, поддержка, завершение сессий)
Session Control Protocol
(SPC)
Remote Procedure Call
Zone Information Protocol
(AppleTalk)
—
Transport
(4)
Обеспечивает передачу дан- ных от одной точки до другой
TCP (используются соединения)
UDP
(передача данных без создания соединения)
—
Network
(3)
Обеспечивает логическую структуру сети (сетевые ад- реса)
IP
Маршрутизаторы
Маршрутизирующие коммутаторы
Data Link
(2)
Обеспечивает передачу дан- ных по тем или иным физи-
ческим каналам связи
Ethernet
Token Ring
FDDI
Point-to-Point Protocol
Frame Relay
Коммутаторы
Мосты
Physical
(1)
Определяет физические, механические, электрические и другие параметры физиче- ских каналов связи (напряже- ние, частота, максимальные длины участков и т. п.)
LAN категории 3
LAN категории 5
V.35
Концентраторы
Стек протоколов TCP/IP
Когда говорят о TCP/IP, то обычно подразумевают под этим именем множество различных протоколов, использующих в своей основе TCP/IP. Существует большое количество различных стандартов, которые определяют те или иные варианты взаимодействия в сети с использованием протоколов TCP/IP.
Так, есть правила, по которым осуществляется обмен сообщениями между почто- выми серверами, и есть правила, по которым конечные пользователи могут полу- чать в свой ящик письма. Имеются правила для проведения широковещательных видео- и аудиотрансляций, правила для организации телефонных переговоров по
Интернету. Существуют правила, которые определяют поведение участников пере- дачи данных в случае возникновения ошибки и т. п.
76
Глава 3
Логично, что при разработке правил пересылки файла никто не создает новых ме- ханизмов пересылки единичного пакета данных и что протокол пересылки файлов основан на более простом протоколе передачи пакетов.
Поэтому принято говорить, что существуют уровни протокола IP, а на каждом уровне — различные варианты специальных протоколов. Весь этот набор протоко- лов называют стеком протоколов TCP/IP.
Протоколы UPD, TCP, ICMP
Для передачи данных используются протоколы TCP (Transmission Control Protocol, протокол управления передачей данных) и UDP (User Datagram Protocol, протокол пользовательских дейтаграмм). UDP применяется в тех случаях, когда не требуется подтверждения приема (например, DNS-запросы, IP-телефония). Передача данных по протоколу TCP предусматривает наличие подтверждений получения информа- ции. Если передающая сторона не получит в установленные сроки необходимого подтверждения, то данные будут переданы повторно. Поэтому протокол TCP отно- сят к протоколам, предусматривающим соединение (connection oriented), а UDP — нет (connection less).
Протокол Internet Control Message Protocol (ICMP, протокол управляющих сообще- ний Интернета) используется для передачи данных о параметрах сети. Он включает такие типы пакетов, как ping, destination unreachable, TTL exceeded и т. д.
IPv6
Бурное развитие Интернета привело к тому, что параметры, заложенные при созда- нии протоколов IP, стали сдерживать дальнейшее развитие глобальной сети. Так появился протокол IPv6.
К основным особенностям IPv6 относятся:
сохранение неизменными основных действующих принципов построения про- токола IP;
использование более длинных адресов (128-битные);
применение встроенного 64-битного алгоритма шифрования;
учет механизма резервирования пропускной способности протокола (ранее про- блема решалась введением классов обслуживания);
наличие больших возможностей дальнейшего расширения функций: строго опи- сана только часть характеристик, остальные допускают дальнейшее развитие.
Протокол IPv6 устанавливается по умолчанию в новые версии операционных сис- тем Windows и Linux, его поддержка включена в Windows XP (для включения не- обходимо выполнить команду ipv6
install
). Некоторые технологии, например
DirectAccess (рассматривается в главе 5), основаны на возможностях этого прото- кола. Протокол IPv6 принят в качестве основного в некоторых странах (Китай).
В нашей стране пока не создана инфраструктура, поддерживающая данный прото- кол. Поэтому в случае желания его использовать не только внутри сети организа-