Техника безопасности в беспроводном мире

Елена Полонская, Издательский Дом "КОМИЗДАТ"

Сети Wi-Fi — это, конечно, здорово, но не всегда надежно. Вот несколько соображений о том, зачем и как можно повысить безопасность беспроводной сети.

Типичная ситуация: устанавливаем беспроводную сеть, включаем… и через пару недель у беспроводного шлюза начинаются странные "припадки": через каких-то пять минут он разрывает соединение. Для того чтобы диагностировать  проблему, устанавливаем, например, утилиту NetStumbler, и оно с радостью показывает нам аж восемь других шлюзов, использующих тот же Wi-Fi-канал, что и наш. Пытаемся сменить канал… результат нулевой. Наконец, активируем службу Wireless Zero Configuration, входящую в состав Windows XP, (оказывается, беспроводной адаптер ее по умолчанию отключил) и — ура, заработало!

В других ситуациях многие пользователи Windows XP и эксперты по сетям Wi-Fi советуют, наоборот, полностью отключить Wireless Zero Configuration — такова сумасшедшая, непредсказуемая природа беспроводных сетей: то, что срабатывает в одних случаях, бесполезно в других.

Скоростной беспроводной доступ к компьютерам и другим устройствам нельзя игнорировать, особенно в тех местностях, где другие средства связи мало развиты. Однако при этом необходимо учитывать и сопутствующие ему проблемы.

Кроме конфликтов с программным обеспечением Windows, оборудование для беспроводных сетей страдает и от других неполадок, в число которых входят "мертвые зоны", отсутствие соединения из-за ошибок Windows, суженный диапазон Wi-Fi, помехи и нарушение безопасности.

"Черные дыры"

Согласно тестам Wi-Fi Alliance, беспроводной адаптер персонального компьютера способен устанавливать соединение со шлюзом на расстоянии 40–60 футов (12–18 м) в домашних условиях и 60–80 футов (18–24 м) в офисе. Это меньше, чем радиус в 150 футов (45,7 м), теоретически предсказанный некотрыми производителями устройств Wi-Fi.

Главная причина этого — помехи, вызванные внутренними перегородками, полами и этими мешками с водой, которые слоняются по коридорам и поглощают сигнал, — нами, человеками. С этим ничего поделать нельзя. Однако антенны на шлюзах только добавляют проблем, так как даже у самой лучшей из них область распространения сигнала не имеет форму идеальной сферы.

Что делать в этой ситуации? Найти более удачное место для шлюза или купить еще несколько антенн. Однако в любом случае, прежде чем действовать, необходимо измерить силу сигнала Wi-Fi в "мертвой зоне" — том месте, где вы хотите использовать компьютер, но не можете этого сделать. Например, может оказаться, что на одном конце большого стола сигнала практически нет, зато на другом конце прием отличный. Только не вздумайте поворачивать стол… может быть, лучше передвинуть стул?

Для измерения силы сигнала можно воспользоваться простейшими программными средствами, поставляемыми в комплекте со многими беспроводными адаптерами и некоторыми ноутбуками. Однако для серьезной работы по устранению проблем этого будет маловато. С помощью уже упоминавшейся здесь бесплатной утилиты NetStumbler можно временно превратить ноутбук или КПК c адаптером Wi-Fi в удобный анализатор беспроводных сигналов, сканирующий частоты, используемые Wi-Fi-устройствами. Программа составляет список всех обнаруженных поблизости устройств с беспроводным подключением, указывая силу сигнала каждого из них.

Впрочем, NetStumbler — несколько беспокойная программа. Она поддерживается не всеми моделями адаптеров Wi-Fi, и ее не так-то просто освоить. Альтернативой может послужить устройство наподобие Smart ID WFS-1 WiFi Detector. Подобно NetStumbler, WFS-1 фиксирует сигналы в диапазоне 2,4 ГГц и измеряет их интенсивность. WFS-1 представляет собой портативный датчик размером с колоду карт, с двумя светодиодами, по которым можно определить силу сигнала после нажатия на кнопку. Устройство является направленным, поэтому, в отличие от NetStumbler, распознает источники сигнала, не относящиеся к стандарту Wi-Fi, такие как микроволновые печи и радиотелефоны.

Обнаружив основные источники помех, можно поискать более удачное место для шлюза — разумеется, если удастся таковое найти. В идеале, оно должно находиться как можно ближе к "мертвой зоне". Особое внимание стоит обратить на пространственную ориентацию шлюза. Даже так называемые всенаправленные антенны на самом деле имеют "преобладающие" направления, в результате чего шлюз, повешенный на стену, может посылать сигнал главным образом в пол или потолок. При каждом перемещении шлюза или антенны необходимо перепроверять интенсивность сигнала в той точке, где он должен приниматься.

>Если перемещение или изменение пространственной ориентации шлюза и антенн не решает проблему, можно попробовать сменить антенну. К некоторым шлюзам, таким как Apple AirPort Extreme Base Station, предлагается две антенны. Некоторые компании производят антенны высокого качества, совместимые с любыми шлюзами.

Как мы с Windows искали Wi-Fi...

Понятие zero configuration — "нулевая конфигурация" — подразумевает максимально простую настройку. Но в случае со службой Windows XP Wireless Zero Configuration (WZC) это зачастую не так.

Проблема вот в чем: время от времени при включении Windows XP не соединяется с сетью. Наиболее распространенным симптомом является недоступная (серая) кнопка Connect (Соединить) в диалоговом окне сетевых подключений. Ситуация усугубляется еще тем, что адаптер как ни в чем не бывало мигает лампочками, а в окне Device Manager (Менеджер устройств) отображается так, как будто установлен совершенно правильно.

В некоторых конфигурациях эта ошибка возникает при каждой перезагрузке, в других — с пятого раза на шестой. Иногда она долго не проявляется, но в любам случае, когда возникает, доставляет массу хлопот.

На дискуссионных форумах высказывается мнение, что эта ошибка иногда — но не всегда — может быть исправлена после установки Microsoft Wireless Update Rollup Package. Этот пакет вышел еще в октябре 2003 г., и устанавливался через функцию Windows Update. Для того чтобы проверить, есть ли он на вашем компьютере, выберите команду StartWindows Update (ПускОбновление Windows), выберите на левой панели режим View Installation History и поищите запись Update for Microsoft Windows XP (KB826942).

Если патч установлен, а проблема подключения осталась, попробуйте остановить и снова запустить службу Wireless Zero Configuration, отчего Windows XP переустановит драйверы сетевого адаптера.

Для того чтобы это сделать, нужно открыть консоль Services (Службы). Для этого щелкните правой кнопкой мыши на пиктограмме My Computer (Мой компьютер), расположенной на рабочем столе, и выберите команду Manage (Управление). На левой панели консоли управления откройте список Services and Applications (Службы и приложения) и выберите из него элемент Services (Службы). Просмотрите список на правой панели и дважды щелкните на элементе Wireless Zero Configuration.

Если служба не была отключена раньше, в диалоговом окне будет указан статус службы Started (Запущена), а кнопка Stop (Стоп) будет активной. Щелкните на ней, немножко подождите, пока станет активной кнопка Start (Пуск), и щелкните на ней. Если соединение восстановится, — рано радоваться: скорее всего, проблема будет повторяться, и вам придется каждый раз снова выполнять эту операцию.

Если после перезапуска службы все остается по-старому, — похоже, пора обновлять прошивку адаптера Wi-Fi ноутбука или драйверы Wi-Fi, чтобы их версия поддерживалась Windows XP. В самом худшем случае, когда WZC чаще сбоит, чем работает, отключите эту службу и используйте для настройки соединения с локальной сетью программное обеспечение, поставляемое с адаптером.

Расширение границ сети

Есть несколько способов расширить диапазон беспроводной сети за пределы досягаемости одного шлюза. Дешевле и надежнее всего будет установить несколько шлюзов Wi-Fi. Точки доступа состоят всего лишь из радиоприемника Wi-Fi, поэтому их проще настраивать, и с ними меньше проблем, однако они часто стоят дороже, чем шлюз.

Если есть возможность проложить провода в стенах или под полом, можно объединить несколько шлюзов локальной сетью Ethernet, создав своеобразный укрупненный узел связи. Можно также воспользоваться беспроводной системой распространения (Wireless Distribution System, WDS), позволяющей создать беспроводную "цепочку" из нескольких шлюзов Wi-Fi.

WDS еще называют беспроводным мостом, так как трафик каждого шлюза передается (по "мосту") другим шлюзам. Однако поскольку WDS не является стандартом, то эта технология поддерживается не всеми моделями шлюзов, и по-разному работает на устройствах различных производителей. Для использования WDS лучше всего приобрести все шлюзы одной фирмы. В частности, хорошими примерами WDS-совместимых шлюзов, полностью совместимых с Windows, являются Apple AirPort Extreme Base Station и Buffalo WBR-G54.

Независимо от того, используются ли шлюзы или точки доступа, неправильная настройка WDS-моста чревата многими проблемами. Типичная ситуация — когда три шлюза передают  информацию по кругу, и она так и не попадает ни в интернет, ни пользователю.

Обычно один из шлюзов беспроводной сети ("интеллектуальный") обеспечивает мостовую связь между обычной, кабельной сетью и беспроводными клиентами, играет роль межсетевого экрана, а иногда назначает IP-адреса компьютерам, подключенным к сети по протоколу DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста). Этот шлюз играет роль барьера и связующего звена между внутренней сетью и сетью Интернет.

Остальные ("немые") шлюзы выполняют единственную функцию: обеспечивают беспроводной доступ. (Активация сервера DHCP на нескольких шлюзах — верный путь к проблемам. DHCP-сервер должен работать только на одном шлюзе, подключенном непосредственно к интернету.)

Еще один способ расширить диапазон беспроводной сети заключается в использовании адаптеров HomePlug, позволяющего передавать данные по кабелям электропроводки. Таким образом можно соединить два достаточно удаленных шлюза, если только они находятся в одном здании. Для этого сетевой кабель одного шлюза подключают адаптеру HomePlug, который включается в ближайшую электрическую розетку. В другой комнате монтируется аналогичная система, состоящая из второго адаптера HomePlug и шлюза. Если вам удастся приобрести адаптер HomePlug-Wi-Fi, то необходимость во втором шлюзе отпадет.

Главным ограничением адаптеров HomePlug является невозможность работы в изолированных цепях, а именно, в тех случаях, когда розетка соединена с выключателем.

Перекрытие сетей

Одна и та же сеть, доблестно проработав целый день, назавтра начинает барахлить… проблема может быть в том, что ваши хорошие соседи используют плохую технологию Wi-Fi.

Любое оборудование, работающее в диапазоне 2,4 ГГц (в том числе и устройства Wi-Fi), сконструировано так, чтобы создавать минимальные помехи для других устройств этого же диапазона, таких как радиотелефоны. Устройствам Wi-Fi приходится отличать полезные сигналы от радиомусора. Однако одни модели справляются с этой задачей лучше, а другие — хуже.

Например, компания Broadcom, производитель микросхем для беспроводной связи, опубликовала в прошлом году результаты тестов, согласно которым микросхемы ее конкурента, компании Atheros, создают помехи для других беспроводных устройств. Broadcom поставляет микросхемы стандарта 802.11g для шлюзов Apple, Belkin, Buffalo, Linksys и Motorola, а также для ноутбуков Dell, EMashines и Fujitsu. Технология Atheros используется в шлюзах и других устройствах D-Link и NetGear.

Причиной проблемы, на которую ссылается Broadcom, является режим Turbo, доступный для шлюзов Atheros, в котором удваивается скорость обмена данными между устройствами Atheros. Разумеется, Atheros отрицает наличие помех от ее устройств. Что же касается независимых инстанций, таких как Wi-Fi Alliance, то там данная проблема в настоящее время изучается.

Поэтому, если в соседней фирме установили оборудование на базе Atheros, и включили режим Turbo, остается только одно — решить вопрос по-хорошему, по-соседски. И наоборот, если вы используете оборудование Atheros, возможно, однажды кто-то постучится в вашу дверь…

В любом случае, помехи можно уменьшить, договорившись с соседями использовать разные каналы. Если же не удается установить источник помех или смена канала не дает желаемого эффекта, остается воспользоваться направленной антенной. Такая антенна, установленная в нужном месте здания и направленная на остальную его часть, позволяет устранить помехи, при этом не создавая проблем соседям.

Повышение безопасности Wi-Fi

Технология Wi-Fi заслужила репутацию незащищенной, когда речь идет об объединении компьютеров в локальную сеть. Большинство устройств Wi-Fi поставляются с отключенными функциями защиты, так что любой владелец ноутбука или PDA с адаптером Wi-Fi может остановиться под вашими окнами и внедриться в сеть.

Первая линия обороны, получившая название WEP (Wired Equivalent Privacy, защищенность кабельной сети), не прошла "проверку на прочность". Однако средства WEP-шифрования встраиваются во все устройства Wi-Fi, и лучше уж пользоваться ими, нежели вообще ничем. Тем не менее, алгоритмы шифрования WEP несовершенны. Их достаточно, чтобы остановить случайного прохожего, но настоящий злоумышленник, имея широко доступные программные средства, взломает WEP-защиту минут за 15, невзирая на загрузку сети.

Для ограничения доступа в сеть можно воспользоваться фильтрацией адресов MAC (Media Access Control, управление доступом к среде) на шлюзе. Эта служба ограничивает адреса с помощью уникального кода, встроенного в каждый адаптер Wi-Fi и Ethernet.

MAC-фильтрация остановит хакера-новичка, но и она не идеальна: поскольку даже при использовании шифрования MAC-адреса передаются открытым текстом, опытный взломщик легко их распознает.

Вместо того чтобы полагаться исключительно на MAC-фильтрацию, лучше использовать ее в сочетании с шифрованием WPA (Wi-Fi Protecting Access, защищенный доступ к Wi-Fi), пришедшем на смену WEP. В WPA были исправлены основные недочеты WEP, и эта технология встроена во все устройства с сертификатом Wi-Fi, выпускаемые начиная с сентября 2003 г. Что же касается старого оборудования стандарта 802.11g, то для многих таких устройств (к сожалению, не для всех), выпущенных в период с 1999 по 2002 гг., доступны обновления встроенного ПО. Более подробные сведения об этом должны быть на сайте производителя.

Прежде чем использовать WPA в Windows XP, иногда требуется загрузить патч — в нем добавлена поддержка операционной системой WPA и еще нескольких новых технологий, необходимых для корректной работы WPA.

Этот патч поддержки WPA можно установить и на ноутбуки, поддерживающие технологию Intel Centrino. Однако, несмотря на выпуск Intel обновленных драйверов, еще не все производители интегрировали эти драйверы в версию Windows XP, устанавливаемую на их ПК. Поэтому более подробную информацию о настройке WPA на данной модели ноутбука следует искать на сайте его производителя. В этом году должен появиться новый адаптер Intel Centrino стандарта 802.11g с полной поддержкой WPA, не требующий загрузки драйверов и обновлений.

WPA предусматривает защиту сети с помощью парольной фразы (длинного пароля — от 8 до 63 символов). Парольная фраза вводится на шлюзе, на странице настройки WPA. После этого тот, кто хочет подключиться к сети, должен указать такую же фразу в параметрах своего адаптера Wi-Fi. Без парольной фразы соединение не происходит.

Для того чтобы ввести парольную фразу WPA в профиль Wireless Network Connections, дважды щелкните на пиктограмме My Network Places (Мои сетевые соединения), а затем — на надписи View Network Connections (Просмотр сетевых соединений), расположенной на левой панели. Щелкните правой кнопкой мыши на сетевом соединении Wi-Fi, выберите команду Properties (Свойства) и дважды щелкните на пиктограмме вашей сети на панели Preferred Networks (Желательные сети), расположенной в нижней части диалогового окна Properties (Свойства). Перейдите на вкладку Association (Соединение) и выберите из списка Network Authentication (Аутентификация сети) команду WPA-PSK. (При подключении к сети предприятия можно выбрать простой режим WPA.) Из списка Data Encryption (Шифрование данных) выберите команду TKIP, дважды введите парольную фразу WPA и щелкните на кнопке OK.

Напоследок отметим одну особенность, связанную с использованием WPA: несмотря на то, что этот стандарт обеспечивает высокую защищенность, в конце 2003 г. было опубликовано исследование, согласно которому парольная фраза короче 20 символов и состоящая исключительно из слов, которые есть в словаре, может быть расшифрована. Вывод прост: используйте длинные парольные фразы, включайте в них цифры и знаки пунктуации.

Когда необходима защищенная сеть

Несмотря на то, что технология Wi-Fi рассчитана на короткие дистанции, ее диапазона достаточно для того, чтобы соседи (или просто пассажиры случайно проехавшего мимо автомобиля) стали и соседями по беспроводной сети.

Некоторые пользователи интернета рассматривают проникновение в незащищенные беспроводные сети как вид спорта (известный под названием wardriving — "боевое вождение"). На некоторых веб-сайтах публикуются карты открытых сетей и данные, предоставленные "игроками", проехавшими мимо на автомобиле с ноутбуком, оборудованным GPS-устройством и программным обеспечением вроде NetStumbler или Kismet

Насколько рискованно работать в незащищенной сети? Как когда. Если никогда не читать почту и не делать электронных платежей, то можно отделаться сравнительно дешево. Максимально возможная неприятность связана с использованием паролей шлюза, предлагаемых по умолчанию. Эти пароли широко известны (есть в документации и опубликованы в интернете), так что любой тинейджер, желающий самоутвердиться, может, попав в зону действия сети, зарегистрироваться в ней и ввести новые пароли, которых вы не знаете. Со всеми вытекающими последствиями… Например, если злоумышленник удалит доступ к DSL, вы потеряете доступ к интернету, а если включит WEP-шифрование, — то и к собственной локальной сети.

На самом деле риск еще больше. Если к сети подключен, например, компьютер с общедоступными файлами, то какой-нибудь несостоявшийся Джеймс Бонд вполне может сделать с этими файлами все, что захочет. Если же он найдет еще и сетевой принтер с беспроводным адаптером, — то наверняка изведет все содержимое лотка на образчики остроумия собственного изготовления… Наконец, таким способом на компьютер способен проникнуть вирус или "троянец", хозяин которого сможет управлять им, находясь где-то поблизости.

Что же делать владельцу Wi-Fi? В первую очередь, активировать систему безопасности. Самое меньшее, — изменить стандартные настройки, такие как SSID и пароли, а также защитить паролем общедоступные диски.

Как закрыть беспроводную "черную дыру"

Есть три способа расширения диапазона беспроводной сети, позволяющие перекрыть "мертвые зоны" или просто увеличить пространство доступа для одного шлюза.

Мост Ethernet: соединение шлюзов Ethernet-кабелем

Беспроводной мост (WDS): между шлюзами устанавливается "радиомост" с передачей радиосигналов

Внешняя антенна: к шлюзу подключается направленная антенна, котрая и доставляет сигнал в "мертвую зону"

Беспроводная "аптечка скорой помощи"

Вот несколько программных и аппаратных средств, позволяющих обнаружить точки доступа к беспроводной сети, найти причины неполадок, определить качество соединения.

• NetStumbler. Бесплатная утилита, позволяющая найти место доступа к беспроводной сети. NetStumbler сканирует все каналы Wi-Fi и составляет список обнаруженных шлюзов и адаптеров беспроводного доступа.
• Boingo Wireless Software. Бесплатная утилита, изначально предназначенная для соединения с провайдером интернета по беспроводному каналу. Может также использоваться для хранения сетевых профилей и ключей шифрования. Те, кто постоянно пользуется несколькими защищенными сетями, может сэкономить время, так как избавится от необходимости каждый раз менять ключи WEP или WPA в Wi-Fi-адаптере.
• JiWire AvantGo. Каталог точек доступа, который можно загрузить и пользоваться им, как справочником.
• Smart ID WFD-1 Wi-Fi Detector. Портативный прибор для измерения интенсивности сигнала в диапазоне Wi-Fi. Облегчает поиск "мертвых зон" в беспроводной сети; пользоваться этим устройством гораздо проще, чем тяжелым ноутбуком, у которого к тому же садятся аккумуляторы.
• Cantenna Wireless Network Anenna. Выглядит как металлический цилиндр, действует как остро направленная антенна. Существенно расширяет возможности подключения к беспроводной сети. В комплект входят винты для подключения Cantenna к беспроводному шлюзу или к сетевому адаптеру, кабель длиной 45 см и маленький треножник для установки на столе.