Пролог: Базовые способы защиты беспроводной сети.

У одного из клиентов провайдера пропал Интернет, ну и как положено инженер отправился разбираться. Интернет у клиента он действительно не нашел, зато со своего ноутбука, оборудованного встроенным беспроводным адаптером неожиданно подключился к Wi-Fi сети кого то из соседей. И в течении нескольких часов свободно выходил через нее в Интернет. К сожалению это явление достаточно распространенное.. Как же избежать этого?

Итак, у Вас появилась беспроводная точка доступа. Неважно даже какого производителя, в статье мы рассмотрим общие для всех, так сказать базовые принципы защиты небольшой Wi-Fi сети.

Для начала, начнем с основных понятий и терминов, с которыми Вам придется столкнуться в ходе настройки оборудования. Они будут появляться в различных пунктах меню точки доступа и беспроводного адаптера. Желательно все же представлять, о чем идет речь.

Основные понятия.

SSID – это идентификатор беспроводной сети. Ее имя, так сказать. Некоторые точки доступа имеют уже заданный по умолчанию SSID. На точке доступа можно включить, либо выключить вещание SSID. При включенном вещании, идет как бы анонс сети. Если с компьютера, оборудованного беспроводным адаптером, запустить поиск сети, то такая сеть, скорее всего, появится в списке доступных сетей.

Криптография.

802.11 WEP (Wired Equivalent Privacy) – это дополнительный 802.11-й криптографический и идентификационный стандарт, реализованный на MAC-уровне большинством производителей Wi-Fi карт и точек доступа.

В 802.11 WEP используется симметричная криптография, т.е. тот же самый ключ применяется для шифрации и дешифрации содержимого пакетов, передаваемых беспроводными точками доступа и адаптерами. В основе WEP лежит криптографический алгоритм RC4. Не вдаваясь во все детали работы WEB, отмечу лишь слабую его криптостойкость. Это связано с тем, что ключ шифрования статический и, как правило, редко меняется сетевыми администраторами. Кроме того, генератор псевдослучайных чисел, используемый при шифровании, может генерировать не очень случайные последовательности ;). Перехватив достаточное количество пакетов, можно относительно легко вскрыть ключ шифрования.

Но для бытового применения WEP вполне подходит. В практическом плане, нас будет интересовать, в первую очередь, ключ шифрования и его длинна.

WPA (Wi-Fi Protocol Access) - по сути, этот стандарт, улучшенный WEP, реализующий криптографию с динамическими ключами и обоюдную идентификацию. Но есть один небольшой недостаток – он не так повсеместно реализован, как WEP. Большинство точек доступа его конечно же поддерживают, чего нельзя сказать о Wi-Fi адаптерах. Итак, если есть возможность, то конечно же лучше воспользоваться WPA.

Идентификация.

802.11 Authentication – это идентификация, как правило, беспроводного адаптера. Если точка доступа идентифицирует беспроводной адаптер, то она пускает его в сеть.

Бывает следующих видов:

«Open System» - эта идентификация означает, что абсолютно любой клиент, имеющий правильный SSID будет авторизован точкой доступа. Очень удобно ;)

«Shared Key» - более безопасная форма идентификации. В этом случае используется общий, известный точке доступа и Wi-Fi клиенту WEP ключ шифрования. «Shared Key» идентификации - это 4-х шаговый процесс, при котором Wi-Fi клиент посылает точке доступа запрос на идентификацию, она отвечает контрольной текстовой строкой. Далее клиент шифрует эту строку WEP ключом и посылает ее обратно. Точка доступа дешифрует эту строку и сравнивает с отправленной ею ранее. Если результат совпадает, то точка доступа идентифицирует этого клиента.

В реале, этот метод только позволяет убедиться, что у клиента есть правильный WEP ключ :).

«Фильтр по MAC адресам». - Этот метод основан на том, что каждая сетевая карта, в том числе и Wi-Fi сетевой адаптер имеют уникальный физический адрес. Например,

Physical Address. . . . . . . . . : 00-19-33-92-9F-73

На точке доступа можно прописать эти адреса клиентов. Процесс достаточно трудоемкий и дающий только примитивную защиту. MAC-адрес не шифруется WEP и передается в открытом виде. Он может быть перехвачен и введен вручную в большинстве драйверов сетевых карт.

Этот метод подходит для домашней сети и небольшого офиса. И то, я бы рекомендовал его только в качестве дополнительной меры.

В данной статье мы пока не будем рассматривать гораздо более надежные и эффективные методы автоматической идентификации и контроля трафика пользователей, основанные на 802.1x стандартах и EAP протоколах. А начнем с самого простого, для того чтобы понять и усвоить основы. ИМХО

Начало работы.

Для начала, требуется подключиться к Вашей точке доступа. В инструкции к ней должно быть все это подробно описано. Как правило, точка доступа имеет по умолчанию адрес Ethernet интерфейса 192.168.1.1, либо 10.1.0.1.

Подключиться к ней можно по Ethernet сети, установив на Вашей сетевой карте адрес из этой подсети, например 192.168.1.2, либо 10.1.0.2.

Большинство точек доступа имеют web-интерфейс. Набрав затем в броузере адрес точки доступа, например http://192.168.1.1, получаем доступ к меню ее настройки. Возможно, Вам еще понадобиться имя пользователя и пароль. Они также описаны в документации к точке доступа, но чаще всего по дефолту: логин - admin пароль - не установлен.

Теперь главное – найти в меню пункт с SSID и обязательно изменить его на Ваш. Или прописать, если он не задан по умолчанию. Затем, следует выключить вещание SSID (broadcasting).

Следует также иметь ввиду, что SSID передается в открытом , незашифрованном виде. SSID может быть перехвачен, даже если на точке доступа выключено его вещание. Запрос клиента на привязку к точке доступа содержит SSID, который можно подсмотреть с помощью Wi-Fi снифера. Да, такие вот пироги :)

Следующим шагом – включить WEP и задать ключ шифрования, с длинной не менее 128 бит. Сам ключ при этом будет представлять собой 26-символьную последовательность.

Некоторые точки доступа, Cisco в частности, по умолчанию имеют выключенный Радио-интерфейс. Его надо включить. Все, Вы в эфире.

Чтобы убедиться, что Ваша беспроводная сеть не видна, можно активировать беспроводной адаптер на Вашем компьютере и задать поиск Wi-Fi сетей. Ваша сеть не должна светиться в списке обнаруженных сетей.

Теперь, аналогичным образом настраиваются беспроводные адаптеры. Там прописывается тот же SSID, включается WEP и задается тот же ключ шифровании. Теперь, запустив поиск сети, мы должны обнаружить и подключиться к нашей сети.

Это способ подойдет для домашней и небольшой офисной сети. Для корпоративных сетей, по возможности, лучше воспользоваться WPA.

Примечание: Рисунок1 - отображает схему подключения малого офиса; Рисунок2 - отображает беспроводную сеть в масштабах города