Текст книги "Создание, обслуживание и администрирование сетей на 100%"
Автор книги: Александр Ватаманюк
Жанр:
Компьютерное "железо"
сообщить о нарушении
Текущая страница: 5 (всего у книги 18 страниц) [доступный отрывок для чтения: 7 страниц]
Вне зависимости от того, какую среду передачи данных использует в своей работе локальная сеть, существует целый набор технологий и методов обработки сигнала, которые применяются совместно с протоколами передачи данных, чтобы передаваемые данные не просто достигли адресата, но дошли быстро, без ошибок и желательно без необходимости их повторной передачи.
Беспроводная среда, которая всегда была непредсказуемой из-за влияния различных факторов, имеет по сравнению с проводным способом организации сети другой способ обработки сигнала. Так, для уверенной и качественной передачи и обработки данных при различной скорости их пересылки приходится использовать сложные методы и технологии кодирования данных, придающие им большую устойчивость к помехам и, как следствие, уменьшающие скорость их передачи. К тому же, учитывая постоянные физические помехи и наличие большого количества бытовых устройств, создающих радиопомехи, требуется применение целого ряда методов управления модуляцией сигнала и эффективного выбора каналов частот для его передачи.
Далее мы рассмотрим некоторые основные методы, с помощью которых данные превращаются в радиосигнал, передаются адресату и подвергаются обратному декодированию в формат, понятный компьютеру.
DSSS (Direct Sequence Spread Spectrum, расширение спектра методом прямой последовательности) – один из основных методов модуляции сигнала, используемый в беспроводных локальных сетях. Данный метод применяется для преобразования исходного сигнала и передачи его одновременно по нескольким каналам связи определенной ширины.
Принцип его работы достаточно простой и выглядит следующим образом. Диапазон частот, выделенный для беспроводной сети (2400–2483,5 МГц), разбивается на 11 каналов шириной 22 МГц. Далее с помощью метода последовательностей Баркера каждый бит данных превращается в 11 бит, в результате чего получается 11-кратная избыточность. После этого данные передаются параллельно сразу по всем 11 каналам. Такой подход позволяет гарантированно передать и принять весь объем данных даже при слабом уровне сигнала и высоком уровне шумов в каналах. Это не только позволяет экономить энергию, используемую для передачи данных, но и не мешает работе соседних узкополосных устройств, поскольку широкополосная передача данных небольшой мощности воспринимается как обычный шум.
FHSS (Frequency Hopping Spread Spectrum, псевдослучайное изменение рабочей частоты) – еще один метод обработки сигнала с целью расширения его спектра, используемый в беспроводных локальных сетях.
Метод FHSS также разбивает диапазон частот 2400–2483,5 МГц на полосы, но, в отличие от DSSS, эти каналы имеют ширину 1 МГц и их количество составляет 79. На этом их сходство заканчивается, и дальнейшие принципы работы коренным образом отличаются друг от друга.
Согласно методу FHSS данные передаются только по одному каналу, но сам канал с частотой не более 20 мс изменяется псевдослучайным образом. Причем схема изменения канала определяется и согласовывается между передатчиком и приемником заранее, на этапе соединения. Подобный подход позволяет значительно уменьшить вероятность того, что передаче данных что-то может помешать. Даже если в один из моментов передачи данных какое-то другое беспроводное оборудование займет нужный канал, сигнал об этом поступит отправителю, и необходимый фрагмент данных будет отправлен повторно.
По сравнению с DSSS метод FHSS является более помехозащищенным. Причиной является ширина канала, который используется для передачи данных. Так, возможность возникновения помехи для передачи, которая ведется с помощью 79 каналов шириной в 1 МГц, гораздо ниже, чем вероятность появления помехи для передачи, которая использует канал шириной в 22 МГц. Даже если рассмотреть вариант узкополосных помех, то случайное изменение несущей частоты, то есть смена каналов, делает такое влияние некритичным и приводит лишь к незначительному падению скорости передачи данных за счет отсылки дополнительных частей данных.
По этой причине на практике системы FHSS оказываются более устойчивыми к широкополосным помехам и могут продолжать работать (хотя и с пониженной пропускной способностью) в условиях, когда системы DSSS уже не способны нормально воспринимать полезный сигнал.
OFDM (Orthogonal Frequency Division Multiplexing, ортогональное частотное мультиплексирование) – один из методов цифровой модуляции сигнала, позволяющих увеличить скорость передачи данных за счет разумного использования каналов связи и метода передачи данных. Главной причиной появления и применения этого метода обработки сигнала является поиск способов борьбы с широкополосными помехами – основной причиной плохой связи в условиях большого количества крупногабаритных препятствий в виде многоэтажных жилых домов и других зданий.
Принцип работы данного метода основан на разбиении потока данных с помощью инверсного дискретного преобразования Фурье на более мелкие составляющие, которые передаются параллельно, каждый на своей частоте. Это позволяет не только добиться высокой скорости передачи данных, но и свести к минимуму разного рода помехи, особенно в виде отображенного сигнала (сигнал, отбиваемый от препятствий, которые стоят на пути его прямого следования). За счет частично перекрывающихся каналов передаваемый код получается избыточным, что может использоваться для восстановления утерянных частей.
Данные, поступившие получателю, происходят процедуру восстановления целостности, для чего, опять же, используется быстрое дискретное преобразование Фурье, только на этот раз прямое.
PBCC (Packet Binary Convolutional Coding, двоичное пакетное сверточное кодирование) – один из методов кодирования данных, позволяющий увеличить скорость передачи данных за счет сжатия кода.
Принцип работы метода сверточного кодирования заключается в следующем. При прохождении так называемого сверточного кодера последовательность входящих бит изменяется: каждому биту данных ставится в соответствие дополнительный бит или биты информации. За счет этого получается нужная избыточность кода, которая делает данные более устойчивыми к помехам и позволяет расшифровать их, даже если часть сообщения будет утеряна.
Что касается избыточности кода, то этот параметр регулируется в зависимости от потребностей. Так, если каждому биту информации соответствует два бита, то скорость сверточного кодирования составляет 1/2, если каждым двум битам соответствует 3 бита, то скорость кодирования составляет 2/3 и т. д.
Сверточный кодер использует определенную систему запоминающих ячеек, которые хранят состояние предыдущего сигнала. Например, если применить систему из шести запоминающих ячеек, то в результате можно получить данные о шести предыдущих состояниях. Этот факт и позволяет восстанавливать данные, даже если большая часть из них будет повреждена или утеряна.
После того как на выходе получается избыточный код, он подвергается фазовой модуляции с помощью одного из методов, например BPSK (двоичная модуляция), QPSK (квадратичная модуляция), 8-PSK (восьмипозиционная фазовая модуляция) и т. д.
При попадании сигнала в приемник данные проходят обратный процесс преобразования, для чего, как правило, используется декодер Витерби.
ССК (Complementary Code Keying, кодирование с использованием комплементарных кодов) – одна из технологий, при использовании которой данные проходят этап кодирования с целью получения избыточности кода и применения этой избыточности для восстановления (если появится такая необходимость).
Технология ССК достаточно сложна с математической точки зрения, но общий принцип ее работы сводится к следующему: каждый бит передаваемых данных кодируется с помощью восьмибитовой последовательности (слова), что приводит к добавлению дополнительных бит информации.
Эта технология применяется в паре с одним из методов модуляции сигнала, который занимается непосредственно передачей данных.
Для декодирования данных со стороны приемника используется та же схема кодирования, которая применялась для кодирования информации.
CCK-OFDM – гибридная технология кодирования, представляющая собой симбиоз технологии ССК и метода модуляции сигнала OFDM. Такой подход позволяет увеличить скорость передачи данных за счет того, что заголовок кадра, то есть служебная часть данных, кодируется с помощью технологии ССК, а сами данные передаются с использованием кодирования ODFM.
MIMO (Multiple Input, Multiple Output, множественный прием/передача) – технология, с помощью которой прием и передача данных ведется с помощью раздельных антенн, количество которых может быть любым.
Причиной появления данной технологии стала необходимость увеличения радиуса сети и скорости передачи данных. Конечно, повышения дальности и качества связи можно достичь и за счет использования более мощных передатчиков и антенн с увеличенным коэффициентов усиления. Однако существующие стандарты строго ограничивают мощность передатчика, особенно для систем офисного или домашнего применения, поэтому такой подход не является эффективным.
Как уже было сказано, для приема и передачи данных используются разные антенны, при этом существуют алгоритмы и методы обработки сигнала, позволяющие свести к минимуму взаимные наводки в передающем и приемном тракте устройства.
Повышение скорости передачи данных стало возможным также за счет увеличения ширины канала со стандартных 22 до 40 МГц и применения более совершенных методов кодирования.
Шифрование и аутентификацияБезопасность работы в локальной сети, а тем более безопасность ваших личных данных всегда была и будет тем вопросом, которому уделяется повышенное внимание. Даже несмотря на то, что разные данные представляют различную ценность, они в любом случае должны быть защищены от кражи и использования без вашего ведома. Согласитесь, вам навряд ли понравится, если содержимое вашей личной переписки узнает кто-то другой или результатами ваших продолжительных исследований воспользуется ваш конкурент. А еще меньше вам понравится, если в один прекрасный день вы обнаружите, что ваш банковский счет «внезапно» и без вашего ведома опустел и с этим ничего нельзя сделать.
Как и в реальной жизни, компьютерные сети имеют достаточно много механизмов, которые делают работу пользователей более безопасной. Многие даже не подозревают об их существовании, но тем не менее они есть. Методы безопасности (шифрование и кодирование данных, аутентификация пользователей и устройств, ограничение прав на использование ресурсов и т. д.) разработаны с учетом требований и ограничений особенностей среды передачи данных.
В данном разделе книги рассмотрим методы безопасности, которые используются в беспроводных локальных сетях. Почему именно беспроводных? Все очень просто: если в проводных сетях подключение к сети можно проконтролировать, то использование радиоэфира проконтролировать физически невозможно: злоумышленник может сидеть рядом за стенкой или через дорогу в автомобиле и, держа в руках ноутбук или любое другое достаточно «умное» устройство с беспроводным оборудованием, перехватывать данные, транслируемые в сети. А обладая соответствующим программным обеспечением, расшифровать можно любую информацию. Именно поэтому так много внимания уделяется разработке и улучшению методов обеспечения безопасности в беспроводных сетях.
Разработка сетевых методов безопасности всегда ведется параллельно с созданием сетевых стандартов: занимаются этим все те же подкомитеты группы IEEE 802.
За все время существования локальных сетей было разработано, стандартизировано и внедрено в жизнь множество алгоритмов безопасности, которые с каждым разом становились все совершенней. На сегодняшний день при работе беспроводного оборудования используются такие алгоритмы безопасности и аутентификации, как WPA, WPA2, AES, TKIP, RADIUS и др.
WEP (Wired Equivalent Privacy, беспроводный вариант защиты) – один из первых алгоритмов безопасности, обеспечивающий защиту данных, которые передаются по беспроводной локальной сети.
Разработка данного алгоритма началась в средине 90-х годов прошлого века. В его основу был положен популярный потоковый шифр RC4, который применяется в разных системах защиты информации, например в протоколах передачи данных SSL и TLS или для шифрования данных в операционной системе.
Шифр RC4 предусматривает возможность использования ключа переменной длины, вплоть до 256 байт, но WEP использует только два типа ключей – длиной 40 или 104 бита[2]2
На самом деле используются ключи длиной 64 и 128 бит, но 24 бита применяются в качестве вектора инициализации, содержащего данные для расшифровки сообщения.
[Закрыть], в связи с чем различают две версии алгоритма – WEP-40 и WEP-104 соответственно.
Алгоритм WEP позволяет использовать всего два сервиса аутентификации: открытую систему и распределенный ключ. Как показала практика, как первый так и второй варианты создают лишь видимость аутентификации. Так, по проишествии совсем небольшого времени после появления WEP был найден достаточно простой способ взлома этого алгоритма: достаточно иметь любой беспроводный адаптер и соответствующую программу, умеющую перехватывать и анализировать пакеты сети; десять минут работы приложения – и вы получаете нужный вам ключ подключения к локальной сети. А вскоре были найдены еще как минимум два способа взлома сети. Они анализируют вектор инициализации или внедряют ARP-запросы[3]3
Речь идет о протоколе сетевого уровня ARP (Address Resolution Protocol), который лишен какой-либо защиты от взлома. Отсылаемые и получаемые пакеты не контролируются на целостность и достоверность. Протокол предусмотривает получение случайных незатребованных ответов, используя которые злоумышленник и может получить доступ к необходимой информации.
[Закрыть], которые спокойно пропускаются точкой доступа, и получают нужную для взлома информацию.
Пытаясь хоть как-то спасти положение беспроводных сетей, разработчики алгоритма WEP предложили его модификации – WEP2, WEP Plus и Dynamic WEP, – но существенных изменений это не принесло.
Аутентификация с помощью открытой системы, или аутентификация с открытым ключом, – наиболее простая среди существующих систем аналогичного назначения.
В данном случае речь не идет об аутентификации в серьезном смысле этого понятия. Любой беспроводный клиент может подключиться к другому беспроводному клиенту или точке доступа. При этом беспроводный клиент отправляет запрос на подключение, содержащий данные об идентификаторе устройства. Если никаких исключений или других правил подключения, например таблиц MAC-адресов, на точке доступа не настроено, беспроводный клиент получает разрешение на подключение и сразу может начать работу в локальной сети. Если же по какой-либо причине беспроводный клиент «не понравился» объекту, к которому он подключается, запрос на подключение отклоняется.
Аутентификация на основе распределенного ключа, или аутентификация с общим ключом, представляет собой более защищенный вариант аутентификации. Смысл данного способа аутентификации заключается в том, что ключ подключения к беспроводной локальной сети прописывается как в точке доступа, так и в беспроводном адаптере каждого беспроводного клиента, который подключается к сети. Не зная данный ключ, произвести подключение к беспроводной сети не получится, поэтому администратор сети сам выбирает, кому сообщать этот ключ.
Процесс аутентификации с общим ключом состоит из трех этапов.
1. Беспроводный клиент посылает запрос на аутентификацию, указывая свой идентификатор и имеющийся у него ключ.
2. Точка доступа не сравнивает переданный клиентом ключ с ключом, указанным в настройках точки доступа, а отсылает в ответ так называемый «фрейм вызова» – случайный текст в открытом незашифрованном виде.
3. Получив «фрейм вызова», беспроводный клиент шифрует его, используя для этого имеющийся ключ, и отсылает результат обратно. При получении результата точка доступа выполняет противоположные действия, то есть декодирует полученный от клиента результат с помощью имеющегося у нее ключа. Если результаты совпадают, значит, клиент имеет право доступа. В противном случае запрос авторизации отклоняется.
WPA (Wi-Fi Protected Access, защищенный доступ к беспроводной сети) – один из алгоритмов шифрования и аутентификации, являющийся «наследником» WEP и возникший в середине 2003 года.
Алгоритм WEP, служивший для защиты беспроводной сети, оказался слишком слабым для выполнения поставленной перед ним задачи. По этой причине появление его усовершенствованной версии – алгоритма WPA – вызвало целую бурю положительных эмоций у большого количества создателей беспроводных сетей. Это также положительно повлияло на дальнейшее распространение беспроводных сетей.
WPA использует более стойкий алгоритм шифрования AES (Advanced Encryption Standard) и новые совершенные механизмы аутентификации. Компания Wi-Fi Alliance, которая является создателем WPA, дала данному алгоритму характеристику в виде формулы:
WPA = 802.1X + EAP + TKIP + MIC.
Это означает, что WPA работает вместе с сетевым стандартом IEEE 802.1X и алгоритмами AEP, TKIP и MIC.
AEP (Extensible Authentication Protocol) – расширяемый протокол аутентификации, который представляет собой набор из большого количества (порядка 40) методов аутентификации. Среди этих методов находятся такие, как MD5, TLS, TTLS, PEAP, SIM, AKA, LEAP, FAST и др.
В процессе аутентификации используется сервер аутентификации. Наиболее предпочтительным вариантом является применение RADIUS-сервера, содержащего данные о пользователях, которые имеют сертификаты, то есть сведения о тех пользователях, доступ которым к сервисам точки доступа разрешен. Если же возможности использования RADIUS-сервера нет, например в домашних условиях или в небольшом офисе, то часто применяют метод WPA-PSK (Pre-Shared Key), основанный не на системе сертификатов, а на парольном доступе по предварительно оговоренному общему ключу.
TKIP (Temporal Key Integrity Protocol) – механизм динамической генерации ключей шифрования, который позволяет сделать процесс обмена информацией более безопасным и исключает возможность перехвата данных. Данная система дает возможность снабдить временным ключом не только каждого беспроводного клиента, но и каждый пакет данных, который передается по сети. TKIP оперирует 128-битовыми ключами, которые генерируются и рассылаются автоматически.
После успешной аутентификации TKIP, используя алгоритмы 802.1Х, генерирует базовый ключ для начала сеанса связи и отправляет этот ключ точке доступа и клиенту, а также настраивает систему генерирования динамических ключей и управления ими. Каждый новый динамический ключ не только отсылается клиенту и точке доступа, но и участвует в шифровании данных, поэтому подобрать его за короткое время невозможно (существует более 500 млрд вариантов).
MIC (Message Integrity Check) – система проверки целостности пакетов, позволяющая еще надежнее защитить данные от их возможного перехвата. MIC работает как на отправителе, так и на получателе, что позволяет максимально защитить передаваемые данные. Работает система очень просто: каждый пакет данных снабжается восьмибитовым кодом целостности, который шифруется на этапе шифрования данных. При получении пакета с данными код целостности расшифровывается и заново вычисляется. Если результат сравнения положительный, пакет считается верным, если нет – ложным и отбрасывается. Кроме того, параллельно с этим ведется нумерация новых кадров, что также позволяет блокировать подмененные пакеты с данными.
Даже несмотря на все меры безопасности, принимаемые для защиты беспроводной сети с помощью WPA, уже зафиксированы способы обхода защиты и получения доступа к данным. Наиболее «эффективный» из них позволяет сделать это менее чем за одну минуту, что сводит на нет все усилия по защите данных.
Алгоритм WPA2 является дальнейшей модификацией алгоритма WPA. Появление этого алгоритма связано с возникновением в 2004 году нового стандарта безопасности IEEE 802.11i. Все сертифицированные устройства, начиная с 2006 года выпуска, обязательно должны поддерживать этот алгоритм.
WPA2 – наиболее защищенный алгоритм шифрования данных, что делает его просто незаменимым для организации работы беспроводной локальной сети.
Как и WPA, WPA2 используется шифрование с помощью алгоритма AES со 128-битным ключом. Изменения коснулись только «напарника» AES – механизма управления ключами TKIP. Ему на смену пришел метод ССМР (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, протокол шифрования с кодом аутентификации сообщения с режимом сцепления блоков и счетчика).
Метод CCMP использует более сложную систему управления ключами и создания контрольных сумм блоков, за счет чего каждый пакет данных увеличивается в длине на 16 байт, что приводит к увеличению трафика в сети и как следствие – к уменьшению полезной скорости передачи данных. Однако такой подход вполне оправдан: на сегодняшний день не известны способы взлома этого алгоритма, что вселяет надежду и гарантирует дальнейшее распространение беспроводных локальных сетей.
