Текст книги "Домашние и офисные сети под Vista и XP"
Автор книги: Александр Ватаманюк
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 4 (всего у книги 19 страниц) [доступный отрывок для чтения: 7 страниц]
Технология кодирования с использованием комплементарных кодов (Complementary Code Keying, ССК) применяется для кодирования битов данных с целью их сжатия, что позволяет достичь повышения скорости передачи данных.
Изначально данная технология начала использоваться в стандарте IEEE 802.11b, что позволило достичь скорости передачи данных в 5,5 Мбит/с и 11 Мбит/с. При этом с ее помощью удается кодировать несколько битов в один символ. В частности, при скорости передачи данных 5,5 Мбит/с один символ равен 4 битам, а при скорости 11 Мбит/с – 8 битам данных.
Данный способ кодирования описывается достаточно сложными системами математических уравнений, в основе которых лежат комплементарные восьмиразрядные комплексные последовательности.
Технология CCK-OFDM
Технологию гибридного кодирования CCK-OFDM используют при работе оборудования и с обязательными, и с опциональными скоростями передачи данных.
Как уже упоминалось ранее, при передаче сведений используют пакеты данных, имеющих специальную структуру, содержащую как минимум служебный заголовок. При использовании гибридного кодирования CCK-OFDM служебный заголовок пакета строится с помощью ССК-кодирования, а сами данные – с помощью OFDM-кодирования, что позволяет получить запас по скорости с достаточно большим качеством распознавания данных.
Технология QAM
Технологию квадратурной амплитудной модуляции (Quadrature Amplitude Modulation, QAM) применяют при высоких скоростях передачи данных (начиная с 24 Мбит/с). Суть ее в том, что повышение скорости происходит за счет изменения фазы сигнала и изменения его амплитуды. При этом используют модуляции 16-QAM и 64-QAM, позволяющие кодировать 4 бита в одном символе при 16 разных состояниях сигнала в первом случае и 6 битов в одном символе при 64 разных состояниях сигнала во втором.
Обычно модуляцию 16-QAM используют при скорости передачи данных 24 Мбит/с и 36 Мбит/с, а модуляции 64-QAM – при скоростях 48 Мбит/с и 54 Мбит/с.
Технология MIMO
Данная технология появилась в результате работы множества специалистов, пытающихся всеми возможными способами добиться высокой скорости передачи данных, сравнимой со скоростями при использовании популярных проводных стандартов.
Стартовой площадкой считалась скорость 100 Мбит/с, которая могла составить конкуренцию наиболее популярному стандарту Ethernet 802.3 100Base-TX. Как оказалось, теоретическую скорость передачи данных можно заметно увеличить, если выполнять ряд правил. При этом, согласно некоторым данным, может достигаться скорость передачи данных 600 Мбит/с.
Технология MIMO подразумевает использование специального устройства с многоканальной антенной системой, позволяющего принимать и декодировать информацию благодаря наличию нескольких независимых параллельных трактов приемопередачи. При этом существует несколько вариантов модернизации передаваемых пакетов с данными, которые содержат меньше служебной информации и больше полезных данных. Не секрет, что существующие беспроводные стандарты зачастую требуют практически половину трафика сети для передачи сопроводительной служебной информации.
Кроме того, существующий диапазон частот разбивается на каналы шириной в 20 Мгц и 40 Мгц для диапазона 2,4 ГГц и 5 ГГц соответственно. А это, в свою очередь, позволяет организовать больше доступных для передачи данных каналов.
Протоколы шифрования и аутентификации в сетиПочему безопасность работы в сети играет огромную роль? Ответ на этот вопрос достаточно простой: предприятие, на котором функционирует сеть, может в своей работе использовать разные документы и данные, предназначенные только для своих работников. Кроме того, вряд ли кому-то понравится, если его личные документы сможет смотреть любой другой человек. Поэтому вполне логично, что нужно иметь средства безопасности, которые могут защитить данные в сети и саму сеть от вторжения извне.
Беспроводные сети в своей работе используют радиоволны, которые распространяются согласно определенным физическим законам и зависят от специфики передающих антенн в зоне радиуса сети. Контролировать использование радиоволны практически невозможно. Это означает, что любой, у кого есть компьютер или переносной компьютер с радиоадаптером, может подключиться к сети, находясь в радиусе ее действия. Вычислить местоположение такого пользователя практически невозможно, поскольку он может быть как рядом, так и на значительном удалении – достаточно использовать антенну с усилителем.
Именно из-за того, что подключиться к беспроводной сети может любой, от ее организации требуется серьезный уровень безопасности, который достигается существующими стандартами.
Чтобы обеспечить хотя бы минимальный уровень безопасности в беспроводной сети, требуется наличие следующих механизмов:
• механизм аутентификации рабочей станции, с помощью которого можно определить, кто подключается к беспроводной сети и имеет ли он на это право;
• механизм защиты информации посредством ее шифрования с помощью специальных алгоритмов.
Если один из описанных механизмов не используется, то можно сказать, что сеть абсолютно незащищена, что может иметь свои последствия. Как минимум, злоумышленник будет увеличивать трафик (Интернет, файловые ресурсы), как максимум – сможет навредить смежной сети, если имеется ее подключение к выбранной.
Сегодня стандартами предусмотрено несколько механизмов безопасности, позволяющих в той или иной мере защитить беспроводную сеть. Обычно такой механизм содержит в себе и средства аутентификации, и средства шифрования, хотя бывают и исключения.
Однако проблема защиты сети была и остается, поскольку каким бы строгим ни был стандарт безопасности, это не означает, что все оборудование его поддерживает. Часто даже получается так, что, например, точка доступа поддерживает последние алгоритмы безопасности, а сетевая карта одного из компьютеров – нет. В результате вся сеть работает со стандартом, поддерживаемым всеми компьютерами сети.
Протокол безопасности WEP
Протокол безопасности WEP (Wired Equivalent Privacy) – первый протокол безопасности, описанный стандартом IEEE 802.11. Для шифрования данных он использует ключ длиной 40-104 бит. Кроме того, дополнительно применяется шифрование, основанное на алгоритме RC4, которое называется алгоритмом обеспечения целостности данных.
Что касается шифрования для обеспечения целостности данных, то шифрованием его можно назвать с натяжкой, так как для этого процесса используется статическая последовательность длиной 32 бита, присоединяющаяся к каждому пакету данных, увеличивая при этом служебную часть, которая и так слишком большая.
Отдельно стоит упомянуть о процессе аутентификации, поскольку без него защиту передаваемой информации нельзя считать достаточной. Изначально стандартом IEEE 802.11 описаны два варианта аутентификации: аутентификация для систем с открытым ключом и аутентификация с общим ключом.
Аутентификация с открытым ключом. Фактически этот метод аутентификации не предусматривает вообще никаких средств безопасности соединения и передачи данных. Выглядит это следующим образом. Когда двум компьютерам нужно установить связь, отправитель посылает получателю специально сформированный пакет данных, называемый кадром аутентификации. Получатель, получив такой пакет, понимает, что требуется аутентификация с открытыми ключами, и отправляет аналогичный кадр аутентификации. На самом деле эти кадры, естественно, отличаются друг от друга и, по сути, содержат только информацию об отправителе и получателе данных.
Аутентификация с общим ключом. Данный уровень аутентификации подразумевает использование общего ключа секретности, которым владеют только отправитель информации и ее получатель. В этом случае процесс выглядит следующим образом.
Чтобы начать передачу данных, отправителю необходимо «договориться» с получателем, для чего он отсылает адресату кадр аутентификации, содержащий информацию об отправителе и тип ключа шифрования. Получив кадр аутентификации, получатель в ответ отсылает пробный текст, зашифрованный с помощью указанного типа ключа, в качестве которого используется 128-битный ключ алгоритма шифрования WEP. Получив пробный зашифрованный текст, отправитель пытается его расшифровать с помощью договоренного ключа шифрования. Если результат расшифровки совпадает с текстом (используется контрольная сумма зашифрованного и расшифрованного сообщения), то отправитель посылает получателю сообщение об успехе аутентификации. Только после этого передают данные с использованием указанного ключа шифрования.
Вроде бы все выглядит достаточно просто и эффективно. На самом же деле практическое использование метода шифрования WEP показало, что алгоритм шифрования имеет явные прорехи безопасности, которые нельзя скрыть даже с помощью длинного ключа шифрования. Как выяснилось (опять же благодаря сторонним тестировщикам и хакерам), проанализировав достаточно большой объем трафика сети (3–7 млн пакетов), можно вычислить ключ шифрования. Не спасает даже 104-битный ключ шифрования.
Конечно, это не означает, что протокол безопасности WEP не годится совсем. Для небольших беспроводных сетей (несколько компьютеров) его защиты вполне достаточно, поскольку трафик такой сети сравнительно невелик и для его анализа и взлома ключа шифрования нужно потратить значительно больше времени.
Что же касается больших развернутых беспроводных сетей, то использование протокола WEP небезопасно и крайне не рекомендуется. Также стоит учитывать, что в Интернете можно найти множество специализированных утилит, позволяющих взломать защиту WEP-протокола и создать доступ к беспроводной сети. Именно поэтому для обеспечения нужного уровня безопасности лучше использовать более современные протоколы шифрования, в частности протокол безопасности WPA.
Конечно, можно использовать ключи шифрования максимальной длины, но не стоит забывать, что это чревато уменьшением скорости передачи данных за счет увеличения избыточности передаваемых сведений, что уменьшает объем полезной информации.
Другим выходом из описанной ситуации можно считать использование направленных антенн передачи сигнала. В некоторых случаях это хороший способ, но в условиях домашних беспроводных сетей он не применим практически.
Протокол безопасности WPA
Протокол безопасности WPA пришел на смену протоколу безопасности WPE в силу понятных причин, главная из которых – практическая незащищенность WPE, которая сдерживала развитие и распространение беспроводных сетей. Однако с появлением протокола WPA все стало на свои места.
WPA (Wi-Fi Protected Access) был стандартизирован в 2003 году и сразу стал востребован. Главным его отличием от протокола WPE можно считать наличие динамической генерации ключей шифрования, что позволило шифровать каждый отправляемый пакет собственным ключом шифрования. Кроме того, каждое сетевое устройство в сети снабжается собственным дополнительным ключом, который опять же меняется через определенный промежуток времени.
Аутентификация происходит с применением протокола аутентификации ЕАР (Extensible Authentication Protocol) через службу (сервер) дистанционной аутентификации RADIUS (Remote Authentication Dial-In User Service) или предварительно согласованный общий ключ. При этом аутентификация подразумевает вход пользователя с помощью логина и пароля, которые проверяются на сервере аутентификации RADIUS.
Для шифрования данных протокол использует модернизированный алгоритм шифрования RC4, основанный на протоколе краткосрочной целостности ключей TKIP (Temporal Key Integrity Protocol), что позволяет не только повысить уровень защищенности информации, но и сохранить обратную совместимость с WEP.
Шифрование базируется на использовании случайного вектора инициализации IV (Initialization Vector) и WEP-ключа, которые складываются и в дальнейшем используются для шифрования пакетов. Результатом такого сложения может быть огромное количество разных ключей, что позволяет добиться практически стопроцентной защиты данных.
Также протокол безопасности WPA поддерживает усовершенствованный стандарт шифрования AES (Advanced Encryption Standard), использующий еще более защищенный алгоритм шифрования, который намного эффективнее алгоритма RC4. Однако за это приходится платить повышенным трафиком сети и соответственно уменьшением ее пропускной способности.
Сегодня активно используется версия протокола WPA2, которая предоставляет еще больше возможностей в защите среды.
Правила и условия использования беспроводных сетейПримечание
Для использования протокола безопасности WPA необходимо, чтобы все устройства, подключенные к сети, поддерживали его, иначе будет использован стандартный протокол безопасности WPE.
При планировании беспроводной сети стоит помнить, что использование беспроводных сетей – контролируемый участок со стороны государственных служб, а это означает, что необходимо знать правила ее использования и быть готовым к тому, что придется оформлять сеть по всем правилам.
Правовые вопросы
Изначально сложилось так, что государство контролирует использование радиоэфира. По-другому и быть не может, так как радиоэфир используется не только для локальных сетей, но и для передачи другой важной информации. В частности, эфир используется в военных целях, для средств общения с воздушным транспортом, для организации общения радиослужб и т. д. В связи с этим должны существовать правила, которые описывают использование радиоэфира.
Таким образом, существует специальная государственная комиссия по радиочастотам (ГКРЧ), контролирующая использование радиоэфира. Именно эта комиссия является автором некоторых положений и инструкций, которые должны соблюдаться организациями, использующими радиоэфир в своих целях.
Чтобы не углубляться в правовые дебри, можно сказать следующее. Если вы планируете использовать беспроводную сеть вне офиса, то придется получить на это лицензию. На внутриофисные сети лицензия не требуется, за исключением тех случаев, когда функционирование сети может мешать работе любой радиослужбы, находящейся в зоне действия вашей сети.
Если вы планируете организовать масштабную беспроводную сеть, то обязательно проконсультируйтесь по этому вопросу с соответствующими органами.
Условия использования режима Ad-Hoc
Вариант построения беспроводной сети Ad-Нос – самый простой по построению из двух существующих вариантов. Очень часто его используют, когда необходимо быстро соединить небольшое количество (два-пять) рядом расположенных компьютеров, намереваясь создать мобильную и быстро модернизируемую сеть. Кроме того, данный вариант незаменим, когда необходимо быстро и с минимальными усилиями передать данные между двумя компьютерами.
Главный недостаток такого варианта построения сети – ее малый радиус и низкая помехозащищенность, что накладывает свои ограничения на расположение компьютеров.
Рассмотрим, какие условия при построении беспроводной сети в режиме Ad-Hoc должны выполняться и какие для этого необходимы устройства и материалы.
Прямая видимость между подключаемыми компьютерами. При подключении в режиме Ad-Hoc очень важным и желательным фактором, влияющим на скорость работы беспроводной сети, является прямая видимость между подключаемыми компьютерами. Это связано с тем, что мощность передатчиков беспроводных адаптеров несколько ниже, чем, например, у точек доступа. Получается, что радиус действия такой сети сокращается примерно вдвое по сравнению с радиусом сети, построенной с применением инфраструктурного режима, то есть при наличии точки (точек) доступа.
Для увеличения радиуса действия сети практически единственным выходом является применение более мощных антенн, но для этого нужно, чтобы все адаптеры поддерживали сменные антенны.
Если между компьютерами существуют преграды, например стены офиса, то радиус сети резко сокращается. При этом также может наблюдаться значительное снижение скорости вплоть до минимальной.
Стандарт беспроводных адаптеров. Как известно, от стандарта, в котором работают сетевые адаптеры, зависит скорость передачи данных в сети. Кроме того, если на одном из компьютеров будет установлено устройство другого стандарта, имеющего более низкую скорость передачи данных, то и скорость работы сети в целом будет равняться скорости этого адаптера. Поэтому использование адаптеров единого стандарта – неплохая стратегия.
Если условия использования адаптеров с одинаковым беспроводным стандартом работы трудно выполнимы, то очень желательно не использовать адаптеры со скоростью передачи данных менее 11 Мбит/с (стандарт IEEE 802.11b). Наиболее эффективно в этом случае использовать адаптеры со стандартами IEEE 802.11b+ и IEEE 802.11g, что позволит достичь теоретической скорости передачи данных минимум 22 Мбит/с. Также вполне можно использовать оборудование стандарта IEEE 802.11n. Несмотря на его дороговизну и технические особенности, есть хороший шанс получить очень быструю сеть.
Производитель оборудования. Для построения беспроводной сети в режиме Ad-Hoc можно использовать любые беспроводные адаптеры, доступные в продаже: USB-адаптеры, РСI-адаптеры, PC Card-адаптеры и другие. Все зависит от того, какие компьютеры будут подключены к сети и какой из способов подключения беспроводного адаптера им подходит или выгоден им больше всего.
Однако если нужно, чтобы сеть работала максимально быстро и устойчиво, то следует использовать адаптеры одного производителя, например D-Link, 3Com или других. Кроме всего прочего, это позволит использовать некоторые фирменные возможности, зачастую имеющиеся в адаптерах, например повышенную скорость передачи данных (108 Мбит/с, 125 Мбит/с и т. д.). Таким образом, прежде чем покупать оборудование, нужно обязательно почитать отзывы о нем и узнать его технические характеристики, зайдя на веб-сайт производителя. Кроме того, очень полезно бывает почитать отчеты о тестировании выбранных устройств, которые часто проводят разного рода тестовые лаборатории.
Количество подключенных компьютеров. Количество подключенных к сети компьютеров всегда играло большую роль независимо от типа сети: проводной или беспроводной. Связано это прежде всего с особенностями обмена информацией между компьютерами. Особенно важно это для беспроводных сетей, и особенно при использовании режима Ad-Нос.
Когда один пользователь хочет передать другому файл, обмен данными с остальными компьютерами очень сильно тормозится, что приводит к задержкам в обмене данных. Теперь представьте себе, что несколько пользователей одновременно хотят обменяться файлами или скачать данные с одного компьютера – пропускная способность сети падает практически до нуля.
Поэтому при планировании будущей сети имейте в виду: чтобы сеть в режиме Ad-Hoc функционировала без больших проблем, ограничивайте количество подключений до двух-пяти. Если количество подключаемых компьютеров превышает указанное число, то более выгодным решением в этой ситуации будет использование точки доступа и перехода на режим инфраструктуры.
Условия использования режима инфраструктуры
Режим инфраструктуры подходит, когда к сети необходимо подключить достаточно большое количество пользователей. Кроме того, именно этот режим используется, когда необходимо соединить разные сегменты сети или вообще другую сеть.
При использовании точки доступа количество подключенных компьютеров может доходить до 253. Конечно, совсем не обязательно расширять сеть до такого состояния, поскольку это приведет к полному ее упадку.
Рассмотрим, что необходимо для создания сети в режиме инфраструктуры и какие условия должны при этом выполняться.
Использование точки доступа. Точка доступа – одно из главных устройств в беспроводной сети, от расположения которого зависит очень многое. Не стоит забывать, что точка доступа является связующим звеном между компьютерами, которые зачастую располагаются в самых невероятных местах. Подобным местам неведомы и неинтересны такие понятия, как помехи, гром и молнии, создаваемые природой, статическое электричество, вызываемое особенностями русских электропроводок, и т. д.
Рассмотрим все по порядку.
• Расположение точки доступа. Имея более мощный передатчик, чем беспроводной адаптер, точка доступа позволяет создавать связь на более длинных дистанциях и с большей «силой».
Однако это совсем не означает, что ей «по зубам» любые препятствия в виде стен, потолков, деревьев, домов и т. д. Любое из перечисленных препятствий создает помехи распространению радиоволн и снижает радиус действия сети в несколько раз. Поэтому при размещении точки доступа следует учитывать все препятствия, которые могут стоять между точкой доступа и подключенными к ней компьютерами.
Если точка доступа используется внутри офиса или дома, то нужно постараться разместить ее приблизительно посредине между компьютерами и с таким расчетом, чтобы достигалось по возможности максимальное количество компьютеров в прямой видимости, что позволит работать им в сети с максимальной скоростью и минимальными помехами.
Если точка доступа используется вне помещения, то ее расположение должно обеспечивать прямую видимость с наиболее удаленными объектами сети.
• Защита от погодных явлений. Погодные явления являются критичным фактором, когда антенна точки доступа или сама точка находится на открытом воздухе, что делает ее особо уязвимой. В этом случае точка доступа обязательно должна быть оборудована механизмом грозозащиты, что спасет ее «внутренности» от выхода из строя в момент грозы, когда в воздухе накапливается множество статической энергии, способной попасть через антенну внутрь устройства и повредить электронные схемы. Именно поэтому при планировании сети следует позаботиться о том, чтобы все наружные точки доступа или те из них, антенны которых находятся вне здания, обладали подобным защитным механизмом.
• Защита от статического электричества. Любое электронное устройство, питаемое от сети переменного напряжения, должно быть заземлено. Это правило достаточно серьезное, и оно должно выполняться любыми способами. Если этого не делать, может случиться, что оборудование повредится или полностью выйдет из строя. Не доводите свое оборудование до такого состояния!
Тип точки доступа. Точка доступа обязательна, если вы собираетесь использовать инфраструктурный режим сети, поэтому отнеситесь внимательно к ее выбору.
Использовать точку доступа можно любую, благо их моделей существует достаточно много. Каждая из точек доступа способна организовать работу беспроводной сети, однако не все способны делать это на высшем уровне.
Выбирая точку доступа, не поскупитесь и приобретите ту из них, которая имеет некоторые оригинальные функции или дополнительные меры безопасности. Обязательно выбирайте точку доступа, у которой скорость передачи данных будет максимально возможной на текущий момент, поскольку время идет, а технологии на месте не стоят. Может случиться, что вскоре появится новый стандарт, позволяющий передавать данные с намного более высокой скоростью, чем та, которой может обладать ваша «отсталая» точка доступа. Выбирая точку доступа с максимальным быстродействием, вы тем самым будете идти в ногу со временем, обеспечивая при этом максимальную пропускную способность вашей беспроводной сети.
При выборе точки доступа обязательно узнайте, какими сетевыми функциями она обладает. Лучшим решением будет выбор точки доступа, которая может работать как маршрутизатор или мост и иметь функции брандмауэра. Рано или поздно это обязательно пригодится.
Кроме того, совсем нелишне будет, если точка доступа будет обладать несколькими Ethernet-портами, что позволит подключить большее количество проводных пользователей к существующей беспроводной сети.
Оборудование для беспроводных сетей
Мост – устройство, которое может пригодиться далеко не всем. Так, небольшой беспроводной сети, состоящей из десятка компьютеров, мост совершенно не нужен. Но если имеется в наличии крупная сеть, причем разных топологий и технологий, то мост – незаменимая вещь.
Главная задача беспроводного моста – соединение сегментов проводной и беспроводной сети в единую комбинированную сеть. Исходя из этого при выборе модели моста необходимо ориентироваться на его радиус действия, так как расстояние между этими сегментами может быть достаточно большим. Обязательно нужно проследить, чтобы мост соответствовал максимально возможным протоколам безопасности и шифрования Дс1ННЫХ. 1 с1КЖС не следует забывать о соблюдении единого стандарта или стандарта с максимальной скоростью передачи данных. Если вы решите использовать «отсталый» стандарт, то тем самым вы собственными руками создадите узкое «горло» в будущей сети.
Маршрутизатор для небольшой беспроводной сети – достаточно бесполезное устройство, но для крупной офисной сети он крайне необходим.
Помимо маршрутизации пакетов между разными сегментами беспроводной сети, маршрутизатор может использоваться для разных целей. С его помощью можно продлевать сеть, использовать его для предоставления общего Интернета и многого другого.
Поскольку маршрутизатор в случае его использования выполняет важную работу, то и функциями он должен обладать неординарными. Поэтому, выбирая маршрутизатор, следует остановиться на том, который, кроме последней версии протоколов безопасности, имеет встроенный брандмауэр, списки ограничений и другие полезные функции, которые могут пригодиться при работе в Интернете и не только.
Мощность передатчиков сетевых устройств играет важную роль и особенно важна для большого радиуса действия сети. Однако существуют жесткие правила, регламентирующие эту самую мощность. Если использовать более мощные передатчики, то это может вызвать сильные помехи в рядом находящихся радиоустройствах, особенно тех, которые работают в том же диапазоне радиочастот, что и беспроводная сеть.
Если все-таки мощность передатчиков должна быть увеличена, то об этом обязательно должны знать органы контроля за использованием частот. Соответственно должны быть оформлены необходимые документы.
Производитель беспроводных адаптеров. Беспроводные адаптеры, которые планируется использовать при подключении компьютеров, могут быть разных производителей и разных стандартов. Однако очень желательно все-таки работать с оборудованием одного стандарта, что позволит использовать все функции и скорость сети по максимуму. Не следует забывать, что, при использовании хотя бы одного сетевого адаптера, например стандарта IEEE 802.11b, скорость сети тем самым ограничивается показателем 11 Мбит/с (или 22 Мбит/с), даже если сеть способна функционировать на скорости 108 Мбит/с и выше.
Использование адаптеров одного производителя гарантирует также их полную совместимость со всем оборудованием в сети.
Использование внешней антенны. Если радиус сети слишком мал и его необходимо увеличить, то для этого можно использовать всенаправленную антенну. Как и в случае с повышением мощности передатчика, для использования подобного рода антенн также может потребоваться разрешение соответствующих органов, так как внешняя антенна всегда более мощная в плане приема/передачи данных даже при одинаковой мощности передатчика.
Когда необходимо просто соединить два сегмента сети, наиболее выгодным будет использование узконаправленной антенны – это не только увеличит дальность связи, но и дополнительно обезопасит сеть от проникновения извне.
