Компьютерные советы (сборник статей) - [7]

Фильтрация по MAC-адресам

На первой «линии обороны» желательно настроить фильтрацию по MAC-адресам. MAC-адрес — это уникальный (в том смысле, что не может быть двух одинаковых) идентификатор конкретного сетевого оборудования, например, беспроводного адаптера или точки доступа. MAC-адрес записывается в шестнадцатеричном формате. Например, MAC-адрес может быть записан в виде 00-0 F-EA-91-77-9 B. Для того чтобы выяснить MAC-адрес установленного беспроводного адаптера, нажмите кнопку «Start» (Пуск) и в появившемся списке выберите пункт «Run…» (Выполнить). В открывшемся окне наберите команду «cmd» (рис. 9), что приведёт к запуску окна командной строки.

Рис. 9. Запуск окна командной строки

В командной строке наберите команду «ipconfig/all» (рис. 10).

Рис. 10. Выполнение команды «ipconfig/all»

Это позволит выяснить IP-адрес беспроводного адаптера и его MAC-адрес.

После того как будут выяснены MAC-адреса всех компьютеров в сети, необходимо настроить таблицу фильтрации по MAC-адресам на точке доступа. Практически любая точка доступа и маршрутизатор предоставляют подобную возможность. Настройка этой таблицы сводится, во-первых, к необходимости разрешить фильтрацию по MAC-адресам, а во-вторых, к внесению в таблицу разрешённых MAC-адресов беспроводных адаптеров. После настройки таблицы фильтрации по MAC-адресам любая попытка входа в сеть с использованием беспроводного адаптера, MAC-адрес которого не внесён в таблицу, будет отвергнута точкой доступа.

Настройка режимов шифрования и аутентификации пользователей

Любая точка доступа, и тем более беспроводной маршрутизатор, предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Существует несколько стандартов шифрования, которые поддерживаются точками доступа.

Первым стандартом, использующимся для шифрования данных в беспроводных сетях, был стандарт WEP (Wired Equivalent Privacy). В соответствии со стандартом WEP шифрование осуществляется с помощью 40-или 104-битного ключа (некоторые модели беспроводного оборудования поддерживают и более длинные ключи), а сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Допустимо также вместо набора ASCII-символов напрямую использовать шестнадцатеричные значения (той же длины).

Как правило, в утилитах настройки беспроводного оборудования указываются не 40-или 104-битные ключи, а 64-или 128-битные. Дело в том, что 40 или 104 бита — это статическая часть ключа, к которой добавляется 24-битный вектор инициализации, необходимый для рандомизации статической части ключа. Вектор инициализации выбирается случайным образом и динамически меняется во время работы. В результате c учётом вектора инициализации общая длина ключа получается равной 64 (40+24) или 128 (104+24) битам.

Протокол WEP-шифрования, даже со 128-битным ключом, считается не очень стойким, поэтому в устройствах стандарта 802.11g поддерживается улучшенный алгоритм шифрования WPA — Wi-Fi Protected Access, который включает протоколы 802.1х, EAP, TKIP и MIC.

Протокол 802.1х — это протокол аутентификации пользователей. Для своей работы данный протокол требует наличия выделенного RADIUS-сервера, которого в домашней сети, естественно, нет. Поэтому воспользоваться данным протоколом в домашних условиях не удастся.

Протокол TKIP (Temporal Key Integrity Protocol) — это реализация динамических ключей шифрования. Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее количество возможных вариантов ключей достигает сотни миллиардов, и меняются они очень часто.

Протокол MIC (Message Integrity Check) — это протокол проверки целостности пакетов. Протокол позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом.

Помимо упомянутых протоколов, многие производители беспроводного оборудования встраивают в свои решения поддержку стандарта AES (Advanced Encryption Standard), который приходит на замену TKIP.

Итак, после небольшого экскурса в основные понятия технологии шифрования и сетевой аутентификации пользователей приступим к настройке нашего беспроводного оборудования. При этом будем по возможности придерживаться следующих рекомендаций: если все устройства в сети поддерживают шифрование на основе WPA, мы будем использовать именно этот способ шифрования (в противном случае следует выбрать WEP-шифрование со 128-битным ключом). Ну а если все устройства в сети поддерживают AES-шифрование, то воспользуемся именно им.

Начнём с настройки беспроводной точки доступа. Прежде всего, выберем тип аутентификации (Authentication). В списке типа аутентификации возможны следующие варианты:

Open System (открытая); Shared Key (общая); 802.1х; WPA; WPA Pre-shared key.

Open System (режим по умолчанию) — фактически это режим, не имеющий сетевой аутентификации. При выборе данного режима для входа в беспроводную сеть достаточно знать лишь идентификатор сети (SSID).