Настройка беспроводного оборудования
Беспроводное оборудование, в частности беспроводный адаптер и точка доступа, настраиваются немного иначе, чем их проводные «собратья». Именно поэтому настройке беспроводного оборудования посвящается отдельная глава.
Настраивать беспроводное оборудование можно стандартными средствами или с помощью «родных» утилит настройки, входящих в комплект. Преимущества и недостатки присутствуют в обоих вариантах настройки. Так, стандартный способ плохо визуализирован, зато очень быстр; а «родная» утилита позволяет настраивать больше параметров, но медленна в работе. Как бы там ни было, необходимо уметь настраивать оборудование всеми доступными способами: кто знает, какие средства будут у вас в руках.
В следующем разделе показан пример настройки и дано описание всех параметров точки доступа D-Link DWL-2100 АР и USB-адаптера D-Link DWL-G122, которые рассчитаны на работу в сети стандарта IEEE 802.11g, однако также вполне могут работать и в сетях стандарта IEEE 802.11b.
Настройка точки доступа D-Link DWL-2100 АР
Точка доступа D-Link DWL-2100 АР достаточно популярна и часто используется для организации работы беспроводной сети. Она характеризуется своей надежностью, режимами работы и техническими возможностями. В частности, D-Link DWL-2100 АР может выступать не только в роли точки доступа, но и служить мостом, повторителем, клиентом с проводным подключением и т. п.
Для конфигурирования данной точки доступа можно пойти несколькими путями. В частности, можно использовать браузер и работать с веб-интерфейсом по адресу 192.168.0.50, воспользоваться родной утилитой конфигурирования или системной утилитой telnet.
Использование утилиты конфигурирования, поставляемой вместе с устройством, возможно, только если имеется Ethernet-подключение к точке доступа или беспроводное подключение с помощью беспроводного адаптера. Это означает, что, не имея подключенного беспроводного адаптера, можно подключиться к точке доступа, только используя проводное подключение. Наилучший и наиболее безопасный способ управления точкой доступа, конечно же, непосредственное подключение ее к управляющему компьютеру с помощью кабеля, хотя это и не всегда возможно. При этом IP-адрес и маска подсети соединения, с помощью которого производится подключение, должны быть настроены соответствующим образом. В частности, IP-адрес должен быть, например, 192.168.0.51,а маска подсети – 255.255.255.0.
Предположим, что для настройки точки доступа будет использоваться беспроводный адаптер. Сделать это можно, если вызвать окно свойств беспроводного соединения (для этого выполните команду Пуск → Сетевое окружение и щелкните на ссылке Сетевые подключения). Щелкните на соединении правой кнопкой мыши и в появившемся меню выберите пункт Свойства.
Откроется окно свойств выбранного соединения (рис. 15.1), в котором отображаются используемый адаптер и набор протоколов и служб, используемых для организации соединения.
Рис. 15.1. Свойства соединения
Нас интересует протокол TCP/IP, поэтому выделяем позицию Internet Protocol (TCP/IP) и нажимаем кнопку Свойства – откроется окно свойств данного соединения (рис. 15.2).
Рис. 15.2. Указываем IP-адрес и маску подсети
В данном окне следует установить переключатель в положение Использовать следующий IP-адрес, а в поля IP-адрес и Маска подсети – ввести нужные значения, после чего нажать кнопку ОК и попытаться запустить утилиту конфигурирования точки доступа.
Предположим, для конфигурирования точки доступа решено использовать утилиту конфигурирования АР Manager, которая находится на прилагаемом к устройству компакт-диске.
После запуска данной программы откроется ее главное окно (рис. 15.3). В верхней части данного окна находится восемь кнопок, с помощью которых открывают разные окна настроек устройства или окна со сведениями.
Рис. 15.3. Главное окно программы конфигурирования
В центральной части окна программы находится список всех найденных точек доступа D-Link DWL-2100 АР с кратким описанием их параметров.
В нижней части отображаются все события, происходящие с точкой доступа, например сообщения конфигурирования или сообщения об ошибках.
Для начала нажмем первую кнопку, имеющую всплывающую подсказку Discover devices (Поиск устройств), – программа найдет имеющиеся точки доступа и выведет их в центральной части окна. В рассматриваемом примере обнаружена только одна точка доступа.
По умолчанию точка доступа имеет IP-адрес 192.168.0.50 и маску подсети 255.255.255.0. Естественно, с целью безопасности данный адрес лучше всего заменить другим, поскольку любой, кто знает адрес точки доступа, может попробовать к ней подключиться или применить методы взлома. Чтобы поменять адрес, нужно нажать вторую слева кнопку, которая имеет всплывающую подсказку Set IP (Установить IP), – откроется окно (рис. 15.4), содержащее всего два параметра: IP Address (IP-адрес) и IP Netmask (IP-маска сети). Изменив адресацию, следует нажать кнопку ОК.
Рис. 15.4. Указываем IP-адрес и маску подсети
Следующий шаг – установка начальных параметров работы точки доступа. Для этого следует нажать шестую кнопку с всплывающей подсказкой Wizard (Мастер) – появится окно мастера настройки точки доступа, в котором сообщается, что в процессе работы будут настроены следующие параметры: пароль доступа к точке доступа, SSID, канал передачи данных и режим безопасности (рис. 15.5).
Рис. 15.5. Окно мастера настройки точки доступа
Чтобы начать настройку точки доступа, нужно нажать кнопку Next (Далее).
В следующем окне предлагается ввести пароль, который станет запрашивать утилита, если будут как-либо настраиваться параметры точки доступа (рис. 15.6). Естественно, данный пароль должен знать только человек, отвечающий за администрирование сети. Установив новый пароль и введя его подтверждение, следует нажать кнопку Next (Далее).
Рис. 15.6. Указываем пароль к точке доступа
В следующем окне следует выбрать канал, по которому будут передаваться данные (рис. 15.7). В идеале канал должен выбираться так, чтобы он не мешал работе другой точки доступа, хотя теоретически каналы не пересекаются.
Рис. 15.7. Выбираем канал передачи данных
В принципе, многие точки доступа при необходимости могут изменять номер канала автоматически. Как бы там ни было, начальный канал указать придется. По умолчанию используют шестой канал, так его и оставляем. Для продолжения установки следует нажать кнопку Next (Далее) – откроется окно (рис. 15.8), в котором нужно выбрать начальный режим безопасности, включающий в себя использование протокола WEP с определенной длиной ключа шифрования. Если вы не желаете использовать шифрование, чего делать не рекомендуется, то оставляйте активным значение Disable (Заблокировано) и нажимайте кнопку Next (Далее) для перехода к следующему окно. В противном случае выбирайте значение Enable (Разрешено).
Рис. 15.8. Указываем параметры шифрования и ключ шифрования
В следующем окне необходимо указать тип ключа: HEX или ASCII, его длину (64, 128 или 152) и сам ключ.
Внимание!
При выборе длины ключа обязательно убедитесь, что все беспроводные устройства сети смогут работать с ним. Часто бывает, что точка доступа поддерживает длину ключа, например, 104 бит, в то время как беспроводной адаптер его не поддерживает. В итоге беспроводное устройство не может подключиться к точке доступа.
При выборе ключа не рекомендуется использовать какие-либо личные данные, например фамилию, дату рождения или номер телефона, так как они могут стать причиной взлома сети злоумышленниками. Лучше всего использовать несвязное символьное выражение или смесь знаков.
После нажатия кнопки Next (Далее) появляется итоговое окно, которое сообщает, что настройка начальных параметров точки доступа завершена (рис. 15.9).
Рис. 15.9. Настройка начальных параметров закончена
Если нужно что-либо изменить, то следует воспользоваться кнопкой Prev (Предыдущее). Если все данные указаны верно, то нажимается кнопка Finish (Готово).
Поскольку подключение к точке доступа с помощью утилиты конфигурирования также использует пароль доступа к точке доступа, то перед применением указанных параметров программа обязательно предупредит пользователя, что после применения параметров необходимо соответствующим образом настроить системную часть программы (рис. 15.10).
Рис. 15.10. Предупреждение программы
После этого программа конфигурирования начнет запись новых параметров в постоянную память точки доступа, что может занять некоторое время.
Следующий шаг – настройка нового пароля для доступа к точке доступа с помощью программы. Для этого нажимаем пятую кнопку с всплывающей подсказкой System Settings (Системные установки) (см. рис. 15.3) – откроется окно установок (рис. 15.11).
Рис. 15.11. Системные установки утилиты конфигурирования
В самой верхней части данного окна находится поле Access Password (Пароль доступа), в котором нужно прописать введенный при настройке точки доступа пароль, нажать кнопку ОК и начать более детально настраивать параметры.
Чтобы зайти в расширенные параметры точки доступа, достаточно дважды щелкнуть кнопкой мыши на позиции с информацией о точке доступа или нажать третью кнопку с всплывающей подсказкой Devices Settings (Установки устройства).
Примечание
Любые изменения, вносимые в конфигурацию точки доступа, начинают работать, только если нажата кнопка Apply (Применить). Это действие сопровождается появлением соответствующего окна (рис. 15.12).
Рис. 15.12. Применение параметров
Окно настройки точки доступа состоит из семи вкладок, каждая из которых содержит свой набор параметров. Ниже описаны все находящиеся на вкладках параметры и их возможные значения.
Совет
На каждой вкладке присутствует набор из семи кнопок, каждая из которых выполняет свою функцию. Особое внимание следует обратить на кнопки Check All (Отметить все) и Clear Checks (Очистить отмеченное), с помощью которых можно отметить все параметры или снять выделение с них на всех вкладках. Исходя из этого советуем ни в коем случае не пользоваться данными кнопками, так как это может привести к трудно поправимым последствиям. Лучше внимательно просмотреть все вкладки и аккуратно сделать необходимые изменения, чем потом отлавливать причины отказа работы точки доступа или беспроводных адаптеров сети.
По умолчанию первой открывается вкладка General (Общие) (рис. 15.13).
Рис. 15.13. Содержимое вкладки General (Общие)
Данная вкладка содержит следующие параметры.
• Device Name – установив данный флажок, можно изменить название точки доступа, тем самым позволяя различать точки доступа между собой. Наименованием точки, например, можно описать ее местоположение или роль в сети.
• LAN – данная область параметров отвечает за конфигурирование точки доступа в плане настройки IP-адреса, маски подсети, шлюза и DHCP-клиента и включает в себя следующие параметры.
– IP Address (IP-адрес) – параметр содержит текущий IP-адрес, используемый точкой доступа, по умолчанию это 192.168.0.50, и его изменение заблокировано. Если по какой-то причине этот адрес использовать в сети не рекомендуется (например, с целью безопасности), то можно установить флажок напротив параметра IP Address (IP-адрес) и ввести новое значение.
– Subnet Mask (Маска подсети) – данный параметр работает в паре с IP Address (IP-адрес) и отвечает за маску подсети. При изменении IP-адреса поле Subnet Mask (Маска подсети) становится активным и в него можно ввести требуемую маску подсети. При этом маска сети вычисляется автоматически в зависимости от введенного IP-адреса.
– Gateway (Шлюз) – параметр содержит IP-адрес шлюза, который, например, может использоваться для подключения к интернет-шлюзу, любому другому маршрутизатору или точке доступа. Для его активации следует установить соответствующий флажок и ввести в поле ввода данных нужный адрес.
– DHCP Client (DHCP-клиент) – если планируется использовать статический IP-адрес, то необходимо установить данный флажок и в ставшем после этого активным поле выбрать позицию Disable (Отключено). При этом автоматически отключаются параметры IP Address (IP-адрес) и Subnet Mask (Маска подсети). Если в сети установлен DHCP-сервер и точке доступа назначается автоматическая адресация, то необходимо установить значение Enable (Разрешено).
• Telnet – данная область содержит параметры, отвечающие за настройку параметров точки доступа с использованием системной утилиты telnet.
– Telnet Support (Поддержка telnet) – параметр может принимать всего два значения: Enable (Разрешено) и Disable (Запрещено). В зависимости от этого можно или нельзя использовать утилиту telnet для конфигурирования устройства.[21] По умолчанию выбрано значение Enable (Разрешено).
– Telnet Timeout (Задержка отключения telnet) – в целях безопасности, если при использовании программы возникают значительные перерывы, то можно отключить точку доступа от программы. Чтобы задействовать этот механизм, достаточно установить соответствующий флажок и ввести в поле промежуток времени, через который нужно отключиться. По умолчанию данный интервал составляет три минуты. На практике оптимально использовать десять минут.
Вкладку Wireless (Беспроводная сеть) (рис. 15.14) используют для настройки таких основных параметров беспроводной сети, как SSID, канал передачи данных, скорость передачи данных и др.
Рис. 15.14. Содержимое вкладки Wireless (Беспроводная сеть)
На данной вкладке имеется область Wireless setting (Настройка беспроводной сети), содержащая основные параметры, коренным образом влияющие на организацию работы сети.
• SSID – в данном поле описывается уникальный идентификатор сети, выступающий в качестве связующего звена всех участвующих в работе сети беспроводных устройств. По умолчанию для точки доступа D-Link DWL-2100 АР установлено значение default. Естественно, как минимум в целях безопасности данный идентификатор стоит изменить на что-то более уникальное (в рассматриваемом примере это nemec_network).
• Channel (Канал передачи данных) – данное поле отвечает за номер канала, который будет использоваться для передачи данных в сети. По умолчанию выбирается шестой канал, хотя это фактически не несет никакой практической нагрузки. При использовании поля Auto Channel Scan (Автоматическое сканирование каналов) данный канал выбирает автоматически сама точка доступа, и сведения об этом сообщаются каждому беспроводному устройству сети, что заставляет их менять канал передачи данных автоматически. На практике выбирают канал, который не используется другими точками доступа, с целью уменьшения взаимных помех.
• SSID Broadcast (Транслирование SSID) – играет достаточно важную роль в организации безопасной передачи данных в сети. По умолчанию точка доступа радиовещает SSID всем радиоустройствам в радиусе ее действия, что, естественно, делает защиту сети более сильной. Для максимальной безопасности от посягательств извне рекомендуется отключить вещание SSID. В любом случае пользователям, законно подключившим свои компьютеры к сети, данный идентификатор все равно сообщается.
• 11g only (Только 11g-устройства) – так как в работе сети не обязательно участвуют устройства единого стандарта, это следует учитывать. Если планируется использовать устройства любого совместимого типа, то, естественно, в данном поле следует задать значение Disable (Запрещено). Если все устройства, например, поддерживают стандарт IEEE 802.11g, то в данном поле можно установить значение Enable (Разрешено).
Примечание
Кстати, используя значения данного поля, можно достичь дополнительной защищенности сети, исключая нежелательные возможные подключения с помощью устройств другого стандарта. Правда, при этом нужно обеспечить использование устройств, обязательно поддерживающих стандарт IEEE 802.11g.
• Super G (Режим «Супер G») – каждая точка доступа имеет свои технические особенности, тем или иным образом отличающие ее от множества устройств подобного типа. Особенность точки доступа D-Link DWL-2100 АР – наличие механизма передачи данных, при котором достигается удвоенная скорость передачи информации, составляющая 108 Мбит/с.
В данном поле можно установить четыре значения: Disable (Запрещено), Super G without Turbo (Режим «Супер G» без дополнительного ускорения), Super G with Static Turbo (Режим «Супер G» со статическим ускорением) и Super G with Dynamic Turbo (Режим «Супер G» с динамическим ускорением). Экспериментировать с данными режимами (кроме режима Disable (Запрещено)) нужно очень осторожно, так как точка доступа может повести себя непредсказуемо. Обязательное условие использования данного режима в сети – его практическая поддержка всеми устройствами сети.
• Radio Wave (Радиоволны) – данный режим фактически используют для включения и отключения радиоустройства.
• Data Rate (Скорость данных) – в данном поле указывается, с какой скоростью будут передаваться данные в сети, если только параметр Super G (Режим «Супер G») имеет значение Disable (Запрещено). Доступны значения Auto, 1, 2, 5, 6, 9, 11,12, 18, 24, 36, 48 и 54 Мбит/с. По умолчанию установлено значение Auto, и это правильно, так как скорость передачи данных может автоматически изменяться в зависимости от условий среды.
• Beacon Interval (Интервал сигналов) – параметр отвечает за частоту отсылки пакетов, призванных синхронизировать устройства сети. По умолчанию установлено значение 100, чего вполне достаточно для поставленной задачи. Если наблюдаются сбои в работе устройств или качество сигнала оставляет желать лучшего, то данный показатель можно уменьшать до 20, и наоборот, если сеть работает устойчиво, то частоту отсылки таких пакетов можно сократить, повысив интервал вплоть до 1000. При этом не стоит забывать, что чрезмерное уменьшение интервала отсылки пакетов синхронизации приводит к увеличению трафика сети и, как следствие, к уменьшению скорости передачи полезной информации.
• DTIM – параметр отвечает за количество отсылаемых пакетов подтверждения о том, когда будет доступно следующее окно для передачи данных. Данные пакеты отсылаются всем клиентам сети, чтобы они знали, когда можно начинать вещание. Доступные значения – от 1 до 255, по умолчанию установлено значение 1.
• Fragment Length (Объем пакетов данных) – данный параметр описывает максимальный размер пакета данных, при достижении которого информация разбивается на более мелкие пакеты. По умолчанию, чтобы максимально увеличить пропускную способность сети, установлено значение 2346, которое при необходимости можно уменьшать до 256.
• RTS Length (Объем пакета RTS) – RTS-пакеты служат для отсылки коротких сообщений в сеть о том, что один из компьютеров хочет передать данные другому. При этом в пакете сообщается информация об отправителе и получателе, а также любые другие сведения, востребованные на данный момент. По умолчанию размер RTS-пакета составляет 2346 бит, но может быть уменьшен вплоть до 256 бит.
• Тх Power (Мощность сигнала) – данный параметр описывает показатель мощности, с которой передатчик данного устройства пересылает данные. В это поле можно устанавливать значения Full (Полная мощность), Half (Половина мощности), Quarter (Четверть мощности), Eighth (Восьмая часть мощности) и Min (Минимальная мощность). Для переносных устройств потребляемая мощность играет достаточно важную роль, поэтому если сеть имеет небольшой диаметр, то очень разумно будет уменьшить мощность передатчика до уровня, необходимого для досягаемости всех устройств сети. Кроме того, с помощью регулировки мощности сигнала можно обеспечить дополнительный уровень безопасности сети, отсекая возможных удаленных клиентов.
• Auto Channel Scan (Автоматическое сканирование каналов) – очень полезный параметр, отвечающий за использование механизма автоматического сканирования частотного диапазона с целью выявления наименее зашумленного канала. Доступны два значения: Enable (Разрешить) и Disable (Запретить). По понятным причинам очень рекомендуется использовать первое из них.
Вкладку Security (Безопасность) используют для настройки параметров безопасности беспроводной сети, без чего она представляет собой легкую цель для любителей «покопаться» в чужих данных и украсть что-то ценное (рис. 15.15).
Рис. 15.15. Содержимое вкладки Security (Безопасность)
Содержимое вкладки динамично и изменяется в зависимости от выбора других параметров. Фактически на этой вкладке могут быть две разные вкладки: WEP Key (WEP-ключ) и IEEE.11 g WPA, на которых располагаются различные параметры.
Область IEEE 802.11 g содержит параметры, связанные с настройкой протокола безопасности WEP.
• Authentication (Аутентификация) – отвечает за включение или отключение режима аутентификации. Чтобы задействовать его, достаточно установить данный флажок и выбрать из списка одно из значений: Open (Открытый), Shared (Разделенный), Both (Оба), WPA-EAP или WPA-PSK. Если выбран один из двух последних вариантов, то появляется дополнительная вкладка – IEEE.11g WPA с настройками данного метода аутентификации.
• Encryption (Шифрование) – активирует или деактивирует метод шифрования с помощью установки значений Enable (Разрешить) и Disable (Запретить) соответственно. При этом само поле доступно, только когда параметр Authentication (Аутентификация) имеет значение Open (Открытый) или Both (Оба). В любом случае, будь то протокол безопасности WEP или WPA, использовать шифрование очень желательно, чтобы в один прекрасный день не обнаружить пропажу важных документов или недостачу интернет-трафика.
• Active Key Index (Индекс активного ключа) – параметр указывает, какой из ключей в данный период времени активен. Вообще, протокол WEP может работать с четырьмя разными ключами шифрования различной длины, однако одновременно может использоваться только один из них. Поэтому в данном поле можно указать, какой из ключей использовать.
В зависимости от указанного номера 1st Key, 2nd Key, 3rd Key или 4th Key активируется конкретный (по номеру ключа) параметр, отвечающий за описание ключа соответствующего номера, – настройку длины ключа и выбор самого ключа. Для каждого из ключей можно выбрать его длину (64, 128 или 152 бит), символьный тип (HEX или ASCII) и указать сам ключ (строку символов выбранного типа).
WPA Setting (Настройки WPA) – данная область содержит параметры, влияющие на работу протокола безопасности WPA.
• Cipher Туре (Тип шифра) – параметр указывает точке доступа, какой из типов шифрования использовать: Auto (Автоматический выбор), AES или TKIP.
• Group Key Update Interval (Интервал обновления группового ключа) – параметр устанавливает интервал времени, через который автоматически будет заменен ключ шифрования. По умолчанию установлено значение 1800, но можно выбрать интервал 300-9999999. Указывать слишком маленький интервал нежелательно, так как это увеличит частоту следования служебных пакетов, что сразу уменьшит полезную пропускную способность сети. Установка слишком большого интервала не так критична, но это дает больше времени злоумышленнику для попытки проникновения в сеть.
• PassPhrase (Пароль) – параметр содержит пароль, применяемый при типе шифрования TKIP. Длина пароля может колебаться от восьми до 63-х символов. Понятно, что чем длиннее пароль, тем тяжелее его взломать. Обязательно учтите это при его выборе.
Security Server (Сервер безопасности) – область параметров содержит настройки RADIUS-сервера аутентификации и появляется лишь тогда, когда параметру Authentication (Аутентификация) присвоено значение.
• RADIUS Server (Адрес RADIUS-сервера) – если в сети установлен RADIUS-сервер, то здесь следует прописать его IP-адрес.
• RADIUS Port (Порт RADIUS-сервера) – если в сети установлен RADIUS-сервер, то здесь нужно указать порт сервера, через который происходит аутентификация.
• RADIUS Secret (Пароль RADIUS-сервера) – если в сети установлен RADIUS-сервер, то в данном параметре следует прописать пароль доступа к нему.
Вкладка Filters (Фильтры) используется для настройки возможности доступа к точке доступа из Ethernet-сети или настройке параметров точки доступа клиентами беспроводной сети (рис. 15.16).
Рис. 15.16. Содержимое вкладки Filters (Фильтры)
На вкладке имеются следующие параметры.
• WLAN Partition (WLAN – разделение) – данная область содержит параметры настройки доступа из Ethernet-сети в беспроводную сеть.
– Internal Station Connection (Подключение внутренних станций) – данный флажок отвечает за возможность подключения к точке доступа беспроводных устройств для обмена информацией между ними. Если установлено значение Disable (Запретить), то беспроводные станции не смогут подключиться к точке доступа и соответственно не смогут общаться между собой. По умолчанию данный параметр имеет значение Enable (Разрешить), и таковым он должен оставаться постоянно, кроме случаев, когда происходит важное администрирование, во время которого беспроводные устройства не должны мешать.
– Ethernet to WLAN Access (Доступ из сети Ethernet в сеть WLAN) – с помощью данного флажка регулируют отношения между клиентами беспроводной сети и проводного сегмента Ethernet. Доступны два значения: Enable (Разрешить) и Disable (Запретить). Если установлено последнее значение, то Ethernet-клиенты не могут обмениваться информацией с клиентами беспроводной сети. В то же время клиенты беспроводной сети могут обмениваться информацией с клиентами проводной сети. По умолчанию установлено значение Enable (Разрешить), так как очень часто точка доступа подключается к маршрутизатору и соответственно должен быть обмен данными в обе стороны.
• IEEE 802.11 g Access Setting (Настройка доступа для устройств IEEE 802.11g) – данная область параметров содержит параметры настройки доступа к точке доступа с использованием списка доступа. С помощью флажка Access Control (Контроль доступа) организуют списки доступа к точке доступа, ориентированные на МАС-адрес подключаемых устройств. Например, введя список МАС-адресов и указав в поле, активируемом данным флажком, значение Accept (Принимать), вы тем самым позволяете этим устройствам подключаться к точке доступа. Если установить значение Reject (Отклонять), то устройства с указанным МАС-адресом не смогут подключиться к сети. По умолчанию установлено значение Disable (Запретить), что отключает использование этого параметра и позволяет всем устройствам без исключения (если не действуют другие правила) подключаться к точке доступа.
Вкладку АР Mode (Режим точки доступа) используют для настройки режима, в котором будет работать точка доступа (рис. 15.17).
Рис. 15.17. Содержимое вкладки АР Mode (Режим точки доступа)
На вкладке присутствует всего один параметр – флажок АР Mode (Режим точки доступа), активизирующий расположенное рядом с ним поле, отвечающее за режим работы данного устройства. При изменении данного параметра могут появляться дополнительные элементы управления.
Возможные параметры данной вкладки.
• Access Point (Точка доступа) – устройство выполняет свои прямые обязанности – обязанности точки доступа. По умолчанию используется именно этот режим.
• WDS with АР – данный режим используют, когда необходимо соединить несколько существующих сетей в одну. При этом данная точка доступа является главной. При выборе данного значения появляется дополнительный параметр – Remote АР MAC Address (МАС-адреса подключаемых точек доступа), с помощью которого нужно составить список МАС-адресов всех соединяемых точек доступа. При использовании этого режима все соединяемые точки доступа должны быть D-Link DWL-2100 АР.
• WDS – режим используют, когда необходимо соединить несколько существующих сетей в одну. При выборе данного значения на вкладке появляется дополнительный параметр – Remote АР MAC Address (МАС-адреса подключаемых точек доступа), с помощью которого нужно составить список МАС-адресов всех соединяемых точек доступа. При использовании этого режима все соединяемые точки доступа должны быть D-Link DWL-2100 АР.
• АР Repeater (Повторитель) – режим используют, когда нужно увеличить радиус существующей сети путем ретрансляции сигнала от главной точки доступа. При выборе данного значения на вкладке появляется дополнительный параметр – Remote АР MAC Address (МАС-адреса подключаемых точек доступа), с помощью которого нужно указать МАС-адрес главной точки доступа. Для облегчения настройки этого параметра можно воспользоваться механизмом обзора существующих точек доступа, который запускают нажатием кнопки Site Survey (Обзор узлов).
• АР Client (Клиент) – режим используют, когда к беспроводной сети необходимо подключить одно из Ethernet-устройств, например компьютер или принтер. При выборе данного значения на вкладке появляется дополнительный параметр – Remote АР SSID (SSID точки доступа), для которого нужно указать SSID-устройство, выполняющее функции точки доступа. При использовании данного режима указываемая точка доступа должна быть D-Link DWL-2100 АР. Для облегчения поиска нужного SSID можно воспользоваться механизмом обзора существующих точек доступа, который запускают нажатием кнопки Site Survey (Обзор узлов).
• Remote АР MAC Address (МАС-адреса подключаемых точек доступа) – с помощью данного параметра можно создавать списки из МАС-адресов.
Вкладку DHCP Server (Сервер DHCP) используют для настройки параметров DHCP-сервера, который поддерживается в точке доступа D-Link DWL-2100 АР (рис. 15.18).
Рис. 15.18. Содержимое вкладки DHCP Server (Сервер DHCP)
На данной вкладке имеются следующие параметры.
• DHCP Server (Сервер DHCP) – параметр содержит всего два возможных значения: Enable (Разрешить) – активирует встроенный сервер DHCP и Disable (Запретить) – отключает сервер. По умолчанию установлено значение Disable (Запретить). В сети должен быть только один сервер DHCP, который чаще всего устанавливают на главной точке доступа. Поэтому, прежде чем включить этот механизм, убедитесь, что в сети не существует активного сервера DHCP. После активирования сервера DHCP сразу активируются параметры Dynamic Pool Settings (Динамические установки пула адресов) и Static Pool Settings (Статичные установки пула адресов), с помощью которых настраивается пул адресов, выдаваемых устройствам беспроводной сети.
• Dynamic Pool Settings (Динамические установки пула адресов) – динамическая установка пула доступных адресов подразумевает автоматическую раздачу адресов устройствам сети, при которой адреса генерируются динамически, основываясь на интервальных данных, введенных пользователем. Чтобы активировать данный механизм раздачи адресов, достаточно установить флажок Dynamic Pool Settings (Динамические установки пула адресов). Конечно, параллельно можно использовать и статичные IP-адреса, но в этом случае они не должны лежать в интервале адресов, предназначенных для динамической выдачи.
• IP Assigned From (Назначенный IP-адрес) – параметр содержит IP-адрес, назначаемый серверу DHCP. Он же является и первым из пула адресов, выделенных для динамической раздачи адресов.
• Range of Pool (Интервал пула адресов) – параметр описывает количество адресов и начальный адрес, которые отводятся для динамического распределения. Например, в качестве значения данного поля можно ввести 10. Это означает, что адрес, заканчивающийся на 10 (например, 192.168.1.10), будет присвоен серверу DHCP, а адреса, заканчивающиеся на 11, 12, 13, 14, 15, 16, 17, 18, 19 и 20, будут динамически распределены между беспроводными устройствами.
• SubMask (Маска подсети) – данное поле содержит маску подсети.
• Gateway (Шлюз) – параметр содержит IP-адрес шлюза, если таковой используют. В качестве шлюза может быть, например, маршрутизатор или точка доступа с подключением к Интернету.
• Wins (Системный сервис Wins) – системный сервис призван определять реальный IP-адрес сети или устройства, используя его динамический адрес. По умолчанию этот параметр не используется, а если используется, то крайне редко.
• DNS – параметр содержит адрес существующего в сети сервера DNS, который может понадобиться при использовании общего Интернета или доменной системы построения сети.
• Domain Name (Имя домена) – в поле указано доменное имя, присваиваемое одной из точек доступа для организации доменной системы сети.
• Lease Time (Продолжительность использования) – параметр описывает временной интервал, в течение которого беспроводные клиенты могут использовать назначенные им динамические адреса. По умолчанию установлено значение 0, что означает бесконечно долгое использование адреса.
• Status (Состояние) – предназначение параметра достаточно туманно, так как присвоение ему значения OFF (Отключен) приводит к отключению созданного пула адресов, что аналогично отключению сервера DHCP. По умолчанию параметр имеет значение ON (Включен).
• Static Pool Settings (Статичные установки пула адресов) – статичный набор адресов используют для назначения статичного адреса важным устройствам сети, например серверам или сетевым принтерам. Установив данный флажок, с помощью кнопок Add (Добавить), Edit (Редактировать) и Del (Удалить) нужно настроить список статичных адресов. При этом следует помнить, что эти адреса не должны лежать в интервале адресов, указанных в поле Range of Pool (Интервал пула адресов).
Вкладка Client Info (Сведения о клиентах) не содержит никаких настраиваемых параметров и служит для чисто информационных целей (рис. 15.19).
Рис. 15.19. Содержимое вкладки Client Info (Сведения о клиентах)
На данной вкладке можно увидеть информацию о беспроводных клиентах, подключенных к данной точке доступа. Чтобы опросить клиентов, нужно нажать кнопку Client Infor (Информатор клиентов) – таблица на вкладке заполнится данными об МАС-адресе, беспроводном стандарте устройства, режиме аутентификации, мощности сигнала и режиме энергосбережения. В нашем примере видно, что к точке доступа в данный момент подключено два беспроводных клиента.
Вкладку Multi-SSID (Мульти SSID) используют для настройки дополнительных SSID, с помощью которых можно организовывать виртуальные сети и разграничивать подключения к точке доступа на уровне гостевых SSID, что можно делать благодаря наличию в D-Link DWL-2100 АР соответствующего механизма, чем может похвастаться не каждая точка доступа (рис. 15.20).
Рис. 15.20. Содержимое вкладки Multi-SSID (Мульти-SSID)
На вкладке присутствует группа параметров, которая повторяется три раза, но для разных SSID. Таким образом, можно настроить до трех разных гостевых SSID. Устанавливают разные SSID после настройки главного SSID, используя для этого следующие параметры.
• Enable VLan Status (Разрешить виртуальные сети) – по умолчанию возможность использования нескольких SSID отключена. Чтобы ее задействовать, необходимо установить данный флажок.
– Master SSID (Главный SSID) – параметр не изменяется, так как используется значение SSID точки доступа, которое настраивают раннее. По сути, в данном поле отображается текущий SSID, присвоенный точке доступа.
– Security (Безопасность) – параметр также не подлежит редактированию и отображает лишь текущий механизм безопасности, например Open (Открытый) или Shared (Разделенный).
– VLan Group ID (Идентификатор виртуальной группы) – создаваемые виртуальные группы отличаются своим номером. Для их нумерации доступно более 4000 номеров, начиная с единицы. Как правило, основную группу, то есть ту, которая содержит главный SSID, обозначают самым первым номером, то есть единицей, как и показано на рис. 15.20.
• Enable Guest SSID1 Status (Разрешить гостевой SSID1) – данная область, выполненная в виде флажка, содержит параметры, описывающие дополнительный SSID, в частности SSID1. Чтобы активировать такую возможность, необходимо установить данный флажок.
– SSID – параметр содержит уникальный идентификатор, в частности SSID1, при выборе которого необходимо придерживаться тех же правил, что и при выборе главного SSID. Особенно это важно, если вещание SSID отключено и для подключения к сети обязательно нужно точно знать этот SSID. В этом случае можно легко отсеять нежелательные подключения извне.
– Security (Безопасность) – параметр описывает метод аутентификации. При этом дополнительная настройка метода аутентификации возможна, только если в области Enable VLan Status (Разрешить виртуальные сети) параметр Security (Безопасность) имеет значение Open (Открытый) или Shared (Разделенный). При этом становятся доступны для выбора значения None (Никакой), Open (Открытый) или Shared (Разделенный).
– Webkey (Ключ) – можно выбрать длину ключа шифрования (64, 128 и 152 бит), который будет использоваться для шифрования данных, передаваемых в сети между устройствами, которые используют гостевой SSID1. Выбрав длину ключа, необходимо сразу установить тип символьной строки (HEX или ASCII), представляющей ключ, и сам ключ.
– VLan Group ID (Идентификатор виртуальной группы) – как и в случае с главной виртуальной группой, создаваемая виртуальная группа также должна иметь свой уникальный номер – любой номер интервала 1-4095, отличный от номера главной виртуальной группы. В нашем примере главная виртуальная группа снабжается номером 1, а группа с гостевым SSID1 – номером 2.
– Key Index (Номер ключа) – как обычно, для шифрования данных может использоваться до четырех ключей разной или одинаковой длины. Для переключения между ними служит параметр Key Index (Номер ключа).
Подобным образом можно настроить еще два гостевых SSID, если, конечно, это необходимо.
Настроив точку доступа, соответствующим образом необходимо настроить остальные точки доступа и беспроводные адаптеры.
Настройка параметров беспроводного адаптера
После установки драйвера для беспроводного адаптера D-Link DWL-G122 в области уведомлений на Панели задач появляется значок в виде буквы «D».
В дальнейшем настраивать адаптер можно, щелкнув на нем правой кнопкой мыши и выбрав в появившемся контекстном меню пункт Wireless Network (Беспроводная сеть) (рис. 15.21) или просто дважды щелкнув на нем кнопкой мыши.
Рис. 15.21. Настройка адаптера через пункт Wireless Network (Беспроводная сеть)
По умолчанию, даже если запустить «родную» утилиту конфигурирования адаптера, откроется стандартный мастер конфигурирования Windows. Естественно, раз существует «родная» утилита настройки, то настраивать адаптер можно с ее помощью. Мало того, «родная» утилита позволяет настраивать намного больше разных параметров, чем стандартный мастер настройки оборудования Windows.
Ниже показаны примеры использования обоих вариантов настройки и способы переключения между ними.
По умолчанию адаптер всегда настраивают с помощью механизмов Windows, если пользователь сам не укажет вариант настройки беспроводного соединения.
Чтобы запустить механизм настройки, достаточно дважды щелкнуть на значке в виде буквы D в области уведомлений на Панели задач. В дальнейшем (когда будет указано, что по умолчанию для настройки нужно использовать «родную» утилиту), чтобы запустить стандартный механизм настройки адаптера, нужно будет открыть окно свойств беспроводного соединения (см. рис. 15.1), в котором можно его настраивать. Здесь же можно задать и параметры самого адаптера.
Чтобы изменить параметры адаптера, следует нажать кнопку Настроить – откроется окно свойств беспроводного адаптера, содержащее несколько вкладок с параметрами и полезной информацией.
Перейдем на вкладку Дополнительно, на которой находятся параметры, влияющие на работу устройства в сети (рис. 15.22).
Рис. 15.22. Содержимое вкладки Дополнительно
Из тех параметров, которые, вероятно, придется настраивать, можно отметить следующие.
• Network Туре – режим, в котором будет функционировать сеть. Доступны два значения параметра: 802.11 Ad Нос (режим Ad-Hoc) и Infrastructure (режим инфраструктуры).
• SSID – уникальный идентификатор сети, используемый для создания некой группы компьютеров, способных работать вместе. В качестве SSID может выступать любое словосочетание или набор цифр и букв. Главное, чтобы можно было потом повторить его, когда будет настраиваться другой беспроводной адаптер, точка доступа, маршрутизатор и другое беспроводное оборудование, рассчитанное на работу в группе.
Чтобы настроить беспроводной адаптер с помощью «родной» утилиты, необходимо внести некоторые дополнительные изменения.
Перейдя на вкладку Беспроводные сети, нужно снять флажок Использовать Windows для настройки сети (рис. 15.23), после чего для конфигурирования беспроводного адаптера будет использоваться поставляемая с ним утилита.
Рис. 15.23. Снимаем флажок Использовать Windows для настройки сети
Чтобы это проверить, щелкните дважды кнопкой мыши на значке D в области уведомлений на Панели задач – откроется окно программы настройки, содержащее пять вкладок. По умолчанию открывается вкладка Link Info (Сведения о соединении), содержащая информацию о текущем соединении: режим сети, используемый беспроводный стандарт, текущая скорость соединения, SSIDhap. (рис. 15.24).
Рис. 15.24. Вкладка Link Info (Сведения о соединении)
Параметрами работы устройства управляют на вкладках Configuration (Конфигурация) и Advanced (Расширенные настройки). Кроме того, настроить параметры подключения ко всем найденным точкам доступа можно на вкладке Site Survey (Обзор узлов). Рассмотрим их более внимательно.
На вкладке Configuration (Конфигурация) (рис. 15.25) присутствуют следующие параметры.
Рис. 15.25. Вкладка Configuration (Конфигурация)
• SSID – уникальный идентификатор сети. По умолчанию любое беспроводное устройство в качестве SSID имеет слово default. В дальнейшем этот идентификатор обязательно стоит сменить на что-то более оригинальное и неизвестное для посторонних.
• Wireless Mode (Беспроводной режим) – режим, в котором планируется использовать данное беспроводное устройство. Доступны два варианта: Infrastructure (режим инфраструктуры) и Ad-Hoc (режим «точка-точка»).
• Data Encryption (Шифрование данных) – способ шифрования данных, ориентирующийся на существующие технологии и протоколы безопасности. Шифрование данных может быть включено – значение Enabled (Разрешено) или выключено – Disabled (Заблокировано). Чтобы обеспечить приемлемую защиту сети, шифрование, естественно, должно быть разрешено.
• Authentication (Аутентификация) – способ прохождения аутентификации при подключении к выбранному устройству. От нее будет зависеть используемый в дальнейшем протокол безопасности. Существует несколько вариантов: Open (Открытая), Shared (Разделенная), WPA и WPA-PSK.
• Key Length (Длина ключа) – описывает длину ключа, которая будет использоваться при шифровании данных. Доступны следующие варианты:
– 64 bits (40+24) – 10 Hexadecimal digits – в этом режиме в качестве ключа может использоваться комбинация из 10 шестнадцатеричных символов (0, 1, 2, 3, 4, 5, 6, 7, 8, 9, А, В, С, D, Е, F);
– 128 bits (104+24) – 26 Hexadecimal digits – в этом режиме в качестве ключа может использоваться комбинация из 26 шестнадцатеричных символов (0,1, 2, 3,4, 5, 6, 7, 8, 9, А, В, С, D, Е, F);
– 64 bits (40+24) – 5 Ascii digits – в качестве ключа может использоваться комбинация из пяти букв, цифр и знаков латинского алфавита;
– 128 bits (104+24) – 13 Ascii digits – может использоваться комбинация из 13 букв, цифр и знаков латинского алфавита.
• IEEE 802.1X – при использовании данного режима будет осуществляться аутентификация по стандарту IEEE 802.1х, которая сегодня обеспечивает наибольшую защиту сети, хотя и уменьшает ее пропускную способность.
Если выбран режим шифрования данных, то можно ввести четыре разных ключа шифрования для использования по некоторому графику, выбираемому пользователем. При этом программа проверяет длину и символы вводимых знаков, которые должны соответствовать одному из выбранных правил (только шестнадцатеричные символы или любые латинские символы и знаки).
Вкладка Advanced (Расширенные настройки) (рис. 15.26) содержит следующие параметры.
Рис. 15.26. Вкладка Advanced (Расширенные настройки)
• Adhoc Channel (Канал передачи данных) – канал используется для передачи данных. Согласно сетевому стандарту 802.1 lg весь диапазон частот разбит на 13 каналов, любой из которых может использоваться для нужд передатчика. В данном поле можно указать любой из 13 каналов. Иногда полезно бывает использовать конкретный канал, когда знаешь, что он не используется одной из возможных близкорасположенных точек доступа или маршрутизаторов. Это позволяет обеспечить минимальную зашумленность эфира и, как следствие, стабильность работы сети и ее высокую пропускную способность.
• Profile IP Settings (Использование IP-шаблонов) – с помощью этой утилиты конфигурирования адаптера D-Link DWL-G122 можно настраивать несколько шаблонов с параметрами подключения к разным точкам доступа. Для автоматического использования этих шаблонов нужно, чтобы в поле Profile IP Settings было установлено значение Enable (Разрешено). Если использовать шаблоны не планируется, то лучше установить значение Disable (Запретить).
• Power Mode (Режим энергопотребления) – так как при работе передатчика беспроводного адаптера используется достаточно много энергии, что очень критично для пользователей переносных и наладонных компьютеров, то стандартами предусмотрен режим энергосбережения. В данном поле может быть три значения: Disable (Заблокировано), Min Saving (Минимальное сбережение энергии) или Max Saving (Максимальное сбережение энергии). Исходя из потребностей и конкретной ситуации, можно выбирать значение на свое усмотрение.
• Launch Utility on Startup (Запускать утилиту при старте) – данный параметр говорит сам за себя: если в поле установлено значение Enable (Разрешено), то утилита конфигурирования адаптера будет запускаться вместе со стартом системы. В дальнейшем, когда все параметры адаптера будут настроены и опробованы, в данном поле лучше установить значение Disable (Заблокировано).
• Data Packet Parameter (Параметры пакетов данных) – параметры данной области отвечают за настройку параметров формирования пакетов с данными. Поскольку для шифрования данных могут использоваться разные методы и ключи, то размер служебной части пакета с данными может значительно изменяться. Если он будет слишком большим, то меньше места останется для полезных данных. Подбирая значения двух полей, расположенных в данной области, можно искусственно поднять производительность сети.
Вкладка Site Survey (Обзор узлов) (рис. 15.27) содержит очень важную информацию, касающуюся найденных точек доступа, а также шаблоны с настройками, которые можно использовать при подключении к ним.
Рис. 15.27. Вкладка Site Survey (Обзор узлов)
В любой момент можно посмотреть SSID точки доступа, ее МАС-адрес, мощность сигнала, а также узнать, к какой из точек доступа в данный момент подключен адаптер. Кроме того, можно конфигурировать параметры подключения к точкам доступа, добавлять новые, задавать фильтр по выбранным параметрам и т. д.
Например, чтобы изменить параметры подключения к существующей точке доступа, в области Available Network (Доступные сети) следует выделить нужный пункт и нажать кнопку Configure (Конфигурировать) – откроется окно, в котором можно будет изменить метод шифрования, вариант аутентификации, а также указать ключи шифрования (рис. 15.28).
Рис. 15.28. Изменение параметров подключения к сети
Здесь сразу можно будет настроить IP-адрес, маску подсети и другие конфигурационные параметры, чтобы можно было подключиться к точке доступа с правильными параметрами. Чтобы это сделать, достаточно нажать кнопку IP Settings (Настройки IP), расположенную в нижней части окна, – откроется окно настройки (рис. 15.29), очень напоминающее окно настройки аналогичных параметров с помощью стандартного механизма Windows.
Рис. 15.29. Настраиваем IP-адрес, маску подсети и другие параметры
В данном окне можно указать IP-адрес, маску подсети, адрес шлюза, адреса предпочитаемого и дополнительного DNS-серверов, настроить адрес прокси-сервера и многое другое, что обязательно пригодится при настройке общего Интернета.
Вместо того чтобы постоянно изменять параметры подключения к точке доступа, можно просто использовать разные шаблоны с параметрами, которые очень легко создать, – достаточно нажать кнопку Add (Добавить) (см. рис. 15.27).
При этом откроется окно, аналогичное окну редактирования параметров точки доступа, только многие поля ввода будут пустыми. Их нужно заполнить самостоятельно. Например, чтобы создать шаблон для подключения к точке доступа Yarex, нужно ввести имя шаблона Yarex и настроить все остальные известные вам параметры (см. рис. 15.28).
Нажав кнопку ОК, следует проверить созданный шаблон на практике: попробуйте подключиться к сети Yarex, выделив соответствующий шаблон и нажав кнопку Connect (Подключиться).
Меры по защите беспроводной сети
По умолчанию беспроводное оборудование не использует какие-либо механизмы защиты и абсолютно открыто для атак извне. Поэтому, создав сеть, прежде всего необходимо выполнить ряд действий, которые позволят максимально защитить ее.
Выше было рассказано обо всех параметрах беспроводной точки доступа D-Link DWL-2100 АР. Теперь, используя некоторые из этих параметров, необходимо настроить достаточный уровень защиты сети от проникновения в нее извне.
Наиболее распространенные и действенные способы сделать сеть более защищенной следующие:
• отключение трансляции идентификатора сети (SSID);
• создание списка МАС-адресов устройств, имеющих право работать в сети;
• выбор приемлемого уровня шифрования и аутентификации устройств сети;
• понижение мощности передатчика для ограничения радиуса сети.
Идентификатор сети (SSID) – уникальный идентификатор, зная который, можно подключиться к ней. Это своего рода аналог рабочей группы в проводной сети. Фактически это имя сети, которое должны знать все, кто собирается к ней подключиться. Поэтому, прежде чем отключить транслирование идентификатора сети, обязательно нужно сообщить его всем пользователям сети.
По умолчанию идентификатор сети сообщается точкой доступа всем беспроводным устройствам, лежащим в радиусе ее действия. Сканируя эфир, видя точку доступа и зная ее SSID, беспроводной клиент может подключиться к ней, если, конечно, введет правильно все остальные настройки подключения.
Данный способ защиты сети нельзя считать полноценным, так как существует программное обеспечение, которое может определить идентификатор сети и делать вещи гораздо хуже этого. Тем не менее отсеять значительную часть начинающих любителей «бесплатного сыра» можно, поэтому обязательно активируйте эту возможность.
Практически все точки доступа позволяют отключить вещание SSID в сеть, для чего необходимо зайти в настройки точки доступа и изменить один из параметров (рис. 15.30).
Рис. 15.30. Настраиваем параметр SSID Broadcast (Транслирование SSID)
Запустив утилиту конфигурирования точки доступа D-Link DWL-2100 АР, нужно перейти на вкладку Wireless (Беспроводная сеть), на которой находится параметр SSID Broadcast (Транслирование SSID). В данном поле можно установить значения Enable (Разрешить) или Disable (Запретить). Естественно, чтобы запретить транслирование идентификатора сети, необходимо установить значение Disable (Запретить).
Любая современная точка доступа позволяет создавать списки исключений, содержащие списки МАС-адресов беспроводных устройств, которым позволено подключаться к данной точке доступа.
Поскольку МАС-адрес – уникальный идентификатор сетевого устройства, то можно легко создать список таких МАС-адресов, которые однозначно идентифицируют подключаемые устройства. Это позволяет обеспечить дополнительный уровень защиты сети от атак, однако такая защита также может остановить только неопытных вредителей, не имеющих на вооружении нужных утилит, с помощью которых можно достаточно легко подменять свой МАС-адрес на один из перехваченных, тем самым проникая на точку доступа и непосредственно в сеть.
Чтобы создать такой список адресов, нужно запустить утилиту конфигурирования точки доступа и перейти на вкладку Filters (Фильтры) (рис. 15.31).
Рис. 15.31. Создаем список МАС-адресов
В области параметров IEEE 802.11g Access Setting (Настройка доступа для устройств IEEE 802.11g) необходимо установить флажок Access Control (Контроль доступа) и в расположенном справа от него поле выбрать значение Accept (Принимать), тем самым указывая точке доступа, что устройства с указанными МАС-адресами могут к ней подключаться.
Чтобы указать МАС-адрес, в поле ACL MAC Address нужно ввести адрес, придерживаясь указанного шаблона, и нажать кнопку Add. При вводе адреса желательно не ошибаться, так как это может привести к тому, что «правильный» компьютер не сможет подключиться к точке доступа.
Шифрование – один из главных способов обеспечения сохранности данных при передаче их через радиоэфир.
Современное беспроводное оборудование позволяет использовать для шифрования протоколы WEP, WPA и WPA2. Что касается первого из них, то его поддерживает все существующее оборудование, каким бы «древним» оно ни было. Иногда именно «древность» становится причиной использования этого протокола. Протокол WEP можно охарактеризовать как самый простой и малоэффективный способ шифрования данных. Поскольку для шифрования используется статичный ключ, для множества специализированных программ не составляет особого труда проанализировать передаваемые данные и вычислить его. Конечно, ключ может быть разной длины, вплоть до 256 бит, однако это влияет лишь на время взлома, а не на его результат.
Что касается протокола WPA или WPA2 (новая спецификация), то этот способ шифрования сегодня наиболее предпочтителен, так как позволяет оперировать динамичными ключами, что фактически исключает возможность взлома ключа, который может меняться каждые 10 тысяч пакетов.
Как бы там ни было, протокол шифрования обязательно должен быть задействован при работе точки доступа, независимо от того, в каком режиме она функционирует.
Для настройки протокола безопасности воспользуемся утилитой конфигурирования, которая идет в комплекте с точкой доступа. Запустив данную программу, нужно перейти на вкладку Security (Безопасность) (рис. 15.32).
Рис. 15.32. Настраиваем протокол безопасности WEP
На данной вкладке можно выбрать необходимый протокол шифрования и настроить параметры шифрования и подключения к точке доступа.
Если планируется использовать протокол WEP, что может быть обусловлено использованием устаревших беспроводных адаптеров, не способных работать с более продвинутым протоколом, то следует установить флажок Authentication (Аутентификация) и выбрать из раскрывающегося списка параметр Open (Открытый), Shared (Разделенный) или Both (Оба). Кроме того, нужно установить флажок Encryption (Шифрование) и выбрать из раскрывающегося списка значение Enable (Разрешить). Именно эти значения отвечают за настройку протокола WEP.
Установив одно из упомянутых значений, необходимо выбрать ключ шифрования, указав его длину, тип и саму символьную строку ключа. В своей работе точка доступа может использовать четыре разных ключа шифрования, с которыми можно работать в любое время. При этом одновременно может применяться только один ключ (текущий).
Чтобы выбрать нужный ключ, достаточно установить в поле Active Key Index (Индекс активного ключа) номер ключа и настроить его, если это не было сделано раньше. При вводе символьной строки ключа, если тип ключа установлен в ASCII, старайтесь вводить редко используемые словосочетания. При этом не стоит забывать, что ключ имеет фиксированную длину, например 5 или 13 символов, что зависит от выбранной длины ключа.
Если оборудование, работающее в сети, достаточно новое и поддерживает последние протоколы шифрования, то нужно обязательно воспользоваться этим и настроить параметры протокола WPA, установив флажок Authentication (Аутентификация) и выбрав из раскрывающегося списка параметр WPA-EAP или WPA-PSK. В результате появится дополнительная вкладка IEEE 802.11 g WPA с некоторыми настройками протокола.
Если в беспроводной сети установлен сервер аутентификации RADIUS, то стоит выбрать значение WPA-EAP, так как лучшей защищенности сети пока что ничто обеспечить не может. Далее не забудьте указать IP-адрес и порт RADIUS-сервера (рис. 15.33).
Рис. 15.33. Настраиваем протокол WPA с использованием сервера аутентификации RADIUS
Кроме того, нужно определиться с типом шифра: TKIP (Temporal Key Integrity Protocol) или AES (Encryption Standard). Первый из них обеспечивает динамическую генерацию ключа и проверку целостности пакетов с возможностью их шифрования с помощью разных ключей, что на порядок выше возможностей протокола WEP. Второй шифр – представитель последнего достижения шифрования и обладает самым мощным алгоритмом шифрования, поддерживающего ключ 256 бит.[22]
Если неясно, какой из типов шифра выбрать, то лучше предоставить это самой точке доступа и установить в поле Cipher Туре (Тип шифра) значение Auto (Автоматический выбор).
Если в беспроводной сети не планируется RADIUS-сервер, но все-таки хочется воспользоваться возможностями протокола WPA, то в качестве параметра Authentication (Аутентификация) выбирайте значение WPA-PSK. При этом также необходимо будет определиться с типом шифра и указать фразу шифрования.
Как известно, для передачи данных в радиоэфир каждое беспроводное устройство снабжено приемником и передатчиком радиоволн. От мощности передатчика зависит радиус беспроводной сети, а от чувствительности приемника зависит качество приема сигнала. Поскольку радиоволны – вещь неконтролируемая и никогда нельзя предугадать, кто может их принимать, неплохим вариантом защиты сети является подбор такой мощности передатчика, которой вполне достаточно для покрытия всех устройств сети. Этим можно отсечь всех недоброжелателей, которые могут «пристроиться» к сети, например за стенкой соседнего дома или в машине на стоянке рядом с офисом.
Другой плюс такого предприятия – экономия энергии, что критично для переносных компьютеров и устройств.
Чтобы выбрать уровень мощности сигнала, нужно запустить утилиту конфигурирования точки доступа и перейти на вкладку Wireless (Беспроводная сеть) (рис. 15.34).
Рис. 15.34. Регулируем мощность передатчика
На данной вкладке расположено поле Тх Power (Мощность сигнала), в котором можно выбрать следующие значения: Full (Полная мощность), Half (Половина мощности), Quarter (Четверть мощности), Eighth (Восьмая часть мощности) или Min (Минимальная мощность).
Устанавливать сразу слишком низкую мощность не стоит, так как этим можно «обрубить» связь с некоторыми удаленными компьютерами. Поэтому уменьшайте мощность постепенно, но не устанавливайте ту, на которой наблюдается пороговая работа устройства, так как в определенных условиях сигнал может еще более ослабнуть, что, опять же, приведет к отключению некоторых удаленных компьютеров.