ми доступа), то для исключения прерывания сессий необходимо использовать специ-
альное программное обеспечение.
Структура сети
71
Безопасность беспроводной сети
Точку доступа можно сравнить с концентратором локальной сети, который постав-
лен в общедоступное помещение. Любой может "подключиться" к данному сегмен-
ту и прослушивать передаваемую информацию. Поэтому правильной настройке
подключения клиентов необходимо уделить особое внимание.
Шифрование трафика беспроводной сети
Для защиты передаваемой по беспроводной сети информации все данные шифру-
ются. Исторически первый стандарт безопасности для Wi-Fi — протокол WEP
(Wired Equivalent Privacy или Wireless Encryption Protocol, протокол шифрования в
беспроводной связи) — предусматривает шифрование с помощью статичного клю-
ча, известного как пользователю, так и администратору точки доступа. К сожале-
нию, в практической реализации этого документа были найдены ошибки, которые
позволяют за короткое время (порядка нескольких часов) вычислить данный ключ.
Поэтому протоколы WEP, даже с увеличенной длиной ключа, не могут считаться
безопасными при создании корпоративной беспроводной сети.
ПРИМЕЧАНИЕ
Если примененные при создании беспроводной сети устройства не поддерживают но-
вых протоколов безопасности, то администраторы могут защитить передаваемую ин-
формацию путем создания виртуальных частных сетей (VPN) поверх беспроводных
каналов связи.
Новый стандарт безопасности WPA (Wi-Fi Protected Access) предусматривает как
использование динамических (изменяемых) ключей шифрования, так и аутентифи-
кацию пользователя при входе в беспроводную сеть. Проектируя беспроводной
сегмент сети, следует приобретать только устройства, удовлетворяющие данному
стандарту.
Аутентификация пользователей и устройств Wi-Fi
В беспроводных сетях применяются два способа проверки пользователей и уст-
ройств при их подключении. Первый — это проверка MAC-адресов устройств,
подключаемых к данной точке доступа. В этом случае администратор вручную
должен настроить для каждой точки доступа соответствующий список MAC-
адресов устройств, которым разрешено беспроводное подключение.
Способ не может считаться безопасным, поскольку МАС-адреса легко определяют-
ся при прослушивании беспроводного сегмента, а "подмена" MAC-адреса не пред-
ставляет никакой сложности даже для не совсем опытного пользователя.
Второй способ основан на протоколе двухточечного соединения с надежной аутен-
тификацией — EAP (Extensible Authentication Protocol). Для предприятий следует
рекомендовать аутентификацию на основе стандарта 802.1x с использованием сер-
вера RADIUS.
Наиболее безопасен способ, при котором для аутентификации вместо паролей ис-
пользуются сертификаты. Однако он требует наличия на предприятии настроенной
72
Глава 3
системы PKI (Public Key Infrastructure, инфраструктура открытых ключей)
(см. главу 9). Настройка беспроводных устройств для аутентификации с использо-
ванием сертификатов по протоколу 802.1x практически идентична примеру, опи-
санному в главе 9 в разд. "Настройка протокола 802.1х" . Единственное отличие
заключается в выборе шаблона политики, используемой на сервере RADIUS
(рис. 3.9).
Рис. 3.9. Создание политики RADIUS-сервера для беспроводной сети.
При создании политики удаленного доступа для сервера RADIUS
должен быть выбран шаблон Беспроводной доступ
ПРИМЕЧАНИЕ
При такой настройке клиенты, ранее не работавшие в составе домена, не могут быть
подключены к нему по беспроводной сети, поскольку на них не установлены необхо-
димые сертификаты. Вам следует либо заранее осуществить подсоединение компью-
тера к домену с помощью проводной сети, либо настроить особую политику для вре-
менного подключения гостевых записей (введя в этом случае временные ограничения
сессии в политике подключения сервера RADIUS). При краткосрочном подключении
к сети клиент получит сертификат и в дальнейшем будет работать в соответствии
с постоянной политикой беспроводного доступа.
Безопасность клиента
При подключении компьютера к публичной беспроводной сети следует принимать