Сегодня мы обратимся к проблеме, которая все чаще встает перед ИТ-специалистами. Организация беспроводного доступа в офисе — не вполне тривиальная задача. Предоставляя сотрудникам доступ к сети с мобильных устройств, нужно учесть ряд тонкостей, прежде всего чтобы обезопасить сеть от вторжений злоумышленников.
Если доступ к сети не ограничен или должным образом не защищен, подключиться к ней и бесплатно выходить в Интернет может любой. Это грозит компании как минимум ростом затрат на оплату интернет-трафика (услуги провайдеров, предоставляемые организациям, тарифицируются только по лимитированным планам). А уж если целью проникновения станет доступ к внутренним ресурсам компании, последствия могут быть куда печальнее.
Но начнем с технической стороны и определимся с тем устройством, на базе которого будет организован беспроводной доступ в офисе. Когда мобильных пользователей не более десятка, то можно обойтись одной обычной точкой доступа, наподобие тех, что предназначены для домашнего использования. Но если потребуется беспроводное подключение большего числа ноутбуков или помещения компании находятся на нескольких этажах либо просто на большом расстоянии, число точек доступа необходимо увеличить. Это не лучшее решение, так как администратору придется вручную настраивать каждую из них, а пользователи будут временно терять подключение к беспроводной сети при перемещении по зданию. Чтобы избежать таких сложностей, можно заранее установить беспроводной контроллер и подключать к нему новые устройства беспроводного доступа по мере надобности. Это значительно облегчит работу системного администратора, ведь в таком случае управление точками доступа осуществляется централизованно. Возможности контроллеров разных производителей различны; например, компания NETGEAR выпускает контроллеры, допускающие подключение до 16 устройств.
Кстати, при организации сети в офисе «с нуля» логично сразу установить интегрированное устройство, включающее в себя маршрутизатор, точку доступа и брандмауэр. Но если локальная сеть в офисе уже существует и настроена должным образом, нет смысла ее менять. В этом случае можно подключить обычную точку доступа (рис. 1)
Поскольку интерфейс настройки схож для всех перечисленных выше типов устройств, в дальнейшем не будем делать различий между ними. Более того, опции управления точкой доступа и настройки безопасности почти одинаковы для таких устройств вообще, так что практически не важно, на каком конкретном примере мы будем их рассматривать.
Настройка точки доступа
Итак, физически ваша точка доступа подключена к сети. Переходим к настройке необходимых параметров. Для этого нам нужно открыть в браузере веб-интерфейс точки доступа, набрав в адресной строке ее IP-адрес. Если в сети уже работает DHCP-сервер, он присвоит точке доступа соответствующий IP-адрес. Если же нет, то нужно использовать адрес по умолчанию, указанный, например, в инструкции к точке доступа. В большинстве случаев это 192.168.1.1. Кстати, если выбранное вами устройство поддерживает режим работы DHCP-сервера, это позволит вам разделить мобильных и стационарных пользователей по IP-адресам.
Так, например, точка доступа, имеющая адрес 192.168.1.ххх, подключенным к ней компьютерам будет присваивать IP-адреса вида 192.168.2.ххх, организуя тем самым отдельную подсеть.
Далее потребуется ввести данные учетной записи администратора. Зачастую производители предлагают по умолчанию самые простые логин и пароль: admin и password. Разумеется, их лучше сразу поменять. Сделать это можно во вкладке Maintenance открывшегося в вашем браузере интерфейса.
Создаваемая беспроводная сеть по умолчанию открыта и не защищена. Первоначальные настройки не обеспечивают даже минимального уровня безопасности, а потому большинство из них также лучше поменять. Откроем опцию Basic•Wireless Settings в разделе Wireless на вкладке Configuration (рис. 2).
Начать логично с идентификатора сети, так называемого SSID (Service Set Identifier).
Именно по SSID пользователь определяет нужную ему сеть. Чаще имя по умолчанию представляет собой название устройства плюс часть от его MAC-адреса. Его опять же следует поменять, хотя бы для того, чтобы затруднить злоумышленнику идентификацию вашей сети среди нескольких доступных. Однако настоящей безопасности этим не обеспечить: SSID присутствует в заголовке каждого пакета данных, передаваемого по Wi-Fi-сети. Имея под рукой специальное ПО (сниффер беспроводных соединений), это имя легко определить, даже когда широковещание этого имени отключено.
Кстати, широковещание (Broadcast) — еще один важный момент настройки сети. Если вы не хотите, чтобы к ней мог подключиться посторонний, то его лучше отключить (в настройках соединения на вкладке Wireless). Но для этого необходимо сначала настроить подключение к беспроводной сети всех нужных компьютеров. Это может вызвать сложности в том случае, когда число и состав мобильных сотрудников постоянно меняется — вам придется постоянно включать и отключать широковещание вручную.
Косвенно на безопасность сети может повлиять еще один параметр — мощность антенны. Значения этого параметра настраиваются на вкладке Wireless, в разделе Basic•Wireless Settings. По умолчанию значение Output power установлено в Full, т.е. равно 100 мВт. При такой мощности сеть будет действовать в радиусе порядка 100 м. Однако зависимость между количеством милливатт и расстоянием не прямая: уменьшение мощности в 2 раза вовсе не приведет к сокращению радиуса действия до 50 м. Выбрать нужное значение придется опытным путем.
Уменьшив мощность, вы сократите зону покрытия сети, а значит, для доступа к ней нужно будет находиться в непосредственной близости от источника сигнала. Но не забывайте, что тем самым вы потеряете и производительность. По большому счету, уменьшать мощность нужно, только если вы уверены, что действие сети не должно распространяться, например, за пределы одной комнаты.
Переходим к безопасности
Наконец-то мы добрались до самой главной вкладки — Security.
Прежде всего хочется упомянуть об очень важной возможности, имеющейся во многих Wi-Fi-устройствах, — о поддержке нескольких сетей (как правило, их число может достигать восьми). Она позволяет развернуть в рамках офиса несколько беспроводных соединений, например, разные для разных отделов, или одно — для сотрудников, с полным доступом к локальным ресурсам, а второе — для гостей, только с выходом в Интернет (рис. 3).
Создать профили соответствующих соединений можно в разделе Profile Settings (рис. 4) и там же изменить и их настройки. Стоит отметить, что у каждого соединения будет собственное имя SSID. На самом деле неважно, сколько профилей вы определите, — дальнейшие действия будут одинаковы для любого из них.
Первое, что предстоит определить, — параметры аутентификации (строка Network Authentication). Администратору предстоит выбрать подходящий механизм обеспечения безопасности (рис. 5). Скажем сразу: стандарт шифрования WEP (Wired Equivalent Privacy), которым открывается список, совершенно ненадежен. Это первый, а потому уже устаревший стандарт шифрования, и его довольно легко взломать. Многие производители рекомендуют пользоваться более современным и надежным режимом — WPA+PSK. Основное преимущество данного режима заключается в сочетании простоты настройки и хорошего уровня безопасности, что делает его идеальным выбором для домашних и небольших офисных сетей. Собственно, для настройки достаточно ввести ключевую фразу, которую пользователи будут вводить при соединении с сетью. Конечно, подобрать такую фразу, а значит, взломать защиту, относительно легко. Поэтому имеет смысл придумать сложный ключ с большим числом символов. Желательно также, чтобы фраза была неосмысленной, что значительно повысит устойчивость сети к взлому или вообще сделает его почти невозможным.
Новый современный режим работы WPA2+PSK (AES) использует более сложный алгоритм шифрования AES и, как следствие, является более надежным. Однако для его работы необходимо, чтобы данный режим поддерживался всеми устройствами в сети. С другой стороны, большинство точек доступа поддерживают одновременную работу в режимах WPA+PSK и WPA2+PSK, предоставляя обратную совместимость. Примером такой точки доступа может служить NETGEAR WNDAP330.
Опция Wireless Client Security Separation позволяет запретить беспроводным пользователям видеть друг друга в сети. Так, например, работают хотспоты в кафе, где каждый клиент имеет доступ в Интернет, но не может обменяться данными
с соседом.
Параметр VLAN ID позволяет задать номер виртуальной локальной сети VLAN для пользователей, входящих в сеть по данному профилю. Указав значение этого параметра, весь трафик от беспроводных клиентов данного профиля будет маркироваться как принадлежащий заданному номеру VLAN.
Если число беспроводных пользователей в компании больше двадцати, имеет смысл разделить их на группы, например, «Бухгалтерия», «Техподдержка», «Отдел продаж». Затем для каждой группы создать свой профиль, присвоить ему собственный VLAN ID, а затем настроить для каждого VLAN свои права доступа к внутренним или внешним ресурсам на коммутаторе, маршрутизаторе и брандмауэре.
На странице Advanced настроек безопасности можно указать еще ряд параметров, которые позволят усилить безопасность вашей точки доступа.
Первый параметр — Roguе AP — включает или отключает сканирование сети на наличие поблизости других точек доступа (рис. 6). Здесь же можно перечислить те точки, которым запрещен доступ к ресурсам данного соединения.
Следующая опция — MAC Authentication — позволяет настроить фильтрацию доступа устройств по MAC-адресам (рис. 7). Это средство довольно эффективно в плане безопасности, однако не всегда удобно в использовании: при смене устройства или появлении нового пользователя каждый раз придется менять значения вручную. Однако и это не является панацеей от всех проблем: злоумышленник при желании способен определить MAC-адрес, разрешенный к доступу в сеть, путем прослушивания беспроводного трафика. А уже изменение собственного MAC-адреса на данный «белый» адрес не составит труда.
Конечно же, надежнее всего при развертывании беспроводной сети использовать аутентификацию пользователя на локальном RADIUS-сервере, настройки которого вводятся в соответствующих полях ввода. Кстати, наблюдать за работой сети, существующими подключениями и прочими событиями можно с помощью вкладки Monitoring.
После того как нужные настройки безопасности установлены, можно подключать мобильных пользователей к беспроводной сети (рис. 8). Разумеется, им будут доступны и все ресурсы локальной сети (при условии, что профиль, по которому эти пользователи подключены, разрешает такой доступ): сетевые папки, принтеры и проч.
* * *
Применив на практике большинство приведенных в статье рекомендаций, можно добиться очень высокого уровня безопасности беспроводной сети. Но, как известно, идеальные решения встречаются редко, а потому не забывайте почаще проверять статистику и журнал событий своей точки доступа. Конечно, взлом беспроводного соединения означает лишь проникновение злоумышленника в вашу сеть, но не доступ к внутренним ресурсам и ценной информации. На этот случай стоит всерьез озаботиться настройками брандмауэра, маршрутизатора и прочих средств, обеспечивающих непосредственную безопасность вашей локальной сети и хранящейся в ней конфиденциальной информации. Об этом мы обязательно расскажем в одном из следующих номеров.
Что еще нужно знать
Современные точки доступа могут работать в разных частотных диапазонах. Связано это с несколькими вариациями стандарта беспроводной связи 802.11:a, b, g или n.
Стандарты a и b достаточно старые, причем первый из них определяет работу устройств на частоте
5 ГГц, официально запрещенной в России. Стандарты с маркировкой b или g работают на частоте 2,4 ГГц, а самый современный n поддерживает оба диапазона частот.
Существующие на данный момент устройства обычно поддерживают стандарты либо b/g, либо b/g/n. Однако есть и двухдиапазонные точки доступа, работающие в режимах b/g/n или a/n. Но вследствие запрета на использование ряда частот такие устройства в России непопулярны.
Помехи в эфире
Иногда несколько точек доступа в офисном здании работают на одной и той же частоте. Это приводит к взаимным помехам, снижая работоспособность Wi-Fi-сетей. Столкнувшись с такой ситуацией, попробуйте сменить значение параметра Chanel/Frequency в разделе Basic•Wireless Settings на вкладке Wireless. Обычно в подобных случаях рекомендовано выбирать значения 1, 6 или 11, так как эти частоты наиболее устойчивы к взаимным помехам.
Мне сверху видно все
Размещать точку доступа лучше вдали от металлических поверхностей, в центре помещения и желательно высоко. Прямая видимость устройства с клиентских компьютеров обеспечит хороший уровень сигнала.
Юстас Алексу
Хороший ключ можно придумать, используя русский текст, набираемый в английской раскладке клавиатуры. Проще говоря, переключитесь на английский язык, но фразу набирайте, глядя на русские буквы. Так, например фраза «Мама мыла раму» превратится в «Vfvf vskf hfve». Пожалуй, таких слов не найдешь ни в одном словаре.