А. Щербаков - Wi-Fi: Все, что Вы хотели знать, но боялись спросить
WEP (Wired Equivalent Privacy)— метод поточного кодирования передаваемых данных. Основан на алгоритме RC4. Система отправителя инициализирует программу кодирования двумя значениями: вектором инициализации (IV) и секретным ключом. Каждый бит получившегося в результате кодирующего ключа складывается с соответствующим битом тела (нагрузки) пакета с применением логической операции XOR. В заголовок каждого зашифрованного сетевого пакета добавляется значение IV, применённое для его кодирования. Для следующего пакета выбирается другое значение IV. При расшифровке для каждого бита зашифрованного сообщения и кодирующего ключа также применяется операция XOR. В результате получаем расшифрованные данные.
Вектор инициализации— IV (Initialization Vector). Значение длиной в 24 бита, генерируемое случайным образом.
ICV (Integrity CheckValue)— контрольная сумма данных.
МАС (Media Access Control)— аппаратный адрес.
VPN— защищённое сетевое соединение, использующее протоколы шифрования и туннелирования для создания безопасного подключения клиента к частной сети. Используется для работы в потенциально опасных коммуникационных средах, где существует возможность перехвата данных (например, в Интернет).
Взлом криптозащиты. Операция XOR к двум сообщением, зашифрованным одинаковыми парами значений секретного ключа и есть не что иное, как XOR к соответствующим незашифрованным данным. После чего сами исходные данные легко восстанавливаются.
Система обнаружения вторжения— NIDS (Network Intrusion Detection System).
Системы-ловушки— Honeypot, Honeynets.
WPA (Wi-Fi Protected Access). Базируется на «временном протоколе целостности ключей» — TKIP (Temporary Key Integrity Protocol). Задача, решаемая TKIP: не допустить повторного использования кодирующих ключей. Это достигается динамической заменой используемого в WEP статического ключа новым ключом, вычисленным на основании старого секретного ключа, вектора инициализации и порядкового номера сетевого пакета. Также предусмотрена дополнительная проверка целостности сообщений — MIC (Message Integrity Check), при которой наряду с полезными данными учитываются MAC адреса источника и получателя.
Тип брандмауэра (firewall).Один из первых вопросов, который может встать перед новичком, — это вопрос выбора между брандмауэром типа «Stateful Inspection» или «Stateful Packet Inspection» (SPI). Для ответа на него нужно представлять, как работает маршрутизатор.
Все устройства потребительского уровня основаны на трансляции сетевых адресов (Network Address Translation, NAT). Эта технология позволяет осуществлять множественный доступ компьютеров локальной сети (каждый из которых имеет собственный внутренний IP-адрес) в Интернет, используя один внешний IP-адрес, полученный у провайдера. NAT обеспечивает основные функции брандмауэра, пропуская в сеть только те данные из Интернета, которые поступили в результате запроса от компьютера из локальной сети. Поскольку NAT подразумевает просмотр маршрутизатором содержимого каждого проходящего пакета, то почему бы такой режим не отнести к SPI?
На самом деле этот вопрос до сих пор не имеет однозначного ответа, частично это связано с неправильным использованием терминов при описании ранних продуктов на основе NAT. Кроме того, среднестатистическому покупателю весьма проблематично убедиться в работе SPI. С практической точки зрения различие NAT и SPI не столь велико, здесь вопрос заключается в том, что нужно пользователю. Маршрутизаторы потребительского уровня на базе SPI обычно отличаются от своих родственников NAT наличием такой возможности, как уведомление об атаке по электронной почте, хотя и из этого правила могут быть исключения. Кроме того, благодаря буквам SPI, некоторые производители пытаются повысить стоимость своего оборудования.
Рекомендация:если единственным различием функциональности устройств является наличие SPI у одного из них, то выбирайте его в том случае, если вы планируете использовать перенаправление множества портов или осуществлять доступ к внутреннему серверу из Интернета. В противном случае «чистый» NAT cможет полностью со всем справиться.
Особенности порта WAN. Немного прояснив вопрос о NAT и SPI, перейдём к более практическим вещам — например, как подключиться к Интернету?
Примечание:под широкополосным модемом (broadband modem) мы понимаем устройство для подключения к Интернету, использующее любой из способов широкополосной связи. Это может быть любой модем для выделенной линии.
Тип соединения. Большинство маршрутизаторов оборудованы портом 10BaseT Ethernet для подключения к широкополосному модему. Почему не 10/100? Просто потому, что большинство соединений работают на скорости 1-2 Мбит/с, в лучшем случае, поэтому производители могут немного сэкономить, используя чип на 10BaseT. Некоторые модели оборудованы последовательным портом для WAN-соединения, что позволяет использовать их совместно с обычными модемами (для коммутируемых линий) или соответствующими модемами для выделенных линий (или ISDN-адаптерами). Некоторые модели поддерживают функцию автоматического установления резервного модемного соединения «auto-failover» при разрыве основного подключения и автоматическое переключение обратно при восстановлении последнего.
Получение параметров IP. Когда маршрутизатор уже приобретён и подключён к линии, нужно ещё раз убедиться, что он поддерживает метод получения IP-адреса и тип аутентификации, используемые провайдером. Сначала обратимся к способам задания IP-адреса, которые есть у всех устройств, затем рассмотрим методы аутентификации.
Динамический IP-адрес (Dynamic IP). В этом способе, который также называют «DHCP-клиент», маршрутизатор автоматически получает свой IP-адрес, адреса шлюза по умолчанию и сервера DNS. Подобный способ достаточно широко распространён — он предоставляет провайдеру достаточную гибкость при конфигурировании своей сети. Негативная сторона заключается в том, что полученный IP-адрес может смениться в любой момент, и удалённые приложения, работающие на основе IP-ад-ресов, не смогут работать. К счастью, решить эту проблему помогают провайдеры динамического DNS, например TZO, которые позволяют найти вас по имени независимо от текущего IP-адреса.
Статический IP-адрес (Static IP). Этот метод идеально подходит для тех, кто собирается использовать серверы и не желает связываться с динамическим DNS. Здесь требуется самостоятельно указать IP-адрес, адрес шлюза по умолчанию и адрес сервера DNS, предоставленные провайдером. Такой вариант предоставляют не все провайдеры, а те, которые предоставляют, могут взимать за это дополнительную плату.
Методы аутентификации.Вообще, у провайдеров существует множество способов для проверки подлинности пользователей. Рассмотрим наиболее распространённые из них.
• Коммутируемый доступ и ISDN. Пользователи этих двух способов, вероятно, заметили, что в маршрутизаторах с последовательным портом в разделе настройки удалённого доступа есть также место для указания номера телефона провайдера, имени пользователя и пароля.
• По MAC-адресу. Все устройства, обладающие IP-адресом, имеют и MAC-адрес. MAC-адреса уникальны для любого сетевого оборудования (по крайней мере, предполагается, что они уникальны) и используются в процессе присвоения IP-адресов. MAC-адреса (также известные как адреса физические) состоят из двенадцати шестнадцатиразрядных цифр (то есть, шести байт). Чтобы обеспечить уникальность MAC-адресов, каждому производителю сетевого оборудования выделяется свой диапазон, а конкретный адрес в рамках диапазона присваивается случайным образом.
Примечание:MAC-адрес может быть записан в одном из трех видов. Ниже приведены три варианта записи одного и того же MAC-адреса:
00fe3c812eab
00-fe-3c-81-2e-ab
00:fe:3c:81:2e:ab
MAC-адреса не чувствительны к регистру, поэтому для их написания можно использовать как строчные, так и заглавные буквы (A-F).
Провайдеры, использующие кабельные модемы, часто применяют именно этот метод аутентификации — вы даже можете не знать, что они используют именно его. Однако все сомнения рассеются, как только вы попытаетесь подключить модем к другому компьютеру или маршрутизатору. Поэтому если соединение перестало работать сразу после установки нового оборудования или через некоторое время после этого, вполне вероятно, что провайдер проводит аутентификацию именно по MAC-адресу.
Такой метод является источником проблем: при установке нового маршрутизатора необходимо звонить провайдеру и сообщать новый MAC-адрес в службу поддержки, что приводит к дополнительным временным издержкам. Некоторые провайдеры добавляют в свою базу данных МАС-адресов диапазоны, используемые наиболее известными маршрутизаторами, и запрещают их использование. (Кроме того, некоторые провайдеры отслеживают MAC-адреса устройств, находящихся в сети, и отключают маршрутизаторы без предупреждения или объяснения).