Сети домашние и офисные
Игорь Козлов,
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Сети домашние и офисные
Игорь Козлов,
В последнее время у нас наметился рост интереса к компьютерам компании Apple. Сложно с определенностью сказать, чему именно обязан этот рост: популярности iPod, изменению маркетинговой политики Apple на постсоветском пространстве или внезапно возникшему интересу к непосредственному конкуренту платформы Wintel. Естественно, любого, кто собирается сменить платформу, компьютер или просто программу, волнует насущный вопрос: "А что будет с совместимостью? Что я потеряю и что приобрету?".
Подключение к локальной Ethernet-сети не вызывает проблем. Настройки практически аналогичны настройкам PC-совместимых компьютеров. Встроенный Ethernet-интерфейс настраивается через панель системных настроек. Помимо обычных режимов, есть интересный режим, которого нет в PC: "DHCP с ручным адресом". В этом режиме IP-адрес задается статически у клиента, а все остальные настройки (DNS, шлюз по умолчанию и префикс DNS) берутся из DHCP. Панель управления состоянием РРРоЕ можно вывести на главную панель - она всегда доступна в верхней части экрана, что позволяет оперативно управлять состоянием РРРоЕ-соединения. Вообще, подобные панели управления имеют общий стиль в Mac OS X. Возможно задание автоматической настройки прокси-серверов в том случае, если интерфейс Ethernet используется для прямого доступа в Интернет. Правда, аналогично Windows, эти настройки являются системными и влияют только на ПО, которое их поддерживает, в частности, на штатный браузер Safari (в Windows - Internet Explorer). Для интерфейса можно указать режим настройки, скорости и режима дуплекса/полудуплекса.
Встроенный модем поддерживает протокол v.92, причем, реально работает функция "Modem on Hold". Назначение этой функции в том, что при использовании электронной АТС с поддержкой услуги "Ожидание вызова", пользователь, работая в Интернет, получит уведомление о входящем звонке и сможет выбрать - отвечать или нет. При любом выборе v.92 позволяет не разрывать соединение с провайдером в течение 6 минут. К сожалению, наши АТС пока не поддерживают функцию CallerlD - западный аналог нашего АОН, но без поднятия трубки. Есть надежда, что рано или поздно поддержка CallerlD появится на наших электронных АТС, и тогда пользоваться модемами и телефонами, ее поддерживающими, станет намного удобней.
Ввод данных для подключения довольно прост. Можно статически задавать IP-адрес для РРР-соединения, либо использовать автоматическое получение адреса от провайдера. Аналогично интерфейсу Ethernet, поддерживается настройка прокси-серверов, которые будут использованы при работе через модемное соединение. Настройка "Сообщать о входящих звонках..." как раз и определяет, будет ли включен режим "Modem on Hold". Для управления соединением модема можно вывести панель в главное меню. Звук от модема, на время установки соединения, выводится на встроенные колонки Apple iMac G5.
При наличии Bluetooth-модема, можно подключаться через него. И поддержка Bluetooth в Mac OS X очень серьезная. Например, через встроенную программу iSync можно синхронизировать довольно большое количество телефонов и PDA, полный список которых перечислен здесь: http/www.apple.com/macosx/features/isy. Синхронизация позволит держать актуальную копию календаря iCal, контактов Address Book и списка дел (ToDo) на телефоне (PDA). Кроме синхронизации, поддерживается управление телефоном с компьютера, прием (или отклонение) звонка, чтение (и написание) SMS-сообщений.
Для подключения к виртуальным частным сетям (VPN) предусмотрена поддержка протокола РРТР. Однако вы не сможете установить два тоннеля РРТР, поскольку это не предусмотрено разработчиками. Такое ограничение может оказаться важным, когда РРТР используется и для подключения к Интернет (что часто бывает в домашних сетях), и для доступа к внутренней сети фирмы. В этом случае штатными средствами Mac OS X установить два тоннеля невозможно. С другой стороны, РРТР все меньше используется для доступа к локальным сетям фирм. Причин тому две: протокол МРРЕ, который РРТР использует для шифрования данных, не соответствует современным требованиям по стойкости, а протокол GRE, который он использует для передачи данных, часто не работает из-за установленного в сети брандмауэра, поскольку далеко не все шлюзы поддерживают его трансляцию. Поэтому для доступа в корпоративную сеть с Mac лучше использовать OpenVPN - он более защищен и универсален в использовании, а РРТР применять только для подключения к провайдеру, т. е. там, где безопасность соединения не критична.
Интересна поддержка сетевых профилей. Каждый из них хранит настройки всех сетевых интерфейсов. При переключении профиля система изменяет настройки интерфейсов на указанные в текущем профиле. Это очень удобно для пользователей ноутбуков, поскольку им приходится работать в разных сетях с разной IP-адресацией и использованием (или неиспользованием) прокси-серверов. Таким пользователям будет достаточно создать несколько "мест", где они бывают, указать для каждого "места" сетевые настройки и просто переключать их по мере необходимости (перемещения между "местами").
Доступ с Mac в одноранговую сеть Microsoft довольно прост: после запуска Finder (аналог Обозревателя в Windows), ищите в нем папку "Сеть", в которой можно просмотреть сетевое окружение. В сетевом окружении видны рабочие группы и домены: если выбрать их, то появляется список компьютеров, которые ей (ему) принадлежат. Дальше начинается самое интересное: дело в том, что в Mac OS X, как и в UNIX-подобных системах, нет таких понятий, как "буква диска" и "сетевая папка". Все диски, общие сетевые папки, архивы и т. п. "монтируются", как папка в корневой ОС. Например, смонтированный (подключенный) CD-диск в UNIX-подобной системе может выглядеть как папка "Volumes/DVD", а при переходе в нее будет отображаться содержимое диска. Причем, если со смонтированной папки открыты какие-либо файлы, то размонтировать (корректно отключить) ее будет невозможно, пока файлы не будут закрыты. Плохо это или хорошо - спорить не беремся, отметим лишь, что это концепция UNIX, и в любом UNIX'е это будет работать именно так.
Чтобы не искать каждый раз сетевую папку по полному ее пути, есть возможность создания для нее ярлыка. После этого достаточно просто кликнуть ярлык, и папка смонтируется автоматически. Собственно, в Windows есть аналогичные ярлыки, но там нет процесса монтирования и размонтирования носителей (или сетевых папок). Так вот, после того, как мы выбрали компьютер, к которому хотим подключиться, у нас появляется кнопка "Подключить...", при нажатии на которую система попытается подключиться к компьютеру и просмотреть на нем список общих папок, чтобы смонтировать одну из них. А уже смонтированная сетевая папка будет отображаться в Finder. Кнопка "Выброс" возле ее названия не случайна - при нажатии на нее сетевая папка размонтируется. Общая папка в смонтированном виде выглядит аналогично любому смонтированному ресурсу. В определенных случаях может появляться окно аутентификации. В этом окне можно ввести имя, пароль и домен пользователя, под которым следует подключиться к общей папке. В случае гостевого доступа можно оставить просто "User" с пустым паролем - это будет аналогично указанию пользователя "Guest" с пустым паролем, часто используемого в одноранговых сетях. Помимо простого выбора сетевой папки из списка доступных, можно воспользоваться более сложной утилитой из состава Finder: "Подключиться к серверу...". При ее запуске появляется небольшое окно, в котором можно ввести URL сетевого ресурса, причем вводить туда можно адреса разных протоколов - все зависит от префикса. Например, для подключения по FTP нужно ввести префикс "ftp://", а для подключения по сети Microsoft "smb://" и т. д. При этом можно сразу указывать имя и пароль в формате ftp://"имя":"пароль"@"адрес/сервера".
Уже довольно давно компьютер, не подключенный к Интернет, считается в некотором роде ущербным, и даже не совсем понятно, как можно работать в таких условиях. Иметь дома ПК и не озаботиться вопросом доступа к Интернет просто немыслимо, хотя, конечно, в укромных уголках и отдаленных регионах нашей страны наладить доступ может оказаться очень непросто, а то и вовсе невозможно. К счастью, большинство пользователей, проживающих в больших городах, успешно решают вопрос с подключением и получают... А что, собственно, они получают? Вариантов немного: доступ либо коммутируемый, по телефонному каналу, посредством архаичного уже модема, с черепашьей скоростью и частыми обрывами связи, либо доступ постоянный и более скоростной. Говорить об обычных факс-модемах мы не будем, их век прошел, да и не меняются они практически уже лет десять, если не больше. В том, что касается постоянного доступа, гораздо больше интересного, тут тоже возникают два варианта подключения: все по той же телефонной линии, но с применением современных ADSL-технологий, либо через локальную сеть в том или ином виде.
Для ADSL-подключения требуется модем, для Ethernet-подключения, по большому счету, дополнительно ничего не нужно: сетевые контроллеры интегрированы практически во все материнские платы. И все бы хорошо, но если у вас несколько компьютеров, то возникают проблемы и поводы для головной боли. Придется выбирать, какая машина будет основной, с разделяемым доступом к Интернет, а значит, нужно держать этот компьютер постоянно включенным, быть привязанным к нему, даже если у вас есть ноутбук и можно было бы поработать в другой комнате, сидя на диване. В общем-то, уже должно быть понятно, что беспроводные технологии существенно более удобны и максимально доступны и по стоимости, и по простоте освоения.
За последние несколько лет беспроводные сети (WLAN) получили широкое распространение во всем мире. И если ранее речь шла преимущественно об использовании беспроводных сетей в офисах и хот-спотах, то теперь они широко используются и в домашних условиях, и для развертывания мобильных офисов (в условиях командировок). Специально для домашних пользователей и небольших офисов продаются точки беспроводного доступа и беспроводные маршрутизаторы класса SOHO, а для мобильных пользователей - карманные беспроводные маршрутизаторы. Но не будем торопиться с оценками, лучше планомерно рассмотрим оба варианта подключения: через сеть телефонную и компьютерную.
Если верить статистике, то с наибольшей вероятностью ваш компьютер подключен к Интернет через обычный телефонный кабель по технологии ADSL 2+. Несмотря на весьма низкое качество среды передачи данных (особенно если сравнивать с хорошей витой парой или, тем более, с оптическим кабелем), все же инженерная мысль в свое время совершила революцию и преодолела ограничение в 56 Кбит/с, характерное для подключения dial-up. Сейчас возможно подключение на скоростях до 7,5 Мбит/с, на практике этот лимит достигается не всегда, но говорить о том, что соединение - высокоскоростное, можно с полным правом. Опять же, если верить статистике, именно ADSL лидирует по количеству пользователей, а если поверить еще и рекламе, размещенной на сайтах провайдеров, то вообще нет никаких проблем, и подключение происходит очень просто.
Как это получается на самом деле в случае с "Авангард ADSL", я убедился на "собственной шкуре" и подробно описал в статье "Как я подключал "Авангард ADSL" в "КИ" # 5/2007. Справедливости ради необходимо отметить, что у каждого из провайдеров есть как свои достоинства, так и недостатки, поэтому, прежде чем принимать решение, внимательно почитайте в Интернет отзывы уже подключившихся пользователей.
Итак, чтобы воспользоваться ADSL-подключением к Интернет, достаточно заключить контракт (на основании которого провайдер установит свою часть оборудования на АТС пользователя) и подключить и настроить модем. Существуют ADSL-модемы как с подключением по USB, так и с портом Ethernet, но у подавляющего большинства представленных на рынке моделей есть общее свойство, все чаще становящееся недостатком: среднестатистический модем рассчитан на использование с одним компьютером. Это нисколько не смутит вас в случае, если вы используете (точнее было бы сказать "пока еще используете") всего один компьютер. Скорость соединения достаточно высока, чтобы можно было без проблем использовать канал для двух, а то и пяти ПК.
Разумеется, 5 компьютеров в одной квартире - ситуация, прямо скажем, не самая типичная, а вот компьютер, ноутбук и сетевой принтер или сетевой накопитель - достаточно обычная. Выходом в данной ситуации будет развертывание домашней сети, с хабом, проводами, настройками и весьма ограниченной свободой перемещения рабочего места, хотя второй домашний компьютер - почти наверняка ноутбук, преимущество которого заключается именно в мобильности. Можно, конечно, приобрести не только сетевой концентратор, но и беспроводную точку доступа или комбинированное устройство. Но значительно проще и выгоднее сразу предвидеть развитие своей домашней сети и еще на этапе покупки (или апгрейда) ADSL-модема выбрать такой, который обеспечивает подключение нескольких ПК, в том числе посредством Wi-Fi, без проводов. Это устройство должно быть не только ADSL-модемом, но и выполнять функции маршрутизатора (роутера) с проводным и беспроводным подключением. Примечательно, что стоимость подобного устройства сопоставима со средней ценой ADSL-модема, не имеющего сетевых функций, или точки доступа, не поддерживающей ADSL-подключение к Интернет. Тут же мы имеем все сразу и за те же деньги. Согласитесь, весьма привлекательный вариант.
Как правило, маршрутизатор имеет на передней панели корпуса крупные зеленые светодиоды, показывающие активность портов LAN, статус беспроводной сети, ADSL и наличие питания устройства. На обратной стороне установлена антенна, которую можно повернуть в любом направлении, поскольку она свободно вращается. Рядом с ней находятся 4 сетевых порта для подключения компьютеров, которые будут использовать доступ к Интернет. Стоит отметить, что эти ПК, равно как и подключившиеся посредством Wi-Fi, будут находиться в полноценной локальной сети, то есть, возможна передача файлов между ними, игры по внутриквартирной локальной сети и т. п. Также на задней стенке модема-маршрутизатора расположен разъем для подключения к телефонной сети, кнопка Reset и кнопка выключателя питания.
На левой стороне корпуса имеется поворачивающаяся подставка, при помощи которой ADSL-модем можно установить вертикально (тогда левая сторона превращается в нижнюю): так он будет занимать на столе совсем немного места. Такой способ установки предпочтителен в случае, если устройство размещается рядом с компьютером.
Подключение и настройка ADSL-модема потребуют совсем немного времени, и справиться с этим сможет даже пользователь, не осведомленный о сетевых технологиях и не желающий тратить свое время на изучение тонкостей настройки. Фактически, требуется лишь подключить модем-маршрутизатор к телефонной линии и к ПК (в случае использования проводного подключения) при помощи прилагающихся кабелей и подать питание. Вот и все, ADSL-модем готов к работе!
Разумеется, настройки, которых немало, доступны через Web-интерфейс. Устройство традиционно присваивает себе IP-адрес 192.168.1.1, встроенный сервер DHCP автоматически назначает подключенным компьютерам адреса в этом сегменте, в адресах варьируются цифры после последней точки.
В том случае, если вы используете DHCP-сервер, сетевые настройки, о которых мы говорили в первой части этой статьи (см. "КИ" # 12/2007), несколько изменятся. В окне "Свойства: Протокол Интернет (TCP/IP)" необходимо выбрать значение "Получить IP-адрес автоматически", и в качестве значения "Предпочитаемый DNS-сервер повайдера" обязательно ввести адрес DNS, полученный у провайдера.
Набрав 192.168.1.1 в адресной строке браузера, пользователь получает доступ к настройкам ADSL-модема. Web-интерфейс удобен и соответствует стандарту де-факто, принятому для подобного рода маршрутизаторов. Можно задавать и менять все необходимые параметры, просматривать текущие значения и состояние, но, пожалуй, единственное, что следует сделать обязательно, - это сменить пароль администратора. Хотя пароль по умолчанию имеется, и он не столь тривиален, как четыре ноля, все-таки не стоит давать возможность кому-либо подключиться по беспроводному каналу и получить управление устройством. Естественно, если вы не собираетесь делиться своим доступом к Интернет и ресурсами собственной сети с кем угодно, то стоит защитить надежным паролем и сам вход в беспроводную сеть, предпочтительно использовать виртуальную частную сеть VPN, благо многие устройства поддерживают такую возможность.
Возможности, как несложно заметить, достаточно стандартные для современных ADSL-модемов и беспроводных маршрутизаторов. Однако не надо забывать, что здесь мы имеем все в одном устройстве, причем устройстве недорогом, поэтому полнота функций - факт весьма отрадный. Обратите внимание на поддержку беспроводных сетей двух стандартов - IEEE 802.11g и IEEE 802.11b - это типично для современных Wi-Fi-устройств. И все же при покупке беспроводного сетевого устройства всегда стоит убедиться в его максимальной совместимости. Также примечательны высокие скоростные характеристики непосредственно модемной части, соединение ADSL 2+ теоретически позволяет развить скорость до 24 Мбит/с для входящего трафика и до 1 Мбит/с для исходящего. Поскольку обычный договор с провайдером не предусматривает столь высоких скоростей, остается лишь поверить спецификациям; что точно гарантировано - так это реализация полной скорости, предусмотренной контрактом. Наконец, есть еще такие полезные функции, как встроенный межсетевой экран (хороший программный брандмауэр на ПК все-таки стоит тоже оставить - лишняя защита еще никому не вредила) и возможность легкого обновления прошивки: достаточно просто закачать из Интернет соответствующий файл по протоколу FTP.
К счастью, сейчас при подключении к Интернет есть свобода выбора, и ADSL - не единственный способ, хотя и наиболее массовый. Достаточно большое количество домов охвачено локальными сетями, предлагающими подключение через Ethernet. Собственно, районные и так называемые домовые сети предлагают не только доступ к ресурсам глобальной сети, но и собственные, внутрисетевые. Подключившись к какой-либо из таких сетей, домашний пользователь входит, можно сказать, в своеобразную корпоративную среду, которая обычно имеет такие атрибуты, как общий прокси-сервер, DNS, почтовый сервер и прочие системы и сервисы, характерные для современной сетевой инфраструктуры. Конечно, для домашнего пользователя не так уж важно, у какого именно провайдера находится вся эта "кухня", будет это домовая сеть или тот же ADSL-канал - по большому счету, все равно, А вот файловые хранилища, огромные архивы видео, музыки, полезных утилит и прочего "вареза" (чего греха таить, порой не более легального, чем продающийся в Автово, но от этого не менее привлекательного) - это уже серьезный аргумент в пользу подключения через локальную сеть. Помимо серверов провайдера, часто есть доступ к файлам, выложенным на компьютерах абонентов сети. Обмен музыкой или фильмами в пределах районной сети обычно более продуктивен, чем поиск в Интернет, да и скорость копирования внутри "локалки" составляет 100 Мбит/с, чего пока не в состоянии обеспечить соединение через телефонную линию. Наконец, хотя ADSL и не занимает телефонную линию, наличие такого соединения все же накладывает ряд ограничений на использование того же канала, например, в случае установки охранной системы (хотя эта проблема, вроде бы, в целом решена, остается масса частностей, которые могут осложнить работу с ADSL). В общем, аргументов в пользу Ethernet-подключения достаточно много, они звучат вполне убедительно, и количество пользователей районных и домовых сетей растет. Именно поэтому абонентам таких сетей, а также тем, у кого уже есть ADSL-модем с интерфейсом Ethernet, можно рекомендовать другое устройство, а именно - беспроводной маршрутизатор, поскольку в ряде случаев вместо модемной составляющей было бы полезнее иметь порт RJ-45 и возможность организации подсети внутри квартиры с подключением к более крупной сети или отдельному ADSL-модему.
Беспроводной маршрутизатор имеет совершенно определенную задачу - обеспечить защиту и бесперебойное функционирование домашней сети. Как правило, передняя панель, украшенная буквами в наименовании роутера, снабжена небольшими зелеными индикаторами активности для четырех портов LAN, порта WAN (к которому подключается входящий в квартиру кабель районной сети или модем) и индикаторами работы Wi-Fi и наличия питания. Вообще, устройства такого рода имеет смысл размещать не на виду, а где-нибудь на шкафу в коридоре, в точке, находящейся на равном удалении и, желательно, в прямой видимости из всех комнат, где предполагается использование Wi-Fi. Стены домов, армированные железными прутьями и сетками, имеют свойство не пропускать или ослаблять сигнал беспроводной сети, поэтому ставить точку доступа лучше в "эпицентре". Обратная сторона корпуса устройства содержит разъемы RJ-45 для подключения компьютеров, порт WAN, вращающуюся антенну, разъем для блока питания и защищенную от случайного нажатия кнопку Reset для сброса настроек и возврата к значениям по умолчанию. Выключателя питания нет, собственно, он и не нужен - выключение точки доступа может понадобиться очень редко, можно и просто вынуть вилку из розетки.
В работе беспроводной маршрутизатор нисколько не сложнее, чем беспроводной ADSL-модем, даже проще в силу меньшей нагруженности функциями. Все, что необходимо сделать пользователю, - это удачно выбрать место расположения маршрутизатора в квартире, чтобы охватить максимальную площадь и при этом не натыкаться на само устройство и идущие от него провода. Для первоначальной настройки необходимо помнить "магический" IP-адрес 192.168.1.1 и администраторский пароль по умолчанию (пароль 1234, разумеется, лучше сразу сменить). В случае, если вы подключаетесь к домовой сети, то придется указать настройки сети (ваш фиксированный IP-адрес, адрес шлюза, сервера DNS, маску подсети и т. п.). Это, может быть, звучит несколько пугающе, но ничего сложного нет, достаточно узнать данные параметры у провайдера и следовать указаниям "Мастера настройки", реализованного в недрах Web-сервера, встроенного в устройство.
С помощью "Мастера настройки" предлагается выбрать режим работы - в паре с ADSL-модемом, как мост для подключения к сети или как беспроводная точка доступа к Интернет. Затем задается системное время, параметры сетевого интерфейса, можно переназначить адрес роутера и используемое им адресное пространство, но проще оставить по умолчанию.
Следующим шагом устанавливаются как раз параметры, относящиеся к внешней сети, вашему подключению. Наконец, можно поменять (или оставить по умолчанию) параметры беспроводной связи Wi-Fi.
Последним шагом будет определение метода защиты от несанкционированного доступа, задание пароля или ключа сети. В общем, ничего особенно сложного, всего 5 минут - и можно начинать работать. При желании покопаться в тонких настройках - нет проблем, Web-интерфейс обеспечивает такую возможность.
Любая беспроводная сеть состоит как минимум из двух базовых компонентов - точки беспроводного доступа и клиента беспроводной сети (режим ad-hoc, при котором клиенты беспроводной сети общаются друг с другом напрямую, без участия точки доступа, мы рассматривать не будем). Стандартами беспроводных сетей 802.11a/b/g предусматривается несколько механизмов обеспечения безопасности, к которым относятся различные механизмы аутентификации пользователей и реализация шифрования при передаче данных.
Протокол WEP. Все современные беспроводные устройства (точки доступа, беспроводные адаптеры и маршрутизаторы) поддерживают протокол безопасности WEP (Wired Equivalent Privacy), который был изначально заложен в спецификацию беспроводных сетей IEEE 802.11. Данный протокол является своего рода аналогом проводной безопасности (во всяком случае, расшифровывается он именно так), однако реально никакого эквивалентного проводным сетям уровня безопасности он, конечно же, не предоставляет. Протокол WEP позволяет шифровать поток передаваемых данных на основе алгоритма RC 4 с ключом размером 64 или 128 бит. Данные ключи имеют так называемую статическую составляющую длиной от 40 до 104 бит и дополнительную динамическую составляющую размером 24 бита, называемую вектором инициализации (Initialization Vector, IV).
На простейшем уровне процедура WEP-шифрования выглядит следующим образом: первоначально передаваемые в пакете данные проверяются на целостность (алгоритм CRC-32), после чего контрольная сумма (integrity check value, ICV) добавляется в служебное поле заголовка пакета. Далее генерируется 24-битный вектор инициализации (IV) и к нему добавляется статический (40-или 104-битный) секретный ключ. Полученный таким образом 64-или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, использующегося для шифрования данных. Далее данные смешиваются (шифруются) с помощью логической операции XOR с псевдослучайной ключевой последовательностью, а вектор инициализации добавляется в служебное поле кадра. Вот, собственно, и все.
Протокол безопасности WEP предусматривает два способа аутентификации пользователей - Open System (открытая) и Shared Key (общая). При использовании открытой аутентификации никакой аутентификации, собственно, и не существует, то есть, любой пользователь может получить доступ в беспроводную сеть. Однако даже при использовании открытой системы допускается использование WEP-шифрования данных.
Протокол WPA. К сожалению, протокол WEP имеет ряд серьезных недостатков и не является для взломщиков труднопреодолимым препятствием. Поэтому в 2003 году был представлен следующий стандарт безопасности - WPA (Wi-Fi Protected Access). Его главная особенность - технология динамической генерации ключей шифрования данных, построенная на базе протокола TKIP (Temporal Key Integrity Protocol). TKIP представляет собой дальнейшее развитие алгоритма шифрования RC 4. По протоколу TKIP сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей. В протоколе TKIP предусмотрена генерация нового 128-битного ключа для каждого передаваемого пакета. Кроме того, контрольные криптографические суммы в WPA рассчитываются по методу MIC (Message Integrity Code). В каждый кадр здесь помещается специальный 8-байтный код целостности сообщения, проверка которого позволяет отражать атаки с применением подложных пакетов. В итоге получается, что каждый передаваемый по сети пакет данных имеет собственный уникальный ключ, а каждое устройство беспроводной сети наделяется динамически изменяемым ключом. Кроме того, протокол WPA поддерживает шифрование по стандарту AES (Advanced Encryption Standard), то есть, по усовершенствованному стандарту шифрования, который отличается более стойким криптоалгоритмом, чем это реализовано в протоколах WEP и TKIP.
При развертывании беспроводных сетей в домашних условиях или небольших офисах обычно используется вариант протокола безопасности WPA на основе общих ключей - WPA-PSK (Pre Shared Key). В дальнейшем мы будем рассматривать только вариант WPA-PSK, не касаясь вариантов протокола WPA, ориентированных на корпоративные сети, где авторизация пользователей проводится на отдельном RADIUS-сервере. При использовании WPA-PSK в настройках точки доступа и профилях беспроводного соединения клиентов указывается пароль длиной от 8 до 63 символов.
Фильтрация MAC-адресов. Фильтрация МАС-адресов, которая поддерживается всеми современными точками доступа и беспроводными маршрутизаторами, хотя и не является составной частью стандарта 802.11, тем не менее, как считается, позволяет повысить уровень безопасности беспроводной сети. Для реализации данной функции в настройках точки доступа создается таблица МАС-адресов беспроводных адаптеров клиентов, авторизованных для работы в данной сети.
Режим скрытого идентификатора сети SSID. Еще одна мера предосторожности, которую часто используют в беспроводных сетях, - это режим скрытого идентификатора сети. Каждой беспроводной сети назначается свой уникальный идентификатор (SSID), который представляет собой название сети. Когда пользователь пытается войти в сеть, то драйвер беспроводного адаптера сканирует эфир на наличие в нем беспроводных сетей. При использовании режима скрытого идентификатора (как правило, этот режим называется Hide SSID) сеть не отображается в списке доступных, и подключиться к ней можно только в том случае, если, во-первых, точно известен ее SSID, и, во-вторых, заранее создан профиль подключения к этой сети.
Выводы и рекомендации. WEP-протокол можно сравнить с "защитой от дурака". Это примерно то же самое, что и сигнализация на машине - разве только от хулиганов спасает. Поэтому, по возможности, лучше не использовать этот протокол вообще. Фильтрация по МАС-адресам и режим скрытого идентификатора сети - это вообще "детский лепет", и рассматривать их как защиту нельзя. Однако даже такими средствами не стоит пренебрегать, но только в комплексе с другими мерами.
Протокол WPA, хотя и куда более сложен для взлома, но также уязвим. Впрочем, не стоит падать духом - не все так безнадежно. Дело в том, что успех взлома секретного WPA-ключа зависит от того, имеется он в словаре или нет. Стандартный словарь имеет размер чуть более 40 МБ, что, в общем-то, не так уж и много. В результате, после трех попыток, мы сумели подобрать ключ, которого не оказалось в словаре, и взлом ключа оказался невозможным. Для полного перебора всех ключей потребовалось 2,5 часа. Количество слов в этом словаре - всего-навсего 6475760, что, конечно же, очень мало. Конечно, можно использовать словари и большей емкости. К примеру, в Интернет можно заказать словарь на трех CD-дисках, то есть, размером почти в 2 ГБ, но и это немного. Попутно отметим, что для перебора всех ключей словаря размером 2 ГБ при использовании процессора с 4 логическими ядрами потребуется уже 5 суток! Но даже такой словарь содержит далеко не все возможные пароли. Ну, действительно, давайте приблизительно рассчитаем количество паролей длиной от 8 до 63 символов, которые можно сформировать с использованием 26 букв английского алфавита (с учетом регистров), десяти цифр и 32 букв русского алфавита. Получим, что каждый символ можно выбрать 126 способами. Соответственно, если учитывать только пароли длиной 8 символов, то получим, что размер такого словаря составит 4,5 млн ТБ. А ведь это только комбинации из 8 символов. А если перебрать все возможные комбинации от 8 до 63 символов? В общем-то, не надо быть математиком, чтобы понять, что такого дискового пространства просто не существует (даже если сложить емкости всех жестких дисков на всей планете). Но даже если гипотетически предположить, что такой словарь создан, то задача по перебору всех ключей была бы не по зубам ни одному самому мощному суперкомпьютеру.
Так что, не стоит отчаиваться. Шансов, что используемый вами пароль не содержится в словаре, великое множество. Просто при выборе пароля не стоит использовать слова, имеющие смысл. Лучше всего, чтобы это был абсолютно беспорядочный набор символов (что-то типа "FGnpo-yKqweRT4j563ann").
Конечно, для создания надежной системы безопасности беспроводных сетей разработано немало методов. К примеру, самым надежным способом считается использование виртуальных частных сетей VPN (Virtual Private Network). Создание беспроводной виртуальной частной сети предполагает установку шлюза непосредственно перед точкой доступа и установку VPN-клиентов на рабочих станциях пользователей сети. Путем администрирования виртуальной частной сети осуществляется настройка виртуального закрытого соединения (VPN-туннеля) между шлюзом и каждым VPN-клиентом сети. Впрочем, VPN-сети редко используются в небольших офисных сетях и практически не используются в домашних условиях. Как и протокол 802.1 х, VPN-сети - прерогатива корпоративных сетей.
Вот так неожиданно и наступило то светлое будущее, в котором беспроводные технологии позволяют воплотить давнюю мечту многих домашних пользователей - избежать опутывания жилища витой парой 5-й категории. Чаще всего размещение компьютера в квартире определяется все-таки соображениями удобства, а не максимальной приближенностью к входной двери или телефонной розетке. Соответственно, к компьютеру, а если их несколько - то к каждому ПК, необходимо протянуть либо сетевой кабель, либо, при использовании модема, телефонный, что ничуть не лучше. Квартира - не офис, пластиковые короба вдоль стен интерьер точно не улучшат, а скрытую проводку в стенах можно заложить только на этапе отделочных работ или ремонта в квартире. Именно поэтому даже для стационарных домашних ПК появление надежных, недорогих и высокоскоростных устройств Wi-Fi - событие очень важное. Если в вашем компьютере нет соответствующего адаптера, это не проблема: установив Wi-Fi PCI-плату стоимостью всего около $18, вы сможете оставить маршрутизатор в прихожей или коридоре и спокойно работать с сетью. Пусть 54 Мбит/с почти вдвое медленнее, чем Fast Ethernet, для домовых сетей и, тем паче, для соединения с ADSL-модемом такой скорости передачи данных точно хватит.
Если же вы работаете с ноутбуком, то получите настоящую свободу перемещения, можно перебраться из опостылевшего кресла за письменным столом на диван в гостиной или на кухню - сеть будет доступна. Большинство современных ноутбуков оснащается встроенным адаптером Wi-Fi. Если же ваш лишен поддержки беспроводных сетей, то достаточно воспользоваться Wi-Fi-адаптером стоимостью порядка $19 в розницу, представляющим собой компактный модуль с интерфейсом USB, внешне очень похожий на USB-флэшку. Кстати, удобно использовать контроллер с интерфейсом USB в случае, если пользователь один, а компьютеров - несколько, например, стационарный домашний ПК и ноутбук, собственный или корпоративный. Доступ к сети элементарно перемещается с одного компьютера на другой, вместе с компактным USB-устройством.
Так что, уже никто не скажет, что сеть в квартире - это чересчур. Даже если в семье всего один пользователь компьютера, ему могут понадобиться сетевые технологии для работы на ноутбуке, использования КПК, в общем, мобильность должна быть настоящей, а не номинальной. Когда же пользователей и одновременно работающих компьютеров несколько, то сеть превращается в насущную необходимость. Наконец, появление подобных устройств и их популярность (на момент подготовки статьи средняя розничная стоимость Wi-Fi ADSL-модема составляла около $75, а Wi-Fi-маршрутизатора - всего порядка $45), говорят о признании, даже, можно сказать, о торжестве беспроводных технологий. Wi-Fi окончательно вошел в нашу жизнь, уже есть ощущение, что совсем скоро в городе будет сложно найти место, где не будет доступна хотя бы одна сеть. В общем, построить сеть дома стало просто, как никогда. Было бы желание, а больших затрат финансов и времени уже не требуется.
Рассмотрев преимущество использования беспроводных технологий дома, на мой взгляд, было бы просто кощунством не рассказать о том, как можно использовать преимущество Wi-Fi-адаптера, установленного в ноутбуке, там, где каждый доллар или евро на счету. Прежде чем говорить о конкретностях, позвольте сделать несколько замечаний общего характера. Во всем мире используются схожие принципы подключения к Интернет через Wi-Fi, и их знание поможет вам сэкономить драгоценные минуты.
Во-первых, если у вас ноутбук со встроенным (по идее, можно использовать и внешний) Wi-Fi-модулем, то, только находясь поблизости от беспроводной точки доступа (или хот-спота), вы можете осуществлять соединение с Интернет. Сегодня чаще всего используется версия протокола 802.11b, а радиус соединения составляет порядка 100 метров.
Во-вторых, сегодня хот-споты чаще всего встречаются в местах массового скопления людей (аэропорты, супермаркеты), и, решив отдохнуть в каком-либо отдаленном уголке, вы можете столкнуться с полным отсутствием возможности беспроводного доступа к Интернет.
В-третьих, - само подключение. В большинстве случаев, встроенный Wi-Fi-модуль ноутбука автоматически находит сеть и устанавливает соединение с ней (для этого модуль должен быть включен, и вы должны находиться в зоне действия беспроводной сети). Если этого не происходит, то можно и вручную: "Пуск" - "Панель управления" - "Сетевые подключения" - "Беспроводное сетевое соединение" - "Обновить список сетей". Там находим искомую сеть и нажимаем кнопку "Подключить". Также в свойствах "Протокол Интернет TCP/IP" должны быть установлены следующие параметры "Получить IP-адрес автоматически" и "Получить адрес DNS-сервера автоматически". Этот способ работает в 99 % случаев, и после этого на экран ноутбука выводится заглавная страница провайдера, предлагающего сервис.
Продолжение в следующем номере
Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей