Cети и коммуникации 

Обзор беспроводной PoE-точки доступа LevelOne WAP-0005

версия для печати послать другу 0
|| Содержание статьи

Показать одной страницей

10.04.2007 00:05 Автор: TECHLABS Team

Системные настройки

Обзор

В меню "System" можно задать все те же настройки, что и в утилите "Access Point Manager". В точке доступа LevelOne WAP-0005 вы можете изменить не только пароль (по умолчанию "password"), но и имя администратора (по умолчанию "admin"). Для этого достаточно зайти в раздел "безопасность".  

Обзор

"Admin Login"

Из дополнительных настроек присутствует возможность использования  протокола SSL для обеспечения безопасности управления и связи между компьютером и точкой доступа. Также можно разрешить/запретить доступ посредством telnet, http, Wi-Fi. 

Обзор

"Сохранение/восстановление настроек" 

Все настройки (в том числе пароли, ключи, профили) сохраняются в файле "ap11g.cfg", при желании их можно изменить, открыв файл каким-либо текстовым редактором. Архивацию настроек можно выполнять, например, перед обновлением прошивки. 

Обзор

Настройки работы точка доступа можно применить в результате автоматического конфигурирования, а также можно  скопировать данные конфигурации от другой точки. Эта функция выключена по умолчанию.

WAP-0005 может автоматически обновить свое программное обеспечение, загрузка и установка которого будет выполнена с выбранного вами FTP-сервера. 

Необходимость использования функции автоматического обновления прошивки весьма спорна, устройство не предполагает сохранение настроек конфигурации перед обновлением и восстановление их после него.  Эту специфическую операцию лучше держать под контролем. К примеру, у вас в офисе на неделе ведутся какие-либо электромонтажные работы, и периодически пропадает свет, а точка доступа решит обновиться именно в тот злополучный момент, что приведет к непредсказуемым результатам (конечно, если вы не используете источник бесперебойного питания).  

Функция "Rogue AP detection" предназначена для обнаружения незарегистрированных в сети точек доступа, обеспечивает защиту от попытки доступа "нелегальной" точки доступа, которая может имитировать реальную точку доступа в сети для получения идентификационной информации пользователей и протоколов аутентификации, нарушая тем самым целостность защиты сети. Можно запретить доступ "чужих" AP (точек доступа), задав список разрешенных. Для этого необходимо указать MAC-адреса допустимых точек доступа и их OUI - идентификаторы производителя оборудования. 

Обзор

Точка доступа поддерживает протокол SNMP (Simple Network Management Protocol) v1и v2c для снятия статистики. 

Обзор

Также получить дополнительную информацию можно путем отправки сообщений на сервер syslog. 

Обзор

Необходимо указать минимальный уровень "серьезности" события. Сообщения будут отсылаться по всем адресам или заданному серверу. Пользуясь информацией SNMP и Syslog (такой, как показатель числа пакетов в секунду и коэффициент сетевых ошибок), сетевые администраторы могут более эффективно управлять производительностью сети, обнаруживать и решать сетевые проблемы. 

Фильтрация по MAC-адресу позволит подключаться к вашей сети только заданным устройствам с их уникальными адресами. Или наоборот - позволит всем, кроме заданных MAC-адресов, использовать вашу сеть. Однако изменить MAC-адрес сетевой карты не так уж и сложно, поэтому такая фильтрация не может обеспечить 100% защиту от доступа посторонних лиц. 

Обзор

Обзор

Перед тем, как включить фильтрацию по MAC-адресу, убедитесь, что ваш адрес присутствует в списке разрешенных. Возможность задать не только адрес, но и имя не даст запутаться среди многочисленных цифр и букв. Созданный список можно импортировать/экспортировать. 

Точка доступа LevelOne WAP-0005 позволяет сконфигурировать до восьми профилей безопасности. Каждый профиль содержит идентификатор SSID (Service Set Identifier) и все параметры настройки безопасности для беспроводных подключений. Задав различные SSID, можно использовать до четырех профилей одновременно. 

Обзор

Обзор

При одновременной работе нескольких профилей можно настроить взаимодействие между ними. Можно разрешить или запретить пользователям, подключенным к разным профилям, общаться между собой, то есть, к примеру,  компьютеры, использующие шифрование, не смогут общаться с компьютерами без шифрования. 

Используя технологию VLAN (виртуальные локальные сети), можно логически разделить несколько подсетей на одном коммутаторе (применить эту функцию можно только если коммутаторы в вашей локальной сети поддерживают IEEE 802.1Q стандарт)  таким образом, что компьютеры, объединенные в одну виртуальную сеть, ничего не будут знать о существовании компьютеров, входящих в другую. С точки зрения топологии сети, мы получаем отдельные коммутаторы для каждой подсети. Достигается это путем добавлением нескольких полей в заголовок пакета сетевого уровня. В одном из добавленных полей содержится номер сети VLAN, на основе которого и происходит разделение Ethernet-кадров по виртуальным сетям. Кадры, имеющие одинаковый номер VLAN, рассматриваются как принадлежащие к одной подсети. В настройках необходимо выбрать VLAN ID для каждого профиля безопасности, в противном случае, установки VLAN игнорируются. 

Обзор

Шифрование данных

Если вы используете открытую систему, любое устройство, имеющее идентификатор SSID (Service Set Identifier) точки доступа, может получить доступ к сети. 

Обзор

Для защиты передаваемых данных по сети необходимо использовать шифрование. WAP-0005 поддерживает следующие протоколы (в порядке убывания стойкости):

  • WPA-PSK + AES-CCMP+TKIP;
  • WPA-PSK + AES-CCMP;
  • WPA-PSK + TKIP 128 bit WEP
  • WPA-PSK + TKIP 64 bit WEP
  • WPA-PSK + TKIP (только режимы "Точка доступа" и "Беспроводной клиент");
  • WEP 152 bit;
  • WEP 128 bit;
  • WEP 64 bit. 

Наиболее простой способ шифрования данных – использование WEP-протокола. WEP (Wired Equivalence Privacy) позволяет добиться такой же безопасности, как при использовании проводных сетей. При использовании WEP-шифрования необходимо, чтобы на всех подключенных точках применялись идентичные ключи. Чем длиннее ключ, тем сложнее его подобрать. Точка доступа LevelOne WAP-0005 позволяет использовать 64,128- и 152-битные ключи. 152-битный ключ – это 16 символов в формате ASCII и 32 символов в формате HEX, а 128-битный ключ – это 13 и 26 символов соответственно. Вы можете записать до 4 ключей WEP и выбрать активный по согласованию с клиентами. Например, по одному на каждую неделю.  

Обзор

Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные.  

Стандарт Wi-Fi Protected Access (WPA) – усовершенствованный стандарт безопасности, который значительно поднимает уровень защищенности и управления доступом к данным беспроводных сетей. Стандартный WPA протокол требует установки RADIUS-сервера, что неприменимо в домашних сетях и малых офисах. Точка WAP-0005 использует более простой режим WPA-PSK, который поддерживает заранее созданные ключи (Pre-Shared Keys). Этот ключ, как и ключ в режиме WEP, задается на всех клиентских машинах и точке доступа, чтобы обеспечить первичную идентификацию станций (помните: чем больше длина используемого пароля, тем надежнее защита беспроводной сети). 

Обзор

Для усиления шифрования данных WPA использует протокол TKIP (Temporal Key Integrity Protocol – протокол временной целостности ключа). TKIP обеспечивает функцию смешения содержимого ключа для каждого пакета, проверку целостности сообщений и механизм манипуляций с ключом. Суть метода шифрования TKIP заключается в том, что 64(128)-битные ключи автоматически генерируются при посылке каждых 10 килобайт данных. К примеру, при передаче файла размером 1 MB его трафик шифруется с использованием порядка 100 ключей. Такая система дает очень высокие гарантии невозможности перехвата и расшифровки данных. Кроме того, специальный алгоритм MIC (Message Integrity Check) сверяет отправленные и полученные данные, чтобы исключить их изменения в пути.  

Шифрование WPA-PSK по методу TKIP считается неприступной стеной для хакеров. Но существует и еще более мощный способ защиты: шифрование по методу AES, ранее используемый в сетях VPN. AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) – это новый метод защиты конфиденциальности при беспроводной передаче данных, определенный в стандарте IEEE 802.11i. Протокол AES-CCMP обеспечивает более надежный метод шифрования в сравнении с TKIP.  

Обзор

Аутентификация по стандарту 802.1x – это процесс, независимый от аутентификации по стандарту 802.11. Стандарт 802.1x обеспечивает основы для различных видов аутентификации и протоколов манипулирования ключами. В стандарте 802.1x присутствуют различные типы аутентификации, каждый из которых обеспечивает свой подход к установлению подлинности, но все они используют один протокол 802.1x и структуру для взаимодействия между клиентом и точкой доступа. В большинстве протоколов после выполнения процесса аутентификации стандарта 802.1x приемная сторона получает ключ, который она использует для шифрования данных. При аутентификации по стандарту 802.1x применяется метод установления подлинности между клиентом и сервером удаленной аутентификации RADIUS (Remote Authentication Dial-In User Service), к которому подключена точка доступа. Процесс аутентификации использует идентификационную информацию, например, пароль пользователя, который не передается через беспроводную сеть. Большинство видов аутентификации 802.1x поддерживают динамические ключи для пользователя, сеанса и для усиления защиты статического ключа.  

Защита аутентификации стандарта 802.1x инициирует запрос на аутентификацию от клиента беспроводной сети в точку доступа, которая устанавливает его подлинность через протокол EAP в соответствующем сервере RADIUS. Этот сервер RADIUS может выполнить аутентификацию пользователя (с помощью пароля или сертификата) или компьютера (с помощью адреса MAC). Теоретически клиент беспроводной сети не может войти в сеть до завершения транзакции. RADIUS –  это сервис протокола клиент-сервер для авторизации, аутентификации и ведения учетных записей, который используется для регистрации клиентов в сервере сетевого доступа.  

Упрощенное определение аутентификации стандарта 802.1x: 

  • клиент направляет сообщение с "запросом на доступ" в точку доступа. Точка доступа запрашивает идентификационную информацию клиента;
  • клиент отвечает пакетом со своей идентификационной информацией, которая переправляется в сервер аутентификации;
  • сервер аутентификации отправляет пакет подтверждения в точку доступа;
  • точка доступа переводит порт клиента в авторизованное состояние, после чего возможна отправка данных. 

Обзор

Используя динамический WEP-ключ, можно задать время его "жизни", то есть время, через которое он будет изменяться. При этом могут применяться EAP-TLS, PEAP или другой метод аутентификации, в зависимости от методов, поддерживаемых клиентом. EAP-TLS использует протокол EAP (Extensible Authentication Protocol) и протокол защиты транспортного уровня (Transport Layer Security – TLS). Протокол TLS необходим для защиты и аутентификации связи в сетях общего пользования путем шифрования данных. Протокол квитирования TLS позволяет клиенту и серверу до посылки данных провести взаимную аутентификацию и выработать алгоритм и ключи шифрования. PEAP – это новый аутентификационный протокол EAP стандарта IEEE 802.1x, разработанный для улучшения системы защиты  EAP-TLS и поддержки различных методов аутентификации, включающих пароли пользователей, одноразовые пароли и карты доступа (Generic Token Cards). 

Также можно использовать статический WEP-ключ, применяя  аутентификацию EAP-MD5. Необходимо задать сам ключ, а также ключевой индекс WEP, которые должны соответствовать значениям, используемым на других устройствах. Аутентификация EAP-MD5 (Message Digest 5) – это односторонний метод аутентификации, использующий имена пользователей и пароли. Этот метод не поддерживает манипуляции с ключом, но требует его предварительной конфигурации при употреблении шифрования данных. 

Алгоритмы аутентификации и шифрования, определенные в стандарте 802.11 разработки 1997 года, имеют множество недостатков. Система аутентификации так же, как алгоритм WEP-шифрования, может быть взломана за короткое время. Протокол TKIP ликвидирует недостатки WEP, но только в краткосрочной перспективе, а стандарт 802.1x и AES предоставляет долговременное решение проблемы безопасности беспроводных сетей. 

|| Комментарии на форуме 0
Оставить комментарий