До проблеми безпеки і якості

Останнім часом іноді доводиться чути в молодіжному середовищі, що не вдалося передати мелодію або гру з одного телефону на іншій. Особисто я чув це рази 5 точно. Це свідчить про те, що якість деяких бездротових пристроїв страждає. Виникає питання чому так відбувається? Після пошуків в Інтернеті я натрапив на наступну статтю Wi-Fi стає безпечнішим. Але працює все гірше 19.03.2004.

Поки засоби Wi-Fi-доступу ускладнюються і обзаводяться все новими засобами підвищення їх стійкості до несанкціонованого проникнення ззовні, взаємна сумісність пристроїв, виготовлених різними виробниками, все частіше ставиться під сумнів.

Приблизно у такому дусі, якщо вірити Associated Press, висловилися на міжнародній виставці CeBIT'2004, що відкрилася в Ганновері, представники організації Wi-Fi Alliance, популяризацією, що займається, щодо нової технології побудови бездротових локальних мереж. На підтвердження цієї точки зору був приведений один факт: 22% всього крайового устаткування, представленого на сертифікацію минулого року, не вдалося підключити до мережі з першого разу. З 2000 року організація протестувала близько 1100 Wi-Fi-пристроїв і у міру того, як устаткування стає все більш досконалим, росте і число зафіксованих проблем з сумісністю нового устаткування.

Так забезпечення безпеки передачі інформації це одна з найважливіших завдань. Але все таки не стоїть ради цього позбавляти можливості нормальної роботи з пристроями. Так наприклад, є безліч способів шифрування. Для забезпечення безпеки роботи бездротового зв'язку потрібні кваліфіковані кадри і набір дій по захисту інформації. А то під'їде машина з ноутбуків до крапки і користуватиметься інформацією, яка для нього не призначалася.

Ось типовий приклад, як можна зробити так, щоб мобільний хост мав захищене і зашифроване з'єднання в незахищеній за своєю суттю радіомережі.

Домашня мережа одного WiFi'шника мала наступну конфігурацію. Був встановлений двохканальний шлюз з протоколом DHCPD для призначення приватних IP адрес будь-яким комп'ютерам, підключеним до мережі. Його міг дійти гість і, підключивши свій ноутбук до мережі, вільно " бродити" по Інтернету. Загалом, цілком типова конфігурація.

Першим кроком було відділяння бездротової мережі від решти частини домашньої мережі. Це можна зробити, встановивши ще одну мережеву карту і призначивши їй інший діапазон адрес. Наприклад, існуюча мережа використовує діапазон 192.168.1.х, а нова карта - 192.168.2.1. При правильній настройці брандмауера і IPsec, даний сегмент може бути ізольований від решти частини домашньої мережі.

Оскільки бездротової NAT маршрутизатор характеризувався як маршрутизатор/комутатор, то його функції як маршрутизатора (DHPCD, NAT) повинні були бути заблоковані.

Транспортний Режим проти Тунельного Режиму. Більшість видань (включаючи керівництво по FREEBSD) описують IPsec тунелі в термінах VPN - тобто два шлюзи, сполучаючі дві підмережі по безпечному тунелю, використовуючи віртуальний інтерфейс. Здається, що це транспортний тунель, що використовує крізне шифрування пакетів. Але все виявилося не зовсім так. Всі пакети між портативним комп'ютером (хостом) і шлюзом (192.168.2.10 < -> 192.168.2.1) дійсно були зашифровані. Проте пакети, посилані в решту частини Інтернет, не були зашифровані. (192.168.2.10-> www.securitylab.ru). Але те що потрібно було зашифрованим тунелем між хостом і шлюзом, які посилає пакети від хоста до решти частини Інтернет.

Тепер має відбутися настройка шлюзу.

1. Перекомпіляція ядра для підтримки IPsec

2. Настройка захисної політики.

3. Установка і конфігурація Racoon.

Після інсталяції, створіть /usr/local/etc/racoon/psk.txt. В цьому файлі перераховані секретні ключі для ваших хостов. Наприклад: 192.168.2.10 SecretKey

Бажано створювати секретні ключі важкі для підбору. У Інтернеті існують різні ресурси, присвячені цьому питанню.

Далі слід виконати настройку Windows комп'ютерів.

Windows 2000 і XP мають достатньо багато різних діалогів і майстрів, але кінцевий результат їх дії один і той же.

Після настройки системи можна підвести деякі підсумки.

" Console root" має підрозділ, званий " IP Sec Policies on Local Machine". " IP Sec Policies" повинен мати велику кількість каталогів, один з яких називають " wifi". Подвійне натиснення на " wifi", викликає його властивості. У них повинні бути два правила, обидва з яких перевірені і мають наступні властивості:

Property InboundIPsec OutboundIPsec

------------------------------------------------------------

Filter Action Require Security Require Security

Authentication Preshared Key Preshared Key

Tunnel Setting 192.168.2.10 192.168.2.1

Connection Type LAN LAN

Після установки, утиліти ping і tracert працюють чудово, під tcpdump все ping пакети показуються зашифрованими, але при цьому ніякі сайти не доступні. Відключіть вбудований " IP брандмауер" в настройках TCP/IP для wifi інтерфейсу. У довідкових файлах указується, що він конфліктує з VPN тунелями.

Команда ping повертає значення " Negotiating IPsec" протягом декількох секунд після повідомлення " Request timed out." Продовжуйте пінгованіє з прапором -t. Тим часом, перезапустіть службу IPsec політики. Може потрібно від декількох секунд до декількох хвилин, перш ніж команда ping почне нормально працювати. Коли з'єднання якийсь час простоює, то пропадає можливість з'єднання. Теж саме, відбувається і при простої IPsec тунеля. І може знадобитися якийсь час, щоб повторно з'єднатися. Спосіб змусити тунель залишатися відкритим - постійна пересилка повідомлень через нього. Це можна зробити за наявності відкритого ssh сеансу або часто перезавантажуваної web сторінки.

Тепер ви маєте безпечне wifi підключення між вашою портативною ЕОМ і вашим шлюзом. Будь-який, що намагається скористатися бездротовою точкою доступу, побачить пакети, що йдуть між хостом і шлюзом і від шлюзу, тільки в зашифрованому вигляді.