ICND1_Vol1_RUS

Применение 802.1X в беспроводных локальных сетях

В этом разделе описывается, как стандарт IEEE 802.1X обеспечивает дополнительную безопасность беспроводных локальных сетей.

Применение 802.1X в беспроводных локальных сетях

Точка доступа, выполняющая аутентификацию на стороне предприятия, разрешает клиенту создать привязку с использованием открытой аутентификации. Затем точка доступа инкапсулирует трафик 802.1X к серверу аутентификации

и пересылается его серверу. Весь остальной сетевой трафик блокируется, т. е. блокируются все остальные попытки доступа к сетевым ресурсам.

При получении RADIUS-трафика для клиента точка доступа инкапсулирует его и пересылает клиенту. Хотя сервер аутентифицирует клиента как действующего пользователя сети, этот процесс также позволяет клиенту проверять сервер, что предотвращает подключение клиента к поддельному серверу.

Тогда как в корпоративных сетях используются централизованные серверы аутентификации, в малых офисах или предприятиях могут просто использовать точку доступа с предварительно сконфигурированными общими ключами вместо сервера аутентификации для беспроводных клиентов.

Режимы WPA и WPA2

В этом разделе описываются режимы защищенного беспроводного доступа (WPA).

Режимы WPA и WPA2

Режим WPA предоставляет поддержку аутентификации на основе стандарта 802.1X

и заранее сконфигурированного общего ключа (PSK). (Стандарт 802.1X рекомендуется использовать для корпоративных сред.) Режим WPA обеспечивает шифрование

через TKIP. Протокол TKIP включает функции проверки целостности сообщений (MIC) и попакетного формирования ключей (PPK) путем хэширования вектора инициализации и ротации широковещательных ключей.

По сравнению с WPA проверка подлинности WPA2 не изменилась, но используется шифрование AES-Counter с протоколом CBC MAC (AES-CCMP).

Корпоративный режим

«Корпоративный режим» — это термин, используемый для продуктов, которые проверены на совместимость с режимами аутентификации PSK и 802.1X/EAP. При использовании стандарта 802.1X необходим сервер аутентификации, авторизации и учета (AAA) (протокол RADIUS для аутентификации и управления ключами, а также для централизованного управления учетными данными пользователей). Корпоративный режим ориентирован на корпоративные среды.

Персональный режим

«Персональный режим» — это термин, используемый для продуктов, которые проверены на совместимость только с режимом аутентификации PSK. В этом режиме требуется ручная настройка общих ключей на точке доступа и клиентах. В режиме PSK аутентификация пользователей осуществляется с помощью пароля

или идентифицирующего кода как на стороне клиента, так и на стороне точки доступа. Сервер аутентификации не требуется. Персональный режим ориентирован на среды малых и домашних офисов.

Резюме

В этом разделе приводится резюме основных вопросов, рассмотренных в занятии.

Резюме

Незащищенные беспроводные ЛВС неизбежно подвергаются атакам.

Фундаментальный подход к обеспечению безопасности беспроводных сетей подразумевает аутентификацию и шифрование для защиты беспроводной передачи данных.

Стандарты развивались для повышения безопасности.

–WEP

–802.1x EAP

–WPA

–802.11i/WPA2

Точки доступа рассылают сигналы-маяки, объявляющие SSID, скорости передачи данных и другие сведения.

Резюме (прод.)

Точка доступа, выполняющая аутентификацию на стороне предприятия, разрешает клиентусоздать привязку с использованием открытой аутентификации.

WPA предоставляет поддержку аутентификации IEEE 802.1X и PSK.

–Корпоративный режим — это термин, используемый для продуктов, которые проверены на совместимость

срежимами аутентификации PSK и 802.1X/EAP.

–Персональный режим — это термин, используемый для продуктов, которые проверены на совместимость только

срежимом аутентификации PSK.

Конструктивные элементы топологии 802.11

В этом разделе описываются топологии 802.11.

Конструктивные элементы топологии 802.11

Режим Ad hoc.

Независимый базовый набор услуг (IBSS)

–Мобильные клиенты подключаются напрямую без промежуточной точки доступа.

Инфраструктурный режим.

Базовый набор услуг (BSS)

–Мобильные клиенты используют одну точку доступа для подключения друг к другу и к ресурсам проводной сети.

Расширенный набор услуг (ESS).

–Общая система распределения связывает два или более набора BSS.

Стандарт 802.11 предоставляет несколько топологий (режимов), которые могут использоваться как конструктивные элементы беспроводной локальной сети.

Режим Ad hoc. Режим Ad hoc топологии — это независимый базовый набор услуг (IBSS). Мобильные клиенты подключаются напрямую без промежуточной точки доступа. Операционные системы, такие как Windows, упростили установку такой одноранговой сети. Такая установка может использоваться в малых офисах (или домашних офисах) для подключения портативного компьютера к основному ПК, или для совместного использования файлов группой пользователей. Зона покрытия ограничена. Каждый должен слышать каждого. Точка доступа не требуется. Недостаток одноранговых сетей заключается в сложности обеспечения безопасности.

Инфраструктурный режим. В инфраструктурном режиме клиенты подключаются через точку доступа. Существует два инфраструктурных режима.

—Базовый набор услуг (BSS). Устройства связи, формирующие BSS, являются мобильными клиентами, использующими одну точку доступа для подключения друг к другу и к ресурсам проводной сети. Идентификатор базового набора услуг (BSSID) — это MAC-адрес 2-го уровня радиоплаты точки доступа BSS. Хотя BSS является фундаментальным конструктивным элементом беспроводной топологии, а точка доступа BSS уникально идентифицируется значением BSSID, сама беспроводная сеть объявляется посредством идентификатора набора услуг (SSID), который сообщает мобильным клиентам о доступности беспроводной сети. SSID — это имя беспроводной сети, которое настраивается пользователем и может содержать до 32 символов с учетом регистра.

—Расширенный набор услуг (ESS). Беспроводная топология расширяется на два или более базовых набора услуг, связанных системой распределения или проводной инфраструктурой. Обычно ESS включает общий идентификатор SSID, обеспечивающий роуминг от одной точки доступа к другой без перенастройки клиента.

Эти топологии определены в исходном стандарте 802.11, в то время как другие топологии, такие как повторители, мосты и мосты рабочей группы, являются расширениями и определяются поставщиками.

Беспроводная топология BSA

В этом разделе описываются топологии базовой области обслуживания (BSA) и расширенной области обслуживания (ESA) и ихроли в беспроводной локальной сети.

Беспроводная топология BSA — основное покрытие

Базовая область обслуживания (BSA) — это физическая зона покрытия РЧ-сигнала, обеспечиваемая точкой доступа в BSS. Эта область зависит от формируемого энергетического радиочастотного поля с изменениями, обусловленными выходной мощностью точки доступа,

типом антенны и физическим окружением, влияющим на распространение радиоволн. Эта зона покрытия также называется сотой. Хотя BSS является конструктивным элементом топологии, а BSA фактической зоной покрытия при обсуждении базовых беспроводных сетей эти термины взаимозаменяемы.

Точка доступа подключается к магистрали Ethernet и взаимодействует со всеми беспроводными устройствами текущей соты. Эта точка доступа является главной для данной соты, и контролирует входящий и исходящий трафик сети. Удаленные устройства не взаимодействуют напрямую друг с другом; они связываются только с точкой доступа. Уникальный РЧ-канал и идентификатор SSID настраиваются пользователем.

Точка доступа выполняет широковещательную рассылку сигналов-маяков с именем беспроводной соты в SSID. Сигналы-маяки рассылаются точками доступа, чтобы объявить о доступных службах. Идентификатор SSID используется для логического разделения беспроводных локальных сетей. Он должен устанавливать однозначное соответствие между клиентом

и точкой доступа. Однако клиенты могут быть настроены без SSID (неопределенный SSID), тогда они обнаруживают все точки доступа и узнают SSID из сигналов-маяков точки доступа. Общим примером процесса обнаружения может служить процесс, используемый встроенной утилитой

Wireless Zero Configuration (WZC) при перемещении беспроводного портативного компьютера в новое место. Пользователю показывается окно с найденными беспроводными службами и запрашивается подключение или соответствующий ключ для привязки. Широковещательные рассылки SSID можно отключить

на точке доступа, но этот подход не работает, если клиенту необходимо получать SSID из сигнала-маяка.

Беспроводная топология ESA — расширенное покрытие

Если одна сота не обеспечивает достаточной зоны покрытия, для ее расширения может быть добавлено любое число сот. Набор объединенных сот также известен как расширенная область обслуживания (ESA).

Рекомендуется, чтобы соты расширенной области обслуживания перекрывались на 10–15 %, чтобы позволить удаленным пользователям выполнять роуминг без потери РЧ-соединений. Для беспроводных голосовых сетей рекомендуется перекрытие на 15–20 %. Для улучшения производительности пограничные соты следует настроить на разные неперекрывающиеся каналы.

Скорости передачи данных для различных беспроводных топологий

Клиенты беспроводных локальных сетей способны изменять скорость передачи данных во время движения. В этом разделе описывается влияние расстояния и скорости на работу беспроводной локальной сети.

Скорости передачи данных для беспроводных топологий — 802.11b

Клиенты беспроводных локальных сетей могут изменять скорость передачи данных во время движения. Этот метод позволяет клиенту, работающему на скорости 11 Мбит/с, переключиться на скорость 5,5 Мбит/с, затем на 2 Мбит/с, и оставаться на связи на внешнем кольце при скорости 1 Мбит/с.

Такое переключение скорости передачи выполняется без потери соединения и участия пользователя. Кроме того, переключение скорости выполняется для каждой отдельной передачи, поэтому точка доступа может поддерживать несколько клиентов с различными скоростями в зависимости от расположения каждого из них.

Для получения более высоких скоростей передачи данных требуется более мощный сигнал на приемнике. Поэтому при более низких скоростях дальность передачи увеличивается.

Беспроводные клиенты всегда пытаются подключиться на максимально возможной скорости передачи.

Клиент снижает скорость передачи данных только в случае возникновения ошибок или повторов передачи.

Это подход обеспечивает максимальную общую полосу пропускания в заданной беспроводной соте. На рисунке описывается стандарт IEEE 802.11b, однако эта концепция применима к скоростям передачи данных по стандартам 802.11a и 802.11g.

Настройка точки доступа

В этом разделе описываются факторы, которые следует учитывать при внедрении беспроводной локальной сети.

Настройка точки доступа

Основные параметры:

IP-адрес (статический или полученный через DHCP), маска подсети и шлюз по умолчанию

Беспроводной протокол (только 802.11g, 802.11a/b/g, 802.11a)

Настройка каналов при необходимости — канал 1,6 или 11, возможны помехи

Настройка мощности при необходимости — или можно заменить антенну

Параметры безопасности:

Идентификатор набора услуг (SSID) — идентифицирует сеть

Метод аутентификации — обычно WPA или WPA2 PSK

Метод шифрования — обычно TKIP или AES, если поддерживается оборудованием

Беспроводные точки доступа можно настроить с помощью интерфейса командной строки (CLI) или, что более распространено, посредством графического пользовательского интерфейса посредством браузера. Однако режим настройки основных параметров беспроводного доступа одинаков. К основным параметрам беспроводных точек доступа относятся SSID, РЧ-канал с возможностью указания мощности, а также аутентификация

(безопасность), основные параметры беспроводного клиента ограничиваются аутентификацией. Беспроводным клиентам требуется меньше параметров, так как беспроводной сетевой адаптер (NIC) сканирует все доступные радиочастоты (подразумевается, что плата IEEE 802.11b/g не сканирует диапазон 5 ГГц), чтобы обнаружить РЧ-канал, и, как правило, инициирует соединение с неопределенным идентификатором SSID, чтобы обнаружить доступные SSID. Поэтому в соответствии со стандартом 802.11 при использовании открытой аутентификации применяется режим plug-and-play. Если система безопасности настроена в режиме предварительно-

сконфигурированных общих ключей (PSK) для старого или текущего механизма обеспечения безопасности (WEP или WPA соответственно) следует помнить о том, что для создания подключения требуется полное совпадение ключей.

В зависимости от выбранного оборудования ТД, точка доступа может поддерживать два диапазона частот (ISM 2,4 ГГц и UNII 5 ГГц) и все три реализации IEEE 802.11a/b/g. Точки доступа, как правило, позволяют

выполнять тонкую настройку параметров, таких как предлагаемые частоты, выбор радиомодуля и стандарта IEEE, используемого на этом радиомодуле.