Gdy wyrzucisz wszystkie kable

Sieć bezprzewodową można uruchomić bardzo szybko - ale czasami okazuje się, że nie spełnia ona naszych wymagań. Jak zatem zbudować WLAN, aby nie narzekać na włamania i powolne transfery?

Standardowe aplikacje dokonują konfiguracji urządzeń Wi-Fi nie dość że pobieżnie, to zazwyczaj jeszcze pomijając funkcje związane z zabezpieczaniem sieci bezprzewodowej. Jeżeli podczas jej zakładania ograniczymy się tylko do uruchomienia fabrycznego programu-kreatora, to prędzej czy później zadamy sobie pytanie: „Po diabła wydawałem/wydawałam pieniądze na ten sprzęt?” Pytanie będzie jak najbardziej zasadne – bo klasyczna sieć LAN zbudowana na bazie miedzianej skrętki i zwykłych interfejsów Ethernet (coraz częściej zintegrowanych przecież z płytą główną komputera) okaże się wydajniejsza, a na dodatek i tańsza. W takiej sytuacji praktycznie jedynym argumentem przemawiającym za budową WLAN (Wireless LAN) będzie szybkość jej uruchomienia.

Oczywiście możemy sięgnąć po narzędzia służące do optymalizowania pracy naszej sieci. Ale nie róbmy sobie nadziei, że transfery zwiększą się jak za dotknięciem czarodziejskiej różdżki – zwłaszcza wtedy, gdy źle skonfigurowaliśmy poszczególne elementy wchodzące w skład WLAN. Dotyczy to przede wszystkim punktów dostępowych – od nich w głównej mierze zależy, z jaką szybkością i jak bezpiecznie będą wymieniane informacje.

W artykule doradzę, jak zakładać sieć bezprzewodową, aby później nie narzekać na jakość połączeń albo na włamania do komputerów. Na pewno zauważycie, że moje wskazówki są nieraz wzajemnie sprzeczne. Tak się bowiem fatalnie składa, że niektórych rzeczy po prostu nie uda nam się pogodzić. Służę przykładem: jeżeli zamierzamy zabezpieczyć naszą sieć przed nieautoryzowanym dostępem, to powinniśmy uaktywnić funkcję szyfrowania. Ale z drugiej strony włączenie tej opcji jest niepożądane wtedy, gdy zależy nam na osiągnięciu wysokich prędkości transmisji. Jednym słowem konfigurowanie bezprzewodowej instalacji to sztuka kompromisu. Pamiętając o tym, bierzmy się do pracy.

Z punktem i bez

Karty Wi-Fi komunikują się ze sobą na dwa sposoby: bezpośrednio (tzw. tryb Ad-Hoc) bądź też za pośrednictwem stacji bazowej – w tym drugim przypadku mówimy o sieci strukturalnej (Infrastructure). Pierwsza metoda działania została opracowana na potrzeby szybkiego zestawienia połączenia. Tryb Ad-Hoc wykorzystywany jest wtedy, gdy zależy nam na skomunikowaniu dwóch maszyn bez konieczności podpinania ich do sieci LAN.

Niestety, wraz ze wzrostem odległości między urządzeniami Wi-Fi pracującymi w trybie Ad-Hoc znacząco maleje prędkość transmisji danych. Dzieje się tak dlatego, że zdecydowana większość kart bezprzewodowych jest wyposażona w zbyt słabe anteny nadawczo-odbiorcze. Bywa też, że niegroźna na pozór przeszkoda (np. ścianka działowa) okazuje się dla sygnału radiowego barierą nie do przebycia. W efekcie utrzymanie bezpośredniego połączenia między urządzeniami często jest niemożliwe.

W przypadku gdy mamy problemy z transferami, najlepiej jest zbudować sieć strukturalną. Podczas pracy w tym trybie wszystkie karty Wi-Fi komunikują się ze sobą za pośrednictwem punktu dostępowego (Access Pointa). To urządzenie sprawuje kontrolę nad rozsyłanymi pakietami danych oraz czuwa nad bezpieczeństwem sieci. Działające w niej komputery korzystają z tzw. identyfikatora SSID (Service Set Identifier). Jego znajomość jest niezbędna, aby móc podłączyć się do sieci.

Aktywacji trybu Ad-Hoc lub Infrastructure można dokonać na dwa sposoby. Pierwszym jest włączenie wybranej metody pracy bezpośrednio w sterowniku karty Wi-Fi; drugi polega na skorzystaniu ze specjalnej aplikacji dostarczanej wraz z urządzeniem. Aby określić rodzaj połączenia, należy odszukać opcję Network Type, BSS Type lub podobną.

Wpuszczeni w kanał

Zdecydowana większość europejskich instalacji Wi-Fi bazuje na urządzeniach zgodnych ze standardem IEEE 802.11 w wydaniu „b” oraz „g”, korzystających z częstotliwości 2,4 GHz. W paśmie tym wyodrębniono 14 niezależnych podkanałów transmisyjnych (channel). Każdy z nich ma własną częstotliwość nośną, dzięki czemu w danym rejonie może bez przeszkód funkcjonować nawet kilkanaście różnych sieci Wi-Fi, dysponujących innymi identyfikatorami SSID. Ważne jest zatem określenie kanału (częstotliwości), w jakim urządzenia danej podsieci będą się ze sobą komunikowały. Nadając ten sam numer SSID wszystkim urządzeniom, musimy wskazać również identyczne kanały komunikacyjne.

Sprawny inaczej

Określenie trzech głównych parametrów sieci Wi-Fi – typu pracy, identyfikatora SSID oraz kanału transmisji – pozwala na zestawienie trwałego połączenia pomiędzy kartami bezprzewodowymi. Pozostałe parametry są ustalane „odgórnie” przez programy służące do konfiguracji sprzętu Wi-Fi. Zapewnia to zazwyczaj bezkonfliktową współpracę z różnymi kartami sieciowymi, punktami dostępowymi itp. Ale na takich domyślnych ustawieniach nie powinniśmy poprzestać – zwłaszcza wtedy, gdy zależy nam na zachowaniu poufności transmitowanych informacji.

Wszystkie urządzenia WLAN umożliwiają szyfrowanie danych wysyłanych w eter, ale odpowiadająca za to zadanie funkcja – WEP Encryption – jest fabrycznie wyłączona i wymaga aktywacji. Dostęp do opcji WEP Encryption jest możliwy zarówno z poziomu sterownika karty sieciowej, jak i aplikacji nadzorującej pracę urządzenia. Wspomnianej funkcji należy szukać w sekcji Authentication bądź WEP Option. Ustalenie jej na Enable (włączony) umożliwia skorzystanie z szyfrowania rozsyłanych pakietów danych.

Totalna inwigilacja

WEP to tylko jedna z trzech technik obrony przed nieautoryzowanym dostępem do WLAN. Czasami ta metoda nie wystarcza, ponieważ algorytm WEP można złamać.

Trudniej jest nielegalnie włączyć się do sieci, w której dokonywana jest filtracja adresów MAC ze statycznym przypisywaniem numerów IP. Jednakże skorzystanie z tego mechanizmu sprawia pewne trudności. Każdy Access Point użyty w sieci bezprzewodowej musi mieć ręcznie skonfigurowaną listę „dozwolonych” adresów MAC, a samą listę trzeba stale aktualizować. Dlatego też filtrowanie adresów MAC w połączeniu z SSID daje zadowalający poziom bezpieczeństwa, ale jest przeznaczone raczej dla małych sieci, z krótką listą adresów MAC. Przydzielanie stałych numerów IP ma jeszcze jedną zaletę: gdy nakażemy Access Pointowi prowadzenie statystyk, będziemy mieli wgląd w poczynania użytkowników sieci bezprzewodowej.

Zapobieganie włamaniom
1. Po pierwszym zalogowaniu się do Access Pointa zmień domyślne hasło administratora;
2. Gdy dokonujesz zmian w konfiguracji punktu dostępowego, korzystaj tylko z bezpiecznych połączeń SSH;
3. Określ unikatową nazwę identyfikatora sieci SSID;
4. Wyłącz automatyczne przekazywanie nagłówka SSID (SSID Broadcast);
5. Stosuj szyfrowanie WEP z możliwie największą długością klucza;
6. Systematycznie zmieniaj hasło WEP;
7. Na włączenie do sieci pozwalaj tylko kartom o ustalonych adresach MAC;
8. W połączeniach typu Infrastructure nie używaj mechanizmu DHCP. Korzystaj tylko ze stałych adresów IP, przydzielonych konkretnym adresom MAC;
9. Ustaw anteny nadawczo-odbiorcze tak, aby sygnał był dostępny tylko w pożądanych miejscach;
10. Jeśli to możliwe, do autoryzacji połączeń wykorzystuj serwery RADIUS.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.