Windows XP в беспроводных сетях
Беспроводные сети расширяют возможности сетевых пользователей и способны решить проблемы, присущие традиционным кабельным сетям, а в некоторых случаях даже снизить расходы на развертывание сетей.
В настоящее время имеется несколько вариантов реализации беспроводных сетей
с различной степенью стандартизации и совместимости. Наиболее распространены
два решения: HomeRF и Wi-Fi (IEEE 802.11). Технологии стандарта 802.11 имеют
более широкую поддержку в промышленности и способны удовлетворить потребности
в беспроводных сетях на предприятиях, дома и даже в общественных местах. Сертификацию
на соответствие стандартам 802.11, гарантирующую совместимость продуктов различных
производителей, осуществляет организация Wireless Ethernet Compatibility Alliance
(http://www.weca.net).
Активная поддержка стандартов со стороны производителей оборудования и ОС снимает многие вопросы развертывания беспроводных локальных сетей (ЛС). Между тем беспроводные ЛС породили и новые проблемы, связанные с безопасностью, роумингом и настройкой. В этой статье мы обсудим эти проблемы и приведем варианты их решения в конфигурациях, основанных на Windows XP.
Беспроводные локальные сети
Достоинство высокоскоростных беспроводных ЛС в том, что они не ограничивают сетевого пользователя определенным местоположением и избавляют от необходимости подключаться к сети по кабелям. Беспроводные соединения могут расширить или заменить кабельную инфраструктуру, когда последняя оказывается слишком дорогой или возможности проложить кабели вообще нет. Один из примеров, когда беспроводная сеть имеет смысл или даже необходима, — временная сеть. Некоторые типы зданий и строительные нормы не позволяют использовать кабель, и беспроводные сети в этом случае представляют собой серьезную альтернативу. И, конечно же, беспроводные соединения наряду с новыми стандартами прокладки телефонных линий и даже электропитания становятся основным катализатором развития домашних сетей, связанных с внешними сетями.
Очевидные кандидаты на применение беспроводных ЛС — мобильные пользователи, число которых постоянно растет. Доступ к беспроводным ЛС может быть обеспечен с помощью лэптопов и беспроводных сетевых адаптеров. При наличии этого оборудования можно перемещаться по разным помещениям (включая комнаты для переговоров, коридоры, фойе, кафетерии, учебные классы и т. д.), оставаясь на связи со своими сетевыми данными.
За пределами территории корпоративного офиса доступ к Интернету и даже к корпоративным узлам можно получить через общедоступные беспроводные сети с "горячими точками" ("hot spots"). Такой сервис можно обеспечить в аэропортах, ресторанах, на железнодорожных станциях и т. п. Инфраструктура беспроводных соединений развивается во всем мире. В течение ближайшего года множество аэропортов, конференц-центров и отелей будут предоставлять посетителям доступ к сетям по стандарту 802.11. Microsoft рассматривает 802.11 как самое многообещающее и надежное решение, и поэтому далее речь пойдет именно об этой технологии.
Технология 802.11
Решения для беспроводных ЛС на базе стандартов IEEE 802.11 и технологии, предложенной
рабочей группой HomeRF (http://www.homerf.org),
не совместимы ни между собой, ни с другими решениями для беспроводных ЛС. Технология
HomeRF рассчитана исключительно на домашние конфигурации, тогда как конфигурации
на базе 802.11 можно разворачивать дома, на малых и средних предприятиях, а
также в общественных местах с "горячими точками", число которых постоянно растет.
Несколько ведущих производителей портативных компьютеров планируют поставлять
лэптопы со встроенными сетевыми картами стандарта 802.11. В таблице — сравнение
двух этих решений.
Сравнение IEEE 802.11 и HomeRF
IEEE 802.11 | HomeRF | |
Основные производители, поддерживающие технологию | Cisco, Lucent, 3Com WECA | Apple, Compaq, рабочая группа HomeRF |
Радиус действия, м | 15 — 90 | 45 |
Скорость, Мбит/с | 11 | 1; 2; 10 |
Применение | Дом, малые офисы, кампусы, предприятия | Дом |
Стоимость сетевой платы, долл. | 75-150 | 85-129 |
Безопасность | WEP/802.11 | NWID/шифрование |
Число поставщиков | Более 75 | Менее 30 |
Доля на рынке беспроводных адаптеров ЛС, % | 72 | 21 |
Топологии беспроводных ЛВС
Беспроводные сети строятся на основе двух базовых топологий. Их называют по-разному: управляемая и неуправляемая (managed и unmanaged), с ведущим узлом и одноранговая (hosted и peer to peer), а также инфраструктурная и специализированная (infrastructure и ad-hoc). Мы будем применять термины "инфраструктурная" и "специализированная".
Инфраструктурная топология дополняет существующую кабельную ЛВС беспроводными устройствами благодаря наличию базовой станции — станции доступа (access point). Последняя соединяет беспроводную и кабельную ЛВС и выполняет функции центрального управляющего устройства беспроводной ЛВС. Станция доступа координирует передачу и прием данных от нескольких беспроводных устройств в определенной области; размер этой области и число устройств зависят от применяемого стандарта и возможностей конкретного оборудования. В инфраструктурной модели может быть несколько станций доступа (для покрытия большой территории) или единственная (например, для обслуживания небольшого здания).
В специализированной топологии предполагается наличие исключительно беспроводных устройств без центрального управляющего устройства и станций доступа. Устройства в такой сети взаимодействуют друг с другом напрямую, а не через центральное управляющее устройство. Это удобно, когда надо объединить небольшое число компьютеров, а доступ к другим сетям не нужен. Примером может служить дом, в котором нет кабельной сети, или конференц-зал, где постоянно собираются группы пользователей для обмена мнениями.
Специализированные сети вместе с современным ПО, обеспечивающим одноранговое взаимодействие, позволяют мобильным пользователям вместе работать, играть, обмениваться файлами — словом, общаться при помощи ПК или интеллектуальных устройств с беспроводным доступом.
Функционирование инфраструктурной сети
Портативные компьютеры или интеллектуальные устройства (в терминологии беспроводных ЛС — "станции") прежде всего должны идентифицировать доступные сети и станции доступа. Для этого можно отслеживать "сигнальные" пакеты, которые станции доступа посылают, чтобы известить о себе или чтобы найти конкретную сеть.
Станция выбирает одну из доступных сетей и проходит аутентификацию на станции доступа. После взаимной проверки начинается процесс привязки (association).
Привязка позволяет станции доступа и устройству обмениваться данными и характеристиками. Станция доступа может использовать эту информацию совместно с другими станциями доступа для распространения сведений о текущем расположении устройства в сети. Устройство может посылать и получать сетевые пакеты только по завершении процесса привязки.
В инфраструктурной топологии весь сетевой трафик от беспроводных устройств проходит через станции доступа и направляется устройству назначения в беспроводной или кабельной ЛС.
Доступ к сети управляется протоколом с контролем несущей и исключением столкновений. Прежде чем передавать данные, станции должны в течение определенного периода времени прослушивать сеть на наличие передачи данных — это часть протокола, связанная с контролем несущей. Когда сеть освободится, станция должна подождать, прежде чем начать передачу. Эта задержка в совокупности с подтверждением принимающей станции, свидетельствующим об успешном приеме, формирует часть протокола, связанную с исключением столкновений. Заметьте: в инфраструктурном режиме всегда или отправитель, или получатель — это станция доступа.
Поскольку некоторые станции могут не прослушивать друг друга, даже находясь в области действия станции доступа, для исключения столкновений приняты некоторые соглашения. В частности, предполагается своего рода резервирование по столкновению, осуществляемое перед передачей пакета. Механизм резервирования включает запрос на передачу и запрос на отмену, а также вектор распределения сетевых ресурсов на каждой станции в сети. Даже если станция не прослушивает пакеты, посылаемые с другой станции, она получает запросы отмены передачи от станции доступа и может предотвратить встречную передачу.
Процесс роуминга при перемещении от одной станции доступа к другой определен стандартом не полностью. Однако сигнализация и зондирование, применяемые для обнаружения станций доступа, процесс повторной привязки, позволяющий устройству устанавливать связь с разными станциями доступа, а также расширения протокола, принимаемые производителями оборудования, позволяют осуществлять незаметный переход.
Синхронизацией между станциями управляют сигнальные пакеты, периодически посылаемые станциями доступа. Они содержат значение времени на станции доступа и могут применяться для проверки отклонения на принимающих станциях. Синхронизация необходима для протоколов беспроводного соединения и схем модуляции.
Функционирование специализированной сети
Про специализированный режим можно просто сказать, что в отличие от инфраструктурного здесь нет станций доступа — в сети присутствуют только беспроводные устройства. Многие функции станций доступа, такие, как сигнализация и зондирование, реализуют сами устройства. Некоторых возможностей, например, ретрансляции пакетов между станциями, которые не могут друг друга прослушивать, в специализированных сетях нет.
Проблемы беспроводного обмена
Работа с вычислительными сетями всегда была сопряжена с проблемами. Однако в новых конфигурациях с новой средой передачи данных, как правило, возникают и новые сложности. Это относится и к беспроводным ЛС. Некоторые дополнительные проблемы обусловлены различиями в беспроводных и кабельных сетях. К примеру, если в проводных сетях определенная степень защищенности обеспечивается благодаря обмену данными через кабель, то в беспроводных сетях, где данные передаются в эфире по радиоволнам, возникает дополнительная проблема безопасности. Другие сложности обусловлены уникальными возможностями беспроводных ЛС.
Так, хотя в принципе настройка сетей постоянно упрощается, конфигурация беспроводных сетей может оказаться несколько сложнее — за предоставляемые ими удобства приходится платить введением дополнительных конфигурационных параметров.
Проблемы безопасности
Кабельным сетям присуща "врожденная" защищенность — для получения доступа к сети потенциальным похитителям данных нужен физический доступ к сетевым кабелям. Кроме ограничения физического доступа, можно реализовать и другие механизмы защиты.
Когда в сети нет кабелей, свобода, получаемая пользователями, распространяется и на потенциальных злоумышленников. Доступ к сети можно получить из офисных коридоров, неохраняемых приемных и даже извне помещения. Дома ваша беспроводная сеть потенциально доступна соседям, если вы не обеспечите адекватную защиту или будете некорректно использовать сетевое оборудование.
Стандарты 802.11 изначально предусматривали некоторые базовые механизмы безопасности,
способные предотвратить угрозу несанкционированного доступа. Так, для станций
доступа (или их совокупностей) 802.11 позволяет задавать специальные идентификаторы,
SSID (service set identifier). SSID должны быть известны сетевым адаптерам,
чтобы можно было произвести привязку к станции доступа и приступить к обмену
данными по сети. Если это и защита, то очень слабая, поскольку:
- SSID известны всем сетевым картам и станциям доступа;
- SSID передается в эфире в открытом виде;
- сетевой адаптер и драйвер сами определяют, допустима ли привязка, если SSID
неизвестен; - шифрование в этой схеме не предусмотрено.
У данной схемы могут быть и другие недостатки, но даже перечисленных достаточно, чтобы заключить, что такая защита не остановит изощренных хакеров.
Дополнительная защита гарантируется в 802.11 алгоритмом Wired Equivalent Privacy (WEP), который обеспечивает аутентификацию и шифрование. Алгоритм WEP использует 40-разрядный закрытый шифровальный ключ, а многие реализации IEEE 802.11 позволяют применять 104-разрядные закрытые ключи. Этот алгоритм обеспечивает главным образом защиту от прослушивания, по возможностям сравнимую с кабельными сетями.
Принципиальное ограничение этого механизма в том, что стандарт не определяет протокол управления ключами, необходимый для их распространения. Предполагается, что закрытые ключи доставляются на беспроводные станции стандарта IEEE 802.11 по защищенному каналу, независимому от IEEE 802.11. Проблема усложняется при большом числе станций, например, на территории крупного предприятия.
Чтобы обеспечить лучший механизм защиты и управления доступом, в эту спецификацию нужно включить протокол управления ключами. Стандарт 802.1X, описанный далее в этой статье, разработан с учетом этого требования.
Стандарт 802.1X
Создавая новую версию своей операционной системы, Microsoft уделила особое внимание работе с беспроводными сетями. Для обеспечения безопасности сверх предусмотренной WEP команда разработчиков сетевых средств Windows XP сотрудничала с комитетом IEEE, производителями сетевого и прочего оборудования для выработки спецификации IEEE 802.1X — проекта стандарта управления доступом к сетям Ethernet, основанного на портах. Такое управление доступом к сети использует физические характеристики инфраструктуры ЛС для аутентификации устройств, подключенных к портам ЛС. Доступ к порту может быть отклонен, если не прошла аутентификация. Хотя этот стандарт разработан для кабельных Ethernet-сетей, он применим и к беспроводным сетям, соответствующим спецификации 802.11.
В случае беспроводных ЛС аутентификацию при обращении к сети проводит станция доступа через сервер удаленной аутентификации RADIUS (Remote Authentication Dial-In User Service). Взаимодействие начинается через логический "неуправляемый порт" (канал) на станции доступа. При этом проверяются идентификационные данные и передаются ключи для доступа через логический "управляемый порт". В результате такого обмена станция доступа получает ключи клиента — теперь клиентские данные могут быть зашифрованы и проверены станцией доступа. Таким образом, к 802.11 добавлен протокол управления ключами.
Итак, стандартная процедура аутентификации машины пользователя для доступа
к беспроводной сети включает несколько этапов.
- Когда беспроводное устройство попадает в зону действия станции доступа,
эта станция, не пропускающая трафик без допустимого ключа аутентификации,
посылает устройству запрос. - Получив запрос, устройство отвечает своим идентификатором, который станция
доступа пересылает RADIUS-серверу для аутентификации. - RADIUS-сервер запрашивает идентификационные данные устройства, указывая
их тип. Устройство посылает свои идентификационные данные RADIUS-серверу через
"неуправляемый порт" станции доступа. - RADIUS-сервер проверяет идентификационные данные устройства и в случае успешной
проверки передает ключ аутентификации на станцию доступа. Ключ передается
в зашифрованном виде, и использовать его может только станция доступа. - Станция доступа использует ключ аутентификации для безопасной передачи устройству
необходимых ключей, в том числе сеансового ключа для индивидуальной рассылки
и глобального сеансового ключа для широковещательной рассылки. - Возможна периодическая повторная аутентификация устройства.
Microsoft включила в Windows XP клиент 802.1X и дополнила Internet Authentication Server (IAS) — реализацию RADIUS-сервера в Windows — поддержкой аутентификации беспроводных устройств. Microsoft также сотрудничает со многими производителями устройств стандарта 802.11, добиваясь реализации этой технологии в драйверах сетевых карт и программном обеспечении станций доступа. В настоящее время многие ведущие производители уже поставляют или собираются поставлять устройства с поддержкой 802.1x.
Проблемы роуминга
Мобильные пользователи могут перемещаться от одной станции доступа к другой, при этом для поддержания сетевого взаимодействия необходимо обеспечить управление привязкой сетевых адаптеров к станциям доступа. Эта проблема особенно остро стоит в больших сетях, где пользователь пересекает границы подсетей или областей административного контроля.
Когда пользователь пересекает границу подсети, первоначально назначенный ему IP-адрес может оказаться недействительным для новой подсети. Если при перемещении меняется административный домен, возможна ситуация, когда пользователь потеряет доступ к сети в новом домене из-за несоответствия своих идентификационных данных.
Кроме простого перемещения в пределах территории корпорации, вполне реальны другие сценарии, связанные с роумингом пользователей: в аэропортах и ресторанах устанавливается беспроводной доступ в Интернет, а для домашних сетей беспроводный доступ становится очень популярным решением. Но если беспроводная станция не выполняет самонастройку, конфигурирование при перемещении пользователя может оказаться проблемным.
Сквозной роуминг
Windows 2000 поддерживает функции определения доступности сети. В Windows XP эти функции расширены поддержкой такого свойства беспроводных сетей, как транзитивность.
В Windows 2000 распознавание несущей среды (определения доступности сети) служило для управления сетевым соединением и уведомления пользователя, когда сеть становилась недоступна. В Windows XP эта функция расширена для реализации роуминга: теперь система определяет перемещение к новой точке доступа, заново производит аутентификацию, чтобы гарантировать доступ к сети, и определяет изменения в IP-подсети, чтобы можно было задействовать соответствующий адрес для оптимального доступа к ресурсам.
В Windows XP можно использовать несколько конфигураций IP-адресов (назначенных DHCP или статических), причем подходящая конфигурация выбирается автоматически. При изменении IP-адреса Windows XP позволяет производить дополнительную настройку. Например, можно изменить параметры резервирования для гарантированного качества обслуживания и заново определить параметры прокси-браузера. Дополнительные функции Windows Sockets позволяют сетевым приложениям (брандмауэрам, браузерам и т. д.) получать уведомления об изменениях в сети и изменять свое функционирование. Автоматическое распознавание и переконфигурирование эффективно решают проблемы, возникающие при перемещении между сетями.
При перемещении от одной станции доступа к другой мобильная станция пользователя должна передавать сведения о состоянии и другую информацию о себе, например, о своем местоположении, что необходимо для доставки сообщений, и т. п. Эта информация может передаваться от одной станции доступа к другой. Протокол для такой передачи не определен в стандарте, но несколько производителей беспроводных ЛС совместно разработали для этих целей протокол Inter-Access Point Protocol (IAPP), обеспечивающий большую совместимость их продуктов.
Проблемы конфигурирования
Дополнительные возможности беспроводных сетей являются потенциальным источником дополнительных настроечных параметров. Например, нужно настроить SSID для сети, к которой мы подключаемся. Для обеспечения безопасности следует настроить WEP-ключи (причем, вероятно, несколько наборов — для нескольких сетей, в которых мы собираемся работать). Нам нужна конфигурация для офиса, где сеть работает в инфраструктурном режиме, и для дома, где сеть специализированная. Затем мы будем выбирать нужную конфигурацию в зависимости от того, где находимся.
Автоматическая настройка беспроводных устройств
Для усовершенствования возможностей роуминга путем автоматизации настройки сетевых адаптеров стандарта 802.11 и их привязки к доступной сети требуется незначительная доработка этих адаптеров и NDIS-драйверов для поддержки новых идентификаторов NDIS (Object Identifier, OID). Эти идентификаторы используются для запроса и установки режимов адаптера и драйвера. Сетевой адаптер ищет доступные сети и передает сведения о них Windows XP. Windows XP содержит службу Wireless Zero Configuration, которая обеспечивает настройку адаптера для доступной сети. Пользователь может настроить предпочтительный порядок использования сетей — машина будет пытаться подключиться к сетям в этом порядке, пока не обнаружит активную. Можно даже ввести ограничения, чтобы привязка происходила только к указанным предпочтительным сетям.
Если сетей 802.11 поблизости не обнаружится, Windows XP настроит сетевой адаптер на использование специализированного сетевого режима. Пользователь может разрешить или запретить переключение в специализированный режим.
Возможности автоматической настройки интегрированы с функциями, обеспечивающими защиту: если аутентификация не проходит, устройство будет искать другую сеть, чтобы привязаться к ней.