Самоучитель системного администратора. 5-е издание

Структура сети 
93 
иному каналу. Рассмотрим для примера устройство стандарта 802.11n. Его макси-
мальная заявленная скорость — 150 Мбит/с (это в теории, а на практике значитель-
но ниже). Если одновременно будут работать пять клиентов, то на каждого из них 
придется по 30 Мбит/с максимальной теоретической скорости. С учетом практиче-
ского опыта разделите эти значения на 2. В итоге получится 15 Мбит/с — а это все-
го лишь 1,87 Мбайт/с — маловато на сегодняшний день. Следует также учитывать, 
что скорость передачи данных снижается при слабом уровне сигнала на макси-
мальных расстояниях. 
Рис. 3.12. 
Wifi Analyzer 
для Android 
Установка дополнительных точек доступа позволяет распределить между ними 
пользователей и повысить скорость обмена данными. Обычно рекомендуется уста-
навливать одну точку доступа приблизительно на 10 клиентов, хотя технический 
предел подключений беспроводных устройств на одну точку доступа, как правило, 
составляет не одну сотню систем. Другими словами, можно сэкономить и поста-
вить одну точку доступа, скажем, на 30 клиентов. Все будет работать, но медленно. 
А можно добавить еще две точки доступа, и пользователи будут вам благодарны. 
Беспроводные решения могут помочь соединить, например, два здания. Для этого 
созданы специализированные беспроводные 
мосты
и направленные антенны.
В режиме моста могут работать многие точки доступа, даже не самые дорогие. 
Здесь повторимся, что рекомендуем покупать точки доступа, маршрутизаторы
и беспроводные адаптеры со съемными антеннами. Антенны сами по себе стоят 

94 
Глава 3 
недорого, поэтому в случае недостаточного сигнала можно просто установить
более мощную антенну, что не ударит по вашим финансам. 
Для работы вне помещения нужны специальные наружные (outdoor) точки доступа. 
Такие устройства устойчивы к перепаду температур, и им не страшна повышенная 
влажность. 
П
РИМЕЧАНИЕ
Если режим работы системы предполагает мобильность устройств (постоянное пере-
мещение их во время работы с системой с переключением между различными точка-
ми доступа), то для исключения прерывания сессий необходимо использовать специ-
альное программное обеспечение. 
Безопасность беспроводной сети 
Безопасность беспроводной сети оставляет желать лучшего. Представьте только — 
по умолчанию к вашей беспроводной сети может подключиться любой желающий. 
Что он станет делать: просто получит доступ к Интернету через вашу беспровод-
ную сеть или же будет перехватывать передаваемые по сети пакеты — никто не 
знает. Поэтому нужно уделить внимание правильной настройке маршрутизатора 
и/или точки доступа. 
Шифрование трафика беспроводной сети 
Для защиты передаваемой по беспроводной сети информации все данные 
шифру-
ются
. Существуют следующие стандарты шифрования данных, передаваемых по 
беспроводной сети: 
WEP (Wireless Encryption Protocol или Wired Equivalent Privacy); 
WPA (Wi-Fi Protected Access); 
WPA2 (усовершенствованный вариант Wi-Fi Protected Access). 
Наиболее безопасным является стандарт WPA2. Стандарт WEP можно сравнить
с решетом, а WPA — с голландским сыром. Да, вы все правильно поняли — «дыр» 
в этих стандартах очень много. Однако и протокол WPA2 также подвержен взлому, 
что стало известно относительно недавно. Многие думали, что раз они используют 
WPA2, то полностью защищены. Но это не так. В Сети уже полно руководств по 
взлому сетей, защищаемых стандартом WPA2. Например, вот одно из них: 
http://skillville.ru/electro/kak-vzlomat-wi-fi-s-wpa2-shifrovaniem.html
. 
Что же делать? Есть два способа решения этой проблемы: 
если по сети не передаются никакие важные данные, которые даже в случае
перехвата не могут быть никоим образом использованы против вас, применяйте 
WPA2 и не очень беспокойтесь. Ну, для большего спокойствия отключите
широковещание идентификатора беспроводной сети (SSID) в настройках марш-
рутизатора и/или точки доступа — чтобы даже никто не знал, что рядом есть 
ваша сеть; 

Структура сети 
95 
если же по беспроводной сети передаются важные данные, то можно защитить 
передаваемую информацию путем создания виртуальных частных сетей (VPN) 
поверх беспроводных каналов связи. 
Аутентификация пользователей и устройств Wi-Fi 
Современные точки доступа и беспроводные маршрутизаторы поддерживают сле-
дующие способы проверки пользователей и устройств при их подключении: 
проверка MAC-адреса подключаемого устройства
. Этот способ подразумева-
ет, что администратор для каждой точки доступа вручную настроит список 
MAC-адресов устройств, которым разрешено подключение к точке доступа.
Такой подход весьма утомителен и малоэффективен, поскольку MAC-адреса 
устройств можно перехватить, а изменить MAC-адрес устройства не составит 
труда даже для не очень подготовленного пользователя; 
парольная фраза
. Этот способ может использоваться со всеми стандартами 
шифрования: WEP, WPA, WPA2. Он достаточно оптимален для дома или не-
большого офиса, где всем пользователям сети можно доверять. Дело в том, что 
пароли на клиентах (в настройках операционной системы) хранятся в незашиф-
рованном виде. Любой пользователь может легко их просмотреть и, следова-
тельно, передать кому-либо еще — ведь пароль один на всех и выяснить, кто 
именно передал этот пароль, будет очень сложно. Если же в сети «все свои», то 
об этом можно не беспокоиться; 
аутентификация с помощью RADIUS-сервера
. Этот способ следует использо-
вать в корпоративной среде. Наличие RADIUS-сервера подразумевает, что у каж-
дого пользователя будут свои аутентификационные данные; 
использование PKI
(Public Key Infrastructure, инфраструктура открытых клю-
чей). Настройка беспроводных устройств для аутентификации с использованием 
сертификатов по протоколу 802.1x практически идентична примеру, описанному 
в 
разд. «Настройка протокола 802.1х» главы 9
. Разница заключается в том, что 
в мастере создания политики удаленного доступа нужно выбрать вариант 
Бес-
проводной доступ
. 
П
РИМЕЧАНИЕ
При такой настройке клиенты, ранее не работавшие в составе домена, не могут быть 
подключены к нему по беспроводной сети, поскольку на них не установлены необхо-
димые сертификаты. Вам следует либо заранее осуществить подсоединение клиент-
ского компьютера к домену с помощью проводной сети, либо настроить особую поли-
тику для временного подключения гостевых записей (введя в этом случае временные 
ограничения сессии в политике подключения сервера RADIUS). При краткосрочном 
подключении к сети клиент получит сертификат и в дальнейшем будет работать в со-
ответствии с постоянной политикой беспроводного доступа. 
Безопасность клиента 
При подключении к общественной (публичной) беспроводной сети следует прини-
мать те же меры безопасности, что и при работе в Интернете. 

96 
Глава 3 
Первым делом нужно включить брандмауэр, если он выключен. Если вы не исполь-
зуете сторонние межсетевые экраны, включите хотя бы стандартный брандмауэр 
Windows — в последних версиях Windows (7, 8, 8.1, 10) он отлично справляется со 
своими обязанностями. 
Для общественной беспроводной сети следует обязательно запретить входящие 
подключения к вашему компьютеру (рис. 3.13). 
Рис. 3.13. 
Отключение входящих подключений в публичной сети 
Настройка транспортных протоколов 
Протоколы 
Сетевой
протокол
— это набор программно реализованных правил общения ком-
пьютеров, подключенных к сети. Практически это «язык», на котором компьютеры 
разговаривают друг с другом. В настоящее время стандартом стало использование 
только
протокола TCP/IP. В предыдущих версиях Windows по умолчанию устанав-
ливалось несколько протоколов, обычно это: NetBEUI, NWLink IPX/SPX, TCP/IP. 
Познакомимся с ними подробнее. 
NetBEUI
— компактный и эффективный протокол для взаимодействия в малых 
сетях (до 200 компьютеров). Используется в самых разнообразных системах: 
Microsoft LAN Manager, Windows 3.1/3.11 for Workgroups, 95, 98, NT 4.0, IBM 
PCLAN, LAN Server и т. п. В Windows 2000 и старше применяется новая специ-
фикация этого протокола, которая получила название NetBIOS Frame Protocol 

Структура сети 
97 
(NBFP). Протокол не является маршрутизируемым. Сети на основе NetBEUI 
очень трудно расширить. Протокол устарел и более не используется. 
NWLink IPX/SPX
— если в сети есть серверы Novell NetWare, то этот протокол 
необходим для организации связи с ними (в последних версиях Netware по 
умолчанию задействован протокол TCP/IP). В противном случае этот протокол 
следует исключить из числа используемых в системе. Сети Novel NetWare давно 
канули в Лету и более не актуальны. 
TCP/IP
— основной рекомендуемый протокол как для больших сетей предпри-
ятий и малых офисов, так и для соединения домашних компьютеров в частную 
сеть. В отличие от других протоколов, требует ряда предварительных настроек. 
В настоящее время является единственным актуальным транспортным протоко-
лом. 
П
РИМЕЧАНИЕ
Не следует задействовать в сети больше служб и протоколов, чем требуется для нор-
мальной работы в конкретной ситуации. Во-первых, при этом будут непроизводитель-
но использоваться ресурсы компьютера. Во-вторых, любая дополнительная служба и 
неиспользуемый протокол — это еще один «вход» в систему, который надо защищать. 
Поэтому проще не предоставлять дополнительных возможностей хакерам, чем посто-
янно следить за обнаруживаемыми в этих службах уязвимостями, устанавливать не-
обходимые обновления и т. п. 
Модель OSI 
С целью систематизации сетевого взаимодействия часто используется 
модель OSI
(Open Systems Interconnection, модель взаимодействия открытых систем), условно 
разбивающая сетевое взаимодействие на семь уровней (табл. 3.7). 
Таблица 3.7.
Модель OSI 
Уровень OSI 
Назначение 
Примеры 
Необходимое 
сетевое 
оборудование 
Application (7) 
Обеспечение служб сетевых 
приложений 
Протоколы SMTP, HTTP, 
FTP и т. п. 
— 
Presentation (6) 
Службы кодирования и пре-
образования данных,
используемых на уровне 
приложений 
Стандарты кодирования 
изображений (GIF, JPEG, 
TIFF и т. п.), аудио и видео 
(MPEG) и т. п. 
— 
Session (5) 
Обеспечение коммуникаций 
между приложениями более 
высокого уровня (согласо-
вание, поддержка, заверше-
ние сессий) 
Session Control Protocol 
(SPC) 
Remote Procedure Call 
Zone Information Protocol 
(AppleTalk) 
— 
Transport (4) 
Обеспечивает передачу 
данных от одной точки 
до другой 
TCP (используются 
соединения) 
UDP (передача данных 
без создания соединения) 
— 

98 

Download 19,93 Mb.

Do'stlaringiz bilan baham: