Внедрение сети беспрводного доступа для компании KazSet

Содержание
ВВЕДЕНИЕ.............................................................................................................. 8
1 РЕАЛИЗАЦИЯ СЕТИ БЕСПРВОДНОГО ДОСТУПА .................................. 11
1.1 Место реализации проекта .......................................................................... 11
1.2 Техническое решение проекта.................................................................... 11
1.3 Разработка структурной схемы организации сети ................................... 11
1.4 Описание, характеристика выбранного оборудования и его настройка 18
1.5 Точка доступа D-Link DWL-2100AP.......................................................... 19
1.6 Конфигурирование точки доступа D-Link DWL-2100AP........................ 23
1.7 Беспроводной PCI-адаптер D-Link DWL-G520+ ...................................... 26
1.8 Конфигурирование беспроводного PCI-адаптера .................................... 27
1.9 Беспроводной Cardbus-адаптер D-Link DWL-G650 ................................. 28
1.10 Конфигурация Cardbus-адаптер................................................................ 29
2 ЗАЩИТА БЕСПРОВОДНЫХ СЕТЕЙ............................................................. 30
2.1 Подслушивание ............................................................................................ 30
2.2 Отказ в обслуживании (Denial of Cervice - DOS) .
2.3 Глушение клиентской станции .........
2.4 Угрозы криптозащиты .......................
2.5 Анонимность атак ..............................
2.6 Физическая защита ............................
2.7 Механизм шифрования WEP ............
2.7.1 Потоковое шифрование ..................
2.7.2 Блочное шифрование ......................
2.7.3 Вектор инициализации (Initialization Vector - IV) ...
2.7.4 Обратная связь.................................
2.8 Уязвимость шифрования WEP .........
2.8.1 Пассивные сетевые атаки ...............
2.8.2 Активные сетевые атаки........................................................................... 40
2.8.3 Проблемы управления статическими WEP-ключами ........................... 41
3 ОБЕСПЕЧЕНИЕ ЗАЩИТЫ БЕСПРОВОДНОЙ СЕТИ ТОО "KazSet" ........ 41
3.1 Принцип аутентификации абонента .......................................................... 42
3.2 Открытая аутентификация .......................................................................... 43
3.3 Аутентификация с общим ключом ............................................................ 44
3.4 Аутентификация по MAC-адресу............................................................... 45
3.5 Уязвимость механизмов аутентификации................................................. 46
3.6 Спецификация WPA .................................................................................... 48
3.7 Стандарт сети 802.11i с повышенной безопасностью (WPA2) ............... 53
3.8 Стандарт 802.1х/EAP (Enterprise-режим) .................................................. 56
3.9 Развертывание VPN - Виртуальных частных сетей ................................ 66
3.10 Распространенные тунельные протоколы ............................................... 69
3.10.1 Протокол IPSec........................................................................................ 69
3.10.2 Протокол PPTP ........................................................................................ 70
3.10.3 Протокол L2TP ........................................................................................ 70
3.11 Системы обнаружения вторжения в беспроводные сети ...................... 71
3.12 Реализация атак на беспроводную сеть компании ................................. 75
4 РАСЧЕТНАЯ ЧАСТЬ ........................................................................................ 80
4.1 Расчет эффективной изотропной изучаемой мощности .......................... 80
4.2 Расчет зоны действия сигнала .................................................................... 80
5 БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ ................................................ 83
5.1 Анализ условий труда обслуживающего персонала при эксплуатации
технического оборудования ............................................................................. 83
5.2 Расчет системы искусственного освещения помещения ........................ 84
5.3 Электромагнитные поля ....................
5.3.1 Оценка электромагнитных излучений ................
6 БИЗНЕС ПЛАН .................................................................................................. 91
6.1 Общая информация о проекте .................................................................... 91
6.2 Обоснование выбора и состава оборудования ......................................... 91
6.3 Финансовый план......................................................................................... 92
6.3.1 Расчет капитальных вложений ................................................................ 92
6.3.2 Эксплуатационные расходы .................................................................... 93
ЗАКЛЮЧЕНИЕ ................................................................................................ 100
СПИСОК ЛИТЕРАТУРЫ................................................................................... 101
1 РЕАЛИЗАЦИЯ СЕТИ БЕСПРВОДНОГО ДОСТУПА
Место реализации проекта
Компания KazSet реализует электронные весовые установки и
автоматизированные системы управления.
Электронные весовые установки: автомобильные, вагонные,
платформенные, монорельсовые, крановые, подкладные весы,весы для скота,
тензометрические датчики.
Продукция компании дает возможность нашим клиента автоматически
управлять производством, контролировать процесс, контролировать
механизмы, вести архивацию данных, вести справочную систему.
Весы нашей организации сертифицированы и занесены в
Государственный реестр средств измерений РК.

1.2 Техническое решение проекта

Проект «Проектирование высокоскоростной беспроводной сети
стандарта IEEE 802.11n с разработкой системы защиты в KazSet базируется
на оборудовании c поддержкой стандарта 802.11n, получившим сертификат
Wi-Fi. Wi-Fi покрывает всю территорию компании и обьединяет всех
пользователей в единую сеть с доступом в интернет. Сеть осуществляется
установленными по всей территории компании беспроводными
унифицированными точками доступа, управляемыми беспроводным
коммутатором.

1.3 Разработка структурной схемы организации сети

При организации беспроводной локальной сети необходимо учитывать
некоторые особенности окружающей среды. На качество и дальность работы
связи влияет множество физических факторов: число стен, перекрытий и
других объектов, через которые должен пройти сигнал. Обычно расстояние
зависит от типа материалов и радиочастотного шума от других
электроприборов в помещении. Для улучшения качества связи надо
следовать базовым принципам.
Сократить число стен и перекрытий между абонентами беспроводной
сети - каждая стена и перекрытие отнимает от максимального радиуса от 1 м
до 25 м. Расположить точки доступа и абонентов сети так, чтобы количество
преград между ними было минимальным.
Проверить угол между точками доступа и абонентами сети. Стена
толщиной 0,5 м при угле в 30 градусов для радиоволны становится стеной
толщиной 1 м. При угле в 2 градуса стена становится преградой толщиной в
12 м. Надо стараться расположить абонентов сети так, чтобы сигнал
проходил под углом в 90 градусов к перекрытиям или стенам.
Строительные материалы влияют на прохождение сигнала по-разному -
целиком металлические двери или алюминиевая облицовка негативно
сказываются на передаче радиоволн. Желательно, чтобы между абонентами
сети не было металлических или железобетонных препятствий.
С помощью программного обеспечения проверки мощности сигнала
надо позиционировать антенну на лучший прием.
Удалить от абонентов беспроводных сетей, по крайней мере, на 1-2
метра электроприборы, генерирующие радиопомехи, микроволновые печи,
мониторы, электромоторы, ИБП. Для уменьшения помех эти приборы
должны быть надежно заземлены.
Если используются беспроводные телефоны стандарта 2,4 ГГц или
оборудование X-10 (например, системы сигнализации), качество
беспроводной связи может заметно ухудшиться или прерваться.
Для типичного жилья расстояние связи не представляет особой
проблемы. Если обнаружена неуверенная связь в пределах дома, то надо
расположить точку доступа между комнатами, которые следует связать
беспроводной сетью.
Для обнаружения точек доступа, попадающих в зону действия
беспроводной сети, и определения каналов, на которых они работают, можно
использовать программу NetworkStumbler (http://www.stumbler.net/). С ее
помощью также можно оценить соотношение "сигнал-шум" на выбранных
каналах.
Для организации сети адаптеры переводятся в режим инфраструктуры,
а точка доступа - в режим точки доступа. При этом создается одна зона
обслуживания, в которой находятся все пользователи сети.
Рисунок 2.2 - Офисная сеть

При размещении точки доступа при развертывании малой сети следует
обеспечить достаточное качество связи на всех рабочих местах, а также
удобство в размещении самой точки. Типовое решение - закрепить точку
доступа непосредственно на фальш-потолке, при этом провода
электропитания и проводной сети будут проходить над фальш-потолком
либо в коробах.
Необходимо иметь в виду, что при расширении сети и увеличении
количества пользователей скорость связи будет падать (пропорционально
числу пользователей). Наибольшее разумное количество пользователей
обычно составляет 16-20. Помимо этого скорость и качество связи зависят и
от расстояния между клиентом и точкой. Эти соображения могут
потребовать расширения базовой сети.
Для расширения сети можно использовать uplink-порт точки доступа.
Он может использоваться как для объединения базовых зон обслуживания в
сеть так и для интеграции в имеющуюся проводную или беспроводную
инфраструктуру, например для обеспечения пользователей доступом к
разделяемым ресурсам других подразделений или для подключения к
Internet.
При расширении сети необходимо следить чтобы частоты соседних
точек доступа не перекрывались во избежание взаимных помех и снижения
скорости передачи. Это достигается настройкой соседних точек на
неперекрывающиеся по частоте каналы 1, 6 и 11. Чередуя каналы таким
образом, что соседние точки с каналами 1, 6 и 11 окажутся в вершинах
равностороннего треугольника, можно охватить беспроводной связью сколь
угодно большую площадь без перекрытия частот (рисунок 2.3).
Рисунок 2.3 - Расширение беспроводной сети

Объединение всех точек доступа в офисе в локальную сеть можно
осуществить несколькими способами. Самым простым и распространенным
методом организации является объединение через проводную
инфраструктуру (рисунок 2.4).
Рисунок 2.4 - Объединение точек доступа через проводную
инфраструктуру

В таком случае устанавливается коммутатор, к которому
подключаются точки доступа посредством витой пары через uplink-порт.
Также к этому коммутатору можно подвести широкополосныйInternet.
Преимуществом такого подключения является простота настройки зоны
действия точек доступа на разные каналы, недостатком - прокладка проводов
от точек доступа к коммутатору.
Второй способ - подключение с использованием расширенного режима
WDS (рисунок 2.5).
Рисунок 2.5 - Объединение точек доступа с использованием
расширенного режима WDS
Одна точка доступа, которая имеет подключение к Internet,
переводится в мостовой режим WDS, остальные точки настраиваются на тот
же канал, что и первая, и устанавливается режим WDS with AP.
Использование такого способа нежелательно, т.к. все точки работают на
одном канале, и при достаточно большом их количестве резко уменьшается
скорость. Рекомендуется устанавливать не более 2-3 точек.
Третий способ подключения аналогичен предыдущему но
дополнительно к каждой точке доступа через проводной интерфейс
подключена еще одна точка, работающая на другом канале, для организации
связи в одной комнате (рисунок 2.6).
Здесь переводятся те точки доступа в режим WDS, которые будут
связаны с первой, а остальные через проводные интерфейсы подключаются к
ним. Они должны работать в режиме точки доступа и на других каналах,
чтобы не было коллизий. Преимуществом такого способа подключения
является полное отсутствие проводной инфраструктуры (за исключением
связи между соседними точками), недостатком - высокая стоимость, в связи с
большим количеством точек доступа, и использование одного канала для
связи с базовой точкой.
Рисунок 2.6 - Объединение точек доступа с дополнительными точками

Чтобы пользователь мог передвигаться от одной точки доступа к
другой без потери доступа к сетевым службам и разрыва соединения, во всем
оборудовании компании D-Link предусмотрена функция роуминга.
Роуминг - это возможность радиоустройства перемещаться за пределы
действия базовой станции и, находясь в зоне действия "гостевой" станции,
иметь доступ к "домашней" сети (рисунок 2.7).
Рисунок 2.7 - Роумин
При организации роуминга все точки доступа, обеспечивающие
роуминг, конфигурируются на использование одинакового идентификатора
зоны обслуживания (SSID). Все точки доступа относятся к одному
широковещательному домену, или одному домену роуминга.
Механизм определения момента времени, когда необходимо начать
процесс роуминга, не определен в стандарте 802.11, и, таким образом,
оставлен на усмотрение поставщиков оборудования. Наиболее простой
широко распространенный алгоритм переключения заключается в том, что
адаптер взаимодействует с одной точкой вплоть до того момента, когда
уровень сигнала не упадет ниже допустимого предела. После этого
осуществляется поиск точки доступа с одинаковым SSID и максимальным
уровнем сигнала, и переподключение к ней.
Роуминг включает значительно больше процессов, чем необходимо для
поиска точки доступа, с которой можно связаться. Опишем некоторые из
задач, которые должны решаться в ходе роуминга на канальном уровне:
 предыдущая точка доступа должна определить, что клиент уходит из
ее области действия;
 предыдущая точка доступа должна буферизовать данные,
предназначенные для клиента, осуществляющего роуминг;
 новая точка доступа должна показать предыдущей, что клиент
успешно переместился в ее зону;
 предыдущая точка доступа должна послать буферизованные данные
новой точке доступа;
 предыдущая точка доступа должна определить, что клиент покинул
ее зону действия;
 точка доступа должна обновить таблицы МАС-адресов на
коммутаторах инфраструктуры, чтобы избежать потери данных
перемещающегося клиента....