ЛАБОРАТОРНАЯ РАБОТА №6.

Обеспечение безопасности в
беспроводных сетях
Беспроводная среда передачи является физически общедоступной, поэтому в
беспроводной сети требуется наличие таких сервисов как аутентификация и
конфиденциальность данных. Стандарты и протоколы безопасности беспроводных сетей
определены IEEE в рамках семейства стандартов IEEE 802.11. Коммерческие реализации этих
стандартов определяются и сертифицируются Wi-Fi Alliance. Стандарт IEEE 802.11-1999
определял два метода аутентификации: аутентификацию открытых систем и аутентификацию с
общим ключом. Для обеспечения конфиденциальности данных использовался протокол WEP. В
2004 году был ратифицирован протокол IEEE 802.11i, финальная форма которого получила
название Robust Security Network (RSN) – сеть с усиленным режимом безопасности. Протокол
определил использование аутентификации на основе предварительно установленных ключей
(PSK) и аутентификации на основе стандарта IEEE 802.1X. Для обеспечения
конфиденциальности и целостности данных использовались протоколы TKIP и CCMP.
Программы сертификации WPA/WPA2 основаны на IEEE 802.11i и определяют набор функций
безопасности, которые должны присутствовать в производимом оборудовании для обеспечения
безопасности беспроводных сетей. В зависимости от требования сети WPA/WAP2 могут
работать в двух режимах  Enterprise и Personal. Режим Personal основан на аутентификации
PSK, режим Enterprise  на аутентификации на основе стандарта IEEE 802.1X. В WPA для
обеспечения конфиденциальности данных используется протокол TKIP, в WPA2  протокол
CCMP.
Информация о функциях безопасности станции или точки доступа указывается в
элементе RSN IE кадров Beacon, Probe response, Association request.
В беспроводных сетях могут использоваться механизмы контроля доступа, выходящие за
рамки стандарта IEEE 802.11. Контроль над подключением клиента к точке доступа на основе
его MAC-адреса не предусмотрен стандартом IEEE 802.11, однако поддерживается многими
производителями оборудования для беспроводных сетей, в том числе D-Link. Для этого точка
доступа должна поддерживать функцию фильтрации по МАС-адресам (MAC Filtering), которая
позволяет разрешать или запрещать подключение клиентов к сети на основе их МАС-адресов.
Сетевой администратор может настроить на точке доступа список разрешенных или
запрещенных МАС-адресов. Когда беспроводной клиент попытается подключиться, точка
доступа проверит заранее сконфигурированный список и определит, разрешено ли этому
клиенту подключаться к сети, или нет. Функция фильтрации по МАС-адресам может
использоваться с механизмами аутентификации, например, открытой аутентификацией или
аутентификацией с общим ключом.

Оборудование (на 1 рабочее место):

Рабочая станция 2 шт.
Беспроводной адаптер DWA-160 или DWA-582 2 шт.
Точка доступа DAP-2310 1 шт.
Кабель Ethernet 1 шт.
ПО — анализатор трафика Microsoft Network Monitor 3.4.

Цель работы: изучить настройку режима WPA/WPA2-Personal и принцип работы фильтрации

по МАС-адресам.

- 47 -
 6.1 Настройка режима WPA/WPA2-Personal

Рис. 6.1 Схема сети

Перед выполнением задания сбросьте настройки точки доступа к заводским настройкам

по умолчанию.

Примечание: настройка точки доступа выполняется с рабочей станции ПК1.

Шаг 1. Подключите один конец Ethernet-кабеля к LAN-порту точки доступа, а другой — к

Ethernet-адаптеру рабочей станции ПК1.

Шаг 2. Настройте статический IP-адрес на Ethernet-адаптере рабочей станции ПК1 —

192.168.0.1 с маской подсети 255.255.255.0.

Шаг 3. Зайдите на Web-интерфейс точки доступа. Измените IP-адрес управления на

192.168.N.50 с маской подсети 255.255.255.0. Сохраните и активируйте настройки.

Шаг 4. Измените IP-адрес Ethernet-адаптера рабочей станции ПК1 на 192.168.N.1 с маской

подсети 255.255.255.0.

Шаг 5. Уменьшите выходную мощность передатчика точки доступа до 12,5%.

Шаг 6. Создайте беспроводную сеть с SSID Dlink_N и настройте режим WPA/WPA2-Personal.

1. Выберите раздел Basic Settings → Wireless;
2. В списке Mode выберите Access Point;

- 48 -
3. В поле Network Name (SSID) введите Dlink_N;
4. Отключите автоматический выбор канала. В поле Auto Channel Selection выберите Disable;
5. В поле Channel выберите 6;
6. В выпадающем меню Authentication выберите WPA-Personal;
7. В списке WPA Mode выберите AUTO (WPA or WPA2);
8. В списке Cipher Type выберите AES;
9. В поле PassPhrase введите пароль DlinkPassword;
10. В поле Confirm PassPhrase повторите пароль DlinkPassword;
11. Сохраните настройки, нажав кнопку Save.

Рис. 6.2 Окно настройки WPA/WPA2-Personal

Шаг 7. Сохраните и активируйте настройки. Выберите Configuration → Save and Activate.

Шаг 8. Отключите Ethernet-кабель от точки доступа.

Шаг 9. Настройте на беспроводных интерфейсах ПК1 и ПК2 статические IP-адреса в

соответствии с рисунком 6.1 и номером рабочей группы.

Шаг 10. Запустите на рабочей станции ПК1 анализатор протоколов Microsoft Network Monitor.
Выберите интерфейс, с которого будет выполняться перехват трафика, и активируйте функцию
мониторинга на беспроводном адаптере.

Шаг 11. Запустите захват трафика. На панели инструментов нажмите Start.

Шаг 12. На рабочей станции ПК2 подключитесь к беспроводной сети Dlink_N. Из списка
доступных беспроводных сетей выберите сеть с идентификатором SSID Dlink_N и нажмите
кнопку Подключение. В появившемся окне аутентификации введите Ключ безопасности,
установленный при создании беспроводной сети Dlink_N, и нажмите кнопку Ок.

- 49 -
Шаг 13. Остановите захват трафика. На панели инструментов нажмите Stop.

Шаг 14. Проанализируйте информацию о настройках безопасности, передаваемых между

точкой доступа и рабочей станцией в процессе аутентификации.

Примечание: рабочая станция узнает о функциях безопасности, поддерживаемых точкой

доступа, из кадров Beacon и Probe response в процессе пассивного или активного сканирования.
Функции безопасности указываются в элементе RSN, содержащемся в этих кадрах.

Шаг 15. Выберите кадр Probe response с SSID Dlink_N. Установите фильтр
WiFi.FrameControl.Type==0 && WiFi.FrameControl.SubType==5 &&
Property.WiFiSSIDValue==”Dlink_N”. Нажмите кнопку Apply.

Рис. 6.3 Настройка фильтра кадров Probe response с SSID Dlink_N

Разверните подробную информацию о структуре кадра WiFi → ProbeResponse: ProbeResponse

whit SSID [Dlink_N] → InformationElements → RSN

Какой метод аутентификации использует RSN?________________________________________

Какой протокол использует RSN для шифрования данных?______________________________

Шаг 16. Отключитесь от беспроводной сети Dlink_N.

Шаг 17. Закройте анализатор протоколов Microsoft Network Monitor.

- 50 -
 6.2 Контроль доступа к беспроводной сети на основе МАС-адресов
Шаг 1. Посмотрите МАС-адреса беспроводных интерфейсов ПК1 и ПК2. В командной строке
введите: getmac

MAC-адрес ПК1_________________________________
MAC-адрес ПК2_________________________________

Шаг 2. Подключите рабочую станцию ПК1 к точке доступа Ethernet-кабелем. Зайдите на Web-
интерфейс. Выберите Advanced Settings → Filters → Wireless MAC ACL. Включите фильтрацию
подключений к точке доступа по МАС-адресам — в поле Access Control List выберите Accept. В
поле МАС Address введите МАС-адрес рабочей станции ПК2 и нажмите кнопки Add и Save.

Примечание: фильтр будет действовать по типу «белого списка»: ассоциироваться с точкой

доступа будет разрешено только устройствам, МАС-адреса которых содержатся в списке.

Рис. 6.4 Настройка фильтрации по МАС-адресам по типу «белого списка»

Шаг 3. Сохраните и активируйте настройки.

Шаг 4. Отключите Ethernet-кабель от точки доступа.

Шаг 5. Подключитесь на рабочих станциях ПК1 и ПК2 к беспроводной сети Dlink_N.

Произошла ассоциация рабочей станции ПК1 с точкой доступа? _________________________

Произошла ассоциация рабочей станции ПК2 с точкой доступа? _________________________

- 51 -
Шаг 6. На рабочей станции ПК1 зайдите на Web-интерфейс точки доступа. Выберите Advanced
Settings → Filters → Wireless MAC ACL. Измените фильтр на запрещающий — в поле Access
Control List выберите Reject и нажмите кнопку Save.

Примечание: фильтр будет действовать по типу «черного списка»: ассоциироваться с точкой

доступа будет разрешено всем устройствам, кроме тех, чьи МАС-адреса будут содержаться
в списке.

Рис. 6.5 Настройка фильтрации по МАС-адресам по типу «чёрного списка»

Шаг 7. Сохраните и активируйте настройки.

Шаг 8. Подключитесь на рабочих станциях ПК1 и ПК2 к беспроводной сети Dlink_N.

Произошла ассоциация рабочей станции ПК1 с точкой доступа? _________________________

Произошла ассоциация рабочей станции ПК2 с точкой доступа? _________________________

Шаг 9. Отключите фильтрацию подключений к точке доступа по МАС-адресам. Выберите

Advanced Settings → Filters → Wireless MAC ACL. В поле Access Control List выберите Disable и
нажмите кнопку Save.

Шаг 10. Сохраните и активируйте настройки.

Шаг 11. Подключитесь на рабочих станциях ПК1 и ПК2 к беспроводной сети Dlink_N.

Произошла ассоциация рабочей станции ПК1 с точкой доступа? _________________________

Произошла ассоциация рабочей станции ПК2 с точкой доступа? _________________________

- 52 -