Wi-Fi оборудование

Для создания Wi-Fi сети вам, прежде всего, понадобятся специальные устройства: беспроводная точка доступа и Wi-Fi адаптер. Если у всех членов вашей семьи имеются ноутбуки со встроенным Wi-Fi адаптером, его можно не покупать.
Wi-Fi сети создаются при помощи Wi-Fi точек доступа или Wi-Fi роутеров. Сегодня их появилось огромное количество, различающихся как по маркам, так и по функционалу. Роутер – более продвинутое устройство по сравнению с обычной точкой доступа, он может самостоятельно транслировать кабельный интернет в радиоволны, но и стоит дороже. Лично мне нравятся точки доступа Linksys – детища всем известной компании Cisco. Можно купить самую обычную точку доступа, позволяющую управлять настройками через браузер, но обязательно поддерживающую режим безопасности WPA и WPA-Enterprise.

Компьютер подключается к беспроводной точке доступа при помощи специального устройства - Wi-Fi адаптера. Он может быть встроен в компьютер (например, в ноутбуках), либо приобретается отдельно: вставляется внутрь компьютера, как обычная плата, или подключается к USB порту ПК, подобно флешке. USB адаптер более удобен в использовании: его можно носить в кармане, легко подключать к ПК без необходимости разбирать системный блок.

Перечисленное выше Wi-Fi оборудование может поддерживать различные стандарты беспроводной связи: 802.11a, 802.11b и 802.11g. Обычно поддерживаемый стандарт указан на самом устройстве. Лучше всего приобретать беспроводную точку доступа и адаптер с поддержкой стандарта 802.11g, который обеспечит максимальную скорость передачи трафика в вашей будущей Wi-Fi сети.

Защита Wi-Fi сети

Определившись с оборудованием, задумаемся о безопасности. Первый и самый важный момент, которому следует уделить особое внимание при настройке Wi-Fi – защита беспроводной сети. К незащищенной Wi-Fi точке доступа может подключиться любой пользователь, чей компьютер оснащен Wi-Fi адаптером, будь то ваша бабушка или сосед с 4 этажа. А если вы не сменили пароль доступа к настройкам беспроводной точки, оставив привычное admin/admin, то она окажется целиком и полностью во власти злоумышленника. Но и защищать Wi-Fi точку доступа нужно с умом. Не секрет, что беспроводные сети ломаются на раз-два-три, и в лучшем случае вы получите огромный счет за трафик, а в худшем – через вашу сеть кого-нибудь «хакнут», но отвечать придется уже вам.
Помимо обязательной смены пароля доступа к интерфейсу Wi-Fi точки, для защиты беспроводной сети обычно применяются следующие приемы.
1. Фильтрация по MAC-адресам. В настройках точки доступа запрещается подключение к беспроводной сети всех компьютеров, кроме тех, чьи MAC-адреса перечислены в специальном списке разрешенных.

Этот способ защиты основан на том, что каждая сетевая карта компьютера (а Wi-Fi адаптер и есть сетевая карта, только беспроводная) имеет свой уникальный адрес, который присваивается ей производителем. Однако хакеры уже давно научились перехватывать MAC-адреса и подделывать их, поэтому данный способ защиты остановит разве что 3-летнего мальчика.
2. Использование WPA-PSK. WPA-PSK расшифровывается как Wi-Fi Protected Access - Pre-Shared Key. В этом случае в настройках беспроводной точки доступа вводится специальный ключ (Pre-Shared Key), напоминающий обычный пароль.

На каждом компьютере, который нужно подключить к точке доступа, также вводится аналогичный ключ. При подключении ключи сверяются. Если они совпадают – пользователь подключается к Wi-Fi сети. Несмотря на шифрование, данная защита тоже может быть взломана. Часто вводятся банальные ключи, как 123456, password, admin и тому подобные, которые очень легко подобрать. Ключи, которые не получилось подобрать, можно вычленить из трафика и расшифровать при помощи специальных программ.
3. Использование WPA-Enterprise. При такой схеме защиты беспроводной сети помимо правильно настроенной точки доступа используется еще одно специальное устройство или компьютер, который играет роль сервера аутентификации (RADIUS-сервера) – он проверят, те ли пользователи подключаются к Wi-Fi сети.

Проверять это он может по логинам и паролям, а также по цифровым сертификатам. Цифровой сертификат – это специальный файлик, который хранится на компьютере пользователя и на сервере RADIUS. Когда пользователь пытается подключиться к Wi-Fi сети, сервер сверяет эти сертификаты, и если они одинаковы, то пользователя допускают к Wi-Fi сети. Такие файлики называются пользовательскими цифровыми сертификатами. Но проверяется не только подлинность пользователя, но и подлинность сервера. Для этого также используется специальный цифровой сертификат, который одновременно хранится и на сервере, и на компьютере пользователя. Называется он корневым сертификатом. Подобная технология проверки подлинности пользователей довольно сложна для реализации и обычно применяется в корпоративных сетях.
Подытожив перечисленные способы защиты Wi-Fi сети, нетрудно догадаться, что самая высокая степень безопасности обеспечивается при использовании RADIUS-сервера. Несмотря на кажущуюся сложность, его можно сделать из любого старенького компьютера и операционной системы семейства Unix. А для тех, кто не причисляет себя к рядам Linux гуру, умные программисты уже давно придумали специальные программы. Сегодня мы воспользуемся одной из них – программным маршрутизатором Esomo.

Wi-Fi сеть на базе Esomo

Esomo умеет не только превращать обычный компьютер в полноценный RADIUS-сервер, но и учитывать трафик каждого пользователя сети, разрешая доступ в интернет по уникальным логину и паролю. Официальный сайт программы: http://www.esomoline.com
Для установки Esomo вам потребуется отдельный компьютер, т.к. в состав программы входит целая операционная система из семейства Unix - FreeBSD. У этого компьютера обязательно должны быть две сетевые карты (не беспроводные, а обычные): через первую подключите его к интернет кабелю или ADSL модему, через вторую – впоследствии соедините с беспроводной точкой доступа. При установке Esomo вся информация на жестком диске данного компьютера будет стерта. Для работы Esomo компьютеру не нужны монитор и клавиатура – их потребуется подключить к системному блоку только на время установки программы.
Запишите скаченный с сайта iso-образ на CD диск. Рекомендуем использовать для этого программу Alcohol 120%. Вставьте диск в привод компьютера, предварительно настроив в BIOS загрузку с CD, и перезагрузите ПК. Компьютер загрузится с CD-диска и начнется установка Esomo. В ходе установки очень важно указать правильные сетевые настройки для Esomo.

Имя хоста – имя компьютера с Esomo, вводится только на английском языке.
Пароль администратора – пароль для входа в ОС FreeBSD, должен содержать только английские буквы и (или) цифры. Если вы не профи в Unix, то входить в FreeBSD и что-то там менять вам не придется, но в целях безопасности пароль администратора нужно указать.
Внутренний IP адрес Esomo – IP адрес компьютера с Esomo в вашей будущей сети. Можете ввести 192.168.0.1, если данный адрес нигде больше не используется, например в LAN ADSL модеме или настройках интернета. Маску подсети оставьте как есть – 255.255.255.0
Внешний IP адрес Esomo – это адрес, выделенный вам интернет провайдером. Обычно он написан на бумажке, которую дают при подключении. Там же указана маска подсети, шлюз и DNS сервер. Если у вас интернет через LAN ADSL модем, эти данные уже есть в его настройках. Поэтому внимательно посмотрите, какой IP адрес имеет сам модем в вашей внутренней сети. Обычно это 192.168.1.1. В таком случае в качестве внешнего IP адреса Esomo укажите, например 192.168.1.2. Смысл в том, чтобы первые три цифры в адресах Esomo и модема совпадали, а последние – различались. Маски подсети в настройках модема и внешнего сетевого интерфейса Esomo должны совпадать. При наличии ADSL модема, в качестве шлюза и DNS укажите его IP адрес, например 192.168.1.1.
Нажмите «Далее», а в следующем окошке «Yes» для продолжения инсталляции Esomo на компьютер. По окончании процесса установки вы увидите сообщение с дальнейшими инструкциями. Запомните их или запишите, и нажмите кнопочку «ОК». В окошке с предупреждением о перезагрузке ПК также нажмите «ОК».

Теперь можете отключить от компьютера со свежеустановленным Esomo клавиатуру и монитор – они вам больше не понадобятся. Зато вам потребуется кабель витая пара, обжатая кроссовером, чтобы временно соединить компьютер с Esomo и ваш рабочий ПК. Кабель можно позаимствовать у друзей или обжать самому (как это делать, мы писали в одной из статей: http://www.yachaynik.ru/content/view/43/).
Соедините кабелем рабочий компьютер и компьютер с Esomo и подождите 5 минут. Теперь на своем рабочем компьютере выберите «Пуск» - «Выполнить» и введите cmd (на английском). В окне командного интерпретатора наберите «ping 192.168.0.1» (без кавычек) и нажмите на клавиатуре «Enter». Вы должны увидеть ответ от компьютера с Esomo. Если ответа нет, переставьте кабель в другую сетевую карту компьютера с Esomo.

Получив ответ от компьютера с Esomo, откройте браузер Internet Explorer и в адресной строке наберите «http://192.168.0.1/» (без кавычек).
Вам будет предложено установить активное содержимое - компонент ActiveX. Разрешите загрузку и установку компонента. Через несколько секунд вы увидите окошко для ввода логина и пароля. Введите в качестве логина и пароля слово superuser (на английском) и нажмите кнопочку «Соединить».

Между вашим компьютером и Esomo будет установлено виртуальное соединение с шифрованием трафика. Найти его вы можете в списке Сетевых подключений. Щелкните по данному подключению правой кнопкой мышки и выберите «Создать ярлык». Согласитесь, чтобы ярлык был выведен на Рабочий стол – так вы сможете в дальнейшем подключаться к Esomo без открытия браузера.

Теперь перейдем непосредственно к настройке Esomo для работы с беспроводной сетью. На записанном вами диске с Esomo найдите папочку Win и скопируйте её к себе на компьютер. Заодно можете скопировать и папочку doc с документацией к Esomo.
Найдите в папке Win файл Esomo.exe и запустите его, введите в поля логин и пароль слова superuser (на английском). Перед вами предстанет окно Esomo АРМ - это специальная программа, позволяющая настраивать компьютер с Esomo по сети. Если вы приобрели Esomo, зарегистрируйте программу, выбрав пункт «Лицензия» в меню «Справка». В противном случае вы сможете пользоваться беспроводным интернетом только с одного компьютера. Далее мы рассматриваем настройку зарегистрированной версии Esomo.
Поскольку Esomo будет не только «рулить» Wi-Fi сетью, но и считать израсходованный интернет трафик, добавьте новый тариф, определив стоимость входящего / исходящего 1 Мб трафика. В разделе «Тарифы» нажмите кнопку «Добавить», введите название тарифа и цену 1 Мб трафика в рублях. Если у вас безлимитный интернет можете ввести здесь единицу.

Теперь добавьте пользователей, которые будут подключаться к вашей Wi-Fi сети и выходить в интернет. Поскольку Esomo может разрешать доступ в сеть любому количеству пользователей (ограниченному лишь купленной лицензией), логично каждому пользователю беспроводной сети создать отдельную учетную запись. Добавлять нового пользователя следует в разделе «Пользователи». Пользователей можно объединять в группы: для этого сначала добавьте новую группу, затем выделите её мышью и добавьте в данную группу пользователей. При добавлении учетных записей интернет пользователей галочки в разделе «Права» не ставятся! После создания новых пользователей интернета учетную запись testuser можно удалить.

Но для настройки Esomo в дальнейшем также понадобится отдельная учетная запись с правами на конфигурацию программы. Создайте её в том же разделе «Пользователи». Администратору не нужен тариф (т.к. он не выходит в интернет, а только настраивает Esomo), но обязательно нужно поставить все галочки в разделе «Права». После создания учетной записи администратора Esomo, пользователя superuser можно будет удалить.

И, наконец, самая приятная часть – пополнение счета интернет пользователя. Выделите пользователя и на панели инструментов нажмите кнопку «Добавить платеж». Введите сумму и источник платежа. Сумма будет зависеть от того, сколько денег вы хотите потратить на интернет для каждого пользователя. В качестве источника платежа можете указать что угодно, например «касса». Администратору Esomo деньги на счете не нужны, ведь он не пользуется интернетом.

Теперь настало время вплотную заняться сетевыми настройками Esomo и конфигурированием Wi-Fi точки доступа. Прежде всего, проверьте опции динамического распределения IP адресов у Esomo. Откройте в разделе «Настройки сервера» вкладку «DHCP» и убедитесь, что стоит галочка напротив «Включить динамический DHCP». Таким образом, вам не придется присваивать беспроводной точке доступа и компьютерам Wi-Fi сети IP адреса – Esomo все сделает за вас.
В таблице «Статический DHCP» нажмите кнопку «Добавить» и добавьте данные вашей Wi-Fi точки доступа: МАС-адрес (обычно указан на самой точке доступа или в документации к ней), IP адрес точки доступа и имя точки доступа на английском языке. В IP адресе точки доступа первые три цифры должны совпадать с таковым в IP адресе внутреннего сетевого интерфейса компьютера с Esomo. Имя для Wi-Fi точки доступа вам придется придумать самим.
Для применения настроек нажмите кнопочку «Применить» внизу окна Esomo АРМ. Соединение с Esomo будет разорвано и вам снова придется установить его, щелкнув на Рабочем столе созданный ранее ярлык и введя логин и пароль superuser.

Разобравшись с настройками DHCP, перейдите в раздел «Wi-Fi» и на вкладке «Точки доступа» добавьте вашу беспроводную точку доступа в список. В качестве наименования точки доступа укажите ранее выбранное имя. IP адрес будет тот же, что в предыдущем окне, а ключ – кодовое слово на английском языке, по которому Esomo и точка доступа узнают друг друга. Этот ключ впоследствии вы укажете в настройках точки доступа. Введя все данные, нажмите «Применить». Соединение с Esomo вновь будет разорвано и вам заново придется установить его, щелкнув на Рабочем столе созданный ранее ярлык и введя логин и пароль superuser.

Теперь пришло время выдать каждому пользователю будущей Wi-Fi сети по цифровому сертификату. Делается это в разделе «Wi-Fi» на вкладке «Сертификаты». Щелкните правой кнопкой мышки по имени пользователя и выберите «Сгенерировать пользовательский сертификат». Введите число дней, в течение которого сертификат будет действителен, и нажмите «ОК».

Esomo АРМ предложит вам сохранить созданный сертификат пользователя. Выберите место на диске для сохранения и нажмите «Сохранить».

Вместе с пользовательским цифровым сертификатом сохраните и корневой сертификат.

Сгенерируйте цифровые сертификаты для всех пользователей Wi-Fi сети. Рядом со значком сертификата будет отображаться срок его действия. После этой даты пользователи не смогут подключиться к вашей беспроводной сети. Корневой сертификат одинаков для всех пользователей. Esomo будет предлагать вам сохранять корневой сертификат каждый раз при создании сертификата пользователя. Достаточно сохранить корневой сертификат единожды, а в дальнейшем любезно отказаться от его сохранения на компьютер.

На этом настройка Esomo завершена. Можете закрыть Esomo АРМ и отключить сетевой кабель от компьютера с Esomo. Теперь вам предстоит настроить беспроводную точку доступа. В комплекте с ней обычно поставляется специальный кабель, которым нужно соединить точку доступа и ваш рабочий компьютер. Откройте веб браузер и наберите в адресной строке IP адрес точки доступа. Он обычно указан в документации к ней, например 192.169.0.254. Если загрузить страницу с настройками точки доступа не получается, вам придется временно присвоить своему компьютеру IP адрес, в котором первые три цифры должны совпадать с таковыми в адресе Wi-Fi точки доступа. Например, для точки доступа с адресом 192.169.0.254 это может быть 192.168.0.10. В дальнейшем после настройки точки доступа, данный адрес необходимо будет удалить, выбрав в настройках сетевого подключения пункт «Получать IP-адрес автоматически».
После подключения к Wi-Fi точке и ввода логина и пароля доступа (обычно указаны в документации к точке доступа), вы попадете в утилиту для её настройки. Часто точки доступа настраиваются через веб-интерфейс, который напоминает обычную веб-страницу. Для корректной работы рекомендуем настраивать беспроводную точку доступа через браузер Internet Explorer.
Итак, вам нужно указать для беспроводной точки доступа следующие настройки:
1. Динамическое получение IP адреса от Esomo либо статический адрес, который вы указали в сетевых настройках Esomo на вкладке «DHCP». В нашем примере это 192.168.0.9. Шлюзом для точки доступа будет являться компьютер с Esomo. Его адрес 192.168.0.1.
2. Имя точки доступа, которое вы выбрали для неё ранее и указали на вкладке «DHCP» и в разделе «Wi-Fi» Esomo АРМ. В нашем примере это linksys.

3. Название вашей беспроводной сети, оно же SSID (идентификатор сети).

4. Способ обеспечения безопасности Wi-Fi сети – WPA-Enterprise. Здесь же укажите IP адрес RADIUS-сервера, т.е. компьютера с Esomo и секретный ключ, который вы вводили в окошке Esomo АРМ на вкладке «Точки доступа» раздела «Wi-Fi». В нашем примере IP адрес компьютера с Esomo – 192.168.0.1, а секретный ключ – esomo.

Не забудьте применить указанные настройки к точке доступа.
На этом настройка беспроводной точки доступа для работы в защищенной Wi-Fi сети с Esomo завершена. Осталось совсем немного! А пока отключите точку доступа от своего рабочего компьютера и подключите её к свободной сетевой карте компьютера с Esomo. Пока они привыкают друг к другу, мы настроим наш собственный компьютер для работы в Wi-Fi сети.
Прежде всего, установите созданные ранее и сохраненные где-то в недрах жесткого диска цифровые сертификаты. В этом нет ничего сложного: дважды щелкните по сертификату левой кнопкой мыши и следуйте инструкциям. На компьютер каждого пользователя установите корневой сертификат и сертификат данного пользователя. Для сертификата пользователя необходимо будет ввести пароль.
Просмотреть установленные сертификаты можно через браузер Internet Explorer: выберите «Сервис» - «Свойства обозревателя» - вкладка «Содержание» и нажмите кнопочку «Сертификаты». В разделе «Личные» вы должны увидеть пользовательские сертификаты, а в разделе «Доверенные корневые центры сертификации» корневой сертификат.


Помните, что вы не сможете подключиться к Wi-Fi сети, пока не наступит срок действия сертификата, а это произойдет только на следующий день. Дождавшись этого светлого момента, проверьте, подключен ли компьютер с Esomo к интернету, и подсоединена ли к нему беспроводная точка доступа. Включите компьютер с Esomo и Wi-Fi точку доступа.
Сев за свой рабочий ПК или ноутбук подождите некоторое время (обычно 1-2 минуты) пока беспроводной адаптер не найдет вашу Wi-Fi сеть. Теперь вам нужно будет указать в свойствах данной сети тип безопасности WPA-Enterprise и выбрать корневой сертификат для проверки подлинности. В документации к Esomo этот вопрос достаточно подробно описан применительно к операционной системе Windows XP, поэтому мы сейчас остановимся на том, как настроить свойства Wi-Fi сети в Windows Vista.
В меню «Пуск» выберите пункт «Подключение». Здесь вы увидите все сетевые подключения, в том числе и обнаруженную компьютером защищенную беспроводную сеть. Щелкните по её названию правой кнопкой мыши и выберите пункт «Свойства». Откроется окошко со свойствами вашей беспроводной сети.
В поле «Тип безопасности» выберите «WPA-Enterprise», а в поле «Тип шифрования» - «TKIP». В качестве метода проверки подлинности сети выберите «Microsoft: Смарт-карта или иной сертификат». Не забудьте поставить галочку напротив пункта «Сохранять информацию о пользователе для последующего подключения к этой сети».

Нажмите кнопочку «Параметры». В окне свойств сертификата установите галочки, как показано на скриншоте, а в списке сертификатов выберите корневой сертификат компьютера с Esomo (тот, который вы сами создавали через Esomo АРМ и устанавливали на свой ПК).

Теперь нажмите кнопочки «ОК» в этом и в следующем окошках. Через несколько секунд вы уже можете щелкнуть по названию беспроводной сети и выбрать «Подключить».

Вас попросят выбрать пользовательский цифровой сертификат из списка. С этим не должно возникнуть никаких трудностей, т.к. название пользовательского сертификата соответствует имени пользователя, созданного вами в Esomo АРМ. Таким образом, через несколько секунд вы будете подключены к беспроводной сети. Для выхода в интернет щелкните по ярлыку подключения к Esomo, которое вы ранее создали на Рабочем столе, и введите логин и пароль того пользователя, под сертификатом которого вы подключились к беспроводной сети.
Вместо использования ярлыка можете попытаться открыть любой сайт в Internet Explorer. После установки активного содержимого вы увидите знакомую форму для ввода логина и пароля в окне браузера. Защищенное подключение к компьютеру с Esomo будет создано автоматически. Найти его вы сможете в списке сетевых подключений.
Таким образом, у вашей сети будет двойная защита: проверка подлинности по цифровым сертификатам с участием RADIUS сервера (для подключения к Wi-Fi сети) и выход в интернет по защищенному каналу с шифрованием трафика (через соединение с Esomo). Подобную защиту практически невозможно взломать.
Помимо этого, Esomo будет учитывать интернет расходы каждого пользователя сети и предоставлять вам детальную статистику, а также защищать ваши компьютеры от разных зловредов, распространяющихся по сети и использующих уязвимости в ОС Windows (например, Confiker). Имейте в виду, что настраивать компьютеры пользователей для работы в сети с Esomo не нужно. Эта умная программа сама раздаст им IP адреса и поможет найти выход в интернет. Конфигурировать общий доступ к интернету так, как мы это проделывали ранее (http://www.yachaynik.ru/content/view/45/1/), также не потребуется. Как видите, потраченные на настройку Esomo и Wi-Fi сети усилия стоили того. Теперь вы можете насладиться всеми преимуществами максимально защищенного беспроводного интернета.