Cети и системы радиосвязи и средства их информационной защиты.-1
.pdf
В поле тип EAP указываем Защищенный EAP (PEAP), далее нажав кнопку свойства переходим в окно защищенные свойства EAP (рисунок 4.75), устанавливаем галочку в поле проверять сертификат сервера и выбираем доверенные корневые центры сертификации выбираем наш центр сертификации. В поле выбор метода проверки подлинности указываем безопасный пароль (EAP-MSCHAP v2).
Рисунок 4.75. Защищенные свойства EAP
Пробуем подключиться к беспроводной сети попытка оказывается удачной. В журнале событий отображается уведомление, сгенерированное службой IAS, о том что пользователю test1 входящему в группу aut, предоставлен доступ, клиент также получил ip адрес и к ниму применилась групповая политика.
Рисунок 4.76. Просмотр событий
211
Настройка оборудования для подключения удаленного офиса
Для организации беспроводного канала необходимо что бы точки работали в режиме моста. Для этого необходимо войти в меню настройки точки доступа. В меню Access Point Settings выбираем пункт Wireless Point – toPoint Bridge и вводим MAC-адрес второй точки доступа. На второй точке доступа следует сделать аналогичные настройки, и ввести MACадрес первой точки.
Рисунок 4.77. Перевод точки доступа в режим моста
Затем следует выбрать метод аутентификации и защиты передаваемого трафика, для этого переходим в меню Security Profile Settings. Из возможных вариантов самым надежным является WPA2-PSK, аутентификация на основе общего секрета, для шифрования трафика применяется AES. Секрет задается в пункте WPA Passphrase, максимальная длинна для данной модели составляет 63 символа. Также полезно отключить передачу SIDD в широковещательных пакетах это можно сделать в пункте Broadcast Wireless Network Name (SSID).
212
Рисунок 4.78. Настройка параметров аутентификации и шифрования передаваемого трафика
Следует также определить частотный канал, скорость передачи, и уровень выходной мощности, в соответствии с пунктом 11 точки доступа должны работать на первом канале, скорость передачи данных 54 Мбит/с. Для установки этих параметров нужно перейти в меню
Wireless Settings, рисунок 4.78.
Тестирование точек доступа
В ходе проведения тестирования будут определены возможности выбранного для реализации данного проекта оборудования (точек доступа).
Оценка производительности точек доступа
Данный тест направлен на оценку производительности используемых в работе точек доступа Netgear WG102. Под производительностью в данном случае понимается скорость передачи между LAN и WAN (внутренним и внешним) портами устройства, т.е. на сколько быстро микропроцессор точки доступа может обрабатывать поток данных, проходящий сквозь него.
Не смотря на то, что все выпускаемое оборудование соответствует стандарту 802.11g, реальная пропускная способность при работе точки доступа с различным клиентским оборудованием оказывается различной. Проектируемая сеть будет работать с большим числом клиентских адаптеров, выпушенных различными производителями, по этому целесообразно провести тестирование только точек доступа. Именно точки доступа являются связующим звеном между проводной и беспроводной сетью, и по этому, даже если клиентское оборудование может обеспечить большую скорость передачи, максимальная скорость передачи будет ограничена именно возможностями точки доступа.
Для тестирования будет применятся программный пакет NetIQ Chariot. Пакет представляет собой консоль управления (которая может находиться на любом компьютере) и набор сенсоров. Последние являются программами, которые устанавливаются на хостахгенераторах и осуществляют генерацию и мониторинг трафика. Сенсоры существуют под множество ОС, из которых нас интересует Windows XP SP2. Схема тестирования приведена на рисунке 15.1. В помещении, где проводится тестирование, нет оборудования работающего в диапазоне 2.4 ГГц. Точки разнесены на 3 метра, работают в режиме моста.
213
|
L |
Comp1 |
Comp1 |
AP1 |
AP2 |
Ethernet |
Ethernet |
Рисунок 4.79. Тестовый стенд для определения максимальной пропускной способности точек доступа
Методика тестирования:
Осуществляется передача трафика, сгенерированного программой NetIQ Chariot, между узлами Comp1 и Comp2. В ходе тестирования направление передачи и количество потоков трафика будет меняться:
Передача трафика от узла Comp1 к узлу Comp2 с длинной пакета: Пакеты максимального размера (1500 байт); Пакеты размера 512 байт; Пакеты размера 64 байта;
Передача трафика с максимальной длиной пакета в обоих направлениях Передача трафика с максимальной длиной пакета в 16 потоков (8 в направлении
Comp1, 8 – в направлении Comp2)
Для каждого случая измеряется скорость передачи и средняя величина времени отклика. Измерение скорости производится в течении 5-ти минут.
Описание тестового стенда: Точки доступа: Netgear WG102
Конфигурация ПК: Конфигурация обоих ПК одинакова:
|
Таблица 4.20. Конфигурация ПК |
Материнская плата |
Gigabyte GA-945P-DS3 |
Процессор |
DualCore Intel Pentium E2140 |
Память |
2 × 512 Kingston DDR2 |
Видеокарта |
NVIDIA GeForce 8400 GS (512 Мб) |
HDD |
Seagate Barracuda ST380811AS |
OS |
Windows XP SP2 |
Настройка программного обеспечения:
На обоих ПК устанавливаются «конечные точки» (сенсоры). На один из компьютеров (на comp1) устанавливается консоль управления. ПК назначаются адреса из одной подсети (в нашем случае comp1 имеет IP: 192.168.0.1; comp2: 192.168.0.2). Точки доступа переводятся в режим моста, для этого, переходим на вкладку настройки режима точки доступа «AP mode» и выбираем Wireless Point to Point Bridge, далее следует ввести MAC – адрес второй точки доступа в поле «Remote Bridge МАС». Вторая точка настраивается аналогично, в поле «Remote Bridge МАС» указывается МАС – адрес первой точки.
Далее следует перейти в главное окно консоли управления IxChariot и сконфигурировать тест. В меню Edit выбираем команду Add Pair, в открывшемся окне вводим адреса хостов. Далее следует выбрать скрипт на основе которого будет генерироваться трафик, я использую скрипт throughput.scr (TCP трафик без ограничений (циклическая пересылка файлов со случайно-сгенерированным содержанием)). Для каждого из вариантов тестирования следует изменять размер генерируемого файла. По умолчанию генерируется блоки данных размером 100000 бит. В этом случае большая часть пакетов,
214
проходящих через точку, будет максимально возможного размера. Изменить размер генерируемого файла можно перейдя в окно Script Editor рисунок 4.80.
Рисунок 4.80. Консоль управления, создание теста
Рисунок 4.81. Изменение размера генерируемого файла
215
Результаты тестирования
Рисунок 4.82. Скорость передачи данных с размером пакета 1500 байт, в направлении узла Comp2
Рисунок 4.83. Скорость передачи данных с размером пакета 512 байт, в направлении узла Comp2
Рисунок 4.84. Скорость передачи данных с размером пакета 64 байт, в направлении узла Comp2
216
Рисунок 4.85. Скорость передачи данных с размером пакета 1500 байт, в обоих направлениях
Рисунок 4.86. Скорость передачи данных с размером пакета 1500 байт, 16 потоков
При проведении всех тестов измерялось среднее время отклика, для этого в течении всего времени тестирования с помощью команды ping от к comp1 к comp2 посылались запросы. Среднее время откликов для каждого из проведенных тестов приведено в таблице
4.21
Таблица 4.21 - Результаты измерения времени отклика
№ теста |
Время отклика, мсек |
1a |
16 |
1b |
14 |
1c |
12 |
217
327
Оценка накладных расходов связанных с шифрованием
Шифрование как известно, требует значительных вычислений, в результате падает пропускная способность и увеличивается задержки при передаче пакетов, данный тест будет направлен на оценку пропускной способности точки доступа при использовании различных алгоритмов шифрования (WEP, TKIP и AES).
217
Методика тестирования:
Как и в предыдущем случае между конечными точками будет пересылаться сгенерированный программой NetIQ Chariot трафик, будет измеряться скорость передачи и среднее время отклика. При проведении тестирования будем использовать тестовый стенд изображенный на рисунке 4.79. Чтобы провести сравнительный анализ влияния шифрования на пропускную способность как и в предыдущем тесте будем пересылать пакеты с размером 1500 и используя для генерации скрипт throughput.scr. Измерение скорости производится в течении 5 минут.
Настройка оборудования:
Оставляем все настройки сделанные для проведения первого теста. На точках необходимо включить шифрование. Для этого необходимо перейти на вкладку Security Profile Settings. Для использования WEP в пункте Network Authentication необходимо выбрать Shared Key, в поле Data Encryption выбрать 152 bits WEP и задать ключ. Для использования TKIP в
пункте Network Authentication выбираем WPA-PSK. Для использования AES в пункте Network Authentication выбираем WPA2-PSK. В последних двух случаях также необходимо задать ключ.
Рисунок 4.87. Настройка шифрования
Результаты тестирования:
218
Рисунок 4.88. Скорость передачи данных в направлении узла comp2, при использовании алгоритма шифрования WEP
Рисунок 4.89. Скорость передачи данных в обоих направлениях, при использовании алгоритма шифрования WEP
Рисунок 4.90. Скорость передачи данных в направлении узла comp2, при использовании алгоритма шифрования TKIP
219
Рисунок 4.91. Скорость передачи данных в обоих направлениях, при использовании алгоритма шифрования TKIP
Рисунок 4.92. Скорость передачи данных в направлении узла comp2, при использовании алгоритма шифрования AES
Рисунок 4.93. Скорость передачи данных в обоих направлениях, при использовании алгоритма шифрования AES
220