Частина 5.
Глава 1.
Що нового в SP2?
Як і передбачалося, нові функції SP2, в першу чергу, зачіпають найбільш актуальні сьогодні напрямки: безпека системи і бездротовий зв'язок.
Новий міжмережевий екран WindowsУ Windows XP SP2 з'явився новий міжмережевий екран (Windows Firewall), який замінив Internet Connection Firewall (ICF) в Windows XP з SP1 і в «чистої» установки. Брандмауер забороняє прийшов з Інтернету трафік, пропускаючи:
• інформацію, яка прийшла у відповідь на запит з вашого ПК;
• інформацію, відповідну правилами заданих фільтрів.
У SP2 брандмауер був вдосконалений. Втім, нагадаю, що в системах на ядрі NT5 (Windows 2000, XP) вже присутня непоганий брандмауер, доступний через Windows IP Security Policy (Локальна політика безпеки? Політика безпеки IP).
У Windows XP з SP1 і в «чистому» варіанті брандмауер ICF за замовчуванням був відключений для всіх з'єднань. Включити його можна було за допомогою Майстра при створенні нового підключення до Інтернету, або через закладку «Додатково» у властивостях з'єднання. При цьому допускалося пропускання трафіку зовні по фільтрам портів TCP або UDP.
У Windows XP SP2 відбулося багато змін, в тому числі:
• система захищена з самого початку роботи;
• брандмауер використовується за умовчанням для всіх з'єднань;
• налаштування єдині для всіх з'єднань (хоча можна вибирати з'єднання, на які будуть діяти правила);
• дозвіл пропускання трафіку як по портам, так і за програмами;
• дозвіл пропускання трафіку за діапазонами IP-адрес;
• вбудована підтримка IP шостої версії;
• нові можливості конфігурації через утиліту netsh або групову політику.
Глава 2.
Налаштування брандмауера Windows
Для переходу до налаштування брандмауера Windows можна скористатися значком панелі управління «Центр забезпечення безпеки», натиснувши який, ви запустите інтерфейс управління. У нижній частині «Налаштування параметрів безпеки» виберіть «Брандмауер Windows». (Примітка: якщо в «Панелі управління» у вас включений класичний вигляд, то просто виберіть значок «Брандмауер Windows»). На першій сторінці можна включити / вимкнути брандмауер, а також задіяти параметр «Не дозволяти виключення», що зручно використовувати при підключенні до мереж, надійність яких не гарантована. Скажімо, коли ви працюєте в публічному хот-споті. При цьому налаштування на закладці «Винятки» ігноруються.
Наведу типовий сценарій: в локальній мережі вашої організації ви віддали папку на вашому ноутбуці в загальний доступ (встановили виключення «Загальний доступ до файлів і принтерів»). Потім ви їдете у відрядження - і підключаєтеся до гостьової мережі, щоб почитати пошту. В цьому випадку і слід встановлювати галочку «Не дозволяти виключення», щоб до вашої папки ніхто не отримав доступ.
Якщо ви використовуєте Інтернет тільки для перегляду web-сторінок або читати електронні листи, то виключення вам не будуть потрібні взагалі. Вони потрібні в тому випадку, якщо на вашому комп'ютері працюють будь-які спеціальні або серверні програми (ftp-сервер, www-сервер), або ви бажаєте надати доступ до своїх папок в мережу. Щоб налаштувати виключення, необхідно перейти на закладку «Винятки». Тут уже є присутнім кілька служб за замовчуванням. Відзначимо, що закладка «Додатково» дозволяє вказувати виключення окремо по з'єднаннях. На закладці «Винятки» указуються виключення, які будуть діяти для всіх з'єднань.
В принципі, під час установки програми Windows XP сама попередить вас, що для неї слід додати виняток.
Якщо ви натиснете клавішу «Розблокувати», то для даної програми (web-сервера Apache) буде додано виняток.
Винятки можна додавати і вручну. Для цього слід скористатися клавішами «Додати програму» або «Додати порт».
Для додавання виключення ви можете використовувати або програму, або порт - підійде будь-який з цих способів. Користуйтеся тим, що вам зручніше.
Зверніть увагу, що для кожного виключення можна задати область дії:
• будь-який комп'ютер (включаючи з Інтернету);
• тільки локальна мережа (підмережа);
• особливий список.
Останній варіант дозволяє задати список IP-адрес (включаючи маску), для яких буде діяти виняток. Слід зазначити, що той же «Загальний доступ до файлів і принтерів» Windows за замовчуванням обмежується тільки локальною мережею. Так що хакери з Інтернету до вас не проберуться.
Змінити область можна при додаванні виключення (клавіша «Змінити область») або пізніше, вибравши виняток і натиснувши клавішу «Змінити», а потім «Змінити область».
У нижній частині закладки винятків знаходиться прапорець «Відображати повідомлення, коли брандмауер блокує програму». Якщо ви бажаєте, щоб відповідне вікно з повідомленням з'являлося при кожному такому випадку, то прапорець слід установити, якщо ж не хочете відволікатися, - прибрати.
Остання закладка налаштувань брандмауера «Додатково» буває дуже корисна. Почнемо з того, що брандмауер можна включати або вимикати для певного мережевого з'єднання.
Скажімо, ви можете повністю відключити брандмауер для локальної мережі (просто прибравши галочку) і залишити його для бездротової мережі або підключення до Інтернету. Втім, краще так не робити - скористайтеся виключеннями.
На закладці «Додатково» можна налаштувати брандмауер окремо для кожного підключення. Наприклад, той же web-сервер Apache можна використовувати для обслуговування тільки клієнтів локальної мережі. Для цього видаліть виключення (закладка «Винятки»), а потім на закладці «Додатково» виберіть потрібне з'єднання з мережею (скажімо, локальну мережу) і натисніть клавішу «Параметри».
В даному прикладі достатньо вказати службу «Веб-сервер (HTTP)». Після цього клієнти локальної мережі зможуть підключатися до вашого web-серверу. Також ви можете додати і свою службу (клавіша «Додати»), але для цього необхідно знати її робочий порт. Відзначимо, що додати виключення з додатком тут не вийде - ця функція працює тільки для загальних винятків (закладка «Винятки»).
Тут же, у вікні «Додаткові параметри» можна регулювати роботу протоколу ICMP для кожного з'єднання (закладка «ICMP»).
Ми рекомендуємо вказувати галочку «Дозволити запит входить луни», щоб ви могли перевіряти роботу мережі командою «ping» з інших комп'ютерів на ваш. Втім, ICMP можна налаштувати і для всіх підключень відразу.
Наступною на закладці «Додатково» йде область «Ведення журналу безпеки». Кнопка «Параметри» дозволяє задати назву файлу журналу, розмір і параметри записів. Включивши ведення журналу, ви зможете відслідковувати роботу брандмауера.
Область «Протокол ICMP» на закладці «Додатково» дозволяє встановити параметри ICMP відразу для всіх з'єднань.
Знову ж таки, ми рекомендуємо вказувати галочку «Р азрешіть запит входить луни», щоб ви могли перевіряти роботу мережі командою «ping» з інших комп'ютерів на ваш.
Нарешті, останній пункт «Відновити умовчання» на сторінці «Додатково» дозволяє повернути всі параметри до початкових.
Глава 3.
Бездротові мережі в Windows XP SP2
У SP2 Microsoft покращила роботу з бездротовими мережами, внісши такі зміни.
• Вбудована підтримка WPA. Якщо раніше для цього було потрібно завантажити додаток, то тепер всі необхідні параметри задаються на закладці властивостей з'єднання. Природно, для цього адаптер і драйвер повинні підтримувати WPA.
• Служба простий настройки бездротової мережі. Це оновлення дозволяє автоматизувати і спростити настройку бездротових з'єднань, що полегшить підключення до хот-спотів.
• Майстер налаштування бездротової мережі. Він дозволяє крок за кроком налаштування бездротової мережі і зберегти конфігурацію на USB-брелок, який в подальшому можна буде використовувати для настройки інших систем.
• Журналювання служби Wireless Zero Configuration. Служба відповідає за виявлення і підключення до кращим бездротових мереж, тому її журнали допоможуть розібратися в можливих проблемах установки з'єднання.
• Відновлення бездротового з'єднання. Для того щоб скористатися відновленням, досить натиснути правою кнопкою миші по ярличку відповідного з'єднання і в контекстному меню вибрати «Відновити». Насправді, виконається лише відключення і повторне включення сполуки.
Змінилася поведінка при використанні аутентифікації 802.1x. При автоматичному відключенні бездротового клієнта, коли аутентифікація не проходить, 802.1x автоматично відключається при ручному завданні ключа шифрування.
Істотних змін зазнало і вікно бездротових мережевих з'єднань.
Глава 4.
доступні мережі
Тут, як і раніше, відображається список всіх доступних мереж, причому для перегляду доступні такі параметри, як ім'я мережі, тип мережі (Ad-Hoc або Infrastructure). З новинок слід відзначити появу рівня сигналу (індикатор у правій частині вікна доступної мережі), захисту мережі, статусу (для підключеної мережі з'являється позначка) і кращою мережі.
Тепер можна однією клавішею запускати пошук доступних мереж, установку бездротових мереж, змінювати порядок переваг, переглядати властивості бездротових з'єднань.
Процес підключення тепер відображається і видний користувачеві. Якщо підключення вдалося, і доступ виявився дозволений, то наступним етапом буде отримання мережевої адреси. Якщо адреса отримати не вдалося, тобто сервер DHCP недоступний, то адаптера буде автоматично присвоєно адресу з діапазону 169.254.0.0/16, що відобразиться на статус з'єднання (попередження зі знаком оклику). Тобто вже з першого погляду стає зрозумілий статус з'єднання: підключено, відключено, обмежена або з'єднання встановлюється.
Глава 5.
Встановлюємо бездротову мережу
Налаштування бездротової мережі також значно спростилася. Почнемо зі створення бездротової мережі. Спочатку потрібно зайти в «Мережеве оточення» і вибрати пункт «Встановити бездротову домашню мережу або мережу малого офісу», після чого запуститься Майстер установки мережі. Можна піти й іншим шляхом: Пуск - Всі програми - Стандартні - Зв'язок - Майстер налаштування бездротової мережі. Слід зазначити, що Майстер дозволяє налаштовувати тільки мережі з використанням точки доступу (режим Infrastructure). Якщо ви плануєте розгорнути мережу AdHoc (без точки доступу, на базі тільки бездротових карт), то доведеться скористатися налаштуванням.
Наступний екран пропонує поставити ім'я SSID, яке повинно бути єдиним для всієї мережі, визначити спосіб призначення ключів шифрування і вибрати безпосередньо спосіб шифрування (WEP або WPA - за допомогою галочки в нижній частині вікна). Дозволимо собі в черговий раз нагадати, що захист WEP не дуже надійна, хоча для домашньої мережі її буде достатньо. Якщо є можливість, краще використовувати WPA (якщо адаптер і драйвер підтримують його - зверніться до документації).
Ключі шифрування можна або призначити автоматично, або вказати власні. При виборі власних з'явиться наступне вікно з пропозицією введення ключів.
При автоматичної генерації цей крок буде пропущений.
Після призначення всіх необхідних параметрів переходимо до наступного екрану. Вам буде запропоновано або використовувати флеш-брелок, або налаштувати мережу вручну.
Перший спосіб дозволяє легко переносити конфігурацію на інші комп'ютери бездротової мережі. Для цього достатньо провести процедуру настройки лише одного разу, зберігши при цьому всі параметри на брелок. До речі, якщо точка доступу не підтримує введення інформації з USB-брелоків, то її доведеться налаштувати вручну.
Тепер, згідно з інструкцією, необхідно від'єднати брелок і підключити його до всіх комп'ютерів, які необхідно додати в мережу.
Коли ви підключите брелок до іншого комп'ютера, то з'явиться запрошення додати його в вашу бездротову мережу. Якщо запрошення не з'явилося, запустіть вручну з брелока файл setupSNK.exe. Після того, як ви обійдетеся з брелоком все комп'ютери, вставте його назад в перший і завершите роботу Майстра.
Після цього не забудьте роздрукувати параметри мережі.
Зараз ви можете підключатися до встановленої бездротової мережі. Але для роботи необхідно ще і ввести IP-адреси на кожному комп'ютері. Для цього слід вибрати мережу 192.168.xy, де x - номер вашої мережі (від 0 до 255), а y - номер комп'ютера в мережі (від 1 до 254). У вашій мережі всі комп'ютери повинні мати однаковий номер мережі і різний номер комп'ютера. Скажімо, 192.168.0.1, 192.168.0.2 і т.д. IP-адреса задається у властивостях з'єднання (знайдіть значок з'єднання, натисніть на ньому праву кнопку миші і виберіть «Властивості»). Потім на закладці «Загальні» виберіть протокол «Internet Protocol (TCP / IP)» і натисніть клавішу «Властивості». У вікні виберіть «Використовувати наступний IP-адреса». Як маски вкажіть 255.255.255.0.
Виконайте процедуру введення IP-адреси на всіх комп'ютерах.
Для перевірки з'єднання можна скористатися утилітою ping. Для цього потрібно запустити командний рядок (Пуск> Виконати) набрати в ній «cmd», підтвердити введення. У командному рядку наберіть «ping» і вкажіть IP-адресу іншого комп'ютера (наприклад, 192.168.0.2). До речі, у вас може бути відключена підтримка виключення ICMP - тоді ping-відповіді ви не отримаєте.
Якщо зв'язок є, то ви отримаєте ping-відповіді, як показано на ілюстрації.
Вітаю, ваша мережа налаштована.
Інформацію про роботу бездротової мережі ви можете отримати у вікні стану з'єднання. Для цього натисніть правою клавішею миші на значок з'єднання і виберіть «Стан».
У вікні стану з'єднання відображається стан з'єднання (підключено, відключено або підключення обмежена або відсутня), ім'я мережі, тобто SSID, тривалість з'єднання, швидкість з'єднання і потужність сигналу. Якщо у іконки з'єднання видно знак оклику, це означає, що з'єднання обмежена або відсутня, тобто системі не вдалося отримати IP-адресу. Замок говорить про захист з'єднання.
Глава 6.
Налаштування бездротової мережі без точки доступу (режим AdHoc)
На жаль, Майстер налаштування бездротової мережі не дозволяє створювати мережу AdHoc - тобто мережу без точки доступу, тільки між адаптерами. Щоб її налаштувати, натисніть правою клавішею миші на значок бездротового адаптера (з'єднання) і виберіть «Стан» (Status). Потім перейдіть у вікно «Властивості» (Properties).
У цьому вікні виберіть закладку «Бездротові мережі» (Wireless Networks).
Натисніть кнопку «Додати» (Add).
У вікні слід вказати ім'я вашої мережі (наприклад, «THG»), а також ключ шифрування WEP або WPA (якщо підтримується адаптерами). Зніміть галочку автоматичної генерації ключа і наберіть його вручну. Також в нижній частині вікна поставте галочку, що вказує на мережу AdHoc. Потім вкажіть для адаптера IP-адреса.
Після того, як ви створили бездротову мережу на одному комп'ютері, вам слід додати до неї інші комп'ютери. Це зробити ще простіше. У вікні «Стан» (Status) бездротових з'єднань інших комп'ютерів натисніть клавішу «Бездротові мережі» (View Wireless Networks). Там ви повинні побачити тільки що налаштовану мережу, до якої легко зможете підключитися. При цьому необхідно буде ввести ключ WEP (або WPA), а також вказати IP-адресу.
Зміни, які прийшли з другим пакетом оновлень (Service Pack 2) для Windows XP торкнулися бездротові мережі і брандмауер. Новий Майстер установки дозволяє послідовно задати всі необхідні параметри для підключення до обраної мережі, а можливість збереження конфігурації на флеш-брелок дозволяє полегшити настройку інших бездротових станцій, що дуже зручно у великій мережі.
Новий міжмережевий екран має не тільки хорошою гнучкістю, але і досить зручним інтерфейсом, що важливо для масового використання продукту. Зараз можна дозволяти доступ не тільки по портам, але і по додатках.
Глава 7.
Детектор бездротових мереж PCTEL: шукаємо точки доступу
Детектор не такий простий, як може здатися з першого погляду. Насправді він визначає тільки точки доступу, не звертаючи уваги на адаптери в режимі AdHoc. Я також намагався визначити точки доступу в режимі моста WDS, але всі зусилля виявилися марні, чого не можна сказати про режим повторювача. Детектор успішно виявив точку доступу, що працює повторителем WDS, але втрачав її при перемиканні в режим моста.
Бездротові клієнти в режимі бездіяльності не впливають на роботу пристрою. Спочатку відключав бездротової адаптер при роботі детектора. Пізніше з'ясувалося, що він ніяк не реагує на бездротової адаптер, навіть коли він підключений до WRT54GS, але не передає дані! Також детектор ніяк не реагує на вбудований адаптер Bluetooth H2210 iPAQ, що знаходиться в режимі пошуку інших пристроїв.
Якщо ви відносите себе до мобільних користувачам, яким часто буває необхідно визначити наявність бездротової мережі, то це детектор - саме те, що потрібно.
1. Що нового в SP2?
Локальна політика безпеки?
