Cisco Aironet 350 i ACS

Bezprzewodowy punkt dostępu Cisco ma dwie anteny. Zamiast gniazda zasilającego Cisco używa power injector, który umieszcza się między siecią lokalną, najczęściej przełącznikiem, a punktem dostępu; power injector jest niewielkim urządzeniem umożliwiającym doprowadzenie zasilania do punktu dostępu za pośrednictwem kabla ethernetowego.

Wielu użytkowników chce konfigurować swoją jednostkę za pośrednictwem przeglądarki, ale port szeregowy jest wykorzystywany wtedy, gdy użytkownik preferuje stosowanie programów komunikacji szeregowej, jak chociażby HyperTerminal czy TELNET. Zespół testujący zaleca port szeregowy, ponieważ interfejs przeglądarki może być czasem zawodny.

Instalowanie Aironet 350 Wireless LAN Adapter w Sony VAIO było szybkie i łatwe. Windows XP Home Edition odnalazł kartę i zainstalował właściwy sterownik w ciągu 10 s. Światła statusu i aktywności, znajdujące się na szczycie anteny, wskazywały, że wszystko zostało zainstalowane poprawnie i funkcjonowało bez problemu.

Słabą stroną całego systemu jest dokumentacja, przez którą trzeba się długo przedzierać. Zarówno punktowi dostępu, jak i karcie bezprzewodowej towarzyszyły po 2 książeczki: dla sprzętu, oprogramowania oraz szybkiego instalowania i startu. W sumie 650 stron w 6 dokumentach, a przecież sieci 802.11b nie są aż tak skomplikowane. Wydaje się, że 120 stron jest górną granicą dla produktów o tym stopniu skomplikowania. Dokument o takiej objętości powinien jasno i zwięźle opisywać instalację, sposób użycia i rozwiązywanie problemów.

Podczas instalowania programu użytkownik będzie zapytywany o poziom bezpieczeństwa: zerowy, EAP lub LEAP. W trybie zerowym jest używany 128-bitowy klucz WEP, który można jednak złamać. Natomiast EAP został opracowany po to, aby wspierać różne metody uwierzytelniania. Zamiast wyboru konkretnego mechanizmu uwierzytelnienia w fazie kontroli łącza, w tym wypadku czeka się do fazy uwierzytelniania. EAP działa tylko jako algorytm tranzytowy (pass-through) i jest dosyć skomplikowanym standardem, przez co jeszcze niezbyt popularnym. LEAP jest implementacją protokołu EAP, oczywiście implementacją Cisco, która zapewnia wzajemne uwierzytelnienie z użyciem prywatnych i publicznych kluczy, ochraniając przed atakami w rodzaju man in the middle czy sniffing. W tym przypadku określenie "wzajemne uwierzytelnienie" oznacza tyle co: użytkownik uwierzytelnia się do punktu dostępu, a punkt dostępu do użytkownika.

Produkty Cisco są w pełni kompatybilne z 802.11b, umożliwiając tworzenie w tym samym punkcie dostępu równocześnie zabezpieczonych i nie zabezpieczonych połączeń. Jeśli użytkownik potrzebuje zabezpieczenia o wysokiej jakości, wtedy może powierzyć bezpieczeństwo jedynie protokołowi LEAP. Niemniej jednak większość administratorów sieciowych konfiguruje system zarówno z LEAP, jak i ze 128-bitowym statycznym kluczem WEP. Jednak tylko ta pierwsza metoda jest uważana za bezpieczną.

LEAP i EAP wymagają zastosowania serwera RADIUS (Remote Authentication Dial-In User Service). Serwer ten pozwala na centralne zarządzanie użytkownikami. Ale serwer RADIUS nie zapewnia szyfrowania danych, gdyż służy on do uwierzytelniania użytkowników. Wersją Cisco jest Access Control Server 2000 Version 2.6. Można skonfigurować punkt dostępu i karty, aby używać LEAP Draft 8 i LEAP Draft 10, dzięki czemu zyskuje się pewną elastyczność, szczególnie w środowisku z nieco starszym sprzętem Cisco. Można też w taki sposób skonfigurować Access Control Server, ażeby wykonywał on protokół LEAP i uwierzytelnianie w warstwie MAC (Media Access Control). Kiedy łączy się informacje login użytkownika z periodycznym uwierzytelnianiem, LEAP Cisco daje niemal żelazne bezpieczeństwo korporacyjnych danych, ochraniając bezprzewodową sieć lokalną nawet wtedy, kiedy zostanie skradziony laptop wraz z kartą.

Bezprzewodową kartę konfiguruje się za pomocą Aironet Client Utility. System diagnozowania Linktest jest używany do pomiaru wydajności łącza radiowego w różnych lokalizacjach, dzięki czemu można wyeliminować miejsca o niskiej wydajności. Z kolei diagnoza site survey jest pomocna przy pomiarach mocy i jakości sygnału. Jest ona przeprowadzana cztery razy na sekundę, umożliwiając określenie najlepszego miejsca dla bezprzewodowego punktu dostępu.

Przeprowadzono dwa testy sprawdzające przepływność. W pierwszym z nich punkt dostępu był ustawiony w odległości ok. 3 m (10 stóp) od bezprzewodowej karty w przestrzeni bez ścian. W drugim teście kryteria zaostrzono. Kartę i punkt dostępu dzieliła odległość ok. 18 m (60 stóp), a sygnał radiowy musiał przenikać przez kilka ścian. Za każdym razem uzyskano przepływność 11 Mb/s i to w sytuacji, kiedy w odległości niespełna metra był umieszczony bezprzewodowy telefon funkcjonujący na częstotliwości 2,4 GHz.

Konfiguracja była dosyć prosta. Chociaż zespół testujący był w stanie złamać zabezpieczenia 128-bitowego klucza w mniej niż 18 godzin, to jednak po zmianie zabezpieczeń na LEAP sieć była stale bezpieczna, aż do przerwania ataku po 48 godzinach.