Windows Vista un Wi-Fi

Jaunākās un vēl nepabeigtās Windows desktop (Windows Vista) un servera (Windows Server "Longhorn") versijas iekļaus vairākas izmaiņas un uzlabojumus IEEE 802.11x standartu atbalstam: iebūvētu Wi-Fi arhitektūru (līdz šim tika emulēts Ethernet savienojums), uzlabotu lietotāja interfeisu un grupu politiku, izmaiņas bēdīgi slavenajā autokonfigurācijas sistēmā, WPA2 atbalstu, Network Access Protection integrāciju, EAPHost infrastruktūru, 802.11x diagnostiku, komandrindas atbalstu (beidzot!) bezvadu savienojuma konfigurācijai, Network Location Awareness un tīkla profilus, pārrakstītu TCP/IP steku, kā arī jaunu feature Single Sign On, kas, balstoties uz tīkla uzstādījumiem, veic lietotāja autentifikāciju 802.11x tīklos vienlaicīgi ar autorizēšanos sistēmā. Vienkāršības labad, Windows Vista turpmāk tiks saukta vienkārši Vista, bet Windows Server "Longhorn" - par Longhorn.

Tā kā raksts būs piesātināts ar buzzwords, tad ievietošu dažus atšifrējumus un nelielu aprakstu par tiem:
IEEE - Institute of Electrical and Electronics Engineers, organizācija ar tehnoloģiju attīstības teorētisko un praktisko pusi, izstrādājot arī dažādus pasaulē plaši pazīstamus un atzītus standartus. Rakstā būs runa par IEEE 802.11x standartu kopumu, kuri apraksta bezvadu tīklus. IEEE un IEEE 802.11.
Wi-Fi - Wireless Fidelity, Wi-Fi Alliance brends, kas apzīmē savietojamību ar IEEE 802.11 standartu. Tautā parasti tiek lietots, lai apzīmētu pašu standartu, bezvadu tīklus un kā prefikss dažādām bezvadu iekārtām. Wi-Fi.
WPA2 - IEEE 802.11i standarts, kas apraksta drošības mehānismus bezvadu tīklos. WPA2 ir paredzēts kā aizstājējs salīdzinoši nedrošajam WPA un pavisam nedrošajam WEP. Šobrīd WEP izmantošana gandrīz pielīdzināma drošības neesamībai, bet WPA ar vāju PSK (Pre-shared Key), līdz ar hakera KoreK statiskās kriptoanalīzes uzbrukumiem - par ne pārāk grūtu mērķi. Pēc kriptoanalītiķu atzinumiem, IEEE 802.11i ir neuzlaužams.
NAP - Network Access Protection, jauna platforma, kas ļauj aizsargāt tīkla lietotājus, piespiedu kārtā piemērojot atļaujas politikas (ja nav izpildītas prasības, klientam var tikt liegta pieeja kādam tīklam vai savienojums vispār. NAP.
EAPHost - EAP Host, Microsoft Windows Networking komponents, kas nodrošina infrastruktūru EAP (Extensible Authentication Protocol) implementācijām. EAPHost arī ļauj autentificēties sistēmās, kur tiek izmantot RADIUS protokols, piemēram, Microsoft IAS Server. EAPHost, EAP un RADIUS.
NLA - Network Location Awareness, serviss, kas klientiem dara zināmas tīkla izmaiņas un resursu pieejamību. NLA politiku piemērošana balstās uz ICMP protokolu (konkrēti, PING aplikāciju). NLA.
NDIS - Network Driver Interface Specification, tīkla karšu API (aplikāciju programmēšanas interfeiss). NDIS formē OSI modeļa otrā līmeņa (data link layer - datu posma slānis) augšējo (zemākais ir MAC) slāni un darbojas kā interfeiss starp otro un trešo (network layer - tīkla slānis) līmeni. NDIS, API, OSI.
RFC - Request for Comments, dokumenti, kas apraksta interneta tehnoloģiju izpēti, jaunievedumus un metodoloģiju. RFC.

Iebūvēta Wi-Fi arhitektūra
Windows Server 2003 un Windows XP bezvadu tīklu savienojumu infrastruktūra emulēja Ethernet savienojumu un varēja tikt paplašināta tikai pievienojot jaunu EAP tipu atbalstu. Windows Server "Longhorn" un Windows Vista šī nepilnība tika izlabota (un nosaukta par Native Wi-Fi Architecture :) un tagad satur sekojošas izmaiņas:
IEEE 802.11 tiek atdalīts no IEEE 802.3 (Ethernet) un uzskatīts par jaunu komunikāciju tipu, dodot aparatūras ražotājiem lielāku elastību (t.i. atbilstību standartam, kas Microsoft nav raksturīgi), atbalstot Wi-Fi standartu, piemēram lielāku kadra (frame) izmēru kā Ethernet tīklos.
Jaunajā arhitektūrā tiks iebūvēti jauni komponenti, kas veiks 802.11 savienojumu autentifikāciju, autorizāciju un vadību, atvieglojot draiveru rakstītāju darbu. Tagad programmētājiem būs jāuzraksta NDIS 6.0 draiveris, kas implementētu interfeisu darbam ar 802.11 iekārtām.
Native Wi-Fi Architecture atbalstīs vairākus API, kas ļaus programmatūras un aparatūras ražotājiem paplašināt iebūvēto Wi-Fi klientu. Ražotāju radītie komponenti varētu arī saturēt pielāgotus dialoglogus un vedņus (wizard).

Lietotāja interfeiss
Kā jau tika minēts augstāk, būs iespēja radīt savus konfigurācijas dialoglogus un vedņus priekš iebūvētā Wi-Fi klienta.
Iespēja pieslēgties AP (Access Point), kas neziņo par savu SSID (patiesībā tie ziņo gan, tikai nesūta paketes ar Beacon kadriem). Windows Server 2003 un Windows XP nebija iespējams izvēlēties vēlamo tīklu, ja tas nesūtīja jau pieminētos Beacon kadrus, kas reizēm radīja neparedzētu (cik raksturīgi Microsoft...) situāciju, pieslēdzoties bezvadu tīkliem. Jaunajās Windows versijās būšot iespējams atzīmēt tīklu kā apslēptu, kam vajadzētu atrisināt problēmu.
Ņemot vērā risku, kas saistīts ar pieslēgšanos atvērtiem tīkliem (jebkurš var pārķert nešifrētu informācijas plūsmu un/vai modificēt to), Longhorn ģimenīte pārjautās lietotājam, vai tas tiešām vēlas pieslēgties neaizsargātam tīklam.
Tīkla savienojumu vedņa (Network connection wizard) opcijas pēc noklusējuma būs uzstādītas augstākajā drošības režīmā, ko atbalstīs tīkla adapteris (ļoti prātīgi, starp citu). Tas ir, ja adapteris atbalstīs gan WEP, gan WPA, kā noklusēto vednis piedāvās WPA. Interesanti, vai būs iespēja visu konfigurēt cilvēcīgā veidā, neizmantojot vedņus...

Bezvadu tīklu grupu politika
Lai Windows XP SP2 varētu izmantot WPA2 un WPA2-PSK autentifikāciju, tam bija nepieciešams atjauninājums. Windows Server 2003 SP1 savukārt neatbalsta centralizētu WPA2 konfigurāciju. Grupu politika Longhorn labošot šīs nepilnības. Micosoft arī strādājot pie šādas iespējas ieviešanas Windows XP.
Tiks ieviesti atļauto un aizliegto tīklu saraksti - būšot iespējams norādīt tīklus, pie kuriem klientam atļauts pieslēgties un pie kuriem nē. Pēc oficiālās informācijas, tīkli tiks filtrēti pēc SSID, kas, manuprāt, ir pilnīgs absurds. Tā kā SSID var sakrist (ražotājie parasti uzstāda to pēc noklusējuma), tad vajadzētu tīklus identificēt vismaz arī pēc MAC adreses.
Papildus uzstādījumi vēlamajiem (preferred) tīkliem ļaus izmantot roamingu starp piekļuves punktiem (Access Point), izmantojot autentifikācijas uzstādījumu saglabāšanu. Windows XP, ar uzstādītu augstāk pieminēto atjauninājumu, šos uzstādījumus var rediģēt reģistrā, savukārt Longhorn tas būs iespējams caur grupu politikām.
Ieviestā grupu politika saturēs arī uzstādījumus apslēptajiem tīkliem (skatīt augstāk pie lietotāja interfeisa).
Tāpat kā Windows XP SP2 un Windows Server 2003 SP1, arī Vista un Longhorn ļaus izvēlēties, vai pieslēgties vēlamajam tīklam automātiski, vai darīt to tikai pēc lietotāja komandas.

Autokonfigurācijas serviss
WAC (Wireless Auto Configuration) automātiski izvēlas tīklu, pie kura pieslēgties, balstoties uz noklusētajiem vai lietotāja uzstādījumiem. Mehānisms pārslēdz klientu uz tīklu, kas vēlamo tīklu sarakstā ir augstākā pozīcijā, tiklīdz tas kļūst pieejams. Vista un Longhorn šis uzvedības mehānisms tiks mainīts:
Ja nav pieejams neviens no vēlamajiem tīkliem un klients ir nokonfigurēts, lai pieslēgtos tikai kādam no tiem, Windows XP un Server 2003 uzstādīja klientam nejauši izvēlētu SSID bez jebkādas drošības konfigurācijas, kas radīja iespēju ļaundariem pieslēgties datoram. Vista un Longhorn darīs to pašu, bet uzstādīs 128 bitu garu nejauši izvēlētu šifrēšanas atslēgu un stiprāko šifrēšanas metodi, ko atbalstīs adapteris.
Windows XP un Server 2003 versijās WAC mēģina pieslēgties kādam no pieejamajiem vēlamajiem tīkliem, kas pārraida savu SSID. Ja neviens vēlamais tīkls nav pieejams, WAC sūta pārbaudes pieprasījumus, lai noskaidrotu vai kāds no vēlamajiem tīkliem nav apslēpts. Šāda mehānisma nepilnība rada situāciju, kad klients vispirms pieslēdzas kādam no tīkliem, kura SSID nav apslēpts, pat ja apslēptais tīkls ir augstāk vēlamo tīklu sarakstā. Turklāt, sūtot pieprasījumus ar vēlamo tīklu nosaukumiem, jebkurš tos var reģistrēt, potenciāli izmantojot ļaunprātīgiem mērķiem.
Longhorn un Vista būs iespējams tīklus atzīmēt kā broadcast (tādi, kas ziņos par savu SSID) un non-broadcast, jeb apslēptus. Tādējādi serviss mēģinās pieslēgties tīkliem prioritārā secībā un pārbaudes pieprasījumus sūtīs tikai apsplēptajiem tīkliem.

Iebūvēts WPA2 atbalsts
Jaunajās operētājsistēmās tiks iekļauta WPA2 autentifikācijas iespēja gan izmantojot lokāli sastādītu vēlamo tīklu sarakstu, gan domēna profilu ar grupu politiku uzstādījumiem. Tiks atbalstīts gan Enterprise (kad tiek izmantots autentifikācijas serveris), gan PSK (Pre-shared Key) režīmi. WPA2 tiks atbalstīts arī Ad-Hoc tīklos.

Network Access Protection integrācija
WPA2 Enterprise, WPA Enterprise un WEP ar dinamisku šifrēšanas atslēgu var tikt izmantoti NAP platformā, lai novērstu iespēju piekļūt privātam tīklam klientiem, kas neatbilst noteiktām sistēmas veselības (health) prasībām.

EAPHost infrastruktūra
EAP autentifikācijas metožu vieglākai izstrādei, Vista un Longhorn atbalstīs EAPHost infrastruktūru, kas saturēs sekojošas features un kas līdz šim nebija pieejamas Windows Server 2003 un Windows XP operētājsistēmu EAP implementācijās:
Citu populāru EAP metožu atbalsts (avots gan nemin, kādas).
Tīklu atklāšanu, kā aprakstīts RFC 4284.
RFC 3748 savietojamība - EAPHost atbildīs EAP State Machine aprakstam (State Machine ir uzvedības modelis, kas sastāv no stāvokļiem, pārejām un darbībām) un novērsīs vairākas ievainojamības, kas aprakstītas RFC 3748. Papildus tam, EAPHost atbalstīs Expanded EAP Types (ražotāju veidotas EAP implementācijas).
Vairāku EAP implementāciju vienlaicīga eksistence, piemēram, ir iespējams instalēt Microsoft un Cisco PEAP versijas un lietot tās vienlaicīgi.

Windows Server 2003 un Windows XP kā EAP autentifikācija pēc noklusējuma tiek izmantots EAP-Transport Layer Security (EAP-TLS) protokols. Lai gan EAP-TLS ir visdrošākā autentifikācijas forma, tai nepieciešama publisko atslēgu infrastruktūra, lai piešķirtu, atceltu un atjaunotu klientu un serveru sertifikātus.
Daudzos gadījumos uzņēmumi vēlas izmantot jau esošo lietotājvārds-parole autentifikācijas sistēmu, kas tiek lietota Active Directory. Atsaucoties uz to, Microsoft kā noklusēto EAP autentifikācijas sistēmu izmantos PEAP-MS-CHAP v2 (Protected EAP-Microsoft Challenge Handshake Authentication Protocol version 2), kas ir uz parolēm bāzēta autentifikācijas metode un kurai nepieciešams sertificēts RADIUS serveris.

Bezvadu savienojumu diagnostika
Tīklu diagnostikai esot izstrādāts jauns framework, kam vajadzētu palīdzēt lietotājam tikt galā ar savienojuma problēmām. Viss kā parasti - tiek piedāvāta iespēja izvēlēties kādu no opcijām, kas vislabāk aprakstītu problēmu, bet Network Diagnostics Framework mēģinās šo problēmu automātiski novērst vai piedāvās izmainīt uzstādījumus.
Detalizēta informācija par neveiksmīgiem mēģinājumiem nodibināt savienojumu tiks ierakstīti notikumu žurnālā (event log), kas palīdzēs paātrināt problēmas atrisināšanu. Tīkla administratori šos ierakstus arī varēs savākt, izmantojot Microsoft Operations Manager vai citu centrālās vadības rīku.
Tāpat kā līdz šim, informāciju par neveiksmīgiem mēģinājumiem veikt savienojumu varēs nosūtīt Microsoft sekojošai analīzei. Microsoft sola izmantot šo informāciju, lai noskaidrotu problēmas cēloni un veiktu nepieciešamās izmaiņas programmatūrā, vai sadarbotos ar aparatūras un programmatūras ražotājiem, lai uzlabotu to produktus.

Komandrindas interfeiss
Windows Server 2003 un Windows XP nav iespējas caur komandrindu konfigurēt bezvadu savienojuma uzstādījumus, kas ir pieejami Network Connection mapes dialoglogos vai grupu politikās. Microsoft aizdomājušies, ka šāda iespēja būtu ērtāka un palīdzētu sekojošās situācijās:
Konfigurācijas skriptu radīšana neizmantojot grupu politikas. Grupu politiku uzstādījumi attiecas tikai uz Active Directory domēnu. Sistēmās bez Active Directory vai grupu politiku infrastruktūras šāds skripts varētu automatizēt konfigurāciju un tikt palaists manuāli vai automātiski, vienlaicīgi ar autorizēšanos sistēmā.
Lai pieslēgtos kompānijas aizsargātam bezvadu tīklam, klientam jābūt domēna daļai. Bet klients nevar kļūt par domēna daļu, kamēr tas nav pieslēdzies kompānijas tīklam. Skripts nodrošināšot iespēju pieslēgties tīklam un iespēju pievienoties domēnam.
Vista un Longhorn programma netsh tiks uzlabota tā, lai būtu iespējams knofigurēt visus bezvadu klientu uzstādījumus, ieskaitot šifrēšanu un autentifikāciju, rediģēt vēlamo un nevēlamo tīklu sarakstu, parādīt, nodzēst un pārvietot (piemēram, uz citu klientu) klienta konfigurācijas uzstādījumus.

Network Location Awareness un tīkla profili
Daudzas aplikācijas nepārbauda situāciju tīkla (t.i. kas tas par tīklu, vai tīkls ir pieejams u.tml.) parasti aprobežojoties ar kļūdas izvadīšanu neveiksmīgas operācijas rezultātā, tādējādi apgrūtinot lietotāja dzīvi. Izmantojot zema līmeņa Windows API interfeisus, programmētāji varētu izmainīt aplikācijas uzvedības modeli atkarībā no tīkla, kuram pieslēdzies klients. Microsoft šim nolūkam radījis NLA servisu, kas savāc Windows pieejamo informāciju par savienojumu un tīklu, un implementē īpašu API, lai atvieglotu informācijas iegūšanu programmētājiem.

Jaunas paaudzes TCP/IP steks
Next Generation TCP/IP steks saturēs gan IPv4, gan IPv6 protokolu implementācijas (līdz šim tās bija divos draiveros - tcpip.sys un tcpip6.sys attiecīgi).
Līdz ar jauno versiju Microsoft sola ieviest jaunu programmēšanas interfeisu - Winsock Kernel (WSK), atdalītas maršrutēšanas tabulas, strong host model (kas nozīmē, ka tiks pieņemtas tikai paketes, kas adresētas noteiktam interfeisam (tīkla kartei) šajā mašīnā) atbalstu. Pašreizējās TCP/IP implementācijas izmanto weak host model, pieņemot jebkuru paketi, kas adresēta sistēmai, neatkarīgi no interfeisa, kurš to ir saņēmis. Weak host model gan nodrošina labāku savienojuma kvalitāti, bet padara sistēmu uzņēmīgāku pret uzbrukumiem.
Interfeisi drošības nodrošināšanai (datu plūsmas filtrēšana, firewall hook, filter hook u.c.) tiks aizstāti ar Windows Filtering Platform (WFP), kas padarīs filtrēšanu iespējamu visos TCP/IP steka slāņos. Pēc Microsoft vārdiem, WFP ir daudz drošāks, integrēts stekā un atvieglo draiveru, servisu un trafika filtrējošu programmu izstrādi.
Izmaiņas stekā būs iespējamas bez datora pārstartēšanas. Steks arī automātiski sevi konfigurēšot, atkarībā no lietojamā tīkla.
Kopumā Microsoft sola labāku savietojamību (ar citiem tīkliem un Microsoft operētājsistēmām), ērtāku programmatūras izstrādi un noturību pret zināmajiem TCP/IP denial of service un citiem uzbrukumiem.

Single Sign On
Spriežot pēc apraksta, SSO būs vēl viens mēģinājums apvienot vairākus autentifikācijas mehānismus vienā (atceramies .NET Passport). Mehānisms integrēsies ar autorizēšanos sistēmā un nodrošinās atļauju pieslēgties tīklam. Tīkla administratori varēs izmantot grupu politikas vai netsh wlan komandas, lai konfigurētu SSO profilus. SSO autorizācija notiks pirms pieslēgšanās domēnam, lai ļautu izmantot scenārijus, kur pieslēgšanās secība ir svarīga, piemēram grupu politiku atjauninājumi, autorizēšanās skripti u.c.

Raksts ir New Networking Features in Windows Server "Longhorn" and Windows Vista un Next Generation TCP/IP Stack in Windows Vista and Windows Server "Long… adaptācija latviešu valodā.

Saistītie raksti

• Ierīce, kas spējot nodrošināt līdz pat 10 reizes lielāku WiFi ātrumu
• 6 padomi, kā rūpēties par datu drošību darba vietā
• Android var uzlauzt, to apstulbinot ar garu paroli
• Lielbritānijā būs Wi-Fi ietve
• Apvienotās Karalistes valdība atvēlēs 50 miljonus bezmaksas Wi-Fi nodrošināšanai vilcienos
• Vai tu izmantotu ar degvielu darbināmu iPhone lādētāju kabatas izmērā?
• Apkopotas aizvadītā gada populārākās paroles
• Zinātnieki vēlas radīt kredītkarti, ko neviens nespēs viltot
• „Volvo” ķivere brīdinās riteņbraucējus par citiem satiksmes dalībniekiem
• 5 padomi, kā padarīt e-pasta lietošanu drošāku
• Pārsteidzoša statistika: 97% populārāko aplikāciju ir tikušas uzlauztas
• Krievijas hakeri uzlauzuši interneta kameras visā pasaulē
• Beidzot ir atļauts izmantot mobilos tālruņus arī lidojuma laikā!
• Ir publiskots saraksts ar sliktākām datoru parolēm
• Latvijas iedzīvotāji vidēji 2 reizes mēnesī tiek pakļauti pikšķerēšanas uzbrukumiem

Komentāri

#1 programmer WWW @ 2006.08.04 13:36

Nevar pagūt izlasīt vienu rakstu, kad jau otrs uzrakstīts :) Tā tik turpināt!

#2 Touareg @ 2006.08.04 13:36

Lai dzīvo WI-FI.

#4 Demis @ 2006.08.04 14:28

O.O jauki :P

#5 Simsons2 @ 2006.08.04 15:35

Manai mates platei nak klat wi-fi :))) ASUS M2n32-SLI DELUXE Wirless Edition

#6 lariks @ 2006.08.04 15:36

Simsons2 rakstīja:

Manai mates platei nak klat wi-fi :))) ASUS M2n32-SLI DELUXE Wirless Edition

Tad jau tu esi izredzētais. :)

#7 AIDSkillz @ 2006.08.04 18:42

Jaukiņi!

#8 Lucifugum WWW @ 2006.08.04 21:20

Skatos Datuvē jau sāk biežāk jauni raksti parādīties :) Man prieks :)

#9 hvz @ 2006.08.04 22:28

a man kautkaa taa vista neit :S man AMD sempron... mosh draivera veel nava :S paraada zilo ekraanu :p

#10 xerixs @ 2006.08.05 01:47

Nu raksts jau baigs un labi izklāstīji par esošajiem un gaidāmajiem bezvadu tīkliem :)

#11 sqlnd WWW @ 2006.08.05 10:44

garš gan tas raksts :(

#12 Johnie @ 2006.08.05 18:57

Kurs no si ta tehnisko terminu biezokna kaut ko saprata?:)) es ne lai gan ar datoriem esmu uz "Tu" jau desmit gadus:))

#13 Simsons2 @ 2006.08.05 21:18

Es latviskotos terminos vispar nesaprotu

#15 msh @ 2007.03.07 07:54

Interesanta būšana. Aizgāju uz spambota nomesto adresi [šādu ekskluzīvu iespēju varu izmantot, jo tomēr lietoju limitētu linux akauntu], a tur lapa ielādējās, nekas neparādījās, bet paņemot apskatīt source, tur parādījās diezgan daudz. Kāds nezin, kāpēc tā? :D

#16 Mendi @ 2007.06.26 00:16

Vai kaadam arii uzinstaleejot Vistu neiet i-nets... Provaideris ir Lattelecom.

#17 ubuntais @ 2007.06.26 18:40

Cik saprotu Windows Vista vel gadiņu būs pietiekoši droša :D Kopumā tie duraki visu pataisijuši sarežģītāku.