Угрозы и риски безопасности беспроводных сетей

Локальные сети
Архитектура компьютерной сети
Сетевые операционные системы
Технология WI-FI
Угрозы и риски безопасности
беспроводных сетей
Математика
Контрольная по математике
Интегральное исчисление
Элементы теории множеств
Математический анализ
Применение производных
в исследовании функций
Аппарат дифференциальных
уравнений в экономике
Элементы линейного программирования
Динамическое программирование
Дифференциальное исчисление функций
Графические пакеты
Компьютерный монтаж
Учебник Autodesk
Mechanical Desktop
Автоматизация проектирования
Проектирование печатных плат
Вспомогательные программы
Моделирование схем
Редактирование принципиальных схем
Создание проекта в OrCAD
Учебник OrCAD
Редактирование текста
Графический редактор
Corel DRAW
Проектирование многослойных
печатных плат P-CAD
Физика решение задач
Методика решений задач по кинематике
Механика жидкостей и газов
Законы постоянного тока Колебания и волны. Переменный ток
Динамика и законы сохранения в механике
Магнитное поле, электромагнитное взаимодействие
Электростатика
Основы специальной теории относительности
Оптическая физика
Квантовая статистика
Магнитные свойства атомов
Зонная теория твердых тел
Курс лекций по атомной физике
Методика решения задач по Электростатике
История искусства;
Собор Нотр-Дам
Иллюстрированные рукописные книги
Техника темперной и масляной живописи
Иллюстрированный самоучитель
по Macromedia Flash
Учебник по схемотехнике,
Учебник PHP
Работа со строками
Создание расширений
Работа с переменными
Определение количества
аргументов
Доступ к аргументам
Установка на системах Windows
Область видимости переменной
Куки HTTP
Освобождение ресурсов
PHP-скрипты
Установка на системы UNIX
Возвращаемые функциями
значения
Замена переменных в строках
Безопасный режим
Использование функций
FAQ
Система автоматического
построения
 

Безопасность – один из ключевых факторов проектирования любых систем. Современные беспроводные технологии предлагают не очень эффективные методы по защите информации. Традиционно различают несколько видов атак на беспроводные сети, различающихся методами, целями и степенью угрозы.

Отказ в обслуживании (Denial of Service - DOS) Полную парализацию сети может вызвать атака типа DOS. Во всей сети, включая базовые станции и клиентские терминалы, возникает такая сильная интерференция, что станции не могут связываться друг с другом. Эта атака выключает все коммуникации в определенном районе. Если она проводится в достаточно широкой области, то может потребовать значительных мощностей. Атаку DOS на беспроводные сети трудно предотвратить или остановить.

Физическая защита Устройства беспроводного доступа к сети должны быть маленькими и переносимыми (КПК, ноутбуки), как и точки доступа. Кража таких устройств во многом приводит к тому, что злоумышленник может попасть в сеть, не предпринимая сложных атак, т. к. основные механизмы аутентификации в стандарте 802.11 рассчитаны на регистрацию именно физического аппаратного устройства, а не учетной записи пользователя. Так что потеря одного сетевого интерфейса и несвоевременное извещение администратора может привести к тому, что злоумышленник получит доступ к сети без особых хлопот.

Асимметричное шифрование часто называют шифрованием с помощью общего ключа, при котором используются разные, но взаимно дополняющие друг друга ключи и алгоритмы шифрования и расшифровки. Для того чтобы установить связь с использованием шифрования через общий ключ, обеим сторонам нужно получить два ключа: общий и частный (рис. 2.6.). Для шифрования и расшифровки данных стороны будут пользоваться разными ключами.

Цифровой сертификат Цифровым сертификатом называется сообщение с цифровой подписью, которое в настоящее время обычно используется для подтверждения действительности общего ключа

Протоколы безопасности беспроводных сетей Продолжая рассматривать тему безопасности беспроводных сетей, остановимся более подробно на механизмах шифрования. Основное внимание уделено механизму шифрования WEP: его особенностям и уязвимостям. Подробно описываются принципы активных и пассивных сетевых атак, потоковое и блочное шифрования. Существует множество технологий безопасности, и все они предлагают решения для важнейших компонентов политики в области защиты данных: аутентификации, поддержания целостности данных и активной проверки.

Интерфейс ESDI представляет из себя специализированный интерфейс жестких дисков, разработанный фирмой Maxtor; он был признан в качестве стандартного в 1983 г.

Вектор инициализации используется для модификации ключевой последовательности. При использовании вектора инициализации ключевая последовательность генерируется алгоритмом шифрования, на вход которого подается секретный ключ, совмещенный с IV. При изменении вектора инициализации ключевая последовательность также меняется.

Активные сетевые атаки. Индуктивное вычисление секретного ключа шифрования WEP представляет собой процесс воздействия на беспроводную локальную сеть для получения определенной информации и относится к классу активных сетевых атак. Как было сказано ранее, при потоковом шифровании выполняется двоичное сложение по модулю 2 (XOR) исходного сообщения с ключевой последовательностью с целью получения шифрованного сообщения. Этот факт лег в основу данной атаки.

Манипуляция битами (Bit-Flipping Attacks) Манипуляция битами преследует ту же цель, что и повторное использование вектора инициализации, и опирается на уязвимость вектора контроля целостности фрейма ICV Пользовательские данные могут различаться от фрейма к фрейму, в то же время многие служебные поля и их положение внутри фрейма остаются неизменными.

Аутентификация в беспроводных сетях Основных стандартов аутентификации в беспроводных сетях несколько. Каждый из них имеет свои преимущества и недостатки. У каждого есть свой, довольно сложный, принцип работы. Характерно большое количество вспомогательных схем, скриншотов утилиты D-Link AirPlus XtremeG Wreless Utility с необходимыми настройками. Не бывает абсолютно защищенных стандартов, и поэтому уделено внимание вопросам уязвимости каждого механизма аутентификации. Очень интересная лекция, помогает читателю более глубоко понять алгоритмы работы тех или иных стандартов, избежать проблем несанкционированного доступа в будущем.

Аутентификация с общим ключом является вторым методом аутентификации стандарта IEEE 802.11. Аутентификация с общим ключом требует настройки у абонента статического ключа шифрования WEP.

Уязвимость аутентификации с общим ключом Аутентификация с общим ключом требует настройки у абонента статического WEP-ключа для шифрования Challenge Text, отправленного точкой радиодоступа. Точка радиодоступа аутентифицирует абонента посредством дешифрации его ответа на Challenge и сравнения его с отправленным оригиналом. Обмен фреймами, содержащими Challenge Text, происходит по открытому радиоканалу, а значит, подвержен атакам со стороны наблюдателя (Man in the middle Attack).

Пофреймовый ключ применяется для WEP-шифрования фрейма данных.

Стандарт сети 802.11i с повышенной безопасностью (WPA2) В июне 2004 г. IEEE ратифицировал давно ожидаемый стандарт обеспечения безопасности в беспроводных локальных сетях - 802.11i.

Архитектура аутентификации. Механизм аутентификации. Механизм обеспечения конфиденциальности и целостности данных. Архитектура аутентификации IEEE 802.1x - стандарт IEEE 802.1x описывает единую архитектуру контроля доступа к портам с использованием разнообразных методов аутентификации абонентов.

В домашних сетях или сетях, предназначенных для малых офисов, развертывание RADIUS-сервера с базой данных конечных пользователей маловероятно. В таком случае для генерирования сеансовых ключей используется только предварительно разделенный РМК (вводится вручную). Это аналогично тому, что делается в оригинальном протоколе WEP.

PEAP (Protected ЕАР - защищенный EAP) и EAP-TTLS (Tunneled Transport Layer Security ЕАР, протокол защиты транспортного уровня EAP), разработанный компанией Certicom and Funk Software. Эти варианты также достаточно развиты, и поддерживаются производителями, в частности D-link. Для работы EAP-TTLS требуется, чтобы был сертифицирован только сервер аутентификации, а у претендента сертификата может и не быть, так что процедура развертывания упрощается.

Топология "сеть-сеть" Этим термином иногда описывают VPN-туннель между двумя географически разнесенными частными сетями

Распространенные туннельные протоколы Протокол IPSec. IPSec - это наиболее широко признанный, поддерживаемый и стандартизованный из всех протоколов VPN. Для обеспечения совместной работы он подходит лучше остальных. IPSec лежит в основе открытых стандартов, в которых описан целый набор безопасных протоколов, работающих поверх существующего стека IP. Он предоставляет службы аутентификации и шифрования данных на сетевом уровне (уровень 3) модели OSI и может быть реализован на любом устройстве, которое работает по протоколу IP.

События на физическом уровне

Антенны Правильная установка и настройка антенн требует определенных знаний. Необходимо иметь представление о диаграммах направленности и поляризации антенн. Правильный расчет коэффициента усиления на начальном этапе поможет избежать ошибок и неправильной работы антенн при эксплуатации. Необходимо также учитывать различного рода искажения при передаче сигнала, которые оказывают крайне негативные воздействие на него. В целом, лекция будет полезна для понимания сути работы антенн.

Коэффициенты усиления антенн Коэффициент усиления является мерой направленности антенны. Данный параметр определяется как отношение мощности сигнала, излученного в определенном направлении, к мощности сигнала, излучаемого идеальной ненаправленной антенной в любом направлении.

Передача сигнала в пределах линии прямой видимости Для любой системы связи справедливо утверждение, что принимаемый сигнал отличается от переданного. Данный эффект является следствием различных искажений в процессе передачи. При передаче аналогового сигнала искажения приводят к его случайному изменению, что проявляется в ухудшении качества связи. Если же передаются цифровые данные, искажения приводят к появлению двоичных ошибок - двоичная единица может преобразоваться в нуль и наоборот

Отношение «сигнал-шум» в цифровых системах связи. Построение антенно-фидерных трактов и радиосистем с внешними антеннами Довольно сложная для изучения. Характерно множество формул, математических расчетов и примеров. Уделено внимание расчету дальности работы беспроводного канала связи, зависимости чувствительности от скорости передачи данных, проводится расчет зон Френеля. Очень хорошо и доступно описано построение антенно-фидерных трактов и радиосистем с внешними антеннами.

Расчет зоны действия сигнала

Точка доступа со съемной антенной. Почти все беспроводное оборудование D-Link комплектуется съемными штатными антеннами 2-5 дБи (например, DWL-2100AP, DWL-3200AP, DWL-8200AP, DWL-2700AP, DWL-7700AP, DWL-G520 и т. д.) - это означает, что штатную антенну можно легко снять и подключить вместо нее более мощную антенну с необходимым коэффициентом усиления и диаграммой направленности. В технических характеристиках беспроводного оборудования всегда сказано, каким типом антенн оно комплектуется по умолчанию.

Пример. Подключим к точке доступа с мощностью передатчика 200 мВт усилитель NCS2405, на входе которого должно быть 10-100 мВт, выходная мощность - 500 мВт. Для этого необходимо ослабить исходный сигнал на 100 мВт, т. е. в два раза или на 3 дБ; для этого включаем в схему десятиметровую кабельную сборку на основе кабеля с затуханием 0,3 дБ/м на частоте 2,4 ГГц. Максимальное расстояние, на которое можно вынести усилитель от порта радиомодема, зависит от затухания на используемых элементах тракта; при этом необходимо, чтобы уровень сигнала на входном порту усилителя попадал в допустимый диапазон, который указан в характеристиках усилителя, а также чтобы уровень принятого от удаленного передатчика сигнала и усиленного в усилителе, имел достаточную интенсивность для восприятия приемником после прохождения данной кабельной сборки.

Что касается корпоративных информационных систем, то сейчас основная, господствующая технология их построения – клиент-серверная, в которой традиционные клиенты – персональные компьютеры, взаимодействуют через локальную или глобальную сеть с различными приложениями, работающими на серверах.

Математика решение задач