770 hõõruda.
Kirjeldus
Sissejuhatus
Traadita infoedastustehnoloogiate ajalugu sai alguse 19. sajandi lõpus esimese raadiosignaali edastamisega ja esimeste raadiovastuvõtjate ilmumisega 20. sajandi 20. aastatel. Televisioon ilmus 1930. aastatel.
1970. aastatel loodi esimesed traadita telefonisüsteemid loomuliku järelkasvuna mobiilse kõne edastamise vajadusest. Alguses olid need analoogvõrgud ja 80ndate alguses töötati välja GSM-standard, mis tähistas digitaalstandarditele ülemineku algust, kuna see tagab parema signaalikvaliteedi ja turvalisuse.
Katkend tööst ülevaatamiseks
WPA
seadmete tootjate poolt kokku lepitud kaasaegne standard
OS
operatsioonisüsteem
WPA2
traadita WiFi-võrkudes andmekaitset pakkuvate algoritmide ja protokollide komplekti teine versioon
WEP (juhtmega samaväärne privaatsus)
turvaprotokoll
KÜPSIS
väike osa andmeid, mis on loodud veebiserveri või veebilehe poolt ja salvestatud kasutaja arvutisse failina
HTTPS
HTTP-protokolli laiendus, mis toetab krüptimist
TOORES JÕUD
paroolide murdmise meetod toore jõu abil
Sissejuhatus
Traadita infoedastustehnoloogiate ajalugu sai alguse 19. sajandi lõpus esimese raadiosignaali edastamisega ja esimeste raadiovastuvõtjate ilmumisega 20. sajandi 20. aastatel. Televisioon ilmus 1930. aastatel.
70ndatel loodi esimesed traadita telefonisüsteemid mobiilse kõne edastamise vajaduse rahuldamise loomuliku tulemusena. Alguses olid need analoogvõrgud ja 80ndate alguses töötati välja GSM-standard, mis oli digitaalstandarditele ülemineku oluline algus, kuna need tagasid parema signaalikvaliteedi ja turvalisuse.
Väga paljutõotav on ka traadita kohtvõrkude (WLAN), Bluetoothi (keskmise ja lühikese vahemaa võrgud) arendamine. Traadita võrgud on kasutusel lennujaamades, ülikoolides, restoranides ja ettevõtetes. 90ndate lõpus pakuti kasutajatele WAP-teenust, mis esialgu elanikkonnas erilist huvi ei äratanud. Need olid põhilised infoteenused - uudised, ilm, igasugused sõiduplaanid jne. Samuti olid nii Bluetoothi kui ka WLAN-i järele alguses väga vähe nõudlust, peamiselt nende sidevahendite kõrge hinna tõttu. 21. sajandi esimese kümnendi keskpaigaks ulatus traadita Interneti-teenuste kasutajate arv kümnete miljoniteni. Traadita Interneti-side tulekuga on esile kerkinud turvaprobleemid. Nagu iga arvutivõrk, on ka Wi-Fi volitamata juurdepääsu riski allikas. Lisaks on traadita võrku palju lihtsam tungida kui tavalisse võrku - te ei pea juhtmetega ühendust looma, peate lihtsalt olema signaali vastuvõtupiirkonnas.
Kuid enne traadita võrgu kaitsmise alustamist peate mõistma selle organisatsiooni põhiprintsiipe.
1. WEP-turvastandard
Kõik kaasaegsed traadita seadmed (pääsupunktid, juhtmevabad adapterid ja ruuterid) toetavad WEP (Wired Equivalent Privacy) turvaprotokolli. See protokoll on omamoodi juhtmega turvalisuse analoog.
WEP-krüptimise protseduur on järgmine. Esialgu kontrollitakse paketis edastatud andmete terviklikkust, misjärel lisatakse kontrollsumma paketi päise teenindusväljale. Järgmisena genereeritakse 24-bitine lähtestamisvektor ja sellele lisatakse staatiline (40- või 104-bitine) salavõti. Sel viisil saadud 64- või 128-bitine võti on algvõti pseudojuhusliku arvu genereerimiseks, mida kasutatakse andmete krüptimiseks.
WEP-turvaprotokoll pakub kahte kasutaja autentimise meetodit: avatud süsteem (avatud) ja jagatud võti (jagatud). Avatud autentimise kasutamisel autentimist sisuliselt ei teostata, mis tähendab, et iga kasutaja pääseb traadita võrku juurde. Kuid isegi avatud süsteemi korral on WEP-andmete krüpteerimine lubatud.
2. Kaitse kutsumata külaliste eest
Bibliograafia
Bibliograafia
1. Kudin A.V. //Mobiilsideteenuste turvalisus ja kvaliteet. Terminoloogia teatmik 2014 // http://www.techbook.ru/book.php?id_book=688(11.03.2014)
2. Sergei Pakhomov //Traadita võrkude kaitse häkkimise eest//
http://compress.ru/article.aspx?id=16254(11.03.2014)
Uurige hoolikalt töö sisu ja fragmente. Ostetud valmis tööde eest raha ei tagastata, kuna töö ei vasta Teie nõuetele või on unikaalne.
* Töö kategooria on hinnangulise iseloomuga vastavalt esitatud materjali kvalitatiivsetele ja kvantitatiivsetele parameetritele. See materjal, ei tervikuna ega selle osadest, ei ole valmis teadustöö, lõplik kvalifikatsioonitöö, teadusaruanne või muu riikliku teadusliku sertifitseerimise süsteemiga ette nähtud või vahe- või lõppsertifitseerimise läbimiseks vajalik töö. See materjal on selle autori kogutud teabe töötlemise, struktureerimise ja vormindamise subjektiivne tulemus ning see on mõeldud ennekõike kasutamiseks allikana selleteemalise töö iseseisvaks ettevalmistamiseks.
Uskumatult kiire traadita lahenduste juurutamise tempo tänapäevastes võrkudes paneb mõtlema andmekaitse usaldusväärsusele.
Traadita andmeedastuse põhimõte hõlmab ka juurdepääsupunktidega volitamata ühenduste võimalust.
Sama ohtlik oht on seadmete varguse võimalus. Kui traadita võrgu turvapoliitika põhineb MAC-aadressidel, võib ründaja varastatud võrgukaart või pääsupunkt avada juurdepääsu võrgule.
Sageli ühendavad pääsupunktid LAN-iga volitamata ettevõtte töötajad ise, kes ei mõtle kaitsele.
Selliseid probleeme tuleb käsitleda terviklikult. Organisatsioonilised meetmed valitakse iga konkreetse võrgu töötingimustest lähtuvalt. Tehniliste meetmete osas saavutatakse väga häid tulemusi seadmete kohustusliku vastastikuse autentimise ja aktiivsete kontrollide kasutuselevõtuga.
2001. aastal ilmusid esimesed draiverite ja programmide juurutused, mis suudavad WEP-krüptimisega hakkama saada. Edukaim on PreShared Key. Kuid see on hea ainult siis, kui on olemas usaldusväärne krüpteerimine ja kvaliteetsete paroolide regulaarne asendamine (joonis 1).
Joonis 1 – Algoritm krüptitud andmete analüüsimiseks
Kaasaegsed kaitsenõuded
Autentimine
Praegu on erinevates võrguseadmetes, sealhulgas juhtmeta seadmetes, laialdaselt kasutusel kaasaegsem autentimismeetod, mis on defineeritud standardis 802.1x – kuni vastastikuse kontrollimiseni ei saa kasutaja andmeid vastu võtta ega edastada.
Mitmed arendajad kasutavad oma seadmetes autentimiseks EAP-TLS- ja PEAP-protokolle. Lisaks mainitud protokollidele pakub Cisco Systems oma traadita võrkude jaoks järgmisi protokolle: EAP-TLS, PEAR, LEAP, EAP-FAST.
Kõik kaasaegsed autentimismeetodid nõuavad dünaamiliste võtmete tuge.
LEAP-i ja EAP-FAST-i peamiseks puuduseks on see, et neid protokolle toetatakse peamiselt Cisco Systemsi seadmetes (joonis 2).
Joonis 2 – 802.11x paketi struktuur TKIP-PPK, MIC ja WEP krüptimist kasutades.
Krüpteerimine ja terviklikkus
Cisco Systems 802.11i soovitustele tuginedes on juurutatud TCIP (Temporal Integrity Protocol) protokoll, mis tagab PPK krüpteerimisvõtme muutmise (Per Packet Keying) igas paketis ja MIC sõnumite terviklikkuse jälgimise (Message Integrity Check).
Veel üks paljutõotav krüpteerimis- ja terviklikkuse protokoll on AES (Advanced Encryption Standard). Sellel on parem krüptograafiline tugevus võrreldes DES ja GOST 28147-89-ga. See pakub nii krüptimist kui ka terviklikkust.
Pange tähele, et selles kasutatav algoritm (Rijndael) ei nõua suuri ressursse ei juurutamise ega töötamise ajal, mis on väga oluline andmete latentsuse ja protsessori koormuse vähendamiseks.
Traadita kohtvõrkude turvastandard on 802.11i.
Wi-Fi Protected Access (WPA) standard on reeglite kogum, mis tagab andmekaitse rakendamise 802.11x võrkudes. Alates 2003. aasta augustist on Wi-Fi sertifikaadiga seadmete puhul WPA standardite järgimine olnud kohustuslik nõue.
WPA spetsifikatsioon sisaldab muudetud TKOP-PPK protokolli. Krüpteerimine toimub mitme võtme - praeguse ja järgnevate - kombinatsiooni abil. Sel juhul suurendatakse IV pikkust 48 bitini. See võimaldab rakendada täiendavaid meetmeid teabe kaitsmiseks, näiteks karmistada uuesti seostamise ja taasautentimise nõudeid.
Spetsifikatsioonid hõlmavad 802.1x/EAP tuge, jagatud võtme autentimist ja loomulikult võtmehaldust.
Tabel 3 – Turvapoliitika rakendamise meetodid
Tabeli 3 jätk
Kui kasutatakse kaasaegseid seadmeid ja tarkvara, on nüüd täiesti võimalik ehitada turvaline ja ründekindel traadita võrk, mis põhineb 802.11x seeria standarditel.
Peaaegu alati on traadita võrk ühendatud traadiga ja lisaks traadita kanalite kaitsmise vajadusele on vaja tagada kaitse ka juhtmega võrkudes. Vastasel juhul on võrgu turvalisus killustatud, mis on sisuliselt turvarisk. Soovitatav on kasutada seadmeid, millel on Wi-Fi Certified sertifikaat, mis kinnitab WPA-le vastavust.
Peame juurutama 802.11x/EAP/TKIP/MIC ja dünaamilise võtmehalduse. Segavõrgu puhul tuleks kasutada VLAN-e; Väliste antennide olemasolul kasutatakse VPN-i virtuaalse privaatvõrgu tehnoloogiat.
On vaja kombineerida nii protokolli- ja tarkvarakaitsemeetodeid kui ka administratiivseid.
3. PEATÜKK TEHNILISE TEABE KAITSE
Seoses kohalike ja globaalsete arvutivõrkude kiire arenguga on laialdaselt arenenud ka luure- (tööstusspionaaži) meetodid, mille eesmärk on püüda kinni kohalikes võrkudes töödeldud (edastatud, salvestatud) infot.
Mis tahes organisatsiooni kohalikku võrku on võimalik tungida ainult siis, kui süsteemiadministraator konfigureerib kõik kohtvõrgu elemendid ebapiisavalt kvalifitseeritult. Kui see on õigesti konfigureeritud, peavad ründajad leidma teabe hankimiseks meetodid, mis ei hõlma kohalikku võrku tungimist. Sel eesmärgil kasutatakse teabe pealtkuulamise meetodeid kohaliku võrgu elementide valeheitmete ja häirete (PEMIN) kanalite kaudu. Üksikute arvutite kaitsmise meetod on üsna hästi välja töötatud ja seda toetavad vajalikud regulatiivsed dokumendid. Kohaliku võrgu PEMIN-kanalite kaudu teabe kaitsmine lekke eest on palju keerulisem kui autonoomselt kasutatavate seadmete puhul.
Elektromagnetkiirguse allikad kohtvõrgus on tööjaamad ja aktiivsed võrguseadmed. Teabelekke eest kaitsmiseks valekiirguse ja häirete kanalite kaudu kasutatakse selle seadme varjestust. Kohaliku võrgu aktiivsete seadmete kiirguse taseme vähendamiseks on kõige parem paigutada seadmed ja serverid varjestatud kappi.
Hetkel on saadaval arvutikorpused, mis vastavad Euroopa EMS direktiivi 89/336/EMÜ nõuetele. Kaasaegsed korpused võivad oluliselt vähendada arvutielementide kiirgust, kuid enamik nõuab täiendavaid muudatusi. Arvuti süsteemiüksuse varjestuse kvaliteet mõjutab kõigi süsteemiüksusega ühendatud seadmete (näiteks klaviatuuri) kiirgustaset. Tavalisel klaviatuuril on tavaliselt väga kõrge kiirgustase. Samal ajal sisestatakse klaviatuurilt väga turvalisuse seisukohalt olulisi andmeid, sealhulgas kasutaja ja süsteemiadministraatori paroole. Klaviatuuri kiirguse pealtkuulamiseks saab kasutada lihtsat lühilainevastuvõtjat. Arvestades ka seda, et klaviatuurilt sisestatud andmed sisestatakse järjestikuse koodina ja on seetõttu kergesti tõlgendatavad, tuleks kõige ohtlikumaks pidada klaviatuuri tekitatud emissioone. Elektriliste (joonis 3) ja magnetiliste (joonis 4) komponentide taseme mõõtmise tulemused näitasid, et erinevate müügilolevate süsteemiploki korpustega arvutite puhul võib klaviatuurilt tuleva valekiirguse võimsus erineda rohkem kui 100 korda.
Joonis 3 – Elektrikomponentide tasemed
Joonis 4 – Magnetkomponentide tasemed
Sarnased suhted saadakse ka teiste arvutisse kuuluvate seadmete puhul.
Standardkorpuste ja kappide muutmise ülesanne:
Esiteks on üksikute korpuskonstruktsioonide ristmikel alati lüngad, mis halvendavad oluliselt varjestusomadusi.
Teiseks ei saa elektroonikaseadme korpust tihendada, sest soojuse eemaldamiseks on vaja ventilatsiooniavad.
Kolmandaks ei saa varjestuskorpuse konstruktsiooni ette välja arvutada. Seetõttu on standardkorpuse muutmine selle varjestusomaduste parandamiseks alati eksperimentaalne töö.
Nüüd on korpuste varjestusomaduste parandamiseks loodud palju materjale - igasugused vedrutihendid, elektrit juhtivad elastomeerid, isekleepuvad metalliseeritud katted.
Kiirgusallikaks on toiteallikas. Toide antakse sees läbi filtri, mis takistab hulkuva kiirguse levikut mööda juhtmeid. Kuid kiirguse täielikuks summutamiseks on filtri arvutamine peaaegu võimatu, kuna selle omadusi mõjutavad paljud välisvõrgu parameetrid. Ükski kaubanduslikult toodetud filter ei suuda laias sagedusalas oma funktsioone täielikult täita. Head filtrid on kompromisslahendus, mis vaid enamikul juhtudel vastab filtrile esitatavatele nõuetele.
Sõltuvalt sellest võivad autonoomse arvuti või võrgu osana oleva arvuti PEMIN-kanalite kaudu teabe lekke eest kaitsmise omadused oluliselt erineda. Ja peamine tegur, mis põhjustab erinevusi omadustes, on seadmete maandus.
Eraldiseisvates seadmetes ei paranda ega halvenda maandus nende varjestusomadusi. Maandus on vajalik ainult vastavalt elektriohutusnõuetele. Nõuetekohase maanduse korral väheneb valekiirguse tase mõnevõrra. Kuid mõnel juhul võib maandusega ühendamisel valekiirguse tase tõusta.
Kaablisüsteem ei sisalda aktiivseid elemente, seega ei saa see ise olla valekiirguse allikas. Kaablisüsteem ühendab aga kõik arvutivõrgu elemendid. Selle kaudu edastatakse võrguandmeid ning see on ka kõigi häirete vastuvõtja ja vale elektromagnetilise kiirguse edastamise vahend (joonis 5).
Joonis 5 – väline elektromagnetkiirgus
Seetõttu on vaja eristada:
Teatud liini kaudu edastatud signaalidest põhjustatud valekiirgus (kohaliku võrgu liiklus);
teiste läheduses asuvate liinide ja seadmete valekiirguse vastuvõtmine ja sellele järgnev taasemissioon;
Kaablisüsteemi poolt tekitatud valevibratsiooni emissioon võrgu aktiivsete seadmete elementidest ja arvutitest, millega kaabel on ühendatud.
Enamasti huvitab kaablisüsteemi turvalisust hinnates vaid see, kui palju nõrgeneb võrgu infovahetusel kaabli kaudu edastatavate signaalide tekitatud valekiirgus.
Kui liiklust kohalikus võrgus saab taastada kaablisüsteemi raadiokiirguse abil, kujutab see endast suurt ohtu. Tegelikult on kohalik võrguliiklus PEMINi kanalite kaudu infolekke eest üsna hästi kaitstud. Kaasaegsetel LAN-kaablitel on edastatavate signaalide emissioonitase väga madal. Nendes kaablites edastatakse signaale juhtmete keerdpaari kaudu ja keerdude arv pikkuseühiku kohta on rangelt konstantne. Põhimõtteliselt ei tohiks selline süsteem üldse kiirgust eraldada. Veelgi enam, varjestuse olemasolu keerdpaarkaablil mõjutab keerdpaarkaabli kaudu edastatavate signaalide emissioonitaset väga vähe. Reaalses süsteemis on alati üksikud kaablite ebahomogeensused, mis mõjutavad võrguvahetuse ajal tekkiva valekiirguse taset. Tegelikkuses pole sõna otseses mõttes mõne meetri kaugusel võimalik tänapäevase kaabli elektromagnetkiirgust kasutades enam selle kaudu edastatavat infot kinni püüda. Kuid enamikul praktilistel juhtudel on kaablisüsteem suurepärane antenn kõigi võrku ühendatud seadmete valeheitmete jaoks. Arvutielementides tekkiv hulkkiirgus indutseeritakse kõikidele kohtvõrgukaabli juhtmetele (joonis 6).
Joonis 6 – Hajukiirgus arvutielementides
Selle tulemusena tuleb arvutielementidest pärinevate valeheitmete korral LAN-kaablit käsitleda lihtsalt ühe keerulise juhtmena, mis ulatub üle varjestatud helitugevuse. Nende juhtmete jaoks on võimatu paigaldada filtrit, mis summutab hajuvat kiirgust. Kõrvaldades võltsheiteid, surume alla ka võrguliikluse. Seega, kui infoturbega arvuti on ühendatud kohtvõrku varjestamata keerdpaaril, võivad keerdpaarjuhtmed, mis täidavad antenni rolli, suurendada näiteks arvuti klaviatuuri poolt tekitatavat väljatugevust (joon. 2, joon. 3), kümnete tuhandete korra võrra. Seetõttu ei saa varjestamata keerdpaarkaablit kasutada kohalikus võrgus, kus töödeldakse piiratud juurdepääsuga teavet. Varjestatud keerdpaaride kasutamine parandab oluliselt olukorda.
Kohalikku arvutivõrku ei saa praegu enam kasutada iseseisvalt, ilma teiste võrkudega suhtlemiseta. Eelkõige peab iga organisatsioon, olgu see siis eraettevõte, riigiasutus või siseministeeriumi osakond, olema aktiivselt esindatud ülemaailmses Internetis. See hõlmab teie veebisaiti, avalikku e-posti ja töötajate juurdepääsu ülemaailmsele võrguteabele. Selline tihe suhtlus läheb vastuollu turvanõuetega. Kui mitu võrku suhtlevad, võivad tekkida mitmesugused turvaohud. Näiteks globaalse võrguga ühenduse loomisel on kõige kahjutum võimalik oht huligaansetel põhjustel võrku häkkida. Välisriikide luureteenistustele huvi pakkuv teave liigub valitsusasutuste arvutivõrkudes. Siseministeeriumi arvutivõrkudes liigub kurjategijaid huvipakkuv info. Seda teavet ei tohi liigitada konfidentsiaalseks. Kokkuvõttes võimaldab see aga saada üsna olulist teavet. Seetõttu tuleks valitsusasutuste arvutivõrkude ja globaalse Internetiga kombineerimise puhul lisaks huligaansele häkkimisele eeldada ka kvalifitseeritumaid katseid tungida ründajate võrku. Sellistele katsetele on äärmiselt raske vastu seista. Seetõttu peab Internet olema isoleeritud sisevõrgust, kuhu koondandmed on koondunud. Turvalisuse tagamiseks on teada mitmeid viise, kuidas oma arvutivõrk globaalsest Internetist isoleerida. Võrkudes, mis ei kanna piiratud teavet, piisab võrkude isoleerimiseks tavaliselt ruuteri kasutamisest. Kuid tõsist kaitset globaalse võrgu sissetungi eest saab tagada ainult tulemüüride (FireWall) abil. Seetõttu on äriettevõtete ettevõtteteabe kaitsmiseks vaja kasutada tulemüüre. Riigiasutuste teabe kaitsmiseks ei paku tulemüür aga reeglina vajalikku kaitsetaset. Turvalisus on kõige täielikumalt tagatud ainult siis, kui Internet on füüsiliselt isoleeritud oma kohalikust võrgust. Loomulikult tekitab see töös teatud ebamugavusi ja nõuab lisakulutusi arvutivõrgu loomisel. Kuritegevuse vastu võitlemise vajaduse kontekstis on see aga õigustatud meede.
Füüsilise isolatsiooniga võrkude ehitamisel tuleb arvestada ka PEMIN kanalite kaudu infolekke eest kaitsmise küsimustega. Paljudel juhtudel vajab piiratud juurdepääsuga teabega töötav töötaja ka Interneti-juurdepääsu võimalust. Töökohale on paigaldatud kaks arvutit, millest üks on ühendatud ettevõtte (organisatsiooni) kohtvõrku ja teine Internetti. Sel juhul on väga raske eraldada oma võrgu kaableid infoturbega ja avatud internetivõrgu kaableid piisava vahemaa tagant. Tänu sellele saab avatud interneti kaablitele suunata ka kohtvõrgus ringlevat infot, aga ka kogu arvutite kõrvalkiirgust, mis on suunatud kohtvõrgu kaablitele. Avatud võrgukaabel pole mitte ainult üsna pikk antenn (eriti kui avatud võrk on paigaldatud varjestamata kaabliga). Avatud võrgukaablid ulatuvad tavaliselt väljapoole kaitseala piire, seega saab teavet mitte ainult kiirguse pealtkuulamise, vaid ka otseühenduse kaudu avatud võrgukaablitega. Seetõttu tuleb ka avatud võrgukaablid paigaldada vastavalt kõigile infoturbega võrgu ehitamisel järgitavatele soovitustele.
PEATÜKK 4. KOHALIKU VÕRGU ARENDAMINE SUURENDATUD INFOKAITSE NÕUETEGA
Belorusov Dmitri Ivanovitš
Koreshkov Mihhail Sergejevitš
OÜ "RICOM", Moskva
Wi-Fi võrgud ja infoturbe ohud
Artiklis käsitletakse otseseid ja kaudseid ohte infoturbele, mis tekivad seoses WiFi traadita juurdepääsu tehnoloogia arenguga. On näidatud, et WiFi-tehnoloogia kasutamine võib ohustada mitte ainult WiFi-seadmete kaudu otse edastatavat teavet, vaid ka kõneteavet rajatises.
IEEE 802.11 tehnoloogial põhinevate traadita andmesidevõrkude laialdane kasutamine, paremini tuntud kui WiFi, ei saa jätta objektide infoturbe spetsialistide tähelepanu. Käesolevas artiklis on autorite eesmärk tutvustada lugejaid WiFi-võrkudega seotud objektide infoturbe uute ohtude uurimise tulemustega.
Algselt oli WiFi-tehnoloogia keskendunud mobiilikasutajatele kiirete Interneti-pöörduspunktide (levialade) korraldamisele. Tehnoloogia võimaldab suurel hulgal abonentidel üheaegset juurdepääsu Internetile eelkõige avalikes kohtades (lennujaamad, restoranid jne). Traadita juurdepääsu eelised on ilmsed, eriti kuna WiFi-tehnoloogiast sai algselt de facto standard ning mobiilsete arvutite tootjatel ei ole pääsupunktide ja mobiilseadmete ühilduvuse küsimust.
Järk-järgult levisid WiFi-võrgud suurtesse ja väikestesse kontoritesse, et korraldada ettevõttesiseseid võrke või alamvõrke.
Samal ajal hakkasid suured sideoperaatorid arendama oma teenuseid, et pakkuda WiFi-tehnoloogial põhinevat tasulist traadita Interneti-juurdepääsu. Sellised võrgud koosnevad suurest hulgast pääsupunktidest, mis korraldavad sarnaselt mobiilsidevõrgule tervete linnapiirkondade levialasid.
Tänu sellele on tänapäeval igas suures linnas, peaaegu iga objekti kõrval, vähemalt mitu WiFi-võrku oma pääsupunktide ja klientidega, mille arv võib ulatuda sadadesse.
Liigume edasi WiFi võrkude kasutamisega seoses tekkivate infoturbeohtude käsitlemisele. Kõik ohud võib jagada kahte klassi:
- otsesed - infoturbe ohud, mis tekivad teabe edastamisel IEEE 802.11 traadita liidese kaudu;
- kaudsed - ohud, mis on seotud suure hulga WiFi-võrkude olemasoluga saidil ja saidi läheduses, mida saab kasutada teabe, sealhulgas volitamata saadud teabe edastamiseks.
Kaudsed ohud on olulised absoluutselt kõigi organisatsioonide jaoks ja, nagu allpool näha, kujutavad nad ohtu mitte ainult arvutivõrkudes töödeldavale teabele, vaid, mis kõige tähtsam, ka kõneteabele.
Vaatame otseseid ähvardusi. Traadita sidekanali korraldamiseks WiFi-tehnoloogias kasutatakse raadioandmete edastamise liidest. Teabeedastuskanalina on see potentsiaalselt vastuvõtlik volitamata sekkumisele teabe pealtkuulamise, moonutamise või blokeerimise eesmärgil.
WiFi tehnoloogia arendamisel võeti arvesse mõningaid infoturbe küsimusi, kuid nagu praktika näitab, sellest ei piisa.
Arvukad "augud" WiFi turvalisuses tekitasid arvutihäkkimise tööstuses eraldi trendi, nn wardrivingu. Wardriverid on inimesed, kes häkivad "sportlikust" huvist teiste inimeste WiFi-võrke, mis aga ohu ohtu ei vähenda.
Kuigi WiFi-tehnoloogia pakub autentimist ja krüptimist, et kaitsta liiklust andmesidekihi pealtkuulamise eest, ei ole need turvafunktsioonid piisavalt tõhusad.
Esiteks vähendab krüptimise kasutamine kanali kaudu teabeedastuse kiirust mitu korda ja sageli keelavad võrguadministraatorid krüptimise teadlikult liikluse optimeerimiseks. Teiseks on üsna levinud WEP-krüpteerimistehnoloogia kasutamine WiFi-võrkudes pikka aega olnud diskrediteeritud, kuna RC4 võtmejaotusalgoritmis on nõrku kohti, mida kasutatakse koos WEP-iga. On palju programme, mis võimaldavad teil valida "nõrkade" WEP-võtmete. Seda rünnakut nimetati arendajate initsiaalide esimeste tähtede järgi FMS-iks. Igal nõrka võtit sisaldaval paketil on 5% tõenäosus taastada üks bait salajasest võtmest, nii et pakettide koguarv, mida ründaja peab rünnaku sooritamiseks koguma, sõltub eelkõige tema õnne astmest. Keskmiselt kulub murdmiseks umbes kuus miljonit krüptitud paketti. DasbOden Labsi H1kari häkkerid tugevdasid FMS-i algoritmi, vähendades nõutavate pakettide arvu kuuelt miljonilt 500 tuhandele. Ja mõnel juhul murtakse 40/104-bitine võti vaid kolme tuhande paketiga, mis võimaldab rünnata isegi koduseid pöörduspunkte, koormamata neid liigse liiklusega.
Kui seaduslike klientide ja pääsupunkti vahel on vähe sidet või see puudub üldse, võib ründaja sundida ohvrit genereerima suurel hulgal liiklust, teadmata isegi salajast võtit. Piisab lihtsalt õige paketi pealtkuulamisest ja ilma seda dekrüpteerimata uuesti edastamisest.
Seadmete arendajad reageerisid üsna adekvaatselt, muutes lähtestamisvektorite genereerimise algoritmi nii, et nõrgad võtmed enam ei ilmunud.
2004. aasta augustis demonstreeris häkker nimega KoreK uue krüptoanalüsaatori lähtekoodi, mis võib purustada isegi tugevad initsialiseerimisvektorid. 40-bitise võtme taastamiseks vajas ta vaid 200 000 ainulaadsete lähtestamisvektoritega paketti ja 104-bitise võtme jaoks 500 tuhat. Unikaalsete vektoritega pakettide arv on keskmiselt umbes 95% krüptitud pakettide koguarvust, seega kulub ründajal võtme taastamiseks väga vähe aega.
Uued WiFi seadmed kasutavad WPA tehnoloogiat – WiFi Protected Access (kaitstud WiFi ligipääs), kus on taas tõstetud juhtmevabade seadmete turvalisust. WEP on tulnud asendama TKIP (Temporal Key Integrity Protocol)- lühiajalise võtme terviklikkuse protokoll), genereerides dünaamilisi võtmeid, mis asendavad üksteist lühikese ajaintervalliga. Vaatamata selle tehnoloogia suhtelisele uudsusele sisaldavad mõned häkkeriutiliidid juba spetsiaalset moodulit, mis kuvab üht protokollivõtmetest. Volitamata ühenduse loomiseks WPA-tehnoloogiaga kaitstud pääsupunktiga osutus see täiesti piisavaks.
IEEE 802.11i standard kirjeldab täiustatud turvasüsteemi (tuntud kui WPA2), mis põhineb AES krüptoalgoritmil. Selle avatud kujul häkkimiseks pole veel valmis utiliite, nii et saate selle tehnoloogiaga end turvaliselt tunda. Vähemalt peab ta mõnda aega vastu.
Info blokeerimise ohtu WiFi-kanalis eirati tehnoloogia arendamisel praktiliselt, mis on asjata. Kanali blokeerimine iseenesest pole muidugi ohtlik, kuna WiFi-võrgud on peaaegu alati abiseadmed, kuid sageli on blokeerimine vaid ettevalmistusetapp vahemehe rünnakuks, kui kliendi ja juurdepääsu vahele ilmub kolmas seade. punkt, mis suunab nendevahelise liikluse nende endi kaudu ümber. Sel juhul ei ole mitte ainult teabe pealtkuulamise oht, vaid ka selle moonutamine. Teenuse keelamisega (DOS) seotud töödeldud rünnakuid WiFi-võrkudele on teada vähemalt mitu, kuid selle artikli raames me nende käsitlemisel ei peatu, piirdume vaid reaalsete ohtude olemasolu konstateerimisega.
Liigume edasi objekti infoturbe kaudsete ohtude käsitlemisele, mis on otseselt seotud WiFi tehnoloogiaga.
WiFi-võrgu kanalid on äärmiselt atraktiivsed kasutamiseks seadmete transpordi infrastruktuurina volitamata teabe vastuvõtmiseks mitmel põhjusel:
1. WiFi seadmete signaalid on üsna keeruka struktuuri ja laia spektriga, mistõttu neid signaale ja veelgi enam ümbritsevaid WiFi seadmeid ei ole võimalik tuvastada tavapäraste raadioseirevahenditega.
Nagu praktika on näidanud, on tänapäevaste raadioseirekomplekside abil WiFi-signaali usaldusväärne tuvastamine laias sagedusalas võimalik ainult energiakriteeriumi alusel mitmekümne MHz laiuste paralleelsete analüüsiribade olemasolul kiirusel vähemalt 400 MHz/ s ja ainult lähitsoonis. Kaugväljas asuvate pöörduspunktide signaalid on vastuvõtja müratasemest madalamad.
WiFi-saatjate tuvastamine kitsaribavastuvõtjatega järjestikuse skaneerimise ajal on üldiselt võimatu.
2. Peaaegu igas rajatises või selle läheduses on kasutusele võetud privaatsed WiFi-võrgud või avalikud WiFi-võrgud. Selliste võrkude ümber on äärmiselt raske eristada oma ja naabervõrkude seaduslikke kliente klientidest, kellel on võimalus salaja teavet saada, mis võimaldab tõhusalt varjata volitamata teabeedastust legaalsete WiFi-kanalite vahel.
WiFi saatja väljastab nn OFDM-signaali. See tähendab, et ühel ajahetkel edastab seade ühes laias sagedusalas (umbes 20 MHz) hõivatud signaalis mitut infokandjat – infokanalite alamkandjaid, mis asuvad üksteisele nii lähedal, et tavalise vastuvõtuseadmega vastuvõtmisel. , näeb signaal välja nagu üks "kuppel". Sellises “kuplis” on võimalik alamkandjaid eraldada ja saateseadmeid tuvastada ainult spetsiaalse vastuvõtjaga.
3. Suurtes linnades on avalike WiFi-võrkude leviala piisav, et tagada nendega ühenduse loomise võimalus, et edastada teavet peaaegu igast punktist. See välistab vajaduse kasutada rajatise lähedal asuvat mobiilset teabe vastuvõtupunkti, kuna volitamata seade saab teavet edastada avaliku pöörduspunkti kaudu ja seejärel Interneti kaudu mis tahes asukohta.
4. WiFi võrgukanalite pakutavad ressursid võimaldavad teil heli, andmeid ja videot reaalajas edastada. See asjaolu avab teabe pealtkuulamisseadmete jaoks laialdased võimalused. Nüüd on ohus mitte ainult heliteave, vaid ka arvutite või kohalike võrkude videoandmed.
Kõik ülalpool käsitletud WiFi-tehnoloogia eelised kohapeal teabe kaitsmise seisukohast on puudused. Lisaks toodetakse ja müüakse täiesti legaalselt väikesemahulisi WiFi-seadmeid, mis võimaldavad andme-, kõne- või videoinfo edastamist, näiteks juhtmevaba WiFi-videokaamerad, mida saab hõlpsasti konverteerida salaja info hankimise seadmetena kasutamiseks.
Riis. 1. Signaal WiFi saatjalt lähiväljal
Riis. 2. WiFi liidesega juhtmevaba WEB-kaamera
1. Ruumi paigaldati omavoliline WiFi videokaamera koos mikrofoniga. Infoedastuse ulatuse suurendamiseks on rajatise katusele paigaldatud WiFi pääsupunkt, mis töötab kordusrežiimis (üks WiFi pääsupunkti standardtöörežiimidest) koos suundantenniga. Sel juhul saab teavet ruumist, kuhu on paigaldatud kliendi standardne WiFi-toitekaamera, isegi linnas asuvas kontrollpunktis, mis asub objektist mitme kilomeetri kaugusel.
2. Spetsiaalse programmi (viiruse) abil saab ühe ettevõtte töötaja nutitelefoni lülitada režiimi, kus mikrofoni kõneteave salvestatakse ja edastatakse sellesse sisseehitatud WiFi mooduli abil juhtpunkti.
Saladuse suurendamiseks saab juhtpunkti kasutada ka ühes WiFi-pääsupunktide standardrežiimis - "varjatud nimega edastamine". Sel juhul jääb pääsupunkt traadita võrkude võrgusirvimisprogrammidele nähtamatuks. Tuleb märkida, et nendes WiFi programmides pole kliente üldse näha.
3. Ja lõpuks, kaalume võimalust, kui rajatise režiim ei luba andmekandjaid väljapoole selle piire teisaldada, Interneti-juurdepääs puudub või on piiratud. Kuidas saab ründaja selliselt objektilt märkamatult üle kanda piisavalt suure hulga andmeid? Vastus: ta peab täiesti legaalselt ühenduma naabruses asuva WiFi levivõrguga ja edastama teavet, jäädes märkamatuks piisavalt suure hulga naabervõrkude WiFi-klientide seas, kes edastavad teavet väljaspool rajatist.
Järeldused:
WiFi-tehnoloogia on kindlasti mugav ja universaalne teabele juhtmevaba juurdepääsu korraldamiseks. See aga toob endaga kaasa palju tõsiseid ohte objekti infoturbele. Samas on infoturbele nii otseseid kui kaudseid ohte. Ja kui saate otsestest ohtudest vabaneda, kui keeldute WiFi-seadmete kasutamisest ettevõtte võrgu infrastruktuuris ja ei kasuta rajatises WiFi-võrke, siis on kaudsed ohud olemas sõltumata WiFi-tehnoloogia kasutamisest objektil. Lisaks on kaudsed ohud ohtlikumad kui otsesed, kuna need mõjutavad mitte ainult arvutivõrkudes olevat teavet, vaid ka kõneteavet rajatises.
Kokkuvõtteks tahan märkida, et WiFi-tehnoloogia ei ole hetkel ainus laialt levinud traadita andmeedastustehnoloogia, mis võib kujutada ohtu objekti infoturbele.
Bluetooth-seadmeid saab kasutada ka volitamata traadita andmeedastuste korraldamiseks. Võrreldes WiFi-ga on Bluetooth-seadmetel infoedastusulatuse ja kanalivõimsuse osas oluliselt vähem võimalusi, kuid neil on üks oluline eelis - väike voolutarve, mis on volitamata saatja puhul ülimalt oluline.
Teine tehnoloogia, mis hakkab traadita lairibaühenduse pakkumisel WiFi-ga konkureerima, on WiMAX. Kuid praeguse seisuga on WiMAX-seadmed palju vähem levinud ja nende olemasolu on tõenäolisemalt paljastav tegur, kui varjata volitamata teabeedastuskanalit.
Seega pole WiFi praegu mitte ainult kõige levinum traadita juurdepääsu tehnoloogia, vaid ka kõige mugavam teabe loata vastuvõtmise ja edastamise seisukohalt.
Kirjandus
- Karolik A., Kaspersky K. Mõelgem välja, mis on wardriving ja milleks seda kasutada //Hacker. - nr 059. - S. 059-0081.
Traadita võrgud on mugavamad kui juhtmega võrgud, kuid need võivad olla haavatavad ka häkkerite ja pahavara (nt usside) suhtes. Kuna traadita võrgud kasutavad seinu läbivaid raadiolaineid, võib võrgusignaal liikuda kodust välja.
Kui te ei püüa oma võrku kaitsta, pääsevad läheduses olevad arvutikasutajad juurde teie võrgus olevatesse arvutitesse salvestatud andmetele ja saavad kasutada teie Interneti-ühendust. Kui määrate oma traadita võrgule turvavõtme, saate kaitsta end volitamata juurdepääsu eest.
Traadita võrgu turvalisuse viisid
Traadita võrk tuleks konfigureerida nii, et sellele pääsevad ligi ainult valitud kasutajad.
Allpool kirjeldatakse mitmeid traadita ühenduse turvaseadeid.
Wi-Fi kaitstud juurdepääsu tehnoloogia (WPA ja WPA2)
Wi-Fi kaitstud juurdepääsu tehnoloogia krüpteerib teabe ja kontrollib, et võrgu turvavõtit pole muudetud. Lisaks autentib Wi-Fi kaitstud juurdepääsu tehnoloogia kasutajaid, et tagada võrgule juurdepääs ainult volitatud kasutajatele.
WPA autentimist on kahte tüüpi: WPA ja WPA2.
WPA tüüp on loodud töötama kõigi traadita võrguadapteritega, kuid see ei ühildu vanemate ruuterite ega pääsupunktidega. Sisestage WPA2 on turvalisem kui WPA, kuid ei ühildu mõne vanema võrguadapteriga.
WPA-tehnoloogia on mõeldud kasutamiseks 802.1x autentimisserveriga, mis loob iga kasutaja jaoks erineva võtme. Siis nimetatakse seda WPA-Enterprise või WPA2-Enterprise. Seda saab kasutada ka eeljagatud võtme (PSK) režiimis, kus iga kasutaja saab sama parooli. Siis nimetatakse seda WPA-Personal või WPA2-Personal.
Wired Equivalent Privacy (WEP) protokoll
WEP kui vana võrguturbe meetod on endiselt saadaval vanemate seadmete toetamiseks kasutamine ei ole soovitatav. Kui WEP on lubatud, luuakse võrgu turvavõti. See krüpteerimisvõti saadetakse võrgu kaudu ühest arvutist teise. WEP-turvalisust on aga suhteliselt lihtne häkkida.
Tähelepanu! Võimaluse korral on soovitatav kasutada WPA2. WEP ei ole soovitatav. WPA või WPA2 on turvalisem. Kui proovite käitada WPA-d või WPA2-d, kuid see ei tööta, on soovitatav värskendada võrguadapterit, et see töötaks mõne töötava WPA- või WPA2-tehnoloogiaga.
802.1x autentimine
802.1x autentimine võib suurendada 802.11 traadita ja Etherneti võrkude turvalisust. 802.1x autentimine kasutab kasutajate kontrollimiseks ja võrgule juurdepääsuks loa andmiseks autentimisserverit. Traadita võrkudes saab 802.1x autentimist kasutada WPA-, WPA2- või WEP-protokolli võtmetega. Seda tüüpi autentimist kasutatakse tavaliselt töökoha võrguga ühenduse loomiseks.
480 hõõruda. | 150 UAH | 7,5 $, MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Lõputöö - 480 RUR, kohaletoimetamine 10 minutit, ööpäevaringselt, seitse päeva nädalas ja pühade ajal
Nikonov, Vjatšeslav Igorevitš. Dünaamilisel liikluse suunamisel põhineva teabe kaitsmise metoodika traadita võrkudes: väitekiri... Tehnikateaduste kandidaat: 05.13.19 / Nikonov Vjatšeslav Igorevitš; [Kaitsekoht: Vol. olek Juhtimissüsteemide ülikool ja raadioelektroonika (TUSUR) RAS] - Tomsk, 2010. - 119 lk.: ill. RSL OD, 61 11-5/934
Sissejuhatus
I PEATÜKK. Haavatavuste ja teabe kaitsmise meetodite analüüs edastamise ajal hajutatud traadita võrkudes 11
1.1 Järgmise põlvkonna traadita võrgud 11
1.2 Ohud teabele hajutatud arvutivõrkudes 15
1.2.1 Aktiivsed võrgurünnakud 16
1.2.2 Rünnakute eripära traadita võrkudes 21
1.3 Teabe kaitsmise meetodid traadita võrkudes 25
1.3.2 Andmekaitsetehnoloogiad 32
1.4 Lõputöö eesmärgid 39
1.5 Järeldused 40
II PEATÜKK. Dünaamilisel liikluse marsruutimisel põhineva teabe kaitsmise metoodika väljatöötamine hajutatud traadita võrkudes edastamise ajal 42
2.1 Liikluse multipleksimissüsteem 42
2.2 Marsruutteenus 45
2.2.1 Üldised tööpõhimõtted 46
2.2.2 Metoodika teabe kaitsmiseks traadita hajutatud võrgus edastamise ajal 49
2.2.3 Dünaamilise liikluse marsruutimisalgoritm 53
2.2.4 Väljatöötatud metoodika rakendamine 57
2.3 Väljatöötatud kaitsemeetodi efektiivsuse analüüs 64
2.3.1 Võimalused 64
2.3.2 Esmaklassilise ohu tõenäosuse hindamine 64
2.3.3 Teise klassi ohu tõenäosuse hindamine 66
2.3.4 Algoritm rünnakute voo genereerimiseks 68
2.4 Järeldused 71
III PEATÜKK. Tarkvara juurutamine edastatava teabe kaitsmiseks 73
3.1 Tarkvarapaketi juurutamine 73
3.2 Eksperimentaalne rakendamine ja võrdlus marsruutimisprotokollidega 81
3.3 Meetodite eksperimentaalsed uuringud 84
3.4 Järeldused 92
Järeldus 94
Viited 95
Töö tutvustus
Töö asjakohasus. Infotehnoloogia areng tekitab kiireloomulisi probleeme arvutivõrkude töökindluse suurendamisel. Selliste probleemide lahendamiseks on vaja uurida olemasolevaid võrguprotokolle, võrguarhitektuure ning töötada välja võimalused turvalisuse parandamiseks teaberessursside üle võrgu edastamisel.
Juhtmevaba tehnoloogia valimine võimaldab teil saada eeliseid kiiruse ja mobiilsuse osas. Uue võrgusilma struktuuriga lairiba traadita võrkude klassi (võrkvõrgud) tekkimine on võimaldanud saavutada teabe leviala märkimisväärset kasvu. Selle võrkude klassi peamiseks eeliseks on spetsiaalsete seadmete olemasolu - mesh-portaalid, mis võimaldavad integreerida teisi traadita võrke (WiMAX, Wi-Fi, GSM) ja Internetti mesh-võrku ning seega pakkuda kasutajale igasuguseid teenustest nendest võrkudest.
Võrktehnoloogia miinusteks on asjaolu, et võrgusilma marsruutimise protokollid on väga spetsiifilised ning nende arendamine on keeruline ülesanne, millel on palju kriteeriume ja parameetreid. Samas nõuavad olemasolevad protokollid olulisi parandusi teabeedastuse turvalisuse ja usaldusväärsuse suurendamise osas.
Võrgurünnakud, võrguseadmete tõrked ja tõrked on peamised tegurid, mis mõjutavad teabe edastamise turvalisust hajutatud traadita võrkudes. Infoedastuse turvalisuse tagamise probleemiga hajutatud traadita võrkudes tegelesid I. Akyildiz, W. Wang, X. Wang, T. Dorges, N. Ben Salem. Infoedastuse turvalisuse tagamine arvutivõrgus tähendab selle konfidentsiaalsuse, terviklikkuse ja käideldavuse kaitsmist.
Traadita võrkudes teabe kättesaadavuse tagamise meetodite hulgas tõstavad teadlased esile erinevate juhtimis-, dubleerimis- ja koondamismeetodite kombinatsiooni. Info terviklikkus ja konfidentsiaalsus traadita võrkudes tagatakse krüptograafiliste tööriistade kasutamisel põhinevate virtuaalsete kanalite konstrueerimise meetoditega.
Nende meetodite tavaline puudus on võrgu jõudluse vähenemine, mis on seotud edastatud teabe täiendava töötlemise nõuetega. See puudus on eriti kriitiline digitaalse videoteabe edastamisel. Lisaks vähendab krüptoanalüüsi meetodite täiustamine üha enam olemasolevate krüptoalgoritmide töökindlust.
Eeltoodust järeldub, et on vaja välja töötada uued meetodid teabe kaitsmiseks teabe edastamise ajal hajutatud traadita võrkudes tahtlike rünnakute mõjul. Sellega seoses on töö teema aktuaalne ja praktiliselt oluline.
Eesmärk lõputöö on metoodika väljatöötamine teabe kaitsmiseks edastamise ajal hajutatud traadita võrkudes, mis põhineb
dünaamilise liikluse marsruutimisalgoritmi kasutamise kohta tahtlike rünnakute mõjul.
Töö eesmärgid
І І I IEEE 802.11 standardi soovituste analüüs hajutatud traadita võrkude teabeturbe jaoks.
ZI Dünaamilise liikluse marsruutimise algoritmide uurimine
hajutatud võrgud.
ZI Infoturbe meetodite uurimine hajutatud traadita ühenduses
juhtmega võrgud.
Mina mina Ründetüüpide uurimine hajutatud arvutivõrkudes, traadita võrkude rünnete spetsiifika analüüs.
Mina mina Info dünaamilise marsruutimise algoritmi väljatöötamine hajutatud traadita võrkudes edastamise ajal tahtlike rünnakute mõjul.
ZI Arendus, mis põhineb "marsruutitava" rakenduse algoritmil
teenus”, mis rakendab tehnoloogiat teabe kaitsmiseks hajutatud traadita võrkudes edastamise ajal.
JV Tarkvaramoodulite juurutamine marsruutitava teenuse jaoks
teabe edastamine.
ZI Uuring võrgurünnakute mõju kohta marsruutimisele
kontrollitud teenus". Edastatud teabe võrgurünnakute eduka rakendamise hinnangute arvutamine marsruutitava teenuse kasutamise korral.
Mina mina Algoritmi väljatöötamine võrgurünnakute voo genereerimiseks.
DZO "marsruutitava teenuse" prototüübi väljatöötamine pakutud turvatehnika eksperimentaalseks testimiseks.
Uurimisobjektid on arvutivõrgud, võrgustruktuuriga hajutatud traadita võrgud (võrkvõrgud), teabe edastamise protsessid ja protsessid erinevat tüüpi rünnakute läbiviimiseks edastatava teabe ja võrguseadmete vastu hajutatud traadita võrkudes.
Uurimisobjektid: IEEE 802.11 rühmastandardid, võrgurünnakud, teabe kaitsmise meetodid traadita võrkudes, dünaamilise liikluse marsruutimise algoritmid traadita võrkudes.
Uurimismeetodid. Lõputöös kasutatakse matemaatilise modelleerimise, graafiteooria, hulgateooria, tõenäosusteooria ja matemaatilise statistika meetodeid. Saadud teoreetiliste tulemuste kinnitamiseks viidi läbi eksperimentaalsed uuringud ja modelleerimine, kasutades programmeerimiskeskkondi Visual Basic Script, Windows Management Instrumentarium, Shell, Awk.
Usaldusväärsus teaduslikke väiteid, järeldusi ja soovitusi kinnitavad ülesannete õige formuleerimine, rakendatud matemaatilise aparaadi rangus, numbrilise modelleerimise tulemused, positiivsed tulemused
programmi testimise tulemused, mis rakendab pakutud meetodit teabe kaitsmiseks traadita võrkudes edastamise ajal.
Teaduslik uudsus. Lõputöös saadi järgmised teaduslikud tulemused.
Pakutakse välja meetod teabe kaitsmiseks hajutatud traadita võrkudes, mis põhineb "marsruutitava teenuse" rakendusel.
On välja töötatud algoritm teabe dünaamiliseks marsruutimiseks edastuse ajal hajutatud traadita võrkudes tahtlike rünnakute mõjul.
Kirjeldatud on väljatöötatud süsteemile avalduva mõju rakendamise võimalused. Hinnangud antakse edastatava teabe võrgurünnakute edukale rakendamisele „marsruutitava teenuse“ kasutamise korral. Võrgurünnakute voo genereerimiseks on välja töötatud algoritm.
Marsruutitava teenuse prototüübi tarkvaramoodulid on teostatud. Prototüüpi on testitud hajutatud võrgus.
Praktiline tähtsus seda kinnitas arendatud süsteemi prototüübi testimine hajutatud võrgus. Lõputöö tulemused pälvisid IX ülevenemaalisel infoturbe eriala bakalaureuse- ja magistriõppe üliõpilaste konkursil “SIBINFO-2009” P-kraadi.
Väljatöötatud metoodika viidi OJSC Omskvodokanali ja Omski Riikliku Tehnikaülikooli riikliku kutsekõrgkooli teabeedastussüsteemidesse. Lõputöö tulemusi kasutatakse Riikliku Kõrgkooli õppeasutuse "Omski Riiklik Tehnikaülikool" õppeprotsessis.
Lõputöös välja pakutud metoodikat saab kasutada edasiste uuringute aluseks.
Töö aprobeerimine. Töö tulemusi tutvustati teaduskonverentsidel ja seminaridel.
IX ülevenemaaline infoturbe üliõpilaste ja magistrantide konkurss “SIBINFO-2009”, P-kraadi diplom. (2009, Tomsk).
VIII Siberi teaduskool-seminar rahvusvahelise osalusega “Arvutiturve ja krüptograafia - SYBECRYPT-09” (2009, Omsk).
VII rahvusvaheline teadus- ja tehnikakonverents “Süsteemide, mehhanismide ja masinate dünaamika” (2009, Omsk).
Venemaa Sberbanki Lääne-Siberi Panga IV noorte spetsialistide teaduslik ja praktiline konverents “Kaasaegsed kogemused infotehnoloogiate kasutamisel panganduses” (2008, Tjumen).
Ülevenemaaline teadus- ja tehnikakonverents “Noor Venemaa: arenenud tehnoloogiad tööstuses” (2008, Omsk).
Konverents-võistlus “Microsofti tehnoloogiad programmeerimise teoorias ja praktikas” (2008, Novosibirsk).
Väljaanded. Lõputöö tulemused on kajastatud 15 publikatsioonis, sealhulgas kaks publikatsiooni Kõrgema Atesteerimiskomisjoni soovitatud publikatsioonides.
Töö struktuur ja ulatus. Doktoritöö koosneb sissejuhatusest, kolmest peatükist, järeldusest, kirjanduse loetelust ja kolmest lisast. Töö kogumaht on 116 lehekülge, sealhulgas 26 joonist ja 3 tabelit. Bibliograafias on 82 nimetust.
Isiklik panus
Kõik doktoritöös esitatud uuringud on autori poolt läbi viidud teadusliku tegevuse käigus. Kõik kaitsmisele saadetud tulemused hankis autor isiklikult, laenatud materjal on töös märgitud koos viidetega.
Kaitsmiseks esitatud põhisätted
Tehnika teabe kaitsmiseks hajutatud traadita võrkudes, mis põhineb "marsruutitava teenuse" rakendusel.
Algoritm teabe dünaamiliseks marsruutimiseks edastuse ajal hajutatud traadita võrkudes tahtlike rünnakute mõjul.
Hinnangud edastatava teabe võrgurünnakute edukale rakendamisele marsruutitava teenuse kasutamise korral. Algoritm võrgurünnakute voo genereerimiseks.
“Routable service” moodulite tarkvaraline juurutamine info edastamiseks ja väljatöötatud metoodika eksperimentaalseks kontrollimiseks.
Rünnakute eripära traadita võrkudes
Juba traadita võrgu kontseptsioon loob suure hulga võimalikke haavatavusi rünnakute ja sissetungide jaoks, mis oleks tavalises traadiga võrgus palju keerulisem. Eksperdid ütlevad, et peamine tegur, mis mõjutab traadita võrkude rünnete spetsiifikat, on füüsilise andmeedastuskandja - raadioõhu - kättesaadavus. Rünnakute tüübid on samad, mis klassikalistes võrkudes: teenuse keelamise rünnak, vahetu rünnak, ARP võltsimisründed, pealtkuulamine; kuid nende rünnakute rakendamiseks on palju rohkem võimalusi kui juhtmega võrkudes.
Raadiolainete kui teabekandjate olemuse ja 802.11 standardi aluseks olevate protokollide struktuuri tõttu ei saa traadita võrke kaitsta esimese kihi DoS rünnakute ja mõne teise kihi DoS rünnakute eest. . Ründaja saab hõlpsasti luua seadme, mis tekitab teatud sagedusel (näiteks 2,4 GHz) häireid, muutes seeläbi andmete edastamise selle kanali kaudu võimatuks. "Jämmija" võib olla spetsiaalselt loodud saatja või suure võimsusega traadita kliendikaart või isegi pääsupunkt, mis ujutab valitud kanalid üle "rämpsu" liiklusega. Pealegi on tahtliku DoS-rünnaku fakti tõestamine üsna keeruline. OSI virna andmesidekihis on võimalik näidata arvukalt viise DoS-rünnakute läbiviimiseks, mida on palju lihtsam rakendada kui samu rünnakuid tavaliste juhtmega võrkude vastu. Üks lingikihi ründamiseks kõige sagedamini kasutatavaid tehnikaid on diversiteetantenni juhtimine. Eksperdid tõstavad esile ka DoS-i rünnaku tüüpi andmesidekihile, mis seisneb võltsraamidega üleujutamises. Selle ründe rakendamiseks hosti vastu luuakse spetsiaalse tarkvara abil kaadrite voog seansi lõpetamise ja ühenduse katkestamise taotlustega.
Vahepealseid rünnakuid, mida traadita võrkudes on tavaliselt kahte tüüpi – pealtkuulamine ja manipuleerimine – on traadita võrkudes samuti palju lihtsam sooritada. Üks seda tüüpi rünnakute rakendamise mehhanisme on kirjeldatud artiklis. Ründaja oma tööjaamas jäljendab pääsusõlme, mille signaal on tugevam kui tegelik pöördussõlm. Juhtmeta klient lülitub automaatselt uuele juurdepääsusõlmele, edastades kogu oma liikluse sellele. Ründaja omakorda edastab selle liikluse kliendi tööjaama varjus tegelikule juurdepääsusõlmele.
Ründaja seisukohast on juhtmevaba seadme väljundvõimsus ja vastuvõtutundlikkus seda parem. Mida suurem on väljundvõimsus, seda suurem on võimalus ühenduda sihtvõrguga kaugemalt, seda lihtsam on rünnak läbi viia. Teisest küljest, mida suurem on vastuvõtutundlikkus, seda lihtsam on traadita võrku tuvastada, seda kiirem on ühenduse kiirus ning seda rohkem saab liiklust pealt kuulata ja analüüsida.
On vähem kui ilmselgeid ründevõimalusi, mis kasutavad 802.11 võrkudes mõne Layer 2 parameetri sätteid, nagu energiasäästurežiim ja virtuaalse kandja tuvastamine (RTS/CTS-protokoll). Energiasäästurežiimile suunatud rünnete puhul võib ründaja teeselda unerežiimis olevat klienti ja jälgida ohvri pääsupunkti kogutud kaadrite välimust. Kui klient võtab kaadrid üles, tühjendab pääsupunkt puhvri. Selgub, et päris klient ei saa kunagi talle ette nähtud raame. Selle asemel võib ründaja võltsida pääsupunkti saadetud liiklusindikaatorite kaardi (TIM) kaadreid. Nad ütlevad talveunes olevatele klientidele, et nende jaoks on saabunud uued andmed, seega on aeg ärgata ja need üles korjata. Kui ründajal õnnestub unerežiimis klienti petta, et ta arvab, et pääsupunktis pole uusi andmeid, ei ärka klient sellest režiimist kunagi. DoS-rünnakud võrkude vastu, mis rakendavad virtuaalse kandja tuvastamist, on tegelikult rünnakud prioriteetse algoritmi vastu. Ründaja võib võrgu üle ujutada saatmistaotlusega (RTS), määrates väljale "edastuse kestus" suure väärtuse ja reserveerida seeläbi oma liikluse jaoks füüsilise andmekandja, keelates teistel hostidel juurdepääsu sidekanalile. Võrk on üle ujutatud Clear to Send (CTS) kaadritega, mis saadetakse vastuseks igale RTS-kaadrile. Traadita võrgu hostid on sunnitud järgima juhiseid ja lõpetama edastamise.
Eraldi rühma kuuluvad rünnakud, mille eesmärk on häkkida traadita võrkudes rakendatud krüptokaitsealgoritme. WEP (Wired Equivalent Privacy) turvaprotokoll on esimene turvaprotokoll, mida kirjeldab IEEE 802.11 standard. Üks tuntumaid ja teatatud WEP-i traadita võrkude haavatavusi on autentimisskeem. WEP-i kasutamine tähendab, et iga pakett kodeeritakse RC4 voošifri abil, mis dekodeeritakse pääsupunkti jõudmisel. WEP kasutab kodeerimiseks salajast võtit ja ühendab selle 24-bitise andmeosaga, mida nimetatakse initsialiseerimisvektoriks (IV). Kuna WEP kasutab IV arvutamiseks 24 bitti, siis suure liiklusega võrgu kasutamisel kordub IV. Sellest tulenevalt on võtmevood samad ja ründaja peab koguma teatud perioodi jooksul andmepakette ja käivitama spetsiaalse programmi, mis on loodud spetsiaalselt WEP-võtmete murdmiseks.
Praegu on traadita võrkudes šifrite purustamiseks neli tööriistade klassi: 1) tööriistad WEP-protokolli purustamiseks; 2) vahendid kliendi hostidesse salvestatud WEP-võtmete otsimiseks; 3) vahendid liikluse sisestamiseks WEP-i lõhenemise kiirendamiseks; 4) vahendid 802.1x standardis määratletud autentimissüsteemide ründamiseks. Nende meetodite ja nende rakendamise tööriistade kirjelduse annab üksikasjalikult A.A. Vladimirov.
Traadita hajutatud võrgus edastamise ajal teabe kaitsmise metoodika
Algne sõnum on sõnum, mis edastatakse võrgu kaudu, kasutades selles süsteemis rakendatud töös pakutud meetodit.
Demultiplekser (D) on moodul, mis vastutab sinna saabuvate andmete (algne sõnum) projektsioonideks jagamise ja nende saatmise eest. Demultiplekserile saab määrata ka võrgu oleku määramise funktsioonid teatud süsteemikomponentide, näiteks edastuspuhvrite ja teatud teenindussignaalide (kinnituste) olekute põhjal.
Multiplekser (M) - moodul, mis täidab demultiplekseri pöördfunktsioone. See moodul kogub erinevate kanalite kaudu edastatavad projektsioonid (andmefragmendid) ühte voogu, moodustades algse sõnumi. Sarnaselt demultiplekseriga on ka multiplekser võimeline tuvastama võrgus teatud sündmusi sellesse sisenevate voogude oleku alusel. Saatja (Ff, і є) - andmeedastuse eest vastutav moodul. Saatja rakendab ka teatud loogikat, mis on vajalik multiplekseri ja demultiplekseri algoritmide korrektseks toimimiseks. Demultiplekser, multiplekser ja saatja on süsteemi põhikomponendid. Füüsiline seade – arvuti, milles käivitatakse samaaegselt multiplekseri, saatja, demultiplekseri või mitme rakenduse tarkvararakendus. Loogiline sidekanal seadmete vahel on TCP- või UDP-protokolli loogiline ühendus. Füüsiline kanal on IP-andmete edastamise eraldiseisev osa, mis esindab mõnda füüsilist edastuskandjat. Ühes füüsilises kanalis saab moodustada mitu loogilist kanalit ja erinevaid TCP või UDP ühendusi. Andmeedastusala on süsteemi loogiliste komponentide kogum, mis on terviklik sõltumatu funktsionaalne üksus. Tsoon levitab, edastab ja kogub andmeid. Iga tsoon sisaldab multiplekserit, demultiplekserit ja vähemalt paari saatjaid. Andmeedastusharu on loogiliste seadmete jada, mis on ühendatud järgmise skeemi järgi: demultiplekser - saatja(d) - multiplekser. Demultiplekseri ja multiplekseri komponentide põhieesmärk on eraldada ja koguda andmeid. Samuti edastavad ja võtavad need komponendid vastu jagatud andmeid. Kõige ilmsem variant süsteemi juurutamiseks IP-võrgus on OSI mudeli seansikiht. Seega on selle korrektseks toimimiseks vaja kasutada vahekomponente - saatjaid. Need toimivad sõlmedena, mille vahel luuakse loogilised ühendused. Pärast andmete töötlemist TCP või UDP pinu rakenduskihis kantakse paketid üle IP võrgukihti. Vastuvõetud IP-paketi päises on saatja väljal demultiplekseri IP-aadress ja saaja väljal saatja IP-aadress. Tänu sellele teostusele on “globaalsed aadressid” peidetud, st. lõppsihtkoha aadress ja algselt andmed saatnud seadme aadress. Seega ei saa saatja-multiplekseri sektsioonis paketi pealtkuulamisel ja analüüsimisel demultiplekseri aadressi määrata. See on selgelt esindatud IP-paketi päistes, kui see liigub demultiplekserist multiplekserile. Kusagil pealkirjades Kui multiplekser ja demultiplekser töötaksid omavahel otse, siis eraldi paketi pealtkuulamisega oleks võimalik määrata demultiplekseri ja multiplekseri aadresse, mis on lubamatu. Ka sel juhul oleks võimatu teostada kanalite mitmekesisust, kuna sama füüsilist teed pidi edastataks (marsruuteeritaks) eraldi loogilisi vooge. Kavandatav lahendus hõlmab teabe turvalisuse suurendamist edastuskandjale volitamata juurdepääsu korral olemasolevate füüsiliste vahendite alusel. Süsteemi iseloomulik tunnus on see, et see on täielikult seotud edastusmeediumi omaduste ja võrgustruktuuri topoloogiaga, tuginedes struktuurse liiasuse olemasolule, mis on eriti iseloomulik Internetile. Tehakse ettepanek täiustada süsteemi "demultiplekser - saatjad - multiplekser", töötades välja tööriista, mis võimaldab saatjatel teostada automaatset "intelligentset" marsruutimist. Selle lähenemisviisi rakendamine seisneb saatjale "marsruutitava teenuse" rakenduse installimises, mis parandab märgistatud teabe marsruutimisprotokollide toimimist. Liikluse multipleksimise süsteem on haavatav esimeses peatükis kirjeldatud aktiivsete võrgurünnakute suhtes. Vaatame uuesti üht aktiivset võrgurünnet – nuuskimisel põhinevat rünnakut (joonis 8). Ründaja, teades, et teatud organisatsioon edastab regulaarselt andmeid punktist A punkti G, saab üsna täpselt kindlaks määrata marsruudi punktist A punkti G ajal At ja selle mõnel liiklusmarsruudil kinni pidada. F1, F2, F3yF4J75 - liikluse multipleksimissüsteemi saatjad, kui seda kasutatakse hajutatud võrgus, või üldiselt mõned sõlmeserverid, mis on vajalikud liiklusmarsruudi ruumiliseks esitamiseks. Jälgimispakette saates määras sissetungija ajal At liiklusmarsruudi (näidatud punktiirjoontega) ja alustas rünnakut kontrollitud ruuteri vastu, mis asub jaotises F2F5. Teabeedastuse turvalisuse parandamiseks hajutatud traadita võrkudes aktiivsete rünnakute mõjul on välja töötatud rakendus "marsruutitud teenus" (SM). SM on klient-server rakendus, mis võimaldab kasutajal edastada andmeid kindla marsruudi kaudu.
Teise klassi ohu realiseerumise tõenäosuse hindamine
Selle algoritmi jaoks on seatud järgmised parameetrid. Fs = (Fsi, Fs2, -, FSj, .... FSF) - usaldusväärsete võrguserverite komplekt. F – \FS\ – usaldusväärsete võrguserverite arv. ta on usaldusväärse serveri vastu suunatud üht tüüpi rünnaku kestus. иj on rünnaku kordusperiood. u2 - usaldusväärse serveri blokeerimise periood. k - rünnakute tüüpide arv. i, j, t on abimuutujad.
Tutvustatakse järgmisi funktsioone ja protseduure. CurrentTime() on funktsioon, mis tagastab praeguse kellaaja vormingus “dd.mm.yyyy hh24:mi:ss”. funktsioon, mis genereerib randomiseerimisoperatsiooni abil pseudojuhusliku täisarvu, mis kuulub intervalli x = 1; Unblock) on protseduur, mis lülitab FjB-serveri "saadaval" režiimi. Aj(Fj) on diskreetse juhusliku muutuja jaotusfunktsioon "serveri F vastu suunatud rünnaku tulemus", mille tõenäosus saada väärtuseks 1 (rünnak õnnestus) on võrdne Pi-ga ja tõenäosus saada väärtuseks 0 (ründe ebaõnnestumine) ) võrdub 1 -/?,-. Paus(ґ) – protseduur, mis rakendab pausi ajaks t; funktsioon, mis tagastab serveri oleku Fj (saadaval - 0; blokeeritud - 1); Block(i x) on funktsioon, mis paneb serveri F blokeeritud režiimi ja tagastab muutujale x praeguse kellaaja vormingus "dd.mm.yyyy hh24:mi:ss". Randomiseerimisoperatsiooni abil valitakse üks usaldusväärsetest võrguserveritest ja üks võrgurünnaku tüüp. Katse viiakse läbi A,(FSj) - "rünnak serverile FSj", mis on defineeritud diskreetse juhusliku muutujaga jaotusega "väärtuse 1 aktsepteerimise tõenäosus (edukus) on võrdne /?,-, aktsepteerimise tõenäosus väärtus 0 (tõrge) on võrdne 1-/?,” Jah. Kui see õnnestub, server blokeeritakse ja muutub mõneks ajaks kättesaamatuks i2. Põhiliste rünnakutüüpide haavatavuse poolest ei erine usaldusväärne server tavalisest hajutatud võrguserverist, millele ründajal esialgu juurdepääsu pole. Usaldusväärse serveri edukaks ründamiseks saab ründaja ära kasutada järgmisi turvaauke: dokumenteerimata vead serveri operatsioonisüsteemis, vead abiprogrammides, serveri haldusvead. Erinevat tüüpi haavatavused toovad kaasa võimaluse rakendada erinevat tüüpi ohtusid: konfidentsiaalsuse kaotus, teenuse keelamise rünnakud, volitamata koodi käivitamine serveris jne. Mida rohkem turvaauke, seda lihtsam on serverit rünnata. Vastavalt sellele saame kasutusele võtta teatud serveri haavatavuse koefitsiendi pj є F , j є )
