การปกป้องข้อมูลในเครือข่ายการสื่อสารไร้สาย การรักษาความปลอดภัยแบบไร้สาย

770 ถู

คำอธิบาย

การแนะนำ

ประวัติความเป็นมาของเทคโนโลยีการส่งข้อมูลแบบไร้สายเริ่มต้นเมื่อปลายศตวรรษที่ 19 ด้วยการส่งสัญญาณวิทยุเครื่องแรกและการเกิดขึ้นของเครื่องรับวิทยุเครื่องแรกในช่วงทศวรรษที่ 20 ของศตวรรษที่ 20 โทรทัศน์ปรากฏในช่วงทศวรรษที่ 1930
ในคริสต์ทศวรรษ 1970 ระบบโทรศัพท์ไร้สายระบบแรกถูกสร้างขึ้นโดยเป็นผลพลอยได้จากความจำเป็นในการส่งสัญญาณเสียงผ่านมือถือ ในตอนแรกเครือข่ายเหล่านี้เป็นเครือข่ายอะนาล็อก และในช่วงต้นทศวรรษที่ 80 มาตรฐาน GSM ได้รับการพัฒนา ซึ่งเป็นจุดเริ่มต้นของการเปลี่ยนไปใช้มาตรฐานดิจิทัลเนื่องจากให้คุณภาพสัญญาณที่ดีขึ้นและความปลอดภัยที่ดีขึ้น

ส่วนของงานสำหรับการตรวจสอบ

WPA
มาตรฐานสมัยใหม่ที่ผู้ผลิตอุปกรณ์ยอมรับ
ระบบปฏิบัติการ
ระบบปฏิบัติการ
WPA2
ชุดอัลกอริธึมและโปรโตคอลเวอร์ชันที่สองที่ให้การปกป้องข้อมูลในเครือข่าย Wi-Fi ไร้สาย
WEP (ความเป็นส่วนตัวแบบใช้สายเทียบเท่า)
โปรโตคอลความปลอดภัย
คุกกี้
ข้อมูลขนาดเล็กที่สร้างขึ้นโดยเว็บเซิร์ฟเวอร์หรือหน้าเว็บและจัดเก็บไว้ในคอมพิวเตอร์ของผู้ใช้เป็นไฟล์
HTTPS
ส่วนขยายโปรโตคอล HTTP ที่รองรับการเข้ารหัส
เดรัจฉานฟอร์ซ
วิธีการถอดรหัสรหัสผ่านโดยใช้กำลังดุร้าย
การแนะนำ
ประวัติความเป็นมาของเทคโนโลยีการส่งข้อมูลแบบไร้สายเริ่มต้นเมื่อปลายศตวรรษที่ 19 ด้วยการส่งสัญญาณวิทยุเครื่องแรกและการเกิดขึ้นของเครื่องรับวิทยุเครื่องแรกในช่วงทศวรรษที่ 20 ของศตวรรษที่ 20 โทรทัศน์ปรากฏในช่วงทศวรรษที่ 1930
ในยุค 70 ระบบโทรศัพท์ไร้สายระบบแรกถูกสร้างขึ้นโดยเป็นผลจากธรรมชาติในการตอบสนองความต้องการการส่งผ่านเสียงผ่านมือถือ ในตอนแรกเครือข่ายเหล่านี้เป็นเครือข่ายอะนาล็อก และในช่วงต้นทศวรรษที่ 80 มาตรฐาน GSM ได้รับการพัฒนา ซึ่งเป็นจุดเริ่มต้นที่สำคัญของการเปลี่ยนไปใช้มาตรฐานดิจิทัล เนื่องจากให้คุณภาพสัญญาณที่ดีขึ้นและความปลอดภัยที่ดีขึ้น
การพัฒนาเครือข่ายท้องถิ่นไร้สาย (WLAN), บลูทูธ (เครือข่ายระยะกลางและระยะสั้น) ก็มีแนวโน้มที่ดีเช่นกัน เครือข่ายไร้สายมีการใช้งานที่สนามบิน มหาวิทยาลัย ร้านอาหาร และธุรกิจต่างๆ ในช่วงปลายทศวรรษที่ 90 ผู้ใช้ได้รับการเสนอบริการ WAP ซึ่งในตอนแรกไม่ได้กระตุ้นความสนใจในหมู่ประชากรมากนัก เป็นบริการข้อมูลพื้นฐาน เช่น ข่าวสาร พยากรณ์อากาศ ตารางทุกประเภท เป็นต้น นอกจากนี้ ทั้ง Bluetooth และ WLAN ยังเป็นที่ต้องการที่ต่ำมากในช่วงแรก สาเหตุหลักมาจากต้นทุนที่สูงของวิธีการสื่อสารเหล่านี้ ในช่วงกลางทศวรรษแรกของศตวรรษที่ 21 จำนวนผู้ใช้บริการอินเทอร์เน็ตไร้สายมีจำนวนถึงหลายสิบล้านคน ด้วยการถือกำเนิดของการสื่อสารอินเทอร์เน็ตไร้สาย ปัญหาด้านความปลอดภัยได้มาถึงเบื้องหน้า เช่นเดียวกับเครือข่ายคอมพิวเตอร์อื่นๆ Wi-Fi เป็นแหล่งที่มาของความเสี่ยงที่เพิ่มขึ้นจากการเข้าถึงโดยไม่ได้รับอนุญาต นอกจากนี้ยังง่ายกว่ามากในการเจาะเครือข่ายไร้สายมากกว่าเครือข่ายปกติ - คุณไม่จำเป็นต้องเชื่อมต่อกับสายไฟคุณเพียงแค่ต้องอยู่ในพื้นที่รับสัญญาณ
แต่ก่อนที่คุณจะเริ่มปกป้องเครือข่ายไร้สายของคุณ คุณต้องเข้าใจหลักการพื้นฐานขององค์กรก่อน
1. มาตรฐานความปลอดภัย WEP
อุปกรณ์ไร้สายสมัยใหม่ทั้งหมด (จุดเข้าใช้งาน อแดปเตอร์ไร้สาย และเราเตอร์) รองรับโปรโตคอลความปลอดภัย WEP (Wired Equivalent Privacy) โปรโตคอลนี้เป็นระบบรักษาความปลอดภัยแบบมีสายแบบอะนาล็อก
ขั้นตอนการเข้ารหัส WEP มีดังต่อไปนี้ ในขั้นต้น ข้อมูลที่ส่งในแพ็กเก็ตจะถูกตรวจสอบความสมบูรณ์ หลังจากนั้นตรวจสอบความถูกต้องจะถูกเพิ่มลงในช่องบริการของส่วนหัวของแพ็กเก็ต ถัดไป จะมีการสร้างเวกเตอร์การเริ่มต้น 24 บิต และเพิ่มคีย์ลับแบบคงที่ (40 หรือ 104 บิต) ลงไป คีย์ 64 หรือ 128 บิตที่ได้รับในลักษณะนี้เป็นคีย์เริ่มต้นสำหรับการสร้างตัวเลขสุ่มเทียม ซึ่งใช้ในการเข้ารหัสข้อมูล
โปรโตคอลความปลอดภัย WEP มีวิธีการตรวจสอบสิทธิ์ผู้ใช้สองวิธี: ระบบเปิด (เปิด) และคีย์ที่ใช้ร่วมกัน (แชร์) เมื่อใช้การรับรองความถูกต้องแบบเปิด จะไม่มีการรับรองความถูกต้องใดๆ เกิดขึ้น หมายความว่าผู้ใช้ทุกคนสามารถเข้าถึงเครือข่ายไร้สายได้ อย่างไรก็ตาม แม้จะเป็นระบบเปิด การเข้ารหัสข้อมูล WEP ก็ได้รับอนุญาต
2. การป้องกันจากแขกที่ไม่ได้รับเชิญ

อ้างอิง

อ้างอิง

1. กุดิน เอ.วี. //ความปลอดภัยและคุณภาพของบริการสื่อสารเคลื่อนที่ผ่านโทรศัพท์มือถือ หนังสืออ้างอิงคำศัพท์เฉพาะทาง 2557 // http://www.techbook.ru/book.php?id_book=688(11.03.2014)
2. Sergey Pakhomov //การป้องกันเครือข่ายไร้สายจากการแฮ็ก//
http://compress.ru/article.aspx?id=16254(11.03.2014)

โปรดศึกษาเนื้อหาและส่วนของงานอย่างละเอียดถี่ถ้วน เงินสำหรับงานที่ซื้อเสร็จแล้วจะไม่ถูกส่งคืนเนื่องจากงานไม่ตรงตามความต้องการของคุณหรือมีลักษณะเฉพาะ

* ประเภทของงานมีลักษณะการประเมินตามพารามิเตอร์เชิงคุณภาพและเชิงปริมาณของวัสดุที่ให้ไว้ เนื้อหานี้ไม่ว่าทั้งหมดหรือบางส่วนเป็นงานทางวิทยาศาสตร์ที่เสร็จสมบูรณ์ งานที่มีคุณสมบัติขั้นสุดท้าย รายงานทางวิทยาศาสตร์ หรืองานอื่น ๆ ที่จัดทำโดยระบบการรับรองทางวิทยาศาสตร์ของรัฐ หรือจำเป็นสำหรับการผ่านการรับรองระดับกลางหรือขั้นสุดท้าย เนื้อหานี้เป็นผลลัพธ์เชิงอัตนัยของการประมวลผล การจัดโครงสร้าง และการจัดรูปแบบข้อมูลที่รวบรวมโดยผู้เขียน และมีวัตถุประสงค์ประการแรกเพื่อใช้เป็นแหล่งข้อมูลสำหรับการเตรียมงานอิสระในหัวข้อนี้

การใช้งานโซลูชันไร้สายที่รวดเร็วอย่างเหลือเชื่อในเครือข่ายสมัยใหม่ทำให้เราคิดถึงความน่าเชื่อถือของการปกป้องข้อมูล

หลักการสำคัญของการส่งข้อมูลแบบไร้สายนั้นรวมถึงความเป็นไปได้ของการเชื่อมต่อไปยังจุดเข้าใช้งานโดยไม่ได้รับอนุญาต

ภัยคุกคามที่อันตรายไม่แพ้กันคือความเป็นไปได้ที่จะถูกขโมยอุปกรณ์ หากนโยบายความปลอดภัยเครือข่ายไร้สายขึ้นอยู่กับที่อยู่ MAC การ์ดเครือข่ายหรือจุดเชื่อมต่อที่ถูกขโมยโดยผู้โจมตีจะสามารถเปิดการเข้าถึงเครือข่ายได้

บ่อยครั้งที่การเชื่อมต่อจุดเข้าใช้งานกับ LAN โดยไม่ได้รับอนุญาตนั้นดำเนินการโดยพนักงานระดับองค์กรเองซึ่งไม่ได้คำนึงถึงการป้องกัน

ปัญหาดังกล่าวจำเป็นต้องได้รับการแก้ไขอย่างครอบคลุม มาตรการขององค์กรจะถูกเลือกตามเงื่อนไขการทำงานของแต่ละเครือข่ายเฉพาะ สำหรับมาตรการทางเทคนิคนั้น จะได้ผลลัพธ์ที่ดีมากโดยการใช้การรับรองความถูกต้องร่วมกันแบบบังคับของอุปกรณ์และการแนะนำการควบคุมที่ใช้งานอยู่

ในปี 2544 การใช้งานไดรเวอร์และโปรแกรมครั้งแรกปรากฏขึ้นซึ่งสามารถรับมือกับการเข้ารหัส WEP สิ่งที่ประสบความสำเร็จมากที่สุดคือ PreShared Key แต่จะดีก็ต่อเมื่อมีการเข้ารหัสที่เชื่อถือได้และการเปลี่ยนรหัสผ่านคุณภาพสูงเป็นประจำ (รูปที่ 1)

รูปที่ 1 - อัลกอริทึมสำหรับการวิเคราะห์ข้อมูลที่เข้ารหัส

ข้อกำหนดการป้องกันที่ทันสมัย

การรับรองความถูกต้อง

ปัจจุบันในอุปกรณ์เครือข่ายต่างๆ รวมถึงอุปกรณ์ไร้สาย มีการใช้วิธีการรับรองความถูกต้องที่ทันสมัยกว่าซึ่งกำหนดไว้ในมาตรฐาน 802.1x อย่างกว้างขวาง - จนกว่าจะมีการตรวจสอบร่วมกัน ผู้ใช้จะไม่สามารถรับหรือส่งข้อมูลใด ๆ ได้

นักพัฒนาจำนวนหนึ่งใช้โปรโตคอล EAP-TLS และ PEAP สำหรับการตรวจสอบสิทธิ์ในอุปกรณ์ของตน Cisco Systems เสนอโปรโตคอลต่อไปนี้สำหรับเครือข่ายไร้สาย นอกเหนือจากที่กล่าวถึง: EAP-TLS, PEAR, LEAP, EAP-FAST

วิธีการรับรองความถูกต้องสมัยใหม่ทั้งหมดจำเป็นต้องรองรับคีย์ไดนามิก

ข้อเสียเปรียบหลักของ LEAP และ EAP-FAST คือโปรโตคอลเหล่านี้รองรับในอุปกรณ์ Cisco Systems เป็นหลัก (รูปที่ 2)

รูปที่ 2 - โครงสร้างแพ็กเก็ต 802.11x โดยใช้การเข้ารหัส TKIP-PPK, MIC และ WEP

การเข้ารหัสและความสมบูรณ์

ตามคำแนะนำของ Cisco Systems 802.11i มีการใช้โปรโตคอล TCIP (Temporal Integrity Protocol) ซึ่งช่วยให้มั่นใจได้ถึงการเปลี่ยนแปลงคีย์การเข้ารหัส PPK (Per Packet Keying) ในแต่ละแพ็กเก็ตและตรวจสอบความสมบูรณ์ของข้อความ MIC (การตรวจสอบความสมบูรณ์ของข้อความ)

โปรโตคอลการเข้ารหัสและความสมบูรณ์ที่น่าหวังอีกประการหนึ่งคือ AES (มาตรฐานการเข้ารหัสขั้นสูง) มีความแข็งแกร่งในการเข้ารหัสที่ดีกว่าเมื่อเปรียบเทียบกับ DES และ GOST 28147-89 มันมีทั้งการเข้ารหัสและความสมบูรณ์



โปรดทราบว่าอัลกอริทึมที่ใช้ในนั้น (Rijndael) ไม่ต้องการทรัพยากรขนาดใหญ่ทั้งในระหว่างการนำไปใช้งานหรือการดำเนินการซึ่งเป็นสิ่งสำคัญมากในการลดเวลาแฝงของข้อมูลและโหลดของโปรเซสเซอร์

มาตรฐานความปลอดภัยสำหรับเครือข่ายท้องถิ่นไร้สายคือ 802.11i

มาตรฐาน Wi-Fi Protected Access (WPA) คือชุดกฎที่รับรองการใช้งานการปกป้องข้อมูลในเครือข่าย 802.11x ตั้งแต่เดือนสิงหาคม พ.ศ. 2546 การปฏิบัติตามมาตรฐาน WPA ถือเป็นข้อกำหนดบังคับสำหรับอุปกรณ์ที่ได้รับการรับรอง Wi-Fi Certified

ข้อกำหนด WPA ประกอบด้วยโปรโตคอล TKOP-PPK ที่ได้รับการแก้ไข การเข้ารหัสจะดำเนินการโดยใช้คีย์หลายตัวรวมกัน - ปุ่มปัจจุบันและปุ่มถัดไป ในกรณีนี้ความยาวของ IV จะเพิ่มขึ้นเป็น 48 บิต ซึ่งทำให้สามารถใช้มาตรการเพิ่มเติมเพื่อปกป้องข้อมูลได้ เช่น เพื่อกระชับข้อกำหนดสำหรับการเชื่อมโยงใหม่และการรับรองความถูกต้องอีกครั้ง

ข้อมูลจำเพาะประกอบด้วยการรองรับ 802.1x/EAP, การรับรองความถูกต้องของคีย์ที่ใช้ร่วมกัน และแน่นอนว่ารวมถึงการจัดการคีย์

ตารางที่ 3 - วิธีการนำนโยบายความปลอดภัยไปใช้

ความต่อเนื่องของตารางที่ 3

หากมีการใช้อุปกรณ์และซอฟต์แวร์ที่ทันสมัย ​​ขณะนี้ค่อนข้างเป็นไปได้ที่จะสร้างเครือข่ายไร้สายที่ปลอดภัยและต้านทานการโจมตีตามมาตรฐานซีรีส์ 802.11x

เกือบทุกครั้งเครือข่ายไร้สายเชื่อมต่อกับเครือข่ายแบบใช้สายและนอกเหนือจากความจำเป็นในการปกป้องช่องสัญญาณไร้สายแล้วยังจำเป็นต้องให้การป้องกันในเครือข่ายแบบมีสายอีกด้วย มิฉะนั้น เครือข่ายจะมีการรักษาความปลอดภัยแบบกระจัดกระจาย ซึ่งโดยพื้นฐานแล้วถือเป็นความเสี่ยงด้านความปลอดภัย ขอแนะนำให้ใช้อุปกรณ์ที่มีใบรับรอง Wi-Fi Certified นั่นคือยืนยันการปฏิบัติตาม WPA

เราจำเป็นต้องใช้ 802.11x/EAP/TKIP/MIC และการจัดการคีย์แบบไดนามิก ในกรณีของเครือข่ายแบบผสม ควรใช้ VLAN หากมีเสาอากาศภายนอก ระบบจะใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน VPN

มีความจำเป็นต้องรวมทั้งวิธีป้องกันโปรโตคอลและซอฟต์แวร์รวมถึงวิธีการจัดการด้วย

บทที่ 3 การคุ้มครองข้อมูลทางเทคนิค

ในการเชื่อมต่อกับการพัฒนาอย่างรวดเร็วของเครือข่ายคอมพิวเตอร์ระดับท้องถิ่นและระดับโลก วิธีการลาดตระเวน (การจารกรรมทางอุตสาหกรรม) ที่มุ่งดักจับข้อมูลที่ประมวลผล (ส่ง จัดเก็บ) ในเครือข่ายท้องถิ่นก็ได้รับการพัฒนาอย่างกว้างขวางเช่นกัน

การรุกเข้าสู่เครือข่ายท้องถิ่นขององค์กรใดๆ สามารถทำได้ก็ต่อเมื่อผู้ดูแลระบบกำหนดค่าองค์ประกอบทั้งหมดของเครือข่ายท้องถิ่นในลักษณะที่มีคุณสมบัติไม่เพียงพอ หากกำหนดค่าอย่างถูกต้อง ผู้โจมตีจะต้องค้นหาวิธีการรับข้อมูลที่ไม่เกี่ยวข้องกับการเจาะเครือข่ายท้องถิ่น เพื่อจุดประสงค์นี้ จึงมีการใช้วิธีการดักจับข้อมูลผ่านช่องทางการปล่อยและการรบกวนปลอม (PEMIN) ขององค์ประกอบเครือข่ายท้องถิ่น วิธีการปกป้องคอมพิวเตอร์แต่ละเครื่องได้รับการพัฒนาและสนับสนุนโดยเอกสารกำกับดูแลที่จำเป็นค่อนข้างดี งานปกป้องข้อมูลจากการรั่วไหลผ่านช่องทาง PEMIN ในเครือข่ายท้องถิ่นนั้นยากกว่าอุปกรณ์ที่ใช้อัตโนมัติมาก

แหล่งกำเนิดรังสีแม่เหล็กไฟฟ้าในเครือข่ายท้องถิ่นคือเวิร์กสเตชันและอุปกรณ์เครือข่ายที่ใช้งานอยู่ เพื่อป้องกันการรั่วไหลของข้อมูลผ่านช่องทางรังสีและการรบกวนปลอม จึงมีการใช้การป้องกันอุปกรณ์นี้ เพื่อลดระดับรังสีจากอุปกรณ์ที่ใช้งานบนเครือข่ายท้องถิ่น วิธีที่ดีที่สุดคือวางอุปกรณ์และเซิร์ฟเวอร์ไว้ในตู้ที่มีฉนวนป้องกัน

ปัจจุบันกล่องหุ้มคอมพิวเตอร์มีจำหน่ายซึ่งตรงตามข้อกำหนดของ European EMS Directive 89/336/EEC เคสสมัยใหม่สามารถลดการแผ่รังสีจากองค์ประกอบคอมพิวเตอร์ได้อย่างมาก แต่ส่วนใหญ่ต้องมีการแก้ไขเพิ่มเติม คุณภาพของการป้องกันยูนิตระบบคอมพิวเตอร์ส่งผลต่อระดับรังสีของอุปกรณ์ทั้งหมดที่เชื่อมต่อกับยูนิตระบบ (เช่น แป้นพิมพ์) แป้นพิมพ์มาตรฐานมักจะมีระดับรังสีที่สูงมาก ในขณะเดียวกัน ข้อมูลที่มีความสำคัญต่อความปลอดภัยอย่างมากจะถูกป้อนข้อมูลจากแป้นพิมพ์ รวมถึงรหัสผ่านของผู้ใช้และผู้ดูแลระบบ เครื่องรับคลื่นสั้นแบบธรรมดาสามารถใช้เพื่อสกัดกั้นการแผ่รังสีของแป้นพิมพ์ได้ เมื่อพิจารณาด้วยว่าข้อมูลที่ป้อนจากแป้นพิมพ์ถูกป้อนในรหัสตามลำดับและสามารถตีความได้ง่าย การปล่อยก๊าซเรือนกระจกที่เกิดจากแป้นพิมพ์จึงถือว่าเป็นอันตรายที่สุด ผลการวัดระดับส่วนประกอบทางไฟฟ้า (รูปที่ 3) และส่วนประกอบแม่เหล็ก (รูปที่ 4) แสดงให้เห็นว่าสำหรับคอมพิวเตอร์ที่มีเคสยูนิตระบบที่มีจำหน่ายทั่วไปต่างกัน พลังของการแผ่รังสีปลอมจากคีย์บอร์ดอาจแตกต่างกันมากกว่า 100 เท่า

รูปที่ 3 - ระดับส่วนประกอบไฟฟ้า

รูปที่ 4 - ระดับส่วนประกอบแม่เหล็ก

ได้รับอัตราส่วนที่คล้ายกันสำหรับอุปกรณ์อื่น ๆ ที่รวมอยู่ในพีซี

งานแก้ไขเคสและตู้มาตรฐาน:

ประการแรกตรงทางแยกของโครงสร้างที่อยู่อาศัยแต่ละหลังมักมีช่องว่างที่ทำให้คุณสมบัติการป้องกันแย่ลงอย่างมาก

ประการที่สอง ไม่สามารถปิดผนึกตัวเครื่องของอุปกรณ์อิเล็กทรอนิกส์ได้เนื่องจากจำเป็นต้องมีรูระบายอากาศเพื่อระบายความร้อน

ประการที่สาม ไม่สามารถคำนวณการออกแบบตัวเรือนป้องกันล่วงหน้าได้ ดังนั้นการปรับเปลี่ยนตัวเรือนมาตรฐานเพื่อปรับปรุงคุณสมบัติการป้องกันจึงเป็นงานทดลองเสมอ

ขณะนี้มีวัสดุจำนวนมากที่ออกแบบมาเพื่อปรับปรุงคุณสมบัติการป้องกันของตัวเรือน - ซีลสปริงทุกชนิด, อีลาสโตเมอร์ที่เป็นสื่อกระแสไฟฟ้า, สารเคลือบโลหะที่มีกาวในตัว

แหล่งกำเนิดรังสีคือแหล่งจ่ายไฟ กำลังจ่ายไฟภายในผ่านตัวกรองที่ป้องกันการแพร่กระจายของรังสีจรจัดไปตามสายไฟ แต่แทบจะเป็นไปไม่ได้เลยที่จะคำนวณตัวกรองเพื่อลดการแผ่รังสีอย่างสมบูรณ์เนื่องจากคุณลักษณะของมันได้รับผลกระทบจากพารามิเตอร์หลายตัวของเครือข่ายภายนอก ไม่มีตัวกรองที่ผลิตในเชิงพาณิชย์ใดที่สามารถทำหน้าที่ได้อย่างเต็มที่บนย่านความถี่กว้าง ตัวกรองที่ดีคือวิธีแก้ปัญหาที่ตรงตามความต้องการสำหรับตัวกรองโดยส่วนใหญ่แล้วเท่านั้น

ลักษณะของการปกป้องข้อมูลจากการรั่วไหลผ่านช่องทาง PEMIN ของคอมพิวเตอร์อัตโนมัติหรือคอมพิวเตอร์ซึ่งเป็นส่วนหนึ่งของเครือข่ายอาจแตกต่างกันอย่างมากทั้งนี้ขึ้นอยู่กับสิ่งนี้ และปัจจัยหลักที่นำไปสู่ความแตกต่างในลักษณะคือการต่อสายดินของอุปกรณ์

ในอุปกรณ์แบบสแตนด์อโลน การต่อสายดินไม่ได้ปรับปรุงหรือลดคุณสมบัติการป้องกัน จำเป็นต้องต่อสายดินตามข้อกำหนดด้านความปลอดภัยทางไฟฟ้าเท่านั้น ด้วยการต่อสายดินที่เหมาะสม ระดับของรังสีปลอมจะลดลงบ้าง แต่ในบางกรณี เมื่อเชื่อมต่อกับสายดิน ระดับรังสีปลอมอาจเพิ่มขึ้น

ระบบเคเบิลไม่มีองค์ประกอบที่ทำงานอยู่ ดังนั้นจึงไม่สามารถเป็นแหล่งรังสีปลอมได้ อย่างไรก็ตามระบบเคเบิลจะเชื่อมต่อองค์ประกอบทั้งหมดของเครือข่ายคอมพิวเตอร์ ข้อมูลเครือข่ายจะถูกส่งผ่านและยังเป็นตัวรับสัญญาณของการรบกวนทั้งหมดและเป็นสื่อกลางในการถ่ายโอนรังสีแม่เหล็กไฟฟ้าปลอม (รูปที่ 5)

รูปที่ 5 - รังสีแม่เหล็กไฟฟ้าจากภายนอก

ดังนั้นจึงจำเป็นต้องแยกแยะ:

รังสีปลอมที่เกิดจากสัญญาณที่ส่งผ่านสายที่กำหนด (การรับส่งข้อมูลเครือข่ายท้องถิ่น)

การรับและการปล่อยรังสีปลอมอีกครั้งในภายหลังจากสายและอุปกรณ์อื่น ๆ ที่อยู่ใกล้เคียง

การปล่อยโดยระบบเคเบิลที่มีการสั่นสะเทือนปลอมจากองค์ประกอบของอุปกรณ์ที่ใช้งานเครือข่ายและคอมพิวเตอร์ที่เชื่อมต่อสายเคเบิลอยู่

บ่อยครั้งในการประเมินความปลอดภัยของระบบเคเบิล เราจะสนใจเพียงว่ารังสีปลอมที่เกิดจากสัญญาณที่ส่งผ่านสายเคเบิลระหว่างการแลกเปลี่ยนข้อมูลเครือข่ายนั้นเบาบางลงเพียงใด

หากการรับส่งข้อมูลบนเครือข่ายท้องถิ่นสามารถกู้คืนได้โดยใช้การปล่อยคลื่นวิทยุจากระบบเคเบิล จะทำให้เกิดอันตรายอย่างยิ่ง ในความเป็นจริง การรับส่งข้อมูลเครือข่ายท้องถิ่นได้รับการปกป้องอย่างดีจากการรั่วไหลของข้อมูลผ่านช่องทาง PEMIN สาย LAN สมัยใหม่มีระดับการปล่อยสัญญาณที่ส่งต่ำมาก ในสายเคเบิลเหล่านี้ สัญญาณจะถูกส่งผ่านสายคู่บิดเกลียว และจำนวนการบิดต่อความยาวหน่วยจะคงที่อย่างเคร่งครัด โดยหลักการแล้ว ระบบดังกล่าวไม่ควรแผ่รังสีเลย ยิ่งไปกว่านั้น การมีอยู่ของชีลด์บนสายคู่บิดเกลียวมีผลน้อยมากต่อระดับการปล่อยสัญญาณที่ส่งผ่านสายคู่บิดเกลียว ในระบบจริง สายเคเบิลแต่ละตัวไม่เหมือนกันเสมอซึ่งส่งผลต่อระดับรังสีปลอมที่เกิดขึ้นระหว่างการแลกเปลี่ยนเครือข่าย ในความเป็นจริง ที่ระยะห่างไม่กี่เมตรอย่างแท้จริง จะไม่สามารถดักจับข้อมูลที่ส่งผ่านโดยใช้รังสีแม่เหล็กไฟฟ้าของสายเคเบิลสมัยใหม่อีกต่อไป แต่ในทางปฏิบัติส่วนใหญ่ ระบบเคเบิลเป็นเสาอากาศที่ดีเยี่ยมสำหรับการปล่อยก๊าซปลอมจากอุปกรณ์ที่เชื่อมต่อกับเครือข่าย การแผ่รังสีเร่ร่อนที่เกิดขึ้นในองค์ประกอบคอมพิวเตอร์ถูกเหนี่ยวนำให้เกิดบนสายไฟทั้งหมดของสายเคเบิลเครือข่ายท้องถิ่น (รูปที่ 6)

รูปที่ 6 - การแผ่รังสีในองค์ประกอบคอมพิวเตอร์

ด้วยเหตุนี้ สำหรับการปล่อยก๊าซปลอมจากส่วนประกอบของคอมพิวเตอร์ สายเคเบิล LAN จะต้องพิจารณาง่ายๆ ว่าเป็นลวดตีเกลียวเส้นเดียวที่ขยายเกินปริมาตรที่มีฉนวนหุ้ม ไม่สามารถติดตั้งตัวกรองสำหรับสายไฟเหล่านี้เพื่อยับยั้งการแผ่รังสีที่เล็ดลอดออกไปได้ ด้วยการระงับการปล่อยก๊าซปลอม เราจะระงับการรับส่งข้อมูลเครือข่ายด้วย ดังนั้นหากคอมพิวเตอร์ที่มีความปลอดภัยของข้อมูลเชื่อมต่อกับเครือข่ายท้องถิ่นบนคู่บิดเกลียวที่ไม่มีการป้องกัน สายคู่บิดเกลียวซึ่งมีบทบาทเป็นเสาอากาศสามารถเพิ่มความแรงของสนามแม่เหล็กที่สร้างขึ้นได้ เช่น โดยแป้นพิมพ์คอมพิวเตอร์ (รูปที่. 2 รูปที่ 3) จำนวนนับหมื่นครั้ง ดังนั้นจึงไม่สามารถใช้สายเคเบิลคู่บิดเกลียวที่ไม่มีการหุ้มฉนวนในเครือข่ายท้องถิ่นซึ่งมีการประมวลผลข้อมูลที่จำกัดการเข้าถึงได้ การใช้คู่บิดเกลียวที่มีฉนวนหุ้มช่วยปรับปรุงสถานการณ์ได้อย่างมาก

ขณะนี้เครือข่ายคอมพิวเตอร์ท้องถิ่นไม่สามารถทำงานได้โดยอัตโนมัติอีกต่อไป โดยไม่มีการโต้ตอบกับเครือข่ายอื่น โดยเฉพาะอย่างยิ่ง องค์กรใดๆ ไม่ว่าจะเป็นองค์กรเอกชน หน่วยงานของรัฐ หรือกรมกระทรวงกิจการภายใน จะต้องเป็นตัวแทนอย่างแข็งขันบนอินเทอร์เน็ตทั่วโลก ซึ่งรวมถึงเว็บไซต์ของคุณเอง อีเมลสาธารณะ และการเข้าถึงข้อมูลเครือข่ายทั่วโลกของพนักงาน การปฏิสัมพันธ์อย่างใกล้ชิดดังกล่าวขัดแย้งกับข้อกำหนดด้านความปลอดภัย เมื่อหลายเครือข่ายโต้ตอบกัน ภัยคุกคามด้านความปลอดภัยต่างๆ ก็อาจเกิดขึ้นได้ ตัวอย่างเช่น เมื่อเชื่อมต่อกับเครือข่ายทั่วโลก ภัยคุกคามที่ไม่เป็นอันตรายที่สุดที่เป็นไปได้คือการแฮ็กเครือข่ายด้วยเหตุผลอันธพาล ข้อมูลที่น่าสนใจสำหรับหน่วยข่าวกรองต่างประเทศเผยแพร่ในเครือข่ายคอมพิวเตอร์ของหน่วยงานของรัฐ ข้อมูลที่น่าสนใจสำหรับอาชญากรเผยแพร่ในเครือข่ายคอมพิวเตอร์ของกระทรวงกิจการภายใน ข้อมูลนี้อาจไม่จัดว่าเป็นความลับ อย่างไรก็ตาม เมื่อนำมารวมกันจะช่วยให้ได้รับข้อมูลที่สำคัญมาก ดังนั้น ในกรณีของการรวมเครือข่ายคอมพิวเตอร์ของหน่วยงานภาครัฐเข้ากับอินเทอร์เน็ตทั่วโลก นอกเหนือจากการแฮ็กอันธพาลแล้ว เราควรถือว่ามีความพยายามที่เหมาะสมมากกว่าในการเจาะเครือข่ายของผู้โจมตี เป็นการยากมากที่จะต้านทานความพยายามดังกล่าว ดังนั้น อินเทอร์เน็ตจะต้องถูกแยกออกจากเครือข่ายภายในซึ่งมีข้อมูลที่รวบรวมไว้อย่างเข้มข้น มีวิธีที่ทราบกันดีอยู่หลายวิธีในการแยกเครือข่ายคอมพิวเตอร์ของคุณออกจากอินเทอร์เน็ตทั่วโลกเพื่อให้มั่นใจในความปลอดภัย บนเครือข่ายที่ไม่มีข้อมูลที่จำกัด การใช้เราเตอร์มักจะเพียงพอที่จะแยกเครือข่ายได้ แต่การป้องกันอย่างจริงจังต่อการบุกรุกจากเครือข่ายทั่วโลกสามารถมั่นใจได้โดยใช้ไฟร์วอลล์ (FireWall) เท่านั้น ดังนั้นเพื่อปกป้องข้อมูลองค์กรของบริษัทการค้าจึงจำเป็นต้องใช้ไฟร์วอลล์ อย่างไรก็ตาม ตามกฎแล้ว เพื่อปกป้องข้อมูลในหน่วยงานของรัฐ ไฟร์วอลล์ไม่ได้ให้การป้องกันในระดับที่ต้องการ มั่นใจได้ถึงความปลอดภัยอย่างเต็มที่เฉพาะในกรณีของการแยกอินเทอร์เน็ตทางกายภาพออกจากเครือข่ายท้องถิ่นของตัวเองเท่านั้น แน่นอนว่าสิ่งนี้สร้างความไม่สะดวกในการทำงานและต้องมีค่าใช้จ่ายเพิ่มเติมเมื่อสร้างเครือข่ายคอมพิวเตอร์ อย่างไรก็ตาม ในบริบทของความจำเป็นในการต่อสู้กับอาชญากรรม นี่เป็นมาตรการที่สมเหตุสมผล

เมื่อสร้างเครือข่ายที่มีการแยกทางกายภาพ จำเป็นต้องคำนึงถึงปัญหาการป้องกันการรั่วไหลของข้อมูลผ่านช่องทาง PEMIN ด้วย ในหลายกรณี พนักงานที่ทำงานโดยจำกัดการเข้าถึงข้อมูลก็จำเป็นต้องมีความสามารถในการเข้าถึงอินเทอร์เน็ตเช่นกัน มีการติดตั้งคอมพิวเตอร์สองเครื่องในที่ทำงาน โดยเครื่องหนึ่งเชื่อมต่อกับเครือข่ายท้องถิ่นขององค์กร (องค์กร) และอีกเครื่องหนึ่งเชื่อมต่อกับอินเทอร์เน็ต ในกรณีนี้ เป็นเรื่องยากมากที่จะแยกสายเคเบิลของเครือข่ายของคุณเองเข้ากับความปลอดภัยของข้อมูลและสายเคเบิลของเครือข่ายอินเทอร์เน็ตแบบเปิดในระยะห่างที่เพียงพอ เป็นผลให้ข้อมูลที่หมุนเวียนในเครือข่ายท้องถิ่นตลอดจนการแผ่รังสีด้านข้างทั้งหมดจากคอมพิวเตอร์ที่ส่งตรงไปยังสายเคเบิลของเครือข่ายท้องถิ่นก็สามารถส่งตรงไปยังสายเคเบิลของอินเทอร์เน็ตแบบเปิดได้ สายเคเบิลเครือข่ายแบบเปิดไม่เพียงแต่เป็นเสาอากาศที่ค่อนข้างยาว (โดยเฉพาะอย่างยิ่งเมื่อเครือข่ายแบบเปิดถูกวางด้วยสายเคเบิลที่ไม่มีฉนวนหุ้ม) สายเคเบิลเครือข่ายแบบเปิดมักจะขยายเกินขอบเขตของพื้นที่ที่ได้รับการป้องกัน ดังนั้นข้อมูลไม่เพียงแต่สามารถรับได้จากการสกัดกั้นรังสีเท่านั้น แต่ยังโดยการเชื่อมต่อกับสายเคเบิลเครือข่ายแบบเปิดโดยตรงอีกด้วย ดังนั้นจึงต้องวางสายเคเบิลเครือข่ายแบบเปิดตามคำแนะนำทั้งหมดที่ตามมาเมื่อสร้างเครือข่ายที่มีความปลอดภัยของข้อมูล

บทที่ 4 การพัฒนาเครือข่ายท้องถิ่นด้วยข้อกำหนดการป้องกันข้อมูลที่เพิ่มมากขึ้น

เบโลรูซอฟ มิทรี อิวาโนวิช
โคเรชคอฟ มิคาอิล เซอร์เกวิช
LLC "RICOM", มอสโก

เครือข่าย Wi-Fi และภัยคุกคามความปลอดภัยของข้อมูล

บทความนี้กล่าวถึงภัยคุกคามทั้งทางตรงและทางอ้อมต่อความปลอดภัยของข้อมูลที่เกิดขึ้นจากการพัฒนาเทคโนโลยีการเข้าถึงไร้สาย WiFi แสดงให้เห็นว่าการใช้เทคโนโลยี WiFi สามารถคุกคามไม่เพียงแต่ข้อมูลที่ส่งโดยตรงโดยใช้อุปกรณ์ WiFi แต่ยังรวมถึงข้อมูลเสียงพูดในโรงงานด้วย

การใช้เครือข่ายข้อมูลไร้สายอย่างแพร่หลายซึ่งใช้เทคโนโลยี IEEE 802.11 หรือที่รู้จักกันดีในชื่อ WiFi ไม่สามารถดึงดูดความสนใจของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลในสถานประกอบการได้ ในบทความนี้ ผู้เขียนมุ่งหวังที่จะให้ผู้อ่านได้รู้จักกับผลการวิจัยเกี่ยวกับภัยคุกคามใหม่ ๆ ต่อความปลอดภัยของข้อมูลของวัตถุที่เกี่ยวข้องกับเครือข่าย WiFi

ในขั้นต้น เทคโนโลยี WiFi มุ่งเน้นไปที่การจัดระเบียบจุดเชื่อมต่ออินเทอร์เน็ตที่รวดเร็ว (ฮอตสปอต) สำหรับผู้ใช้มือถือ เทคโนโลยีนี้ทำให้สามารถให้บริการการเข้าถึงอินเทอร์เน็ตพร้อมกันแก่สมาชิกจำนวนมาก โดยหลักๆ จะอยู่ในที่สาธารณะ (สนามบิน ร้านอาหาร ฯลฯ) ข้อดีของการเข้าถึงแบบไร้สายนั้นชัดเจน โดยเฉพาะอย่างยิ่งเมื่อเทคโนโลยี WiFi เริ่มกลายเป็นมาตรฐานโดยพฤตินัย และผู้ผลิตคอมพิวเตอร์พกพาไม่มีปัญหาเรื่องความเข้ากันได้ระหว่างจุดเข้าใช้งานและอุปกรณ์เคลื่อนที่

เครือข่าย WiFi ค่อยๆ แพร่กระจายไปยังสำนักงานขนาดใหญ่และขนาดเล็กเพื่อจัดระเบียบเครือข่ายหรือเครือข่ายย่อยภายในองค์กร

ในเวลาเดียวกัน ผู้ให้บริการโทรคมนาคมรายใหญ่เริ่มพัฒนาบริการของตนเองเพื่อให้บริการอินเทอร์เน็ตไร้สายแบบชำระเงินโดยใช้เทคโนโลยี WiFi เครือข่ายดังกล่าวประกอบด้วยจุดเชื่อมต่อจำนวนมากที่จัดระเบียบพื้นที่ครอบคลุมของพื้นที่เมืองทั้งหมด คล้ายกับการสื่อสารแบบเซลลูล่าร์

เป็นผลให้ทุกวันนี้ในเมืองใหญ่ ๆ ถัดจากวัตถุเกือบทุกชนิดมีเครือข่าย WiFi อย่างน้อยหลายเครือข่ายที่มีจุดเข้าใช้งานและไคลเอนต์ของตัวเองซึ่งจำนวนดังกล่าวสามารถเข้าถึงได้หลายร้อย

มาดูภัยคุกคามความปลอดภัยของข้อมูลที่เกิดขึ้นจากการใช้เครือข่าย WiFi กันดีกว่า ภัยคุกคามทั้งหมดสามารถแบ่งออกเป็นสองประเภท:

  • โดยตรง - ภัยคุกคามต่อความปลอดภัยของข้อมูลที่เกิดขึ้นเมื่อส่งข้อมูลผ่านอินเทอร์เฟซไร้สาย IEEE 802.11
  • ทางอ้อม - ภัยคุกคามที่เกี่ยวข้องกับการมีเครือข่าย WiFi จำนวนมากบนเว็บไซต์และใกล้กับไซต์ซึ่งสามารถใช้ในการส่งข้อมูลรวมถึงข้อมูลที่ได้รับโดยไม่ได้รับอนุญาต

ภัยคุกคามทางอ้อมมีความเกี่ยวข้องกับทุกองค์กรอย่างแน่นอน และดังที่แสดงด้านล่าง ภัยคุกคามเหล่านี้ไม่เพียงแต่ก่อให้เกิดอันตรายต่อข้อมูลที่ประมวลผลในเครือข่ายคอมพิวเตอร์เท่านั้น แต่ยังรวมถึงสิ่งที่สำคัญที่สุดคือข้อมูลคำพูดด้วย

มาดูภัยคุกคามโดยตรงกัน เพื่อจัดระเบียบช่องทางการสื่อสารไร้สายในเทคโนโลยี WiFi จะใช้อินเทอร์เฟซการส่งข้อมูลวิทยุ ในฐานะช่องทางการส่งข้อมูล อาจมีการแทรกแซงโดยไม่ได้รับอนุญาตโดยมีจุดประสงค์เพื่อดักจับ บิดเบือน หรือปิดกั้นข้อมูล

เมื่อพัฒนาเทคโนโลยี WiFi ปัญหาด้านความปลอดภัยของข้อมูลบางอย่างได้ถูกนำมาพิจารณาด้วย อย่างไรก็ตาม ตามที่แสดงให้เห็นในทางปฏิบัติแล้ว ยังไม่เพียงพอ

“ช่องโหว่” จำนวนมากในการรักษาความปลอดภัย WiFi ก่อให้เกิดการเคลื่อนไหวที่แยกจากกันในอุตสาหกรรมแฮ็กคอมพิวเตอร์ หรือที่เรียกว่าการดูแลผู้ป่วย Wardrivers คือผู้ที่แฮ็กเครือข่าย WiFi ของผู้อื่นโดยไม่สนใจ "กีฬา" ซึ่งไม่ได้ลดอันตรายจากภัยคุกคามลง

แม้ว่าเทคโนโลยี WiFi จะให้การรับรองความถูกต้องและการเข้ารหัสเพื่อป้องกันการรับส่งข้อมูลจากการสกัดกั้นที่ดาต้าลิงค์เลเยอร์ แต่คุณสมบัติด้านความปลอดภัยเหล่านี้ยังไม่มีประสิทธิภาพเพียงพอ

ประการแรก การใช้การเข้ารหัสจะลดความเร็วของการส่งข้อมูลผ่านช่องสัญญาณหลายครั้ง และบ่อยครั้งที่ผู้ดูแลระบบเครือข่ายจงใจปิดการใช้งานการเข้ารหัสเพื่อเพิ่มประสิทธิภาพการรับส่งข้อมูล ประการที่สอง การใช้เทคโนโลยีการเข้ารหัส WEP ที่ค่อนข้างธรรมดาในเครือข่าย WiFi นั้นน่าอดสูมานานแล้วเนื่องจากจุดอ่อนในอัลกอริธึมการกระจายคีย์ RC4 ซึ่งใช้ร่วมกับ WEP มีโปรแกรมมากมายที่ให้คุณเลือกคีย์ WEP ที่ "อ่อนแอ" ได้ การโจมตีนี้เรียกว่า FMS ตามตัวอักษรตัวแรกของชื่อย่อของนักพัฒนา แต่ละแพ็กเก็ตที่มีคีย์ที่อ่อนแอมีโอกาส 5% ที่จะกู้คืนคีย์ลับหนึ่งไบต์ ดังนั้นจำนวนแพ็กเก็ตทั้งหมดที่ผู้โจมตีต้องรวบรวมเพื่อดำเนินการโจมตีจะขึ้นอยู่กับระดับโชคของเขาเป็นหลัก โดยเฉลี่ยแล้ว ต้องใช้แพ็กเก็ตที่เข้ารหัสประมาณหกล้านแพ็กเก็ตในการถอดรหัส แฮกเกอร์จาก H1kari ของ DasbOden Labs เสริมความแข็งแกร่งให้กับอัลกอริธึม FMS โดยลดจำนวนแพ็คเกจที่ต้องการจากหกล้านเหลือ 500,000 และในบางกรณี คีย์ 40/104 บิตจะถูกถอดรหัสด้วยแพ็กเก็ตเพียงสามพันแพ็กเก็ต ซึ่งทำให้สามารถโจมตีแม้แต่จุดเข้าใช้งานที่บ้านได้โดยไม่สร้างภาระให้กับการรับส่งข้อมูลที่มากเกินไป

หากมีการสื่อสารเพียงเล็กน้อยหรือไม่มีเลยระหว่างไคลเอนต์ที่ถูกต้องกับจุดเข้าใช้งาน ผู้โจมตีสามารถบังคับให้เหยื่อสร้างการรับส่งข้อมูลจำนวนมากโดยไม่ต้องรู้รหัสลับด้วยซ้ำ เพียงดักจับแพ็กเก็ตที่ถูกต้องและส่งต่ออีกครั้งโดยไม่ต้องถอดรหัส

นักพัฒนาอุปกรณ์ตอบสนองค่อนข้างเพียงพอ โดยเปลี่ยนอัลกอริธึมสำหรับการสร้างเวกเตอร์การเริ่มต้น เพื่อไม่ให้คีย์อ่อนปรากฏขึ้นอีกต่อไป

ในเดือนสิงหาคม พ.ศ. 2547 แฮ็กเกอร์ชื่อ KoreK ได้สาธิตซอร์สโค้ดของโปรแกรมวิเคราะห์การเข้ารหัสตัวใหม่ที่สามารถทำลายเวกเตอร์การเริ่มต้นที่แข็งแกร่งได้ ในการกู้คืนคีย์ 40 บิต เขาต้องการเพียง 200,000 แพ็กเก็ตที่มีเวกเตอร์การเริ่มต้นที่ไม่ซ้ำกัน และสำหรับคีย์ 104 บิต ต้องใช้ 500,000 แพ็กเก็ต จำนวนแพ็กเก็ตที่มีเวกเตอร์ที่ไม่ซ้ำกันโดยเฉลี่ยคือประมาณ 95% ของจำนวนแพ็กเก็ตที่เข้ารหัสทั้งหมด ดังนั้นผู้โจมตีจะต้องใช้เวลาน้อยมากในการกู้คืนคีย์

อุปกรณ์ WiFi ใหม่ใช้เทคโนโลยี WPA - WiFi Protected Access (การเข้าถึง WiFi ที่มีการป้องกัน) ซึ่งความปลอดภัยของอุปกรณ์ไร้สายได้รับการปรับปรุงอีกครั้ง WEP มาแทนที่แล้ว TKIP (โปรโตคอลความสมบูรณ์ของคีย์ชั่วคราว)- โปรโตคอลความสมบูรณ์ของคีย์ระยะสั้น) สร้างคีย์ไดนามิกที่แทนที่กันด้วยช่วงเวลาสั้น ๆ แม้จะมีความแปลกใหม่ของเทคโนโลยีนี้ แต่ยูทิลิตี้แฮ็กเกอร์บางตัวก็มีโมดูลพิเศษที่แสดงคีย์โปรโตคอลตัวใดตัวหนึ่งอยู่แล้ว สำหรับการเชื่อมต่อที่ไม่ได้รับอนุญาตไปยังจุดเข้าใช้งานที่ได้รับการปกป้องด้วยเทคโนโลยี WPA ก็ถือว่าเพียงพอแล้ว

มาตรฐาน IEEE 802.11i อธิบายระบบความปลอดภัยขั้นสูง (เรียกว่า WPA2) โดยใช้อัลกอริธึมการเข้ารหัส AES ยังไม่มียูทิลิตี้สำเร็จรูปสำหรับการแฮ็กในรูปแบบเปิด ดังนั้นคุณจึงรู้สึกปลอดภัยด้วยเทคโนโลยีนี้ อย่างน้อยเธอก็จะอยู่ได้สักพัก

ภัยคุกคามจากการบล็อกข้อมูลในช่องสัญญาณ WiFi นั้นแทบจะถูกมองข้ามไปเมื่อพัฒนาเทคโนโลยีซึ่งไร้ผล แน่นอนว่าการบล็อกช่องสัญญาณในตัวเองนั้นไม่เป็นอันตราย เนื่องจากเครือข่าย WiFi เกือบจะเป็นตัวช่วยเสมอ แต่การบล็อกมักเป็นเพียงขั้นตอนเตรียมการสำหรับการโจมตีแบบแทรกกลางเมื่ออุปกรณ์ตัวที่สามปรากฏขึ้นระหว่างไคลเอนต์และการเข้าถึง ซึ่งเปลี่ยนเส้นทางการรับส่งข้อมูลระหว่างกันผ่านตัวมันเอง ในกรณีนี้ ไม่เพียงแต่คุกคามการสกัดกั้นข้อมูลเท่านั้น แต่ยังมีการบิดเบือนข้อมูลอีกด้วย เป็นที่ทราบกันว่ามีการโจมตีที่ประมวลผลแล้วหลายครั้งบนเครือข่าย WiFi ที่เกี่ยวข้องกับการปฏิเสธการบริการ (DOS) แต่ในบทความนี้ เราจะไม่คำนึงถึงพวกเขา เราจะจำกัดตัวเองเพียงระบุการมีอยู่ของภัยคุกคามที่แท้จริงเท่านั้น

มาดูการพิจารณาภัยคุกคามทางอ้อมต่อความปลอดภัยของข้อมูลของวัตถุที่เกี่ยวข้องโดยตรงกับเทคโนโลยี WiFi

ช่องสัญญาณเครือข่าย WiFi มีความน่าสนใจอย่างมากสำหรับการใช้เป็นโครงสร้างพื้นฐานในการขนส่งสำหรับอุปกรณ์ที่ได้รับข้อมูลที่ไม่ได้รับอนุญาตด้วยเหตุผลหลายประการ:

1. สัญญาณจากอุปกรณ์ WiFi มีโครงสร้างค่อนข้างซับซ้อนและมีสเปกตรัมกว้าง ดังนั้นสัญญาณเหล่านี้และยิ่งกว่านั้นคืออุปกรณ์ WiFi โดยรอบ จึงไม่สามารถระบุได้ด้วยเครื่องมือตรวจสอบวิทยุแบบทั่วไป

ตามที่แสดงให้เห็นในทางปฏิบัติ การตรวจจับสัญญาณ WiFi ที่เชื่อถือได้โดยคอมเพล็กซ์การตรวจสอบวิทยุสมัยใหม่ในย่านความถี่กว้างนั้นเป็นไปได้เฉพาะตามเกณฑ์พลังงานเมื่อมีแถบการวิเคราะห์แบบขนานที่มีความกว้างหลายสิบ MHz ที่ความเร็วอย่างน้อย 400 MHz/ และเฉพาะในโซนใกล้เท่านั้น สัญญาณจากจุดเชื่อมต่อที่อยู่ในสนามไกลจะต่ำกว่าระดับเสียงรบกวนของเครื่องรับ

โดยทั่วไปการตรวจจับเครื่องส่งสัญญาณ WiFi ระหว่างการสแกนตามลำดับด้วยเครื่องรับย่านความถี่แคบโดยทั่วไปจะเป็นไปไม่ได้

2. มีการติดตั้งเครือข่าย WiFi ส่วนตัวหรือเครือข่าย WiFi สาธารณะในเกือบทุกสถานที่หรือบริเวณใกล้เคียง เมื่อล้อมรอบด้วยเครือข่ายดังกล่าว เป็นเรื่องยากมากที่จะแยกแยะลูกค้าที่ถูกกฎหมายของเครือข่ายของตัวเองและเครือข่ายใกล้เคียงจากไคลเอนต์ที่มีความสามารถในการรับข้อมูลอย่างลับๆ ซึ่งทำให้สามารถปกปิดการส่งข้อมูลโดยไม่ได้รับอนุญาตระหว่างช่องสัญญาณ WiFi ทางกฎหมายได้อย่างมีประสิทธิภาพ

เครื่องส่ง WiFi จะส่งเสียงที่เรียกว่า "สัญญาณ OFDM" ซึ่งหมายความว่า ณ จุดหนึ่ง อุปกรณ์จะส่งสัญญาณเดียวโดยใช้คลื่นความถี่กว้าง (ประมาณ 20 MHz) ผู้ให้บริการข้อมูลหลายราย - ผู้ให้บริการย่อยของช่องข้อมูลซึ่งอยู่ใกล้กันมากจนเมื่อได้รับบนอุปกรณ์รับทั่วไป สัญญาณจะดูเหมือน "โดม" อันเดียว เป็นไปได้ที่จะแยกผู้ให้บริการย่อยใน "โดม" ดังกล่าวและระบุอุปกรณ์ส่งสัญญาณด้วยเครื่องรับพิเศษเท่านั้น

3. ในเมืองใหญ่ เครือข่าย WiFi สาธารณะมีพื้นที่ครอบคลุมเพียงพอที่จะรับประกันความสามารถในการเชื่อมต่อเพื่อส่งข้อมูลได้จากเกือบทุกจุด ซึ่งช่วยลดความจำเป็นในการใช้จุดรับข้อมูลมือถือใกล้กับไซต์ เนื่องจากข้อมูลสามารถถ่ายโอนโดยอุปกรณ์ที่ไม่ได้รับอนุญาตผ่านจุดเชื่อมต่อสาธารณะ จากนั้นจึงผ่านทางอินเทอร์เน็ตไปยังสถานที่ใดก็ได้

4. ทรัพยากรที่ช่องเครือข่าย WiFi มอบให้ช่วยให้คุณสามารถส่งเสียง ข้อมูล และวิดีโอได้แบบเรียลไทม์ ข้อเท็จจริงนี้เปิดโอกาสให้มีอุปกรณ์สกัดกั้นข้อมูลมากมาย ตอนนี้ไม่เพียงแต่ข้อมูลเสียงเท่านั้น แต่ยังรวมถึงข้อมูลวิดีโอจากคอมพิวเตอร์หรือเครือข่ายท้องถิ่นด้วย

ข้อดีทั้งหมดของเทคโนโลยี WiFi ที่กล่าวถึงข้างต้นจากมุมมองของการปกป้องข้อมูลบนไซต์นั้นเป็นข้อเสีย นอกจากนี้ อุปกรณ์ WiFi ขนาดเล็กยังผลิตและจำหน่ายอย่างถูกกฎหมาย ทำให้สามารถส่งข้อมูล ข้อมูลเสียง หรือวิดีโอ เช่น กล้องวิดีโอ WiFi ไร้สาย ซึ่งสามารถแปลงเพื่อใช้เป็นอุปกรณ์สำหรับรับข้อมูลอย่างลับๆ ได้อย่างง่ายดาย

ข้าว. 1. สัญญาณจากตัวส่งสัญญาณ WiFi ในพื้นที่ใกล้


ข้าว. 2. กล้องเว็บไร้สายพร้อมอินเทอร์เฟซ WiFi

1. มีการติดตั้งกล้องวิดีโอ WiFi พร้อมไมโครโฟนที่ไม่ได้รับอนุญาตในห้อง เพื่อเพิ่มช่วงการส่งข้อมูล มีการติดตั้งจุดเข้าใช้งาน WiFi บนหลังคาของสถานที่ ซึ่งทำงานในโหมดทวนสัญญาณ (หนึ่งในโหมดการทำงานมาตรฐานของจุดเข้าใช้งาน WiFi) พร้อมเสาอากาศแบบมีทิศทาง ในกรณีนี้ สามารถรับข้อมูลจากห้องที่ติดตั้งกล้อง WiFi Power มาตรฐานของลูกค้าได้ที่จุดควบคุมซึ่งอยู่ห่างจากสถานที่เกิดเหตุหลายกิโลเมตร แม้แต่ในเมืองก็ตาม

2. การใช้โปรแกรมพิเศษ (ไวรัส) สมาร์ทโฟนของพนักงานองค์กรคนหนึ่งสามารถเปลี่ยนเป็นโหมดที่ข้อมูลคำพูดจากไมโครโฟนจะถูกบันทึกและส่งไปยังจุดควบคุมโดยใช้โมดูล WiFi ในตัว

เพื่อเพิ่มความลับ จุดควบคุมยังสามารถใช้ได้ในโหมดมาตรฐานของจุดเชื่อมต่อ WiFi - "ถ่ายโอนด้วยชื่อที่ซ่อนอยู่" ในกรณีนี้ จุดเชื่อมต่อจะมองไม่เห็นโดยโปรแกรมเรียกดูเครือข่ายสำหรับเครือข่ายไร้สาย ควรสังเกตว่าในโปรแกรม WiFi เหล่านี้ ลูกค้าจะไม่สามารถมองเห็นได้เลย

3. และสุดท้าย ลองพิจารณาตัวเลือกเมื่อระบอบการปกครองที่โรงงานไม่อนุญาตให้ย้ายสื่อจัดเก็บข้อมูลออกนอกขอบเขต การเข้าถึงอินเทอร์เน็ตขาดหายไปหรือถูกจำกัด ผู้โจมตีสามารถถ่ายโอนข้อมูลจำนวนมากเพียงพอจากวัตถุดังกล่าวโดยไม่มีใครสังเกตเห็นได้อย่างไร คำตอบ: เขาจำเป็นต้องเชื่อมต่อกับเครือข่ายกระจายเสียง WiFi ใกล้เคียงและส่งข้อมูลอย่างถูกกฎหมาย โดยไม่มีใครสังเกตเห็นในไคลเอนต์ WiFi จำนวนมากเพียงพอของเครือข่ายใกล้เคียงที่ส่งข้อมูลภายนอกสถานที่

ข้อสรุป:

เทคโนโลยี WiFi นั้นสะดวกและเป็นสากลอย่างแน่นอนสำหรับการจัดการการเข้าถึงข้อมูลแบบไร้สาย อย่างไรก็ตาม มันมีภัยคุกคามร้ายแรงมากมายต่อความปลอดภัยของข้อมูลของวัตถุ ในขณะเดียวกันก็มีภัยคุกคามต่อความปลอดภัยของข้อมูลทั้งทางตรงและทางอ้อม และหากคุณสามารถกำจัดภัยคุกคามโดยตรงได้โดยการปฏิเสธที่จะใช้อุปกรณ์ WiFi ในโครงสร้างพื้นฐานเครือข่ายขององค์กรและไม่ใช้เครือข่าย WiFi ที่โรงงาน ภัยคุกคามทางอ้อมก็จะเกิดขึ้นโดยไม่คำนึงถึงการใช้เทคโนโลยี WiFi ที่โรงงาน นอกจากนี้ ภัยคุกคามทางอ้อมยังมีอันตรายมากกว่าภัยคุกคามโดยตรง เนื่องจากไม่เพียงส่งผลต่อข้อมูลบนเครือข่ายคอมพิวเตอร์เท่านั้น แต่ยังรวมถึงข้อมูลคำพูดในโรงงานด้วย

โดยสรุป ฉันต้องการทราบว่าเทคโนโลยี WiFi ในปัจจุบันไม่ใช่เทคโนโลยีการรับส่งข้อมูลไร้สายที่แพร่หลายเพียงชนิดเดียวที่สามารถก่อให้เกิดภัยคุกคามต่อความปลอดภัยของข้อมูลของวัตถุได้

อุปกรณ์ Bluetooth ยังสามารถใช้เพื่อจัดระเบียบการถ่ายโอนข้อมูลไร้สายโดยไม่ได้รับอนุญาต เมื่อเปรียบเทียบกับ WiFi อุปกรณ์ Bluetooth มีความสามารถน้อยกว่าอย่างมากในแง่ของช่วงการส่งข้อมูลและความจุของช่องสัญญาณ แต่มีข้อได้เปรียบที่สำคัญอย่างหนึ่งคือ การใช้พลังงานต่ำ ซึ่งสำคัญอย่างยิ่งสำหรับเครื่องส่งสัญญาณที่ไม่ได้รับอนุญาต

อีกหนึ่งเทคโนโลยีที่กำลังเริ่มแข่งขันกับ WiFi ในการให้บริการบรอดแบนด์ไร้สายคือ WiMAX อย่างไรก็ตาม ณ ปัจจุบัน อุปกรณ์ WiMAX นั้นพบเห็นได้น้อยกว่ามาก และการมีอยู่ของอุปกรณ์เหล่านี้มีแนวโน้มที่จะเป็นปัจจัยในการเปิดโปงมากกว่าการซ่อนช่องทางการรับส่งข้อมูลที่ไม่ได้รับอนุญาต

ดังนั้นในปัจจุบัน WiFi ไม่เพียง แต่เป็นเทคโนโลยีการเข้าถึงไร้สายที่ใช้กันทั่วไปเท่านั้น แต่ยังเป็นวิธีที่สะดวกที่สุดจากมุมมองของการรับและการส่งข้อมูลโดยไม่ได้รับอนุญาต

วรรณกรรม

  1. Karolik A., Kaspersky K. มาดูกันว่าการดูแลผู้ป่วยคืออะไร และควรใช้กับ //Hacker อย่างไร - หมายเลข 059. - ส. 059-0081.

เครือข่ายไร้สายมีความสะดวกมากกว่าเครือข่ายแบบมีสายแต่พวกมันก็อาจเสี่ยงต่อแฮกเกอร์และมัลแวร์ได้เช่นกัน (เช่น เวิร์ม) เนื่องจากเครือข่ายไร้สายใช้คลื่นวิทยุที่สามารถผ่านผนังได้ สัญญาณเครือข่ายจึงสามารถเดินทางออกไปนอกบ้านได้

หากคุณไม่พยายามรักษาความปลอดภัยเครือข่ายของคุณ ผู้ใช้คอมพิวเตอร์ในบริเวณใกล้เคียงจะสามารถเข้าถึงข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์บนเครือข่ายของคุณ และใช้การเชื่อมต่ออินเทอร์เน็ตของคุณได้ ด้วยการตั้งค่าคีย์ความปลอดภัยบนเครือข่ายไร้สายของคุณ คุณสามารถป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้

วิธีในการรักษาความปลอดภัยเครือข่ายไร้สายของคุณ

ควรกำหนดค่าเครือข่ายไร้สายเพื่อให้เฉพาะผู้ใช้ที่เลือกเท่านั้นที่สามารถเข้าถึงได้

ตัวเลือกความปลอดภัยไร้สายหลายตัวเลือกมีอธิบายไว้ด้านล่าง:

เทคโนโลยีการเข้าถึงแบบป้องกัน Wi-Fi (WPA และ WPA2)

เทคโนโลยีการเข้าถึงที่มีการป้องกัน Wi-Fiเข้ารหัสข้อมูลและตรวจสอบว่าคีย์ความปลอดภัยเครือข่ายไม่มีการเปลี่ยนแปลง นอกจากนี้ เทคโนโลยี Wi-Fi Protected Access ยังตรวจสอบผู้ใช้เพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงเครือข่ายได้

การรับรองความถูกต้อง WPA มีสองประเภท: WPA และ WPA2

ประเภท WPAได้รับการออกแบบมาเพื่อทำงานร่วมกับอะแดปเตอร์เครือข่ายไร้สายทั้งหมด แต่ไม่สามารถทำงานร่วมกับเราเตอร์หรือจุดเข้าใช้งานรุ่นเก่าได้ พิมพ์ WPA2มีความปลอดภัยมากกว่า WPA แต่เข้ากันไม่ได้กับอะแดปเตอร์เครือข่ายรุ่นเก่าบางรุ่น

เทคโนโลยี WPA ได้รับการออกแบบมาเพื่อใช้กับเซิร์ฟเวอร์การตรวจสอบความถูกต้อง 802.1x ซึ่งสร้างคีย์ที่แตกต่างกันสำหรับผู้ใช้แต่ละคน จากนั้นจะเรียกว่า WPA-Enterprise หรือ WPA2-Enterprise นอกจากนี้ยังสามารถใช้ในโหมด Pre-Shared Key (PSK) ซึ่งผู้ใช้แต่ละคนจะได้รับข้อความรหัสผ่านเดียวกัน จากนั้นจะเรียกว่า WPA-Personal หรือ WPA2-Personal

โปรโตคอล Wired Equivalent Privacy (WEP)

WEP ซึ่งเป็นวิธีการรักษาความปลอดภัยเครือข่ายแบบเก่ายังคงใช้งานได้เพื่อรองรับอุปกรณ์รุ่นเก่าและอื่นๆ อีกมากมาย ไม่แนะนำให้ใช้- การเปิดใช้งาน WEP จะตั้งค่าคีย์ความปลอดภัยเครือข่าย คีย์เข้ารหัสนี้จะถูกส่งผ่านเครือข่ายจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง อย่างไรก็ตาม การรักษาความปลอดภัย WEP นั้นค่อนข้างง่ายในการแฮ็ก

ความสนใจ!ขอแนะนำให้ใช้ WPA2 ทุกครั้งที่เป็นไปได้ ไม่แนะนำให้ใช้ WEP WPA หรือ WPA2 มีความปลอดภัยมากกว่า หากคุณพยายามเรียกใช้ WPA หรือ WPA2 แต่ไม่ได้ผล ขอแนะนำให้คุณอัปเดตอะแดปเตอร์เครือข่ายให้ทำงานกับเทคโนโลยี WPA หรือ WPA2 ที่ใช้งานได้

การรับรองความถูกต้อง 802.1x

การรับรองความถูกต้อง 802.1xสามารถเพิ่มความปลอดภัยของเครือข่ายไร้สายและอีเธอร์เน็ต 802.11 การรับรองความถูกต้อง 802.1x ใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้องเพื่อตรวจสอบผู้ใช้และให้สิทธิ์ในการเข้าถึงเครือข่าย ในเครือข่ายไร้สาย การรับรองความถูกต้อง 802.1x สามารถใช้กับคีย์โปรโตคอล WPA, WPA2 หรือ WEP ได้ โดยทั่วไปการรับรองความถูกต้องประเภทนี้จะใช้เพื่อเชื่อมต่อกับเครือข่ายในที่ทำงาน

480 ถู - 150 UAH - $7.5 ", เมาส์ออฟ, FGCOLOR, "#FFFFCC",BGCOLOR, #393939");" onMouseOut="return nd();"> วิทยานิพนธ์ - 480 RUR จัดส่ง 10 นาทีตลอดเวลา เจ็ดวันต่อสัปดาห์และวันหยุด

นิคอฟ, วยาเชสลาฟ อิโกเรวิช. ระเบียบวิธีในการปกป้องข้อมูลในเครือข่ายไร้สายตามเส้นทางการรับส่งข้อมูลแบบไดนามิก: วิทยานิพนธ์... ผู้สมัครสาขาวิทยาศาสตร์เทคนิค: 05.13.19 / Nikonov Vyacheslav Igorevich; [สถานที่ป้องกัน: ฉบับที่. สถานะ มหาวิทยาลัยระบบควบคุม และวิทยุอิเล็กทรอนิกส์ (TUSUR) RAS] - Tomsk, 2010. - 119 p.: ป่วย อาร์เอสแอล โอดี, 61 11-5/934

การแนะนำ

บทที่ 1 การวิเคราะห์ช่องโหว่และวิธีการปกป้องข้อมูลระหว่างการส่งสัญญาณในเครือข่ายไร้สายแบบกระจาย 11

1.1 เครือข่ายไร้สายยุคถัดไป 11

1.2 ภัยคุกคามต่อข้อมูลในเครือข่ายคอมพิวเตอร์แบบกระจาย 15

1.2.1 การโจมตีเครือข่ายที่ใช้งานอยู่ 16

1.2.2 ลักษณะเฉพาะของการโจมตีในเครือข่ายไร้สาย 21

1.3 วิธีการปกป้องข้อมูลในเครือข่ายไร้สาย 25

1.3.2 เทคโนโลยีการปกป้องข้อมูล 32

1.4 วัตถุประสงค์การวิจัยวิทยานิพนธ์ 39

1.5 ข้อสรุป 40

บทที่สอง การพัฒนาวิธีการในการปกป้องข้อมูลระหว่างการส่งสัญญาณในเครือข่ายไร้สายแบบกระจายตามเส้นทางการรับส่งข้อมูลแบบไดนามิก 42

2.1 ระบบการรับส่งข้อมูลมัลติเพล็กซ์ 42

2.2 บริการเส้นทาง 45

2.2.1 หลักการทำงานทั่วไป 46

2.2.2 วิธีการในการปกป้องข้อมูลระหว่างการส่งสัญญาณในเครือข่ายกระจายไร้สาย 49

2.2.3 อัลกอริธึมการกำหนดเส้นทางการรับส่งข้อมูลแบบไดนามิก 53

2.2.4 การประยุกต์ใช้วิธีการที่พัฒนาขึ้น 57

2.3 การวิเคราะห์ประสิทธิผลของวิธีการป้องกันที่พัฒนาขึ้น 64

2.3.1 ความสามารถของโอกาส 64

2.3.2 การประเมินความน่าจะเป็นของภัยคุกคามชั้นหนึ่ง 64

2.3.3 การประเมินความน่าจะเป็นของภัยคุกคามประเภทที่สอง 66

2.3.4 อัลกอริทึมสำหรับสร้างกระแสการโจมตี 68

2.4 ข้อสรุป 71

บทที่ 3 การใช้ซอฟต์แวร์เพื่อปกป้องข้อมูลที่ส่ง 73

3.1 การใช้งานแพ็คเกจซอฟต์แวร์ 73

3.2 การทดลองใช้งานและการเปรียบเทียบกับโปรโตคอลการกำหนดเส้นทาง 81

3.3 การศึกษาทดลองวิธีการ 84

3.4 ข้อสรุป 92

บทสรุป 94

อ้างอิง 95

ความรู้เบื้องต้นเกี่ยวกับงาน

ความเกี่ยวข้องของงานการพัฒนาเทคโนโลยีสารสนเทศก่อให้เกิดปัญหาเร่งด่วนในการเพิ่มความน่าเชื่อถือของการทำงานของเครือข่ายคอมพิวเตอร์ เพื่อแก้ไขปัญหาดังกล่าว จำเป็นต้องศึกษาโปรโตคอลเครือข่ายที่มีอยู่ สถาปัตยกรรมเครือข่าย และพัฒนาวิธีการปรับปรุงความปลอดภัยเมื่อส่งทรัพยากรข้อมูลผ่านเครือข่าย

การเลือกเทคโนโลยีไร้สายช่วยให้คุณได้เปรียบในด้านความเร็วและความคล่องตัว การเกิดขึ้นของเครือข่ายไร้สายบรอดแบนด์ประเภทใหม่ที่มีโครงสร้างตาข่าย (เครือข่ายตาข่าย) ทำให้สามารถบรรลุการเพิ่มขึ้นอย่างมากในพื้นที่ครอบคลุมของข้อมูล ข้อได้เปรียบหลักของเครือข่ายประเภทนี้คือการมีอุปกรณ์พิเศษ - พอร์ทัลตาข่ายซึ่งช่วยให้สามารถรวมเครือข่ายไร้สายอื่น ๆ (WiMAX, Wi-Fi, GSM) และอินเทอร์เน็ตเข้ากับเครือข่ายตาข่ายและทำให้ผู้ใช้ได้รับทุกประเภท การบริการจากเครือข่ายเหล่านี้

ข้อเสียของเทคโนโลยีเมช ได้แก่ ความจริงที่ว่าโปรโตคอลการกำหนดเส้นทางเครือข่ายเมชมีความเฉพาะเจาะจงมากและการพัฒนาเป็นงานที่ซับซ้อนโดยมีเกณฑ์และพารามิเตอร์มากมาย ในขณะเดียวกัน โปรโตคอลที่มีอยู่จำเป็นต้องมีการปรับปรุงที่สำคัญในแง่ของการเพิ่มความปลอดภัยและความน่าเชื่อถือของการถ่ายโอนข้อมูล

การโจมตีเครือข่าย ความล้มเหลว และความล้มเหลวของอุปกรณ์เครือข่ายเป็นปัจจัยหลักที่ส่งผลต่อความปลอดภัยของการรับส่งข้อมูลในเครือข่ายไร้สายแบบกระจาย ปัญหาในการรับรองความปลอดภัยของการส่งข้อมูลในเครือข่ายไร้สายแบบกระจายได้รับการจัดการโดย I. Akyildiz, W. Wang, X. Wang, T. Dorges, N. Ben Salem การรับรองความปลอดภัยของการส่งข้อมูลบนเครือข่ายคอมพิวเตอร์หมายถึงการปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งาน

ในบรรดาวิธีการต่างๆ ในการรับรองความพร้อมใช้งานของข้อมูลในเครือข่ายไร้สาย นักวิจัยเน้นย้ำถึงการผสมผสานวิธีการต่างๆ ในการควบคุม การทำซ้ำ และความซ้ำซ้อน ความสมบูรณ์และการรักษาความลับของข้อมูลในเครือข่ายไร้สายได้รับการรับรองโดยวิธีการสร้างช่องทางเสมือนโดยใช้เครื่องมือเข้ารหัส

ข้อเสียทั่วไปของวิธีการเหล่านี้คือประสิทธิภาพเครือข่ายลดลงซึ่งเกี่ยวข้องกับข้อกำหนดสำหรับการประมวลผลข้อมูลที่ส่งเพิ่มเติม ข้อเสียเปรียบนี้มีความสำคัญอย่างยิ่งต่อการส่งข้อมูลวิดีโอดิจิทัล นอกจากนี้ การปรับปรุงวิธีการเข้ารหัสยังลดความน่าเชื่อถือของอัลกอริธึมการเข้ารหัสที่มีอยู่มากขึ้นอีกด้วย

จากที่กล่าวมาข้างต้นจำเป็นต้องพัฒนาวิธีการใหม่ในการปกป้องข้อมูลระหว่างการส่งสัญญาณในเครือข่ายไร้สายแบบกระจายภายใต้อิทธิพลของการโจมตีโดยเจตนา ในเรื่องนี้หัวข้อของงานมีความเกี่ยวข้องและมีความสำคัญในทางปฏิบัติ

วัตถุประสงค์งานวิทยานิพนธ์คือการพัฒนาวิธีการในการปกป้องข้อมูลระหว่างการส่งสัญญาณในเครือข่ายไร้สายแบบกระจาย

เกี่ยวกับการใช้อัลกอริธึมการกำหนดเส้นทางการรับส่งข้อมูลแบบไดนามิกภายใต้อิทธิพลของการโจมตีโดยเจตนา

วัตถุประสงค์ของงาน

І І ฉันการวิเคราะห์คำแนะนำมาตรฐาน IEEE 802.11 สำหรับความปลอดภัยของข้อมูลในเครือข่ายไร้สายแบบกระจาย

ZI การศึกษาอัลกอริธึมการกำหนดเส้นทางการรับส่งข้อมูลแบบไดนามิกใน

เครือข่ายแบบกระจาย

ZI วิจัยวิธีการรักษาความปลอดภัยข้อมูลในระบบไร้สายแบบกระจาย

เครือข่ายแบบมีสาย

ฉัน ฉัน ฉันการวิจัยประเภทของการโจมตีในเครือข่ายคอมพิวเตอร์แบบกระจาย การวิเคราะห์ลักษณะเฉพาะของการโจมตีในเครือข่ายไร้สาย

ฉัน ฉัน ฉันการพัฒนาอัลกอริทึมสำหรับการกำหนดเส้นทางข้อมูลแบบไดนามิกระหว่างการส่งสัญญาณในเครือข่ายไร้สายแบบกระจายภายใต้อิทธิพลของการโจมตีโดยเจตนา

การพัฒนา ZI ตามอัลกอริธึมแอปพลิเคชัน "กำหนดเส้นทางได้"

บริการ” ซึ่งใช้เทคนิคในการปกป้องข้อมูลระหว่างการส่งสัญญาณในเครือข่ายไร้สายแบบกระจาย

JV การใช้โมดูลซอฟต์แวร์สำหรับ "บริการที่กำหนดเส้นทางได้"

การถ่ายโอนข้อมูล

ZI ศึกษาตัวเลือกสำหรับผลกระทบของการโจมตีเครือข่ายต่อ “การกำหนดเส้นทาง

บริการควบคุม". การคำนวณประมาณการการใช้งานการโจมตีเครือข่ายที่ประสบความสำเร็จกับข้อมูลที่ส่งในกรณีของการใช้ "บริการที่กำหนดเส้นทางได้"

ฉัน ฉัน ฉันการพัฒนาอัลกอริธึมสำหรับสร้างกระแสการโจมตีเครือข่าย

DZO การพัฒนาต้นแบบของ “บริการที่กำหนดเส้นทางได้” สำหรับการทดสอบทดลองเทคนิคการป้องกันที่นำเสนอ

วัตถุประสงค์ของการวิจัยคือเครือข่ายคอมพิวเตอร์ เครือข่ายไร้สายแบบกระจายที่มีโครงสร้างตาข่าย (เครือข่ายตาข่าย) กระบวนการในการส่งข้อมูลและกระบวนการสำหรับการดำเนินการโจมตีประเภทต่างๆ กับข้อมูลที่ส่งและอุปกรณ์เครือข่ายในเครือข่ายไร้สายแบบกระจาย

หัวข้อการวิจัย:มาตรฐานกลุ่ม IEEE 802.11 การโจมตีเครือข่าย วิธีการปกป้องข้อมูลในเครือข่ายไร้สาย อัลกอริธึมสำหรับการกำหนดเส้นทางการรับส่งข้อมูลแบบไดนามิกในเครือข่ายไร้สาย

วิธีการวิจัยงานวิทยานิพนธ์ใช้วิธีการสร้างแบบจำลองทางคณิตศาสตร์ ทฤษฎีกราฟ ทฤษฎีเซต ทฤษฎีความน่าจะเป็น และสถิติทางคณิตศาสตร์ เพื่อยืนยันผลทางทฤษฎีที่ได้รับ การศึกษาเชิงทดลองและการสร้างแบบจำลองได้ดำเนินการโดยใช้สภาพแวดล้อมการเขียนโปรแกรม Visual Basic Script, Windows Management Instrumentarium, Shell, Awk

ความน่าเชื่อถือข้อความทางวิทยาศาสตร์ข้อสรุปและข้อเสนอแนะได้รับการยืนยันโดยการกำหนดปัญหาที่ถูกต้องความเข้มงวดของอุปกรณ์ทางคณิตศาสตร์ประยุกต์ผลลัพธ์ของการสร้างแบบจำลองเชิงตัวเลขผลลัพธ์ที่เป็นบวก

ผลการทดสอบโปรแกรมที่ใช้วิธีการที่นำเสนอในการปกป้องข้อมูลระหว่างการส่งผ่านเครือข่ายไร้สาย

ความแปลกใหม่ทางวิทยาศาสตร์ได้ผลลัพธ์ทางวิทยาศาสตร์ดังต่อไปนี้ในงานวิทยานิพนธ์

    มีการเสนอวิธีการปกป้องข้อมูลในเครือข่ายไร้สายแบบกระจาย โดยอิงจากการใช้แอปพลิเคชัน "บริการกำหนดเส้นทาง"

    อัลกอริธึมได้รับการพัฒนาสำหรับการกำหนดเส้นทางข้อมูลแบบไดนามิกระหว่างการส่งสัญญาณในเครือข่ายไร้สายแบบกระจายภายใต้อิทธิพลของการโจมตีโดยเจตนา

    มีการอธิบายตัวเลือกสำหรับการดำเนินการผลกระทบต่อระบบที่พัฒนาแล้ว การประเมินจะได้รับความสำเร็จในการดำเนินการโจมตีเครือข่ายกับข้อมูลที่ส่งในกรณีที่ใช้ "บริการที่กำหนดเส้นทางได้" อัลกอริธึมสำหรับสร้างกระแสการโจมตีเครือข่ายได้รับการพัฒนาแล้ว

    โมดูลซอฟต์แวร์ของต้นแบบ "บริการที่กำหนดเส้นทางได้" ได้รับการทดสอบแล้วในเครือข่ายแบบกระจาย

ความสำคัญในทางปฏิบัติยืนยันโดยการทดสอบต้นแบบของระบบที่พัฒนาแล้วในเครือข่ายแบบกระจาย ผลการวิจัยวิทยานิพนธ์ได้รับประกาศนียบัตร P-degree ในการแข่งขัน IX All-Russian สำหรับนักศึกษาระดับปริญญาตรีและบัณฑิตศึกษาด้านความปลอดภัยข้อมูล “SIBINFO-2009”

วิธีการที่พัฒนาขึ้นได้ถูกนำไปใช้กับระบบการส่งข้อมูลของ OJSC Omskvodokanal และสถาบันการศึกษาระดับอุดมศึกษาของรัฐ Omsk State Technical University ผลงานวิทยานิพนธ์ถูกนำมาใช้ในกระบวนการศึกษาของสถาบันการศึกษาระดับอุดมศึกษาแห่งรัฐ "มหาวิทยาลัยเทคนิคแห่งรัฐออมสค์"

วิธีการที่นำเสนอในวิทยานิพนธ์สามารถใช้เป็นพื้นฐานในการวิจัยต่อไปได้

การอนุมัติงานผลงานดังกล่าวถูกนำเสนอในการประชุมและสัมมนาทางวิทยาศาสตร์

    การแข่งขัน IX All-Russian ของนักศึกษาและนักศึกษาระดับบัณฑิตศึกษาด้านความปลอดภัยข้อมูล “SIBINFO-2009” ประกาศนียบัตร P-degree (2552, ตอมสค์)

    สัมมนาโรงเรียนวิทยาศาสตร์ไซบีเรีย VIII ที่มีส่วนร่วมระดับนานาชาติ "ความปลอดภัยของคอมพิวเตอร์และการเข้ารหัส - SYBECRYPT-09" (2009, Omsk)

    การประชุมทางวิทยาศาสตร์และเทคนิคนานาชาติ VII “พลวัตของระบบ กลไก และเครื่องจักร” (2009, Omsk)

    IV การประชุมทางวิทยาศาสตร์และการปฏิบัติของผู้เชี่ยวชาญรุ่นเยาว์ของธนาคารไซบีเรียตะวันตกแห่ง Sberbank แห่งรัสเซีย "ประสบการณ์สมัยใหม่ในการใช้เทคโนโลยีสารสนเทศในธุรกิจธนาคาร" (2551, Tyumen)

    การประชุมทางวิทยาศาสตร์และทางเทคนิคทั้งหมดของรัสเซีย “ Young Russia: เทคโนโลยีขั้นสูงในอุตสาหกรรม” (2008, Omsk)

    การแข่งขันการประชุม "เทคโนโลยี Microsoft ในทฤษฎีและการปฏิบัติของการเขียนโปรแกรม" (2551, โนโวซีบีร์สค์)

สิ่งพิมพ์ผลลัพธ์ของวิทยานิพนธ์สะท้อนให้เห็นในสิ่งพิมพ์ 15 ฉบับ รวมถึงสิ่งพิมพ์สองฉบับในสิ่งพิมพ์ที่แนะนำโดย Higher Attestation Commission

โครงสร้างและขอบเขตของงานวิทยานิพนธ์ประกอบด้วยคำนำ สามบท บทสรุป รายการอ้างอิง และภาคผนวก 3 ภาค ปริมาณงานทั้งหมด 116 หน้า รวม 26 รูป และ 3 ตาราง บรรณานุกรมมี 82 ชื่อเรื่อง

ผลงานส่วนตัว

งานวิจัยทั้งหมดที่นำเสนอในวิทยานิพนธ์นี้ดำเนินการโดยผู้เขียนในกระบวนการกิจกรรมทางวิทยาศาสตร์ ผู้เขียนได้รับผลลัพธ์ทั้งหมดที่ส่งมาเพื่อการป้องกันเป็นการส่วนตัว เนื้อหาที่ยืมมาจะถูกระบุในงานพร้อมข้อมูลอ้างอิง

บทบัญญัติพื้นฐานที่ยื่นเพื่อการป้องกัน

    เทคนิคในการปกป้องข้อมูลในเครือข่ายไร้สายแบบกระจายโดยอิงตามการใช้แอปพลิเคชัน "บริการกำหนดเส้นทาง"

    อัลกอริทึมสำหรับการกำหนดเส้นทางข้อมูลแบบไดนามิกระหว่างการส่งสัญญาณในเครือข่ายไร้สายแบบกระจายภายใต้อิทธิพลของการโจมตีโดยเจตนา

    การประเมินความสำเร็จในการใช้งานการโจมตีเครือข่ายกับข้อมูลที่ส่งในกรณีที่ใช้ "บริการที่กำหนดเส้นทางได้" อัลกอริทึมสำหรับสร้างกระแสการโจมตีเครือข่าย

    การใช้งานซอฟต์แวร์ของโมดูล "บริการที่กำหนดเส้นทาง" สำหรับการถ่ายโอนข้อมูลและการตรวจสอบการทดลองของวิธีการที่พัฒนาขึ้น

ลักษณะเฉพาะของการโจมตีในเครือข่ายไร้สาย

แนวคิดของเครือข่ายไร้สายจะสร้างช่องโหว่ที่เป็นไปได้จำนวนมากสำหรับการโจมตีและการบุกรุกที่อาจยากกว่ามากในเครือข่ายแบบใช้สายมาตรฐาน ผู้เชี่ยวชาญกล่าวว่าปัจจัยหลักที่มีอิทธิพลต่อการโจมตีเฉพาะในเครือข่ายไร้สายคือความพร้อมของสื่อการรับส่งข้อมูลทางกายภาพ - อากาศวิทยุ ประเภทของการโจมตีจะเหมือนกับในเครือข่ายแบบคลาสสิก: การโจมตีแบบปฏิเสธการบริการ, การโจมตีแบบแทรกกลาง, การโจมตีด้วยการปลอมแปลง ARP, การดักฟัง; แต่มีวิธีการโจมตีเหล่านี้หลายวิธีมากกว่าในเครือข่ายแบบมีสาย

เนื่องจากลักษณะของคลื่นวิทยุในฐานะพาหะของข้อมูลและเนื่องจากโครงสร้างของโปรโตคอลพื้นฐานของมาตรฐาน 802.11 เครือข่ายไร้สายจึงไม่สามารถป้องกันจากการโจมตี DoS ในเลเยอร์แรกและจากการโจมตี DoS บางอย่างในเลเยอร์ที่สองได้ - ผู้โจมตีสามารถสร้างอุปกรณ์ที่สร้างการรบกวนที่ความถี่ที่แน่นอน (เช่น 2.4 GHz) ได้อย่างง่ายดาย ซึ่งทำให้ไม่สามารถส่งข้อมูลผ่านช่องทางนั้นได้ “jammer” อาจเป็นเครื่องส่งที่ออกแบบมาเป็นพิเศษหรือการ์ดไคลเอนต์ไร้สายกำลังสูง หรือแม้แต่จุดเชื่อมต่อที่ทำให้ช่องทางที่เลือกเต็มไปด้วยการรับส่งข้อมูล “ขยะ” ยิ่งไปกว่านั้น มันจะค่อนข้างยากที่จะพิสูจน์ความจริงของการโจมตี DoS โดยเจตนา ที่ดาต้าลิงก์เลเยอร์ของสแต็ก OSI มีความเป็นไปได้ที่จะแสดงวิธีต่างๆ มากมายในการดำเนินการโจมตี DoS ซึ่งจะใช้งานได้ง่ายกว่าการโจมตีแบบเดียวกันบนเครือข่ายแบบใช้สายทั่วไป หนึ่งในเทคนิคที่ใช้กันมากที่สุดในการโจมตีเลเยอร์ลิงก์คือการควบคุมเสาอากาศแบบหลากหลาย ผู้เชี่ยวชาญยังเน้นย้ำถึงประเภทของการโจมตี DoS บน data link layer ซึ่งประกอบด้วยการท่วมท้นด้วยเฟรมปลอม หากต้องการใช้การโจมตีนี้บนโฮสต์ จะมีการสตรีมเฟรมพร้อมคำขอให้ยุติเซสชันและตัดการเชื่อมต่อโดยใช้ซอฟต์แวร์พิเศษ

การโจมตีแบบแทรกกลางการสื่อสาร ซึ่งโดยทั่วไปจะมีสองรูปแบบบนเครือข่ายไร้สาย ได้แก่ การดักฟังและการยักย้าย ซึ่งทำได้ง่ายกว่ามากบนเครือข่ายไร้สาย กลไกประการหนึ่งสำหรับการดำเนินการโจมตีประเภทนี้อธิบายไว้ใน ผู้โจมตีที่เวิร์กสเตชันของเขาเลียนแบบโหนดการเข้าถึงที่มีสัญญาณแรงกว่าโหนดการเข้าถึงจริง ไคลเอนต์ไร้สายจะสลับไปยังโหนดการเข้าถึงใหม่โดยอัตโนมัติ โดยถ่ายโอนการรับส่งข้อมูลทั้งหมดไปยังโหนดดังกล่าว ในทางกลับกัน ผู้โจมตีจะส่งทราฟฟิกนี้ไปยังโหนดการเข้าถึงจริงภายใต้หน้ากากของเวิร์กสเตชันไคลเอนต์

จากมุมมองของผู้โจมตี ยิ่งกำลังเอาต์พุตและความไวในการรับของอุปกรณ์ไร้สายยิ่งสูงเท่าไรก็ยิ่งดีเท่านั้น ยิ่งมีกำลังขับมากเท่าใด โอกาสในการเชื่อมต่อกับเครือข่ายเป้าหมายจากระยะไกลก็จะยิ่งมากขึ้นเท่านั้น การโจมตีก็จะยิ่งง่ายขึ้นเท่านั้น ในทางกลับกัน ยิ่งความไวในการรับข้อมูลมากเท่าใด การตรวจจับเครือข่ายไร้สายก็จะยิ่งง่ายขึ้นเท่านั้น ความเร็วในการเชื่อมต่อก็จะเร็วขึ้น และปริมาณการรับส่งข้อมูลจะถูกดักจับและวิเคราะห์ได้มากขึ้น

มีโอกาสโจมตีที่ไม่ค่อยชัดเจนซึ่งใช้ประโยชน์จากการตั้งค่าของพารามิเตอร์เลเยอร์ 2 บางตัวในเครือข่าย 802.11 เช่น โหมดประหยัดพลังงาน และการตรวจจับผู้ให้บริการเสมือน (โปรโตคอล RTS/CTS) ในการโจมตีที่มุ่งเป้าไปที่โหมดประหยัดพลังงาน ผู้โจมตีสามารถแสร้งทำเป็นไคลเอนต์ในโหมดสลีป และตรวจสอบลักษณะของเฟรมที่สะสมโดยจุดเข้าใช้งานของเหยื่อ เมื่อไคลเอนต์หยิบเฟรมขึ้นมา จุดเชื่อมต่อจะล้างบัฟเฟอร์ ปรากฎว่าลูกค้าจริงจะไม่มีวันได้รับเฟรมที่ต้องการ ผู้โจมตีสามารถปลอมแปลงเฟรม Traffic Indication Map (TIM) ที่ส่งมาจากจุดเข้าใช้งานแทน พวกเขาแจ้งให้ลูกค้าที่กำลังจำศีลทราบว่ามีข้อมูลใหม่มาถึงแล้ว ถึงเวลาที่ต้องตื่นและหยิบมันขึ้นมา หากผู้โจมตีสามารถหลอกไคลเอนต์ในโหมดสลีปให้เชื่อว่าไม่มีข้อมูลใหม่บนจุดเชื่อมต่อ ไคลเอนต์จะไม่ตื่นจากโหมดนี้ การโจมตี DoS ต่อเครือข่ายที่ใช้การตรวจจับผู้ให้บริการเสมือนนั้นเป็นการโจมตีตามอัลกอริทึมที่มีลำดับความสำคัญ ผู้โจมตีสามารถทำให้เครือข่ายเต็มไปด้วยคำขอส่ง (RTS) โดยตั้งค่าฟิลด์ “ระยะเวลาการส่งข้อมูล” ให้เป็นค่าที่สูง และด้วยเหตุนี้จึงสงวนสื่อทางกายภาพไว้สำหรับการรับส่งข้อมูลของเขา โดยปฏิเสธโฮสต์อื่น ๆ ที่เข้าถึงช่องทางการสื่อสาร เครือข่ายจะเต็มไปด้วยเฟรม Clear to Send (CTS) ที่ส่งมาเพื่อตอบสนองต่อทุกเฟรม RTS โฮสต์บนเครือข่ายไร้สายจะถูกบังคับให้ปฏิบัติตามคำแนะนำและหยุดการส่งสัญญาณ

กลุ่มที่แยกออกมาประกอบด้วยการโจมตีที่มุ่งเป้าไปที่การแฮ็กอัลกอริธึมการป้องกันการเข้ารหัสที่ใช้ในเครือข่ายไร้สาย โปรโตคอลความปลอดภัย WEP (Wired Equivalent Privacy) เป็นโปรโตคอลความปลอดภัยแรกที่อธิบายโดยมาตรฐาน IEEE 802.11 หนึ่งในช่องโหว่ที่เป็นที่รู้จักและรายงานมากที่สุดในเครือข่ายไร้สายใน WEP คือรูปแบบการตรวจสอบสิทธิ์ การใช้ WEP หมายความว่าแต่ละแพ็กเก็ตจะถูกเข้ารหัสโดยใช้รหัสสตรีม RC4 ซึ่งจะถูกถอดรหัสเมื่อมาถึงจุดเข้าใช้งาน WEP ใช้คีย์ลับในการเข้ารหัสและรวมเข้ากับข้อมูล 24 บิตที่เรียกว่าเวกเตอร์การเริ่มต้น (IV) เนื่องจาก WEP ใช้ 24 บิตในการคำนวณ IV ดังนั้น IV จึงจะถูกทำซ้ำเมื่อใช้เครือข่ายที่มีการรับส่งข้อมูลสูง ดังนั้น กระแสคีย์จะเหมือนกัน และผู้โจมตีจะต้องทำคือรวบรวมแพ็กเก็ตข้อมูลในช่วงเวลาหนึ่งและเรียกใช้โปรแกรมพิเศษที่สร้างขึ้นสำหรับการถอดรหัสคีย์ WEP โดยเฉพาะ

ปัจจุบันมีเครื่องมือสี่ประเภทสำหรับทำลายการเข้ารหัสในเครือข่ายไร้สาย: 1) เครื่องมือสำหรับทำลายโปรโตคอล WEP; 2) หมายถึงการดึงคีย์ WEP ที่เก็บไว้ในโฮสต์ไคลเอ็นต์ 3) หมายถึงการฉีดทราฟฟิกเพื่อเร่งการแคร็ก WEP 4) หมายถึงการโจมตีระบบการตรวจสอบสิทธิ์ที่กำหนดในมาตรฐาน 802.1x คำอธิบายของวิธีการและเครื่องมือเหล่านี้สำหรับการนำไปปฏิบัติได้รับรายละเอียดโดย A.A. วลาดิมีรอฟ.

ระเบียบวิธีในการปกป้องข้อมูลระหว่างการส่งข้อมูลในเครือข่ายแบบกระจายไร้สาย

ข้อความต้นฉบับเป็นข้อความที่ส่งผ่านเครือข่ายโดยใช้วิธีที่เสนอในงานที่นำมาใช้ในระบบนี้

Demultiplexer (D) เป็นโมดูลที่รับผิดชอบในการแบ่งข้อมูลที่มาถึง (ข้อความต้นฉบับ) ลงในเส้นโครงและส่ง อุปกรณ์แยกส่งสัญญาณยังสามารถกำหนดฟังก์ชันในการกำหนดสถานะของเครือข่ายตามสถานะของส่วนประกอบของระบบบางอย่าง เช่น บัฟเฟอร์การส่งสัญญาณและสัญญาณบริการบางอย่าง (การตอบรับ)

Multiplexer (M) - โมดูลที่ทำหน้าที่ย้อนกลับของ demultiplexer โมดูลนี้จะรวบรวมการฉายภาพ (ส่วนของข้อมูล) ที่ส่งผ่านช่องทางต่างๆ ให้เป็นสตรีมเดียว โดยสร้างเป็นข้อความต้นฉบับ เช่นเดียวกับอุปกรณ์แยกส่งสัญญาณแบบมัลติเพล็กเซอร์ มัลติเพล็กเซอร์สามารถตรวจจับเหตุการณ์บางอย่างในเครือข่ายตามสถานะของโฟลว์ที่เข้าสู่เครือข่าย เครื่องส่ง (Ff, і є) - โมดูลที่รับผิดชอบในการถ่ายโอนข้อมูล เครื่องส่งยังใช้ตรรกะบางอย่างที่จำเป็นสำหรับการทำงานที่ถูกต้องของอัลกอริธึมมัลติเพล็กเซอร์และดีมัลติเพล็กเซอร์ อุปกรณ์แยกสัญญาณ มัลติเพล็กเซอร์ และตัวส่งสัญญาณเป็นส่วนประกอบหลักของระบบ อุปกรณ์ทางกายภาพ - คอมพิวเตอร์ที่แอพพลิเคชั่นซอฟต์แวร์ของมัลติเพล็กเซอร์ ตัวส่งสัญญาณ อุปกรณ์แยกส่งสัญญาณ หรือแอพพลิเคชั่นหลาย ๆ ตัวถูกดำเนินการพร้อมกัน ช่องทางการสื่อสารแบบลอจิคัลระหว่างอุปกรณ์คือการเชื่อมต่อแบบลอจิคัลของโปรโตคอล TCP หรือ UDP ช่องสัญญาณทางกายภาพคือส่วนที่แยกจากกันโดยเฉพาะของการส่งข้อมูล IP ซึ่งแสดงถึงสื่อกลางในการส่งสัญญาณทางกายภาพบางอย่าง ช่องทางลอจิคัลหลายช่องและการเชื่อมต่อ TCP หรือ UDP ต่างๆ สามารถสร้างขึ้นได้ในช่องทางทางกายภาพช่องเดียว พื้นที่การส่งข้อมูลคือชุดของส่วนประกอบเชิงตรรกะของระบบ ซึ่งเป็นหน่วยการทำงานอิสระที่สมบูรณ์ โซนนี้ดำเนินการกระจาย ถ่ายโอน และรวบรวมข้อมูล แต่ละโซนประกอบด้วยมัลติเพล็กเซอร์ อุปกรณ์แยกส่งสัญญาณ และตัวส่งสัญญาณอย่างน้อยหนึ่งคู่ สาขาการส่งข้อมูลเป็นลำดับของอุปกรณ์ลอจิคัลที่เชื่อมต่อตามรูปแบบต่อไปนี้: อุปกรณ์แยกส่งสัญญาณ - เครื่องส่ง - มัลติเพล็กเซอร์ วัตถุประสงค์หลักของส่วนประกอบดีมัลติเพล็กซ์เซอร์และมัลติเพล็กเซอร์คือเพื่อแยกและรวบรวมข้อมูล นอกจากนี้ส่วนประกอบเหล่านี้ยังส่งและรับข้อมูลแบบแบ่งส่วนอีกด้วย ตัวเลือกที่ชัดเจนที่สุดสำหรับการนำระบบไปใช้งานบนเครือข่าย IP อยู่ที่เลเยอร์เซสชันของโมเดล OSI ดังนั้นเพื่อการทำงานที่ถูกต้องจึงจำเป็นต้องใช้ส่วนประกอบระดับกลาง - เครื่องส่งสัญญาณ พวกมันทำหน้าที่เป็นโหนดระหว่างที่สร้างการเชื่อมต่อเชิงตรรกะ หลังจากประมวลผลข้อมูลที่เลเยอร์แอปพลิเคชันของสแต็ก TCP หรือ UDP แล้ว แพ็กเก็ตจะถูกถ่ายโอนไปยังเลเยอร์เครือข่าย IP ในส่วนหัวของแพ็กเก็ต IP ที่ได้รับ ฟิลด์ผู้ส่งจะมีที่อยู่ IP ของอุปกรณ์แยกส่งสัญญาณ และฟิลด์ผู้รับจะมีที่อยู่ IP ของเครื่องส่งสัญญาณ ด้วยการใช้งานนี้ "ที่อยู่ทั่วโลก" จึงถูกซ่อนไว้เช่น ที่อยู่ของปลายทางสุดท้ายและที่อยู่ของอุปกรณ์ที่ส่งข้อมูลในตอนแรก ดังนั้น เมื่อดักจับและวิเคราะห์แพ็กเก็ตในส่วนทรานสมิตเตอร์-มัลติเพล็กเซอร์ จึงไม่สามารถระบุที่อยู่ของดีมัลติเพล็กเซอร์ได้ สิ่งนี้แสดงไว้อย่างชัดเจนในส่วนหัวของแพ็กเก็ต IP เมื่อส่งผ่านจากดีมัลติเพล็กซ์เซอร์ไปยังมัลติเพล็กเซอร์ ไม่มีที่ไหนในหัวข้อ หากมัลติเพล็กเซอร์และดีมัลติเพล็กเซอร์ทำงานร่วมกันโดยตรง จากนั้นโดยการสกัดกั้นแพ็กเก็ตที่แยกจากกัน ก็จะเป็นไปได้ที่จะระบุที่อยู่ของดีมัลติเพล็กเซอร์และมัลติเพล็กเซอร์ ซึ่งไม่สามารถยอมรับได้ นอกจากนี้ในกรณีนี้ มันจะเป็นไปไม่ได้ที่จะดำเนินการความหลากหลายของช่องสัญญาณ เนื่องจากสตรีมลอจิคัลที่แยกจากกันจะถูกส่ง (กำหนดเส้นทาง) ตามเส้นทางทางกายภาพเดียวกัน แนวทางแก้ไขที่นำเสนอเกี่ยวข้องกับการเพิ่มความปลอดภัยของข้อมูลในกรณีที่มีการเข้าถึงสื่อการรับส่งข้อมูลโดยไม่ได้รับอนุญาตตามวิธีการทางกายภาพที่มีอยู่ คุณลักษณะเฉพาะของระบบคือเชื่อมโยงอย่างสมบูรณ์กับคุณสมบัติของสื่อการส่งสัญญาณและโทโพโลยีของโครงสร้างเครือข่าย โดยอาศัยการมีอยู่ของความซ้ำซ้อนของโครงสร้าง ซึ่งเป็นลักษณะเฉพาะของอินเทอร์เน็ต มีการเสนอให้ปรับปรุงระบบ "demultiplexer - เครื่องส่งสัญญาณ - มัลติเพล็กเซอร์" โดยการพัฒนาเครื่องมือที่ช่วยให้เครื่องส่งสัญญาณดำเนินการกำหนดเส้นทาง "อัจฉริยะ" อัตโนมัติ การนำแนวทางนี้ไปใช้ประกอบด้วยการติดตั้งแอปพลิเคชัน "บริการที่กำหนดเส้นทางได้" บนเครื่องส่งสัญญาณ ซึ่งจะแก้ไขการทำงานของโปรโตคอลการกำหนดเส้นทางสำหรับข้อมูลที่ติดป้ายกำกับ ระบบทราฟฟิคมัลติเพล็กซ์มีความเสี่ยงต่อการโจมตีเครือข่ายแบบแอคทีฟที่อธิบายไว้ในบทแรก ลองดูอีกครั้งที่การโจมตีเครือข่ายที่ใช้งานอยู่ - การโจมตีโดยใช้การดมกลิ่น (รูปที่ 8) ผู้โจมตีโดยรู้ว่าองค์กรบางแห่งส่งข้อมูลจาก A ถึง G เป็นประจำสามารถระบุเส้นทางจาก A ถึง G ได้อย่างแม่นยำในเวลาที่ At และสกัดกั้นเส้นทางการจราจรบางเส้นทาง F1, F2, F3yF4J75 - เครื่องส่งสัญญาณของระบบมัลติเพล็กซ์การรับส่งข้อมูลหากใช้ในเครือข่ายแบบกระจายหรือในกรณีทั่วไปคือเซิร์ฟเวอร์โหนดบางตัวที่จำเป็นสำหรับการแสดงเชิงพื้นที่ของเส้นทางการรับส่งข้อมูล โดยการส่งแพ็กเก็ตติดตามผู้บุกรุกในเวลาที่กำหนดเส้นทางการรับส่งข้อมูล (แสดงเป็นเส้นประ) และเริ่มการโจมตีบนเราเตอร์ที่ควบคุมซึ่งอยู่ในส่วน F2F5 แอปพลิเคชัน "บริการกำหนดเส้นทาง" (SM) ได้รับการพัฒนาเพื่อปรับปรุงความปลอดภัยของการส่งข้อมูลในเครือข่ายไร้สายแบบกระจายภายใต้อิทธิพลของการโจมตีที่ใช้งานอยู่ SM เป็นแอปพลิเคชันไคลเอนต์-เซิร์ฟเวอร์ที่ช่วยให้ผู้ใช้สามารถถ่ายโอนข้อมูลผ่านเส้นทางเฉพาะ

การประเมินความเป็นไปได้ที่ภัยคุกคามชั้นสองจะเกิดขึ้นจริง

พารามิเตอร์ต่อไปนี้ถูกตั้งค่าสำหรับอัลกอริทึมนี้ Fs = (Fsi, Fs2, -, FSj, .... FSF) - ชุดของเซิร์ฟเวอร์เครือข่ายที่เชื่อถือได้ F - \FS\ - จำนวนเซิร์ฟเวอร์เครือข่ายที่เชื่อถือได้ ta คือระยะเวลาของการโจมตีประเภทหนึ่งบนเซิร์ฟเวอร์ที่เชื่อถือได้ иj คือระยะเวลาการโจมตีซ้ำ u2 - ระยะเวลาการบล็อกเซิร์ฟเวอร์ที่เชื่อถือได้ k - จำนวนประเภทของการโจมตี i, j, t เป็นตัวแปรเสริม

มีการแนะนำฟังก์ชันและขั้นตอนต่อไปนี้ CurrentTime() เป็นฟังก์ชันที่ส่งคืนเวลาปัจจุบันในรูปแบบ “dd.mm.yyyy hh24:mi:ss” ฟังก์ชันที่สร้างจำนวนเต็มสุ่มหลอกโดยใช้การดำเนินการสุ่มซึ่งอยู่ในช่วง x = 1 Unblock) เป็นขั้นตอนที่สลับเซิร์ฟเวอร์ FjB ไปที่โหมด "พร้อมใช้งาน" Aj(Fj) คือฟังก์ชันการกระจายของตัวแปรสุ่มแบบไม่ต่อเนื่อง “ผลลัพธ์ของการโจมตีเซิร์ฟเวอร์ F” โดยมีความน่าจะเป็นที่จะรับค่า 1 (โจมตีสำเร็จ) เท่ากับ Pi และความน่าจะเป็นที่จะรับค่า 0 (โจมตีล้มเหลว) ) เท่ากับ 1 -/?,- Pause(ґ) - ขั้นตอนที่ใช้การหยุดชั่วคราวเป็นเวลา t; ฟังก์ชั่นที่ส่งคืนสถานะของเซิร์ฟเวอร์ Fj (พร้อมใช้งาน - 0; ถูกบล็อก - 1); Block(i x) เป็นฟังก์ชันที่ทำให้เซิร์ฟเวอร์ F เข้าสู่โหมด "ถูกบล็อก" และส่งคืนเวลาปัจจุบันในรูปแบบ "dd.mm.yyyy hh24:mi:ss" เป็นตัวแปร x การใช้การดำเนินการสุ่มเลือกหนึ่งในเซิร์ฟเวอร์เครือข่ายที่เชื่อถือได้และการโจมตีเครือข่ายประเภทหนึ่ง การทดลองดำเนินการ A,(FSj) - "การโจมตีเซิร์ฟเวอร์ FSj" ซึ่งกำหนดโดยตัวแปรสุ่มแบบไม่ต่อเนื่องที่มีการแจกแจง "ความน่าจะเป็นที่จะยอมรับค่า 1 (ความสำเร็จ) เท่ากับ /?,- ความน่าจะเป็นของการยอมรับ ค่า 0 (ความล้มเหลว) เท่ากับ 1-/?” ใช่ หากสำเร็จ เซิร์ฟเวอร์จะถูกบล็อกและไม่สามารถใช้งานได้เป็นระยะเวลา i2 ในแง่ของช่องโหว่ต่อการโจมตีประเภทพื้นฐาน เซิร์ฟเวอร์ที่เชื่อถือได้ก็ไม่แตกต่างจากเซิร์ฟเวอร์เครือข่ายแบบกระจายทั่วไปซึ่งผู้โจมตีไม่สามารถเข้าถึงได้ในตอนแรก เพื่อให้โจมตีเซิร์ฟเวอร์ที่เชื่อถือได้ได้สำเร็จ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ต่อไปนี้: ข้อผิดพลาดที่ไม่มีเอกสารในระบบปฏิบัติการเซิร์ฟเวอร์ ข้อผิดพลาดในโปรแกรมเสริม ข้อผิดพลาดในการดูแลเซิร์ฟเวอร์ ช่องโหว่ประเภทต่างๆ นำไปสู่ความเป็นไปได้ในการใช้งานภัยคุกคามประเภทต่างๆ: การสูญเสียการรักษาความลับ การโจมตีโดยปฏิเสธการให้บริการ การดำเนินการรหัสที่ไม่ได้รับอนุญาตบนเซิร์ฟเวอร์ ฯลฯ ยิ่งมีช่องโหว่มากเท่าไหร่ก็ยิ่งโจมตีเซิร์ฟเวอร์ได้ง่ายขึ้นเท่านั้น ดังนั้นเราจึงสามารถแนะนำค่าสัมประสิทธิ์ช่องโหว่ของเซิร์ฟเวอร์ได้ pj є F , j є )

บทความที่เกี่ยวข้อง