770руб.

Опис

Вступ

Історія бездротових технологій передачі почалася наприкінці ХІХ століття з передачею першого радіосигналу і появою у 20-ті роки ХХ століття перших радіоприймачів. У роки з'явилося телебачення.
У роки створені перші бездротові телефонні системи як природний результат задоволення потреб у мобільної передачі голосу. Спочатку це були аналогові мережі, а на початку 80-х був розроблений стандарт GSM, який ознаменував початок переходу на цифрові стандарти, які забезпечують кращу якість сигналу, кращу безпеку.

Фрагмент роботи для ознайомлення

WPA
сучасний стандарт, про який домовилися виробники обладнання
ОС
операційна система
WPA2
друга версія набору алгоритмів та протоколів, що забезпечують захист даних у бездротових мережах Wi-Fi.
WEP(Wired Equivalent Privacy)
протокол безпеки
COOKIE
невеликий фрагмент даних, створений веб-сервером або веб-сторінкою та зберігається на комп'ютері користувача у вигляді файлу
HTTPS
розширення протоколу HTTP, що підтримує шифрування
BRUTEFORCE
метод злому паролів шляхом перебору
Вступ
Історія бездротових технологій передачі почалася наприкінці ХІХ століття з передачею першого радіосигналу і появою у 20-ті роки ХХ століття перших радіоприймачів. У роки з'явилося телебачення.
У 70-ті роки створені перші бездротові телефонні системи як природний результат задоволення потреб у мобільній передачі голосу. Спочатку це були аналогові мережі, а на початку 80-х був розроблений стандарт GSM, значущий початок переходу на цифрові стандарти, як такі, що забезпечують кращу якість сигналу, кращу безпеку.
Дуже перспективний розвиток бездротових локальних мереж (WLAN), Bluetooth (мережі середніх і коротких відстаней). Бездротові мережі розгортаються в аеропортах, університетах, ресторанах, підприємствах. Наприкінці 90-х років користувачам було запропоновано WAP-послугу, яка спочатку не викликала у населення великого інтересу. Це були основні інформаційні послуги – новини, погода, різноманітні розклади тощо. Також дуже низьким попитом користувалися спочатку і Bluetooth, і WLAN переважно через високу вартість цих засобів зв'язку. До середини першого десятиліття XXI століття рахунок користувачів бездротового Інтернет-сервісу пішов на десятки мільйонів. З появою бездротового Інтернету - зв'язку на перший план вийшли питання безпеки. Як і будь-яка комп'ютерна мережа, Wi-Fi є джерелом підвищеного ризику несанкціонованого доступу. Крім того, проникнути в бездротову мережу значно простіше, ніж у звичайну - не потрібно підключатися до проводів, достатньо опинитися в зоні прийому сигналу.
Але перш ніж приступати до захисту бездротової мережі необхідно зрозуміти основні принципи її організації.
1. Стандарт безпеки WEP
Усі сучасні бездротові пристрої (точки доступу, бездротові адаптери та маршрутизатори) підтримують протокол безпеки WEP (Wired Equivalent Privacy). Цей протокол є свого роду аналогом провідної безпеки.
Процедура WEP-шифрування виглядає так. Спочатку дані, що передаються в пакеті, перевіряються на цілісність, після чого контрольна сума додається в службове поле заголовка пакета. Далі генерується 24-бітовий вектор ініціалізації, а до нього додається статичний (40 або 104-бітний) секретний ключ. Отриманий таким чином 64 або 128-бітний ключ і є вихідним ключем для генерації псевдовипадкового числа, яке використовується для шифрування даних.
Протокол безпеки WEP передбачає два способи автентифікації користувачів: Open System (відкрита) та Shared Key (загальна). При використанні відкритої аутентифікації, по суті, жодної аутентифікації не виконується, тобто будь-який користувач може отримати доступ до бездротової мережі. Однак, навіть при відкритій системі допускається застосування WEP-шифрування даних.
2. Захист від непроханих гостей

Список літератури

Список літератури

1. Кудін А.В. //Безпека та якість послуг стільникового рухомого зв'язку. Термінологічний довідник 2014р. // http://www.techbook.ru/book.php?id_book=688(11.03.2014)
2. Сергій Пахомов // Захист бездротових мереж від злому //
http://compress.ru/article.aspx?id=16254(11.03.2014)

Будь ласка, уважно вивчайте зміст та фрагменти роботи. Гроші за придбані готові роботи через невідповідність цієї роботи вашим вимогам або її унікальності не повертаються.

* Категорія роботи носить оцінний характер відповідно до якісних та кількісних параметрів наданого матеріалу. Цей матеріал ні повністю, ні будь-яка з його частин не є готовою науковою працею, випускною кваліфікаційною роботою, науковою доповіддю або іншою роботою, передбаченою державною системою наукової атестації або необхідною для проходження проміжної або підсумкової атестації. Даний матеріал являє собою суб'єктивний результат обробки, структурування та форматування зібраної його автором інформації та призначений, перш за все, для використання як джерело для самостійної підготовки роботи зазначеної тематики.

Неймовірно швидкі темпи впровадження у сучасних мережах бездротових рішень змушують замислитись про надійність захисту даних.

Сам принцип бездротової передачі даних містить у собі можливість несанкціонованих підключень до точок доступу.

Не менш небезпечна загроза – ймовірність розкрадання обладнання. Якщо політика безпеки бездротової мережі побудована на МАС-адресах, то мережна карта або точка доступу, вкрадена зловмисником, може відкрити доступ до мережі.

Часто несанкціоноване підключення точок доступу до ЛОМ виконується самими працівниками підприємства, які не замислюються про захист.

Вирішенням таких проблем потрібно займатися комплексно. Організаційні заходи вибираються з умов роботи кожної конкретної мережі. Що ж до заходів технічного характеру, то дуже хороший результат досягається під час використання обов'язкової взаємної аутентифікації пристроїв і запровадження активних засобів контролю.

У 2001 році з'явилися перші реалізації драйверів та програм, що дозволяють впоратися із шифруванням WEP. Найвдаліший - PreShared Key. Але і він хороший тільки при надійній шифрації та регулярній заміні якісних паролів (рис.1).

Рисунок 1 – Алгоритм аналізу зашифрованих даних

Сучасні вимоги до захисту

Аутентифікація

В даний час у різному мережевому обладнанні, у тому числі в бездротових пристроях, широко застосовується більш сучасний спосіб аутентифікації, який визначений у стандарті 802.1х - доки не буде проведено взаємну перевірку, користувач не може приймати ні передавати жодних даних.

Ряд розробників використовують для аутентифікації у своїх пристроях протоколи EAP-TLS та PEAP, Cisco Systems, пропонує для своїх бездротових мереж, крім згаданих, такі протоколи: EAP-TLS, РЕАР, LEAP, EAP-FAST.

Усі сучасні методи автентифікації мають на увазі підтримку динамічних ключів.

Головний недолік LEAP та EAP-FAST – ці протоколи підтримуються в основному в обладнанні Cisco Systems (рис. 2).

Малюнок 2 - Структура пакета 802.11x при використанні TKIP-PPK, MIC та шифрації WEP.

Шифрування та цілісність

На підставі рекомендацій 802.11i Cisco Systems реалізовано протокол ТКІР (Temporal Integrity Protocol), що забезпечує зміну ключа шифрування РРК (Per Packet Keying) у кожному пакеті та контроль цілісності повідомлень MIC (Message Integrity Check).

Інший перспективний протокол шифрування та забезпечення цілісності – AES (Advanced Encryption Standart). Він має кращу криптостійкість порівняно DES і ГОСТ 28147-89. Він забезпечує і шифрацію, і цілісність.

Зауважимо, що алгоритм (Rijndael), що використовується в ньому, не вимагає великих ресурсів ні при реалізації, ні при роботі, що дуже важливо для зменшення часу затримки даних і навантаження на процесор.

Стандарт безпеки в бездротових локальних мережах - 802,11i.

Стандарт Wi-Fi Protected Access (WPA) – це набір правил, що забезпечують реалізацію захисту даних у мережах 802.11х. Починаючи з серпня 2003 року, відповідність стандартам WPA є обов'язковою вимогою до обладнання, що сертифікується на звання Wi-Fi Certified.

Специфікація WPA включає змінений протокол TKOP-PPK. Шифрування проводиться на поєднанні кількох ключів - поточного та наступного. У цьому довжина IV збільшена до 48 біт. Це дає можливість реалізувати додаткові заходи захисту інформації, наприклад посилити вимоги до реасоціацій, реаутентифікацій.

Специфікації передбачають і підтримку 802.1х/EAP, і автентифікацію з ключем, що розділяється, і, безсумнівно, управління ключами.

Таблиця 3 – Способи реалізації політики безпеки

Продовження таблиці 3

За умови використання сучасного обладнання та ПЗ в даний час цілком можливо побудувати на базі стандартів серії 802.11х захищену та стійку до атак бездротову мережу.

У більшості випадків бездротова мережа пов'язана з провідною, а це, крім необхідності захищати бездротові канали, необхідно забезпечувати захист у провідних мережах. В іншому випадку мережа матиме фрагментарний захист, що є загрозою безпеці. Бажано використовувати обладнання, що має сертифікат Wi-Fi Certified, тобто підтверджує відповідність WPA.

Потрібно впроваджувати 802.11х/EAP/TKIP/MIC та динамічне управління ключами. У разі змішаної мережі необхідно використовувати віртуальні локальні мережі; за наявності зовнішніх антен застосовується технологія віртуальних приватних мереж VPN.

Необхідно поєднувати як протокольні та програмні засоби захисту, так і адміністративні.

ГЛАВА 3 ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ

У зв'язку з бурхливим розвитком локальних і глобальних обчислювальних мереж широкого розвитку набули й методи розвідки (промислового шпигунства), створені задля перехоплення інформації, оброблюваної (переданої, що зберігається) у локальних мережах.

Проникнення в локальну мережу будь-якої організації можливе лише за недостатньо кваліфікованого налаштування всіх елементів локальної мережі адміністратором системи. У разі грамотного налаштування, зловмисникам необхідно шукати методи добування інформації, не пов'язані з проникненням в локальну мережу. Для цього використовуються методи перехоплення інформації по каналах побічних випромінювань та наведень (ПЕМІН) елементів локальної мережі. Методику захисту окремих комп'ютерів досить добре опрацьовано, підкріплено необхідними нормативними документами. Завдання захисту інформації від витоку по каналах ПЕМІН в локальній мережі істотно складніше, ніж для автономно використовуваних пристроїв.

Джерелами електромагнітних випромінювань у локальній мережі є робочі станції та активне мережеве обладнання. Для захисту від витоку інформації каналами побічних випромінювань і наведень застосовується екранування цього устаткування. Для зниження рівня випромінювань активного обладнання локальної мережі обладнання та сервери найкраще розміщувати в екранованій шафі.

Для комп'ютерів в даний час доступні корпуси, які відповідають вимогам Європейської Директиви з електромагнітної сумісності (European EMS Directive 89/336/EEC). Сучасні корпуси дозволяють значно послабити випромінювання елементів комп'ютера, але більшість потребує додаткового доопрацювання. Якість екранування корпусу системного блоку комп'ютера впливає рівень випромінювання всіх пристроїв, підключених до системного блоку (наприклад, клавіатури). Стандартна клавіатура має дуже високий рівень випромінювання. У той же час з клавіатури вводяться дуже критичні з погляду безпеки дані, включаючи паролі користувачів та адміністратора системи. Для перехоплення випромінювання клавіатури можна використовувати простий короткохвильовий приймач. Враховуючи також, що дані, які вводяться з клавіатури, вводяться в послідовному коді і тому можуть бути легко інтерпретовані, випромінювання, створювані клавіатурою, слід вважати найбільш небезпечними. Результати вимірювань рівня електричної (рис.3) і магнітної (рис.4) складових показав, що комп'ютери з різними серійно випускаються корпусами системних блоків потужність побічних випромінювань від клавіатури може відрізнятися більш ніж у 100 разів.

Рисунок 3 - Рівні електричної складової

Рисунок 4 - Рівні магнітної складової

Аналогічні співвідношення виходять для інших пристроїв, що входять до складу ПК.

Завдання доопрацювання стандартних корпусів та шаф:

По-перше, у місцях з'єднання окремих конструкцій корпусу завжди є щілини, що істотно погіршують екрануючі властивості.

По-друге, корпус електронного приладу не може бути герметичним, оскільки потрібні вентиляційні отвори для відведення тепла.

По-третє, конструкція корпусу, що екранує, не може бути розрахована заздалегідь. Тому доопрацювання стандартного корпусу з метою поліпшення його властивостей, що екранують, це завжди експериментальна робота.

Зараз існує безліч матеріалів, призначених для поліпшення екрануючих властивостей корпусів - всілякі ущільнювачі, що пружинять, електропровідні еластомери, самоклеючі металізовані покриття.

Джерелом випромінювання є блок живлення. Внутрішнє живлення подається через фільтр, що перешкоджає поширенню побічних випромінювань уздовж проводів. Але розрахувати фільтр для повного придушення випромінювань практично неможливо, тому що на його характеристики впливають дуже багато параметрів зовнішньої мережі. Жоден фільтр, що серійно виготовляється, не може повністю виконувати свої функції в широкій смузі частот. Хороші фільтри - це компромісне рішення, яке тільки в більшості випадків задовольняє вимогам, що висуваються до фільтра.

Залежно від цього характеристики захисту інформації від витоку каналами ПЕМІН автономного комп'ютера чи комп'ютера у складі мережі, можуть істотно відрізнятися. І основним чинником, що призводить до відмінності параметрів, є заземлення пристроїв.

В автономних пристроях заземлення не покращує і не погіршує їх властивостей, що екранують. Заземлення потрібне лише за вимогами техніки електробезпеки. При грамотно виконаному заземленні рівень побічних випромінювань дещо знижується. Але в деяких випадках при підключенні заземлення рівень побічних випромінювань може збільшитися.

Кабельна система не містить активних елементів, тому сама по собі вона не може бути джерелом побічних випромінювань. Проте кабельна система пов'язує між собою всі елементи комп'ютерної мережі. По ній передаються мережеві дані і є також приймачем всіх наведень і середовищем для перенесення побічних електромагнітних випромінювань (рис.5).

Малюнок 5 - Побічні електромагнітні випромінювання

Тому слід розрізняти:

Побічний випромінювання, викликане сигналами, що передаються по даній лінії (трафіком локальної мережі);

Прийом та подальше перевипромінювання побічних випромінювань від розташованих поблизу інших ліній та пристроїв;

Випромінювання кабельної системи побічних коливань від елементів мережного активного обладнання та комп'ютерів, до яких підключений кабель.

Найчастіше в оцінці захищеності кабельної системи цікавляться лише, наскільки послаблюється побічний випромінювання, викликане сигналами, передані кабелю у процесі мережного обміну інформацією.

Якщо за радіовипромінювання кабельної системи можна відновити трафік у локальній мережі, це становить велику небезпеку. Насправді трафік локальної мережі досить добре захищений від витоку інформації каналами ПЕМІН. Сучасні кабелі для локальних мереж мають дуже низький рівень випромінювання переданих сигналів. У цих кабелях сигнали передаються по кручений парі проводів, причому кількість скруток на одиницю довжини строго постійно. У принципі, така система взагалі не повинна випромінювати. Більш того, наявність екрана у кручений пари дуже мало впливає на рівень випромінювання сигналів, що передаються по кручений парі. У реальній системі завжди мають місце окремі неоднорідності кабелю, які впливають на рівень побічного випромінювання, що виникає в процесі мережного обміну. Реально на відстані буквально одиниць метрів вже неможливо за електромагнітним випромінюванням сучасного кабелю перехопити інформацію, що передається по ньому. Але в більшості практичних випадків кабельна система – це відмінна антена для всіх побічних випромінювань обладнання, підключеного до мережі. Побічні випромінювання, що у елементах комп'ютера, наводяться попри всі проводи кабелю локальної мережі (рис.6).

Рисунок 6 - Побічні випромінювання в комп'ютерних елементах

Внаслідок цього для побічних випромінювань елементів комп'ютера кабель локальної мережі необхідно розглядати просто як одиночний багатожильний провід, що виходить за межі об'єму екранованого. Поставити для цих дротів фільтр, який пригнічує побічні випромінювання, неможливо. Пригнічуючи побічні випромінювання, ми придушимо мережний трафік. Таким чином, якщо комп'ютер із захистом інформації включити в локальну мережу на неекранованій кручений парі, то проводи кручений пари, граючи роль антени, можуть посилити напруженість поля, створюваного, наприклад, клавіатурою комп'ютера (рис. 2, рис. 3), в десятки тисяч разів. Тому неекранована кручена пара не може застосовуватися в локальній мережі, в якій обробляється інформація з обмеженим доступом. Застосування екранованої крученої пари значно покращують ситуацію.

Локальна комп'ютерна мережу нині не може експлуатуватися автономно, без взаємодії коїться з іншими мережами. Зокрема, будь-яка організація, чи то приватне підприємство, чи орган державного управління, чи відділ МВС, має бути активно представлена ​​в глобальній мережі інтернет. Це і власний сайт, і доступна електронна пошта, і доступ співробітників до інформації глобальної мережі. Така тісна взаємодія входить у конфлікт із вимогами забезпечення безпеки. При взаємодії кількох мереж можуть виникати різні загрози безпеці. Наприклад, при підключенні до глобальної мережі найнешкідливішою з можливих загроз є зламування мережі з хуліганських спонукань. У комп'ютерних мережах державних органів влади циркулює інформація, що становить інтерес для іноземних розвідок. У комп'ютерних мережах МВС циркулює інформація, що становить інтерес для криміналу. Ця інформація може не мати грифа секретності. Проте разом дозволяє отримати досить важливі відомості. Тому, у разі об'єднання комп'ютерних мереж державних органів із глобальною мережею інтернет, крім хуліганських зломів, слід припускати і більш кваліфіковані спроби проникнення в мережу зловмисників. Протистояти таким спробам дуже складно. Тому мережу інтернету необхідно ізолювати від внутрішньої мережі, в якій зосереджені узагальнені дані. Відомо кілька способів ізоляції власної комп'ютерної мережі від глобальної мережі Інтернет з метою забезпечення безпеки. У мережах, у яких не циркулює інформація з обмеженим доступом, для ізоляції мереж зазвичай досить використовувати маршрутизатор. Але серйозний захист від вторгнення з глобальної мережі можна забезпечити лише за допомогою міжмережевих екранів (FireWall). Тому захисту корпоративної інформації комерційних фірм необхідно застосування міжмережевих екранів. Однак для захисту інформації в державних органах зазвичай міжмережевий екран не забезпечує необхідного рівня захисту. Найповніше безпека забезпечується лише у разі фізичної ізоляції мережі Інтернет від власної локальної мережі. Безумовно, це створює певні незручності у роботі та потребує додаткових витрат при створенні комп'ютерної мережі. Проте за умов необхідності протидії криміналу це виправдана міра.

При побудові мереж із фізичною ізоляцією також необхідно враховувати питання захисту від витоку інформації каналами ПЕМІН. У багатьох випадках співробітнику, який працює з інформацією обмеженого доступу, необхідна і можливість виходу в інтернет. На робочому місці встановлюється два комп'ютери, один із яких підключений до локальної мережі підприємства (організації), а другий до мережі Інтернет. У цьому випадку кабелі власної мережі із захистом інформації та кабелі відкритої мережі інтернет дуже важко рознести на достатню відстань. Внаслідок цього інформація, що циркулює в локальній мережі, а також усі побічні випромінювання комп'ютерів, наведені на кабелі локальної мережі, можуть бути наведені і на кабелі відкритої мережі інтернет. Мало того, що кабель відкритої мережі – це досить довга антена (особливо коли відкрита мережа прокладена неекранованим кабелем). Кабелі відкритої мережі зазвичай виходять за межі території, що охороняється, тому зняти інформацію можна не тільки шляхом перехоплення випромінювань, а й шляхом безпосереднього підключення до кабелів відкритої мережі. Тому кабелі відкритої мережі також повинні бути прокладені відповідно до всіх рекомендацій, які виконуються при побудові мережі із захистом інформації.

РОЗДІЛ 4. РОЗРОБКА ЛОКАЛЬНОЇ МЕРЕЖІ З ПІДВИЩЕНИМИ ВИМОГАМИ ДО ЗАХИСТУ ІНФОРМАЦІЇ

Білорусов Дмитро Іванович
Корешков Михайло Сергійович
ТОВ «РІКОМ» м.Москва

Wi-Fi-мережі та загрози інформаційній безпеці

У статті розглянуто прямі та опосередковані загрози інформаційній безпеці, які виникають у зв'язку з розвитком технології бездротового доступу WiFi. Показано, що застосування технології WiFi може загрожувати не лише інформації, що передається безпосередньо за допомогою обладнання WiFi, а й мовної інформації на об'єкті.

Широке застосування мереж бездротової передачі даних на основі технології IEEE 802.11, більш відомої як WiFi, не може не привертати увагу фахівців з інформаційної безпеки об'єктів. У цій статті автори ставлять за мету познайомити читачів з результатами досліджень нових загроз інформаційній безпеці об'єкта, які пов'язані з WiFi-мережами.

Спочатку технологія WiFi була орієнтована на організацію точок швидкого доступу до Інтернету (hotspot) для мобільних користувачів. Технологія дозволяє забезпечити одночасний доступ великої кількості абонентів до мережі Інтернет насамперед у громадських місцях (аеропорти, ресторани тощо). Переваги бездротового доступу очевидні, тим більше, що спочатку технологія WiFi стала стандартом де-факто, і у виробників мобільних комп'ютерів не виникає питання сумісності точок доступу мобільних пристроїв.

Поступово мережі WiFi поширилися і на великі та дрібні офіси для організації внутрішньокорпоративних мереж чи підмереж.

Водночас, великі оператори зв'язку почали розвивати власні сервіси з надання платного бездротового доступу в Інтернет на основі технології WiFi. Такі мережі складаються з великої кількості точок доступу, які організують зони покриття цілих районів міст, подібно до стільникового зв'язку.

Як наслідок в даний час у будь-якому великому місті поряд практично з будь-яким об'єктом розташовано як мінімум кілька WiFi-мереж зі своїми точками доступу та клієнтами, кількість яких може доходити до сотень.

Перейдемо до розгляду загроз інформаційній безпеці, що виникають у зв'язку з використанням WiFi-мереж. Усі загрози можна умовно поділити на два класи:

• прямі - загрози інформаційної безпеки, що виникають при передачі інформації бездротовим інтерфейсом IEEE 802.11;
• непрямі - загрози, пов'язані з наявністю на об'єкті та поруч з об'єктом великої кількості WiFi-мереж, які можуть використовуватися для передачі інформації, у тому числі й отриманої несанкціоновано.

Непрямі загрози актуальні абсолютно всім організацій, і, як буде показано далі, вони становлять небезпеку як інформації, оброблюваної в комп'ютерних мережах, а й, що найважливіше, для мовної інформації.

Розглянемо прямі небезпеки. Для організації бездротового каналу зв'язку технології WiFi використовується радіоінтерфейс передачі даних. Як канал передачі інформації він потенційно схильний до несанкціонованого втручання з метою перехоплення інформації, спотворення або блокування.

Під час розробки технології WiFi враховано деякі питання інформаційної безпеки, проте, як свідчить практика, недостатньо.

Численні «дірки» у безпеці WiFi дали початок окремій течії в галузі комп'ютерного злому, так званому вардрайвінгу (wardriving – англ.). Вардрайвери – це люди, які зламують чужі WiFi-мережі зі «спортивного» інтересу, що, однак, не применшує небезпеку загрози.

Хоча в технології WiFi і передбачено аутентифікацію та шифрування для захисту трафіку від перехоплення на канальному рівні, ці елементи захисту працюють недостатньо ефективно.

По-перше, застосування шифрування знижує швидкість передачі по каналу в кілька разів, і, часто, шифрування навмисне відключається адміністраторами мереж для оптимізації трафіку. По-друге, використання у WiFi-мережах досить поширеної технології шифрування WEP давно було дискредитоване за рахунок слабких місць в алгоритмі розподілу ключів RC4, який використовується спільно з WEP. Існують численні програми, що дозволяють підібрати «слабкі» WEP-ключі. Ця атака отримала назву FMS за першими літерами ініціалів розробників. Кожен пакет, що містить слабкий ключ, з 5% ступенем ймовірності відновлює один байт секретного ключа, тому загальна кількість пакетів, яке атакуючий повинен зібрати для реалізації атаки, залежить в першу чергу від ступеня його щасливості. У середньому для злому потрібно близько шести мільйонів зашифрованих пакетів. Хакери лабораторії H1kari of DasbOden Labs посилили FMS-алгоритм, скоротивши кількість необхідних пакетів із шести мільйонів до 500 тисяч. А в деяких випадках 40/104-бітний ключ зламується лише з трьома тисячами пакетів, що дозволяє атакувати навіть домашні точки доступу, не напружуючи їх надмірним трафіком.

Якщо обмін даними між легальними клієнтами та точкою доступу є незначним або практично відсутнім, зловмисник може змусити жертву генерувати велику кількість трафіку, навіть не знаючи секретного ключа. Достатньо просто перехопити правильний пакет і, не розшифровуючи, ретранслювати його знову.

Розробники устаткування відреагували цілком адекватним чином, змінивши алгоритм генерації векторів ініціалізації те щоб слабкі ключі не виникали.

У серпні 2004 року хакер на ім'я KoreK продемонстрував вихідний код нового криптоаналізатора, який зламує навіть сильні вектори ініціалізації. Для відновлення 40-бітного ключа йому потрібно всього 200 000 пакетів з унікальними векторами ініціалізації, а для 104-бітного - 500 тисяч. Кількість пакетів з унікальними векторами в середньому становить близько 95% від загальної кількості зашифрованих пакетів, так що для відновлення ключа атакуючому потрібно зовсім небагато часу.

У новому обладнанні WiFi використовується технологія WPA - WiFi Protected Access (захищений WiFi доступ), де знову була посилена захищеність бездротових пристроїв. На місце WEP прийшов TKIP (Temporal Key Integrity Protocol)- Протокол короткострокової цілісності ключів), що генерує динамічні ключі, що змінюють один одного з невеликим інтервалом часу. Незважаючи на відносну новизну цієї технології, в комплект деяких утиліт хакерів вже входить спеціальний модуль, що відображає один з ключів протоколу. Для несанкціонованого підключення до точки доступу, захищеної технологією WPA, цього виявилося цілком достатньо.

Стандарт IEEE 802.11i описує більш сучасну систему безпеки (відома під ім'ям WPA2), засновану на криптоалгоритмі AES. Готових утиліт для її злому у відкритому вигляді поки не спостерігається, тож з цією технологією можна почуватися в безпеці. Принаймні якийсь час вона протримається.

Загроза блокування інформації в каналі WiFi практично залишена поза увагою розробки технології, що марно. Звичайно, саме по собі блокування каналу не є небезпечним, оскільки практично завжди мережі WiFi є допоміжними, проте блокування найчастіше є лише підготовчим етапом для атаки man-in-the-middle, коли між клієнтом та точкою доступу з'являється третій пристрій, який перенаправляє трафік між ними через себе. І тут виникає не лише загроза перехоплення інформації, а й її спотворення. Відомі, принаймні, кілька оброблених атак на WiFi-мережі, пов'язаних з відмовою в обслуговуванні DOS (Denail-of-Service), але в рамках цієї статті ми не будемо зупинятися на їх розгляді, обмежимося лише констатацією реальних загроз.

Перейдемо до розгляду непрямих загроз інформаційній безпеці об'єкта, які безпосередньо пов'язані з WiFi-технологією.

Канали WiFi-мереж є вкрай привабливими для використання як транспортна інфраструктура для пристроїв несанкціонованого отримання інформації з цілого ряду причин:

1. Сигнали WiFi-пристроїв мають досить складну структуру і широкий спектр, тому ці сигнали, а тим більше навколишні пристрої WiFi неможливо ідентифікувати звичайними засобами радіомоніторингу.

Як показала практика, впевнене виявлення сигналу WiFi сучасними комплексами радіомоніторингу у широкій смузі частот можливе лише за енергетичною ознакою за наявності смуг паралельного аналізу завширшки кілька десятків МГц на швидкості не менше 400 МГц/с і лише у ближній зоні. Сигнали точок доступу, розташованих у дальній зоні, виявляються нижче рівня шумів приймача.

Виявлення WiFi-передавачів при послідовному скануванні вузькосмуговими приймачами взагалі неможливе.

2. Практично на кожному об'єкті або поблизу нього розгорнуті приватні WiFi-мережі або WiFi-мережі загального користування. В оточенні таких мереж дуже складно відрізнити легальних клієнтів власної та сусідніх мереж від клієнтів з можливостями негласного отримання інформації, що дає змогу ефективно маскувати несанкціоновану передачу інформації серед легальних WiFi-каналів.

Передавач WiFi випромінює так званий "OFDM сигнал". Це означає, що в один момент часу пристрій передає в одному сигналі, що займає широку смугу частот (близько 20 МГц), кілька несучих інформацію - інформаційних каналів, що піднесуть, які розташовані так близько один від одного, що при прийомі їх на звичайному приймальному пристрої, сигнал виглядає як єдиний «купол». Розділити в такому «куполі» піднесучі і ідентифікувати передавальні пристрої можна тільки спеціальним приймачем.

3. У великих містах мережі WiFi загального користування мають достатню зону покриття, щоб гарантувати можливість підключення до них для передачі інформації практично будь-якої точки. Це знімає необхідність використання мобільного пункту прийому інформації поряд з об'єктом, оскільки інформація може бути передана несанкціонованим пристроєм через точку доступу загального користування і далі через Інтернет у будь-яке місце.

4. Ресурси, що надають канали WiFi-мереж, дозволяють передавати звук, дані, відео у реальному масштабі часу. Це відкриває широкі можливості перед пристроями перехоплення інформації. Тепер не тільки звукова інформація, а й відео з комп'ютерів або локальної мережі під загрозою.

Усі розглянуті вище переваги WiFi-технології з погляду захисту на об'єкті є недоліками. Крім того, випускаються і абсолютно легально продаються малогабаритні WiFi-пристрої, що дозволяють передавати дані, голосову або відеоінформацію, наприклад, бездротові WiFi-відеокамери, які легко можуть бути перероблені для використання як пристрої негласного отримання інформації.

Мал. 1. Сигнал WiFi-передавача у ближній зоні

Мал. 2. Бездротова WEB-камера з WiFi-інтерфейсом

1. У приміщенні несанкціоновано встановлена ​​WiFi-відеокамера з мікрофоном. Для збільшення дальності передачі на даху об'єкта встановлюється точка доступу WiFi, яка працює у режимі ретранслятора (один зі штатних режимів роботи WiFi точки доступу) з спрямованою антеною. У цьому випадку інформація з приміщення, в якому встановлена ​​камера стандартної потужності WiFi клієнта, може бути прийнята на контрольному пункті, розташованому на відстані кількох кілометрів від об'єкта, навіть за умов міста.

2. Смартфон одного зі співробітників підприємства за допомогою спеціальної програми (вірусу) може переводитися в режим, коли мовна інформація з мікрофона записуватиметься і за допомогою вбудованого в нього WiFi-модуля передаватиметься на контрольний пункт.

Для підвищення скритності контрольний пункт може бути використаний також в одному зі штатних режимів WiFi точок доступу – «передача із прихованим ім'ям». У такому разі точка доступу буде невидима програмами огляду мережного оточення для бездротових мереж. Необхідно відзначити, що у цих програмах WiFi клієнти взагалі ніколи не видно.

3. І, нарешті, розглянемо варіант, коли режим на об'єкті не дозволяє виносити носії інформації за його межі, вихід в Інтернет відсутній або обмежений. Як зловмисник може передати з такого об'єкта чималий обсяг даних непомітно? Відповідь: йому необхідно абсолютно легально підключитися до сусідньої широкомовної WiFi-мережі та передати інформацію, залишаючись непоміченим серед досить великої кількості WiFi клієнтів сусідніх мереж, що передають інформацію за межами об'єкта.

Висновки:

Технологія WiFi безумовно зручна та універсальна для організації бездротового доступу до інформації. Однак вона несе у собі безліч серйозних загроз інформаційній безпеці об'єкта. При цьому існують прямі та опосередковані загрози інформаційній безпеці. І якщо прямих загроз можна позбутися, відмовившись від застосування WiFi-пристроїв в інфраструктурі корпоративної мережі і не використовувати WiFi-мережі на об'єкті, то непрямі загрози існують незалежно від застосування на об'єкті WiFi-технології. Крім того непрямі загрози небезпечніші за прямі, оскільки їм схильна не тільки інформація в комп'ютерних мережах, а й мовна інформація на об'єкті.

На закінчення хотілося б відзначити, що WiFi-технологія в даний час є не єдиною поширеною бездротовою технологією передачі даних, яка може нести загрози інформаційної безпеки об'єкта.

Bluetooth-пристрої також можуть використовуватись для організації несанкціонованої бездротової передачі даних. У порівнянні з WiFi-у Bluetooth-пристроїв істотно менше можливостей з точки зору дальності передачі інформації та пропускної спроможності каналу, але є одна важлива перевага - низьке енергоспоживання, що для несанкціонованого передавача є вкрай важливим.

Ще одна технологія, яка починає конкурувати з WiFi при забезпеченні бездротового широкосмугового доступу, це WiMAX. Однак станом на даний момент WiMAX пристрої набагато менш поширені, і їх наявність швидше виявиться демаскуючим фактором, ніж приховає несанкціонований канал передачі інформації.

Таким чином, саме WiFi в даний час є не лише найпоширенішою технологією бездротового доступу, але й найзручнішою з погляду несанкціонованого отримання та передачі інформації.

Література

1. Карол А., Касперски К. Розберемося, що таке вардрайвінг (wardriving) і з чим його необхідно вживати / / Хакер. - №059. – С. 059-0081.

Бездротові мережі зручніші за провідні, але вони також можуть бути вразливими для хакерів та шкідливих програм (наприклад, хробаків). Оскільки бездротові мережі використовують радіохвилі, які можуть проходити крізь стіни, мережний сигнал може вийти за межі будинку.

Якщо не намагатися захистити мережу, користувачі комп'ютерів, неподалік, зможуть отримати доступ до даних, що зберігаються на комп'ютерах мережі, та користуватися вашим підключенням до Інтернету. За допомогою налаштування ключа безпеки бездротової мережі можна захистити від несанкціонованого доступу.

Способи захисту бездротової мережі

Бездротову мережу слід налаштовувати таким чином, щоб лише обрані користувачі мали доступ до неї.

Нижче наведено кілька параметрів безпеки бездротової мережі:

Технологія захищеного доступу Wi-Fi (WPA та WPA2)

Технологія захищеного доступу Wi-Fiшифрує інформацію та перевіряє, чи не змінено мережевий ключ безпеки. Крім того, технологія захищеного доступу Wi-Fi виконує аутентифікацію користувачів, щоб забезпечити доступ до мережі лише авторизованим користувачам.

Існує два типи аутентифікації WPA: WPA та WPA2.

Тип WPAпризначений для роботи з усіма бездротовими мережевими адаптерами, але він не сумісний із старішими маршрутизаторами або точками доступу. Тип WPA2безпечніший за тип WPA, але він несумісний з деякими старими мережевими адаптерами.

Технологія WPA призначена для використання із сервером автентифікації 802.1х, який створює різні ключі для кожного користувача. Тоді вона називається WPA-Enterprise чи WPA2-Enterprise. Вона може також використовуватися в режимі попередньо встановленого загального ключа (PSK), коли кожен користувач отримує однакову ідентифікаційну фразу. Тоді це називається WPA-Personal або WPA2-Personal.

Протокол Wired Equivalent Privacy (WEP)

WEP як старий метод безпеки мережі, як і раніше доступний для підтримки старих пристроїв, більше використовувати не рекомендується. При увімкненні WEP встановлюється мережевий ключ безпеки. Цей ключ шифрування, які направляються через мережу з одного комп'ютера до іншого. Проте безпека WEP відносно легко зламати.

Увага!По можливості рекомендується використовувати WPA2. Не рекомендується використовувати WEP. WPA або WPA2 безпечніше. Якщо під час запуску WPA або WPA2 вони не працюють, рекомендується оновити мережний адаптер для роботи з однією з працюючих технологій WPA або WPA2.

Автентифікація 802.1х

Автентифікація 802.1хможе підвищити рівень захисту бездротових мереж стандарту 802.11 та мереж Ethernet. Аутентифікація 802.1х використовує сервер аутентифікації для перевірки користувачів та надання дозволу на доступ до мережі. У бездротових мережах 802.1х можна використовувати з ключами протоколу WPA, WPA2 або WEP. Цей тип автентифікації зазвичай використовується для підключення до мережі на робочому місці.

480 руб. | 150 грн. | 7,5 дол. ", MOUSEOFF, FGCOLOR, "#FFFFCC", BGCOLOR, "#393939");" onMouseOut="return nd();"> Дисертація - 480 руб., доставка 10 хвилин, цілодобово, без вихідних та свят

Ніконов, В'ячеслав Ігорович. Методика захисту інформації у бездротових мережах на основі динамічної маршрутизації трафіку: дисертація... кандидата технічних наук: 05.13.19 / Ніконов В'ячеслав Ігорович; [Місце захисту: Том. держ. ун-т систем упр. та радіоелектроніки (ТУСУР) РАН]. - Томськ, 2010. - 119 с.: іл. РДБ ОД, 61 11-5/934

Вступ

РОЗДІЛ I. Аналіз уразливості та методів захисту інформації при передачі в розподілених бездротових мережах 11

1.1 Бездротові мережі нового покоління 11

1.2 Загрози інформації у розподілених комп'ютерних мережах 15

1.2.1 Активні атаки мережі 16

1.2.2 Специфіка атак у бездротових мережах 21

1.3 Методи захисту інформації у бездротових мережах 25

1.3.2 Технології захисту даних 32

1.4 Завдання дисертаційного дослідження 39

1.5 Висновки 40

РОЗДІЛ ІІ. Розробка методики захисту інформації при передачі в розподільних бездротових мережах на основі динамічної маршрутизації трафіку 42

2.1 Система мультиплексування трафіку 42

2.2 Маршрутизований сервіс 45

2.2.1 Загальні принципи роботи 46

2.2.2 Методика захисту інформації під час передачі у бездротовій розподіленій мережі 49

2.2.3 Алгоритм динамічної маршрутизації трафіку 53

2.2.4 Застосування розробленої методики 57

2.3 Аналіз ефективності розробленої методики захисту 64

2.3.1 Можливості порушника 64

2.3.2 Оцінка ймовірності реалізації загрози першого класу 64

2.3.3 Оцінка ймовірності реалізації загрози другого класу 66

2.3.4 Алгоритм генерації потоку атак 68

2.4 Висновки 71

РОЗДІЛ ІІІ. Реалізація програмних засобів захисту інформації, що передається 73

3.1 Реалізація програмного комплексу 73

3.2 Дослідне впровадження та порівняння з протоколами маршрутизації 81

3.3 Експериментальні дослідження методів 84

3.4 Висновки 92

Висновок 94

Список литературы 95

Введення в роботу

Актуальність роботи.Розвиток інформаційних технологій ставить актуальні завдання підвищення надійності функціонування комп'ютерних мереж. Для вирішення таких завдань необхідні дослідження існуючих мережевих протоколів, мережевих архітектур, розробка способів підвищення безпеки під час передачі інформаційних ресурсів через мережу.

Вибір на користь бездротових технологій дозволяє отримати переваги у швидкості, мобільності. Поява нового класу широкосмугових бездротових мереж із пористою структурою (меш-мережі) дозволило досягти значного збільшення зони інформаційного покриття. Основною перевагою даного класу мереж є наявність особливих пристроїв - меш-порта-лов, що дозволяють інтегрувати в меш-мережу інші бездротові мережі (WiMAX, Wi-Fi, GSM) та Інтернет, а значить, і надати користувачеві всілякі сервіси цих мереж.

До недоліків меш-технологии можна віднести те що, що протоколи маршрутизації меш-сети дуже специфічні, які розробка - складне завдання з безліччю критеріїв і параметрів. При цьому існуючі протоколи вимагають значних доопрацювань щодо підвищення безпеки та надійності передачі інформації.

Мережеві атаки, збої та відмови мережного устаткування - основні чинники, що впливають безпеку передачі у розподілених бездротових мережах. Проблемою забезпечення безпеки передачі в розподілених бездротових мережах займалися I. Akyildiz, W.Wang, X.Wang, Т. Dorges, N. Ben Salem. Під забезпеченням безпеки передачі у комп'ютерної мережі розуміється захист її конфіденційності, цілісності і доступності.

Серед методів забезпечення доступності інформації у бездротових мережах дослідниками виділяється комбінування різних методів контролю, дублювання, резервування. Цілісність та конфіденційність інформації у бездротових мережах забезпечується методами побудови віртуальних каналів, заснованих на застосуванні криптографічних інструментів.

Загальний недолік даних методів - зниження продуктивності мережі, пов'язане з вимогами до додаткової обробки інформації, що передається. Зазначений недолік особливо критичний передачі цифрової відеоінформації. Крім того, удосконалення методів криптоаналізу дедалі більше знижує надійність існуючих криптоалгоритмів.

Зі сказаного вище висновок про необхідність розробки нових способів захисту інформації при передачі в розподілених бездротових мережах в умовах впливу навмисних атак. У зв'язку з цим тема роботи є актуальною та практично важливою.

Метоюдисертаційної роботи є розробка методики захисту інформації при передачі у розподілених бездротових мережах, заснованої

на застосуванні алгоритму динамічної маршрутизації трафіку за умов впливу навмисних атак.

Завдання роботи

І І IАналіз рекомендацій стандартів IEEE 802.11 щодо захисту інформації у розподілених бездротових мережах.

ZI Дослідження алгоритмів динамічної маршрутизації трафіку в

розподілених мереж.

ZI Дослідження методів захисту інформації в розподілених без-

провідних мережах.

I I IДослідження видів атак у розподілених комп'ютерних мережах, аналіз специфіки атак у бездротових мережах.

I I IРозробка алгоритму динамічної маршрутизації інформації під час передачі у розподілених бездротових мережах за умов впливу навмисних атак.

ZI Розробка на базі алгоритму застосування «маршрутизований

сервіс», реалізує методику захисту під час передачі у розподілених бездротових мережах.

СП Реалізація програмних модулів «сервісу, що маршрутизується»

передачі інформації.

ZI Дослідження варіантів впливу мережевих атак на «маршрутизі-

сервіс». Обчислення оцінок успішних реалізацій мережевих атак на передану інформацію у разі застосування «сервісу, що маршрутизується».

I I IРозробка алгоритму генерації потоку мережевих атак.

DZO Розробка прототипу «сервісу, що маршрутизується» для експериментальної перевірки запропонованої методики захисту.

Об'єктами дослідженняє комп'ютерні мережі, розподілені бездротові мережі з комірчастою структурою (міш-мережі), процеси передачі інформації та процеси реалізації різних видів атак на передану інформацію та мережеві пристрої в розподілених бездротових мережах.

Предмети дослідження:стандарти групи IEEE 802.11, мережеві атаки, методи захисту в бездротових мережах, алгоритми динамічної маршрутизації трафіку в бездротових мережах.

Методи досліджень.У дисертаційній роботі використовуються методи математичного моделювання, теорії графів, теорії множин, теорії ймовірності та математичної статистики. Для підтвердження отриманих теоретичних результатів проведено експериментальні дослідження та моделювання з використанням середовищ програмування Visual Basic Script, Windows Management Instrumentarium, Shell, Awk.

Достовірністьнаукових положень, висновків та рекомендацій підтверджується коректною постановкою завдань, строгістю застосовуваного математичного апарату, результатами чисельного моделювання, позитивними ре-

результатами апробації програми, що реалізує запропоновану методику захисту інформації при передачі в бездротових мережах.

Наукова новизна.У дисертаційній роботі отримано такі наукові результати.

Запропоновано методику захисту інформації в розподілених бездротових мережах, засновану на застосуванні програми «сервіс, що маршрутизується».

Розроблено алгоритм динамічної маршрутизації інформації під час передачі у розподілених бездротових мережах за умов впливу навмисних атак.

Описано варіанти реалізації на розроблену систему. Дано оцінки успішним реалізаціям мережевих атак на передану інформацію у разі застосування «сервісу, що маршрутизується». Розроблено алгоритм генерації потоку мережевих атак.

Реалізовано програмні модулі прототипу «сервісу, що маршрутизується» Зроблено апробацію прототипу в розподіленій мережі.

Практична значимістьпідтверджена апробацією прототипу розробленої системи у розподіленій мережі. Результати дисертаційного дослідження відзначені дипломом П-ступеня на ІХ Всеросійському конкурсі студентів та аспірантів з інформаційної безпеки «SIBINFO-2009».

Розроблена методика пройшла впровадження у системи передачі інформації ВАТ «Омськводоканал та ГОУ ВПО «Омський державний технічний університет». Результати дисертаційної роботи використовують у навчальному процесі ГОУ ВПО «Омський державний технічний університет».

Запропонована в дисертації методика може використовуватися як база для подальших досліджень.

Апробація роботи.Результати роботи представлялися на наукових конференціях та семінарах.

IX Всеросійський конкурс студентів та аспірантів з інформаційної безпеки «SIBINFO-2009», диплом П-ступеня. (2009, м. Томськ).

VIII Сибірська наукова школа-семінар з міжнародною участю «Комп'ютерна безпека та криптографія – SYBECRYPT-09» (2009, м. Київ).

VII Міжнародна науково-технічна конференція «Динаміка систем, механізмів та машин» (2009, м. Київ).

IV Науково-практична конференція молодих фахівців західно-сибірського банку Ощадбанку Росії «Сучасний досвід використання інформаційних технологій у банківському бізнесі» (2008 р. Тюмень).

Всеросійська науково-технічна конференція "Росія молода: передові технології в промисловість" (2008, м. Київ).

Конференція-конкурс «Технології Microsoft у теорії та практиці програмування» (2008, Новосибірськ).

Публікації.Результати дисертації відображено у 15 публікаціях, у тому числі у двох публікаціях у виданнях, рекомендованих ВАК.

Структура та обсяг роботи.Дисертаційна робота складається із вступу, трьох розділів, висновків, списку літератури та трьох додатків. Загальний обсяг роботи складає 116 сторінок, у тому числі 26 малюнків та 3 таблиці. Список літератури налічує 82 найменування.

Особистий внесок

Усі дослідження, викладені у дисертаційній роботі, проведено автором у процесі наукової діяльності. Всі результати, що виносяться на захист, отримані автором особисто, запозичений матеріал позначений у роботі посиланнями.

Основні положення, що виносяться на захист

Методика захисту інформації в розподілених бездротових мережах, заснована на використанні програми «сервіс, що маршрутизується».

Алгоритм динамічної маршрутизації інформації під час передачі у розподілених бездротових мережах за умов впливу навмисних атак.

Оцінки успішних реалізації мережевих атак на передану інформацію у разі застосування «сервісу, що маршрутизується». Алгоритм генерації потоку мережевих атак.

Програмна реалізація модулів «сервісу, що маршрутизується» передачі інформації та експериментальна перевірка розробленої методики.

Специфіка атак у бездротових мережах

Саме поняття бездротової мережі призводить до виникнення великої кількості можливих уразливостей для атак і проникнень, які були б набагато утруднені в стандартній провідній мережі. Головним фактором, що впливає на специфіку атак у бездротових мережах, експерти називають доступність фізичного середовища передачі даних – радіоефіру. Види атак виділяються ті ж, що й у класичних мережах: атаки відмови в обслуговуванні, атаки "людина посередині", атаки підміни ARP записів, прослуховування; Проте способів реалізації цих атак набагато більше, ніж у провідних мережах.

Через природу радіохвиль як носія інформації та через структуру базових протоколів стандарту 802.11 бездротові мережі неможливо захистити від DoS-атак на перший рівень і від деяких DoS-атак на другий рівень. . Порушник може легко створити пристрій, що генерує перешкоди на певній частоті (наприклад, 2.4 ГГц), таким чином унеможлививши передачу даних через цей канал. Як «глушилка» може виступати спеціально сконструйований передавач або бездротова картка клієнта високої потужності або навіть точка доступу, що затоплює вибрані канали «сміттєвим» трафіком. При цьому досить важко буде довести сам факт навмисного проведення DoS-атаки. На канальному рівні стека OSI можна показати численні шляхи проведення DoS-атак, які будуть набагато простіше в реалізації, ніж такі ж атаки у звичайних провідних мережах. Одним із найчастіше використовуваних способів нападу на канальний рівень є управління рознесеними антенами. Також фахівцями виділяється вид DoS-атаки на канальний рівень, який полягає у затопленні фальшивими фреймами. Для реалізації цієї атаки на хост за допомогою спеціальних програмних засобів генерується потік фреймів із запитами на припинення сеансу та від'єднання.

Атаки «людина посередині», що зазвичай мають у бездротових мережах два різновиди - підслуховування та маніпуляція, також виконуються на бездротових мережах набагато простіше. Один із механізмів реалізації даного виду атаки описаний у . Порушник на своїй робочій станції імітує вузол доступу більш потужним сигналом, ніж реальний вузол доступу. Клієнт бездротової мережі автоматично перемикається на новий вузол доступу, надаючи на нього весь свій трафік. У свою чергу, порушник передає цей трафік реальному вузлу доступу під виглядом робочої станції клієнта.

З погляду зломщика, що більше вихідна потужність і приймальна чутливість бездротового устаткування, то краще. Чим більша вихідна потужність, тим більше шансів підключитися до цільової мережі з більшої відстані, тим простіше провести атаку. З іншого боку, чим більша приймальна чутливість, тим простіше виявити бездротову мережу, тим вища швидкість з'єднання і тим більший обсяг трафіку можна перехопити та проаналізувати.

Існують не цілком очевидні можливості для атак, що експлуатують налаштування деяких параметрів рівня 2 в мережах 802.11, наприклад, режиму економії енергії та виявлення віртуальної несучої (протокол RTS/CTS). В атаках на налаштування режиму економії енергії зломщик може прикинутися клієнтом у сплячому режимі та стежити за появою кадрів, які накопичуються точкою доступу для жертви. Як тільки клієнт забирає кадри, точка доступу очищує буфер. Виходить, що справжній клієнт ніколи не отримає призначені йому кадри. Натомість зломщик може підробити кадри з картою індикації трафіку (Traffic Indication Map - ТІМ), що посилаються точкою доступу. Вони повідомляють клієнтам у сплячому режимі про те, що для них надійшли нові дані, тому час вийти зі сплячого режиму і забрати їх. Якщо зломщику вдасться змусити клієнта в сплячому режимі повірити, що жодних нових даних на точці доступу немає, то клієнт не вийде з цього режиму. DoS-атаки проти мереж, в яких реалізовано виявлення віртуальної несучої, це фактично атаки на алгоритм призначення пріоритетів. Зломщик може затопити мережу запитами на передачу (Request to Send - RTS), встановивши в них велике значення поля "тривалість передачі", і тим самим зарезервувати фізичний носій для свого трафіку, закривши іншим хост доступ до каналу зв'язку. Мережа буде переповнена кадрами «готовий до передачі» (Clear to Send - CTS), що посилаються у відповідь на кожен кадр RTS. Хости в бездротовій мережі будуть змушені наслідувати вказівку і припинити передачу.

В окрему групу виділяють атаки, спрямовані на зламування алгоритмів криптозахисту, реалізованих у бездротових мережах. Протокол безпеки WEP (Wired Equivalent Privacy) – перший протокол безпеки, описаний стандартом IEEE 802.11. Однією з найбільш відомих та описаних уразливостей у бездротових мережах WEP є схема аутентифікації. Використання WEP означає кодування кожного пакета за допомогою потокового шифру RC4, який декодується при досягненні точки доступу. Для кодування WEP використовує секретний ключ і поєднується з 24-розрядною частиною даних, яка називається вектором ініціалізації (initialization vector - IV) . Так як WEP використовує 24 біта для обчислення IV, то, зрештою, при використанні мережі з великим трафіком значення IV повторюватимуться. Відповідно, ключові потоки будуть однакові, і все, що необхідно буде зробити порушнику - це зібрати протягом певного періоду пакети даних і запустити спеціальну програму, створену спеціально для злому WEP ключів.

На даний момент є чотири класи інструментів для розкриття шифрів у бездротових мережах: 1) засоби злому протоколу WEP; 2) засоби для отримання ключів WEP, що зберігаються на клієнтських хостах; 3) кошти на впровадження трафіку з метою прискорення злому WEP; 4) засоби для атаки на системи аутентифікації, визначені у стандарті 802.1х. Опис даних методів та інструментів для їх реалізації докладно наведено О.О. Володимировим.

Методика захисту інформації під час передачі у бездротовій розподіленій мережі

Вихідне повідомлення - повідомлення, яке передається по мережі за допомогою запропонованого в роботі методу, реалізованого в цій системі.

Демультиплексор (D) - модуль, що відповідає за поділ даних (вихідного повідомлення), що надходять на нього, на проекції та їх відправлення. Також на демультиплексор можуть бути покладені функції визначення стану мережі на основі станів певних компонентів системи, таких як буфери передачі та певні службові сигнали (підтвердження).

Мультиплексор (М) - модуль, що виконує функції зворотні демультіплекор. Даний модуль збирає проекції (фрагменти даних), передані різними каналами в один потік, утворюючи вихідне повідомлення. Як і демультиплексор, мультиплексор здатний детектувати певні події в мережі за станом потоків, що входять до нього. Передавач (Ff, і є) - модуль, що відповідає за транзит даних. На передавачі також реалізована певна логіка, необхідна для правильного функціонування алгоритмів мультиплексора і демультиплексора. Демультиплексор, мультиплексор та передавач є основними компонентами системи. Фізичний пристрій - комп'ютер, на якому виконується програмна програма мультиплексора, передавача, демультиплексора або кілька програм одночасно. Логічний канал зв'язку між пристроями - логічне з'єднання протоколу TCP або UDP. Фізичний канал - окрема, виділена ділянка передачі IP-даних, що являє собою деяке фізичне середовище передачі. В одному фізичному каналі може бути утворено безліч логічних каналів різних TCP або UDP з'єднань. Зона передачі - сукупність логічних компонентів системи, які є закінченою, самостійної функціональної одиницею. Зона здійснює рознесення, передачу та збирання даних. Кожна зона містить мультиплексор, демультиплексор і принаймні пару передавачів. Гілка передачі - послідовність логічних пристроїв з'єднаних за схемою: демультиплексор - передавач(и) - мультиплексор. Основне призначення компонентів демультиплексор та мультиплексор - поділ та збір даних. Також ці компоненти передають та приймають розділені дані. Найбільш очевидний варіант реалізації системи мережі IP - на сеансовому рівні моделі OSI. Таким чином, для її коректного функціонування необхідне використання проміжних компонентів передавачів. Вони виступають як вузлові точки, між якими встановлюються логічні сполуки. Після обробки даних на рівні програм стека TCP або UDP пакети передаються мережевому рівню IP. У заголовку отриманого IP пакета в полі відправник стоїть IP-адреса демультиплексора, а в полі одержувач IP-адреса передавача. Завдяки такій реалізації відбувається приховування глобальних адрес, тобто. адреси кінцевого пункту призначення та адреси пристрою, що спочатку надіслав дані. Таким чином, при перехопленні та аналізі пакета на ділянці передавач - мультиплексор, адресу демультиплексора визначити неможливо. Це наочно представлено в заголовках IP-пакета при його проходженні від демультиплексора до мультиплексора. Ніде в заголовках Якщо б мультиплексор і демультиплексор працювали один з одним безпосередньо, то, перехопивши окремий пакет, можна було б визначити адреси демультиплексора і мультиплексора, що неприпустимо. Так само в цьому випадку неможливо було б рознести канали, оскільки роздільні логічні потоки передавалися б (маршрутизувалися) по одному фізичному шляху. Пропоноване рішення передбачає підвищення стійкості інформації при несанкціонованому доступі до середовища передачі на основі наявних фізичних засобів. Характерною особливістю системи є те, що вона є повністю прив'язаною до властивостей середовища передачі та топології мережевої структури, покладаючись на наявність структурної надмірності, яка особливо властива мережі Internet. Пропонується вдосконалити систему «демультиплексор – передавачі – мультиплексор», розробивши інструмент, що дозволяє передавачам виконувати автоматичну «інтелектуальну» маршрутизацію. Реалізація цього підходу полягає в установці на передавачі додатка «сервіс, що маршрутизується», що коригує роботу протоколів маршрутизації для маркованої інформації. Система мультиплексування трафіку вразлива перед класом активних мережевих атак, описаних у першому розділі. Розглянемо ще раз одну з активних мережевих атак – атаку, засновану на сніфінгу (рис. 8). Порушник, володіючи знаннями, що деяка організація регулярно передає дані з А G, може досить точно визначити маршрут від А до G в момент часу At і здійснити перехоплення на якій-небудь з ділянок трафіку. F1,F2,F3yF4J75 - передавачі системи мультиплексування трафіку, у разі її використання в розподіленій мережі, або в загальному випадку деякі вузлові сервери, необхідні для просторового представлення маршруту трафіку. Виконуючи посилку трасувальних пакетів, порушник в момент часу At визначив маршрут руху трафіку (показано пунктиром) і атакував підконтрольний маршрутизатор, розташований на ділянці F2F5. Розроблено додаток «сервіс, що маршрутизується» (SM), що дозволяє підвищити безпеку передачі інформації в розподілених бездротових мережах в умовах впливу активних атак. SM - клієнт-серверний додаток, що дозволяє користувачеві передавати дані специфічним маршрутом.

Оцінка ймовірності реалізації загрози другого класу

Для цього алгоритму задаються такі параметри. Fs = (Fsi, Fs2, -, FSj, .... FSF) - безліч довірених серверів мережі. F - \FS - кількість довірених серверів мережі. ta-час дії одного виду атаки на довірений сервер. іj – період повтору атаки. и2- період блокування довіреного сервера. к – число видів атак. i, j, t-допоміжні змінні.

Вводяться такі функції та процедури. ТекЧас() - функція, що повертає поточний час у форматі "dd.mm.yyyy hh24: mi:ss". функція, що генерує псевдовипадкове ціле число за допомогою операції рандомізації, що належить інтервалу х = 1; РазБлок) - процедура, яка переводить сервер FjB режим «доступний». Aj(Fj) - функція розподілу дискретної випадкової величини "результат атаки на сервер F," з ймовірністю прийняти значення 1 (атака успішна) рівною Pi і ймовірністю прийняти значення 0 (атака невдача) рівною 1 -/?,-. Пауза(ґ) - процедура, що реалізує ожиніє на час t; функція, що повертає статус сервера Fj (доступний – 0; блокований – 1); Блок(і х) - функція, що переводить сервер F, у режим «блокований» і повертає поточний час у форматі «dd.mm.yyyy hh24:mi:ss» змінну х. За допомогою операції рандомізації вибираються один із довірених серверів мережі та мережева атака одного з видів. Виробляється експеримент A,(FSj) - «атака на сервер FSj», який визначається дискретною випадковою величиною з розподілом «ймовірність прийняти значення 1 (успіх) дорівнює/?,-, ймовірність прийняти значення 0 (невдача) дорівнює 1-/?,», іє. У разі успіху сервер блокується і стає недоступним на час і2. Відносно вразливості до основних видів атак довірений сервер нічим не відрізняється від звичайного сервера розподіленої мережі, якого порушник спочатку не має доступу. Для успішної атаки на довірений сервер порушник може скористатися такими вразливістю: недокументовані помилки в операційній системі сервера, помилки у допоміжних програмах, помилки адміністрування сервера. Різні види вразливостей призводять до можливості реалізації різного роду загроз: втрати конфіденційності, атак типу «відмова в обслуговуванні», виконання на сервері неавторизованого коду і т.д. Чим більше вразливостей, тим простіше провести атаку на сервер. Відповідно, можна запровадити деякий коефіцієнт вразливості серверів pj є F , j є )