Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru

Департамент образования, науки и молодежной политики

Воронежской области

государственное образовательное бюджетное учреждение

среднего профессионального образования

Воронежской области

«Воронежский техникум строительных технологий»

(ГОБУ СПО ВО «ВТСТ»)

Техническое обслуживание средств вычислительной техники и компьютерных сетей

ДИПЛОМНЫЙ ПРОЕКТ

Разработка технологии средств защиты информации беспроводных сетей

Консультант по организационно-

экономической части С.Н. Мухина

Нормоконтроль _ Л.И. Коротких

Руководитель Н.А. Меркулова

Разработал(а) _ М.А. Суханов

Воронеж 2014

Аннотация

Введение

1.3 Технологии средств защиты информации беспроводных сетей

2.1 Настройка программы WPA

2.2 Шифрование трафика

4. Охрана труда и техника безопасности

4.1 Электробезопасность при эксплуатации технических средств

4.2 Требования к помещению

4.3 Мероприятия по противопожарной технике

Заключение

Список сокращений

Приложение

Аннотация

В данном дипломном проекте велась разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов.

В ходе выполнения дипломного проекта был проведен анализ технологии информации защиты информации беспроводных сетей, анализ программных продуктов позволяющих повысить защиту беспроводных сетей от угроз.

В результате выполнения проекта приобретен опыт настройки программных продуктов, позволяющих максимально защитить беспроводную сеть от часто встречающихся угроз.

Дипломный проект состоит из четырех разделов, содержит двадцать четыре рисунка, одну таблицу.

защита информация сеть

Введение

Беспроводные сети уже используются практически во всех сферах деятельности. Широкое использование беспроводных сетей обусловлено тем, что они могут использоваться не только на персональных компьютерах, но и телефонах, планшетах и ноутбуках их удобством и сравнительно невысокой стоимостью. Беспроводные сети должны удовлетворять ряду требований к качеству, скорости, радиусу приема и защищенности, при этом защищенность часто является самым важным фактором.

Актуальность обеспечения безопасности беспроводной сети обусловлена тем, что если в проводных сетях злоумышленник должен сначала получить физический доступ к кабельной системе или оконечным устройствам, то в беспроводных сетях для получения доступа достаточно обычного приемника, установленного в радиусе действия сети.

Несмотря на различия в реализации связи, подход к безопасности беспроводных сетей и их проводных аналогов идентичен. Но при реализации методов защиты информации в беспроводных сетях больше внимания уделяется требованиям к обеспечению конфиденциальности и целостности передаваемых данных, к проверке подлинности беспроводных клиентов и точек доступа.

Объектом исследования является средства защиты информации беспроводных сетей

Предметом исследования является технология защиты информации беспроводных сетей

Целью дипломного проекта является повышение качества защиты информации беспроводных сетей

Для достижения указанной цели были решены следующие задачи:

исследованы виды угроз и их негативное воздействие на функционирование беспроводных сетей;

проанализированы программные продукты, осуществляющие защиту информации беспроводных сетей;

разработана технология средств защиты информации беспроводных сетей;

Практическая направленность разработанного дипломного проекта состоит в том, что в результате применения данного дипломного проекта достигается защита информации беспроводных сетей от несанкционированного подключения, стабильная скорость Интернет-соединения, контроль несанкционированного потребления трафика.

1. Анализ угроз и обеспечения безопасности беспроводной сети

Принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа. При разработке корпоративной сети администраторы должны в первую очередь предусматривать не только качественное покрытие территории офисов связью, но и предусмотреть средства защиты, так как подключиться к сети можно и из автомобиля, припаркованного на улице.

Не менее опасной угрозой беспроводным сетям является вероятность хищения оборудования: роутер, антенна, адаптер. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или роутер, украденная злоумышленником, может открыть доступ к беспроводной сети.

1.1 Основные угрозы беспроводных сетей

Беспроводные технологии, работающие без физических и логических ограничений своих проводных аналогов, подвергают сетевую инфраструктуру и пользователей значительным угрозам. Наиболее частыми угрозами являются следующие:

Чужаки. «Чужаками» называются устройства, предоставляющие возможность неавторизованного доступа к беспроводной сети, зачастую в обход механизмов защиты, определенных корпоративной политикой безопасности. Чаще всего это самовольно установленные точки доступа. Статистика показывает, что угроза «чужаки» является причиной большинства взломов беспроводных сетей. В роли чужака могут выступить домашний маршрутизатор с поддержкой Wi-Fi, программная точка доступа Soft AP, ноутбук с одновременно включенными проводным и беспроводным интерфейсами, сканер, проектор и т. п.

Нефиксированная связь - беспроводные устройства могут менять точки подключения к сети прямо в процессе работы. К примеру, могут происходить «случайные ассоциации», когда ноутбук с Windows XP (достаточно доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Такой механизм позволяет злоумышленникам «переключать на себя» ничего не подозревающего пользователя для последующего сканирования уязвимостей.

MITM-атака (англ. Man in the middle, "человек посередине") -- термин используется в криптографии и обозначает ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле, сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале. MITM-атака - это метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную. Атака Man in the middle, обычно начинается с прослушивания канала связи и заканчивается попыткой криптоаналитика подменить перехваченное сообщение, извлечь из него полезную информацию, перенаправить его на какой-нибудь внешний ресурс.

Пример: Объект A передает объекту B некую информацию. Объект C обладает знаниями о структуре и свойствах используемого метода передачи данных, планирует перехватить эту информацию. Для совершения атаки С "представляется" объекту А - объектом В, а объекту В -- объектом А. Таким образом, объект А отправляя информацию объекту В, неосознано посылает её объекту С. В свою очередь объект С, получив информацию и совершив с ней некоторые действия пересылает данные настоящему объекту В. Объект В считает, что информация была получена им напрямую от А.

Отказ в обслуживании - атака «отказ в обслуживании» может быть достигнута несколькими способами. Если хакеру удается установить соединение с беспроводной сетью, его злонамеренные действия могут вызвать ряд таких серьезных последствий: например, рассылку ответов на запросы протокола разрешения адресов (Address Resolution Protocol, ARP) для изменения ARP-таблиц сетевых устройств с целью нарушения маршрутизации в сети или внедрение несанкционированного сервера протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной сети, то сможет переподключить пользователей на свою точку доступа,а последние окажутся отрезанными от сетевых ресурсов, которые были доступны через «законную» точку доступа.

Подслушивание

Анонимные вредители могут перехватывать радиосигнал и расшифровывать передаваемые данные. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Чтобы перехватить передачу, злоумышленник должен находиться вблизи от передатчика. Перехваты такого типа практически невозможно зарегистрировать, и еще труднее помешать им. Использование антенн и усилителей дает злоумышленнику возможность находиться на значительном расстоянии от цели в процессе перехвата. Подслушивание позволяет собрать информацию в сети, которую впоследствии предполагается атаковать. Первичная цель злоумышленника - понять, кто использует сеть, какие данные в ней доступны, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно и какова территория развертывания сети.

1.2 Средства защиты беспроводных сетей

В качестве средств защиты от наиболее частых угроз беспроводных сетей можно использовать следующее программое обеспечение

WPA (Wi-Fi Protected Access) представляет собой обновлённую программу сертификации устройств беспроводной связи. Технология WPA состоит из нескольких компонентов:

протокол 802.1x -- универсальный протокол для аутентификации, авторизации и учета (AAA)

протокол EAP -- расширяемый протокол аутентификации (Extensible Authentication Protocol)

протокол TKIP -- протокол временнОй целостности ключей, другой вариант перевода -- протокол целостности ключей во времени (Temporal Key Integrity Protocol)

MIC -- криптографическая проверка целостности пакетов (Message Integrity Code)

протокол RADIUS

За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования -- RC4 -- что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).

RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.

Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа -- так называемый режим

WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты тоже довольно секьюрен (относительно WEP), очень не удобен с точки зрения управления. PSK-ключ требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети и так далее. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.

В этой серии статей будет рассмотрена работа WPA совместно с внешним RADIUS-сервером. Но прежде чем перейти к ней, немного подробнее остановимся на механизмах работы WPA. Технология WPA являлась временной мерой до ввода в эксплуатацию стандарта 802.11i. Часть производителей до официального принятия этого стандарта ввели в обращение технологию WPA2, в которой в той или иной степени используются технологии из 802.11i. Такие как использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), взамен TKIP, в качестве алгоритма шифрования там применяется усовершенствованный стандарт шифрования AES (Advanced Encryption Standard). А для управления и распределения ключей по-прежнему применяется протокол 802.1x.

Как уже было сказано выше, протокол 802.1x может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» -- то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства (будь то точка доступа или умный коммутатор) будет открыт и пользователь получит доступ к ресурсам сети.

Функции аутентификации возлагаются на протокол EAP, который сам по себе является лишь каркасом для методов аутентификации. Вся прелесть протокола в том, что его очень просто реализовать на аутентификаторе (точке доступа), так как ей не требуется знать никаких специфичных особенностей различных методов аутентификации. Аутентификатор служит лишь передаточным звеном между клиентом и сервером аутентификации. Методов же аутентификации, которых существует довольно много:

EAP-SIM, EAP-AKA -- используются в сетях GSM мобильной связи

LEAP -- пропреоретарный метод от Cisco systems

EAP-MD5 -- простейший метод, аналогичный CHAP (не стойкий)

EAP-MSCHAP V2 -- метод аутентификации на основе логина/пароля пользователя в MS-сетях

EAP-TLS -- аутентификация на основе цифровых сертификатов

EAP-SecureID -- метод на основе однократных паролей

Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.

Протокол PPP засветился там потому, что изначально EAP планировался к использованию поверх PPP туннелей. Но так как использование этого протокола только для аутентификации по локальной сети -- излишняя избыточность, EAP-сообщения упаковываются в «EAP over LAN» (EAPOL) пакеты, которые и используются для обмена информацией между клиентом и аутентификатором (точкой доступа).

Схема аутентификации состоит из трех компонентов:

Supplicant -- софт, запущенный на клиентской машине, пытающейся подключиться к сети

Authenticator -- узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x)

Authentication Server -- сервер аутентификации (обычно это RADIUS-сервер).

Процесс аутентификации состоит из следующих стадий:

Клиент может послать запрос на аутентификацию (EAP-start message) в сторону точки доступа

Точка доступа (Аутентификатор) в ответ посылает клиенту запрос на идентификацию клиента (EAP-request/identity message). Аутентификатор может послать EAP-request самостоятельно, если увидит, что какой-либо из его портов перешел в активное состояние.

Клиент в ответ высылает EAP-response packet с нужными данными, который точка доступа (аутентификатор) перенаправляет в сторону Radius-сервера (сервера аутентификации).

Сервер аутентификации посылает аутентификатору (точке доступа) challenge-пакет (запрос информации о подлинности клиента). Аутентификатор пересылает его клиенту.

Далее происходит процесс взаимной идентификации сервера и клиента. Количество стадий пересылки пакетов туда-сюда варьируется в зависимости от метода EAP, но для беспроводных сетей приемлема лишь «strong» аутентификация с взаимной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и предварительным шифрованием канала связи.

На следующий стадии, сервер аутентификации, получив от клиента необходимую информацию, разрешает (accept) или запрещает (reject) тому доступ, с пересылкой данного сообщения аутентификатору. Аутентификатор (точка доступа) открывает порт для Supplicant-а, если со стороны RADIUS-сервера пришел положительный ответ (Accept).

Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть.

После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт».

Для коммуникации между клиентом (supplicant) и точкой доступа (authenticator) используются пакеты EAPOL. Протокол RADIUS используется для обмена информацией между аутентификатором (точкой доступа) и RADIUS-сервером (сервером аутентификации). При транзитной пересылке информации между клиентом и сервером аутентификации пакеты EAP переупаковываются из одного формата в другой на аутентификаторе.

Первоначальная аутентификация производится на основе общих данных, о которых знают и клиент, и сервер аутентификации (как то логин/пароль, сертификат и т.д.) -- на этом этапе генерируется Master Key. Используя Master Key, сервер аутентификации и клиент генерируют Pairwise Master Key (парный мастер ключ), который передается аутентификатору со стороны сервера аутентификации. А уже на основе Pairwise Master Key и генерируются все остальные динамические ключи, которым и закрывается передаваемый трафик. Необходимо отметить, что сам Pairwise Master Key тоже подлежит динамической смене.

WEP (Wired Equivalent Privacy) - старый метод обеспечения безопасности сети. Он все еще доступен для поддержки устаревших устройств, но использовать его не рекомендуется. При включении протокола WEP выполняется настройка ключа безопасности сети. Этот ключ осуществляет шифрование информации, которую компьютер передает через сеть другим компьютерам. Однако защиту WEP относительно легко взломать.

Существует два типа методов защиты WEP: проверка подлинности в открытой системе и проверка подлинности с использованием общих ключей. Ни один из них не обеспечивает высокий уровень безопасности, но метод проверки подлинности с использованием общих ключей является менее безопасным. Для большинства компьютеров и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Злоумышленник, перехвативший сообщения для успешной проверки подлинности с использованием общих ключей, может, используя средства анализа, определить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP. После определения статического ключа шифрования WEP злоумышленник может получить полный доступ к сети. По этой причине эта версия Windows автоматически не поддерживает настройку сети через проверку подлинности с использованием общих ключей WEP.

Использует генератор псевдослучайных чисел (алгоритм RC4) для получения ключа, а также векторы инициализации. Так как последний компонент не зашифрован, возможно вмешательство третьих лиц и воссоздание WEP-ключа.

Проведенный анализ угроз беспроводных сетей показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.

Обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать программу WPA. Программа WPA является обновленной программой сертификации устройств беспроводной связи. В программе WPA усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.

2. Технологии средств защиты информации беспроводных сетей

2.1 Настройка программы WPA

Возможность настройки WPA в Windows XP появляется с установкой Service Pack версии 2 (или же соответствующими обновлениями, лежащими на сайте Microsoft).

Рисунок 1-Окно свойств беспроводного адаптера

Service Pack 2 сильно расширяет функции и удобство настроек беспроводной сети. Хотя основные элементы меню не изменились, но к ним добавились новые.

Настройка шифрования производится стандартным образом: сначала выбираем значок беспроводного адаптера, далее жмем кнопку Свойства.

Рисунок 2- Вкладка беспроводные сети

Переходим на закладку Беспроводные сети и выбираем, какую сеть будем настраивать (обычно она одна). Жмем Свойства.

Рисунок 3- Окно свойства

В появившемся окне выбираем WPA-None, т.е. WPA с заранее заданными ключами (если выбрать Совместимая, то мы включим режим настройки WEP шифрования, который уже был описан выше).

Рисунок 4-Окно свойства

Выбираем AES или TKIP (если все устройства в сети поддерживают AES, то лучше выбрать его) и вводим два раза (второй в поле подтверждения) WPA-ключ. Желательно какой-нибудь длинный и трудноподбираемый.

После нажатия на Ok настройку WPA шифрования также можно считать законченной.

В заключении пару слов о появившемся с Service Pack 2 мастере

Рисунок 5- Настройки беспроводной сети.

В свойствах сетевого адаптера выбираем кнопку Беспроводные сети.

Рисунок 6-Свойства адаптера

В появившемся окне -- жмем на Установить беспроводную сеть.

Рисунок 7-Мастер беспроводной сети

Тут нам рассказывают, куда мы попали. Жмем Далее.

Рисунок 8-Мастер беспроводной сети

Выбираем Установить беспроводную сеть. (Если выбрать Добавить, то можно создать профили для других компьютеров в той же беспроводной сети).

Рисунок 10-Мастер беспроводной сети

В появившемся окне устанавливаем SSID сети, активируем, если возможно, WPA шифрование и выбираем способ ввода ключа. Генерацию можно предоставить операционной системе или ввести ключи вручную. Если выбрано первое, то далее выскочит окошко с предложением ввести нужный ключ (или ключи).

Рисунок 11-Окно выбора способа установки сети

В текстовом файле, для последующего ручного ввода на остальных машинах.

Сохранение профиля на USB-флешке, для автоматического ввода на других машинах с Windows XP с интегрированным Service Pack версии 2.

Рисунок 12- Сохранение параметров во флеш-память

Если выбран режим сохранения на Flash, то в следующем окне предложат вставить Flash-носитель и выбрать его в меню.

Рисунок 13-Установка завершена

Если было выбрано ручное сохранение параметров, то после нажатия кнопки напечатать…

Рисунок 14-Параметры настроенной сети

… будет выведен текстовый файл с параметрами настроенной сети. Обращаю внимание, что генерируется случайный и длинные (т.е. хороший) ключи, но в качестве алгоритма шифрования используется TKIP. Алгоритм AES можно позже включить вручную в настройках, как было описано выше.

2.3 Шифрование трафика

Любая точка доступа позволяет включить режим шифрования трафика, передаваемого по беспроводной сети. Шифрование трафика скрывает данные пользователей сети и сильно осложняет злоумышленникам раскодирование данных, передаваемых по зашифрованной сети. Методов шифрования существует несколько, самые распространенные из которых WEP и, более защищенные, WPA и WPA-2. Метод шифрования WEP по современным меркам недостаточно стойкий, поэтому в современных точках доступа стандарта 802.11g уже используется улучшенный метод кодирования WPA. Рассмотрим настройку WPA шифрования.В панели управления точки доступа включите режим «WPA-PSK» (предпочтительнее «WPA2-PSK»), иногда могут быть подрежимы из них нужно выбирать персональный или упрощенный, так как другие могут не работать в вашей сети без выделенного сервера. В режиме WPA нужно выбрать алгоритм шифрования «AES» или «TCIP» и ввести ключ шифрования, в роли которого могут выступать любые символы (желательно использовать ключ максимальной длины, символы с цифрами вперемешку).

Рисунок 15-Настройка режима WPA-PSK в точке доступа

Все адаптеры Wi-Fi настраиваются аналогичным образом. А именно, на каждом компьютере/ноутбуке в свойствах «Беспроводного сетевого соединения» выбирайте в проверку подлинности «WPA-PSK» и шифрование данных «AES» или «TKIP», в зависимости от выбранного в точке доступа шифрования.

Рисунок 16-Настройка сетевого адаптера в режим WPA-PSK

Шаг 1 Откройте веб-браузер, наберите IP -адрес маршрутизатора (192.168.1.1 по умолчанию) в адресной строке и нажмите Enter .

Рисунок 17-Окно браузера

Шаг 2 Введите имя пользователя и пароль на странице авторизации, по умолчанию имя пользователя и пароль: admin .

Шаг 3 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Settings (Настройки беспроводных сетей), откроется окно настройки беспроводных сетей.

Рисунок 19-Окно настройки беспроводной сети

Идентификатор SSID (имя беспроводной сети): задайте новое имя для вашей беспроводной сети

Канал: 1, 6 или 11 подойдут лучше, чем Auto (Авто).

Поставьте галочку в полях "Enable Wireless Router Radio" (" Включить беспроводной маршрутизатор ") и "Enable SSID Broadcast" (" Включить вещание SSID").

Примечание: После нажатия кнопки Save (Сохранить), появляется сообщение “Изменения настроек беспроводной сети начнут работать только после перезагрузки компьютера, пожалуйста, нажмите здесь, чтобы перезагрузить компьютер сейчас”. Вам не нужно перезагружать маршрутизатор, пока вы не завершите все настройки беспроводной сети.

Шаг 5 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Security (Безопасность беспроводной сети), с правой стороны включите опцию WPA - PSK / WPA 2- PSK .

Рисунок 20-Настрой WPA-PSK

Version (Версия): WPA - PSK или WPA 2- PSK

Encryption (Шифрование): TKIP или AES

PSK Password (Предварительно выданный ключ): укажите пароль (длина предварительно выданного ключа от 8 до 63 символов.)

Шаг 7 В меню слева выберите Systems Tools (Служебные программы) -> Reboot (Перезагрузка). Перезагрузите маршрутизатор для того, чтобы настройки вступили в силу.

Рисунок 21-Служебные программы

3. Организационно-экономическая часть

Стоимость адаптера была выбрана путем сравнения трёх прайс листов таких компаний как СаНи, Рет и DNS-SHOP, цены приведены в таблице 1

		Наименование товара
		Сетевой адаптер Powerline TP-Link TL-WPA2220KIT
		Сетевой адаптер Powerline TP-Link TL-WPA2220KIT

Таблица 1-Сравнение трёх прайс листов

Путем анализа и сравнения цен я сделал вывод что выгодней всего приобрести этот адаптер с поддержкой WPA в магазине РЕТ, так как цена составила 1841 рубль.

4.Охрана труда и техника безопасности

Общее положение.

1. Инструкция по охране труда является основным документом, устанавливающим для рабочих правила поведения на производстве и требования безопасного выполнения работ.

2. Знание Инструкции по охране труда обязательно для рабочих всех разрядов и групп квалификации, а также их непосредственных руководителей.

На каждом Объекте должны быть разработаны и доведены до сведения всего персонала безопасные маршруты следования по территории Объекта к месту работы и планы эвакуации на случай пожара и аварийной ситуации.

4. Каждый рабочий обязан:

соблюдать требования настоящей Инструкции;

немедленно сообщать своему непосредственному руководителю, а при его отсутствии -- вышестоящему руководителю о происшедшем несчастном случае и обо всех замеченных им нарушениях требований инструкции, а также о неисправностях сооружений, оборудования и защитных устройств;

помнить о личной ответственности за несоблюдение требований техники безопасности;

обеспечивать на своем рабочем месте сохранность средств защиты, инструмента, приспособлений, средств пожаротушения и документации по охране труда.

ЗАПРЕЩАЕТСЯ выполнять распоряжения, противоречащие требованиям настоящей Инструкции и "Межотраслевые правила по охране труда (правила безопасности) при эксплуатации электроустановок" ПОТ Р М-016-2001 (РД 153-34.0-03.150-00).

Любой компьютер является электроприбором и представляет собой потенциальную угрозу. Поэтому при работе с компьютером необходимо соблюдать требования безопасности.

Перед началом работы следует убедиться в исправности электропроводки, выключателей, штепсельных розеток, при помощи которых оборудование включается в сеть, наличии заземления компьютера и его работоспособности. Недопустимо использование некачественных и изношенных компонентов в системе электроснабжения, а также их суррогатных заменителей: розеток, удлинителей, переходников, тройников. Недопустимо самостоятельно модифицировать розетки для подключения вилок, соответствующих иным стандартам. Электрические контакты розеток не должны испытывать механических нагрузок, связанных с подключением массивных компонентов (адаптеров, тройников и т. п.). Все питающие кабели и провода должны располагаться с задней стороны компьютера и периферийных устройств. Их размещение в рабочей зоне пользователя недопустимо.

Запрещается производить какие-либо операции, связанные с подключением, отключением или перемещением компонентов компьютерной системы без предварительного отключения питания. Компьютер не следует устанавливать вблизи электронагревательных приборов и систем отопления. Недопустимо размещать на системном блоке, мониторе и периферийных устройствах посторонние предметы: книги, листы бумаги, салфетки, чехлы для защиты от пыли. Это приводит к постоянному или временному перекрытию вентиляционных отверстий. Запрещается внедрять посторонние предметы в эксплуатационные или вентиляционные отверстия компонентов компьютерной системы.

Некоторые составные части компьютеров способны сохранять высокое напряжение в течение длительного времени после

Особенности электропитания системного блока. Все компоненты системного блока получают электроэнергию от блока питания. Блок питания ПК -- это автономный узел, находящийся в верхней части системного блока. Правила техники безопасности не запрещают вскрывать системный блок, например при установке дополнительных внутренних устройств или их модернизации, но это не относится к блоку питания. Блок питания компьютера -- источник повышенной пожаро-опасности, поэтому вскрытию и ремонту он подлежит только в специализированных мастерских. Блок питания имеет встроенный вентилятор и вентиляционные отверстия. В связи с этим в нем неминуемо накапливается пыль, которая может вызвать короткое замыкание. Рекомендуется периодически (один -- два раза в год) с помощью пылесоса удалять пыль из блока питания через вентиляционные отверстия без вскрытия системного блока. Особенно важно производить эту операцию перед каждой транспортировкой или наклоном системного блока.

Система гигиенических требований. Длительная работа с компьютером может приводить к расстройствам состояния здоровья. Кратковременная работа с компьютером, установленным с грубыми нарушениям гигиенических норм и правил, приводит к повышенному утомлению. Вредное воздействие компьютерной системы на организм человека является комплексным. Параметры монитора оказывают влияние на органы зрения. Оборудование рабочего места влияет на органы опорно-двигательной системы. Характер расположения оборудования в компьютерном классе и режим его использования влияет как на общее психофизиологическое состояние организма, так и им органы зрения.

Требования к видеосистеме. В прошлом монитор рассматривали в основном как источник вредных излучений, воздействующих прежде всего на глаза. Сегодня такой подход считается недостаточным. Кроме вредных электромагнитных излучений (которые на современных мониторах понижены до сравнительно безопасного уровня) должны учитываться параметры качества изображения, а они определяются не только монитором, но и видеоадаптером, то есть всей видеосистемы в целом.

На рабочем месте монитор должен устанавливаться таким образом, чтобы исключить возможность отражения от его экрана в сторону пользователя источников общего освещения помещения.
Расстояние от экрана монитора до глаз пользователя должно составлять от 50 до 70 см. Не надо стремиться отодвинуть монитор как можно дальше от глаз, опасаясь вредных излучений (по бытовому опыту общения с телевизором), потому что для глаза важен также угол обзора наиболее характерных объектов. Оптимально, размещение монитора на расстоянии 1,5 D от глаз пользователя, где D -- размер экрана монитора, измеренный по диагонали. Сравните эту рекомендацию с величиной 3…5 D, рекомендованной для бытовых телевизоров, и сопоставьте размеры символов на экране монитора (наиболее характерный объект, требующий концентрации внимания) с размерами объектов, характерных для телевидения (изображения людей, сооружений, объектов природы). Завышенное расстояния от глаз до монитора приводит к дополнительному напряжению органов зрения, сказывается на затруднении перехода от работы с монитором к работе с книгой и проявляется в преждевременном развитии дальнозоркости.

Важным параметром является частота кадров, которая зависит от свойств монитора, видеоадаптера и программных настроек видеосистемы. Для работы с текстами минимально допустима частота кадров 72 Гц. Для работы с графикой рекомендуется частота кадров от 85 Гц и выше.

Требования к рабочему месту. В требования к рабочему месту входят требования к рабочему столу, посадочному месту (стулу, креслу), Подставкам для рук и ног. Несмотря на кажущуюся простоту, обеспечить правильное размещение элементов компьютерной системы и правильную посадку пользователя чрезвычайно трудно. Полное решение проблемы требует дополнительных затрат, сопоставимых по величине со стоимостью отдельных узлов компьютерной системы, поэтому в быту и на производстве этими требованиями часто пренебрегают.

Монитор должен быть установлен прямо перед пользователем и не требовать поворота головы или корпуса тела.

Рабочий стол и посадочное место должны иметь такую высоту, чтобы уровень глаз пользователя находился чуть выше центра монитора. На экран монитора следует смотреть сверху вниз, а не наоборот. Даже кратковременная работа с монитором, установленным слишком высоко, приводит к утомлению шейных отделов позвоночника.

Если при правильной установке монитора относительно уровня глаз выясняется, что ноги пользователя не могут свободно покоиться на полу, следует установить подставку для ног, желательно наклонную. Если ноги не имеют надежной опоры, это непременно ведет к нарушению осанки и утомлению позвоночника. Удобно, когда компьютерная мебель (стол и рабочее кресло) имеют средства для регулировки по высоте. В этом случае проще добиться оптимального положения.

Клавиатура должна быть расположена на такой высоте, чтобы пальцы рук располагались на ней свободно, без напряжения, а угол между плечом и предплечьем составлял 100° -- 110°. Для работы рекомендуется использовать специальные компьютерные столы, имеющие выдвижные полочки для клавиатуры. При длительной работе с клавиатурой возможно утомление сухожилий кистевого сустава. Известно тяжелое профессиональное заболевание -- кистевой туннельный синдром, связанное с неправильным положением рук на клавиатуре. Во избежание чрезмерных нагрузок на кисть желательно предоставить рабочее кресло с подлокотниками, уровень высоты которых, замеренный от пола, совпадает с уровнем высоты расположения клавиатуры.

При работе с мышью рука не должна находиться на весу. Локоть руки или хотя бы запястье должны иметь твердую опору. Если предусмотреть необходимое расположение рабочего стола и кресла затруднительно, рекомендуется применить коврик для мыши, имеющий специальный опорный валик. Нередки случаи, когда в поисках опоры для руки (обычно правой) располагают монитор сбоку от пользователя (соответственно, слева), чтобы он работал вполоборота, опирая локоть или запястье правой руки о стол.

4.1Требования электробезопасности

При пользовании средствами вычислительной техники и периферийным оборудованием каждый работник должен внимательно и осторожно обращаться с электропроводкой, приборами и аппаратами и всегда помнить, что пренебрежение правилами безопасности угрожает и здоровью, и жизни человека

Во избежание поражения электрическим током необходимо твердо знать и выполнять следующие правила безопасного пользования электроэнергией:

1. Необходимо постоянно следить на своем рабочем месте за исправным состоянием электропроводки, выключателей, штепсельных розеток, при помощи которых оборудование включается в сеть, и заземления. При обнаружении неисправности немедленно обесточить электрооборудование, оповестить администрацию. Продолжение работы возможно только после устранения неисправности.

2. Во избежание повреждения изоляции проводов и возникновения коротких замыканий не разрешается:

а) вешать что-либо на провода;

б) закрашивать и белить шнуры и провода;

в) закладывать провода и шнуры за газовые и водопроводные трубы, за батареи отопительной системы;

г) выдергивать штепсельную вилку из розетки за шнур, усилие должно быть приложено к корпусу вилки.

3. Для исключения поражения электрическим током запрещается:

а) часто включать и выключать компьютер без необходимости;

б) прикасаться к экрану и к тыльной стороне блоков компьютера;

в) работать на средствах вычислительной техники и периферийном оборудовании мокрыми руками;

г) работать на средствах вычислительной техники и периферийном оборудовании, имеющих нарушения целостности корпуса, нарушения изоляции проводов, неисправную индикацию включения питания, с признаками электрического напряжения на корпусе

д) класть на средства вычислительной техники и периферийном оборудовании посторонние предметы.

4. Запрещается проверять работоспособность электрооборудования в неприспособленных для эксплуатации помещениях с токопроводящими полами, сырых, не позволяющих заземлить доступные металлические части.

5. Ремонт электроаппаратуры производится только специалистами-техниками с соблюдением необходимых технических требований.

6. Недопустимо под напряжением проводить ремонт средств вычислительной техники и перифейного оборудования.

7. Во избежание поражения электрическим током, при пользовании электроприборами нельзя касаться одновременно каких-либо трубопроводов, батарей отопления, металлических конструкций, соединенных с землей.

8. При пользовании элетроэнергией в сырых помещениях соблюдать особую осторожность.

9. При обнаружении оборвавшегося провода необходимо немедленно сообщить об этом администрации, принять меры по исключению контакта с ним людей. Прикосновение к проводу опасно для жизни.

10. Спасение пострадавшего при поражении электрическим током главным образом зависит от быстроты освобождения его от действия током.

Во всех случаях поражения человека электрическим током немедленно вызывают врача. До прибытия врача нужно, не теряя времени, приступить к оказанию первой помощи пострадавшему.

Необходимо немедленно начать производить искусственное дыхание, наиболее эффективным из которых является метод?рот в рот¦ или?рот в нос¦, а также наружный массаж сердца.

Искусственное дыхание пораженному электрическим током производится вплоть до прибытия врача.

4.2 Требования к помещению

Помещения должны иметь естественное и искусственное освещение. Расположение рабочих мест за мониторами для взрослых пользователей в подвальных помещениях не допускается.

Площадь на одно рабочее место с компьютером для взрослых пользователей должна составлять не менее 6 м2, а объем не менее -20 м3.

Помещения с компьютерами должны оборудоваться системами отопления, кондиционирования воздуха или эффективной приточно-вытяжной вентиляцией.

Для внутренней отделки интерьера помещений с компьютерами должны использоваться диффузно-отражающие материалы с коэффициентом отражения для потолка -- 0,7-0,8; для стен -- 0,5-0,6; для пола -- 0,3-0,5.

Поверхность пола в помещениях эксплуатации компьютеров должна быть ровной, без выбоин, нескользкой, удобной для очистки и влажной уборки, обладать антистатическими???йствами.

В помещении должны находиться аптечка первой медицинской помощи, углекислотный огнетушитель для тушения пожара.

4.3 Требования по обеспечению пожарной безопасности

На рабочем месте запрещается иметь огнеопасные вещества

В помещениях запрещается:

а) зажигать огонь;

б) включать электрооборудование, если в помещении пахнет газом;

в) курить;

г) сушить что-либо на отопительных приборах;

д) закрывать вентиляционные отверстия в электроаппаратуре

Источниками воспламенения являются:

а) искра при разряде статического электричества

б) искры от электроборудования

в) искры от удара и трения

г) открытое пламя

При возникновении пожароопасной ситуации или пожара персонал должен немедленно принять необходимые меры для его ликвидации, одновременно оповестить о пожаре администрацию.

Помещения с электроборудованием должны быть оснащены огнетушителями типа ОУ-2 или ОУБ-3.

Заключение

На сегодняшний момент беспроводные сети получили широкое распространение, что приводит к необходимости разработки технологии защиты информации беспроводных сетей.

В результате проведенного исследования в данном дипломном проекте можно сделать следующие выводы:

беспроводная передача данных заключает в себе возможность несанкционированного подключения к точкам доступа, нефиксированную связь, подслушивание, для этого необходимо предусмотреть качественные средства защиты, так как подключиться к сети можно из автомобиля, припаркованного на улице.

обзор программного обеспечения показал, что для защиты информации беспроводных сетей используются специализированные программы такие как WEP и WPA.

наиболее целесообразно для защиты информации беспроводных сетей использовать программу WPA, так как в программе WPA усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.

Список используемых источников

Акнорский Д. Немного о беспроводных сетях //Компьютер Price.-2003.-№48.

Берлин А.Н. Телекоммуникационные сети и устройства. //Интернет-университет информационных технологий - ИНТУИТ.ру, БИНОМ. Лаборатория знаний, 2008. - 319 стр Системы передачи информации. Курс лекций. /С.В. Кунегин - М.: в/ч 33965, 1998, - 316 с. с ил.

Беспроводная сеть своими руками

Вишневский В.М., Ляхов А.И., Портной С.Л., Шахнович И.В. Широкополосные беспроводные сети передачи информации. - 2005. - 205с.

Восстановления данных в беспроводной сети //iXBT URL:http://www.ixbt.com/storage/faq-flash-p0.shtml

Гультяев А.К. Восстановление данных. 2-е изд. -- СПб.: Питер, 2006. -- 379 с.:

Зорин М., Писарев Ю., Соловьев П. Беспроводные сети: современное состояние и перспективы. - Connect! // Мир связи.1999.№4.стр. 104.

Зайдель И. Флэшка должна жить долго//R.LAB URL:http://rlab.ru/doc/long_live_flash.html

Зорин М., Писарев Ю., Соловьев П. Радиооборудование диапазона 2,4 ГГц: задачи и возможности // PCWeek/Russian Edition.1999.№20-21.стр.

Кристиан Барнс, Тони Боутс, Дональд Ллойд, Эрик Уле, Джеффри Посланс, Дэвид М. Зенджан, Нил О"Фаррел., Защита от хакеров беспроводных сетей. - Издательство: Компания АйТи, ДМК пресс. - 2005. - 480с.

Меррит Максим, Дэвид Поллино., Безопасность беспроводных сетей. - 2004. - 288с

Молта Д., Фостер-Вебстер А. Тестируем оборудование для беспроводных ЛВС стандарта 802.11 // Сети и системы связи.1999.№7.стр.

Митилино C. Безопасность беспроводных сетей //ITC-Online.-2003.-№27 URL:http://itc.ua/node/14109

Норенков, В.А. Трудоношин - М.: Изд-во МГТУ им. Н.Э. Баумана, 1998. 232 с.

Олифер В.Г., Олифер Н.А. Основы сетей передачи данных. //Интернет-университет информационных технологий - ИНТУИТ.ру, 2005 г. -176 стр.

Олейник Т. Беспроводные сети: современное состояние и перспективы.//Домашний ПК.-2003.-№10.

Программное обеспечение комплекса PC-3000 Flash//ACE Lab URL:http://www.acelab.ru/dep.pc/pc3000.flash.php

Пролетарский А. В., Баскаков И. В., Чирков Д. Н. Беспроводные сети Wi-Fi. - 2007. - 216с

Пролетарский А.В., Баскаков И.В., Федотов Р.А. Организация беспроводных сетей. - Издательство: Москва. - 2006. - 181с.

Себастиан Рапли. ЛВС без ограничений // PC Magazine/Russian Edition.1999.№12.стр.105.

Стаханов C. Восстановление данных wi-fi//Центр восстановления данных Стаханов URL:http://www.stahanov-rdc.ru/povrejdenie-flash.html

Технологии беспроводных сетей//iXBT URL:http://www.ixbt.com/storage/flash-tech.shtml

Утилиты для восстановления данных//Центр Восстановления данных АСЕ URL:http://www.datarec.ru/articles/article_10.php

Френк Дж. Дерфлер, мл., Лес Фрид. Беспроводные ЛВС //PC Magazine/Russian Edition.2000.№6. .

Юрий Писарев. Беспроводные сети: на пути к новым стандартам // PC Magazine/Russian Edition.1999.№ 10. стр. 184.

Юрий Писарев. Безопасность беспроводных сетей // PC Magazine/Russian Edition.1999.№12.стр. 97.

Wi-Fi. Беспроводная сеть

Wi-фу: "боевые" приемы взлома и защиты беспроводных сетей название

Список сокращений

WEP - Wired Equivalent Privacy

WPA - Wi-Fi Protected Access

ARP - Address Resolution Protocol

AES - Advanced Encryption Standard

TKIP - Temporal Key Integrity Protocol

Wi-fi - Wireless Fidelity

Приложение А

Рисунок 22- Защита WPA

Рисунок 23 - Построение защищенной беспроводной сети

Рисунок 24 - Адаптер с поддержкой WPA

Размещено на Allbest.ru

Подобные документы

Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.

курсовая работа , добавлен 18.04.2014


Беспроводная технология передачи информации. Развитие беспроводных локальных сетей. Стандарт безопасности WEP. Процедура WEP-шифрования. Взлом беспроводной сети. Режим скрытого идентификатора сети. Типы и протоколы аутентификации. Взлом беспроводной сети.

реферат , добавлен 17.12.2010


Механизмы обеспечения информационной безопасности корпоративных сетей от угроз со стороны сети Интернет. Механизм защиты информации на основе использования межсетевых экранов. Принципы построения защищенных виртуальных сетей (на примере протокола SKIP).

реферат , добавлен 01.02.2016


Периоды развития и основные стандарты современных беспроводных сетей. История появления и области применения технологии Bluetooth. Технология и принцип работы технологии беспроводной передачи данных Wi-Fi. WiMAX - стандарт городской беспроводной сети.

презентация , добавлен 22.01.2014


Особенности защиты информации при построении локальных сетей государственных учреждений, анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности, особенности программных средств защиты, реализующих технологию VPN.

курсовая работа , добавлен 21.06.2011


Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.

дипломная работа , добавлен 16.06.2012


Характеристика стандарта IEEE 802.11. Основные направления применения беспроводных компьютерных сетей. Методы построения современных беспроводных сетей. Базовые зоны обслуживания BSS. Типы и разновидности соединений. Обзор механизмов доступа к среде.

реферат , добавлен 01.12.2011


Описание основных уязвимостей технологии передачи информации Wi-Fi: атаки, угрозы криптозащиты, анонимность. Принципы и методы обеспечения безопасности беспроводных сетей. Технологии целостности и конфиденциальности передаваемых через сеть данных.

контрольная работа , добавлен 25.12.2014


Сравнительные характеристика протоколов организации беспроводных сетей. Структура и топология сети ZigBee, спецификация стандарта IEEE 802.15.4. Варианты аппаратных решений ZigBee на кристаллах различных производителей и технология программирования.

дипломная работа , добавлен 25.10.2013


Анализ цели проектирования сети. Разработка топологической модели компьютерной сети. Тестирование коммутационного оборудования. Особенности клиентских устройств. Требования к покрытию и скорости передачи данных. Виды угроз безопасности беспроводных сетей.

"…Защита информации и беспроводные сети?
А что, разве это не взаимоисключающие понятия?"
Из разговора на выставке "Связьэкспоком-2004 "

Устройства беспроводной связи на базе стандартов 802.11х очень агрессивно продвигаются сегодня на рынке сетевого оборудования. Это и не удивительно: удобство работы для мобильных и квазимобильных пользователей, организация коммерческих и корпоративных хот-спотов, "последняя миля", связь локальных сетей (ЛС) между собой - все это далеко не полный перечень оснований для внедрения таких решений. И действительно, количество всевозможного работающего оборудования стандартов 802.11х в мире впечатляет: по данным компании J"son & Partners, число только хот-спотов в конце 2003 г. превысило 43 тыс., а к концу 2004 г. оно должно достигнуть 140 тыс. Доля России в этих показателях невелика, однако количество сетей беспроводной связи (и хот-спотов в том числе) и у нас неуклонно растет. Заметим также, что в нашей стране более 80% корпоративных сетей беспроводной связи построено на "старейшем" и наиболее часто используемом оборудовании - Cisco Aironet.

Но впечатляют не только цифры; гораздо удивительнее количество заблуждений, связанных с обеспечением безопасной передачи данных в таких сетях. Разброс мнений здесь самый широкий: от полного доверия ко всякому оборудованию и любым его настройкам до нелестных характеристик того рода, что мы привели в качестве эпиграфа.

802.11х - восприимчивость к угрозам извне

Сама суть беспроводной передачи данных таит в себе возможность несанкционированных подключений к точкам доступа, перехвата данных и прочих неприятностей. Отсутствие кабеля, который организационно несложно защитить, вызывает ощущение неприятной открытости и доступности.

Стоит упомянуть о "непротокольных" угрозах - именно они и составляют основу проблемы. При разработке беспроводной корпоративной сети администраторы в первую очередь заботятся о качественном покрытии территории офиса. Очень часто никто просто не берет в расчет, что коварные хакеры могут подключиться к сети прямо из автомобиля, припаркованного на улице. Кроме того, бывают ситуации, когда в принципе нельзя ликвидировать саму возможность "слышать" передаваемый трафик. Пример - внешние антенны. Кстати, в странах СНГ соединение ЛС офисов между собой с помощью "беспроводки" - весьма популярное решение.

Не менее опасная угроза - возможность хищения оборудования. Если политика безопасности беспроводной сети построена на МАС-адресах, то любой компонент (сетевая карта, точка доступа), украденный злоумышленником, моментально делает эту сеть открытой.

И, наконец, проблема "слишком умных" пользователей. Часто несанкционированное подключение точек доступа к ЛС - дело рук самих сотрудников организации. Причем делается это исключительно для удобства работы, иногда даже с благими намерениями. Конечно же, защиту информации при подключении к сети таких устройств эти сотрудники обеспечивают тоже самостоятельно и не всегда представляют себе последствия такой "самозащиты".

Решением этих и подобных проблем нужно заниматься комплексно. Заметим сразу, что организационные мероприятия в рамках данной статьи не рассматриваются, - они чаще всего выбираются на основании условий работы каждой конкретной сети. Что касается мероприятий технического свойства, то весьма хороший результат дают обязательная взаимная аутентификация устройств и внедрение активных (например, Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) и пассивных (таких, как APTools 0.1.0, xprobe 0.0.2) средств контроля.

Уязвимость "старых" методов защиты

Защитой данных в беспроводных сетях комитет IEEE 802.11 занимался всегда. К сожалению, методы обеспечения безопасности сетей 802.11х на этапе их начального развития (1997-1998 гг.) использовались, мягко говоря, неудачные. Они включали шифрование по протоколу WEP (Wired Equivalent Privacy) и аутентификацию: на основании МАС-адреса, открытую (Open) и по разделяемому ключу (PreShared Key).

Рассмотрим перечисленные методы по порядку. Классический протокол шифрования WEP, разработанный компанией RSA Data Security, использует 40-разрядный ключ, который складывается со сгенерированным вектором инициализации (IV, его длина 24 бит). С помощью полученного ключа по алгоритму RC4 шифруются пользовательские данные и контрольная сумма. Вектор IV передается в открытом виде.

Первый минус этого способа - 40-разрядного ключа недостаточно для спокойствия. Даже DES с его 56-разрядным ключом давно признан ненадежным. Второй минус - неизменяемость ключа; применение статичного ключа упрощает проблему взлома. Раз уж 40-разрядный ключ ненадежен, хотелось бы его менять почаще. И, наконец, сам подход к шифрованию весьма сомнителен. Размер IV - 24 бит, значит, он повторится не позднее чем через 5 ч (длина пакета 1500 байт, скорость 11 Мбит/с).

Никита Борисов, Йэн Голдберг и Дэвид Вагнер первыми изучили эту проблему, и уже в 2001 г. появились первые реализации драйверов и программ, позволяющих справиться с шифрованием WEP. Документ, описывающий эту уязвимость, опубликован по адресу: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l.

Способы аутентификации тоже не слишком надежны. Например, ничего не стоит "подслушать" всю процедуру аутентификации по МАС-адресу - ведь МАС-адреса в кадре передаются незашифрованными. Если злоумышленник знает о принятом способе аутентификации - он уже практически готов войти в сеть. Самый надежный из перечисленных способов - PreShared Key, но и он хорош только при надежном шифровании и регулярной замене качественных паролей.

Распространено заблуждение, что применение уникального Service Set ID (SSID) позволяет избежать несанкционированных подключений. Увы, SSID пригоден лишь для логического разбиения сетевых устройств на группы - не более того. Единственное, что можно сделать с помощью SSID, - это смутить юного хакера использованием "непечатных" символов. Точки доступа (Access Point, AP), например, от Cisco Systems позволяют сделать это (можно указывать символы, входящие в SSID в шестнадцатеричном виде, - \xbd\xba).

Таким образом, если еще учесть массу "любознательных" подростков с ноутбуками, в сети беспроводной связи неизбежно встает проблема защиты от почти гарантированных WEP-атак.

WEP-атаки

Недостаточность длины ключа, отсутствие его ротаций и сам принцип шифрования RC4, описанный выше, позволяют организовать весьма эффективную пассивную атаку. Причем злоумышленнику не нужно совершать никаких действий, по которым его можно было бы обнаружить, достаточно просто слушать канал. При этом не требуется и специального оборудования - хватит обычной WLAN-карточки, купленной долларов за 20-25, а также программы, которая будет накапливать пакеты на жестком диске до совпадения значений вектора IV. Когда количество пакетов станет достаточным (чаще всего от 1 млн до 4 млн), легко вычислить WEP-ключ. Одна из самых популярных программ для таких "упражнений" - AirSnort (http://airsnort.shmoo.com). Это ПО работает с сетевыми картами от Cisco Systems, карточками на базе НМС Prism-2 (их довольно много), а также на картах Orinoco или их клонах.

Неплохих результатов может достичь хакер, использующий активные способы атаки. Например, можно посылать известные данные извне ЛС, скажем, из Интернета, одновременно анализируя, как их зашифровала точка доступа. Такой метод позволяет и вычислить ключ, и манипулировать данными.

Еще один метод активной атаки - Bit-Flip attack. Алгоритм действий здесь следующий (рис. 1):

1. Перехватываем фрейм, зашифрованный WEP.
2. Меняем произвольно несколько битов в поле "данные" и пересчитываем контрольную сумму CRC-32.
3. Посылаем модифицированный фрейм на точку доступа.
4. Точка доступа примет фрейм на канальном уровне, поскольку контрольная сумма верна.
5. Точка доступа попытается дешифровать данные и ответит заранее известным текстом, например: "Ваш ключ шифрования неверен".
6. Сравнение текста в зашифрованном и незашифрованном виде может позволить вычислить ключ.

В рамках данной статьи мы не будем рассматривать возможную DOS-атаку на оборудование, использующее способ широкополосной модуляции DSSS. К оборудованию этого типа относятся устройства стандарта 802.11b и 802.11a, работающие на низких скоростях.

Промежуточные выводы

Все вышесказанное позволяет говорить о ненадежности старых методов обеспечения безопасности в беспроводных сетях; а если оборудование не позволяет реализовать современные решения для защиты информации, то выбор стратегий невелик: либо использовать строжайшую административную политику (см. врезку "Административные меры"), либо применять технологию IPSec - ESP.

Технология IPSec - ESP, безусловно, позволит защитить данные, но сильно снизит производительность ЛС. Все-таки эта технология была разработана для глобальных сетей, и в пределах беспроводной локальной сети использовать ее расточительно. Ее применение поверх беспроводных каналов оправдано лишь в случае соединения филиалов или других подобных решений.

Современные требования к защите, или "Из жизни с Cisco"

Для спокойствия любого пользователя нужно обеспечить решение всего трех проблем для его трафика: это конфиденциальность (данные должны быть надежно зашифрованы), целостность (данные должны быть гарантированно не изменены третьим лицом) и аутентичность (уверенность в том, что данные получены от правильного источника).

Аутентификация

В стандарте 802.1x определен более современный по сравнению со стандартами 1997-1998 гг. способ аутентификации, который широко применяется в различном сетевом оборудовании, в беспроводных устройствах в том числе. Принципиальное отличие его от старых способов аутентификации заключается в следующем: пока не будет проведена взаимная проверка, пользователь не может ни принимать, ни передавать никакие данные. Стандарт предусматривает также динамическое управление ключами шифрования, что, естественно, затрудняет пассивную атаку на WEP.

Например, ряд разработчиков используют для аутентификации в своих устройствах протоколы EAP-TLS и PEAP, но более "широко" к проблеме подходит Cisco Systems (http://www.cisco.com), предлагая для своих беспроводных сетей, наряду с этими, следующий ряд протоколов.

Extensible Authentication Protocol - Transport Layer Security (EAP-TLS) - это стандарт IETF, который обеспечивает аутентичность путем двустороннего обмена цифровыми сертификатами.

Protected EAP (PEAP) - пока предварительный стандарт (draft) IETF. Он предусматривает обмен цифровыми сертификатами и дополнительную проверку имени и пароля по специально созданному шифрованному туннелю.

Lightweight EAP (LEAP) - фирменный протокол Cisco Systems. "Легкий" протокол взаимной аутентификации, похожий на двусторонний Challenge Authentication Protocol (CHAP). Использует разделяемый ключ, поэтому требует определенной разумности при генерации паролей. В противном случае, как и любой другой способ PreShared Key, подвержен атакам по словарю.

EAP - Flexible Authentication via Secure Tunneling (EAP-FAST) - разработан Cisco на основании предварительного стандарта (draft) IETF для защиты от атак по словарю и имеет высокую надежность. Требует от администратора минимума усилий для поддержки. Принцип его работы схож с LEAP, но аутентификация проводится по защищенному туннелю. Первые реализации появились в апреле 2004 г. Поддерживается, начиная с версий ПО IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3.

Все современные способы аутентификации (см. таблицу) подразумевают поддержку динамических ключей, что не может не радовать. Однако если сравнивать все эти стандарты и по остальным параметрам, то способы EAP-TLS и PEAP кажутся более тяжеловесными. И это действительно так. Они больше подходят для применения в сетях, построенных на базе оборудования различных производителей.

Особенности способов аутентификации

Показатель	Способ
	LEAP	EAP-FAST	PEAP	EAP-TLS
Поддержка современных ОС	Да	Да	Не все	Не все
Сложность ПО и ресурсоемкость аутентификации	Низкая	Низкая	Средняя	Высокая
Сложность управления	Низкая*	Низкая	Средняя	Средняя
Single Sign on (единый логин в Windows)	Да	Да	Нет	Да
Динамические ключи	Да	Да	Да	Да
Одноразовые пароли	Нет	Да	Да	Нет
Поддержка баз пользователей не в формате Microsoft Windows	Нет	Да	Да	Да
Fast Secure Roaming	Да	Да	Нет	Нет
Возможность локальной аутентификации	Да	Да	Нет	Нет

Способы аутентификации, разработанные Cisco, выглядят симпатичнее. Особенную прелесть им придает поддержка технологии Fast Secure Roaming, позволяющей переключаться между различными точками доступа (время переключения примерно 100 мс), что особенно важно при передаче голосового трафика. При работе с EAP-TLS и PEAP повторная аутентификация займет существенно больше времени, и в результате разговор прервется. Главный недостаток LEAP и LEAP-FAST очевиден - эти протоколы поддерживаются только в оборудовании Cisco Systems.

Шифрование и целостность

На основании рекомендаций 802.11i Cisco Systems реализовала протокол TKIP (Temporal Кey Integrity Protocol), который обеспечивает смену ключа шифрования PPK (Рer Рacket Кeying) в каждом пакете и контроль целостности сообщений MIC (Message Integrity Check).

Процедура PPK предусматривает изменение вектора инициализации IV в каждом пакете. Причем шифрование осуществляется значением хэш-функции от IV и самого WEP-ключа. Если еще учесть, что WEP-ключи динамически меняются, то надежность шифрования становится довольно высокой.

Обеспечение целостности возложено на процедуру MIC. В формирующийся фрейм добавляются поля MIC и SEQuence number, в поле SEQ указывается порядковый номер пакета, что позволяет защититься от атак, основанных на повторах и нарушениях очередности. Пакет с неверным порядковым номером просто игнорируется. В 32-разрядном поле MIC располагается значение хэш-функции, вычисленной по значениям самого заголовка пакета 802.11, поля SEQ, пользовательских данных (рис. 2).

Другой перспективный протокол шифрования и обеспечения целостности, уже зарекомендовавший себя в проводных решениях, - это AES (Advanced Encryption Standard). Он разработан сравнительно недавно - в октябре 2001 г. и обладает лучшей криптостойкостью по сравнению с DES и ГОСТ 28147-89. Длина ключа AES составляет 128, 192 или 256 бит. Как уже отмечалось, он обеспечивает и шифрование, и целостность.

Заметим, что используемый в нем алгоритм (Rijndael) не требует больших ресурсов ни при реализации, ни в работе, что очень важно для уменьшения времени задержки данных и нагрузки на процессор.

AES уже работает в ОС Cisco IOS (k9), начиная с 12.2(13)T. В настоящее время практически все устройства Cisco Systems стандарта 802.11g готовы к поддержке AES. Сетевая общественность находится в ожидании объявления о выходе этого ПО в свет, однако неоднократно называвшиеся сроки не соблюдаются. Впрочем, сейчас определенная ясность все-таки появилась. Компания объявила, что все устройства, работающие в стандарте 802.11g, можно будет совершенно свободно снабдить новым ПО, которое обязательно появится вскоре… Но - только после ратификации стандарта 802.11i. Стандарт ратифицирован IEEE в конце июня (см. врезку "Стандарт 802.11i ратифицирован"). Так что ждем-с.

Wi-Fi Protected Access

Стандарт Wi-Fi Protected Access (WPA) - это набор правил для реализации защиты данных в сетях 802.11х. Начиная с августа 2003 г., соответствие WPA входит в состав требований к оборудованию, сертифицирующемуся на высокое звание Wi-Fi Certified (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf).

Заметим, что в спецификации WPA входит немного измененный протокол TKIP-PPK. Шифрование выполняется на "смеси" нескольких ключей - текущего и последующего. При этом длина IV увеличена до 48 бит.

WPA определяет и контроль целостности сообщений согласно упрощенной версии MIC (Michael MIC), отличающейся от описанной тем, что хэш-функция рассчитывается на основании меньшего количества полей, но само поле MIC имеет большую длину - 64 бит. Это дает возможность реализовать дополнительные меры защиты информации, например, ужесточить требования к ре-ассоциациям, ре-аутентификациям и т. п.

Спецификации предусматривают также поддержку 802.1x/EAP и аутентификации с разделяемым ключом и, несомненно, - управление ключами.

Особенно радует, что WPA-устройства готовы к работе и с клиентами, оборудование у которых поддерживает современные стандарты, и с клиентами, совершенно не заботящимися о своей безопасности и использующими старое оборудование или ПО. Автор категорически рекомендует: распределяйте пользователей с разной степенью защищенности по разным виртуальным ЛС и в соответствии с этим реализуйте свою политику безопасности.

Сегодня, при условии использования современного оборудования и ПО, защищенную и устойчивую к атакам беспроводную сеть на базе стандартов 802.11х построить вполне возможно. Для этого нужно только применить в ней несколько разумных постулатов.

Надо помнить, что почти всегда беспроводная сеть связана с проводной. Кроме необходимости защищать беспроводные каналы, данный факт служит побудительным мотивом к внедрению новых методов защиты и в проводных сетях. В противном случае может сложиться ситуация, когда сеть будет иметь фрагментарную защиту, что по сути создает потенциальную угрозу безопасности.

Желательно использовать оборудование, имеющее сертификат Wi-Fi Certified, выданный позднее августа 2003 г., т. е. подтверждающий соответствие WPA.

Многие администраторы, устанавливая в ЛС устройства, сохраняют настройки производителя по умолчанию. В серьезных беспроводных сетях это категорически недопустимо.

Несомненно, нужно внедрять 802.1х/EAP/TKIP/MIC и динамическое управление ключами. Если сеть смешанная - используйте виртуальные локальные сети. Сейчас практически любой серьезный производитель точек доступа поддерживает данную технологию. А если он ее не поддерживает, то не стоит поддерживать и такого производителя, приобретая его оборудование. В случае использования внешних антенн (например, при соединении разных ЛС между собой) рекомендуется технология виртуальных частных сетей VPN.

Стоит сочетать протокольные и программные способы защиты с административными. Имеет смысл подумать и о внедрении технологии Intrusion Detection System (IDS) для обнаружения возможных вторжений. Можно также использовать описанные выше программные продукты.

И, наконец, самое главное - при планировании защищенной беспроводной сети руководствуйтесь здравым смыслом. Помните: любое шифрование или другие манипуляции с данными неизбежно привносят дополнительную задержку, увеличивают объем служебного трафика и нагрузку на процессоры сетевых устройств. Безусловно, безопасность - важный фактор в современных сетях, но она теряет всякий смысл, если трафик пользователя не получает должной полосы пропускания. Ведь, к сожалению, любые сети создаются в конечном счете для пользователей, а не для администраторов. Впрочем, тема QoS в беспроводных сетях стандарта 802.11х заслуживает отдельной статьи.

Стандарт 802.11i ратифицирован 25 июня 2004 г. Институт инженеров по электротехнике и радиоэлектронике (IEEE) ратифицировал давно ожидаемый стандарт обеспечения безопасности в беспроводных локальных сетях - 802.11i. До его принятия, еще в 2002 г., отраслевой консорциум Wi-Fi Alliance предложил использовать в качестве промежуточного варианта протокол WPA. В него вошли некоторые механизмы 802.11i, в том числе шифрование по протоколу TKIP и возможность использования системы аутентификации пользователей 802.1x, базирующейся на протоколе RADIUS. Протокол WPA существует в двух модификациях: облегченной (для домашних пользователей) и включающей в себя стандарт аутентификации 802.1x (для корпоративных пользователей). В официальном стандарте 802.11i к возможностям протокола WPA добавилось требование использовать стандарт шифрования AES, который обеспечивает уровень защиты, соответствующий требованиям класса 140-2 стандарта FIPS (Federal Information Processing Standard), применяемого в правительственных структурах США. Однако во многих существующих сетях протокол AES может потребовать замены оборудования, если оно не оснащено специальными средствами шифрования и дешифрования. Кроме того, новый стандарт приобрел и несколько относительно малоизвестных свойств. Одно из них - key-caching - незаметно для пользователя записывает информацию о нем, позволяя при выходе из зоны действия беспроводной сети и последующем возвращении в нее не вводить всю информацию о себе заново. Второе нововведение - пре-аутентификация. Суть ее в следующем: из точки доступа, к которой в настоящее время подключен пользователь, пакет пре-аутентификации направляется в другую точку доступа, обеспечивая этому пользователю предварительную аутентификацию еще до его регистрации на новой точке и тем самым сокращая время авторизации при перемещении между точками доступа. Wi-Fi Alliance намерен приступить к тестированию устройств на соответствие новому стандарту (его еще называют WPA2) до сентября текущего года. По заявлению его представителей, повсеместной замены оборудования не понадобится. И если устройства с поддержкой WPA1 могут работать там, где не требуется продвинутое шифрование и RADIUS-аутентификация, то продукты стандарта 802.11i можно рассматривать как WPA-оборудование, поддерживающее AES.

Беспроводные сети начинают использоваться практически во всем мире. Это обусловлено их удобством, гибкостью и сравнительно невысокой стоимостью. Беспроводные технологии должны удовлетворять ряду требований к качеству, скорости, радиусу приема и защищенности, причем защищенность часто является самым важным фактором.

Сложность обеспечения безопасности беспроводной сети очевидна. Если в проводных сетях злоумышленник должен сначала получить физический доступ к кабельной системе или оконечным устройствам, то в беспроводных сетях это условие отпадает само собой: поскольку данные передаются «по воздуху», для получения доступа достаточно обычного приемника, установленного в радиусе действия сети (см. разд. 2.2.3).

Однако, несмотря на различия в реализации, подход к безопасности беспроводных сетей и их проводных аналогов идентичен: здесь присутствуют аналогичные требования к обеспечению конфиденциальности и целостности передаваемых данных и, конечно же, к проверке подлинности как беспроводных клиентов, так и точек доступа.

Общие сведения

Как и все стандарты IEEE 802, базовый стандарт организации беспроводных локальных сетей IEEE 802.11 работает на нижних двух уровнях модели ISO/OSI - физическом и канальном. Сетевое приложение, сетевая ОС или протокол (например, TCP/IP) будут так же хорошо работать в сети 802.11, как и в сети Ethernet.

Основная архитектура, особенности и службы определяются в базовом стандарте 802.11 (см. разд. 4.2), который определяет два режима работы беспроводной сети - режим клиент/сервер (или режим инфраструктуры) и режим «точка-точка» (Ad-hoc).

В режиме клиент/сервер беспроводная сеть состоит как минимум из одной точки доступа AP (Access point), подключенной к проводной сети, и некоторого набора беспроводных оконечных станций. Такая конфигурация носит название базового набора служб BSS (Basic Service Set). Два или более BSS, образующих единую подсеть, формируют расширенный набор служб ESS (Extended Service Set). Так как большинству беспроводных станций требуется получать доступ к файловым серверам, принтерам, Интернету, доступным в проводной локальной сети, они будут работать в режиме клиент/сервер.

Режим «точка-точка» - это простая сеть, в которой связь между многочисленными станциями устанавливается напрямую, без использования специальной точки доступа. Такой режим полезен в том случае, если инфраструктура беспроводной сети не сформирована (например, в отеле, выставочном зале, аэропорту).

На физическом уровне стандарта 802.11 определены 2 широкополосных радиочастотных метода передачи и 1 - в инфракрасном диапазоне. Радиочастотные методы работают в ISM диапазоне 2,4 ГГц и обычно используют полосу 83 МГц от 2,400 ГГц до 2,483 ГГц. Технологии широкополосного сигнала, используемые в радиочастотных методах, увеличивают надежность, пропускную способность, позволяют многим несвязанным друг с другом устройствам разделять одну полосу частот с минимальными помехами друг для друга.

Основное дополнение, внесенное стандартом 802.11b в основной стандарт, - это поддержка двух новых скоростей передачи данных - 5,5 и 11 Mbps. Для достижения этих скоростей был выбран метод прямой последовательности DSSS (Direct Sequence Spread Spectrum).

Канальный (Data Link) уровень стандарта 802.11 состоит из двух подуровней: управления логической связью LLC (Logical Link Control) и управления доступом к носителю MAC (Media Access Control).

Обеспечение безопасности беспроводных сетей

Система защиты беспроводных сетей WLAN, основанная на протоколе WEP (Wired Equivalent Privacy) первоначального стандарта 802.11, имеет существенные недостатки. Однако появились более эффективные технологии обеспечения информационной безопасности WLAN, которые описаны в стандарте WPA (Wi-Fi

Protected Access) организации Wi-Fi Alliance и стандарте 802.1 И института IEEE и призваны устранить недостатки стандарта 802.11. Поскольку процесс разработки стандарта 802.1 И слишком затянулся, организация Wi-Fi Alliance была вынуждена предложить в 2002 г. собственную технологию обеспечения информационной безопасности WLAN - стандарт WPA.

Стандарт WPA весьма привлекателен тем, что относительно прост в реализации и позволяет защитить ныне действующие WLAN. Стандарты WPA и 802.1 И совместимы друг с другом, поэтому использование поддерживающих WPA продуктов можно считать начальным этапом перехода к системе защиты на базе стандарта 802.1 И (см. разд. 4.2).

Между технологиями стандартов 802.1 И и WPA много общего. Так, в них определена идентичная архитектура системы безопасности с улучшенными механизмами аутентификации пользователей и протоколами распространения и обновления ключей. Но есть и существенные различия. Например, технология WPA базируется на протоколе динамических ключей TKIP (Temporal Key Integrity Protocol), поддержку которого в большинстве устройств WLAN можно реализовать путем обновления их ПО, а в более функциональной концепции стандарта 802.1 И предусмотрено использование нового стандарта шифрования AES (Advanced Encryption Standard), с которым совместимо лишь новейшее оборудование для WLAN.

В стандарте WPA предусмотрено использование защитных протоколов 802.Ix, EAP, TKIP и RADIUS.

Механизм аутентификации пользователей основан на протоколе контроля доступа 802.1 х (разработан для проводных сетей) и протоколе расширенной аутентификации ЕАР (Extensible Authentication Protocol). Последний позволяет сетевому администратору задействовать алгоритмы аутентификации пользователей посредством сервера RADIUS (см. гл. 13).

Функции обеспечения конфиденциальности и целостности данных базируются на протоколе TKIP, который в отличие от протокола WEP использует более эффективный механизм управления ключами, но тот же самый алгоритм RC4 для шифрования данных. Согласно протоколу TKIP, сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битово-го вектора инициализации протокола WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей и осуществление replay-атак.

В протоколе TKIP предусмотрены генерация нового ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (Message Integrity Code), препятствующей хакеру изменять содержимое передаваемых пакетов.

Система сетевой безопасности стандарта WPA работает в двух режимах: PSK (Pre-Shared Key) и Enterprise (корпоративный). Для развертывания системы, работающей в режиме PSK, необходим разделяемый пароль. Такую систему несложно устанавливать, но она защищает WLAN не столь надежно, как это делает система, функционирующая в режиме Enterprise с иерархией динамических ключей. Хотя протокол TKIP работает с тем же самым блочным шифром RC4, который предусмотрен спецификацией протокола WEP, технология WPA защищает данные надежнее последнего.

Чтобы точки доступа WLAN стали совместимыми со стандартом WPA, достаточно модернизировать их ПО. Для перевода же сетевой инфраструктуры на стандарт 802.Hi потребуется новое оборудование, поддерживающее алгоритм шифрования AES, так как AES-шифрование создает большую нагрузку на центральный процессор беспроводного клиентского устройства.

Чтобы корпоративные точки доступа работали в системе сетевой безопасности стандарта WPA или 802.1 И, они должны поддерживать аутентификацию пользователей по протоколу RADIUS и реализовывать предусмотренный стандартом метод шифрования - TKIP или AES, что потребует модернизации их ПО. И еще одно требование - быстро осуществлять повторную аутентификацию пользователей после разрыва соединения с сетью. Это особенно важно для нормального функционирования приложений, работающих в реальном масштабе времени.

Если сервер RADIUS, применяемый для контроля доступа пользователей проводной сети, поддерживает нужные методы аутентификации ЕАР, то его можно задействовать и для аутентификации пользователей WLAN. В противном случае следует установить сервер WLAN RADIUS. Этот сервер работает следующим образом: сначала он проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей БД об их идентификаторах и паролях) или его цифровой сертификат, а затем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи.

Для работы технологии WPA требуется механизм EAP-TLS (Transport Layer Security), тогда как в стандарте IEEE 802.1 П применение конкретных методов аутентификации ЕАР не оговаривается. Выбор метода аутентификации ЕАР определяется спецификой работы клиентских приложений и архитектурой сети. Чтобы ноутбуки и карманные ПК работали в системе сетевой безопасности стандарта WPA или 802.1 И, они должны быть оснащены клиентскими программами, поддерживающими стандарт 802.1 х.

Самым простым, с точки зрения развертывания, вариантом системы сетевой безопасности стандарта WPA является система, работающая в режиме PS К. Она предназначена для небольших и домашних офисов и не нуждается в сервере RADIUS, а для шифрования пакетов и расчета криптографической контрольной суммы MIC в ней используется пароль PSK. Обеспечиваемый ею уровень информационной безопасности сети вполне достаточен для большинства вышеуказанных офисов. С целью повышения эффективности защиты данных следует применять пароли, содержащие не менее 20 символов.

Предприятиям целесообразно внедрять у себя системы сетевой безопасности стандарта WPA с серверами RADIUS. Большинство компаний предпочитают именно такие системы, поскольку работающие в режиме PS К решения сложнее администрировать и они более уязвимы для хакерских атак.

До тех пор пока средства стандарта 802.1 И не станут доступными на рынке, WPA будет оставаться самым подходящим стандартом для защиты WLAN.

Стандарты WPA и 802.1 И в достаточной степени надежны и обеспечивают высокий уровень защищенности беспроводных сетей. Тем не менее одного протокола защиты недостаточно - следует также уделять внимание правильному построению и настройке сети.

Физическая защита. При развертывании Wi-Fi-сети необходимо физически ограничить доступ к беспроводным точкам.

Правильная настройка. Парадокс современных беспроводных сетей заключается в том, что пользователи не всегда включают и используют встроенные механизмы аутентификации и шифрования.

Защита пользовательских устройств. Не следует полностью полагаться на встроенные механизмы защиты сети. Наиболее оптимальным является метод эшелонированной обороны, первая линия которой - средства защиты, установленные на стационарном ПК, ноутбуке или КПК.

Традиционные меры. Эффективная работа компьютера в сети немыслима без классических мер защиты - своевременной установки обновлений, использования защитных механизмов, встроенных в ОС и приложения, а также антивирусов. Однако этих мер на сегодня недостаточно, так как они ориентированы на защиту от уже известных угроз.

Мониторинг сети. Слабое звено в корпоративной сети - самовольно установленные точки доступа. Актуальной является задача локализации несанкционированных точек доступа. Специальные средства локализации точек доступа позволяют графически отображать место расположения «чужого» терминала на карте этажа или здания. Если классические методы не спасают от вторжения, следует применять системы обнаружения атак.

УРМ-агенты. Многие точки доступа работают в открытом режиме, поэтому необходимо использовать методы защиты передаваемых данных. На защищаемом компьютере должен быть установлен УР1М-клиент, который возьмет на себя решение этой задачи. Практически все современные ОС (например, Yindows ХР) содержат в своем составе такие программные компоненты.

Невероятно быстрые темпы внедрения в современных сетях беспроводных решений заставляют задуматься о надежности защиты данных.

Сам принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа.

Не менее опасная угроза - вероятность хищения оборудования. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или точка доступа, украденная злоумышленником, может открыть доступ к сети.

Часто несанкционированное подключение точек доступа к ЛВС выполняется самими работниками предприятия, которые не задумываются о защите.

Решением подобных проблем нужно заниматься комплексно. Организационные мероприятия выбираются исходя из условий работы каждой конкретной сети. Что касается мероприятий технического характера, то весьма хорошей результат достигается при использовании обязательной взаимной аутентификации устройств и внедрении активных средств контроля.

В 2001 году появились первые реализации драйверов и программ, позволяющих справиться с шифрованием WEP. Самый удачный - PreShared Key. Но и он хорош только при надежной шифрации и регулярной замене качественных паролей (рис.1).

Рисунок 1 - Алгоритм анализа зашифрованных данных

Современные требования к защите

Аутентификация

В настоящее время в различном сетевом оборудовании, в том числе в беспроводных устройствах, широко применяется более современный способ аутентификации, который определен в стандарте 802.1х - пока не будет проведена взаимная проверка, пользователь не может ни принимать, ни передавать никаких данных.

Ряд разработчиков используют для аутентификации в своих устройствах протоколы EAP-TLS и PEAP, Cisco Systems, предлагает для своих беспроводных сетей, помимо упомянутых, следующие протоколы: EAP-TLS, РЕАР, LEAP, EAP-FAST.

Все современные способы аутентификации подразумевают поддержку динамических ключей.

Главный недостаток LEAP и EAP-FAST - эти протоколы поддерживаются в основном в оборудовании Cisco Systems (рис. 2).

Рисунок 2 - Структура пакета 802.11x при использовании TKIP-PPK, MIC и шифрации по WEP.

Шифрование и целостность

На основании рекомендаций 802.11i Cisco Systems реализован протокол ТКIР (Temporal Integrity Protocol), обеспечивающий смену ключа шифрования РРК (Per Packet Keying) в каждом пакете и контроль целостности сообщений MIC (Message Integrity Check).

Другой перспективный протокол шифрования и обеспечения целостности - AES (Advanced Encryption Standart). Он обладает лучшей криптостойкостью по сравнению DES и ГОСТ 28147-89. Он обеспечивает и шифрацию, и целостность.

Заметим, что используемый в нем алгоритм (Rijndael) не требует больших ресурсов ни при реализации, ни при работе, что очень важно для уменьшения времени задержки данных и нагрузки на процессор.

Стандарт обеспечения безопасности в беспроводных локальных сетях - 802,11i.

Стандарт Wi-Fi Protected Access (WPA) - это набор правил, обеспечивающих реализацию защиты данных в сетях 802.11х. Начиная с августа 2003 года соответствие стандартам WPA является обязательным требованием к оборудования, сертифицируемому на звание Wi-Fi Certified.

В спецификацию WPA входит измененный протокол TKOP-PPK. Шифрование производится на сочетании нескольких ключей - текущего и последующего. При этом длина IV увеличена до 48 бит. Это дает возможность реализовать дополнительные меры по защите информации, к примеру ужесточить требования к реассоциациям, реаутентификациям.

Спецификации предусматривают и поддержку 802.1х/EAP, и аутентификацию с разделяемым ключом, и, несомненно, управление ключами.

Таблица 3 - Способы реализации политики безопасности

Продолжение таблицы 3

При условии использования современного оборудования и ПО в настоящее время вполне возможно построить на базе стандартов серии 802.11х защищенную и устойчивую к атакам беспроводную сеть.

Почти всегда беспроводная сеть связана с проводной, а это, помимо необходимости защищать беспроводные каналы, необходимо обеспечивать защиты в проводных сетях. В противном случае сеть будет иметь фрагментарную защиту, что, по сути, является угрозой безопасности. Желательно использовать оборудование, имеющее сертификат Wi-Fi Certified, то есть подтверждающий соответствие WPA.

Нужно внедрять 802.11х/EAP/TKIP/MIC и динамическое управление ключами. В случае смешанной сети следует использовать виртуальные локальные сети; при наличии внешних антенн применяется технология виртуальных частных сетей VPN.

Необходимо сочетать как протокольные и программные способы защиты, так и административные.

ГЛАВА 3 ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

В связи с бурным развитием локальных и глобальных вычислительных сетей широкое развитие получили и методы разведки (промышленного шпионажа), направленные на перехват информации, обрабатываемой (передаваемой, хранящейся) в локальных сетях.

Проникновение в локальную сеть какой-либо организации возможно только при недостаточно квалифицированной настройке всех элементов локальной сети администратором системы. В случае же грамотной настройки, злоумышленникам необходимо изыскивать методы добывания информации, не связанные с проникновением в локальную сеть. Для этого используются методы перехвата информации по каналам побочных излучений и наводок (ПЭМИН) элементов локальной сети. Методика защиты отдельных компьютеров достаточно хорошо проработана, подкреплена необходимыми нормативными документами. Задача же защиты информации от утечки по каналам ПЭМИН в локальной сети существенно сложнее, чем для автономно используемых устройств.

Источниками электромагнитных излучений в локальной сети являются рабочие станции и активное сетевое оборудование. Для защиты от утечки информации по каналам побочных излучений и наводок применяется экранирование этого оборудования. Для снижения уровня излучений активного оборудования локальной сети оборудование и серверы лучше всего размещать в экранированном шкафу.

Для компьютеров в настоящее время доступны корпуса, удовлетворяющих требования Европейской Директивы по электромагнитной совместимости (European EMS Directive 89/336/EEC). Современные корпуса позволяют значительно ослабить излучения элементов компьютера, но большинство требует дополнительной доработки. Качество экранирования корпуса системного блока компьютера влияет на уровень излучения всех устройств, подключенных к системному блоку (например, клавиатуры). Стандартная клавиатура обычно имеет очень высокий уровень излучения. В тоже время с клавиатуры вводятся очень критичные с точки зрения безопасности данные, включая пароли пользователей и администратора системы. Для перехвата излучения клавиатуры может использоваться простой коротковолновый приемник. Учитывая также, что данные, вводимые с клавиатуры, вводятся в последовательном коде и поэтому могут быть легко интерпретированы, излучения, создаваемые клавиатурой, следует считать наиболее опасными. Результаты измерений уровня электрической (рис.3) и магнитной (рис.4) составляющих показал, что у компьютеров с различными серийно выпускаемыми корпусами системных блоков мощность побочных излучений от клавиатуры может отличаться более чем в 100 раз.

Рисунок 3 - Уровни электрической составляющей

Рисунок 4 - Уровни магнитной составляющей

Аналогичные соотношения получаются и для других устройств, входящих в состав ПК.

Задача доработки стандартных корпусов и шкафов:

Во-первых, в местах соединения отдельных конструкций корпуса всегда есть щели, существенно ухудшающие экранирующие свойства.

Во-вторых, корпус электронного прибора не может быть герметичным так как нужны вентиляционные отверстия для отвода тепла.

В-третьих, конструкция экранирующего корпуса не может быть рассчитана заранее. Поэтому доработка стандартного корпуса с целью улучшения его экранирующих свойств это всегда экспериментальная работа.

Сейчас существует множество материалов, предназначенных для улучшения экранирующих свойств корпусов - всевозможные пружинящие уплотнители, электропроводящие эластомеры, самоклеющиеся металлизированные покрытия.

Источником излучения является блок питания. Внутрь питание подается через фильтр, препятствующий распространению побочных излучений вдоль проводов. Но рассчитать фильтр для полного подавления излучений практически невозможно, так как на его характеристики влияют очень многие параметры внешней сети. Ни один серийно изготавливаемый фильтр не может полностью выполнять свои функции в широкой полосе частот. Хорошие фильтры - это компромиссное решение, которое только в большинстве случаев удовлетворяет предъявляемым к фильтру требованиям.

В зависимости от этого характеристики по защите информации от утечки по каналам ПЭМИН автономного компьютера или компьютера в составе сети, могут существенно отличаться. И основным фактором, приводящим к различию характеристик, является заземление устройств.

В автономных устройствах заземление не улучшает и не ухудшает их экранирующих свойств. Заземление необходимо только по требованиям техники электробезопасности. При грамотно выполненном заземлении уровень побочных излучений несколько снижается. Но в некоторых случаях при подключении заземления уровень побочных излучений может и увеличиться.

Кабельная система не содержит активных элементов, поэтому сама по себе она не может быть источником побочных излучений. Однако кабельная система связывает между собой все элементы компьютерной сети. По ней передаются сетевые данные и она является также приемником всех наводок и средой для переноса побочных электромагнитных излучений (рис.5).

Рисунок 5 - Побочные электромагнитные излучения

Поэтому следует различать:

Побочное излучение, вызванное передаваемыми по данной линии сигналами (трафиком локальной сети);

Прием и последующее переизлучение побочных излучений от расположенных вблизи других линий и устройств;

Излучение кабельной системой побочных колебаний от элементов сетевого активного оборудования и компьютеров, к которым подключен кабель.

Чаще всего при оценке защищенности кабельной системы интересуются только тем, насколько ослабляется побочное излучение, вызванное сигналами, передаваемые по кабелю в процессе сетевого обмена информацией.

Если по радиоизлучению кабельной системы можно восстановить трафик в локальной сети, то это представляет большую опасность. На самом деле трафик локальной сети достаточно хорошо защищен от утечки информации по каналам ПЭМИН. Современные кабели для локальных сетей имеют очень низкий уровень излучения передаваемых сигналов. В этих кабелях сигналы передаются по витой паре проводов, причем количество скруток на единицу длины строго постоянно. В принципе такая система вообще не должна излучать. Более того, наличие экрана у витой пары очень мало влияет на уровень излучения сигналов, передаваемых по витой паре. В реальной системе всегда имеют место отдельные неоднородности кабеля которые влияет на уровень побочного излучения, возникающего в процессе сетевого обмена. Реально на расстоянии буквально единиц метров уже невозможно по электромагнитному излучению современного кабеля перехватить передаваемую по нему информацию. Но в большинстве практических случаев кабельная система - это отличная антенна для всех побочных излучений оборудования, подключенного к сети. Побочные излучения, возникающие в элементах компьютера, наводятся на все провода кабеля локальной сети (рис.6).

Рисунок 6 - Побочные излучения в элементах компьютера

Вследствие этого для побочных излучений элементов компьютера кабель локальной сети необходимо рассматривать просто как одиночный многожильный провод, выходящий за пределы экранированного объема. Поставить для этих проводов фильтр, подавляющий побочные излучения, невозможно. Подавляя побочные излучения, мы подавим и сетевой трафик. Таким образом, если компьютер с защитой информации включить в локальную сеть на неэкранированной витой паре, то провода витой пары, играя роль антенны, могут усилить напряженность поля, создаваемого, например, клавиатурой компьютера (рис. 2, рис. 3), в десятки тысяч раз. Поэтому неэкранированная витая пара не может применяться в локальной сети, в которой обрабатывается информация с ограниченным доступом. Применение же экранированной витой пары значительно улучшают ситуацию.

Локальная компьютерная сеть в настоящее время уже не может эксплуатироваться автономно, без взаимодействия с другими сетями. В частности, любая организация, будь то частное предприятие, орган государственного управления или отдел МВД, должна быть активно представлена в глобальной сети интернет. Это и собственный сайт, и общедоступная электронная почта, и доступ сотрудников к информации глобальной сети. Такое тесное взаимодействие вступает в конфликт с требованиями обеспечения безопасности. При взаимодействии нескольких сетей могут возникать различные угрозы безопасности. Например, при подключении к глобальной сети самой безобидной из возможных угроз является взлом сети из хулиганских побуждений. В компьютерных сетях государственных органов власти циркулирует информация, представляющая интерес для иностранных разведок. В компьютерных сетях МВД циркулирует информация, представляющая интерес для криминала. Эта информация может и не иметь грифа секретности. Однако в совокупности позволяет получить довольно важные сведения. Поэтому, в случае объединения компьютерных сетей государственных органов с глобальной сетью интернет кроме хулиганских взломов следует предполагать и более квалифицированные попытки проникновения в сеть злоумышленников. Противостоять таким попыткам крайне сложно. Поэтому сеть интернет необходимо изолировать от внутренней сети, в которой сосредоточены обобщенные данные. Известно несколько способов изоляции собственной компьютерной сети от глобальной сети интернет с целью обеспечения безопасности. В сетях, в которых не циркулирует информация с ограниченным доступом, для изоляции сетей как правило достаточно использовать маршрутизатор. Но серьезную защиту от вторжения из глобальной сети можно обеспечить только при применением межсетевых экранов (FireWall). Поэтому для защиты корпоративной информации коммерческих фирм необходимо применение межсетевых экранов. Однако, для защиты информации в государственных органах как правило межсетевой экран не обеспечивает требуемого уровня защиты. Наиболее полно безопасность обеспечивается только в случае физической изоляции сети интернет от собственной локальной сети. Безусловно, это создает определенные неудобства в работе и требует дополнительных затрат при создании компьютерной сети. Однако в условиях необходимости противодействия криминалу это оправданная мера.

При построении сетей с физической изоляцией также необходимо учитывать вопросы защиты от утечки информации по каналам ПЭМИН. Во многих случаях сотруднику, работающему с информацией ограниченного доступа необходима и возможность выхода в интернет. На рабочем месте устанавливается два компьютера, один из которых подключен к локальной сети предприятия (организации), а второй к сети интернет. В этом случае кабели собственной сети с защитой информации и кабели открытой сети интернет очень трудно разнести на достаточное расстояние. Вследствие этого информация, циркулирующая в локальной сети, а также все побочные излучения компьютеров, наведенные на кабели локальной сети, могут наводиться и на кабели открытой сети интернет. Мало того, что кабель открытой сети это достаточно длинная антенна (особенно когда открытая сеть проложена неэкранированным кабелем). Кабели открытой сети как правило выходят за границы охраняемой территории, поэтому снять информацию можно не только путем перехвата излучений, но и путем непосредственного подключения к кабелям открытой сети. Поэтому кабели открытой сети также должны быть проложены в соответствии со всеми рекомендациями, выполняемыми при построении сети с защитой информации.

ГЛАВА 4. РАЗРАБОТКА ЛОКАЛЬНОЙ СЕТИ С ПОВЫШЕННЫМИ ТРЕБОВАНИЯМИ К ЗАЩИТЕ ИНФОРМАЦИИ

На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

Анализ безопасности беспроводных сетей.

На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

Однако данная безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей которые может получить хакер при халатности в настройке беспроводной сети:

Доступ к ресурсам локальной сети;

Прослушивание, воровство (имеется ввиду непосредственно интернет-траффик) трафика;

Искажение проходящей в сети информации;

Внедрение поддельной точки доступа;

Немного теории.

1997 год – выход в свет первого стандарта IEEE 802.11. Варианты защиты доступа к сети:

1. Использовался простой пароль SSID (Server Set ID) для доступа в локальную сеть. Данный вариант не предоставляет должного уровня защиты, особенно для нынешнего уровня технологий.

2. Использование WEP (Wired Equivalent Privacy) – то есть использование цифровых ключей шифрования потоков данных с помощью данной функции. Сами ключи это всего лишь обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.

2001 год - внедрение нового стандарта IEEE 802.1X. Данный стандарт использует динамические 128-разрядные ключи шифрования, то есть периодически изменяющихся во времени. Основная идея заключается в том, что пользователь сети работает сеансами, по завершении которых им присылается новый ключ - время сеанса зависит от ОС (Windows XP - по умолчанию время одного сеанса равно 30 минутам).

На данный момент существуют стандарты 802.11:

802.11 - Первоначальный базовый стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 Мбит/с.

802.11a - Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.

I802.11b - Наиболее распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN

802.11f - Стандарт, описывающий порядок связи между равнозначными точками доступа.

802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11h - Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.

802.11i (WPA2) - Стандарт, исправляющий существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.

На данный момент широко используется 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.

2003 года - был внедрён стандарт WPA (Wi-Fi Protected Access), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP (Temporal Key Integrity Protocol), протоколом расширенной аутентификации EAP (Extensible Authentication Protocol) и технологией проверки целостности сообщений MIC (Message Integrity Check).

Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков. Ведущими являются такие гиганты как Intel и Cisco.

2004 год - появляется WPA2, или 802.11i, - максимально защищённый на данное время стандарт.

Технологии защиты Fi-Wi сетей.

WEP

Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации IV (Initialization Vector), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, что позволяет при шифровании оперировать и постоянными, и случайно выбранными символами. Но с другой стороны 24 бита это всего лишь ~16 миллионов комбинаций (2 24 степени) – то есть по истечению цикла генерации ключа начинается новый цикл. Взлом осуществляется достаточно элементарно:

1) Нахождение повтора (минимальное время, для ключа длинной 40 бит – от 10 минут).

2) Взлом остальной части (по сути - секунды)

3) Вы можете внедряться в чужую сеть.

При этом для взлома ключа имеются достаточно распространенные утилиты такие как WEPcrack.

802.1X

IEEE 802.1X - это основополагающий стандарт для беспроводных сетей. На данный момент он поддерживается ОС Windows XP и Windows Server 2003.

802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно - RC4, но с некоторыми отличиями (большая «мобильность», т.е. имеется возможность подключения в сеть даже PDA-устройства) и исправлениями (взлом WEP и т. п.).

802.1X базируется на протоколе расширенной аутентификации EAP (Extensible Authentication Protocol), протоколе защиты транспортного уровня TLS (Transport Layer Security) и сервере доступа RADIUS (Remote Access Dial-in User Service).

После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время - время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными.

Отдельно необходимо упомянуть о безопасности RADIUS: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно и многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (сleartext и CHAP), имеет среднюю степень защищенности. В RADIUS"е шифруется только cleartext-пароли, весь остальной пакет остается "открытым" (с точки зрения безопасности даже имя пользователя является очень важным параметром). А вот CHAP – это отдельный разговор. Идея в том, что бы cleartext-пароль ни в каком виде никогда не передавался бы через сеть. А именно: при аутентификации пользователя клиент посылает пользовательской машине некий Challenge (произвольная случайная последовательность символов), пользователь вводит пароль и с этим Challengе"ем пользовательская машина производит некие шифрующий действия используя введенный пароль (как правило это обыкновенное шифрование по алгоритму MD5 (RFC-1321). Получается Response. Этот Response отправляется назад клиенту, а клиент все в совокупности (Challenge и Response) отправляет на аутентификацию 3A-серверу (Authentication, Authorization, Accounting). Тот (также имея на своей стороне пользовательский пароль) производит те же самые действия с Challeng"ем и сравнивает свой Response с полученным от клиента: сходится - пользователь аутентифицирован, нет - отказ. Таким образом, cleartext-пароль знают только сам пользователь и 3А-сервер и пароль открытым текстом не "ходит" через сеть и не может быть взломан.

WPA

WPA (Wi-Fi Protected Access) - это временный стандарт (технология защищённого доступа к беспроводным сетям), который является переходным перед IEEE 802.11i. По сути, WPA совмещает в себе:

802.1X - основополагающий стандарт для беспроводных сетей;

EAP - протокол расширенной аутентификации (Extensible Authentication Protocol);

TKIP - протокол интеграции временного ключа (Temporal Key Integrity Protocol);

MIC - технология проверки целостности сообщений (Message Integrity Check).

Основные модули - TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых примерно 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой. От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.

Правда, TKIP сейчас не является лучшим в реализации шифрования, из-за новой технологии Advanced Encryption Standard (AES), используемой ранее в VPN.

VPN

Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN наверное одна из самых надежных с точки зрения шифрования и надёжности аутентификации.

Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65-70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.

Технология VPN не была ориентированна именно для Wi-Fi - она может использоваться для любого типа сетей, но защита с её помощью беспроводных сетей наиболее правильное решение.

Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы. Хотя всё это достаточно громоздко, но очень надёжно. Но как и все - это имеет свои недостатки, в данном случае их два:

Необходимость в достаточно емком администрировании;

Уменьшение пропускной способности канала на 30-40%.

За исключением этого – VPN, это вполне понятный выбор. Тем более в последнее время, развитие VPN оборудования происходит как раз в направлении улучшения безопасности и мобильности. Законченное решение IPsec VPN в серии Cisco VPN 5000 служит ярким примером. Тем более что в данной линейке представлена пока только единственное сегодня решение VPN на основе клиентов, которое поддерживает Windows 95/98/NT/2000, MacOS, Linux и Solaris. Кроме этого бесплатная лицензия на использование марки и распространение программного обеспечения клиента IPsec VPN поставляется со всеми продуктами VPN 5000, что тоже не маловажно.

Основные моменты защиты Fi-Wi сетей организации.

В свете всего выше изложенного можно убедиться что имеющиеся на данный момент механизмы и технологии защиты позволяют обеспечить безопасность вашей сети, при использовании Fi-Wi. Естественно если администраторы не будут полагаться только на элементарные настройки, а озаботятся тонкой настройкой. Конечно нельзя сказать, что таким образом ваша сеть превратится в неприступный бастион, но выделив достаточно серьезные средства на оборудование, время для настройки и конечно для постоянного контроля – можно обеспечить безопасность с вероятностью примерно до 95 %.

Основные моменты при организации и настройке Wi-Fi сети которыми не стоит пренебрегать:

- Выбор и установка точки доступа:

> перед приобретением внимательно ознакомьтесь с документацией и имеющейся на данный момент информации о дырах в реализации ПО для этого класса оборудования (всем известный пример дыры в IOS маршрутизаторов Cisco, позволяющая злоумышленнику получить доступ к листу конфига). Возможно будет смысл ограничиться покупкой более дешевого варианта и обновлением ОС сетевого устройства;

> изучите поддерживаемые протоколы и технологии шифрования;

> при возможности приобретайте устройства, использующие WPA2 и 802.11i, так как они для обеспечения безопасности используют новую технологию - Advanced Encryption Standard (AES). На данный момент это могут быть двухдиапазонные точеки доступа (AP) к сетям IEEE 802.11a/b/g Cisco Aironet 1130AG и 1230AG. Данные устройства поддерживают стандарт безопасности IEEE 802.11i, технологию защиты от вторжений Wi-Fi Protected Access 2 (WPA2) с использованием Advanced Encryption Standard (AES) и гарантируют емкость, отвечающую самым высоким требованиям пользователей беспроводных локальных сетей. Новые АР используют преимущества двухдиапазонных технологий IEEE 802.11a/b/g и сохраняют полную совместимость с ранними версиями устройств, работающих на IEEE 802.11b;

> подготовьте предварительно клиентские машины для совместной работы с приобретаемым оборудованием. На данный момент некоторые технологии шифрования могут не поддерживаться ОС или драйверами. Это поможет избежать лишних затрат времени при разворачивании сети;

> не устанавливать точку доступа вне брандмауэра;

> располагайте антенны внутри стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «извне».

> используйте направленные антенны, не используйте радиоканал по умолчанию.

- Настройка точки доступа:

> если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Изначально не давайте возможность хакеру при внедрении в вашу сеть контролировать ключевые узлы по радиоканалу. Отключите вещание по радиоканалу такие протоколы как SNMP, web-интерфейс администрирования и telnet;

> обязательно(!) используйте сложный пароль для доступа к настройкам точки доступа;

> если точка доступа позволяет управлять доступом клиентов по MAC-адресам непременно используйте это;

> если оборудование позволяет запретить трансляцию в эфир идентификатора SSID – сделайте это обязательно. Но при этом у хакера всегда есть возможность получить SSID при подключении как легитимного клиент;

> политика безопасности должна запрещать беспроводным клиентам осуществлять ad-hoc соединения (такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик). Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.

- Выбор настройки в зависимости от технологии:

> если есть возможность - запретите доступ для клиентов с SSID;

> если нет другой возможности - обязательно включайте хотя бы WEP, но не ниже 128bit.

> если при установке драйверов сетевых устройств предлагается на выбор три технологиями шифрования: WEP, WEP/WPA и WPA, то выбирайте WPA;

> если в настройках устройства предлагается выбор: “Shared Key“(возможен перехват WEP-ключа, который одинаков для всех клиентов) и “Open System”(возможно внедрение в сеть, если известен SSID) - выбирайте “Shared Key”. В данном случае (если вы используете WEP-аутентификацию) – наиболее желательно включить фильтрацию по МАС-адресу;

> если ваша сеть не велика – можно выбрать Pre-Shared Key (PSK).

> если есть возможность использовать 802.1X. Но при этом при настройке RADIUS-сервера желательно выбирать тип аутентификации CHAP;

> максимальный уровень безопасности на данный момент обеспечивает применение VPN - используйте эту технологию.

- Пароли и ключи:

> при использовании SSID придерживайтесь требований аналогичных требованиям парольной защиты - SSID должен быть уникален (не забывайте, что SSID не шифруется и может быть легко перехвачен!);

> всегда используйте максимально длинные ключи. Не используйте ключи меньше 128 бит;

> не забывайте про парольную защиту – используйте генератор паролей, меняйте пароли через определенный промежуток времени, храните пароли в тайне;

> в настройках обычно имеется выбор из четырёх заранее заданных ключей - используйте их все, меняя по определенному алгоритму. По возможности ориентируйтесь не на дни недели (всегда существуют люди в любой организации, работающие по выходным – что мешает осуществить внедрение в сеть в эти дни?).

> старайтесь применять длинные динамически изменяющиеся ключи. Если вы используете статические ключи и пароли, меняйте пароли через определенный промежуток времени.

> проинструктируйте пользователей, что бы они хранили пароли и ключи в тайне. Особенно важно, если некоторые используют для входа ноутбуки которые хранят дома.

- Сетевые настройки:

> для организации разделяемых ресурсов используйте NetBEUI. Если это не противоречит концепции вашей сети - не используйте в беспроводных сетях протокол TCP/IP для организации папок и принтеров общего доступа.

> не разрешайте гостевой доступ к ресурсам общего доступа;

> старайтесь не использовать в беспроводной сети DHCP - используйте статические IP-адреса;

> ограничьте количество протоколов внутри WLAN только необходимыми.

- Общее:

> на всех клиентах беспроводной сети используйте файерволлы или при ХР хотя бы активизируйте брандмауэр;

> регулярно следите за уязвимостями, обновлениями, прошивками и драйверами ваших устройств;

> используйте периодически сканеры безопасности, для выявления скрытых проблем;

> определите инструменты для выполнения беспроводного сканирования, а также частоту выполнения этого сканирования. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.

> если финансы вашей организации позволяют – приобретите системы обнаружения вторжения (IDS, Intrusion Detection System), такие как:

CiscoWorks Wireless LAN Solution Engine (WLSE), в которой реализовано несколько новых функций - самовосстановление, расширенное обнаружение несанкционированного доступа, автоматизированное обследование площадки развертывания, "теплое" резервирование, отслеживание клиентов с созданием отчетов в реальном времени.
CiscoWorks WLSE - централизованное решение системного уровня для управления всей беспроводной инфраструктурой на базе продуктов Cisco Aironet. Усовершенствованные функции управления радиоканалом и устройствами, поддерживаемые CiscoWorks WLSE, упрощают текущую эксплуатацию беспроводной сети, обеспечивают беспрепятственное развертывание, повышают безопасность, гарантируют максимальную степень готовности, сокращая при этом расходы на развертывание и эксплуатацию.

Система Hitachi AirLocation использует сеть стандарта IEEE802.11b и способна работать как внутри помещений, так и вне зданий. Точность определения координат объекта, по словам разработчиков, составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS- систем. Система состоит из сервера определения координат, управляющего сервера, комплекта из нескольких базовых станций, комплекта WLAN- оборудования и специализированного ПО. Минимальная цена комплекта - около $46,3 тыс. Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа.

Да цены на такое оборудование достаточно высоки, но любая серьезная компания может решить потратить данную сумму для того, что бы быть уверенной в безопасности свой беспроводной сети.