|
||||||||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Безопасность беспроводных компьютерных сетей
Поскольку теоретически к беспроводной сети можно подключиться из любой точки, имея соответствующий сетевой адаптер, большинство моделей беспроводных сетевых адаптеров и узлов передатчиков используют кодирование. Некоторые устройства с возможностью кодирования позволяют код безопасности ESSID. Это восьмиразрядный код, который позволяет защитить сеть от проникновения посторонних пользователей. При этом также не стоит забывать о таких стандартных средствах идентификации в сети, как пароли пользователей. В некоторых беспроводных сетях осуществляется проверка на наличие незарегистрированных МАС – адресов (каждый сетевой адаптер имеет уникальный МАС - адрес) и разрешает доступ в сеть только зарегистрированным сетевым адаптерам. Большинство устройств беспроводной связи используют 40-разрядное шифрование, однако вскоре должна поддержка устройств с 128-разрядным шифрованием. Для обеспечения лучшей безопасности уровни защиты на сетевых адаптерах и узловых передатчиках должны совпадать. Узловыми передатчиками некоторых производителей можно управлять с помощью Web-браузера; также выпускают утилиты диагностики и мониторинга, что позволяет оптимально располагать узловые передатчики. Устройства беспроводной связи многих производителей поддерживают протокол DHCP, что позволят без проблем переносить компьютер из одной подсети в другую.
Планшет с адаптером PCCard Портативный компьютер с адаптером PCCard
При перемещение этот Узловой передатчик ПК может использовать другой узловой передатчик
Персональный цифровой ассистент С адаптером PCCard.
Проводная магистраль сети Настольный ПК с адаптером PCCard. Узловой передатчик Типичная беспроводная сеть с несколькими узловыми передатчиками. Когда пользователь с беспроводным сетевым адаптером переходят из одного офиса в другой, система переключения автоматически переводит адаптер с одного узлового передатчика на другой, позволяя отключаться от сети и подключатся к ней без использования проводов. Число пользователей на один узловой передатчик варьируется в зависимости от параметров устройства. На данный момент существуют модели, поддерживающие от 15 до 254 пользователей. Для получения дополнительной информации обратитесь к производителю выбранного узлового передатчика. Продукты для беспроводных сетей, соответствующие стандарту IEEE 802.11, предлагают четыре уровня средств безопасности: физический, идентификатор набора служб (SSID — ServiceSetIdentifier), идентификатор управления доступом к среде (MAC ID — MediaAccessControl ID) и шифрование. Технология DSSS для передачи данных в частотном диапазоне 2,4 ГГц за последние 50 лет нашла широкое применение в военной связи для улучшения безопасности беспроводных передач. В рамках схемы DSSS поток требующих передачи данных «разворачивается» по каналу шириной 20 МГц в рамках диапазона ISM с помощью схемы ключей дополнительного кода (ComplementaryCodeKeying, CCK). Для декодирования принятых данных получатель должен установить правильный частотный канал и использовать ту же самую схему CCK. Таким образом, технология на базе DSSS обеспечивает первую линию обороны от нежелательного доступа к передаваемым данным. Кроме того, DSSS представляет собой «тихий» интерфейс, так что практически все подслушивающие устройства будут отфильтровывать его как «белый шум». 4. Идентификатор SSID позволяет различать отдельные беспроводные сети, которые могут действовать в одном и том же месте или области. Он представляет собой уникальное имя сети, включаемое в заголовок пакетов данных и управления IEEE 802.11. Беспроводные клиенты и точки доступа используют его, чтобы проводить фильтрацию и принимать только те запросы, которые относятся к их SSID. Таким образом, пользователь не сможет обратиться к точке доступа, если только ему не предоставлен правильный SSID [URL:http://grechikha.x7p.ru/11.html]. Возможность принятия или отклонения запроса к сети может зависеть также от значения идентификатора MAC ID — это уникальное число, присваиваемое в процессе производства каждой сетевой карте. Когда клиентский ПК пытается получить доступ к беспроводной сети, точка доступа должна сначала проверить адрес MAC для клиента. Точно так же и клиентский ПК должен знать имя точки доступа. Механизм WiredEquivalencyPrivacy (WEP), определенный в стандарте IEEE 802.11, обеспечивает еще один уровень безопасности. Он опирается на алгоритм шифрования RC4 компании RSA DataSecurity с 40- или 128-разрядными ключами. Несмотря на то, что использование WEP несколько снижает пропускную способность, эта технология заслуживает более пристального внимания. Дополнительные функции WEP затрагивают процессы сетевой аутентификации и шифрования данных. Процесс аутентификации с разделяемым ключом для получения доступа к беспроводной сети использует 64-разрядный ключ — 40-разрядный ключ WEP выступает как секретный, а 24-разрядный вектор инициализации (InitializationVector) — как разделяемый. Если конфигурация точки доступа позволяет принимать только обращения с разделяемым ключом, она будет направлять клиенту случайную строку вызова длиной 128 октетов. Клиент должен зашифровать строку вызова и вернуть зашифрованное значение точке доступа. Далее точка доступа расшифровывает полученную от клиента строку и сравнивает ее с исходной строкой вызова. Наконец, право клиента на доступ к сети определяется в зависимости от того, прошел ли он проверку шифрованием. Процесс расшифровки данных, закодированных с помощью WEP, заключается в выполнении логической операции «исключающее ИЛИ» (XOR) над ключевым потоком и принятой информацией. Процесс аутентификации с разделяемым ключом не допускает передачи реального 40-разрядного ключа WEP, поэтому этот ключ практически нельзя получить путем контроля за сетевым трафиком. Ключ WEP рекомендуется периодически менять, чтобы гарантировать целостность системы безопасности. Еще одно преимущество беспроводной сети связано с тем, что физические характеристики сети делают ее локализованной. В результате дальность действия сети ограничивается лишь определенной зоной покрытия. Для подслушивания потенциальный злоумышленник должен будет находиться в непосредственной физической близости, а значит, привлекать к себе внимание. В этом преимущество беспроводных сетей с точки зрения безопасности. Беспроводные сети имеют также уникальную особенность: их можно отключить или модифицировать их параметры, если безопасность зоны вызывает сомнения. Беспроводные компьютерные сети все шире распространяются в России и мире. Сдерживают распространение радиосетей большая (по сравнению с оборудованием проводных сетей) стоимость, необходимость регистрации радиооборудования, а также устойчивая репутация технологии с низким уровнем защиты. Однако цена оборудования постоянно снижается, процедуры регистрации хотя и медленно, но упрощаются, а вопрос безопасности остается открытым. В данной статье делается попытка ответить на этот вопрос. Сразу необходимо заметить, что беспроводные сети отличаются от кабельных только на первых двух - физическом (Phy) и отчасти канальном (MAC) - уровнях семиуровневой модели взаимодействия открытых систем. Более высокие уровни реализуются как в проводных сетях, а реальная безопасность сетей обеспечивается именно на этих уровнях. Поэтому разница в безопасности тех и других сетей сводится к разнице в безопасности физического и MAC-уровней. Принято считать, что безопасности беспроводных сетей угрожают: · Нарушение физической целостности сети; · Подслушивание трафика; · Вторжение в сеть. Угрозу сетевой безопасности могут представлять природные явления и технические устройства, однако только люди (недовольные уволенные служащие, хакеры, конкуренты) внедряются в сеть для намеренного получения или уничтожения информации и именно они представляют наибольшую угрозу. Нарушение физической целостности сети Целостность же проводной сети может быть нарушена в результате случайного или преднамеренного повреждения кабельной проводки и сетевого оборудования. Нарушение может быть предотвращено ограничением доступа к сети потенциальных злоумышленников и поэтому маловероятно. Целостность же беспроводной сети может быть нарушена в результате действия случайных или преднамеренных помех в радиоканале. Источники случайных помех - природные явления, приводящие к увеличению уровня шумов, и технические средства: действующие СВЧ-печи, медицинское и промышленное СВЧ-оборудование и другие устройства, работающие в том же диапазоне. В качестве источников преднамеренных помех могут быть использованы все эти средства, а также специальные генераторы помех. Результатом вмешательства может быть полное или частичное нарушение целостности сети в течение всего времени работы источников помех. Таким образом, угроза нарушения физической целостности радиосети, в отличие от проводной сети, вполне реальна. Она меньше при работе беспроводной сети внутри зданий, где имеется возможность контроля источников излучений. Для наружных радиосетей такую функцию выполняет служба радиоконтроля, которая обязана принимать меры по пресечению излучений, создающих помехи зарегистрированным радиосредствам. Таким образом, задача восстановления физической целостности радиосети решаема (теоретически) административными методами. В беспроводном оборудовании стандарта IEEE 802.11 предусмотрены специальные меры защиты от нарушения целостности сети: расширение спектра сигнала в варианте DSSS или FHSS (см. PCMagazine/RE, 10/99, с. 184). Наиболее распространенное в России и странах СНГ оборудование компаний Aironet и LucentTechnologies реализует технологию DSSS, а BreezeCOM - FHSS. В случае DSSS обеспечивается выигрыш при обработке около 10 дБ, т. е. действие помехи ослабляется в среднем в 10 раз, а при использовании FHSS искаженный помехой пакет данных повторно передается на другой частоте. Разумеется, эти меры не обеспечивают полной защиты от всех возможных помех. Прослушивание трафика сети Реализация прослушивания трафика сети - суть промышленного шпионажа. Применительно к проводным сетям опасность прослушивания реальна в случае сетей на неэкранированной витой паре, излучение которой может быть довольно просто перехвачено и дешифровано при помощи современных технических средств. (Такие шпионские средства обычно размещаются за пределами зданий, в которых развернута сеть.) В сетях на экранированной витой паре или коаксиальном кабеле излучение существенно ниже и вероятность перехвата и прослушивания информационных потоков мала. Радиосеть, функционирование которой предполагает излучение, может быть прослушана практически из любой точки зоны радиовидимости сети. Однако в отличие от проводной сети более сложная структура сигнала, используемая в радиосетях, обеспечивает некоторую дополнительную защиту благодаря усложнению синхронизации подслушивающих устройств. Кроме того, поскольку структура сигнала зафиксирована в стандарте, это нельзя считать серьезной защитой. Защита возможна только при технологии FHSS, когда используется не стандартная, а заданная пользователем последовательность скачков частоты. Для снижения угрозы прослушивания стандарт IEEE 802.11 предусматривает шифрование информации по алгоритму WEP с 40-разрядным ключом и 24-разрядным вектором инициализации. Существуют также разновидности беспроводного оборудования, использующие 104-разрядный ключ с 24-бит вектором инициализации (например, беспроводные сетевые адаптеры WaveLANGold фирмы LucentTechnologies), однако экспорт подобных продуктов за пределы стран-изготовителей запрещен. Несанкционированное вторжение в сеть Для вторжения в сеть необходимо к ней подключиться. В случае проводной сети требуется электрическое соединение, беспроводной - достаточно оказаться в зоне радиовидимости сети с оборудованием того же типа, на котором построена сеть. В проводных сетях основное средство защиты на физическом и MAC-уровнях - административный контроль доступа к оборудованию, недопущение злоумышленника к кабельной сети. В сетях, построенных на управляемых коммутаторах, доступ может дополнительно ограничиваться по MAC-адресам сетевых устройств. В беспроводных сетях для снижения вероятности несанкционированного доступа предусмотрен контроль доступа по MAC-адресам устройств и тот же самый WEP. Поскольку контроль доступа реализуется с помощью точки доступа, он возможен только при инфраструктурной топологии сети. Механизм контроля подразумевает заблаговременное составление таблицы MAC-адресов разрешенных пользователей в точке доступа и обеспечивает передачу только между зарегистрированными беспроводными адаптерами. При топологии "ad-hoc" (каждый с каждым) контроль доступа на уровне радиосети не предусмотрен. Для проникновения в беспроводную сеть злоумышленник должен: · иметь беспроводное оборудование, совместимое с используемым в сети (применительно к стандартному оборудованию - соответствующей технологии - DSSS или FHSS); · при использовании в оборудовании FHSS нестандартных последовательностей скачков частоты узнать их; · знать идентификатор сети, закрывающий инфраструктуру и единый для всей логической сети (SSID); · знать (в случае с DSSS), на какой из 14 возможных частот работает сеть, или включить режим автосканирования; · быть занесенным в таблицу разрешенных MAC-адресов в точке доступа при инфраструктурной топологии сети; · знать 40-разрядный ключ шифра WEP в случае, если в беспроводной сети ведется шифрованная передача. Решить все это практически невозможно, поэтому вероятность несанкционированного вхождения в беспроводную сеть, в которой приняты предусмотренные стандартом меры безопасности, можно считать очень низкой.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.007 сек.) |