###
  • Программы
  • Безопасность
  • Новости
  • Интересное
  • Советы 
  • Новости 
  • Обзоры 

    • Безопасность беспроводных сетей. Основные моменты защиты Fi-Wi сетей организации. Безопасность общественных сетей WiFi

    10.11.2019 Безопасность

    Назначение: Bluetooth – это беспроводная технология, являющаяся стандартом, который обеспечивает беспроводную передачу данных на небольших расстояниях между мобильными персональными компьютерами, мобильными телефонами и другими устройствами в режиме реального времени как цифровых данных, так и звуковых сигналов.

    Принципы построения и работа Bluetooth: В основе технологии Bluetooth лежит объединение устройств в пикосети, которые представляют собой небольшие по количеству элементов(обычно сеть строиться на основе двух элементов, основное и подчинённое) и расстоянию между ними беспроводные сети передачи данных.. Стандарт IEEE 802.15.1 базируется на спецификациях Bluetooth v. 1.х. Bluetooth - это недорогой радиоинтерфейс с низким уровнем энергопотребления (порядком 1 mW). Сначала дальность действия Bluetooth была в радиусе 10 м, позже увеличилось до 100 м. Для работы Bluetooth истользуетс так называемый нижний 2,45 ГГц диапазон ISM (industrial, scientific, medical), который предназначен для работы промышленных, научных и медицинских приборов.

    В стандарте Bluetooth предусмотрена дуплексная передача на основе разделения времени (Time Division Duplexing - TDD). Основное устройство передает пакеты в нечетные временные сегменты, а подчиненное устройство – в четные(см.раздатку Дуплексная передача с временным разделением). Пакеты в зависимости от длины могут занимать до пяти временных сегментов. При этом частота канала не меняется до окончания передачи пакета(см.раздатку Передача пакетов различной длины)

    Структура пакета (см.раздатку) : Стандартный пакет состоит из кода доступа, заголовка и информационного поля. Код доступа идентифицирует пакеты, принадлежащие одной пикосети, а также используется для синхронизации и процедуры запросов. Он включает преамбулу (4 бита), синхрослово (64 бита) и концевик – 4 бита контрольной суммы.

    Заголовок содержит информацию для управления связью и состоит из шести полей:

    Адрес (3 бита) - адрес активного элемента;

    Тип (4 бита) - код типа данных;

    Поток (1 бит) - управление потоком данных, показывает готовность устройства к приему;

    ARQ (1 бит) - подтверждение правильного приема;

    SEQN (1 бит) - служит для определения последовательности пакетов;

    HEC (8 бит) - контрольная сумма.

    Заключительной частью общего формата пакета является полезная информация. В этой части есть два типа полей: поле голоса (синхронное) и поле данных (асинхронное). ACL пакеты имеют только поле данных, а SCO пакеты – только поле голоса. Исключением является пакет данных и голоса (Data Voice - DV), который имеет оба поля. Поле данных состоит из трех сегментов: заголовок полезной информации, тело полезной информации и возможно, CRC (Cyclic Redundancy Check) код



    Заголовок полезной информации (8 бит). Только поля данных имеют заголовок полезной информации. Он определяет логический канал, управление потоком в логических каналах, а также имеет указатель длины полезной информации.

    Тело полезной информации (0-2721 бит). Тело полезной информации включает пользовательскую информацию. Длина этого сегмента указана в поле длины заголовка полезной информации.

    CRC (16 бит). От передаваемой информации вычисляется 16-битный циклический избыточный код (CRC), после чего он прикрепляется к информации. Существует 4 типа контрольных пакетов: NULL, POLL, FHS, ID. Они одинаковые как для ACL, так и для SCO.

    ID-пакеты имеют длину 68 бит и применяются для пейджинга и запросов. Состоит из поля Код Доступа.

    NULL-пакеты (126 бит) состоят только из полей Код Доступа и Заголовок, играя роль подтверждений установления соединения или получения данных

    Тип POLL (126 бит) аналогичен предыдущему за исключением того, что POLL-пакеты обязывают получателя ответить.

    Пакеты FHS (366 бит) содержат информацию об адресе, классе устройства и тактовой частоте его передатчика

    Проблема безопасности в сетях Bluetooth: Существуют также еще 3 специфические для Bluetooth проблемы, которые находят большое распространение в последнее время: Bluejacking, Bluebugging и CarWhisperer. Bluejacking предусматривает рассылку своего рода «визитных карточек», которые предлагают добавить новое устройство в список разрешенных. Если пользователь не раздумывая сделает это, то злоумышленники получат доступ к желаемому объекту. Bluebugging – это еще более опасная проблема, которая основана на поиске уязвимостей в системе безопасности технологии. В случае успеха доступ к содержимому устройства может быть получен без ведома владельца. CarWhisperer предусматривает использование стандартной аудио системы автомобиля, которые в последнее время часто оснащаются Bluetooth для подслушивания разговоров внутри салона.

    Безопасность беспроводных сетей

    Доступность оборудования и простота организации делают беспроводные локальные сети всё более популярными. Использование беспроводных сетей не ограничивается небольшими офисами и домашними системами. Крупные фирмы применяют Wi-Fi для подключения к корпоративным сетевым ресурсам в тех местах, где технически невозможна прокладка кабелей.

    Однако решение об устройстве беспроводной сети далеко не всегда оправданно, тем более что во многих случаях безопасности таких сетей уделяется слишком мало внимания. По оценкам специалистов, почти 70 процентов удачных хакерских атак через беспроводные сети связаны с неправильной настройкой точек доступа и клиентского программного обеспечения.

    По каким-то необъяснимым причинам организаторы беспроводных сетей нередко считают, что при их включении автоматически обеспечивается надлежащий уровень безопасности. Производители оборудования, в свою очередь, устанавливают низкие настройки безопасности "по умолчанию", либо вовсе отключают их, чтобы при развёртывании сети клиенты случайно не столкнулись с невозможностью доступа. При минимальных настройках безопасность оборудование лучше всего совместимо с самым широким спектром других устройств и практически с любым современным программным обеспечением. Поэтому после настройки и проверки сети на совместимость с существующей инфраструктурой системный администратор должен изменить настройки безопасности, для того чтобы предотвратить несанкционированное проникновение в корпоративную сеть.

    В отличие от проводных сетей, беспроводные требуют повышенного внимания к безопасности, поскольку проникнуть в них гораздо проще, поскольку для этого не нужен физический доступ к каналу. Радиоволны можно принимать на любое совместимое устройство, а если данные не защищены, то их сможет перехватить любой желающий. Разумеется, не стоит отказываться от паролей, прочих традиционных средств авторизации, однако их явно недостаточно для защиты от несанкционированного доступа. Рассмотрим вкратце несколько способов повышения защищённости беспроводных сетей.

    Последовательность цифр и букв, называемая SSID (Service Set Identifier) - это уникальный идентификатор вашей беспроводной сети. Передача идентификатора сети является встроенным средством защиты, по умолчанию включённым в большей части продающегося сегодня оборудования, и оно позволяет с лёгкостью обнаружить имеющиеся точки доступа в процессе развёртывания сети. Передача SSID требуется именно для того, чтобы ваше оборудование смогло подключиться к сети.

    Точки доступа, которые являются базовыми станциями для подключаемых к сети компьютеров, являются потенциальным слабым местом, через которое злоумышленник может проникнуть в сеть. На уровне точек доступа отсутствует система авторизации по умолчанию, что делает внутренние сети незащищёнными, поэтому системные администраторы должны реализовать существующую корпоративную систему в беспроводных базовых станциях.

    Для обеспечения повышенной безопасности можно запретить трансляцию точками доступа идентификатора сети. При этом возможность подключения к сети остаётся только у тех, кто знает правильный SSID, то есть, у сотрудников вашей компании, а случайные пользователи, обнаружившие вашу сеть при помощи сканирования, просто не смогут получить к ней доступ. Отключение передачи SSID возможно в подавляющем большинстве устройств ведущих производителей, что позволяет фактически скрыть вашу сеть от чужих. Если ваша сеть не передаёт идентификаторов, и если вы не афишируете использование беспроводной технологии, то этим вы осложните задачу злоумышленников. Подробные инструкции по отключению SSID обычно приводятся в руководствах по эксплуатации беспроводных точек доступа или маршрутизаторов.

    Уже давно используемое при пересылке важной электронной корреспонденции шифрование данных нашло применение и в беспроводных сетях. Для защиты данных в аппаратуре для беспроводной связи реализованы различные криптографические алгоритмы. При покупке оборудования важно убедиться в том, что оно поддерживает не только низкоуровневое 40-разрядное шифрование, но и 128-битный шифр повышенной стойкости.

    Чтобы включить криптографическую защиту можно задействовать системы: "эквивалент проводной безопасности" WEP (Wired Equivalent Privacy) или "защищенный доступ к Wi-Fi" WPA (Wi-Fi Protected Access). Первая система менее стойкая, поскольку в ней используются статические (постоянные) ключи. Защищенные по этому протоколу сети взламываются хакерами без особого труда - соответствующие утилиты нетрудно найти в Интернете. Тем не менее, по оценкам специалистов, даже этот протокол не задействован в более половины работающих корпоративных беспроводных сетей. Одним из средств повышения действенности WEP является регулярная автоматическая смена ключей, но даже в этом случае сеть не получает стопроцентной защиты. Попытки проникнуть в такую сеть оставят лишь случайные люди, обнаружившие её, но злонамеренных специалистов WEP не остановит, поэтому для полноценной защиты корпоративных сетей данный протокол использоваться не может.

    В недалёком прошлом у организаторов беспроводных сетей не было иного выбора, как использовать протокол WEP, поддержка которого сохраняется в современных устройствах как в целях обеспечения совместимости оборудования, так и для обеспечения хотя бы минимального уровня безопасности в случае невозможности использования более современных протоколов. Сегодня WEP реализуется в двух модификациях: с 64- и 128-разрядным шифрованием. Однако корректнее было бы говорить о ключах длиной 40 и 104 бит, поскольку 24 бит из каждого ключа содержат служебную информацию и никак не влияют на стойкость кода. Однако это не столь важно, поскольку главным недостатком WEP являются статические ключи, для подбора которых злоумышленникам необходимо лишь в течение определённого времени сканировать сеть, перехватывая передаваемую информацию.

    Получить более-менее приемлемый уровень безопасность можно лишь при помощи регулярной смены ключей и при использовании 128-битного шифрования. Частота смены ключей зависит от частоты и длительности соединений, при этом необходимо обеспечить отработанную защищенную процедуру передачи новых ключей тем сотрудникам, которые пользуются доступом в беспроводную сеть.

    Более эффективное шифрование обеспечивает протокол WPA, в котором реализовано динамическое создание ключей, что исключает возможность перехвата или подбора ключа, а также система идентификации (логин-пароль) при подключении к сети на основе протокола EAC (Extensible Authentication Protocol - "расширяемый протокол аутентификации"). В протоколе WPA 128-разрядные ключи генерируются автоматически при передаче каждых десяти килобайт данных, причём число этих ключей достигает сотен миллиардов, что делает практически невозможным подбор при помощи сканирования даже при отработанной методике перехвата информации. Кроме того, в этом протоколе реализован алгоритм проверки целостности данных MIC (Message Integrity Check), предотвращающий возможность злонамеренного изменения передаваемых данных. А вот выбору паролей следует уделять особое внимание: по мнению экспертов, для обеспечения высокого уровня безопасности длина пароля должна составлять не менее 20 знаков, причём он не должен представлять собой набор слов или какую-то фразу, поскольку такие пароли легко вскрываются методом словарного подбора.

    Проблема с WPA заключается в том, что официально он был внесён в спецификации IEEE 802.11 лишь в середине 2004 года, поэтому далеко не всё беспроводное оборудование способно поддерживать этот стандарт. Более того, если в сети есть хотя бы одно устройство, не поддерживающее WPA, будет применяться простое шифрование WEP, даже если WPA учтен в настройках всего прочего оборудования.

    Тем не менее, оборудование постоянно совершенствуется и в современных устройствах поддерживается новая, ещё более защищенная версия WPA2, работающая с динамическими ключами длиной 128, 192 и 256 бит. Технология беспроводной связи сама по себе по своей природе меньше защищена от постороннего вмешательства, поэтому при организации таких сетей особенно важно максимально затруднить несанкционированное проникновение в них. Среди чисто технических способов самым эффективным является снижение мощности транслируемого сигнала, ведь радиоволны с лёгкостью преодолевают стены зданий, а в сельской равнинной местности могут преодолевать весьма большие расстояния. Злоумышленники могут поставить свой автомобиль рядом со зданием, в котором расположен ваш офис, и в комфортной обстановке неторопливо подбирать ключ к вашей сети. Поэтому важно отрегулировать мощность сигнала, чтобы он не проникал за границы вашей территории.

    Безопасность беспроводных сетей стандарта 802.11i содержит указания в отношении аутентификация, авторизация пользователя для получения доступа к сети и конфиденциальности данных с помощью шифрования.

    В заключение приведем основные преимущества и недостатки беспроводных сетей в сравнении со своим проводным конкурентом. Преимущества беспроводной сети:

    Беспроводные сети позволяют сэкономить при прокладке кабельной сети, при невозможности организации проводного доступа они являются практически безальтернативными.

    Беспроводные сети обеспечивают высокую степень мобильности пользователей, возможно свободное перемещение в рамках одного домена. Так же преимуществом является возможность быстрого развертывания и перемещения сети. Скорость подключения достаточно высока и сравнима с проводными решениями, при правильном проектировании возможно предоставление необходимой пропускной способности для передачи данных, видео, телефонии.

    Недостатки беспроводной сети:

    Безопасность беспроводной сети существенно ниже проводной, современные стандарты, такие как WEP, 802.11i и т.п. хоть и повышают ее, но физическая природа беспроводной сети такова, что использование данной технологии для ответственных приложений не рекомендуется.

    Функционирование беспроводной сети зависит от окружающей среды. Любые объекты, находящиеся на пути радиосигнала уменьшают его мощность, возможны помехи в рабочем диапазоне от бытовых приборов, наиболее характерным из которых являются микроволновые печи.

    Поскольку беспроводные сети используют радиоволны, качество работы сети зависит от многих факторов. Наиболее ярким примером является интерференция радиосигналов, способная значительно ухудшить показатели пропускной способности и количества поддерживаемых пользователей, вплоть до полной невозможности использования сети. Источником интерференции может быть любое устройство, излучающее сигнал достаточной мощности в том же частотном диапазоне, что и точка доступа: от соседних точек доступа у условиях густонаселенного офисного центра, до электромоторов на производстве, гарнитур Bluetooth и даже микроволновок. С другой стороны, злоумышленники могут использовать интерференцию для организации DoS атаки на сеть.
    Чужаки, работающие на том же канале, что и легитимные точки доступа, открывают не только доступ в сеть, но и нарушают работоспособность «правильной» беспроводной сети. Кроме того, для реализации атак на конечных пользователей и для проникновения в сеть с помощью атаки Man-In-The Middle злоумышленники часто заглушают точки доступа легитимной сети, оставляя только одну - свою точку доступа с тем же самым именем сети.
    Связь
    Помимо интерференции, существуют другие аспекты, влияющие на качество связи в беспроводных сетях. Поскольку беспроводная среда является средой с общим доступом, каждый неверно сконфигурированный клиент, или сбоящая антенна точки доступа могут создавать проблемы, как на физическом, так и на канальном уровне, приводя к ухудшению качества обслуживания остальных клиентов сети.

    Что делать?

    Итого, беспроводные сети порождают новые классы рисков и угроз, от которых невозможно защититься традиционными проводными средствами. Даже если в организации формально запрещен Wi-Fi – это еще не значит, что кто-нибудь из пользователей не установит чужака и сведет этим все вложения в безопасность сети к нулю. Кроме того, ввиду особенностей беспроводной связи, важно контролировать не только безопасность инфраструктуры доступа, но и следить за пользователями, которые могут стать объектом атаки злоумышленника либо просто могут случайно или умышленно перейти с корпоративной сети на незащищенное соединение.
    безопасность Добавить метки

    Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

    хорошую работу на сайт">

    Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

    Размещено на http://www.allbest.ru/

    Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

    Кафедра: Информатики и информационных технологий

    Специальность: Прикладная информатика

    КУРСОВАЯ РАБОТА

    БЕЗОПАСНОСТЬ БЕСПРОВОДНЫХ СЕТЕЙ

    Выполнила студентка

    Козлова С.К.

    Руководитель работы:

    Митяев В.В.

    ОРЕЛ, 2013 ГОД

    Введение

    Заключение

    Библиографический список

    Приложение

    Введение

    Большинство современных компьютеров поддерживают беспроводной доступ в сеть. Другими словами, они могут подключаться к интернету (и к другим устройствам, поддерживающим беспроводную связь) без сетевого кабеля. Главное преимущество беспроводных соединений - возможность работать с интернетом в любой точке дома или офиса (если позволяет расстояние между компьютером и устройством беспроводного доступа в сеть). Однако если не принять мер к обеспечению безопасности беспроводной сети, возможны следующие потенциально опасные ситуации, в результате которых злоумышленник может:

    1. Перехватить передаваемые или получаемые данные;

    2. Получить доступ к беспроводной сети;

    3. Захватить канал доступа в интернет.

    Обратимся к определению информационной безопасности. Информационная безопасность - обозначает защиту информации и информационных систем от неавторизированного доступа, использования, обнаружения, искажения, уничтожения, модификации.

    Информационная безопасность обеспечивает доступность, целостность и конфиденциальность информации. Для реализации информационной безопасности беспроводных сетей используются средства и механизмы защиты информации.

    Следовательно, если беспроводная сеть не защищена, злоумышленник может перехватить передаваемые по ней данные, получить доступ к сети и файлам на компьютере, а также выходить в интернет, используя подключение. Таким образом, занимается канал передачи данных и замедляется доступ в интернет.

    Тема безопасности беспроводных сетей по-прежнему остается актуальной, хотя уже достаточно давно существуют надежные методы защиты этих сетей, такие как технологии WPA (Wi-Fi Protected Access).

    Цель работы - практическое изучение вопросов безопасности и особенностей защиты беспроводных сетей.

    Объектом данной курсовой работы является сетевая безопасность.

    Предметом - безопасность беспроводных сетей.

    Задачи, которые предстоит решить при выполнении данной работы следующие:

    1. Рассмотреть понятие беспроводной сети;

    3. Изучить основные положения политики безопасности беспроводных соединений;

    4. Проанализировать решения для обеспечения безопасности беспроводных сетей;

    5. Провести оценку необходимости защиты беспроводной сети;

    6. Разработать алгоритм проведения работ по оценке эффективности защиты беспроводной сети.

    1. Понятие беспроводной сети и описание категорий основных атак

    1.1 Понятие и описание беспроводной сети

    Беспроводная сеть - это передача информации на расстояние без использования электрических проводников или «проводов».

    Это расстояние может быть как малым (несколько метров, как в телевизионном дистанционном управлении), так и очень большим (тысячи или даже миллионы километров для телекоммуникаций).

    Беспроводная связь обычно рассматривается как отрасль телекоммуникаций.

    Популярность беспроводной связи растет взрывообразными темпами, открывая для операторов новые рынки - от сетевых игр на экранах сотовых телефонов до служб экстренной помощи.

    Это связано с распространением блокнотных компьютеров, систем поискового вызова и появлением систем класса «персональный секретарь» (Personal Digital Assistant (PDA)), расширением функциональных возможностей сотовых телефонов.

    Такие системы должны обеспечить деловое планирование, расчет времени, хранение документов и поддержание связи с удаленными станциями. Девизом этих систем стало anytime, anywhere, т. е., предоставление услуг связи вне зависимости от места и времени. Кроме того, беспроводные каналы актуальны там, где невозможна или дорога прокладка кабельных линий и значительные расстояния.

    До недавнего времени большинство беспроводных компьютерных сетей передавала данные со скоростью от 1.2 до 14.0 Кбит / с, зачастую только короткие сообщения, т. к., передача файлов больших размеров или длинные сеансы интерактивной работы с базой данных были недоступны. Новые технологии беспроводной передачи оперируют со скоростями в несколько десятков мегабит в секунду.

    О перспективах рынка беспроводной связи очень много рассуждает Алан Коэн (Alan S. Cohen), старший директор компании Cisco Systems, отвечающий за мобильные решения.

    Он говорит, что беспроводные технологии быстро становятся общепринятым стандартом, который оказывает всестороннее влияние на нашу жизнь.

    На рынке действуют два важных фактора, стимулирующих переход к повсеместной беспроводной связи. Первый фактор - это "демократизация" беспроводной технологии, которая стала заметна на мобильном рынке с появлением стандарта 802.11 или Wi-Fi.

    Очень заметен быстрый рост количества мобильных устройств и мобильных сетей в домах, квартирах, на предприятиях и в городах. Сегодня можно легко и просто построить беспроводную сеть и обеспечить широкополосную мобильность в интересах крупных корпораций и индивидуальных пользователей.

    Так же он выделил еще одну интересную область применения мобильных технологий - городские mesh-сети, которые делают технологию Wi-Fi действительно повсеместной.

    Предоставление доступа всем жителям города на всей его территории - замечательный пример демократизации беспроводных технологий. Сетевая архитектура и технология унифицированных коммуникаций не только объединяет проводную и беспроводную связь, но и сводит воедино сетевые услуги, предоставляемые в помещениях и на открытой местности. В результате можно оставаться подключенным к сети, где бы ни находились, в здании или за его пределами, что очень важно для городской связи.

    Беспроводная связь становится повсеместной. Она позволяет предоставить подключение пользователей там, где затруднено кабельное подключение или необходима полная мобильность. При этом беспроводные сети взаимодействуют с проводными сетями. В настоящее время необходимо принимать во внимание беспроводные решения при проектировании любых сетей - от малого офиса до предприятия. Это, возможно, сэкономит и средства и трудозатраты и время.

    Существует много случаев и причин, по которым беспроводные сети являются единственным или же самым удобным вариантом организации доступа к сети связи или интернету:

    1) Если требуется организовать возможность кочевого доступа к сети и Интернету случайным пользователям в кафе, аэропортах, вокзалах, магазинах и других общественных местах;

    2) Если необходимо организовать локальную сеть в зданиях, не имеющих возможностей прокладывания кабельной проводки (например, в исторических зданиях) или в зданиях, в которых прокладывания кабеля является весьма сложной, трудоёмкой и затруднительной задачей;

    3) При организации временной локальной сети, в том числе и локальной сети для общего доступа, например, для проведения каких-либо событий, конференций и тому подобного;

    4) При расширении локальной вычислительной сети в том случае, если необходимо подключить какой-либо удалённый изолированный сегмент, содержащий небольшое количество рабочих станций;

    5) Если необходим мобильный доступ к сетевым ресурсам, например, при перемещении по квартире или организации с ноутбуком, при посещении различных больных врачом в больнице для связи с центральной базой данных или же для связи и координации механиков в больших зданиях, насыщенных современными средствами обеспечения их жизнедеятельности;

    6) Для организации дополнительных каналов связи, которые могут предоставлять альтернативные операторы связи, создающие беспроводные локальные сети в различных районах.

    В зависимости от технологий и передающих сред, которые используют, можно определить следующие классы беспроводных сетей:

    Сети на радиомодемах;

    Сети на сотовых модемах;

    Инфракрасные системы;

    Системы VSAT;

    Системы с использованием низкоорбитальных спутников;

    Системы с технологией SST;

    Радиорелейные системы;

    Системы лазерной связи.

    WI-FI - это современная беспроводная технология передачи данных по радиоканалу (wireless, wlan wifi).

    Любое оборудование, соответствующее стандарту IEEE 802.11, может быть протестировано в Wi-Fi Alliance и получить соответствующий сертификат и право нанесения логотипа Wi-Fi.

    Wireless Fidelity, что в переводе с английского - беспроводная точность. Так же есть и более длинное название термина: EEE 802.11b. Зародился Wi-Fi в 1985 году, в США, после того как была открыта частотная часть радиоканала для использования без специального разрешения.

    Самым первым стандартом, получившим наибольшее распространение, стал стандарт IEEE 802.11b.

    Оборудование, соответствующее стандарту 802.11b, появилось ещё в 2001 году, и до сих пор большинство беспроводных сетей по-прежнему работает с использованием этого стандарта, а также выпускается множество беспроводных Wi-Fi устройств с поддержкой 802.11b.

    Радиоволны, которые используются для Wi-Fi связи очень похожи на радиоволны используемые в рациях, приемниках, сотовых телефонах и других устройствах. Но Wi-Fi имеет несколько заметных отличий от других радиоприборов.

    Связь ведется на частотах 2,4-5 Ггц. Эта частота намного выше, чем частоты, пригодные для мобильных телефонов, портативных радиостанций и телевидения.

    Чем выше частота сигнала, тем большее количество информации передается. Беспроводная сеть использует радиоволны точно так же как радиоприемники, мобильные телефоны, телевизоры. На самом деле беспроводная связь Wi-Fi более похожа на двустороннюю радиосвязь.

    В России использование Wi-Fi без разрешения на использование частот от Государственной комиссии по радиочастотам (ГКРЧ) возможно для организации сети внутри зданий, закрытых складских помещений и производственных территорий.

    Для легального использования вне офисной беспроводной сети Wi-Fi, например, радиоканала между двумя соседними домами, необходимо получение разрешения на использование частот. Действует упрощённый порядок выдачи разрешений на использование радиочастот в полосе 2400-2483,5 МГц (стандарты 802.11b и 802.11g, каналы 1-13), для получения такого разрешения не требуется частное решение ГКРЧ. Для использования радиочастот в других диапазонах, в частности 5 ГГц (стандарт 802.11a), необходимо предварительно получить частное решение ГКРЧ. В 2007 году ситуация изменилась с выходом документа: «Постановление от 25 июля 2007 г., №476 «О внесении изменений в постановление Правительства Российской Федерации» от 12 октября 2004 г.

    Шестнадцатым пунктом постановления из списка оборудования, подлежащего регистрации было исключено - пользовательское оборудование беспроводного доступа в полосе радиочастот 2400-2483,5 МГц с мощностью излучения передающих устройств до 100 мВт включительно.

    Также во исполнение протокольной записи к решению ГКРЧ от 19 августа 2009 г., №09-04-09, ГКРЧ решила: выделить полосы радиочастот 5150-5350 МГц и 5650-6425 МГц для применения на территории Российской Федерации за исключением городов, указанных в приложении №2, фиксированного беспроводного доступа гражданами Российской Федерации и российскими юридическими лицами без оформления отдельных решений ГКРЧ для каждого физического или юридического лица.

    Указанным полосам частот соответствуют стандарты 802.11a/b/g/n и каналы с номерами из диапазонов 36-64 и 132-165. Однако, в приложении 2 перечислено 164 крупнейших города России, в которых указанные частоты для создания беспроводных сетей использовать нельзя.

    За нарушение порядка использования радиоэлектронных средств предусматривается ответственность по статьям 13.3 и 13.4 Кодекса Российской Федерации об административных правонарушениях.

    Решением от 15 июля 2010 года, ГКРЧ России отменила выдачу обязательных частных решений ГКРЧ для использования систем фиксированного беспроводного доступа в диапазонах 5150-5350 МГц и 5650-6425 МГц. Ограничение на данные диапазоны частот снято для всей территории России.

    Выделяют следующие типы и разновидности соединений:

    1. Соединение Ad-Hoc (точка-точка). Все компьютеры оснащены беспроводными картами (клиентами) и соединяются напрямую друг с другом по радиоканалу работающему по стандарту 802.11b и обеспечивающих скорость обмена 11 Mбит/с, чего вполне достаточно для нормальной работы;

    2. Инфраструктурное соединение. Данная модель используется, когда необходимо соединить больше двух компьютеров. Сервер с точкой доступа может выполнять роль роутера и самостоятельно распределять интернет-канал;

    3. Точка доступа, с использованием роутера и модема. Точка доступа включается в роутер, роутер - в модем (эти устройства могут быть объединены в два или даже в одно). Теперь на каждом компьютере в зоне действия Wi-Fi, в котором есть адаптер Wi-Fi, будет работать интернет;

    4. Клиентская точка. В этом режиме точка доступа работает как клиент и может соединятся с точкой доступа работающей в инфраструктурном режиме. Но к ней можно подключить только один МАС-адрес. Здесь задача состоит в том, чтобы объединить только два компьютера. Два Wi-Fi-адаптера могут работать друг с другом напрямую без центральных антенн;

    5. Соединение мост. Компьютеры объединены в проводную сеть. К каждой группе сетей подключены точки доступа, которые соединяются друг с другом по радио каналу. Этот режим предназначен для объединения двух и более проводных сетей. Подключение беспроводных клиентов к точке доступа, работающей в режиме моста невозможно.

    Таким образом, было рассмотрено понятие и классы беспроводных сетей, выявлены причины целесообразного использования беспроводного соединения. Проанализирована нормативно-правовая база в отношении сетей Wi-Fi. Беспроводная сеть была описана посредством приведения типологии и разновидности соединений.

    Во время работы беспроводных сетей часто возникают различные проблемы. Некоторые - по чьей-то оплошности, а некоторые являются результатом злоумышленных действий. В любом случае при этом наносится ущерб. Данные события являются атаками, независимо от причин их возникновения.

    Существуют четыре основных категории атак:

    1. Атаки доступа;

    2. Атаки модификации;

    3. Атаки на отказ в обслуживании;

    4. Атаки на отказ от обязательств.

    Атака доступа - это попытка получения информации злоумышленником, для просмотра которой у него нет разрешений, и которая направлена на нарушение конфиденциальности информации.

    Для осуществления данной атаки необходима информация и средства для ее передачи.

    Атака доступа возможна везде, где существуют информация и средства для ее передачи.

    К атакам доступа можно так же отнести подсматривание, подслушивание и перехват.

    Подсматривание - это просмотр файлов или документов для поиска интересующей злоумышленника информации.

    Подслушивание - когда кто-то слушает разговор, участником которого он не является (часто при этом он использует электронные устройства).

    Перехват - захват информации в процессе ее передачи к месту назначения.

    Информация в электронном виде хранится она:

    Рабочих станциях;

    Серверах;

    В портативных компьютерах;

    Компакт-дисках.

    С компакт-дисками ситуация ясна, т. к., злоумышленник может их просто украсть. С первыми двумя дело обстоит иначе. При легальном доступе к системе злоумышленник будет анализировать файлы, просто открывая один за другим. При несанкционированном доступе, взломщик постарается обойти систему контроля и получить доступ к нужной информации. Сделать это не сложно. Необходимо установить в компьютерной системе сетевой анализатор пакетов (sniffer). Для этого взломщик должен повысить свои полномочия в системе или подключиться к сети. Анализатор настроен на захват любой информации, проходящей по сети, но особенно - на пользовательские идентификаторы и пароли.

    Подслушивание выполняется и в глобальных компьютерных сетях типа выделенных линий и телефонных соединений. Однако такой тип перехвата требует наличия соответствующей аппаратуры и специальных знаний. В этом случае наиболее удачным местом для размещения подслушивающего устройства является шкаф с электропроводкой.

    А с помощью специального оборудования квалифицированный взломщик может осуществить перехват в системах оптико-волоконной связи. Однако, что бы добиться успеха, он должен поместить свою систему в линии передачи между отправителем и получателем информации. В интернете это выполняется посредством изменения разрешения имени, в результате чего имя компьютера преобразуется в неправильный адрес. Трафик перенаправляется к системе атакующего вместо реального узла назначения. При соответствующей настройке такой системы отправитель так и не узнает, что его информация не дошла до получателя.

    Атака модификации - это попытка неправомерного изменения информации. Она направлена на нарушение целостности информации и возможна везде, где существует или передается информация.

    Существует три вида атаки модификации:

    1. Замена;

    2. Добавление;

    3. Удаление.

    Замена - замена существующей информации направлена как против секретной, так и общедоступной информации.

    Атака добавления - добавление новых данных.

    Атака удаления означает перемещение существующих данных.

    Все три вида атаки модификации используют уязвимые места систем, например, «бреши» в безопасности сервера, позволяющие заменить домашнюю страницу. И даже в этом случае необходимо основательно поработать во всей системе, чтобы воспрепятствовать обнаружению. Т. к., транзакции нумеруются последовательно, и удаление или добавление неправильных операционных номеров будет замечено.

    В случае, если атака модификации производится при передаче информации, то необходимо сначала выполнить перехват интересующего трафика, а затем внести изменения в информацию перед ее отправкой к пункту назначения.

    Атаки на отказ в обслуживании (Denial-of-service, DoS) - это атаки, запрещающие легальному пользователю использование системы, информации или возможностей компьютеров. Другими словами, эта атака «Вандализм», т. к., злоумышленник.

    В результате DoS-атаки обычно не получает доступа к компьютерной системе и не может оперировать с информацией.

    DoS-атака, направленная против информации - уничтожает, искажает или переносит в недоступное место последнюю.

    DoS-атака, направленная на приложения, обрабатывающие или отображающие информацию, или на компьютерную систему, в которой эти приложения выполняются - делают невозможным решение задач, выполняемых с помощью такого приложения.

    Общий тип DoS-атак (отказ в доступе к системе) ставит своей целью вывести из строя компьютерные системы, в результате чего сама система, установленные на ней приложения и вся сохраненная информация становится недоступной.

    Отказ в доступе к средствам связи заключается в выведении из строя средств связи, которые лишают доступ к компьютерным системам и информации.

    DoS-атаки, нацеленные непосредственно на компьютерную систему, реализуются через эксплойты, использующие уязвимые места операционных систем или межсетевых протоколов.

    С помощью этих «брешей» атакующий посылает в приложение определенный набор команд, который оно не в состоянии правильно обработать, в результате чего приложение выходит из строя. Перезагрузка восстанавливает его работоспособность, но на время перезагрузки работать с приложением становится невозможно.

    Атака на отказ от обязательств направлена против возможности идентификации информации, или дать неверную информацию о реальном событии либо транзакции.

    К данному виду атаки относятся:

    Маскарад - это выполнение действий под видом другого пользователя или другой системы.

    Отрицание события - это отказ от факта совершения операции.

    DoS-атаки против интернета - это атака на серверы корневых имен интернета.

    Обеспечить безопасность устройства беспроводного доступа и, соответственно, свести к минимуму связанный с этим видом доступа риск можно с помощью следующих несложных шагов:

    1. Изменить пароль администратора в своем беспроводном устройстве. Хакеру легко выяснить, какой пароль устанавливается по умолчанию производителем устройства, и использовать этот пароль для доступа в беспроводную сеть. Избегать паролей, которые легко подобрать или угадать;

    2. Отключить трансляцию идентификатора сети (SSID broadcasting, SSID - Service Set Identifier, идентификатор сети), чтобы беспроводное устройство не транслировало в эфир информацию о том, что оно включено;

    3. Включить шифрование трафика: лучше всего использовать протокол WPA, если устройство его поддерживает (если нет, то использовать WEP-шифр);

    4. Сменить идентификатор сети (SSID) устройства. Если оставить идентификатор, установленный по умолчанию производителем устройства, злоумышленник, узнав этот идентификатор, сможет легко идентифицировать беспроводную сеть. Не использовать имена, которые легко угадать.

    В результате решения данной задачи были определены и изучены четыре основных категории атак и три вида атаки модификации. Так же подлежали рассмотрению атаки на отказ в обслуживании и отказ от обязательств. На основе данного анализа были разработаны шаги по обеспечению безопасности устройств беспроводного доступа.

    Таким образом, подведя итог, можно с уверенность сказать, что беспроводные соединения сейчас получили широчайшее распространение, в основном, благодаря их способности работать с интернетом в любой точке дома или офиса.

    Однако если не принять мер к обеспечению безопасности беспроводной сети, то злоумышленник может перехватить передаваемые по ней данные, получить доступ к сети и файлам на компьютере, а также выходить в интернет, используя подключение.

    2. Обзор средств и методов обеспечения информационной безопасности беспроводных сетей

    2.1 Политика безопасности беспроводных соединений

    Специфика беспроводных сетей подразумевает, что данные могут быть перехвачены и изменены в любой момент. Для одних технологий достаточно стандартного беспроводного адаптера, для других требуется специализированное оборудование. Но в любом случае, эти угроза реализуются достаточно просто, и для противостояния им требуются эффективные криптографические механизмы защиты данных.

    При построении системы обеспечения безопасности важно определить модель угроз, т. е., решить, чему собственно защита будет противостоять. По сути, в беспроводных сетях угрозы две: несанкционированное подключение и прослушивание, но их список можно расширить, выделив и обобщив к перечисленным в первой главе следующие основные угрозы, связанные с беспроводными устройствами:

    Неконтролируемое использование и нарушение периметра;

    Несанкционированное подключение к устройствам и сетям;

    Перехват и модификация трафика;

    Нарушение доступности;

    Позиционирование устройства.

    Широкое распространение беспроводных устройств и их небольшая стоимость приводят к тому, что в периметре сетевой безопасности возникают бреши. Здесь речь идет не только о злоумышленниках, подключивших КПК с поддержкой Wi-Fi к проводной сети компании, но и о более тривиальных ситуациях. Активный беспроводной адаптер на подключенном к корпоративной сети ноутбуке, принесенная из дома для тестирования точка доступа - все это может стать удобными каналами для проникновения во внутреннюю сеть.

    Недостаточная аутентификация, ошибки в системе разграничения доступа позволяют осуществлять несанкционированное подключение.

    По своей природе беспроводные сети не могут обеспечивать высокую доступность. Различные природные, техногенные и антропогенные факторы могут эффективно нарушать нормальное функционирование радиоканала. Этот факт должен учитываться при проектировании сети, и беспроводные сети не должны использоваться для организации каналов при высоких требованиях по доступности.

    Станции Wi-Fi могут быть легко обнаружены пассивными методами, что позволяет с достаточно большой точностью определять местоположение беспроводного устройства. Например, система Navizon может использовать для определения местоположения мобильного устройства систему GPS, базовые станции GSM и точки беспроводного доступа.

    Политика безопасности в отношении беспроводных сетей может быть представлена как в виде отдельного документа, так и в составе других составляющих нормативного обеспечения безопасности. В большинстве случаев наличие отдельного документа не требуется, поскольку положения политики в отношении беспроводных сетей во многом пересекаются с традиционным содержанием подобных документов. Так, например, требования по физической защите точек доступа вполне перекрываются вопросами физической безопасности активного сетевого оборудования. В связи с этим в виде отдельного документа политика беспроводной безопасности представлена в период внедрения WLAN, после чего, при очередном пересмотре документов гармонично вливается в другие.

    Если беспроводные сети не используются, то политика безопасности должна включать в себя описание защитных механизмов, направленных на снижение рисков, связанных с несанкционированным использованием радиосетей.

    Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной безопасности ISO/IEC 27001 (ISO 27001). ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

    Стандарт аутентичен ГОСТ РИСО/МЭК 27001-2006. Он устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности, по внедрению мер управления информационной безопасностью и ее контроля.

    Основными преимущества стандарта ISO/IEC 27001:

    Сертификация позволяет показать деловым партнерам, инвесторам и клиентам, что в организации налажено эффективное управление информационной безопасностью;

    Стандарт совместим с ISO 9001:2000 и ISO 14001:2007;

    Стандарт не ставит ограничений на выбор программно-аппаратных средств, не накладывает технических требований на IT-средства или средства защиты информации и оставляет организации полную свободу выбора технических решений по защите информации.

    Понятие защиты информации трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации.

    На основе данного стандарта могут быть сформулированы рекомендации для снижения вероятности нарушения политики безопасности беспроводной сети в организации:

    1. Обучение пользователей и администраторов. ISO|IEC 27001 A.8.2.2. В результате обучения пользователи должны знать и понимать изложенные в политике ограничения, а администраторы должны иметь необходимую квалификацию для предотвращения и обнаружения нарушений политики;

    2. Контроль подключений к сети. ISO|IEC 27001 A.11.4.3. Уровень риска, связанного с подключением несанкционированной точки доступа или клиента беспроводной сети, можно снизить путем отключения неиспользуемых портов коммутаторов, фильтрации по MAC-адресам (port-security), аутентификации 802.1X, систем обнаружения атак и сканеров безопасности, контролирующих появление новых сетевых объектов;

    3. Физическая безопасность. ISO|IEC 27001 A.9.1. Контроль приносимых на территорию устройств позволяет ограничить вероятность подключения к сети беспроводных устройств. Ограничение доступа пользователей и посетителей к сетевым портам и слотам расширения компьютера снижает вероятность подключения беспроводного устройства;

    4. Минимизация привилегий пользователя. ISO|IEC 27001 A.11.2.2. Если пользователь работает на компьютере с минимально необходимыми правами, то снижается вероятность самовольного изменения настроек беспроводных интерфейсов;

    5. Контроль политики безопасности. ISO|IEC 27001 6, A.6.1.8. Средства анализа защищенности, такие как сканеры уязвимостей, позволяют обнаруживать появление в сети новых устройств и определить их тип (функции определения версий ОС и сетевых приложений), а также отслеживать отклонения настроек клиентов от заданного профиля. Техническое задание на проведение работ по аудиту внешними консультантами должно учитывать требования политики в отношении беспроводных сетей;

    6. Инвентаризация ресурсов. ISO|IEC 27001 A.7.1.1. Наличие актуального обновляемого списка сетевых ресурсов облегчает обнаружение новых сетевых объектов;

    7. Обнаружение атак. ISO|IEC 27001 A.10.10.2. Применение систем обнаружения атак как традиционных, так и беспроводных дает возможность своевременно определять попытки несанкционированного доступа;

    8. Расследование инцидентов. ISO|IEC 27001 A.13.2. Инциденты, связанные с беспроводными сетями мало отличаются от других подобных ситуаций, однако процедуры их расследования должны быть определены. Для сетей, где беспроводные сети внедряются или используются, может потребоваться внесение дополнений в разделы политики;

    9. Нормативно-правовое обеспечение. ISO|IEC 27001 A.15.1.1. Использование беспроводных сетей может попадать под действие как российских, так и международных нормативных актов. Так, в России использование частотного диапазона 2,4 ГГц регулируется решением ГКРЧ от 6.11.2004 (04-03-04-003). Кроме того, поскольку в беспроводных сетях интенсивно используется шифрование, а применение криптографических средств защиты в ряде случаев попадает под довольно жесткие законодательные ограничения, необходимо проработать и этот вопрос;

    10. Внутренний и внешний аудит. ISO|IEC 27001 6, A.6.1.8. При проведении работ по оценке защищенности должны учитываться требования политики в отношении беспроводных сетей. Более подробно возможный состав работ по оценке защищенности WLAN описан в последней глава данной книги;

    11. Разделение сетей. ISO|IEC 27001 A.11.4.5. В связи со спецификой беспроводных сетей желательно выделять точки беспроводного доступа в отдельный сетевой сегмент с помощью межсетевого экрана, особенно когда речь касается гостевого доступа;

    12. Использование криптографических средств защиты. ISO|IEC 27001 A.12.3. Должны быть определены используемые протоколы и алгоритмы шифрования трафика в беспроводной сети (WPA или 802.11i). При использовании технологии 802.1X определяются требования к протоколам ЭЦП и длине ключа подписи сертификатов, используемых для целей;

    13. Аутентификация. ISO|IEC 27001 A.11.4.2. Должны быть определены требования к хранению данных аутентификации, их смене, сложности, безопасности при передаче по сети. Могут быть явно определены используемые методы EAP, методы защиты общего ключа сервера RADIUS;

    14. Контроль изменений в информационной системе. ISO|IEC 27001 A.12.5.1. Должны учитываться в ИС беспроводные технологии;

    15. Допустимость использования программного и аппаратного обеспечения. ISO|IEC 27001 A.12.4.1 В этом разделе рассматриваются требования к точкам доступа, беспроводным коммутаторам и клиентам беспроводной сети;

    16. Обнаружение атак. ISO|IEC 27001 A.10.10.2. Должны быть определены требования к системам обнаружения беспроводных атак, закреплена ответственность за анализ событий;

    17. Протоколирование и анализ событий безопасности. ISO|IEC 27001 A.10.10.1. Данный раздел может быть расширен путем добавления в список контролируемых событий, специфичных для беспроводных сетей. Может включать в себя предыдущий раздел;

    18. Удаленный доступ к сети. ISO|IEC 27001 A.11.7.2. В большинстве случаев пользователей беспроводной сети логично относить к пользователям систем удаленного доступа. Это обусловлено аналогичными угрозами и как следствие - контрмерами, характерными для данных компонентов ИС. Кроме того, после выполнения всех этапов в том или ином виде должны быть сформированы следующие документы:

    Инструкция для пользователей с учетом использования беспроводной сети;

    Базовые настройки точек доступа, беспроводных коммутаторов, рабочих станций;

    Процедуры контроля защищенности беспроводных сетей;

    Профили систем обнаружения атак;

    Процедуры по реагированию на инциденты в беспроводной сети.

    Таким образом, был проанализирован стандарт ISO/IEC 27001. На основе данного стандарта были сформулированы рекомендации для снижения вероятности нарушения политики безопасности беспроводной сети в организации. Так же приведен перечень документов, которые должны быть сформированы после выполнения всех этапов политики безопасности беспроводной сети.

    Правильно построенная и соблюдаемая политика безопасности является надежным фундаментом защищенной беспроводной сети. Вследствие этого стоит уделять ей достаточное внимание, как на этапе внедрения сети, так и в ходе ее эксплуатации, отражая в нормативных документах изменения, происходящие в сети.

    2.2 Решения для обеспечения безопасности беспроводных сетей

    Важным элементом безопасности любой сети, не только беспроводной, является управление доступом и конфиденциальностью. Одним из надежных способов управления доступом к WLAN является аутентификация, позволяющая предотвратить доступ несанкционированных пользователей к передаче данных через точки доступа. Действенные меры управления доступом к WLAN помогают определить круг разрешенных клиентских станций и связать их только с доверенными точками доступа, исключая несанкционированные или опасные точки доступа.

    Конфиденциальность сетей WLAN подразумевает, что передаваемые данные будут правильно расшифрованы только той стороной, для которой они были предназначены. Статус конфиденциальности передаваемых по WLAN данных считается защищенным, если данные зашифрованы ключом, которым может воспользоваться только тот получатель данных, для которого они предназначались. Шифрование подразумевает, что целостность данных не нарушается в течение всего процесса передачи - отправки и получения.

    На сегодняшний день компании, использующие сети WLAN, внедряют четыре отдельных решения для безопасности WLAN и управления доступом и конфиденциальностью:

    Открытый доступ;

    Базовая безопасность;

    Повышенная безопасность;

    Безопасность удаленного доступа.

    Как в случае с любым развертыванием системы безопасности, целесообразно провести оценку сетевых рисков перед выбором и внедрением любого из решений для безопасности WLAN:

    1. Открытый доступ. Все продукты для беспроводных локальных сетей, сертифицированные на соответствие спецификациям Wi-Fi, поставляются для работы в режиме открытого доступа с выключенными функциями безопасности. Открытый доступ или отсутствие безопасности могут устраивать и удовлетворять требования общественных хот-спотов, таких как кофейни, университетские городки, аэропорты или другие общественные места, однако для предприятий этот вариант не подходит. Функции безопасности должны быть включены на беспроводных устройствах в процессе их установки. Однако, некоторые компании не включают функции безопасности сетей WLAN, таким образом, серьезно повышая уровень риска для своих сетей;

    2. Базовая безопасность: идентификаторы SSID, WEP и аутентификация по MAC-адресу. Базовая безопасность заключается в использовании идентификаторов сети SSID (Service Set Identifier), открытой аутентификации или аутентификации с использованием общего ключа, статических WEP-ключей и, как вариант, аутентификации по MAC-адресу. С помощью этой комбинации можно настроить элементарные средства управления доступом и конфиденциальностью, однако каждый отдельный элемент такой защиты может быть взломан. Идентификатор SSID - это общее имя сети для устройств в подсистеме WLAN служит для логического обособления данной подсистемы. SSID предотвращает доступ любого клиентского устройства, не имеющего SSID. Однако, по умолчанию точка доступа передает в эфир среди своих сигналов и свой SSID. Даже если отключить передачу в эфир SSID, взломщик или хакер может обнаружить нужный SSID с помощью так называемого "сниффинга", или "вынюхивания" - незаметного мониторинга сети. Стандарт 802.11, группа спецификаций для сетей WLAN, выработанная IEEE, поддерживает два средства аутентификации клиента: открытую аутентификацию и аутентификация с использованием общих ключей. Открытая аутентификация лишь ненамного отличается от предоставления правильного идентификатора SSID. При аутентификации с использованием общих ключей точка доступа посылает на клиентское устройство тестовый текстовый пакет, который клиент должен зашифровать правильным WEP-ключом и вернуть на точку доступа. Без правильного ключа аутентификация будет прервана и клиент не будет допущен в группу пользователей точки доступа. Аутентификация с использованием общих ключей не считается надежной, поскольку взломщик, получивший в свое распоряжение начальное тестовое текстовое сообщение и это же сообщение, зашифрованное WEP-ключом, может расшифровать сам WEP-ключ. При открытой аутентификации, даже если клиент проходит аутентификацию и получает доступ в группу пользователей точки доступа, использование WEP-защиты не позволяет клиенту передавать данные с этой точки доступа без правильного WEP-ключа. WEP-ключи могут состоять из 40 или 128 бит и обычно статически определяются сетевым администратором на точке доступа и каждом клиенте, передающем данные через эту точку доступа. При использовании статических WEP-ключей сетевой администратор должен потратить много времени на ввод одинаковых ключей в каждое устройство сети WLAN. Если устройство, использующее статические WEP-ключи, потеряно или украдено, обладатель пропавшего устройства может получить доступ к сети WLAN. Администратор не сможет определить, что в сеть проник несанкционированный пользователь, до тех пор, пока не будет доложено о пропаже. После этого администратор должен сменить WEP-ключ на каждом устройстве, использующем тот же статический WEP-ключ, что и пропавшее устройство. В условиях сети крупного предприятия, включающей сотни или даже тысячи пользователей, это может оказаться затруднительно. Что еще хуже, если статический WEP-ключ был расшифрован с помощью такого инструмента, как AirSnort, администратор никак не узнает о том, что ключ был взломан несанкционированным пользователем. Некоторые поставщики решений WLAN поддерживают аутентификацию на базе физического адреса или MAC-адреса, клиентской сетевой карты (NIC). Точка доступа позволит клиенту ассоциироваться с точкой доступа только в случае, если MAC-адрес клиента соответствует одному из адресов в таблице аутентификации, используемой точкой доступа. Однако аутентификация по MAC-адресу не является адекватной мерой безопасности, поскольку MAC-адрес можно подделать, а сетевую карту - потерять или украсть;

    3. Базовая безопасность с использованием общих ключей WPA или WPA2.Другая форма доступной на сегодняшний день базовой безопасности - это WPA или WPA2 с использованием общих ключей (Pre-Shared Key, PSK). Общий ключ проверяет пользователей с помощью пароля или кода идентификации (также называемого "фраза-пароль") как на клиентской станции, так и на точке доступа. Клиент может получить доступ к сети только в том случае, если пароль клиента соответствует паролю точки доступа. Общий ключ также предоставляет данные для генерации ключа шифрования, который используется алгоритмами TKIP или AES для каждого пакета передаваемых данных. Являясь более защищенным, чем статический WEP-ключ, общий ключ аналогичен статическому WEP-ключу в том, что хранится на клиентской станции и может быть взломан, если клиентская станция потеряна или украдена. Рекомендуется использовать сильную общую фразу-пароль, включающую разнообразные буквы, цифры и не алфавитно-цифровые символы;

    4. Резюме по базовой безопасности. Базовая безопасность сетей WLAN, основанная на комбинации SSID, открытой аутентификации, статических WEP-ключей, MAC-аутентификации и общих ключей WPA/WPA2, является достаточной только для очень небольших компаний или тех, которые не доверяют жизненно важные данные своим сетям WLAN. Всем прочим организациям рекомендуется вкладывать средства в надежные решения безопасности сетей WLAN класса предприятия;

    5. Повышенная безопасность. Повышенный уровень безопасности рекомендуется для тех заказчиков, которым требуется безопасность и защищенность класса предприятия. Для этого необходимо средство безопасности повышенного уровня, полностью поддерживающее WPA и WPA2 со строительными блоками двусторонней аутентификации 802.1X и шифрования алгоритмами TKIP и AESВ, включающее следующие возможности:

    802.1X для мощной двусторонней аутентификации и динамических ключей шифрования для каждого пользователя и каждой сессии;

    TKIP для расширения шифрования на базе RC4, например, кэширования ключей (для каждого пакета), проверки целостности сообщения (MIC), изменений вектора инициализации (IV) и ротации широковещательных ключей;

    AES для шифрования данных государственного уровня, максимальной защищенности;

    Возможности системы предотвращения сетевых вторжений (Intrusion Prevention System, IPS) и слежения за перемещением абонента - прозрачное представление сети в реальном времени.

    6. Безопасность беспроводных локальных сетей и удаленный доступ. В некоторых случаях может потребоваться всеобъемлющая безопасность для защиты приложений. Воспользовавшись защищенным удаленным доступом, администраторы могут настроить виртуальную частную сеть (VPN) и позволить мобильным пользователям обмениваться данными с корпоративной сетью из общественных хот-спотов, например, аэропортов, отелей и конференц-залов. При развертывании на предприятии решение повышенной безопасности покрывает все требования к безопасности беспроводных локальных сетей WLAN, в связи с чем использовать виртуальные частные сети в корпоративной сети WLAN становится необязательно. Использование VPN во внутренней сети WLAN может повлиять на производительность сети WLAN, ограничить возможности роуминга и сделать процедуру входа в сеть более сложной для пользователей. Таким образом, дополнительные накладные расходы и ограничения, связанные с наложением VPN-сети на внутреннюю сеть WLAN, не представляются необходимыми.

    В итоге, можно придти к выводу, что для обеспечения информационной безопасности любой сети, не только беспроводной, важно качественное управление доступом и конфиденциальностью. Для этого на сегодняшний день активно внедряют четыре отдельных решения: открытый доступ, базовая безопасность, повышенная безопасность, безопасность удаленного доступа.

    При грамотном построении защиты сети и соблюдении всех предписаний, защищенность сети будет на высоком уровне, что достаточно существенно осложнит злоумышленникам доступ к беспроводной сети.

    3. Оценка необходимости и эффективности решения для защиты беспроводной сети

    3.1 Оценка необходимости защиты беспроводной сети

    Несмотря на то, что в большинстве компаний уже развернуты те или иные беспроводные сети у специалистов обычно возникает много вопросов по поводу безопасности выбранных решений, а руководители компаний, избегающие внедрения беспроводных технологий, беспокоятся об упущенных возможностях повышения производительности труда и сокращения инфраструктурных расходов.

    Руководители многих организаций понимают, что беспроводные технологии позволяют повысить продуктивность работы и сотрудничества, но не решаются приступить к их внедрению, опасаясь уязвимостей, которые могут появиться в корпоративной сети вследствие использования беспроводных сетей. Разнообразие предлагаемых методов защиты беспроводных коммуникаций и разногласия по поводу их эффективности только усиливают эти сомнения.

    С внедрением беспроводных технологий в компании среднего размера связано множество проблем, которые заставляют задуматься не только о защите беспроводной сети, но и о том, нужна ли она вообще.

    Распространенные проблемы, с которыми поможет справиться, грамотно проводя политику безопасности, о которой говорилось в главе 2:

    Принятие решения по поводу того, следует ли развертывать беспроводную сеть;

    Осознание и уменьшение риска, связанного с внедрением беспроводных технологий;

    Определение подхода к защите беспроводной сети;

    Выбор оптимальных технологий защиты беспроводной сети;

    Проверка уровня защищенности развернутой беспроводной сети;

    Интеграция имеющихся активов в решение для обеспечения безопасности беспроводной сети;

    Обнаружение и предотвращение несанкционированных подключений к беспроводной сети.

    Преимущества, обеспечиваемые беспроводными сетевыми технологиями, можно разделить на две категории: функциональные и экономические.

    Функциональные преимущества включают сокращение расходов на управление и уменьшение объема капитальных затрат, а экономические - увеличение производительности труда, повышение эффективности бизнес-процессов и появление дополнительных возможностей для создания новых бизнес-функций.

    Большинство серьезных экономических преимуществ, связанных с использованием беспроводных сетей, являются результатом повышения гибкости и мобильности сотрудников. Беспроводные технологии устраняют ограничения, вынуждающие сотрудников находиться за своими рабочими столами, позволяя сравнительно свободно перемещаться по офису или офисному зданию.

    Но, несмотря на все преимущества, есть и недостатки, в основном технологические, которые выражаются в уязвимости беспроводной сети через различные атаки со стороны злоумышленников (этому был посвящен п. 1.2 данной работы).

    Как только были обнаружены такие технологические недостатки беспроводных сетей первого поколения, началась активная работа по их устранению. Пока одни компании работали над совершенствованием стандартов беспроводной связи, многие аналитические фирмы, производители средств обеспечения сетевой безопасности и т. д., пытались обойти недостатки, присущие прежним стандартам.

    В результате было разработано несколько подходов к обеспечению безопасности беспроводных сетей.

    Есть много факторов, которые нужно проанализировать при оценке возможных способов защиты беспроводной сети. При выполнении этой оценки нужно учесть самые разные показатели: от расходов на реализацию и администрирование решения до его общей защищенности. Все указанные выше подходы имеют свои преимущества и недостатки, поэтому, чтобы можно было принять обоснованное решение, нужно лучше ознакомиться с каждым из них.

    Новейшие стандарты защиты беспроводных сетей, а именно WPA и WPA2, устранили серьезные недостатки стандарта WEP и сделали, таким образом, ненужными способы обхода этих недостатков, такие как использование протокола IPsec или технологии VPN. Использовать статический или динамический алгоритм WEP теперь не рекомендуется ни в какой форме, а отказ от обеспечения безопасности выгоден лишь в немногих ситуациях. Таким образом, при разработке комплексного эффективного решения для защиты беспроводной сети достаточно рассмотреть всего лишь два подхода.

    Протоколы Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access 2 (WPA2) специально разработаны для блокирования угроз, которым подвергаются беспроводные сети, основанные на стандарте IEEE 802.11. Однако между ними есть некоторые различия.

    Протокол WPA был разработан в 2003 году для устранения недостатков стандарта WEP. Разработчики WPA хорошо справились с задачей, реализовав в этом протоколе поддержку взаимной проверки подлинности, шифрование данных с использованием протокола TKIP и проверку целостности подписанных сообщений, которая обеспечивает защиту от атак, основанных на подмене или повторении пакетов.

    Протокол WPA2 обеспечивает еще более высокий уровень безопасности, потому что в нем для защиты сетевого трафика используется стандарт AES, а не протокол TKIP. Поэтому ему всегда следует отдавать предпочтение перед WPA.

    Протоколы WPA и WPA2 значительно превосходят WEP по степени защиты, и при правильной настройке системы безопасности ни в первом, ни во втором нет никаких известных уязвимостей. Тем не менее, протокол WPA2 считается более защищенным, чем WPA, и, если инфраструктура его поддерживает, а дополнительные накладные расходы, связанные с администрированием решения WPA2, приемлемы, выбор следует делать в его пользу.

    Большинство производимых сегодня точек доступа и новейшие версии ОС сертифицированы в соответствии с требованиями протокола WPA2. Если в имеющейся среде какие-то точки доступа или клиентские компьютеры не поддерживают WPA2, беспроводные устройства и клиентские системы, поддерживающие WPA2, могут использовать более старый стандарт WPA.

    Так же не следует забывать и о таком варианте развития компании, как отказ от развертывания беспроводной сети. В среде специалистов по обеспечению безопасности бытует высказывание, которое гласит: «Лучше всего защищена та система, которую никто никогда не включает». Таким образом, самым надежным способом защиты от уязвимостей, присущих беспроводным сетям или любым другим технологиям, является отказ от их внедрения. Недостаток этого подхода очевиден: компания, отказывающаяся от внедрения любой технологий, может оказаться неконкурентоспособной в современных экономических условиях, когда любое преимущество, в том числе технологическое, может оказаться решающим фактором успеха.

    Как уже говорилось, перед внедрением любой новой технологии в конкретной компании нужно оценить потребности компании, ее устойчивость к риску и фактический риск. Беспроводные технологии - не исключение. Беспроводные сети имеют целый ряд преимуществ, но для конкретной организации эти преимущества могут быть не так важны или вообще не иметь значения.

    При выборе защищенного беспроводного решения нужно принять во внимание все возможные варианты, в том числе отказ от беспроводных технологий. Если будет сделан вывод, что организация не готова к развертыванию беспроводной сети, это решение следует отразить в действующей корпоративной политике, чтобы предотвратить ослабление защиты корпоративной сетевой среды из-за самовольного создания беспроводных сетей конечными пользователями.

    3.2 Разработка алгоритма проведения работ по оценке эффективности защиты беспроводной сети

    Для того чтобы определить преимущество того или иного метода защиты беспроводной сети целесообразно провести оценку её защищенности.

    Это особенно важно в связи с тем, что зачастую, беспроводные сети разворачиваются для руководства компании. Соответственно, злоумышленник, получивший доступ к беспроводному сегменту, имеет возможность не только использовать ресурсы компании в своих целях, но и получить доступ к конфиденциальной информации и заблокировать работу высокоприоритетных пользователей.

    ...

    Подобные документы

      Беспроводная технология передачи информации. Развитие беспроводных локальных сетей. Стандарт безопасности WEP. Процедура WEP-шифрования. Взлом беспроводной сети. Режим скрытого идентификатора сети. Типы и протоколы аутентификации. Взлом беспроводной сети.

      реферат , добавлен 17.12.2010

      Разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов. Анализ угроз и обеспечения безопасности беспроводной сети. Настройка программы WPA.

      дипломная работа , добавлен 19.06.2014

      Характеристика стандарта IEEE 802.11. Основные направления применения беспроводных компьютерных сетей. Методы построения современных беспроводных сетей. Базовые зоны обслуживания BSS. Типы и разновидности соединений. Обзор механизмов доступа к среде.

      реферат , добавлен 01.12.2011

      Эволюция систем безопасности сетей. Межсетевые экраны как один из основных способов защиты сетей, реализация механизмов контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика. Управление безопасностью сетей.

      курсовая работа , добавлен 07.12.2012

      Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.

      курсовая работа , добавлен 04.11.2014

      Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.

      курсовая работа , добавлен 18.04.2014

      Периоды развития и основные стандарты современных беспроводных сетей. История появления и области применения технологии Bluetooth. Технология и принцип работы технологии беспроводной передачи данных Wi-Fi. WiMAX - стандарт городской беспроводной сети.

      презентация , добавлен 22.01.2014

      Выбор и обоснование технологий построения локальных вычислительных сетей. Анализ среды передачи данных. Расчет производительности сети, планировка помещений. Выбор программного обеспечения сети. Виды стандартов беспроводного доступа в сеть Интернет.

      курсовая работа , добавлен 22.12.2010

      Использование компьютерных сетей для передачи данных. Основные преимущества использования корпоративных сетей, защищенных от доступа извне физически или при помощи аппаратно программных средств сетевой защиты. Сетевой экран и алгоритмы шифрования.

      дипломная работа , добавлен 25.09.2014

      Необходимость разработки политики безопасности использования сетевых ресурсов для предприятия. Анализ ее базовых элементов. Аппаратные и программные средства безопасности компьютерных сетей. Пути повышения уровня безопасности, советы пользователям.

    Проблемы безопасности беспроводных сетей

    Контрольная

    Коммуникация, связь, радиоэлектроника и цифровые приборы

    Вот и сегодня по мере утверждения стандартов на беспроводные сети снижения цен на оборудование для них и увеличения их пропускной способности все большее число менеджеров ИТ не в силах устоять перед искушением внедрить беспроводные ЛВС в своей компании.11b и предусмотрен ряд мер позволяющих надежно защитить небольшие беспроводные сети вопрос о том будут ли эффективны эти меры в средах с десятками точек доступа и сотнями пользователей все еще остается открытым. Это предоставление доступа к беспроводной сети только зарегистрированным...


    А также другие работы, которые могут Вас заинтересовать
    37588. ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ УПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТЬЮ ЭКОНОМИЧЕСКИХ ПОДРАЗДЕЛЕНИЙ ПРОМЫШЛЕННОГО ХОЛДИНГА 1.25 MB
    Основные экономические показатели деятельности холдинга Общие требования к финансовой отчетности корпорации Консолидированная отчетность корпорации Отечественные схемы ипотечного кредитования Отечественные тенденции ипотечного кредитования Регионы как участники ипотечного кредитования }