Безпека бездротової мережі. Основні моменти захисту Fi-Wi мереж організації. Безпека громадських мереж WiFi
Призначення: Bluetooth – це бездротова технологія, яка є стандартом, що забезпечує бездротову передачу даних на невеликих відстаняхміж мобільними персональними комп'ютерами, мобільними телефонами та іншими пристроями у режимі реального часу як цифрових даних, так і звукових сигналів.
Принципи побудови та робота Bluetooth:В основі технології Bluetooth лежить об'єднання пристроїв у пікосеті, які являють собою невеликі за кількістю елементів (зазвичай мережу будуватися на основі двох елементів, основне та підпорядковане) та відстані між ними бездротові мережі передачі даних. Стандарт IEEE 802.15.1 базується на специфікаціях Bluetooth v . 1.х. Bluetooth – це недорогий радіоінтерфейс з низьким рівнем енергоспоживання (порядком 1 mW). Спочатку дальність дії Bluetoothбула в радіусі 10 м, пізніше збільшилася до 100 м. Для роботи Bluetooth істользується так званий нижній 2,45 ГГц діапазон ISM (industrial, scientific, medical), який призначений для роботи промислових, наукових та медичних приладів.
У стандарті Bluetoothпередбачена дуплексна передача з урахуванням поділу часу (Time Division Duplexing - TDD). Основний пристрій передає пакети в непарні тимчасові сегменти, а підлеглий пристрій – в парні (див. роздавання Дуплексна передача з тимчасовим поділом). Пакети в залежності від довжини можуть займати до п'яти часових сегментів. При цьому частота каналу не змінюється до закінчення передачі пакета (див. Роздавання пакетів різної довжини)
Структура пакета (див. роздавання): Стандартний пакет складається з коду доступу, заголовка та інформаційного поля. Код доступу ідентифікує пакети, що належать до однієї пікомережі, а також використовується для синхронізації та процедури запитів. Він включає преамбулу (4 біти), синхрослово (64 біти) та кінцевик – 4 біти контрольної суми.
Заголовок містить інформацію для управління зв'язком і складається із шести полів:
Адреса (3 біти) - адреса активного елемента;
Тип (4 біти) – код типу даних;
Потік (1 біт) - управління потоком даних, що показує готовність пристрою до прийому;
ARQ (1 біт) – підтвердження правильного прийому;
SEQN (1 біт) - служить визначення послідовності пакетів;
HEC (8 біт) – контрольна сума.
Заключною частиною загального формату є корисна інформація. У цій частині є два типи полів: поле голосу (синхронне) та поле даних (асинхронне). ACL пакети мають лише поле даних, а SCO пакети – лише поле голосу. Винятком є пакет даних та голосу (Data Voice - DV), який має обидва поля. Поле даних складається із трьох сегментів: заголовок корисної інформації, тіло корисної інформації та можливо, CRC (Cyclic Redundancy Check) код
Заголовок корисної інформації (8 біт). Тільки поля даних мають назву корисної інформації. Він визначає логічний канал, керування потоком у логічних каналах, а також має покажчик довжини корисної інформації.
Тіло корисної інформації (0-2721 біт). Тіло корисної інформації включає користувальницьку інформацію. Довжина цього сегмента вказана у полі довжини заголовка корисної інформації.
CRC (16 біт). Від інформації, що передається, обчислюється 16-бітний циклічний надлишковий код (CRC), після чого він прикріплюється до інформації. Існує 4 типи контрольних пакетів: NULL, POLL, FHS, ID. Вони однакові як ACL, так SCO.
ID-пакети мають довжину 68 біт і застосовуються для пейджингу та запитів. Складається з поля Код Доступу.
NULL-пакети (126 біт) складаються тільки з полів Код Доступу та Заголовок, граючи роль підтверджень встановлення з'єднання або отримання даних
Тип POLL (126 біт) аналогічний попередньому крім того, що POLL-пакети зобов'язують одержувача відповісти.
Пакети FHS (366 біт) містять інформацію про адресу, клас пристрою та тактовій частотійого передавача
Проблема безпеки в мережах Bluetooth:Існують також ще 3 специфічні для Bluetooth проблеми, які знаходять велике поширення останнім часом: Bluejacking, Bluebugging та CarWhisperer. Bluejacking передбачає розсилку свого роду візитних карток», які пропонують додати новий пристрій до списку дозволених. Якщо користувач не роздумуючи зробить це, зловмисники отримають доступ до бажаного об'єкта. Bluebugging – це ще більш небезпечна проблема, яка ґрунтується на пошуку вразливостей у системі безпеки технології. У разі успіху доступ до вмісту пристрою можна отримати без відома власника. CarWhisperer передбачає використання стандартної аудіо системи автомобіля, які останнім часом часто оснащуються Bluetooth для підслуховування розмов усередині салону.
Безпека бездротових мереж
Доступність обладнання та простота організації роблять бездротові локальні мережі дедалі популярнішими. Використання бездротових мереж не обмежується невеликими офісами та домашніми системами. Великі фірми застосовують Wi-Fi для підключення до корпоративних мережевих ресурсів у тих місцях, де технічно неможливе прокладання кабелів.
Однак рішення про пристрій біса провідної мережідалеко не завжди виправдано, тим більше, що в багатьох випадках безпеки таких мереж приділяється занадто мало уваги. За оцінками фахівців, майже 70 відсотків вдалих хакерських атакчерез бездротові мережі пов'язані з неправильним налаштуваннямточок доступу та клієнтського програмного забезпечення.
З якихось незрозумілих причин організатори бездротових мереж нерідко вважають, що за їх включення автоматично забезпечується належний рівень безпеки. Виробники обладнання, у свою чергу, встановлюють низькі налаштуваннябезпеки "за замовчуванням", або зовсім відключають їх, щоб при розгортанні мережі клієнти випадково не зіткнулися з неможливістю доступу. При мінімальних налаштуваннях безпека обладнання найкраще сумісне з широким спектром інших пристроїв і практично з будь-яким сучасним програмним забезпеченням. Тому після налаштування та перевірки мережі на сумісність з існуючою інфраструктурою системний адміністратор повинен змінити налаштування безпеки, щоб запобігти несанкціонованому проникненню в корпоративну мережу.
На відміну від провідних мереж, бездротові вимагають підвищеної уваги до безпеки, оскільки проникнути в них набагато простіше, оскільки для цього не потрібний фізичний доступ до каналу. Радіохвилі можна приймати на будь-який сумісний пристрій, а якщо дані не захищені, їх зможе перехопити будь-який бажаючий. Зрозуміло, не варто відмовлятися від паролів, інших традиційних засобів авторизації, проте їх явно замало захисту від несанкціонованого доступу. Розглянемо коротко кілька способів підвищення захищеності бездротових мереж.
Послідовність цифр і літер, звана SSID (Service Set Identifier) - це унікальний ідентифікаторбездротової мережі. Передача ідентифікатора мережі є вбудованим засобом захисту, за замовчуванням включеним у більшій частині обладнання, що продається сьогодні, і воно дозволяє з легкістю виявити наявні точки доступу в процесі розгортання мережі. Надсилання SSID потрібне саме для того, щоб ваше обладнання змогло підключитися до мережі.
Точки доступу, які є базовими станціями для комп'ютерів, що підключаються до мережі, є потенційним слабким місцемчерез який зловмисник може проникнути в мережу. На рівні точок доступу відсутня система авторизації за умовчанням, що робить внутрішні мережі незахищеними, тому системні адміністраториповинні реалізувати існуючу корпоративну системуу бездротових базових станціях.
Для забезпечення безпеки можна заборонити трансляцію точками доступу ідентифікатора мережі. При цьому можливість підключення до мережі залишається тільки у тих, хто знає правильний SSID, тобто у співробітників вашої компанії, а випадкові користувачі, які виявили вашу мережу за допомогою сканування, просто не зможуть отримати доступ до неї. Відключення передачі SSID можливе у переважній більшості пристроїв провідних виробників, що дозволяє фактично приховати вашу мережу від чужих. Якщо ваша мережа не передає ідентифікаторів, і якщо ви не афішуєте використання бездротової технології, то ви ускладните завдання зловмисників. Детальні інструкціїпо відключенню SSID зазвичай наводяться в посібниках з експлуатації бездротових точокдоступу або маршрутизаторів.
Шифрування даних, що вже давно використовується при пересиланні важливої електронної кореспонденції, знайшло застосування і в бездротових мережах. Для захисту даних в апаратурі бездротового зв'язкуреалізовано різні криптографічні алгоритми. При покупці обладнання важливо переконатися в тому, що воно підтримує не тільки 40-розрядне низькорівневе шифрування, але і 128-бітний шифр підвищеної стійкості.
Щоб увімкнути криптографічний захист, можна задіяти системи: "еквівалент дротової безпеки" WEP (Wired Equivalent Privacy) або "захищений доступ до Wi-Fi" WPA (Wi-Fi Protected Access). Перша система менш стійка, оскільки використовуються статичні (постійні) ключі. Захищені за цим протоколом мережі зламуються хакерами без особливих зусиль - відповідні утиліти неважко знайти в Інтернеті. Проте, за оцінками фахівців, навіть цей протокол не задіяний у більш ніж половині працюючих корпоративних бездротових мереж. Одним із засобів підвищення дієвості WEP є регулярна автоматична зміна ключів, але навіть у цьому випадку мережа не отримує стовідсоткового захисту. Спроби проникнути в таку мережу залишать лише випадкові люди, які її виявили, але зловмисних фахівців WEP не зупинить, тому для повноцінного захисту корпоративних мереж даний протоколвикористовуватись не може.
Нещодавно організатори бездротових мереж не мали іншого вибору, як використовувати протокол WEP, підтримка якого зберігається в сучасних пристрояхяк для забезпечення сумісності обладнання, так і для забезпечення хоча б мінімального рівня безпеки у разі неможливості використання більш сучасних протоколів. Сьогодні WEP реалізується у двох модифікаціях: з 64- та 128-розрядним шифруванням. Однак коректніше було б говорити про ключі завдовжки 40 і 104 біти, оскільки 24 біти з кожного ключа містять службову інформацію і ніяк не впливають на стійкість коду. Однак це не так важливо, оскільки головним недоліком WEP є статичні ключі, для підбору яких зловмисникам необхідно лише протягом певного часу сканувати мережу, перехоплюючи інформацію, що передається.
Отримати більш-менш прийнятний рівень безпеки можна лише за допомогою регулярної зміни ключів і при використанні 128-бітного шифрування. Частота зміни ключів залежить від частоти та тривалості з'єднань, при цьому необхідно забезпечити відпрацьовану захищену процедуру передачі нових ключів тим співробітникам, які користуються доступом до бездротової мережі.
Більш ефективне шифрування забезпечує протокол WPA, в якому реалізовано динамічне створення ключів, що унеможливлює перехоплення або підбору ключа, а також система ідентифікації (логін-пароль) при підключенні до мережі на основі протоколу EAC (Extensible Authentication Protocol - "протокол аутентифікації, що розширюється") . У протоколі WPA 128-розрядні ключі генеруються автоматично при передачі кожних десяти кілобайт даних, причому кількість цих ключів досягає сотень мільярдів, що робить практично неможливим підбір за допомогою сканування навіть за відпрацьованої методики перехоплення інформації. Крім того, в цьому протоколі реалізований алгоритм перевірки цілісності даних MIC (Message Integrity Check), що запобігає можливості зловмисної зміни даних, що передаються. А ось вибору паролів слід приділяти особливу увагу: на думку експертів, для забезпечення високого рівня безпеки довжина пароля повинна становити не менше 20 знаків, причому він не повинен являти собою набір слів або фразу, оскільки такі паролі легко розкриваються методом словникового підбору.
Проблема з WPA полягає в тому, що офіційно він був внесений у специфікації IEEE 802.11 лише в середині 2004 року, тому далеко не все бездротове обладнання здатне підтримувати цей стандарт. Більше того, якщо в мережі є хоча б один пристрій, який не підтримує WPA, буде застосовуватися просте шифрування WEP, навіть якщо WPA враховано в налаштуваннях іншого обладнання.
Тим не менш, обладнання постійно удосконалюється і в сучасних пристроях підтримується нова, ще більш захищена версія WPA2, що працює з динамічними ключами завдовжки 128, 192 та 256 біт. Технологія бездротового зв'язку сама по собі за своєю природою менше захищена від стороннього втручання, тому при організації таких мереж особливо важливо ускладнити несанкціоноване проникнення в них. Серед суто технічних способів найефективнішим є зниження потужності сигналу, що транслюється, адже радіохвилі з легкістю долають стіни будівель, а в сільській рівнинній місцевості можуть долати вельми великі відстані. Зловмисники можуть поставити свій автомобіль поруч із будинком, в якому розташований ваш офіс, і в комфортній обстановці неквапливо підбирати ключ до вашої мережі. Тому важливо відрегулювати потужність сигналу, щоб він не проникав за межі вашої території.
Безпека бездротових мереж стандарту 802.11i містить вказівки щодо автентифікації, авторизації користувача для отримання доступу до мережі та конфіденційності даних за допомогою шифрування.
На закінчення наведемо основні переваги та недоліки бездротових мереж порівняно зі своїм провідним конкурентом. Переваги бездротової мережі:
Бездротові мережі дозволяють заощадити під час прокладання кабельної мережі, при неможливості організації проводового доступу вони є практично безальтернативними.
Бездротові мережі забезпечують високий рівень мобільності користувачів, можливе вільне переміщення в рамках одного домену. Також перевагою є можливість швидкого розгортання та переміщення мережі. Швидкість підключення досить висока і можна порівняти з проводовими рішеннями, при правильному проектуванні можливе надання необхідної пропускну здатністьдля передачі даних, відео, телефонії.
Недоліки бездротової мережі:
Безпека бездротової мережі істотно нижча за провідну, сучасні стандарти, такі як WEP, 802.11i і т.п. хоч і підвищують її, але фізична природа бездротової мережі така, що використання цієї технології для відповідальних додатків не рекомендується.
Функціонування бездротової мережі залежить від довкілля. Будь-які об'єкти, що знаходяться на шляху радіосигналу зменшують його потужність, можливі перешкоди в робочому діапазоні від побутових приладів, найбільш характерним є мікрохвильові печі.
Оскільки бездротові мережі використовують радіохвилі, якість роботи мережі залежить від багатьох факторів. Найбільш яскравим прикладом є інтерференція радіосигналів, здатна значно погіршити показники пропускної спроможності та кількості користувачів, що підтримуються, аж до повної неможливості використання мережі. Джерелом інтерференції може бути будь-який пристрій, що випромінює сигнал достатньої потужності в тому ж частотному діапазоні, що і точка доступу: від сусідніх точок доступу в умовах густонаселеного офісного центру до електромоторів на виробництві, гарнітур Bluetoothі навіть мікрохвильові печі. З іншого боку, зловмисники можуть використовувати інтерференцію для організації атак атаки на мережу.Чужаки, які працюють на тому ж каналі, що й легітимні точки доступу, відкривають не тільки доступ до мережі, а й порушують працездатність «правильної» бездротової мережі. Крім того, для реалізації атак на кінцевих користувачів і для проникнення в мережу за допомогою атаки Man-In-The Middle зловмисники часто заглушають точки доступу легітимної мережі, залишаючи тільки одну - свою точку доступу з тим самим ім'ям мережі.
Зв'язок
Крім інтерференції, існують інші аспекти, що впливають якість зв'язку в бездротових мережах. Оскільки бездротове середовище є середовищем із загальним доступом, кожен неправильно налаштований клієнт, або антена точки доступу, що збиває, можуть створювати проблеми, як на фізичному, так і на канальному рівні, призводячи до погіршення якості обслуговування інших клієнтів мережі.Що робити?
Бездротові мережі породжують нові класи ризиків і загроз, від яких неможливо захиститися традиційними провідними засобами. Навіть якщо в організації формально заборонено Wi-Fi - це ще не означає, що хтось із користувачів не встановить чужинця і зведе цим всі вкладення в безпеку мережі до нуля. Крім того, зважаючи на особливості бездротового зв'язку, важливо контролювати не тільки безпеку інфраструктури доступу, але й стежити за користувачами, які можуть стати об'єктом атаки зловмисника або просто можуть випадково чи навмисне перейти з корпоративної мережі на незахищене з'єднання.безпека Додати теги
Надіслати свою гарну роботу до бази знань просто. Використовуйте форму нижче
Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.
Розміщено на http://www.allbest.ru/
Федеральне державне бюджетне освітня установавищої професійної освіти
Кафедра: Інформатики та інформаційних технологій
Спеціальність: Прикладна інформатика
КУРСОВА РОБОТА
БЕЗПЕКА БЕЗПРОВІДНИХ МЕРЕЖ
Виконала студентка
Козлова С.К.
Керівник роботи:
Мітяєв В.В.
ОРЕЛ, 2013 РІК
Вступ
Висновок
бібліографічний список
додаток
Вступ
Більшість сучасних комп'ютерівпідтримують бездротовий доступ до мережі. Іншими словами, вони можуть підключатися до Інтернету (і до інших пристроїв, які підтримують бездротовий зв'язок) без кабелю мережі. Головна перевага бездротових з'єднань - можливість працювати з інтернетом у будь-якій точці будинку або офісу (якщо дозволяє відстань між комп'ютером та пристроєм) бездротового доступуу мережу). Однак якщо не вжити заходів щодо забезпечення безпеки бездротової мережі, можливі такі потенційно небезпечні ситуації, внаслідок яких зловмисник може:
1. Перехопити передані або отримані дані;
2. Отримати доступ до бездротової мережі;
3. Захопити канал доступу до Інтернету.
Звернемося до визначення інформаційної безпеки. Інформаційна безпека – означає захист інформації та інформаційних систем від неавторизованого доступу, використання, виявлення, спотворення, знищення, модифікації.
Інформаційна безпека забезпечує доступність, цілісність та конфіденційність інформації. Для реалізації інформаційної безпеки бездротових мереж використовуються засоби та механізми захисту інформації.
Отже, якщо бездротова мережа не захищена, зловмисник може перехопити дані, що передаються по ній, отримати доступ до мережі та файлів на комп'ютері, а також виходити в інтернет, використовуючи підключення. Таким чином, займається канал передачі даних та уповільнюється доступ до інтернету.
Тема безпеки бездротових мереж залишається актуальною, хоча вже досить давно існують надійні методи захисту цих мереж, такі як технології WPA (Wi-Fi Protected Access).
Мета роботи – практичне вивчення питань безпеки та особливостей захисту бездротових мереж.
Об'єктом даної курсової роботиє безпека мережі.
Предметом – безпека бездротових мереж.
Завдання, що їх вирішити під час виконання даної роботи следующие:
1. Розглянути поняття бездротової мережі;
3. Вивчити основні положення безпеки бездротових з'єднань;
4. Проаналізувати рішення щодо забезпечення безпеки бездротових мереж;
5. Провести оцінку необхідності захисту бездротової мережі;
6. Розробити алгоритм проведення робіт з оцінки ефективності захисту бездротової мережі.
1. Поняття бездротової мережі та опис категорій основних атак
1.1 Поняття та опис бездротової мережі
Бездротова мережа – це передача інформації на відстань без використання електричних провідників або проводів.
Ця відстань може бути як малою (кілька метрів, як у телевізійному дистанційному управлінні), так і дуже великим (тисячі чи навіть мільйони кілометрів для телекомунікацій).
Бездротовий зв'язок зазвичай сприймається як галузь телекомунікацій.
Популярність бездротового зв'язку зростає вибуховими темпами, відкриваючи для операторів нові ринки – від мережевих ігорна екранах мобільних телефонів до служб екстреної допомоги.
Це пов'язано з розповсюдженням блокнотних комп'ютерів, систем пошукового виклику та появою систем класу «персональний секретар» (Personal Digital Assistant (PDA)), розширенням функціональних можливостеймобільних телефонів.
Такі системи повинні забезпечити ділове планування, розрахунок часу, зберігання документів та підтримку зв'язку з віддаленими станціями. Девізом цих систем стало будь-якечас, будь-де, тобто, надання послуг зв'язку незалежно від місця і часу. Крім того, бездротові канали актуальні там, де неможливе або дороге прокладання кабельних лінійта значні відстані.
Донедавна більшість бездротових комп'ютерних мережпередавала дані зі швидкістю від 1.2 до 14.0 Кбіт/с, найчастіше лише короткі повідомлення, оскільки передача файлів великих розмірів або довгі сеанси інтерактивної роботи з базою даних були недоступні. Нові технології бездротової передачіоперують зі швидкостями кілька десятків мегабіт на секунду.
Про перспективи ринку бездротового зв'язку дуже багато міркує Алан Коен (Alan S. Cohen), старший директор компанії Cisco Systems, який відповідає за мобільні рішення.
Він каже, що бездротові технології швидко стають загальноприйнятим стандартом, який всебічно впливає на наше життя.
На ринку діють два важливі фактори, що стимулюють перехід до повсюдного бездротового зв'язку. Перший фактор - це "демократизація" бездротової технології, яка стала помітною на мобільному ринку з появою стандарту 802.11 або Wi-Fi.
Дуже помітне швидке зростання кількості мобільних пристроїв і мобільних мережу будинках, квартирах, на підприємствах та у містах. Сьогодні можна легко та просто побудувати бездротову мережу та забезпечити широкосмугову мобільність на користь великих корпорацій та індивідуальних користувачів.
Також він виділив ще одну цікаву сферу застосування мобільних технологій - міські mesh-мережі, які роблять технологію Wi-Fiсправді повсюдною.
Надання доступу всім мешканцям міста на всій його території – чудовий приклад демократизації бездротових технологій. Мережева архітектура та технологія уніфікованих комунікаційяк об'єднує провідний і бездротовий зв'язок, а й зводить воєдино мережеві послуги, що надаються в приміщеннях і на відкритій місцевості. В результаті можна залишатися підключеним до мережі, де б не знаходилися, у будівлі або за її межами, що є дуже важливим для міського зв'язку.
Бездротовий зв'язок стає повсюдним. Вона дозволяє надати підключення користувачів там, де утруднено кабельне підключення або потрібна повна мобільність. При цьому бездротові мережі взаємодіють із провідними мережами. В даний час необхідно брати до уваги бездротові рішення при проектуванні будь-яких мереж від малого офісу до підприємства. Це, можливо, заощадить і кошти, і трудовитрати, і час.
Існує багато випадків і причин, через які бездротові мережі є єдиним або найзручнішим варіантом організації доступу до мережі зв'язку або інтернету:
1) Якщо потрібно організувати можливість кочового доступу до мережі та Інтернету випадковим користувачам у кафе, аеропортах, вокзалах, магазинах та інших громадських місцях;
2) Якщо необхідно організувати локальну мережу в будинках, що не мають можливостей прокладання кабельної проводки (наприклад, в історичних будинках) або в будинках, в яких прокладання кабелю є дуже складним, трудомістким та скрутним завданням;
3) При організації тимчасової локальної мережі, зокрема і локальної мережі для загального доступу, наприклад, щодо будь-яких подій, конференцій тощо;
4) При розширенні локальної обчислювальної мережі в тому випадку, якщо необхідно підключити якийсь віддалений ізольований сегмент, що містить невелику кількість робочих станцій;
5) Якщо необхідний мобільний доступдо мережевих ресурсів, наприклад, при переміщенні по квартирі або організації з ноутбуком, при відвідуванні різних хворих лікарем у лікарні для зв'язку з центральною базою даних або для зв'язку та координації механіків у великих будинках, насичених сучасними засобами забезпечення їх життєдіяльності;
6) Для організації додаткових каналів зв'язку, які можуть надавати альтернативні операторизв'язку, що створюють бездротові локальні мережі у різних районах.
Залежно від технологій та середовищ, що використовують, можна визначити такі класи бездротових мереж:
Мережі на радіомодемах;
Мережі на стільникових модемах;
інфрачервоні системи;
Системи VSAT;
Системи із використанням низькоорбітальних супутників;
Системи із технологією SST;
Радіорелейні системи;
Системи лазерного зв'язку.
WI-FI - це сучасна бездротова технологія передачі по радіоканалу (wireless, wlan wifi).
Будь-яке обладнання, що відповідає стандарту IEEE 802.11, може бути протестоване у Wi-Fi Alliance та отримати відповідний сертифікат та право нанесення логотипу Wi-Fi.
Wireless Fidelity, що в перекладі з англійської – бездротова точність. Також є й довша назва терміна: EEE 802.11b. Зародився Wi-Fi в 1985 році, в США, після того, як була відкрита частотна частина радіоканалу для використання без спеціального дозволу.
Найпершим стандартом, що набув найбільшого поширення, став стандарт IEEE 802.11b.
Устаткування, що відповідає стандарту 802.11b, з'явилося ще в 2001 році, і досі більшість бездротових мереж, як і раніше, працює з використанням цього стандарту, а також випускається безліч бездротових. Wi-Fi пристроївза допомогою 802.11b.
Радіохвилі, які використовуються для Wi-Fi зв'язку дуже схожі на радіохвилі, що використовуються в раціях, приймачах, стільникових телефонахта інших пристроях. Але Wi-Fi має кілька помітних відмінностей від інших радіоприладів.
Зв'язок ведеться на частотах 24-5 Ггц. Ця частота набагато вища, ніж частоти, придатні для мобільних телефонів, портативних радіостанцій та телебачення.
Чим вища частота сигналу, тим Велика кількістьінформації передається. Бездротова мережа використовує радіохвилі так само як радіоприймачі, мобільні телефони, телевізори. Насправді бездротовий Wi-Fi більш схожий на двосторонній радіозв'язок.
В Росії використання Wi-Fiбез дозволу на використання частот від Державної комісії з радіочастот (ДКРЧ) можливе для організації мережі всередині будівель, закритих складських приміщень та виробничих територій.
Для легального використання поза офісною бездротовою мережею Wi-Fi, наприклад, радіоканалу між двома сусідніми будинками, необхідне отримання дозволу на використання частот. Чинний спрощений порядок видачі дозволів на використання радіочастот у смузі 2400-2483,5 МГц (стандарти 802.11b і 802.11g, канали 1-13), для отримання такого дозволу не потрібне приватне рішення ГКРЧ. Для використання радіочастот в інших діапазонах, зокрема 5 ГГц (стандарт 802.11a) необхідно попередньо отримати приватне рішення ДКРЧ. У 2007 році ситуація змінилася з виходом документа: «Постанова від 25 липня 2007 р. №476 «Про внесення змін до постанови Уряду Російської Федерації» від 12 жовтня 2004 р.
Шістнадцятим пунктом постанови зі списку обладнання, що підлягає реєстрації було виключено - обладнання бездротового доступу в смузі радіочастот 2400-2483,5 МГц з потужністю випромінювання передавальних пристроїв до 100 мВт включно.
Також на виконання протокольного запису до рішення ДКРЧ від 19 серпня 2009 р., №09-04-09, ДКРЧ вирішила: виділити смуги радіочастот 5150-5350 МГц та 5650-6425 МГц для застосування на території Російської Федерації за винятком міст, зазначених у №2, фіксованого бездротового доступу громадянами Російської Федерації та російськими юридичними особамибез оформлення окремих рішень ДКРЛ для кожної фізичної чи юридичної особи.
Вказаним смугам частот відповідають стандарти 802.11a/b/g/n та канали з номерами з діапазонів 36-64 та 132-165. Однак, у додатку 2 перераховано 164 найбільші міста Росії, в яких зазначені частоти для створення бездротових мереж використовувати не можна.
За порушення порядку використання радіоелектронних засобів передбачається відповідальність за статтями 13.3 та 13.4 Кодексу Російської Федерації про адміністративні правопорушення.
Рішенням від 15 липня 2010 року ГКРЧ Росії скасувала видачу обов'язкових приватних рішень ДКРЧ для використання систем фіксованого бездротового доступу в діапазонах 5150-5350 МГц і 5650-6425 МГц. Обмеження на ці діапазони частот знято для всієї території Росії.
Виділяють такі типи та різновиди сполук:
1. З'єднання Ad-Hoc (крапка-крапка). Усі комп'ютери оснащені бездротовими картами(клієнтами) і з'єднуються безпосередньо один з одним по радіоканалу, що працює за стандартом 802.11b і забезпечує швидкість обміну 11 Mбіт/с, чого цілком достатньо для нормальної роботи;
2. Інфраструктурне з'єднання. Ця модельвикористовується, коли потрібно з'єднати більше двох комп'ютерів. Сервер з точкою доступу може виконувати роль роутера та самостійно розподіляти інтернет-канал;
3. Точка доступу, з використанням роутера та модему. Точка доступу включається в роутер, роутер - модем (ці пристрої можуть бути об'єднані в два або навіть в одне). Тепер на кожному комп'ютері у зоні дії Wi-Fi, в якому є адаптер Wi-Fi, працюватиме інтернет;
4. Клієнтська точка. У цьому режимі точка доступу працює як клієнт і може з'єднатися з точкою доступу, що працює в інфраструктурному режимі. Але до неї можна підключити лише одну МАС-адресу. Тут завдання полягає в тому, щоб об'єднати лише два комп'ютери. Два Wi-Fi-адаптери можуть працювати один з одним безпосередньо без центральних антен;
5. З'єднання міст. Комп'ютери об'єднані у провідну мережу. До кожної групи мереж підключено точки доступу, які з'єднуються одна з одною по радіо каналу. Цей режим призначений для об'єднання двох та більше провідних мереж. Підключення бездротових клієнтів до точки доступу, що працює в режимі мосту, неможливе.
Таким чином, було розглянуто поняття та класи бездротових мереж, виявлено причини доцільного використання бездротового з'єднання. Проаналізовано нормативно-правову базу щодо мереж Wi-Fi. Бездротова мережа була описана за допомогою приведення типології та різновиду з'єднань.
Під час роботи бездротових мереж часто виникають проблеми. Деякі – за чиєюсь помилкою, а деякі є результатом зловмисних дій. У будь-якому разі при цьому завдається шкоди. Ці події є атаками, незалежно від причин їх виникнення.
Існують чотири основні категорії атак:
1. Атаки доступу;
2. Атаки модифікації;
3. Атаки на відмову в обслуговуванні;
4. Атаки на відмову від зобов'язань.
Атака доступу - це спроба отримання інформації зловмисником, для перегляду якої він не має дозволів, і яка спрямована на порушення конфіденційності інформації.
Для здійснення даної атаки необхідна інформація та засоби для її передачі.
Атака доступу можлива скрізь, де є інформація та засоби для її передачі.
До атак доступу можна також віднести підглядання, підслуховування і перехоплення.
Підглядання - це перегляд файлів або документів для пошуку інформації, що цікавить зловмисника.
Підслуховування – коли хтось слухає розмову, учасником якої вона не є (часто при цьому він використовує електронні пристрої).
Перехоплення - захоплення інформації в процесі її передачі до місця призначення.
Інформація в електронному виглядізберігається вона:
Робочі станції;
Сервери;
у портативних комп'ютерах;
Компакт-диски.
З компакт-дисками ситуація ясна, тому що зловмисник може їх просто вкрасти. З першими двома справа йде інакше. При легальному доступі до системи зловмисник аналізуватиме файли, просто відкриваючи один за одним. При несанкціонованому доступі, зломщик намагатиметься обійти систему контролю та отримати доступ до потрібної інформації. Зробити це не складно. Необхідно встановити у комп'ютерній системі мережевий аналізатор пакетів (sniffer). Для цього зломщик повинен підвищити свої повноваження у системі або підключитися до мережі. Аналізатор налаштований на захоплення будь-якої інформації, що проходить по мережі, але особливо - на ідентифікатори користувача і паролі.
Підслуховування виконується і у глобальних комп'ютерних мережах типу виділених ліній та телефонних з'єднань. Однак такий тип перехоплення потребує наявності відповідної апаратури та спеціальних знань. У цьому випадку найбільш вдалим місцем для розміщення пристрою, що підслуховує, є шафа з електропроводкою.
А за допомогою спеціального обладнання кваліфікований зломщик може перехопити системи оптико-волоконного зв'язку. Однак, щоб досягти успіху, він повинен помістити свою систему в лінії передачі між відправником та одержувачем інформації. В Інтернеті це виконується за допомогою зміни дозволу імені, внаслідок чого ім'я комп'ютера перетворюється на неправильну адресу. Трафік перенаправляється до системи атакуючого замість реального вузла призначення. При відповідному настроюванні такої системи відправник так і не дізнається, що його інформація не дійшла до одержувача.
Атака модифікації – це спроба неправомірної зміни інформації. Вона спрямована на порушення цілісності інформації та можлива всюди, де існує або передається інформація.
Існує три види атаки модифікації:
1. Заміна;
2. Додавання;
3. Видалення.
Заміна – заміна існуючої інформації спрямована як проти секретної, так і загальнодоступної інформації.
Атака додавання – додавання нових даних.
Атака видалення означає переміщення наявних даних.
Всі три види атаки модифікації використовують уразливі місця систем, наприклад, «проломи» в безпеці сервера, що дозволяють замінити домашню сторінку. І навіть у цьому випадку необхідно ґрунтовно попрацювати у всій системі, щоб перешкодити виявленню. Т.к. транзакції нумеруються послідовно, і видалення або додавання неправильних операційних номерів буде помічено.
У випадку, якщо атака модифікації проводиться при передачі інформації, необхідно спочатку виконати перехоплення трафіку, що цікавить, а потім внести зміни в інформацію перед її відправкою до пункту призначення.
Атаки на відмову в обслуговуванні (Denial-of-service, DoS) - це атаки, що забороняють легальному користувачеві використання системи, інформації чи можливостей комп'ютерів. Інакше кажучи, ця атака «вандалізм», т. до., зловмисник.
В результаті DoS-атаки зазвичай не отримує доступу до комп'ютерної системи та не може оперувати з інформацією.
DoS-атака, спрямована проти інформації, - знищує, спотворює або переносить в недоступне місце останню.
DoS-атака, спрямована на програми, що обробляють або відображають інформацію, або на комп'ютерну систему, в якій ці програми виконуються - роблять неможливим рішеннязадач, що виконуються за допомогою такої програми.
Загальний тип DoS-атак (відмова у доступі до системи) ставить за мету вивести з ладу комп'ютерні системи, внаслідок чого сама система, встановлені на ній додатки і вся збережена інформація стає недоступною.
Відмова у доступі до засобів зв'язку полягає у виведенні з ладу засобів зв'язку, які позбавляють доступ до комп'ютерних систем та інформації.
DoS-атаки, націлені безпосередньо на комп'ютерну систему, реалізуються через експлойти, що використовують вразливі місця операційних системчи міжмережевих протоколів.
За допомогою цих «проломів» атакуючий посилає в додаток певний набір команд, який він не в змозі правильно обробити, в результаті чого програма виходить з ладу. Перезавантаження відновлює його працездатність, але на час перезавантаження працювати з додатком стає неможливо.
Атака на відмову від зобов'язань спрямована проти можливості ідентифікації інформації, або дати неправильну інформацію про реальну подію чи транзакцію.
До даному видуатаки відносяться:
Маскарад – це виконання дій під виглядом іншого користувача чи іншої системи.
Заперечення події – це відмова від факту здійснення операції.
DoS-атаки проти інтернету – це атака на сервери кореневих імен інтернету.
Забезпечити безпеку пристрою бездротового доступу і, відповідно, мінімізувати пов'язаний з цим видом доступу ризик можна за допомогою наступних нескладних кроків:
1. Змінити пароль адміністратора у бездротовому пристрої. Хакеру легко з'ясувати, який пароль встановлюється за замовчуванням виробником пристрою, та використовувати цей пароль для доступу до бездротової мережі. Уникати паролів, які легко підібрати чи вгадати;
2. Вимкнути трансляцію ідентифікатора мережі (SSID broadcasting, SSID - Service Set Identifier, ідентифікатор мережі), щоб бездротовий пристрій не транслювало в ефір інформацію про те, що він увімкнений;
3. Увімкнути шифрування трафіку: краще використовувати протокол WPA, якщо пристрій його підтримує (якщо ні, то використовувати WEP-шифр);
4. Змінити ідентифікатор мережі (SSID) пристрою. Якщо залишити ідентифікатор, встановлений за замовчуванням виробником пристрою, зловмисник, дізнавшись про цей ідентифікатор, зможе легко ідентифікувати бездротову мережу. Не використовуйте імена, які легко вгадати.
В результаті вирішення цього завдання було визначено та вивчено чотири основні категорії атак та три види атаки модифікації. Так само підлягали розгляду атаки на відмову в обслуговуванні та відмову від зобов'язань. На основі цього аналізу були розроблені кроки щодо безпеки пристроїв бездротового доступу.
Таким чином, підбивши підсумок, можна з упевненістю сказати, що бездротові з'єднанняЗараз набули широкого поширення, в основному, завдяки їхній здатності працювати з інтернетом у будь-якій точці будинку або офісу.
Однак якщо не вжити заходів для забезпечення безпеки бездротової мережі, то зловмисник може перехопити дані, що передаються по ній, отримати доступ до мережі та файлів на комп'ютері, а також виходити в інтернет, використовуючи підключення.
2. Огляд засобів та методів забезпечення інформаційної безпеки бездротових мереж
2.1 Політика безпеки бездротового з'єднання
Специфіка бездротових мереж передбачає, що дані можуть бути перехоплені та змінені будь-якої миті. Для одних технологій достатньо стандартного бездротового адаптера, для інших потрібне спеціалізоване обладнання. Але в будь-якому випадку ці загрози реалізуються досить просто, і для протистояння їм потрібні ефективні криптографічні механізми захисту даних.
При побудові системи забезпечення безпеки важливо визначити модель загроз, тобто вирішити, чому власне захист протистоятиме. По суті, у бездротових мережах загрози дві: несанкціоноване підключення та прослуховування, але їх список можна розширити, виділивши та узагальнивши до перерахованих у першому розділі такі основні загрози, пов'язані з бездротовими пристроями:
Неконтрольоване використання та порушення периметра;
Несанкціоноване підключення до пристроїв та мереж;
Перехоплення та модифікація трафіку;
Порушення доступності;
Позиціювання пристрою.
Широке поширення бездротових пристроїв та їх невелика вартістьпризводять до того, що у периметрі мережевої безпекивиникають проломи. Тут йдеться не тільки про зловмисників, які підключили КПК з підтримкою Wi-Fi до провідної мережі компанії, а й про більш тривіальні ситуації. Активний бездротовий адаптерна підключеному до корпоративної мережі ноутбуці, що принесена з дому для тестування точка доступу - все це може стати зручними каналами для проникнення у внутрішню мережу.
Недостатня автентифікація, помилки у системі розмежування доступу дозволяють здійснювати несанкціоноване підключення.
За своєю природою бездротові мережі не можуть забезпечувати високу доступність. Різні природні, техногенні та антропогенні фактори можуть ефективно порушувати нормальне функціонування радіоканалу. Цей факт повинен враховуватися при проектуванні мережі, і бездротові мережі не повинні використовуватися для організації каналів за високих вимог щодо доступності.
Станції Wi-Fi можуть бути легко виявлені пасивними методами, що дозволяє досить точно визначати місцезнаходження бездротового пристрою. Наприклад, система Navizon може використовувати для визначення розташування мобільного пристрою систему GPS, базові станції GSM та точки бездротового доступу.
Політика безпеки щодо бездротових мереж може бути представлена як у вигляді окремого документа, так і у складі інших складових нормативного забезпечення безпеки. У більшості випадків наявність окремого документа не потрібна, оскільки положення політики щодо бездротових мереж багато в чому перетинаються з традиційним змістом таких документів. Так, наприклад, вимоги щодо фізичного захисту точок доступу цілком перекриваються питаннями фізичної безпеки активного мережевого обладнання. У зв'язку з цим у вигляді окремого документа політика бездротової безпеки представлена в період впровадження WLAN, після чого при черговому перегляді документів гармонійно вливається в інші.
Якщо бездротові мережі не використовуються, то політика безпеки повинна включати опис захисних механізмів, спрямованих на зниження ризиків, пов'язаних з несанкціонованим використанням радіомереж.
Найкращі світові практики в галузі управління інформаційною безпекою описані у міжнародному стандарті на системи менеджменту інформаційної безпеки ISO/IEC 27001 (ISO 27001). ISO 27001 встановлює вимоги до системи управління інформаційної безпеки для демонстрації можливості організації захищати свої інформаційні ресурси.
Стандарт автентичний ГОСТ РІСО/МЕК 27001-2006. Він встановлює вимоги щодо розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та покращення документованої системи менеджменту інформаційної безпеки, щодо впровадження заходів управління інформаційною безпекою та її контролю.
Основні переваги стандарту ISO/IEC 27001:
Сертифікація дозволяє показати діловим партнерам, інвесторам та клієнтам, що в організації налагоджено ефективне управління інформаційною безпекою;
Стандарт сумісний із ISO 9001:2000 та ISO 14001:2007;
Стандарт не ставить обмежень на вибір програмно-апаратних засобів, не накладає технічних вимог на IT-засоби чи засоби захисту інформації та залишає організації повну свободу вибору технічних рішень щодо захисту інформації.
Поняття захисту інформації трактується міжнародним стандартом як забезпечення конфіденційності, цілісності та доступності інформації.
На основі цього стандарту можуть бути сформульовані рекомендації для зниження ймовірності порушення безпекової політики безпеки в організації:
1. Навчання користувачів та адміністраторів. ISO|IEC 27001 A.8.2.2. В результаті навчання користувачі повинні знати та розуміти викладені у політиці обмеження, а адміністратори повинні мати необхідну кваліфікацію для запобігання та виявлення порушень політики;
2. Контроль підключень до мережі. ISO|IEC 27001 A.11.4.3. Рівень ризику, пов'язаного з підключенням несанкціонованої точки доступу або клієнта бездротової мережі, можна знизити шляхом відключення портів комутаторів, що не використовуються, фільтрації за MAC-адресами (port-security), автентифікації 802.1X, систем виявлення атак і сканерів безпеки, що контролюють появу нових мережевих об'єктів;
3. Фізична безпека. ISO|IEC 27001 A.9.1. Контроль пристроїв, що приносяться на територію, дозволяє обмежити ймовірність підключення до мережі бездротових пристроїв. Обмеження доступу користувачів та відвідувачів до мережних портів і слотів розширення комп'ютера знижує можливість підключення бездротового пристрою;
4. Мінімізація привілеїв користувача. ISO|IEC 27001 A.11.2.2. Якщо користувач працює на комп'ютері з мінімально необхідними правами, знижується ймовірність самовільного зміни налаштувань бездротових інтерфейсів;
5. Контроль безпекової політики. ISO|IEC 27001 6, A.6.1.8. Засоби аналізу захищеності, такі як сканери вразливостей, дозволяють виявляти появу в мережі нових пристроїв та визначити їх тип (функції визначення версій ОС та мережевих програм), а також відстежувати відхилення налаштувань клієнтів від заданого профілю. Технічне завданняна проведення робіт з аудиту зовнішніми консультантами слід враховувати вимоги політики щодо бездротових мереж;
6. Інвентаризація ресурсів. ISO|IEC 27001 A.7.1.1. Наявність актуального списку мережевих ресурсів, що оновлюється, полегшує виявлення нових мережевих об'єктів;
7. Виявлення атак. ISO|IEC 27001 A.10.10.2. Застосування систем виявлення атак як традиційних, і бездротових дає можливість своєчасно визначати спроби несанкціонованого доступу;
8. Розслідування інцидентів. ISO|IEC 27001 A.13.2. Інциденти, пов'язані з бездротовими мережами, мало відрізняються від інших подібних ситуацій, проте процедури їх розслідування повинні бути визначені. Для мереж, де бездротові мережі впроваджуються або використовуються, може знадобитися внесення доповнень до розділів політики;
9. Нормативно-правове забезпечення. ISO|IEC 27001 A.15.1.1. Використання бездротових мереж може підпадати під дію як російських, і міжнародних нормативних актів. Так, у Росії використання частотного діапазону 2,4 ГГц регулюється рішенням ГКРЧ від 6.11.2004 (04-03-04-003). Крім того, оскільки в бездротових мережах інтенсивно використовується шифрування, а застосування криптографічних засобів захисту у ряді випадків підпадає під досить жорсткі законодавчі обмеження, необхідно опрацювати і це питання;
10. Внутрішній та зовнішній аудит. ISO|IEC 27001 6, A.6.1.8. Під час проведення робіт з оцінки захищеності повинні враховуватись вимоги політики щодо бездротових мереж. Докладніше можливий склад робіт з оцінки захищеності WLAN описаний в останній розділ цієї книги;
11. Розподіл мереж. ISO|IEC 27001 A.11.4.5. У зв'язку зі специфікою бездротових мереж бажано виділяти точки бездротового доступу в окремий мережевий сегмент за допомогою міжмережевого екрану, особливо коли мова стосується гостьового доступу;
12. Використання криптографічних засобів захисту. ISO|IEC 27001 A.12.3. Повинні бути визначені використовувані протоколи та алгоритми шифрування трафіку у бездротовій мережі (WPA або 802.11i). При використанні технології 802.1X визначаються вимоги до протоколів ЕЦП та довжини ключа підпису сертифікатів, що використовуються для цілей;
13. Аутентифікація. ISO|IEC 27001 A.11.4.2. Повинні бути визначені вимоги до зберігання даних аутентифікації, їх зміни, складності, безпеки під час передачі через мережу. Можуть бути явно визначені методи EAP, що використовуються, методи захисту загального ключа сервера RADIUS;
14. Контроль змін до інформаційної системи. ISO|IEC 27001 A.12.5.1. Повинні враховуватись в ІВ бездротові технології;
15. Допустимість використання програмного та апаратного забезпечення. ISO|IEC 27001 A.12.4.1 У цьому розділі розглядаються вимоги до точок доступу, бездротових комутаторів та клієнтів бездротової мережі;
16. Виявлення атак. ISO|IEC 27001 A.10.10.2. Мають бути визначені вимоги до систем виявлення бездротових атак, закріплено відповідальність за аналіз подій;
17. Протоколювання та аналіз подій безпеки. ISO|IEC 27001 A.10.10.1. Цей розділможе бути розширений шляхом додавання до списку контрольованих подій, специфічних для бездротової мережі. Може включати попередній розділ;
18. Віддалений доступ до мережі. ISO|IEC 27001 A.11.7.2. Найчастіше користувачів бездротової мережі логічно відносити до користувачів систем віддаленого доступу. Це зумовлено аналогічними загрозами і як наслідок – контрзаходами, характерними для даних компонентів ІС. Крім того, після виконання всіх етапів у тому чи іншому вигляді мають бути сформовані такі документи:
Інструкція для користувачів з урахуванням використання бездротової мережі;
Базові налаштування точок доступу, бездротових комутаторів, робочих станцій;
процедури контролю захищеності бездротових мереж;
Профілі систем виявлення атак;
Процедури реагування на інциденти в бездротовій мережі.
Таким чином, було проаналізовано стандарт ISO/IEC 27001. На основі цього стандарту було сформульовано рекомендації для зниження ймовірності порушення безпекової політики безпеки в організації. Також наведено перелік документів, які мають бути сформовані після виконання всіх етапів політики безпеки бездротової мережі.
Правильно побудована та дотримувана політика безпеки є надійним фундаментом захищеної бездротової мережі. Внаслідок цього варто приділяти їй достатню увагу як на етапі впровадження мережі, так і в ході її експлуатації, відображаючи в нормативних документах зміни, що відбуваються в мережі.
2.2 Рішення для безпеки бездротових мереж
Важливим елементом безпеки будь-якої мережі, не тільки бездротової, є керування доступом та конфіденційністю. Одним із надійних способів керування доступом до WLAN є автентифікація, що дозволяє запобігти доступу несанкціонованих користувачів до передачі даних через точки доступу. Дієві заходи керування доступом до WLAN допомагають визначити коло дозволених клієнтських станцій та зв'язати їх лише з довіреними точками доступу, за винятком несанкціонованих або небезпечних точок доступу.
Конфіденційність мереж WLAN передбачає, що дані, що передаються, будуть правильно розшифровані тільки тією стороною, для якої вони були призначені. Статус конфіденційності даних, що передаються по WLAN, вважається захищеним, якщо дані зашифровані ключем, яким може скористатися тільки той одержувач даних, для якого вони призначалися. Шифрування передбачає, що цілісність даних не порушується протягом усього процесу передачі - відправлення та отримання.
На сьогоднішній день компанії, що використовують мережі WLAN, впроваджують чотири окремі рішення для безпеки WLAN та управління доступом та конфіденційністю:
Відкритий доступ;
Базова безпека;
Підвищена безпека;
Безпека віддаленого доступу.
Як у разі будь-якого розгортання системи безпеки, доцільно провести оцінку мережевих ризиків перед вибором та впровадженням будь-якого з рішень для безпеки WLAN:
1. Відкритий доступ. Всі продукти для бездротових локальних мереж, сертифіковані на відповідність специфікаціям Wi-Fi, поставляються для роботи в режимі відкритого доступу з вимкненими функціями безпеки. Відкритий доступ або відсутність безпеки можуть влаштовувати та задовольняти вимоги громадських хот-спотів, таких як кав'ярні, університетські містечка, аеропорти чи інші громадські місця, проте для підприємств цей варіант не підходить. Функції безпеки повинні бути увімкнені на бездротових пристроях в процесі їх встановлення. Проте, деякі компанії не включають функції безпеки мереж WLAN, таким чином серйозно підвищуючи рівень ризику для своїх мереж;
2. Базова безпека: ідентифікатори SSID, WEP та автентифікація за MAC-адресою. Базова безпека полягає у використанні ідентифікаторів мережі SSID (Service Set Identifier), відкритої аутентифікації або аутентифікації з використанням загального ключа, статичних WEP-ключів і, як варіант, аутентифікації MAC-адресою. За допомогою цієї комбінації можна налаштувати елементарні засоби керування доступом та конфіденційністю, однак кожен окремий елементтакого захисту може бути зламано. Ідентифікатор SSID - це загальне ім'я мережі для пристроїв у підсистемі WLAN служить для логічного відокремлення цієї підсистеми. SSID запобігає доступу будь-якого клієнтського пристрою, що не має SSID. Однак, за замовчуванням точка доступу передає в ефір серед своїх сигналів і SSID. Навіть якщо відключити передачу в ефір SSID, зломщик чи хакер може виявити потрібний SSID за допомогою так званого "сніфінгу", або "винюхування" - непомітного моніторингу мережі. Стандарт 802.11, група специфікацій для мереж WLAN, вироблена IEEE, підтримує два засоби аутентифікації клієнта: відкриту аутентифікацію та аутентифікацію з використанням спільних ключів. Відкрита автентифікація лише трохи відрізняється від надання правильного ідентифікатора SSID. Під час аутентифікації з використанням спільних ключів точка доступу посилає на клієнтський пристрій тестовий текстовий пакет, який клієнт повинен зашифрувати правильним WEP-ключом та повернути на точку доступу. Без правильного ключа автентифікація буде перервана і клієнт не буде допущений до групи користувачів точки доступу. Аутентифікація з використанням загальних ключів не вважається надійною, оскільки зломщик, який отримав у своє розпорядження початкове тестове текстове повідомленняі це повідомлення, зашифроване WEP-ключом, може розшифрувати сам WEP-ключ. При відкритій аутентифікації, навіть якщо клієнт проходить аутентифікацію та отримує доступ до групи користувачів точки доступу, використання WEP-захисту не дозволяє клієнту передавати дані з цієї точки доступу без правильного WEP-ключа. WEP-ключі можуть складатися з 40 або 128 біт і зазвичай статично визначаються мережним адміністратором на точці доступу та кожному клієнту, який передає дані через цю точку доступу. При використанні статичних WEP-ключів адміністратор повинен витратити багато часу на введення однакових ключів у кожен пристрій мережі WLAN. Якщо пристрій, який використовує статичні WEP-ключі, втрачений або викрадений, власник зниклого пристрою може отримати доступ до мережі WLAN. Адміністратор не зможе визначити, що до мережі проникнув несанкціонований користувач, доки не буде доповідано про зникнення. Після цього адміністратор повинен змінити WEP-ключ на кожному пристрої, який використовує той самий статичний WEP-ключ, що і зниклий пристрій. В умовах мережі великого підприємства, що включає сотні або навіть тисячі користувачів, це може бути важко. Що ще гірше, якщо статичний WEP-ключ був розшифрований за допомогою такого інструменту, як AirSnort, адміністратор ніяк не дізнається, що ключ був зламаний несанкціонованим користувачем. Деякі постачальники рішень WLAN підтримують автентифікацію на базі фізичної адреси або MAC-адреси, клієнтської мережної картки (NIC). Точка доступу дозволить клієнту асоціюватися з точкою доступу лише у випадку, якщо MAC-адреса клієнта відповідає одній з адрес у таблиці аутентифікації, яка використовується точкою доступу. Однак автентифікація за MAC-адресою не є адекватним заходом безпеки, оскільки MAC-адресу можна підробити, а мережну карту- втратити чи вкрасти;
3. Базова безпека з використанням спільних ключів WPA або WPA2. Інша форма доступної на сьогоднішній день базової безпеки - це WPA або WPA2 з використанням спільних ключів (Pre-Shared Key, PSK). Загальний ключ перевіряє користувачів за допомогою пароля або коду ідентифікації (також званого фраза-пароль) як на клієнтській станції, так і на точці доступу. Клієнт може отримати доступ до мережі, лише якщо пароль клієнта відповідає паролю точки доступу. Загальний ключ також надає дані для генерації ключа шифрування, який використовується алгоритмами TKIP або AES для кожного пакета даних, що передаються. Будучи більш захищеним, ніж статичний WEP-ключ, загальний ключ аналогічний статичному WEP-ключу в тому, що зберігається на клієнтській станції і може бути зламаний, якщо клієнтська станція втрачена або вкрадена. Рекомендується використовувати сильну загальну фразу-пароль, що включає різноманітні літери, цифри та не алфавітно-цифрові символи;
4. Резюме з базової безпеки. Базова безпека мереж WLAN, заснована на комбінації SSID, відкритої аутентифікації, статичних WEP-ключів, MAC-аутентифікації та загальних ключів WPA/WPA2, є достатньою лише для дуже невеликих компаній або тих, які не довіряють життєво важливих даних своїм мережам WLAN. Всім іншим організаціям рекомендується вкладати кошти у надійні рішення безпеки мереж WLAN класу підприємства;
5. Підвищена безпека. Підвищений рівень безпеки рекомендується для замовників, яким потрібна безпека та захищеність класу підприємства. Для цього необхідний засіб безпеки підвищеного рівня, що повністю підтримує WPA та WPA2 з будівельними блоками двосторонньої автентифікації 802.1X та шифрування алгоритмами TKIP та AESВ, що включає наступні можливості:
802.1X для потужної двосторонньої аутентифікації та динамічних ключів шифрування для кожного користувача та кожної сесії;
TKIP для розширення шифрування на базі RC4, наприклад, кешування ключів (для кожного пакета), перевірки цілісності повідомлення (MIC), змін вектора ініціалізації (IV) та ротації широкомовних ключів;
AES для шифрування даних державного рівня, максимальної безпеки;
Можливості системи запобігання мережевим вторгненням (Intrusion Prevention System, IPS) та стеження за переміщенням абонента – прозоре уявлення мережі в реальному часі.
6. Безпека бездротової локальної мережі та віддалений доступ. У деяких випадках може бути потрібна всеосяжна безпека для захисту програм. Скориставшись захищеним віддаленим доступом, адміністратори можуть налаштувати віртуальну приватну мережу (VPN) та дозволити мобільним користувачамобмінюватися даними з корпоративною мережею з громадських хот-спотів, наприклад, аеропортів, готелів та конференц-залів. При розгортанні на підприємстві рішення підвищеної безпеки покриває всі вимоги до безпеки бездротових локальних мереж WLAN, тому використовувати віртуальні приватні мережі в корпоративній мережі WLAN стає необов'язково. Використання VPNу внутрішній мережі WLAN може вплинути на продуктивність мережі WLAN, обмежити можливості роумінгу та зробити процедуру входу до мережі більш складною для користувачів. Таким чином, додаткові накладні витрати та обмеження, пов'язані з накладенням VPN-мережі на внутрішню мережу WLAN, не є необхідними.
У результаті, можна дійти висновку, що для забезпечення інформаційної безпеки будь-якої мережі, не тільки бездротової, важливо якісне керування доступом та конфіденційністю. Для цього на сьогоднішній день активно впроваджують чотири окремі рішення: відкритий доступ, базова безпека, підвищена безпека, безпека віддаленого доступу.
При грамотній побудові захисту мережі та дотриманні всіх приписів, захищеність мережі буде на високому рівні, що суттєво ускладнить зловмисникам доступ до бездротової мережі.
3. Оцінка необхідності та ефективності рішення для захисту бездротової мережі
3.1 Оцінка необхідності захисту бездротової мережі
Незважаючи на те, що в більшості компаній вже розгорнуті ті чи інші бездротові мережі у фахівців зазвичай виникає багато питань безпеки вибраних рішень, а керівники компаній, що уникають впровадження бездротових технологій, турбуються про втрачені можливості підвищення продуктивності праці та скорочення інфраструктурних витрат.
Керівники багатьох організацій розуміють, що бездротові технології дозволяють підвищити продуктивність роботи та співробітництва, але не наважуються розпочати їх впровадження, побоюючись уразливостей, які можуть з'явитися в корпоративній мережі внаслідок використання бездротових мереж. Різноманітність запропонованих методів захисту бездротових комунікацій та розбіжності щодо їх ефективності лише посилюють ці сумніви.
З використанням бездротових технологій у компанії середнього розміру пов'язано безліч проблем, які змушують замислитися як захист бездротової мережі, а й у тому, потрібна вона взагалі.
Поширені проблеми, з якими допоможе впоратися, грамотно проводячи безпекову політику, про яку йшлося в розділі 2:
Прийняття рішення щодо того, чи слід розгортати бездротову мережу;
Усвідомлення та зменшення ризику, пов'язаного із впровадженням бездротових технологій;
визначення підходу до захисту бездротової мережі;
вибір оптимальних технологій захисту бездротової мережі;
Перевірка рівня безпеки розгорнутої бездротової мережі;
Інтеграція наявних активів у рішення для забезпечення безпеки бездротової мережі;
Виявлення та запобігання несанкціонованим підключенням до бездротової мережі.
Переваги, що забезпечуються бездротовими мережевими технологіями, можна поділити на дві категорії: функціональні та економічні.
Функціональні переваги включають скорочення витрат на управління та зменшення обсягу капітальних витрат, а економічні - збільшення продуктивності праці, підвищення ефективності бізнес-процесів та поява додаткових можливостейдля створення нових бізнес-функцій.
Більшість серйозних економічних переваг, пов'язаних із використанням бездротових мереж, є результатом підвищення гнучкості та мобільності працівників. Бездротові технології усувають обмеження, що змушують співробітників перебувати за своїми робочими столами, дозволяючи порівняно вільно пересуватися офісом або офісною будівлею.
Але, незважаючи на всі переваги, є й недоліки, в основному технологічні, які виражаються в уразливості бездротової мережі через різні атаки з боку зловмисників (цьому було присвячено п. 1.2 цієї роботи).
Як тільки було виявлено такі технологічні недоліки бездротових мереж першого покоління, розпочалася активна робота щодо їх усунення. Поки одні компанії працювали над удосконаленням стандартів бездротового зв'язку, багато аналітичних фірм, виробників засобів забезпечення мережевої безпеки тощо, намагалися обійти недоліки, притаманні колишнім стандартам.
В результаті було розроблено кілька підходів щодо забезпечення безпеки бездротових мереж.
Є багато факторів, які потрібно проаналізувати в оцінці можливих способівзахисту бездротової мережі. При виконанні цієї оцінки потрібно врахувати різні показники: від витрат на реалізацію та адміністрування рішення до його загальної захищеності. Всі вищезазначені підходи мають свої переваги та недоліки, тому, щоб можна було прийняти обґрунтоване рішення, потрібно краще ознайомитися з кожним із них.
Нові стандарти захисту бездротових мереж, а саме WPA та WPA2, усунули серйозні недоліки стандарту WEP і зробили, таким чином, непотрібними способи обходу цих недоліків, такі як використання протоколу IPsec або технології VPN. Використовувати статичний або динамічний алгоритм WEP тепер не рекомендується в жодній формі, а відмова від забезпечення безпеки вигідна лише в небагатьох ситуаціях. Таким чином, при розробці комплексного ефективного рішення для захисту бездротової мережі достатньо розглянути лише два підходи.
Протоколи Wi-Fi Protected Access (WPA) та Wi-Fi Protected Access 2 (WPA2) спеціально розроблені для блокування загроз, яким наражаються бездротові мережі, засновані на стандарті IEEE 802.11. Проте з-поміж них є деякі відмінності.
Протокол WPA був розроблений у 2003 році для усунення недоліків стандарту WEP. Розробники WPA добре впоралися із завданням, реалізувавши в цьому протоколі підтримку взаємної автентифікації, шифрування даних з використанням протоколу TKIP та перевірку цілісності підписаних повідомлень, що забезпечує захист від атак, заснованих на заміні або повторенні пакетів.
Протокол WPA2 забезпечує ще більше високий рівеньбезпеки, тому що в ньому для захисту мережевого трафіку використовується стандарт AES, а не протокол TKIP. Тому завжди слід віддавати перевагу перед WPA.
Протоколи WPA і WPA2 значно перевершують WEP за ступенем захисту, і при правильному налаштуваннісистеми безпеки ні в першому, ні в другому немає жодних відомих уразливостей. Проте протокол WPA2 вважається більш захищеним, ніж WPA, і якщо інфраструктура його підтримує, а додаткові накладні витрати, пов'язані з адмініструванням рішення WPA2, прийнятні, вибір слід робити на його користь.
Більшість точок доступу, що виробляються сьогодні новітні версіїОС сертифіковано відповідно до вимог протоколу WPA2. Якщо в наявному середовищі якісь точки доступу або клієнтські комп'ютери не підтримують WPA2, бездротові пристрої та клієнтські системи, що підтримують WPA2, можуть використовувати старіший стандарт WPA.
Так само не слід забувати і про такий варіант розвитку компанії, як відмова від розгортання бездротової мережі. У середовищі фахівців із забезпечення безпеки існує висловлювання, яке говорить: «Найкраще захищена та система, яку ніхто ніколи не включає». Таким чином, найнадійнішим способом захисту від уразливостей, властивих бездротовим мережам або будь-яким іншим технологіям є відмова від їх впровадження. Недолік цього підходу очевидний: компанія, яка відмовляється від впровадження будь-якої технології, може виявитися неконкурентоспроможною в сучасних економічних умовах, коли будь-яка перевага, у тому числі технологічна, може стати вирішальним фактором успіху.
Як уже говорилося, перед впровадженням будь-якої нової технологіїу конкретній компанії необхідно оцінити потреби підприємства, її стійкість до ризику і фактичний ризик. Бездротові технології – не виняток. Бездротові мережі мають цілий рядпереваг, але конкретної організації ці переваги може бути негаразд важливі чи взагалі мати значення.
При виборі захищеного бездротового рішенняНеобхідно взяти до уваги всі можливі варіанти, зокрема відмови від бездротових технологій. Якщо буде зроблено висновок, що організація не готова до розгортання бездротової мережі, це рішення слід відобразити у чинній корпоративній політиці, щоб запобігти ослабленню захисту корпоративного мережного середовища через самовільне створення бездротових мереж кінцевими користувачами.
3.2 Розробка алгоритму проведення робіт з оцінки ефективності захисту бездротової мережі
Для того щоб визначити перевагу того чи іншого методу захисту бездротової мережі, доцільно провести оцінку її захищеності.
Це особливо важливо у зв'язку з тим, що найчастіше бездротові мережі розвертаються для керівництва компанії. Відповідно, зловмисник, який отримав доступ до бездротового сегменту, має можливість не тільки використовувати ресурси компанії у своїх цілях, а й отримати доступ до конфіденційної інформаціїта заблокувати роботу високопріоритетних користувачів.
...Подібні документи
Бездротова технологіяпередачі інформації. Розвиток бездротових локальних мереж. Стандарт безпеки WEP. Процедура WEP-шифрування. Зламування бездротової мережі. Режим прихованого ідентифікатора мережі. Типи та протоколи аутентифікації. Зламування бездротової мережі.
реферат, доданий 17.12.2010
Розробка технології захисту інформації бездротових мереж, що може застосовуватися підвищення захисту комп'ютера користувача, корпоративних мереж, малих офісів. Аналіз загроз та забезпечення безпеки бездротової мережі. Налаштування WPA.
дипломна робота , доданий 19.06.2014
Характеристика стандарту IEEE 802.11. Основні напрямки застосування бездротових комп'ютерних мереж. Методи побудови бездротових сучасних мереж. Основні зони обслуговування BSS. Типи та різновиди з'єднань. Огляд механізмів доступу до середовища.
реферат, доданий 01.12.2011
Еволюція систем безпеки мереж. Міжмережеві екрани як один з основних способів захисту мереж, реалізація механізмів контролю доступу із зовнішньої мережі до внутрішньої шляхом фільтрації всього вхідного та вихідного трафіку. Управління безпекою мереж.
курсова робота , доданий 07.12.2012
Класифікація мережевих атакза рівнем моделі OSI, за типом, за місцем розташування зловмисника і об'єкта, що атакується. Проблема безпеки IP-мереж. Загрози та вразливість бездротових мереж. Класифікація систем виявлення атак IDS. XSpider концепції.
курсова робота , доданий 04.11.2014
Визначення у процесі дослідження ефективного способузахисту інформації, що передається Wi-Fi мережі. Принципи роботи Wi-Fiмережі. Способи несанкціонованого доступу до мережі. Алгоритми безпеки бездротової мережі. Нефіксована природа зв'язку.
курсова робота , доданий 18.04.2014
Періоди розвитку та основні стандарти сучасних бездротових мереж. Історія появи та області застосування технології Bluetooth. Технологія та принцип роботи технології бездротової передачі даних Wi-Fi. WiMAX – стандарт міської бездротової мережі.
презентація , доданий 22.01.2014
Вибір та обґрунтування технологій побудови локальних обчислювальних мереж. Аналіз середовища передачі. Розрахунок продуктивності мережі, планування приміщень. Вибір програмного забезпечення мережі. Види стандартів бездротового доступу до мережі Інтернет.
курсова робота , доданий 22.12.2010
Використання комп'ютерних мереж передачі даних. Основні переваги використання корпоративних мереж, захищених від доступу ззовні фізично або за допомогою апаратно-програмних засобів мережевого захисту. Мережевий екран та алгоритми шифрування.
дипломна робота , доданий 25.09.2014
Необхідність розробки політики безпеки використання мережевих ресурсів підприємствам. Аналіз її базових елементів. Апаратні та програмні засоби безпеки комп'ютерних мереж. Шляхи підвищення рівня безпеки, поради користувачам.
Проблеми безпеки бездротових мереж
Контрольна
Комунікація, зв'язок, радіоелектроніка та цифрові прилади
Ось і сьогодні в міру затвердження стандартів на бездротові мережі зниження цін на обладнання для них і збільшення їх пропускної спроможності все більше менеджерів ІТ не в силах встояти перед спокусою впровадити бездротові ЛОМ у своїй компанії.11b і передбачено низку заходів, що дозволяють надійно захистити невеликі бездротові мережі. питання про те, чи будуть ці заходи ефективні в середовищах з десятками точок доступу і сотнями користувачів все ще залишається відкритим. Це надання доступу до бездротової мережі лише зареєстрованим користувачам.
А також інші роботи, які можуть Вас зацікавити |
|||
| 37588. | ПІДВИЩЕННЯ ЕФЕКТИВНОСТІ УПРАВЛІННЯ ДІЯЛЬНІСТЮ ЕКОНОМІЧНИХ ПІДРОЗДІЛІВ ПРОМИСЛОВОГО ХОЛДИНГУ | 1.25 MB | |
| Основні економічні показники діяльності холдингу Загальні вимогидо фінансової звітності корпорації Консолідована звітність корпорації Вітчизняні схеми іпотечного кредитування
| |||