Сигурност на безжичната мрежа. Проблеми с безжичната сигурност

Тази статия е посветена на въпроса за сигурността при използване на безжични WiFi мрежи.

Въведение - WiFi уязвимости

Основната причина, поради която потребителските данни са уязвими, когато тези данни се предават през WiFi мрежи, е, че обменът се извършва чрез радиовълни. И това прави възможно прихващането на съобщения във всяка точка, където WiFi сигналът е физически достъпен. Просто казано, ако сигналът на точка за достъп може да бъде открит на разстояние от 50 метра, тогава прихващането на целия мрежов трафик на тази WiFi мреживъзможно в радиус от 50 метра от точката за достъп. В съседната стая, на друг етаж от сградата, на улицата.

Представете си тази картина. В офиса локалната мрежа е изградена чрез WiFi. Сигналът от точката за достъп на този офис се улавя извън сградата, например на паркинг. Нападател извън сградата може да получи достъп до офисната мрежа, тоест незабелязано от собствениците на тази мрежа. WiFi мрежите могат да бъдат достъпни лесно и дискретно. Технически много по-лесно от кабелните мрежи.

да Към днешна дата са разработени и внедрени средства за защита на WiFi мрежи. Тази защита се основава на криптиране на целия трафик между точката за достъп и крайното устройство, което е свързано към нея. Тоест, нападателят може да прихване радиосигнал, но за него това ще бъде просто цифров „боклук“.

Как работи WiFi защитата?

Точката за достъп включва в своята WiFi мрежа само устройството, което изпраща правилната парола (посочена в настройките на точката за достъп). В този случай паролата също се изпраща криптирана, под формата на хеш. Хешът е резултат от необратимо криптиране. Тоест данните, които са били хеширани, не могат да бъдат декриптирани. Ако нападател прихване хеша на паролата, той няма да може да получи паролата.

Но как точката за достъп знае дали паролата е правилна или не? Ами ако тя също получи хеш, но не може да го дешифрира? Всичко е просто - в настройките на точката за достъп паролата е посочена в чист вид. Програмата за оторизация взема празна парола, създава хеш от нея и след това сравнява този хеш с този, получен от клиента. Ако хешовете съвпадат, паролата на клиента е правилна. Тук се използва втората характеристика на хешовете - те са уникални. Един и същ хеш не може да бъде получен от два различни набора от данни (пароли). Ако два хеша съвпадат, тогава и двата са създадени от един и същи набор от данни.

Между другото. Благодарение на тази функция хешовете се използват за контрол на целостта на данните. Ако два хеша (създадени за определен период от време) съвпадат, тогава оригиналните данни (през този период от време) не са били променени.

Въпреки това, въпреки факта, че най модерен методЗащитата на WiFi мрежата (WPA2) е надеждна, тази мрежа може да бъде хакната. как?

Има два метода за достъп до мрежа, защитена от WPA2:

1. Избор на парола чрез база данни с пароли (т.нар. търсене по речник).
2. Използване на уязвимост във функцията WPS.

В първия случай нападателят прихваща хеша на паролата за точката за достъп. След това хешовете се сравняват с база данни от хиляди или милиони думи. Взема се дума от речника, генерира се хеш за тази дума и след това този хеш се сравнява с хеша, който е бил прихванат. Ако на точка за достъп се използва примитивна парола, тогава разбиването на паролата на тази точка за достъп е въпрос на време. Например 8-цифрена парола (8 знака е минималната дължина на паролата за WPA2) е един милион комбинации. На модерен компютър можете да сортирате един милион стойности за няколко дни или дори часове.

Във втория случай се използва уязвимост в първите версии на WPS функцията. Тази функция ви позволява да свържете устройство, което няма парола, като например принтер, към точката за достъп. Когато използвате тази функция, устройството и точката за достъп обменят цифров код и ако устройството изпрати правилния код, точката за достъп оторизира клиента. Имаше уязвимост в тази функция - кодът имаше 8 цифри, но само четири от тях бяха проверени за уникалност! Тоест, за да хакнете WPS, трябва да търсите във всички стойности, които дават 4 цифри. В резултат на това хакването на точка за достъп чрез WPS може да се извърши само за няколко часа, на всяко най-слабо устройство.

Настройка на сигурността на WiFi мрежата

Сигурността на WiFi мрежата се определя от настройките на точката за достъп. Няколко от тези настройки пряко засягат мрежовата сигурност.

Режим на достъп до WiFi мрежа

Точката за достъп може да работи в един от двата режима - отворен или защитен. В случай на отворен достъп всяко устройство може да се свърже с точката за достъп. В случай на защитен достъп се свързва само устройството, което предава правилната парола за достъп.

Има три вида (стандарти) защита на WiFi мрежата:

• WEP (кабелна еквивалентна поверителност). Първият стандарт за защита. Днес той всъщност не осигурява защита, тъй като може да бъде хакнат много лесно поради слабостта на защитните механизми.
• WPA (Wi-Fi защитен достъп). Хронологично вторият стандарт на защита. По време на създаването и пускането в експлоатация той осигурява ефективна защита за WiFi мрежите. Но в края на 2000-те бяха открити възможности за хакване на WPA защита чрез уязвимости в механизмите за сигурност.
• WPA2 (Wi-Fi защитен достъп). Най-новият стандарт за защита. Осигурява надеждна защита при спазване на определени правила. Към днешна дата има само два известни начина за нарушаване на защитата на WPA2. Груба сила на речникова парола и заобиколно решение с помощта на услугата WPS.

По този начин, за да гарантирате сигурността на вашата WiFi мрежа, трябва да изберете WPA2 тип защита. Не всички клиентски устройства обаче могат да го поддържат. Например Windows XP SP2 поддържа само WPA.

В допълнение към избора на стандарт WPA2 са необходими допълнителни условия:

Използвайте метод за криптиране AES.

Паролата за достъп до WiFi мрежата трябва да бъде съставена, както следва:

1. Използвайтебукви и цифри в паролата. Произволен набор от букви и цифри. Или много рядка дума или фраза, която има значение само за вас.
2. Неизползване прости пароликато име + дата на раждане или някаква дума + няколко числа, например лена1991или dom12345.
3. Ако трябва да използвате само цифрова парола, тогава дължината му трябва да бъде поне 10 знака. Тъй като цифрова парола от осем знака се избира чрез груба сила в реално време (от няколко часа до няколко дни, в зависимост от мощността на компютъра).

Ако използвате сложни пароли в съответствие с тези правила, вашата WiFi мрежа не може да бъде хакната чрез отгатване на парола с помощта на речник. Например за парола като 5Fb9pE2a(произволни буквено-цифрови), максимално възможно 218340105584896 комбинации. Днес е почти невъзможно да се избере. Дори ако един компютър трябваше да сравни 1 000 000 (милиона) думи в секунда, ще отнеме почти 7 години, за да повтори всички стойности.

WPS (Wi-Fi защитена настройка)

Ако точката за достъп има функцията WPS (Wi-Fi Protected Setup), трябва да я деактивирате. Ако тази функция е необходима, трябва да се уверите, че нейната версия е актуализирана до следните възможности:

1. Използване на всичките 8 символа на ПИН кода вместо 4, както беше в началото.
2. Активиране на забавяне след няколко опита за изпращане на неправилен ПИН код от клиента.

Допълнителна опция за подобряване на сигурността на WPS е използването на буквено-цифров PIN код.

Обществена WiFi сигурност

Днес е модерно да се използва интернет чрез WiFi мрежи на обществени места – в кафенета, ресторанти, търговски центрове и др. Важно е да разберете, че използването на такива мрежи може да доведе до кражба на вашите лични данни. Ако получите достъп до интернет през такава мрежа и след това влезете в уебсайт, вашите данни (потребителско име и парола) може да бъдат прихванати от друго лице, което е свързано към същата WiFi мрежа. В края на краищата, на всяко устройство, което е преминало разрешение и е свързано към точката за достъп, можете да прихванете мрежовия трафик от всички други устройства в тази мрежа. А особеността на обществените WiFi мрежи е, че всеки може да се свърже с тях, включително нападател, а не само отворена мрежа, но и на защитени.

Какво можете да направите, за да защитите данните си, когато се свързвате с интернет през обществена WiFi мрежа? Има само една възможност - да използвате HTTPS протокола. Този протокол установява криптирана връзка между клиента (браузъра) и сайта. Но не всички сайтове поддържат HTTPS протокола. Адресите на сайт, който поддържа HTTPS протокола, започват с префикса https://. Ако адресите на даден сайт имат префикс http://, това означава, че сайтът не поддържа HTTPS или не го използва.

Някои сайтове не използват HTTPS по подразбиране, но имат този протокол и могат да се използват, ако изрично (ръчно) посочите префикса https://.

Що се отнася до други случаи на използване на интернет - чатове, Skype и др., можете да използвате безплатни или платени VPN сървъри, за да защитите тези данни. Тоест първо се свържете с VPN сървъра и едва след това използвайте чата или отворете уебсайта.

WiFi защита с парола

Във втората и третата част на тази статия написах, че когато използвате стандарта за сигурност WPA2, един от начините за хакване на WiFi мрежа е да познаете паролата с помощта на речник. Но има друга възможност за нападател да получи паролата за вашата WiFi мрежа. Ако съхранявате паролата си на лепяща бележка, залепена на монитора, това прави възможно непознат да види тази парола. И вашата парола може да бъде открадната от компютър, свързан към вашата WiFi мрежа. Това може да бъде направено от външен човек, ако вашите компютри не са защитени от достъп на външни лица. Това може да стане с помощта на зловреден софтуер. Освен това паролата може да бъде открадната от устройство, което се изнася извън офиса (къща, апартамент) – от смартфон, таблет.

По този начин, ако имате нужда от надеждна защита за вашата WiFi мрежа, трябва да предприемете стъпки за сигурно съхраняване на вашата парола. Защитете го от достъп на неоторизирани лица.

Ако сте намерили тази статия за полезна или просто ви е харесала, не се колебайте да подкрепите финансово автора. Това е лесно да се направи, като се хвърлят пари Портфейл на Yandex № 410011416229354. Или по телефона +7 918-16-26-331 .

Дори малко количество може да помогне за писането на нови статии :)

В момента повечето фирми и предприятия обръщат все повече внимание на директното използване на Wi-Fi мрежи. Това се дължи на удобството, мобилността и относителната евтиност на свързването на отделни офиси и възможността за преместването им в обхвата на оборудването. Wi-Fi мрежите използват сложни алгоритмични математически модели за удостоверяване, криптиране на данни и контрол на целостта на тяхното предаване - което ще ви позволи да бъдете относително спокойни за безопасността на данните, когато използвате тази технология.

Анализ на сигурността на безжичната мрежа.

В момента повечето фирми и предприятия обръщат все повече внимание на директното използване на Wi-Fi мрежи. Това се дължи на удобството, мобилността и относителната евтиност на свързването на отделни офиси и възможността за преместването им в обхвата на оборудването. Wi-Fi мрежите използват сложни алгоритмични математически модели за удостоверяване, криптиране на данни и контрол на целостта на тяхното предаване - което ще ви позволи да бъдете относително спокойни за безопасността на данните, когато използвате тази технология.

Тази сигурност обаче е относителна, ако не обърнете необходимото внимание на настройката на сигурността кабелна мрежа. На този етап вече има списък със „стандартни“ функции, които хакерът може да получи, ако е небрежен при настройването безжична мрежа:

Достъп до ресурси на локалната мрежа;

Слушане, кражба (означава директно интернет трафик) трафик;

Изкривяване на информацията, преминаваща през мрежата;

Въвеждане на фалшива точка за достъп;

Малко теория.

1997 г. – публикуван е първият стандарт IEEE 802.11. Опции за защита на достъпа до мрежата:

1. Използвана е проста парола за SSID (Server Set ID) за достъп до локалната мрежа. Тази опция не осигурява необходимото ниво на защита, особено за сегашното ниво на технологиите.

2. Използване на WEP (Wired Equivalent Privacy) – т.е. използването на цифрови ключове за криптиране на потоци от данни с помощта на тази функция. Самите ключове са просто обикновени пароли с дължина от 5 до 13 ASCII знака, което съответства на 40 или 104-битово криптиране на статично ниво.

2001 г. - въвеждане на новия стандарт IEEE 802.1X. Този стандарт използва динамични 128-битови ключове за криптиране, тоест периодично променящи се във времето. Основната идея е, че потребителят на мрежата работи в сесии, след приключване на които се изпращат нов ключ- времето за сесия зависи от ОС (Windows XP - по подразбиране времето за една сесия е 30 минути).

В момента има стандарти 802.11:

802.11 - Оригиналният базов стандарт. Поддържа предаване на данни по радиоканала със скорост 1 и 2 Mbit/s.

802.11a - Високоскоростен WLAN стандарт. Поддържа предаване на данни със скорост до 54 Mbit/s по радиоканал в диапазона около 5 GHz.

I802.11b - Най-често срещаният стандарт. Поддържа предаване на данни със скорост до 11 Mbit/s по радиоканал в диапазона около 2,4 GHz.

802.11e - изискване за качество на заявката за всички IEEE WLAN радио интерфейси

802.11f – Стандарт, който описва реда на комуникация между равноправни точки за достъп.

802.11g - Установява допълнителна техника за модулация за честотата 2,4 GHz. Проектиран да осигурява скорости на предаване на данни до 54 Mbit/s по радиоканал в диапазона от около 2,4 GHz.

802.11h - Стандарт, който описва управлението на 5 GHz спектър за използване в Европа и Азия.

802.11i (WPA2) – Стандарт, който коригира съществуващи проблеми със сигурността в областта на протоколите за удостоверяване и криптиране. Засяга 802.1X, TKIP и AES протоколи.

В момента широко се използват 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.

2003 г. - Въведен е стандартът WPA (Wi-Fi Protected Access), който съчетава предимствата на динамичното подновяване на ключове на IEEE 802.1X с кодиране TKIP (Temporal Key Integrity Protocol), Extensible Authentication Protocol (EAP) и технология за проверка на целостта на съобщенията MIC ( Проверка на целостта на съобщението).

В допълнение, много независими стандарти за сигурност от различни разработчици се разработват успоредно. Лидерите са такива гиганти като Intel и Cisco.

2004 г. - Появява се WPA2 или 802.11i - най-сигурният на дадено времестандартен.

Технологии за защита на Fi-Wi мрежи.

WEP

Тази технология е разработена специално за криптиране на потока от предавани данни в рамките на локална мрежа. Данните се криптират с ключ от 40 до 104 бита. Но това не е целият ключ, а само неговият статичен компонент. За повишаване на сигурността се използва т. нар. инициализиращ вектор IV (Initialization Vector), който е предназначен да рандомизира допълнителна част от ключа, която предоставя различни варианти на шифъра за различните пакети данни. Този вектор е 24-битов. Така в резултат на това получаваме общо криптиране с битова дълбочина от 64 (40+24) до 128 (104+24) бита, което ни позволява да работим както с постоянни, така и с произволно избрани символи по време на криптиране. Но от друга страна, 24 бита са само ~16 милиона комбинации (2 24 степени) – тоест след изтичане на цикъла на генериране на ключ започва нов цикъл. Хакването се извършва съвсем просто:

1) Намиране на повторение (минимално време, за ключ с дължина 40 бита - от 10 минути).

2) Хакване на останалата част (по същество секунди)

3) Можете да проникнете в мрежата на някой друг.

В същото време има доста общи помощни програми за кракване на ключа, като WEPcrack.

802.1X

IEEE 802.1X е основният стандарт за безжични мрежи. В момента се поддържа от Windows XP и Windows сървър 2003.

802.1X и 802.11 са съвместими стандарти. 802.1X използва същия алгоритъм като WEP, а именно RC4, но с някои разлики (по-голяма „мобилност“, т.е. възможно е да свържете дори PDA устройство към мрежата) и корекции (WEP хакване и т.н.). P.).

802.1X се основава на Extensible Authentication Protocol (EAP), Transport Layer Security (TLS) и RADIUS (Remote Access Dial-in User Service).

След като потребителят премине етапа на удостоверяване, му се изпраща секретен ключ в криптирана форма за определено кратко време - времето на текущата валидна сесия. След завършване на тази сесия се генерира нов ключ и отново се изпраща на потребителя. Протоколът за сигурност на транспортния слой TLS осигурява взаимно удостоверяване и цялост на предаването на данни. Всички ключове са 128-битови.

Отделно е необходимо да се спомене сигурността на RADIUS: той се основава на UDP протокола (и следователно е сравнително бърз), процесът на оторизация се извършва в контекста на процеса на удостоверяване (т.е. няма оторизация като такава), внедряването на RADIUS сървъра е фокусирано върху еднопроцесно обслужване на клиенти (въпреки че е възможно и многопроцесно - въпросът все още е отворен), поддържа доста ограничен брой типове удостоверяване (ясен текст и CHAP) и има средна степен на сигурност. В RADIUS само паролите с чист текст са криптирани, останалата част от пакета остава „отворена“ (от гледна точка на сигурността дори потребителското име е много важен параметър). Но CHAP е отделен въпрос. Идеята е да няма парола с чист текст под каквато и да е форма никога няма да се предава през мрежата.А именно: при удостоверяване на потребител, клиентът изпраща на потребителската машина определено предизвикателство (произволна произволна последователност от знаци), потребителят въвежда парола и с това предизвикателство потребителската машина изпълнява определени криптиране на действия с помощта на въведената парола (обикновено това обикновено криптиране с помощта на алгоритъма MD5 (RFC-1321). Резултатът е Отговор. Този Отговор се изпраща обратно на клиента и клиентът изпраща всичко заедно (Предизвикателство и Отговор) на 3A сървър (Authentication, Authorization, Accounting) за удостоверяване.Той (също имащ от своя страна потребителска парола) изпълнява същите действия с Challeng и сравнява неговия отговор с този, получен от клиента: конвергира - потребителят е удостоверен, не - отказ. По този начин само потребителят и 3A сървърът знаят паролата с чист текст и паролата с чист текст не „пътува“ през мрежата и не може да бъде хакната.

WPA

WPA (Wi-Fi Protected Access) е временен стандарт (технология за защитен достъп до безжични мрежи), който е преходен към IEEE 802.11i. По същество WPA съчетава:

802.1X е основният стандарт за безжични мрежи;

EAP - Разширяем протокол за удостоверяване;

TKIP - Протокол за интегритет на временния ключ;

MIC е технология за проверка на целостта на съобщенията (Message Integrity Check).

Основните модули са TKIP и MIC. Стандартът TKIP използва автоматично избрани 128-битови ключове, които се генерират по непредсказуем начин и имат приблизително 500 милиарда вариации. Сложна йерархична система от алгоритъм за избор на ключове и тяхната динамична подмяна на всеки 10 KB (10 хиляди предадени пакета) правят системата максимално защитена. Технологията за проверка на целостта на съобщенията също така предпазва от външно проникване и промени в информацията. Доста сложен математически алгоритъм ви позволява да сравнявате данни, изпратени в една точка и получени в друга. Ако се забележат промени и резултатът от сравнението не се сближава, такива данни се считат за неверни и се отхвърлят.

Вярно е, че TKIP в момента не е най-добрият в прилагането на криптиране, поради нова технологияУсъвършенстван стандарт за шифроване (AES), използван преди в VPN.

VPN

Предложена е технологията VPN (Виртуална частна мрежа). от Intelда предоставя сигурна връзкаклиентски системи със сървъри чрез обществени интернет канали. VPN е може би един от най-надеждните по отношение на надеждността на криптиране и удостоверяване.

Има няколко технологии за криптиране, използвани в VPN, най-популярните от които са описани от протоколите PPTP, L2TP и IPSec с алгоритми за криптиране DES, Triple DES, AES и MD5. IP сигурността (IPSec) се използва приблизително 65-70% от времето. С негова помощ се осигурява почти максимална сигурност на комуникационната линия.

VPN технологията не е проектирана специално за Wi-Fi - тя може да се използва за всякакъв тип мрежа, но защитата на безжичните мрежи с нейна помощ е най-правилното решение.

Вече е пуснато доста голямо количество софтуер за VPN (Windows NT/2000/XP, Sun Solaris, Linux) и хардуер. За да реализирате VPN защита в рамките на мрежа, трябва да инсталирате специален VPN шлюз (софтуерен или хардуерен), в който се създават тунели, по един за всеки потребител. Например за безжични мрежи шлюзът трябва да се инсталира директно пред точката за достъп. И потребителите на мрежата трябва да инсталират специални клиентски програми, които от своя страна също работят извън безжичната мрежа и дешифрирането се извършва извън нейните граници. Въпреки че всичко това е доста тромаво, то е много надеждно. Но като всичко си има своите недостатъци, в в такъв случайима две от тях:

Необходимостта от доста обширна администрация;

Намаляване честотна лентаканал с 30-40%.

Освен това, VPN е доста ясен избор. Още повече, че напоследък развитието на VPN оборудването е именно в посока подобряване на сигурността и мобилността. Пълното IPsec VPN решение в серията Cisco VPN 5000 е отличен пример. Освен това, тази линия в момента включва само единственото клиентско VPN решение днес, което поддържа Windows 95/98/NT/2000, MacOS, Linux и Solaris. Освен това безплатен лицензза използване на марката и разпространение софтуер IPsec VPN клиентът идва с всички продукти VPN 5000, което също е важно.

Ключови точки относно защитата на Fi-Wi мрежите на организацията.

В светлината на всичко по-горе, можете да се уверите, че наличните в момента защитни механизми и технологии ви позволяват да гарантирате сигурността на вашата мрежа, когато използвате Fi-Wi. Естествено, ако администраторите не разчитат само на базови настройки, а се грижат фина настройка. Разбира се, не може да се каже, че по този начин вашата мрежа ще се превърне в непревземаем бастион, но като отделите достатъчно значителни средства за оборудване, време за конфигурация и, разбира се, за постоянен мониторинг, можете да осигурите сигурност с вероятност приблизително 95%.

Основни моменти при организиране и Wi-Fi настройкимрежи, които не трябва да се пренебрегват:

- Избор и инсталиране на точка за достъп:

> преди да закупите, прочетете внимателно документацията и наличната в момента информация за дупки в софтуерната реализация за този клас оборудване (добре познатият пример за дупка в IOS на Cisco рутери, която позволява на атакуващ да получи достъп до конфигурационния лист) . Може да има смисъл да се ограничите до закупуване на по-евтин вариант и актуализиране на операционната система на мрежовото устройство;

> проучете поддържаните протоколи и технологии за криптиране;

> когато е възможно, купувайте устройства, които използват WPA2 и 802.11i, тъй като те използват нова технология за сигурност - Advanced Encryption Standard (AES). Към момента това могат да бъдат двулентови точки за достъп (AP) към IEEE 802.11a/b/g мрежите Cisco Aironet 1130AG и 1230AG. Тези устройства поддържат стандарта за сигурност IEEE 802.11i, технологията за защита от проникване Wi-Fi Protected Access 2 (WPA2), използваща Advanced Encryption Standard (AES) и гарантират капацитет за посрещане на най-високите изисквания на безжичните потребители. локални мрежи. Новите AP се възползват от двулентовите IEEE 802.11a/b/g технологии и остават напълно съвместими с по-ранни версии на устройства, работещи с IEEE 802.11b;

> подгответе се предварително клиентски машиниза съвместна работа със закупена техника. Някои технологии за криптиране може да не се поддържат от операционната система или драйверите в момента. Това ще помогне да се избегне загубата на време при разгръщането на мрежата;

> не инсталирайте точка за достъп извън защитната стена;

> Разположете антените вътре в стените на сградата и ограничете мощността на радиото, за да намалите вероятността от връзки отвън.

> използвайте насочени антени, не използвайте радиоканала по подразбиране.

- Настройка на точка за достъп:

> ако вашата точка за достъп ви позволява да откажете достъп до вашите настройки чрез безжична връзка, използвайте тази функция. Първоначално не давайте на хакера възможност да контролира ключови възли по радиото, когато проникне във вашата мрежа. Деактивирайте протоколи за радиоразпръскване като SNMP, интерфейс за уеб администриране и telnet;

> бъдете сигурни(!) за използване сложна паролаза достъп до настройките на точката за достъп;

> ако точката за достъп ви позволява да контролирате клиентския достъп чрез MAC адреси, не забравяйте да използвате това;

> ако оборудването ви позволява да забраните излъчването на SSID, не забравяйте да го направите. Но в същото време хакерът винаги има възможност да получи SSID, когато се свързва като легитимен клиент;

> политиката за сигурност трябва да забранява на безжичните клиенти да правят ad-hoc връзки (такива мрежи позволяват на две или повече станции да се свързват директно една с друга, заобикаляйки точките за достъп, които маршрутизират техния трафик). Хакерите могат да използват няколко вида атаки срещу системи, използващи ad-hoc връзки. Основният проблем с ad-hoc мрежите е липсата на идентификация. Тези мрежи могат да позволят на хакер да напада човекв средата, отказ на услуга (DoS) и/или компрометиращи системи.

- Избор на настройка в зависимост от технологията:

> ако е възможно, откажете достъп за клиенти с SSID;

> ако няма друга опция, не забравяйте да активирате поне WEP, но не по-малко от 128 бита.

> ако при инсталиране на драйвери за мрежови устройства ви бъде предложен избор от три технологии за криптиране: WEP, WEP/WPA и WPA, тогава изберете WPA;

> ако настройките на устройството предлагат избор: „Споделен ключ“ (възможно е прихващане на WEP ключа, който е еднакъв за всички клиенти) и „Отворена система“ (възможно е интегриране в мрежата, ако SSID е известен ) - изберете „Споделен ключ“. В този случай (ако използвате WEP удостоверяване), най-препоръчително е да активирате филтриране по MAC адрес;

> ако вашата мрежа не е голяма, можете да изберете предварително споделен ключ (PSK).

> ако е възможно да се използва 802.1X. Въпреки това, когато настройвате RADIUS сървър, препоръчително е да изберете типа CHAP удостоверяване;

> максималното ниво на сигурност в момента се осигурява от използването на VPN - използвайте тази технология.

- Пароли и ключове:

> когато използвате SSID, спазвайте същите изисквания като защитата с парола - SSID трябва да е уникален (не забравяйте, че SSID не е криптиран и може лесно да бъде прихванат!);

> винаги използвайте възможно най-дългите ключове. Не използвайте ключове, по-малки от 128 бита;

> не забравяйте за защитата с пароли - използвайте генератор на пароли, променяйте паролите след определен период от време, пазете паролите в тайна;

> в настройките обикновено има избор от четири предварително дефинирани клавиша - използвайте ги всички, променяйки се според определен алгоритъм. Ако е възможно, не се фокусирайте върху дните от седмицата (винаги има хора във всяка организация, които работят през почивните дни - какво пречи на внедряването на мрежата в тези дни?).

> опитайте се да използвате дълги, динамично променящи се ключове. Ако използвате статични ключове и пароли, сменете ги след определен период от време.

> инструктирайте потребителите да пазят паролите и ключовете поверителни. Особено важно е, ако някои хора използват лаптопи, които държат вкъщи, за да влизат.

- Мрежови настройки:

> използвайте NetBEUI за организиране на споделени ресурси. Ако това не противоречи на концепцията на вашата мрежа, не използвайте TCP/IP протокола в безжични мрежи за организиране на папки и принтери публичен достъп.

> не позволявайте достъп на гости до споделени ресурси;

> опитайте се да не използвате безжична връзка DHCP мрежи- използване на статични IP адреси;

> ограничете броя на протоколите в WLAN само до необходимите.

- Общ:

> използвайте защитни стени на всички безжични мрежови клиенти или поне активирайте защитната стена за XP;

> редовно наблюдавайте уязвимостите, актуализациите, фърмуера и драйверите на вашите устройства;

> използвайте периодично скенери за сигурност, за да идентифицирате скрити проблеми;

> Определете инструментите за извършване на безжично сканиране и колко често да извършвате тези сканирания. Безжичното сканиране може да помогне за локализиране на измамни точки за достъп.

> ако финансите на вашата организация го позволяват, закупете системи за откриване на проникване (IDS, система за откриване на проникване), като например:

CiscoWorks Wireless LAN Solution Engine (WLSE), който включва няколко нови функции - самовъзстановяване, усъвършенствано откриване на фалшифициране, автоматизирана проверка на сайта, топъл режим на готовност, проследяване на клиенти с отчитане в реално време.
CiscoWorks WLSE е централизирано решение на системно ниво за управление на цялата безжична инфраструктура, базирано на продуктите на Cisco Aironet. Усъвършенстваните възможности за радио и управление на устройства, поддържани от CiscoWorks WLSE, опростяват текущите безжични мрежови операции, позволяват безпроблемно внедряване, подобряват сигурността и осигуряват максимална достъпност, като същевременно намаляват внедряването и оперативните разходи.

Системата Hitachi AirLocation използва мрежа IEEE802.11b и може да работи както на закрито, така и на открито. Точността на определяне на координатите на обект, според разработчиците, е 1-3 м, което е малко по-точно от подобна характеристика на GPS системите. Системата се състои от сървър за определяне на координати, сървър за управление, набор от няколко базови станции, комплект WLAN оборудване и специализиран софтуер. Минималната цена на комплекта е около $46,3 хил. Системата определя местоположението на необходимото устройство и разстоянието между него и всяка точка за достъп, като изчислява времето за реакция на терминала на сигнали, изпратени от точки, свързани към мрежата с разстояние между възлите от 100-200м. Следователно за достатъчно точно местоположение на терминала са достатъчни само три точки за достъп.

Да, цените на подобно оборудване са доста високи, но всяка сериозна компания може да реши да похарчи тази сума, за да бъде сигурна в сигурността на своята безжична мрежа.

Заплахи за WLAN

Защитата на безжична мрежа е дори по-трудна от защитата на кабелна мрежа. Сигурността трябва да бъде основен приоритет за всеки, който използва или администрира мрежи.

В рамките на обхвата на точката за достъп WLAN мрежата е отворена за всеки, който има подходящите идентификационни данни, чрез които се прави връзка с точката за достъп. С безжичен мрежов адаптер и познаване на техники за хакване, нападателят може да не присъства физически на мястото, където се намира WLAN, за да получи достъп до него.

Проблемите със сигурността стават все повече по-висока стойност, когато става въпрос за корпоративни мрежи, тъй като животът на една компания, наред с други неща, зависи от сигурността на данните. Пробивите в сигурността могат да имат катастрофални последици за компаниите, особено ако компанията борави с финансовата информация на своите клиенти. Безжичните мрежи се внедряват все повече в предприятията и в много случаи вече не са просто по-удобна опция, а критична част от мрежата. Въпреки че WLAN винаги са били податливи на атаки, с нарастването на популярността им те се превръщат в цел номер едно.

Атаките могат да бъдат инициирани от непознати и недоволни служители, но освен от такива недоброжелатели, атака може да бъде неволно провокирана от всеки служител. Безжичните мрежи са особено податливи на следните заплахи:

· безжични натрапници;

· злонамерени приложения;

· прихващане на данни

DoS атаки

На фигурата щракнете върху всяка заплаха, за да видите повече информация.

Бележки. Заплахи като подправяне на MAC адрес на точка за достъп или безжичен клиент, хакване и инфраструктурни атаки не са обхванати в тази глава.

Атака за отказ на услуга

По-долу са изброени причините, поради които се случва DoS атака в безжична мрежа.

· Неправилна конфигурация на устройството- Грешките в конфигурацията могат да доведат до изключване на WLAN мрежата. Например, администратор може случайно да промени конфигурацията и да деактивира мрежата, или хакер с администраторски права може умишлено да деактивира WLAN.

· Нападател, който умишлено се намесва в безжичните комуникации- такива нападатели се стремят да деактивират безжичната мрежа напълно или до степен, в която оторизираните устройства не могат да получат достъп до средата.

· Случайна намеса- WLAN мрежите работят на нелицензирани честотни ленти и следователно всички безжични мрежи, независимо от функциите за сигурност, са податливи на смущения от други безжични устройства. Може да възникнат произволни смущения от устройства като микровълнови печки, безжични телефони, бебефони и др. Честотната лента от 2,4 GHz е по-податлива на смущения от честотната лента от 5 GHz.

За да сведете до минимум риска от DoS атака поради неправилна конфигурация на устройството и злонамерени атаки, трябва да защитите всички устройства, да съхранявате паролите на сигурно място, да създадете резервни копияи промяна на конфигурацията само в извънработно време.

Случайни смущения възникват само когато други безжични устройства работят. Най-доброто решение е да наблюдавате WLAN за проблеми със смущенията и да разрешавате такива проблеми, когато възникнат. Тъй като лентата от 2,4 GHz е по-податлива на смущения, лентата от 5 GHz може да се използва в по-слаби зони. Някои WLAN решения предоставят автоматична настройкаканали от точки за достъп и позволяват използването на честотната лента от 5 GHz за компенсиране на смущенията. Например, някои 802.11n/ac/ad решения автоматично се настройват, за да устоят на смущения.

Илюстрацията показва как безжичен телефон или микровълнова фурна може да попречи на WLAN комуникациите.

Технологията Cisco CleanAir позволява на устройствата да идентифицират и локализират източници на смущения, различни от 802.11. Тази технология създава мрежа, която може автоматично да се адаптира към промените в околната среда.

DoS атаки с помощта на контролни рамки

Макар и малко вероятно, нападателите биха могли умишлено да започнат DoS атака, използвайки устройства за електронно противодействие, които създават произволна намеса. По-вероятно е нападателите да се опитат да манипулират контролни рамки, като по този начин консумират ресурси на точката за достъп и зареждат каналите толкова много, че да не могат да обслужват оторизиран потребителски трафик.

Контролните рамки могат да се използват за стартиране на различни видове DoS атаки. Често срещани са два типа атаки на контролни рамки.

· Фалшива атака при изключване- за да извърши такава атака, нападателят изпраща набор от команди за „отмяна на асоциирането“ до всички безжични устройствав рамките на BSS. Тези команди карат всички клиенти да прекъснат връзката. При прекъсване на връзката всички безжични клиенти незабавно се опитват да се свържат отново, което води до рязко увеличаване на обема на трафика. Нападателят продължава да изпраща рамки за деасоцииране и цикълът се повтаря.

· CTS изпращане на разрешения за наводняване- този видАтаката възниква, когато нападателят използва техника за разрешаване на конкуренция в среда CSMA/CA, за да монополизира честотната лента и да откаже достъп до всички други безжични клиенти. За да постигне това, атакуващият непрекъснато наводнява BSS с разрешения за изпращане на CTS към фалшивия STA. Всички други безжични клиенти, споделящи RF среда, приемат CTS и спират предаването на данни, докато нападателят не спре предаването на CTS рамки.

На фиг. Фигура 1 показва как безжичният клиент и точката за достъп използват метода CSMA/CA за достъп до средата.

На фиг. Фигура 2 показва как нападател наводнява CTS кадри към примамващ безжичен клиент. Сега всички останали клиенти трябва да изчакат завършването на периода, посочен в CTS рамката. Нападателят обаче продължава да изпраща CTS рамки. Следователно други клиенти са принудени постоянно да чакат. Така нападателят контролира средата.

Забележка. Това е само един пример за атака с контролна рамка. Има много други.

За да намали риска от подобни атаки, Cisco разработи редица решения, включително Cisco Management Frame Protection (MFP), което също осигурява цялостна проактивна защита срещу измама на рамка и устройство. Адаптивната безжична система за предотвратяване на проникване на Cisco допълва това решение с възможности за ранно откриване на проникване чрез съпоставяне на сигнатури на атака.

Комитетът по стандартите IEEE 802.11 също разработи два стандарта за сигурност на безжичната мрежа. Стандартът 802.11i, използващ Cisco MFP, дефинира механизми за сигурност за безжични мрежи, докато стандартът за сигурност на рамката за управление 802.11w адресира проблеми, свързани с манипулиране на рамка за управление.

Злонамерени точки за достъп

Злонамерената точка за достъп е безжичен рутер, който може да се характеризира по следния начин.

· Този рутер се свързва към корпоративната мрежа без изрично разрешение и в нарушение на корпоративната политика. Всеки потребител с достъп до съоръжения може да инсталира (със или без злонамерени намерения) евтин безжичен рутер, който теоретично осигурява достъп до защитени мрежови ресурси.

· Нападателят може да свърже или активира такъв рутер, за да улови клиентски данни (например MAC адреси на безжични и кабелни клиенти) или да улови и маскира пакети с данни, за да получи достъп до мрежови ресурси; или с цел иницииране на атака за прихващане.

Трябва също така да помислите колко лесно е да създадете личен безжична точкадостъп. Например, потребител, който има защитен достъп до мрежа, конфигурира своите оторизирани Windows възел, като точка за достъп до Wi-Fi мрежа. В този случай неоторизираните устройства заобикалят мерките за сигурност и получават достъп до мрежовите ресурси като едно общо устройство.

За да се предотврати инсталирането на злонамерени точки за достъп, организациите трябва да използват софтуер за активно наблюдение на радиочестотния спектър за измамни точки за достъп. Например, екранна снимка на софтуера за управление на инфраструктурна мрежа Cisco Prime на фигурата показва RF карта, идентифицираща местоположението на нападател с открит фалшив MAC адрес.

Забележка. Cisco Prime е софтуер за управление на мрежата, който взаимодейства с други подобни програми, за да осигури общ изглед и централно местоположение на всички мрежови данни. Обикновено този софтуер се внедрява в много големи организации.

Прехващаща атака

Един от по-сложните типове атаки, които нападателят може да използва, е атаката за прихващане. Има много начини за създаване на атака за прихващане.

Един от най-често срещаните видове подобни атаки се нарича „зъл близнак“, при който нападателят имплантира злонамерена точка за достъп и я конфигурира със същия SSID като оторизирана точка за достъп. Места, които предлагат безплатен Wi-Fi достъп, като летища, кафенета и ресторанти, са най-популярните цели за този тип атаки, тъй като тези места използват отворено удостоверяване.

Когато безжичните клиенти се свържат, се показват две точки за достъп, които предлагат безжичен достъп. Тези, които са близо до злонамерената точка за достъп, ще открият по-силен сигнал и е по-вероятно да направят връзка със злата точка за достъп близнак. Сега потребителският трафик се изпраща до измамната точка за достъп, която от своя страна улавя данните и ги препраща към доверената точка за достъп. Обратният трафик от оторизираната точка за достъп се изпраща до злонамерената точка за достъп, улавя се и след това се препраща към нищо неподозираща станция (STA). Нападателят може да открадне паролата на потребителя, личната информация, да получи достъп до мрежата и да компрометира системата на потребителя.

Например на фиг. 1 нападател е в Bob's Latte, опитвайки се да отвлече трафик от нищо неподозиращи безжични клиенти. Нападателят изпълнява софтуер, който прави неговия лаптоп точка за достъп „зъл близнак“ със същия SSID и канал като оторизирания безжичен рутер.

На фиг. 2, потребителят вижда две налични безжични връзки, но избира точката за достъп „зъл близнак“ за асоцииране. Нападателят улавя потребителски данни и ги препраща към оторизирана точка за достъп, която от своя страна насочва трафика на отговор обратно към злата точка за достъп близнак. Злата точка за достъп близнак отвлича трафика на отговора и препраща данните към нищо неподозиращия потребител.

Успехът на предотвратяването на подслушвателна атака зависи от сложността на мрежовата инфраструктура на WLAN и задълбочеността на наблюдението на мрежата. Процесът започва с идентифициране на оторизирани устройства в WLAN. За да направите това, потребителите трябва да бъдат удостоверени. След като всички разрешени устройства бъдат идентифицирани, мрежата може да бъде наблюдавана за подозрителни устройства или трафик.

Корпоративни WLAN мрежи, които използват най-много модерни устройства WLAN предоставя на администраторите инструменти, които работят заедно за безжична системаСистема за предотвратяване на проникване (IPS). Тези инструменти включват скенери, които идентифицират злонамерени точки за достъп и peer-to-peer мрежи, и инструменти за управление на радиоресурси, които наблюдават радиочестотната лента за активност и натоварване на точката за достъп. Силното натоварване на точката за достъп сигнализира на администратора за възможното наличие на неоторизиран трафик.

Преглед на безжичната сигурност

Сигурността на Wi-Fi мрежата винаги е била особен проблем, тъй като границите на мрежата се разшириха. Сигнали безжична комуникациямогат да се предават през твърди препятствия – тавани, подове, стени, извън дома или офиса. Без строги мерки за сигурност инсталирането на WLAN мрежа е подобно на поставянето на Ethernet портове навсякъде, дори на улицата.

За предотвратяване на заплахи от нарушители, опитващи се да проникнат в безжичната мрежа и защита на данните, бяха използвани две функции за сигурност.

· Скриване на SSID. Точки за достъп и някои безжични рутериПозволява ви да деактивирате рамката на SSID сигнала. Безжичните клиенти трябва ръчно да определят SSID, за да се свържат към мрежата.

· Филтриране на MAC адреси. Администраторът може ръчно да разреши или откаже безжичен достъп на клиенти въз основа на MAC адреса на техния физически хардуер.

Докато тези две функции ще отсеят повечето потребители, реалността е, че нито скриването на SSID, нито филтрирането на MAC адреси ще спрат опитен нападател. SSID са лесни за откриване, дори ако точките за достъп не ги излъчват, а MAC адресите могат да бъдат подправени. Най-добрият начин за защита на безжична мрежа е използването на системи за удостоверяване и криптиране (вижте Фигура 1).

Оригиналният стандарт 802.11 въведе два вида удостоверяване:

· Удостоверяване отворена система . Всички безжични клиенти могат лесно да се свързват и такава система може да се използва само в ситуации, в които сигурността не е от голямо значение (например на места, където е осигурен безплатен достъп до интернет - кафенета, хотели и отдалечени места).

· Удостоверяване на консенсусен ключ. Осигурява механизми като WEP, WPA или WPA2 за удостоверяване и криптиране на данни, предавани между безжичния клиент и точката за достъп. Въпреки това, за да се свържете, паролата трябва да бъде предварително договорена между страните.

В диаграмата на фиг. 2 представени кратка информацияО различни видовеудостоверяване.

Консенсусни методи за удостоверяване на ключ

Както е показано на фиг. 1, налични са три съгласувани ключови опции за удостоверяване:

· Безжичен протокол за криптиране (WEP). Оригиналната спецификация 802.11, която е проектирана да осигурява поверителност на ниво, сравнимо с кабелна връзка. Защитата на данните се осигурява чрез метода за криптиране RC4 с помощта на статичен ключ. Ключът обаче никога не се променя, когато се предават пакети, така че е доста лесно да се разбие.

· Wi-Fi защитен достъп (WPA). Стандарт на Wi-Fi Alliance, който използва WEP, но осигурява сигурност на данните чрез много по-силния алгоритъм за криптиране на Temporal Key IP (TKIP). TKIP променя ключа на базата на пакет, което го прави много по-труден за кракване.

· IEEE 802.11i/WPA2. IEEE 802.11i е индустриален стандарт за сигурност на безжичната мрежа. Версията на Wi-Fi Alliance се нарича WPA2. 802.11i и WPA2 използват Advanced Encryption Standard (AES) за криптиране. В момента AES се счита за най-сигурния протокол за криптиране.

WEP вече не се препоръчва. Споделените WEP ключове се оказаха неефективни и следователно не трябва да се използват. За компенсация слаби страниСподелени WEP ключове, компаниите първо се опитаха да скрият SSID и да филтрират MAC адреси. Тези методи също се оказаха твърде ненадеждни.

Поради ненадеждността на системите за сигурност, базирани на WEP, от известно време се използват временни мерки за сигурност. Доставчици като Cisco са разработили свои собствени системи, за да отговорят на повишените изисквания за сигурност, докато се опитват да подобрят стандарта 802.11i. По време на разработването на стандарта 802.11i беше създаден алгоритъмът за криптиране TKIP, който беше свързан с метода за предоставяне Wi-Fi сигурностАлианс WPA.

Съвременните безжични мрежи винаги трябва да използват стандарта 802.11i/WPA2. WPA2 е версия на стандарта 802.11i Wi-Fi, така че термините WPA2 и 802.11i често се използват взаимозаменяемо.

От 2006 г. всички устройства, носещи логото Wi-Fi Certified, са сертифицирани да използват WPA2.

Забележка. За да се оптимизира производителността, Wireless-N мрежите трябва да използват режим на защита WPA2-Personal.

В таблицата на фиг. 2 показано Главна информацияоколо три вида съгласувани методи за удостоверяване на ключове.

Методи за криптиране

Шифроването се използва за защита на данните. Ако нападателят е уловил криптирани данни, той няма да може да ги дешифрира за кратко време.

Стандартите IEEE 802.11i, Wi-Fi Alliance WPA и WPA2 използват следните протоколи за криптиране:

· Криптиране с помощта на временни ключове (TKIP). TKIP е метод за криптиране, който се използва от стандарта WPA. Осигурява подкрепа предишни версии WLAN оборудване чрез елиминиране на първоначалните уязвимости, присъщи на метода за криптиране 802.11 WEP. Той използва WEP, но изпълнява Layer 2 криптиране на полезния товар с помощта на TKIP и извършва проверка на целостта на съобщението на шифрования пакет, за да гарантира, че съобщението не се използва по неоторизиран начин.

· Разширен стандарт за криптиране (AES). AES е метод за криптиране, който се използва от стандарта WPA2. Този метод е предпочитан, защото отговаря на индустриалния стандарт IEEE 802.11i. AES изпълнява същите функции като TKIP, но предоставя много по-силен метод за криптиране. Той използва протокола CCMP, който позволява на целевите възли да разпознават криптирани и некриптирани битове, които се използват по неразрешени начини.

Забележка. Ако е възможно, винаги трябва да избирате WPA2 с AES.

Изпратете добрата си работа в базата знания е лесно. Използвайте формата по-долу

Студенти, докторанти, млади учени, които използват базата от знания в обучението и работата си, ще ви бъдат много благодарни.

Публикувано на http://www.allbest.ru/

Федерален държавен бюджет образователна институциявисше професионално образование

Катедра: Информатика и информационни технологии

Специалност: Приложна информатика

КУРСОВА РАБОТА

БЕЗЖИЧНА СИГУРНОСТ

Попълнено от ученик

Козлова С.К.

Ръководител на работата:

Митяев В.В.

ОРЕЛ, 2013

Въведение

Заключение

Библиография

Приложение

Въведение

Мнозинство модерни компютриподдържа безжичен мрежов достъп. С други думи, те могат да се свързват с интернет (и други безжични устройства) без мрежов кабел. Основното предимство на безжичните връзки е възможността за работа с интернет навсякъде в дома или офиса (ако разстоянието между компютъра и устройството за достъп до безжична мрежа позволява). Въпреки това, ако не вземете мерки за осигуряване на сигурността на вашата безжична мрежа, са възможни следните потенциално опасни ситуации, в резултат на които нападателят може:

1. Прихващане на предадени или получени данни;

2. Получаване на достъп до безжична мрежа;

3. Изземете канала за достъп до Интернет.

Нека се обърнем към определението за информационна сигурност. Информационна сигурност - означава защита на информацията и информационните системи от неоторизиран достъп, използване, откриване, изкривяване, унищожаване, модификация.

Информационната сигурност гарантира наличността, целостта и поверителността на информацията. За реализиране на информационна сигурност на безжичните мрежи се използват средства и механизми за информационна сигурност.

Следователно, ако една безжична мрежа не е защитена, нападателят може да прихване данни, предавани през нея, да получи достъп до мрежата и файловете на компютъра, а също и да получи достъп до интернет чрез връзката. По този начин каналът за предаване на данни е зает и достъпът до интернет се забавя.

Темата за сигурността на безжичната мрежа все още остава актуална, въпреки че надеждни методи за защита на тези мрежи, като технологиите WPA (Wi-Fi Protected Access), съществуват от доста време.

Целта на работата е практическо изследване на проблемите на сигурността и функциите за сигурност на безжичните мрежи.

Обект на тази курсова работа е мрежовата сигурност.

Темата е сигурността на безжичните мрежи.

Задачите, които трябва да бъдат решени при извършване на тази работа, са както следва:

1. Разгледайте концепцията за безжична мрежа;

3. Проучете основните разпоредби на политиката за сигурност на безжичната връзка;

4. Анализира решения за осигуряване сигурността на безжичните мрежи;

5. Оценка на необходимостта от сигурност на безжичната мрежа;

6. Разработете алгоритъм за извършване на работа за оценка на ефективността на защитата на безжичната мрежа.

1. Концепция за безжична мрежа и описание на категориите основни атаки

1.1 Концепция и описание на безжична мрежа

Безжичната мрежа е предаване на информация на разстояние без използването на електрически проводници или „жици“.

Това разстояние може да бъде толкова малко (няколко метра, както при телевизията дистанционно) и много големи (хиляди или дори милиони километри за телекомуникации).

Безжичните комуникации обикновено се считат за клон на телекомуникациите.

Популярността на безжичните комуникации нараства с експлозивни темпове, отваряйки нови пазари за операторите - от мрежови игрина екраните на мобилни телефони към службите за спешна помощ.

Това се дължи на разпространението на компютри с бележници, системи за пейджинг и появата на системи от клас персонален цифров асистент (PDA), разширение функционалностмобилни телефони.

Такива системи трябва да осигуряват бизнес планиране, синхронизиране, съхранение на документи и комуникации с отдалечени станции. Мотото на тези системи беше по всяко време и навсякъде, т.е. предоставяне на комуникационни услуги независимо от мястото и времето. В допълнение, безжичните канали са подходящи, когато полагането е невъзможно или скъпо кабелни линиии значителни разстояния.

Доскоро повечето безжични компютърни мрежипредавани данни със скорост от 1,2 до 14,0 Kbps, често само кратки съобщения, тъй като прехвърлянето на големи файлове или дългите сесии на интерактивна работа с базата данни не са налични. Новите технологии за безжично предаване работят със скорости от няколко десетки мегабита в секунда.

Алън С. Коен, старши директор на Cisco Systems, отговарящ за мобилните решения, говори много за перспективите пред пазара на безжични комуникации.

Той казва, че безжичните технологии бързо се превръщат в приет стандарт, който оказва широко влияние върху живота ни.

Има две важни пазарни сили, движещи движението към повсеместна безжична свързаност. Първият фактор е "демократизацията" на безжичните технологии, която стана забележима на мобилния пазар с навлизането на стандарта 802.11 или Wi-Fi.

Бързото нарастване на броя на мобилните устройства и мобилни мрежив къщи, апартаменти, предприятия и градове. Днес е лесно и просто да се изгради безжична мрежа и да се осигури широколентова мобилност в полза на големи корпорации и отделни потребители.

Той подчерта и друга интересна област на приложение мобилни технологии- градски мрежови мрежи, които правят Wi-Fi технологиянаистина вездесъщ.

Предоставянето на достъп на всички жители на града на цялата му територия е прекрасен пример за демократизиране на безжичните технологии. Мрежова архитектура и технология обединени комуникациине само интегрира кабелни и безжични комуникации, но също така обединява мрежови услуги на закрито и на открито. В резултат на това можете да останете свързани с мрежата, където и да се намирате, вътре или извън сградата, което е много важно за градските комуникации.

Безжичните комуникации стават повсеместни. Позволява ви да осигурите връзка на потребители, където кабелната връзка е трудна или където се изисква пълна мобилност. В този случай безжичните мрежи взаимодействат с кабелните мрежи. В днешно време е необходимо да се вземат предвид безжичните решения при проектирането на всяка мрежа - от малък офис до предприятие. Това вероятно ще спести пари, труд и време.

Има много случаи и причини, поради които безжичните мрежи са единственият или най-удобният вариант за организиране на достъп до комуникационна мрежа или Интернет:

1) Ако е необходимо да се организира възможност за номадски достъп до мрежата и Интернет за случайни потребители в кафенета, летища, гари, магазини и други обществени места;

2) Ако е необходимо да се организира локална мрежа в сгради, които нямат възможност за полагане на кабелно окабеляване (например в исторически сгради) или в сгради, в които полагането на кабел е много сложна, отнемаща време и трудна задача;

3) При организиране на временна локална мрежа, включително локална мрежа за публичен достъп, например за провеждане на събития, конференции и др.;

4) При разширяване на локална мрежа в случай, че е необходимо да се свърже всеки отдалечен изолиран сегмент, съдържащ малък брой работни станции;

5) Ако е необходим мобилен достъп до мрежови ресурси, например, когато се движите из апартамент или организация с лаптоп, когато посещавате различни пациенти с лекар в болница, за да комуникирате с централна база данни, или за комуникация и координиране на механиката в големи сгради, наситен модерни средстваосигуряване на препитанието им;

6) За организация допълнителни каналикомуникации, които могат да бъдат предоставени от алтернативни телекомуникационни оператори, създаващи безжични локални мрежи в различни области.

В зависимост от използваните технологии и медии за предаване могат да се дефинират следните класове безжични мрежи:

Мрежи на радиомодеми;

Мрежи на клетъчни модеми;

Инфрачервени системи;

VSAT системи;

Системи, използващи сателити с ниска орбита;

Системи с SST технология;

Радиорелейни системи;

Лазерни комуникационни системи.

WI-FI е съвременна безжична технология за предаване на данни по радиоканал (безжичен, wlan wifi).

Всяко оборудване, което отговаря на стандарта IEEE 802.11, може да бъде тествано от Wi-Fi Alliance и да получи съответния сертификат и правото да показва логото на Wi-Fi.

Wireless Fidelity, което в превод от английски означава безжична прецизност. Има и по-дълго име за термина: EEE 802.11b. Wi-Fi възниква през 1985 г. в САЩ, след като честотната част на радиоканала е отворена за използване без специално разрешение.

Първият стандарт, който стана най-разпространен, беше стандартът IEEE 802.11b.

Оборудване, което отговаря на стандарта 802.11b, се появи още през 2001 г. и до ден днешен повечето безжични мрежи все още работят с помощта на този стандарт и много безжични Wi-Fi устройства също са налични, които поддържат 802.11b.

Радиовълните, които се използват за Wi-Fi комуникации, са много подобни на радиовълните, използвани в уоки-токита, приемници, мобилни телефонии други устройства. Но Wi-Fi има няколко забележителни разлики от другите радиоустройства.

Комуникацията се осъществява на честоти от 2,4-5 GHz. Тази честота е много по-висока от честотите, подходящи за мобилни телефони, преносими радиостанции и телевизия.

Колкото по-висока е честотата на сигнала, толкова голямо количествоинформацията се предава. Безжичната мрежа използва радиовълни точно като радиото, Мобилни телефони, телевизори. Всъщност безжичната Wi-Fi комуникация е по-подобна на двупосочната радио комуникация.

В Русия използването на Wi-Fi без разрешение за използване на честоти от Държавната комисия по радиочестотите (SCRF) е възможно за организиране на мрежа в сгради, затворени складове и индустриални зони.

За законно използване на Wi-Fi безжична мрежа извън офис, например радиоканал между две съседни къщи, трябва да получите разрешение за използване на честотите. Съществува опростена процедура за издаване на разрешения за използване на радиочестоти в обхват 2400-2483,5 MHz (стандарти 802.11b и 802.11g, канали 1-13), получаването на такова разрешение не изисква лично решение от SCRF. За да използвате радиочестоти в други ленти, по-специално 5 GHz (802.11a стандарт), първо трябва да получите частно решение от SCRF. През 2007 г. ситуацията се промени с публикуването на документа: „Резолюция от 25 юли 2007 г. № 476 „За изменение на постановлението на правителството Руска федерация“ от 12 октомври 2004 г

Шестнадесети параграф от решението изключва от списъка на подлежащото на регистрация оборудване - потребителско оборудване за безжичен достъп в радиочестотната лента 2400-2483,5 MHz с мощност на излъчване на предавателни устройства до 100 mW включително.

Също така, в изпълнение на протоколния запис към решението на SCRF от 19 август 2009 г., № 09-04-09, SCRC реши: да разпредели радиочестотни ленти 5150-5350 MHz и 5650-6425 MHz за използване на територия на Руската федерация, с изключение на градовете, посочени в приложение № 2, фиксиран безжичен достъп от граждани на Руската федерация и руски юридически лицабез да издава отделни решения на ДКРЗ за всяко физическо или юридическо лице.

Посочените честотни ленти отговарят на стандартите 802.11a/b/g/n и канали с номера от диапазоните 36-64 и 132-165. В Приложение 2 обаче са изброени 164-те най-големи града в Русия, в които посочените честоти не могат да се използват за създаване на безжични мрежи.

Нарушаването на процедурата за използване на радиоелектронни средства подлежи на отговорност съгласно членове 13.3 и 13.4 от Кодекса за административните нарушения на Руската федерация.

С решение от 15 юли 2010 г. Държавният комитет по радиочестотите на Русия отмени издаването на задължителни частни решения на Държавния комитет по радиочестотите за използване на фиксирани системи за безжичен достъп в диапазоните 5150-5350 MHz и 5650-6425 MHz. Ограничението за тези честотни диапазони е отменено за цялата територия на Русия.

Разграничават се следните видове и разновидности на връзките:

1. Ad-Hoc връзка (точка до точка). Всички компютри са оборудвани с безжични карти (клиенти) и се свързват директно помежду си чрез радиоканал, работещ по стандарта 802.11b и осигуряващ скорост на обмен от 11 Mbit/s, което е напълно достатъчно за нормална работа;

2. Инфраструктурна свързаност. Този моделизползва се, когато е необходимо да се свържат повече от два компютъра. Сървър с точка за достъп може да действа като рутер и независимо да разпространява интернет канала;

3. Точка за достъп, използваща рутер и модем. Точката за достъп е свързана към рутера, рутерът е свързан към модема (тези устройства могат да бъдат комбинирани в две или дори едно). Сега на всеки компютър в рамките на Wi-Fi покритие, който има wifi адаптер, интернет ще работи;

4. Клиентска точка. В този режим точката за достъп действа като клиент и може да се свърже с точка за достъп, работеща в инфраструктурен режим. Но само един MAC адрес може да бъде свързан към него. Тук задачата е да свържете само два компютъра. Два Wi-Fi адаптера могат да работят директно един с друг без централни антени;

5. Мостова връзка. Компютрите са свързани към кабелна мрежа. Всяка група мрежи е свързана с точки за достъп, които се свързват помежду си чрез радиоканал. Този режим е предназначен да комбинира две или повече кабелни мрежи. Безжичните клиенти не могат да се свързват към точка за достъп, работеща в мостов режим.

По този начин бяха разгледани концепцията и класовете на безжичните мрежи и бяха идентифицирани причините за правилното използване на безжична връзка. Анализирана е регулаторната рамка по отношение на Wi-Fi мрежите. Безжичната мрежа беше описана чрез предоставяне на типология и тип връзки.

По време на работата на безжичните мрежи често възникват различни проблеми. Някои се дължат на чуждо недоглеждане, а други са резултат от злонамерени действия. Във всеки случай се причиняват щети. Тези събития са атаки, независимо от причините за възникването им.

Има четири основни категории атаки:

1. Атаки за достъп;

2. Модификационни атаки;

3. Атаки за отказ на услуга;

4. Атаки с отказ от отговорност.

Атаката за достъп е опит на атакуващ да получи информация, за която няма разрешение да види, и който има за цел да наруши поверителността на информацията.

За извършването на тази атака са необходими информация и средства за предаването й.

Атака с достъп е възможна навсякъде, където има информация и средства за нейното предаване.

Атаките за достъп могат също да включват шпиониране, подслушване и прихващане.

Подслушването е преглеждане на файлове или документи за търсене на информация, представляваща интерес за нападателя.

Подслушването е, когато някой слуша разговор, в който не е участник (често използвайки електронни устройства).

Прихващането е улавяне на информация по време на нейното предаване до местоназначението.

Информация в в електронен форматсъхранява се:

работни станции;

сървъри;

В преносими компютри;

компактдискове.

При компактдискове ситуацията е ясна, защото нападателят може просто да ги открадне. При първите две нещата са различни. С легален достъп до системата нападателят ще анализира файловете, като просто ги отваря един по един. В случай на неоторизиран достъп, нападателят ще се опита да заобиколи системата за контрол и да получи достъп до необходимата информация. Не е трудно да направите това. Трябва да инсталирате анализатор на мрежови пакети (снифер) на вашата компютърна система. За да направи това, нападателят трябва да увеличи авторитета си в системата или да се свърже с мрежата. Анализаторът е конфигуриран да улавя всяка информация, преминаваща през мрежата, но особено потребителски идентификатори и пароли.

Подслушването се извършва и в глобални компютърни мрежи като наети линии и телефонни връзки. Този тип прихващане обаче изисква подходящо оборудване и специални познания. В този случай най-подходящото място за поставяне на подслушвателното устройство е шкаф с електрическа инсталация.

А с помощта на специално оборудване квалифициран хакер може да прихване оптични комуникационни системи. Въпреки това, за да успее, той трябва да постави системата си в предавателните линии между подателя и получателя на информация. В Интернет това става чрез промяна на разделителната способност на името, което води до преобразуване на името на компютъра в неправилен адрес. Трафикът се пренасочва към системата на атакуващия вместо към действителния дестинационен възел. Ако такава система е конфигурирана по подходящ начин, подателят никога няма да разбере, че информацията му не е достигнала до получателя.

Атаката с модификация е опит за незаконна промяна на информация. То е насочено към нарушаване целостта на информацията и е възможно навсякъде, където информацията съществува или се предава.

Има три типа модификационни атаки:

1. Подмяна;

2. Добавяне;

3. Премахване.

Подмяна - подмяната на съществуваща информация е насочена както към класифицирана, така и към обществена информация.

Addition attack - добавяне на нови данни.

Атаката чрез изтриване означава преместване на съществуващи данни.

И трите типа модификационни атаки използват уязвимости на системата, например „пропуски“ в сигурността на сървъра, които позволяват подмяна начална страница. Дори тогава трябва да се извърши обширна работа в цялата система, за да се предотврати откриването. Тъй като транзакциите са номерирани последователно, изтриването или добавянето на неправилни номера на транзакциите ще бъдат отбелязани.

Ако по време на предаването на информация се извърши атака с модификация, тогава е необходимо първо да се прехване трафикът, който представлява интерес, и след това да се направят промени в информацията, преди да се изпрати до местоназначението.

Атаките с отказ на услуга (DoS) са атаки, които пречат на законен потребител да използва система, информация или компютърни възможности. С други думи, тази атака е „вандализъм“, т.е. нападател.

В резултат на DoS атака потребителят обикновено не получава достъп до компютърната система и не може да работи с информация.

DoS атака, насочена срещу информация, я унищожава, изкривява или премества на недостъпно място.

DoS атака, насочена към приложения, които обработват или показват информация, или към компютърна системав които се изпълняват тези приложения - правят невъзможно решаването на задачите, изпълнявани с помощта на такова приложение.

Често срещан тип DoS атака (отказ на достъп до система) има за цел да деактивира компютърните системи, в резултат на което самата система, инсталираните в нея приложения и цялата съхранена информация стават недостъпни.

Отказът на достъп до комуникации означава дезактивиране на комуникационни съоръжения, които отказват достъп до компютърни системи и информация.

DoS атаките, насочени директно към компютърна система, се изпълняват чрез експлойти, които се възползват от уязвимости операционна системаили мрежови протоколи.

С помощта на тези „дупки“ атакуващият изпраща определен набор от команди към приложението, които то не може да обработи правилно, в резултат на което приложението се срива. Рестартирането възстановява функционалността му, но по време на рестартирането работата с приложението става невъзможна.

Атаката с отказ от отговорност е насочена към способността за идентифициране на информация или неправилно представяне на действително събитие или транзакция.

ДА СЕ този видатаките включват:

Masquerade извършва действия под прикритието на друг потребител или друга система.

Отричането на събитие е отричане на факта на операция.

DoS атаките срещу интернет са атаки срещу главните сървъри за имена на интернет.

Можете да гарантирате сигурността на вашето устройство за безжичен достъп и съответно да минимизирате риска, свързан с този тип достъп, като използвате следните прости стъпки:

1. Променете администраторската парола на вашето безжично устройство. За хакера е лесно да разбере каква е паролата по подразбиране на производителя на устройството и да използва тази парола за достъп до безжичната мрежа. Избягвайте пароли, които са лесни за отгатване или отгатване;

2. Деактивирайте излъчването на мрежовия идентификатор (SSID излъчване, SSID - Service Set Identifier, мрежов идентификатор), така че безжичното устройство да не излъчва информация, че е включено;

3. Разрешете криптирането на трафика: най-добре е да използвате протокола WPA, ако устройството го поддържа (ако не, използвайте WEP криптиране);

4. Променете мрежовия идентификатор (SSID) на устройството. Ако оставите идентификатора по подразбиране на производителя на устройството, атакуващият може лесно да идентифицира безжичната мрежа, като научи този идентификатор. Не използвайте имена, които са лесни за отгатване.

В резултат на решаването на този проблем бяха идентифицирани и изследвани четири основни категории атаки и три вида атаки за модификация. Атаките за отказ на обслужване и отказ на задължение също бяха предмет на разглеждане. Въз основа на този анализ бяха разработени стъпки за гарантиране на сигурността на устройствата за безжичен достъп.

Така, за да обобщим, можем да кажем с увереност, че безжичните връзки вече са широко разпространени, главно поради възможността им да работят с интернет навсякъде в дома или офиса.

Въпреки това, ако не вземете мерки за гарантиране на сигурността на вашата безжична мрежа, нападател може да прихване данни, предавани през нея, да получи достъп до мрежата и файловете на вашия компютър, както и да влезе в интернет чрез връзката.

2. Преглед на средствата и методите за осигуряване на информационна сигурност на безжичните мрежи

2.1 Правила за безжична сигурност

Спецификата на безжичните мрежи означава, че данните могат да бъдат прихванати и променени по всяко време. Някои технологии изискват стандартен безжичен адаптер, докато други изискват специализирано оборудване. Но във всеки случай тези заплахи се изпълняват доста просто и за да се противодейства на тях, са необходими ефективни криптографски механизми за защита на данните.

При изграждането на система за сигурност е важно да се определи моделът на заплахата, т.е. да се реши на какво ще се противопостави самата защита. Всъщност има две заплахи в безжичните мрежи: неразрешено свързване и подслушване, но техният списък може да бъде разширен чрез подчертаване и обобщаване на следните основни заплахи, свързани с безжичните устройства, към тези, изброени в първата глава:

Неконтролирано използване и нарушаване на периметъра;

Неоторизирано свързване към устройства и мрежи;

Прихващане и модифициране на трафик;

Нарушение на наличността;

Позициониране на устройството.

Широкото разпространение на безжичните устройства и тяхната ниска цена водят до факта, че в периметъра мрежова сигурностПоявяват се пропуски. Тук говорим не само за нападатели, които са свързали PDA с Поддръжка на Wi-Fiкъм кабелната мрежа на компанията, но и за по-тривиални ситуации. Активен безжичен адаптерна лаптоп, свързан към корпоративната мрежа, точка за достъп, донесена от дома за тестване - всичко това може да стане удобни канали за проникване във вътрешната мрежа.

Недостатъчното удостоверяване и грешките в системата за контрол на достъпа позволяват неоторизирани връзки.

По своето естество безжичните мрежи не могат да осигурят висока наличност. Различни природни, техногенни и антропогенни фактори могат ефективно да нарушат нормално функциониранерадио канал. Този факт трябва да се вземе предвид при проектирането на мрежата и безжичните мрежи не трябва да се използват за организиране на канали с високи изисквания за достъпност.

Wi-Fi станциите могат лесно да бъдат открити с помощта на пасивни методи, което ви позволява да определите местоположението на безжично устройство с доста висока точност. Например, системата Navizon може да използва за определяне на местоположението мобилно устройство GPS система, базови станции GSM и безжични точки за достъп.

Политиката за сигурност на безжичните мрежи може да бъде представена или като отделен документ, или като част от други компоненти на регулаторната сигурност. В повечето случаи не се изисква отделен документ, тъй като разпоредбите на политиката за безжична мрежа до голяма степен се припокриват с традиционното съдържание на такива документи. Например, изискванията за физическа защита на точките за достъп са напълно припокрити с проблемите на физическата сигурност на активното мрежово оборудване. В тази връзка, под формата на отделен документ, пол безжична сигурностпредставен през периода на внедряване на WLAN, след което при следващата ревизия на документите той хармонично се слива с други.

Ако не се използват безжични мрежи, политиката за сигурност трябва да включва описание на защитните механизми, насочени към намаляване на рисковете, свързани с неоторизирано използване на радио мрежи.

Най-добрите световни практики в областта на управлението на информационната сигурност са описани в международния стандарт за системи за управление на информационната сигурност ISO/IEC 27001 (ISO 27001). ISO 27001 определя изискванията за система за управление на информационната сигурност, за да демонстрира способността на организацията да защитава своите информационни активи.

Стандартът е автентичен GOST RISO/IEC 27001-2006. Той установява изисквания за разработване, внедряване, експлоатация, наблюдение, анализ, поддръжка и подобряване на документирана система за управление на информационната сигурност, за прилагане на мерки за управление и контрол на информационната сигурност.

Основните предимства на стандарта ISO/IEC 27001:

Сертифицирането ви позволява да покажете на бизнес партньори, инвеститори и клиенти, че организацията е установена ефективно управлениеинформационна сигурност;

Стандартът е съвместим с ISO 9001:2000 и ISO 14001:2007;

Стандартът не поставя ограничения върху избора на софтуер и хардуер, не налага Технически изискваниявърху ИТ инструменти или инструменти за информационна сигурност и оставя на организацията пълна свобода на избор технически решенияпо защита на информацията.

Концепцията за информационна сигурност се тълкува от международния стандарт като гарантиране на поверителността, целостта и достъпността на информацията.

Базиран този стандартМогат да бъдат формулирани препоръки за намаляване на вероятността от нарушаване на политиката за безжична сигурност на организацията:

1. Обучение на потребители и администратори. ISO|IEC 27001 A.8.2.2. В резултат на обучението потребителите трябва да знаят и разбират ограниченията на политиката, а администраторите трябва да са квалифицирани да предотвратяват и откриват нарушения на политиката;

2. Контрол на мрежовите връзки. ISO|IEC 27001 A.11.4.3. Рискът, свързан със свързването на неупълномощена точка за достъп или безжичен клиент, може да бъде намален чрез деактивиране на неизползвани портове за превключване, филтриране на MAC адреси (защита на портове), 802.1X удостоверяване, системи за откриване на проникване и скенери за сигурност, които следят появата на нови мрежови обекти;

3. Физическа охрана. ISO|IEC 27001 A.9.1. Контролирането на устройствата, внесени в помещенията, ви позволява да ограничите вероятността безжичните устройства да се свързват към мрежата. Ограничаването на достъпа на потребителите и посетителите до мрежовите портове и слотовете за разширение на вашия компютър намалява вероятността за свързване на безжично устройство;

4. Минимизиране на потребителските привилегии. ISO|IEC 27001 A.11.2.2. Ако потребителят работи на компютър с минимални необходими права, тогава вероятността от неоторизирани промени в настройките на безжичните интерфейси се намалява;

5. Контрол на политиката за сигурност. ISO|IEC 27001 6, A.6.1.8. Инструментите за анализ на сигурността, като скенери за уязвимости, ви позволяват да откривате появата на нови устройства в мрежата и да определяте техния тип (функции за определяне на версиите на операционната система и мрежовите приложения), както и да наблюдавате отклоненията на клиентските настройки от даден профил. Техническото задание за одитна работа, извършвана от външни консултанти, трябва да отчита изискванията на политиката за безжичната мрежа;

6. Инвентаризация на ресурсите. ISO|IEC 27001 A.7.1.1. Наличие на актуален списък мрежови ресурсиулеснява откриването на нови мрежови обекти;

7. Откриване на атаки. ISO|IEC 27001 A.10.10.2. Използването на системи за откриване на атаки, както традиционни, така и безжични, дава възможност за незабавно откриване на опити за неоторизиран достъп;

8. Разследване на инциденти. ISO|IEC 27001 A.13.2. Инцидентите, включващи безжични мрежи, не се различават много от други подобни ситуации, но процедурите за тяхното разследване трябва да бъдат определени. За мрежи, в които се внедряват или използват безжични мрежи, може да са необходими допълнения към разделите на правилата;

9. Правна поддръжка. ISO|IEC 27001 A.15.1.1. Използването на безжични мрежи може да е предмет на руски и международни разпоредби. Така в Русия използването на честотния диапазон от 2,4 GHz се регулира от решение на SCRF от 6 ноември 2004 г. (04-03-04-003). Освен това, тъй като безжичните мрежи разчитат в голяма степен на криптиране и използването криптографски средствазащитата в редица случаи попада под доста строги законодателни ограничения, необходимо е да се проучи този въпрос;

10. Вътрешен и външен одит. ISO|IEC 27001 6, A.6.1.8. Когато се извършва оценка на сигурността, трябва да се вземат предвид изискванията на политиката за безжична мрежа. Възможният обхват на работа за оценка на сигурността на WLAN е описан по-подробно в последната глава на тази книга;

11. Разделяне на мрежата. ISO|IEC 27001 A.11.4.5. Поради спецификата на безжичните мрежи е препоръчително точките за безжичен достъп да се отделят в отделен мрежов сегмент с помощта на защитна стена, особено когато става въпрос за достъп за гости;

12. Използване на криптографски мерки за сигурност. ISO|IEC 27001 A.12.3. Трябва да се определят протоколите и алгоритмите за криптиране на трафика, използвани в безжичната мрежа (WPA или 802.11i). При използване на технологията 802.1X се определят изискванията към протоколите за цифров подпис и дължината на подписващия ключ на сертификатите, използвани за целите;

13. Удостоверяване. ISO|IEC 27001 A.11.4.2. Трябва да се определят изискванията за съхраняване на данните за удостоверяване, тяхната промяна, сложност и сигурност при предаване по мрежата. Използваните EAP методи, методите за защита на публичния ключ на RADIUS сървъра могат да бъдат изрично дефинирани;

14. Контрол на промените в информационна система. ISO|IEC 27001 A.12.5.1. Безжичните технологии трябва да се вземат предвид в IP;

15. Приемливост на използване на софтуер и хардуер. ISO|IEC 27001 A.12.4.1 Този раздел обхваща изискванията за точки за достъп, безжични комутатори и безжични клиенти;

16. Откриване на атаки. ISO|IEC 27001 A.10.10.2. Трябва да се дефинират изисквания към безжичните системи за откриване на атаки и да се определи отговорността за анализ на събитията;

17. Регистриране и анализ на събития по сигурността. ISO|IEC 27001 A.10.10.1. Този раздел може да бъде разширен чрез добавяне на специфични за безжичната мрежа събития към списъка с наблюдавани събития. Може да включва предишния раздел;

18. Отдалечен достъп до мрежата. ISO|IEC 27001 A.11.7.2. В повечето случаи потребителите на безжична мрежа логично се класифицират като потребители на системи за отдалечен достъп. Това се дължи на подобни заплахи и, като следствие, контрамерки, характерни за тези компоненти на ИС. Освен това, след завършване на всички етапи, трябва да се генерират следните документи под една или друга форма:

Инструкции за потребителите относно използването на безжична мрежа;

Основни настройки на точки за достъп, безжични комутатори, работни станции;

Процедури за наблюдение на сигурността на безжичните мрежи;

Профили на системи за откриване на атаки;

Процедури за реакция при безжични инциденти.

Така беше анализиран стандартът ISO/IEC 27001. Въз основа на този стандарт бяха формулирани препоръки за намаляване на вероятността от нарушаване на политиката за безжична сигурност на организацията. Има и списък с документи, които трябва да бъдат генерирани след завършване на всички етапи от политиката за сигурност на безжичната мрежа.

Правилно изградената и наложена политика за сигурност е надеждна основа за защитена безжична мрежа. В резултат на това си струва да му се обърне достатъчно внимание, както на етапа на изграждане на мрежата, така и по време на нейната експлоатация, отразявайки промените, настъпващи в мрежата, в регулаторни документи.

2.2 Решения за безжична сигурност

Важен елемент на сигурността за всяка мрежа, не само за безжичната, е управлението на достъпа и поверителността. Един от надеждните начини за контролиране на достъпа до WLAN е удостоверяването, което ви позволява да предотвратите достъпа на неоторизирани потребители до комуникации с данни през точки за достъп. Ефективните контроли за достъп до WLAN помагат да се определи кои клиентски станции са разрешени и да ги асоциират само с доверени точки за достъп, изключвайки неоторизирани или опасни точки за достъп.

Поверителността на WLAN означава, че предаваните данни ще бъдат правилно декриптирани само от страната, за която са предназначени. Състоянието на поверителност на данните, предавани през WLAN, се счита за защитено, ако данните са криптирани с ключ, който може да се използва само от получателя на данните, за когото са предназначени. Криптирането означава, че целостта на данните не е компрометирана през целия процес на предаване - изпращане и получаване.

Днес компаниите, използващи WLAN мрежи, прилагат четири отделни решения за WLAN сигурност и управление на достъпа и поверителността:

Свободен достъп;

Основна сигурност;

Повишена сигурност;

Сигурност на отдалечен достъп.

Както при всяко внедряване на защита, разумно е да се извърши оценка на мрежовия риск, преди да се избере и приложи някое от решенията за сигурност на WLAN:

1. Отворен достъп. Всички безжични LAN продукти, сертифицирани за Wi-Fi спецификациите, се доставят за работа в обществен режим с деактивирани функции за сигурност. Отвореният достъп или липсата на сигурност може да отговарят на нуждите на обществени горещи точки като кафенета, университетски кампуси, летища или други обществени места, но това не е опция за бизнеса. Функциите за сигурност трябва да бъдат активирани на безжичните устройства по време на инсталацията. Някои компании обаче не включват функции за сигурност на WLAN, като по този начин сериозно повишават нивото на риск за техните мрежи;

2. Основна сигурност: SSID, WEP и удостоверяване на MAC адрес. Основната сигурност се състои в използването на идентификатори SSID на мрежата(Service Set Identifier), отворено или споделено удостоверяване на ключ, статични WEP ключове и по избор удостоверяване на MAC адрес. Тази комбинация може да се използва за настройка на основни контроли за достъп и поверителност, но всеки отделен елементтакава защита може да бъде хакната. SSID е общо име на мрежа за устройства в WLAN подсистемата и служи за логическо разделяне на тази подсистема. SSID предотвратява достъп от всяко клиентско устройство, което няма SSID. По подразбиране обаче точката за достъп излъчва своя SSID сред своите сигнали. Дори ако деактивирате излъчването на SSID, нападател или хакер може да открие желания SSID, използвайки така нареченото „надушване“ или „надушване“ - незабележимо наблюдение на мрежата. Стандартът 802.11, група от спецификации за WLAN мрежи, разработени от IEEE, поддържа два начина за удостоверяване на клиента: отворено удостоверяване и удостоверяване със споделен ключ. Отвореното удостоверяване е малко по-различно от предоставянето на правилния SSID. При удостоверяване със споделен ключ точката за достъп изпраща тестов текстов пакет до клиентското устройство, който клиентът трябва да шифрова с правилния WEP ключ и да се върне към точката за достъп. Без правилния ключ удостоверяването ще бъде неуспешно и клиентът няма да бъде допуснат в потребителската група на точката за достъп. Удостоверяването със споделен ключ не се счита за сигурно, тъй като нападател, получил първоначалното тестово текстово съобщение и същото съобщение, шифровано с WEP ключ, може да дешифрира самия WEP ключ. При отворено удостоверяване, дори ако клиентът е удостоверен и получи достъп до потребителската група на точката за достъп, използването на WEP защита не позволява на клиента да предава данни от тази точка за достъп без правилния WEP ключ. WEP ключовете могат да бъдат с дължина 40 или 128 бита и обикновено се определят статично от мрежовия администратор в точката за достъп и всеки клиент, предаващ данни през тази точка за достъп. Когато използвате статични WEP ключове мрежов администратортрябва да отделят много време за въвеждане на едни и същи ключове във всяко устройство в WLAN. Ако устройство, използващо статични WEP ключове, бъде изгубено или откраднато, собственикът на липсващото устройство може да получи достъп до WLAN. Администраторът няма да може да определи, че неоторизиран потребител е влязъл в мрежата, докато загубата не бъде докладвана. След това администраторът трябва да промени WEP ключа на всяко устройство, което използва същия статичен WEP ключ като липсващото устройство. В голяма корпоративна мрежа със стотици или дори хиляди потребители това може да бъде трудно. За да влошат нещата, ако статичният WEP ключ е дешифриран с помощта на инструмент като AirSnort, няма начин администраторът да разбере, че ключът е бил компрометиран от неупълномощен потребител. Някои доставчици на WLAN решения поддържат удостоверяване въз основа на физическия адрес или MAC адреса на клиентската мрежова карта (NIC). Точката за достъп ще позволи на клиент да се асоциира с точката за достъп само ако MAC адресът на клиента съвпада с един от адресите в таблицата за удостоверяване, използвана от точката за достъп. Удостоверяването на MAC адрес обаче не е адекватна мярка за сигурност, тъй като MAC адресът може да бъде подправен и мрежова карта- изгубен или откраднат;

3. Основна защита с помощта на WPA или WPA2 Друга форма на основна защита, налична днес, е WPA или WPA2 с помощта на предварително споделен ключ (PSK). Споделеният ключ удостоверява потребителите с помощта на парола или идентификационен код (наричан още парола) както на клиентската станция, така и на точката за достъп. Клиентът има достъп до мрежата само ако паролата на клиента съвпада с паролата на точката за достъп. Споделеният ключ също така предоставя данните за генериране на ключа за шифроване, който се използва от алгоритмите TKIP или AES за всеки предаван пакет данни. Въпреки че е по-сигурен от статичен WEP ключ, споделеният ключ е подобен на статичен WEP ключ по това, че се съхранява на клиентската станция и може да бъде компрометиран, ако клиентската станция бъде изгубена или открадната. Препоръчително е да използвате силна обща парола, която включва различни букви, цифри и небуквено-цифрови знаци;

4. Основно резюме на сигурността. Основната WLAN защита, базирана на комбинация от SSID, отворено удостоверяване, статични WEP ключове, MAC удостоверяване и WPA/WPA2 споделени ключове, е достатъчна само за много малки компании или такива, които не вярват на жизненоважни данни на техните WLAN мрежи. Всички останали организации се насърчават да инвестират в надеждни WLAN решения за сигурност от корпоративен клас;

5. Повишена сигурност. Подобреното ниво на сигурност се препоръчва за онези клиенти, които се нуждаят от сигурност и сигурност от корпоративен клас. Това изисква разширена сигурност, която напълно поддържа WPA и WPA2 с градивните елементи на 802.1X двупосочна автентификация и TKIP и AESB криптиране, включително следните възможности:

802.1X за мощно двупосочно удостоверяване и динамични криптиращи ключове за потребител и за сесия;

TKIP за разширяване на RC4-базирано криптиране, като кеширане на ключове (на пакет), проверка на целостта на съобщението (MIC), промени на вектора за инициализация (IV) и ротация на излъчвания ключ;

AES за криптиране на данни на ниво държава, максимална сигурност;

Възможности на системата за предотвратяване на проникване (IPS) и проследяване на движението на абонатите - прозрачен изглед на мрежата в реално време.

6. Безжична LAN сигурност и отдалечен достъп. В някои случаи може да се изисква цялостна защита за защита на приложенията. Използване на защитен отдалечен достъп, администраторите могат да настроят виртуална частна мрежа (VPN) и да позволят на мобилните потребители да комуникират с корпоративната мрежа от обществени горещи точки като летища, хотели и конферентни зали. Когато се внедри в предприятие, усъвършенстваното решение за сигурност покрива всички изисквания за сигурност на WLAN, което прави използването на VPN в корпоративна WLAN ненужно. Използването на VPN във вътрешна WLAN може да повлияе на производителността на WLAN, да ограничи възможностите за роуминг и да затрудни влизането на потребителите в мрежата. По този начин допълнителните разходи и ограниченията, свързани с наслагването на VPN мрежа върху вътрешна WLAN мрежа, не изглеждат необходими.

В резултат на това можем да стигнем до извода, че за да се гарантира информационната сигурност на всяка мрежа, не само безжичната, е важно висококачественият достъп и управлението на поверителността. За да се постигне това, в момента активно се внедряват четири отделни решения: свободен достъп, основна сигурност, повишена сигурност,сигурност на отдалечен достъп.

Ако мрежовата сигурност е правилно изградена и всички изисквания са спазени, мрежовата сигурност ще бъде на високо ниво, което значително ще усложни достъпа на атакуващите до безжичната мрежа.

3. Оценете необходимостта и ефективността на решение за сигурност на безжичната мрежа

3.1 Оценка на необходимостта от сигурност на безжичната мрежа

Въпреки факта, че повечето компании вече са разположили една или друга безжична мрежа, специалистите обикновено имат много въпроси относно сигурността на избраните решения, а ръководителите на компании, които избягват внедряването на безжични технологии, се тревожат за пропуснатите възможности за увеличаване на производителността и намаляване на разходите за инфраструктура.

Много организационни лидери разбират, че безжичните технологии могат да подобрят производителността и сътрудничеството, но се колебаят да ги внедрят от страх от уязвимости, които могат да възникнат в корпоративната мрежа поради използването на безжични мрежи. Разнообразието от предложени методи за защита на безжичните комуникации и противоречията относно тяхната ефективност само засилват тези съмнения.

Има много предизвикателства, свързани с внедряването на безжична технология в средно голяма компания, които ви карат да се чудите не само за безжичната сигурност, но и дали тя изобщо е необходима.

Често срещани проблеми, които могат да бъдат преодолени чрез правилно прилагане на политиката за сигурност, разгледана в Глава 2:

Вземане на решение дали да се разположи безжична мрежа;

Разбиране и намаляване на риска, свързан с въвеждането на безжични технологии;

Дефиниране на подход за защита на безжична мрежа;

Избор на оптимални технологии за сигурност на безжичната мрежа;

Проверка на нивото на сигурност на разгърнатата безжична мрежа;

Интегриране на съществуващи активи в решение за сигурност на безжична мрежа;

Откриване и предотвратяване на неоторизирани безжични мрежови връзки.

Предимствата на безжичната връзка мрежови технологии, могат да бъдат разделени на две категории: функционални и икономически.

Функционалните ползи включват намалени разходи за управление и намалени капиталови разходи, докато икономическите ползи включват повишена производителност, повишена ефективност на бизнес процесите и появата на допълнителни функцииза създаване на нови бизнес функции.

Повечето от основните икономически ползи, свързани с безжичните мрежи, са резултат от повишената гъвкавост и мобилност на служителите. Безжичната технология премахва ограниченията, които държат служителите на бюрата им, позволявайки им да се движат относително свободно из офиса или офис сградата.

Но въпреки всички предимства, има и недостатъци, главно технологични, които се изразяват в уязвимостта на безжичната мрежа чрез различни атаки от нарушители (раздел 1.2 от тази работа беше посветен на това).

Веднага след като бяха открити такива технологични недостатъци на безжичните мрежи от първо поколение, започна активна работа за тяхното отстраняване. Докато някои компании работеха за подобряване на безжичните стандарти, много анализаторски фирми, доставчици на мрежова сигурност и т.н. се опитваха да заобиколят недостатъците, присъщи на предишните стандарти.

В резултат на това са разработени няколко подхода за защита на безжичните мрежи.

Има много фактори, които трябва да се вземат предвид при оценката възможни начинизащита на безжичната мрежа. Когато правите тази оценка, трябва да вземете предвид различни показатели: от разходите за внедряване и администриране на решението до цялостната му сигурност. Всички горепосочени подходи имат своите предимства и недостатъци, така че трябва да се запознаете по-добре с всеки от тях, за да можете да вземете информирано решение.

Най-новите стандарти за безжична сигурност, а именно WPA и WPA2, премахнаха сериозните недостатъци на стандарта WEP и по този начин направиха ненужни начинизаобиколни решения за тези недостатъци, като например използване на IPsec или VPN технология. Използвайте статичен или динамичен WEP алгоритъмсега не се препоръчва под каквато и да е форма и пропускането на защитата е от полза само в няколко ситуации. По този начин, когато се разработва цялостно, ефективно решение за защита на безжична мрежа, е достатъчно да се разгледат само два подхода.

Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access 2 (WPA2) са специално проектирани да блокират заплахи за безжични мрежи въз основа на стандарта IEEE 802.11. Между тях обаче има някои разлики.

Протоколът WPA е разработен през 2003 г., за да се справят с недостатъците на стандарта WEP. Разработчиците на WPA свършиха добра работа с осигуряването на поддръжка за взаимно удостоверяване, TKIP криптиране на данни и проверки на целостта на подписаните съобщения, за да се предпазят от фалшифициране на пакети или атаки за повторно възпроизвеждане.

Протоколът WPA2 предоставя още повече високо нивосигурност, тъй като използва AES, а не TKIP за защита на мрежовия трафик. Следователно винаги трябва да се предпочита пред WPA.

Протоколите WPA и WPA2 значително превъзхождат WEP по отношение на сигурността и правилна настройкаНяма известни уязвимости в сигурността нито в първия, нито във втория. Въпреки това WPA2 се счита за по-сигурен от WPA и ако инфраструктурата го поддържа и допълнителните разходи, свързани с администрирането на WPA2 решение, са приемливи, това трябва да е изборът.

Повечето точки за достъп, произведени днес най-новите версииОС е сертифицирана в съответствие с изискванията на протокола WPA2. Ако някои точки за достъп или клиентски компютри във вашата среда не поддържат WPA2, безжичните устройства и клиентските системи, които поддържат WPA2, могат да използват по-стария WPA стандарт.

Не трябва да забравяме и такава възможност за развитие на компанията като отказ от разполагане на безжична мрежа. Има поговорка сред професионалистите по сигурността, която гласи: „Най-добре защитената система е тази, която никой никога не включва“. По този начин най-надеждният начин за защита срещу уязвимостите, присъщи на безжичните мрежи или други технологии, е да не ги прилагате. Недостатъкът на този подход е очевиден: компания, която отказва да внедри каквато и да е технология, може да се окаже неконкурентоспособна в съвременните икономически условия, когато всяко предимство, включително технологично, може да бъде решаващ фактор за успех.

Както вече беше обсъдено, преди да се внедри каквато и да е нова технология в дадена компания, трябва да се оценят нуждите на компанията, нейната толерантност към риск и действителният риск. Безжичните технологии не са изключение. Безжичните мрежи имат редица предимства, но за дадена организация тези предимства може да не са толкова важни или изобщо важни.

Когато избирате сигурно безжично решение, трябва да вземете предвид всичко възможни варианти, включително изоставянето на безжичните технологии. Ако се установи, че дадена организация не е готова да разгърне безжична мрежа, това решение трябва да бъде отразено в съществуващите корпоративни политики, за да се предотврати отслабването на сигурността на корпоративната мрежова среда от страна на крайните потребители поради неоторизирано създаване на безжични мрежи.

3.2 Разработване на алгоритъм за извършване на работа за оценка на ефективността на защитата на безжичната мрежа

За да се определи предимството на даден метод за защита на безжична мрежа, е препоръчително да се оцени нейната сигурност.

Това е особено важно поради факта, че безжичните мрежи често се използват за управление на компанията. Съответно нападателят, който получи достъп до безжичния сегмент, има възможност не само да използва ресурсите на компанията за свои собствени цели, но и да получи достъп до конфиденциална информацияи блокиране на потребители с висок приоритет.

Подобни документи

Безжична технологиятрансфер на информация. Развитие на безжични локални мрежи. WEP стандарт за сигурност. Процедура за WEP криптиране. Хакване на безжична мрежа. Режим на скрит мрежов идентификатор. Видове и протоколи за удостоверяване. Хакване на безжична мрежа.

резюме, добавено на 17.12.2010 г


Разработване на технология за информационна сигурност за безжични мрежи, която може да се използва за повишаване на защитата на компютъра на потребителя, корпоративните мрежи и малките офиси. Анализ на заплахи и сигурност на безжична мрежа. Настройка на програмата WPA.

дисертация, добавена на 19.06.2014 г


Характеристики на стандарта IEEE 802.11. Основните области на приложение на безжичните компютърни мрежи. Методи за изграждане на съвременни безжични мрежи. Основни зони на обслужване на BSS. Видове и разновидности на връзките. Преглед на механизмите за достъп до медиите.

резюме, добавено на 12/01/2011


Еволюцията на системите за мрежова сигурност. Защитните стени като един от основните начини за защита на мрежите, внедряването на механизми за контрол на достъпа от външна мрежа към вътрешна чрез филтриране на целия входящ и изходящ трафик. Управление на мрежовата сигурност.

курсова работа, добавена на 07.12.2012 г


Класификация мрежови атакипо ниво на OSI модел, по тип, по местоположение на нападателя и атакувания обект. Проблем със сигурността на IP мрежата. Заплахи и уязвимости на безжичните мрежи. Класификация на системите за откриване на IDS атаки. XSpider концепция.

курсова работа, добавена на 11/04/2014


Определяне по време на изследване ефективен начинзащита на информацията, предавана чрез Wi-Fi мрежи. Принципи Wi-Fi работимрежи. Методи за неоторизиран достъп до мрежата. Алгоритми за сигурност на безжична мрежа. Нефиксиран характер на връзката.

курсова работа, добавена на 18.04.2014 г


Периоди на развитие и основни стандарти на съвременните безжични мрежи. История на появата и обхвата на технологията Bluetooth. Технология и принцип на работа на технологията за безжично предаване на данни Wi-Fi. WiMAX е стандарт за градска безжична мрежа.

презентация, добавена на 22.01.2014 г


Избор и обосновка на технологии за изграждане на локални компютърни мрежи. Анализ на средата за предаване на данни. Изчисляване на производителността на мрежата, планиране на помещения. Избор на мрежов софтуер. Видове стандарти за безжичен интернет достъп.

курсова работа, добавена на 22.12.2010 г


Използване на компютърни мрежи за предаване на данни. Основните предимства на използването на корпоративни мрежи, защитени от външен достъп физически или с помощта на хардуер и софтуер мрежова защита. Защитна стена и алгоритми за криптиране.

дисертация, добавена на 25.09.2014 г


Необходимостта от разработване на политика за сигурност за използването на мрежови ресурси за предприятието. Анализ на основните му елементи. Хардуер и софтуерсигурност на компютърната мрежа. Начини за повишаване на нивото на сигурност, съвети към потребителите.