Vezeték nélküli hálózat biztonsága. Vezeték nélküli biztonsági problémák

Ez a cikk a vezeték nélküli WiFi hálózatok használatakor fennálló biztonság kérdésével foglalkozik.

Bevezetés – WiFi biztonsági rések

A fő ok, amiért a felhasználói adatok sebezhetőek, amikor ezeket az adatokat WiFi hálózaton keresztül továbbítják, az az, hogy az adatcsere rádióhullámokon keresztül történik. Ez pedig lehetővé teszi az üzenetek lehallgatását minden olyan helyen, ahol fizikailag elérhető a WiFi jel. Egyszerűen fogalmazva, ha egy hozzáférési pont jele 50 méter távolságból észlelhető, akkor ennek az összes hálózati forgalmának elfogása WiFi hálózatok a hozzáférési pont 50 méteres körzetében lehetséges. A szomszéd szobában, az épület másik emeletén, az utcán.

Képzeld el ezt a képet. Az irodában a helyi hálózat WiFi-n keresztül épül ki. Az iroda hozzáférési pontjáról érkező jelet az épületen kívül veszik fel, például egy parkolóban. Az épületen kívüli támadó hozzáférhet az irodai hálózathoz, vagyis a hálózat tulajdonosai észrevétlenül. A WiFi hálózatok könnyen és diszkréten elérhetők. Technikailag sokkal könnyebb, mint a vezetékes hálózatok.

Igen. A mai napig a WiFi hálózatok védelmét szolgáló eszközöket fejlesztettek ki és vezettek be. Ez a védelem a hozzáférési pont és a hozzá csatlakozó végeszköz közötti összes forgalom titkosításán alapul. Vagyis a támadó elfoghat egy rádiójelet, de számára ez csak digitális „szemét” lesz.

Hogyan működik a WiFi védelem?

A hozzáférési pont csak azt az eszközt tartalmazza a WiFi hálózatában, amelyik a megfelelő jelszót küldi (ezt a hozzáférési pont beállításai között kell megadni). Ebben az esetben a jelszót is titkosítva küldjük el, hash formájában. A hash visszafordíthatatlan titkosítás eredménye. Vagyis a kivonatolt adatokat nem lehet visszafejteni. Ha egy támadó elfogja a jelszókivonatot, nem tudja megszerezni a jelszót.

De honnan tudja a hozzáférési pont, hogy a jelszó helyes-e vagy sem? Mi van, ha ő is kap egy hash-t, de nem tudja visszafejteni? Ez egyszerű - a hozzáférési pont beállításaiban a jelszó tiszta formában van megadva. Az engedélyező program vesz egy üres jelszót, létrehoz belőle egy hash-t, majd ezt összehasonlítja az ügyféltől kapott jelszóval. Ha a hash-ek egyeznek, akkor az ügyfél jelszava helyes. A hashek második jellemzője itt használatos – egyediek. Ugyanaz a hash nem szerezhető be két különböző adathalmazból (jelszóból). Ha két hash egyezik, akkor mindkettő ugyanabból az adathalmazból jött létre.

Apropó. Ennek a funkciónak köszönhetően a hash-eket az adatok integritásának ellenőrzésére használják. Ha két (egy bizonyos időtartam alatt létrehozott) hash egyezik, akkor az eredeti adatok (ebben az időszakban) nem változtak.

Azonban annak ellenére, hogy a legtöbb modern módszer A WiFi hálózatvédelem (WPA2) megbízható, ez a hálózat feltörhető. Hogyan?

A WPA2 által védett hálózathoz kétféleképpen lehet hozzáférni:

1. Jelszó kiválasztása jelszóadatbázis segítségével (ún. szótári keresés).
2. A WPS funkció biztonsági résének kihasználása.

Az első esetben a támadó elfogja a hozzáférési pont jelszókivonatát. A hash-eket ezután összehasonlítják egy több ezer vagy millió szóból álló adatbázissal. Kiveszünk egy szót a szótárból, egy hash-t generálunk ehhez a szóhoz, majd ezt a hash-t összehasonlítjuk az elfogott hash-sel. Ha primitív jelszót használnak egy hozzáférési ponton, akkor a hozzáférési pont jelszavának feltörése idő kérdése. Például egy 8 számjegyű jelszó (8 karakter hosszú a minimális jelszóhossz a WPA2 esetén) egymillió kombinációból áll. Egy modern számítógépen néhány nap vagy akár óra alatt egymillió értéket válogathat össze.

A második esetben a WPS funkció első verzióiban található biztonsági rést használják ki. Ezzel a funkcióval jelszóval nem rendelkező eszközt (például nyomtatót) csatlakoztathat a hozzáférési ponthoz. Ennek a funkciónak a használatakor a készülék és a hozzáférési pont digitális kódot cserél, és ha az eszköz helyes kódot küld, a hozzáférési pont engedélyezi a klienst. Ebben a funkcióban volt egy sebezhetőség - a kód 8 számjegyű volt, de ezek közül csak négyet ellenőriztek egyediség szempontjából! Vagyis a WPS feltöréséhez meg kell keresnie az összes olyan értéket, amely 4 számjegyet ad. Ennek eredményeként egy hozzáférési pont feltörése WPS-en keresztül néhány óra alatt elvégezhető bármely leggyengébb eszközön.

A WiFi hálózat biztonságának beállítása

A WiFi hálózat biztonságát a hozzáférési pont beállításai határozzák meg. Ezen beállítások közül több közvetlenül befolyásolja a hálózat biztonságát.

WiFi hálózati hozzáférési mód

A hozzáférési pont két üzemmód egyikében működhet - nyitott vagy védett. Nyílt hozzáférés esetén bármely eszköz csatlakozhat a hozzáférési ponthoz. Védett hozzáférés esetén csak az a készülék csatlakozik, amelyik a helyes hozzáférési jelszót továbbítja.

A WiFi hálózat védelmének három típusa (szabványa) létezik:

• WEP (Wired Equivalent Privacy). A védelem legelső szabványa. Ma már valójában nem nyújt védelmet, mivel a védelmi mechanizmusok gyengesége miatt nagyon könnyen feltörhető.
• WPA (Wi-Fi védett hozzáférés). Kronológiailag a második védelmi szabvány. Létrehozásakor és üzembe helyezésekor hatékony védelmet nyújtott a WiFi hálózatoknak. A 2000-es évek végén azonban lehetőség nyílt a WPA-védelem feltörésére a biztonsági mechanizmusok sebezhetőségein keresztül.
• WPA2 (Wi-Fi védett hozzáférés). A legújabb védelmi szabvány. Megbízható védelmet nyújt bizonyos szabályok betartása esetén. A WPA2 biztonság feltörésének eddig csak két módja ismert. A szótári jelszó brute force és a megoldás a WPS szolgáltatás használatával.

Ezért a WiFi hálózat biztonságának biztosítása érdekében ki kell választania a WPA2 biztonsági típust. Azonban nem minden klienseszköz támogatja ezt. Például a Windows XP SP2 csak a WPA-t támogatja.

A WPA2 szabvány kiválasztásán kívül további feltételek szükségesek:

Használjon AES titkosítási módszert.

A WiFi hálózat eléréséhez szükséges jelszót a következőképpen kell összeállítani:

1. Használat betűk és számok a jelszóban. Betűk és számok véletlenszerű halmaza. Vagy egy nagyon ritka szó vagy kifejezés, amely csak számodra értelmes.
2. Nem használat egyszerű jelszavak például név + születési dátum, vagy valamilyen szó + néhány szám lena1991 vagy dom12345.
3. Ha csak használnia kell digitális jelszó, akkor a hossza legalább 10 karakter legyen. Mivel a nyolc karakterből álló digitális jelszót brute force módszerrel választják ki valós időben (több órától több napig is, a számítógép teljesítményétől függően).

Ha ezeknek a szabályoknak megfelelően összetett jelszavakat használ, akkor a WiFi hálózatot nem lehet feltörni úgy, hogy egy szótár segítségével kitalálja a jelszót. Például egy jelszóhoz, mint pl 5Fb9pE2a(véletlen alfanumerikus), maximum lehetséges 218340105584896 kombinációk. Ma már szinte lehetetlen kiválasztani. Még ha egy számítógép másodpercenként 1 000 000 (millió) szót hasonlítana össze, majdnem 7 évbe telne az összes érték iterációja.

WPS (Wi-Fi Protected Setup)

Ha a hozzáférési pont rendelkezik WPS (Wi-Fi Protected Setup) funkcióval, akkor azt le kell tiltani. Ha ez a funkció szükséges, gondoskodnia kell arról, hogy a verziója frissítve legyen a következő képességekkel:

1. Mind a 8 PIN kód karakter használata 4 helyett, ahogy az elején volt.
2. Engedélyezze a késleltetést, miután többször is megpróbálta elküldeni a hibás PIN-kódot az ügyféltől.

Egy további lehetőség a WPS biztonságának javítására az alfanumerikus PIN-kód használata.

Nyilvános WiFi biztonság

Manapság divatos az internet használata WiFi hálózaton keresztül nyilvános helyeken - kávézókban, éttermekben, bevásárlóközpontokban stb. Fontos megérteni, hogy az ilyen hálózatok használata az Ön személyes adatainak ellopásához vezethet. Ha egy ilyen hálózaton keresztül éri el az internetet, majd bejelentkezik egy webhelyre, akkor az Ön adatait (felhasználónév és jelszó) elkaphatja egy másik személy, aki ugyanahhoz a WiFi hálózathoz kapcsolódik. Végül is minden olyan eszközön, amely átment az engedélyezésen és csatlakozik a hozzáférési ponthoz, elfoghatja a hálózati forgalmat a hálózaton lévő összes többi eszközről. A nyilvános WiFi hálózatok sajátossága pedig az, hogy bárki csatlakozhat hozzájuk, beleértve a támadót is, és nem csak nyílt hálózat, hanem védettnek is.

Mit tehet adatai védelmében, amikor nyilvános WiFi hálózaton keresztül csatlakozik az internethez? Csak egy lehetőség van - a HTTPS protokoll használata. Ez a protokoll titkosított kapcsolatot hoz létre az ügyfél (böngésző) és a webhely között. De nem minden webhely támogatja a HTTPS protokollt. A HTTPS protokollt támogató webhelyek címei https:// előtaggal kezdődnek. Ha egy webhely címei http:// előtaggal rendelkeznek, ez azt jelenti, hogy a webhely nem támogatja a HTTPS-t, vagy nem használja azt.

Egyes webhelyek alapértelmezés szerint nem használnak HTTPS-t, de rendelkeznek ezzel a protokollal, és akkor használhatók, ha kifejezetten (manuálisan) megadja a https:// előtagot.

Ami az internet használatának egyéb eseteit illeti - chat, Skype stb., ezeknek az adatoknak a védelmére ingyenes vagy fizetős VPN-kiszolgálókat használhat. Vagyis először csatlakozzon a VPN-kiszolgálóhoz, és csak ezután használja a csevegést vagy a webhely megnyitását.

WiFi jelszavas védelem

A cikk második és harmadik részében arról írtam, hogy a WPA2 biztonsági szabvány használatakor a WiFi hálózat feltörésének egyik módja a jelszó kitalálása egy szótár segítségével. De van egy másik lehetőség arra, hogy a támadó megszerezze a WiFi hálózat jelszavát. Ha jelszavát a monitorra ragasztott cetliken tárolja, ez lehetővé teszi, hogy egy idegen is meglássa ezt a jelszót. A jelszava pedig ellopható a WiFi hálózathoz csatlakoztatott számítógépről. Ezt külső személy is megteheti, ha a számítógépe nincs védve a kívülállók hozzáférésétől. Ezt a segítségével lehet megtenni rosszindulatú. Ezenkívül a jelszót el lehet lopni az irodán kívülre (ház, lakás) - okostelefonról, táblagépről - elvitt eszközről.

Ezért, ha megbízható védelemre van szüksége WiFi hálózata számára, lépéseket kell tennie jelszava biztonságos tárolása érdekében. Védje az illetéktelen személyek hozzáférésétől.

Ha hasznosnak találta ezt a cikket, vagy egyszerűen tetszett, ne habozzon anyagilag támogassa a szerzőt. Ez könnyen megtehető, ha pénzt kidobunk Yandex pénztárca: 410011416229354. Vagy telefonon +7 918-16-26-331 .

Már egy kis összeg is segíthet új cikkek megírásában :)

Jelenleg a legtöbb cég és vállalkozás egyre nagyobb figyelmet fordít a Wi-Fi hálózatok közvetlen használatára. Ennek oka az egyes irodák összekapcsolásának kényelme, mobilitása és viszonylagos olcsósága, valamint a berendezés hatókörén belüli mozgathatósága. A Wi-Fi hálózatok összetett algoritmikus matematikai modelleket használnak a hitelesítéshez, az adattitkosításhoz és az átvitelük integritásának ellenőrzéséhez - ami lehetővé teszi, hogy viszonylag nyugodt legyen az adatok biztonságát illetően e technológia használatakor.

Vezeték nélküli hálózat biztonsági elemzése.

Jelenleg a legtöbb cég és vállalkozás egyre nagyobb figyelmet fordít a Wi-Fi hálózatok közvetlen használatára. Ennek oka az egyes irodák összekapcsolásának kényelme, mobilitása és viszonylagos olcsósága, valamint a berendezés hatókörén belüli mozgathatósága. A Wi-Fi hálózatok összetett algoritmikus matematikai modelleket használnak a hitelesítéshez, az adattitkosításhoz és az átvitelük integritásának ellenőrzéséhez - ami lehetővé teszi, hogy viszonylag nyugodt legyen az adatok biztonságát illetően e technológia használatakor.

Ez a biztonság azonban relatív, ha nem fordít kellő figyelmet a biztonság beállítására vezetékes hálózat. Ezen a ponton már létezik egy lista azokról a „standard” szolgáltatásokról, amelyeket a hackerek megszerezhetnek, ha hanyagul állítják be. vezetéknélküli hálózat:

Hozzáférés a helyi hálózati erőforrásokhoz;

Forgalom lehallgatása, ellopása (értsd: internetes forgalom közvetlenül);

A hálózaton áthaladó információ torzulása;

Hamis hozzáférési pont bemutatása;

Egy kis elmélet.

1997 – megjelent az első IEEE 802.11 szabvány. Hálózati hozzáférés-védelmi lehetőségek:

1. Egy egyszerű SSID (Server Set ID) jelszót használtunk a helyi hálózat eléréséhez. Ez az opció nem biztosítja a szükséges védelmi szintet, különösen a technológia jelenlegi szintjén.

2. WEP (Wired Equivalent Privacy) használata – azaz digitális kulcsok használata adatfolyamok titkosításához ezzel a funkcióval. Maguk a kulcsok csak közönséges jelszavak, 5-13 ASCII karakter hosszúságúak, ami statikus szinten 40 vagy 104 bites titkosításnak felel meg.

2001 - az új IEEE 802.1X szabvány bevezetése. Ez a szabvány dinamikus 128 bites titkosítási kulcsokat használ, azaz időnként változó. Az alapötlet az, hogy a hálózati felhasználó munkamenetekben dolgozik, amelyek befejezése után elküldik új kulcs- a munkamenet időtartama az operációs rendszertől függ (Windows XP - alapértelmezés szerint egy munkamenet ideje 30 perc).

Jelenleg 802.11 szabványok léteznek:

802.11 – Az eredeti alapszabvány. Támogatja a rádiócsatornán keresztüli adatátvitelt 1 és 2 Mbit/s sebességgel.

802.11a – Nagy sebességű WLAN szabvány. Támogatja az 54 Mbit/s sebességű adatátvitelt rádiócsatornán, körülbelül 5 GHz-es tartományban.

I802.11b – A leggyakoribb szabvány. Támogatja az adatátvitelt akár 11 Mbit/s sebességig rádiócsatornán keresztül, körülbelül 2,4 GHz-es tartományban.

802.11e – Minőségi követelmény minden IEEE WLAN rádiós interfészhez

802.11f – A peer hozzáférési pontok közötti kommunikáció sorrendjét leíró szabvány.

802.11g – Kiegészítő modulációs technikát hoz létre a 2,4 GHz-es frekvenciához. Úgy tervezték, hogy akár 54 Mbit/s adatátviteli sebességet biztosítson rádiócsatornán, körülbelül 2,4 GHz-es tartományban.

802.11h – Egy szabvány, amely leírja az 5 GHz-es spektrum kezelését Európában és Ázsiában.

802.11i (WPA2) – Egy szabvány, amely kijavítja a meglévő biztonsági problémákat a hitelesítési és titkosítási protokollok területén. A 802.1X, TKIP és AES protokollokat érinti.

Jelenleg 4 szabványt széles körben használnak: 802.11, 802.11a, 802.11b, 802.11g.

2003 – Bevezették a WPA (Wi-Fi Protected Access) szabványt, amely egyesíti az IEEE 802.1X dinamikus kulcsmegújításának előnyeit TKIP (Temporal Key Integrity Protocol) kódolással, Extensible Authentication Protocol (EAP) és ellenőrző technológiai üzenetintegritási MIC-vel ( Üzenet integritásának ellenőrzése).

Emellett számos független biztonsági szabványt fejlesztenek párhuzamosan különböző fejlesztőktől. A vezetők olyan óriások, mint az Intel és a Cisco.

2004 – Megjelenik a WPA2 vagy 802.11i – a legbiztonságosabb rendelkezésre álló idő alapértelmezett.

Technológiák a Fi-Wi hálózatok védelmére.

WEP

Ezt a technológiát kifejezetten a helyi hálózaton belüli továbbított adatok áramlásának titkosítására fejlesztették ki. Az adatokat 40-104 bites kulccsal titkosítják. De ez nem az egész kulcs, hanem csak a statikus összetevője. A biztonság fokozása érdekében az úgynevezett IV inicializációs vektort (Initialization Vector) használják, amely a kulcs egy további részének véletlenszerűvé tételére szolgál, amely a titkosítás különböző változatait biztosítja a különböző adatcsomagokhoz. Ez a vektor 24 bites. Így ennek eredményeként egy 64 (40+24) bittől 128 (104+24) bitig terjedő bitmélységű általános titkosítást kapunk, amely lehetővé teszi, hogy a titkosítás során állandó és véletlenszerűen kiválasztott karakterekkel is működjünk. De másrészt a 24 bit csak ~16 millió kombináció (2 24 hatvány) – vagyis a kulcsgenerálási ciklus lejárta után egy új ciklus kezdődik. A hackelés nagyon egyszerűen történik:

1) Ismétlés keresése (minimális idő, 40 bit hosszú kulcs esetén - 10 perctől).

2) A rész többi részének feltörése (lényegében másodpercek)

3) Beszivároghat valaki más hálózatába.

Ugyanakkor vannak meglehetősen gyakori segédprogramok a kulcs feltörésére, például a WEPcrack.

802.1X

Az IEEE 802.1X a vezeték nélküli hálózatok alapvető szabványa. Jelenleg a Windows XP és a Windows Server 2003.

A 802.1X és a 802.11 kompatibilis szabványok. A 802.1X ugyanazt az algoritmust használja, mint a WEP, mégpedig az RC4-et, de némi eltéréssel (nagyobb „mobilitás”, azaz akár PDA eszközt is csatlakoztathatunk a hálózathoz) és korrekciókkal (WEP hackelés stb.). P.).

A 802.1X az Extensible Authentication Protocol (EAP), a Transport Layer Security (TLS) és a RADIUS (Remote Access Dial-in User Service) szabványon alapul.

Miután a felhasználó átment a hitelesítési szakaszon, egy bizonyos rövid ideig - az aktuálisan érvényes munkamenet idejére - egy titkos kulcsot küldenek neki titkosított formában. A munkamenet befejeztével új kulcs jön létre, amelyet ismét elküld a felhasználónak. A TLS szállítási réteg biztonsági protokollja biztosítja az adatátvitel kölcsönös hitelesítését és integritását. Minden kulcs 128 bites.

Külön meg kell említeni a RADIUS biztonságát: UDP protokollon alapul (és ezért viszonylag gyors), az engedélyezési folyamat a hitelesítési folyamat keretében történik (tehát nincs felhatalmazás mint olyan), a A RADIUS szerver megvalósítása az egyfolyamatos kliens kiszolgálásra összpontosít (bár lehetséges és többfolyamatos - a kérdés még nyitott), meglehetősen korlátozott számú hitelesítési típust támogat (cleartext és CHAP), és átlagosan Biztonság. A RADIUS-ban csak a tiszta szöveges jelszavak titkosítva vannak, a csomag többi része „nyitva” marad (biztonsági szempontból még a felhasználónév is nagyon fontos paraméter) De a CHAP az egy külön téma. Az ötlet az, hogy nincs egyértelmű szöveges jelszó Nevezetesen: a felhasználó hitelesítésekor a kliens egy bizonyos kihívást (tetszőleges véletlenszerű karaktersorozat) küld a felhasználói gépnek, a felhasználó beír egy jelszót és ezzel a kihívással a felhasználói gép bizonyos feladatokat hajt végre. titkosítási műveletek a megadott jelszó használatával (általában ez a szokásos titkosítás az MD5 algoritmussal (RFC-1321). Az eredmény egy válasz. Ezt a választ visszaküldi a kliensnek, és a kliens mindent együtt (kihívás és válasz) küld a 3A-nak. szerver (Authentication, Authorization, Accounting) a hitelesítéshez, amely (szintén felhasználói jelszóval) ugyanazokat a műveleteket hajtja végre a Challeng-el, és összehasonlítja a válaszát a klienstől kapottval: konvergál - a felhasználó hitelesítve van, nem - elutasítás. Így csak a felhasználó és a 3A szerver ismeri a tiszta szöveges jelszót, a tiszta szöveges jelszó pedig nem „utazik” a hálózaton, és nem lehet feltörni.

WPA

A WPA (Wi-Fi Protected Access) egy ideiglenes szabvány (a vezeték nélküli hálózatokhoz való biztonságos hozzáférés technológiája), amely átmeneti az IEEE 802.11i szabványra. A WPA lényegében a következőket kombinálja:

A 802.1X a vezeték nélküli hálózatok alapvető szabványa;

EAP – Extensible Authentication Protocol;

TKIP – Temporal Key Integrity Protocol;

A MIC az üzenet integritásának ellenőrzésére szolgáló technológia (Message Integrity Check).

A fő modulok a TKIP és a MIC. A TKIP szabvány automatikusan kiválasztott 128 bites kulcsokat használ, amelyek kiszámíthatatlan módon jönnek létre, és körülbelül 500 milliárd variációval rendelkeznek. A kulcskiválasztási algoritmusok összetett hierarchikus rendszere és ezek 10 KB-onkénti (10 ezer továbbított csomagonkénti) dinamikus cseréje maximálisan biztonságossá teszi a rendszert. A Message Integrity Check technológia védelmet nyújt a külső behatolás és az információváltozás ellen is. Egy meglehetősen összetett matematikai algoritmus lehetővé teszi, hogy összehasonlítsa az egyik ponton küldött és a másikon fogadott adatokat. Ha változásokat észlelünk, és az összehasonlítási eredmény nem konvergál, az ilyen adatok hamisnak minősülnek, és elveendők.

Igaz, a TKIP jelenleg nem a legjobb a titkosítás megvalósításában új technológia Fejlett titkosítási szabvány (AES), korábban VPN-ekben használt.

VPN

Javasolták a VPN (virtuális magánhálózat) technológiát az Intel által szolgáltatni biztonságos kapcsolat kliensrendszerek szerverekkel nyilvános internetes csatornákon keresztül. A VPN valószínűleg az egyik legmegbízhatóbb a titkosítás és a hitelesítés megbízhatósága szempontjából.

A VPN-ekben számos titkosítási technológia használatos, amelyek közül a legnépszerűbbek a PPTP, L2TP és IPSec protokollok DES, Triple DES, AES és MD5 titkosítási algoritmusokkal. Az IP Security (IPSec) az esetek 65-70%-ában használatos. Segítségével a kommunikációs vonal szinte maximális biztonsága biztosított.

A VPN technológiát nem kifejezetten Wi-Fi-re tervezték – bármilyen típusú hálózathoz használható, de a vezeték nélküli hálózatok védelme a segítségével a leghelyesebb megoldás.

Meglehetősen nagy mennyiségű szoftver jelent meg már VPN-hez (Windows NT/2000/XP, Sun Solaris, Linux), ill. hardver. A VPN-védelem hálózaton belüli megvalósításához telepítenie kell egy speciális VPN-átjárót (szoftvert vagy hardvert), amelyben alagutak jönnek létre, minden felhasználó számára egyet. Például vezeték nélküli hálózatok esetén az átjárót közvetlenül a hozzáférési pont elé kell telepíteni. A hálózati felhasználóknak pedig speciális kliensprogramokat kell telepíteniük, amelyek viszont a vezeték nélküli hálózaton kívül is működnek, és a visszafejtés annak határain túl történik. Bár mindez meglehetősen körülményes, nagyon megbízható. De mint mindennek, ennek is megvannak a maga hátrányai ebben az esetben kettő van belőlük:

Meglehetősen kiterjedt adminisztráció szükségessége;

Csökken sávszélesség csatorna 30-40%-kal.

Ettől eltekintve a VPN meglehetősen egyértelmű választás. Ráadásul a közelmúltban a VPN-eszközök fejlesztése éppen a biztonság és a mobilitás javítása felé irányul. A Cisco VPN 5000 sorozat teljes IPsec VPN megoldása kiváló példa erre. Sőt, ez a vonal jelenleg csak az egyetlen kliens alapú VPN megoldást tartalmazza, amely támogatja a Windows 95/98/NT/2000, MacOS, Linux és Solaris rendszereket. kívül ingyenes licenc a márka használatához és a forgalmazáshoz szoftver Az IPsec VPN kliens az összes VPN 5000 termékhez tartozik, ami szintén fontos.

A szervezet Fi-Wi hálózatainak védelmével kapcsolatos legfontosabb tudnivalók.

A fentiek fényében megbizonyosodhat arról, hogy a jelenleg rendelkezésre álló védelmi mechanizmusok és technológiák lehetővé teszik hálózata biztonságának biztosítását a Fi-Wi használata során. Természetesen, ha a rendszergazdák nem hagyatkoznak csak az alapbeállításokra, hanem vigyáznak finomhangolás. Természetesen nem lehet azt mondani, hogy így a hálózatod bevehetetlen bástyává válik, de kellően jelentős pénzeszközöket fordítva a berendezésekre, a konfigurációra és természetesen a folyamatos monitorozásra, körülbelül körülbelüli valószínűséggel biztosíthatja a biztonságot. 95%.

Főbb pontok a szervezés során és Wi-Fi beállítások hálózatok, amelyeket nem szabad elhanyagolni:

- Hozzáférési pont kiválasztása és telepítése:

> vásárlás előtt figyelmesen olvassa el a dokumentációt és a jelenleg rendelkezésre álló információkat az ilyen típusú berendezések szoftvermegvalósításában lévő hiányosságokról (a Cisco útválasztók IOS rendszerében lévő lyuk jól ismert példája, amely lehetővé teszi a támadó számára, hogy hozzáférjen a konfigurációs laphoz) . Érdemes lehet olcsóbb opció vásárlására és a hálózati eszköz operációs rendszerének frissítésére korlátozni magát;

> fedezze fel a támogatott protokollokat és titkosítási technológiákat;

> amikor csak lehetséges, vásároljon WPA2-t és 802.11i-t használó eszközöket, mivel ezek új technológiát használnak a biztonság érdekében – Advanced Encryption Standard (AES). Jelenleg ezek lehetnek kétsávos hozzáférési pontok (AP) az IEEE 802.11a/b/g hálózatokhoz, a Cisco Aironet 1130AG és 1230AG. Ezek az eszközök támogatják az IEEE 802.11i biztonsági szabványt, a Wi-Fi Protected Access 2 (WPA2) behatolásvédelmi technológiát az Advanced Encryption Standard (AES) használatával, és garantálják a kapacitást a vezeték nélküli felhasználók legmagasabb igényeinek kielégítésére. helyi hálózatok. Az új hozzáférési pontok kihasználják a kétsávos IEEE 802.11a/b/g technológiákat, és teljes mértékben kompatibilisek maradnak az IEEE 802.11b szabványt futtató eszközök korábbi verzióival;

> előre felkészülni kliens gépek vásárolt berendezésekkel való közös munkára. Előfordulhat, hogy egyes titkosítási technológiákat az operációs rendszer vagy az illesztőprogramok jelenleg nem támogatnak. Ez segít elkerülni az időveszteséget a hálózat üzembe helyezésekor;

> ne telepítsen hozzáférési pontot a tűzfalon kívülre;

> Helyezze el az antennákat az épület falain belül, és korlátozza a rádióteljesítményt, hogy csökkentse a külső csatlakozás valószínűségét.

> használjon irányított antennát, ne használja az alapértelmezett rádiócsatornát.

- Hozzáférési pont beállítása:

> ha a hozzáférési pont lehetővé teszi, hogy megtagadja a hozzáférést a beállításokhoz vezeték nélküli kapcsolaton keresztül, akkor használja ezt a funkciót. Kezdetben ne adjon lehetőséget a hackernek, hogy rádión keresztül vezérelje a kulcscsomópontokat, amikor behatol a hálózatba. Letiltja a rádiós műsorszórási protokollokat, például az SNMP-t, a webes adminisztrációs felületet és a telnetet;

> feltétlenül(!) használja összetett jelszó a hozzáférési pont beállításainak eléréséhez;

> ha a hozzáférési pont lehetővé teszi a kliens hozzáférésének MAC-címek szerinti szabályozását, feltétlenül használja ezt;

> ha a berendezés lehetővé teszi az SSID sugárzásának megtiltását, mindenképpen tegye ezt meg. Ugyanakkor a hackernek mindig lehetősége van megszerezni az SSID-t, amikor legitim kliensként csatlakozik;

> a biztonsági szabályzatnak meg kell tiltania a vezeték nélküli kliensek számára ad-hoc kapcsolatok létrehozását (az ilyen hálózatok lehetővé teszik, hogy két vagy több állomás közvetlenül csatlakozzon egymáshoz, megkerülve a forgalmukat irányító hozzáférési pontokat). A hackerek többféle támadást alkalmazhatnak ad-hoc kapcsolatokat használó rendszerek ellen. Az ad-hoc hálózatok elsődleges problémája az azonosítás hiánya. Ezek a hálózatok lehetővé tehetik a hacker számára támadja meg az embert középen, szolgáltatásmegtagadás (DoS) és/vagy kompromittáló rendszerek.

- Beállítás kiválasztása a technológiától függően:

> ha lehetséges, tagadja meg a hozzáférést az SSID-vel rendelkező ügyfelek számára;

> ha nincs más lehetőség, mindenképpen engedélyezze legalább a WEP-et, de 128 bitnél nem alacsonyabb.

> ha a hálózati eszköz-illesztőprogramok telepítésekor három titkosítási technológia közül választhat: WEP, WEP/WPA és WPA, akkor válassza a WPA lehetőséget;

> ha az eszközbeállítások lehetőséget adnak: „Shared Key” (lehetőség van a WEP-kulcs elfogására, amely minden kliensnél azonos) és „Open System” (lehetséges a hálózatba integrálni, ha ismert az SSID ) - válassza a „Megosztott kulcs” lehetőséget. Ebben az esetben (ha WEP-hitelesítést használ) a legcélszerűbb a MAC-cím szerinti szűrést engedélyezni;

> ha a hálózat nem nagy, választhatja az előre megosztott kulcsot (PSK).

> ha lehetséges a 802.1X használata. A RADIUS szerver beállításakor azonban célszerű a CHAP hitelesítési típust választani;

> a jelenlegi legmagasabb szintű biztonságot a VPN használata biztosítja – használja ezt a technológiát.

- Jelszavak és kulcsok:

> SSID használatakor tartsa be ugyanazokat a követelményeket, mint a jelszavas védelemnél - az SSID-nek egyedinek kell lennie (ne feledje, hogy az SSID nincs titkosítva, és könnyen elfogható!);

> mindig a lehető leghosszabb billentyűket használja. Ne használjon 128 bitnél kisebb kulcsokat;

> ne feledkezzünk meg a jelszavas védelemről – használjunk jelszógenerátort, bizonyos idő elteltével változtassuk meg a jelszavakat, tartsuk titokban a jelszavakat;

> a beállításokban általában négy előre definiált kulcs közül választhat - mindegyiket használja, egy bizonyos algoritmus szerint változtatva. Ha lehetséges, ne a hét napjaira koncentráljon (mindig minden szervezetben vannak olyanok, akik hétvégén dolgoznak – mi akadályozza meg a hálózat megvalósítását ezeken a napokon?).

> próbáljon meg hosszú, dinamikusan változó billentyűket használni. Ha statikus kulcsokat és jelszavakat használ, bizonyos idő elteltével módosítsa a jelszavakat.

> utasítsa a felhasználókat a jelszavak és kulcsok bizalmas kezelésére. Különösen fontos, ha egyesek otthon tartott laptopot használnak a bejelentkezéshez.

- Hálózati beállítások:

> használja a NetBEUI-t a megosztott erőforrások rendszerezéséhez. Ha ez nem mond ellent a hálózat koncepciójának, ne használja a TCP/IP protokollt vezeték nélküli hálózatokon mappák és nyomtatók rendszerezésére. nyilvános hozzáférés.

> ne engedélyezze a vendégek hozzáférését a megosztott erőforrásokhoz;

> próbálja meg nem használni a vezeték nélkülit DHCP hálózatok- statikus IP-címek használata;

> korlátozza a WLAN-on belüli protokollok számát a szükségesre.

- Tábornok:

> használjon tűzfalat minden vezeték nélküli hálózati kliensen, vagy legalább aktiválja a tűzfalat XP esetén;

> rendszeresen figyelje eszközei sebezhetőségeit, frissítéseit, firmware-jét és illesztőprogramjait;

> rendszeresen használjon biztonsági szkennereket a rejtett problémák azonosítására;

> Határozza meg a vezeték nélküli szkennelés végrehajtására szolgáló eszközöket, és azt, hogy milyen gyakran hajtsa végre ezeket a vizsgálatokat. A vezeték nélküli keresés segíthet a csaló hozzáférési pontok megtalálásában.

> ha szervezete pénzügyei ezt lehetővé teszik, vásároljon behatolásjelző rendszereket (IDS, Intrusion Detection System), például:

CiscoWorks Wireless LAN Solution Engine (WLSE), amely számos új funkciót tartalmaz – öngyógyító, fejlett szabotázsérzékelés, automatizált helyszín-ellenőrzés, meleg készenlét, ügyfélkövetés valós idejű jelentésekkel.
A CiscoWorks WLSE egy központi rendszerszintű megoldás a teljes vezeték nélküli infrastruktúra Cisco Aironet termékeken alapuló kezelésére. A CiscoWorks WLSE által támogatott fejlett rádió- és eszközkezelési képességek leegyszerűsítik a folyamatos vezeték nélküli hálózati műveleteket, lehetővé teszik a zökkenőmentes telepítést, fokozzák a biztonságot és a maximális rendelkezésre állást, miközben csökkentik a telepítési és működési költségeket.

A Hitachi AirLocation rendszer IEEE802.11b hálózatot használ, és képes bel- és kültéren is működni. Egy objektum koordinátáinak meghatározásának pontossága a fejlesztők szerint 1-3 m, ami valamivel pontosabb, mint a GPS rendszerek hasonló jellemzője. A rendszer egy koordináta-meghatározó szerverből, egy vezérlőszerverből, egy több bázisállomásból álló készletből, egy WLAN-berendezésből és egy speciális szoftverből áll. A készlet minimális ára körülbelül 46,3 ezer dollár A rendszer úgy határozza meg a kívánt eszköz helyét és távolságát az egyes hozzáférési pontoktól, hogy kiszámolja a terminál válaszidejét a hálózatra csatlakozó pontok által küldött jelzésekre, a csomópontok közötti távolsággal 100-200 m. A terminál kellően pontos elhelyezkedéséhez tehát mindössze három hozzáférési pont elegendő.

Igen, az ilyen berendezések árai meglehetősen magasak, de bármely komoly cég dönthet úgy, hogy elkölti ezt az összeget, hogy biztos legyen vezeték nélküli hálózata biztonságában.

A WLAN-hálózatokat fenyegető veszélyek

A vezeték nélküli hálózat biztonságossá tétele még nehezebb, mint a vezetékes hálózaté. A biztonságnak elsődleges prioritást kell élveznie mindenki számára, aki hálózatokat használ vagy adminisztrál.

A hozzáférési pont hatókörén belül a WLAN hálózat mindenki számára nyitva áll, aki rendelkezik a hozzáférési ponttal való társításhoz szükséges hitelesítő adatokkal. Vezeték nélküli hálózati adapterrel és a hackelési technikák ismeretével előfordulhat, hogy a támadó fizikailag nem tartózkodik azon a helyen, ahol a WLAN található, hogy hozzáférhessen.

A biztonsági kérdések egyre gyakrabban fordulnak elő magasabb értéket, ha a vállalati hálózatokról van szó, hiszen egy cég élete többek között az adatbiztonságon múlik. A biztonsági megsértések katasztrofális következményekkel járhatnak a vállalatok számára, különösen, ha a vállalat kezeli ügyfelei pénzügyi információit. A vezeték nélküli hálózatokat egyre gyakrabban alkalmazzák a vállalatokban, és sok esetben már nem csupán kényelmesebb megoldást jelentenek, hanem a hálózat kritikus részét is jelentik. Bár a WLAN-ok mindig is érzékenyek voltak a támadásokra, népszerűségük növekedésével egyre inkább az első számú célponttá válnak.

Támadást kezdeményezhetnek idegenek és elégedetlen alkalmazottak, de az ilyen rosszindulatúak mellett bármely alkalmazott kiválthat támadást akaratlanul is. A vezeték nélküli hálózatok különösen érzékenyek a következő fenyegetésekre:

· vezeték nélküli behatolók;

· rosszindulatú alkalmazások;

· adatlefogás

DoS támadások

Az ábrán kattintson az egyes fenyegetésekre további információk megtekintéséhez.

Megjegyzések. Ez a fejezet nem tárgyalja az olyan fenyegetéseket, mint a hozzáférési pontok vagy a vezeték nélküli kliensek MAC-címének hamisítása, hackelése és infrastrukturális támadások.

Szolgáltatásmegtagadási támadás

Az alábbiakban felsoroljuk azokat az okokat, amelyek miatt DoS-támadások fordulnak elő vezeték nélküli hálózaton.

· Helytelen eszközkonfiguráció- A konfigurációs hibák a WLAN hálózat leállását okozhatják. Például egy rendszergazda véletlenül megváltoztathatja a konfigurációt és letilthatja a hálózatot, vagy egy rendszergazdai jogokkal rendelkező támadó szándékosan letilthatja a WLAN-t.

· Egy támadó szándékosan zavarja a vezeték nélküli kommunikációt- az ilyen támadók a vezeték nélküli hálózat teljes letiltására törekszenek, vagy olyan mértékben, hogy a jogosult eszközök ne férhessenek hozzá a környezethez.

· Véletlenszerű interferencia- A WLAN-ok nem engedélyezett frekvenciasávokon működnek, ezért minden vezeték nélküli hálózat, a biztonsági jellemzőktől függetlenül, ki van téve más vezeték nélküli eszközök interferenciájának. Véletlenszerű interferenciát okozhatnak olyan eszközök, mint a mikrohullámú sütők, vezeték nélküli telefonok, bébiőrök stb. A 2,4 GHz-es sáv érzékenyebb az interferenciára, mint az 5 GHz-es sáv.

Az eszköz hibás konfigurációja és a rosszindulatú támadások miatti DoS támadás kockázatának minimalizálása érdekében minden eszközt le kell védenie, biztonságos helyen kell tárolnia a jelszavakat, és létre kell hoznia biztonsági mentésekés csak munkaidőn kívül módosítsa a konfigurációt.

Véletlenszerű interferencia csak akkor lép fel, ha más vezeték nélküli eszközök működnek. A legjobb megoldás az, ha figyeli a WLAN-t az interferenciaproblémák szempontjából, és a felmerülő problémákat megoldja. Mivel a 2,4 GHz-es sáv érzékenyebb az interferenciára, az 5 GHz-es sáv gyengébb területeken is használható. Egyes WLAN-megoldások biztosítják automatikus beállítás csatornákat hozzáférési pontonként, és lehetővé teszi az 5 GHz-es sáv használatát az interferencia kompenzálására. Például egyes 802.11n/ac/ad megoldások automatikusan alkalmazkodnak ahhoz, hogy ellenálljanak az interferenciának.

Az ábrán látható, hogy egy vezeték nélküli telefon vagy mikrohullámú sütő hogyan zavarhatja a WLAN-kommunikációt.

A Cisco CleanAir technológia lehetővé teszi az eszközök számára, hogy azonosítsák és megtalálják a nem 802.11-es zavarforrásokat. Ez a technológia olyan hálózatot hoz létre, amely automatikusan képes alkalmazkodni a környezet változásaihoz.

DoS támadások vezérlőkeretekkel

Bár valószínűtlen, a támadók szándékosan DoS támadást indíthatnak olyan elektronikus ellenintézkedési eszközök segítségével, amelyek véletlenszerű interferenciát okoznak. Valószínűbb, hogy a támadók megpróbálják manipulálni a vezérlőkereteket, ezáltal felemésztik a hozzáférési pont erőforrásait, és annyira terhelik a csatornákat, hogy nem tudják kiszolgálni az engedélyezett felhasználói forgalmat.

A vezérlőkeretek különféle típusú DoS támadások indítására használhatók. A vezérlőkeret-támadások két típusa általános.

· Hamis leállítási támadás- egy ilyen támadás végrehajtásához a támadó egy sor „társítás megszüntetése” parancsot küld mindenkinek vezeték nélküli eszközök a BSS-en belül. E parancsok hatására minden kliens megszakad a kapcsolattól. Ha leválasztják a kapcsolatot, minden vezeték nélküli kliens azonnal megpróbál újracsatlakozni, ami a forgalom jelentős növekedését okozza. A támadó továbbra is szétválasztott kereteket küld, és a ciklus megismétlődik.

· CTS küld engedélyeket árvízi támadás- ez a típus A támadás akkor történik, amikor a támadó egy CSMA/CA-környezetben versenyfeloldási technikát használ a sávszélesség monopolizálására és az összes többi vezeték nélküli kliens hozzáférésének megtagadására. Ennek elérése érdekében a támadó folyamatosan elárasztja a BSS-t olyan engedélyekkel, hogy CTS-t küldjön a hamis STA-nak. Az RF adathordozót megosztó összes többi vezeték nélküli kliens elfogadja a CTS-t, és leállítja az adatátvitelt mindaddig, amíg a támadó le nem állítja a CTS-keretek továbbítását.

ábrán. Az 1. ábra azt mutatja, hogy a vezeték nélküli kliens és a hozzáférési pont hogyan használja a CSMA/CA módszert az adathordozó eléréséhez.

ábrán. A 2. ábra azt mutatja, hogy a támadó hogyan árasztja el a CTS-kereteket egy csaló vezeték nélküli kliensbe. Most az összes többi kliensnek meg kell várnia a CTS-keretben megadott időtartamot. A támadó azonban továbbra is CTS-kereteket küld. Következésképpen a többi vásárló állandó várakozásra kényszerül. Így a támadó irányítja a környezetet.

jegyzet. Ez csak egy példa a vezérlőkeret támadásra. Sok más is van.

Az ilyen támadások kockázatának csökkentése érdekében a Cisco számos megoldást fejlesztett ki, köztük a Cisco Management Frame Protectiont (MFP), amely átfogó proaktív védelmet is nyújt a keret- és eszközhamisítás ellen. A Cisco Adaptive Wireless Intrusion Prevention System ezt a megoldást korai behatolásészlelési képességekkel egészíti ki a támadási aláírások egyeztetésével.

Az IEEE 802.11 Szabványügyi Bizottság két vezeték nélküli hálózat biztonsági szabványt is kidolgozott. A Cisco MFP-t használó 802.11i szabvány a vezeték nélküli hálózatok biztonsági mechanizmusait határozza meg, míg a 802.11w felügyeleti keret biztonsági szabvány a felügyeleti keretek manipulálásával kapcsolatos problémákkal foglalkozik.

Rosszindulatú hozzáférési pontok

A rosszindulatú hozzáférési pont egy vezeték nélküli útválasztó, amely a következőképpen jellemezhető.

· Ez az útválasztó kifejezett engedély nélkül és a vállalati szabályzat megsértésével csatlakozik a vállalati hálózathoz. Bármely létesítményhez hozzáféréssel rendelkező felhasználó telepíthet (rosszindulatú vagy anélkül) olcsó vezeték nélküli útválasztót, amely elméletileg hozzáférést biztosít a biztonságos hálózati erőforrásokhoz.

· A támadó csatlakozhat vagy engedélyezhet egy ilyen útválasztót kliensadatok (például vezeték nélküli és vezetékes kliensek MAC-címeinek) rögzítése vagy adatcsomagok rögzítése és maszkolása érdekében, hogy hozzáférjen a hálózati erőforrásokhoz; vagy interception támadás kezdeményezése céljából.

Azt is figyelembe kell vennie, hogy mennyire egyszerű személyeset létrehozni vezeték nélküli pont hozzáférés. Például egy felhasználó, akinek biztonságos hozzáférése van a hálózathoz, konfigurálja a jogosultságát Windows csomópont, hozzáférési pontként a Wi-Fi hálózathoz. Ebben az esetben az illetéktelen eszközök megkerülik a biztonsági intézkedéseket, és egyetlen közös eszközként férnek hozzá a hálózati erőforrásokhoz.

A rosszindulatú hozzáférési pontok telepítésének megelőzése érdekében a szervezeteknek szoftvereket kell használniuk a rádióspektrum aktív megfigyelésére a rosszindulatú hozzáférési pontok számára. Például a Cisco Prime infrastruktúra hálózatkezelő szoftver képernyőképe az ábrán egy RF térképet mutat be, amely azonosítja a támadó helyét egy hamis MAC-címmel.

jegyzet. A Cisco Prime egy hálózatkezelő szoftver, amely más hasonló programokkal együttműködve biztosítja az összes hálózati adat közös nézetét és központi elhelyezkedését. Általában ezt a szoftvert nagyon nagy szervezetekben telepítik.

Interception támadás

Az egyik bonyolultabb típusú támadás, amelyet a támadó használhat, az elfogó támadás. Sokféle módon lehet interception támadást létrehozni.

Az ilyen támadások egyik leggyakoribb típusa az úgynevezett „gonosz iker”, amelyben a támadó rosszindulatú hozzáférési pontot ültet be, és ugyanazzal az SSID-vel konfigurálja, mint egy engedélyezett hozzáférési pont. Az ilyen típusú támadások legnépszerűbb célpontjai az ingyenes Wi-Fi hozzáférést kínáló helyek, például repülőterek, kávézók és éttermek, mivel ezek a helyek nyílt hitelesítést használnak.

Amikor vezeték nélküli ügyfelek csatlakoznak, két hozzáférési pont jelenik meg, amelyek vezeték nélküli hozzáférést kínálnak. A rosszindulatú hozzáférési pont közelében lévők erősebb jelet észlelnek, és nagyobb valószínűséggel lépnek kapcsolatba a gonosz iker hozzáférési ponttal. Most a felhasználói forgalom a csaló hozzáférési ponthoz kerül, amely viszont rögzíti az adatokat, és továbbítja a megbízható hozzáférési ponthoz. Az engedélyezett hozzáférési pontból érkező visszatérő forgalmat a rendszer a rosszindulatú hozzáférési ponthoz küldi, rögzíti, majd továbbítja egy gyanútlan állomáshoz (STA). A támadó ellophatja a felhasználó jelszavát, személyes adatait, hozzáférhet a hálózathoz, és feltörheti a felhasználó rendszerét.

Például az ábrán. 1 támadó a Bob's Latte-nál próbálja eltéríteni a forgalmat a gyanútlan vezeték nélküli kliensektől. A támadó olyan szoftvert futtat, amely a laptopját "gonosz iker" hozzáférési ponttá teszi, ugyanazzal az SSID-vel és csatornával, mint az engedélyezett vezeték nélküli útválasztó.

ábrán. A 2. ábrán a felhasználó két elérhető vezeték nélküli kapcsolatot lát, de a társításhoz kiválasztja a „gonosz iker” hozzáférési pontot. A támadó rögzíti a felhasználói adatokat, és továbbítja azokat egy engedélyezett hozzáférési ponthoz, amely viszont visszairányítja a válaszforgalmat a gonosz iker hozzáférési ponthoz. A gonosz iker hozzáférési pont eltéríti a válaszforgalmat, és továbbítja az adatokat a gyanútlan felhasználónak.

A lehallgatási támadások megelőzésének sikere a WLAN hálózati infrastruktúra összetettségétől és a hálózatfigyelés alaposságától függ. A folyamat az engedélyezett eszközök azonosításával kezdődik a WLAN-on. Ehhez a felhasználókat hitelesíteni kell. Az összes engedélyezett eszköz azonosítása után a hálózat figyelhető gyanús eszközök vagy forgalom keresésére.

A legtöbbet használó vállalati WLAN-ok modern eszközök WLAN, biztosítson a rendszergazdáknak olyan eszközöket, amelyek együttműködnek vezeték nélküli rendszer Behatolás-megelőzési rendszer (IPS). Ezek az eszközök közé tartoznak a rosszindulatú hozzáférési pontokat és a peer-to-peer hálózatokat azonosító szkennerek, valamint a rádiós erőforrás-kezelő eszközök, amelyek figyelik a rádiófrekvenciás sávot a hozzáférési pontok aktivitása és terhelése szempontjából. A hozzáférési pont nagy terhelése jelzi az adminisztrátor számára az illetéktelen forgalom lehetséges jelenlétét.

A vezeték nélküli biztonság áttekintése

A Wi-Fi hálózat biztonsága mindig is különös gondot okozott, mivel a hálózat határai bővültek. Jelek vezeték nélküli kommunikáció szilárd akadályokon – mennyezeten, padlón, falon, otthonon vagy irodán kívül – keresztül továbbítható. Szigorú biztonsági intézkedések nélkül a WLAN hálózat telepítése olyan, mintha Ethernet portokat helyeznének el mindenhol, még az utcán is.

A vezeték nélküli hálózatba behatolni próbáló behatolók fenyegetéseinek megelőzése és az adatok védelme érdekében két biztonsági funkciót használtak.

· Az SSID elrejtése. Hozzáférési pontok és néhány vezeték nélküli útválasztók Lehetővé teszi az SSID jelkeret letiltását. A vezeték nélküli klienseknek manuálisan kell meghatározniuk az SSID-t a hálózathoz való csatlakozáshoz.

· MAC-cím szűrés. A rendszergazda manuálisan engedélyezheti vagy megtagadhatja az ügyfelek vezeték nélküli hozzáférését a fizikai hardver MAC-címe alapján.

Noha ez a két funkció kiszűri a legtöbb felhasználót, a valóság az, hogy sem az SSID elrejtése, sem a MAC-címek szűrése nem állítja meg a képzett támadókat. Az SSID-k könnyen felismerhetők még akkor is, ha a hozzáférési pontok nem sugározzák őket, és a MAC-címeket meg lehet hamisítani. A vezeték nélküli hálózat védelmének legjobb módja a hitelesítési és titkosítási rendszerek használata (lásd az 1. ábrát).

Az eredeti 802.11 szabvány kétféle hitelesítést vezetett be:

· Hitelesítés nyitott rendszer . Minden vezeték nélküli kliens könnyen csatlakozhat, és egy ilyen rendszer csak olyan helyzetekben használható, ahol a biztonság nem jelent komoly gondot (például olyan helyeken, ahol ingyenes internet-hozzáférés biztosított - kávézókban, szállodákban és távoli helyeken).

· Konszenzusos kulcshitelesítés. Olyan mechanizmusokat biztosít, mint a WEP, WPA vagy WPA2 a vezeték nélküli kliens és a hozzáférési pont között továbbított adatok hitelesítésére és titkosítására. A csatlakozáshoz azonban a jelszót a feleknek előzetesen meg kell állapodniuk.

ábra diagramján. 2 bemutatott rövid tájékoztatás O különféle típusok hitelesítés.

Konszenzusos kulcshitelesítési módszerek

ábrán látható módon. 1, Három egyeztetett kulcshitelesítési lehetőség áll rendelkezésre:

· Wireless Encryption Protocol (WEP). Az eredeti 802.11 specifikáció, amely a vezetékes kapcsolathoz hasonló szintű adatvédelmet biztosít. Az adatvédelmet az RC4 titkosítási módszer biztosítja, statikus kulccsal. A kulcs azonban soha nem változik csomagok továbbításakor, így meglehetősen könnyű feltörni.

· Wi-Fi védett hozzáférés (WPA). Wi-Fi Alliance szabvány, amely WEP-et használ, de adatbiztonságot nyújt a sokkal erősebb Temporal Key IP (TKIP) titkosítási algoritmuson keresztül. A TKIP csomagonként változtatja a kulcsot, így sokkal nehezebb feltörni.

· IEEE 802.11i/WPA2. Az IEEE 802.11i a vezeték nélküli hálózatok biztonságának ipari szabványa. A Wi-Fi Alliance verzió neve WPA2. A 802.11i és a WPA2 az Advanced Encryption Standard (AES) szabványt használja a titkosításhoz. Az AES jelenleg a legbiztonságosabb titkosítási protokoll.

A WEP már nem ajánlott. A megosztott WEP kulcsok hatástalannak bizonyultak, ezért nem szabad használni őket. Kárpótol gyenge oldalai A WEP megosztott kulcsai, a cégek először megpróbálták elrejteni az SSID-ket és szűrni a MAC-címeket. Ezek a módszerek is túlságosan megbízhatatlannak bizonyultak.

A WEP-alapú biztonsági rendszerek megbízhatatlansága miatt egy ideje átmeneti biztonsági intézkedéseket alkalmaznak. Az olyan gyártók, mint a Cisco, saját rendszereiket fejlesztették ki, hogy megfeleljenek a megnövekedett biztonsági követelményeknek, miközben megpróbálják javítani a 802.11i szabványt. A 802.11i szabvány fejlesztése során létrejött a TKIP titkosítási algoritmus, amely a biztosítás módjához kapcsolódott. Wi-Fi biztonság Szövetség WPA.

A modern vezeték nélküli hálózatoknak mindig a 802.11i/WPA2 szabványt kell használniuk. A WPA2 a 802.11i Wi-Fi szabvány egyik változata, ezért a WPA2 és 802.11i kifejezéseket gyakran felcserélhetően használják.

2006 óta minden Wi-Fi Certified logót viselő eszköz rendelkezik WPA2 használatára vonatkozó tanúsítvánnyal.

jegyzet. A teljesítmény optimalizálása érdekében a Wireless-N hálózatoknak WPA2-Personal biztonsági módot kell használniuk.

ábra táblázatában. 2 látható Általános információ háromféle egyeztetett kulcshitelesítési módszerről.

Titkosítási módszerek

A titkosítást az adatok védelmére használják. Ha a támadó titkosított adatokat rögzített, nem tudja rövid időn belül visszafejteni azokat.

Az IEEE 802.11i, a Wi-Fi Alliance WPA és a WPA2 szabványok a következő titkosítási protokollokat használják:

· Titkosítás ideiglenes kulcsokkal (TKIP). A TKIP a WPA szabvány által használt titkosítási módszer. Támogatást nyújt előző verziók WLAN berendezéseket a 802.11 WEP titkosítási módszerben rejlő eredeti sebezhetőségek kiküszöbölésével. WEP-et használ, de TKIP segítségével 2. rétegbeli hasznos adattitkosítást hajt végre, és üzenetintegritás-ellenőrzést végez a titkosított csomagon, hogy megbizonyosodjon arról, hogy az üzenetet nem használják-e jogosulatlan módon.

· Fejlett titkosítási szabvány (AES). Az AES a WPA2 szabvány által használt titkosítási módszer. Ezt a módszert részesítjük előnyben, mert megfelel az IEEE 802.11i ipari szabványnak. Az AES ugyanazokat a funkciókat látja el, mint a TKIP, de sokkal erősebb titkosítási módszert biztosít. A CCMP protokollt használja, amely lehetővé teszi a célcsomópontok számára, hogy felismerjék a titkosított és titkosítatlan biteket, amelyeket illetéktelen módon használnak.

jegyzet. Ha lehetséges, mindig válassza a WPA2-t AES-sel.

Küldje el a jó munkát a tudásbázis egyszerű. Használja az alábbi űrlapot

Diákok, végzős hallgatók, fiatal tudósok, akik a tudásbázist tanulmányaikban és munkájukban használják, nagyon hálásak lesznek Önnek.

Közzétéve: http://www.allbest.ru/

Szövetségi állami költségvetés oktatási intézmény felsőfokú szakmai végzettség

Tanszék: Informatika és Információtechnológia

Szakterület: Alkalmazott számítástechnika

TANFOLYAM MUNKA

VEZETÉKNÉLKÜLI BIZTONSÁG

Tanuló fejezte be

Kozlova S.K.

Munkavezető:

Mityaev V.V.

SAS, 2013

Bevezetés

Következtetés

Bibliográfia

Alkalmazás

Bevezetés

Többség modern számítógépek támogatja a vezeték nélküli hálózati hozzáférést. Más szavakkal, anélkül is csatlakozhatnak az internethez (és más vezeték nélküli eszközökhöz). hálózati kábel. A vezeték nélküli kapcsolatok fő előnye, hogy otthon vagy az irodában bárhol használhatók az internettel (ha a számítógép és a vezeték nélküli hálózati hozzáférési eszköz távolsága ezt lehetővé teszi). Ha azonban nem tesz intézkedéseket vezeték nélküli hálózata biztonságának biztosítására, a következő potenciálisan veszélyes helyzetek lehetségesek, amelyek következtében a támadó:

1. Átvitt vagy vett adatok lehallgatása;

2. Hozzáférés a vezeték nélküli hálózathoz;

3. Ragadja meg az Internet hozzáférési csatornát.

Térjünk rá az információbiztonság definíciójára. Információbiztonság - az információk és információs rendszerek védelmét jelenti a jogosulatlan hozzáférés, használat, észlelés, torzítás, megsemmisítés, módosítás ellen.

Az információbiztonság biztosítja az információk elérhetőségét, integritását és titkosságát. A vezeték nélküli hálózatok információbiztonságának megvalósításához információbiztonsági eszközöket és mechanizmusokat használnak.

Ezért, ha a vezeték nélküli hálózat nem biztonságos, a támadó elfoghatja a rajta keresztül továbbított adatokat, hozzáférhet a hálózathoz és a számítógépen lévő fájlokhoz, és a kapcsolat segítségével hozzáférhet az internethez is. Így az adatátviteli csatorna foglalt, és lelassul az Internet hozzáférés.

A vezeték nélküli hálózatok biztonságának témája továbbra is aktuális, bár megbízható módszerek e hálózatok védelmére, mint például a WPA (Wi-Fi Protected Access) technológiák, már jó ideje léteznek.

A munka célja a vezeték nélküli hálózatok biztonsági kérdéseinek és biztonsági jellemzőinek gyakorlati tanulmányozása.

Ennek a kurzusnak a célja a hálózat biztonsága.

A téma a vezeték nélküli hálózatok biztonsága.

A munka elvégzése során megoldandó feladatok a következők:

1. Tekintsük a vezeték nélküli hálózat fogalmát;

3. Tanulmányozza a vezeték nélküli kapcsolat biztonsági szabályzatának alapvető rendelkezéseit;

4. A vezeték nélküli hálózatok biztonságát biztosító megoldások elemzése;

5. Mérje fel a vezeték nélküli hálózat biztonságának szükségességét;

6. Dolgozzon ki egy algoritmust a vezeték nélküli hálózatok védelmének hatékonyságának felmérésére.

1. A vezeték nélküli hálózat fogalma és a főbb támadások kategóriáinak leírása

1.1 A vezeték nélküli hálózat fogalma és leírása

A vezeték nélküli hálózat információ továbbítása távolságon keresztül elektromos vezetők vagy „vezetékek” használata nélkül.

Ez a távolság kicsi is lehet (több méter, mint a televízióban távirányító), és nagyon nagy (több ezer vagy akár több millió kilométer a távközlés esetében).

A vezeték nélküli kommunikációt általában a távközlés egyik ágának tekintik.

A vezeték nélküli kommunikáció népszerűsége robbanásszerű ütemben növekszik, új piacokat nyitva a szolgáltatók számára - től hálózati játékok a mobiltelefonok képernyőjén a segélyszolgálatokhoz.

Ennek oka a jegyzettömbök, személyhívó rendszerek elterjedése és a Personal Digital Assistant (PDA) osztályú rendszerek megjelenése. funkcionalitás mobiltelefonok.

Az ilyen rendszereknek biztosítaniuk kell az üzleti tervezést, az időzítést, a dokumentumok tárolását és a távoli állomásokkal való kommunikációt. Ezeknek a rendszereknek a mottója a bármikor, bárhol, azaz a kommunikációs szolgáltatások nyújtása helytől és időtől függetlenül. Ezenkívül a vezeték nélküli csatornák fontosak ott, ahol a fektetés lehetetlen vagy költséges kábelvonalakés jelentős távolságok.

Egészen a közelmúltig a legtöbb vezeték nélküli számítógépes hálózatok 1,2 és 14,0 Kbps közötti sebességgel továbbította az adatokat, gyakran csak rövid üzeneteket, mivel nem volt elérhető nagy fájlok átvitele vagy hosszú interaktív munkamenetek az adatbázissal. Az új vezeték nélküli átviteli technológiák több tíz megabites másodpercenkénti sebességgel működnek.

Alan S. Cohen, a Cisco Systems mobilmegoldásokért felelős vezető igazgatója sokat beszél a vezeték nélküli kommunikációs piac kilátásairól.

Azt mondja, hogy a vezeték nélküli technológia gyorsan elfogadott szabvánnyá válik, amely átható hatással van életünkre.

Két fontos piaci erő mozgatja a mindenütt jelen lévő vezeték nélküli kapcsolat felé való elmozdulást. Az első tényező a vezeték nélküli technológia "demokratizálódása", amely a 802.11 vagy Wi-Fi szabvány megjelenésével vált észrevehetővé a mobilpiacon.

A mobil eszközök számának rohamos növekedése ill mobilhálózat házakban, lakásokban, üzletekben és városokban. Ma már könnyű és egyszerű vezeték nélküli hálózatot kiépíteni és szélessávú mobilitást biztosítani a nagyvállalatok és az egyéni felhasználók javára.

Egy másik érdekes alkalmazási területet is kiemelt mobil technológiák- városi mesh hálózatok, amelyek Wi-Fi technológia valóban mindenütt jelen van.

A vezeték nélküli technológia demokratizálódásának csodálatos példája, hogy a város minden lakosának hozzáférést biztosít a város területén. Hálózati architektúra és technológia egységes kommunikáció nemcsak a vezetékes és vezeték nélküli kommunikációt integrálja, hanem a beltéri és kültéri hálózati szolgáltatásokat is egyesíti. Ennek eredményeként, bárhol is tartózkodik, kapcsolatban maradhat a hálózattal, az épületen belül vagy kívül, ami nagyon fontos a városi kommunikáció szempontjából.

A vezeték nélküli kommunikáció mindenütt elterjedt. Lehetővé teszi kapcsolat biztosítását olyan felhasználóknak, ahol a kábeles csatlakozás nehézkes, vagy ahol teljes mobilitásra van szükség. Ebben az esetben a vezeték nélküli hálózatok kölcsönhatásba lépnek a vezetékes hálózatokkal. Napjainkban minden hálózat tervezésénél figyelembe kell venni a vezeték nélküli megoldásokat – a kis irodától a vállalatig. Ez valószínűleg pénzt, munkát és időt takarít meg.

Számos eset és oka van annak, hogy a vezeték nélküli hálózatok az egyetlen vagy legkényelmesebb megoldás a kommunikációs hálózathoz vagy az internethez való hozzáférés megszervezéséhez:

1) Ha meg kell szervezni a hálózathoz és az internethez való nomád hozzáférés lehetőségét a véletlenszerű felhasználók számára kávézókban, repülőtereken, vasútállomásokon, üzletekben és más nyilvános helyeken;

2) Ha helyi hálózatot kell megszervezni olyan épületekben, amelyek nem rendelkeznek kábelezési lehetőséggel (például történelmi épületekben), vagy olyan épületekben, ahol a kábelfektetés nagyon összetett, időigényes és nehéz feladat;

3) Ideiglenes helyi hálózat szervezése során, beleértve a nyilvános hozzáférést szolgáló helyi hálózatot, például rendezvények, konferenciák stb. megtartására;

4) Helyi hálózat bővítésekor, ha kis számú munkaállomást tartalmazó távoli, elszigetelt szegmenst kell csatlakoztatni;

5) Ha mobil hozzáférésre van szükség a hálózati erőforrásokhoz, például amikor egy lakásban vagy egy szervezetben laptoppal mozognak, amikor különböző betegeket látogatnak meg egy orvossal egy kórházban, hogy kommunikálhassanak egy központi adatbázissal, vagy nagy vonalakban a szerelők kommunikációjához és koordinálásához épületek, telített modern eszközökkel megélhetésük biztosítása;

6) Szervezéshez további csatornák a különböző területeken vezeték nélküli helyi hálózatokat létrehozó alternatív távközlési szolgáltatók által biztosított kommunikáció.

A használt technológiáktól és átviteli adathordozóktól függően a vezeték nélküli hálózatok következő osztályai határozhatók meg:

Hálózatok rádiómodemeken;

Hálózatok cellás modemeken;

Infravörös rendszerek;

VSAT rendszerek;

Alacsony pályán lévő műholdakat használó rendszerek;

SST technológiával rendelkező rendszerek;

Rádiórelé rendszerek;

Lézeres kommunikációs rendszerek.

A WI-FI egy modern vezeték nélküli technológia rádiócsatornán keresztüli adatátvitelhez (vezeték nélküli, wlan wifi).

Minden olyan berendezést, amely megfelel az IEEE 802.11 szabványnak, a Wi-Fi Alliance tesztelheti, és megkaphatja a megfelelő tanúsítványt és a Wi-Fi logó megjelenítési jogát.

A Wireless Fidelity, amely angol fordításban vezeték nélküli pontosságot jelent. A kifejezésnek van egy hosszabb neve is: EEE 802.11b. A Wi-Fi 1985-ben keletkezett az USA-ban, miután a rádiócsatorna frekvencia részét külön engedély nélkül megnyitották használatra.

A legelső szabvány, amely a legelterjedtebbé vált, az IEEE 802.11b szabvány volt.

A 802.11b szabványnak megfelelő berendezések még 2001-ben jelentek meg, és a mai napig a legtöbb vezeték nélküli hálózat ezen a szabványon működik, és számos vezeték nélküli Wi-Fi eszköz is elérhető, amely támogatja a 802.11b szabványt.

A Wi-Fi kommunikációhoz használt rádióhullámok nagyon hasonlóak a walkie-talkie-kban, vevőkészülékekben, mobiltelefonokés egyéb eszközök. De a Wi-Fi-nek van néhány jelentős különbsége a többi rádiókészülékhez képest.

A kommunikáció 2,4-5 GHz-es frekvencián történik. Ez a frekvencia jóval magasabb, mint a mobiltelefonok, hordozható rádiók és televíziók számára megfelelő frekvenciák.

Minél nagyobb a jel frekvenciája, annál nagy mennyiség információ kerül továbbításra. A vezeték nélküli hálózat ugyanúgy rádióhullámokat használ, mint a rádiók, Mobiltelefonok, tévék. Valójában a Wi-Fi vezeték nélküli kommunikáció jobban hasonlít a kétirányú rádiókommunikációhoz.

Oroszországban a Wi-Fi használatával az Állami Rádiófrekvenciák Bizottsága (SCRF) frekvenciahasználati engedélye nélkül hálózatot lehet szervezni épületeken, zárt raktárakban és ipari területeken belül.

Wi-Fi vezeték nélküli hálózat irodán kívüli legális használatához, például két szomszédos ház közötti rádiócsatorna használatához engedélyt kell szerezni a frekvenciák használatára. A 2400-2483,5 MHz sávban (802.11b és 802.11g szabványok, 1-13. csatorna) a rádiófrekvencia-használati engedélyek kiadására egyszerűsített eljárás vonatkozik, az engedély megszerzéséhez nem szükséges az SCRF magánhatározata. A rádiófrekvenciák más sávokban való használatához, különösen az 5 GHz-en (802.11a szabvány), először be kell szereznie egy privát megoldást az SCRF-től. 2007-ben a helyzet megváltozott a dokumentum kiadásával: „2007. július 25-i határozat, 476. sz. „A kormányhatározat módosításáról Orosz Föderáció" 2004. október 12-én

A határozat tizenhatodik bekezdése kizárta a nyilvántartásba vételre kötelezett berendezések listájából - a 2400-2483,5 MHz rádiófrekvenciás sávban lévő vezeték nélküli hozzáférésű felhasználói berendezéseket, amelyek sugárzási teljesítménye legfeljebb 100 mW.

Továbbá, az SCRF 2009. augusztus 19-i, 09-04-09 számú határozatának jegyzőkönyvi bejegyzése értelmében az SCRC úgy határozott, hogy az 5150-5350 MHz és az 5650-6425 MHz rádiófrekvencia-sávokat a távirányítón való használatra kiosztja. az Orosz Föderáció területén, a 2. számú mellékletben meghatározott városok kivételével, az Orosz Föderáció és az orosz állampolgárok vezeték nélküli vezeték nélküli hozzáférése jogalanyok anélkül, hogy az SCRF minden egyes magánszemélyre vagy jogi személyre vonatkozóan külön határozatot adna ki.

A megadott frekvenciasávok megfelelnek a 802.11a/b/g/n szabványoknak és a 36-64 és 132-165 tartományba eső csatornáknak. A 2. függelék azonban felsorolja Oroszország 164 legnagyobb városát, ahol a megadott frekvenciák nem használhatók vezeték nélküli hálózatok létrehozására.

A rádióelektronikai eszközök használatára vonatkozó eljárás megsértése az Orosz Föderáció közigazgatási szabálysértési kódexének 13.3. és 13.4. cikke értelmében felelősségre vonható.

2010. július 15-i határozatával az Oroszországi Állami Rádiófrekvenciák Bizottsága visszavonta az Állami Rádiófrekvenciák Bizottsága kötelező magánhatározatok kiadását az 5150-5350 MHz és az 5650-6425 tartományban rögzített vezeték nélküli hozzáférési rendszerek használatára vonatkozóan. MHz. Ezekre a frekvenciatartományokra vonatkozó korlátozást Oroszország egész területén feloldották.

A kapcsolatok következő típusait és fajtáit különböztetjük meg:

1. Ad-hoc kapcsolat (pont-pont). Minden számítógép vezeték nélküli kártyákkal (kliensekkel) van felszerelve, és közvetlenül csatlakozik egymáshoz egy rádiócsatornán keresztül, amely a 802.11b szabvány szerint működik, és 11 Mbit/s átváltási sebességet biztosít, ami teljesen elegendő a normál működéshez;

2. Infrastruktúra kapcsolat. Ez a modell akkor használatos, ha kettőnél több számítógépet kell csatlakoztatni. A hozzáférési ponttal rendelkező szerver útválasztóként működhet, és függetlenül terjesztheti az internetes csatornát;

3. Hozzáférési pont, router és modem használatával. A hozzáférési pont a routerhez, a router a modemhez csatlakozik (ezek az eszközök ketté, vagy akár egybe is kombinálhatók). Mostantól minden olyan számítógépen, amelyik Wi-Fi-lefedettséggel rendelkezik wifi adapter, működni fog az internet;

4. Ügyfélpont. Ebben az üzemmódban a hozzáférési pont kliensként működik, és csatlakozhat egy infrastruktúra módban működő hozzáférési ponthoz. De csak egy MAC-cím köthető hozzá. Itt csak két számítógép csatlakoztatása a feladat. Két Wi-Fi adapter képes közvetlenül együttműködni egymással központi antennák nélkül;

5. Hídcsatlakozás. A számítógépek vezetékes hálózathoz csatlakoznak. A hálózatok minden csoportja olyan hozzáférési pontokhoz csatlakozik, amelyek rádiócsatornán keresztül kapcsolódnak egymáshoz. Ez a mód két vagy több vezetékes hálózat összekapcsolására szolgál. A vezeték nélküli kliensek nem tudnak kapcsolódni híd módban működő hozzáférési ponthoz.

Így megvizsgálták a vezeték nélküli hálózatok fogalmát, osztályait, és azonosították a vezeték nélküli kapcsolat megfelelő használatának okait. Elemezzük a Wi-Fi hálózatokra vonatkozó szabályozási keretet. A vezeték nélküli hálózat leírása a kapcsolatok tipológiájának és típusának megadásával történt.

A vezeték nélküli hálózatok működése során gyakran felmerülnek különféle problémák. Egyesek valaki más felügyelete miatt, mások pedig rosszindulatú cselekedetek eredménye. Mindenesetre kár keletkezik. Ezek az események támadások, függetlenül az előfordulásuk okától.

A támadásoknak négy fő kategóriája van:

1. hozzáférési támadások;

2. Módosító támadások;

3. Szolgáltatásmegtagadási támadások;

4. Felelősségi támadások.

A hozzáférési támadás egy támadó kísérlete olyan információk megszerzésére, amelyek megtekintésére nincs jogosultsága, és amelynek célja az információk bizalmas kezelésének megsértése.

A támadás végrehajtásához információkra és az azt továbbító eszközökre van szükség.

Hozzáférési támadás mindenhol lehetséges, ahol rendelkezésre állnak információk és az átviteléhez szükséges eszközök.

A hozzáférési támadások magukban foglalhatnak kémkedést, lehallgatást és lehallgatást is.

A leskelődés fájlok vagy dokumentumok megtekintését jelenti a támadó számára érdekes információk keresésére.

Lehallgatásról beszélünk, amikor valaki olyan beszélgetést hallgat, amelyben nem vesz részt (gyakran elektronikus eszközöket használ).

Az elfogás az információ rögzítése a célállomásra való továbbítás során.

Információk benne elektronikus formában tárolva van:

Munkaállomások;

Szerverek;

Laptop számítógépekben;

CD-k.

A CD-k esetében egyértelmű a helyzet, mert a támadó egyszerűen ellophatja őket. Az első kettővel más a helyzet. A rendszerhez való legális hozzáféréssel a támadó egyszerűen egyenként megnyitja a fájlokat. Jogosulatlan hozzáférés esetén a támadó megpróbálja megkerülni a vezérlőrendszert, és hozzáférni a szükséges információkhoz. Ezt nem nehéz megtenni. Telepítenie kell egy hálózati csomagelemzőt (szippantót) a számítógépes rendszerére. Ehhez a támadónak növelnie kell a jogosultságát a rendszerben, vagy csatlakoznia kell a hálózathoz. Az analizátor úgy van beállítva, hogy rögzítse a hálózaton áthaladó információkat, különösen a felhasználói azonosítókat és jelszavakat.

A lehallgatást globális számítógépes hálózatokon, például bérelt vonalakon és telefonkapcsolatokon is végzik. Az ilyen típusú lehallgatáshoz azonban megfelelő felszerelésre és speciális ismeretekre van szükség. Ebben az esetben a lehallgató készülék elhelyezésére a legalkalmasabb hely egy elektromos vezetékkel ellátott szekrény.

Speciális berendezések segítségével pedig egy képzett hacker elfoghatja a száloptikás kommunikációs rendszereket. A sikerhez azonban rendszerét az információ küldője és fogadója közötti átviteli vonalakba kell helyeznie. Az interneten ez a névfelbontás megváltoztatásával történik, aminek következtében a számítógép neve helytelen címre konvertálódik. A forgalom a tényleges célcsomópont helyett a támadó rendszerére kerül átirányításra. Ha egy ilyen rendszer megfelelően van konfigurálva, a küldő soha nem tudja meg, hogy információi nem jutottak el a címzetthez.

A módosítási támadás egy információ illegális megváltoztatásának kísérlete. Célja az információ integritásának megsértése, és mindenhol lehetséges, ahol információ létezik vagy továbbítják.

A módosítási támadásoknak három típusa van:

1. Csere;

2. Kiegészítés;

3. Eltávolítás.

Csere - a meglévő információ cseréje mind a minősített, mind a nyilvános információkat célozza meg.

Addition attack – új adatok hozzáadása.

A törlési támadás a meglévő adatok áthelyezését jelenti.

A módosítási támadások mindhárom típusa kihasználja a rendszer sebezhetőségeit, például a szerver biztonsági "réseit", amelyek lehetővé teszik a cserét. kezdőlap. Még ekkor is kiterjedt munkát kell végezni az egész rendszeren az észlelés megakadályozása érdekében. Mivel a tranzakciók sorban vannak számozva, a hibás tranzakciószámok törlését vagy hozzáadását a rendszer feljegyzi.

Ha az információ továbbítása során módosító támadást hajtanak végre, akkor először az érdeklődésre számot tartó forgalmat kell lehallgatni, majd az információn módosítani kell, mielőtt célba küldené.

A szolgáltatásmegtagadási (DoS) támadások olyan támadások, amelyek megakadályozzák a jogos felhasználót a rendszer, az információ vagy a számítógép képességeinek használatában. Más szavakkal, ez a támadás „vandalizmus”, azaz támadó.

A DoS támadás eredményeként a felhasználó általában nem fér hozzá a számítógépes rendszerhez, és nem tud információval dolgozni.

Az információ ellen irányuló DoS támadás megsemmisíti, eltorzítja vagy elérhetetlen helyre helyezi azt.

A DoS támadás olyan alkalmazásokra irányul, amelyek információkat dolgoznak fel vagy jelenítenek meg, vagy számítógépes rendszer amelyekben ezek az alkalmazások futnak - lehetetlenné teszik az ilyen alkalmazással végrehajtott feladatok megoldását.

A DoS támadások (rendszerhez való hozzáférés megtagadása) elterjedt típusa a számítógépes rendszerek letiltását célozza, aminek következtében maga a rendszer, a rá telepített alkalmazások és az összes tárolt információ elérhetetlenné válik.

A kommunikációhoz való hozzáférés megtagadása a számítógépes rendszerekhez és információkhoz való hozzáférést megtagadó kommunikációs eszközök letiltását jelenti.

A közvetlenül számítógépes rendszert célzó DoS támadások a sebezhetőségeket kihasználó exploitokon keresztül valósulnak meg. operációs rendszer vagy internetes protokollok.

Ezen "lyukak" segítségével a támadó meghatározott parancskészletet küld az alkalmazásnak, amit nem tud megfelelően feldolgozni, aminek következtében az alkalmazás összeomlik. Az újraindítás visszaállítja a funkcionalitást, de az újraindítás során lehetetlenné válik az alkalmazás használata.

A felelősségkizárásos támadás célja az információ azonosítása, vagy egy tényleges esemény vagy tranzakció hamis bemutatása.

NAK NEK ezt a fajt a támadások közé tartozik:

Az álarcos tevékenység egy másik felhasználó vagy egy másik rendszer leple alatt hajt végre műveleteket.

Egy esemény tagadása egy művelet tényének tagadása.

Az Internet elleni DoS-támadások az internet gyökérnévszerverei ellen irányuló támadások.

A következő egyszerű lépésekkel biztosíthatja vezeték nélküli hozzáférési eszközének biztonságát, és ennek megfelelően minimálisra csökkentheti az ilyen típusú hozzáféréssel kapcsolatos kockázatokat:

1. Módosítsa a rendszergazdai jelszót vezeték nélküli eszközén. A hacker könnyen megtudhatja, mi az eszköz gyártójának alapértelmezett jelszava, és ezzel a jelszóval hozzáférhet a vezeték nélküli hálózathoz. Kerülje a könnyen kitalálható vagy kitalálható jelszavakat;

2. Tiltsa le a hálózati azonosító sugárzását (SSID broadcast, SSID - Service Set Identifier, network identifier), hogy a vezeték nélküli eszköz ne sugározzon információt arról, hogy be van kapcsolva;

3. Engedélyezze a forgalom titkosítását: a legjobb a WPA protokoll használata, ha az eszköz támogatja (ha nem, akkor használjon WEP titkosítást);

4. Módosítsa az eszköz hálózati azonosítóját (SSID). Ha elhagyja az eszköz gyártójának alapértelmezett azonosítóját, a támadó könnyen azonosíthatja a vezeték nélküli hálózatot az azonosító megtanulásával. Ne használjon könnyen kitalálható neveket.

A probléma megoldásának eredményeként a támadások négy fő kategóriáját és háromféle módosító támadást azonosítottak és tanulmányoztak. A szolgáltatásmegtagadási és kötelezettségmegtagadási támadások is mérlegelés tárgyát képezték. Ezen elemzés alapján lépéseket dolgoztak ki a vezeték nélküli hozzáférési eszközök biztonságának biztosítására.

Összefoglalva tehát bátran kijelenthetjük, hogy a vezeték nélküli kapcsolatok mára széles körben elterjedtek, elsősorban annak köszönhetően, hogy otthon vagy az irodában bárhol képesek az internettel dolgozni.

Ha azonban nem tesz intézkedéseket vezeték nélküli hálózata biztonságának biztosítására, a támadó elfoghatja a rajta keresztül továbbított adatokat, hozzáférhet a hálózathoz és a számítógépén lévő fájlokhoz, valamint a kapcsolaton keresztül az internethez is hozzáférhet.

2. A vezeték nélküli hálózatok információbiztonságát biztosító eszközök és módszerek áttekintése

2.1 Vezeték nélküli biztonsági szabályzat

A vezeték nélküli hálózatok sajátosságai azt jelentik, hogy az adatok bármikor elfoghatók és módosíthatók. Egyes technológiák szabványos vezeték nélküli adaptert igényelnek, míg mások speciális felszerelést igényelnek. De mindenesetre ezeket a fenyegetéseket meglehetősen egyszerűen hajtják végre, és ellenük hatékony kriptográfiai adatvédelmi mechanizmusokra van szükség.

A biztonsági rendszer felépítésénél fontos meghatározni a fenyegetettségi modellt, azaz eldönteni, hogy maga a védelem mit fog ellensúlyozni. Valójában két fenyegetés létezik a vezeték nélküli hálózatokban: az illetéktelen csatlakozás és a lehallgatás, de ezek listája bővíthető, ha kiemeljük és általánosítjuk a vezeték nélküli eszközökkel kapcsolatos következő főbb veszélyeket az első fejezetben felsoroltakra:

ellenőrizetlen használat és a kerület megsértése;

Jogosulatlan csatlakozás eszközökhöz és hálózatokhoz;

Forgalom elfogása és módosítása;

Rendelkezésre állás megsértése;

Eszköz pozicionálás.

A vezeték nélküli eszközök széles körben elterjedt használata és alacsony költsége ahhoz a tényhez vezet, hogy a kerületben hálózati biztonság Rések jelennek meg. Itt nem csak azokról a támadókról beszélünk, akik a PDA-t összekapcsolták Wi-Fi támogatás a cég vezetékes hálózatára, de a triviálisabb helyzetekről is. Aktív vezeték nélküli adapter a vállalati hálózatra csatlakoztatott laptopon otthonról tesztelésre hozott hozzáférési pont - mindez kényelmes csatornává válhat a belső hálózatba való behatoláshoz.

Az elégtelen hitelesítés és a beléptető rendszer hibái lehetővé teszik a jogosulatlan csatlakozásokat.

A vezeték nélküli hálózatok természetüknél fogva nem tudnak magas rendelkezésre állást biztosítani. Különféle természetes, technogén és antropogén tényezők hatékonyan zavarhatják meg normál működés rádiócsatorna. Ezt a tényt a hálózat tervezésekor figyelembe kell venni, és a vezeték nélküli hálózatokat nem szabad magas rendelkezésre állási követelményeket támasztó csatornák szervezésére használni.

A Wi-Fi állomások könnyen felismerhetők passzív módszerekkel, ami lehetővé teszi a vezeték nélküli eszköz helyének meglehetősen nagy pontosságú meghatározását. Például a Navizon rendszer használhatja a hely meghatározására mobil eszköz GPS rendszer, bázisállomások GSM és vezeték nélküli hozzáférési pontok.

A vezeték nélküli hálózatokra vonatkozó biztonsági szabályzat bemutatható különálló dokumentumként vagy a szabályozói biztonság egyéb összetevőinek részeként. A legtöbb esetben nincs szükség külön dokumentumra, mivel a vezeték nélküli hálózati szabályzat rendelkezései nagyrészt átfedésben vannak az ilyen dokumentumok hagyományos tartalmával. Például a hozzáférési pontok fizikai védelmére vonatkozó követelményeket teljesen átfedik az aktív hálózati berendezések fizikai biztonságának kérdése. Ezzel kapcsolatban külön dokumentum formájában a házirend Vezetéknélküli Biztonság a WLAN megvalósítás időszakában mutatták be, majd a dokumentumok következő átdolgozásával harmonikusan összeolvad másokkal.

Ha nem használnak vezeték nélküli hálózatokat, a biztonsági szabályzatnak tartalmaznia kell a rádióhálózatok jogosulatlan használatával járó kockázatok csökkentését célzó védelmi mechanizmusok leírását.

Az információbiztonság menedzsment területén a világ legjobb gyakorlatait az információbiztonsági menedzsment rendszerekre vonatkozó ISO/IEC 27001 (ISO 27001) nemzetközi szabvány írja le. Az ISO 27001 követelményeket határoz meg az információbiztonsági irányítási rendszerrel szemben, hogy igazolja a szervezet azon képességét, hogy megvédje információs eszközeit.

A szabvány hiteles GOST RISO/IEC 27001-2006. Követelményeket állapít meg a dokumentált információbiztonság-irányítási rendszer kidolgozására, megvalósítására, működtetésére, monitorozására, elemzésére, támogatására és fejlesztésére, az információbiztonsági irányítási és ellenőrzési intézkedések végrehajtására.

Az ISO/IEC 27001 szabvány fő előnyei:

A tanúsítás lehetővé teszi, hogy megmutassa az üzleti partnereknek, befektetőknek és ügyfeleknek, hogy a szervezet létrehozta hatékony irányítás információ biztonság;

A szabvány kompatibilis az ISO 9001:2000 és ISO 14001:2007 szabványokkal;

A szabvány nem korlátozza a szoftver és a hardver kiválasztását, nem ír elő technikai követelmények informatikai eszközökre vagy információbiztonsági eszközökre, és teljes választási szabadságot hagy a szervezet számára műszaki megoldások az információvédelemről.

Az információbiztonság fogalmát a nemzetközi szabvány úgy értelmezi, hogy biztosítja az információk titkosságát, integritását és elérhetőségét.

Alapján ezt a szabványt Javaslatok fogalmazhatók meg a szervezet vezeték nélküli biztonsági szabályzatának megsértésének valószínűségének csökkentésére:

1. Felhasználók és rendszergazdák képzése. ISO|IEC 27001 A.8.2.2. A képzés eredményeként a felhasználóknak ismerniük kell és meg kell érteniük a szabályzat korlátait, az adminisztrátoroknak pedig képesítéssel kell rendelkezniük a szabályzat megsértésének megelőzésére és észlelésére;

2. Hálózati kapcsolatok vezérlése. ISO|IEC 27001 A.11.4.3. A jogosulatlan hozzáférési pont vagy vezeték nélküli kliens csatlakoztatásával kapcsolatos kockázat csökkenthető a nem használt kapcsolóportok, a MAC-címszűrés (portbiztonság), a 802.1X hitelesítés, a behatolásérzékelő rendszerek és az új hálózati objektumok megjelenését figyelő biztonsági szkennerek letiltásával;

3. Fizikai biztonság. ISO|IEC 27001 A.9.1. A helyiségbe hozott eszközök vezérlése lehetővé teszi a vezeték nélküli eszközök hálózathoz való csatlakozásának valószínűségének korlátozását. A felhasználók és a látogatók hozzáférésének korlátozása a számítógép hálózati portjaihoz és bővítőhelyeihez csökkenti a vezeték nélküli eszköz csatlakozásának valószínűségét;

4. A felhasználói jogosultságok minimalizálása. ISO|IEC 27001 A.11.2.2. Ha a felhasználó számítógépen dolgozik minimális szükséges jogokat, akkor csökken a vezeték nélküli interfészek beállításainak jogosulatlan módosításának valószínűsége;

5. Biztonsági politika ellenőrzése. ISO|IEC 27001 6, A.6.1.8. A biztonsági elemző eszközök, például a sérülékenység-ellenőrzők lehetővé teszik az új eszközök hálózaton való megjelenésének észlelését és típusának meghatározását (az operációs rendszer verzióinak és a hálózati alkalmazások meghatározásának funkciói), valamint az ügyfélbeállítások adott profiltól való eltérésének figyelését. A külső tanácsadók által végzett ellenőrzési munkára vonatkozó feladatmeghatározásnak figyelembe kell vennie a vezeték nélküli hálózati szabályzat követelményeit;

6. Az erőforrások leltározása. ISO|IEC 27001 A.7.1.1. Aktuális frissített lista elérhetősége hálózati erőforrások megkönnyíti az új hálózati objektumok felfedezését;

7. Támadásérzékelés. ISO|IEC 27001 A.10.10.2. A hagyományos és vezeték nélküli támadásérzékelő rendszerek használata lehetővé teszi a jogosulatlan hozzáférési kísérletek azonnali észlelését;

8. Esemény kivizsgálása. ISO|IEC 27001 A.13.2. A vezeték nélküli hálózatokat érintő incidensek nem sokban különböznek a többi hasonló helyzettől, de meg kell határozni a kivizsgálásukra vonatkozó eljárásokat. Azoknál a hálózatoknál, ahol vezeték nélküli hálózatokat valósítanak meg vagy használnak, szükség lehet a házirend szakaszok kiegészítésére;

9. Jogi támogatás. ISO|IEC 27001 A.15.1.1. A vezeték nélküli hálózatok használatára az orosz és a nemzetközi előírások vonatkozhatnak. Így Oroszországban a 2,4 GHz-es frekvenciatartomány használatát az SCRF 2004. november 6-i határozata (04-03-04-003) szabályozza. Ezen túlmenően, mivel a vezeték nélküli hálózatok nagymértékben támaszkodnak a titkosításra és a használatára kriptográfiai eszközök a védelem számos esetben meglehetősen szigorú jogszabályi korlátozások alá esik, ezért tanulmányozni kell ezt a kérdést;

10. Belső és külső audit. ISO|IEC 27001 6, A.6.1.8. A biztonsági értékelési munka elvégzésekor figyelembe kell venni a vezeték nélküli hálózati szabályzat követelményeit. A WLAN biztonságának felmérésére irányuló munka lehetséges hatókörét a könyv utolsó fejezete ismerteti részletesebben;

11. Hálózati szétválasztás. ISO|IEC 27001 A.11.4.5. A vezeték nélküli hálózatok sajátosságai miatt a vezeték nélküli hozzáférési pontokat célszerű tűzfal segítségével külön hálózati szegmensbe allokálni, különösen, ha vendégelérésről van szó;

12. Titkosító biztonsági intézkedések alkalmazása. ISO|IEC 27001 A.12.3. Meg kell határozni a vezeték nélküli hálózaton (WPA vagy 802.11i) használt protokollokat és forgalomtitkosítási algoritmusokat. A 802.1X technológia alkalmazásakor meghatározásra kerülnek a digitális aláírási protokollok követelményei és a célra használt tanúsítványok aláíró kulcsának hossza;

13. Hitelesítés. ISO|IEC 27001 A.11.4.2. Meg kell határozni a hitelesítési adatok tárolásának követelményeit, azok változását, összetettségét, valamint a hálózaton keresztüli átvitel biztonságát. Az alkalmazott EAP metódusok, a RADIUS szerver nyilvános kulcsú védelmi módszerei kifejezetten definiálhatók;

14. Változások ellenőrzése a tájékoztatási rendszer. ISO|IEC 27001 A.12.5.1. Az IP-ben figyelembe kell venni a vezeték nélküli technológiákat;

15. A szoftver- és hardverhasználat elfogadhatósága. ISO|IEC 27001 A.12.4.1 Ez a szakasz a hozzáférési pontokra, vezeték nélküli kapcsolókra és vezeték nélküli kliensekre vonatkozó követelményeket tárgyalja;

16. Támadásérzékelés. ISO|IEC 27001 A.10.10.2. Meg kell határozni a vezeték nélküli támadásérzékelő rendszerekkel szemben támasztott követelményeket, és ki kell jelölni az eseményelemzés felelősségét;

17. Biztonsági események naplózása és elemzése. ISO|IEC 27001 A.10.10.1. Ez a szakasz bővíthető vezeték nélküli hálózat-specifikus események hozzáadásával a figyelt események listájához. Tartalmazhatja az előző részt;

18. Távoli hálózati hozzáférés. ISO|IEC 27001 A.11.7.2. A legtöbb esetben a vezeték nélküli hálózat felhasználóit logikailag a távelérési rendszerek felhasználói közé sorolják. Ennek oka a hasonló fenyegetések, és ennek következtében az IS ezen összetevőire jellemző ellenintézkedések. Ezenkívül az összes szakasz elvégzése után a következő dokumentumokat kell ilyen vagy olyan formában előállítani:

Útmutató a felhasználók számára a vezeték nélküli hálózat használatához;

Hozzáférési pontok, vezeték nélküli kapcsolók, munkaállomások alapbeállításai;

Eljárások vezeték nélküli hálózatok biztonságának felügyeletére;

Támadásérzékelő rendszerek profiljai;

Vezeték nélküli eseményekre reagáló eljárások.

Így elemezték az ISO/IEC 27001 szabványt, melynek alapján ajánlásokat fogalmaztak meg a szervezet vezeték nélküli biztonsági politikájának megsértésének valószínűségének csökkentésére. A vezeték nélküli hálózat biztonsági szabályzatának minden szakaszának befejezése után létre kell hozni egy listát a dokumentumokról is.

A megfelelően felépített és betartott biztonsági politika megbízható alapja a biztonságos vezeték nélküli hálózatnak. Ebből kifolyólag mind a hálózat megvalósításának szakaszában, mind az üzemeltetés során érdemes kellő figyelmet fordítani rá, tükrözve a szabályozási dokumentumokban a hálózatban bekövetkező változásokat.

2.2 Vezeték nélküli biztonsági megoldások

Bármely hálózat biztonságának fontos eleme – nem csak a vezeték nélküli – a hozzáférés- és adatvédelem. A WLAN-hoz való hozzáférés szabályozásának egyik megbízható módja a hitelesítés, amely lehetővé teszi, hogy megakadályozza, hogy illetéktelen felhasználók hozzáférési pontokon keresztül hozzáférjenek az adatkommunikációhoz. A hatékony WLAN hozzáférés-szabályozás segít meghatározni, hogy mely kliensállomások engedélyezettek, és csak megbízható hozzáférési pontokhoz társítják őket, kivéve a jogosulatlan vagy veszélyes hozzáférési pontokat.

A WLAN titkossága azt jelenti, hogy a továbbított adatokat csak az a fél tudja megfelelően visszafejteni, akinek azokat szánták. A WLAN-on keresztül továbbított adatok titkossági állapota védettnek minősül, ha az adatok olyan kulccsal vannak titkosítva, amelyet csak az adat címzettje használhat, akinek szánták. A titkosítás azt jelenti, hogy az adatok sértetlensége nem sérül a teljes átviteli folyamat során – a küldés és a fogadás során.

Napjainkban a WLAN-hálózatokat használó vállalatok négy különálló megoldást valósítanak meg a WLAN-biztonság, valamint a hozzáférés és adatvédelem terén:

Nyílt hozzáférésű;

Alapvető biztonság;

Fokozott biztonság;

Távoli hozzáférés biztonsága.

Mint minden biztonsági telepítésnél, a WLAN biztonsági megoldások bármelyikének kiválasztása és bevezetése előtt bölcs dolog elvégezni a hálózati kockázatok felmérését:

1. Nyílt hozzáférés. Minden Wi-Fi-specifikációnak megfelelő vezeték nélküli LAN-terméket nyilvános módban, letiltott biztonsági funkciókkal szállítanak. A nyílt hozzáférés vagy a biztonság hiánya megfelelhet az olyan nyilvános hotspotok igényeinek, mint a kávézók, főiskolai campusok, repülőterek vagy más nyilvános helyek, de a vállalkozások számára ez nem lehetséges. A telepítés során engedélyezni kell a biztonsági funkciókat a vezeték nélküli eszközökön. Egyes vállalatok azonban nem tartalmaznak WLAN biztonsági funkciókat, ami jelentősen megnöveli hálózataik kockázatát;

2. Alapvető biztonság: SSID, WEP és MAC cím hitelesítés. Az alapvető biztonság az azonosítók használatában rejlik hálózati SSID(Service Set Identifier), nyílt vagy megosztott kulcsú hitelesítés, statikus WEP-kulcsok és opcionálisan MAC-cím hitelesítés. Ez a kombináció használható az alapvető hozzáférési és adatvédelmi beállítások beállítására, de mindegyik külön elem az ilyen védelem feltörhető. Az SSID a WLAN alrendszerben lévő eszközök közös hálózati neve, és az alrendszer logikai elválasztására szolgál. Az SSID megakadályozza a hozzáférést minden olyan ügyféleszközről, amely nem rendelkezik SSID-vel. Alapértelmezés szerint azonban a hozzáférési pont a jelei között sugározza az SSID-jét. Még akkor is, ha letiltja az SSID sugárzását, a támadó vagy hacker felfedezheti a kívánt SSID-t az úgynevezett „szippantás” vagy „szippantás” – a hálózat feltűnő megfigyelése – segítségével. A 802.11 szabvány, az IEEE által kifejlesztett WLAN-hálózatok specifikációinak csoportja, az ügyfél-hitelesítés két módját támogatja: a nyílt hitelesítést és a megosztott kulcsú hitelesítést. A nyílt hitelesítés csak kis mértékben különbözik a megfelelő SSID megadásától. Megosztott kulcsú hitelesítés esetén a hozzáférési pont tesztszöveg-csomagot küld az ügyféleszköznek, amelyet a kliensnek a megfelelő WEP-kulccsal titkosítania kell, és vissza kell térnie a hozzáférési ponthoz. A megfelelő kulcs nélkül a hitelesítés sikertelen lesz, és az ügyfél nem kerül be a hozzáférési pont felhasználói csoportjába. A megosztott kulcsú hitelesítés nem tekinthető biztonságosnak, mivel a támadó, aki megkapta a kezdeti tesztszöveges üzenetet, és ugyanazt az üzenetet WEP-kulccsal titkosította, magát a WEP-kulcsot is vissza tudja fejteni. Nyílt hitelesítés esetén még akkor is, ha egy kliens hitelesített és hozzáfér a hozzáférési pont felhasználói csoportjához, a WEP-biztonság megakadályozza, hogy a kliens a megfelelő WEP-kulcs nélkül adatokat továbbítson erről a hozzáférési pontról. A WEP-kulcsok 40 vagy 128 bitesek lehetnek, és általában statikusan a hozzáférési pont hálózati adminisztrátora határozza meg, és minden egyes kliens, aki adatokat továbbít ezen a hozzáférési ponton keresztül. Statikus WEP-kulcsok használatakor hálózati adminisztrátor sok időt kell töltenie azzal, hogy ugyanazokat a kulcsokat írja be a WLAN minden eszközébe. Ha egy statikus WEP-kulcsot használó eszköz elveszik vagy ellopják, a hiányzó eszköz tulajdonosa hozzáférhet a WLAN-hoz. Az adminisztrátor nem tudja megállapítani, hogy illetéktelen felhasználó lépett-e be a hálózatba, amíg a hiba bejelentése nem történik meg. A rendszergazdának ezután meg kell változtatnia a WEP-kulcsot minden olyan eszközön, amely ugyanazt a statikus WEP-kulcsot használja, mint a hiányzó eszköz. Egy nagyvállalati hálózatban több száz vagy akár több ezer felhasználóval ez nehéz lehet. Tovább rontja a helyzetet, ha a statikus WEP-kulcsot egy olyan eszközzel fejtették vissza, mint az AirSnort, akkor a rendszergazda nem tudhatja, hogy a kulcsot jogosulatlan felhasználó kompromittálta. Egyes WLAN-megoldásszolgáltatók támogatják a kliens hálózati kártya (NIC) fizikai címe vagy MAC-címe alapján történő hitelesítést. A hozzáférési pont csak akkor engedélyezi az ügyfél számára a hozzáférési ponthoz való társítást, ha az ügyfél MAC-címe megegyezik a hozzáférési pont által használt hitelesítési táblázatban szereplő címek egyikével. A MAC-cím hitelesítése azonban nem megfelelő biztonsági intézkedés, mert a MAC-cím hamisítható és hálózati kártya- elveszett vagy ellopták;

3. Alapvető biztonság WPA vagy WPA2 használatával Az alapvető biztonság másik napjainkban elérhető formája a WPA vagy WPA2, amely előre megosztott kulcsot (PSK) használ. A megosztott kulcs jelszóval vagy azonosító kóddal (más néven jelmondattal) hitelesíti a felhasználókat mind az ügyfélállomáson, mind a hozzáférési ponton. Az ügyfél csak akkor férhet hozzá a hálózathoz, ha a kliens jelszava megegyezik a hozzáférési pont jelszavával. A megosztott kulcs biztosítja a titkosítási kulcs létrehozásához szükséges adatokat is, amelyeket a TKIP vagy AES algoritmusok használnak minden egyes továbbított adatcsomaghoz. Bár biztonságosabb, mint a statikus WEP-kulcs, a megosztott kulcs hasonló a statikus WEP-kulcshoz, mivel az ügyfélállomáson tárolja, és az ügyfélállomás elvesztése vagy ellopása esetén veszélybe kerülhet. Javasoljuk, hogy erős, általános jelmondatot használjon, amely különféle betűket, számokat és nem alfanumerikus karaktereket tartalmaz;

4. Alapvető biztonsági összefoglaló. Az SSID, a nyílt hitelesítés, a statikus WEP-kulcsok, a MAC-hitelesítés és a WPA/WPA2 megosztott kulcsok kombinációján alapuló alapvető WLAN-biztonság csak nagyon kis cégek számára elegendő, vagy azoknak, akik nem bíznak meg WLAN-hálózatukban a létfontosságú adatokat. Minden más szervezetet arra ösztönöznek, hogy fektessenek be robusztus, vállalati szintű WLAN biztonsági megoldásokba;

5. Fokozott biztonság. A fokozott biztonsági szint azoknak az ügyfeleknek ajánlott, akik nagyvállalati szintű biztonságot és biztonságot igényelnek. Ehhez olyan fejlett biztonságra van szükség, amely teljes mértékben támogatja a WPA-t és a WPA2-t a 802.1X kétirányú hitelesítés, valamint a TKIP és AESB titkosítás építőelemeivel, beleértve a következő képességeket:

802.1X a hatékony kétirányú hitelesítéshez és a dinamikus titkosítási kulcsokhoz felhasználónként és munkamenetenként;

TKIP az RC4-alapú titkosítás kiterjesztésére, mint például a kulcsgyorsítótárazás (csomagonként), az üzenetintegritás-ellenőrzés (MIC), az inicializálási vektor (IV) módosítása és a broadcast kulcs elforgatása;

AES állapotszintű adattitkosításhoz, maximális biztonság;

Az Intrusion Prevention System (IPS) képességei és az előfizetői mozgáskövetés – a hálózat átlátható, valós idejű képe.

6. Vezeték nélküli LAN biztonság és távoli hozzáférés. Egyes esetekben átfogó biztonságra lehet szükség az alkalmazások védelme érdekében. Védett eszköz használata távoli hozzáférés, a rendszergazdák virtuális magánhálózatot (VPN) hozhatnak létre, és lehetővé teszik a mobil felhasználók számára, hogy nyilvános hotspotokról, például repülőterekről, szállodákról és konferenciatermekről kommunikáljanak a vállalati hálózattal. Vállalatban telepítve a fejlett biztonsági megoldás minden WLAN biztonsági követelményt lefed, így szükségtelenné válik a VPN-ek használata a vállalati WLAN-on. A VPN belső WLAN-on történő használata befolyásolhatja a WLAN teljesítményét, korlátozhatja a barangolási lehetőségeket, és megnehezítheti a felhasználók számára a hálózatba való bejelentkezést. Így a VPN-hálózat belső WLAN-hálózaton való átfedésével kapcsolatos további többletterhelés és korlátozások nem tűnnek szükségesnek.

Ennek eredményeként arra a következtetésre juthatunk, hogy minden hálózat információbiztonságának biztosításához nem csak a vezeték nélküli hálózaton, hanem a minőségi hozzáférés és titoktartás fontos. Ennek elérése érdekében jelenleg négy különálló megoldást valósítanak meg aktívan: nyílt hozzáférésű, alapvető biztonság, fokozott biztonság,távelérési biztonság.

Ha a hálózati biztonságot megfelelően felépítették és minden követelményt betartanak, a hálózati biztonság magas szintű lesz, ami jelentősen megnehezíti a támadók hozzáférését a vezeték nélküli hálózathoz.

3. Mérje fel a vezeték nélküli hálózati biztonsági megoldás szükségességét és hatékonyságát

3.1 A vezeték nélküli hálózat biztonságának szükségességének felmérése

Annak ellenére, hogy a legtöbb vállalat már kiépített egy vagy másik vezeték nélküli hálózatot, a szakembereknek általában sok kérdésük van a választott megoldások biztonságával kapcsolatban, a vezeték nélküli technológiák bevezetését kerülő cégvezetők pedig aggódnak a termelékenység növelésének és az infrastruktúra költségeinek csökkentésének elszalasztott lehetőségei miatt.

Sok szervezeti vezető megérti, hogy a vezeték nélküli technológiák javíthatják a termelékenységet és az együttműködést, de haboznak bevezetni őket, mert tartanak a vállalati hálózatban a vezeték nélküli hálózatok használata miatt felmerülő sebezhetőségektől. A vezeték nélküli kommunikáció biztosítására javasolt módszerek sokfélesége és a hatékonyságuk körüli vita csak fokozza ezeket a kételyeket.

A vezeték nélküli technológia bevezetése egy közepes méretű vállalatnál számos kihívással jár, amelyek nem csak a vezeték nélküli biztonságról kérdeznek, hanem arra is, hogy szükség van-e rá egyáltalán.

Gyakori problémák, amelyek a 2. fejezetben tárgyalt biztonsági politika megfelelő végrehajtásával megoldhatók:

A vezeték nélküli hálózat telepítésének eldöntése;

A vezeték nélküli technológiák bevezetésével kapcsolatos kockázatok megértése és csökkentése;

Megközelítés meghatározása a vezeték nélküli hálózat védelmére;

Optimális vezeték nélküli hálózati biztonsági technológiák kiválasztása;

A telepített vezeték nélküli hálózat biztonsági szintjének ellenőrzése;

Meglévő eszközök integrálása vezeték nélküli hálózati biztonsági megoldásba;

Az illetéktelen vezeték nélküli hálózati kapcsolatok észlelése és megelőzése.

A vezeték nélküli kapcsolat előnyei hálózati technológiák, két kategóriába sorolható: funkcionális és gazdasági.

A funkcionális előnyök közé tartozik az alacsonyabb irányítási költségek és a tőkekiadások csökkentése, míg a gazdasági előnyök közé tartozik a termelékenység növekedése, az üzleti folyamatok hatékonyságának növekedése és a további jellemzőkúj üzleti funkciók létrehozására.

A vezeték nélküli hálózatokhoz kapcsolódó főbb gazdasági előnyök többsége az alkalmazottak fokozott rugalmasságából és mobilitásából fakad. A vezeték nélküli technológia megszünteti azokat a kényszereket, amelyek az alkalmazottakat az íróasztaluk mellett tartják, így viszonylag szabadon mozoghatnak az irodában vagy irodaházban.

De minden előny ellenére vannak hátrányok is, főleg technológiaiak, amelyek a vezeték nélküli hálózat sebezhetőségében fejeződnek ki a behatolók különféle támadásai révén (ennek a munkának az 1.2-es szakaszát szentelték).

Amint felfedezték az első generációs vezeték nélküli hálózatok ilyen technológiai hiányosságait, megkezdődött az aktív munka ezek kiküszöbölésére. Míg egyes vállalatok a vezeték nélküli szabványok javításán dolgoztak, sok elemző cég, hálózatbiztonsági szállító stb. próbálta megkerülni a korábbi szabványokban rejlő hiányosságokat.

Ennek eredményeként számos megközelítést fejlesztettek ki a vezeték nélküli hálózatok biztosítására.

Az értékelés során számos tényezőt figyelembe kell venni lehetséges módjai vezeték nélküli hálózat védelme. Az értékelés során számos mutatót kell figyelembe vennie: a megoldás megvalósításának és adminisztrálásának költségeitől a teljes biztonságig. A fenti megközelítések mindegyikének megvannak a maga előnyei és hátrányai, ezért mindegyikkel jobban meg kell ismerkednie, hogy megalapozott döntést tudjon hozni.

A legújabb vezeték nélküli biztonsági szabványok, nevezetesen a WPA és a WPA2 kiküszöbölték a WEP szabvány súlyos hiányosságait, és így szükségtelen módokon megoldásokat ezekre a hiányosságokra, például IPsec vagy VPN technológia használatával. Használjon statikus vagy dinamikus WEP algoritmus ma már semmilyen formában nem ajánlott, és a biztonság mellőzése csak néhány esetben előnyös. Így egy átfogó, hatékony megoldás kidolgozásakor a vezeték nélküli hálózat védelmére elegendő csak két megközelítést figyelembe venni.

A Wi-Fi Protected Access (WPA) és a Wi-Fi Protected Access 2 (WPA2) kifejezetten az IEEE 802.11 szabványon alapuló vezeték nélküli hálózatok fenyegetéseinek blokkolására szolgál. Van azonban néhány különbség köztük.

A WPA protokollt 2003-ban fejlesztették ki, hogy orvosolja a WEP szabvány hiányosságait. A WPA fejlesztői jó munkát végeztek a kölcsönös hitelesítés, a TKIP adattitkosítás és az aláírt üzenetek sértetlenség-ellenőrzésének támogatásában a csomaghamisítás és a visszajátszási támadások elleni védelem érdekében.

A WPA2 protokoll még többet nyújt magas szint biztonság, mert a TKIP helyett AES-t használ a hálózati forgalom biztosítására. Ezért mindig előnyben kell részesíteni a WPA-val szemben.

A WPA és WPA2 protokollok biztonsági szempontból lényegesen felülmúlják a WEP-et, ill helyes beállítás Sem az elsőben, sem a másodikban nincs ismert biztonsági rés. A WPA2 azonban biztonságosabbnak tekinthető, mint a WPA, és ha az infrastruktúra támogatja, és a WPA2-megoldás adminisztrálásával járó többletköltség elfogadható, akkor ezt kell választani.

A legtöbb ma gyártott hozzáférési pont legújabb verziói Az operációs rendszer a WPA2 protokoll követelményeinek megfelelően tanúsított. Ha a környezetében néhány hozzáférési pont vagy ügyfélszámítógép nem támogatja a WPA2-t, a WPA2-t támogató vezeték nélküli eszközök és kliensrendszerek a régebbi WPA-szabványt használhatják.

Nem szabad megfeledkeznünk a vállalat olyan fejlesztési lehetőségéről sem, mint a vezeték nélküli hálózat kiépítésének megtagadása. Van egy mondás a biztonsági szakemberek körében: „A legjobban védett rendszer az, amelyet soha senki nem kapcsol be.” Így a vezeték nélküli hálózatokban vagy bármely más technológiában rejlő sebezhetőségek elleni védekezés legmegbízhatóbb módja az, ha nem alkalmazzuk azokat. Ennek a megközelítésnek a hátránya nyilvánvaló: az a vállalat, amely megtagadja a technológia bevezetését, versenyképtelennek találhatja magát a modern gazdasági körülmények között, amikor bármilyen előny, beleértve a technológiai előnyöket is, döntő tényező lehet a sikerben.

Mint már szó volt róla, mielőtt bármilyen új technológiát bevezetnénk egy adott vállalatnál, fel kell mérni a vállalat igényeit, kockázattűrő képességét és a tényleges kockázatot. Ez alól a vezeték nélküli technológiák sem kivételek. A vezeték nélküli hálózatoknak számos előnye van, de egy adott szervezet számára ezek az előnyök nem feltétlenül olyan fontosak vagy egyáltalán nem fontosak.

A biztonságos vezeték nélküli megoldás kiválasztásakor mindent figyelembe kell vennie lehetséges opciók, beleértve a vezeték nélküli technológiák felhagyását. Ha megállapítást nyer, hogy egy szervezet nem áll készen a vezeték nélküli hálózat telepítésére, ennek a döntésnek tükröződnie kell a meglévő vállalati szabályzatokban, hogy megakadályozza, hogy a végfelhasználók gyengítsék a vállalati hálózati környezet biztonságát vezeték nélküli hálózatok jogosulatlan létrehozása miatt.

3.2 Algoritmus kidolgozása a vezeték nélküli hálózatok védelmének hatékonyságának felmérésére

A vezeték nélküli hálózat védelmének egy adott módszerének előnyeinek meghatározásához tanácsos felmérni annak biztonságát.

Ez különösen azért fontos, mert a vezeték nélküli hálózatokat gyakran alkalmazzák a vállalatirányítás számára. Ennek megfelelően a vezeték nélküli szegmenshez hozzáférő támadónak lehetősége van nemcsak arra, hogy a vállalati erőforrásokat saját céljaira használja, hanem hozzáférjen a bizalmas információés blokkolja a magas prioritású felhasználókat.

Hasonló dokumentumok

Vezeték nélküli technológia információ átadása. Vezeték nélküli helyi hálózatok fejlesztése. WEP biztonsági szabvány. WEP titkosítási eljárás. Vezeték nélküli hálózat feltörése. Rejtett hálózati azonosító mód. Hitelesítési típusok és protokollok. Vezeték nélküli hálózat feltörése.

absztrakt, hozzáadva: 2010.12.17


Vezeték nélküli hálózatok információbiztonsági technológiájának fejlesztése, amellyel növelhető a felhasználó számítógépének, vállalati hálózatainak, kis irodáinak védelme. Vezeték nélküli hálózat veszélyeinek és biztonságának elemzése. A WPA program beállítása.

szakdolgozat, hozzáadva: 2014.06.19


Az IEEE 802.11 szabvány jellemzői. A vezeték nélküli számítógépes hálózatok fő alkalmazási területei. Modern vezeték nélküli hálózatok építésének módszerei. A BSS alapvető szolgáltatási területei. A kapcsolatok típusai és fajtái. A média hozzáférési mechanizmusok áttekintése.

absztrakt, hozzáadva: 2011.12.01


A hálózati biztonsági rendszerek fejlődése. A tűzfalak, mint a hálózatok védelmének egyik fő módja, hozzáférés-ellenőrzési mechanizmusok megvalósítása külső hálózatról belső hálózatra az összes bejövő és kimenő forgalom szűrésével. Hálózatbiztonsági menedzsment.

tanfolyami munka, hozzáadva 2012.12.07


Osztályozás hálózati támadások OSI modell szinten, típusonként, a támadó és a megtámadott objektum helye szerint. IP hálózat biztonsági probléma. Vezeték nélküli hálózatok veszélyei és sebezhetőségei. IDS támadásérzékelő rendszerek osztályozása. XSpider koncepció.

tanfolyami munka, hozzáadva 2014.11.04


Elhatározás a kutatás során hatékony mód keresztül továbbított információk védelme Wi-Fi hálózatok. Alapelvek Wi-Fi működik hálózatok. A hálózathoz való jogosulatlan hozzáférés módszerei. Vezeték nélküli hálózat biztonsági algoritmusai. A kapcsolat rögzítetlen jellege.

tanfolyami munka, hozzáadva 2014.04.18


A modern vezeték nélküli hálózatok fejlesztési időszakai és alapvető szabványai. A Bluetooth technológia megjelenésének és terjedelmének története. A Wi-Fi vezeték nélküli adatátviteli technológia technológiája és működési elve. A WiMAX városi vezeték nélküli hálózati szabvány.

bemutató, hozzáadva 2014.01.22


Helyi számítógépes hálózatok kiépítésére szolgáló technológiák kiválasztása és indoklása. Az adatátviteli környezet elemzése. Hálózati teljesítmény számítása, helyiségtervezés. Hálózati szoftver kiválasztása. A vezeték nélküli internet-hozzáférési szabványok típusai.

tanfolyami munka, hozzáadva 2010.12.22


Számítógépes hálózatok használata adatátvitelre. A külső hozzáféréstől fizikailag vagy hardverrel és szoftverrel védett vállalati hálózatok használatának fő előnyei hálózat védelme. Tűzfal és titkosítási algoritmusok.

szakdolgozat, hozzáadva: 2014.09.25


Biztonsági politika kidolgozásának szükségessége a vállalat hálózati erőforrásainak használatához. Alapelemeinek elemzése. Hardver és szoftver számítógépes hálózat biztonsága. A biztonsági szint növelésének módjai, tanácsok a felhasználóknak.