Несанкционированный доступ – чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий .

Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.

Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа. Основные типовые пути несанкционированного получения информации:

· хищение носителей информации и производственных отходов;

· копирование носителей информации с преодолением мер защиты;

· маскировка под зарегистрированного пользователя;

· мистификация (маскировка под запросы системы);

· использование недостатков операционных систем и языков программирования;

· использование программных закладок и программных блоков типа "троянский конь";

· перехват электронных излучений;

· перехват акустических излучений;

· дистанционное фотографирование;

· применение подслушивающих устройств;

· злоумышленный вывод из строя механизмов защиты и т.д..

Для защиты информации от несанкционированного доступа применяются:

1) организационные мероприятия;

2) технические средства;

3) программные средства;

4) шифрование.

Организационные мероприятия включают в себя:

· пропускной режим;

· хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);

· ограничение доступа лиц в компьютерные помещения и т.д..

Технические средства включают в себя:

· фильтры, экраны на аппаратуру;

· ключ для блокировки клавиатуры;

· устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

· электронные ключи на микросхемах и т.д.

Программные средства включают в себя:

· парольный доступ – задание полномочий пользователя;

· блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;

· использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.

Шифрование–это преобразование (кодирование) открытой информации в зашифрованную, не доступную для понимания посторонних. Методы шифрования и расшифровывания сообщения изучает наука криптология, история которой насчитывает около четырех тысяч лет.

2.5. Защита информации в беспроводных сетях

Невероятно быстрые темпы внедрения в современных сетях беспроводных решений заставляют задуматься о надежности защиты данных.

Сам принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа.

Не менее опасная угроза - вероятность хищения оборудования. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или точка доступа, украденная злоумышленником, может открыть доступ к сети.

Часто несанкционированное подключение точек доступа к ЛВС выполняется самими работниками предприятия, которые не задумываются о защите.

Решением подобных проблем нужно заниматься комплексно. Организационные мероприятия выбираются исходя из условий работы каждой конкретной сети. Что касается мероприятий технического характера, то весьма хорошей результат достигается при использовании обязательной взаимной аутентификации устройств и внедрении активных средств контроля.

В 2001 году появились первые реализации драйверов и программ, позволяющих справиться с шифрованием WEP. Самый удачный - PreShared Key. Но и он хорош только при надежной шифрации и регулярной замене качественных паролей (рис.1).

Рисунок 1 - Алгоритм анализа зашифрованных данных

Современные требования к защите

Аутентификация

В настоящее время в различном сетевом оборудовании, в том числе в беспроводных устройствах, широко применяется более современный способ аутентификации, который определен в стандарте 802.1х - пока не будет проведена взаимная проверка, пользователь не может ни принимать, ни передавать никаких данных.

Ряд разработчиков используют для аутентификации в своих устройствах протоколы EAP-TLS и PEAP, Cisco Systems, предлагает для своих беспроводных сетей, помимо упомянутых, следующие протоколы: EAP-TLS, РЕАР, LEAP, EAP-FAST.

Все современные способы аутентификации подразумевают поддержку динамических ключей.

Главный недостаток LEAP и EAP-FAST - эти протоколы поддерживаются в основном в оборудовании Cisco Systems (рис. 2).

Рисунок 2 - Структура пакета 802.11x при использовании TKIP-PPK, MIC и шифрации по WEP.

Шифрование и целостность

На основании рекомендаций 802.11i Cisco Systems реализован протокол ТКIР (Temporal Integrity Protocol), обеспечивающий смену ключа шифрования РРК (Per Packet Keying) в каждом пакете и контроль целостности сообщений MIC (Message Integrity Check).

Другой перспективный протокол шифрования и обеспечения целостности - AES (Advanced Encryption Standart). Он обладает лучшей криптостойкостью по сравнению DES и ГОСТ 28147-89. Он обеспечивает и шифрацию, и целостность.

Заметим, что используемый в нем алгоритм (Rijndael) не требует больших ресурсов ни при реализации, ни при работе, что очень важно для уменьшения времени задержки данных и нагрузки на процессор.

Стандарт обеспечения безопасности в беспроводных локальных сетях - 802,11i.

Стандарт Wi-Fi Protected Access (WPA) - это набор правил, обеспечивающих реализацию защиты данных в сетях 802.11х. Начиная с августа 2003 года соответствие стандартам WPA является обязательным требованием к оборудования, сертифицируемому на звание Wi-Fi Certified.

В спецификацию WPA входит измененный протокол TKOP-PPK. Шифрование производится на сочетании нескольких ключей - текущего и последующего. При этом длина IV увеличена до 48 бит. Это дает возможность реализовать дополнительные меры по защите информации, к примеру ужесточить требования к реассоциациям, реаутентификациям.

Спецификации предусматривают и поддержку 802.1х/EAP, и аутентификацию с разделяемым ключом, и, несомненно, управление ключами.

Таблица 3 - Способы реализации политики безопасности

Показатель

Поддержка современных ОС

Сложность ПО и ресурсоёмкость аутентификации

Сложность управления

Single Sign on (единый логин в Windows)

Динамические ключи

Одноразовые пароли

Продолжение таблицы 3

При условии использования современного оборудования и ПО в настоящее время вполне возможно построить на базе стандартов серии 802.11х защищенную и устойчивую к атакам беспроводную сеть.

Почти всегда беспроводная сеть связана с проводной, а это, помимо необходимости защищать беспроводные каналы, необходимо обеспечивать защиты в проводных сетях. В противном случае сеть будет иметь фрагментарную защиту, что, по сути, является угрозой безопасности. Желательно использовать оборудование, имеющее сертификат Wi-Fi Certified, то есть подтверждающий соответствие WPA.

Нужно внедрять 802.11х/EAP/TKIP/MIC и динамическое управление ключами. В случае смешанной сети следует использовать виртуальные локальные сети; при наличии внешних антенн применяется технология виртуальных частных сетей VPN.

Необходимо сочетать как протокольные и программные способы защиты, так и административные.

11.06.2014

Технология Wi-Fi разработана на основе стандарта IEEE 802.11 и используется для создания широкополосных беспроводных сетей связи, работающих в общедоступных нелицензируемых диапазонах частот. С точки зрения безопасности следует учитывать среду передачи сигнала – в беспроводных сетях получить доступ к передаваемой информации намного проще, чем в проводных, для чего всего лишь достаточно поместить антенну в зоне распространения сигнала.

Существует два основных варианта создания топологии беспроводной сети:

  • Ad-hoc – передача напрямую между устройствами;
  • Hot-spot – передача осуществляется через точку доступа.

В Hot-spot сетях присутствует точка доступа (Accesspoint), посредством которой происходит не только взаимодействие внутри сети, но и доступ к внешним сетям. Hot-spot представляет наибольший интерес с точки зрения защиты информации, т.к., взломав точку доступа, злоумышленник может получить информацию не только со станций, размещенных в данной беспроводной сети.

С целью защиты данных в сетях Wi-Fi применяются методы ограничения доступа, аутентификации и шифрования.

Методы ограничения доступа представляют собой фильтрацию MAC-адресов и использование режима скрытого идентификатора беспроводной сети SSID (Service Set IDentifier).

Фильтрацию можно осуществлять тремя способами:

  • Точка доступа позволяет получить доступ станциям с любым MAC-адресом;
  • Точка доступа позволяет получить доступ только станциям, чьи MAC-адреса находятся в доверительном списке;
  • Точка доступа запрещает доступ станциям, чьи MAC-адреса находятся в «чёрном списке».

Режим скрытого идентификатора SSID основывается на том, что для своего обнаружения точка доступа периодически рассылает кадры-маячки (beacon frames). Каждый такой кадр содержит служебную информацию для подключения и, в частности, присутствует SSID. В случае скрытого SSID это поле пустое, т.е. невозможно обнаружить беспроводную сеть и к ней подключиться, не зная значение SSID. Но все станции в сети, подключенные к точке доступа, знают SSID и при подключении, когда рассылаются Probe Request запросы, указывают идентификаторы сетей, имеющиеся в их профилях подключений. Прослушивая рабочий трафик, с легкостью можно получить значение SSID, необходимое для подключения к желаемой точке доступа.

В сетях Wi-Fi предусмотрены два варианта аутентификации:

    Открытая аутентификация (Open Authentication), когда рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, т.е. по сути это защита на основе ограничения доступа, что небезопасно.

    Аутентификация с общим ключом (Shared Key Authentication), при котором используется статический ключ шифрования алгоритма WEP (Wired Equivalent Privacy). Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP (проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа) и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети. Схема аутентификации с общим ключом уязвима к атакам «Maninthemiddle». Алгоритм шифрования WEP – это простой XOR ключевой последовательности с полезной информацией, следовательно, прослушав трафик между станцией и точкой доступа, можно восстановить часть ключа.

Организация WECA (Wi-Fi Alliance) совместно с IEEE анонсировали стандарт WPA (англ. Wi-Fi Protected Access). В WPA используется протокол TKIP (Temporal Key Integrity Protocol, протокол проверки целостности ключа), который использует усовершенствованный способ управления ключами и покадровое изменение ключа. WPA также использует два способа аутентификации:

    Аутентификация с помощью предустановленного ключа WPA-PSK (Pre-Shared Key);

    Аутентификация с помощью RADIUS-сервера (Remote Access Dial-in User Service).

В сетях Wi-Fi используются следующие методы шифрования:

    WEP-шифрование– аналог шифрования трафика в проводных сетях. Используется симметричный потоковый шифр RC4 (Rivest Cipher 4), который достаточно быстро функционирует. На сегодняшний день WEP и RC4 не считаются криптостойкими.

    TKIP-шифрование – используется тот же симметричный потоковый шифр RC4, но является более криптостойким. С учетом всех доработок и усовершенствований TKIP все равно не считается криптостойким.

    CKIP-шифрование (Cisco Key ntegrity Protocol) – имеет сходство с протоколом TKIP. Используется протокол CMIC (Cisco Message Integrity Check) для проверки целостности сообщений.

    WPA-шифрование – вместо уязвимого RC4, используется криптостойкий алгоритм шифрования AES (Advanced Encryption Standard). Возможно использование протокола EAP (Extensible Authentication Protocol). Есть два режима: Pre-Shared Key (WPA-PSK) - каждый узел вводит пароль для доступа к сети и Enterprise - проверка осуществляется серверами RADIUS.

    WPA2-шифрование (IEEE 802.11i) – принят в 2004 году, с 2006 года WPA2 должно поддерживать все выпускаемое Wi-Fi оборудование. В данном протоколе применяется RSN (Robust Security Network, сеть с повышенной безопасностью). Изначально в WPA2 используется протокол CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счетчика). Основой является алгоритм AES. Для совместимости со старым оборудованием имеется поддержка TKIP и EAP (Extensible Authentication Protocol) с некоторыми его дополнениями. Как и в WPA есть два режима работы: Pre-Shared Key и Enterprise .

WiMAX

Вопросы безопасности в сетях WiMAX, основанных на стандарте IEEE 802.16, также как и в сетях Wi-Fi (IEEE 802.11), стоят очень остро в связи с легкостью подключения к сети.

Стандарт IEEE 802.16 определяет протокол PKM (Privacy and Key Management Protocol), протокол приватности и управления ключом. На самом же деле имеется в виду конфиденциальность, а не приватность .

В сетях WiMAX понятие защищенной связи (Security Association, SA) - это одностороннее соединение для обеспечения защищенной передачи данных между устройствами сети. SA бывают двух типов:

    Data Security Association, защищенная связь для передачи данных;

    Authorization Security Association, защищенная связь для осуществления авторизации.

Защищенная связь для передачи данных в свою очередь бывает трех типов:

    Первичная (основная) (Primary SA);

    Статическая (Static SA);

    Динамическая (Dynamic SA).

Первичная защищенная связь устанавливается абонентской станцией на время процесса инициализации. Базовая станция затем предоставляет статическую защищенную связь. Что касается динамических защищенных связей, то они устанавливаются и ликвидируются по мере необходимости для сервисных потоков. Как статическая, так и динамическая защищенные связи могут быть одной для нескольких абонентских станций.

Защищенная связь для данных определяется:

  • 16-битным идентификатором связи;
  • Методом шифрования, применяемым для защиты данных в соединении;
  • Двумя ключами Traffic Encryption Key (TEK, ключ шифрования трафика), текущий и тот, который будет использоваться, когда у текущего TEK закончится срок жизни;
  • Двумя двухбитными идентификаторами, по одному на каждый TEK;
  • Временем жизни TEK, которое может иметь значение от 30 минут до 7 дней и по умолчанию устанавливается на 12 часов;
  • Двумя 64-битными векторами инициализации, по одному на TEK (требуется для алгоритма шифрования DES);
  • Индикатором типа связи (первичная, статическая или динамическая).

Абонентские станции обычно имеют одну защищенную связь для передачи данных для вторичного частотного канала управления (Secondary Management Channel); и либо одну защищенную связь для данных для соединения в обе стороны (Uplink и Downlink), либо одну защищенную связь для передачи данных для соединения от базовой станции до абонентской и одну - для обратного.

Абонентская станция и базовая станция разделяют одну защищенную связь для осуществления авторизации. Базовая станция использует эту защищенную связь для конфигурирования защищенной связи для передачи данных.

  • сертификатом X.509, идентифицирующим абонентскую станцию, а также сертификатом X.509, идентифицирующим производителя абонентской станции;
  • 160-битовым ключом авторизации (Authorizationkey, AK), используется для аутентификации во время обмена ключами TEK;
  • 4-битовым идентификатором ключа авторизации;
  • Временем жизни ключа авторизации, которое может принимать значение от 1 дня до 70 дней и устанавливается значение по умолчанию в 7 дней;
  • 128-битовым ключом шифрования ключа (Key Encryption Key, KEK), используется для шифрования и распределения ключей TEK;
  • Ключом HMAC для нисходящих сообщений (Downlink) при обмене ключами TEK;
  • Ключом HMAC для восходящих сообщений (Uplink) при обмене ключами TEK;
  • Списком data SA, для которого данная абонентская станция авторизована.

KEK вычисляется следующим образом:

  • Проводится конкатенация шестнадцатеричного числа 0x53 с самим собой 64 раза, получаются 512 бит;
  • Вычисляется хэш-функция SHA-1 от этого числа, получаются 160 бит на выходе;
  • Первые 128 бит берутся в качестве KEK, остальные отбрасываются.

Ключи HMAC вычисляются следующим образом:

  • Проводится конкатенация шестнадцатеричного числа 0x3A (Uplink) или 0x5C (Downlink) с самим собой 64 раза;
  • Справа приписывается ключ авторизации;
  • Вычисляется хэш-функция SHA-1 от этого числа, получаются 160 бит на выходе – это и есть ключ HMAC.

В сетях WiMAX используются следующие протоколы аутентификации:

  • Extensible Authentication Protocol (EAP, расширяемый протокол аутентификации) - это протокол, описывающий более гибкую схему аутентификации по сравнению с сертификатами X.509. Она была введена в дополнении к стандарту IEEE 802.16e. EAP-сообщения кодируются прямо в кадры управления. В связи с этим в протокол PKM были добавлены два новых сообщения PKM EAP request (EAP-запрос) и PKM EAP response (EAP-ответ). Стандарт IEEE 802.16e не устанавливает какой-либо определенный метод аутентификации EAP, эта область сейчас активно исследуется.
  • Privacy and Key Management Protocol (PKM Protocol) - это протокол для получения авторизации и ключей шифрования трафика TEK.

Стандарт IEEE 802.16 использует алгоритм DES в режиме сцепления блока шифров для шифрования данных. В настоящее время DES считается небезопасным, поэтому в дополнении к стандарту IEEE 802.16e для шифрования данных был добавлен алгоритм AES.

Стандарт 802.16e определяет использование шифрования AES в четырех режимах:

  • Cipher Block Chaining (CBC, режим сцепления блока шифров);
  • Counter Encryption (CTR, шифрование счетчика);
  • Counter Encryption with Cipher Block Chaining message authentication code (CCM, счетчиковое шифрование с message authentication code, полученным сцеплением блока шифров), добавляет возможность проверки подлинности зашифрованного сообщения к режиму CTR;
  • Electronic Code Book (ECB, режим электронной кодовой книги), используется для шифрования ключей TEK.

Можно отментить следующие уязвимости в стандарте IEEE 802.16:

  • Атаки физического уровня, такие как глушение передачи сигнала, ведущее к отказу доступа или лавинный наплыв кадров (flooding), имеющий целью истощить батарею станции. Эффективных способов противостоять таким угрозам на сегодня нет.
  • Самозваные базовые станции, что связано с отсутствием сертификата базовой станции. В стандарте проявляется явная несимметричность в вопросах аутентификации. Предложенное решение этой проблемы - инфраструктура управления ключом в беспроводной среде (WKMI, Wireless Key Management Infrastructure), основанная на стандарте IEEE 802.11i. В этой инфраструктуре есть взаимная аутентификация с помощью сертификатов X.509.
  • Уязвимость, связанная с неслучайностью генерации базовой станцией ключей авторизации. Взаимное участие базовой и абонентской станции, возможно, решило бы эту проблему.
  • Возможность повторно использовать ключи TEK, чей срок жизни уже истек. Это связано с очень малым размером поля EKS индекса ключа TEK. Так как наибольшее время жизни ключа авторизации 70 суток, то есть 100800 минут, а наименьшее время жизни ключа TEK 30 минут, то необходимое число возможных идентификаторов ключа TEK - 3360. А это означает, что число необходимых бит для поля EKS - 12.
  • Еще одна проблема связана, как уже упоминалось, с небезопасностью использования шифрования DES. При достаточно большом времени жизни ключа TEK и интенсивном обмене сообщениями возможность взлома шифра представляет реальную угрозу безопасности. Эта проблема была устранена с введением шифрования AES в поправке к стандарту IEEE 802.16e. Однако, большое число пользователей до сих пор имеет оборудование, поддерживающее лишь старый стандарт IEEE 802.16 .

LTE

Архитектура сетей LTE (Long Term Evolution) сильно отличается от схемы, используемой в существующих сетях 3G. Это различие порождает необходимость адаптировать и улучшать механизмы обеспечения безопасности . Наиболее важным требованием к механизмам безопасности остается гарантия по крайней мере того же уровня безопасности, который уже существует в сетях стандарта 3G. Основные изменения и дополнения, предназначенные для удовлетворения новых требований, были сформулированы следующим образом:

  • Иерархическая ключевая инфраструктура, в рамках которой для решения различных задач используются различные ключи;
  • Разделение механизмов безопасности для слоя без доступа (NAS), на котором осуществляется поддержка связи между узлом ядра сети и мобильным терминалом (UE), и механизмов безопасности для слоя с доступом (AS), обеспечивающего взаимодействие между оконечным сетевым оборудованием (включая набор базовых станций NodeB (eNB)) и мобильными терминалами;
  • Концепция превентивной безопасности, которая способна снизить масштабы урона, наносимого при компрометации ключей;
  • Добавление механизмов безопасности для обмена данными между сетями 3G и LTE.

В настоящий момент широко используются различные механизмы безопасности для сетей 3G, позволяющие обеспечить конфиденциальность пользовательских данных, аутентификацию абонентов, конфиденциальность данных при их передаче по протоколам U-Plane (пользовательские данные) и C-Plane (управляющие данные), а также комплексную защиту протокола C-Plane при его совместном использовании с другими международными стандартами обмена. Существуют четыре основных требования к механизмам безопасности технологии LTE:

  • Обеспечить как минимум такой же уровень безопасности, как и в сетях типа 3G, не доставляя неудобства пользователям;
  • Обеспечить защиту от Интернет-атак;
  • Механизмы безопасности для сетей LTE не должен создавать препятствий для перехода со стандарта 3G на стандарт LTE;
  • Обеспечить возможность дальнейшего использования программно-аппаратного модуля USIM (Universal Subscriber Identity Module, универсальная сим-карта).

Последние два пункта обеспечиваются использованием механизма 3GPP AKA (Authentication and Key Agreement). Требования же безопасности к компоненту Evolved Packet Core, т.е. к ядру сети LTE, могут быть выполнены с использованием технологии безопасной доменной зоны (NDS – Network Domain Security) на сетевом уровне, как это описано в стандарте TS33.210, также как и для сетей 3G.

Тем не менее, так как в технологии LTE некоторый функционал контроллеров радиосети (RNC) интегрирован в eNB, то решения, применимые в рамках 3G-сетей, не могут быть прямо переложены на сети LTE. К примеру, базовые станции eNB осуществляют хранение ключа шифрования только на период сеанса связи с мобильным терминалом. То есть, в отличие от сетей 3G, ключ шифрования для закрытия управляющих сообщений не хранится в памяти, если связь с мобильным терминалом не установлена. Кроме того, базовые станции сети LTE могут быть установлены в незащищённой местности для обеспечения покрытие внутренних помещений (например, офисов), что, ожидаемо, приведет к возрастанию риска несанкционированного доступа к ним. Поэтому меры противодействия, описанные ниже, разработаны специально для минимизации вреда, наносимого в случае кражи ключевой информации из базовых станций.

Для закрытия данных в сетях LTE используется потоковое шифрование методом наложения на открытую информацию псевдослучайной последовательности (ПСП) с помощью оператора XOR (исключающее или), также как и в сетях 3G. Ключевым моментов в схеме является тот факт, что псевдослучайная последовательность некогда не повторяется. Алгоритмы, используемые в сетях 3G и LTE, вырабатывает псевдослучайную последовательность конечной длины. Поэтому для защиты от коллизий ключ, используемый для генерации ПСП, регулярно меняется, например, при подключении к сети, в процессе передачи и т.д. В сетях 3G для генерации сеансового ключа необходимо использование механизма Аутентификации и Ключевого обмена (AKA). Работа механизма AKA может занять доли секунды, необходимые для выработки ключа в приложении USIM и для установления соединения с Центром регистрации (HSS). Таким образом, для достижения скорости передачи данных сетей LTE, необходимо добавить функцию обновления ключевой информации без инициализации механизма AKA. Для решения этой проблемы в рамках технологии LTE, предлагается использовать иерархическую ключевую инфраструктуру, показанную на Рисунке 5.

Рисунок 5 – Применение иерархической ключевой инфраструктуры для обеспечения безопасности в сетях LTE

Так же как и в сетях 3G, приложение USIM и Центр аутентификации (AuC) осуществляет предварительное распределение ключей (ключа К). Когда механизм AKA инициализируется для осуществления двусторонней аутентификации пользователя и сети, генерируются ключ шифрования CK и ключ общей защиты, которые затем передаются из ПО USIM в мобильное оборудование (ME) и из Центра аутентификации в Центр регистрации (HSS). Мобильное оборудование (ME) и Центр регистрации (HSS), используя ключевую пару (CK; IK) и ID используемой сети вырабатывает ключ KASME. Устанавливая зависимость ключа от ID сети, Центр регистрации гарантирует возможность использования ключа только в рамках этой сети. Далее, KASME передается из Центра регистрации в устройство мобильного управления (MME) текущей сети, где используется в качестве мастер-ключа. На основании KASME вырабатывается ключ KNASenc, необходимый для шифрования данных протокола NAS между Мобильным устройством (UE) и Устройством мобильного управления (MME) и ключ KNASint, необходимый для защиты целостности. Когда Мобильное устройство (UE) подключается к сети, MME генерирует ключ KeNB и передает его базовым станциям. В свою очередь, из ключа KeNB вырабатывается ключ KUPenc, используемый для шифрования пользовательских данных протокола U-Plane, ключ KRRCenc для протокола RRC (Radio Resource Control - протокол взаимодействия между мобильными устройствами и базовыми станциями) и ключ KRRClint, предназначенный для защиты целостности.

Применяется также разделение механизмов безопасности для Слоя без доступа (NAS) и Слоя с доступом (AS). Поскольку предполагается, что большие объемы данных могут передаваться только при подключенном мобильном устройстве (UE), сеть LTE устанавливает защищенное соединение между мобильным устройством (UE) и базовой станцией (eNB) только для подключенных мобильных устройств. Следовательно, мобильному устройству в режиме ожидания не нужно сохранять свое состояние на базовой станции. Так как сообщения уровня Слоя без доступа (NAS) передаются на Мобильное устройство в режиме ожидания, защищенный канал уровня NAS устанавливается между мобильным устройством и узлом ядра сети, т.е. устройством мобильного управления (MME). После аутентификации мобильного устройства, устройство мобильного управления запоминает мастер-ключ текущей сети KASME. Функции безопасности уровня NAS инициализируют шифрование и комплексную защиту NAS-соединения, используя для этого ключи KNASenc и KNASint. К этому моменту устройство мобильного управления (MME) должно определить, от какого именно мобильного устройства пришел запрос на прохождение аутентификации. Это необходимо для корректного выбора ключей для алгоритма дешифрования и проверки целостности передаваемых данных. Поскольку параметр UE ID (IMSI – идентификатор мобильного абонента) должен быть защищен при передачи по радиосети, для технологии LTE было предложено использовать вместо него временный параметр GUTI (временный идентификатор мобильного оператора). Значение GUTI периодически изменяется, таким образом, становится невозможно отследить, какое именно значение использует конкретное мобильное устройство.

Как только мобильное устройство входит в режим активности, базовая станция инициализирует механизмы безопасности уровня доступа (AS - AccessStratum) с помощью специальных команд. С этого момента механизмы обеспечения безопасности контролируют любое взаимодействие между устройством и базовой станцией. Алгоритмы, используемые для обеспечения безопасности уровня доступа, выбираются независимо из перечня алгоритмов, используемых для уровня Слоя без доступа. Для стран, запрещающих шифрование информации, существует режим, обеспечивающий установление надежного соединения без закрытия данных.

В сетях LTE алгоритмы шифрования и обеспечения комплексной безопасности основаны на технологии Snow 3G и стандарте AES. Помимо этих двух алгоритмов, технология 3GPP использует два дополнительных алгоритма таким образом, что даже если один из алгоритмов будет взломан, оставшиеся должны обеспечить безопасность сети LTE .

Список использованной литературы:

    «Безопасность беспроводных сетей». С.В. Гордейчик, В.В. Дубровин, Горячая линия – Телеком, 2008

    Fernandez, E.B. & VanHilst, M., Chapter 10 «An Overview of WiMAX Security» in «WiMAX Standards and Security» (Edited by M. Ilyas & S. Ahson), CRC Press, June 2007

    «Защита данных в сетях LTE». По материалам компании ЗАО «Перспективный Мониторинг»

На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

Анализ безопасности беспроводных сетей.

На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

Однако данная безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей которые может получить хакер при халатности в настройке беспроводной сети:

Доступ к ресурсам локальной сети;

Прослушивание, воровство (имеется ввиду непосредственно интернет-траффик) трафика;

Искажение проходящей в сети информации;

Внедрение поддельной точки доступа;

Немного теории.

1997 год – выход в свет первого стандарта IEEE 802.11. Варианты защиты доступа к сети:

1. Использовался простой пароль SSID (Server Set ID) для доступа в локальную сеть. Данный вариант не предоставляет должного уровня защиты, особенно для нынешнего уровня технологий.

2. Использование WEP (Wired Equivalent Privacy) – то есть использование цифровых ключей шифрования потоков данных с помощью данной функции. Сами ключи это всего лишь обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.

2001 год - внедрение нового стандарта IEEE 802.1X. Данный стандарт использует динамические 128-разрядные ключи шифрования, то есть периодически изменяющихся во времени. Основная идея заключается в том, что пользователь сети работает сеансами, по завершении которых им присылается новый ключ - время сеанса зависит от ОС (Windows XP - по умолчанию время одного сеанса равно 30 минутам).

На данный момент существуют стандарты 802.11:

802.11 - Первоначальный базовый стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 Мбит/с.

802.11a - Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.

I802.11b - Наиболее распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN

802.11f - Стандарт, описывающий порядок связи между равнозначными точками доступа.

802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11h - Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.

802.11i (WPA2) - Стандарт, исправляющий существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.

На данный момент широко используется 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.

2003 года - был внедрён стандарт WPA (Wi-Fi Protected Access), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP (Temporal Key Integrity Protocol), протоколом расширенной аутентификации EAP (Extensible Authentication Protocol) и технологией проверки целостности сообщений MIC (Message Integrity Check).

Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков. Ведущими являются такие гиганты как Intel и Cisco.

2004 год - появляется WPA2, или 802.11i, - максимально защищённый на данное время стандарт.

Технологии защиты Fi-Wi сетей.

WEP

Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации IV (Initialization Vector), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, что позволяет при шифровании оперировать и постоянными, и случайно выбранными символами. Но с другой стороны 24 бита это всего лишь ~16 миллионов комбинаций (2 24 степени) – то есть по истечению цикла генерации ключа начинается новый цикл. Взлом осуществляется достаточно элементарно:

1) Нахождение повтора (минимальное время, для ключа длинной 40 бит – от 10 минут).

2) Взлом остальной части (по сути - секунды)

3) Вы можете внедряться в чужую сеть.

При этом для взлома ключа имеются достаточно распространенные утилиты такие как WEPcrack.

802.1X

IEEE 802.1X - это основополагающий стандарт для беспроводных сетей. На данный момент он поддерживается ОС Windows XP и Windows Server 2003.

802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно - RC4, но с некоторыми отличиями (большая «мобильность», т.е. имеется возможность подключения в сеть даже PDA-устройства) и исправлениями (взлом WEP и т. п.).

802.1X базируется на протоколе расширенной аутентификации EAP (Extensible Authentication Protocol), протоколе защиты транспортного уровня TLS (Transport Layer Security) и сервере доступа RADIUS (Remote Access Dial-in User Service).

После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время - время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными.

Отдельно необходимо упомянуть о безопасности RADIUS: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно и многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (сleartext и CHAP), имеет среднюю степень защищенности. В RADIUS"е шифруется только cleartext-пароли, весь остальной пакет остается "открытым" (с точки зрения безопасности даже имя пользователя является очень важным параметром). А вот CHAP – это отдельный разговор. Идея в том, что бы cleartext-пароль ни в каком виде никогда не передавался бы через сеть. А именно: при аутентификации пользователя клиент посылает пользовательской машине некий Challenge (произвольная случайная последовательность символов), пользователь вводит пароль и с этим Challengе"ем пользовательская машина производит некие шифрующий действия используя введенный пароль (как правило это обыкновенное шифрование по алгоритму MD5 (RFC-1321). Получается Response. Этот Response отправляется назад клиенту, а клиент все в совокупности (Challenge и Response) отправляет на аутентификацию 3A-серверу (Authentication, Authorization, Accounting). Тот (также имея на своей стороне пользовательский пароль) производит те же самые действия с Challeng"ем и сравнивает свой Response с полученным от клиента: сходится - пользователь аутентифицирован, нет - отказ. Таким образом, cleartext-пароль знают только сам пользователь и 3А-сервер и пароль открытым текстом не "ходит" через сеть и не может быть взломан.

WPA

WPA (Wi-Fi Protected Access) - это временный стандарт (технология защищённого доступа к беспроводным сетям), который является переходным перед IEEE 802.11i. По сути, WPA совмещает в себе:

802.1X - основополагающий стандарт для беспроводных сетей;

EAP - протокол расширенной аутентификации (Extensible Authentication Protocol);

TKIP - протокол интеграции временного ключа (Temporal Key Integrity Protocol);

MIC - технология проверки целостности сообщений (Message Integrity Check).

Основные модули - TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых примерно 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой. От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.

Правда, TKIP сейчас не является лучшим в реализации шифрования, из-за новой технологии Advanced Encryption Standard (AES), используемой ранее в VPN.

VPN

Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN наверное одна из самых надежных с точки зрения шифрования и надёжности аутентификации.

Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65-70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.

Технология VPN не была ориентированна именно для Wi-Fi - она может использоваться для любого типа сетей, но защита с её помощью беспроводных сетей наиболее правильное решение.

Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы. Хотя всё это достаточно громоздко, но очень надёжно. Но как и все - это имеет свои недостатки, в данном случае их два:

Необходимость в достаточно емком администрировании;

Уменьшение пропускной способности канала на 30-40%.

За исключением этого – VPN, это вполне понятный выбор. Тем более в последнее время, развитие VPN оборудования происходит как раз в направлении улучшения безопасности и мобильности. Законченное решение IPsec VPN в серии Cisco VPN 5000 служит ярким примером. Тем более что в данной линейке представлена пока только единственное сегодня решение VPN на основе клиентов, которое поддерживает Windows 95/98/NT/2000, MacOS, Linux и Solaris. Кроме этого бесплатная лицензия на использование марки и распространение программного обеспечения клиента IPsec VPN поставляется со всеми продуктами VPN 5000, что тоже не маловажно.

Основные моменты защиты Fi-Wi сетей организации.

В свете всего выше изложенного можно убедиться что имеющиеся на данный момент механизмы и технологии защиты позволяют обеспечить безопасность вашей сети, при использовании Fi-Wi. Естественно если администраторы не будут полагаться только на элементарные настройки, а озаботятся тонкой настройкой. Конечно нельзя сказать, что таким образом ваша сеть превратится в неприступный бастион, но выделив достаточно серьезные средства на оборудование, время для настройки и конечно для постоянного контроля – можно обеспечить безопасность с вероятностью примерно до 95 %.

Основные моменты при организации и настройке Wi-Fi сети которыми не стоит пренебрегать:

- Выбор и установка точки доступа:

> перед приобретением внимательно ознакомьтесь с документацией и имеющейся на данный момент информации о дырах в реализации ПО для этого класса оборудования (всем известный пример дыры в IOS маршрутизаторов Cisco, позволяющая злоумышленнику получить доступ к листу конфига). Возможно будет смысл ограничиться покупкой более дешевого варианта и обновлением ОС сетевого устройства;

> изучите поддерживаемые протоколы и технологии шифрования;

> при возможности приобретайте устройства, использующие WPA2 и 802.11i, так как они для обеспечения безопасности используют новую технологию - Advanced Encryption Standard (AES). На данный момент это могут быть двухдиапазонные точеки доступа (AP) к сетям IEEE 802.11a/b/g Cisco Aironet 1130AG и 1230AG. Данные устройства поддерживают стандарт безопасности IEEE 802.11i, технологию защиты от вторжений Wi-Fi Protected Access 2 (WPA2) с использованием Advanced Encryption Standard (AES) и гарантируют емкость, отвечающую самым высоким требованиям пользователей беспроводных локальных сетей. Новые АР используют преимущества двухдиапазонных технологий IEEE 802.11a/b/g и сохраняют полную совместимость с ранними версиями устройств, работающих на IEEE 802.11b;

> подготовьте предварительно клиентские машины для совместной работы с приобретаемым оборудованием. На данный момент некоторые технологии шифрования могут не поддерживаться ОС или драйверами. Это поможет избежать лишних затрат времени при разворачивании сети;

> не устанавливать точку доступа вне брандмауэра;

> располагайте антенны внутри стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «извне».

> используйте направленные антенны, не используйте радиоканал по умолчанию.

- Настройка точки доступа:

> если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Изначально не давайте возможность хакеру при внедрении в вашу сеть контролировать ключевые узлы по радиоканалу. Отключите вещание по радиоканалу такие протоколы как SNMP, web-интерфейс администрирования и telnet;

> обязательно(!) используйте сложный пароль для доступа к настройкам точки доступа;

> если точка доступа позволяет управлять доступом клиентов по MAC-адресам непременно используйте это;

> если оборудование позволяет запретить трансляцию в эфир идентификатора SSID – сделайте это обязательно. Но при этом у хакера всегда есть возможность получить SSID при подключении как легитимного клиент;

> политика безопасности должна запрещать беспроводным клиентам осуществлять ad-hoc соединения (такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик). Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.

- Выбор настройки в зависимости от технологии:

> если есть возможность - запретите доступ для клиентов с SSID;

> если нет другой возможности - обязательно включайте хотя бы WEP, но не ниже 128bit.

> если при установке драйверов сетевых устройств предлагается на выбор три технологиями шифрования: WEP, WEP/WPA и WPA, то выбирайте WPA;

> если в настройках устройства предлагается выбор: “Shared Key“(возможен перехват WEP-ключа, который одинаков для всех клиентов) и “Open System”(возможно внедрение в сеть, если известен SSID) - выбирайте “Shared Key”. В данном случае (если вы используете WEP-аутентификацию) – наиболее желательно включить фильтрацию по МАС-адресу;

> если ваша сеть не велика – можно выбрать Pre-Shared Key (PSK).

> если есть возможность использовать 802.1X. Но при этом при настройке RADIUS-сервера желательно выбирать тип аутентификации CHAP;

> максимальный уровень безопасности на данный момент обеспечивает применение VPN - используйте эту технологию.

- Пароли и ключи:

> при использовании SSID придерживайтесь требований аналогичных требованиям парольной защиты - SSID должен быть уникален (не забывайте, что SSID не шифруется и может быть легко перехвачен!);

> всегда используйте максимально длинные ключи. Не используйте ключи меньше 128 бит;

> не забывайте про парольную защиту – используйте генератор паролей, меняйте пароли через определенный промежуток времени, храните пароли в тайне;

> в настройках обычно имеется выбор из четырёх заранее заданных ключей - используйте их все, меняя по определенному алгоритму. По возможности ориентируйтесь не на дни недели (всегда существуют люди в любой организации, работающие по выходным – что мешает осуществить внедрение в сеть в эти дни?).

> старайтесь применять длинные динамически изменяющиеся ключи. Если вы используете статические ключи и пароли, меняйте пароли через определенный промежуток времени.

> проинструктируйте пользователей, что бы они хранили пароли и ключи в тайне. Особенно важно, если некоторые используют для входа ноутбуки которые хранят дома.

- Сетевые настройки:

> для организации разделяемых ресурсов используйте NetBEUI. Если это не противоречит концепции вашей сети - не используйте в беспроводных сетях протокол TCP/IP для организации папок и принтеров общего доступа.

> не разрешайте гостевой доступ к ресурсам общего доступа;

> старайтесь не использовать в беспроводной сети DHCP - используйте статические IP-адреса;

> ограничьте количество протоколов внутри WLAN только необходимыми.

- Общее:

> на всех клиентах беспроводной сети используйте файерволлы или при ХР хотя бы активизируйте брандмауэр;

> регулярно следите за уязвимостями, обновлениями, прошивками и драйверами ваших устройств;

> используйте периодически сканеры безопасности, для выявления скрытых проблем;

> определите инструменты для выполнения беспроводного сканирования, а также частоту выполнения этого сканирования. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.

> если финансы вашей организации позволяют – приобретите системы обнаружения вторжения (IDS, Intrusion Detection System), такие как:

CiscoWorks Wireless LAN Solution Engine (WLSE), в которой реализовано несколько новых функций - самовосстановление, расширенное обнаружение несанкционированного доступа, автоматизированное обследование площадки развертывания, "теплое" резервирование, отслеживание клиентов с созданием отчетов в реальном времени.
CiscoWorks WLSE - централизованное решение системного уровня для управления всей беспроводной инфраструктурой на базе продуктов Cisco Aironet. Усовершенствованные функции управления радиоканалом и устройствами, поддерживаемые CiscoWorks WLSE, упрощают текущую эксплуатацию беспроводной сети, обеспечивают беспрепятственное развертывание, повышают безопасность, гарантируют максимальную степень готовности, сокращая при этом расходы на развертывание и эксплуатацию.

Система Hitachi AirLocation использует сеть стандарта IEEE802.11b и способна работать как внутри помещений, так и вне зданий. Точность определения координат объекта, по словам разработчиков, составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS- систем. Система состоит из сервера определения координат, управляющего сервера, комплекта из нескольких базовых станций, комплекта WLAN- оборудования и специализированного ПО. Минимальная цена комплекта - около $46,3 тыс. Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа.

Да цены на такое оборудование достаточно высоки, но любая серьезная компания может решить потратить данную сумму для того, что бы быть уверенной в безопасности свой беспроводной сети.

"…Защита информации и беспроводные сети?
А что, разве это не взаимоисключающие понятия?"
Из разговора на выставке "Связьэкспоком-2004 "

Устройства беспроводной связи на базе стандартов 802.11х очень агрессивно продвигаются сегодня на рынке сетевого оборудования. Это и не удивительно: удобство работы для мобильных и квазимобильных пользователей, организация коммерческих и корпоративных хот-спотов, "последняя миля", связь локальных сетей (ЛС) между собой - все это далеко не полный перечень оснований для внедрения таких решений. И действительно, количество всевозможного работающего оборудования стандартов 802.11х в мире впечатляет: по данным компании J"son & Partners, число только хот-спотов в конце 2003 г. превысило 43 тыс., а к концу 2004 г. оно должно достигнуть 140 тыс. Доля России в этих показателях невелика, однако количество сетей беспроводной связи (и хот-спотов в том числе) и у нас неуклонно растет. Заметим также, что в нашей стране более 80% корпоративных сетей беспроводной связи построено на "старейшем" и наиболее часто используемом оборудовании - Cisco Aironet.

Но впечатляют не только цифры; гораздо удивительнее количество заблуждений, связанных с обеспечением безопасной передачи данных в таких сетях. Разброс мнений здесь самый широкий: от полного доверия ко всякому оборудованию и любым его настройкам до нелестных характеристик того рода, что мы привели в качестве эпиграфа.

802.11х - восприимчивость к угрозам извне

Сама суть беспроводной передачи данных таит в себе возможность несанкционированных подключений к точкам доступа, перехвата данных и прочих неприятностей. Отсутствие кабеля, который организационно несложно защитить, вызывает ощущение неприятной открытости и доступности.

Стоит упомянуть о "непротокольных" угрозах - именно они и составляют основу проблемы. При разработке беспроводной корпоративной сети администраторы в первую очередь заботятся о качественном покрытии территории офиса. Очень часто никто просто не берет в расчет, что коварные хакеры могут подключиться к сети прямо из автомобиля, припаркованного на улице. Кроме того, бывают ситуации, когда в принципе нельзя ликвидировать саму возможность "слышать" передаваемый трафик. Пример - внешние антенны. Кстати, в странах СНГ соединение ЛС офисов между собой с помощью "беспроводки" - весьма популярное решение.

Не менее опасная угроза - возможность хищения оборудования. Если политика безопасности беспроводной сети построена на МАС-адресах, то любой компонент (сетевая карта, точка доступа), украденный злоумышленником, моментально делает эту сеть открытой.

И, наконец, проблема "слишком умных" пользователей. Часто несанкционированное подключение точек доступа к ЛС - дело рук самих сотрудников организации. Причем делается это исключительно для удобства работы, иногда даже с благими намерениями. Конечно же, защиту информации при подключении к сети таких устройств эти сотрудники обеспечивают тоже самостоятельно и не всегда представляют себе последствия такой "самозащиты".

Решением этих и подобных проблем нужно заниматься комплексно. Заметим сразу, что организационные мероприятия в рамках данной статьи не рассматриваются, - они чаще всего выбираются на основании условий работы каждой конкретной сети. Что касается мероприятий технического свойства, то весьма хороший результат дают обязательная взаимная аутентификация устройств и внедрение активных (например, Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) и пассивных (таких, как APTools 0.1.0, xprobe 0.0.2) средств контроля.

Уязвимость "старых" методов защиты

Защитой данных в беспроводных сетях комитет IEEE 802.11 занимался всегда. К сожалению, методы обеспечения безопасности сетей 802.11х на этапе их начального развития (1997-1998 гг.) использовались, мягко говоря, неудачные. Они включали шифрование по протоколу WEP (Wired Equivalent Privacy) и аутентификацию: на основании МАС-адреса, открытую (Open) и по разделяемому ключу (PreShared Key).

Рассмотрим перечисленные методы по порядку. Классический протокол шифрования WEP, разработанный компанией RSA Data Security, использует 40-разрядный ключ, который складывается со сгенерированным вектором инициализации (IV, его длина 24 бит). С помощью полученного ключа по алгоритму RC4 шифруются пользовательские данные и контрольная сумма. Вектор IV передается в открытом виде.

Первый минус этого способа - 40-разрядного ключа недостаточно для спокойствия. Даже DES с его 56-разрядным ключом давно признан ненадежным. Второй минус - неизменяемость ключа; применение статичного ключа упрощает проблему взлома. Раз уж 40-разрядный ключ ненадежен, хотелось бы его менять почаще. И, наконец, сам подход к шифрованию весьма сомнителен. Размер IV - 24 бит, значит, он повторится не позднее чем через 5 ч (длина пакета 1500 байт, скорость 11 Мбит/с).

Никита Борисов, Йэн Голдберг и Дэвид Вагнер первыми изучили эту проблему, и уже в 2001 г. появились первые реализации драйверов и программ, позволяющих справиться с шифрованием WEP. Документ, описывающий эту уязвимость, опубликован по адресу: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l.

Способы аутентификации тоже не слишком надежны. Например, ничего не стоит "подслушать" всю процедуру аутентификации по МАС-адресу - ведь МАС-адреса в кадре передаются незашифрованными. Если злоумышленник знает о принятом способе аутентификации - он уже практически готов войти в сеть. Самый надежный из перечисленных способов - PreShared Key, но и он хорош только при надежном шифровании и регулярной замене качественных паролей.

Распространено заблуждение, что применение уникального Service Set ID (SSID) позволяет избежать несанкционированных подключений. Увы, SSID пригоден лишь для логического разбиения сетевых устройств на группы - не более того. Единственное, что можно сделать с помощью SSID, - это смутить юного хакера использованием "непечатных" символов. Точки доступа (Access Point, AP), например, от Cisco Systems позволяют сделать это (можно указывать символы, входящие в SSID в шестнадцатеричном виде, - \xbd\xba).

Таким образом, если еще учесть массу "любознательных" подростков с ноутбуками, в сети беспроводной связи неизбежно встает проблема защиты от почти гарантированных WEP-атак.

WEP-атаки

Недостаточность длины ключа, отсутствие его ротаций и сам принцип шифрования RC4, описанный выше, позволяют организовать весьма эффективную пассивную атаку. Причем злоумышленнику не нужно совершать никаких действий, по которым его можно было бы обнаружить, достаточно просто слушать канал. При этом не требуется и специального оборудования - хватит обычной WLAN-карточки, купленной долларов за 20-25, а также программы, которая будет накапливать пакеты на жестком диске до совпадения значений вектора IV. Когда количество пакетов станет достаточным (чаще всего от 1 млн до 4 млн), легко вычислить WEP-ключ. Одна из самых популярных программ для таких "упражнений" - AirSnort (http://airsnort.shmoo.com). Это ПО работает с сетевыми картами от Cisco Systems, карточками на базе НМС Prism-2 (их довольно много), а также на картах Orinoco или их клонах.

Неплохих результатов может достичь хакер, использующий активные способы атаки. Например, можно посылать известные данные извне ЛС, скажем, из Интернета, одновременно анализируя, как их зашифровала точка доступа. Такой метод позволяет и вычислить ключ, и манипулировать данными.

Еще один метод активной атаки - Bit-Flip attack. Алгоритм действий здесь следующий (рис. 1):

  1. Перехватываем фрейм, зашифрованный WEP.
  2. Меняем произвольно несколько битов в поле "данные" и пересчитываем контрольную сумму CRC-32.
  3. Посылаем модифицированный фрейм на точку доступа.
  4. Точка доступа примет фрейм на канальном уровне, поскольку контрольная сумма верна.
  5. Точка доступа попытается дешифровать данные и ответит заранее известным текстом, например: "Ваш ключ шифрования неверен".
  6. Сравнение текста в зашифрованном и незашифрованном виде может позволить вычислить ключ.

В рамках данной статьи мы не будем рассматривать возможную DOS-атаку на оборудование, использующее способ широкополосной модуляции DSSS. К оборудованию этого типа относятся устройства стандарта 802.11b и 802.11a, работающие на низких скоростях.

Промежуточные выводы

Все вышесказанное позволяет говорить о ненадежности старых методов обеспечения безопасности в беспроводных сетях; а если оборудование не позволяет реализовать современные решения для защиты информации, то выбор стратегий невелик: либо использовать строжайшую административную политику (см. врезку "Административные меры"), либо применять технологию IPSec - ESP.

Технология IPSec - ESP, безусловно, позволит защитить данные, но сильно снизит производительность ЛС. Все-таки эта технология была разработана для глобальных сетей, и в пределах беспроводной локальной сети использовать ее расточительно. Ее применение поверх беспроводных каналов оправдано лишь в случае соединения филиалов или других подобных решений.

Современные требования к защите, или "Из жизни с Cisco"

Для спокойствия любого пользователя нужно обеспечить решение всего трех проблем для его трафика: это конфиденциальность (данные должны быть надежно зашифрованы), целостность (данные должны быть гарантированно не изменены третьим лицом) и аутентичность (уверенность в том, что данные получены от правильного источника).

Аутентификация

В стандарте 802.1x определен более современный по сравнению со стандартами 1997-1998 гг. способ аутентификации, который широко применяется в различном сетевом оборудовании, в беспроводных устройствах в том числе. Принципиальное отличие его от старых способов аутентификации заключается в следующем: пока не будет проведена взаимная проверка, пользователь не может ни принимать, ни передавать никакие данные. Стандарт предусматривает также динамическое управление ключами шифрования, что, естественно, затрудняет пассивную атаку на WEP.

Например, ряд разработчиков используют для аутентификации в своих устройствах протоколы EAP-TLS и PEAP, но более "широко" к проблеме подходит Cisco Systems (http://www.cisco.com), предлагая для своих беспроводных сетей, наряду с этими, следующий ряд протоколов.

Extensible Authentication Protocol - Transport Layer Security (EAP-TLS) - это стандарт IETF, который обеспечивает аутентичность путем двустороннего обмена цифровыми сертификатами.

Protected EAP (PEAP) - пока предварительный стандарт (draft) IETF. Он предусматривает обмен цифровыми сертификатами и дополнительную проверку имени и пароля по специально созданному шифрованному туннелю.

Lightweight EAP (LEAP) - фирменный протокол Cisco Systems. "Легкий" протокол взаимной аутентификации, похожий на двусторонний Challenge Authentication Protocol (CHAP). Использует разделяемый ключ, поэтому требует определенной разумности при генерации паролей. В противном случае, как и любой другой способ PreShared Key, подвержен атакам по словарю.

EAP - Flexible Authentication via Secure Tunneling (EAP-FAST) - разработан Cisco на основании предварительного стандарта (draft) IETF для защиты от атак по словарю и имеет высокую надежность. Требует от администратора минимума усилий для поддержки. Принцип его работы схож с LEAP, но аутентификация проводится по защищенному туннелю. Первые реализации появились в апреле 2004 г. Поддерживается, начиная с версий ПО IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3.

Все современные способы аутентификации (см. таблицу) подразумевают поддержку динамических ключей, что не может не радовать. Однако если сравнивать все эти стандарты и по остальным параметрам, то способы EAP-TLS и PEAP кажутся более тяжеловесными. И это действительно так. Они больше подходят для применения в сетях, построенных на базе оборудования различных производителей.

Особенности способов аутентификации

Показатель Способ
LEAP EAP-FAST PEAP EAP-TLS
Поддержка современных ОС Да Да Не все Не все
Сложность ПО и ресурсоемкость аутентификации Низкая Низкая Средняя Высокая
Сложность управления Низкая* Низкая Средняя Средняя
Single Sign on (единый логин в Windows) Да Да Нет Да
Динамические ключи Да Да Да Да
Одноразовые пароли Нет Да Да Нет
Поддержка баз пользователей не в формате Microsoft Windows Нет Да Да Да
Fast Secure Roaming Да Да Нет Нет
Возможность локальной аутентификации Да Да Нет Нет

Способы аутентификации, разработанные Cisco, выглядят симпатичнее. Особенную прелесть им придает поддержка технологии Fast Secure Roaming, позволяющей переключаться между различными точками доступа (время переключения примерно 100 мс), что особенно важно при передаче голосового трафика. При работе с EAP-TLS и PEAP повторная аутентификация займет существенно больше времени, и в результате разговор прервется. Главный недостаток LEAP и LEAP-FAST очевиден - эти протоколы поддерживаются только в оборудовании Cisco Systems.

Шифрование и целостность

На основании рекомендаций 802.11i Cisco Systems реализовала протокол TKIP (Temporal Кey Integrity Protocol), который обеспечивает смену ключа шифрования PPK (Рer Рacket Кeying) в каждом пакете и контроль целостности сообщений MIC (Message Integrity Check).

Процедура PPK предусматривает изменение вектора инициализации IV в каждом пакете. Причем шифрование осуществляется значением хэш-функции от IV и самого WEP-ключа. Если еще учесть, что WEP-ключи динамически меняются, то надежность шифрования становится довольно высокой.

Обеспечение целостности возложено на процедуру MIC. В формирующийся фрейм добавляются поля MIC и SEQuence number, в поле SEQ указывается порядковый номер пакета, что позволяет защититься от атак, основанных на повторах и нарушениях очередности. Пакет с неверным порядковым номером просто игнорируется. В 32-разрядном поле MIC располагается значение хэш-функции, вычисленной по значениям самого заголовка пакета 802.11, поля SEQ, пользовательских данных (рис. 2).

Другой перспективный протокол шифрования и обеспечения целостности, уже зарекомендовавший себя в проводных решениях, - это AES (Advanced Encryption Standard). Он разработан сравнительно недавно - в октябре 2001 г. и обладает лучшей криптостойкостью по сравнению с DES и ГОСТ 28147-89. Длина ключа AES составляет 128, 192 или 256 бит. Как уже отмечалось, он обеспечивает и шифрование, и целостность.

Заметим, что используемый в нем алгоритм (Rijndael) не требует больших ресурсов ни при реализации, ни в работе, что очень важно для уменьшения времени задержки данных и нагрузки на процессор.

AES уже работает в ОС Cisco IOS (k9), начиная с 12.2(13)T. В настоящее время практически все устройства Cisco Systems стандарта 802.11g готовы к поддержке AES. Сетевая общественность находится в ожидании объявления о выходе этого ПО в свет, однако неоднократно называвшиеся сроки не соблюдаются. Впрочем, сейчас определенная ясность все-таки появилась. Компания объявила, что все устройства, работающие в стандарте 802.11g, можно будет совершенно свободно снабдить новым ПО, которое обязательно появится вскоре… Но - только после ратификации стандарта 802.11i. Стандарт ратифицирован IEEE в конце июня (см. врезку "Стандарт 802.11i ратифицирован"). Так что ждем-с.

Wi-Fi Protected Access

Стандарт Wi-Fi Protected Access (WPA) - это набор правил для реализации защиты данных в сетях 802.11х. Начиная с августа 2003 г., соответствие WPA входит в состав требований к оборудованию, сертифицирующемуся на высокое звание Wi-Fi Certified (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf).

Заметим, что в спецификации WPA входит немного измененный протокол TKIP-PPK. Шифрование выполняется на "смеси" нескольких ключей - текущего и последующего. При этом длина IV увеличена до 48 бит.

WPA определяет и контроль целостности сообщений согласно упрощенной версии MIC (Michael MIC), отличающейся от описанной тем, что хэш-функция рассчитывается на основании меньшего количества полей, но само поле MIC имеет большую длину - 64 бит. Это дает возможность реализовать дополнительные меры защиты информации, например, ужесточить требования к ре-ассоциациям, ре-аутентификациям и т. п.

Спецификации предусматривают также поддержку 802.1x/EAP и аутентификации с разделяемым ключом и, несомненно, - управление ключами.

Особенно радует, что WPA-устройства готовы к работе и с клиентами, оборудование у которых поддерживает современные стандарты, и с клиентами, совершенно не заботящимися о своей безопасности и использующими старое оборудование или ПО. Автор категорически рекомендует: распределяйте пользователей с разной степенью защищенности по разным виртуальным ЛС и в соответствии с этим реализуйте свою политику безопасности.

Сегодня, при условии использования современного оборудования и ПО, защищенную и устойчивую к атакам беспроводную сеть на базе стандартов 802.11х построить вполне возможно. Для этого нужно только применить в ней несколько разумных постулатов.

Надо помнить, что почти всегда беспроводная сеть связана с проводной. Кроме необходимости защищать беспроводные каналы, данный факт служит побудительным мотивом к внедрению новых методов защиты и в проводных сетях. В противном случае может сложиться ситуация, когда сеть будет иметь фрагментарную защиту, что по сути создает потенциальную угрозу безопасности.

Желательно использовать оборудование, имеющее сертификат Wi-Fi Certified, выданный позднее августа 2003 г., т. е. подтверждающий соответствие WPA.

Многие администраторы, устанавливая в ЛС устройства, сохраняют настройки производителя по умолчанию. В серьезных беспроводных сетях это категорически недопустимо.

Несомненно, нужно внедрять 802.1х/EAP/TKIP/MIC и динамическое управление ключами. Если сеть смешанная - используйте виртуальные локальные сети. Сейчас практически любой серьезный производитель точек доступа поддерживает данную технологию. А если он ее не поддерживает, то не стоит поддерживать и такого производителя, приобретая его оборудование. В случае использования внешних антенн (например, при соединении разных ЛС между собой) рекомендуется технология виртуальных частных сетей VPN.

Стоит сочетать протокольные и программные способы защиты с административными. Имеет смысл подумать и о внедрении технологии Intrusion Detection System (IDS) для обнаружения возможных вторжений. Можно также использовать описанные выше программные продукты.

И, наконец, самое главное - при планировании защищенной беспроводной сети руководствуйтесь здравым смыслом. Помните: любое шифрование или другие манипуляции с данными неизбежно привносят дополнительную задержку, увеличивают объем служебного трафика и нагрузку на процессоры сетевых устройств. Безусловно, безопасность - важный фактор в современных сетях, но она теряет всякий смысл, если трафик пользователя не получает должной полосы пропускания. Ведь, к сожалению, любые сети создаются в конечном счете для пользователей, а не для администраторов. Впрочем, тема QoS в беспроводных сетях стандарта 802.11х заслуживает отдельной статьи.

Стандарт 802.11i ратифицирован

25 июня 2004 г. Институт инженеров по электротехнике и радиоэлектронике (IEEE) ратифицировал давно ожидаемый стандарт обеспечения безопасности в беспроводных локальных сетях - 802.11i.

До его принятия, еще в 2002 г., отраслевой консорциум Wi-Fi Alliance предложил использовать в качестве промежуточного варианта протокол WPA. В него вошли некоторые механизмы 802.11i, в том числе шифрование по протоколу TKIP и возможность использования системы аутентификации пользователей 802.1x, базирующейся на протоколе RADIUS. Протокол WPA существует в двух модификациях: облегченной (для домашних пользователей) и включающей в себя стандарт аутентификации 802.1x (для корпоративных пользователей).

В официальном стандарте 802.11i к возможностям протокола WPA добавилось требование использовать стандарт шифрования AES, который обеспечивает уровень защиты, соответствующий требованиям класса 140-2 стандарта FIPS (Federal Information Processing Standard), применяемого в правительственных структурах США. Однако во многих существующих сетях протокол AES может потребовать замены оборудования, если оно не оснащено специальными средствами шифрования и дешифрования.

Кроме того, новый стандарт приобрел и несколько относительно малоизвестных свойств. Одно из них - key-caching - незаметно для пользователя записывает информацию о нем, позволяя при выходе из зоны действия беспроводной сети и последующем возвращении в нее не вводить всю информацию о себе заново.

Второе нововведение - пре-аутентификация. Суть ее в следующем: из точки доступа, к которой в настоящее время подключен пользователь, пакет пре-аутентификации направляется в другую точку доступа, обеспечивая этому пользователю предварительную аутентификацию еще до его регистрации на новой точке и тем самым сокращая время авторизации при перемещении между точками доступа.

Wi-Fi Alliance намерен приступить к тестированию устройств на соответствие новому стандарту (его еще называют WPA2) до сентября текущего года. По заявлению его представителей, повсеместной замены оборудования не понадобится. И если устройства с поддержкой WPA1 могут работать там, где не требуется продвинутое шифрование и RADIUS-аутентификация, то продукты стандарта 802.11i можно рассматривать как WPA-оборудование, поддерживающее AES.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.Allbest.ru/

Размещено на http://www.Allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего образования

Национальный исследовательский Нижегородский государственный университет им. Н.И. Лобачевского

Арзамасский филиал

Физико-математический факультет

Кафедра прикладной информатики

Курсовая работа

Анализ методов защиты беспроводных сетей

  • ВВЕДЕНИЕ
  • Глава 1. Анализ угроз, возникающих при передаче данных в беспроводной сети
    • 1.1 Принцип действия беспроводных сетей
    • 1.2 Основные угрозы беспроводных сетей
    • 1.3 Уязвимости сетей и устройств
  • Глава 2. Средства защиты беспроводных сетей
    • 2.1 Режим безопасности WEP
    • 2.2 Режим безопасности WPA
    • 2.3 Режим безопасности WPA-PSK
  • Глава 3. Настройка безопасности в беспроводной сети при использовании систем обнаружения вторжения
    • 3.1 Исследование систем обнаружения вторжения
    • 3.2 Изучение системы обнаружения вторжений на примере Kismet
  • ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

ВВЕДЕНИЕ

В современном мире, какую бы сферу человеческой деятельности мы не взяли, практически в каждой можно заметить использование беспроводных сетей. Такое повсеместное использование беспроводных сетей связано с тем, что ими можно пользоваться не только на персональных компьютерах, но и на мобильных устройствах, а также их удобством, связанным с отсутствием кабельных линий и сравнительно небольшой стоимостью. Беспроводные сети удовлетворяют совокупности требований к качеству, скорости, защищенности, радиусу приема. Особое внимание необходимо уделять защищенности, как одному из самых важных факторов.

С ростом применения беспроводных сетей, перед пользователями возникает проблема - защита информации от неправомерного доступа к этой сети. В данной работе рассмотрены основные угрозы и методы защиты от них при использовании беспроводной сети для передачи информации .

Актуальность создания условий безопасного пользования беспроводной сетью обусловлена тем, что в отличие от проводных сетей, где необходимо вначале получить физический доступ к кабелям системы, в беспроводных сетях данные оказываются доступными при помощи обычного приемника, находящегося в районе распространения сети.

Однако при различной физической организации сетей, создание безопасности проводных и беспроводных сетей одинаково. При организации безопасности данных при передаче в беспроводных сетях необходимо больше уделять внимание обеспечению невозможности утечки и целостности информации, проверке идентичности пользователей и точек доступа.

Объект исследования в данной работе - средства защиты информации в беспроводных сетях.

Предмет исследования - технологии защиты информации в беспроводных сетях от несанкционированного доступа.

Целью курсовой работы является изучение методов повышения защиты данных при передаче с помощью беспроводных сетей.

Для достижения цели курсовой работы необходимо выполнить следующие задачи:

1) изучить, как выполняется передача данных в беспроводной сети;

2) исследовать виды угроз и их отрицательное воздействие на работу беспроводных сетей;

3) проанализировать средства, при помощи которых возможна защита информации беспроводных сетей;

4) проанализировать системы отслеживания вторжений и рассмотреть работу одной из них.

Глава 1 . Анализ угроз, возникающих при передаче данных в беспроводной сети

1.1 Принцип действия беспроводных сетей

При передаче информации в беспроводных сетях используются три составляющих: радиосигналы, структура сети и формат данных. В отдельности каждый из этих элементов не зависит от других, поэтому, при разработке новой сети, нужно проработать каждую из составляющих. В сетевую структуру входят сопрягающие устройства -- адаптеры интерфейсов и передающие и принимающие станции. В беспроводной сети адаптеры на каждом устройстве выполняют преобразование цифровых данных в радиосигналы, которые затем передаются на другие устройства сети и снова преобразуются обратно в цифровые данные .

В IEEE (Institute of Electrical and Electronics Engineers - Институт инженеров по электротехнике и электронике) был создан набор стандартов и спецификаций для беспроводных сетей, имеющий названием "IEEE 802.11", который определяет вид передаваемых сигналов. На данный момент наиболее применяемой спецификацией является 802.11b. Этот стандарт используется почти в каждой Ethernet-сети. Необходимо учитывать развитие других стандартов, однако на сегодняшний день 802.11b наиболее приспособлен для применения, особенно при расчете подключения к сетям, где невозможно самостоятельное управление всеми устройствами. Сети со спецификацией 802.11b работают в диапазоне радиочастот 2,4 ГГц, который задействован в подавляющем большинстве стран для радио-служб без лицензий, имеющих соединения точка-точка с распределением спектра .

На данный момент существует четыре основных стандарта Wi-Fi:

1) В сетях со стандартом 802.11a данные передаются на частоте 5 ГГц со скоростью до 54 Мбит/с. Этот стандарт предоставляет более удачную технику кодирования, которая предусматривает деление исходящего сигнала на несколько составляющих. Данный метод передачи предоставляет возможность уменьшить влияние помех.

2) Стандарт 802.11b является самым медленным и наиболее дешёвым. В определённый период из-за невысокой стоимости, он широко использовался, но в данное время вытесняется более скоростными стандартами по мере снижения их цены. Стандарт 802.11b работает на частоте 2,4 ГГц. Скорость передачи данных составляет до 11 Мбит/с.Для повышения скорости выполняются преобразования с дополняющим кодом.

3) Стандарт 802.11g также работает на частоте 2,4 ГГц, при этом обеспечивается намного большая скорость передачи данных - до 54 Мбит/с. В стандарте 802.11g используется такое же кодирование данных OFDM, как и в стандарте 802.11a.

4) В стандарте 802.11n ещё больше увеличена скорость передачи данных, а также изменён частотный диапазон. Стандарт 802.11n обеспечивает скорость передачи данных 140 Мбит/с.

К популярным технологиям, производитель Wi-Fi Alliance создал дополнительные стандарты для специализированного использования. К таким спецификациям, которые выполняют обслуживающую работу, относятся:

802.11d -- выполняет сопряжение между устройствами беспроводной сети различных производителей;

802.11e -- определяет качество передаваемых медиа-файлов;

802.11f -- регулирует многообразием точек доступа разнообразных производителей, позволяя без проблем работать в различных сетях;

802.11h -- делает невозможным уменьшение качества сигнала при воздействии метеорологических и военных устройств;

802.11i -- в данном стандарте используется улучшенная защита личной информации при передаче данных;

802.11k -- регулирует нагрузку беспроводной сети и переключает пользователей на другие точки доступа;

802.11m -- включает исправления стандартов 802.11;

802.11p -- идентифицирует Wi-Fi-устройства, которые находятся на расстоянии до 1 км и движутся со скоростью до 200 км/ч;

802.11r -- автоматически идентифицирует беспроводную сеть в роуминге и выполняет подключение к ней мобильных устройств;

802.11s -- выполняет полно-связное подключение, в котором каждое мобильное устройство может работать как маршрутизатор или точка доступа;

802.11t -- этот стандарт тестирует всю сеть 802.11, определяет способы мониторинга и его результаты, предоставляет требования для нормальной работы оборудования;

802.11u -- стандарт выполняет взаимную связь беспроводных и внешних сетей;

802.11v -- выполняется совершенствование стандарта 802.11;

802.11y -- недоработанная технология, позволяющая связать частоты 3,65-3,70 ГГц;

802.11w -- данный стандарт предоставляет способы улучшения защиты доступа при передаче информации.

Современный и наиболее технологичный стандарт 802.11ас.Устройства стандарта 802.11ас дают возможность ощутить более высокое качество работы в интернете .

Среди улучшенных характеристик этой модификации можно выделить следующие:

Высокая скорость. В сети со стандартом 802.11ас применяются более широкие каналы и увеличенная частота передачи данных, что позволяет развить теоретическую скорость до 600 Мбит/с. Кроме скорости, сеть на стандарте 802.11ас передаёт больший объем данных за один такт.

Увеличенный диапазон частот. Модификация 802.11ас имеет целую совокупность частот 5 ГГц. Эта технология обладает более высокую амплитуду сигналов.

Зона покрытия сети 802.11ас. Этот стандарт предоставляет увеличенный радиус действия сети. Отсутствует влияние внешних устройств на работу сети.

Обновлённые технологии. 802.11ас включает расширение MU-MIMO, обеспечивающее непрерывную работу в сети нескольких устройств.

Устройства Wi-Fi работают в одном из трех частотных диапазонов . Возможно быстрое переключение передающих частот из одного диапазона в другой. Это дает возможность уменьшить влияние помех на сигнал и использовать возможности беспроводной связи различными устройствами.

1.2 Основные угрозы беспроводных сетей

Угрозы, возникающие в беспроводных сетях при передаче информации, разделяют на два вида:

1) Прямые - возникают при передаче информации по беспроводному интерфейсу IEEE 802.11;

2) Косвенные - связаны с присутствием на определённой территории и рядом с ней большого количества Wi-Fi-сетей.

Прямые угрозы

Канал передачи данных, используемый в беспроводных сетях может подвергаться внешнему влиянию с целью использования личных сведений, нарушения целостности и доступности информации. В беспроводных сетях существуют как аутентификация, так и шифрование, однако эти возможности защиты имеют свои недостатки. Возможности блокирования передачи данных в канале беспроводных сетей не уделено должного внимания при разработке технологии. Такое блокирование канала не представляет опасности, так как беспроводные сети выполняют вспомогательную роль, но блокирование может являтся подготовительным этапом для атаки "человек посередине", в которой когда пользователем и точкой доступа возникает третье устройство, перенаправляющее информацию через себя. Такое воздействие предоставляет возможность преобразовывать информацию .

Чужаки (RogueDevices, Rogues) - это устройства, позволяющие воспользоваться неавторизованным доступом к корпоративной сети, в обход защитных решений, заданных политикой безопасности. Отказ от использования беспроводных сетей не предоставляет защититу от беспроводных атак, если в сети возникнет чужак. В роли такого устройства могут быть такие, у которых есть оба вида интерфейсов: точки доступа, проекторы, сканеры, ноутбуки с подключённым интерфейсом и т.д .

Нефиксированная природа связи

Устройства беспроводной связи могут изменять точки подключения к сети уже во время работы. К примеру, могут возникать «случайные ассоциации», когда устройство с ОС Windows XP (с доверием работающая со всеми беспроводными сетями) или неправильно настроенный клиент беспроводной сети, который автоматически подключается к ближайшей беспроводной сети. В этом случае злоумышленник подсоединяет к себе пользователя для дальнейшего прослеживания уязвимости, фишинга или атаки «человек посередине» .

А если клиент одновременно соединен и с проводной сетью, то он начинает выполнять роль точки входа - чужака.

Если же пользователь, подключённый к внутренней сети и имеющий беспроводной интерфейс, переключается на ближайшую точку доступа, то вся защита сети уничтожается.

Возможны и другие проблемы, например, сети Ad-Hoc, предоставляющие возможность передачи файлов по беспроводной связи на принтер. Такая структура сети не выполняет многие задачи безопасности, что ставит их в роль лёгкой добычи для злоумышленников. Новые технологии VirtualWiFi и Wi-Fi Direct также слабы в защитных функциях .

1.3 Уязвимости сетей и устройств

Неправильно настроенные устройства, устройства с короткими ключами шифрования, устройства, которые используют слабые методы аутентификации подвержены нападению в первую очередь. По отчётам аналитиков, основная часть несанкционированных вмешательств происходит из-за некорректно сконфигурированных точек доступа и не настроенного программного обеспечения пользователя.

Некорректно сконфигурированные точки доступа

Для взлома сети достаточно подключить к ней точку доступа с неправильными настройками. Настройки, заданные «по умолчанию» не создают шифрование и аутентификацию, а также применяют ключи, описанные в руководстве и поэтому доступные всем. При таких настройках, если пользователь недостаточно серьёзно позаботится о безопасной конфигурации устройства, то именно такая привнесённая точка доступа и является основной угрозой для защищённых сетей .

Беспроводные клиенты с неправильной конфигурацией

Неправильно настроенные устройства клиентов не настраиваются специально для безопасности внутренней беспроводной сети организации. При этом они находятся как вне контролируемой зоны, так и внутри неё, что позволяет злоумышленнику создавать разнообразные атаки.

Взлом шифрования

Защищённость WEP очень слаба. В Интернете есть множество специального программного обеспечения для взлома этой технологии, которое выбирает статистику трафика так, чтобы её было достаточно для воссоздантя ключа шифрования. В стандартах WPA и WPA2 также имеются уязвимости различной степени опасности, которые позволяют их взлом . В данном отношении в положительном ракурсе можно рассматривать технологию WPA2-Enterprise (802.1x) .

Отказы в обслуживании

DoS (Denial of Service) - это негативное внешнее воздействие, направленное на вычислительные ресурсы сервера или рабочей станции, которое проводится для приведения этих систем к состоянию отказа. Под отказом подразумевается не физический выход устройства из строя, а невозможность доступа к ее ресурсам для клиентов сети, то есть отказ системы в их обслуживании.

Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких - DDoS (ДиДоС или ДДоС), что означает «Distributed Denial of Service» - распределенное доведение до отказа в обслуживании.

Принцип действия DoS и DDoS - атак заключается в отправке на сервер большого потока информации, который под загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

DoS атаки применяютсядля нарушения качества работы сети или для абсолютного прекращения доступа клиентов к сетям. В случае Wi-Fi сети заметить источник, загружающий сеть «мусорными» пакетами, оченьнепросто- его нахождениеопределяется лишь зоной покрытия. При этомсуществует аппаратный вариант этой атаки - установливается достаточно сильный источник помех в необходимом частотном диапазоне .

Глава 2. Средства защиты беспроводных сетей

Как средства защиты от часто встречающихся угроз в беспроводных сетях используется такие технологии как:

2.1 Режим безопасности WEP

WEP (Wired Equivalent Privacy) - метод обеспечения безопасности сети, доступен для работы с устаревшими устройствами, но его применение не приветствуется из-за относительно легкого взлома защиты. При использовании протокола WEP настраивается ключ безопасности сети, который выполняет шифрование данных, передаваемых компьютером через сеть другим устройствам.

Используют два метода защиты WEP :

1) проверка подлинности в открытой системе;

2) проверка подлинности с использованием общих ключей.

Эти методы не обеспечивают высокого уровня безопасности, однако способ аутентификации в открытой системе считается более безопасным. Для большинства устройств, при использовании общих ключей, ключ аутентификации идентичен статическому ключу шифрования WEP, который применяется для создания безопасности передачи данных. Перехватив сообщение для идентификации, можно, применяя средства анализа, сначала определить ключ проверки подлинности с применением общих ключей, а после - статический ключ WEP-шифрования, после чего становится открыт полный доступ к сети.

2.2 Режим безопасности WPA

WPA (Wi-Fi Protected Access) - это обновлённая программа сертификации устройств, входяших в беспроводную связь. Режим WPA включает несколько составляющих :

Стандарт 802.1x --протокол применяется для установления подлинности, учета и авторизации;

Стандарт TKIP -- протокол целостности ключей во времени;

Стандарт EAP -- расширяемый протокол установления подлинности;

MIC -- выполняет криптографическую проверку целостности переданных пакетов;

Протокол RADIUS

Шифрование информации в WPA производит протокол TKIP, использующий такой же алгоритм шифрования что WEP (RC4), но при этом использует динамические (часто меняющиеся) ключи. В этой технологии применяется более длинный вектор инициализации, а для подтверждения целостности пакетов используется криптографическая контрольная сумма (MIC).

RADIUS-протокол выполняет работу вместе с сервером аутентификации (RADIUS-сервер). При таком режиме беспроводные точки доступа находятся в enterprise-режиме.

При отсутствии RADIUS-сервера роль сервера, на котором происходит установление подлинности, выполняет точка доступа -- режим WPA-PSK.

2.3 Режим безопасности WPA-PSK

В технологии WPA-PSK (Wi-Fi Protected Access - Pre-Shared Key) в конфигурации всех точек доступа задаётся общий ключ. Этот же ключ прописывается и на пользовательских мобильных устройствах. Такой метод защиты безопаснее в сравнении с WEP, но не очень удобен при управлении. PSK-ключ необходимо задать на каждом беспроводном устройстве, все клиенты сети могут его видеть. При необходимости заблокировки доступа к конкретному пользователю в сеть, нужно снова задавать новый PSK на каждом устройстве сети. Вследствие этого данный режим WPA-PSK можно использовать в домашней сети или небольшом офисе с небольшим числом пользователей .

Рассмотрим механизмы работы WPA. Технология WPA была введена как временная мера до начала использования стандарта 802.11i. Некоторые производители до ввода этого стандарта стали применять технологию WPA2, в некоторой степени включающую в себя элементы стандарта 802.11i, например, использование протокола CCMP, вместо TKIP. WPA2 в качестве алгоритма шифрования используется улучшеная технология шифрования AES. Для работы с ключами используется протокол 802.1x., имеющий несколько возможностей. В вопросах безопасности рассмотрим функции установления подлинности пользователя и создание ключей шифрования. В данном протоколе аутентификация выполняется «на уровне порта». До тех пор, пока пользователь не выполнит аутентификацию, он может отправлять/принимать пакеты, имеющие отношение только к процессу его учетных данных и только. Лишь пройдя успешную аутентификацию порты точки доступа или коммутатора будут открыты и клиент сможет пользоваться ресурсами сети.

Протокол EAP выполняет функции аутентификации и является лишь надстройкой для методов аутентификации. Все преимущества протокола состоят в том, что он очень просто реализуется на точке доступа, так как ей не нужно знать никаких особенностей разнообразных методов аутентификации. В этом случае точка доступа в качестве аутентификатора выполняет лишь передаточные функции между пользователем и сервером аутентификации. Существуют следующие методы аутентификации:

EAP-SIM, EAP-AKA -- выполняются в сетях мобильной связи GSM;

LEAP -- пропреоретарный метод от Cisco systems;

EAP-MD5 -- простейший метод, аналогичный CHAP;

EAP-MSCHAP V2 -- в основе метода аутентификации лежит использование логина/пароля пользователя в MS-сетях;

EAP-TLS -- аутентификация на основе цифровых сертификатов;

EAP-SecureID -- в основе метода лежит применение однократных паролей.

Кроме вышеизложенных, можно выделить ещё два метода: EAP-TTLS и EAP-PEAP, которые перед непосредственной аутентификацией клиента вначале создают TLS-туннель между пользователем и сервером аутентификации, внутри которого и выполняется сама аутентификация, с использованием методов MD5, TLS, PAP, CHAP, MS-CHAP, MS-CHAP v2. Создание туннеля повышает уровень безопасности аутентификации, защищая от атак типа «человек посредине», «session hihacking» или атаки по словарю.

Схема установления подлинности включает три компонента :

Supplicant -- программа, работающая на компьютере пользователя, который подключается к сети;

Authenticator -- узел доступа, выполняющий проверку подлинности;

AuthenticationServer -- сервер, на котором происходит установление подлинности.

Проверка подлинности выполняется по этапам:

1) Клиент посылает запрос на аутентификацию в сторону точки доступа.

2) Точка доступа в ответ создает клиенту запрос на идентификацию клиента.

3) Клиент в ответ высылает пакет с необходимыми сведениями, которые точка доступа перенаправляет серверу аутентификации.

4) Сервер, на котором происходит проверка передает аутентификатору (точке доступа) запрос данных о подлинности клиента.

5) Аутентификатор передаёт этот пакет клиенту.

После этого выполняется взаимная идентификации сервера и клиента. Число пересылок пакетов в одну и в другую сторону изменяется в зависимости от метода EAP, но в беспроводных сетях используется лишь «strong» аутентификация с обоюдной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и созданием шифрования канала связи.

6) На следующем этапе, сервер аутентификации, с необходимой информацией от клиента, разрешает или запрещает пользователю доступ, с отсылкой соответствующего сообщения аутентификатору (точке доступа). Аутентификатор выполняет открытие порта, если со стороны сервера аутентификации пришел положительный ответ.

7) Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса и клиент получает доступ в сеть. После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт» .

Для соединения клиента и точки доступа применяются пакеты EAPOL. Протокол RADIUS используется при обмене данными между аутентификатором и RADIUS-сервером .

Начальная аутентификация выполняется на базе общих данных, которые известны и клиенту, и серверу аутентификации, например, логин/пароль, сертификат и т.д. При этом создаётся «мастер ключ», с помощью которого клиент и сервер аутентификации генерируют «парный мастер ключ», который передается точке доступа от сервера аутентификации. Впоследствии на основе «парного мастера ключа» и создаются все остальные изменяющиеся со временем ключи, которые и закрывают передаваемый трафик .

безопасность информация беспроводной kismet

Глава 3 . Настройка безопасности в беспроводной сети при использовании систем обнаружения вторжения

3.1 Исследование систем обнаружения вторжения

Системой обнаружения вторжений (СОВ) может быть программное или аппаратное средство, выполняющее поиск фактов несанкционированного доступа в компьютерную сеть или управление сетью через Интернет. В переводе на английский язык -- Intrusion Detection System (IDS). Системы обнаружения вторжений создают дополнительную защиту компьютерных систем.

СОВ можно использовать для нахождения определённой вредоносной активности, нарушающей безопасность компьютерной сети, а именно: сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей) .

В состав системы обнаружения вторжений входят:

1) сенсорная подсистема, которая собирает события, связанные с безопасностью сети;

2) анализирующая подсистема, которая выявляет атаки и подозрительные действия на основе сенсорных данных;

3) хранилище, которое обеспечивает сбор первичных событий и результатов анализа;

4) консоль управления, настраивающая систему обнаружения вторжений, наблюдающая за состоянием защищаемой системы и СОВ, просматривающая выявленные подсистемой анализа факты несанкционированного доступа.

Рассмотрим те из имеющихся систем обнаружения, которые можно с успехом применять или изменять, чтобы они были пригодны к использованию. Тогда их можно будет преобразовать с необходимыми настройками, чтобы они собирали дополнительные данные о работе сети.

Из платных продуктов известны такие программы как Air Defense Guard и Isomair Wireless Sentry . Их работа состоит в размещении сенсоров на защищаемой территории и передаче всех собранных ими данных на центральный сервер, который представляет собой специальное устройство с безопасным Web-интерфейсом, либо Linux-машину подключенную к консоли управления на платформе Windows. Такие программы могут анализировать беспроводной трафик, отличный от стандарта 802.11, а также радиопомехи в наблюдаемой полосе частот, что часто бывает необходимо.

Размер сети и зона покрытия имеет решающее значение от расстановки сенсоров системы обнаружения. Для мониторинга сети сенсоры должны охватывать всю территорию беспроводного доступа. Чувствительность сенсоров должна быть не хуже чувствительности трансивера точки доступа. Однако все коммерческие сенсоры имеют недостаток - невозможность подключения внешней антенны, из-за чего весьма затруднительно увеличение дальности действия и чувствительности сенсоров. Чтобы покрыть всю сеть компании нужно покупать больше низко-чувствительных сенсоров с малым радиусом действия.

WiSentry - это коммерческий программный продукт, обеспечивающий слежение за беспроводной сетью и обнаружение вторжений без специальных аппаратных сенсоров. Данная программа создает отдельный профиль для каждого беспроводного узла, который хранится в базе данных WiSentry и применяется для отличия устройства, которым можно доверять, и от подозрительных. В WiSentry существует настраиваемая база данных тревожных событий, которая поддерживает сети стандартов 802.11а, b и т.д.

Еще одно коммерческое решение, сочетающее в себе средства для проверки безопасности и некоторые функции системы обнаружения вторжений - это программа Air Magnet, созданная компанией Global Secure Systems. Главным отличием данного продукта является возможность анализировать радиочастоты в основном диапазоне, что позволяет находить перекрытие каналов 802.11b/g в области приема, а также определять возможные помехи.

Коммерческие анализаторы протоколов 802.11, такие как NAI Sniffer Wireless и Wild Packet Airo Peek, также поддерживают некоторые возможности системы обнаружения вторжений. Airo Peek реализует удаленные сенсоры RF Grabber, из-за чего становится похожей на распределенные системы типа Air Defense / Isomair. Airo Peek имеет набор инструментов для разработки собственных фильтров на языках Visual Basic или C, а значит, возможна доработка данного продукта, несмотря на закрытость исходных текстов .

Далее рассмотрим системы обнаружения вторжений с открытым исходным кодом, которые можно доработать под необходимые функциональные возможности. В первую очередь рассмотрим программу WIDZ, созданную Марком Осборном.

Данная программа выполняет следующие действия:

Обнаруживает фальшивые точки доступа;

Обнаруживает атаки с применением Air Jack;

Обнаруживает пробные запросы;

Обнаруживает фреймы с широковещательным ESSID («ANY»);

Помещает подозрительные МАС-адреса в список заблокированных;

Помещает подозрительные ESSID в список заблокированных;

Обнаруживает атаки путем затопления фреймами с запросом на присоединение.

Программа WIDZ использует драйвер HostAP. Продукт имеет две составляющие: widz_apmon, которая может обнаруживать точки доступа, не указанные в списке, и widz_probemon, ведущая проверку сети на обнаружение подозрительного трафика.

При работе данной программы сигнал тревоги возникает в следующих ситуациях:

Alertl. Сигнал создаётся при пустом ESSID поле. При этом вызывается сценарий Alert, который выполняет запись в протоколе следующие сто пакетов из подозрительного источника;

Alert2. Сигнал создаётся, если в течение определённого времени выполняется большое число попыток присоединения;

Alert3. Сигнал создаётся, если МАС-адрес находится в файле badmac, который представляет собой простой список адресов в шестнадцатеричном виде;

Alert4. Сигнал создаётся, если ESSID находится в файле badsids.

Сценарий Alert вызывается при обнаружении фальшивой точки доступа или подозрительного трафика. По умолчанию сценарий посылает сообщения syslog-серверу и выводит тревожное сообщение на консоль. Можно вместо этого заставить его посылать сообщение по электронной почте, возбуждать SNMP-событие, добавлять недопустимый МАС-адрес в список контроля доступа и т.д.

Существует открытая система обнаружения вторжений и с более обширными возможностями. Это программа WIDS. Программа имеет автоматический дешифратор WEP и средства для организации беспроводных приманок .

WIDS выполняет следующие действия:

Анализирует временные интервалы между маяками для каждой обнаруженной точки доступа;

Анализирует порядковые номера фреймов 802.11;

Обнаруживает пробные запросы, являющиеся признаком активного сканирования;

Обнаруживает затопление запросами на присоединение;

Обнаруживает затопление запросами на аутентификацию;

Обнаруживает частые запросы на повторное присоединение;

Протоколирует трафик приманки в рсар-файл;

Перенаправляет беспроводной трафик на проводной интерфейс.

Говоря о системах обнаружения вторжений, необходимо отметить мощную программу Kismet, которая прошла длинный путь развития от инструмента поиска сетей до полнофункциональной клиент-серверной системы обнаружения вторжений.

Данный инструмент выполняет следующие функции:

Обнаруживает перегрузки запросами на остановку сеанса и отключение;

Анализирует порядковые номера фреймов стандарта 802.11;

Выявляет пользователей Air Jack в наблюдаемой сети;

Обнаруживает пробные запросы, посылаемые программой Net Stumbter;

Обнаруживает атаки по словарю на ESSID, проводимые при помощи Wellenreiter;

Обнаруживает клиентов, посылающих пробные запросы, но не присоединяющихся к сети;

Выполняет различение сетей 802.11 DSSS и FHSS;

Выполняет сохранение фреймов с информацией в именованный FIFO-канал для дальнейшего анализа;

Выполняет дешифровку WEP;

Обнаруживает увеличение шума в канале;

Обнаруживает беспроводные сети Lucent Outdoor Router / Turbocell / Karlnet, построенные не на базе стандарта 802.11 .

Совокупность данных возможностей вместе с архитектурой клиент-сервер, простой системой оповещений, великолепным механизмом структурированного протоколирования данных, а также возможностью интеграции с удаленными сенсорами делают Kismet очень привлекательной системой обнаружения внедрений. Дополнительный вес ей придает возможность поддержки нескольких клиентских карт и расщепление диапазона сканируемых частот между этими картами.

3.2 Изучение системы обнаружения вторжений на примере Kismet

Для установки программы необходимо выполнить следующие действия:

1. Загрузить Kismet с установочного компакт-диска или с web-сайта.

2. Распаковать установочный файл.

3. При компиляции приложения Kismet необходимо выполнить команду./configure с некоторыми подходящими настройками, которые задаются ключами, перечисленными в таблице 1.

Эти ключи компиляции можно задавать в настройках конфигурации для использования определённых возможностей.

Таблица 1

Конфигурационные ключи Kismet

Ключ

Описание

Disable-curses

Отключает интерфейс пользователя на основе curses

Отключает расширения панели ncurses

Отключает поддержку GPS

Disable-netlink

Отключает перехват сокетов LinuхNеtLink (с заплатами для prism2/orinoco)

Disable-wireless

Отключает беспроводные расширения ядра Linux

Отключает поддержку перехвата посредством libpcаp

Enable-syspcap

Использует системную библиотеку libpcap (не рекомендуется)

Disable-setuid

Отключает возможностьпереустановки действующего идентификатора пользователя (не рекомендуется)

Включает устройство перехвата - удаленный сенсор WSP100

Включает звуковые функции.

Enable-local-dumper

Заставляет использовать локальные средства дамповой памяти.

With-ethereal=DIR

Поддерживает прослушиваниеEthereal для записи протоколов.

Without-ethereal

Отключает поддержку прослушивания Ethereal

Включает поддержку продвинутого интерфейса конфигурирования и питания ядром Linux

4. При окончании процесса настройки необходимо выполнить команды makedep и makemakeinstall от имени супер-пользователя, для окончания компиляции и установки программы;

5. После завершения установки программы Kismet, необходимо найти файл kismet.conf, который располагается в каталоге /usr/local/etc. В этом файле пользователем задаются настройки интерфейса и протоколов программы .

В таблице 2 описаны изменяемые параметры программы.

Таблица 2

Интерфейсные и протокольные опции Kismet

Параметр

Описание

Определяет, какие интерфейсы будут прослушиваться программой Kismet. Обычно здесь задается основной беспроводной интерфейс (wlan0). При необходимости добавления дополнительных интерфейсов, можно сделать это в формате source = тип, интерфейс, имя.

Fuzzy encryption

Настройка отображает все принятые пакеты как нешифрованные для тех станций, которые применяют неизвестные методы шифрования.

Filtering packetlogs

Настройка ограничивает множество пакетов, подлежащих протоколированию. Опция noiselog даёт возможность отбросить все пакеты, которые, возможно, испорчены или фрагментированы из-за помех. Это может уменьшить размер журнала. Опция beaconlog предоставляет возможность отбросить все пакеты отдельной точки доступа, кроме первого пакета радиомаяка. Настройка phylog отбрасывает все пакеты физического уровня, которые иногда подхватываются. Возможна любая комбинация этих настроек

Decrypt WEP keys

Расшифровывает перехваченные пакеты данных на лету. Для этого, однако, следует иметь ключ, который иногда можно добыть с помощью программы AirSnort. Для каждой точки доступа требуется отдельная инструкция вида

bssid:key, где bssid - это MAC-адрес точки доступа, а key - ключ для нее

Usinganexternal IDS

Посылает пакеты внешней системе обнаружения вторжений для дальнейшего анализа. В этой инструкции задается именованный канал, а сетевой системе обнаружения вторжений следует предписать чтение из него.

6. Теперь нужно отредактировать файл kismet_ui.conf, также находящийся в /user/local/etc. В нем задаются некоторые настройки интерфейса. В табл. 3 перечислены возможные варианты.

Теперь все готово к применению Kismet для аудита беспроводной сети. В нем задаются некоторые настройки интерфейса. В табл. 3 перечислены возможные варианты .

Таблица 3

Настройки интерфейса Kismet

Применение KismetWireless

Чтобы запустить Kismet, нужно набрать имя исполнимого файла в командной строке или на терминале X-Window, поддерживающем инструментарий Curses. Отобразится основной интерфейс (см. рис. 1). Kismet немедленно начнет сообщать обо всех беспроводных сетях в окружении и выдавать информацию о них.

Рис. 1. Основной экран KismetWireless

В интерфейсе можно выделить три основные части. Раздел NetworkList слева отображает все активные в текущий момент беспроводные сети, которые Kismet смог увидеть, и основную информацию о них: SSID сети (если доступен), тип (точка доступа или узел), шифруется она или нет с помощью WEP, используемый канал вещания, число перехваченных до сих пор пакетов, любые флаги на данных и объем данных, проходящих через сеть. Вывод кодируется цветом: активные сети отображаются красным цветом, а неактивные - черным.

В поле Info справа отображается общая статистика текущего сеанса перехвата, включая общее число обнаруженных сетей, общее число пакетов, которые были зашифрованы, услышанные слабые сети, пакеты с высоким уровнем шума, отброшенные пакеты и среднее число пакетов в секунду.

Поле Status внизу содержит прокручивающееся представление происходящих событий. Сообщения всплывают, когда появляются новые сети или происходят другие события.

Так как Kismet - средство командной строки, хотя и с графическим интерфейсом, для управления его функциями применяются клавишные команды. В табл. 4 перечислены клавишные команды, доступные из основного экрана .

Таблица 4

Клавишные команды Kismet

Клавишная команда

Описание

Выдает статистику числа пакетов и распределения каналов

Открывает клиентское всплывающее окно для отображения клиентов выбранной сети

Предписывает серверу начать извлечение из потока пакетов цепочек печатных символов и их отображение

Открывает всплывающее окно на серверах Kismet. Это позволяет одновременно контролировать два или несколько серверов Kismet на различных хостах (напомним, что это архитектура клиент-сервер)

Находит центр сети и отображает компас

Группирует помеченные в данный момент сети

Выдает список возможных команд

Выдает подробную информацию о текущей сети или группе

Показывает уровни сигнал/мощность/шум, если плата их сообщает

Отключает звук и речь, если они включены (или включает их, если они были перед этим выключены). Чтобы этим пользоваться, в конфигурации должны быть включены звук или речь

Переименовывает выбранную сеть или группу

Выдает типы пакетов по мере их получения

Выводит столбчатую диаграмму темпа порождения пакетов

Изменяет способ сортировки списка сетей

Помечает текущую сеть или снимает метку с нее

Исключает текущую сеть из группы

Выдает все предыдущие сигналы и предупреждения

Увеличивает панель вывода сети на весь экран (или возвращает ей нормальный размер, если она уже увеличена)

Возможно расширение представления данных о каждой найденной сети, для отображения всех деталей определенной точки доступа. Для этого необходимо ввести i в командной строке. На рис. 2 показаны результаты выдачи .

Рис. 2. Экран Kismet с подробными данными о сети

При помощи команды z возможно расширение поля сети на весь экран, увеличивая обзор дополнительной информации о каждой сети, например производителя обнаруженного оборудования. Это оптимизирует группирование точек доступа при отслеживании лишь определенной части из них и желании иметь возможность отфильтровывать другие. Это делается с помощью команд g и u, которые используются для включения и удаления из группы соответственно.

ЗАКЛЮЧЕНИЕ

В данной курсовой работе проводилось исследование методов повышения защиты данных при передаче их с помощью беспроводных сетей.

Для достижения цели курсовой работы, были выполнены следующие задачи:

1) изучен принцип работы беспроводной сети;

2) были исследованы виды угроз и их отрицательное воздействие на работу беспроводных сетей;

3) проанализированы средства защиты информации беспроводных сетей от несанкционированного доступа;

4) проанализированы системы отслеживания вторжений и рассмотрена работа одной из них.

В первой главе был проведен анализ угроз беспроводных сетей, который показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.

Во второй главе выполнен обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать режим WPA2. WPA2 является обновленной программой сертификации устройств беспроводной связи. В данном режиме усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.

В третьей главе было проведено исследование систем обнаружения вторжения в беспроводную сеть и рассмотрена работа одной из них на примере Kismet. Совокупность возможностей вместе с архитектурой клиент-сервер, простой системой предупреждений, отличным механизмом ведения записи данных, а также возможностью взаимосвязи с удаленными датчиками делают Kismet очень привлекательной системой обнаружения внедрений в беспроводную сеть. Дополнительный вес ей придает возможность поддержки нескольких клиентских карт и расщепление диапазона сканируемых частот между этими картами .

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

1. Барнс К. Защита от хакеров беспроводных сетей / Барнс К., Бoутс Т., Ллойд Д., Посланс Д. - Издательство: Компания АйТи, ДМК пресс. -2005, с. 480.

2. Берлин А.Н. Телекоммуникационные сети и устройства. // Интернет-университет информационных технологий - ИНТУИТ.ру, БИНОМ. Лаборатория знаний. - 2008, с. 319 // С.В. Кунeгин. Системы передачи информации. Курс лекций. - М.: в/ч 33965. - 1998, с. 316.

3. Ватаманюк А.И. Беспроводная сеть своими руками.- Издательство: Питер. - 2006, с. 193.

4. Вишневский В.М. Широкополосные беспроводные сети передачи информации / Вишневский В.М., Ляхов А.И., Портной С.Л., Шахнoвич И.В. - Издательство: ДМК пресс, Компания АйТи. - 2005, с. 205.

5. Владимиров А.А. Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей / Владимиров А.А., Гавриленко К.В., Михайловский А.А; - Издательство: НТ Пресс. - 2005, с. 463.

6. Гoрдейчик С.В. Безопасность беспроводных сетей /С.В. Гoрдейчик, Дубровин В.В. - Издательство: Горячая линия -- Телекo ISBN: 978-5-9912-0014-1. - 2008, с. 288.

7. ФренкДж.Дерфлер,мл. Беспроводные ЛВС / Френк Дж. Дерфлер, мл., ЛесФрид. // PC Magazine/Russian Edition.2000. №6.

8. Джон Росс. Wi-Fi. Беспроводная сеть. - Издательство: НТ Пресс. -2007, с. 320.

9. Зорин М. Беспроводные сети: современное состояние и перспективы/ Зорин М., Писарев Ю., Соловьев П. - Издательство: Мир связи. - 1999. №4, С. 104.

10. Зорин М. Радиооборудование диапазона 2,4 ГГц: задачи и возможности / Зорин М., Писарев Ю., Соловьев П. // PCWeek/RussianEdition.- 1999. №20, С.21.

11. Максим М. Безопасность беспроводных сетей/ Максим М., Поллино Д. - Издательство: ДМК пресс, Компания АйТи. -2004, с. 288.

12. Мoлта Д. Тестируем оборудование для беспроводных ЛВС стандарта 802.11./ Мoлта Д., Фостeр-Вебстер А. // Сети и системы связи. -1999. №7, С.10.

13. Олейник Т. Беспроводные сети: современное состояние и перспективы - №10 - Издательство Домашний ПК. - 2003.

14. Олифер В.Г. Основы сетей передачи данных / Олифер В.Г., Олифер Н.А. // Интернет-университет информационных технологий - ИНТУИТ.ру. Лаборатория знаний. - 2005, с. 176.

15. Пролетарский А.В. Организация беспроводных сетей / Пролетарский А.В., Баскаков И.В., Федотов Р.А. - Издательство: Москва. - 2006, с. 181.

16. Писарев Ю. Беспроводные сети: на пути к новым стандартам // PC Magazine/Russian Edition. 1999. №10. С. 184.

17. Писарев Ю. Безопасность беспроводных сетей // PC Magazine/Russian Edition. 1999. №12. С. 97.

18. Пролетарский А.В. Беспроводные сети Wi-Fi / Пролетарский А.В., Баскаков И.В., Чирков Д.Н. - Издательство: Москва. - 2007, с. 216.

19. Стаханов C. Восстановление данных wi-fi // Центр восстановления данных

20. Технологии беспроводных сетей

21. Инструменты безопасности с открытым исходным кодом // университет информационных технологий - ИНТУИТ.ру

22. Технологии беспроводных сетей

Размещено на Allbest.ru

Подобные документы

    Знакомство с современными цифровыми телекоммуникационными системами. Принципы работы беспроводных сетей абонентского радиодоступа. Особенности управления доступом IEEE 802.11. Анализ электромагнитной совместимости группировки беспроводных локальных сетей.

    дипломная работа , добавлен 15.06.2011

    Исследование и анализ беспроводных сетей передачи данных. Беспроводная связь технологии wi–fi. Технология ближней беспроводной радиосвязи bluetooth. Пропускная способность беспроводных сетей. Алгоритмы альтернативной маршрутизации в беспроводных сетях.

    курсовая работа , добавлен 19.01.2015

    История появления сотовой связи, ее принцип действия и функции. Принцип работы Wi-Fi - торговой марки Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11. Функциональная схема сети сотовой подвижной связи. Преимущества и недостатки сети.

    реферат , добавлен 15.05.2015

    Изучение особенностей беспроводных сетей, предоставление услуг связи вне зависимости от места и времени. Процесс использования оптического спектра широкого диапазона как среды для передачи информации в закрытых беспроводных коммуникационных системах.

    статья , добавлен 28.01.2016

    Эволюция беспроводных сетей. Описание нескольких ведущих сетевых технологий. Их достоинства и проблемы. Классификация беспроводных средств связи по дальности действия. Наиболее распространенные беспроводные сети передачи данных, их принцип действия.

    реферат , добавлен 14.10.2014

    Что такое ТСР? Принцип построения транкинговых сетей. Услуги сетей тракинговой связи. Технология Bluetooth - как способ беспроводной передачи информации. Некоторые аспекты практического применения технологии Bluetooth. Анализ беспроводных технологий.

    курсовая работа , добавлен 24.12.2006

    Общие понятия о беспроводных локальных сетях, изучение их характеристик и основных классификаций. Применение беспроводных линий связи. Преимущества беспроводных коммуникаций. Диапазоны электромагнитного спектра, распространение электромагнитных волн.

    курсовая работа , добавлен 18.06.2014

    Исследование обычной схемы Wi-Fi сети. Изучение особенностей подключения двух клиентов и их соединения. Излучение от Wi-Fi устройств в момент передачи данных. Описания высокоскоростных стандартов беспроводных сетей. Пространственное разделение потоков.

    лекция , добавлен 15.04.2014

    Комплексная классификация технологий и общая характеристика типов беспроводных сетей. Оценка факторов и анализ методов повышения производительности в Ad-Hoc сетях. Описание методов повышения производительности Ad-Hoc сетей на основе различных технологий.

    дипломная работа , добавлен 28.12.2011

    Проблемы и области применения беспроводных локальных сетей. Физические уровни и топологии локальных сетей стандарта 802.11. Улучшенное кодирование OFDM и сдвоенные частотные каналы. Преимущества применения техники MIMO (множественные входы и выходы).