Защита беспроводных сетей

Защита беспроводных сетей

Беспроводные сети начинают использоваться практически во всем мире. Это обусловлено их удобством, гибкостью и сравнительно невысокой стоимостью. Беспроводные технологии должны удовлетворять ряду требований к качеству, скорости, радиусу приема и защищенности, причем защищенность часто является самым важным фактором.

Сложность обеспечения безопасности беспроводной сети очевидна. Если в проводных сетях злоумышленник должен сначала получить физический доступ к кабельной системе или оконечным устройствам, то в беспроводных сетях это условие отпадает само собой: поскольку данные передаются «по воздуху», для получения доступа достаточно обычного приемника, установленного в радиусе действия сети.

Однако, несмотря на различия в реализации, подход к безопасности беспроводных сетей и их проводных аналогов идентичен: здесь присутствуют аналогичные требования к обеспечению конфиденциальности и целостности передаваемых данных и, конечно же, к проверке подлинности как беспроводных клиентов, так и точек доступа.

Общие сведения

Как и все стандарты IEEE 802, базовый стандарт организации беспроводных локальных сетей IEEE 802.11 работает на нижних двух уровнях моделиISO/OSI — физическом и канальном. Сетевое приложение, сетевая ОС или протокол (например, TCP/IP) будут так же хорошо работать в сети 802.11, как и в сети Ethernet.

Основная архитектура, особенности и службы определяются в базовом стандарте 802.11, который определяет два режима работы беспроводной сети — режим клиент/сервер (или режим инфраструктуры) и режим «точка—точка» (Ad-hoc).

В режиме клиент/сервер беспроводная сеть состоит как минимум из одной точки доступа АР (Access point), подключенной к проводной сети, и некоторого набора беспроводных оконечных станций. Такая конфигурация носит название базового набора служб BSS (Basic Service Set). Два или более BSS, образующих единую подсеть, формируют расширенный набор служб ESS (Extended Service Set). Так как большинству беспроводных станций требуется получать доступ к файловым серверам, принтерам, Интернету, доступным в проводной локальной сети, они будут работать в режиме клиент/сервер.

Режим «точка—точка» — это простая сеть, в которой связь между многочисленными станциями устанавливается напрямую, без использования специальной точки доступа. Такой режим полезен в том случае, если инфраструктура беспроводной сети не сформирована (например, в отеле, выставочном зале, аэропорту).

На физическом уровне стандарта 802.11 определены 2 широкополосных радиочастотных метода передачи и 1 — в инфракрасном диапазоне. Радиочастотные методы работают в ISM диапазоне 2,4 ГГц и обычно используют полосу 83 МГц от 2,400 ГГц до 2,483 ГГц. Технологии широкополосного сигнала, используемые в радиочастотных методах, увеличивают надежность, пропускную способность, позволяют многим несвязанным друг с другом устройствам разделять одну полосу частот с минимальными помехами друг для друга.

Основное дополнение, внесенное стандартом 802.11b в основной стандарт, — это поддержка двух новых скоростей передачи данных — 5,5 и 11 Mbps. Для достижения этих скоростей был выбран метод прямой последовательности DSSS (Direct Sequence Spread Spectrum).

Канальный (Data Link) уровень стандарта 802.11 состоит из двух подуровней: управления логической связью LLC (Logical Link Control) и управлениядоступом к носителю MAC (Media Access Control).

Обеспечение безопасности беспроводных сетей

Система защиты беспроводных сетей WLAN, основанная на протоколе WEP (Wired Equivalent Privacy) первоначального стандарта 802.11, имеет существенные недостатки. Однако появились более эффективные технологии обеспечения информационной безопасности WLAN, которые описаны в стандарте WPA (Wi-Fi Protected Access) организации Wi-Fi Alliance и стандарте 802.11i института IEEE и призваны устранить недостатки стандарта 802.11. Поскольку процесс разработки стандарта 802.11i слишком затянулся, организация Wi-Fi Alliance была вынуждена предложить в 2002 г. собственную технологию обеспечения информационной безопасности WLAN — стандарт WPA.

Стандарт WPA весьма привлекателен тем, что относительно прост в реализации и позволяет защитить ныне действующие WLAN. Стандарты WPA и 802.11i совместимы друг с другом, поэтому использование поддерживающих WPA продуктов можно считать начальным этапом перехода к системе защиты на базе стандарта 802.11i.

Между технологиями стандартов 802.11i и WPA много общего. Так, в них определена идентичная архитектура системы безопасности с улучшенными механизмами аутентификации пользователей и протоколами распространения и обновления ключей. Но есть и существенные различия. Например, технология WPA базируется на протоколе динамических ключей TKIP (Temporal Key Integrity Protocol), поддержку которого в большинстве устройствWLAN можно реализовать путем обновления их ПО, а в более функциональной концепции стандарта 802.11i предусмотрено использование нового стандарта шифрования AES (Advanced Encryption Standard), с которым совместимо лишь новейшее оборудование для WLAN.

В стандарте WPA предусмотрено использование защитных протоколов 802.1х, ЕАР, TKIP и RADIUS.

Механизм аутентификации пользователей основан на протоколе контроля доступа 802.1х (разработан для проводных сетей) и протоколе расширенной аутентификации ЕАР (Extensible Authentication Protocol). Последний позволяет сетевому администратору задействовать алгоритмы аутентификации пользователей посредством сервера RADIUS.

Функции обеспечения конфиденциальности и целостности данных базируются на протоколе TKIP, который в отличие от протокола WEP использует более эффективный механизм управления ключами, но тот же самый алгоритм RC4 для шифрования данных. Согласно протоколу TKIP, сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора инициализации протокола WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей и осуществление replay-атак.

В протоколе TKIP предусмотрены генерация нового ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (Message Integrity Code), препятствующей хакеру изменять содержимое передаваемых пакетов.

Компания «Современные системы безопасности бизнеса» активно внедряет передовые технологии в сферы безопасности бизнеса и технической защиты информации. Основными направлениями нашей деятельности являются: поиск закладных устройств (защита от прослушки, скрытых камер и т.д.); проектирование, монтаж и обслуживание систем безопасности бизнеса: видеонаблюдение; контроль доступа; учет рабочего времени; охранная и пожарная сигнализация; измерения теплопотерь помещений и рекомендации по теплоизоляции; измерения радиоактивного фона в помещениях и на территориях. Звоните нам по указанному номеру телефона и мы ответим на все интересующие Вас вопросы:

(044) 227-90-21

(096) 875-77-51

(099) 448-83-83



Каталог товаров
Интересные статьи Новые записи