Исследование направлений повышения защищенности беспроволочных информационно-телекоммуникационных сетей

Размещено на http://www.allbest.ru/

МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ

МІЖНАРОДНИЙ ГУМАНІТАРНИЙ УНІВЕРСИТЕТ

ФАКУЛЬТЕТ КОМП'ЮТЕРНИХ НАУК ТА ІННОВАЦІЙНИХ ТЕХНОЛОГІЙ

КАФЕДРА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

ДОПУСТИТИ ДО ЗАХИСТУ

Завідувач кафедри

професор В.Г. Головань

2013 року

ВИПУСКНА КВАЛІФІКАЦІЙНА РОБОТА

МАГІСТРА

Дослідження напрямів підвищення захищеності бездротових інформаційно-телекомунікаційних мереж

Виконав: С.В. Шрейнер

Керівник: В.В. Сергеєв

Консультанти по розділах:

ТЕО В.В. Сергеєв

ОП В.В. Сергеєв

Нормоконтролер по ЄСКД (ЄСПД) В.І. Захаров

Одеса, 2013

МІЖНАРОДНИЙ ГУМАНІТАРНИЙ УНІВЕРСИТЕТ

Факультет Комп'ютерних наук та інноваційних технологій

Кафедра Інформаційної безпеки

Освітньо-кваліфікаційний рівень Магістр

Спеціальність Безпека інформаційних і комунікаційних систем

ЗАТВЕРДЖУЮ

Завідувач кафедри

професор ________________ В.Г. Головань

2013 року

ЗАВДАННЯ

ДО ВИПУСКНОЇ КВАЛІФІКАЦІЙНОЇ РОБОТИ МАГІСТРА

1 Тема дослідження напрямів підвищення захищеності бездротових інформаційно-телекомунікаційних мереж

Затверджена наказом ректора Міжнародного гуманітарного університету

від 23 листопада 2011 року № 461

2 Термін виконання роботи 8 лютого 2013 року

3 Вихідні дані до роботи

3.1 Випускна кваліфікаційна робота, згідно затвердженої теми, повинна бути виконана у формі дипломної роботи. Відповідно до цього, а також відповідно до навчального плану спеціальності, ІТЗ ЦО не передбачається.

3.2 В роботі необхідно:

3.2.1 Надати узагальнену характеристику сучасних бездротових інформаційно-телекомунікаційних мереж

3.2.2 Дослідити основні методи порушення безпеки сучасних бездротових інформаційно-телекомунікаційних мереж

3.2.3 Здійснити аналіз програмних та апаратних засобів захисту інформації у бездротових інформаційно-телекомунікаційних мереж

3.2.4 Визначити напрямки розвитку та удосконалення методів та засобів безпеки бездротових інформаційно-телекомунікаційних мереж

3.3 Зробити висновки до кожного з розділів роботи та до роботи взагалі. Надати рекомендації щодо практичного використання отриманих результатів.

3.4 Привести список літературних посилань, використаних в роботі.

3.5 Зміст та тематику додатків до роботи вибрати самостійно.

3.6 Демонстраційну частину роботи виконати у формі презентації.

ОП Аналіз методів охорони праці під час експлуатації засобів безпеки сучасних Бездротових інформаційно-телекомунікаційних мереж

4 Зміст пояснювальної записки

4.1 Титульний лист;

4.2 Відзив керівника випускної кваліфікаційної роботи магістра;

4.3 Рецензія на випускну кваліфікаційну роботу магістра;

4.4 Зміст;

4.5 Реферат;

4.6 Вступ;

4.7 Розділ 1. Узагальнена характеристика сучасних бездротових інформаційно-телекомунікаційних мереж

4.8 Розділ 2. Основні методи і ризики порушення безпеки сучасних бездротових інформаційно-телекомунікаційних мереж

4.9 Розділ 3. Аналіз засобів захисту інформації в бездротових інформаційно-телекомунікаційних мережах

4.10 Розділ 4. Стратегія розвитку та вдосконалення побудови безпеки бездротових

інформаційно-телекомунікаційних мереж

4.11 Загальні висновки та рекомендації;

4.12 Перелік джерел;

4.13 Обов'язковий додаток - Додаток А Копії графічного матеріалу (презентацій).

5 Перелік обов'язкового графічного матеріалу (презентацій)

1 Тема, назви розділів, актуальність досліджень, завдання на дослідження;

2 Розділ 1. Узагальнена характеристика сучасних бездротових інформаційно-телекомунікаційних мереж

3 Розділ 2. Основні методи і ризики порушення безпеки сучасних бездротових інформаційно-телекомунікаційних мереж

4 Розділ 3. Аналіз засобів захисту інформації в бездротових інформаційно-телекомунікаційних мережах

5 Розділ 4. Стратегія розвитку та вдосконалення побудови безпеки бездротових інформаційно-телекомунікаційних мереж

6 Висновки до випускної кваліфікаційної роботи, основні отримані результати.

Допускається виготовлення додаткових графічно-презентаційних матеріалів за самостійним вибором студента в кількості до 4 сторінок (плакатів).

Графічний матеріал виконати у формі електронної презентації.

6 Календарний план виконання ВКР

№ п/п	Етапи виконання роботи	Терміни Виконання етапів	Примітки
1	Видача завдання до ВКР	03.09.2012
2	Складання вступу	11.09.2012
3	Розробка першого розділу в електронному вигляді	18.09.2012
4	Розробка другого розділу в електронному вигляді	25.09.2012
5	Розробка третього розділу в електронному вигляді	02.10.2012
6	Розробка четвертого розділу в електронному вигляді	09.10.2012
7	Представлення робочих матеріалів керівникові	16.10.2012
8	Перевірка робочих матеріалів керівником	23.10.2012
9	Усунення виявлених недоліків	30.10.2012
10	Розроблення додатків	06.11.2012
11	Комплексна перевірка пояснювальної записки	13.11.2012
12	Оформлення пояснювальної записки	27.11.2012
13	Попередній захист ВКР
14	Захист ВКР в ДЕК (ДКК)	За планом

7 Консультанти по окремих розділах

Розділ	Консультант (вчена ступінь, вчене звання, посада, ініціали та прізвище, місце роботи)	Дата, підписи
		Завдання видав	Завдання отримав
ТЕО	к.т.н., доцент Сергеєв В.В. доцент кафедри Інформаційної безпеки
ІТЗ ЦО	не передбачено	-	-
ОП	к.т.н., доцент Сергеєв В.В. доцент кафедри Інформаційної безпеки

8 Підписи

Дата видачі завдання 3 вересня 2012 року

Керівник В.В. Сергеєв

Дипломник С.В.Шрейнер

СОДЕРЖАНИЕ

ЗАДАНИЕ

СОДЕРЖАНИЕ

РЕФЕРАТ

СПИСОК СОКРАЩЕНИЙ

1 ОБОБЩЕННАЯ ХАРАКТЕРИСТИКА СОВРЕМЕННЫХ БЕСПРОВОДНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ

1.1 Система фиксированного широкополосного радио доступа

1.2 Характеристики стандарта серии 802.11

1.3 Методы передачи данных

1.3.1 Метод прямой последовательности

1.3.2 Метод частотных скачков

1.4 Анализ существующих стандартов технологии IEEE 802.11

1.4.1 Стандарт IEEE 802.11а

1.4.2 Стандарт IEEE 802.11b

1.4.3 Стандарт IEEE 802.11g

1.4.4 Стандарт IEEE 802.11n

1.4.6 Метод доступа

Выводы к разделу 1

2 ОСНОВНЫЕ МЕТОДЫ И ПРИЕМЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ СОВРЕМЕННЫХ БЕСПРОВОДНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ

2.1 Общее описание проблемы нарушения безопасности

2.2 Методы атак на беспроводные сети

2.2.1 Пассивные атаки

2.2.2 Активные атаки

2.2.3 Атака помехами

2.3 Основные риски безопасности беспроводных сетей

2.3.1 Риск не авторизированного доступа

2.3.2 Риск нефиксированная природа связи

2.3.3 Риск уязвимость сетей и устройств

2.3.4 Риск новые угрозы и атаки

2.3.5 Риск утески информации из проводной сети

2.3.6 Риск особенности функционирования беспроводных сетей

Выводи к разделу 2

3 АНАЛИЗ СРЕДСТВ И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ В БЕСПРОВОДНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ

3.1 Классификация мер обеспечения безопасности

3.2 Физическая защита информации в беспроводных сетях

3.3 Аппаратные средства защиты информации в беспроводных сетях

3.4 Программные средства защиты информации в беспроводной сети

3.4.1 Безопасность на уровне операционной системы

3.4.2 Криптографические методы защиты

3.4.3 Шифрование дисков

3.4.4 Способы идентификации пользователя

3.4.5 Специализированные программные средства защиты информации

3.4.6 Архитектурные аспекты безопасности

Выводы к разделу 3

4 СТРАТЕГИЯ РАЗВИТИЯ И СОВЕРШЕНСТВОВАНИЯ ПОСТРОЕНИЯ БЕЗОПАСНОСТИ БЕСПРОВОДНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ

4.1 Основные компоненты для построения системы безопасности беспроводной сети

4.2 Основные задачи при построении глубокоэшелонированной защиты

4.2.1 Аутентификация и авторизация всех пользователей сети Wi-Fi

4.2.2 Использование VLAN-ов для разделения трафика и введения сегментирования

4.2.3 Межсетевые экраны на уровне портов

4.2.4 Использование шифрование на всей сети

4.2.5 Определение опасности целостности сети Wi-Fi

4.2.6 Обеспечения безопасности конечных устройств Wi-Fi в общую политику безопасности

ПЕРЕЧЕНЬ ССЫЛОК

РЕФЕРАТ

Пояснювальна записка до випускної кваліфікаційної роботи «Дослідження напрямів підвищення захищеності бездротових інформаційно-телекомунікаційних мереж», 96 с., 15 рисунків, 2 таблиці, 30 літературних джерел.

Мета дослідження - провести дослідження напрямів підвищення захищеності бездротових мереж.

Об'єкт дослідження - протоколи бездротових інформаційно-телекомунікаційних мереж.

Метод дослідження - інформаційно-аналітичний.

Ключові слова: КОМП'ЮТЕРНІ МЕРЕЖІ, МАРШРУТИЗАЦІЯ, ПАКЕТИ, СЕРВЕР, ІНТЕРНЕТ, WEB-ТРАФІК, WIRELESS LAN, WI-FI, WEP, WPA.

РЕФЕРАТ

Пояснительная записка к выпускной квалификационной работы «Исследование направлений повышения защищенности беспроводных информационно-телекоммуникационных сетей», 96 с., 15 рисунков, 2 таблицы, 30 литературных источников.

Цель исследования - провести исследование направлений повышения защищенности беспроводных сетей.

Объект исследования - протоколы беспроводных информационно-телекоммуникационных сетей.

Метод исследования - информационно-аналитический.

Ключевые слова: КОМПЬЮТЕРНЫЕ СЕТИ, маршрутизации, ПАКЕТЫ, СЕРВЕР, ИНТЕРНЕТ, WEB-ТРАФИК, WIRELESS LAN, WI-FI, WEP, WPA.

Abstract

Explanatory note to the final qualifying work "Study ways to increase security of wireless information and telecommunication networks", 96 p., 15 figures, 2 tables, 30 references.

The purpose of the study - to study ways of increasing the security of wireless networks.

Object of study - wirelessly information and telecommunication networks.

Research method - analytical.

Keywords: computer networks, routing, packet, Server, Internet, WEB-TRAFFIC, WIRELESS LAN, WI-FI, WEP, WPA.

СПИСОК СОКРАЩЕНИЙ

Wi-Fi - Wireless Fidelity;

MAC - Media Access Control;

AP - Access Point;

BSS - Basic Service Set;

IBSS - Independent Basic Service Set;

ESS -Extended Service Set;

ТД - точка доступу;

ОС - операційна система;

ПЗ - програмне забезпечення;

IEEE - Institute of Electrical and Electronics Engineers (Институт инженеров электротехники и электроники);

QoS - Quality of Service -- качество обслуживания;

ETSI - European Telecommunications Standards Institute (Европейский институт телекоммуникационных стандартов);

DSSS - Direct Sequence Spread Spectrum) - широкополосная модуляция с прямым расширением спектра;

OFDM - Orthogonal frequency-division multiplexing - мультиплексирование с ортогональным частотным разделением каналов);

DHCP - Dynamic Host Configuration Protocol - протокол динамической конфигурации узла);

SSID - Service Set Identifier - идентификатор беспроводной сети;

WLAN - Wireless Local Area Network - беспроводная локальная сеть;

TKIP - Temporal Key Integrity Protocol - протокол целостности временного ключа;

LEAP - Temporal Key Integrity Protocol) - протокол целостности временного ключа;

MMDS (Microwave Multipoint Distribution Service - Мікрохвильові багатоточкові розподільні системи);

1 ОБОБЩЕННАЯ ХАРАКТЕРИСТИКА СОВРЕМЕННЫХ БЕСПРОВОДНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ

1.1 Система фиксированного широкополосного радио доступа

Анализ результатов развития технологий пользовательского доступа за последнее десятилетие показывает, что для предоставления услуг мультимедиа в настоящее время имеется широкий выбор беспроводных технологий пользовательского доступа. В настоящее время, системы радиодоступа строятся в соответствии со следующими стандартами:

- HiperLAN2;

- MMDS;

- WLL;

- IEEE 802. 16;

- IEEE 802.11/b/g/n.

HiperLAN2 базируется на недавно разработанной радиотехнологии, созданной специально для взаимодействий по локальной сети в рамках проекта Broadband Radio Access Networks (BRAN), реализуемого Европейским институтом стандартов в области электросвязи (ETSI), радиотехнология - так называемое уплотнение с ортогональным разделением частот (Orthogonal Frequency Division Multiplexing, OFDM), реализация которого является весьма серьезной технической задачей. Наиболее привлекательной чертой HiperLAN2 является ее высокая скорость, в качестве каковой иногда ошибочно называется величина 54 Мбит/с. Действительно, номинальная скорость радиопередачи будет составлять 54 Мбит/с, но типичная скорость для приложений будет ближе к 20 Мбит/с. Другая характерная черта - поддержка QoS, что весьма важно для таких приложений, как видео и речь. Архитектура HiperLAN2 обеспечивает соединение со множеством типов сетей, в том числе Ethernet (она будет поддерживаться в числе первых), IP, ATM и PPP. Функции защиты включают аутентификацию и шифрование. Совершенно Построение сетей на основе технологии HiperLAN2 потребует значительных инвестиций. Во-первых, единственный стандарт по беспроводные локальные сети, на сегодняшний день широко применяемый был предложен IEEE, а вовсе не ETSI. Во-вторых, IEEE уже имеет несколько стандартов на беспроводные локальные сети, в том числе стандарт 802.11a, обеспечивающий скорость передачи 54 Мбит/с. И в-третьих, ни одна компания из числа поддержавших проект HiperLAN2 не является признанным лидером в области локальных сетей. Работает данная технология в 5Ггц диапазоне который в настоящий момент еще не лицензирован. Чтобы разделяемые сети в стандарте HiperLAN2 действительно обеспечивали широкополосный доступ, они должны иметь множество точек доступа и множество каналов, которые обеспечивают свободу передвижений в пределах определенной территории [2].

Система MMDS (Microwave Multipoint Distribution Service - Микроволновые многоточечные распределительные системы) получили в последние годы широкое распространение как альтернатива классическим кабельным сетям, в которых распределительная сеть строится за счет прокладки коаксиальных или оптических кабелей. Возможность интеграции систем MMDS c высокоскоростным беспроводным обменом цифровыми данными, позволяет легко решить проблему «последней» мили, обеспечивая радиус вещания, ограниченный линией горизонта (около 60 км).

Запрашиваемые пользователем данные транслируются нисходящими потоками в цифровых каналах, использующих модуляцию QPSK, 16-, 32-, 64-, 128- или 256-QAM. При этом, в зависимости от ширины канала и выбранной схемы модуляции сигнала, в одном канале шириной до 8 МГц обеспечивается скорость передачи данных до 56 Мбит/сек. времени, что в 1000-1500 раз быстрее, чем позволяет аналоговый телефонный модем (33,6 Кбит/с), в 200-400 раз быстрее, чем по линии ISDN (64 и 128 Кбит/с). Радиус зоны обслуживания системы ММDS определяется высотой подвеса передающей антенны, мощностью передатчика, количеством передаваемых каналов, потерями в антенно-фидерном тракте и коэффициентом усиления передающей и приёмной антенн. В процессе строительства и эксплуатации выявлен ряд преимуществ системы MMDS. Главным недостатком технологии является высокая стоимость оборудования, большое число обслуживающего персонала[1].

Системы фиксированного беспроводного доступа WLL (Wireless Local Loop) являются системами типа «точка - много точек», работают в диапазонах частот от 1,5 до 3,5 ГГц, а сети на базе систем WLL строятся по сотовому принципу. В состав систем WLL входят:

- центральная станция (ЦС), обеспечивает подключение и управление всей сетью в целом;

- ретрансляционные станции (PC), позволяющие обеспечить сплошное покрытие обслуживаемой территории и расширить зону обслуживания до нескольких сотен километров (в зависимости от количества последовательно включенных ретрансляторов);

- терминальные станции (ТС), которые устанавливаются в местах обслуживания;

- система технического обслуживания, которая реализована в виде программного обеспечения на уровне управления сетевыми элементами и устанавливается на персональном компьютере.

Системы WLL предоставляют услуги: телефония, факс и передача данных с использованием dial-up-модемов, абонентам удаленных на десятки километров. Основной недостаток этих систем является высокая стоимость, сложность установки и эксплуатации оборудования.

Развитие систем класса FBWA обусловлено несколькими факторами:

- практически всеобщей информатизация;

- появлением широкого набора высокоскоростных транспортных технологий.

- разработкой концепции построения сетей следующего поколения, обеспечивающих единое управление всеми видами трафика в современных мультисервисных сетях связи.

Таким образом, системы FBWA, предназначенные для предоставления индивидуальным и корпоративным пользователям современных услуг. Представленные в настоящее время на рынке решения класса FBWA практически не имеют PC, ограничивает их радиус зоны обслуживания пределами одной ячейки. В системах FBWA используется секторный принцип построения ЦС, в состав которой входят несколько приемников, которые обслуживают каждый свой сектор, причем в каждом секторе могут быть организованы несколько радиоканалов.

Терминальные станции современных систем FBWA обеспечивают подключение к различным услугам широкого круга как индивидуальных, так и корпоративных пользователей, включая ЛВС, мини-АТС, сети Frame Relay и др.. И наконец, кроме предоставления услуг пользовательского доступа, системы FBWA широко используются в качестве беспроводных городских сетей для предоставления транспортных услуг (например, для подключения базовых станций к коммутаторам мобильных сетей связи).

Стандарт IEEE 802.16 - это так называемая технология «последней мили», которая использует диапазон частот от 10 до 66 ГГц. Так как это сантиметровый и миллиметровый диапазон, то необходимо условие «прямой видимости». Стандарт поддерживает топологию «точка - много точкок», технологии дуплекс с распределенными частотами (FDD) и дуплекс с разделением по времени (TDD), с поддержкой качества обслуживания (QoS). Возможна передача звука и видео. Стандарт определяет пропускную способность 120 Мбит / с на каждый канал в 25 ГГц. Стандарт не накладывает условие «прямой видимости» [5].

Стандарт IEEE 802.11 - набор стандартов связи, для коммуникации в беспроводной локальной сетевой зоне частотных диапазонов 2,4; 3,6 и 5 ГГц. Пользователям он больше известен под названием Wi-Fi, фактически является брендом, предложенным и распространяемым организацией Wi-Fi Alliance. Получил широкое распространение благодаря развитию в мобильных электронно-вычислительных устройствах: КПК и ноутбуках.

1.2 Характеристики стандарта серии 802.11

Стандарт называется IEEE 802.11, разработанный на базе стандарта Ethernet для локальных сетей и является полным аналогом. Существуют три основные схемы работы пользователей, использующих оборудование данного типа: «точка-точка», «звезда», «каждый с каждым».

Топология «точка-точка» этот тип соединения наиболее часто применяется для организации постоянного соединения между двумя удаленными абонентами (рис.1.1). В этом случае важна не мобильность абонентов, а надежность при передаче данных. Поэтому, как правило, оборудование устанавливается стационарно. Использование узко направленных антенн и усилителей позволяет в отдельных случаях обеспечивать устойчивую связь на расстоянии более 50 километров. Подобное решение идеально подходит для магистральных линий с малой загруженностью и корпоративных сетей (связь между двумя локальными сетями, расположенными в удаленных офисах).

Рисунок 1.1 - Топология «точка-точка»

Топология «звезда» используется при подключении как стационарных, так и мобильных абонентов (рис. 1.2.). Принцип построения такой сети очень схож с принципами построения сети. В качестве базовой станции («соты») используется оборудование с широко направленной (круговой) антенной (угол обзора 360 градусов). На стороне абонента в зависимости от степени мобильности используется либо узко направлена, или широко направленная антенна.

Рисунок 1.2 - Топология «звезда»

Топология «каждый с каждым» такое решение чаще всего применяется внутри зданий для организации локальной сети, абоненты которой не привязаны к своим рабочим местам (рис. 1.3).



Рисунок 1.3 - Топология «каждый с каждым»

Каждая станция оснащается всенаправленной антенной, что позволяет поддерживать связь с каждым из абонентов в радиусе 200 метров. Помимо обеспечения свободы передвижения, данное решение позволяет избежать затрат на развертывание кабельной инфраструктуры внутри здания. Оборудование стандарта 802.11 делится на разные категории по трем признакам: дальность, метод и скорость передачи[4].

Каждое приемо-передающее устройство, работающее на радиоволнах, занимает определенный участок радиоспектра. Каждый такой диапазон характеризуется центральной частотой, которая также называется «несущей», и шириной диапазона. Дальность работы напрямую зависит от несущей частоты диапазона. Чем выше частота, тем более прямолинейно распространяется радиоволна. Отсюда понятно, что оборудование, которое работает на больших частотах, наиболее эффективно используется в условиях прямой видимости. Для передачи на большие расстояния имеет смысл использовать более низкочастотное оборудование, позволяющее огибать предметы, препятствующие распространению сигнала.

Скорость передачи данных зависит от ширины полосы и не зависит от несущей частоты. Таким образом, неважно, в каком месте радиоспектра располагается канал - скорость будет одинаковой. Использование более высокой несущей частоты позволяет увеличить количество одновременно работающих каналов. Существующее на сегодняшний день оборудование работает в двух диапазонах: 2.4 ГГц и 5 ГГц.

1.3 Методы передачи данных

Стандарт 802.11 предусматривает использование двух каналов передачи данных. Один из них получил название Direct Sequence Spread Spectrum (DSSS) - «метод прямой последовательности», а другой - Frequency Hopping Spread Spectrum (FHSS) - «метод частотных скачков». Оба эти методы используют принцип широкополосной передачи сигнала.

1.3.1 Метод прямой последовательности

При потенциальном кодировании информационные биты - логические нули и единицы - передаются прямоугольными импульсами напряжений. Прямоугольный длительности импульса T имеет спектр, ширина которого обратно пропорциональна длительности импульса. Поэтому чем меньше длительность информационного бита, тем больший спектр занимает такой сигнал.

Для умышленного расширение спектра сначала узко полосового сигнала в технологии DSSS в каждый переданный информационный бит (логический 0 или 1) в буквальном смысле встраивается последовательность так называемых чипов. Если информационные биты - логические нули или единицы - при потенциальном кодировании информации можно представить в виде последовательности прямоугольных импульсов, то каждый отдельный чип - это тоже прямоугольный импульс, но его продолжительность в несколько раз меньше длительности информационного бита. Последовательность чипов представляет собой последовательность прямоугольных импульсов, то есть нулей и единиц, однако эти нули и единицы не являются информационными. Поскольку длительность одного чипа n раз меньше длительности информационного бита, и ширина спектра преобразованного сигнала будет n-раз больше ширины спектра выходного сигнала. При этом и амплитуда сигнала уменьшится n раз[15].

Чиповые последовательности, встраиваемые в информационные биты, называют шумоподобными кодами (PN-последовательности), что подчеркивает то обстоятельство, что результирующий сигнал становится шумоподобным и его трудно отличить от естественного шума

Как уширить спектр сигнала и сделать его неотличимым от естественного шума, понятно. Для этого, в принципе, можно воспользоваться произвольной (случайной) чиповой последовательностью.

Используемые для расширения спектра сигнала чиповые последовательности должны отвечать определенным требованиям автокорреляции. Под термином автокорреляции в математике предусматривают степень сходства функции самой себе в различные моменты времени. Если подобрать такую чиповую последовательность, для которой функция автокорреляции будет иметь резко выраженный пик лишь для одного момента времени, то такой информационный сигнал можно будет выделить на уровне шума. Для этого в приемнике полученный сигнал умножается на ту же чиповую последовательность, т.е. вычисляется автокорреляционная функция сигнала. В результате сигнал становится опять узкополосным, поэтому его фильтруют в узкой полосе частот и любая помеха, попадающая в полосу исходного широкополосного сигнала, после умножения на чиповую последовательность, наоборот, становится широкополосного и обрезается фильтрами, а в узкую информационную полосу попадает лишь часть препятствия, по мощности значительно меньше, чем препятствие, действующего на входе приемника (рис. 1.4).



Рисунок 1.4 - Использование технологии уширения спектра позволяет предавать данные на уровне естественного шума

Метод DSSS использует всю полосу одновременно, разбивая ее на 11одинаковых полос. Сигнал передатчика кодируется таким образом, что каждый бит передаваемой превращается в последовательность из 11 бит. После чего эта последовательность передается параллельно и одновременно по всему 11 полосах. Приемник, который получил эту последовательность, производит обратное преобразование сигнала. Каждая пара «передатчик-приемник» использует свой алгоритм кодирования, что исключает перехват сигнала другим приемником[10].

Первое преимущество данного метода заключается в надежной защите передаваемой. Вероятность совпадения схем кодирования двух различных устройств практически исключена. Расшифровать же такой сигнал, не зная алгоритма, невозможно.

Второе преимущество заключается в том, что благодаря одиннадцатикратной избыточности информации для передачи сигнала можно использовать маломощную аппаратуру. При этом нет необходимости использовать дорогие усилители или изменять конструкцию антенн. Кроме того, «размазывание» сигнала приводит к тому, что отношение сигнала к шуму становится близкой к единице. С точки зрения узкополосной аппаратуры такой сигнал практически не отличается от шума (отсюда пошло второе название - «метод шумоподобных сигналов»). В свою очередь, узкополосная аппаратура не влияет на DSSS, так как частичная потеря информации на одной или нескольких полосах не портит сигнал из-за избыточности передаваемой информации. Это позволяет одновременно использовать в одном диапазоне узкополосную и DSSS-аппаратуру.

1.3.2 Метод частотных скачков

Метод частотных скачков использует полосу по-другому. Весь диапазон, отведенный для передачи по стандарту 802.11 делится на 79 каналов. Передатчик использует в единицу времени только один из этих каналов, переключаясь между ними согласно заложенному в него алгоритму.

Частота таких скачков стандартом не определена и варьируется в зависимости от того, в какой стране используется данное оборудование. В свою очередь, приемник синхронно осуществляет такие же «скачки», используя ту же «случайную» последовательность, что и передатчик. Случайная последовательность является уникальной для каждой пары передатчик-приемник.

В отличие от метода прямой последовательности метод FHSS имеет два существенных недостатка. Первый из них заключается в том, что при достаточно большом количестве одновременных сеансов работы резко увеличивается вероятность коллизии. Это обусловлено конечным количеством каналов и узкой полосой переданного в единицу времени сигнала. Два разных сигнала, столкнувшись на одной частоте, заглушать друг друга и инициируют повторную передачу на следующем прыжке. Поэтому помехозащищенность реализуется за счет уменьшения пропускной способности. Второй недостаток - создание препятствий для узкополосной аппаратуры, в ряде случаев делает невозможным их совместное использование. Это обстоятельство резко сужает круг возможных применений. Аппаратура FHSS, как правило, используется в закрытых помещениях или на небольшой территории (исключение составляет случай, когда необходимо организовать соединение «точка-точка») [21].

1.4 Анализ существующих стандартов технологии IEEE 802.11

На сегодняшний день существуют следующие разновидности этого стандарта построения беспроводных локальных сетей IEEE 802.11a/b/g/n. Стандарт IEEE 802.11, принятый в 1997 г., стал первым стандартом данного семейства. Он предусматривает использование диапазона частот 2,4 ГГц, а также технологии расширения спектра скачкообразно изменением частоты (Frequency Hopping Spread Spectrum) или технологии расширения спектра методом прямой последовательности. Direct Sequence Spread Spectrum (DSSS). Стандарт IEEE 802.11 обеспечивает пропускную способность до 2 Мбит/с в расчете на одну точку доступа.

1.4.1 Стандарт IEEE 802.11а

Стандарт IEEE 802.11 а предусматривает использование нового, не требует лицензирования частотного диапазона 5 ГГц и модуляции по методу ортогонального мультиплексирования с разделением частот [Orthogonal Frequency Domain Multiplexing [OFDM]). Применение этого стандарта позволяет увеличить скорость передачи в каждом канале с 11 Мбит/с до 54 Мбит/с. При этом одновременно может быть организовано до восьми непересекающихся каналов (или точек присутствия), а не три, как в диапазоне 2,4 ГГц. Продукты стандарта IEEE 802.11 а (сетевые адаптеры NIC и точки доступа) не имеют обратной совместимости с продуктами стандартов 802.11 и 802.11 b, так как они работают на разных частотах.

1.4.2 Стандарт IEEE 802.11b

Стандарт IEEE 802.11b был принят в 1999 г. в развитие принятого ранее стандарта IEEE 802.11. Он также предусматривает использование диапазона частот 2,4 ГГц, но только с модуляцией DSSS. Данный стандарт обеспечивает пропускную способность до 11 Мбит/с в расчете на одну точку доступа.Продукты стандарта IEEE 802.11b, поставляемые различными производителями, тестируются на совместимость и сертифицируются организацией Wireless Ethernet Compatibility Alliance (WECA), которая в настоящее время больше известна под названием Wi-Fi Alliance. Совместимые беспроводные продукты, прошедшие испытания по программе "Альянса WH могут быть маркированы знаком Wi-Fi.В настоящее время ЕЕЕ 802.11b это самый распространенный стандарт, на базе которого построено большинство беспроводных сетей.

1.4.3 Стандарт IEEE 802.11g

Проект стандарта IEEE 802.11g был утвержден в октябре 2002 г. Этот стандарт предусматривает использование диапазона частот 2,4 ГГц, обеспечивая скорость передачи 54 Мбит/с и превосходя, таким образом, ныне действующий стандарт 802.11b. Кроме того, он гарантирует совместимость со стандартом 802.11b. Обратная совместимость стандарта IEEE 802.11g может быть реализована в режиме модуляции DSSS, и тогда скорость передачи будет ограничена одиннадцатью мегабит в секунду или в режиме модуляции OFDM, при котором скорость составляет 54 Мбит/с. Таким образом, этот стандарт является наиболее приемлемым при построении беспроводных сетей [7].

1.4.4 Стандарт IEEE 802.11n

Стандарт 802.11n повышает скорость передачи данных практически вчетверо по сравнению с устройствами стандарта 802.11g (максимальная скорость которых равна 54 Мбит/с), при использовании в режиме 802.11n с другими устройствами 802.11n. Теоретически 802.11n способен обеспечить скорость передачи данных до 600 Мбит / с (стандарт IEEE 802.11ac до 1.3 Гбит/с), применяя передачу данных сразу по четырем антенн. С одной антенны - до 150 Мбит/с.Устройства 802.11n работают в диапазонах 2,4-2,5 или 5,0 ГГц. Кроме того, устройства 802.11n могут работать в трех режимах:- В котором обеспечивается поддержка устройств 802.11b/g и 802.11a;- Смешанном, в котором поддерживаются устройства 802.11b/g, 802.11a и 802.11n;- «Чистом» режиме - 802.11n. Рабочую версию стандарта 802.11n (DRAFT 2.0) поддерживают многие современные сетевые устройства. Итоговая версия стандарта (DRAFT 11.0), которая была принята 11 сентября 2009 года, обеспечивает скорость до 300 Мбит/с, Многоканальный вход/выход, известный как MIMO, и большее покрытие. На 2012 год является небольшое количество устройств соответствующих финального стандарта.

1.4.5 Преимущества и недостатки технологии 802.11n

Стандарт IEEE 802.11n основан на радио технологии MIMO (Multiple-Input Multiple-Output). Использование этой инновационной радиотехнологии предусмотрено и в других стандартах, включая WiMAX и LTE (Long-Term Evolution). Последний разрабатывается для сотовых сетей 4G.

С помощью методики пространственного мультиплексирования радио технологии MIMO передает два или более потоков данных одновременно на одном и том же частотном канале. При передаче двух пространственных потоков названа методика может удвоить пропускную способность беспроводного канала. Для образования нескольких пространственных потоков нужно иметь несколько приемников и передатчиков, а также возможность передавать потоки по различным маршрутам (MIMO использует феномен многолучевого распространения радиоволн).

Традиционные сети работают на 20-МГц каналах, а проектом стандарта 802.11n предусмотрено использование двадцатого 40.ГГц каналов и до четырех пространственных потоков на одном канале. В случае применения 40 ГГц канала и четырех пространственных потоков максимальная скорость передачи данных составит 600 Мбит/с. Нынешние продукты передают данные на скорости до 300 Мбит/с, используя два пространственных потока на 40 ГГц канале.

В дополнение к пространственному мультиплексирования в проекте стандарта 802.11n предусмотрено усовершенствование физического уровня сети. Речь идет о применении более эффективной реализации технологии OFDM (Orthogonal Frequency-Division Multiplexing) и укороченных защитных интервалов (временной интервал в конце каждого символа OFDM, что исключает перекрытия последовательно передаваемых символов).

В полосе частот 20 МГц, технология 802.11n обеспечивает максимальную скорость передачи данных в одном потоке, равным 65 Мбит/с.

Пропускная способность традиционного оборудования, передающего данные по 48 поднесущих, составляет 54 Мбит / с. Традиционные устройства стандартов 802.11a/b/g используют защитный интервал длительностью 800 нс, тогда как устройства проекта стандарта 802.11n факультативно поддерживают 400-нс защитный интервал, сокращая при этом длину символа OFDM на 400 нс. Краткое защитный интервал уменьшает время передачи одного символа с 4 до 3,6 мс, увеличивая таким образом скорость передачи символов на 10% [17].

Преимущества стандарта 802.11n не ограничиваются только усовершенствованием физического уровня БЛВС. Это будет стандарт на полностью новую сетевую технологию, улучшает функционирование оборудования и на MAC-уровне. В работе традиционных БЛВС значительная часть накладных расходов связана с передачей подтверждений приема кадров (ACK). Принимающая станция передает кадр ACK (передаточной станции) в ответ на каждый принятый ею кадр. Если передающая станция не получает кадр ACK, оно пересылает неподтвержденный кадр повторно.

Передача кадров ACK и защитные интервалы «съедают» значительную часть пропускной способности радиоканала, поэтому, чтобы повысить эффективность работы последнего, в проекте стандарта 802.11n предусмотрены функции агрегирования кадров и подтверждение приема блока кадров (Block ACK).

Агрегирования кадров - это объединение двух или более кадров в один большой кадр, с целью снижения в сеансе сетевой работы числа межкадровых интервалов и кадров ACK. Передается по радиоканалу агрегированный кадр, который получил название A-MPDU (Aggregate MAC Protocol Data Unit), может иметь длину до 64 Кбайт и состоять из множества традиционных кадров длиной от 52 до 2304 байт.

При использовании протокола Block ACK прием множества кадров подтверждается одним кадром. Этот протокол повышает эффективность работы сети, устраняя квитирование приема каждого кадра. Хотя протокол Block ACK предусмотрен и ныне действующего стандарта 802.11, он не получил широкого применения. В целях повышения эффективности использования полосы пропускания радиоканала в проекте стандарта 802.11n кадр Block ACK был уменьшен с традиционных 128 до 8 байт.

К недостаткам относится высокая цена оборудования, и максимальную скорость можно развить, если все устройства будут работать в стандарте 802.11n.

1.4.6 Метод доступа

Для доступа к среде используется метод CSMA/CA (Carrier Sense Multiple Acsses Collision Avoidance) - множественный доступ с контролем несущей и предотвращением коллизий. Перед началом передачи устройство слушает эфир и ждет, когда канал освободится. Канал считается свободным при условии, что не обнаружено активности в течение определенного времени - между кадрового интервала определенного типа. Если в течение этого промежутка канал оставался свободным, устройство ожидает еще в течение случайного промежутка времени и если еще канал не занят, начинает передавать пакет.

Выводы к разделу 1

В первом разделе проведен анализ стандартов беспроводной передачи данных.

Приведены основные разновидности протоколов беспроводных сетей. Рассмотрен принцип построения и применения беспроводных сетей. Приведен обзор топологии WLAN. Рассмотрены механизмы доступа к среде стандарта 802.11.

Существующие стандарты радиодоступа достаточно хорошо проработаны и существует множество фактических реализаций.

Наиболее перспективным является стандарт IEEE 802.11, который обладает целым рядом преимуществ:

- высокая скорость развертывания;

- возможность поэтапного развития сети, начиная с минимальной конфигурации;

- низкие затраты на эксплуатацию;

- высокая пропускная способность;

- высокая помехозащищенность;

- минимальная стоимость;

- широкой инфраструктуре, возможности масштабирования.

Из вышеуказанного сделан вывод о целесообразности развертывания локальной вычислительной сети на базе стандарта 802.11 благодаря малым экономическим затратам и простоте развертывания.

2. ОСНОВНЫЕ МЕТОДЫ И ПРИЕМЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ СОВРЕМЕННЫХ БЕСПРОВОДНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ

За последние несколько лет беспроводные сети получили широкое распространение во всём мире. И, если ранее речь шла преимущественно об использовании беспроводных сетей в офисах и точках доступа, то теперь они широко используются как в домашних условиях, так и для развертывания мобильных офисов. Специально для домашних пользователей и небольших офисов продаются точки беспроводного доступа и беспроводные маршрутизаторы, а для мобильных пользователей - карманные беспроводные маршрутизаторы. Однако, принимая решение о переходе к беспроводной сети, не стоит забывать, что на сегодняшнем этапе их развития они имеют одно уязвимое место. Речь идёт о безопасности беспроводных сетей.

2.1 Общее описание проблемы нарушения безопасности

Безопасность беспроводной сети включает в себя два аспекта:

- защита от несанкционированного доступа;

- шифрование передаваемой информации.

Отметим сразу, что решить их сегодня со стопроцентной гарантией невозможно, но обезопасить себя от всевозможных «любителей» можно и нужно. Ведь беспроводное оборудование и программное обеспечение по умолчанию содержит в себе определенные средства защиты, остается только их задействовать и правильно настроить.

Итак, перейдем непосредственно к методам и средствам обеспечения безопасности беспроводных соединений.

Каждая беспроводная сеть имеет, как минимум, 2 ключевых компонента:

- базовую станцию;

- точку доступа.

Беспроводные сети могут функционировать в двух режимах:

- ad-hoc (per-to-per);

- infrastructure.

В первом случае сетевые карточки напрямую общаются друг с другом, во втором при помощи точек доступа, которые служат в качестве Ethernet мостов.

Клиент и «точка» перед передачей данных должны установить соединение. Не трудно догадаться, что между точкой и клиентом может существовать всего три состояния:

- аутентификация не пройдена и точка не опознана;

- аутентификация пройдена, но точка не опознана;

- аутентификация принята и точка присоединена.

До установления соединения стороны обмениваются управляющими пакетами, «точка доступа» передает опознавательные сигналы с фиксированным интервалом. «Клиент», приняв такой пакет, начинает аутентификацию посылкой опознавательного фрейма. После авторизации «клиент» посылает пакет присоединения, а «точка» посылает пакет подтверждения присоединения беспроводного «клиента» к сети.

2.2 Методы атак на беспроводные сети

Атаки условно делятся на 3 основных категории:

- пассивные атаки;

- активные атаки

- атаки помехами.

Рассмотрим подробнее каждую из вышеперечисленных.

2.2.1 Пассивные атаки

Основной целью таких атак является перехват данных, проходящих по каналам беспроводной сети. Для осуществления этого злоумышленнику необходим компьютер с беспроводным сетевым адаптером и специальным программным обеспечением для перехвата трафика. Такое программное обеспечение получило название «сниффер» (от англ. to sniff - нюхать, принюхиваться). Яркими представителями этого класса программ являются: для ОС Windows - WinDump, Zxsniffer, Iris. Для UNIX-подобных операционных систем - TCPDump, Dsniff, Ethereal, Ettercap, AirSnort.

Пассивные атаки очень сложно обнаружить, т.к. никаких исходящих данных от атакующего не поступает. Системным администраторам не следует применять DHCP-серверы, или, если они так необходимы, стоит проверять лог-файлы как можно чаще. Если в сети появится неизвестный MAC-адрес, то скорее всего это злоумышленник [13, 24].

Большинство злоумышленников используют бесплатную программу определения беспроводных сетей «The Netstumbler». На рисунках 2.1 и 2.2 изображено рабочее окно программы Netstumbler. Программа в основном работает с адаптерами, основанными на чипах «Hermes», так как именно они способны определять точки доступа, находящиеся в одном диапазоне и с активированным WEP. Одной из самых распространённых карт на базе чипа «Hermes» является «ORiNOCO». Другим преимуществом этой карты является возможность присоединения внешней антенны, которая в несколько раз увеличивает диапазон «видимости» сигналов точек доступа. Для этих целей необходимо иметь карту на чипе «PRISM2». Большинство фирм-производителей используют именно этот чип, например, Linksys WPC. War-driver имеют два адаптера, один для поиска сетей, другой для перехвата данных.

Несмотря на то что Netstumbler бесплатный продукт, это серьёзное и многофункциональное средство, которое является «превосходным решением» для поиска беспроводных сетей. Кроме того, Netstumbler может дать детальную информацию относительно найденных беспроводных сетей, эта информация может быть использована в комбинации с GPS, чтобы обеспечить точное местоположение относительно широты и долготы [15].

Рисунок 2.1 -Рабочее окно программы Netstumbler

Рисунок 2.1 - Рабочее окно программы Netstumbler в действии

После запуска NetStumbler начинает слать широковещательные запросы несколько раз в секунду. Если одна из точек доступа ответила, NetStumbler оповещает об этом пользователя и выдаёт информацию, извлечённую из 802.11b фреймов: SSID, MAC-адрес, канал, силу сигнала и информацию о том, активирован ли WEP или нет.

Есть несколько моментов, на которые стоит обратить внимание.

Во-первых, большинство точек доступа настроены с SSID по умолчанию, то есть настройщики его не меняли.

Во-вторых, в некоторых сетях SSID имеет смысловое отношение к сети, например: universityserver. Мы можем предположить, что эта точка доступа какого-то учебного заведения [31].

Вышеперечисленные особенности делают работу атакующего намного проще. Использование Netstumbler - начальный этап злоумышленника. После сбора информации о беспроводной сети и получения SSID, атакующий подключается к ней, чтобы перехватить трафик. Трафик может содержать большое количество информации о сети и о компании, которая использует эту сеть. Например, просматривая трафик, злоумышленник может выяснить адреса DNS-серверов, страницы, заданные по умолчанию в браузерах, сетевые имена, сессии авторизации, и т. д. Эта информация может быть использована для дальнейших атак. Если в сети активирован WEP, атакующий соберёт достаточное количество трафика для взлома шифрованных данных. Netstumbler работает с сетями, настроенными как Открытая система. Это значит, что сеть обнаруживает своё существование и посылает в ответ свой SSID. Однако это не значит, что сеть может быть с лёгкостью скомпрометирована, т.к. могут быть использованы дополнительные средства защиты. Для защиты от Netstumbler и других программ определения беспроводных сетей, администраторы должны конфигурировать беспроводные сети как Закрытые системы. Это значит, что точки доступа не будут отвечать на запросы «нулевого» SSID и будут «невидимы» для таких программ, как Netstumbler, которые полагаются на эту технологию поиска беспроводных сетей. Также для поиска беспроводных сетей могут быть использованы анализаторы спектра радиочастот. Несмотря на несовершенность закрытой системы, следует использовать эту именно технологию.

Следует отметить, что точки доступа работают как полудуплексные устройства, такие как хабы и репитеры. Это означает, что все устройства в сети могут «видеть» трафик других устройств. Единственной защитой является шифрование трафика разными методами: WEP, VPNs, SSL, Secure Shell (SSH), Secure Copy (SCP), и т. д. Некоторые методы могут быть более эффективными, всё зависит от обстоятельств.

2.2.2 Активные атаки

Как только злоумышленник получает доступ к сети при помощи пассивных атак, он приступит к осуществлению активной атаки. В большинстве своём активные атаки на беспроводные сети мало чем отличаются от атак на обычные сети. Но с ростом популярности беспроводных сетей увеличилось и число разновидностей атак на них, например, «drive-by spamming». Эта атака представляет собой рассылку спама из скомпрометированной сети.

Ввиду происхождения беспроводных сетей и несовершенности WEP, неавторизированный доступ и спуфинг являются самыми распространёнными атаками. Спуфингом называют ситуацию, при которой неавторизированный клиент выдает себя за авторизированного. Самой распространённой защитой от подобного рода атак является фильтрация MAC-адресов. Список разрешённых MAC-адресов хранится на точке доступа. Но этот метод тоже не совершенен. Осуществить смену MAC-адреса не составляет особого труда. В ОС Windows это возможно при помощи таких программ, как «AirSnort», «USTmacdak», а в UNIX-подобных ОС командой «ifconfig». К тому же MAC-адреса передаются в сети открытым текстом, и их сбор также не составит большого труда.

В сети может быть активирован WEP, но его тоже можно обойти, т.к. текст-запрос и шифр-текст передаются в открытом виде, и атакующий сможет подобрать ключ и проникнуть в сеть. Для взлома WEP злоумышленнику понадобится специальный сниффер. AirSnort - специальная программа для *nix-платформ для взлома WEP-ключей. Рабочее окно программы отображено на рисунке 2.3. AirSnort должен собрать от 500мб до 1000 Мб трафика чтобы получить WEP-ключ. Это может занять от пары часов до нескольких дней, всё зависит от загруженности сети: чем она загруженней, тем быстрее атакующий получит ключ. AirSnort использует 24-битный код, так что не имеет особого значения, какой длины ключ: 64-битный или 128-битный. После того как хакер захватил нужное количество трафика, ему понадобится программа WEPcrack. Это скрипт который используют для вычисления WEP-ключа из захваченного трафика. Как только ключ захвачен, атакующий может присоединиться к точке доступа.

Рисунок 2.3 - Рабочее окно программы AirSnort

При соединении с беспроводной сетью взломщик использует обычные средства, характерные для кабельных сетей, такие как: подбор паролей, поиск уязвимых сервисов или просто DoS-атаки или «SYN-флуд».

Так, одной из самых результативных атак является атака «Man-in-the-Middle».

Атака «человек-по-середине» (посредник) заключается в перехвате сеанса 2 клиентов. Атакующий имеет 2 сетевых адаптера и организовывает фальшивую точку доступа. Он заставляет других клиентов использовать его точку доступа, а сам перенаправляет трафик на реальную точку доступа, тем самым, получая доступ ко всем сеансам связи.

Злоумышленник может установить фальшивую точку доступа в машине, под окном организации, в вентиляционной системе, под столами, в кладовках и т. п. Если его антенна достаточно мощная, то ему необязательно ставить фальшивку близко к легитимной точке доступа [28].

2.2.3 Атака помехами

Цель атаки - глушение сигнала, т.е. это атака на отказ в обслуживании, специфичная для беспроводных сетей. Суть атаки заключается в генерации радиошума на частоте работы беспроводной сети. Это не значит, что глушение сигнала является чётким признаком атаки, так как помехи могут исходить от посторонних радиоустройств. Умышленная атака происходит следующим образом:

- атакующий анализирует спектр.

- выявляет частоты, на которых работает беспроводная сеть.

- генерирует мощный сигнал на найденных частотах, тем самым подавляя сигнал беспроводной сети.

К счастью, данный метод не распространён, так как конечный итог несоизмерим с затратами на его реализацию. Много мороки для отключения сети на некоторое время.

В то же время администратору достаточно просто переключить сеть на другую частоту.

2.3 Основные риски безопасности беспроводных сетей

Беспроводные технологии, работающие без физических и логических ограничений своих проводных аналогов, подвергают сетевую инфраструктуру и пользователей значительным рискам. Для того чтобы понять, как обеспечить безопасное функционирование беспроводных сетей, давайте рассмотрим их подробнее.

2.3.1 Риск не авторизированного доступа

«Чужаками» называются устройства, предоставляющие возможность неавторизованного доступа к корпоративной сети, зачастую в обход механизмов защиты, определенных корпоративной политикой безопасности. Чаще всего это те самые самовольно установленные точки доступа. Статистика по всему миру указывает на чужаков как на причину большинства взломов сетей организаций. Доступность и дешевизна устройств Wi-Fi привели к тому, что в Украине, например, практически каждая сеть с числом пользователей более 50 успела столкнуться с данным феноменом.

Помимо точек доступа, в роли чужака могут выступить домашний маршрутизатор с поддержкой Wi-Fi, программная точка доступа Soft AP, ноутбук с одновременно включенными проводным и беспроводным интерфейсами, сканер, проектор и т. п.

2.3.2 Риск нефиксированная природа связи

Беспроводные устройства не «привязаны» кабелем к розетке и могут менять точки подключения к сети прямо в процессе работы. К примеру, могут происходить «случайные ассоциации», когда ноутбук с Windows XP или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Такой механизм позволяет злоумышленникам «переключать на себя» ничего не подозревающего пользователя для последующего сканирования уязвимостей, фишинга или атак типа «посредник». Кроме того, если пользователь одновременно подключен и к проводной сети, то он становится удобной точкой входа, т. е. классическим чужаком [19].

Многие пользователи ноутбуков, оснащенных Wi-Fi и проводными интерфейсами и недовольные качеством работы проводной сети (медленно, администратор поставил фильтрацию URL, не работает ICQ), любят переключаться на ближайшие зоны доступа. Или ОС делает это для них автоматически в случае, например, отказа проводной сети. Излишне говорить, что в такой ситуации все старания ИТ-отдела по обеспечению сетевой безопасности остаются безрезультатными.

Сети ad-hoc - одноранговые соединения между беспроводными устройствами без участия ТД - позволяют быстро перебросить файл коллеге или распечатать нужный документ на принтере с картой Wi-Fi. Однако такой способ организации сети не поддерживает большинство необходимых методов обеспечения безопасности, предоставляя злоумышленникам легкий путь ко взлому компьютеров пользователей.