Построение защищенной сети мобильной телефонной связи интегрированной в корпоративную сеть

На рис.2.3 показан план офисного помещения открытый в программе для расчетов зоны покрытия сети Wi-Fi и расчёта количества и местоположения точек доступа.

Рис.2.3 - План офисного помещения

Далее задаем масштаб помещения, указываем зоны, препятствия и области в соответствие с офисным помещением, а именно указывается рабочая зона офиса, зона в которой нет необходимости в покрытии сети Wi-Fi, все возможные препятствие, такие как стена, дверь, окно, дающие затухания сигнала. В программе указания зон выполняется в разделе «Zone»,где синей сеткой выделяется рабочая зона офиса, красной сеткой зона в которой нет необходимости в покрытии Wi-Fi сети. Для каждого препятствия закреплён соответствующий маркер, которому соответствует своё затухание в численной величине, для кирпичной стены, для межкомнатной двери.

На рис. 2.4 указываются все зоны соответствующие офисному помещению, а так же все препятствия расположенные в офисе.

Рис. 2.4 - Указание зон, препятствий и областей

Далее отмечаем выбранную точку доступа. Запускаем программу для расчета кнопкой «Start Calculation». Программа начинает рассчитывать местоположение точки доступа.

После расчета программа корректирует области и указывает оптимальное количество и расположение точек доступа на плане офиса (рис.2.5). Как видно, для реализации проекта, что бы покрыть всю зону офиса сетью Wi-Fi, необходима одна точка доступа, так же на плане указано её оптимальное месторасположение в офисном помещении. Удобным расположением будет являться потолочная ниша офиса. Это расположение, целесообразно, исходя из технических характеристик антенны, а так же с точки зрения безопасности. Расположив точку доступа в потолочной нише, можно предотвратить несанкционированный доступ, из-за ее труднодоступности, к настройкам точки доступа и их сбросу. Потому как у большинства точек доступа на внешней панели, располагается кнопка сброса настроек «Reset», что может привести к ослаблению защищённости сети.

Рис.2.5 - Расположение точек доступа на плане офиса

Далее производится расчёт двухмерной цветовой карты, наглядно демонстрирующей радиус действия беспроводной сети в помещении офиса (рис.2.6).

Рис.2.6 - Цветовая карта зоны покрытия сети Wi-Fi офисного помещения

Анализируя результаты расчётов программы, можно сделать вывод, что точка доступа Cisco Aironet 1700 AP обеспечит хорошее покрытие сетью Wi-Fi территорию офисного помещения.

Для получения более точных значений зоны покрытия, выполним расчет зоны покрытия сети Wi-Fi вручную.

Площадь каждого этажа разобьем на квадраты 22 метра и рассчитаем затухание сигнала от точки доступа до их центра.

Расчёт производится в соответствии с модифицированной моделью расчёта Keenan-Motley (формула 2.1), т.к. эта модель используется для расчёта затуханий именно в закрытых помещениях, учитывая затухание сигнала при прохождении через все стены, лежащие на линии, соединяющей передатчик и приёмник, т.е. все внутренние преграды.

, (2.1)

где - среднее затухание радиосигнала, дБ;

- несущая частота, МГц;

- расстояние между передающей и приёмной антеннами, км;

- количество препятствий (стены, окна, двери), закрывающих прямой луч распространения радиосигнала;

- фактор ослабления радиосигнала при прохождении через препятствия, дБ.

В таблицу 2.1 сведены все возможные офисные препятствия, встречающиеся на линии прохождения прямой, соединяющей передатчик с приёмником, а так же указаны ослабления оказываемые данными препятствиями.

Таблица 2.1

Ослабление сигнала, вызванное различными препятствиями

Учитывая такие параметры как мощность передатчика - P = 24 дБ и усиление антенны G = 2 дБ, необходимо рассчитать уровень сигнала S в этих же точках в соответствии с формулой 2. 2.

(2. 2)

Полученные при расчёте значения сведём в таблицу 2.2.

Таблица 2.2

Расчёт ослабления и уровня сигнала

Сравнив полученные результаты и результаты двухмерной цветовой карты, можно с уверенностью сказать, что карта является верной а, следовательно, программа все свои функции выполняет верно, так же проанализировав два вида данных, убедились в том, что в каждой из исследуемой точки приём сигнала будет уверенный.

3. Безопасность технологии Wi-Fi

Одной из важных задач администрирования компьютерной сети является обеспечение безопасности. В отличие от проводных сетей, в беспроводной сети данные между узлами передаются «по воздуху», поэтому возможность проникновения в такую сеть не требует физического подключения нарушителя. По этой причине обеспечение безопасности информации в беспроводной сети является основным условием дальнейшего развития и применения технологии беспроводной передачи данных в коммерческих предприятиях.

К середине первого десятилетия XXI в. счет количества пользователей данной беспроводной технологии передачи информации пошел на десятки миллионов. Это обусловлено рядом неоспоримых преимуществ по сравнению с классическими кабельными сетями:

1) возможность перемещения подключенного устройства в рамках зоны покрытия без потери сигнала;

2) достаточная скорость (до 600 Мб/с) передачи информации для выполнения большого спектра задач;

3) развертывание беспроводной сети может быть единственным доступным решением, если прокладка кабельного соединения между узлами сети невозможна;

4) доступность (низкая стоимость развертывания) для использования при построении небольшой домашней или корпоративной локальной сети.

Но с данными плюсами технологии тесно граничат и ее минусы, одним из основных является большое количество возможностей для неавторизованного доступа и проникновения в закрытый сегмент корпоративной сети.

Согласно результатам опроса главных менеджеров по безопасности IT-компаний, проведенного фирмой Defcom, примерно 90% опрошенных уверены в перспективах беспроводных сетей, но отодвигают их внедрение на неопределенный срок ввиду слабой защищенности таких сетей на современном этапе; более 60% считают, что недостаточная безопасность серьезно тормозит развитие этого направления. А раз нет доверия, соответственно многие компании не рискуют отказываться от испытанных временем проводных решений.

3.1 Обоснование необходимости защиты беспроводных сетей

Ваша сеть не защищена, следовательно, рано или поздно к вашей беспроводной сети подсоединится посторонний пользователь -- возможно даже не специально, ведь смартфоны и планшеты способны автоматически подключаться к незащищенным сетям.

Если вы всего лишь простой пользователь и используете Интернет только в качестве просмотра веб-страниц и иногда используете e-mail, то риск взлома вашей сети минимален. В настоящее время HTTP соединения с Интернет-магазинами реализовываются с достаточно стойкими для взлома средствами безопасности. Кроме того, если вы используете беспроводную сеть у себя дома, то у вас попросту нет интересующих хакеров данных, чтобы они тратили свои силы на взлом. Если он просто откроет несколько сайтов, то, скорее всего, не случиться ничего страшного кроме расхода трафика. Ситуация осложнится, если через ваше интернет-подключение гость начнет загружать нелегальный контент.

Но с другой стороны, если вы являетесь крупной компанией. Зачем надо защищаться? Ответов на этот вопрос может быть множество -- в зависимости от структуры и целей вашей компании. Для одних главной задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т.д.) к конкурентам. Другие могут пренебречь конфиденциальностью информации и сосредоточить свое внимание на ее целостности. Так, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений, например, чтобы злоумышленник не смог несанкционированно дописать в платежку еще один нолик или изменить реквизиты получателя. Для третьих компаний на первом месте стоит обеспечение доступности и безотказной работы информационных систем компании, в частности, для провайдера Internet-услуг, для компании, имеющей Web-сервер, или для оператора связи первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы. Расставить такого рода приоритеты можно только в результате анализа деятельности компании.

Когда речь заходит об обеспечении безопасности любого предприятия, то первое, с чего начинается решение данного вопроса,-- это физическая защита системы контроля доступа, охранные видеокамеры, датчики, системы сигнализации и т.п. Все это приобретается и устанавливается в большом количестве, но когда дело доходит до информационной безопасности, то руководство скептически относится к средствам, ее реализующим. Если турникет, видеокамеру или огнетушитель можно потрогать руками и целесообразность их применения видна невооруженным глазом, то применение систем защиты информации (систем обнаружения атак, систем анализа защищенности и т.д.) необходимо тщательно обосновывать.

Для того чтобы узнать тайны компании, сегодня нет необходимости перелезать через высокие заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами помещения, вскрывать сейфы и т.п. Достаточно проникнуть в информационную систему, и в течение нескольких секунд или минут можно будет перевести сотни тысяч долларов на чужие счета или вывести из строя какой-либо узел корпоративной сети. Все это приводит к огромному ущербу, причем не только к прямому ущербу, который может выражаться в цифрах со многими нулями, но и к косвенному. Например, выведение из строя того или иного узла потребует значительных сумм для восстановления его работоспособности, которые складываются из затрат на обновление или замену программного обеспечения и зарплаты обслуживающего персонала. А атака на публичный Web-сервер компании и замена его содержимого на любое другое может привести к снижению доверия к фирме и, как следствие, к потере части клиентуры и уменьшению доходов.

Но как много нужно защиты? На этот вопрос нет однозначного ответа, каждый решает сам в какой степени ему требуется организовать защиту.

3.2 Типы защиты

Минимальный уровень безопасности обычно уже встроен производителям в стандартную беспроводную сеть.

Существует несколько позиций, которые позволяют снизить уровень риска взлома сети.

Аутентификация. Стартовой точкой создания любой инфраструктуры WiFi с глубокоэшелонированной обороной является аутентификация. Аутентификация в сети стандарта WiFi должна применяться на самой ранней начальной точке входа любого пользователя или устройства в сеть на уровне порта еще до получения IP-адреса. После положительного прохождения аутентификации должна быть пройдена авторизация, которая дает возможность понять, кто этот аутентифицированный пользователь, что он может делать в сети, куда он может получать доступ. Стандарт предлагает использовать гибкое решение - 802.1х, которое поддерживает большое количество протоколов аутентификации от цифровых сертификатов до методов с логином/паролем.

802.1X базируется на протоколе расширенной аутентификации Extensible Authentication Protocol (EAP), протоколе защиты транспортного уровня Transport Layer Security (TLS) и сервере доступа RADIUS. Плюс к этому стоит добавить новую организацию работы клиентов сети. После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время -- время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию.

Также 802.1х поддерживается большим количеством платформ - от дешевых КПК и смартфонов до настольных компьютеров и серверов. Модуль 802.1х встроен в последние версии Windows и MacOS, а также во многие операционные системы для смартфонов, хотя пока и не на 100%. Можно найти программы-суппликанты 802.1х практически для любой популярной операционной системы.

ESSID фильтрация по MAC-адресам. Наибольшей популярностью пользуются два способа защиты: фильтрация по MAC-адресам и скрытие SSID (имени сети): эти меры защиты не обеспечат вам безопасности. Для того чтобы выявить имя сети, взломщику достаточно WLAN-адаптера, который с помощью модифицированного драйвера переключается в режим мониторинга. Взломщик ведет наблюдение за сетью до тех пор, пока к ней не подключится пользователь (клиент). Затем он манипулирует пакетами данных и тем самым «выбрасывает» клиента из сети. При повторном подсоединении пользователя взломщик видит имя сети. Это кажется сложным, но на самом деле весь процесс занимает всего несколько минут. MAC адрес -- это уникальный идентификатор «прошитый» производителем внутрь каждого сетевого устройства, без возможности его изменения. Обойти MAC-фильтр также не составляет труда: взломщик определяет MAC-адрес и назначает его своему устройству. Таким образом, подключение постороннего остается незамеченным для владельца сети.

Шифрование. Первой технологией защиты беспроводных сетей принято считать протокол безопасности WEP (Wired Equivalent Privacy -- эквивалент проводной безопасности), изначально заложенный в спецификациях стандарта 802.11. Указанная технология позволяла шифровать поток передаваемых данных между точкой доступа и персональным компьютером в рамках локальной сети. Шифрование данных осуществлялось с использованием алгоритма RC4 на ключе со статической составляющей от 40 до 104 бит и с дополнительной случайной динамической составляющей (вектором инициализации) размером 24 бит; в результате шифрование данных производилось на ключе размером от 64 до 128 бит. В 2001 году были найдены способы, позволяющие путем анализа данных, передаваемых по сети, определить ключ. Перехватывая и анализируя сетевой трафик активно работающей сети, такие программы, как AirSnort, WEPcrack либо WEPAttack, позволяли вскрывать 40-битный ключ в течение часа, а 128-битный ключ -- примерно за четыре часа. Полученный ключ позволял нарушителю входить в сеть под видом легального пользователя.

WEP имеет следующие минусы:

1) предсказуемость ключа шифрования для кадра;

2) отсутствие средств аутентификации в сети;

3) слабый механизм проверки целостности данных.

Таким образом, технология WEP не обеспечивает надлежащего уровня безопасности корпоративной сети предприятия, но ее вполне достаточно для домашней беспроводной сети, когда объем перехваченного сетевого трафика слишком мал для анализа и вскрытия ключа[10].

3.3 Новые стандарты безопасности

Технологии развиваются, и системы защиты информационной безопасности так же не стоят на месте.

С 2003 года в новом оборудовании WiFi используется технология WPA - WiFi Protected Access (защищенный WiFi-доступ).

WPA обеспечивает надежную аутентификацию пользователей с использованием стандарта 802.1x (взаимная аутентификация и инкапсуляция данных передаваемых между беспроводными клиентскими устройствами, точками доступа и сервером) и расширяемый протокол аутентификации (EAP).

Главной особенностью технологии WPA является динамическая генерация ключей шифрования данных, построенная на базе протокола TKIP (Temporal Key Integrity Protocol) и позволяющая обеспечить конфиденциальность и целостность передаваемых данных.

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP ключей.

WPA является синтезом следующих технологий и стандартов:

WPA = 802.1X + EAP + TKIP + MIC.

Для подсчета контрольной суммы используется MIC (Message Integrity Code), который используется вместо устаревшего и менее надёжного CRC32.

EAP(Extensible Authentication Protocol) один из самых распространенных протоколов проверки подлинности. Используется для аутентификации в проводных сетях, и поэтому WPA-беспроводная сеть легко интегрируема в уже имеющуюся инфраструктуру. Обязательным условием аутентификации является предъявление пользователем маркера доступа, подтверждающего его право на доступ в сеть. Для получения маркера выполняется запрос к специальной базе данных, а без аутентификации работа в сети для пользователя будет запрещена. Система проверки расположена на специальном RADIUS-сервере, а в качестве базы данных используется Active Directory.

Несмотря на относительную новизну этой технологии, в комплект некоторых хакерских утилит уже входит специальный модуль, отображающий один из ключей протокола. Для несанкционированного подключения к точке доступа, защищённой технологией WPA, этого оказалось вполне достаточно.

WPA/WPA2 - Enterprise и WPA/WPA2-Personal. Очень надёжный метод проверки подлинности сети, в первом случае используется на предприятиях, во втором -- дома и в небольших офисах. Разница между ними в том, что в домашнем варианте используется постоянный ключ, который настраивается в точке доступа(рис.3.1). Совместно с алгоритмом шифрования и SSID подключения образует безопасное соединение. Чтобы получить доступ к такой сети, необходимо знать пароль. Поэтому, если он надёжен, и вы никому его не разглашаете, для квартиры или дома -- это идеальный вариант. Кроме того, практически все производители отмечают его как рекомендуемый.

Рис.3.1 - WPA/WPA2-Personal

Во втором случае применяется динамический ключ и каждому пользователю присваивается индивидуальный(рис.3.2). Дома с этим заморачиваться нет смысла, поэтому он используется только на крупных предприятиях, где очень важна безопасность корпоративных данных[11].

Рис.3.2 - WPA/WPA2 - Enterprise

Корпоративные сети с шифрованием WPA2-Enterprise строятся на аутентификации по протоколу 802.1x через RADIUS-сервер (рис.3.3). Протокол 802.1x (EAPOL) определяет методы отправки и приема запроса данных аутентификации и обычно встроен в операционные системы и специальные программные пакеты.

802.1x предполагает три роли в сети:

1) клиент (supplicant) - клиентское устройство, которому нужен доступ в сеть;

2) cервер аутентификации (обычно RADIUS);

3) аутентификатор -- роутер/коммутатор, который соединяет множество клиентских устройств с сервером аутентификации и отключает/подключает клиентские устройства.

Рис.3.3 - Схема работы WPA2-Enterprise 802.1x

Есть несколько режимов работы 802.1x, но самый распространенный и надежный следующий:

1) аутентификатор передает EAP-запрос на клиентское устройство, как только обнаруживает активное соединение;

2) клиент отправляет EAP-ответ -- пакет идентификации. Аутентификатор пересылает этот пакет на сервер аутентификации (RADIUS);

3) RADIUS проверяет пакет и право доступа клиентского устройства по базе данных пользователя или другим признакам и затем отправляет на аутентификатор разрешение или запрет на подключение. Соответственно, аутентификатор разрешает или запрещает доступ в сеть.

На рис 3.4 изображены внутренние протоколы (методы) EAP.

Рис.3.4 - Внутренние протоколы (методы) EAP

Использование сервера RADIUS позволяет отказаться от PSK и генерировать индивидуальные ключи, валидные только для конкретной сессии подключения. Проще говоря, ключи шифрования невозможно извлечь из клиентского устройства. Защита от перехвата пакетов обеспечивается с помощью шифрования по разным внутренним протоколам EAP, каждый из которых имеет свои особенности. Так, протокол EAP-FAST позволяет авторизоваться по логину и паролю, а PEAP-GTC -- по специальному токену (карта доступа, карточки с одноразовыми паролями, флеш-карты и т.п.). Протоколы PEAP-MSCHAPv2 и EAP-TLS проводят авторизацию по клиентским сертификатам.

Максимальную защиту сети Wi-Fi обеспечивает только WPA2-Enterprise и цифровые сертификаты безопасности в сочетании с протоколом EAP-TLS или EAP-TTLS.

Сертификат -- это заранее сгенерированные файлы на сервере RADIUS и клиентском устройстве. Клиент и сервер аутентификации взаимно проверяют эти файлы, тем самым гарантируется защита от несанкционированных подключений с чужих устройств и ложных точек доступа.

Протоколы EAP-TTL/TTLS входят в стандарт 802.1x и используют для обмена данными между клиентом и RADIUS инфраструктуру открытых ключей (PKI). PKI для авторизации использует секретный ключ (знает пользователь) и открытый ключ (хранится в сертификате, потенциально известен всем). Сочетание эти ключей обеспечивает надежную аутентификацию.

Цифровые сертификаты нужно делать для каждого беспроводного устройства. Это трудоемкий процесс, поэтому сертификаты обычно используются только в Wi-Fi-сетях, требующих максимальной защиты. В то же время можно легко отозвать сертификат и заблокировать клиента.

Сегодня WPA2-Enterprise в сочетании с сертификатами безопасности обеспечивает надежную защиту корпоративных Wi-Fi-сетей. При правильной настройке и использовании взломать такую защиту практически невозможно "с улицы", то есть без физического доступа к авторизованным клиентским устройствам. Тем не менее, администраторы сетей иногда допускают ошибки, которые оставляют злоумышленниками "лазейки" для проникновения в сеть. Проблема осложняется доступностью софта для взлома и пошаговых инструкций, которыми могут воспользоваться даже дилетанты.

При грамотном проектировании и базовых знаниях работы WiFi, беспроводную сеть можно очень хорошо защитить [12] .

При построении беспроводной сети не стоит усложнять ее защиту, а стоит исходить из адекватной оценки требуемой безопасности, насколько Вы сами нуждаетесь в этом. Для начала нужно оценить ценность имеющихся данных и определить соответствующую стоимость по осуществлению мер безопасности. Таким образом, для создания необходимых условий безопасности сети, требуется как минимум, изменить параметры, установленные по умолчанию во всем используемом оборудовании. Выполнив данные действия, Вы приобретаете высокоэффективные и профессиональные средства безопасности, что должно заставить Вас чувствовать себя более уверенно и безопасно в вашей беспроводной сети.

Заключение

В данной дипломной работе было произведено построение сети мобильной телефонной связи по технологии IEEE 802.11 Wi-Fi, также произведена интеграция данной сети в корпоративную сеть.

Для реализации дипломной работы была выбрана перспективная технология IP-телефонии. Одной из целей ВКР была оптимизация затрат на телефонию, поэтому одним из ключевых факторов является экономическая целесообразность. Таким образом, выявили наиболее выгодную для построения технологию Wi Fi.

В работе используется выбор оборудования одного производителя для построения сети. В качестве производителя была выбрана компания Cisco Systems - мировой лидер в области инфокоммуникаций.

При выполнении ВКР были решены следующие задачи:

1) разработана структурная схема сети;

2) произведен выбор оборудования;

3) рассчитана зоны покрытия сети внутри здания;

4) описаны механизмы обеспечения информационной безопасности.

Материалы ВКР могут быть использованы при сети мобильной телефонной связи, которая будет удовлетворять нуждам отечественных предприятий. Использование рассмотренных в ВКР базовых механизмов защиты, позволят создать отказоустойчивую, высокофункциональную и защищённую мобильную телефонную связь по технологии IEEE 802.11 Wi-Fi.

Список использованных источников

1. Интуит. Лекция 1. Общие вопросы технологии IP-телефонии [Электронный ресурс]- Режим доступа: http://www.intuit.ru/ studies/courses/8/8/lecture/239

2. Гольдштейн B.C. IP-Телефония[Текст]: учеб. пособие для вузов / B.C.Гольдштейн, А.В.Пинчук, А.Л. Суховицкий-- М.: Радио и связь, 2001. -- 336с.

3. IP-телефония в компьютерных сетях[Текст]: учебное пособие/ И.В. Баскаков [и др.]-М.:2008-226с.

4. Каталог “АТС. Коммутационное оборудование”-2004 Стандарт DECT:обзор оборудования стр.39-42. [Электронный ресурс] - Режим доступа: http://www.tssonline.ru/articles2/uats/stand_dect_obzor_oborud

5. Сети и системы связи. Журнал о компьютерных сетях и телекоммуникационных технологиях. VoIP операторского класса [Электронный ресурс] - Режим доступа: http://www.ccc.ru/magazine/depot/ 05_13/read.html?0302.htm

6. Сайт компании Cisco.Сайт компании Cisco. Катало оборудования. [Электронный ресурс]-Режим доступа: http://www.cisco.com/c/en/us/products/ collateral/wireless/aironet-1700-series/datasheet-c78-732347.html

7. Сайт компании Cisco. Катало оборудования. [Электронный ресурс] - Режим доступа: http://www.cisco.com/c/en/us/support/collaboration -endpoints/unified-ip-phone-7965g/model.html

8. Сайт компании Cisco. Катало оборудования. [Электронный ресурс] - Режим доступа: http://www.cisco.com/c/en/us/products/wireless/5700-series-wireless-lan-controllers/index.html

9. Сайт компании Cisco. Катало оборудования. [Электронный ресурс] - Режим доступа: http://www.cisco.com/c/en/us/products/switches/ catalyst-6500-series-switches/index..html

10. [Электронный ресурс] - Режим доступа: http://wi-life.ru/texnologii/wi-fi/wi-fi-strategiya-bezopasnosti

11. Сайт компании tp-link. В чем разница между режимами WPA-Personal и WPA-Enterprise [Электронный ресурс] - Режим доступа: http://www.tp-linkru.com/faq-500.html

12. Защита беспроводных сетей, WPA: теория и практика. [Электронный ресурс] - Режим доступа: http://www.ixbt.com/comm/prac-wpa-eap.shtml

Размещено на Allbest.ru