Разработка технологии средств защиты информации беспроводных сетей. Wi-Fi-сети и угрозы информационной безопасности

Белорусов Дмитрий Иванович
Корешков Михаил Сергеевич
ООО «РИКОМ» г.Москва

Wi -Fi -сети и угрозы информационной безопасности

В статье рассмотрены прямые и косвенные угрозы информационной безопасности, которые возникают в связи с развитием технологии беспроводного доступа WiFi. Показано, что применение технологии WiFi может угрожать не только информации, передаваемой непосредственно с помощью оборудования WiFi, но и речевой информации на объекте.

Широкое применение сетей беспроводной передачи данных на основе технологии IEEE 802.11, более известной как WiFi, не может не обращать на себя внимание специалистов по информационной безопасности объектов. В этой статье авторы ставят целью познакомить читателей с результатами исследований новых угроз информационной безопасности объекта, которые связаны с WiFi -сетями.

Изначально технология WiFi была ориентирована на организацию точек быстрого доступа в Интернет (hotspot) для мобильных пользователей. Технология позволяет обеспечить одновременный доступ большого числа абонентов к сети Интернет прежде всего в общественных местах (аэропорты, рестораны и т.д.). Преимущества беспроводного доступа очевидны, тем более что изначально технология WiFi стала стандартом де-факто, и у производителей мобильных компьютеров не возникает вопрос совместимости точек доступа имобильных устройств.

Постепенно сети WiFi распространились и на крупные и мелкие офисы для организации внутрикорпоративных сетей или подсетей.

Одновременно с этим крупные операторы связи начали развивать собственные сервисы по предоставлению платного беспроводного доступа в Интернет на основе технологии WiFi. Такие сети состоят из большого числа точек доступа, которые организуют зоны покрытия целых районов городов, подобно сотовой связи.

Как следствие в настоящее время в любом крупном городе рядом практически с любым объектом расположено как минимум несколько WiFi -сетей со своими точками доступа и клиентами, число которых может доходить до сотен.

Перейдем к рассмотрению угроз информационной безопасности, которые возникают в связи с использованием WiFi -сетей. Все угрозы можно условно разделить на два класса:

• прямые - угрозы информационной безопасности, возникающие при передачеинформации по беспроводному интерфейсу IEEE 802.11;
• косвенные - угрозы, связанные с наличием на объекте и рядом с объектом большого количества WiFi -сетей, которые могут использоваться для передачи информации, в том числе и полученной несанкционированно.

Косвенные угрозы актуальны абсолютно для всех организаций, и, как будет показано далее, они представляют опасность не только для информации, обрабатываемой в компьютерных сетях, но и, что наиболее важно, для речевой информации.

Рассмотрим прямые угрозы. Для организации беспроводного канала связи в технологии WiFi используется радиоинтерфейс передачи данных. Как канал передачи информации он потенциально подвержен несанкционированному вмешательству с целью перехвата информации, искажения или блокирования.

При разработке технологии WiFi учтены некоторые вопросы информационной безопасности, однако, как показывает практика, недостаточно.

Многочисленные «дыры» в безопасности WiFi дали начало отдельному течению в отрасли компьютерного взлома, так называемому вардрайвингу (wardriving - англ.). Вардрайверы - это люди, которые взламывают чужие WiFi -сети из «спортивного» интереса, что, однако, не умаляет опасность угрозы.

Хотя в технологии WiFi и предусмотрены аутентификация и шифрование для защиты трафика от перехвата на канальном уровне, эти элементы защиты работают недостаточно эффективно.

Во-первых, применение шифрования снижает скорость передачи информации по каналу в несколько раз, и, зачастую, шифрование умышленно отключается администраторами сетей для оптимизации трафика. Во-вторых, использование в WiFi -сетях достаточно распространённой технологии шифрования WEP давно было дискредитировано за счёт слабых мест в алгоритме распределения ключей RC4, который используется совместно с WEP. Существуют многочисленные программы, позволяющие подобрать «слабые» WEP- ключи. Эта атака получила название FMS по первым буквам инициалов разработчиков. Каждый пакет, содержащий слабый ключ, с 5%-ной степенью вероятности восстанавливает один байт секретного ключа, поэтому общее количество пакетов, которое атакующий должен собрать для реализации атаки, зависит в первую очередь от степени его везучести. В среднем для взлома требуется порядка шести миллионов зашифрованных пакетов. Хакеры лаборатории H1kari of DasbOden Labs усилили FMS -алгоритм, сократив количество необходимых пакетов с шести миллионов до 500 тысяч. А в некоторых случаях 40/104-битный ключ взламывается всего с тремя тысячами пакетов, что позволяет атаковать даже домашние точки доступа, не напрягая их избыточным трафиком.

Если обмен данными между легальными клиентами и точкой доступа незначителен или практически отсутствует, злоумышленник может заставить жертву генерировать большое количество трафика, даже не зная секретного ключа. Достаточно просто перехватить правильный пакет и, не расшифровывая, ретранслировать его вновь.

Разработчики оборудования отреагировали вполне адекватным образом, изменив алгоритм генерации векторов инициализации так, чтобы слабые ключи уже не возникали.

В августе 2004 года хакер по имени KoreK продемонстрировал исходный код нового криптоанализатора, взламывающего даже сильные векторы инициализации. Для восстановления 40-битного ключа ему требовалось всего 200 000 пакетов с уникальными векторами инициализации, а для 104-битного - 500 тысяч. Количество пакетов с уникальными векторами в среднем составляет порядка 95% от общего количества зашифрованных пакетов, так что для восстановления ключа атакующему потребуется совсем немного времени.

В новом оборудовании WiFi используется технология WPA - WiFi Protected Access (защищенный WiFi -доступ), где вновь была усилена защищённость беспроводных устройств. На место WEP пришел TKIP (Temporal Key Integrity Protocol - протокол краткосрочной целостности ключей), генерирующий динамические ключи, сменяющие друг друга с небольшим интервалом времени. Несмотря на относительную новизну этой технологии, в комплект некоторых хакерских утилит уже входит специальный модуль, отображающий один из ключей протокола. Для несанкционированного подключения к точке доступа, защищённой технологией WPA, этого оказалось вполне достаточно.

Стандарт IEEE 802.11i описывает более продвинутую систему безопасности (известна под именем WPA2), основанную на криптоалгоритме AES. Готовых утилит для её взлома в открытом виде пока не наблюдается, так что с этой технологией можно чувствовать себя в безопасности. По крайней мере, какое-то время она продержится.

Угроза блокирования информации в канале WiFi практически оставлена без внимания при разработке технологии, что напрасно. Конечно, само по себе блокирование канала не является опасным, поскольку практически всегда сети WiFi являются вспомогательными, однако блокирование зачастую является лишь подготовительным этапом для атаки man-in-the-middle, когда между клиентом и точкой доступа появляется третье устройство, которое перенаправляет трафик между ними через себя. В этом случае возникает уже не только угроза перехвата информации, но и её искажения. Известны, по крайней мере, несколько обработанных атак на WiFi -сети, связанных с отказом в обслуживании DOS (Denail-of-Service), но в рамках данной статьи мы не будем останавливаться на их рассмотрении, ограничимся лишь констатацией наличия реальных угроз.

Перейдём к рассмотрению косвенных угроз информационной безопасности объекта, которые непосредственно связаны с WiFi- технологией.

Каналы WiFi -сетей являются крайне привлекательными для использования в качестве транспортной инфраструктуры для устройств несанкционированного получения информации по целому ряду причин:

1. Сигналы WiFi -устройств имеют достаточно сложную структуру и широкий спектр, поэтому эти сигналы, а тем более, окружающие устройства WiFi невозможно идентифицировать обычными средствами радиомониторинга.

Как показала практика, уверенное обнаружение сигнала WiFi современными комплексами радиомониторинга в широкой полосе частот возможно только по энергетическому признаку при наличии полос параллельного анализа шириной несколько десятков МГц на скорости не менее 400 МГц/с и лишь в ближней зоне. Сигналы точек доступа, расположенных в дальней зоне, оказываются ниже уровня шумов приёмника.

Обнаружение WiFi -передатчиков при последовательном сканировании узкополосными приёмниками вообще невозможно.

2. Практически на каждом объекте или вблизи него развёрнуты частные WiFi -сети или WiFi -сети общего пользования. В окружении таких сетей крайне сложно отличить легальных клиентов собственной и соседних сетей от клиентов с возможностями негласного получения информации, что даёт возможность эффективно маскировать несанкционированную передачу информации среди легальных WiFi -каналов.

Передатчик WiFi излучает так называемый «OFDM сигнал». Это означает, что в один момент времени устройство передаёт в одном сигнале, занимающем широкую полосу частот (около 20 МГц), несколько несущих информацию - поднесущих информационных каналов, которые расположены так близко друг от друга, что при приёме их на обычном приёмном устройстве, сигнал выглядит как единый «купол». Разделить в таком «куполе» поднесу-щие и идентифицировать передающие устройства можно только специальным приёмником.

3. В крупных городах сети WiFi общего пользования имеют зону покрытия, достаточную, чтобы гарантировать возможность подключения к ним для передачи информации практически любой точки. Это снимает необходимость использования мобильного пункта приёма информации рядом с объектом, поскольку информация может быть передана несанкционированным устройством через точку доступа общего пользования и далее по сети Интернет в любое место.

4. Ресурсы, которые предоставляют каналы WiFi -сетей, позволяют передавать звук, данные, видео в реальном масштабе времени. Этот факт открывает широкие возможности перед устройствами перехвата информации. Теперь не только звуковая информация, но и видеоданные с компьютеров или локальной сети под угрозой.

Все рассмотренные выше преимущества WiFi -технологии с точки зрения защиты информации на объекте являются недостатками. Кроме того, выпускаются и абсолютно легально продаются малогабаритные WiFi- устройства, позволяющие передавать данные, голосовую или видеоинформацию, например, беспроводные WiFi -видеокамеры, которыелегко могут быть переделаны для использования в качестве устройств негласного получения информации.

Рис. 1. Сигнал WiFi -передатчика в ближней зоне

Рис. 2. Беспроводная WEB -камера с WiFi- интерфейсом

1. В помещении несанкционированно установлена WiFi -видеокамера с микрофоном. Для увеличения дальности передачи информации на крыше объекта устанавливается точка доступа WiFi, которая работает в режиме ретранслятора (один из штатных режимов работы WiFi точки доступа) с направленной антенной. В этом случае информация из помещения, в котором установлена камера стандартной мощности WiFi клиента, может быть принята на контрольном пункте, расположенном на расстоянии нескольких километров от объекта, даже в условиях города.

2. Смартфон одного из сотрудников предприятия с помощью специальной программы(вируса) может переводиться в режим, когда речевая информация с микрофона будет записываться и с помощью встроенного в него WiFi- модуля передаваться на контрольный пункт.

Для повышения скрытности контрольный пункт может быть использован также в одном из штатных режимов WiFi точек доступа - «передача со скрытым именем». В таком случае точка доступа будет невидима программам обзора сетевого окружения для беспроводных сетей. Необходимо отметить, что в этих программах WiFi клиенты вообще никогда не видны.

3. И наконец, рассмотрим вариант, когда режим на объекте не позволяет выносить носители информации за его пределы, выход в Интернет отсутствует или ограничен. Как злоумышленник может передать с такого объекта достаточно большой объём данных незаметно? Ответ: ему необходимо абсолютно легально подключиться к соседней широковещательной WiFi -сети и передать информацию, оставаясьнезамеченным среди достаточно большого количества WiFi клиентов соседних сетей, передающих информацию за пределами объекта.

Выводы:

Технология WiFi безусловно удобна и универсальна для организации беспроводного доступа к информации. Однако она несёт в себе множество серьёзных угроз информационной безопасности объекта. При этом существуют прямые и косвенные угрозы информационной безопасности. И если от прямых угроз можно избавиться, отказавшись от применения WiFi -устройств в инфраструктуре корпоративной сети и не использовать WiFi- сети на объекте, то косвенные угрозы существуют независимо от применения на объекте WiFi -технологии. Кроме того косвенные угрозы опаснее прямых, поскольку им подвержена не только информация в компьютерных сетях, но и речевая информация на объекте.

В заключение хотелось бы отметить, что WiFi -технология в настоящее время является не единственной распространённой беспроводной технологией передачи данных, которая может нести в себе угрозы информационной безопасности объекта.

Bluetooth -устройства также могут использоваться для организации несанкционированной беспроводной передачи данных. По сравнению с WiFi- у Bluetooth -устройств существенно меньше возможностей с точки зрения дальности передачи информации и пропускной способности канала, но есть одно важное преимущество - низкое энергопотребление, что для несанкционированного передатчика является крайне важным.

Ещё одна технология, которая начинает конкурировать с WiFi при обеспечении беспроводного широкополосного доступа, это -WiMAX. Однако по состоянию на настоящий момент WiMAX -устройства гораздо менее распространены, и их наличие скорее окажется демаскирующим фактором, чем скроет несанкционированный канал передачи информации.

Таким образом, именно WiFi в настоящее время является не только самой распространённой технологией беспроводного доступа, но и самой удобной с точки зрения несанкционированного получения и передачи информации.

Литература

1. Каролик А., Касперски К. Разберемся, что такое вардрайвинг (wardriving) и с чем его необходимо употреблять //Хакер. - №059. - С. 059-0081.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru

Департамент образования, науки и молодежной политики

Воронежской области

государственное образовательное бюджетное учреждение

среднего профессионального образования

Воронежской области

«Воронежский техникум строительных технологий»

(ГОБУ СПО ВО «ВТСТ»)

Техническое обслуживание средств вычислительной техники и компьютерных сетей

ДИПЛОМНЫЙ ПРОЕКТ

Разработка технологии средств защиты информации беспроводных сетей

Консультант по организационно-

экономической части С.Н. Мухина

Нормоконтроль _ Л.И. Коротких

Руководитель Н.А. Меркулова

Разработал(а) _ М.А. Суханов

Воронеж 2014

Аннотация

Введение

1.3 Технологии средств защиты информации беспроводных сетей

2.1 Настройка программы WPA

2.2 Шифрование трафика

4. Охрана труда и техника безопасности

4.1 Электробезопасность при эксплуатации технических средств

4.2 Требования к помещению

4.3 Мероприятия по противопожарной технике

Заключение

Список сокращений

Приложение

Аннотация

В данном дипломном проекте велась разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов.

В ходе выполнения дипломного проекта был проведен анализ технологии информации защиты информации беспроводных сетей, анализ программных продуктов позволяющих повысить защиту беспроводных сетей от угроз.

В результате выполнения проекта приобретен опыт настройки программных продуктов, позволяющих максимально защитить беспроводную сеть от часто встречающихся угроз.

Дипломный проект состоит из четырех разделов, содержит двадцать четыре рисунка, одну таблицу.

защита информация сеть

Введение

Беспроводные сети уже используются практически во всех сферах деятельности. Широкое использование беспроводных сетей обусловлено тем, что они могут использоваться не только на персональных компьютерах, но и телефонах, планшетах и ноутбуках их удобством и сравнительно невысокой стоимостью. Беспроводные сети должны удовлетворять ряду требований к качеству, скорости, радиусу приема и защищенности, при этом защищенность часто является самым важным фактором.

Актуальность обеспечения безопасности беспроводной сети обусловлена тем, что если в проводных сетях злоумышленник должен сначала получить физический доступ к кабельной системе или оконечным устройствам, то в беспроводных сетях для получения доступа достаточно обычного приемника, установленного в радиусе действия сети.

Несмотря на различия в реализации связи, подход к безопасности беспроводных сетей и их проводных аналогов идентичен. Но при реализации методов защиты информации в беспроводных сетях больше внимания уделяется требованиям к обеспечению конфиденциальности и целостности передаваемых данных, к проверке подлинности беспроводных клиентов и точек доступа.

Объектом исследования является средства защиты информации беспроводных сетей

Предметом исследования является технология защиты информации беспроводных сетей

Целью дипломного проекта является повышение качества защиты информации беспроводных сетей

Для достижения указанной цели были решены следующие задачи:

исследованы виды угроз и их негативное воздействие на функционирование беспроводных сетей;

проанализированы программные продукты, осуществляющие защиту информации беспроводных сетей;

разработана технология средств защиты информации беспроводных сетей;

Практическая направленность разработанного дипломного проекта состоит в том, что в результате применения данного дипломного проекта достигается защита информации беспроводных сетей от несанкционированного подключения, стабильная скорость Интернет-соединения, контроль несанкционированного потребления трафика.

1. Анализ угроз и обеспечения безопасности беспроводной сети

Принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа. При разработке корпоративной сети администраторы должны в первую очередь предусматривать не только качественное покрытие территории офисов связью, но и предусмотреть средства защиты, так как подключиться к сети можно и из автомобиля, припаркованного на улице.

Не менее опасной угрозой беспроводным сетям является вероятность хищения оборудования: роутер, антенна, адаптер. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или роутер, украденная злоумышленником, может открыть доступ к беспроводной сети.

1.1 Основные угрозы беспроводных сетей

Беспроводные технологии, работающие без физических и логических ограничений своих проводных аналогов, подвергают сетевую инфраструктуру и пользователей значительным угрозам. Наиболее частыми угрозами являются следующие:

Чужаки. «Чужаками» называются устройства, предоставляющие возможность неавторизованного доступа к беспроводной сети, зачастую в обход механизмов защиты, определенных корпоративной политикой безопасности. Чаще всего это самовольно установленные точки доступа. Статистика показывает, что угроза «чужаки» является причиной большинства взломов беспроводных сетей. В роли чужака могут выступить домашний маршрутизатор с поддержкой Wi-Fi, программная точка доступа Soft AP, ноутбук с одновременно включенными проводным и беспроводным интерфейсами, сканер, проектор и т. п.

Нефиксированная связь - беспроводные устройства могут менять точки подключения к сети прямо в процессе работы. К примеру, могут происходить «случайные ассоциации», когда ноутбук с Windows XP (достаточно доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Такой механизм позволяет злоумышленникам «переключать на себя» ничего не подозревающего пользователя для последующего сканирования уязвимостей.

MITM-атака (англ. Man in the middle, "человек посередине") -- термин используется в криптографии и обозначает ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле, сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале. MITM-атака - это метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную. Атака Man in the middle, обычно начинается с прослушивания канала связи и заканчивается попыткой криптоаналитика подменить перехваченное сообщение, извлечь из него полезную информацию, перенаправить его на какой-нибудь внешний ресурс.

Пример: Объект A передает объекту B некую информацию. Объект C обладает знаниями о структуре и свойствах используемого метода передачи данных, планирует перехватить эту информацию. Для совершения атаки С "представляется" объекту А - объектом В, а объекту В -- объектом А. Таким образом, объект А отправляя информацию объекту В, неосознано посылает её объекту С. В свою очередь объект С, получив информацию и совершив с ней некоторые действия пересылает данные настоящему объекту В. Объект В считает, что информация была получена им напрямую от А.

Отказ в обслуживании - атака «отказ в обслуживании» может быть достигнута несколькими способами. Если хакеру удается установить соединение с беспроводной сетью, его злонамеренные действия могут вызвать ряд таких серьезных последствий: например, рассылку ответов на запросы протокола разрешения адресов (Address Resolution Protocol, ARP) для изменения ARP-таблиц сетевых устройств с целью нарушения маршрутизации в сети или внедрение несанкционированного сервера протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной сети, то сможет переподключить пользователей на свою точку доступа,а последние окажутся отрезанными от сетевых ресурсов, которые были доступны через «законную» точку доступа.

Подслушивание

Анонимные вредители могут перехватывать радиосигнал и расшифровывать передаваемые данные. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Чтобы перехватить передачу, злоумышленник должен находиться вблизи от передатчика. Перехваты такого типа практически невозможно зарегистрировать, и еще труднее помешать им. Использование антенн и усилителей дает злоумышленнику возможность находиться на значительном расстоянии от цели в процессе перехвата. Подслушивание позволяет собрать информацию в сети, которую впоследствии предполагается атаковать. Первичная цель злоумышленника - понять, кто использует сеть, какие данные в ней доступны, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно и какова территория развертывания сети.

1.2 Средства защиты беспроводных сетей

В качестве средств защиты от наиболее частых угроз беспроводных сетей можно использовать следующее программое обеспечение

WPA (Wi-Fi Protected Access) представляет собой обновлённую программу сертификации устройств беспроводной связи. Технология WPA состоит из нескольких компонентов:

протокол 802.1x -- универсальный протокол для аутентификации, авторизации и учета (AAA)

протокол EAP -- расширяемый протокол аутентификации (Extensible Authentication Protocol)

протокол TKIP -- протокол временнОй целостности ключей, другой вариант перевода -- протокол целостности ключей во времени (Temporal Key Integrity Protocol)

MIC -- криптографическая проверка целостности пакетов (Message Integrity Code)

протокол RADIUS

За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования -- RC4 -- что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).

RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.

Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа -- так называемый режим

WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты тоже довольно секьюрен (относительно WEP), очень не удобен с точки зрения управления. PSK-ключ требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети и так далее. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.

В этой серии статей будет рассмотрена работа WPA совместно с внешним RADIUS-сервером. Но прежде чем перейти к ней, немного подробнее остановимся на механизмах работы WPA. Технология WPA являлась временной мерой до ввода в эксплуатацию стандарта 802.11i. Часть производителей до официального принятия этого стандарта ввели в обращение технологию WPA2, в которой в той или иной степени используются технологии из 802.11i. Такие как использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), взамен TKIP, в качестве алгоритма шифрования там применяется усовершенствованный стандарт шифрования AES (Advanced Encryption Standard). А для управления и распределения ключей по-прежнему применяется протокол 802.1x.

Как уже было сказано выше, протокол 802.1x может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» -- то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства (будь то точка доступа или умный коммутатор) будет открыт и пользователь получит доступ к ресурсам сети.

Функции аутентификации возлагаются на протокол EAP, который сам по себе является лишь каркасом для методов аутентификации. Вся прелесть протокола в том, что его очень просто реализовать на аутентификаторе (точке доступа), так как ей не требуется знать никаких специфичных особенностей различных методов аутентификации. Аутентификатор служит лишь передаточным звеном между клиентом и сервером аутентификации. Методов же аутентификации, которых существует довольно много:

EAP-SIM, EAP-AKA -- используются в сетях GSM мобильной связи

LEAP -- пропреоретарный метод от Cisco systems

EAP-MD5 -- простейший метод, аналогичный CHAP (не стойкий)

EAP-MSCHAP V2 -- метод аутентификации на основе логина/пароля пользователя в MS-сетях

EAP-TLS -- аутентификация на основе цифровых сертификатов

EAP-SecureID -- метод на основе однократных паролей

Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.

Протокол PPP засветился там потому, что изначально EAP планировался к использованию поверх PPP туннелей. Но так как использование этого протокола только для аутентификации по локальной сети -- излишняя избыточность, EAP-сообщения упаковываются в «EAP over LAN» (EAPOL) пакеты, которые и используются для обмена информацией между клиентом и аутентификатором (точкой доступа).

Схема аутентификации состоит из трех компонентов:

Supplicant -- софт, запущенный на клиентской машине, пытающейся подключиться к сети

Authenticator -- узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x)

Authentication Server -- сервер аутентификации (обычно это RADIUS-сервер).

Процесс аутентификации состоит из следующих стадий:

Клиент может послать запрос на аутентификацию (EAP-start message) в сторону точки доступа

Точка доступа (Аутентификатор) в ответ посылает клиенту запрос на идентификацию клиента (EAP-request/identity message). Аутентификатор может послать EAP-request самостоятельно, если увидит, что какой-либо из его портов перешел в активное состояние.

Клиент в ответ высылает EAP-response packet с нужными данными, который точка доступа (аутентификатор) перенаправляет в сторону Radius-сервера (сервера аутентификации).

Сервер аутентификации посылает аутентификатору (точке доступа) challenge-пакет (запрос информации о подлинности клиента). Аутентификатор пересылает его клиенту.

Далее происходит процесс взаимной идентификации сервера и клиента. Количество стадий пересылки пакетов туда-сюда варьируется в зависимости от метода EAP, но для беспроводных сетей приемлема лишь «strong» аутентификация с взаимной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и предварительным шифрованием канала связи.

На следующий стадии, сервер аутентификации, получив от клиента необходимую информацию, разрешает (accept) или запрещает (reject) тому доступ, с пересылкой данного сообщения аутентификатору. Аутентификатор (точка доступа) открывает порт для Supplicant-а, если со стороны RADIUS-сервера пришел положительный ответ (Accept).

Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть.

После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт».

Для коммуникации между клиентом (supplicant) и точкой доступа (authenticator) используются пакеты EAPOL. Протокол RADIUS используется для обмена информацией между аутентификатором (точкой доступа) и RADIUS-сервером (сервером аутентификации). При транзитной пересылке информации между клиентом и сервером аутентификации пакеты EAP переупаковываются из одного формата в другой на аутентификаторе.

Первоначальная аутентификация производится на основе общих данных, о которых знают и клиент, и сервер аутентификации (как то логин/пароль, сертификат и т.д.) -- на этом этапе генерируется Master Key. Используя Master Key, сервер аутентификации и клиент генерируют Pairwise Master Key (парный мастер ключ), который передается аутентификатору со стороны сервера аутентификации. А уже на основе Pairwise Master Key и генерируются все остальные динамические ключи, которым и закрывается передаваемый трафик. Необходимо отметить, что сам Pairwise Master Key тоже подлежит динамической смене.

WEP (Wired Equivalent Privacy) - старый метод обеспечения безопасности сети. Он все еще доступен для поддержки устаревших устройств, но использовать его не рекомендуется. При включении протокола WEP выполняется настройка ключа безопасности сети. Этот ключ осуществляет шифрование информации, которую компьютер передает через сеть другим компьютерам. Однако защиту WEP относительно легко взломать.

Существует два типа методов защиты WEP: проверка подлинности в открытой системе и проверка подлинности с использованием общих ключей. Ни один из них не обеспечивает высокий уровень безопасности, но метод проверки подлинности с использованием общих ключей является менее безопасным. Для большинства компьютеров и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Злоумышленник, перехвативший сообщения для успешной проверки подлинности с использованием общих ключей, может, используя средства анализа, определить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP. После определения статического ключа шифрования WEP злоумышленник может получить полный доступ к сети. По этой причине эта версия Windows автоматически не поддерживает настройку сети через проверку подлинности с использованием общих ключей WEP.

Использует генератор псевдослучайных чисел (алгоритм RC4) для получения ключа, а также векторы инициализации. Так как последний компонент не зашифрован, возможно вмешательство третьих лиц и воссоздание WEP-ключа.

Проведенный анализ угроз беспроводных сетей показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.

Обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать программу WPA. Программа WPA является обновленной программой сертификации устройств беспроводной связи. В программе WPA усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.

2. Технологии средств защиты информации беспроводных сетей

2.1 Настройка программы WPA

Возможность настройки WPA в Windows XP появляется с установкой Service Pack версии 2 (или же соответствующими обновлениями, лежащими на сайте Microsoft).

Рисунок 1-Окно свойств беспроводного адаптера

Service Pack 2 сильно расширяет функции и удобство настроек беспроводной сети. Хотя основные элементы меню не изменились, но к ним добавились новые.

Настройка шифрования производится стандартным образом: сначала выбираем значок беспроводного адаптера, далее жмем кнопку Свойства.

Рисунок 2- Вкладка беспроводные сети

Переходим на закладку Беспроводные сети и выбираем, какую сеть будем настраивать (обычно она одна). Жмем Свойства.

Рисунок 3- Окно свойства

В появившемся окне выбираем WPA-None, т.е. WPA с заранее заданными ключами (если выбрать Совместимая, то мы включим режим настройки WEP шифрования, который уже был описан выше).

Рисунок 4-Окно свойства

Выбираем AES или TKIP (если все устройства в сети поддерживают AES, то лучше выбрать его) и вводим два раза (второй в поле подтверждения) WPA-ключ. Желательно какой-нибудь длинный и трудноподбираемый.

После нажатия на Ok настройку WPA шифрования также можно считать законченной.

В заключении пару слов о появившемся с Service Pack 2 мастере

Рисунок 5- Настройки беспроводной сети.

В свойствах сетевого адаптера выбираем кнопку Беспроводные сети.

Рисунок 6-Свойства адаптера

В появившемся окне -- жмем на Установить беспроводную сеть.

Рисунок 7-Мастер беспроводной сети

Тут нам рассказывают, куда мы попали. Жмем Далее.

Рисунок 8-Мастер беспроводной сети

Выбираем Установить беспроводную сеть. (Если выбрать Добавить, то можно создать профили для других компьютеров в той же беспроводной сети).

Рисунок 10-Мастер беспроводной сети

В появившемся окне устанавливаем SSID сети, активируем, если возможно, WPA шифрование и выбираем способ ввода ключа. Генерацию можно предоставить операционной системе или ввести ключи вручную. Если выбрано первое, то далее выскочит окошко с предложением ввести нужный ключ (или ключи).

Рисунок 11-Окно выбора способа установки сети

В текстовом файле, для последующего ручного ввода на остальных машинах.

Сохранение профиля на USB-флешке, для автоматического ввода на других машинах с Windows XP с интегрированным Service Pack версии 2.

Рисунок 12- Сохранение параметров во флеш-память

Если выбран режим сохранения на Flash, то в следующем окне предложат вставить Flash-носитель и выбрать его в меню.

Рисунок 13-Установка завершена

Если было выбрано ручное сохранение параметров, то после нажатия кнопки напечатать…

Рисунок 14-Параметры настроенной сети

… будет выведен текстовый файл с параметрами настроенной сети. Обращаю внимание, что генерируется случайный и длинные (т.е. хороший) ключи, но в качестве алгоритма шифрования используется TKIP. Алгоритм AES можно позже включить вручную в настройках, как было описано выше.

2.3 Шифрование трафика

Любая точка доступа позволяет включить режим шифрования трафика, передаваемого по беспроводной сети. Шифрование трафика скрывает данные пользователей сети и сильно осложняет злоумышленникам раскодирование данных, передаваемых по зашифрованной сети. Методов шифрования существует несколько, самые распространенные из которых WEP и, более защищенные, WPA и WPA-2. Метод шифрования WEP по современным меркам недостаточно стойкий, поэтому в современных точках доступа стандарта 802.11g уже используется улучшенный метод кодирования WPA. Рассмотрим настройку WPA шифрования.В панели управления точки доступа включите режим «WPA-PSK» (предпочтительнее «WPA2-PSK»), иногда могут быть подрежимы из них нужно выбирать персональный или упрощенный, так как другие могут не работать в вашей сети без выделенного сервера. В режиме WPA нужно выбрать алгоритм шифрования «AES» или «TCIP» и ввести ключ шифрования, в роли которого могут выступать любые символы (желательно использовать ключ максимальной длины, символы с цифрами вперемешку).

Рисунок 15-Настройка режима WPA-PSK в точке доступа

Все адаптеры Wi-Fi настраиваются аналогичным образом. А именно, на каждом компьютере/ноутбуке в свойствах «Беспроводного сетевого соединения» выбирайте в проверку подлинности «WPA-PSK» и шифрование данных «AES» или «TKIP», в зависимости от выбранного в точке доступа шифрования.

Рисунок 16-Настройка сетевого адаптера в режим WPA-PSK

Шаг 1 Откройте веб-браузер, наберите IP -адрес маршрутизатора (192.168.1.1 по умолчанию) в адресной строке и нажмите Enter .

Рисунок 17-Окно браузера

Шаг 2 Введите имя пользователя и пароль на странице авторизации, по умолчанию имя пользователя и пароль: admin .

Шаг 3 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Settings (Настройки беспроводных сетей), откроется окно настройки беспроводных сетей.

Рисунок 19-Окно настройки беспроводной сети

Идентификатор SSID (имя беспроводной сети): задайте новое имя для вашей беспроводной сети

Канал: 1, 6 или 11 подойдут лучше, чем Auto (Авто).

Поставьте галочку в полях "Enable Wireless Router Radio" (" Включить беспроводной маршрутизатор ") и "Enable SSID Broadcast" (" Включить вещание SSID").

Примечание: После нажатия кнопки Save (Сохранить), появляется сообщение “Изменения настроек беспроводной сети начнут работать только после перезагрузки компьютера, пожалуйста, нажмите здесь, чтобы перезагрузить компьютер сейчас”. Вам не нужно перезагружать маршрутизатор, пока вы не завершите все настройки беспроводной сети.

Шаг 5 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Security (Безопасность беспроводной сети), с правой стороны включите опцию WPA - PSK / WPA 2- PSK .

Рисунок 20-Настрой WPA-PSK

Version (Версия): WPA - PSK или WPA 2- PSK

Encryption (Шифрование): TKIP или AES

PSK Password (Предварительно выданный ключ): укажите пароль (длина предварительно выданного ключа от 8 до 63 символов.)

Шаг 7 В меню слева выберите Systems Tools (Служебные программы) -> Reboot (Перезагрузка). Перезагрузите маршрутизатор для того, чтобы настройки вступили в силу.

Рисунок 21-Служебные программы

3. Организационно-экономическая часть

Стоимость адаптера была выбрана путем сравнения трёх прайс листов таких компаний как СаНи, Рет и DNS-SHOP, цены приведены в таблице 1

Таблица 1-Сравнение трёх прайс листов

Путем анализа и сравнения цен я сделал вывод что выгодней всего приобрести этот адаптер с поддержкой WPA в магазине РЕТ, так как цена составила 1841 рубль.

4.Охрана труда и техника безопасности

Общее положение.

1. Инструкция по охране труда является основным документом, устанавливающим для рабочих правила поведения на производстве и требования безопасного выполнения работ.

2. Знание Инструкции по охране труда обязательно для рабочих всех разрядов и групп квалификации, а также их непосредственных руководителей.

На каждом Объекте должны быть разработаны и доведены до сведения всего персонала безопасные маршруты следования по территории Объекта к месту работы и планы эвакуации на случай пожара и аварийной ситуации.

4. Каждый рабочий обязан:

соблюдать требования настоящей Инструкции;

немедленно сообщать своему непосредственному руководителю, а при его отсутствии -- вышестоящему руководителю о происшедшем несчастном случае и обо всех замеченных им нарушениях требований инструкции, а также о неисправностях сооружений, оборудования и защитных устройств;

помнить о личной ответственности за несоблюдение требований техники безопасности;

обеспечивать на своем рабочем месте сохранность средств защиты, инструмента, приспособлений, средств пожаротушения и документации по охране труда.

ЗАПРЕЩАЕТСЯ выполнять распоряжения, противоречащие требованиям настоящей Инструкции и "Межотраслевые правила по охране труда (правила безопасности) при эксплуатации электроустановок" ПОТ Р М-016-2001 (РД 153-34.0-03.150-00).

Любой компьютер является электроприбором и представляет собой потенциальную угрозу. Поэтому при работе с компьютером необходимо соблюдать требования безопасности.

Перед началом работы следует убедиться в исправности электропроводки, выключателей, штепсельных розеток, при помощи которых оборудование включается в сеть, наличии заземления компьютера и его работоспособности. Недопустимо использование некачественных и изношенных компонентов в системе электроснабжения, а также их суррогатных заменителей: розеток, удлинителей, переходников, тройников. Недопустимо самостоятельно модифицировать розетки для подключения вилок, соответствующих иным стандартам. Электрические контакты розеток не должны испытывать механических нагрузок, связанных с подключением массивных компонентов (адаптеров, тройников и т. п.). Все питающие кабели и провода должны располагаться с задней стороны компьютера и периферийных устройств. Их размещение в рабочей зоне пользователя недопустимо.

Запрещается производить какие-либо операции, связанные с подключением, отключением или перемещением компонентов компьютерной системы без предварительного отключения питания. Компьютер не следует устанавливать вблизи электронагревательных приборов и систем отопления. Недопустимо размещать на системном блоке, мониторе и периферийных устройствах посторонние предметы: книги, листы бумаги, салфетки, чехлы для защиты от пыли. Это приводит к постоянному или временному перекрытию вентиляционных отверстий. Запрещается внедрять посторонние предметы в эксплуатационные или вентиляционные отверстия компонентов компьютерной системы.

Некоторые составные части компьютеров способны сохранять высокое напряжение в течение длительного времени после

Особенности электропитания системного блока. Все компоненты системного блока получают электроэнергию от блока питания. Блок питания ПК -- это автономный узел, находящийся в верхней части системного блока. Правила техники безопасности не запрещают вскрывать системный блок, например при установке дополнительных внутренних устройств или их модернизации, но это не относится к блоку питания. Блок питания компьютера -- источник повышенной пожаро-опасности, поэтому вскрытию и ремонту он подлежит только в специализированных мастерских. Блок питания имеет встроенный вентилятор и вентиляционные отверстия. В связи с этим в нем неминуемо накапливается пыль, которая может вызвать короткое замыкание. Рекомендуется периодически (один -- два раза в год) с помощью пылесоса удалять пыль из блока питания через вентиляционные отверстия без вскрытия системного блока. Особенно важно производить эту операцию перед каждой транспортировкой или наклоном системного блока.

Система гигиенических требований. Длительная работа с компьютером может приводить к расстройствам состояния здоровья. Кратковременная работа с компьютером, установленным с грубыми нарушениям гигиенических норм и правил, приводит к повышенному утомлению. Вредное воздействие компьютерной системы на организм человека является комплексным. Параметры монитора оказывают влияние на органы зрения. Оборудование рабочего места влияет на органы опорно-двигательной системы. Характер расположения оборудования в компьютерном классе и режим его использования влияет как на общее психофизиологическое состояние организма, так и им органы зрения.

Требования к видеосистеме. В прошлом монитор рассматривали в основном как источник вредных излучений, воздействующих прежде всего на глаза. Сегодня такой подход считается недостаточным. Кроме вредных электромагнитных излучений (которые на современных мониторах понижены до сравнительно безопасного уровня) должны учитываться параметры качества изображения, а они определяются не только монитором, но и видеоадаптером, то есть всей видеосистемы в целом.

На рабочем месте монитор должен устанавливаться таким образом, чтобы исключить возможность отражения от его экрана в сторону пользователя источников общего освещения помещения.
Расстояние от экрана монитора до глаз пользователя должно составлять от 50 до 70 см. Не надо стремиться отодвинуть монитор как можно дальше от глаз, опасаясь вредных излучений (по бытовому опыту общения с телевизором), потому что для глаза важен также угол обзора наиболее характерных объектов. Оптимально, размещение монитора на расстоянии 1,5 D от глаз пользователя, где D -- размер экрана монитора, измеренный по диагонали. Сравните эту рекомендацию с величиной 3…5 D, рекомендованной для бытовых телевизоров, и сопоставьте размеры символов на экране монитора (наиболее характерный объект, требующий концентрации внимания) с размерами объектов, характерных для телевидения (изображения людей, сооружений, объектов природы). Завышенное расстояния от глаз до монитора приводит к дополнительному напряжению органов зрения, сказывается на затруднении перехода от работы с монитором к работе с книгой и проявляется в преждевременном развитии дальнозоркости.

Важным параметром является частота кадров, которая зависит от свойств монитора, видеоадаптера и программных настроек видеосистемы. Для работы с текстами минимально допустима частота кадров 72 Гц. Для работы с графикой рекомендуется частота кадров от 85 Гц и выше.

Требования к рабочему месту. В требования к рабочему месту входят требования к рабочему столу, посадочному месту (стулу, креслу), Подставкам для рук и ног. Несмотря на кажущуюся простоту, обеспечить правильное размещение элементов компьютерной системы и правильную посадку пользователя чрезвычайно трудно. Полное решение проблемы требует дополнительных затрат, сопоставимых по величине со стоимостью отдельных узлов компьютерной системы, поэтому в быту и на производстве этими требованиями часто пренебрегают.

Монитор должен быть установлен прямо перед пользователем и не требовать поворота головы или корпуса тела.

Рабочий стол и посадочное место должны иметь такую высоту, чтобы уровень глаз пользователя находился чуть выше центра монитора. На экран монитора следует смотреть сверху вниз, а не наоборот. Даже кратковременная работа с монитором, установленным слишком высоко, приводит к утомлению шейных отделов позвоночника.

Если при правильной установке монитора относительно уровня глаз выясняется, что ноги пользователя не могут свободно покоиться на полу, следует установить подставку для ног, желательно наклонную. Если ноги не имеют надежной опоры, это непременно ведет к нарушению осанки и утомлению позвоночника. Удобно, когда компьютерная мебель (стол и рабочее кресло) имеют средства для регулировки по высоте. В этом случае проще добиться оптимального положения.

Клавиатура должна быть расположена на такой высоте, чтобы пальцы рук располагались на ней свободно, без напряжения, а угол между плечом и предплечьем составлял 100° -- 110°. Для работы рекомендуется использовать специальные компьютерные столы, имеющие выдвижные полочки для клавиатуры. При длительной работе с клавиатурой возможно утомление сухожилий кистевого сустава. Известно тяжелое профессиональное заболевание -- кистевой туннельный синдром, связанное с неправильным положением рук на клавиатуре. Во избежание чрезмерных нагрузок на кисть желательно предоставить рабочее кресло с подлокотниками, уровень высоты которых, замеренный от пола, совпадает с уровнем высоты расположения клавиатуры.

При работе с мышью рука не должна находиться на весу. Локоть руки или хотя бы запястье должны иметь твердую опору. Если предусмотреть необходимое расположение рабочего стола и кресла затруднительно, рекомендуется применить коврик для мыши, имеющий специальный опорный валик. Нередки случаи, когда в поисках опоры для руки (обычно правой) располагают монитор сбоку от пользователя (соответственно, слева), чтобы он работал вполоборота, опирая локоть или запястье правой руки о стол.

4.1Требования электробезопасности

При пользовании средствами вычислительной техники и периферийным оборудованием каждый работник должен внимательно и осторожно обращаться с электропроводкой, приборами и аппаратами и всегда помнить, что пренебрежение правилами безопасности угрожает и здоровью, и жизни человека

Во избежание поражения электрическим током необходимо твердо знать и выполнять следующие правила безопасного пользования электроэнергией:

1. Необходимо постоянно следить на своем рабочем месте за исправным состоянием электропроводки, выключателей, штепсельных розеток, при помощи которых оборудование включается в сеть, и заземления. При обнаружении неисправности немедленно обесточить электрооборудование, оповестить администрацию. Продолжение работы возможно только после устранения неисправности.

2. Во избежание повреждения изоляции проводов и возникновения коротких замыканий не разрешается:

а) вешать что-либо на провода;

б) закрашивать и белить шнуры и провода;

в) закладывать провода и шнуры за газовые и водопроводные трубы, за батареи отопительной системы;

г) выдергивать штепсельную вилку из розетки за шнур, усилие должно быть приложено к корпусу вилки.

3. Для исключения поражения электрическим током запрещается:

а) часто включать и выключать компьютер без необходимости;

б) прикасаться к экрану и к тыльной стороне блоков компьютера;

в) работать на средствах вычислительной техники и периферийном оборудовании мокрыми руками;

г) работать на средствах вычислительной техники и периферийном оборудовании, имеющих нарушения целостности корпуса, нарушения изоляции проводов, неисправную индикацию включения питания, с признаками электрического напряжения на корпусе

д) класть на средства вычислительной техники и периферийном оборудовании посторонние предметы.

4. Запрещается проверять работоспособность электрооборудования в неприспособленных для эксплуатации помещениях с токопроводящими полами, сырых, не позволяющих заземлить доступные металлические части.

5. Ремонт электроаппаратуры производится только специалистами-техниками с соблюдением необходимых технических требований.

6. Недопустимо под напряжением проводить ремонт средств вычислительной техники и перифейного оборудования.

7. Во избежание поражения электрическим током, при пользовании электроприборами нельзя касаться одновременно каких-либо трубопроводов, батарей отопления, металлических конструкций, соединенных с землей.

8. При пользовании элетроэнергией в сырых помещениях соблюдать особую осторожность.

9. При обнаружении оборвавшегося провода необходимо немедленно сообщить об этом администрации, принять меры по исключению контакта с ним людей. Прикосновение к проводу опасно для жизни.

10. Спасение пострадавшего при поражении электрическим током главным образом зависит от быстроты освобождения его от действия током.

Во всех случаях поражения человека электрическим током немедленно вызывают врача. До прибытия врача нужно, не теряя времени, приступить к оказанию первой помощи пострадавшему.

Необходимо немедленно начать производить искусственное дыхание, наиболее эффективным из которых является метод?рот в рот¦ или?рот в нос¦, а также наружный массаж сердца.

Искусственное дыхание пораженному электрическим током производится вплоть до прибытия врача.

4.2 Требования к помещению

Помещения должны иметь естественное и искусственное освещение. Расположение рабочих мест за мониторами для взрослых пользователей в подвальных помещениях не допускается.

Площадь на одно рабочее место с компьютером для взрослых пользователей должна составлять не менее 6 м2, а объем не менее -20 м3.

Помещения с компьютерами должны оборудоваться системами отопления, кондиционирования воздуха или эффективной приточно-вытяжной вентиляцией.

Для внутренней отделки интерьера помещений с компьютерами должны использоваться диффузно-отражающие материалы с коэффициентом отражения для потолка -- 0,7-0,8; для стен -- 0,5-0,6; для пола -- 0,3-0,5.

Поверхность пола в помещениях эксплуатации компьютеров должна быть ровной, без выбоин, нескользкой, удобной для очистки и влажной уборки, обладать антистатическими???йствами.

В помещении должны находиться аптечка первой медицинской помощи, углекислотный огнетушитель для тушения пожара.

4.3 Требования по обеспечению пожарной безопасности

На рабочем месте запрещается иметь огнеопасные вещества

В помещениях запрещается:

а) зажигать огонь;

б) включать электрооборудование, если в помещении пахнет газом;

в) курить;

г) сушить что-либо на отопительных приборах;

д) закрывать вентиляционные отверстия в электроаппаратуре

Источниками воспламенения являются:

а) искра при разряде статического электричества

б) искры от электроборудования

в) искры от удара и трения

г) открытое пламя

При возникновении пожароопасной ситуации или пожара персонал должен немедленно принять необходимые меры для его ликвидации, одновременно оповестить о пожаре администрацию.

Помещения с электроборудованием должны быть оснащены огнетушителями типа ОУ-2 или ОУБ-3.

Заключение

На сегодняшний момент беспроводные сети получили широкое распространение, что приводит к необходимости разработки технологии защиты информации беспроводных сетей.

В результате проведенного исследования в данном дипломном проекте можно сделать следующие выводы:

беспроводная передача данных заключает в себе возможность несанкционированного подключения к точкам доступа, нефиксированную связь, подслушивание, для этого необходимо предусмотреть качественные средства защиты, так как подключиться к сети можно из автомобиля, припаркованного на улице.

обзор программного обеспечения показал, что для защиты информации беспроводных сетей используются специализированные программы такие как WEP и WPA.

наиболее целесообразно для защиты информации беспроводных сетей использовать программу WPA, так как в программе WPA усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.

Список используемых источников

Акнорский Д. Немного о беспроводных сетях //Компьютер Price.-2003.-№48.

Берлин А.Н. Телекоммуникационные сети и устройства. //Интернет-университет информационных технологий - ИНТУИТ.ру, БИНОМ. Лаборатория знаний, 2008. - 319 стр Системы передачи информации. Курс лекций. /С.В. Кунегин - М.: в/ч 33965, 1998, - 316 с. с ил.

Беспроводная сеть своими руками

Вишневский В.М., Ляхов А.И., Портной С.Л., Шахнович И.В. Широкополосные беспроводные сети передачи информации. - 2005. - 205с.

Восстановления данных в беспроводной сети //iXBT URL:http://www.ixbt.com/storage/faq-flash-p0.shtml

Гультяев А.К. Восстановление данных. 2-е изд. -- СПб.: Питер, 2006. -- 379 с.:

Зорин М., Писарев Ю., Соловьев П. Беспроводные сети: современное состояние и перспективы. - Connect! // Мир связи.1999.№4.стр. 104.

Зайдель И. Флэшка должна жить долго//R.LAB URL:http://rlab.ru/doc/long_live_flash.html

Зорин М., Писарев Ю., Соловьев П. Радиооборудование диапазона 2,4 ГГц: задачи и возможности // PCWeek/Russian Edition.1999.№20-21.стр.

Кристиан Барнс, Тони Боутс, Дональд Ллойд, Эрик Уле, Джеффри Посланс, Дэвид М. Зенджан, Нил О"Фаррел., Защита от хакеров беспроводных сетей. - Издательство: Компания АйТи, ДМК пресс. - 2005. - 480с.

Меррит Максим, Дэвид Поллино., Безопасность беспроводных сетей. - 2004. - 288с

Молта Д., Фостер-Вебстер А. Тестируем оборудование для беспроводных ЛВС стандарта 802.11 // Сети и системы связи.1999.№7.стр.

Митилино C. Безопасность беспроводных сетей //ITC-Online.-2003.-№27 URL:http://itc.ua/node/14109

Норенков, В.А. Трудоношин - М.: Изд-во МГТУ им. Н.Э. Баумана, 1998. 232 с.

Олифер В.Г., Олифер Н.А. Основы сетей передачи данных. //Интернет-университет информационных технологий - ИНТУИТ.ру, 2005 г. -176 стр.

Олейник Т. Беспроводные сети: современное состояние и перспективы.//Домашний ПК.-2003.-№10.

Программное обеспечение комплекса PC-3000 Flash//ACE Lab URL:http://www.acelab.ru/dep.pc/pc3000.flash.php

Пролетарский А. В., Баскаков И. В., Чирков Д. Н. Беспроводные сети Wi-Fi. - 2007. - 216с

Пролетарский А.В., Баскаков И.В., Федотов Р.А. Организация беспроводных сетей. - Издательство: Москва. - 2006. - 181с.

Себастиан Рапли. ЛВС без ограничений // PC Magazine/Russian Edition.1999.№12.стр.105.

Стаханов C. Восстановление данных wi-fi//Центр восстановления данных Стаханов URL:http://www.stahanov-rdc.ru/povrejdenie-flash.html

Технологии беспроводных сетей//iXBT URL:http://www.ixbt.com/storage/flash-tech.shtml

Утилиты для восстановления данных//Центр Восстановления данных АСЕ URL:http://www.datarec.ru/articles/article_10.php

Френк Дж. Дерфлер, мл., Лес Фрид. Беспроводные ЛВС //PC Magazine/Russian Edition.2000.№6. .

Юрий Писарев. Беспроводные сети: на пути к новым стандартам // PC Magazine/Russian Edition.1999.№ 10. стр. 184.

Юрий Писарев. Безопасность беспроводных сетей // PC Magazine/Russian Edition.1999.№12.стр. 97.

Wi-Fi. Беспроводная сеть

Wi-фу: "боевые" приемы взлома и защиты беспроводных сетей название

Список сокращений

WEP - Wired Equivalent Privacy

WPA - Wi-Fi Protected Access

ARP - Address Resolution Protocol

AES - Advanced Encryption Standard

TKIP - Temporal Key Integrity Protocol

Wi-fi - Wireless Fidelity

Приложение А

Рисунок 22- Защита WPA

Рисунок 23 - Построение защищенной беспроводной сети

Рисунок 24 - Адаптер с поддержкой WPA

Размещено на Allbest.ru

Подобные документы

Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.

курсовая работа , добавлен 18.04.2014


Беспроводная технология передачи информации. Развитие беспроводных локальных сетей. Стандарт безопасности WEP. Процедура WEP-шифрования. Взлом беспроводной сети. Режим скрытого идентификатора сети. Типы и протоколы аутентификации. Взлом беспроводной сети.

реферат , добавлен 17.12.2010


Механизмы обеспечения информационной безопасности корпоративных сетей от угроз со стороны сети Интернет. Механизм защиты информации на основе использования межсетевых экранов. Принципы построения защищенных виртуальных сетей (на примере протокола SKIP).

реферат , добавлен 01.02.2016


Периоды развития и основные стандарты современных беспроводных сетей. История появления и области применения технологии Bluetooth. Технология и принцип работы технологии беспроводной передачи данных Wi-Fi. WiMAX - стандарт городской беспроводной сети.

презентация , добавлен 22.01.2014


Особенности защиты информации при построении локальных сетей государственных учреждений, анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности, особенности программных средств защиты, реализующих технологию VPN.

курсовая работа , добавлен 21.06.2011


Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.

дипломная работа , добавлен 16.06.2012


Характеристика стандарта IEEE 802.11. Основные направления применения беспроводных компьютерных сетей. Методы построения современных беспроводных сетей. Базовые зоны обслуживания BSS. Типы и разновидности соединений. Обзор механизмов доступа к среде.

реферат , добавлен 01.12.2011


Описание основных уязвимостей технологии передачи информации Wi-Fi: атаки, угрозы криптозащиты, анонимность. Принципы и методы обеспечения безопасности беспроводных сетей. Технологии целостности и конфиденциальности передаваемых через сеть данных.

контрольная работа , добавлен 25.12.2014


Сравнительные характеристика протоколов организации беспроводных сетей. Структура и топология сети ZigBee, спецификация стандарта IEEE 802.15.4. Варианты аппаратных решений ZigBee на кристаллах различных производителей и технология программирования.

дипломная работа , добавлен 25.10.2013


Анализ цели проектирования сети. Разработка топологической модели компьютерной сети. Тестирование коммутационного оборудования. Особенности клиентских устройств. Требования к покрытию и скорости передачи данных. Виды угроз безопасности беспроводных сетей.

11.06.2014

Технология Wi-Fi разработана на основе стандарта IEEE 802.11 и используется для создания широкополосных беспроводных сетей связи, работающих в общедоступных нелицензируемых диапазонах частот. С точки зрения безопасности следует учитывать среду передачи сигнала – в беспроводных сетях получить доступ к передаваемой информации намного проще, чем в проводных, для чего всего лишь достаточно поместить антенну в зоне распространения сигнала.

Существует два основных варианта создания топологии беспроводной сети:

• Ad-hoc – передача напрямую между устройствами;
• Hot-spot – передача осуществляется через точку доступа.

В Hot-spot сетях присутствует точка доступа (Accesspoint), посредством которой происходит не только взаимодействие внутри сети, но и доступ к внешним сетям. Hot-spot представляет наибольший интерес с точки зрения защиты информации, т.к., взломав точку доступа, злоумышленник может получить информацию не только со станций, размещенных в данной беспроводной сети.

С целью защиты данных в сетях Wi-Fi применяются методы ограничения доступа, аутентификации и шифрования.

Методы ограничения доступа представляют собой фильтрацию MAC-адресов и использование режима скрытого идентификатора беспроводной сети SSID (Service Set IDentifier).

Фильтрацию можно осуществлять тремя способами:

• Точка доступа позволяет получить доступ станциям с любым MAC-адресом;
• Точка доступа позволяет получить доступ только станциям, чьи MAC-адреса находятся в доверительном списке;
• Точка доступа запрещает доступ станциям, чьи MAC-адреса находятся в «чёрном списке».

Режим скрытого идентификатора SSID основывается на том, что для своего обнаружения точка доступа периодически рассылает кадры-маячки (beacon frames). Каждый такой кадр содержит служебную информацию для подключения и, в частности, присутствует SSID. В случае скрытого SSID это поле пустое, т.е. невозможно обнаружить беспроводную сеть и к ней подключиться, не зная значение SSID. Но все станции в сети, подключенные к точке доступа, знают SSID и при подключении, когда рассылаются Probe Request запросы, указывают идентификаторы сетей, имеющиеся в их профилях подключений. Прослушивая рабочий трафик, с легкостью можно получить значение SSID, необходимое для подключения к желаемой точке доступа.

В сетях Wi-Fi предусмотрены два варианта аутентификации:

Открытая аутентификация (Open Authentication), когда рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, т.е. по сути это защита на основе ограничения доступа, что небезопасно.

Аутентификация с общим ключом (Shared Key Authentication), при котором используется статический ключ шифрования алгоритма WEP (Wired Equivalent Privacy). Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP (проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа) и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети. Схема аутентификации с общим ключом уязвима к атакам «Maninthemiddle». Алгоритм шифрования WEP – это простой XOR ключевой последовательности с полезной информацией, следовательно, прослушав трафик между станцией и точкой доступа, можно восстановить часть ключа.

Организация WECA (Wi-Fi Alliance) совместно с IEEE анонсировали стандарт WPA (англ. Wi-Fi Protected Access). В WPA используется протокол TKIP (Temporal Key Integrity Protocol, протокол проверки целостности ключа), который использует усовершенствованный способ управления ключами и покадровое изменение ключа. WPA также использует два способа аутентификации:

Аутентификация с помощью предустановленного ключа WPA-PSK (Pre-Shared Key);

Аутентификация с помощью RADIUS-сервера (Remote Access Dial-in User Service).

В сетях Wi-Fi используются следующие методы шифрования:

WEP-шифрование– аналог шифрования трафика в проводных сетях. Используется симметричный потоковый шифр RC4 (Rivest Cipher 4), который достаточно быстро функционирует. На сегодняшний день WEP и RC4 не считаются криптостойкими.

TKIP-шифрование – используется тот же симметричный потоковый шифр RC4, но является более криптостойким. С учетом всех доработок и усовершенствований TKIP все равно не считается криптостойким.

CKIP-шифрование (Cisco Key ntegrity Protocol) – имеет сходство с протоколом TKIP. Используется протокол CMIC (Cisco Message Integrity Check) для проверки целостности сообщений.

WPA-шифрование – вместо уязвимого RC4, используется криптостойкий алгоритм шифрования AES (Advanced Encryption Standard). Возможно использование протокола EAP (Extensible Authentication Protocol). Есть два режима: Pre-Shared Key (WPA-PSK) - каждый узел вводит пароль для доступа к сети и Enterprise - проверка осуществляется серверами RADIUS.

WPA2-шифрование (IEEE 802.11i) – принят в 2004 году, с 2006 года WPA2 должно поддерживать все выпускаемое Wi-Fi оборудование. В данном протоколе применяется RSN (Robust Security Network, сеть с повышенной безопасностью). Изначально в WPA2 используется протокол CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счетчика). Основой является алгоритм AES. Для совместимости со старым оборудованием имеется поддержка TKIP и EAP (Extensible Authentication Protocol) с некоторыми его дополнениями. Как и в WPA есть два режима работы: Pre-Shared Key и Enterprise .

WiMAX

Вопросы безопасности в сетях WiMAX, основанных на стандарте IEEE 802.16, также как и в сетях Wi-Fi (IEEE 802.11), стоят очень остро в связи с легкостью подключения к сети.

Стандарт IEEE 802.16 определяет протокол PKM (Privacy and Key Management Protocol), протокол приватности и управления ключом. На самом же деле имеется в виду конфиденциальность, а не приватность .

В сетях WiMAX понятие защищенной связи (Security Association, SA) - это одностороннее соединение для обеспечения защищенной передачи данных между устройствами сети. SA бывают двух типов:

Data Security Association, защищенная связь для передачи данных;

Authorization Security Association, защищенная связь для осуществления авторизации.

Защищенная связь для передачи данных в свою очередь бывает трех типов:

Первичная (основная) (Primary SA);

Статическая (Static SA);

Динамическая (Dynamic SA).

Первичная защищенная связь устанавливается абонентской станцией на время процесса инициализации. Базовая станция затем предоставляет статическую защищенную связь. Что касается динамических защищенных связей, то они устанавливаются и ликвидируются по мере необходимости для сервисных потоков. Как статическая, так и динамическая защищенные связи могут быть одной для нескольких абонентских станций.

Защищенная связь для данных определяется:

• 16-битным идентификатором связи;
• Методом шифрования, применяемым для защиты данных в соединении;
• Двумя ключами Traffic Encryption Key (TEK, ключ шифрования трафика), текущий и тот, который будет использоваться, когда у текущего TEK закончится срок жизни;
• Двумя двухбитными идентификаторами, по одному на каждый TEK;
• Временем жизни TEK, которое может иметь значение от 30 минут до 7 дней и по умолчанию устанавливается на 12 часов;
• Двумя 64-битными векторами инициализации, по одному на TEK (требуется для алгоритма шифрования DES);
• Индикатором типа связи (первичная, статическая или динамическая).

Абонентские станции обычно имеют одну защищенную связь для передачи данных для вторичного частотного канала управления (Secondary Management Channel); и либо одну защищенную связь для данных для соединения в обе стороны (Uplink и Downlink), либо одну защищенную связь для передачи данных для соединения от базовой станции до абонентской и одну - для обратного.

Абонентская станция и базовая станция разделяют одну защищенную связь для осуществления авторизации. Базовая станция использует эту защищенную связь для конфигурирования защищенной связи для передачи данных.

• сертификатом X.509, идентифицирующим абонентскую станцию, а также сертификатом X.509, идентифицирующим производителя абонентской станции;
• 160-битовым ключом авторизации (Authorizationkey, AK), используется для аутентификации во время обмена ключами TEK;
• 4-битовым идентификатором ключа авторизации;
• Временем жизни ключа авторизации, которое может принимать значение от 1 дня до 70 дней и устанавливается значение по умолчанию в 7 дней;
• 128-битовым ключом шифрования ключа (Key Encryption Key, KEK), используется для шифрования и распределения ключей TEK;
• Ключом HMAC для нисходящих сообщений (Downlink) при обмене ключами TEK;
• Ключом HMAC для восходящих сообщений (Uplink) при обмене ключами TEK;
• Списком data SA, для которого данная абонентская станция авторизована.

KEK вычисляется следующим образом:

• Проводится конкатенация шестнадцатеричного числа 0x53 с самим собой 64 раза, получаются 512 бит;
• Вычисляется хэш-функция SHA-1 от этого числа, получаются 160 бит на выходе;
• Первые 128 бит берутся в качестве KEK, остальные отбрасываются.

Ключи HMAC вычисляются следующим образом:

• Проводится конкатенация шестнадцатеричного числа 0x3A (Uplink) или 0x5C (Downlink) с самим собой 64 раза;
• Справа приписывается ключ авторизации;
• Вычисляется хэш-функция SHA-1 от этого числа, получаются 160 бит на выходе – это и есть ключ HMAC.

В сетях WiMAX используются следующие протоколы аутентификации:

• Extensible Authentication Protocol (EAP, расширяемый протокол аутентификации) - это протокол, описывающий более гибкую схему аутентификации по сравнению с сертификатами X.509. Она была введена в дополнении к стандарту IEEE 802.16e. EAP-сообщения кодируются прямо в кадры управления. В связи с этим в протокол PKM были добавлены два новых сообщения PKM EAP request (EAP-запрос) и PKM EAP response (EAP-ответ). Стандарт IEEE 802.16e не устанавливает какой-либо определенный метод аутентификации EAP, эта область сейчас активно исследуется.
• Privacy and Key Management Protocol (PKM Protocol) - это протокол для получения авторизации и ключей шифрования трафика TEK.

Стандарт IEEE 802.16 использует алгоритм DES в режиме сцепления блока шифров для шифрования данных. В настоящее время DES считается небезопасным, поэтому в дополнении к стандарту IEEE 802.16e для шифрования данных был добавлен алгоритм AES.

Стандарт 802.16e определяет использование шифрования AES в четырех режимах:

• Cipher Block Chaining (CBC, режим сцепления блока шифров);
• Counter Encryption (CTR, шифрование счетчика);
• Counter Encryption with Cipher Block Chaining message authentication code (CCM, счетчиковое шифрование с message authentication code, полученным сцеплением блока шифров), добавляет возможность проверки подлинности зашифрованного сообщения к режиму CTR;
• Electronic Code Book (ECB, режим электронной кодовой книги), используется для шифрования ключей TEK.

Можно отментить следующие уязвимости в стандарте IEEE 802.16:

• Атаки физического уровня, такие как глушение передачи сигнала, ведущее к отказу доступа или лавинный наплыв кадров (flooding), имеющий целью истощить батарею станции. Эффективных способов противостоять таким угрозам на сегодня нет.
• Самозваные базовые станции, что связано с отсутствием сертификата базовой станции. В стандарте проявляется явная несимметричность в вопросах аутентификации. Предложенное решение этой проблемы - инфраструктура управления ключом в беспроводной среде (WKMI, Wireless Key Management Infrastructure), основанная на стандарте IEEE 802.11i. В этой инфраструктуре есть взаимная аутентификация с помощью сертификатов X.509.
• Уязвимость, связанная с неслучайностью генерации базовой станцией ключей авторизации. Взаимное участие базовой и абонентской станции, возможно, решило бы эту проблему.
• Возможность повторно использовать ключи TEK, чей срок жизни уже истек. Это связано с очень малым размером поля EKS индекса ключа TEK. Так как наибольшее время жизни ключа авторизации 70 суток, то есть 100800 минут, а наименьшее время жизни ключа TEK 30 минут, то необходимое число возможных идентификаторов ключа TEK - 3360. А это означает, что число необходимых бит для поля EKS - 12.
• Еще одна проблема связана, как уже упоминалось, с небезопасностью использования шифрования DES. При достаточно большом времени жизни ключа TEK и интенсивном обмене сообщениями возможность взлома шифра представляет реальную угрозу безопасности. Эта проблема была устранена с введением шифрования AES в поправке к стандарту IEEE 802.16e. Однако, большое число пользователей до сих пор имеет оборудование, поддерживающее лишь старый стандарт IEEE 802.16 .

LTE

Архитектура сетей LTE (Long Term Evolution) сильно отличается от схемы, используемой в существующих сетях 3G. Это различие порождает необходимость адаптировать и улучшать механизмы обеспечения безопасности . Наиболее важным требованием к механизмам безопасности остается гарантия по крайней мере того же уровня безопасности, который уже существует в сетях стандарта 3G. Основные изменения и дополнения, предназначенные для удовлетворения новых требований, были сформулированы следующим образом:

• Иерархическая ключевая инфраструктура, в рамках которой для решения различных задач используются различные ключи;
• Разделение механизмов безопасности для слоя без доступа (NAS), на котором осуществляется поддержка связи между узлом ядра сети и мобильным терминалом (UE), и механизмов безопасности для слоя с доступом (AS), обеспечивающего взаимодействие между оконечным сетевым оборудованием (включая набор базовых станций NodeB (eNB)) и мобильными терминалами;
• Концепция превентивной безопасности, которая способна снизить масштабы урона, наносимого при компрометации ключей;
• Добавление механизмов безопасности для обмена данными между сетями 3G и LTE.

В настоящий момент широко используются различные механизмы безопасности для сетей 3G, позволяющие обеспечить конфиденциальность пользовательских данных, аутентификацию абонентов, конфиденциальность данных при их передаче по протоколам U-Plane (пользовательские данные) и C-Plane (управляющие данные), а также комплексную защиту протокола C-Plane при его совместном использовании с другими международными стандартами обмена. Существуют четыре основных требования к механизмам безопасности технологии LTE:

• Обеспечить как минимум такой же уровень безопасности, как и в сетях типа 3G, не доставляя неудобства пользователям;
• Обеспечить защиту от Интернет-атак;
• Механизмы безопасности для сетей LTE не должен создавать препятствий для перехода со стандарта 3G на стандарт LTE;
• Обеспечить возможность дальнейшего использования программно-аппаратного модуля USIM (Universal Subscriber Identity Module, универсальная сим-карта).

Последние два пункта обеспечиваются использованием механизма 3GPP AKA (Authentication and Key Agreement). Требования же безопасности к компоненту Evolved Packet Core, т.е. к ядру сети LTE, могут быть выполнены с использованием технологии безопасной доменной зоны (NDS – Network Domain Security) на сетевом уровне, как это описано в стандарте TS33.210, также как и для сетей 3G.

Тем не менее, так как в технологии LTE некоторый функционал контроллеров радиосети (RNC) интегрирован в eNB, то решения, применимые в рамках 3G-сетей, не могут быть прямо переложены на сети LTE. К примеру, базовые станции eNB осуществляют хранение ключа шифрования только на период сеанса связи с мобильным терминалом. То есть, в отличие от сетей 3G, ключ шифрования для закрытия управляющих сообщений не хранится в памяти, если связь с мобильным терминалом не установлена. Кроме того, базовые станции сети LTE могут быть установлены в незащищённой местности для обеспечения покрытие внутренних помещений (например, офисов), что, ожидаемо, приведет к возрастанию риска несанкционированного доступа к ним. Поэтому меры противодействия, описанные ниже, разработаны специально для минимизации вреда, наносимого в случае кражи ключевой информации из базовых станций.

Для закрытия данных в сетях LTE используется потоковое шифрование методом наложения на открытую информацию псевдослучайной последовательности (ПСП) с помощью оператора XOR (исключающее или), также как и в сетях 3G. Ключевым моментов в схеме является тот факт, что псевдослучайная последовательность некогда не повторяется. Алгоритмы, используемые в сетях 3G и LTE, вырабатывает псевдослучайную последовательность конечной длины. Поэтому для защиты от коллизий ключ, используемый для генерации ПСП, регулярно меняется, например, при подключении к сети, в процессе передачи и т.д. В сетях 3G для генерации сеансового ключа необходимо использование механизма Аутентификации и Ключевого обмена (AKA). Работа механизма AKA может занять доли секунды, необходимые для выработки ключа в приложении USIM и для установления соединения с Центром регистрации (HSS). Таким образом, для достижения скорости передачи данных сетей LTE, необходимо добавить функцию обновления ключевой информации без инициализации механизма AKA. Для решения этой проблемы в рамках технологии LTE, предлагается использовать иерархическую ключевую инфраструктуру, показанную на Рисунке 5.

Рисунок 5 – Применение иерархической ключевой инфраструктуры для обеспечения безопасности в сетях LTE

Так же как и в сетях 3G, приложение USIM и Центр аутентификации (AuC) осуществляет предварительное распределение ключей (ключа К). Когда механизм AKA инициализируется для осуществления двусторонней аутентификации пользователя и сети, генерируются ключ шифрования CK и ключ общей защиты, которые затем передаются из ПО USIM в мобильное оборудование (ME) и из Центра аутентификации в Центр регистрации (HSS). Мобильное оборудование (ME) и Центр регистрации (HSS), используя ключевую пару (CK; IK) и ID используемой сети вырабатывает ключ KASME. Устанавливая зависимость ключа от ID сети, Центр регистрации гарантирует возможность использования ключа только в рамках этой сети. Далее, KASME передается из Центра регистрации в устройство мобильного управления (MME) текущей сети, где используется в качестве мастер-ключа. На основании KASME вырабатывается ключ KNASenc, необходимый для шифрования данных протокола NAS между Мобильным устройством (UE) и Устройством мобильного управления (MME) и ключ KNASint, необходимый для защиты целостности. Когда Мобильное устройство (UE) подключается к сети, MME генерирует ключ KeNB и передает его базовым станциям. В свою очередь, из ключа KeNB вырабатывается ключ KUPenc, используемый для шифрования пользовательских данных протокола U-Plane, ключ KRRCenc для протокола RRC (Radio Resource Control - протокол взаимодействия между мобильными устройствами и базовыми станциями) и ключ KRRClint, предназначенный для защиты целостности.

Применяется также разделение механизмов безопасности для Слоя без доступа (NAS) и Слоя с доступом (AS). Поскольку предполагается, что большие объемы данных могут передаваться только при подключенном мобильном устройстве (UE), сеть LTE устанавливает защищенное соединение между мобильным устройством (UE) и базовой станцией (eNB) только для подключенных мобильных устройств. Следовательно, мобильному устройству в режиме ожидания не нужно сохранять свое состояние на базовой станции. Так как сообщения уровня Слоя без доступа (NAS) передаются на Мобильное устройство в режиме ожидания, защищенный канал уровня NAS устанавливается между мобильным устройством и узлом ядра сети, т.е. устройством мобильного управления (MME). После аутентификации мобильного устройства, устройство мобильного управления запоминает мастер-ключ текущей сети KASME. Функции безопасности уровня NAS инициализируют шифрование и комплексную защиту NAS-соединения, используя для этого ключи KNASenc и KNASint. К этому моменту устройство мобильного управления (MME) должно определить, от какого именно мобильного устройства пришел запрос на прохождение аутентификации. Это необходимо для корректного выбора ключей для алгоритма дешифрования и проверки целостности передаваемых данных. Поскольку параметр UE ID (IMSI – идентификатор мобильного абонента) должен быть защищен при передачи по радиосети, для технологии LTE было предложено использовать вместо него временный параметр GUTI (временный идентификатор мобильного оператора). Значение GUTI периодически изменяется, таким образом, становится невозможно отследить, какое именно значение использует конкретное мобильное устройство.

Как только мобильное устройство входит в режим активности, базовая станция инициализирует механизмы безопасности уровня доступа (AS - AccessStratum) с помощью специальных команд. С этого момента механизмы обеспечения безопасности контролируют любое взаимодействие между устройством и базовой станцией. Алгоритмы, используемые для обеспечения безопасности уровня доступа, выбираются независимо из перечня алгоритмов, используемых для уровня Слоя без доступа. Для стран, запрещающих шифрование информации, существует режим, обеспечивающий установление надежного соединения без закрытия данных.

В сетях LTE алгоритмы шифрования и обеспечения комплексной безопасности основаны на технологии Snow 3G и стандарте AES. Помимо этих двух алгоритмов, технология 3GPP использует два дополнительных алгоритма таким образом, что даже если один из алгоритмов будет взломан, оставшиеся должны обеспечить безопасность сети LTE .

Список использованной литературы:

«Безопасность беспроводных сетей». С.В. Гордейчик, В.В. Дубровин, Горячая линия – Телеком, 2008

Fernandez, E.B. & VanHilst, M., Chapter 10 «An Overview of WiMAX Security» in «WiMAX Standards and Security» (Edited by M. Ilyas & S. Ahson), CRC Press, June 2007

«Защита данных в сетях LTE». По материалам компании ЗАО «Перспективный Мониторинг»

480 руб. | 150 грн. | 7,5 долл. ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Диссертация - 480 руб., доставка 10 минут , круглосуточно, без выходных и праздников

Никонов, Вячеслав Игоревич. Методика защиты информации в беспроводных сетях на основе динамической маршрутизации трафика: диссертация... кандидата технических наук: 05.13.19 / Никонов Вячеслав Игоревич; [Место защиты: Том. гос. ун-т систем упр. и радиоэлектроники (ТУСУР) РАН].- Томск, 2010.- 119 с.: ил. РГБ ОД, 61 11-5/934

Введение

ГЛАВА I. Анализ уязвимостеи и методов защиты информации при передаче в распределенньх беспроводных сетях 11

1.1 Беспроводные сети нового поколения 11

1.2 Угрозы информации в распределенных компьютерных сетях 15

1.2.1 Активные сетевые атаки 16

1.2.2 Специфика атак в беспроводных сетях 21

1.3 Методы защиты информации в беспроводных сетях 25

1.3.2 Технологии защиты данных 32

1.4 Задачи диссертационного исследования 39

1.5 Выводы 40

ГЛАВА II. Разработка методики защиты информации при передаче в распределенньгх беспроводных сетях на основе динамической маршрутизации трафика 42

2.1 Система мультиплексирования трафика 42

2.2 Маршрутизируемый сервис 45

2.2.1 Общие принципы работы 46

2.2.2 Методика защиты информации при передаче в беспроводной распределенной сети 49

2.2.3 Алгоритм динамической маршрутизации трафика 53

2.2.4 Применение разработанной методики 57

2.3 Анализ эффективности разработанной методики защиты 64

2.3.1 Возможности нарушителя 64

2.3.2 Оценка вероятности реализации угрозы первого класса 64

2.3.3 Оценка вероятности реализации угрозы второго класса 66

2.3.4 Алгоритм генерации потока атак 68

2.4 Выводы 71

ГЛАВА III. Реализация программных средств защиты передаваемой информации 73

3.1 Реализация программного комплекса 73

3.2 Опытное внедрение и сравнение с протоколами маршрутизации 81

3.3 Экспериментальные исследования методов 84

3.4 Выводы 92

Заключение 94

Список литературы 95

Введение к работе

Актуальность работы. Развитие информационных технологий ставит актуальные задачи повышения надежности функционирования компьютерных сетей. Для решения таких задач необходимы исследования существующих сетевых протоколов, сетевых архитектур, разработка способов повышения безопасности при передаче информационных ресурсов по сети.

Выбор в пользу беспроводных технологий позволяет получить преимущества в скорости, мобильности. Появление нового класса широкополосных беспроводных сетей с ячеистой структурой (меш-сети) позволило достичь значительного увеличения зоны информационного покрытия. Основным достоинством данного класса сетей является наличие особых устройств - меш-порта-лов, позволяющих интегрировать в меш-сеть другие беспроводные сети (WiMAX, Wi-Fi, GSM) и Интернет, а значит, и предоставить пользователю всевозможные сервисы этих сетей.

К недостаткам меш-технологии можно отнести тот факт, что протоколы маршрутизации меш-сети весьма специфичны, а их разработка - сложная задача с множеством критериев и параметров. При этом существующие протоколы требуют значительных доработок в вопросах повышения безопасности и надежности передачи информации.

Сетевые атаки, сбои и отказы сетевого оборудования - основные факторы, влияющие на безопасность передачи информации в распределенных беспроводных сетях. Проблемой обеспечения безопасности передачи информации в распределенных беспроводных сетях занимались I. Akyildiz, W.Wang, X.Wang, Т. Dorges, N. Ben Salem. Под обеспечением безопасности передачи информации в компьютерной сети понимается защита ее конфиденциальности, целостности и доступности.

Среди методов обеспечения доступности информации в беспроводных сетях исследователями выделяется комбинирование различных методов контроля, дублирования, резервирования. Целостность и конфиденциальность информации в беспроводных сетях обеспечивается методами построения виртуальных каналов, основанных на применении криптографических инструментов.

Общий недостаток данных методов - снижение производительности сети, связанное с требованиями к дополнительной обработке передаваемой информации. Указанный недостаток особенно критичен для передачи цифровой видеоинформации. Кроме того, совершенствование методов криптоанализа все более снижает надежность существующих криптоалгоритмов.

Из вышесказанного следует вывод о необходимости разработки новых способов защиты информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак. В связи с этим тема работы является актуальной и практически важной.

Целью диссертационной работы является разработка методики защиты информации при передаче в распределенных беспроводных сетях, основанной

на применении алгоритма динамической маршрутизации трафика в условиях воздействия преднамеренных атак.

Задачи работы

І І I Анализ рекомендаций стандартов IEEE 802.11 по защите информации в распределенных беспроводных сетях.

ZI Исследование алгоритмов динамической маршрутизации трафика в

распределенных сетях.

ZI Исследование методов защиты информации в распределенных бес-

проводных сетях.

I I I Исследование видов атак в распределенных компьютерных сетях, анализ специфики атак в беспроводных сетях.

I I I Разработка алгоритма динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

ZI Разработка на базе алгоритма приложения «маршрутизируемый

сервис», реализующего методику защиты информации при передаче в распределенных беспроводных сетях.

СП Реализация программных модулей «маршрутизируемого сервиса»

передачи информации.

ZI Исследование вариантов воздействия сетевых атак на «маршрутизи-

руемый сервис». Вычисление оценок успешных реализаций сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса».

I I I Разработка алгоритма генерации потока сетевых атак.

DZO Разработка прототипа «маршрутизируемого сервиса» для экспериментальной проверки предложенной методики защиты.

Объектами исследования являются компьютерные сети, распределенные беспроводные сети с ячеистой структурой (меш-сети), процессы передачи информации и процессы реализации различных видов атак на передаваемую информацию и сетевые устройства в распределенных беспроводных сетях.

Предметы исследования: стандарты группы IEEE 802.11, сетевые атаки, методы защиты информации в беспроводных сетях, алгоритмы динамической маршрутизации трафика в беспроводных сетях.

Методы исследований. В диссертационной работе используются методы математического моделирования, теории графов, теории множеств, теории вероятности и математической статистики. Для подтверждения полученных теоретических результатов проведены экспериментальные исследования и моделирование, с использованием сред программирования Visual Basic Script, Windows Management Instrumentarium, Shell, Awk.

Достоверность научных положений, выводов и рекомендаций подтверждается корректной постановкой задач, строгостью применяемого математического аппарата, результатами численного моделирования, положительными ре-

зультатами апробации программы, реализующей предложенную методику защиты информации при передаче в беспроводных сетях.

Научная новизна. В диссертационной работе получены следующие научные результаты.

Предложена методика защиты информации в распределенных беспроводных сетях, основанная на применении приложения «маршрутизируемый сервис».

Разработан алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

Описаны варианты реализации воздействия на разработанную систему. Даны оценки успешным реализациям сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса». Разработан алгоритм генерации потока сетевых атак.

Реализованы программные модули прототипа «маршрутизируемого сервиса» Произведена апробация прототипа в распределенной сети.

Практическая значимость подтверждена апробацией прототипа разработанной системы в распределенной сети. Результаты диссертационного исследования отмечены дипломом П-степени на IX Всероссийском конкурсе студентов и аспирантов по информационной безопасности «SIBINFO-2009».

Разработанная методика прошла внедрение в системы передачи информации ОАО «Омскводоканал и ГОУ ВПО «Омский государственный технический университет». Результаты диссертационной работы используются в учебном процессе ГОУ ВПО «Омский государственный технический университет».

Предлагаемая в диссертации методика может использоваться в качестве базы для дальнейших исследований.

Апробация работы. Результаты работы представлялись на научных конференциях и семинарах.

IX Всероссийский конкурс студентов и аспирантов по информационной безопасности «SIBINFO-2009», диплом П-степени. (2009, г. Томск).

VIII Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография - SYBECRYPT-09» (2009, г. Омск).

VII Международная научно-техническая конференция «Динамика систем, механизмов и машин» (2009, г. Омск).

IV Научно-практическая конференция молодых специалистов западно-сибирского банка Сбербанка России «Современный опыт использования информационных технологий в банковском бизнесе» (2008, г. Тюмень).

Всероссийская научно-техническая конференция «Россия молодая: передовые технологии в промышленность» (2008, г. Омск).

Конференция-конкурс «Технологии Microsoft в теории и практике программирования» (2008, г. Новосибирск).

Публикации. Результаты диссертации отражены в 15 публикациях, в том числе в двух публикациях в изданиях, рекомендованных ВАК.

Структура и объём работы. Диссертационная работа состоит из введения, трех глав, заключения, списка литературы и трех приложений. Общий объем работы составляет 116 страниц, в том числе 26 рисунков и 3 таблицы. Список литературы насчитывает 82 наименования.

Личный вклад

Все исследования, изложенные в диссертационной работе, проведены автором в процессе научной деятельности. Все результаты, выносимые на защиту, получены автором лично, заимствованный материал обозначен в работе ссылками.

Основные положения, выносимые на защиту

Методика защиты информации в распределенных беспроводных сетях, основанная на использовании приложения «маршрутизируемый сервис».

Алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

Оценки успешных реализации сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса». Алгоритм генерации потока сетевых атак.

Программная реализация модулей «маршрутизируемого сервиса» передачи информации и экспериментальная проверка разработанной методики.

Специфика атак в беспроводных сетях

Само понятие беспроводной сети приводит к возникновению большого количества возможных уязвимостеи для атак и проникновений, которые были бы гораздо затруднены в стандартной проводной сети . Главным фактором, влияющим на специфику атак в беспроводных сетях, эксперты называют доступность физической среды передачи данных - радиоэфира. Виды атак выделяются те же, что и в классических сетях: атаки отказа в обслуживании, атаки «человек посредине», атаки подмены ARP записей, прослушивание; но способов реализации этих атак гораздо больше, чем в проводных сетях.

Из-за природы радиоволн как носителя информации и в силу структуры базовых протоколов стандарта 802.11 беспроводные сети невозможно защитить от DoS-атак на первый уровень и от некоторых DoS-атак на второй уровень. . Нарушитель может легко создать устройство, генерирующее помехи на определенной частоте (например, 2.4 ГГц), тем самым сделав невозможным передачу данных через этот канал. В качестве «глушилки» может выступать специально сконструированный передатчик или беспроводная клиентская карта высокой мощности или даже точка доступа, затопляющая выбранные каналы «мусорным» трафиком. При том достаточно трудно будет доказать сам факт умышленного проведения DoS-атаки. На канальном уровне стека OSI, можно показать многочисленные пути проведения DoS-атак, которые будут гораздо проще в реализации, чем такие же атаки в обычных проводных сетях. Одним из наиболее часто используемых способов нападения на канальный уровень является управление разнесенными антеннами . Также специалистами выделяется вид DoS-атаки на канальный уровень, заключающийся в затоплении фальшивыми фреймами. Для реализации данной атаки на хост с помощью специальных программных средств генерируется поток фреймов с запросами на прекращение сеанса и отсоединение .

Атаки «человек посредине», обычно имеющие в беспроводных сетях две разновидности - подслушивание и манипуляция, также выполняются на беспроводных сетях гораздо проще. Один из механизмов реализации данного вида атаки описан в . Нарушитель на своей рабочей станции имитирует узел доступа с более мощным сигналом, чем реальный узел доступа. Клиент беспроводной сети автоматически переключается на новый узел доступа, передавая на него весь свой трафик. В свою очередь, нарушитель передает этот трафик реальному узлу доступа под видом клиентской рабочей станции.

С точки зрения взломщика, чем больше выходная мощность и приемная чувствительность беспроводного оборудования, тем лучше. Чем больше выходная мощность, тем больше шансов подключиться к целевой сети с большего расстояния, тем проще провести атаку. С другой стороны, чем больше приемная чувствительность, тем проще обнаружить беспроводную сеть, тем выше скорость соединения и тем больший объем трафика можно перехватить и проанализировать .

Существуют не вполне очевидные возможности для атак, эксплуатирующих настройки некоторых пара метров уровня 2 в сетях 802.11, например, режима экономии энергии и обнаружения виртуальной несущей (протокол RTS/CTS) . В атаках на настройку режима экономии энергии взломщик может притвориться клиентом в спящем режиме и следить за появлением фреймов, накапливаемых точкой доступа для жертвы. Как только клиент забирает фреймы, точка доступа очищает буфер. Получается, что настоящий клиент никогда не получит предназначенные ему фреймы. Вместо этого взломщик может подделать фреймы с картой индикации трафика (Traffic Indication Map - ТІМ), посылаемые точкой доступа. Они сообщают клиентам в спящем режиме о том, что для них поступили новые данные, так что пора выйти из спящего режима и забрать их. Если взломщику удастся заставить клиента в спящем режиме поверить в то, что никаких новых данных на точке доступа нет, то клиент так и не выйдет из этого режима. DoS-атаки против сетей, в которых реализовано обнаружение виртуальной несущей, это фактически атаки на алгоритм назначения приоритетов. Взломщик может затопить сеть запросами на передачу (Request to Send - RTS), установив в них большое значение поля «длительность передачи», и тем самым зарезервировать физический носитель для своего трафика, закрыв другим хостам доступ к каналу связи. Сеть будет переполнена фреймами «готов к передаче» (Clear to Send - CTS), посылаемыми в ответ на каждый фрейм RTS. Хосты в беспроводной сети будут вынуждены последовать указанию и прекратить передачу.

В отдельную группу выделяют атаки, направленные на взлом алгоритмов криптозащиты, реализованных в беспроводных сетях. Протокол безопасности WEP (Wired Equivalent Privacy) - первый протокол безопасности, описанный стандартом IEEE 802.11. Одной из наиболее известных и описанных уязвимостей в беспроводных сетях в WEP является схема аутентификации. Использование WEP означает кодирование каждого пакета с помощью потокового шифра RC4, декодируемого при достижении точки доступа. Для кодирования WEP использует секретный ключ и объединяется с 24-разрядной частью данных, называемой вектором инициализации (initialization vector - IV) . Так как WEP использует 24 бита для вычисления IV, то, в конечном счете, при использовании сети с большим трафиком значение IV будут повторяться. Соответственно ключевые потоки будут одинаковы, и все, что необходимо будет сделать нарушителю - это собрать в течение определенного периода пакеты данных и запустить специальную программу, созданную специально для взлома WEP ключей.

В настоящий момент есть четыре класса инструментов для вскрытия шифров в беспроводных сетях: 1) средства взлома протокола WEP; 2) средства для извлечения ключей WEP, хранящихся на клиентских хостах; 3) средства для внедрения трафика с целью ускорения взлома WEP; 4) средства для атаки на системы аутентификации, определенные в стандарте 802.1х. Описание данных методов и инструментов для их реализации подробно приведено А.А. Владимировым .

Методика защиты информации при передаче в беспроводной распределенной сети

Исходное сообщение - сообщение, передаваемое по сети с помощью предложенного в работе метода, реализованного в данной системе.

Демультиплексор (D)- модуль, отвечающий за разделение поступающих на него данных (исходного сообщения) на проекции и их отправку. Так же на демультиплексор могут быть возложены функции определения состояния сети на основе состояний определенных компонентов системы, таких как буферы передачи и определенные служебные сигналы (подтверждения).

Мультиплексор (М) - модуль, выполняющий функции обратные демультиплекору. Данный модуль собирает проекции (фрагменты данных), переданные по разным каналам в один поток, образуя исходное сообщение. Как и демультиплексор, мультиплексор способен детектировать определенные события в сети по состоянию входящих в него потоков. Передатчик (Ff, і є ) - модуль, отвечающий за транзит данных. На передатчике так же реализована определенная логика, необходимая для правильного функционирования алгоритмов мультиплексора и демультиплексора. Демультиплексор, мультиплексор и передатчик являются основными компонентами системы. Физическое устройство - компьютер, на котором выполняется программное приложение мультиплексора, передатчика, демультиплексора или несколько приложений одновременно. Логический канал связи между устройствами - логическое соединение протокола TCP или UDP . Физический канал - отдельный, выделенный участок передачи IP-данных, представляющий собой некоторую физическую среду передачи. В одном физическом канале может быть образовано множество логических каналов, различных TCP или UDP соединений. Зона передачи данных - совокупность логических компонентов системы, являющихся законченной, самостоятельной функциональной единицей. Зона осуществляет разнесение, передачу и сбор данных. Каждая зона содержит мультиплексор, демультиплексор и, по крайней мере, пару передатчиков. Ветвь передачи данных - последовательность логических устройств соединенных по схеме: демультиплексор - передатчик(и) - мультиплексор. Основное предназначение компонентов демультиплексор и мультиплексор - разделение и сбор данных. Также эти компоненты передают и принимают разделенные данные. Наиболее очевидный вариант реализации системы в сети IP - на сеансовом уровне модели OSI. Таким образом, для ее корректного функционирования необходимо использование промежуточных компонентов - передатчиков. Они выступают в качестве узловых точек, между которыми устанавливаются логические соединения. После обработки данных на уровне приложений стека TCP или UDP пакеты передаются сетевому уровню IP. В заголовке полученного IP пакета в поле отправитель стоит IP адрес демультиплексора, а в поле получатель IP адрес передатчика. Благодаря такой реализации происходит сокрытие «глобальных адресов», т.е. адреса конечного пункта назначения и адреса устройства, изначально отправившего данные. Таким образом, при перехвате и анализе пакета на участке передатчик - мультиплексор, адрес демультиплексора определить невозможно. Это наглядно представлено в заголовках IP пакета при его прохождении от демультиплексора к мультиплексору. Нигде в заголовках В случае если бы мультиплексор и демультиплексор работали друг с другом напрямую, то, перехватив отдельный пакет, можно было бы определить адреса демультиплексора и мультиплексора, что недопустимо. Так же в этом случае невозможно было бы произвести разнесение каналов, поскольку раздельные логические потоки передавались бы (маршрутизировались) по одному физическому пути. Предлагаемое решение подразумевает повышение стойкости информации при несанкционированном доступе к среде передачи на основе имеющихся физических средств. Характерной особенностью системы является то, что она, является полностью привязанной к свойствам среды передачи и топологии сетевой структуры, полагаясь на наличие структурной избыточности, которая особенно свойственна для сети Internet. Предлагается усовершенствовать систему «демультиплексор - передатчики - мультиплексор», разработав инструмент, позволяющий передатчикам выполнять автоматическую «интеллектуальную» маршрутизацию. Реализация данного подхода заключается в установке на передатчике приложения «маршрутизируемый сервис», корректирующего работу протоколов маршрутизации для маркированной информации. Система мультиплексирования трафика уязвима перед классом активных сетевых атак, описанных в первой главе. Рассмотрим еще раз одну из активных сетевых атак - атаку, основанную на сниффинге (рис. 8). Нарушитель, обладая знаниями, что некоторая организация регулярно передает данные из А в G, может довольно точно определить маршрут от А до G в момент времени At и осуществить перехват на каком-нибудь из участков следования трафика. F1,F2,F3yF4J75 - передатчики системы мультиплексирования трафика, в случае ее использования в распределенной сети, либо в общем случае некоторые узловые сервера, необходимые для пространственного представления маршрута следования трафика. Производя посылку трассировочных пакетов, нарушитель в момент времени At определил маршрут следования трафика (показано пунктиром) и произвел атаку на подконтрольном маршрутизаторе, расположенном на участке F2F5. Разработано приложение «маршрутизируемый сервис» (SM), позволяющее повысить безопасность передачи информации в распределенных беспроводных сетях в условиях воздействия активных атак. SM - клиент-серверное приложение, позволяющее пользователю передавать данные специфичным маршрутом.

Оценка вероятности реализации угрозы второго класса

Для данного алгоритма задаются следующие параметры. Fs = {Fsi, Fs2, -, FSj, .... FSF) - множество доверенных серверов сети. F - \FS\ - количество доверенных серверов сети. ta- время действия одного вида атаки на доверенный сервер. иj - период повтора атаки. и2- период блокирования доверенного сервера. к - число видов атак. i,j, t- вспомогательные переменные.

Вводятся следующие функции и процедуры. ТекВремя() - функция, возвращающая текущее время в формате «dd.mm.yyyy hh24:mi:ss». функция, генерирующая псевдослучайное целое число с помощью операции рандомизации, принадлежащее интервалу , х = 1; РазБлок) - процедура, переводящая сервер FjB режим «доступен». Aj(Fj) - функция распределения дискретной случайной величины «результат атаки на сервер F,» с вероятностью принять значение 1 (атака успешна) равной Pi и вероятностью принять значение 0 (атака неудача) равной 1 -/?,-. Пауза(ґ) - процедура, реализующая ожиние на время t; функция, возвращающая статус сервера Fj (доступен - 0; блокирован - 1); Блок(і х) - функция, переводящая сервер F, в режим «блокирован» и возвращающая текущее время в формате «dd.mm.yyyy hh24:mi:ss» переменную х. С помощью операции рандомизации выбираются один из доверенных серверов сети и сетевая атака одного из видов. Производится эксперимент A,(FSj) - «атака на сервер FSj», определяемый дискретной случайной величиной с распределением «вероятность принять значение 1 (успех) равна/?,-, вероятность принять значение 0 (неудача) равна 1-/?,», іє. В случае успеха, сервер блокируется и становится недоступным на время и2. В отношении уязвимости к основным видам атак доверенный сервер ничем не отличается от обычного сервера распределенной сети, к которому нарушитель изначально не имеет доступа. Для успешной атаки на доверенный сервер нарушитель может воспользоваться следующими уязвимостями: недокументированные ошибки в операционной системе сервера, ошибки во вспомогательных программах, ошибки администрирования сервера. Разные виды уязвимостей приводят к возможности реализации разного рода угроз: утрате конфиденциальности, атакам типа «отказ в обслуживании», выполнению на сервере неавторизованного кода и тд. Чем больше уязвимостей, тем проще провести атаку на сервер. Соответственно, можно ввести некоторый коэффициент уязвимости серверов pj є F , j є }