(Слайд1) Лекція

Тема 7 Методи і засоби захисту від віддалених атак через мережу Internet

Заняття 4. Безпека бездротових мереж

Навчальні питання:

1. Стандарт безпеки WEP

2. Стандарт безпеки WPA

3. Стандарт безпеки WPA2

Вступ.

Історія бездротових технологій передачі почалася наприкінці ХІХ століття з передачею першого радіосигналу і появою в 20-х роках ХІХ століття перших радіоприймачів з амплітудної модуляцією. У 1930-ті роки з'явилося радіо і телебачення з частотною модуляцією. За останні декілька десятків років створено перші бездротові телефонні системи як природна необхідність задоволення потреби у мобільній передачі голосу. Спочатку це аналогові мережі, а з початку 80-х років коли було роблено стандарт GSM, розпочався перехід на цифрові стандарти, як необхідність забезпечення більш ефективного розподілу спектра, кращу якість сигналу, кращу безпеку і т.і. З 90-x ХХ століття відбувається зміцнення позицій бездротових мереж. Безпровідні технології міцно входять у життя, розвиваючись із великою швидкістю, вони створюють нові пристрої і послуги.

Широкий спектр нових бездротових технологій як-то CDMA (Code Division Multiple Access, множинний доступ з кодовим поділом), GSM (Global System for Mobile Communications, глобальна система для мобільного зв’язку), TDMA (Time Division Multiple Access, паралельний доступ в системах з тимчасовим поділом каналів), 802.11, WAP (Wireless Application Protocol, протокол бездротових технологій), 3G (третє покоління), GPRS (General Packet Radio Service, послуга пакетноuj радіозв'язку загального користування), Bluetooth (блакитний зуб, так названо на честь Харальда Блакитного Зуба – ватажка вікінгів, жив у Х столітті), EDGE (Enhanced Data Rates for GSME volution, підвищена швидкість передачі даних для GSM), i таке інше. Зазаначене свідчить, про те, що починається революція у цій галузі.

Значні перспективи щодо розвитку бездротових локальних мереж (WLAN) має Bluetooth (мережі середніх і коротких відстаней). Безпровідні мережі розгортаються в аеропортах, університетах, готелях, ресторанах, підприємствах.

Історія розробки стандартів бездротових мереж почалася 1990 року, коли було розроблено стандарт IEEE 802.11 (Institute of Electrical and Electronic Engineers — міжнародна організація, що займається розробкою стандартів у сфері електронних технологій) Загальновживана назва для стандарту бездротового (радіо) зв'язку передачі даних, яка широко відома під назвою Wi-Fi, WiFi (від англ. Wireless Fidelity)— торгова марка, що належить Wi-Fi Alliance.

Значний поштовх розвитку бездротових технологій дала всесвітня павутина та ідея обміну даними у Мережі за допомогою бездротових пристроїв. Наприкінці 1990-х років користувачам було запропонованоWAP-услуга, спочатку яка не викликала серед населення великого інтересу. Це були основні інформаційні послуги – новини, погода, різноманітні розклади і т.п. Також дуже низьким попитом користувалися спочатку і Bluetooth, і WLAN переважно через високу вартість цих технологій. Однак із зниженням цін на них і ріс інтерес населення. На середину першого десятиліття ХХІ сторіччя кількість користувачів бездротового Інтернет-сервісу сягнув міліонів. З появою бездротового Інтернет-зв'язку на перші плани вийшли питання забезпечення безпеки. Основні проблеми під час використання бездротових мереж це перехоплення повідомлень спецслужб, комерційних підприємств та приватних осіб, перехоплення номерів кредитних карток, крадіжка оплаченого часу з’єднання, втручання у роботу комунікаційних центрів.

Як і кожна комп'ютерна мережа, Wi-Fi – є джерелом підвищеного ризику несанкціонованого доступу. З іншого боку, під’єднатися до бездротової мережі значно простіше, ніж до звичайної, — непотрібно підключатися по дротах, досить у зоні прийому сигналу здійснити дистанційне з’єднання.

Хоча сьогодні у захисту Wi-Fi-мереж застосовуються складні алгоритмічні математичні моделі аутентифікації, шифрування даних, і контролю цілісності їх передачі, тим неменше, імовірність доступу до інформації сторонніх осіб, є досить високою.

(Слайд 2) Якщо налаштуванні мережі не приділити достатньої уваги зловмисник зможе:

отримати доступ до ресурсів і дисків користувачів Wi-Fi-мережі, а через неї і до ресурсів ЛОМ;

контролювати трафік і таким чином отримувати конфіденційну інформацію;

спотворювати інформацію, що циркулює у мережі;

створювати свої точки доступу;

розсилати спам, та інші протиправні дії від імені вашої мережі.

Але перед тим як братися до захисту бездротової мережі, необхідно зрозуміти основні засади організації її захисту. Зазвичай, бездротові мережі складаються з вузлів доступу і клієнтськіх бездротових адаптерів. Вузли доступу і бездротові адаптери оснащуються прийомопередавачами для обміну даними один з одним. Кожному вузлу доступу і беспроводному адаптеру призначається 48-розрядна адреса MAC (MAC-адрес (от англ. Media Access Control — управление доступом к среде, также Hardware Address) — це унікальний ідентифікатор, який присвоюється кожній одиниці обладнання комп'ютерних мереж. Більшість мережевих протоколів канального рівня використовують один з трьох просторів MAC-адрес, керованих IEEE: MAC-48, EUI-48 іEUI-64. Адреси в кожному з просторів теоретично мають бути глобально унікальними. Не всі протоколи використовують MAC-адреси, і не всі протоколи, що використовують MAC-адреси, потребують подібної унікальності цих адрес.), яка функціонально еквівалентна адресі Ethernet. Вузли доступу пов'язують бездротові мережі, забезпечуючи бездротовим клієнтам доступом до проводових мереж. Зв'язок між бездротовими клієнтами в однорангових мережах можливий без вузлів доступу, але його рідко застосовують в установах. Кожна бездротова мережа ідентифікується призначеним адміністратором ідентифікатором SSID (Service Set Identifier - Ідентифікатор мережі). Зв'язок бездротових клієнтів із вузлом доступу можливий, якщо вони розпізнають SSID вузла доступу. Якщо бездротова мережа має кілька вузлів доступу з однією SSID (і однаковими параметрами аутентифікації і шифрування), то можливо переключення з-поміж ними мобільних бездротових клієнтів.

(Слайд 3) Найпоширеніші бездротові стандарти — 802.11 та її удосконалені варіанти. У специфікації 802.11 визначені характеристики мережі, робота мережі можлива зі швидкостями до 2 Мбіт/с. В удосконалених варіантах передбачені вищі швидкості. Перший, 802.11b, поширений найширше, але наразі швидко заміщується стандартом 802.11g. Безпровідні мережі 802.11b працюють у 2,4-ГГц діапазоні і забезпечують швидкість передачі до 11 Мбіт/с. Удосконалений варіант 802.11a ратифікували раніше, ніж 802.11b, але на ринку він з'явився пізніше. Обладнання цього стандарту працюють у діапазоні 5,8 ГГц з типовою швидкістю 54 Мбіт/с, та деякі постачальники пропонують вищі швидкості, до 108 Мбіт/с, в турбо режимі. Третій, удосконалений варіант, 802.11g, працює у діапазоні 2,4 ГГц, як і 802.11b, зі стандартною швидкістю 54 Мбіт/с і з вищою (до 108 Мбіт/с) в турбо режимі. Більшість бездротових мереж 802.11g здатні працювати з клієнтами 802.11b завдяки зворотній сумісності, що закладена у стандарті 802.11g, але практична сумісність залежить від конкретної реалізації постачальника. Більшість сучасного бездротового обладнання підтримує більше варіантів 802.11. Новий бездротовий стандарт, 802.16, проектується для WiMAX, з метою забезпечити бездротовий доступ підприємствам і житлових будинків через станції, аналогічні станціям мобільного зв'язку.

Реальна дальність зв'язку вузлів доступу залежить від багатьох чинників, зокрема варіант 802.11 залежить від робочої частоти обладнання, виробникча, потужності антени, розмірів перешкод і особливостей топології мережі. Проте бездротовий адаптер з вузькоспрямованою антеною з великим коефіцієнтом підсилення може забезпечити зв'язок з вузлом доступу і бездротовою мережею на значній відстані відстані, приблизно до півтора кілометрів у залежності від умов.

Через загальнодоступний характер радіоспектра виникають специфічні проблеми з безпекою, що відсутні в проводових мережах. Наприклад, щоб прослуховувати з’єднання в проводовій мережі, необхідний фізичний доступом до такого мережного компоненту, наприклад необхідно створити фізичну точку під'єднання пристрою підслуховування до локальної мережі, комутатору, маршрутизатору, брандмауеру чи хост-компьютеру. Для бездротової мережі потрібний приймач, а саме звичайний сканер частот.

Через відкритість бездротових мереж розробники стандарту підготували специфікацію Wired Equivalent Privacy (WEP), але зробили її використання необов'язковим. У WEP застосовується загальний ключ, відомий бездротовим клієнтам і вузлам доступу, із якими обмінюються інформацією. Ключ можна використовувати як для аутентифікації, так і для шифрування. У WEP застосовується алгоритм шифрування RC4. 64-разрядний ключ складається з 40 розрядів, визначених користувачем, і 24-разрядного вектора ініціалізації. Намагаючись підвищити безпеку бездротових мереж, деякі виробники обладнання розробили розширені алгоритми із 128-разрядними і більш довгими ключами WEP, які з104-разрядной і більш довгою частиною користувача і вектора ініціалізації.WEP діє з 802.11a, 802.11b- і 802.11g- сумісним обладнанням. Проте, попри підвищену довжину ключа, недоліки WEP (зокрема, слабкі механізми аутентифікації, ключі шифрування, які можна розкрити методами криптоаналізу) добре описані, і сьогодні WEP не вважається надійним алгоритмом.

У відповідь на недоліки WEP галузева асоціація Wi-Fi Alliance вирішила розробити стандарт Wi-Fi Protected Access (WPA). WPA краще WEP завдяки додаванню протоколу TKIP (Temporal Key Integrity Protocol) і надійному механізму аутентифікації з урахуванням 802.1x і протоколу EAP (Extensible Authentication Protocol). Передбачалося, щоWPA стане робочим стандартом, після схвалення комітетом IEEE як розширення для стандартів 802.11. Розширення 802.11i, було ратифіковано 2004 році, а WPA оновлено до WPA2 з метою сумісності з Advanced Encryption Standard (AES) замість WEP і TKIP. WPA2 сумісний і може застосовуватися що зWPA. WPA був призначений для мереж підприємств із інфраструктурою аутентифікації RADIUS (Remote Authentication Dial-In User Service — служба дистанційної аутентифікації користувачів на комутаційних лініях), але версія WPA, що називається WPA Pre-Shared Key (WPAPSK), отримала підтримку деяких виробників і готується до застосування на невеликих підприємствах.

На лекції ми розглянемо засоби та принципи захисту мереж, і їх плюси та мінуси.