- •Міжнародний гуманітарний університет
- •2013 Року завдання до випускної кваліфікаційної роботи магістра
- •3 Вихідні дані до роботи
- •4 Зміст пояснювальної записки
- •5 Перелік обов’язкового графічного матеріалу (презентацій)
- •6 Календарний план виконання вкр
- •7 Консультанти по окремих розділах
- •8 Підписи
- •Содержание
- •Реферат
- •Реферат
- •1 Обобщенная характеристика современных беспроводных информационно-телекоммуникационных сетей
- •1.1 Система фиксированного широкополосного радио доступа
- •1.2 Характеристики стандарта серии 802.11
- •1.3 Методы передачи данных
- •1.3.1 Метод прямой последовательности
- •1.3.2 Метод частотных скачков
- •1.4 Анализ существующих стандартов технологии ieee 802.11
- •1.4.1 Стандарт ieee 802.11а
- •1.4.2 Стандарт ieee 802.11b
- •1.4.3 Стандарт ieee 802.11g
- •1.4.4 Стандарт ieee 802.11n
- •1.4.5 Преимущества и недостатки технологии 802.11n
- •1.4.6 Метод доступа
- •2 Основные методы и приемы нарушения безопасности современных беспроводных информационно-телекоммуникационных систем
- •2.1 Общее описание проблемы нарушения безопасности
- •2.2 Методы атак на беспроводные сети
- •2.2.1 Пассивные атаки
- •2.2.2 Активные атаки
- •2.2.3 Атака помехами
- •2.3 Основные риски безопасности беспроводных сетей
- •2.3.1 Риск не авторизированного доступа
- •2.3.2 Риск нефиксированная природа связи
- •2.3.3 Риск уязвимость сетей и устройств
- •2.3.4 Риск новые угрозы и атаки
- •2.3.5 Риск утески информации из проводной сети
- •2.3.6 Риск особенности функционирования беспроводных сетей
- •3 Анализ средств и методов защиты информации в беспроводных информационно-телекоммуникационных системах
- •3.1 Классификация мер обеспечения безопасности
- •3.2 Физическая защита информации в беспроводных сетях
- •3.3 Аппаратные средства защиты информации в беспроводных сетях
- •3.4 Программные средства защиты информации в беспроводной сети
- •3.4.1 Безопасность на уровне операционной системы
- •3.4.2 Криптографические методы защиты
- •3.4.3 Шифрование дисков
- •3.4.4 Способы идентификации пользователя
- •3.4.5 Специализированные программные средства защиты информации
- •3.4.6 Архитектурные аспекты безопасности
- •4 Стратегия развития и совершенствования построения безопасности беспроводных информационно-телекоммуникационных сетей
- •4.1 Основные компоненты для построения системы безопасности беспроводной сети
- •4.2 Основные задачи при построении глубокоэшелонированной защиты
- •4.2.1 Аутентификация и авторизация всех пользователей сети Wi-Fi
- •4.2.2 Использование vlan-ов для разделения трафика и введения сегментирования
- •4.2.3 Межсетевые экраны на уровне портов
- •4.2.4 Использование шифрование на всей сети
- •4.2.5 Определение опасности целостности сети Wi-Fi
- •4.2.6 Обеспечения безопасности конечных устройств Wi-Fi в общую политику безопасности
- •Додатки
4.2.3 Межсетевые экраны на уровне портов
Использование VLAN-ов может быть достаточно для грубой классификации пользователей сети. Но для реальной защиты ценных ресурсов к каждому пользователю должны применяться многосторонние политики управляемые сетевой инфраструктурой. Многие сетевые инженеры пришли к такому же заключению и начали использовать периметральные межсетевые экраны также и внутри сети для того чтобы применять политики безопасности не только в месте выхода в Интернет. Но существует много проблем использования межсетевых экранов внутри сети для исполнения политик безопасности, например:
1 Не проходят пакеты с аутентификационной информацией. Когда межсетевой экран, расположенный глубоко внутри сети, должен принимать решение о доступе, то возникает проблема того, что решение должно приниматься на крайне ненадежной информации (прежде всего на базе IP-адреса откуда пришел запрос) или надо будет ввести еще одну точку остановки для того, чтобы выполнить аутентификацию на этом межсетевом экране. Существует много пропраитарных (собственное ноу-хау вендоров) решений для обходы этих проблем, но типичный подход это использование VPN-ов с аутентифкацией и шифрованием. Это далеко не самый простой, гибкий и удобный способ.
2 Межсетевых экранов внутри сети всегда не хватает, т.к. часто мы имеем большие объемы трафика перетекающие от одной точки на границе сети к другой и пропускать все это через экраны внутри очень дорого. Контроль должен быть привязан к точке входа в сеть, это крайне важно. В настоящее время доступны технологии, такие как 802.1х (помните Стратегию 1) и мощные межсетевые экраны с высокой плотностью портов, что переводит цель применения политик безопасности на уровне портов в экономически обоснованную плоскость.
Существуют две основные проблемы реализации тонкого контроля доступа:
– управление процессом
– экономика:
Хотя уже сейчас есть производители коммутаторов LAN, которые производят недорогие свичи с поддержкой 802.1х на портах, например Cisco Systems.
Стратегии применения тонкого контроля доступа. Любая политика безопасности должна начинаться с определения политики. Хотя технологии решают много проблем, но сложность определения политики никогда не менялась и должна быть проработана в первую очередь. Если политика безопасности для внутренней части сети не может быть определена и согласована нет оснований для движения дальше. Политика безопасности должна основываться:
– на ролях и ресурсах,
– определять кто имеет право доступа и к каким ресурсам,
– как может пользователь получать доступ к ресурсам (чтение, запись, выкладывать туда что-то, получать отттуда что-то и т.п.)
– время суток, когда и к каким ресурсам пользователю разрешен доступ,
– местоположение пользователя.
Хороший рабочий подход состоит в том, чтобы формировать политику безопасности на уровне портов с использованием беспроводной сети доступа. Т.к. безопасность беспроводной сети основывается на идентификации пользователя и, при этом, пользователи не ассоциируются более с физическими портами. Современные решения для беспроводных сетей интегрируют функционал исполнения политик безопасности напрямую внутрь системы WLAN.
Это позволяет говорить о том, что использование технологии Wi-Fi, как основного безопасного, удобного и надежного доступа, логичнее и целесообразнее, чем проводного.