- •Міжнародний гуманітарний університет
- •2013 Року завдання до випускної кваліфікаційної роботи магістра
- •3 Вихідні дані до роботи
- •4 Зміст пояснювальної записки
- •5 Перелік обов’язкового графічного матеріалу (презентацій)
- •6 Календарний план виконання вкр
- •7 Консультанти по окремих розділах
- •8 Підписи
- •Содержание
- •Реферат
- •Реферат
- •1 Обобщенная характеристика современных беспроводных информационно-телекоммуникационных сетей
- •1.1 Система фиксированного широкополосного радио доступа
- •1.2 Характеристики стандарта серии 802.11
- •1.3 Методы передачи данных
- •1.3.1 Метод прямой последовательности
- •1.3.2 Метод частотных скачков
- •1.4 Анализ существующих стандартов технологии ieee 802.11
- •1.4.1 Стандарт ieee 802.11а
- •1.4.2 Стандарт ieee 802.11b
- •1.4.3 Стандарт ieee 802.11g
- •1.4.4 Стандарт ieee 802.11n
- •1.4.5 Преимущества и недостатки технологии 802.11n
- •1.4.6 Метод доступа
- •2 Основные методы и приемы нарушения безопасности современных беспроводных информационно-телекоммуникационных систем
- •2.1 Общее описание проблемы нарушения безопасности
- •2.2 Методы атак на беспроводные сети
- •2.2.1 Пассивные атаки
- •2.2.2 Активные атаки
- •2.2.3 Атака помехами
- •2.3 Основные риски безопасности беспроводных сетей
- •2.3.1 Риск не авторизированного доступа
- •2.3.2 Риск нефиксированная природа связи
- •2.3.3 Риск уязвимость сетей и устройств
- •2.3.4 Риск новые угрозы и атаки
- •2.3.5 Риск утески информации из проводной сети
- •2.3.6 Риск особенности функционирования беспроводных сетей
- •3 Анализ средств и методов защиты информации в беспроводных информационно-телекоммуникационных системах
- •3.1 Классификация мер обеспечения безопасности
- •3.2 Физическая защита информации в беспроводных сетях
- •3.3 Аппаратные средства защиты информации в беспроводных сетях
- •3.4 Программные средства защиты информации в беспроводной сети
- •3.4.1 Безопасность на уровне операционной системы
- •3.4.2 Криптографические методы защиты
- •3.4.3 Шифрование дисков
- •3.4.4 Способы идентификации пользователя
- •3.4.5 Специализированные программные средства защиты информации
- •3.4.6 Архитектурные аспекты безопасности
- •4 Стратегия развития и совершенствования построения безопасности беспроводных информационно-телекоммуникационных сетей
- •4.1 Основные компоненты для построения системы безопасности беспроводной сети
- •4.2 Основные задачи при построении глубокоэшелонированной защиты
- •4.2.1 Аутентификация и авторизация всех пользователей сети Wi-Fi
- •4.2.2 Использование vlan-ов для разделения трафика и введения сегментирования
- •4.2.3 Межсетевые экраны на уровне портов
- •4.2.4 Использование шифрование на всей сети
- •4.2.5 Определение опасности целостности сети Wi-Fi
- •4.2.6 Обеспечения безопасности конечных устройств Wi-Fi в общую политику безопасности
- •Додатки
4.2.4 Использование шифрование на всей сети
Неприкосновенность данных, передаваемых по корпоративным сетям, становится серьезной проблемой. Учитивая что сама сеть несет закрытые данные существует очень серьезная необходимость защиты этих данных от случайного или намеренного перехвата и раскрытия. Это очевидная проблема и для WLAN, практически все сетевые инженеры, принимающие решение о развертывании беспроводного решения, предпочитают использование мощного шифрования. Шифрование трафика может быть применено на любом уровне модели OSI/ISO. Для многоцелевых решений имеет смысл вводить шифрование ниже по уровням, чтобы покрыть все возможные приложения на сети. Чем ниже включается шифрование, тем больше трафика будет шифроваться и тем меньше вероятность того, что возникнет проблема перехвата, прослушивания и дискредитации информации. Хотя и здесь надо подходить к вопросу разумно, т.к. при совсем низких вариантах применения шифрования данные передаются фактически в открытом виде от приложения до ближайшего линка, на котором выполняется шифрование и здесь уже вероятность дискредитации растет. Возможный подход связан и с шифрованием на уровне приложений, тогда трафик будет зашифрован на всем пути коммуникаций между клиентом и сервером приложения. Но это означает, что и клиент и сервер должны поддерживать шифрование, что может быть очень тяжелой и дорогой задачей.
Сложности при введении в сеть механизмов обеспечения секретности. Когда анализируется формирование механизмов обеспечения секретности в сети с точки зрения обеспечения глубокоэшелонированной обороны, обычное направление мысли это введение шифрования внутрь всей сети. Стандарт IEEE 802.11i это очень хорошая помощь при разработке обеспечения секретности для WLAN. В то же время для проводных сегментов альтернативы не настолько прозрачны. К сожалению 802.11i не применим для проводной сети.
Стратегии при введении в сеть механизмов обеспечения секретности. Для беспроводных сетей введение обеспечения секретности передачи информации довольно простая задача. IEEE 802.11i это стандарт для обеспечения безопасности сети WLAN. Он точно описывает как обеспечивать секретность и целостность данных на сети WLAN с использованием специальных алгоритмов шифрования трафика и методов аутентифкации, основанных на 802.1х (см. Стратегию 1). При возникновении задачи обеспечения безопасности и шифрования на беспроводной сети начинать надо с решений, построенных на стандарте 802.11i и обладающих высокой интероперабельностью с другими беспроводными элементами.
4.2.5 Определение опасности целостности сети Wi-Fi
Существуют три основных вопроса безопасности:
– контроль доступа,
– обеспечение секретности (шифрование),
– обеспечение целостности.
Последний, как правило, вызвает наименьший интерес, т.к. определение опасностей на сети может быть очень сложным делом. Некоторые опасности могут быть легко выявлены и решены, в то время как другие очень сложны в детектировании и противодействии. Во многих компаниях ИТ-службы фокусируются на подходах противодействия опасностям на принципах «строим межсетевые экраны», но опасности могут прийти откуда угодно: черви и вирусы, гости компании с доступом в беспроводную сеть, неаккуратные сотрудники или сотрудники со злым умыслом внутри компании.
Обычно все начинается с использования IDS / Intrusion Detection System (системы обнаружения вторжений) и идентификации опасностей с ее помощью. IDS это очень ценный инструмент в арсенале аналитика сетевой безопасности, но многие корпорации обнаружили, что IDS часто не слишком удобна для прямого определения опасности и противодействия непосредственной угрозе. Часто IDS скорее работает как анализатор протоколов: это инструмент диагностики и идентификации проблем для аналитика больше чем Первая линия обороны против атак на целостность сети. Вендоры систем безопасности предлагают большой выбор продуктов для обеспечения безопасности от IPS или IDS (Intrusion Detection System) до межсетевых экранов уровня приложений и весьма специфичных инструментов, которые разрабатываются для борьбы с определенными типами опасностей, например сетевых червей. Даже более приземленные компоненты, такие, например, как сканнеры вирусов перемещаются на сетевые устройства, пытаясь отловить вирусы «на лету» во время передачи трафика по сети.
Наибольшая проблема в управлении безопасностью сети это определение адекватного баланса между риском и затратами. По продуктамм для безопасности довольно сложно определять показатели возврата инвестиций (ROI). Очевидно, что все надеятся получить защиту от полного выхода сети из строя, но добавляя инструменты проверки целостности в сеть очень сложно получить хорошую метрику того, насколько менее часто сеть становится недоступной или деградирует именно по проблемам безопасности. Наиболее часто возникающая проблема при развертывании продуктов обеспечений целостности сети (например IPS) это высокий уровень распределенности большинства сетей. Если в силу дизайна сети нет возможности видеть трафик, то нет возможности определять опасности и аномальное поведение(например в коммутируемой сети трафик не виден на всех портах свичей и для обхода необходимы специальные действия – например конфигурация зеркалирования типа SPAN и т.п.). Когда анализируются зоны развертывания инструментов целостности порой возникают проблемы с оценкой опасности риска как такового. Успешная интеграция таких инструментов требует понимания, о каких опасностях идет речь и что необходимо делать, чтобы их выявить. Пока риск в общем не ясно как измерять, то можно просто составить список опасностей, начальную стратегию решения проблем и т.д.. Это позволит начать движение к определению верной стратегии по гарантированию целостности сети.
Стратегии обеспечения целостности сети (Integrity).
Наиболее успешные стратегии будут определять зоны наивысшего риска и сначала концентрироваться именно на них. Это половина пути в верном направлении. Вторая половина фокусируется на решении таких задач как борьба с троянами, вирусами, вредоносным ПО и т.п.. Эти опасности могут вызвать не только деградацию сети и производительность, но и давать доступ к закрытой информации или вызывать полный отказ в обслуживании. Риск инфицирования очень высок и риск для сети также высок в случае инфицирования. Поэтому в корпорациях уже нормальная практика иметь стратегии идентификации вирусов и противодействия им. Те кто пока не добавил модули определения вредоносного ПО или шпионских программ в антивирусные программы должны сделать это как можно скорее, т.к. риск слишком велик.
Большинство межсетевых экранов имеют ограниченные возможности IPS, например защита от атак типа DoS / Denial of Service (отказ в обслуживании). Хотя для реализации такого функционала требуется некоторое дополнительное конфигурирование такие устройства могут увеличить уровень защиты сети от атак на целостность без дополнительных затрат и с малым дополнением к операционным затратам. Хотя распределенные сети являются типовом подходом при проектировании возможно стоит задуматься о стратегии большей централизации, когда осознанно вызникает необходимость заниматься мониторингом целостности сети и идентифицировать соответствующие опасности. Например отправка всего трафика в основной Датацентр и использование для этого в центре небольшого количества свичей и маршрутизаторов даст возможность как обеспечения недорогого мониторинга сети, так и, когда возможно, развернуть системы типа IPS.