- •Общие принципы построения информационных сетей Классификация информационных сетей
- •Сетевые технологии
- •Концентратор, мост, коммутатор Сетевые адаптеры
- •1. Сетевая карта Ethernet (Fast Ethernet).
- •2. Сетевая карта Token Ring (High Speed Token Ring)
- •Протоколы Interface Модели и протоколы передачи данных
- •Дейтаграммная передача
- •Передача с установлением логического соединения
- •Метод установления виртуального канала
- •Модель osi
- •Протокольная единица данных iso
- •Osi Физический уровень
- •Аспекты архитектуры компьютерной сети
- •Стандарты использующие физический уровень
- •Канальный уровень
- •Mac подуровень
- •Подуровень llc
- •Сетевой уровень
- •Сервисы, предоставляемые транспортному уровню
- •Функции маршрутизаторов
- •Транспортный уровень
- •Верхние уровни osi Сеансовый уровень
- •Уровень представления
- •Шифрование и дешифрование
- •Прикладной уровень
- •Сетевые файловые службы прикладного уровня
- •Соответствие популярных стеков протоколов модели osi
- •Распределение протоколов по элементам сети
- •Вспомогательный протоколы транспортного уровня
- •Технологии физического уровня
- •Аппаратура передачи данных
- •Модуляция, дуплекс, полудуплекс
- •Кодирование
- •Режимы передачи: симплексный, полудуплексный, дуплексный
- •Кодирование на физическом уровне
- •Потенциальный код rz
- •Потенциальный код nrz
- •Потенциальный код nrzi
- •Биполярное кодирование ami
- •Потенциальный код 2b1q
- •Манчестерский код
- •Бифазный код
- •Разница между битами и бодами
- •Кодирование. Продолжение Метод кодирования 8в/6т
- •Метод кодирования b8zs и hdb3
- •Компрессия данных
- •Обнаружение и коррекция ошибок
- •Мультиплексирование и коммутация
- •Технология широкополосного сигнала
- •Форматы кадров технологии Ethernet
- •Уровень mac
- •Уровень mac (уровень доступа к разделяемой среде) :
- •Уровень llc выполняет две функции:
- •Уровень llc предоставляет верхним уровням три типа транспортных услуг.
- •Форматы кадров технологии Ethernet
- •Использование различных типов кадров Ethernet .
- •Общие принципы и характеристики стандартов 10-100 Base Ethernet. Общие принципы lan
- •Спецификации физической среды Ethernet
- •Метод csma/cd
- •Стандарт 10Base-2
- •Волоконно-оптическая сеть Ethernet
- •Домен коллизий
- •Технология Fast Ethernet-100Mb/s
- •Физический уровень технологии Fast Ethernet
- •Узел сети Fast Ethernet
- •Метод кодирования 4b/5b
- •Правила построения сегментов Fast Ethernet при наличии повторителей
- •Технология Gigabit Ethernet
- •Технология 10g Etherne
- •Построение локальных сетей с помощью мостов и коммутаторов
- •Коммутаторы
- •Неблокирующие коммутаторы
- •Характеристики производительности коммутаторов
- •Алгоритм покрывающего дерева
- •Алгоритм sta -Три этапа построения дерева
- •Агрегирование линий связи в локальных сетях
- •Борьба с «размножением» пакетов
- •Агрегирование линий lan Выбор порта
- •Протокол управления агрегированием lcap
- •Виртуальные локальные сети
- •Vlan– Назначение –причины
- •Создание vlan на базе одного коммутатора
- •Качество обслуживания в виртуальных сетях
- •Ограничения мостов и коммутаторов
- •Беспроводные локальные сети. Стек протоколов ieee 802.11. Топологии локальных сетей стандарта 802.11 Распределенный режим доступа dcf. Централизованный режим доступа pcf . Безопасность (о 463, t)
- •Стек протоколов ieee 802.11
- •Топологии локальных сетей стандарта 802.11
- •Особенности wep-протокола:
- •Блочное шифрование
- •Алгоритм шифрования wep
- •Пассивные сетевые атаки
- •Активные сетевые атаки
- •Проблемы управления статическими wep-ключами
- •Спецификация wpa
- •Структура и назначение сетевого уровня. Понятие системы передачи данных. Требования к сетевой адресации. Классовая модель ip. Маршрутизация. Методы получения правил маршрутизации.
- •Локальные адреса
- •Сетевые ip-адреса
- •Доменные имена
- •Формат ip-адреса
- •Классы ip-адресов.
- •Особые ip-адреса (Ограничения при назначении ip адрессов)
- •Использование масок при ip-адресации
- •Порядок назначения ip-адресов
- •Централизованное распределение адресов
- •Адресация и технология cidr
- •Упрошенная таблица маршрутизации
- •Просмотр таблиц маршрутизации без масок
- •Просмотр таблиц маршрутизации с учетом масок
- •Использование масок переменной длины
- •Связь между сетевым и канальным уровнем. Служба arp. Сопоставление адресов. Протоколы dns, dhcp
- •Протокол разрешения адресов
- •Способ реализации arp в глобальных сетях.
- •Протокол Proxy-arp
- •Плоские символьные имена
- •Система dns
- •Обратная зона
- •Протокол dhcp
- •Алгоритм динамического назначения адресов dhcp
- •Протокол icmp
- •Протокол icmp
Активные сетевые атаки
Индуктивное вычисление секретного ключа шифрования WEP представляет собой процесс воздействия на беспроводную локальную сеть для получения определенной информации и относится к классу активных сетевых атак. Как было сказано ранее, при потоковом шифровании выполняется двоичное сложение по модулю 2 ( XOR ) исходного сообщения с ключевой последовательностью с целью получения шифрованного сообщения. Этот факт лег в основу данной атаки.
Высокая эффективность атаки индуктивного вычисления ключа, предпринимаемой в беспроводной локальной сети IEEE 802.11, объясняется отсутствием действенных средств контроля целостности сообщений (Message Intgrity Check, MIC). Принимающая сторона не в состоянии распознать факт модификации содержимого фрейма в процессе передачи по общедоступному радиоканалу. Более того, значение ICV (Integrity Check Value), предусмотренное стандартом для контроля целостности сообщений, вычисляется с помощью функции CRC32 (32-bit Cyclical Redundancy Check, контроль с помощью циклического 32-битного избыточного кода), которая подвержена атакам с манипуляцией битами. Таким образом, в отсутствии механизмов контроля целостности сообщений беспроводные локальные сети подвержены активным атакам: повторному использованию вектора инициализации (IV Replay) и манипуляции битами (Bit-Flipping).
1) Повторное использование вектора инициализации (Initialization Vector Replay Attacks), представляет собой разработанную теоретически и реализованную практически активную сетевую атаку в беспроводной локальной сети, существующую в нескольких разновидностях.
2) Манипуляция битами (Bit-Flipping Attacks)
Манипуляция битами преследует ту же цель, что и повторное использование вектора инициализации, и опирается на уязвимость вектора контроля целостности фрейма ICV .Пользовательские данные могут различаться от фрейма к фрейму, в то же время многие служебные поля и их положение внутри фрейма остаются неизменными.
Проблемы управления статическими wep-ключами
Стандартом IEEE 802.11 не предусмотрены какие-либо механизмы управления ключами шифрования. По определению, алгоритм WEP поддерживает лишь статические ключи, которые заранее распространяются тем или иным способом между абонентами и точками радиодоступа беспроводной локальной сети. Поскольку IEEE 802.11 аутентифицирует физическое устройство, а не его пользователя, утрата абонентского адаптера, точки радиодоступа или собственно секретного ключа представляют опасность для системы безопасности беспроводной локальной сети. В результате при каждом подобном инциденте администратор сети будет вынужден вручную произвести смену ключей у всех абонентов и в точках доступа. Для этого во всем оборудовании D-Link отведено четыре поля для ввода ключей. И при смене всех ключей необходимо только поменять номер используемого ключа.
Эти административные действия годятся для небольшой беспроводной локальной сети, но совершенно неприемлемы для сетей, в которых абоненты исчисляются сотнями и тысячами и/или распределены территориально. В условиях отсутствия механизмов генерации и распространения ключей администратор вынужден тщательно охранять абонентские адаптеры и оборудование инфраструктуры сети.
Для усовершенствования системы безопасности беспроводных технологий LAN был создан подкомитет IEEE 802.11e.Разработанный стандарт 802.11i призван расширить возможности протокола 802.11, предусмотрев средства шифрования передаваемых данных, а также централизованной аутентификации пользователей и рабочих станций.
Основные производители Wi-Fi оборудования в лице организации WECA (Wireless Ethernet Compatibility Alliance), иначе именуемой Wi-Fi Alliance,, совместно с IEEE в ноябре 2002 г. анонсировали спецификацию Wi-Fi Protected Access (WPA), соответствие которой обеспечивает совместимость оборудования различных производителей.
Новый стандарт безопасности WPA обеспечивает уровень безопасности куда больший, чем может предложить WEP Он перебрасывает мостик между стандартами WEP и 802.11i и имеет немаловажное преимущество, которое заключается в том, что микропрограммное обеспечение более старого оборудования может быть заменено без внесения аппаратных изменений.
IEEE предложила временный протокол целостности ключа (Temporal Key Integrity Protocol, TKIP).
Основные усовершенствования, внесенные протоколом TKIP:
По фреймовое изменение ключей шифрования. WEP-ключ быстро изменяется, и для каждого фрейма он другой;
Контроль целостности сообщения. Обеспечивается эффективный контроль целостности фреймов данных с целью предотвращения скрытых манипуляций с фреймами и воспроизведения фреймов;
Усовершенствованный механизм управления ключами.