- •Вопрос 2. Характеристика протоколов семейства ieee 802.11. Скорости и другие показатели. Единицы мВт, dBm, dBi и их преобразование. Допустимая мощность излучения по ieee 802.11 в рф. Правило 3-10.
- •Вопрос 3. Wlan Design. Расчет проекта беспроводной сети. Особенности дизайна для приложений Data / Voice / Video (по материалам практики).
- •Вопрос 6. Развертывание сети на базе Standalone ap. Рекомендации и ограничения решения. Особенности организации иб в домашних и малых корпоративных сетях.
- •Вопрос 8. Ieee 802.1x. Роль протоколов eaPoL, eap, radius. Web-аутентификация. Radius.
- •Вопрос 9. Использование radius для авторизации пользователей на оборудовании (По лр — беспроводной клиент на точке доступа, администратор на устройстве).
- •Вопрос 10. Ключевая иерархия в стандартах ieee 802.11. Генерация и назначение ключей. Назначение msk, kek, tk, psk, gtk. Рекомендуемые и устаревшие механизмы иб.
- •Вопрос 11. Классификация атак в беспроводных сетях. Описание атаки на wps, атаки MiTm.
- •Вопрос 12. Классификация методов защиты от атак на беспроводные сети.
- •Вопрос 13. Протоколы Wireless Security. Wep, wpa, wpa2, aes ccmp / tkip, wpa-psk/wpa-Enterprise и рекомендации по применению протоколов. Wpa-3. Режимы psk / Enterprise.
- •Вопрос 14. Антенны: изотропная, дипольная, патч. Классификация и типы антенн, их основные характеристики. Рекомендации по выбору антенн. Понятие eirp.
- •Вопрос 15. Wlc и wlan контроллеры. Решаемые задачи и назначение. Типовая схема беспроводной сети с централизованным управлением. Подключение элементов.
- •Вопрос 17. Сканеры сетей Wi-Fi. Выбор оптимального канала. Определение уровня принимаемого сигнала клиентом и точкой доступа, настройка мощности сигнала, dBm и dBi.
- •Вопрос 18. Доступные стандарты и каналы на 2.4гГц и 5гГц, рекомендации по выбору каналов, межканальная интерференция.
- •Вопрос 19. Типы беспроводных клиентов и их характеристики. Определение 2.4 и 5 гГц поддерживаемых каналов, ширины каналов, количества пространственных потоков. Поддержка mimo.
- •Вопрос 20. Механизмы обнаружения беспроводной сети — активное и пассивное. Этапы подключения к беспроводной сети. Psk и 802.1x аутентификация. 4-х стороннее рукопожатие.
- •Вопрос 24. Основы иб WiFi. Особенности wpa3. Режимы Personal и Enterprise. Protected Management Frames. Изоляция бк. Проверка поддержки wpa3 на клиентском устройстве, на точке доступа. Owe.
- •Вопрос 26. Классификация атак на беспроводные сети 802.11. Пути защиты от атак.
- •Вопрос 27. WIps и их функционал. Назначение сенсора и варианты исполнения. Атаки, от которых защищают wIps.
- •Вопрос 28. Беспроводные стандарты Bluetooth, ZigBee, rfid, nfc, LoRa, lte — основное назначение и характеристики, особенности, область покрытия, рабочие частоты и скорости. Область применения.
- •Вопрос 29. Иб: определение и цель защиты информации. Классификация нарушителей и их целей. Классификация угроз иб. Классификация источников угроз.
Вопрос 20. Механизмы обнаружения беспроводной сети — активное и пассивное. Этапы подключения к беспроводной сети. Psk и 802.1x аутентификация. 4-х стороннее рукопожатие.
Обнаружение:
Пассивное: клиент слушает beacon frames, которые периодически транслирует AP; на их основе видит SSID, supported rates, capabilities.
Активное: клиент отправляет Probe Request, AP отвечает Probe Response; позволяет более быстрый поиск, в т.ч. скрытых SSID.
Этапы подключения (в классическом случае с защищённой сетью):
Scan (passive/active) → найти AP.
Association/Authentication (на MAC уровне) — установление ассоциации.
Аутентификация (если используется 802.1X/EAP): EAPoL обмен → RADIUS → выдача PMK/MSK.
4-way handshake (четырёхстороннее рукопожатие) — обмен nonce (ANonce от AP и SNonce от клиента) для вывода PTK и подтверждения, а также доставка GTK; после успешного рукопожатия трафик защищён (CCMP/TKIP). 4-way handshake защищает от replay и подтверждает possession PMK.
DHCP и верхнеуровневые сетевые настройки, затем нормальный IP-трафик.
В PSK-режиме PMK = функция(PSK, SSID), поэтому 4-way handshake использует этот PMK; в 802.1X PMK получается через EAP/MSK.
Вопрос 21. Определение функционала ТД и поддерживаемых опций, однодиапазонные и двухдиапазонные ТД, контроль уровня выходного сигнала, режимы работы, multi-ssid, гостевые сети, функции ИБ, поддерживаемые типы антенн, поддержка PoE.
Функционал ТД (точки доступа) включает: поддерживаемые стандарты (n/ac/ax), число SSID, multi-SSID (виртуальные SSID с привязкой к VLAN), guest isolation, captive portal, поддержка 802.1X, управление мощностью и каналами (RRM), поддержка MIMO, Beamforming, поддержка внешних антенн, PoE-питание, режимы (AP, client/bridge, repeater/meshing), мониторинг клиентов и статистики, поддержка wIPS (в некоторых моделях AP имеет sensor mode), QoS/WMM.
Multi-SSID (многие SSID) — это функция маршрутизаторов, позволяющая создавать несколько беспроводных сетей на одном устройстве.
Однодиапазонные — дешевле, менее гибкие; двухдиапазонные — дают лучший баланс покрытия и ёмкости. Контроль мощности важен при плотном развёртывании (уменьшение перекрытия). Для гостевых сетей — отдельный SSID + VLAN + политики доступа и rate limiting.
Вопрос 22. Настройка ТД в standalone режиме. Основные этапы (согласно ЛР1). Протоколы управления ТД. Настройка применяемых стандартов, оптимальных параметров беспроводной сети и функций информационной безопасности. Подключение ТД к ЛВС. Мониторинг беспроводных клиентов, подключенных к ТД. Отличие ТД от домашнего маршрутизатора со встроенным ТД.
Основные этапы настройки standalone AP: подключение по PoE/питанию, доступ к веб/SSH интерфейсу, обновление прошивки, настройка сетевых параметров (IP, VLAN), конфигурация SSID и безопасности (WPA2/WPA3), выбор каналов/мощности, настройка DHCP (обычно на отдельном сервере), конфигурация guest VLAN и captive portal при необходимости, тестирование подключения и мониторинг (статистика клиентов, ретрай и скорость).
Протоколы управления: в standalone режиме AP управляется локально; возможна поддержка SNMP, syslog, TR-069 у некоторых вендоров; более “легковесные” протоколы управления AP при централизованной архитектуре — CAPWAP.
Отличие от домашного маршрутизатора: enterprise AP обычно предоставляет более расширенный радиодизайн, управляемые профили SSID, VLAN-tagging для каждого SSID, advanced QoS, поддерживает режимы мониторинга/wIPS, имеет внешние/встроенные антенны с более промышленными характеристиками и поддержку PoE; домашний роутер — интегрированное устройство с NAT, маршрутизатором, часто упрощённой реализацией безопасности и меньшим набором функций управления.
Вопрос 23. Основы ИБ сетей IEEE 802.11. WPA x, Personal и Enterprise режимы. Режим предустановленного ключа и рекомендации при его использовании. IEEE 802.1X и рекомендации при его использовании. Основные элементы архитектуры IEEE 802.1X. Механизмы ИБ, которые не рекомендуется использовать.
Основы ИБ: использовать сильные криптографические схемы (AES-CCMP), избегать устаревших TKIP/WEP, применять 802.1X/EAP-TLS для корпоративной секции, использовать гостевой сегмент для посетителей, журналирование и мониторинг.
Режим PSK: допустим для малого бизнеса и домов; при этом PSK должен быть длинной случайной фразой (мин. 20+ символов) и периодически меняться. Для крупных и корпоративных сетей PSK не рекомендуется — уязвимость централизованна: компрометация PSK даёт доступ всем.
802.1X: рекомендации — EAP-TLS (сертификаты) как предпочтительный метод; надёжная инфраструктура PKI; защита RADIUS сервера, резервирование; раздельные профили для гостя/сотрудников; PMK caching/fast roaming при необходимости.
Не рекомендуется: WEP, TKIP, включение WPS, использование слабых PSK, отключение PMF (Protected Management Frames) в средах с угрозой деавторизаций.