- •Многолучевое распространение
- •Что такое световые сигналы?
- •Параметры светового сигнала
- •Затухание из-за препятствий и погодных условий
- •Модуляция: подготовка сигналов к передаче
- •Частотная манипуляция
- •Расширение спектра
- •Мультиплексирование с разделением по ортогональным частотам
- •Сверхширокополосная модуляция
- •Беспроводные персональные сети: сети для коротких расстояний
- •Радиоплаты интерфейса сети
- •Потоковые мультимедиа-приложения
- •Управление
- •Основные особенности
- •Может ли Bluetooth заменить беспроводные локальные сети?
- •Могут ли беспроводные локальные сети заменить Bluetooth?
- •Минимизация помех со стороны Bluetooth
- •Основные особенности
- •Вопросы для самопроверки
- •Беспроводные региональные сети: для соединений между зданиями и отдаленными площадками
- •Мосты или точки доступа?
- •Базовые мосты для связи Ethernet с беспроводной сетью
- •Полунаправленные антенны
- •Остронаправленные антенны
- •Эффект поляризации
- •Системы типа "точка-несколько точек"
- •Системы пакетной радиосвязи
- •Технологии беспроводных региональных сетей
- •Стандарт 802.11 и Wi-Fi
- •Стандарт 802.16
- •Вопросы для самопроверки
- •Беспроводные глобальные сети: сети для соединения по всему миру
- •Радиоплаты интерфейса сети
- •Базовые станции
- •Антенны
- •Сотовые системы первого поколения
- •Сотовые системы второго поколения
- •Сотовые системы третьего поколения
- •Служба коротких сообщений (sms)
- •Метеорная связь
- •Технологии беспроводных глобальных сетей
- •Множественный доступ с пространственным разделением
- •Вопросы для самопроверки
- •Неавторизованный доступ
- •Атаки типа "человек посредине"
- •Отказ в обслуживании
- •Шифрование
- •Проблемы, связанные с wep
- •Когда можно использовать wep?
- •Временный протокол целостности ключа
- •Защищенный доступ к Wi-Fi
- •Уязвимость механизма аутентификации стандарта 802.11
- •Аутентификация с использованием открытого ключа шифрования
- •Стандарт 802.1 х
- •Как осуществляется аутентификация по стандарту 802.1 х?
- •Стадии оценки
- •Пересмотр существующей политики безопасности
- •Пересмотр существующей системы
- •Опрос пользователей
- •Проверка конфигурации беспроводных устройств
- •Выявление подставных базовых станций
- •Использование эффективных систем шифрования
- •Своевременное обновление встроенного программного обеспечения
- •Физическая защита базовых станций
- •Применение средств контроля
Использование эффективных систем шифрования
Опытные хакеры могут проникнуть в защищенную по протоколу WEP сеть, используя свободно распространяемое программное обеспечение. Однако WEP надежно защищает многие домашние сети и сети небольших фирм от любопытных. Для того чтобы взломать WEP-сеть, нужно знать, как пользоваться сложными средствами и захватывать распространяющиеся в сети пакеты. Большинство пользователей вряд ли захотят этим заниматься, если только ресурсы сети не окажутся для них очень привлекательными и они не запасутся бесконечным терпением. Использование стандарта802.11 WEP для сетей с малым риском атаки со стороны злоумышленников — это тот минимум, которому должна удовлетворять политика безопасности сети.
Если аппаратное обеспечение беспроводной сети поддерживает какую-либо форму шифрования (например, WPA), позволяющую часто изменять ключи, следует ею воспользоваться. Это более защищенное решение, чем дают статические методы, такие как WEP. Если необходима предельно высокая степень безопасности, помогут такие стандарты шифрования, как AES.
Своевременное обновление встроенного программного обеспечения
Производители часто выпускают "заплаты" для встроенного программного обеспечения базовых станций и радиоплат интерфейса сети, устраняющие часть проблем, связанных с безопасностью. Обновление встроенного программного обеспечения базовых станций следует начинать почти сразу же после его установки. Возьмите за правило периодически проверять все устройства и устанавливать последние версии встроенного программного обеспечения, ликвидирующего все уже известные бреши в системе защиты. Именно поэтому следует удостовериться в том, что вы спо-
собны обновлять встроенное программное обеспечение базовой станции, которую собираетесь приобрести.
Физическая защита базовых станций
Некоторые базовые станции могут возвращаться в состояние, когда их параметры соответствуют заданным по умолчанию и не обеспечивают какой-либо защиты, в результате того, что кто-то нажмет кнопку <Reset>. Это делает такую базовую станцию уязвимой точкой входа. Поэтому следует обеспечить адекватную физическую защищенность аппаратному обеспечению базовых станций.
Например, не следует располагать базовую станцию на общедоступном столе в офисе. Наоборот, ее нужно установить под облицовкой потолка так, чтобы она по возможности была незаметной. Некоторые базовые станции не имеют кнопки <Reset>, но их можно перезапустить с помощью кабеля, подключенного к разъему RS-232, через соединение с консолью. Чтобы воспрепятствовать этому, обеспечьте недоступность физического порта консоли.
Также не следует оставлять базовые станции в пределах досягаемости хакеров, которые могут заменить легитимную защищенную базовую станцию на незащищенную, подставную, к которой может получить доступ любой пользователь. Поэтому неплохая идея — скрывать, насколько это возможно, базовые станции, чтобы хакер не смог так просто их найти. Только не забудьте где-то отметить места расположения беспроводного аппаратного обеспечения, иначе вам самим через некоторое время будет трудно найти его.
На периоды бездействия базовые станции следует делать недоступными. Если это возможно, отключайте базовые станции, которые временно не нужны пользователям. Это сузит "окно возможностей" для хакера. Можно вынимать вилку из розетки электропитания каждой такой станции, но есть возможность использования оборудования, электропитание которого осуществляется через сеть Ethernet; такие базовые станции можно включать и отключать дистанционно.
Использование сильных паролей для базовых станций
Не используйте на базовых станциях пароли, заданные по умолчанию. Пароли по умолчанию хорошо известны, поэтому кто-то сможет с легкостью изменить параметры базовой станции в свою пользу. Вместо них установите пароли, которые трудно отгадать. Неплохо использовать вперемешку символы верхнего и нижнего регистров, а также специальные символы. Не забывайте периодически изменять пароли. Также добейтесь того, чтобы пароли передавались по сети только в зашифрованном виде.
Запрет на передачу SSID в широковещательном режиме
По возможности избегайте применения пользовательских устройств, автоматически наблюдающих за SSID, используемым точкой доступа беспроводной локальной сети. Windows XP и другие средства наблюдения будут автоматически просматривать маячковые фреймы стандарта 802.11, чтобы получить SS1D. Если широковещательный режим передачи SSID отключен, базовая станция не включает SSID во фрейм маячкового сигнала, поэтому большинство средств пассивного наблюдения окажутся бесполезными. Кроме того, Windows XP и применяющие ее пользователине будут знать о существовании беспроводной локальной сети.
Однако отключение механизма широковещательной передачи SSID не считается достаточно надежной мерой, поскольку кто-то может отследить фреймы привязки, посылаемые в соответствии со стандартом 802.11, и узнать SSID. Но отключение механизма широковещательной передачи SSID ограничит доступ.
Ограничение распространения радиоволн
За счет использования направленных антенн можно ограничить распространение радиоволн областью, к которой хакеры не будут иметь физического доступа. Например, сеть проектируется таким образом, что за счет выбора коэффициентов усиления антенн и их ориентации уменьшается "утечка" радиоволн за пределы помещения. Благодаря этому не только оптимизируется уровень сигнала в области действия сети, но и минимизируется возможность для постороннего наблюдателя прослуши-
вать сигналы, передаваемые пользователем, или осуществить взаимодействие с корпоративной сетью через точку доступа.
Использование персональных брандмауэров
Если хакер имеет возможность привязаться к базовой станции, он сможет получить доступ к файлам других пользователей через операционную систему Windows, которая привязана к какой-нибудь точке доступа, включенной в ту же беспроводную локальную сеть. Поэтому очень важно, чтобы все пользователи отменили возможность совместного использования файлов всех папок и применяли персональные брандмауэры. Это особенно важно для пользователей, работающих в общедоступных местах.
Отслеживание конфигураций базовых станций
Используйте средства оперативной поддержки для постоянного наблюдения за сетью и выявления базовых станций, не соответствующих принятым правилам конфигурации. Базовая станция, параметры которой не соответствуют определенным правилам безопасности, скорее всего или перезапущена, или является подставной.
Если обнаружена базовая станция с неправильными параметрами, следует как можно быстрее восстановить нужные. Обязательно шифруйте управляющий трафик, используя для этого секретный вариант простого протокола управления сетью (simplenetworkmanagementprotocol, SNMP). Например, SNMP версии 1.0 пересылает все в открытом виде. Можно также использовать датчики охранной сигнализации, имеющиеся в некоторых средствах оперативной поддержки, для определения присутствия хакеров по незаконным МАС-адресам. Основная идея — поднять тревогу, если замечено что-то подозрительное.