- •А.А. Дабагян, в.А. Машурцев, р.А. Юзбашьянц Компьютерные сети и системы телекоммуникаций
- •Москва 2008 г. Оглавление
- •1. Эволюция компьютерных сетей
- •1.1. История возникновения сетей
- •1.2. Общая характеристика сетей передачи данных
- •1.3. Классификация компьютерных сетей
- •1.4. Классификация сетевых технологий
- •1.5. Обобщенная структура компьютерных сетей
- •1.6. Корпоративные компьютерные сети, Intranet и Extranet
- •1.7. Услуги операторов компьютерных сетей
- •2. Общие принципы построения компьютерных сетей
- •2.1. Аппаратное и программное обеспечение сети
- •2.2. Передача данных по линиям связи
- •2.2.1. Данные, сигналы, среда передачи и линии связи
- •2.3. Кодирование и модуляция
- •2.3.1.Скорость передачи, искажение и затухание сигнала
- •2.3.2. Синхронизация передачи дискретных данных
- •2.3.3. Мультиплексирование
- •2.4. Характеристики физических каналов
- •2.5. Кабельные линии связи, типы кабелей
- •2.5.1. Коаксиальный кабель
- •2.5.2. Витая пара
- •2.5.3. Оптоволоконный кабель
- •2.6. Беспроводная передача данных. Радиоканалы
- •2.7. Аппаратура линий связи
- •2.8. Характеристики линий связи
- •2.8.1. Формула Шеннона
- •3. Сеть из нескольких компьютеров
- •3.1. Топология физических связей
- •3.1.1. Кольцевая топология.
- •3.1.2. Топология Звезда.
- •3.1.3. Топология Общая шина
- •3.2. Оборудование и поддержка сетей
- •3.2.1. Сетевое оборудование
- •3.2.2. Персонал компьютерных сетей и сетевая документация
- •3.3. Коммутация и доступ к разделяемой среде
- •3.3.1. Обобщенная задача коммутации информационных потоков
- •3.3.1.1. Продвижение данных.
- •3.3.1.2. Разделяемая среда передачи данных.
- •3.3.2. Методы коммутации
- •3.3.2.1. Коммутация каналов
- •3.3.2.2. Методы коммутации пакетов
- •3.3.2.3. Режим виртуальных каналов
- •3.4. Структуризация компьютерных сетей.
- •3.4.1. Одноранговая сеть
- •3.4.2. Технология «клиент-сервер»
- •3.4.3. Структуризация сети
- •3.5. Сетевые технологии локальных сетей .5.1. Технология Ethernet
- •3.5.2. Технология Token Ring
- •3.5.3. Технология fddi
- •3.6. Адресация узлов в компьютерной сети
- •3.6.1. Сетевые ip адреса
- •3.6.2. Присваивание адресов в автономной сети
- •3.6.2.1. Организация подсетей
- •3.6.3. Иерархические символьные имена
- •3.7. Службы в локальных сетях
- •3.7.1. Отображение символьных адресов на ip-адреса
- •3.7.2. Автоматизация назначения ip-адресов
- •3.7.2.1. Порядок работы протокола dhcp
- •3.7.3. Отображение физических адресов на ip-адреса
- •3.7.4. СлужбаWins
- •3.7.5. Интернет – службы
- •9. Беспроводные технологии
- •9.1. Особенности беспроводных технологий
- •9.2. Стандарты беспроводных локальных сетей
- •9.3. Режимы работы беспроводной сети
- •9.4. Аутентификация в сети
- •9.5. Обеспечение безопасности
- •9.6. Настройка точки доступа
- •Приложение
- •Глоссарий
- •Список сокращений
- •Литература
9.5. Обеспечение безопасности
Соблюдение правил безопасности является одной из самых важных компонентов поддержки любой беспроводной сети и настройки клиентских компьютеров, а также точки доступа. Дело в том, что излучение точки доступа, которая обеспечивает работу данной сети, в принципе может быть зарегистрировано и использовано любым компьютером, имеющим в составе беспроводной адаптер, который окажется в зоне приема сигналов. Поэтому для обеспечения безопасности такой сети методов аутентификации оказывается совершенно недостаточно. Для того чтобы не допустить посторонних пользователей в свою локальную беспроводную сеть используется также дополнительное шифрование данных. Наиболее распространены в настоящее время три метода шифрования:
Исторически, первым методом является механизм обеспечения безопасности под названием «Эквивалентная проводной конфиденциальность», WEP - это метод шифрования на покадровой основе. Здесь применяется вектор инициализации IV длиной 64 или 128 разрядов в сочетании с секретным ключом, который использует каждая беспроводная станция для генерации псевдослучайной числовой последовательности. Эта последовательность побитно складывается с открытой информацией и, в результате, получается шифрованные данные. Вектор IV обеспечивает шифрование каждого кадра данных независимо от соседних кадров. Он передается в открытом виде сразу за заголовком кадра и используется на клиентском компьютере для расшифровки данных. Недостатки этого метода:
Вектор IV – имеет в лучшем случае 128 разрядов, что для современного состояния развития аппаратного и программного обеспечения техники шифрования слишком мало;
В устанавливаемом программном обеспечении WEP по умолчанию отключен, и по беспечности пользователей, его обычно не включают, что упрощает взлом системы;
Данный метод шифрования относится к группе линейных методов, которые сравнительно легко взламываются (достаточно иметь для анализа около миллиона пакетов).
Для его усиления в настоящее время применяется динамическое изменение секретного ключа с определенной частотой.
Вторым методом, получающим в настоящее время все более широкое распространение, является более продвинутый метод WPA. WPA является современной мощной, основанной на дополнении к стандарту IEEE 802.11i, технологией безопасности для сетей Wi-Fi.
Технология WPA состоит из нескольких компонентов:
протокол 802.1x - универсальный протокол для аутентификации, авторизации и учета (AAA)
протокол EAP - расширяемый протокол аутентификации (Extensible Authentication Protocol);
протокол TKIP - протокол временнОй целостности ключей, иначе называемый - протоколом целостности ключей во времени (Temporal Key Integrity Protocol);
MIC - криптографическая проверка целостности пакетов (Message Integrity Code)
протокол RADIUS, который включает в себя также программное обеспечение, позволяющее точке доступа и рабочим станциям в беспроводной сети провести взаимную аутентификацию и авторизовать их для обмена данными. Протокол RADIUS позволяет хранить все профили в одной центральной базе данных, которой могут пользоваться все точки доступа. Это обеспечивает повышенную надежность и безопасность работы беспроводных сетей. Технология RADIUS в настоящее время является практически стандартом, принятым большинством компаний, производителей беспроводное сетевое оборудование.
За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования - RC4 - что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов, которая является функцией от адреса источника, адреса назначения, а также поля данных.
Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа - так называемый режим WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты тоже довольно безопасен (относительно WEP), но очень не удобен с точки зрения управления. Ключ PSK требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети, что является весьма трудоемкой и ответственной операцией. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.
Третий метод основан на использовании физического (MAC) адреса самого компьютера – участника беспроводной сети. В сетях с использованием такого метода нет необходимости использовать какие-либо пароли, поскольку в ее работе позволено участвовать только компьютерам с зарегистрированным (учтенным) MAC адресом, который также используется для шифровки/дешифровки сообщений внутри сети. Этот метод весьма эффективен с точки зрения безопасности. Недостатком его является необходимость «прописывания» новых компьютеров, добавляемых в состав беспроводной сети, то есть добавления его MAC адреса в перечень разрешенных, что очень неудобно при использовании мобильной техники – ноутбуков или карманных персональных компьютеров.