Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ПАЗИ часть 1 версия 2012.doc
Скачиваний:
61
Добавлен:
12.11.2019
Размер:
4.7 Mб
Скачать

4.5.4 Технологии беспроводных сетей

Беспроводные локальные сети чаще всего организуются на основе радиоволн УКВ-диапазона. Однако инфракрасные и СВЧ-технологии также поддерживают беспроводные сетевые соединения, позволяя пользователям совместно использовать файлы, данные и программы [28-31].

СВЧ-технология, обеспечивает более высокую скорость, чем общеупотребимые радиочастотные диапазоны, и позволяет проникать сквозь стены. Относительная громоздкость продуктов, необходимых для ее использования, и требование приобретения лицензии на использование диапазона, делают этот вариант менее привлекательным.

Инфракрасная технология, также характеризующаяся высокой скоростью, использует инфракрасные передатчики и поддерживает два типа устройств: "лучевые" и "рассеянные". Главный недостаток - высокая стоимости лазеров и их воздействия на здоровье пользователей. Основные преимущества и недостатки всех используемых технологий перечислены в таблице 4.7.

Таблица 4.7 - Сравнение технологий беспроводных сетей

Технология

Преимущества

Недостатки

Радиочастоты УКВ

Технология принята рынком.

Может проходить сквозь стены.

Охватывает большую территорию (радиус до 250 метров)

Не требуется лицензия на использование частоты

Компоненты, как правило, стоят дешевле.

Безопасна

Низкая частота приводит к невысокой скорости.

Возможна интерференция с другими передатчиками, работающими на той же частоте

Микроволновая

Быстрее, чем радиотехнология.

Может проходить сквозь стены.

Интерференция обычно отсутствует из-за лицензирования частот

Развертывание обходится дорого.

Оборудование довольно громоздко.

Лицензирование частот доставляет неудобства пользователям, желающим переместить локальную сеть за пределы той области, на которую получена лицензия

Инфракрасная

Допускает быструю и дальнюю передачу.

Устройства на базе светодиодов могут соперничать по цене с УКВ-устройствами.

В зависимости от характеристик светового луча возможна интерференция

Лазерные инфракрасные передатчики, хотя и обеспечивают пропускную способность 100 Мбит/с и покрывает более трех километров, слишком дороги для использования в коммерческих локальных сетях внутри здания

Не может проходить сквозь стены

Все это выдвигает технологию, основанную на использовании общеупотребимых радиочастот, на ведущие позиции на рынке. Нет необходимости получать лицензии на использование радиопередатчика, да и развернуть ее обойдется намного дешевле.

4.5.5 Защита информации в беспроводных сетях

Шифрованию данных в беспроводных сетях уделяется так много внимания из-за самого характера подобных сетей. Данные передаются беспроводным способом, используя радиоволны, причем в общем случае используются всенаправленные антенны. Таким образом, данные слышат все, не только тот, кому они предназначены. Конечно, расстояния, на которых работают беспроводные сети (без усилителей или направленных антенн), невелики – около 100 метров в идеальных условиях. Стены, деревья и другие препятствия сильно гасят сигнал, но это все равно не решает проблему.

Изначально для защиты использовался лишь SSID (имя сети). Но SSID передается в открытом виде и никто не мешает злоумышленнику его подслушать, а потом подставить в своих настройках нужный. Не говоря уже о том, что (это касается точек доступа) может быть включен широковещательный режим для SSID, т.е. он будет принудительно рассылаться в эфир для всех слушающих.

Поэтому встала нужда именно в шифровании данных. Первым таким стандартом стал WEP – Wired Equivalent Privacy. Шифрование осуществляется с помощью 40 или 104-битного ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе). Сам же ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Драйвера многих производителей позволяют вводить вместо набора ASCII-символов напрямую шестнадцатеричные значения (той же длины). Алгоритмы перевода из ASCII-последовательности символов в шестнадцатеричные значения ключа могут различаться у производителей, поэтому, если в сети используется разнородное беспроводное оборудование и настройка WEP шифрования с использованием ключа-ASCII-фразы никак не удается, необходимо ввести вместо нее ключ в шестнадцатеричном представлении.

Реально шифрование данных происходят с использованием ключа длиной 40 или 104. Но кроме ASCII-фразы (статической составляющей ключа) есть еще такое понятие, как Initialization Vector (IV) – вектор инициализации. Он служит для рандомизации оставшейся части ключа. Вектор выбирается случайным образом и динамически меняется во время работы. В принципе, это разумное решение, так как позволяет ввести случайную составляющую в ключ. Длина вектора равна 24 битам, поэтому общая длина ключа в результате получается равной 64 (40+24) или 128 (104+24) бит.

Используемый алгоритм шифрования (RC4) в настоящее время не является особенно стойким – при большом желании, за относительно небольшое время можно подобрать ключ перебором. Но все же главная уязвимость WEP связана как раз с вектором инициализации. Длина IV составляет всего 24 бита. Это дает примерно 16 миллионов комбинаций – 16 миллионов различных векторов. В реальной работе все возможные варианты ключей будут использованы за промежуток от десяти минут до нескольких часов (для 40-битного ключа). После этого вектора начнут повторяться. Злоумышленнику достаточно набрать достаточное количество пакетов, просто прослушав трафик беспроводной сети, и найти эти повторы. После этого подбор статической составляющей ключа (ASCII-фразы) не занимает много времени.

Многие производители встраивают в софт (или аппаратную часть беспроводных устройств) проверку на подобные вектора, и, если подобные попадаются, они молча отбрасываются, т.е. не участвую в процессе шифрования.

Для увеличения безопасности беспроводных сетей был разработан протокол WPA (Wi-Fi Protected Access — защищенный доступ Wi-Fi). Протокол WPA был призван закрыть слабые места беспроводных сетей, где используется WEP. Спецификация требует, чтобы сетевые элементы были оснащены средствами динамической генерации ключей и использовали усовершенствованную схему шифрования данных RC4 на основе TKIP (Temporal Key Integrity Protocol — протокол краткосрочной целостности ключей). Таким способом удалось повысить защищенность пакетов и обеспечить обратную совместимость с WEP, пусть даже за счет дополнительной нагрузки на сетевые каналы. Кроме того, контрольные криптографические суммы в WPA рассчитываются по новому методу под названием Michael. В каждый кадр 802.11 здесь помещается специальный восьмибайтный код целостности сообщения, проверка которого позволяет отражать атаки с применением подложных пакетов.

Все устройства с поддержкой WPA производят обязательную аутентификацию 802.1х посредством протокола EAP (Extensible Authentication Protocol — расширенный протокол аутентификации). При этом применяется сервер RADIUS (Remote Authentication Dial-In User Service — служба дистанционной аутентификации пользователей по коммутируемым линиям) либо предварительно заданный общий ключ.

Аутентификация 802.1х основана на клиент-серверной архитектуре и использует три элемента: клиентский запросчик (client supplicant), аутентификатор и сервер аутентификации. Широкому применению этой технологии в корпоративных беспроводных ЛВС способствуют реализованная в ней модель централизованного управления безопасностью и возможность интеграции с действующими схемами корпоративной аутентификации.

Большинству организаций для использования WPA будет достаточно установить новые микропрограммы и клиенты, интегрировав их со своими системами аутентификации. Компаниям же малого и среднего бизнеса, которые обходятся без сервера аутентификации, придется предварительно инсталлировать общий ключ на каждом клиенте и точке доступа. WPA уже находит поддержку и в операционных системах.

Не так давно вышел новый стандарт 802.11i, направленный на повышение безопасности беспроводных сетей: он предполагает применение шифрования AES (Advanced Encryption Standard) с длиной ключа 128, 192 или 256 бит и применяется с устройствами стандартов 802.11b и 802.11g.

Стандарт 802.11i, предназначенный для обеспечения информационной безопасности БЛВС крупных предприятий и небольших офисов, задуман с целью усовершенствования защитных функций стандарта 802.11. Вместе с тем этот стандарт, предусматривающий шифрование данных и контроль их целостности, отличается повышенной сложностью реализации и может оказаться несовместимым с уже существующим беспроводным оборудованием.

В защитном стандарте 802.11i предусмотрена промежуточная спецификация на так называемую переходную защищенную сеть — Transitional Security Network (TSN), в которой допускается возможность одновременного использования решений RSN и устаревших систем WEP. Однако при этом беспроводная сеть будет защищена не столь хорошо.

Определенный по умолчанию в стандарте IEEE 802.11i механизм обеспечения конфиденциальности данных основан на блочном шифре стандарта AES. Использующий его защитный протокол получил название Counter-Mode CBC MAC Protocol, или CCMP. На нижних уровнях модели OSI, где происходят шифрование и расшифровка передаваемых данных AES использует три временных ключа шифрования. AES (Advanced Encryption Standard — усовершенствованный стандарт шифрования) отличается от включенной в WEP реализации RC4 гораздо более стойким криптоалгоритмом, однако предъявляет повышенные требования к пропускной способности каналов связи, поэтому переход на новый стандарт потребует и модернизации сетевой аппаратуры. К тому же у AES отсутствует обратная совместимость с нынешним оборудованием WPA и WEP.

Чтобы корпоративные точки доступа работали в системе сетевой безопасности стандарта 802.11i, они должны поддерживать аутентификацию пользователей по протоколу RADIUS и иметь возможность быстро осуществлять повторную аутентификацию пользователей после разрыва соединения с сетью. Это особенно важно для нормального функционирования приложений, работающих в реальном масштабе времени (например, средств передачи речи по БЛВС).

Если сервер RADIUS, применяемый для контроля доступа пользователей проводной сети, поддерживает нужные методы аутентификации EAP, то его можно задействовать и для аутентификации пользователей беспроводной сети. В противном случае стоит установить сервер WLAN RADIUS, который будет взаимодействовать с имеющимся сервером RADIUS в качестве сервера-посредника. Сервер WLAN RADIUS работает следующим образом: сначала он проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей базы данных об их идентификаторах и паролях) или его цифровой сертификат, а затем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи. В стандарте IEEE 802.11i применение каких-либо конкретных методов аутентификации EAP не оговаривается. Выбор метода аутентификации EAP определяется спецификой работы клиентских приложений и архитектурой сети.

Новый стандарт приобрел несколько относительно малоизвестных свойств. Одно из них - key-caching - незаметно для пользователя записывает информацию о нем, позволяя при выходе из зоны действия беспроводной сети и последующем возвращении в нее не вводить всю информацию о себе заново.

Второе нововведение - пре-аутентификация. Суть ее в следующем: из точки доступа, к которой в настоящее время подключен пользователь, пакет пре-аутентификации направляется в другую точку доступа, обеспечивая этому пользователю предварительную аутентификацию еще до его регистрации на новой точке и тем самым сокращая время авторизации при перемещении между точками доступа.

Чтобы ноутбуки и карманные ПК работали в системе сетевой безопасности стандарта 802.11i, они должны быть оснащены клиентскими программами, поддерживающими стандарт 802.1x. Фирма Cisco включила ее в свою утилиту Aironet Client Utility. Компания Microsoft предусмотрела наличие поддержки стандарта 802.1x в ОС Windows XP, Vista, Seven. К сожалению, эти клиентские программы, заранее включаемые в ОС и в другие средства, как правило, поддерживают не все методы аутентификации EAP, таблица 4.8

Таблица 4.8 - Стандарты шифрования данных.

Стандарт

Средства обеспечения безопасности

Достоинства

Недостатки

WEP

Шифрование RC4, статичные ключи, аутентификация 802.1х – по делания пользователя

Хоть какая-то защита; поддержка WEP в большинстве устройств 802.11

Слишком много брешей для использования в корпоративной среде; для защиты беспроводных ЛВС часто используют дополнительные средства наподобие виртуальных частных сетей

WPA

TKIP, динамичны лючи, Michael, обязательная аутентификация 802.1х (EAP и RADIUS либо предустановленный общий ключ)

Обратная совместимость с WEP; возможность интеграции в существующие беспроводные сети потеем простого обновления микропрограмм.

Временное решение проблемы на переходный период до утверждения более надежного стандарта 802.11i.

802,11i

Шифрование AES, CCMP, WRAP, управление ключами 802,11i, аутентификация 802.1х.

Более стойкое, чем WEB шифрование; надежная схема управления ключами

Необходимость нового оборудования и наборов микросхем; несовместимость со старым оборудование Wi-Fi