Bezdrôtové zabezpečenie

Tento článok sa zameriava na otázku zabezpečenia používania bezdrôtových sietí WiFi.

Úvod - Zraniteľnosť WiFi

Hlavným dôvodom zraniteľnosti používateľských údajov pri prenose týchto údajov cez WiFi siete je, že výmena prebieha cez rádiové vlny. A to umožňuje zachytiť správy na akomkoľvek mieste, kde je signál WiFi fyzicky dostupný. Zjednodušene povedané, ak je možné zachytiť signál prístupového bodu na vzdialenosť 50 metrov, potom je možné zachytiť všetku sieťovú prevádzku tejto WiFi siete v okruhu 50 metrov od prístupového bodu. V susednej miestnosti, na inom poschodí budovy, na ulici.

Predstavte si tento obrázok. V kancelárii je lokálna sieť vybudovaná cez WiFi. Signál z prístupového bodu tohto úradu je snímaný mimo budovy, napríklad na parkovisku. Útočník mimo budovy môže získať prístup do kancelárskej siete, teda bez povšimnutia vlastníkov tejto siete. K WiFi sieťam sa dostanete jednoducho a neviditeľne. Technicky oveľa jednoduchšie ako káblové siete.

Áno. Doteraz boli vyvinuté a implementované prostriedky na ochranu WiFi sietí. Táto ochrana je založená na šifrovaní celej prevádzky medzi prístupovým bodom a koncovým zariadením, ktoré je k nemu pripojené. To znamená, že útočník môže zachytiť rádiový signál, ale pre neho to bude len digitálny „smetí“.

Ako funguje ochrana WiFi?

Prístupový bod obsahuje vo svojej WiFi sieti iba zariadenie, ktoré odošle správne (špecifikované v nastaveniach prístupového bodu) heslo. V tomto prípade sa heslo posiela aj zašifrované, vo forme hashu. Hash je výsledkom nezvratného šifrovania. To znamená, že údaje, ktoré sú preložené do hash, nemožno dešifrovať. Ak útočník zachytí hash hesla, nebude môcť heslo získať.

Ako však prístupový bod vie, či je heslo správne alebo nie? Ak dostane aj hash, ale nedokáže ho dešifrovať? Všetko je jednoduché - v nastaveniach prístupového bodu je heslo špecifikované v čistej forme. Autorizačný program vezme čisté heslo, vytvorí z neho hash a potom tento hash porovná s tým, ktorý dostal od klienta. Ak sa hash zhoduje, potom má klient správne heslo. Používa sa tu druhá vlastnosť hashov – sú jedinečné. Rovnaký hash nemožno získať z dvoch rôznych súborov údajov (hesiel). Ak sa dva hash zhodujú, potom sú oba vytvorené z rovnakého súboru údajov.

Mimochodom. Vďaka tejto funkcii sa na kontrolu integrity údajov používajú hash. Ak sa dva hashe (vytvorené s časovým intervalom) zhodujú, pôvodné údaje (počas tohto časového intervalu) sa nezmenili.

Hoci je však najmodernejší spôsob zabezpečenia WiFi siete (WPA2) spoľahlivý, je možné túto sieť hacknúť. ako?

Existujú dva spôsoby prístupu k zabezpečenej sieti WPA2:

1. Útoky hrubou silou s heslom (tzv. slovníkové útoky hrubou silou).
2. Využitie zraniteľnosti vo funkcii WPS.

V prvom prípade útočník zachytí hash hesla pre prístupový bod. Potom sa vykoná porovnanie hash v databáze obsahujúcej tisíce alebo milióny slov. Slovo sa vyberie zo slovníka, vygeneruje sa hash pre toto slovo a potom sa tento hash porovná s hashom, ktorý bol zachytený. Ak sa na prístupovom bode používa primitívne heslo, potom je prelomenie hesla, tohto prístupového bodu, otázkou času. Napríklad 8-miestne heslo (8 znakov je minimálna dĺžka hesla pre WPA2) predstavuje jeden milión kombinácií. Na modernom počítači je možné spočítať milión hodnôt za niekoľko dní alebo dokonca hodín.

V druhom prípade je v prvých verziách funkcie WPS zneužitá zraniteľnosť. Táto funkcia vám umožňuje pripojiť zariadenie k prístupovému bodu, kde nemôžete zadať heslo, ako je napríklad tlačiareň. Pri použití tejto funkcie si zariadenie a prístupový bod vymenia digitálny kód a ak zariadenie odošle správny kód, prístupový bod klienta autorizuje. V tejto funkcii sa vyskytla chyba zabezpečenia - kód mal 8 číslic, ale jedinečnosť bola kontrolovaná iba pri štyroch z nich! To znamená, že na hacknutie WPS musíte vymenovať všetky hodnoty, ktoré dávajú 4 číslice. Výsledkom je, že hacknutie prístupového bodu cez WPS je možné vykonať doslova za pár hodín na akomkoľvek najslabšom zariadení.

Nastavenie zabezpečenia WiFi

Bezpečnosť WiFi siete je určená nastavením prístupového bodu. Niektoré z týchto nastavení priamo ovplyvňujú bezpečnosť siete.

Režim prístupu k sieti WiFi

Prístupový bod môže pracovať v jednom z dvoch režimov – otvorený alebo chránený. V prípade otvoreného prístupu sa k prístupovému bodu môže pripojiť akékoľvek zariadenie. V prípade zabezpečeného prístupu je pripojené iba zariadenie, ktoré prenáša správne prístupové heslo.

Existujú tri typy (štandardy) na ochranu sietí WiFi:

• WEP (Wired Equivalent Privacy)... Úplne prvý štandard ochrany. Dnes v skutočnosti neposkytuje ochranu, pretože je veľmi ľahké hacknúť kvôli slabosti obranných mechanizmov.
• WPA (chránený prístup Wi-Fi)... Chronologicky druhý štandard ochrany. V čase vzniku a uvedenia do prevádzky poskytoval efektívnu ochranu WiFi sietí. Koncom 21. storočia sa však našli príležitosti na prelomenie zabezpečenia WPA prostredníctvom zraniteľností v bezpečnostných mechanizmoch.
• WPA2 (chránený prístup Wi-Fi)... Najnovší štandard ochrany. Poskytuje spoľahlivú ochranu pri dodržiavaní určitých pravidiel. K dnešnému dňu sú známe iba dva spôsoby, ako prelomiť ochranu WPA2. Hľadanie hesla v slovníku a riešenie prostredníctvom služby WPS.

Preto, aby ste zaistili bezpečnosť WiFi siete, musíte zvoliť typ zabezpečenia WPA2. Nie všetky klientske zariadenia ho však môžu podporovať. Napríklad Windows XP SP2 podporuje iba WPA.

Okrem výberu štandardu WPA2 sú potrebné ďalšie podmienky:

Použite metódu šifrovania AES.

Heslo pre prístup k WiFi sieti musí byť zložené takto:

1. Použite písmen a číslic v hesle. Ľubovoľná množina písmen a číslic. Alebo veľmi vzácne slovo alebo fráza, ktoré má význam len pre vás.
2. nie používajte jednoduché heslá ako meno + dátum narodenia, alebo nejaké slovo + pár číslic napr lena1991 alebo dom12345.
3. Ak je potrebné použiť iba digitálne heslo, jeho dĺžka musí byť aspoň 10 znakov. Pretože osemmiestne digitálne heslo je hrubou silou v reálnom čase (od niekoľkých hodín až po niekoľko dní, v závislosti od výkonu počítača).

Ak používate zložité heslá v súlade s týmito pravidlami, vaša WiFi sieť nebude môcť byť napadnutá uhádnutím hesla pomocou slovníka. Napríklad pre heslo ako 5Fb9pE2a(ľubovoľné alfanumerické), maximálne možné 218340105584896 kombinácie. Dnes je takmer nemožné vyrovnať sa. Aj keď počítač porovnáva 1 000 000 (milión) slov za sekundu, bude trvať takmer 7 rokov, kým sa všetky hodnoty prepočítajú.

WPS (Wi-Fi Protected Setup)

Ak má váš prístupový bod chránené nastavenie Wi-Fi (WPS), musíte ho vypnúť. Ak je táto funkcia potrebná, musíte sa uistiť, že jej verzia je aktualizovaná na nasledujúce funkcie:

1. Použitie všetkých 8 symbolov PIN kódu namiesto 4, ako to bolo na začiatku.
2. Povolenie oneskorenia po niekoľkých pokusoch o prenos nesprávneho PIN kódu od klienta.

Ďalšou príležitosťou na zlepšenie zabezpečenia WPS je použitie alfanumerického kódu PIN.

Bezpečnosť verejných WiFi sietí

Dnes je v móde využívať internet cez WiFi siete na verejných miestach – v kaviarňach, reštauráciách, obchodných centrách a pod. Je dôležité pochopiť, že používanie takýchto sietí môže viesť ku krádeži vašich osobných údajov. Ak cez takúto sieť vstúpite na internet a následne autorizujete na ľubovoľnej stránke, potom vaše údaje (login a heslo) môže zachytiť iná osoba, ktorá je pripojená k rovnakej WiFi sieti. Na akomkoľvek zariadení, ktoré prešlo autorizáciou a je pripojené k prístupovému bodu, môžete zachytiť sieťovú prevádzku zo všetkých ostatných zariadení v tejto sieti. A zvláštnosťou verejných WiFi sietí je, že sa k nej môže pripojiť ktokoľvek, vrátane útočníka, a to nielen do otvorenej siete, ale aj do chránenej.

Čo môžete urobiť pre ochranu vašich dát pri pripojení na internet cez verejnú WiFi sieť? Existuje len jedna možnosť – použiť protokol HTTPS. Tento protokol vytvára šifrované spojenie medzi klientom (prehliadačom) a stránkou. Nie všetky stránky však podporujú protokol HTTPS. Adresy na stránkach, ktoré podporujú HTTPS, začínajú predponou https: //. Ak adresy na stránke majú predponu http: //, znamená to, že stránka nepodporuje HTTPS alebo sa nepoužíva.

Niektoré stránky štandardne nepoužívajú HTTPS, ale majú tento protokol a môžete ho použiť, ak explicitne (manuálne) zadáte predponu https: //.

Pre iné prípady použitia, ako sú internetové chaty, skype atď., možno na ochranu týchto údajov použiť bezplatné alebo platené servery VPN. To znamená, že sa najprv pripojte k serveru VPN a až potom použite chat alebo otvorenú stránku.

Ochrana WiFi heslom

V druhej a tretej časti tohto článku som napísal, že v prípade použitia bezpečnostného štandardu WPA2 je jedným zo spôsobov hacknutia WiFi siete uhádnutie hesla pomocou slovníka. Pre votrelca však existuje ďalší spôsob, ako získať heslo pre vašu WiFi sieť. Ak si heslo uložíte na nálepku nalepenú na monitore, toto heslo bude môcť vidieť aj cudzia osoba. Vaše heslo môže byť tiež odcudzené z počítača, ktorý je pripojený k vašej WiFi sieti. Cudzinec to môže urobiť, ak vaše počítače nie sú chránené pred neoprávneným prístupom. Dá sa to urobiť pomocou malvéru. Okrem toho môže byť heslo odcudzené zo zariadenia, ktoré sa odoberá mimo kancelárie (domov, byt) - zo smartfónu, tabletu.

Ak teda potrebujete spoľahlivú ochranu svojej siete WiFi, musíte podniknúť kroky na bezpečné uloženie hesla. Chráňte ho pred neoprávneným prístupom.

Ak sa vám tento článok zdal užitočný alebo sa vám len páčil, potom neváhajte – podporte autora finančne. To sa dá ľahko urobiť vyhodením peňazí Peňaženka Yandex č. 410011416229354... Alebo na telefóne +7 918-16-26-331 .

Aj malá čiastka vám môže pomôcť napísať nové články :)

Obavy o bezpečnosť bezdrôtových sietí, opísané v mnohých článkoch, vyvolali nedôveru v bezdrôtovú technológiu. Nakoľko je to opodstatnené?

Prečo sú bezdrôtové siete považované za zraniteľnejšie ako káblové siete? V káblových sieťach je možné dáta zachytiť len vtedy, ak útočník získa fyzický prístup k prenosovému médiu. V bezdrôtových sieťach sa signál šíri vzduchom, takže ktokoľvek v dosahu siete môže signál zachytiť.

Útočník sa ani nemusí zdržiavať na území firmy, stačí sa dostať do zóny šírenia rádiového signálu.

Hrozby pre bezdrôtové siete

Keď sa pripravujete na zabezpečenie svojich bezdrôtových sietí, prvým krokom je identifikovať, čo by ich mohlo ohrozovať.

Pasívny útok

Zachytávanie bezdrôtových signálov je podobné počúvaniu rozhlasového vysielania. Stačí mať notebook (alebo PDA) a bezdrôtový analyzátor protokolov. Je bežnou mylnou predstavou, že neoprávnenému bezdrôtovému pripojeniu mimo kancelárie možno zabrániť monitorovaním výstupu signálu. Nie je to tak, pretože použitie bezdrôtovej karty so zvýšenou citlivosťou a smerovou anténou útočníkom umožňuje ľahko prekonať toto opatrenie.

Aj keď sa zníži pravdepodobnosť neoprávneného pripojenia k sieti, nemali by ste ignorovať možnosť „odpočúvania“ prevádzky, preto je pre bezpečnú prevádzku v bezdrôtových sieťach potrebné šifrovať prenášané informácie.

Aktívny útok

Pripojenie nezabezpečenej bezdrôtovej siete ku káblovej sieti je nebezpečné. Nezabezpečený prístupový bod pripojený k lokálnej sieti je dokorán otvorenými dverami pre narušiteľov. Pre podniky to môže viesť k tomu, že konkurenti získajú prístup k dôverným dokumentom. Nezabezpečené bezdrôtové siete umožňujú hackerom obísť brány firewall a bezpečnostné nastavenia, ktoré chránia sieť pred útokmi cez internet. V domácich sieťach môžu útočníci získať bezplatný prístup na internet na úkor svojich susedov.

Mali by ste monitorovať a identifikovať nečestné prístupové body, ktoré sú k sieti pripojené neoprávnene. Takéto body spravidla stanovujú samotní zamestnanci podniku. (Napríklad manažér predaja získal bezdrôtový prístupový bod a používa ho na to, aby zostal neustále pripojený.) Útočník by mohol úmyselne pripojiť takýto prístupový bod k sieti, aby získal prístup do siete spoločnosti mimo kancelárie.

Majte na pamäti, že zraniteľné sú počítače, ktoré sú pripojené k bezdrôtovej sieti, ako aj tie, ktoré majú bezdrôtovú kartu povolenú s predvolenými nastaveniami (zvyčajne neblokuje prienik cez bezdrôtovú sieť). Napríklad, kým používateľ čakajúci na let prechádza internetom cez Wi-Fi sieť rozmiestnenú na letisku, hacker sediaci v blízkosti skúma informácie uložené v počítači mobilného zamestnanca. Podobným útokom môžu byť vystavení aj používatelia pracujúci prostredníctvom bezdrôtových sietí v kaviarňach, výstavných centrách, hotelových halách atď.

Vyhľadajte dostupné bezdrôtové siete

Na aktívne vyhľadávanie zraniteľných bezdrôtových sietí (War driving) sa zvyčajne používa auto a súprava bezdrôtových zariadení: malá anténa, bezdrôtová sieťová karta, notebook a prípadne prijímač GPS. Pomocou široko používaných skenerov, ako je Netstumbler, môžete ľahko nájsť oblasti príjmu vašich bezdrôtových sietí.

Fanúšikovia War Drivingu majú mnoho spôsobov, ako si vymieňať informácie. Jeden z nich (War Chalking) zahŕňa aplikáciu symbolov na diagramy a mapy označujúce zistené bezdrôtové siete. Tieto označenia obsahujú informácie o veľkosti rádiového signálu, prítomnosti jedného alebo druhého typu ochrany siete a možnosti prístupu na internet. Fanúšikovia takýchto „športov“ si vymieňajú informácie prostredníctvom internetových stránok, „zverejňujú“ najmä podrobné mapy s polohou objavených sietí. Mimochodom, je užitočné skontrolovať, či tam nie je vaša adresa.

Odmietnutie služby

Voľný prístup na internet alebo firemnú sieť nie je vždy cieľom kyberzločincov. Niekedy môže byť úlohou hackerov vypnúť bezdrôtovú sieť.

Útok odmietnutia služby možno dosiahnuť niekoľkými spôsobmi. Ak sa hackerovi podarí nadviazať spojenie s bezdrôtovou sieťou, jeho zákerná aktivita môže mať množstvo vážnych následkov, napríklad odoslanie odpovedí na požiadavky protokolu Address Resolution Protocol (ARP) na úpravu tabuliek ARP sieťových zariadení s cieľom narušiť smerovanie. v sieti alebo vloženie neautorizovaného servera DHCP (Dynamic Host Configuration Protocol) na vydanie nefunkčných adries a sieťových masiek. Ak hacker zistí podrobnosti o nastaveniach bezdrôtovej siete, bude môcť znova pripojiť používateľov k svojmu prístupovému bodu (pozri obrázok) a ten bude odrezaný od sieťových zdrojov, ktoré boli dostupné prostredníctvom „legitímneho“ prístupového bodu. .

Zavedenie neoprávneného prístupového bodu.

Útočník môže tiež blokovať frekvencie používané bezdrôtovými sieťami pomocou generátora signálu (ktorý môže byť vyrobený z častí mikrovlnnej rúry). V dôsledku toho zlyhá celá bezdrôtová sieť alebo jej časť.

Bezpečnostné opatrenia v štandardoch IEEE 802.11

Pôvodný štandard 802.11 vyžaduje Wired Equivalent Privacy (WEP) na zabezpečenie bezdrôtových sietí. Bezdrôtové siete využívajúce WEP vyžadujú konfiguráciu statického kľúča WEP na prístupových bodoch a všetkých staniciach. Tento kľúč možno použiť na autentifikáciu a šifrovanie údajov. Ak dôjde k jeho kompromitácii (napríklad pri strate notebooku), je potrebné zmeniť kľúč na všetkých zariadeniach, čo je niekedy veľmi náročné. Pri použití kľúčov WEP na overenie odosielajú bezdrôtové stanice požiadavku na prístupový bod a ako odpoveď dostanú výzvu vo forme čistého textu. Klient ju musí zašifrovať pomocou vlastného kľúča WEP a vrátiť ju prístupovému bodu, ktorý správu dešifruje pomocou vlastného kľúča WEP. Ak sa dešifrovaná správa zhoduje s originálom, znamená to, že klient pozná kľúč WEP. Preto sa autentifikácia považuje za úspešnú a klientovi sa odošle notifikácia.

Po úspešnom dokončení overenia a priradenia môže bezdrôtové zariadenie použiť kľúč WEP na šifrovanie prenosu medzi zariadením a prístupovým bodom.

Štandard 802.11 definuje aj ďalšie mechanizmy kontroly prístupu. Prístupový bod môže použiť filtrovanie Media Access Control (MAC) na udelenie alebo odmietnutie prístupu na základe MAC adresy klienta. Táto metóda to sťažuje, ale nezabráni pripojeniu neoprávnených zariadení.

Ako bezpečné je WEP?

Jedno z pravidiel kryptografie hovorí: Ak máte čistý text a jeho zašifrovanú verziu, môžete určiť použitú metódu šifrovania. To platí najmä pri použití slabých šifrovacích algoritmov a symetrických kľúčov, ako napríklad WEP.

Tento protokol používa na šifrovanie algoritmus RC4. Jeho slabinou je, že ak zašifrujete známy otvorený text, výstupom bude kľúčový prúd, ktorý bol použitý na šifrovanie údajov. Podľa štandardu 802.11 sa tok kľúčov skladá z kľúča WEP a 24-bitového inicializačného vektora. Pre každý paket sa použije nasledujúci vektor, ktorý sa pošle s paketom ako čistý text, aby ho prijímajúca stanica mohla použiť v spojení s kľúčom WEP na dešifrovanie paketu.

Ak prijmete jeden tok kľúčov, môžete dešifrovať akýkoľvek paket zašifrovaný rovnakým vektorom. Pretože sa vektor mení pre každý paket, na dešifrovanie musíte počkať na ďalší paket s použitím rovnakého vektora. Aby bolo možné dešifrovať WEP, musí byť zostavená kompletná sada vektorov a tokov kľúčov. Nástroje na krakovanie WEP fungujú týmto spôsobom.

Čistý a šifrovaný text je možné získať počas procesu autentifikácie klienta. Zachytením prevádzky na určitý čas môžete zhromaždiť potrebné množstvo počiatočných údajov na vykonanie útoku. Hackeri používajú mnoho ďalších metód na zhromažďovanie údajov, ktoré potrebujú na analýzu, vrátane útokov typu „muži uprostred“.

Pri rozhodovaní o formáte rámca pre bezdrôtové siete navrhlo IEEE svoj vlastný formát s názvom Subnetwork Address Protocol (SNAP).

Dva bajty nasledujúce po hlavičke MAC v rámci 802.11 SNAP sú vždy „AA AA“. WEP šifruje všetky bajty nasledujúce po hlavičke MAC, takže prvé dva zašifrované bajty vždy poznajú čistý text ("AA AA"). Táto cesta poskytuje možnosť prijímať fragmenty zašifrovanej a otvorenej správy.

Pomôcky na prelomenie WEP sú distribuované bezplatne na internete. Najznámejšie z nich sú AirSnort a WEPCrack. Na úspešné prelomenie kľúča WEP s ich pomocou stačí vytočiť 100 tisíc až 1 milión paketov. Nové nástroje Aircrack a Weplab na prelomenie kľúčov WEP poskytujú efektívnejší algoritmus, ktorý vyžaduje výrazne menej paketov. Z tohto dôvodu je WEP nespoľahlivý.

Bezdrôtová technológia je čoraz bezpečnejšia

Mnoho spoločností dnes používa pohodlné a bezpečné bezdrôtové siete. Štandard 802.11i posunul bezpečnosť na úplne novú úroveň a po preskúmaní zraniteľnosti WEP bola vytvorená pracovná skupina IEEE 802.11i, ktorej úlohou je vytvoriť nový štandard zabezpečenia bezdrôtovej siete. Vývoj trval nejaký čas, takže väčšina výrobcov zariadení bez toho, aby čakala na vydanie nového štandardu, začala ponúkať svoje metódy (pozri. ). V roku 2004 sa objavil nový štandard, avšak dodávatelia zotrvačných zariadení naďalej využívajú staré riešenia.

802.11i špecifikuje použitie Advanced Encryption Standard (AES) namiesto WEP. Srdcom AES je implementácia Rendelovho algoritmu, ktorý väčšina kryptoanalytikov považuje za robustný. Tento algoritmus je výrazne lepší ako jeho slabý predchodca RC4, ktorý sa používa vo WEP: používa kľúče 128, 192 a 256 bitov namiesto 64 bitov používaných v pôvodnom štandarde 802.11. Nový štandard 802.11i tiež definuje použitie TKIP, CCMP a 802.1x / EAP.

EAP-MD5 overí používateľa overením hesla. Použitie šifrovania prevádzky je ponechané na milosť správcu siete. Slabinou EAP-MD5 je, že nevyžaduje šifrovanie, takže EAP-MD5 umožňuje útok „muži uprostred“.

Ľahký EAP (LEAP), vyvinutý spoločnosťou Cisco, nielen šifruje dáta, ale aj rotuje kľúče. LEAP nevyžaduje, aby mal klient kľúče, pretože sú bezpečne odoslané po overení používateľa. Používatelia sa tak môžu jednoducho pripojiť k sieti pomocou účtu a hesla.

Skoré implementácie LEAP poskytovali iba jednosmernú autentifikáciu používateľa. Cisco neskôr pridalo možnosť vzájomnej autentifikácie. Zistilo sa však, že LEAP je zraniteľný voči slovníkovým útokom. Joshua Wright, zamestnanec Amerického inštitútu pre správu systému, telekomunikácie a bezpečnosť (SANS), vyvinul pomôcku ASLEAP, ktorá vykonáva takýto útok, po ktorom spoločnosť Cisco odporučila používať silné heslá s najmenej ôsmimi znakmi vrátane špeciálnych znakov, veľkých a malých písmen. , a čísla. LEAP je bezpečný, pokiaľ je heslo odolné voči pokusom o hrubú silu.

Spoločnosť Microsoft vyvinula silnejšiu implementáciu EAP, EAP-TLS, ktorá využíva predinštalované digitálne certifikáty na klientovi a serveri. Táto metóda poskytuje vzájomnú autentifikáciu a spolieha sa nielen na heslo používateľa, ale podporuje aj rotáciu a dynamickú distribúciu kľúčov. Nevýhodou EAP-TLS je nutnosť inštalovať certifikát na každého klienta, čo môže byť dosť zdĺhavé a drahé. Okrem toho je táto metóda nepraktická na použitie v sieti, kde sa zamestnanci často menia.

Výrobcovia bezdrôtových sietí presadzujú riešenia, ktoré uľahčia autorizovaným používateľom pripojenie k bezdrôtovým sieťam. Tento nápad je realizovateľný, ak povolíte LEAP a distribuujete používateľské mená a heslá. Ak však bude potrebné použiť digitálny certifikát alebo zadať dlhý kľúč WEP, tento proces sa môže stať únavným.

Microsoft, Cisco a RSA sa spojili pri vývoji nového protokolu PEAP, ktorý spája jednoduchosť použitia LEAP s bezpečnosťou EAP-TLS. PEAP používa certifikát nainštalovaný na serveri a overenie hesla pre klientov. Podobné riešenie - EAP-TTLS - vydal Funk Software.

Rôzni výrobcovia podporujú rôzne typy EAP, ako aj viacero typov súčasne. Proces EAP je rovnaký pre všetky typy.

Typické operácie EAP

Čo je WPA

Keď boli bezdrôtové siete vyhlásené za nebezpečné, výrobcovia začali implementovať svoje vlastné bezpečnostné riešenia. Spoločnosť tak mala na výber: použiť riešenie od jedného výrobcu alebo počkať na vydanie štandardu 802.11i. Dátum prijatia štandardu bol neznámy, takže aliancia Wi-Fi vznikla v roku 1999. Jeho cieľom bolo zjednotiť interoperabilitu produktov bezdrôtových sietí.

Wi-Fi Alliance schválila protokol WPA (Wireless Protected Access) ako dočasné riešenie do vydania štandardu 802.11i. WPA používa štandardy TKIP a 802.1x/EAP. Akékoľvek Wi-Fi zariadenie certifikované pre kompatibilitu WPA musí fungovať v spojení s iným certifikovaným zariadením. Predajcovia môžu používať svoje vlastné bezpečnostné mechanizmy, no aj tak musia zahŕňať podporu štandardov Wi-Fi.

Po úvodnom oznámení možností 802.11i vytvorila Wi-Fi Alliance štandard WPA2. Každé zariadenie, ktoré má certifikáciu WPA2, je plne kompatibilné so štandardom 802.11i. Ak vaša podniková bezdrôtová sieť nepodporuje 802.11i, čo najskôr migrujte na 802.11i, aby ste zaistili primeranú bezpečnosť.

Čo je filtrovanie MAC adries?

Ak WEP nie je bezpečné, môže filtrovanie Media Access Control (MAC) chrániť bezdrôtovú sieť? Bohužiaľ, filtre MAC adries sú navrhnuté tak, aby zabránili neoprávnenému pripojeniu, sú bezmocné proti odpočúvaniu prevádzky.

Filtrovanie MAC adries nemá významný vplyv na bezpečnosť bezdrôtových sietí. Od útočníka to vyžaduje iba jednu ďalšiu akciu: zistiť povolenú MAC adresu. (Mimochodom, väčšina ovládačov sieťových kariet vám to umožňuje zmeniť.)

Aké ľahké je zistiť povolenú MAC adresu? Na získanie funkčných MAC adries stačí nejaký čas monitorovať bezdrôtovú prevádzku pomocou analyzátora protokolov. MAC adresy môžu byť zachytené, aj keď je prevádzka šifrovaná, pretože hlavička paketu, ktorá obsahuje takúto adresu, sa prenáša ako čistý text.

Protokol TKIP

Protokol Temporal Key Integrity Protocol (TKIP) je navrhnutý tak, aby riešil nedostatky WEP. TKIP zlepšuje zabezpečenie WEP prostredníctvom rotácie kľúčov, dlhších inicializačných vektorov a kontroly integrity údajov.

Softvér na prelomenie WEP využíva slabinu statických kľúčov: po zachytení potrebného počtu paketov uľahčujú dešifrovanie prevádzky. Pravidelné opätovné kľúčovanie zabraňuje tomuto typu útoku. TKIP dynamicky mení kľúče každých 10 000 paketov. Neskoršie implementácie protokolu umožňujú zmenu intervalu rotácie kľúča a dokonca aj nastavenie algoritmu na zmenu šifrovacieho kľúča pre každý dátový paket (Per-Packet Keying, PPK).

Šifrovací kľúč používaný v TKIP je bezpečnejší ako kľúče WEP. Pozostáva zo 128-bitového dynamického kľúča, ku ktorému je pridaná MAC adresa stanice a 48-bitový inicializačný vektor (dvojnásobok dĺžky pôvodného vektora 802.11). Táto technika je známa ako „miešanie kľúčov“ a poskytuje záruku, že žiadne dve stanice nepoužívajú rovnaký kľúč.

Protokol má tiež zabudovanú metódu zaručenej integrity údajov (Message Integrity Cheek, MIC, nazývaná aj Michael).

Ak chcete zabezpečiť svoju sieť Wi-Fi a nastaviť heslo, nezabudnite vybrať typ zabezpečenia bezdrôtovej siete a metódu šifrovania. A v tejto fáze majú mnohí otázku: ktorý si vybrať? WEP, WPA alebo WPA2? Osobný alebo podnikový? AES alebo TKIP? Aké nastavenia zabezpečenia najlepšie ochránia vašu sieť Wi-Fi? Na všetky tieto otázky sa pokúsim odpovedať v rámci tohto článku. Zvážme všetky možné spôsoby overovania a šifrovania. Poďme zistiť, ktoré parametre zabezpečenia siete Wi-Fi sú najlepšie nastavené v nastaveniach smerovača.

Všimnite si, že typ zabezpečenia alebo autentifikácie, sieťová autentifikácia, bezpečnosť, metóda autentifikácie sú rovnaké.

Typ autentifikácie a šifrovanie sú základné nastavenia pre zabezpečenie bezdrôtovej Wi-Fi siete. Myslím, že najprv musíte zistiť, aké sú, aké sú verzie, ich možnosti atď. Potom zistíme, aký typ ochrany a šifrovania si vybrať. Ako príklad vám ukážem niekoľko populárnych smerovačov.

Dôrazne odporúčam nastaviť heslo a zabezpečiť bezdrôtovú sieť. Nastavte maximálnu úroveň ochrany. Ak necháte sieť otvorenú, nechránenú, môže sa k nej pripojiť ktokoľvek. To je v prvom rade nebezpečné. Rovnako ako zbytočné zaťaženie vášho smerovača, pokles rýchlosti pripojenia a všetky druhy problémov s pripojením rôznych zariadení.

Zabezpečenie siete Wi-Fi: WEP, WPA, WPA2

Existujú tri možnosti ochrany. Samozrejme nepočítajúc "Otvorené".

• WEP(Wired Equivalent Privacy) je zastaraná a nezabezpečená metóda overovania. Ide o prvý a nie veľmi úspešný spôsob ochrany. Útočníci môžu ľahko pristupovať k bezdrôtovým sieťam, ktoré sú chránené pomocou WEP. Tento režim nemusíte nastavovať v nastaveniach vášho smerovača, hoci tam je (nie vždy).
• WPA(Wi-Fi Protected Access) je spoľahlivý a moderný typ zabezpečenia. Maximálna kompatibilita so všetkými zariadeniami a operačnými systémami.
• WPA2- nová, vylepšená a spoľahlivejšia verzia WPA. K dispozícii je podpora pre šifrovanie AES CCMP. V súčasnosti je to najlepší spôsob, ako zabezpečiť svoju Wi-Fi sieť. Toto odporúčam používať.

WPA / WPA2 môže byť dvoch typov:

• WPA / WPA2 – osobné (PSK) Je to bežný spôsob overenia. Keď potrebujete iba nastaviť heslo (kľúč) a následne ho použiť na pripojenie k sieti Wi-Fi. Pre všetky zariadenia sa používa jedno heslo. Samotné heslo je uložené v zariadeniach. Kde si ho v prípade potreby môžete pozrieť, prípadne zmeniť. Toto je odporúčaná možnosť.
• WPA / WPA2 - Enterprise- sofistikovanejšia metóda, ktorá sa používa najmä na ochranu bezdrôtových sietí na úradoch a rôznych inštitúciách. Umožňuje vám poskytnúť vyššiu úroveň ochrany. Používa sa len vtedy, keď je nainštalovaný server RADIUS na autorizáciu zariadenia (ktorý rozdáva heslá).

Myslím, že sme prišli na spôsob overovania. Najlepšie je použiť WPA2 – Personal (PSK). Pre lepšiu kompatibilitu, aby neboli problémy s pripojením starších zariadení, môžete nastaviť zmiešaný režim WPA / WPA2. Mnoho smerovačov má túto metódu predvolene nastavenú. Alebo označené ako „Odporúčané“.

Bezdrôtové šifrovanie

Sú dva spôsoby TKIP a AES.

Odporúčame použiť AES. Ak máte v sieti staré zariadenia, ktoré nepodporujú šifrovanie AES (ale iba TKIP) a budú problémy s ich pripojením k bezdrôtovej sieti, nastavte "Automaticky". Typ šifrovania TKIP nie je podporovaný v režime 802.11n.

V každom prípade, ak nainštalujete striktne WPA2 - Personal (odporúča sa), bude k dispozícii iba šifrovanie AES.

Aký druh ochrany by som mal použiť na smerovač Wi-Fi?

Použite WPA2 – Osobné so šifrovaním AES... Dnes je to najlepší a najbezpečnejší spôsob. Takto vyzerajú nastavenia zabezpečenia bezdrôtovej siete na smerovačoch ASUS:

A takto vyzerajú tieto nastavenia zabezpečenia na smerovačoch TP-Link (so starým firmvérom).

Môžete si pozrieť podrobnejšie pokyny pre TP-Link.

Pokyny pre ostatné smerovače:

Ak neviete, kde nájdete všetky tieto nastavenia na vašom routeri, napíšte do komentárov, pokúsim sa navrhnúť. Len nezabudnite uviesť model.

Keďže staršie zariadenia (Wi-Fi adaptéry, telefóny, tablety atď.) nemusia podporovať WPA2 – Personal (AES), v prípade problémov s pripojením nastavte zmiešaný režim (Auto).

Často si všímam, že po zmene hesla alebo iných parametrov ochrany sa zariadenia nechcú pripojiť k sieti. Počítače môžu mať chybu "Nastavenia siete uložené v tomto počítači nezodpovedajú požiadavkám tejto siete." Skúste vymazať (zabudnúť) sieť na zariadení a znova sa pripojiť. Ako to urobiť v systéme Windows 7, napísal som. A v systéme Windows 10 potrebujete.

Heslo (kľúč) WPA PSK

Bez ohľadu na typ zabezpečenia a metódu šifrovania si musíte nastaviť heslo. Je to tiež kľúč WPA, heslo bezdrôtovej siete, bezpečnostný kľúč siete Wi-Fi atď.

Dĺžka hesla od 8 do 32 znakov. Môžete použiť písmená latinskej abecedy a čísla. Tiež špeciálne znaky: - @ $ #! atď. Žiadne medzery! V hesle sa rozlišujú malé a veľké písmená! To znamená, že „z“ a „Z“ sú rôzne znaky.

Neodporúčam používať jednoduché heslá. Je lepšie vytvoriť si silné heslo, ktoré nikto s istotou neuhádne, aj keď sa veľmi snaží.

Je nepravdepodobné, že si budete môcť zapamätať také zložité heslo. Bolo by fajn si to niekam zapísať. Nie je nezvyčajné, že sa heslo Wi-Fi zabudne. Čo robiť v takýchto situáciách, som napísal v článku:.

Ak potrebujete ešte väčšiu ochranu, môžete použiť MAC Binding. Je pravda, že nevidím potrebu. Stačí WPA2 – Personal spárovaný s AES a silné heslo.

Ako si chránite svoju Wi-Fi sieť? Napíšte do komentárov. No pýtajte sa 🙂

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Uverejnené na http://www.allbest.ru/

Federálna štátna rozpočtová vzdelávacia inštitúcia vyššieho odborného vzdelávania

Katedra: Informatika a informačné technológie

Špecializácia: Aplikovaná informatika

KURZOVÁ PRÁCA

BEZDRÔTOVÉ ZABEZPEČENIE

Vyplnené študentom

Kozlová S.K.

Vedúci práce:

V. V. Miťjajev

EAGLE, 2013

Úvod

Záver

Bibliografický zoznam

Aplikácia

Úvod

Väčšina moderných počítačov podporuje bezdrôtový prístup k sieti. Inými slovami, môžu sa pripojiť k internetu (a iným bezdrôtovým zariadeniam) bez sieťového kábla. Hlavnou výhodou bezdrôtových pripojení je možnosť pracovať s internetom kdekoľvek v domácnosti alebo kancelárii (ak to vzdialenosť medzi počítačom a bezdrôtovým zariadením umožňuje). Ak však nepodniknete kroky na zaistenie bezpečnosti vašej bezdrôtovej siete, môžu nastať nasledujúce potenciálne nebezpečné situácie, ktoré môžu vyústiť do útoku:

1. zachytiť prenášané alebo prijaté dáta;

2. Získajte prístup k bezdrôtovej sieti;

3. Zachyťte internetový prístupový kanál.

Prejdime k definícii informačnej bezpečnosti. Informačná bezpečnosť – znamená ochranu informácií a informačných systémov pred neoprávneným prístupom, použitím, odhalením, skreslením, zničením, úpravou.

Informačná bezpečnosť zabezpečuje dostupnosť, integritu a dôvernosť informácií. Na implementáciu informačnej bezpečnosti bezdrôtových sietí sa využívajú nástroje a mechanizmy informačnej bezpečnosti.

Ak teda bezdrôtová sieť nie je zabezpečená, útočník môže zachytiť dáta prenášané cez ňu, získať prístup k sieti a súborom v počítači a tiež sa pomocou pripojenia dostať na internet. Tým je kanál prenosu dát obsadený a prístup k internetu sa spomaľuje.

Téma bezpečnosti bezdrôtových sietí je stále aktuálna, aj keď už dlho existujú spoľahlivé metódy ochrany týchto sietí, ako napríklad technológie WPA (Wi-Fi Protected Access).

Účelom práce je praktické štúdium problematiky bezpečnosti a bezpečnostných prvkov bezdrôtových sietí.

Predmetom tejto práce je sieťová bezpečnosť.

Predmetom je bezpečnosť bezdrôtových sietí.

Pri vykonávaní tejto práce je potrebné vyriešiť tieto úlohy:

1. Zvážte koncept bezdrôtovej siete;

3. Preštudujte si hlavné ustanovenia bezpečnostnej politiky pre bezdrôtové pripojenia;

4. Analyzovať riešenia na zaistenie bezpečnosti bezdrôtových sietí;

5. Posúdiť potrebu ochrany bezdrôtovej siete;

6. Vytvorte algoritmus na hodnotenie účinnosti ochrany bezdrôtovej siete.

1. Koncepcia bezdrôtovej siete a popis kategórií hlavných útokov

1.1 Koncepcia a popis bezdrôtovej siete

Bezdrôtová sieť je prenos informácií na diaľku bez použitia elektrických vodičov alebo „drôtov“.

Táto vzdialenosť môže byť taká malá (niekoľko metrov, ako pri televíznom diaľkovom ovládači) a veľmi dlhá (tisíce alebo dokonca milióny kilometrov pre telekomunikácie).

Bezdrôtová komunikácia sa bežne považuje za telekomunikačný priemysel.

Bezdrôtové pripojenie exploduje na popularite a otvára operátorom nové trhy – od online hrania na mobilných telefónoch až po pohotovostné služby.

Je to spôsobené rozšírením prenosných počítačov, pagingových systémov a objavením sa systémov PDA (Personal Digital Assistant) a rozšírením funkčnosti mobilných telefónov.

Takéto systémy by mali poskytovať obchodné plánovanie, načasovanie, ukladanie dokumentov a udržiavanie komunikácie so vzdialenými stanicami. Mottom týchto systémov sa stalo kedykoľvek a kdekoľvek, teda poskytovanie komunikačných služieb bez ohľadu na miesto a čas. Okrem toho sú bezdrôtové kanály dôležité tam, kde je nemožné alebo drahé položiť káblové vedenia a na veľké vzdialenosti.

Donedávna väčšina bezdrôtových počítačových sietí prenášala dáta rýchlosťou od 1,2 do 14,0 Kbps, často len krátke správy, keďže prenosy veľkých súborov alebo dlhé relácie interaktívnej práce s databázou neboli dostupné. Nové technológie bezdrôtového prenosu pracujú rýchlosťou niekoľkých desiatok megabitov za sekundu.

Alan S. Cohen, vrchný riaditeľ mobilných riešení, Cisco Systems, veľa hovorí o budúcnosti bezdrôtového trhu.

Hovorí, že bezdrôtová technológia sa rýchlo stáva akceptovaným štandardom s všestranným dopadom na naše životy.

Existujú dva dôležité faktory, ktoré vedú trh k všadeprítomnej bezdrôtovej komunikácii. Prvým je „demokratizácia“ bezdrôtovej technológie, ktorá sa na mobilnom trhu zviditeľnila s príchodom 802.11 alebo Wi-Fi.

Rýchly rast počtu mobilných zariadení a mobilných sietí v domácnostiach, bytoch, firmách a mestách je veľmi citeľný. Dnes je ľahké a jednoduché vybudovať bezdrôtovú sieť a poskytnúť širokopásmovú mobilitu v prospech veľkých korporácií a individuálnych používateľov.

Vyzdvihol aj ďalšiu zaujímavú oblasť aplikácie mobilných technológií – mestské mesh-networky, vďaka ktorým je technológia Wi-Fi skutočne všadeprítomná.

Poskytnutie prístupu všetkým obyvateľom mesta na celom jeho území je skvelým príkladom demokratizácie bezdrôtovej technológie. Sieťová architektúra a technológia zjednotenej komunikácie nielenže integruje káblovú a bezdrôtovú komunikáciu, ale spája aj vnútorné a vonkajšie sieťové služby. Vďaka tomu môžete zostať pripojení k sieti, nech ste kdekoľvek, v budove alebo mimo nej, čo je veľmi dôležité pre mestskú komunikáciu.

Bezdrôtová komunikácia sa stáva všadeprítomnou. Umožňuje vám poskytnúť konektivitu používateľov tam, kde je káblové pripojenie zložité alebo je potrebná úplná mobilita. V tomto prípade bezdrôtové siete interagujú s káblovými sieťami. Bezdrôtové riešenia je v dnešnej dobe potrebné brať do úvahy pri navrhovaní akejkoľvek siete – od malej kancelárie až po podniky. To môže ušetriť peniaze, prácu a čas.

Existuje mnoho prípadov a dôvodov, prečo sú bezdrôtové siete jedinou alebo najpohodlnejšou možnosťou organizácie prístupu ku komunikačnej sieti alebo internetu:

1) Ak chcete zorganizovať možnosť kočovného prístupu k sieti a internetu pre bežných používateľov v kaviarňach, na letiskách, na vlakových staniciach, v obchodoch a na iných verejných miestach;

2) Ak je potrebné zorganizovať lokálnu sieť v budovách, ktoré nemajú možnosť položiť káblové rozvody (napríklad v historických budovách) alebo v budovách, v ktorých je položenie kábla veľmi zložitá, časovo náročná a náročná úloha ;

3) Pri organizovaní dočasnej lokálnej siete, vrátane lokálnej siete pre všeobecný prístup, napríklad na organizovanie akýchkoľvek podujatí, konferencií a podobne;

4) Pri rozširovaní lokálnej siete v prípade, že je potrebné pripojiť akýkoľvek vzdialený izolovaný segment obsahujúci malý počet pracovných staníc;

5) Ak potrebujete mobilný prístup k sieťovým zdrojom, napríklad pri pohybe po byte alebo organizácii s notebookom, keď lekár navštevuje rôznych pacientov v nemocnici, aby komunikoval s centrálnou databázou, alebo na komunikáciu a koordináciu mechanikov vo veľkých budovách nasýtené modernými prostriedkami, ktoré im poskytujú životnú aktivitu;

6) Organizovať ďalšie komunikačné kanály, ktoré môžu poskytovať alternatívni komunikační operátori, ktorí vytvárajú bezdrôtové lokálne siete v rôznych oblastiach.

V závislosti od používaných technológií a prenosových médií možno definovať nasledujúce triedy bezdrôtových sietí:

Siete na rádiových modemoch;

Mobilné modemové siete;

Infračervené systémy;

systémy VSAT;

Systémy využívajúce satelity LEO;

Systémy s technológiou SST;

Rádiové reléové systémy;

Laserové komunikačné systémy.

WI-FI je moderná bezdrôtová technológia na prenos dát cez rádiový kanál (bezdrôtový, wlan wifi).

Akékoľvek zariadenie, ktoré je v súlade s normou IEEE 802.11, môže byť testované organizáciou Wi-Fi Alliance a získať certifikáciu a právo používať logo Wi-Fi.

Wireless Fidelity, čo v angličtine znamená bezdrôtová presnosť. Pre výraz existuje aj dlhší názov: EEE 802.11b. Wi-Fi sa zrodilo v roku 1985 v USA po tom, čo bola frekvenčná časť rádiového kanála sprístupnená na používanie bez špeciálneho povolenia.

Prvým najrozšírenejším štandardom bol štandard IEEE 802.11b.

Zariadenie 802.11b bolo predstavené už v roku 2001 a doteraz väčšina bezdrôtových sietí stále funguje pomocou tohto štandardu a k dispozícii je veľa bezdrôtových zariadení Wi-Fi 802.11b.

Rádiové vlny používané na Wi-Fi komunikáciu sú veľmi podobné rádiovým vlnám používaným vo vysielačkách, prijímačoch, mobilných telefónoch a iných zariadeniach. Wi-Fi má však niekoľko pozoruhodných rozdielov od iných rádií.

Komunikácia prebieha na frekvenciách 2,4-5 GHz. Táto frekvencia je oveľa vyššia ako frekvencie vhodné pre mobilné telefóny, prenosné rádiá a televízory.

Čím vyššia je frekvencia signálu, tým viac informácií sa prenáša. Bezdrôtová sieť využíva rádiové vlny rovnako ako rádiá, mobilné telefóny a televízory. Bezdrôtová komunikácia cez Wi-Fi je v skutočnosti skôr obojsmerná rádiová komunikácia.

V Rusku je používanie Wi-Fi bez povolenia na používanie frekvencií od Štátnej komisie pre rádiové frekvencie (SCRF) možné na organizáciu siete vo vnútri budov, uzavretých skladov a priemyselných oblastí.

Na legálne používanie mimo kancelárskej bezdrôtovej siete Wi-Fi, napríklad rádiového kanála medzi dvoma susednými domami, je potrebné získať povolenie na používanie frekvencií. Na vydávanie povolení na používanie rádiových frekvencií v pásme 2400 – 2483,5 MHz (štandardy 802.11b a 802.11g, kanály 1 – 13) existuje zjednodušený postup, na získanie takéhoto povolenia je potrebné súkromné ​​rozhodnutie Štátneho výboru pre rozhlas Frekvencie sa nevyžadujú. Ak chcete využívať rádiové frekvencie v iných pásmach, najmä 5 GHz (štandard 802.11a), musíte si najskôr zaobstarať súkromné ​​riešenie SCRF. V roku 2007 sa situácia zmenila vydaním dokumentu: "Výnos z 25. júla 2007, č. 476" O zmenách a doplneniach nariadenia vlády Ruskej federácie "z 12. októbra 2004 č.

Šestnásty odsek uznesenia vyňatý zo zoznamu zariadení podliehajúcich registrácii - užívateľské zariadenia na bezdrôtový prístup v rádiovom frekvenčnom pásme 2400-2483,5 MHz s vyžarovacím výkonom vysielacích zariadení do 100 mW vrátane.

Štátny výbor pre rádiové frekvencie tiež v zmysle protokolárneho zápisu k rozhodnutiu Štátneho výboru pre rádiové frekvencie zo dňa 19.08.2009, č. 09-04-09 rozhodol: prideliť rádiové frekvenčné pásma 5150-5350 MHz resp. 5650-6425 MHz pre použitie na území Ruskej federácie, s výnimkou miest uvedených v prílohe č.2, pevný bezdrôtový prístup občanmi Ruskej federácie a ruskými právnickými osobami bez vydávania samostatných rozhodnutí Štátneho výboru pre Rádiové frekvencie pre každú fyzickú alebo právnickú osobu.

Špecifikované frekvenčné pásma zodpovedajú štandardom 802.11a / b / g / n a kanálom s číslami z rozsahov 36-64 a 132-165. Dodatok 2 však uvádza 164 najväčších miest v Rusku, v ktorých nie je možné použiť určené frekvencie na vytváranie bezdrôtových sietí.

Za porušenie postupu pri používaní rádiových elektronických prostriedkov je zodpovednosť stanovená v článkoch 13.3 a 13.4 Kódexu správnych deliktov Ruskej federácie.

Rozhodnutím z 15. júla 2010 SCRF Ruska zrušilo vydávanie povinných súkromných rozhodnutí SCRF na používanie pevných bezdrôtových prístupových systémov v pásmach 5150-5350 MHz a 5650-6425 MHz. Obmedzenie týchto frekvenčných rozsahov bolo zrušené pre celé územie Ruska.

Rozlišujú sa tieto typy a odrody pripojení:

1. Ad-Hoc (bod-bod) spojenie. Všetky počítače sú vybavené bezdrôtovými kartami (klientmi) a sú navzájom prepojené priamo cez rádiový kanál pracujúci podľa štandardu 802.11b a poskytujúci výmenný kurz 11 Mbit / s, čo je dosť pre bežnú prevádzku;

2. Infraštruktúrne prepojenie. Tento model sa používa, keď je potrebné pripojiť viac ako dva počítače. Server s prístupovým bodom môže fungovať ako smerovač a nezávisle distribuovať internetový kanál;

3. Prístupový bod pomocou smerovača a modemu. Prístupový bod je pripojený k smerovaču, smerovaču - k modemu (tieto zariadenia je možné kombinovať do dvoch alebo dokonca do jedného). Teraz bude internet fungovať na každom počítači v oblasti pokrytia Wi-Fi, ktorý má adaptér Wi-Fi;

4. Klientsky bod. V tomto režime sa prístupový bod správa ako klient a môže sa pripojiť k prístupovému bodu fungujúcemu v režime infraštruktúry. Ale môže sa k nemu pripojiť iba jedna MAC adresa. Výzvou je tu pripojiť iba dva počítače. Dva adaptéry Wi-Fi môžu navzájom spolupracovať priamo bez centrálnych antén;

5. Mostové spojenie. Počítače sú pripojené ku káblovej sieti. Prístupové body sú pripojené ku každej skupine sietí, ktoré sú navzájom prepojené rádiovým kanálom. Tento režim slúži na pripojenie dvoch alebo viacerých káblových sietí. Bezdrôtoví klienti sa nemôžu pripojiť k premostenému prístupovému bodu.

Zvažovala sa teda koncepcia a triedy bezdrôtových sietí, identifikovali sa dôvody účelného použitia bezdrôtového pripojenia. Bol analyzovaný regulačný a právny rámec pre siete Wi-Fi. Bezdrôtová sieť bola opísaná typológiou a rôznymi pripojeniami.

Počas prevádzky bezdrôtových sietí často vznikajú rôzne problémy. Niektoré sú omylom a niektoré sú výsledkom zlomyseľných činov. V každom prípade dôjde k poškodeniu. Tieto udalosti sú útokmi bez ohľadu na dôvod ich výskytu.

Existujú štyri hlavné kategórie útokov:

1. Prístupové útoky;

2. Modifikačné útoky;

3. Útoky na odmietnutie služby;

4. Útoky odmietnutia zodpovednosti.

Útok na prístup je pokus útočníka získať informácie, na prezeranie ktorých nemá povolenie, a ktorý je zameraný na porušenie dôvernosti informácií.

Na vykonanie tohto útoku potrebujete informácie a prostriedky na ich prenos.

Prístupový útok je možný všade tam, kde existujú informácie a prostriedky na ich prenos.

Prístupové útoky môžu zahŕňať aj odpočúvanie, odpočúvanie a odpočúvanie.

Peeping je skenovanie súborov alebo dokumentov s cieľom nájsť informácie, ktoré útočníka zaujímajú.

Odpočúvanie je, keď niekto počúva konverzáciu, ktorej sa nezúčastňuje (často pomocou elektronických zariadení).

Interception - zachytávanie informácií v procese ich prenosu na miesto určenia.

Informácie sa uchovávajú elektronicky:

Pracovné stanice;

Servery;

V prenosných počítačoch;

CD.

Pri CD je situácia jasná, keďže útočník ich môže jednoducho ukradnúť. Pri prvých dvoch je situácia iná. S legálnym prístupom do systému bude útočník analyzovať súbory jednoduchým otvorením jedného po druhom. V prípade neoprávneného prístupu sa cracker pokúsi obísť riadiaci systém a získať prístup k potrebným informáciám. Nie je ťažké to urobiť. Na váš počítačový systém musíte nainštalovať sieťový paketový sniffer (sniffer). Na to musí útočník zvýšiť svoju autoritu v systéme alebo sa pripojiť k sieti. Analyzátor je nakonfigurovaný tak, aby zachytával všetky informácie prechádzajúce cez sieť, ale najmä ID používateľov a heslá.

Odpočúvanie sa vykonáva aj v globálnych počítačových sieťach, ako sú prenajaté linky a telefónne spojenia. Tento typ odpočúvania si však vyžaduje vhodné vybavenie a špeciálne znalosti. V tomto prípade je najlepšie miesto na umiestnenie odpočúvacieho zariadenia do rozvodnej skrine.

A pomocou špeciálneho vybavenia môže kvalifikovaný zlodej zachytiť komunikačné systémy z optických vlákien. Aby však bol úspešný, musí umiestniť svoj systém na prenosovú linku medzi odosielateľom a príjemcom informácie. Na internete sa to robí zmenou rozlíšenia názvu, čím sa názov počítača preloží na neplatnú adresu. Prevádzka je presmerovaná do systému útočníka namiesto do skutočného cieľa. Pri vhodnej konfigurácii takéhoto systému sa odosielateľ nikdy nedozvie, že jeho informácie sa nedostali k príjemcovi.

Modifikačný útok je pokus o nevhodnú úpravu informácií. Je zameraná na narušenie integrity informácií a je možná všade tam, kde informácie existujú alebo sa prenášajú.

Existujú tri typy modifikačných útokov:

1. Výmena;

2. Sčítanie;

3. Odstránenie.

Nahradenie – Nahradenie existujúcich informácií je namierené proti utajovaným aj verejným informáciám.

Pridať útok – pridanie nových údajov.

Útok na odstránenie znamená presun existujúcich údajov.

Všetky tri typy modifikačných útokov využívajú zraniteľné miesta v systémoch, napríklad „diery“ v zabezpečení servera, čo vám umožňuje nahradiť domovskú stránku. Aj tak je však potrebné dôsledne pracovať v celom systéme, aby sa zabránilo odhaleniu. Pretože transakcie sú číslované postupne, vymazanie alebo pridanie nesprávnych čísel transakcií bude zaznamenané.

Ak počas prenosu informácií dôjde k modifikačnému útoku, musíte najprv zachytiť prenos, ktorý vás zaujíma, a potom vykonať zmeny v informáciách pred ich odoslaním do cieľa.

Útoky DoS (Denial-of-service) sú útoky, ktoré zabraňujú legitímnemu používateľovi používať systém, informácie alebo možnosti počítača. Inými slovami, tento útok je „vandalizmus“, pretože útočníkom je.

V dôsledku DoS útokov väčšinou nezíska prístup do počítačového systému a nevie operovať s informáciami.

DoS útok namierený proti informáciám – tieto informácie zničí, skreslí alebo presunie na neprístupné miesto.

Útok DoS namierený na aplikácie, ktoré spracúvajú alebo zobrazujú informácie, alebo na počítačový systém, v ktorom sa tieto aplikácie spúšťajú, znemožňuje riešenie úloh vykonávaných pomocou takejto aplikácie.

Všeobecný typ útokov DoS (odmietnutie prístupu do systému) má za cieľ deaktivovať počítačové systémy, v dôsledku čoho sa samotný systém, aplikácie nainštalované v ňom a všetky uložené informácie stanú nedostupnými.

Odmietnutie prístupu ku komunikácii znamená deaktiváciu komunikačných zariadení, ktoré bránia prístupu k počítačovým systémom a informáciám.

Útoky DoS zamerané priamo na počítačový systém sa vykonávajú prostredníctvom exploitov, ktoré využívajú zraniteľné miesta v operačných systémoch alebo internetových protokoloch.

Tieto „diery“ umožňujú útočníkovi poslať do aplikácie špecifickú sadu príkazov, ktoré nedokáže správne spracovať, čo spôsobí pád aplikácie. Reštart obnoví jeho funkčnosť, ale počas reštartu nebude možné s aplikáciou pracovať.

Útok odmietnutia zodpovednosti je zameraný proti schopnosti identifikovať informácie alebo poskytnúť nepravdivé informácie o skutočnej udalosti alebo transakcii.

Tento typ útoku zahŕňa:

Masquerade je vykonávanie akcií pod zámienkou iného používateľa alebo iného systému.

Popretie udalosti je odmietnutie skutočnosti, že sa operácia uskutočnila.

Internetové DoS útoky sú útoky proti internetovým koreňovým názvovým serverom.

Na zaistenie bezpečnosti bezdrôtového prístupového zariadenia, a teda na minimalizáciu rizika spojeného s týmto typom prístupu, môžete použiť nasledujúce jednoduché kroky:

1. Zmeňte heslo správcu na svojom bezdrôtovom zariadení. Pre hackera je ľahké zistiť, aké je predvolené heslo od výrobcu zariadenia a použiť toto heslo na prístup k bezdrôtovej sieti. Vyhnite sa heslám, ktoré sa dajú ľahko uhádnuť alebo uhádnuť;

2. Zakážte vysielanie sieťového identifikátora (vysielanie SSID, SSID - Service Set Identifier, sieťový identifikátor), aby bezdrôtové zariadenie nevysielalo informáciu, že je zapnuté;

3. Povoliť šifrovanie prenosu: najlepšie je použiť protokol WPA, ak ho zariadenie podporuje (ak nie, použite šifrovanie WEP);

4. Zmeňte sieťový identifikátor (SSID) zariadenia. Ak ponecháte predvolený identifikátor nastavený výrobcom zariadenia, útočník môže pomocou tohto identifikátora ľahko identifikovať bezdrôtovú sieť. Nepoužívajte mená, ktoré sa dajú ľahko uhádnuť.

V dôsledku vyriešenia tohto problému boli identifikované a študované štyri hlavné kategórie útokov a tri typy modifikačných útokov. Útoky odmietnutia služby a odmietnutia zodpovednosti boli tiež predmetom zváženia. Na základe tejto analýzy boli vyvinuté kroky na zaistenie bezpečnosti zariadení s bezdrôtovým prístupom.

Aby sme to zhrnuli, môžeme s istotou povedať, že bezdrôtové pripojenia sú v súčasnosti veľmi rozšírené, najmä vďaka ich schopnosti pracovať s internetom kdekoľvek v domácnosti alebo kancelárii.

Ak však neprijmete opatrenia na zaistenie bezpečnosti bezdrôtovej siete, útočník môže zachytiť dáta prenášané cez ňu, získať prístup k sieti a súborom v počítači a tiež sa pomocou pripojenia pripojiť k internetu.

2. Prehľad prostriedkov a metód zabezpečenia informačnej bezpečnosti bezdrôtových sietí

2.1 Zásady zabezpečenia bezdrôtovej siete

Špecifickosť bezdrôtových sietí znamená, že údaje je možné kedykoľvek zachytiť a upraviť. Niektoré technológie vyžadujú štandardný bezdrôtový adaptér, zatiaľ čo iné vyžadujú špecializovaný hardvér. V každom prípade sú však tieto hrozby dostatočne jednoduché na implementáciu a na ich zvládnutie sú potrebné účinné mechanizmy ochrany kryptografických údajov.

Pri budovaní bezpečnostného systému je dôležité určiť model hrozby, teda rozhodnúť, čomu bude skutočná ochrana odolávať. V bezdrôtových sieťach sú v skutočnosti dve hrozby: neoprávnené pripojenie a odpočúvanie, ale zoznam možno rozšíriť zvýraznením a zhrnutím nasledujúcich hlavných hrozieb spojených s bezdrôtovými zariadeniami uvedenými v prvej kapitole:

Nekontrolované používanie a porušenie perimetra;

Neoprávnené pripojenie k zariadeniam a sieťam;

Odpočúvanie a úprava dopravy;

Porušenie prístupnosti;

Umiestnenie zariadenia.

Široká dostupnosť bezdrôtových zariadení a ich nízka cena vytvárajú medzery v bezpečnostnom obvode siete. Hovoríme tu nielen o kyberzločincoch, ktorí do firemnej káblovej siete pripojili PDA s podporou Wi-Fi, ale aj o triviálnejších situáciách. Aktívny bezdrôtový adaptér na notebooku pripojenom k ​​podnikovej sieti, prístupový bod prinesený z domu na testovanie - to všetko sa môže stať pohodlnými kanálmi na prenikanie do internej siete.

Nedostatočná autentifikácia, chyby v systéme kontroly prístupu umožňujú neoprávnené pripojenia.

Bezdrôtové siete zo svojej podstaty nemôžu poskytovať vysokú dostupnosť. Rôzne prírodné, človekom spôsobené a antropogénne faktory môžu účinne narušiť normálne fungovanie rádiového kanála. Túto skutočnosť je potrebné vziať do úvahy pri návrhu siete a bezdrôtové siete by sa nemali používať na channeling s vysokými požiadavkami na dostupnosť.

Wi-Fi stanice sa dajú ľahko zistiť pasívnymi metódami, čo umožňuje s dostatočnou presnosťou určiť polohu bezdrôtového zariadenia. Systém Navizon môže napríklad použiť GPS, základňové stanice GSM a bezdrôtové prístupové body na lokalizáciu mobilného zariadenia.

Bezpečnostná politika pre bezdrôtové siete môže byť prezentovaná ako samostatný dokument alebo ako súčasť iných komponentov regulačnej bezpečnosti. Vo väčšine prípadov nie je potrebný samostatný dokument, pretože ustanovenia zásad bezdrôtového pripojenia sa v mnohých smeroch prekrývajú s tradičným obsahom takýchto dokumentov. Takže napríklad požiadavky na fyzickú ochranu prístupových bodov sa úplne prekrývajú s problematikou fyzickej bezpečnosti aktívnych sieťových zariadení. V tomto ohľade je politika bezdrôtovej bezpečnosti prezentovaná ako samostatný dokument počas implementácie WLAN, po ktorom sa pri ďalšej revízii dokumentov harmonicky spája s ostatnými.

Ak sa nepoužívajú bezdrôtové siete, bezpečnostná politika by mala obsahovať popis ochranných mechanizmov zameraných na zmiernenie rizík spojených s neoprávneným používaním rádiových sietí.

Najlepšie svetové postupy v oblasti riadenia informačnej bezpečnosti sú popísané v medzinárodnej norme pre systémy riadenia informačnej bezpečnosti ISO / IEC 27001 (ISO 27001). ISO 27001 špecifikuje požiadavky na systém manažérstva informačnej bezpečnosti, aby sa preukázala schopnosť organizácie chrániť svoje informačné zdroje.

Štandard je autentický GOST RISO / IEC 27001-2006. Stanovuje požiadavky na vývoj, implementáciu, prevádzku, monitorovanie, analýzu, podporu a zlepšovanie dokumentovaného systému manažérstva informačnej bezpečnosti, na implementáciu manažérskych a kontrolných opatrení informačnej bezpečnosti.

Hlavné výhody normy ISO / IEC 27001:

Certifikácia vám umožňuje ukázať obchodným partnerom, investorom a klientom, že organizácia zaviedla efektívne riadenie informačnej bezpečnosti;

Norma je kompatibilná s ISO 9001: 2000 a ISO 14001: 2007;

Norma nekladie obmedzenia na výber softvéru a hardvéru, nekladie technické požiadavky na IT nástroje alebo nástroje informačnej bezpečnosti a ponecháva organizáciám úplnú slobodu pri výbere technických riešení pre informačnú bezpečnosť.

Pojem ochrana informácií je medzinárodným štandardom interpretovaný ako zabezpečenie dôvernosti, integrity a dostupnosti informácií.

Na základe tohto štandardu možno formulovať odporúčania na zníženie pravdepodobnosti porušenia zásad zabezpečenia bezdrôtovej siete v organizácii:

1. Školenie užívateľov a administrátorov. ISO | IEC 27001 A.8.2.2. Výsledkom školenia je, že používatelia by si mali byť vedomí a chápať obmedzenia politiky a správcovia by mali byť kvalifikovaní na predchádzanie a odhaľovanie porušovania pravidiel;

2. Kontrola pripojení k sieti. ISO | IEC 27001 A.11.4.3. Riziko spojené s pripojením nečestného prístupového bodu alebo bezdrôtového klienta možno zmierniť zakázaním nepoužívaných portov prepínača, filtrovania MAC (zabezpečenie portov), ​​autentifikácie 802.1X, systémov detekcie narušenia a bezpečnostných skenerov, ktoré monitorujú výskyt nových sieťových objektov;

3. Fyzická bezpečnosť. ISO | IEC 27001 A.9.1. Ovládanie zariadení privedených na územie vám umožňuje obmedziť pravdepodobnosť pripojenia bezdrôtových zariadení k sieti. Obmedzenie prístupu používateľov a návštevníkov k sieťovým portom a rozširujúcim slotom počítača znižuje pravdepodobnosť pripojenia bezdrôtového zariadenia;

4. Minimalizácia užívateľských práv. ISO | IEC 27001 A.11.2.2. Ak používateľ pracuje na počítači s minimálnymi potrebnými právami, zníži sa pravdepodobnosť neoprávnených zmien v nastaveniach bezdrôtových rozhraní;

5. Kontrola bezpečnostnej politiky. ISO | IEC 27001 6, A.6.1.8. Nástroje bezpečnostnej analýzy, ako sú skenery zraniteľnosti, dokážu zistiť vzhľad nových zariadení v sieti a určiť ich typ (funkcie na určenie verzií OS a sieťových aplikácií), ako aj sledovať odchýlky nastavení klienta od daného profilu. Referenčné podmienky pre audit externými konzultantmi by mali zohľadňovať požiadavky bezdrôtovej politiky;

6. Inventarizácia zdrojov. ISO | IEC 27001 A.7.1.1. Aktuálny a aktualizovaný zoznam sieťových zdrojov uľahčuje objavovanie nových sieťových objektov;

7. Detekcia útokov. ISO | IEC 27001 A.10.10.2. Použitie tradičných aj bezdrôtových systémov detekcie narušenia umožňuje včas odhaliť pokusy o neoprávnený prístup;

8. Vyšetrovanie incidentov. ISO | IEC 27001 A.13.2. Bezdrôtové incidenty sa veľmi nelíšia od iných podobných situácií, ale musia byť definované postupy ich vyšetrovania. Pre siete, kde sú nasadené alebo používané bezdrôtové siete, môžu byť potrebné ďalšie sekcie zásad;

9. Regulačná podpora. ISO | IEC 27001 A.15.1.1. Používanie bezdrôtových sietí môže podliehať ruským aj medzinárodným predpisom. Takže v Rusku je používanie frekvenčného rozsahu 2,4 GHz regulované rozhodnutím Štátneho výboru pre rádiové frekvencie zo 6. novembra 2004 (04-03-04-003). Navyše, keďže šifrovanie je v bezdrôtových sieťach intenzívne využívané a používanie prostriedkov kryptografickej ochrany v niektorých prípadoch spadá pod dosť prísne legislatívne obmedzenia, je potrebné vyriešiť aj túto otázku;

10. Interný a externý audit. ISO | IEC 27001 6, A.6.1.8. Činnosti hodnotenia bezpečnosti by mali zohľadňovať požiadavky politiky bezdrôtovej siete. Možný rozsah práce na posúdenie bezpečnosti WLAN je podrobnejšie popísaný v poslednej kapitole tejto knihy;

11. Oddelenie sietí. ISO | IEC 27001 A.11.4.5. Vzhľadom na špecifiká bezdrôtových sietí je žiaduce prideliť bezdrôtové prístupové body do samostatného segmentu siete pomocou brány firewall, najmä pokiaľ ide o prístup hostí;

12. Používanie kryptografických prostriedkov ochrany. ISO | IEC 27001 A.12.3. Mali by byť definované protokoly a algoritmy používané na šifrovanie prevádzky v bezdrôtovej sieti (WPA alebo 802.11i). Pri použití technológie 802.1X sú stanovené požiadavky na protokoly EDS a dĺžka kľúča na podpisovanie certifikátov použitého na tento účel;

13. Autentifikácia. ISO | IEC 27001 A.11.4.2. Mali by sa určiť požiadavky na uchovávanie autentifikačných údajov, ich zmena, zložitosť, bezpečnosť pri prenose cez sieť. Použité metódy EAP, metódy ochrany verejného kľúča servera RADIUS, môžu byť explicitne špecifikované;

14. Kontrola zmien v informačnom systéme. ISO | IEC 27001 A.12.5.1. Bezdrôtové technológie by sa mali brať do úvahy v IP;

15. Prijateľnosť používania softvéru a hardvéru. ISO | IEC 27001 A.12.4.1 Tento článok sa zaoberá požiadavkami na prístupové body, bezdrôtové prepínače a bezdrôtových klientov;

16. Detekcia útokov. ISO | IEC 27001 A.10.10.2. Mali by sa definovať požiadavky na systémy na zisťovanie bezdrôtových útokov, mala by sa určiť zodpovednosť za analýzu udalostí;

17. Protokolovanie a analýza bezpečnostných udalostí. ISO | IEC 27001 A.10.10.1. Túto časť je možné rozšíriť pridaním do zoznamu sledovaných udalostí špecifických pre bezdrôtové siete. Môže obsahovať predchádzajúcu časť;

18. Vzdialený prístup k sieti. ISO | IEC 27001 A.11.7.2. Vo väčšine prípadov sa používatelia bezdrôtovej siete logicky označujú ako používatelia systémov vzdialeného prístupu. Je to spôsobené podobnými hrozbami av dôsledku toho aj protiopatreniami charakteristickými pre tieto zložky IS. Okrem toho by sa po dokončení všetkých etáp v tej či onej forme mali vytvoriť tieto dokumenty:

Pokyny pre používateľov, ktoré berú do úvahy používanie bezdrôtovej siete;

Základné nastavenia pre prístupové body, bezdrôtové prepínače, pracovné stanice;

Postupy na monitorovanie bezpečnosti bezdrôtových sietí;

Profily systémov detekcie útokov;

Postupy reakcie na bezdrôtový incident.

Preto bola analyzovaná norma ISO / IEC 27001. Na základe tejto normy boli formulované odporúčania na zníženie pravdepodobnosti porušenia bezpečnostnej politiky bezdrôtovej siete v organizácii. K dispozícii je tiež zoznam dokumentov, ktoré sa musia vytvoriť po dokončení všetkých fáz bezpečnostnej politiky bezdrôtovej siete.

Dobre navrhnutá a presadzovaná bezpečnostná politika je pevným základom pre bezpečnú bezdrôtovú sieť. V dôsledku toho sa mu oplatí venovať dostatočnú pozornosť tak vo fáze implementácie siete, ako aj počas jej prevádzky, pričom sa v regulačných dokumentoch premietnu zmeny, ktoré v sieti prebiehajú.

2.2 Riešenia pre zabezpečenie bezdrôtových sietí

Kontrola prístupu a súkromia je základným prvkom zabezpečenia akejkoľvek siete, nielen bezdrôtovej. Jedným z najsilnejších spôsobov kontroly prístupu k sieti WLAN je autentifikácia, ktorá zabraňuje neoprávneným používateľom v prístupe k prenosu údajov cez prístupové body. Silné kontroly prístupu WLAN vám pomôžu určiť, ktoré klientske stanice sú povolené, a priradiť ich iba k dôveryhodným prístupovým bodom, s výnimkou neoprávnených alebo nebezpečných prístupových bodov.

Dôvernosť sietí WLAN znamená, že prenášané údaje bude správne dekódovať iba strana, pre ktorú boli určené. Stav dôvernosti údajov prenášaných cez WLAN sa považuje za chránený, ak sú údaje zašifrované kľúčom, ktorý môže použiť iba príjemca údajov, ktorému boli určené. Šifrovanie znamená, že integrita údajov nie je narušená počas celého procesu prenosu - odosielania a prijímania.

Spoločnosti využívajúce siete WLAN dnes implementujú štyri samostatné riešenia pre zabezpečenie WLAN a kontrolu prístupu a súkromia:

Otvorený prístup;

Základná bezpečnosť;

Zvýšená bezpečnosť;

Zabezpečenie vzdialeného prístupu.

Ako pri každom nasadení zabezpečenia, pred výberom a implementáciou akéhokoľvek bezpečnostného riešenia WLAN sa odporúča vykonať posúdenie sieťového rizika:

1. Otvorený prístup. Všetky produkty bezdrôtovej siete LAN s certifikáciou Wi-Fi sa dodávajú na prevádzku s otvoreným prístupom s vypnutými bezpečnostnými funkciami. Otvorený prístup alebo nedostatočné zabezpečenie môže vyhovovať a uspokojovať požiadavky verejných hotspotov, ako sú kaviarne, univerzitné kampusy, letiská alebo iné verejné miesta, ale táto možnosť nie je vhodná pre podniky. Počas inštalácie musia byť na bezdrôtových zariadeniach povolené funkcie zabezpečenia. Niektoré spoločnosti však nezahŕňajú bezpečnostné funkcie pre siete WLAN, čím sa vážne zvyšuje riziko pre ich siete;

2. Základné zabezpečenie: SSID, WEP a MAC autentifikácia. Základným zabezpečením je SSID (Service Set Identifier), autentifikácia otvoreným alebo zdieľaným kľúčom, statické kľúče WEP a voliteľne autentifikácia MAC. Túto kombináciu možno použiť na nastavenie základných ovládacích prvkov prístupu a súkromia, ale každý jednotlivý prvok zabezpečenia môže byť ohrozený. SSID je bežný názov siete pre zariadenia v subsystéme WLAN a slúži na logické oddelenie tohto subsystému. SSID bráni prístupu akéhokoľvek klientskeho zariadenia, ktoré nemá SSID. V predvolenom nastavení však prístupový bod vysiela svoje SSID medzi svojimi signálmi. Aj keď vypnete vysielanie SSID, útočník alebo hacker môže nájsť požadované SSID pomocou takzvaného „sniffovania“ alebo „sniffingu“ – nepozorovaného sledovania siete. Štandard 802.11, skupina špecifikácií pre siete WLAN vyvinutá IEEE, podporuje dva spôsoby autentifikácie klienta: otvorenú autentifikáciu a autentifikáciu so zdieľaným kľúčom. Otvorená autentifikácia sa len mierne líši od poskytnutia správneho SSID. Pri autentifikácii zdieľaným kľúčom prístupový bod odošle do klientskeho zariadenia testovací textový paket, ktorý musí klient zašifrovať správnym kľúčom WEP a vrátiť sa k prístupovému bodu. Bez správneho kľúča bude autentifikácia prerušená a klient nebude prijatý do užívateľskej skupiny prístupového bodu. Autentifikácia zdieľaným kľúčom sa nepovažuje za bezpečnú, pretože útočník, ktorý vlastní úvodnú testovaciu textovú správu a rovnakú správu zašifrovanú kľúčom WEP, dokáže dešifrovať samotný kľúč WEP. Pri otvorenom overovaní, aj keď sa klient overí a získa prístup k skupine používateľov prístupového bodu, použitie zabezpečenia WEP zabráni klientovi v prenose údajov z tohto prístupového bodu bez správneho kľúča WEP. Kľúče WEP môžu mať 40 alebo 128 bitov a zvyčajne ich staticky určuje správca siete v prístupovom bode a každý klient, ktorý prenáša údaje cez tento prístupový bod. So statickými kľúčmi WEP musí správca siete stráviť veľa času zadávaním rovnakých kľúčov do každého zariadenia v sieti WLAN. Ak dôjde k strate alebo krádeži zariadenia, ktoré používa statické kľúče WEP, vlastník chýbajúceho zariadenia môže získať prístup k sieti WLAN. Správca nebude môcť určiť, že do siete vstúpil neoprávnený používateľ, kým nebude nahlásená strata. Správca potom musí zmeniť kľúč WEP na každom zariadení, ktoré používa rovnaký statický kľúč WEP ako chýbajúce zariadenie. Vo veľkej podnikovej sieti so stovkami alebo dokonca tisíckami používateľov to môže byť ťažké. Ešte horšie je, že ak by bol statický kľúč WEP dešifrovaný pomocou nástroja ako AirSnort, správca by nikdy nevedel, že kľúč bol kompromitovaný neoprávneným používateľom. Niektorí poskytovatelia riešení WLAN podporujú autentifikáciu na základe fyzickej adresy alebo MAC adresy, klientskej sieťovej karty (NIC). Prístupový bod umožní klientovi spojiť sa s prístupovým bodom iba vtedy, ak sa MAC adresa klienta zhoduje s jednou z adries v autentifikačnej tabuľke používanej prístupovým bodom. Autentifikácia MAC adresy však nie je adekvátnym bezpečnostným opatrením, pretože MAC adresa môže byť sfalšovaná a sieťová karta môže byť stratená alebo odcudzená;

3. Základné zabezpečenie pomocou predzdieľaných kľúčov WPA alebo WPA2 Ďalšou v súčasnosti dostupnou formou základného zabezpečenia je WPA alebo WPA2 pomocou predzdieľaného kľúča (PSK). Zdieľaný kľúč overuje používateľov pomocou hesla alebo identifikačného kódu (nazývaného aj prístupová fráza) na klientskej stanici aj na prístupovom bode. Klient môže pristupovať k sieti iba vtedy, ak sa heslo klienta zhoduje s heslom prístupového bodu. Zdieľaný kľúč tiež poskytuje údaje na generovanie šifrovacieho kľúča, ktorý používa TKIP alebo AES pre každý prenášaný paket údajov. Aj keď je zdieľaný kľúč bezpečnejší ako statický kľúč WEP, je podobný statickému kľúču WEP v tom, že je uložený na klientskej stanici a môže byť ohrozený v prípade straty alebo krádeže klientskej stanice. Odporúča sa použiť silnú spoločnú prístupovú frázu, ktorá obsahuje rôzne písmená, čísla a nealfanumerické znaky;

4. Súhrn základného zabezpečenia. Základné zabezpečenie siete WLAN založené na kombinácii SSID, otvoreného overovania, statických kľúčov WEP, overovania MAC a vopred zdieľaných kľúčov WPA/WPA2 je dostatočné len pre veľmi malé podniky alebo tie, ktoré neveria svojim sieťam WLAN životne dôležitým údajom. Všetky ostatné organizácie sa vyzývajú, aby investovali do robustných riešení zabezpečenia WLAN podnikovej triedy;

5. Zvýšená bezpečnosť. Vylepšená úroveň zabezpečenia sa odporúča pre tých zákazníkov, ktorí vyžadujú zabezpečenie a ochranu podnikovej triedy. Vyžaduje si to pokročilý bezpečnostný nástroj, ktorý plne podporuje WPA a WPA2 so stavebnými blokmi obojsmernej autentifikácie 802.1X a šifrovania TKIP a AESB, ktorý zahŕňa nasledujúce funkcie:

802.1X pre silnú obojsmernú autentifikáciu a dynamické šifrovacie kľúče pre každého používateľa a každú reláciu;

TKIP pre rozšírenia šifrovania založené na RC4, ako je ukladanie kľúčov do vyrovnávacej pamäte (na paket), kontrola integrity správ (MIC), zmeny inicializačného vektora (IV) a rotácia vysielacieho kľúča;

AES pre šifrovanie údajov na vládnej úrovni, maximálna bezpečnosť;

Systém prevencie prieniku (IPS) a funkcie sledovania predplatiteľov poskytujú transparentné zobrazenie siete v reálnom čase.

6. Bezpečnosť bezdrôtových lokálnych sietí a vzdialeného prístupu. V niektorých prípadoch môže byť na ochranu aplikácií potrebné zastrešujúce zabezpečenie. Pomocou zabezpečeného vzdialeného prístupu môžu správcovia nastaviť virtuálnu súkromnú sieť (VPN) a umožniť mobilným používateľom komunikovať s podnikovou sieťou z verejných hotspotov, ako sú letiská, hotely a konferenčné miestnosti. Pri nasadení v podniku pokrýva vylepšené bezpečnostné riešenie všetky bezpečnostné požiadavky sietí WLAN, vďaka čomu nie je potrebné používať siete VPN v podnikovej sieti WLAN. Používanie siete VPN na internej sieti WLAN môže ovplyvniť výkon siete WLAN, obmedziť možnosti roamingu a sťažiť používateľom prihlásenie do siete. Dodatočná réžia a obmedzenia spojené s prekrytím VPN na internej sieti WLAN sa teda nepovažujú za potrebné.

V dôsledku toho môžeme konštatovať, že kvalitný prístup a správa súkromia je dôležitá na zabezpečenie informačnej bezpečnosti akejkoľvek siete, nielen bezdrôtovej. Na tento účel sa v súčasnosti aktívne implementujú štyri samostatné riešenia: otvorený prístup, základné zabezpečenie, rozšírené zabezpečenie a zabezpečenie vzdialeného prístupu.

Pri správnom vybudovaní ochrany siete a dodržiavaní všetkých predpisov bude bezpečnosť siete na vysokej úrovni, čo útočníkom výrazne skomplikuje prístup do bezdrôtovej siete.

3. Hodnotenie potreby a účinnosti riešenia zabezpečenia bezdrôtovej siete

3.1 Posúdenie potreby zabezpečenia bezdrôtovej siete

Zatiaľ čo väčšina spoločností už má nasadený nejaký druh bezdrôtovej siete, zvyčajne majú veľa otázok o bezpečnosti zvolených riešení a generálni riaditelia, ktorí sa vyhýbajú bezdrôtovým technológiám, sa obávajú nevyužitých príležitostí na zvýšenie produktivity a zníženie nákladov na infraštruktúru.

Lídri v mnohých organizáciách uznávajú, že bezdrôtové technológie môžu zlepšiť produktivitu a spoluprácu, no váhajú, či sa pustiť do ich implementácie, pretože sa obávajú zraniteľností, ktoré by sa mohli objaviť v podnikovej sieti v dôsledku používania bezdrôtových sietí. Rozmanitosť navrhovaných metód na zabezpečenie bezdrôtovej komunikácie a nezhody týkajúce sa ich účinnosti tieto pochybnosti len umocňujú.

So zavádzaním bezdrôtových technológií v stredne veľkej spoločnosti je spojených veľa výziev, ktoré vás nútia premýšľať nielen o zabezpečení vašej bezdrôtovej siete, ale aj o tom, či ju vôbec potrebujete.

Bežné problémy, s ktorými sa možno vysporiadať prostredníctvom správnej implementácie bezpečnostnej politiky, o ktorej sa hovorí v kapitole 2:

Rozhodnite sa, či nasadiť bezdrôtovú sieť;

Uvedomenie a zníženie rizika spojeného so zavádzaním bezdrôtových technológií;

Určenie prístupu k ochrane bezdrôtovej siete;

Výber optimálnych technológií na ochranu bezdrôtovej siete;

Kontrola úrovne zabezpečenia nasadenej bezdrôtovej siete;

Integrácia existujúcich prostriedkov do bezdrôtového bezpečnostného riešenia;

Zistiť a zabrániť neoprávnenému pripojeniu k bezdrôtovej sieti.

Výhody bezdrôtových sieťových technológií možno rozdeliť do dvoch kategórií: funkčné a ekonomické.

Funkčné výhody zahŕňajú zníženie nákladov na riadenie a nižšie kapitálové výdavky, zatiaľ čo ekonomické výhody zahŕňajú zvýšenie produktivity práce, zlepšenie efektívnosti obchodných procesov a ďalšie príležitosti na vytváranie nových obchodných funkcií.

Väčšina hlavných ekonomických výhod spojených s bezdrôtovými sieťami je výsledkom zvýšenej flexibility a mobility zamestnancov. Bezdrôtová technológia odstraňuje obmedzenia, ktoré nútia zamestnancov sedieť za stolom, čo umožňuje relatívne voľný pohyb po kancelárii alebo kancelárskej budove.

No napriek všetkým výhodám existujú aj nevýhody, najmä technologické, ktoré sa prejavujú v zraniteľnosti bezdrôtovej siete prostredníctvom rôznych útokov zo strany zlodejov (tomu bola venovaná časť 1.2 tejto práce).

Len čo sa zistili takéto technologické nedostatky bezdrôtových sietí prvej generácie, začala sa aktívna práca na ich odstraňovaní. Zatiaľ čo niektoré spoločnosti pracovali na zlepšení bezdrôtových štandardov, mnohé analytické firmy, predajcovia sieťového zabezpečenia atď.

V dôsledku toho bolo vyvinutých niekoľko prístupov k zabezpečeniu bezdrôtových sietí.

Existuje mnoho faktorov, ktoré je potrebné analyzovať pri hodnotení toho, ako môžete chrániť svoju bezdrôtovú sieť. Toto hodnotenie by malo brať do úvahy rôzne metriky, od nákladov na implementáciu a správu riešenia až po jeho celkovú bezpečnosť. Všetky vyššie uvedené prístupy majú výhody a nevýhody, takže sa musíte s každým z nich lepšie oboznámiť, aby ste sa mohli informovane rozhodnúť.

Najnovšie štandardy bezdrôtového zabezpečenia, WPA a WPA2, odstránili vážne nedostatky vo WEP a urobili riešenia, ako je IPsec alebo technológia VPN, zbytočnými. Používanie statického alebo dynamického WEP sa už neodporúča v žiadnej forme a deaktivácia zabezpečenia je výhodná len v niekoľkých situáciách. Pri vývoji komplexného a efektívneho riešenia zabezpečenia bezdrôtovej siete je teda potrebné zvážiť iba dva prístupy.

Wi-Fi Protected Access (WPA) a Wi-Fi Protected Access 2 (WPA2) sú špeciálne navrhnuté tak, aby blokovali hrozby pre bezdrôtové siete založené na štandarde IEEE 802.11. Sú však medzi nimi určité rozdiely.

WPA bol vyvinutý v roku 2003 na odstránenie nedostatkov štandardu WEP. WPA odviedla dobrú prácu implementáciou podpory vzájomnej autentifikácie, šifrovania údajov TKIP a kontroly integrity podpísaných správ na ochranu pred útokmi typu spoofing alebo replay.

WPA2 je ešte bezpečnejší, pretože na zabezpečenie sieťovej prevádzky používa AES namiesto TKIP. Preto by mal byť vždy uprednostňovaný pred WPA.

WPA a WPA2 sú z hľadiska zabezpečenia výrazne lepšie ako WEP a pri správnom nastavení zabezpečenia nie sú známe žiadne zraniteľné miesta ani v prvom, ani v druhom prípade. WPA2 sa však považuje za bezpečnejšie ako WPA a ak ho infraštruktúra podporuje a dodatočná réžia na správu riešenia WPA2 je prijateľná, potom by sa malo zvoliť.

Väčšina AP vyrábaných dnes a najnovšie verzie OS majú certifikát WPA2. Ak vaše prostredie nemá žiadne prístupové body alebo klientske počítače, ktoré podporujú WPA2, bezdrôtové zariadenia a klientske systémy, ktoré podporujú WPA2, môžu používať starší štandard WPA.

Nemali by sme zabúdať ani na takú možnosť rozvoja spoločnosti, ako je odmietnutie nasadenia bezdrôtovej siete. Medzi odborníkmi na bezpečnosť existuje príslovie, ktoré hovorí: "Najlepšie chránený systém je ten, ktorý sa nikto nikdy nezapne." Najspoľahlivejším spôsobom ochrany pred zraniteľnosťami, ktoré sú súčasťou bezdrôtových sietí alebo akejkoľvek inej technológie, je teda ich neimplementovať. Nevýhoda tohto prístupu je zrejmá: spoločnosť, ktorá odmietne implementovať akúkoľvek technológiu, sa môže v dnešných ekonomických podmienkach ukázať ako nekonkurencieschopná, keď akákoľvek výhoda, vrátane technologickej, môže byť rozhodujúcim faktorom úspechu.

Ako už bolo spomenuté, pred zavedením akejkoľvek novej technológie v konkrétnej spoločnosti je potrebné posúdiť potreby spoločnosti, jej odolnosť voči riziku a skutočné riziko. Bezdrôtová technológia nie je výnimkou. Bezdrôtové siete majú množstvo výhod, ale pre konkrétnu organizáciu nemusia byť tieto výhody také dôležité, alebo dokonca irelevantné.

Pri výbere bezpečného bezdrôtového riešenia musíte zvážiť všetky možnosti vrátane odmietnutia bezdrôtovej technológie. Ak sa zistí, že organizácia nie je pripravená na nasadenie bezdrôtovej siete, toto rozhodnutie by sa malo premietnuť do súčasnej podnikovej politiky, aby sa predišlo oslabeniu ochrany prostredia podnikovej siete v dôsledku svojvoľného vytvárania bezdrôtových sietí koncovými používateľmi.

3.2 Vývoj algoritmu na hodnotenie účinnosti ochrany bezdrôtovej siete

Na určenie výhodnosti konkrétneho spôsobu ochrany bezdrôtovej siete je vhodné posúdiť jej bezpečnosť.

Je to dôležité najmä z toho dôvodu, že často sú bezdrôtové siete nasadené pre riadenie spoločnosti. V súlade s tým má útočník, ktorý získa prístup do bezdrôtového segmentu, možnosť nielen využívať zdroje spoločnosti na svoje vlastné účely, ale tiež získať prístup k dôverným informáciám a blokovať prácu používateľov s vysokou prioritou.

...

Podobné dokumenty

Bezdrôtová technológia na prenos informácií. Vývoj bezdrôtových lokálnych sietí. bezpečnostný štandard WEP. Postup šifrovania WEP. Hackovanie bezdrôtovej siete. Režim skrytého identifikátora siete. Typy a protokoly autentifikácie. Hackovanie bezdrôtovej siete.

abstrakt, pridaný 17.12.2010


Vývoj technológie informačnej bezpečnosti pre bezdrôtové siete, ktorá môže byť použitá na zvýšenie ochrany počítača používateľa, podnikových sietí, malých kancelárií. Analýza hrozieb a bezdrôtové zabezpečenie. Nastavenie programu WPA.

práca, pridané 19.06.2014


Charakteristika štandardu IEEE 802.11. Hlavné oblasti použitia bezdrôtových počítačových sietí. Metódy budovania moderných bezdrôtových sietí. Základné oblasti služieb BSS. Typy a odrody spojení. Prehľad mechanizmov prístupu do prostredia.

abstrakt, pridaný dňa 12.01.2011


Vývoj sieťových bezpečnostných systémov. Firewally ako jeden z hlavných spôsobov ochrany sietí, implementácia mechanizmov riadenia prístupu z externej siete do internej pomocou filtrovania všetkej prichádzajúcej a odchádzajúcej prevádzky. Správa bezpečnosti siete.

semestrálna práca pridaná dňa 12.07.2012


Klasifikácia sieťových útokov podľa úrovne modelu OSI, podľa typu, podľa polohy útočníka a napadnutého objektu. Problém bezpečnosti IP sietí. Hrozby a zraniteľnosti bezdrôtových sietí. Klasifikácia systémov na detekciu útokov IDS. Koncept XSpider.

semestrálna práca pridaná 11.04.2014


Stanovenie v procese skúmania efektívneho spôsobu ochrany informácií prenášaných cez sieť Wi-Fi. Princípy fungovania siete Wi-Fi. Metódy neoprávneného prístupu k sieti. Bezpečnostné algoritmy pre bezdrôtové siete. Nepevný charakter spojenia.

semestrálna práca, pridaná 18.04.2014


Vývojové obdobia a základné štandardy moderných bezdrôtových sietí. História vzniku a rozsahu technológie Bluetooth. Technológia a princíp fungovania technológie bezdrôtového prenosu dát Wi-Fi. WiMAX je štandard metropolitnej bezdrôtovej siete.

prezentácia pridaná 22.01.2014


Výber a zdôvodnenie technológií budovania lokálnych sietí. Analýza média na prenos údajov. Výpočet výkonu siete, usporiadanie priestorov. Výber sieťového softvéru. Typy štandardov pre bezdrôtový prístup k internetu.

ročníková práca, pridaná 22.12.2010


Používanie počítačových sietí na prenos dát. Hlavné výhody používania podnikových sietí, ktoré sú chránené pred vonkajším prístupom, či už fyzicky alebo pomocou hardvérových a softvérových firewallov. Firewall a šifrovacie algoritmy.

práca, pridané 25.09.2014


Potreba vypracovať bezpečnostnú politiku pre používanie sieťových zdrojov pre podnik. Analýza jeho základných prvkov. Hardvér a softvér pre bezpečnosť počítačových sietí. Spôsoby zvýšenia úrovne bezpečnosti, rady používateľom.