Безпека бездротових мереж

1. Безпека бездротових мереж Бездротові комп'ютерні мережі все ширше розповсюджуються в Росії і світі....
2. Прослуховування трафіку мережі
3. Несанкціоноване вторгнення в мережу
4. висновок

Безпека бездротових мереж

Бездротові комп'ютерні мережі все ширше розповсюджуються в Росії і світі. Стримують поширення радіомереж велика (в порівнянні з обладнанням провідних мереж) вартість, необхідність реєстрації радіообладнання, а також стійка репутація технології з низьким рівнем захисту.

Однак ціна обладнання постійно знижується, процедури реєстрації хоча і повільно, але спрощуються, а питання безпеки залишається відкритим. В даній статті робиться спроба відповісти на це питання.

Відразу слід зазначити, що бездротові мережі відрізняються від кабельних тільки на перших двох - фізичному (Phy) і частково канальному (MAC) - рівнях семиуровневой моделі взаємодії відкритих систем. Більш високі рівні реалізуються як в провідних мережах, а реальна безпека мереж забезпечується саме на цих рівнях. Тому різниця в безпеці тих і інших мереж зводиться до різниці в безпеці фізичного і MAC-рівнів.

Прийнято вважати, що безпеки бездротових мереж загрожують:

• порушення фізичної цілісності мережі;
• підслуховування трафіку;
• вторгнення в мережу.

Загрозу мережевої безпеки можуть представляти природні явища і технічні пристрої, проте тільки люди (незадоволені звільнені службовці, хакери, конкуренти) впроваджуються в мережу для навмисного отримання або знищення інформації і саме вони становлять найбільшу загрозу.

Порушення фізичної цілісності мережі

Цілісність же провідної мережі може бути порушена в результаті випадкового або навмисного пошкодження кабельної проводки і мережевого устаткування. Порушення може бути припинено обмеженням доступу до мережі потенційних зловмисників і тому малоймовірно.

Цілісність же бездротової мережі може бути порушена в результаті дії випадкових або навмисних перешкод в радіоканалі. Джерела випадкових перешкод - природні явища, що призводять до збільшення рівня шумів, і технічні засоби: діючі СВЧ-печі, медичне і промислове СВЧ-обладнання та інші пристрої, що працюють в тому ж діапазоні. Як джерела навмисних перешкод можуть бути використані всі ці кошти, а також спеціальні генератори перешкод. Результатом втручання може бути повне або часткове порушення цілісності мережі протягом всього часу роботи джерел перешкод.

Таким чином, загроза порушення фізичної цілісності радіомережі, на відміну від провідної мережі, цілком реальна. Вона менше при роботі бездротової мережі всередині будинків, де є можливість контролю джерел випромінювань. Для зовнішніх радіомереж таку функцію виконує служба радіоконтролю, яка зобов'язана вживати заходів щодо припинення випромінювань, що створюють перешкоди зареєстрованим радіозасобам. Таким чином, завдання відновлення фізичної цілісності радіомережі вирішувана (теоретично) адміністративними методами

.

У бездротовому устаткуванні стандарту IEEE 802.11 передбачено спеціальні заходи захисту від порушення цілісності мережі: розширення спектра сигналу в варіанті DSSS або FHSS (див. PC Magazine / RE, 10/99, с. 184). Найбільш поширене в Росії і країнах СНД обладнання компаній Aironet і Lucent Technologies реалізує технологію DSSS, а BreezeCOM - FHSS. У разі DSSS забезпечується виграш при обробці близько 10 дБ, т. Е. Дія перешкоди послаблюється в середньому в 10 разів, а при використанні FHSS спотворений

перешкодою пакет даних повторно передається на іншій частоті. Зрозуміло, ці заходи не забезпечують повного захисту від усіх можливих перешкод.

Прослуховування трафіку мережі

Реалізація прослуховування трафіку мережі - суть промислового шпигунства.

Стосовно до дротових мереж небезпека прослуховування реальна в разі мереж на неекранованої кручений парі, випромінювання якої може бути досить просто перехоплено і дешифровано за допомогою сучасних технічних засобів. (Такі шпигунські засоби зазвичай розміщуються за межами будівель, в яких розгорнуто мережу.) У мережах на екранованої кручений парі або коаксіальному кабелі випромінювання істотно нижче і ймовірність перехоплення і прослуховування інформаційних потоків мала.

Радіомережа, функціонування якої передбачає випромінювання, може бути прослухано практично з будь-якої точки зони радиовидимости мережі. Однак на відміну від провідної мережі складніша структура сигналу, яка використовується в радіомережах, забезпечує деяку додаткову захист завдяки ускладненню синхронізації підслуховуючих пристроїв. Крім того, оскільки структура сигналу зафіксована в стандарті, це не можна вважати серйозним захистом. Захист можлива тільки при технології FHSS, коли використовується не стандартна, а задана користувачем послідовність стрибків частоти.

Для зниження загрози прослуховування стандарт IEEE 802.11 передбачає шифрування інформації за алгоритмом

з 40-розрядним ключем і 24-розрядних вектором ініціалізації. Існують також різновиди бездротового обладнання, що використовують 104-розрядний ключ з 24-біт вектором ініціалізації (наприклад, бездротові мережеві адаптери WaveLAN Gold фірми Lucent Technologies), однак експорт подібних продуктів за межі країн-виробників заборонений.

Несанкціоноване вторгнення в мережу

Для вторгнення в мережу необхідно до неї підключитися. У разі провідної мережі потрібно електричне з'єднання, бездротової - досить опинитися в зоні радиовидимости мережі з обладнанням того ж типу, на якому побудована мережа.

У провідних мережах основний засіб захисту на фізичному і MAC-рівнях - адміністративний контроль доступу до обладнання, недопущення зловмисника до кабельної мережі. У мережах, побудованих на керованих комутаторах, доступ може додатково обмежуватися по MAC-адресами мережевих пристроїв.

У бездротових мережах для зниження ймовірності несанкціонованого доступу передбачений контроль доступу по MAC-адресами пристроїв і той же самий WEP . Оскільки контроль доступу реалізується за допомогою точки доступу, він можливий тільки при інфраструктурної топології мережі [1]. Механізм контролю має на увазі завчасне складання таблиці MAC-адрес дозволених користувачів в точці доступу і забезпечує передачу тільки між зареєстрованими бездротовими адаптерами. При топології "ad-hoc" (кожен з кожним) контроль доступу на рівні радіомережі не передбачений.

Для проникнення в бездротову мережу зловмисник повинен:

• мати бездротове обладнання, сумісне з використовуваним в мережі (стосовно до стандартного устаткування - відповідної технології - DSSS або FHSS);
• при використанні в обладнанні FHSS нестандартних послідовностей стрибків частоти пізнати, а
• знати ідентифікатор мережі, що закриває інфраструктуру і єдиний для всієї логічної мережі (SSID);
• знати (у випадку з DSSS), на який з 14 можливих частот працює мережа, або включити режим автосканування;
• бути занесеним в таблицю дозволених MAC-адрес в точці доступу при інфраструктурної топології мережі;
• знати 40-розрядний ключ шифру WEP в разі, якщо в бездротової мережі ведеться шифрована передача.

Вирішити всі це практично неможливо, тому ймовірність несанкціонованого входження в бездротову мережу, в якій прийняті передбачені стандартом заходи безпеки, можна вважати дуже низькою.

висновок

Таким чином, не всі так погано з безпекою бездротових мереж. При правильній побудові радіомережі найбільш ймовірну загрозу безпеці представляє порушення фізичної цілісності, нехарактерне для дротових мереж. Що робити. За переваги радіомереж, пов'язані з відсутністю кабельної інфраструктури, доводиться платити.

Результати якісного порівняння ймовірностей небезпек, які загрожують роботі мережі, зведені в

і можуть бути враховані при прийнятті рішення про розгортання радіомереж. При цьому слід мати на увазі, що в радіомережах без будь-яких обмежень можуть застосовуватися засоби забезпечення безпеки, що надаються операційними системами і програмно-апаратними засобами моніторингу мереж.