Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.Allbest.ru/
Размещено на http://www.Allbest.ru/
Министерство образования и науки Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования
Национальный исследовательский Нижегородский государственный университет им. Н.И. Лобачевского
Арзамасский филиал
Физико-математический факультет
Кафедра прикладной информатики
Курсовая работа
Анализ методов защиты беспроводных сетей
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
В современном мире, какую бы сферу человеческой деятельности мы не взяли, практически в каждой можно заметить использование беспроводных сетей. Такое повсеместное использование беспроводных сетей связано с тем, что ими можно пользоваться не только на персональных компьютерах, но и на мобильных устройствах, а также их удобством, связанным с отсутствием кабельных линий и сравнительно небольшой стоимостью. Беспроводные сети удовлетворяют совокупности требований к качеству, скорости, защищенности, радиусу приема. Особое внимание необходимо уделять защищенности, как одному из самых важных факторов.
С ростом применения беспроводных сетей, перед пользователями возникает проблема - защита информации от неправомерного доступа к этой сети. В данной работе рассмотрены основные угрозы и методы защиты от них при использовании беспроводной сети для передачи информации .
Актуальность создания условий безопасного пользования беспроводной сетью обусловлена тем, что в отличие от проводных сетей, где необходимо вначале получить физический доступ к кабелям системы, в беспроводных сетях данные оказываются доступными при помощи обычного приемника, находящегося в районе распространения сети.
Однако при различной физической организации сетей, создание безопасности проводных и беспроводных сетей одинаково. При организации безопасности данных при передаче в беспроводных сетях необходимо больше уделять внимание обеспечению невозможности утечки и целостности информации, проверке идентичности пользователей и точек доступа.
Объект исследования в данной работе - средства защиты информации в беспроводных сетях.
Предмет исследования - технологии защиты информации в беспроводных сетях от несанкционированного доступа.
Целью курсовой работы является изучение методов повышения защиты данных при передаче с помощью беспроводных сетей.
Для достижения цели курсовой работы необходимо выполнить следующие задачи:
1) изучить, как выполняется передача данных в беспроводной сети;
2) исследовать виды угроз и их отрицательное воздействие на работу беспроводных сетей;
3) проанализировать средства, при помощи которых возможна защита информации беспроводных сетей;
4) проанализировать системы отслеживания вторжений и рассмотреть работу одной из них.
При передаче информации в беспроводных сетях используются три составляющих: радиосигналы, структура сети и формат данных. В отдельности каждый из этих элементов не зависит от других, поэтому, при разработке новой сети, нужно проработать каждую из составляющих. В сетевую структуру входят сопрягающие устройства -- адаптеры интерфейсов и передающие и принимающие станции. В беспроводной сети адаптеры на каждом устройстве выполняют преобразование цифровых данных в радиосигналы, которые затем передаются на другие устройства сети и снова преобразуются обратно в цифровые данные .
В IEEE (Institute of Electrical and Electronics Engineers - Институт инженеров по электротехнике и электронике) был создан набор стандартов и спецификаций для беспроводных сетей, имеющий названием "IEEE 802.11", который определяет вид передаваемых сигналов. На данный момент наиболее применяемой спецификацией является 802.11b. Этот стандарт используется почти в каждой Ethernet-сети. Необходимо учитывать развитие других стандартов, однако на сегодняшний день 802.11b наиболее приспособлен для применения, особенно при расчете подключения к сетям, где невозможно самостоятельное управление всеми устройствами. Сети со спецификацией 802.11b работают в диапазоне радиочастот 2,4 ГГц, который задействован в подавляющем большинстве стран для радио-служб без лицензий, имеющих соединения точка-точка с распределением спектра .
На данный момент существует четыре основных стандарта Wi-Fi:
1) В сетях со стандартом 802.11a данные передаются на частоте 5 ГГц со скоростью до 54 Мбит/с. Этот стандарт предоставляет более удачную технику кодирования, которая предусматривает деление исходящего сигнала на несколько составляющих. Данный метод передачи предоставляет возможность уменьшить влияние помех.
2) Стандарт 802.11b является самым медленным и наиболее дешёвым. В определённый период из-за невысокой стоимости, он широко использовался, но в данное время вытесняется более скоростными стандартами по мере снижения их цены. Стандарт 802.11b работает на частоте 2,4 ГГц. Скорость передачи данных составляет до 11 Мбит/с.Для повышения скорости выполняются преобразования с дополняющим кодом.
3) Стандарт 802.11g также работает на частоте 2,4 ГГц, при этом обеспечивается намного большая скорость передачи данных - до 54 Мбит/с. В стандарте 802.11g используется такое же кодирование данных OFDM, как и в стандарте 802.11a.
4) В стандарте 802.11n ещё больше увеличена скорость передачи данных, а также изменён частотный диапазон. Стандарт 802.11n обеспечивает скорость передачи данных 140 Мбит/с.
К популярным технологиям, производитель Wi-Fi Alliance создал дополнительные стандарты для специализированного использования. К таким спецификациям, которые выполняют обслуживающую работу, относятся:
802.11d -- выполняет сопряжение между устройствами беспроводной сети различных производителей;
802.11e -- определяет качество передаваемых медиа-файлов;
802.11f -- регулирует многообразием точек доступа разнообразных производителей, позволяя без проблем работать в различных сетях;
802.11h -- делает невозможным уменьшение качества сигнала при воздействии метеорологических и военных устройств;
802.11i -- в данном стандарте используется улучшенная защита личной информации при передаче данных;
802.11k -- регулирует нагрузку беспроводной сети и переключает пользователей на другие точки доступа;
802.11m -- включает исправления стандартов 802.11;
802.11p -- идентифицирует Wi-Fi-устройства, которые находятся на расстоянии до 1 км и движутся со скоростью до 200 км/ч;
802.11r -- автоматически идентифицирует беспроводную сеть в роуминге и выполняет подключение к ней мобильных устройств;
802.11s -- выполняет полно-связное подключение, в котором каждое мобильное устройство может работать как маршрутизатор или точка доступа;
802.11t -- этот стандарт тестирует всю сеть 802.11, определяет способы мониторинга и его результаты, предоставляет требования для нормальной работы оборудования;
802.11u -- стандарт выполняет взаимную связь беспроводных и внешних сетей;
802.11v -- выполняется совершенствование стандарта 802.11;
802.11y -- недоработанная технология, позволяющая связать частоты 3,65-3,70 ГГц;
802.11w -- данный стандарт предоставляет способы улучшения защиты доступа при передаче информации.
Современный и наиболее технологичный стандарт 802.11ас.Устройства стандарта 802.11ас дают возможность ощутить более высокое качество работы в интернете .
Среди улучшенных характеристик этой модификации можно выделить следующие:
Высокая скорость. В сети со стандартом 802.11ас применяются более широкие каналы и увеличенная частота передачи данных, что позволяет развить теоретическую скорость до 600 Мбит/с. Кроме скорости, сеть на стандарте 802.11ас передаёт больший объем данных за один такт.
Увеличенный диапазон частот. Модификация 802.11ас имеет целую совокупность частот 5 ГГц. Эта технология обладает более высокую амплитуду сигналов.
Зона покрытия сети 802.11ас. Этот стандарт предоставляет увеличенный радиус действия сети. Отсутствует влияние внешних устройств на работу сети.
Обновлённые технологии. 802.11ас включает расширение MU-MIMO, обеспечивающее непрерывную работу в сети нескольких устройств.
Устройства Wi-Fi работают в одном из трех частотных диапазонов . Возможно быстрое переключение передающих частот из одного диапазона в другой. Это дает возможность уменьшить влияние помех на сигнал и использовать возможности беспроводной связи различными устройствами.
Угрозы, возникающие в беспроводных сетях при передаче информации, разделяют на два вида:
1) Прямые - возникают при передаче информации по беспроводному интерфейсу IEEE 802.11;
2) Косвенные - связаны с присутствием на определённой территории и рядом с ней большого количества Wi-Fi-сетей.
Прямые угрозы
Канал передачи данных, используемый в беспроводных сетях может подвергаться внешнему влиянию с целью использования личных сведений, нарушения целостности и доступности информации. В беспроводных сетях существуют как аутентификация, так и шифрование, однако эти возможности защиты имеют свои недостатки. Возможности блокирования передачи данных в канале беспроводных сетей не уделено должного внимания при разработке технологии. Такое блокирование канала не представляет опасности, так как беспроводные сети выполняют вспомогательную роль, но блокирование может являтся подготовительным этапом для атаки "человек посередине", в которой когда пользователем и точкой доступа возникает третье устройство, перенаправляющее информацию через себя. Такое воздействие предоставляет возможность преобразовывать информацию .
Чужаки (RogueDevices, Rogues) - это устройства, позволяющие воспользоваться неавторизованным доступом к корпоративной сети, в обход защитных решений, заданных политикой безопасности. Отказ от использования беспроводных сетей не предоставляет защититу от беспроводных атак, если в сети возникнет чужак. В роли такого устройства могут быть такие, у которых есть оба вида интерфейсов: точки доступа, проекторы, сканеры, ноутбуки с подключённым интерфейсом и т.д .
Нефиксированная природа связи
Устройства беспроводной связи могут изменять точки подключения к сети уже во время работы. К примеру, могут возникать «случайные ассоциации», когда устройство с ОС Windows XP (с доверием работающая со всеми беспроводными сетями) или неправильно настроенный клиент беспроводной сети, который автоматически подключается к ближайшей беспроводной сети. В этом случае злоумышленник подсоединяет к себе пользователя для дальнейшего прослеживания уязвимости, фишинга или атаки «человек посередине» .
А если клиент одновременно соединен и с проводной сетью, то он начинает выполнять роль точки входа - чужака.
Если же пользователь, подключённый к внутренней сети и имеющий беспроводной интерфейс, переключается на ближайшую точку доступа, то вся защита сети уничтожается.
Возможны и другие проблемы, например, сети Ad-Hoc, предоставляющие возможность передачи файлов по беспроводной связи на принтер. Такая структура сети не выполняет многие задачи безопасности, что ставит их в роль лёгкой добычи для злоумышленников. Новые технологии VirtualWiFi и Wi-Fi Direct также слабы в защитных функциях .
Неправильно настроенные устройства, устройства с короткими ключами шифрования, устройства, которые используют слабые методы аутентификации подвержены нападению в первую очередь. По отчётам аналитиков, основная часть несанкционированных вмешательств происходит из-за некорректно сконфигурированных точек доступа и не настроенного программного обеспечения пользователя.
Некорректно сконфигурированные точки доступа
Для взлома сети достаточно подключить к ней точку доступа с неправильными настройками. Настройки, заданные «по умолчанию» не создают шифрование и аутентификацию, а также применяют ключи, описанные в руководстве и поэтому доступные всем. При таких настройках, если пользователь недостаточно серьёзно позаботится о безопасной конфигурации устройства, то именно такая привнесённая точка доступа и является основной угрозой для защищённых сетей .
Беспроводные клиенты с неправильной конфигурацией
Неправильно настроенные устройства клиентов не настраиваются специально для безопасности внутренней беспроводной сети организации. При этом они находятся как вне контролируемой зоны, так и внутри неё, что позволяет злоумышленнику создавать разнообразные атаки.
Взлом шифрования
Защищённость WEP очень слаба. В Интернете есть множество специального программного обеспечения для взлома этой технологии, которое выбирает статистику трафика так, чтобы её было достаточно для воссоздантя ключа шифрования. В стандартах WPA и WPA2 также имеются уязвимости различной степени опасности, которые позволяют их взлом . В данном отношении в положительном ракурсе можно рассматривать технологию WPA2-Enterprise (802.1x) .
Отказы в обслуживании
DoS (Denial of Service) - это негативное внешнее воздействие, направленное на вычислительные ресурсы сервера или рабочей станции, которое проводится для приведения этих систем к состоянию отказа. Под отказом подразумевается не физический выход устройства из строя, а невозможность доступа к ее ресурсам для клиентов сети, то есть отказ системы в их обслуживании.
Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких - DDoS (ДиДоС или ДДоС), что означает «Distributed Denial of Service» - распределенное доведение до отказа в обслуживании.
Принцип действия DoS и DDoS - атак заключается в отправке на сервер большого потока информации, который под загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.
DoS атаки применяютсядля нарушения качества работы сети или для абсолютного прекращения доступа клиентов к сетям. В случае Wi-Fi сети заметить источник, загружающий сеть «мусорными» пакетами, оченьнепросто- его нахождениеопределяется лишь зоной покрытия. При этомсуществует аппаратный вариант этой атаки - установливается достаточно сильный источник помех в необходимом частотном диапазоне .
Как средства защиты от часто встречающихся угроз в беспроводных сетях используется такие технологии как:
WEP (Wired Equivalent Privacy) - метод обеспечения безопасности сети, доступен для работы с устаревшими устройствами, но его применение не приветствуется из-за относительно легкого взлома защиты. При использовании протокола WEP настраивается ключ безопасности сети, который выполняет шифрование данных, передаваемых компьютером через сеть другим устройствам.
Используют два метода защиты WEP :
1) проверка подлинности в открытой системе;
2) проверка подлинности с использованием общих ключей.
Эти методы не обеспечивают высокого уровня безопасности, однако способ аутентификации в открытой системе считается более безопасным. Для большинства устройств, при использовании общих ключей, ключ аутентификации идентичен статическому ключу шифрования WEP, который применяется для создания безопасности передачи данных. Перехватив сообщение для идентификации, можно, применяя средства анализа, сначала определить ключ проверки подлинности с применением общих ключей, а после - статический ключ WEP-шифрования, после чего становится открыт полный доступ к сети.
WPA (Wi-Fi Protected Access) - это обновлённая программа сертификации устройств, входяших в беспроводную связь. Режим WPA включает несколько составляющих :
Стандарт 802.1x --протокол применяется для установления подлинности, учета и авторизации;
Стандарт TKIP -- протокол целостности ключей во времени;
Стандарт EAP -- расширяемый протокол установления подлинности;
MIC -- выполняет криптографическую проверку целостности переданных пакетов;
Протокол RADIUS
Шифрование информации в WPA производит протокол TKIP, использующий такой же алгоритм шифрования что WEP (RC4), но при этом использует динамические (часто меняющиеся) ключи. В этой технологии применяется более длинный вектор инициализации, а для подтверждения целостности пакетов используется криптографическая контрольная сумма (MIC).
RADIUS-протокол выполняет работу вместе с сервером аутентификации (RADIUS-сервер). При таком режиме беспроводные точки доступа находятся в enterprise-режиме.
При отсутствии RADIUS-сервера роль сервера, на котором происходит установление подлинности, выполняет точка доступа -- режим WPA-PSK.
В технологии WPA-PSK (Wi-Fi Protected Access - Pre-Shared Key) в конфигурации всех точек доступа задаётся общий ключ. Этот же ключ прописывается и на пользовательских мобильных устройствах. Такой метод защиты безопаснее в сравнении с WEP, но не очень удобен при управлении. PSK-ключ необходимо задать на каждом беспроводном устройстве, все клиенты сети могут его видеть. При необходимости заблокировки доступа к конкретному пользователю в сеть, нужно снова задавать новый PSK на каждом устройстве сети. Вследствие этого данный режим WPA-PSK можно использовать в домашней сети или небольшом офисе с небольшим числом пользователей .
Рассмотрим механизмы работы WPA. Технология WPA была введена как временная мера до начала использования стандарта 802.11i. Некоторые производители до ввода этого стандарта стали применять технологию WPA2, в некоторой степени включающую в себя элементы стандарта 802.11i, например, использование протокола CCMP, вместо TKIP. WPA2 в качестве алгоритма шифрования используется улучшеная технология шифрования AES. Для работы с ключами используется протокол 802.1x., имеющий несколько возможностей. В вопросах безопасности рассмотрим функции установления подлинности пользователя и создание ключей шифрования. В данном протоколе аутентификация выполняется «на уровне порта». До тех пор, пока пользователь не выполнит аутентификацию, он может отправлять/принимать пакеты, имеющие отношение только к процессу его учетных данных и только. Лишь пройдя успешную аутентификацию порты точки доступа или коммутатора будут открыты и клиент сможет пользоваться ресурсами сети.
Протокол EAP выполняет функции аутентификации и является лишь надстройкой для методов аутентификации. Все преимущества протокола состоят в том, что он очень просто реализуется на точке доступа, так как ей не нужно знать никаких особенностей разнообразных методов аутентификации. В этом случае точка доступа в качестве аутентификатора выполняет лишь передаточные функции между пользователем и сервером аутентификации. Существуют следующие методы аутентификации:
EAP-SIM, EAP-AKA -- выполняются в сетях мобильной связи GSM;
LEAP -- пропреоретарный метод от Cisco systems;
EAP-MD5 -- простейший метод, аналогичный CHAP;
EAP-MSCHAP V2 -- в основе метода аутентификации лежит использование логина/пароля пользователя в MS-сетях;
EAP-TLS -- аутентификация на основе цифровых сертификатов;
EAP-SecureID -- в основе метода лежит применение однократных паролей.
Кроме вышеизложенных, можно выделить ещё два метода: EAP-TTLS и EAP-PEAP, которые перед непосредственной аутентификацией клиента вначале создают TLS-туннель между пользователем и сервером аутентификации, внутри которого и выполняется сама аутентификация, с использованием методов MD5, TLS, PAP, CHAP, MS-CHAP, MS-CHAP v2. Создание туннеля повышает уровень безопасности аутентификации, защищая от атак типа «человек посредине», «session hihacking» или атаки по словарю.
Схема установления подлинности включает три компонента :
Supplicant -- программа, работающая на компьютере пользователя, который подключается к сети;
Authenticator -- узел доступа, выполняющий проверку подлинности;
AuthenticationServer -- сервер, на котором происходит установление подлинности.
Проверка подлинности выполняется по этапам:
1) Клиент посылает запрос на аутентификацию в сторону точки доступа.
2) Точка доступа в ответ создает клиенту запрос на идентификацию клиента.
3) Клиент в ответ высылает пакет с необходимыми сведениями, которые точка доступа перенаправляет серверу аутентификации.
4) Сервер, на котором происходит проверка передает аутентификатору (точке доступа) запрос данных о подлинности клиента.
5) Аутентификатор передаёт этот пакет клиенту.
После этого выполняется взаимная идентификации сервера и клиента. Число пересылок пакетов в одну и в другую сторону изменяется в зависимости от метода EAP, но в беспроводных сетях используется лишь «strong» аутентификация с обоюдной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и созданием шифрования канала связи.
6) На следующем этапе, сервер аутентификации, с необходимой информацией от клиента, разрешает или запрещает пользователю доступ, с отсылкой соответствующего сообщения аутентификатору (точке доступа). Аутентификатор выполняет открытие порта, если со стороны сервера аутентификации пришел положительный ответ.
7) Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса и клиент получает доступ в сеть. После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт» .
Для соединения клиента и точки доступа применяются пакеты EAPOL. Протокол RADIUS используется при обмене данными между аутентификатором и RADIUS-сервером .
Начальная аутентификация выполняется на базе общих данных, которые известны и клиенту, и серверу аутентификации, например, логин/пароль, сертификат и т.д. При этом создаётся «мастер ключ», с помощью которого клиент и сервер аутентификации генерируют «парный мастер ключ», который передается точке доступа от сервера аутентификации. Впоследствии на основе «парного мастера ключа» и создаются все остальные изменяющиеся со временем ключи, которые и закрывают передаваемый трафик .
безопасность информация беспроводной kismet
Глава 3 . Настройка безопасности в беспроводной сети при использовании систем обнаружения вторжения
Системой обнаружения вторжений (СОВ) может быть программное или аппаратное средство, выполняющее поиск фактов несанкционированного доступа в компьютерную сеть или управление сетью через Интернет. В переводе на английский язык -- Intrusion Detection System (IDS). Системы обнаружения вторжений создают дополнительную защиту компьютерных систем.
СОВ можно использовать для нахождения определённой вредоносной активности, нарушающей безопасность компьютерной сети, а именно: сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей) .
В состав системы обнаружения вторжений входят:
1) сенсорная подсистема, которая собирает события, связанные с безопасностью сети;
2) анализирующая подсистема, которая выявляет атаки и подозрительные действия на основе сенсорных данных;
3) хранилище, которое обеспечивает сбор первичных событий и результатов анализа;
4) консоль управления, настраивающая систему обнаружения вторжений, наблюдающая за состоянием защищаемой системы и СОВ, просматривающая выявленные подсистемой анализа факты несанкционированного доступа.
Рассмотрим те из имеющихся систем обнаружения, которые можно с успехом применять или изменять, чтобы они были пригодны к использованию. Тогда их можно будет преобразовать с необходимыми настройками, чтобы они собирали дополнительные данные о работе сети.
Из платных продуктов известны такие программы как Air Defense Guard и Isomair Wireless Sentry . Их работа состоит в размещении сенсоров на защищаемой территории и передаче всех собранных ими данных на центральный сервер, который представляет собой специальное устройство с безопасным Web-интерфейсом, либо Linux-машину подключенную к консоли управления на платформе Windows. Такие программы могут анализировать беспроводной трафик, отличный от стандарта 802.11, а также радиопомехи в наблюдаемой полосе частот, что часто бывает необходимо.
Размер сети и зона покрытия имеет решающее значение от расстановки сенсоров системы обнаружения. Для мониторинга сети сенсоры должны охватывать всю территорию беспроводного доступа. Чувствительность сенсоров должна быть не хуже чувствительности трансивера точки доступа. Однако все коммерческие сенсоры имеют недостаток - невозможность подключения внешней антенны, из-за чего весьма затруднительно увеличение дальности действия и чувствительности сенсоров. Чтобы покрыть всю сеть компании нужно покупать больше низко-чувствительных сенсоров с малым радиусом действия.
WiSentry - это коммерческий программный продукт, обеспечивающий слежение за беспроводной сетью и обнаружение вторжений без специальных аппаратных сенсоров. Данная программа создает отдельный профиль для каждого беспроводного узла, который хранится в базе данных WiSentry и применяется для отличия устройства, которым можно доверять, и от подозрительных. В WiSentry существует настраиваемая база данных тревожных событий, которая поддерживает сети стандартов 802.11а, b и т.д.
Еще одно коммерческое решение, сочетающее в себе средства для проверки безопасности и некоторые функции системы обнаружения вторжений - это программа Air Magnet, созданная компанией Global Secure Systems. Главным отличием данного продукта является возможность анализировать радиочастоты в основном диапазоне, что позволяет находить перекрытие каналов 802.11b/g в области приема, а также определять возможные помехи.
Коммерческие анализаторы протоколов 802.11, такие как NAI Sniffer Wireless и Wild Packet Airo Peek, также поддерживают некоторые возможности системы обнаружения вторжений. Airo Peek реализует удаленные сенсоры RF Grabber, из-за чего становится похожей на распределенные системы типа Air Defense / Isomair. Airo Peek имеет набор инструментов для разработки собственных фильтров на языках Visual Basic или C, а значит, возможна доработка данного продукта, несмотря на закрытость исходных текстов .
Далее рассмотрим системы обнаружения вторжений с открытым исходным кодом, которые можно доработать под необходимые функциональные возможности. В первую очередь рассмотрим программу WIDZ, созданную Марком Осборном.
Данная программа выполняет следующие действия:
Обнаруживает фальшивые точки доступа;
Обнаруживает атаки с применением Air Jack;
Обнаруживает пробные запросы;
Обнаруживает фреймы с широковещательным ESSID («ANY»);
Помещает подозрительные МАС-адреса в список заблокированных;
Помещает подозрительные ESSID в список заблокированных;
Обнаруживает атаки путем затопления фреймами с запросом на присоединение.
Программа WIDZ использует драйвер HostAP. Продукт имеет две составляющие: widz_apmon, которая может обнаруживать точки доступа, не указанные в списке, и widz_probemon, ведущая проверку сети на обнаружение подозрительного трафика.
При работе данной программы сигнал тревоги возникает в следующих ситуациях:
Alertl. Сигнал создаётся при пустом ESSID поле. При этом вызывается сценарий Alert, который выполняет запись в протоколе следующие сто пакетов из подозрительного источника;
Alert2. Сигнал создаётся, если в течение определённого времени выполняется большое число попыток присоединения;
Alert3. Сигнал создаётся, если МАС-адрес находится в файле badmac, который представляет собой простой список адресов в шестнадцатеричном виде;
Alert4. Сигнал создаётся, если ESSID находится в файле badsids.
Сценарий Alert вызывается при обнаружении фальшивой точки доступа или подозрительного трафика. По умолчанию сценарий посылает сообщения syslog-серверу и выводит тревожное сообщение на консоль. Можно вместо этого заставить его посылать сообщение по электронной почте, возбуждать SNMP-событие, добавлять недопустимый МАС-адрес в список контроля доступа и т.д.
Существует открытая система обнаружения вторжений и с более обширными возможностями. Это программа WIDS. Программа имеет автоматический дешифратор WEP и средства для организации беспроводных приманок .
WIDS выполняет следующие действия:
Анализирует временные интервалы между маяками для каждой обнаруженной точки доступа;
Анализирует порядковые номера фреймов 802.11;
Обнаруживает пробные запросы, являющиеся признаком активного сканирования;
Обнаруживает затопление запросами на присоединение;
Обнаруживает затопление запросами на аутентификацию;
Обнаруживает частые запросы на повторное присоединение;
Протоколирует трафик приманки в рсар-файл;
Перенаправляет беспроводной трафик на проводной интерфейс.
Говоря о системах обнаружения вторжений, необходимо отметить мощную программу Kismet, которая прошла длинный путь развития от инструмента поиска сетей до полнофункциональной клиент-серверной системы обнаружения вторжений.
Данный инструмент выполняет следующие функции:
Обнаруживает перегрузки запросами на остановку сеанса и отключение;
Анализирует порядковые номера фреймов стандарта 802.11;
Выявляет пользователей Air Jack в наблюдаемой сети;
Обнаруживает пробные запросы, посылаемые программой Net Stumbter;
Обнаруживает атаки по словарю на ESSID, проводимые при помощи Wellenreiter;
Обнаруживает клиентов, посылающих пробные запросы, но не присоединяющихся к сети;
Выполняет различение сетей 802.11 DSSS и FHSS;
Выполняет сохранение фреймов с информацией в именованный FIFO-канал для дальнейшего анализа;
Выполняет дешифровку WEP;
Обнаруживает увеличение шума в канале;
Обнаруживает беспроводные сети Lucent Outdoor Router / Turbocell / Karlnet, построенные не на базе стандарта 802.11 .
Совокупность данных возможностей вместе с архитектурой клиент-сервер, простой системой оповещений, великолепным механизмом структурированного протоколирования данных, а также возможностью интеграции с удаленными сенсорами делают Kismet очень привлекательной системой обнаружения внедрений. Дополнительный вес ей придает возможность поддержки нескольких клиентских карт и расщепление диапазона сканируемых частот между этими картами.
Для установки программы необходимо выполнить следующие действия:
1. Загрузить Kismet с установочного компакт-диска или с web-сайта.
2. Распаковать установочный файл.
3. При компиляции приложения Kismet необходимо выполнить команду./configure с некоторыми подходящими настройками, которые задаются ключами, перечисленными в таблице 1.
Эти ключи компиляции можно задавать в настройках конфигурации для использования определённых возможностей.
Таблица 1
Конфигурационные ключи Kismet
|
Ключ |
Описание |
|
|
Disable-curses |
Отключает интерфейс пользователя на основе curses |
|
|
Отключает расширения панели ncurses |
||
|
Отключает поддержку GPS |
||
|
Disable-netlink |
Отключает перехват сокетов LinuхNеtLink (с заплатами для prism2/orinoco) |
|
|
Disable-wireless |
Отключает беспроводные расширения ядра Linux |
|
|
Отключает поддержку перехвата посредством libpcаp |
||
|
Enable-syspcap |
Использует системную библиотеку libpcap (не рекомендуется) |
|
|
Disable-setuid |
Отключает возможностьпереустановки действующего идентификатора пользователя (не рекомендуется) |
|
|
Включает устройство перехвата - удаленный сенсор WSP100 |
||
|
Включает звуковые функции. |
||
|
Enable-local-dumper |
Заставляет использовать локальные средства дамповой памяти. |
|
|
With-ethereal=DIR |
Поддерживает прослушиваниеEthereal для записи протоколов. |
|
|
Without-ethereal |
Отключает поддержку прослушивания Ethereal |
|
|
Включает поддержку продвинутого интерфейса конфигурирования и питания ядром Linux |
4. При окончании процесса настройки необходимо выполнить команды makedep и makemakeinstall от имени супер-пользователя, для окончания компиляции и установки программы;
5. После завершения установки программы Kismet, необходимо найти файл kismet.conf, который располагается в каталоге /usr/local/etc. В этом файле пользователем задаются настройки интерфейса и протоколов программы .
В таблице 2 описаны изменяемые параметры программы.
Таблица 2
Интерфейсные и протокольные опции Kismet
|
Параметр |
Описание |
|
|
Определяет, какие интерфейсы будут прослушиваться программой Kismet. Обычно здесь задается основной беспроводной интерфейс (wlan0). При необходимости добавления дополнительных интерфейсов, можно сделать это в формате source = тип, интерфейс, имя. |
||
|
Fuzzy encryption |
Настройка отображает все принятые пакеты как нешифрованные для тех станций, которые применяют неизвестные методы шифрования. |
|
|
Filtering packetlogs |
Настройка ограничивает множество пакетов, подлежащих протоколированию. Опция noiselog даёт возможность отбросить все пакеты, которые, возможно, испорчены или фрагментированы из-за помех. Это может уменьшить размер журнала. Опция beaconlog предоставляет возможность отбросить все пакеты отдельной точки доступа, кроме первого пакета радиомаяка. Настройка phylog отбрасывает все пакеты физического уровня, которые иногда подхватываются. Возможна любая комбинация этих настроек |
|
|
Decrypt WEP keys |
Расшифровывает перехваченные пакеты данных на лету. Для этого, однако, следует иметь ключ, который иногда можно добыть с помощью программы AirSnort. Для каждой точки доступа требуется отдельная инструкция вида bssid:key, где bssid - это MAC-адрес точки доступа, а key - ключ для нее |
|
|
Usinganexternal IDS |
Посылает пакеты внешней системе обнаружения вторжений для дальнейшего анализа. В этой инструкции задается именованный канал, а сетевой системе обнаружения вторжений следует предписать чтение из него. |
6. Теперь нужно отредактировать файл kismet_ui.conf, также находящийся в /user/local/etc. В нем задаются некоторые настройки интерфейса. В табл. 3 перечислены возможные варианты.
Теперь все готово к применению Kismet для аудита беспроводной сети. В нем задаются некоторые настройки интерфейса. В табл. 3 перечислены возможные варианты .
Таблица 3
Настройки интерфейса Kismet
Применение KismetWireless
Чтобы запустить Kismet, нужно набрать имя исполнимого файла в командной строке или на терминале X-Window, поддерживающем инструментарий Curses. Отобразится основной интерфейс (см. рис. 1). Kismet немедленно начнет сообщать обо всех беспроводных сетях в окружении и выдавать информацию о них.
Рис. 1. Основной экран KismetWireless
В интерфейсе можно выделить три основные части. Раздел NetworkList слева отображает все активные в текущий момент беспроводные сети, которые Kismet смог увидеть, и основную информацию о них: SSID сети (если доступен), тип (точка доступа или узел), шифруется она или нет с помощью WEP, используемый канал вещания, число перехваченных до сих пор пакетов, любые флаги на данных и объем данных, проходящих через сеть. Вывод кодируется цветом: активные сети отображаются красным цветом, а неактивные - черным.
В поле Info справа отображается общая статистика текущего сеанса перехвата, включая общее число обнаруженных сетей, общее число пакетов, которые были зашифрованы, услышанные слабые сети, пакеты с высоким уровнем шума, отброшенные пакеты и среднее число пакетов в секунду.
Поле Status внизу содержит прокручивающееся представление происходящих событий. Сообщения всплывают, когда появляются новые сети или происходят другие события.
Так как Kismet - средство командной строки, хотя и с графическим интерфейсом, для управления его функциями применяются клавишные команды. В табл. 4 перечислены клавишные команды, доступные из основного экрана .
Таблица 4
Клавишные команды Kismet
|
Клавишная команда |
Описание |
|
|
Выдает статистику числа пакетов и распределения каналов |
||
|
Открывает клиентское всплывающее окно для отображения клиентов выбранной сети |
||
|
Предписывает серверу начать извлечение из потока пакетов цепочек печатных символов и их отображение |
||
|
Открывает всплывающее окно на серверах Kismet. Это позволяет одновременно контролировать два или несколько серверов Kismet на различных хостах (напомним, что это архитектура клиент-сервер) |
||
|
Находит центр сети и отображает компас |
||
|
Группирует помеченные в данный момент сети |
||
|
Выдает список возможных команд |
||
|
Выдает подробную информацию о текущей сети или группе |
||
|
Показывает уровни сигнал/мощность/шум, если плата их сообщает |
||
|
Отключает звук и речь, если они включены (или включает их, если они были перед этим выключены). Чтобы этим пользоваться, в конфигурации должны быть включены звук или речь |
||
|
Переименовывает выбранную сеть или группу |
||
|
Выдает типы пакетов по мере их получения |
||
|
Выводит столбчатую диаграмму темпа порождения пакетов |
||
|
Изменяет способ сортировки списка сетей |
||
|
Помечает текущую сеть или снимает метку с нее |
||
|
Исключает текущую сеть из группы |
||
|
Выдает все предыдущие сигналы и предупреждения |
||
|
Увеличивает панель вывода сети на весь экран (или возвращает ей нормальный размер, если она уже увеличена) |
Возможно расширение представления данных о каждой найденной сети, для отображения всех деталей определенной точки доступа. Для этого необходимо ввести i в командной строке. На рис. 2 показаны результаты выдачи .
Рис. 2. Экран Kismet с подробными данными о сети
При помощи команды z возможно расширение поля сети на весь экран, увеличивая обзор дополнительной информации о каждой сети, например производителя обнаруженного оборудования. Это оптимизирует группирование точек доступа при отслеживании лишь определенной части из них и желании иметь возможность отфильтровывать другие. Это делается с помощью команд g и u, которые используются для включения и удаления из группы соответственно.
В данной курсовой работе проводилось исследование методов повышения защиты данных при передаче их с помощью беспроводных сетей.
Для достижения цели курсовой работы, были выполнены следующие задачи:
1) изучен принцип работы беспроводной сети;
2) были исследованы виды угроз и их отрицательное воздействие на работу беспроводных сетей;
3) проанализированы средства защиты информации беспроводных сетей от несанкционированного доступа;
4) проанализированы системы отслеживания вторжений и рассмотрена работа одной из них.
В первой главе был проведен анализ угроз беспроводных сетей, который показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.
Во второй главе выполнен обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать режим WPA2. WPA2 является обновленной программой сертификации устройств беспроводной связи. В данном режиме усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.
В третьей главе было проведено исследование систем обнаружения вторжения в беспроводную сеть и рассмотрена работа одной из них на примере Kismet. Совокупность возможностей вместе с архитектурой клиент-сервер, простой системой предупреждений, отличным механизмом ведения записи данных, а также возможностью взаимосвязи с удаленными датчиками делают Kismet очень привлекательной системой обнаружения внедрений в беспроводную сеть. Дополнительный вес ей придает возможность поддержки нескольких клиентских карт и расщепление диапазона сканируемых частот между этими картами .
1. Барнс К. Защита от хакеров беспроводных сетей / Барнс К., Бoутс Т., Ллойд Д., Посланс Д. - Издательство: Компания АйТи, ДМК пресс. -2005, с. 480.
2. Берлин А.Н. Телекоммуникационные сети и устройства. // Интернет-университет информационных технологий - ИНТУИТ.ру, БИНОМ. Лаборатория знаний. - 2008, с. 319 // С.В. Кунeгин. Системы передачи информации. Курс лекций. - М.: в/ч 33965. - 1998, с. 316.
3. Ватаманюк А.И. Беспроводная сеть своими руками.- Издательство: Питер. - 2006, с. 193.
4. Вишневский В.М. Широкополосные беспроводные сети передачи информации / Вишневский В.М., Ляхов А.И., Портной С.Л., Шахнoвич И.В. - Издательство: ДМК пресс, Компания АйТи. - 2005, с. 205.
5. Владимиров А.А. Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей / Владимиров А.А., Гавриленко К.В., Михайловский А.А; - Издательство: НТ Пресс. - 2005, с. 463.
6. Гoрдейчик С.В. Безопасность беспроводных сетей /С.В. Гoрдейчик, Дубровин В.В. - Издательство: Горячая линия -- Телекo ISBN: 978-5-9912-0014-1. - 2008, с. 288.
7. ФренкДж.Дерфлер,мл. Беспроводные ЛВС / Френк Дж. Дерфлер, мл., ЛесФрид. // PC Magazine/Russian Edition.2000. №6.
8. Джон Росс. Wi-Fi. Беспроводная сеть. - Издательство: НТ Пресс. -2007, с. 320.
9. Зорин М. Беспроводные сети: современное состояние и перспективы/ Зорин М., Писарев Ю., Соловьев П. - Издательство: Мир связи. - 1999. №4, С. 104.
10. Зорин М. Радиооборудование диапазона 2,4 ГГц: задачи и возможности / Зорин М., Писарев Ю., Соловьев П. // PCWeek/RussianEdition.- 1999. №20, С.21.
11. Максим М. Безопасность беспроводных сетей/ Максим М., Поллино Д. - Издательство: ДМК пресс, Компания АйТи. -2004, с. 288.
12. Мoлта Д. Тестируем оборудование для беспроводных ЛВС стандарта 802.11./ Мoлта Д., Фостeр-Вебстер А. // Сети и системы связи. -1999. №7, С.10.
13. Олейник Т. Беспроводные сети: современное состояние и перспективы - №10 - Издательство Домашний ПК. - 2003.
14. Олифер В.Г. Основы сетей передачи данных / Олифер В.Г., Олифер Н.А. // Интернет-университет информационных технологий - ИНТУИТ.ру. Лаборатория знаний. - 2005, с. 176.
15. Пролетарский А.В. Организация беспроводных сетей / Пролетарский А.В., Баскаков И.В., Федотов Р.А. - Издательство: Москва. - 2006, с. 181.
16. Писарев Ю. Беспроводные сети: на пути к новым стандартам // PC Magazine/Russian Edition. 1999. №10. С. 184.
17. Писарев Ю. Безопасность беспроводных сетей // PC Magazine/Russian Edition. 1999. №12. С. 97.
18. Пролетарский А.В. Беспроводные сети Wi-Fi / Пролетарский А.В., Баскаков И.В., Чирков Д.Н. - Издательство: Москва. - 2007, с. 216.
19. Стаханов C. Восстановление данных wi-fi // Центр восстановления данных
20. Технологии беспроводных сетей
21. Инструменты безопасности с открытым исходным кодом // университет информационных технологий - ИНТУИТ.ру
22. Технологии беспроводных сетей
Знакомство с современными цифровыми телекоммуникационными системами. Принципы работы беспроводных сетей абонентского радиодоступа. Особенности управления доступом IEEE 802.11. Анализ электромагнитной совместимости группировки беспроводных локальных сетей.
дипломная работа , добавлен 15.06.2011
Исследование и анализ беспроводных сетей передачи данных. Беспроводная связь технологии wi–fi. Технология ближней беспроводной радиосвязи bluetooth. Пропускная способность беспроводных сетей. Алгоритмы альтернативной маршрутизации в беспроводных сетях.
курсовая работа , добавлен 19.01.2015
История появления сотовой связи, ее принцип действия и функции. Принцип работы Wi-Fi - торговой марки Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11. Функциональная схема сети сотовой подвижной связи. Преимущества и недостатки сети.
реферат , добавлен 15.05.2015
Изучение особенностей беспроводных сетей, предоставление услуг связи вне зависимости от места и времени. Процесс использования оптического спектра широкого диапазона как среды для передачи информации в закрытых беспроводных коммуникационных системах.
статья , добавлен 28.01.2016
Эволюция беспроводных сетей. Описание нескольких ведущих сетевых технологий. Их достоинства и проблемы. Классификация беспроводных средств связи по дальности действия. Наиболее распространенные беспроводные сети передачи данных, их принцип действия.
реферат , добавлен 14.10.2014
Что такое ТСР? Принцип построения транкинговых сетей. Услуги сетей тракинговой связи. Технология Bluetooth - как способ беспроводной передачи информации. Некоторые аспекты практического применения технологии Bluetooth. Анализ беспроводных технологий.
курсовая работа , добавлен 24.12.2006
Общие понятия о беспроводных локальных сетях, изучение их характеристик и основных классификаций. Применение беспроводных линий связи. Преимущества беспроводных коммуникаций. Диапазоны электромагнитного спектра, распространение электромагнитных волн.
курсовая работа , добавлен 18.06.2014
Исследование обычной схемы Wi-Fi сети. Изучение особенностей подключения двух клиентов и их соединения. Излучение от Wi-Fi устройств в момент передачи данных. Описания высокоскоростных стандартов беспроводных сетей. Пространственное разделение потоков.
лекция , добавлен 15.04.2014
Комплексная классификация технологий и общая характеристика типов беспроводных сетей. Оценка факторов и анализ методов повышения производительности в Ad-Hoc сетях. Описание методов повышения производительности Ad-Hoc сетей на основе различных технологий.
дипломная работа , добавлен 28.12.2011
Проблемы и области применения беспроводных локальных сетей. Физические уровни и топологии локальных сетей стандарта 802.11. Улучшенное кодирование OFDM и сдвоенные частотные каналы. Преимущества применения техники MIMO (множественные входы и выходы).
770руб.
История беспроводных технологий передачи информации началась в конце XIX века с передачей первого радиосигнала и появлением в 20-х годах ХХ века первых радиоприемников. В 30-е годы появилось телевидение.
В 70-е годы созданы первые беспроводные телефонные системы как естественный итог удовлетворения потребности в мобильной передаче голоса. Сначала это были аналоговые сети, а начале 80-х был разработан стандарт GSM, ознаменовавший начало перехода на цифровые стандарты, как обеспечивающие лучшее качество сигнала, лучшую безопасность.
WPA
современный стандарт, о котором договорились производители оборудования
ОС
операционная система
WPA2
вторая версия набора алгоритмов и протоколов обеспечивающих защиту данных в беспроводных сетях Wi-Fi
WEP(Wired Equivalent Privacy)
протокол безопасности
COOKIE
небольшой фрагмент данных, созданный веб-сервером или веб-страницей и хранимый на компьютере пользователя в виде файла
HTTPS
расширение протокола HTTP, поддерживающее шифрование
BRUTEFORCE
метод взлома паролей путем перебора
Введение
История беспроводных технологий передачи информации началась в конце XIX века с передачей первого радиосигнала и появлением в 20-х годах XX века первых радиоприемников. В 30-е годы появилось телевидение.
В 70-е годы созданы первые беспроводные телефонные системы как естественный итогудовлетворения потребности в мобильной передаче голоса. Сначала это были аналоговые сети, а начале 80-х был разработан стандарт GSM, значимый начало перехода на цифровые стандарты, как обеспечивающие лучшее качество сигнала, лучшую безопасность.
Весьма перспективно и развитие беспроводных локальных сетей (WLAN), Bluetooth (сети средних и коротких расстояний). Беспроводные сети развертываются в аэропортах, университетах, ресторанах, предприятиях. В конце 90-х годов пользователям была предложена WAP-услуга, сначала не вызвавшая у населения большого интереса. Это были основные информационные услуги – новости, погода, всевозможные расписания и т.п. Также весьма низким спросом пользовались вначале и Bluetooth, и WLAN в основном из-за высокой стоимости этих средств связи. К середине первого десятилетия XXI века счет пользователей беспроводного Интернет – сервиса пошел на десятки миллионов. С появлением беспроводной Интернет - связи на первый план вышли вопросы обеспечения безопасности. Как и любая компьютерная сеть, Wi-Fi – является источником повышенного риска несанкционированного доступа. Кроме того, проникнуть в беспроводную сеть значительно проще, чем в обычную, - не нужно подключаться к проводам, достаточно оказаться в зоне приема сигнала.
Но прежде чем приступать к защите беспроводной сети, необходимо понять основные принципы ее организации.
1. Стандарт безопасности WEP
Все современные беспроводные устройства (точки доступа, беспроводные адаптеры и маршрутизаторы) поддерживают протокол безопасности WEP (Wired Equivalent Privacy). Данный протокол является своего рода аналогом проводной безопасности.
Процедура WEP-шифрования выглядит следующим образом. Первоначально передаваемые в пакете данные проверяются на целостность, после чего контрольная сумма добавляется в служебное поле заголовка пакета. Далее генерируется 24-битный вектор инициализации, а к нему добавляется статический (40- или 104-битный) секретный ключ. Полученный таким образом 64- или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, которое используется для шифрования данных.
Протокол безопасности WEP предусматривает два способа аутентификации пользователей: Open System (открытая) и Shared Key (общая). При использовании открытой аутентификации, по сути, никакой аутентификации не выполняется, то есть любой пользователь может получить доступ в беспроводную сеть. Однако даже при открытой системе допускается применение WEP-шифрования данных.
2. Защита от незваных гостей
Список литературы
1. Кудин А.В. //Безопасность и качество услуг сотовой подвижной связи. Терминологический справочник 2014г. // http://www.techbook.ru/book.php?id_book=688(11.03.2014)
2. Сергей Пахомов //Защита беспроводных сетей от взлома//
http://compress.ru/article.aspx?id=16254(11.03.2014)
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
Большинство существующего на данный момент Wi-Fi оборудования имеет поддержку технологии WPA (Wi-Fi Protected Access), которая пришла на смену технологии WEP.
Технология WPA состоит из нескольких компонентов:
За шифрование данных в WPA отвечает протокол TKIP, который в отличие от WEP, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).
RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS- сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.
Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа - так называемый режим WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты не очень удобен с точки зрения управления. PSK-ключ требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети и так далее. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.
В технологии WPA2 используется протокол ССМР (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), взамен TKIP, в нем применяется усовершенствованный стандарт шифрования AES (Advanced Encryption Standard). А для управления и распределения ключей по-прежнему применяется протокол 802.1х.
Как уже было сказано выше, протокол 802.1х может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» - то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. Только после успешной аутентификации порт устройства будет открыт и пользователь получит доступ к ресурсам сети.
Функции аутентификации возлагаются на протокол EAR Кадр этого протокола приведен на рис. 5.13. Протокол ЕАР является лишь каркасом для методов аутентификации. Данный протокол очень просто реализовать на аутентификаторе (точке доступа), так как ей не требуется знать никаких специфичных особенностей различных методов аутентификации. Аутентификатор служит лишь передаточным звеном между клиентом и сервером аутентификации. Методов же аутентификации, которых существует довольно много:
Рис. 5.13.
Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и ЕАР-РЕАР. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного ЕАР (MD5, TLS), или старых методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (РЕАР используется только совместно с ЕАР методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man- in-middle», «session hihacking» или атаки по словарю.
Протокол РРР появился на рис. 5.13 потому, что изначально ЕАР планировался к использованию поверх РРР туннелей. Но так как использование этого протокола только для аутентификации по локальной сети - излишняя избыточность, ЕАР-сообщения упаковываются в «ЕАР over LAN» (EAPOL) пакеты, которые и используются для обмена информацией между клиентом и аутентификатором (точкой доступа).
Схема аутентификации состоит из трех компонентов:
Теперь рассмотрим сам процесс аутентификации. Он состоит из следующих стадий:
Для коммуникации между клиентом (supplicant) и точкой доступа (authenticator) используются пакеты EAPOL. Протокол RADIUS используется для обмена информацией между аутентификатором (точкой доступа) и RADIUS-сервером (сервером аутентификации). При транзитной пересылке информации между клиентом и сервером аутентификации пакеты ЕАР переупаковываются из одного формата в другой на аутентификаторе.
Первоначальная аутентификация производится на основе общих данных, о которых знают и клиент, и сервер аутентификации (как то логин/пароль, сертификат и т.д.) - на этом этапе генерируется Master Key. Используя Master Key, сервер аутентификации и клиент генерируют Pairwise Master Key (парный мастер-ключ), который передается аутентификатору со стороны сервера аутентификации. А уже на основе Pairwise Master Key и генерируются все остальные динамические ключи, которым и закрывается передаваемый трафик. Необходимо отметить, что сам Pairwise Master Key тоже подлежит динамической смене.
Департамент образования, науки и молодежной политики Воронежской области государственное образовательное бюджетное учреждение среднего профессионального образования Воронежской области
«Воронежский техникум строительных технологий»
(ГОБУ СПО ВО «ВТСТ»)
Техническое обслуживание средств вычислительной техники и компьютерных сетей ДИПЛОМНЫЙ ПРОЕКТ Разработка технологии средств защиты информации беспроводных сетей Консультант по организационно-
экономической части С. Н. Мухина Нормоконтроль _ Л. И. Коротких Руководитель Н. А. Меркулова Разработал (а) _ М. А. Суханов Воронеж 2014
1. Анализ угроз и обеспечения безопасности беспроводной сети
1.1 Основные угрозы беспроводных сетей
1.3 Технологии средств защиты информации беспроводных сетей
2.1 Настройка программы WPA
2.2 Шифрование трафика
3. Организационно-экономическая часть
4. Охрана труда и техника безопасности
4.1 Электробезопасность при эксплуатации технических средств
4.2 Требования к помещению
4.3 Мероприятия по противопожарной технике
Заключение
Список используемых источников
Список сокращений
Приложение Аннотация В данном дипломном проекте велась разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов.
В ходе выполнения дипломного проекта был проведен анализ технологии информации защиты информации беспроводных сетей, анализ программных продуктов позволяющих повысить защиту беспроводных сетей от угроз.
В результате выполнения проекта приобретен опыт настройки программных продуктов, позволяющих максимально защитить беспроводную сеть от часто встречающихся угроз.
Дипломный проект состоит из четырех разделов, содержит двадцать четыре рисунка, одну таблицу.
защита информация сеть Введение Беспроводные сети уже используются практически во всех сферах деятельности. Широкое использование беспроводных сетей обусловлено тем, что они могут использоваться не только на персональных компьютерах, но и телефонах, планшетах и ноутбуках их удобством и сравнительно невысокой стоимостью. Беспроводные сети должны удовлетворять ряду требований к качеству, скорости, радиусу приема и защищенности, при этом защищенность часто является самым важным фактором.
Актуальность обеспечения безопасности беспроводной сети обусловлена тем, что если в проводных сетях злоумышленник должен сначала получить физический доступ к кабельной системе или оконечным устройствам, то в беспроводных сетях для получения доступа достаточно обычного приемника, установленного в радиусе действия сети.
Несмотря на различия в реализации связи, подход к безопасности беспроводных сетей и их проводных аналогов идентичен. Но при реализации методов защиты информации в беспроводных сетях больше внимания уделяется требованиям к обеспечению конфиденциальности и целостности передаваемых данных, к проверке подлинности беспроводных клиентов и точек доступа.
Объектом исследования является средства защиты информации беспроводных сетей Предметом исследования является технология защиты информации беспроводных сетей Целью дипломного проекта является повышение качества защиты информации беспроводных сетей Для достижения указанной цели были решены следующие задачи:
исследованы виды угроз и их негативное воздействие на функционирование беспроводных сетей;
проанализированы программные продукты, осуществляющие защиту информации беспроводных сетей;
разработана технология средств защиты информации беспроводных сетей;
Практическая направленность разработанного дипломного проекта состоит в том, что в результате применения данного дипломного проекта достигается защита информации беспроводных сетей от несанкционированного подключения, стабильная скорость Интернет-соединения, контроль несанкционированного потребления трафика.
1. Анализ угроз и обеспечения безопасности беспроводной сети Принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа. При разработке корпоративной сети администраторы должны в первую очередь предусматривать не только качественное покрытие территории офисов связью, но и предусмотреть средства защиты, так как подключиться к сети можно и из автомобиля, припаркованного на улице.
Не менее опасной угрозой беспроводным сетям является вероятность хищения оборудования: роутер, антенна, адаптер. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или роутер, украденная злоумышленником, может открыть доступ к беспроводной сети.
1.1 Основные угрозы беспроводных сетей Беспроводные технологии, работающие без физических и логических ограничений своих проводных аналогов, подвергают сетевую инфраструктуру и пользователей значительным угрозам. Наиболее частыми угрозами являются следующие:
Чужаки. «Чужаками» называются устройства, предоставляющие возможность неавторизованного доступа к беспроводной сети, зачастую в обход механизмов защиты, определенных корпоративной политикой безопасности. Чаще всего это самовольно установленные точки доступа. Статистика показывает, что угроза «чужаки» является причиной большинства взломов беспроводных сетей. В роли чужака могут выступить домашний маршрутизатор с поддержкой Wi-Fi, программная точка доступа Soft AP, ноутбук с одновременно включенными проводным и беспроводным интерфейсами, сканер, проектор и т. п.
Нефиксированная связь — беспроводные устройства могут менять точки подключения к сети прямо в процессе работы. К примеру, могут происходить «случайные ассоциации», когда ноутбук с Windows XP (достаточно доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Такой механизм позволяет злоумышленникам «переключать на себя» ничего не подозревающего пользователя для последующего сканирования уязвимостей.
MITM-атака (англ. Man in the middle, «человек посередине») -- термин используется в криптографии и обозначает ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле, сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале. MITM-атака — это метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную. Атака Man in the middle, обычно начинается с прослушивания канала связи и заканчивается попыткой криптоаналитика подменить перехваченное сообщение, извлечь из него полезную информацию, перенаправить его на какой-нибудь внешний ресурс.
Пример: Объект A передает объекту B некую информацию. Объект C обладает знаниями о структуре и свойствах используемого метода передачи данных, планирует перехватить эту информацию. Для совершения атаки С «представляется» объекту, А — объектом В, а объекту В -- объектом А. Таким образом, объект, А отправляя информацию объекту В, неосознано посылает её объекту С. В свою очередь объект С, получив информацию и совершив с ней некоторые действия пересылает данные настоящему объекту В. Объект В считает, что информация была получена им напрямую от А.
Отказ в обслуживании — атака «отказ в обслуживании» может быть достигнута несколькими способами. Если хакеру удается установить соединение с беспроводной сетью, его злонамеренные действия могут вызвать ряд таких серьезных последствий: например, рассылку ответов на запросы протокола разрешения адресов (Address Resolution Protocol, ARP) для изменения ARP-таблиц сетевых устройств с целью нарушения маршрутизации в сети или внедрение несанкционированного сервера протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной сети, то сможет переподключить пользователей на свою точку доступа, а последние окажутся отрезанными от сетевых ресурсов, которые были доступны через «законную» точку доступа.
Подслушивание Анонимные вредители могут перехватывать радиосигнал и расшифровывать передаваемые данные. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Чтобы перехватить передачу, злоумышленник должен находиться вблизи от передатчика. Перехваты такого типа практически невозможно зарегистрировать, и еще труднее помешать им. Использование антенн и усилителей дает злоумышленнику возможность находиться на значительном расстоянии от цели в процессе перехвата. Подслушивание позволяет собрать информацию в сети, которую впоследствии предполагается атаковать. Первичная цель злоумышленника — понять, кто использует сеть, какие данные в ней доступны, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно и какова территория развертывания сети.
1.2 Средства защиты беспроводных сетей
В качестве средств защиты от наиболее частых угроз беспроводных сетей можно использовать следующее программое обеспечение
WPA (Wi-Fi Protected Access) представляет собой обновлённую программу сертификации устройств беспроводной связи. Технология WPA состоит из нескольких компонентов:
протокол 802.1x -- универсальный протокол для аутентификации, авторизации и учета (AAA)
протокол EAP -- расширяемый протокол аутентификации (Extensible Authentication Protocol)
протокол TKIP -- протокол временнОй целостности ключей, другой вариант перевода -- протокол целостности ключей во времени (Temporal Key Integrity Protocol)
MIC -- криптографическая проверка целостности пакетов (Message Integrity Code)
протокол RADIUS
За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования -- RC4 -- что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).
RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.
Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа -- так называемый режим
WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты тоже довольно секьюрен (относительно WEP), очень не удобен с точки зрения управления. PSK-ключ требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети и так далее. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.
В этой серии статей будет рассмотрена работа WPA совместно с внешним RADIUS-сервером. Но прежде чем перейти к ней, немного подробнее остановимся на механизмах работы WPA. Технология WPA являлась временной мерой до ввода в эксплуатацию стандарта 802.11i. Часть производителей до официального принятия этого стандарта ввели в обращение технологию WPA2, в которой в той или иной степени используются технологии из 802.11i. Такие как использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), взамен TKIP, в качестве алгоритма шифрования там применяется усовершенствованный стандарт шифрования AES (Advanced Encryption Standard). А для управления и распределения ключей по-прежнему применяется протокол 802.1x.
Как уже было сказано выше, протокол 802.1x может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» -- то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства (будь то точка доступа или умный коммутатор) будет открыт и пользователь получит доступ к ресурсам сети.
Функции аутентификации возлагаются на протокол EAP, который сам по себе является лишь каркасом для методов аутентификации. Вся прелесть протокола в том, что его очень просто реализовать на аутентификаторе (точке доступа), так как ей не требуется знать никаких специфичных особенностей различных методов аутентификации. Аутентификатор служит лишь передаточным звеном между клиентом и сервером аутентификации. Методов же аутентификации, которых существует довольно много:
EAP-SIM, EAP-AKA -- используются в сетях GSM мобильной связи
LEAP -- пропреоретарный метод от Cisco systems
EAP-MD5 -- простейший метод, аналогичный CHAP (не стойкий)
EAP-MSCHAP V2 -- метод аутентификации на основе логина/пароля пользователя в MS-сетях
EAP-TLS -- аутентификация на основе цифровых сертификатов
EAP-SecureID -- метод на основе однократных паролей
Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.
Протокол PPP засветился там потому, что изначально EAP планировался к использованию поверх PPP туннелей. Но так как использование этого протокола только для аутентификации по локальной сети -- излишняя избыточность, EAP-сообщения упаковываются в «EAP over LAN» (EAPOL) пакеты, которые и используются для обмена информацией между клиентом и аутентификатором (точкой доступа).
Схема аутентификации состоит из трех компонентов:
Supplicant -- софт, запущенный на клиентской машине, пытающейся подключиться к сети
Authenticator -- узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x)
Authentication Server -- сервер аутентификации (обычно это RADIUS-сервер).
Процесс аутентификации состоит из следующих стадий:
Клиент может послать запрос на аутентификацию (EAP-start message) в сторону точки доступа
Точка доступа (Аутентификатор) в ответ посылает клиенту запрос на идентификацию клиента (EAP-request/identity message). Аутентификатор может послать EAP-request самостоятельно, если увидит, что какой-либо из его портов перешел в активное состояние.
Клиент в ответ высылает EAP-response packet с нужными данными, который точка доступа (аутентификатор) перенаправляет в сторону Radius-сервера (сервера аутентификации).
Сервер аутентификации посылает аутентификатору (точке доступа) challenge-пакет (запрос информации о подлинности клиента). Аутентификатор пересылает его клиенту.
Далее происходит процесс взаимной идентификации сервера и клиента. Количество стадий пересылки пакетов туда-сюда варьируется в зависимости от метода EAP, но для беспроводных сетей приемлема лишь «strong» аутентификация с взаимной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и предварительным шифрованием канала связи.
На следующий стадии, сервер аутентификации, получив от клиента необходимую информацию, разрешает (accept) или запрещает (reject) тому доступ, с пересылкой данного сообщения аутентификатору. Аутентификатор (точка доступа) открывает порт для Supplicant-а, если со стороны RADIUS-сервера пришел положительный ответ (Accept).
Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть.
После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт».
Для коммуникации между клиентом (supplicant) и точкой доступа (authenticator) используются пакеты EAPOL. Протокол RADIUS используется для обмена информацией между аутентификатором (точкой доступа) и RADIUS-сервером (сервером аутентификации). При транзитной пересылке информации между клиентом и сервером аутентификации пакеты EAP переупаковываются из одного формата в другой на аутентификаторе.
Первоначальная аутентификация производится на основе общих данных, о которых знают и клиент, и сервер аутентификации (как то логин/пароль, сертификат и т. д.) -- на этом этапе генерируется Master Key. Используя Master Key, сервер аутентификации и клиент генерируют Pairwise Master Key (парный мастер ключ), который передается аутентификатору со стороны сервера аутентификации. А уже на основе Pairwise Master Key и генерируются все остальные динамические ключи, которым и закрывается передаваемый трафик. Необходимо отметить, что сам Pairwise Master Key тоже подлежит динамической смене.
WEP (Wired Equivalent Privacy) — старый метод обеспечения безопасности сети. Он все еще доступен для поддержки устаревших устройств, но использовать его не рекомендуется. При включении протокола WEP выполняется настройка ключа безопасности сети. Этот ключ осуществляет шифрование информации, которую компьютер передает через сеть другим компьютерам. Однако защиту WEP относительно легко взломать.
Существует два типа методов защиты WEP: проверка подлинности в открытой системе и проверка подлинности с использованием общих ключей. Ни один из них не обеспечивает высокий уровень безопасности, но метод проверки подлинности с использованием общих ключей является менее безопасным. Для большинства компьютеров и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Злоумышленник, перехвативший сообщения для успешной проверки подлинности с использованием общих ключей, может, используя средства анализа, определить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP. После определения статического ключа шифрования WEP злоумышленник может получить полный доступ к сети. По этой причине эта версия Windows автоматически не поддерживает настройку сети через проверку подлинности с использованием общих ключей WEP.
Использует генератор псевдослучайных чисел (алгоритм RC4) для получения ключа, а также векторы инициализации. Так как последний компонент не зашифрован, возможно вмешательство третьих лиц и воссоздание WEP-ключа.
Проведенный анализ угроз беспроводных сетей показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.
Обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать программу WPA. Программа WPA является обновленной программой сертификации устройств беспроводной связи. В программе WPA усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.
2. Технологии средств защиты информации беспроводных сетей
2.1 Настройка программы WPA
Возможность настройки WPA в Windows XP появляется с установкой Service Pack версии 2 (или же соответствующими обновлениями, лежащими на сайте Microsoft).
Рисунок 1-Окно свойств беспроводного адаптера
Service Pack 2 сильно расширяет функции и удобство настроек беспроводной сети. Хотя основные элементы меню не изменились, но к ним добавились новые.
Настройка шифрования производится стандартным образом: сначала выбираем значок беспроводного адаптера, далее жмем кнопку Свойства.
Рисунок 2- Вкладка беспроводные сети Переходим на закладку Беспроводные сети и выбираем, какую сеть будем настраивать (обычно она одна). Жмем Свойства.
Рисунок 3- Окно свойства В появившемся окне выбираем WPA-None, т. е. WPA с заранее заданными ключами (если выбрать Совместимая, то мы включим режим настройки WEP шифрования, который уже был описан выше).
Рисунок 4-Окно свойства Выбираем AES или TKIP (если все устройства в сети поддерживают AES, то лучше выбрать его) и вводим два раза (второй в поле подтверждения) WPA-ключ. Желательно какой-нибудь длинный и трудноподбираемый.
После нажатия на Ok настройку WPA шифрования также можно считать законченной.
В заключении пару слов о появившемся с Service Pack 2 мастере
Рисунок 5- Настройки беспроводной сети.
В свойствах сетевого адаптера выбираем кнопку Беспроводные сети.
Рисунок 6-Свойства адаптера В появившемся окне -- жмем на Установить беспроводную сеть.
Рисунок 7-Мастер беспроводной сети Тут нам рассказывают, куда мы попали. Жмем Далее.
Рисунок 8-Мастер беспроводной сети Выбираем Установить беспроводную сеть. (Если выбрать Добавить, то можно создать профили для других компьютеров в той же беспроводной сети).
Рисунок 10-Мастер беспроводной сети В появившемся окне устанавливаем SSID сети, активируем, если возможно, WPA шифрование и выбираем способ ввода ключа. Генерацию можно предоставить операционной системе или ввести ключи вручную. Если выбрано первое, то далее выскочит окошко с предложением ввести нужный ключ (или ключи).
Рисунок 11-Окно выбора способа установки сети Далее предлагается два способа сохранения установок беспроводной сети:
В текстовом файле, для последующего ручного ввода на остальных машинах.
Сохранение профиля на USB-флешке, для автоматического ввода на других машинах с Windows XP с интегрированным Service Pack версии 2.
Рисунок 12- Сохранение параметров во флеш-память Если выбран режим сохранения на Flash, то в следующем окне предложат вставить Flash-носитель и выбрать его в меню.
Рисунок 13-Установка завершена Если было выбрано ручное сохранение параметров, то после нажатия кнопки напечатать…
Рисунок 14-Параметры настроенной сети
… будет выведен текстовый файл с параметрами настроенной сети. Обращаю внимание, что генерируется случайный и длинные (т.е. хороший) ключи, но в качестве алгоритма шифрования используется TKIP. Алгоритм AES можно позже включить вручную в настройках, как было описано выше.
2.3 Шифрование трафика Любая точка доступа позволяет включить режим шифрования трафика, передаваемого по беспроводной сети. Шифрование трафика скрывает данные пользователей сети и сильно осложняет злоумышленникам раскодирование данных, передаваемых по зашифрованной сети. Методов шифрования существует несколько, самые распространенные из которых WEP и, более защищенные, WPA и WPA-2. Метод шифрования WEP по современным меркам недостаточно стойкий, поэтому в современных точках доступа стандарта 802.11g уже используется улучшенный метод кодирования WPA. Рассмотрим настройку WPA шифрования. В панели управления точки доступа включите режим «WPA-PSK» (предпочтительнее «WPA2-PSK»), иногда могут быть подрежимы из них нужно выбирать персональный или упрощенный, так как другие могут не работать в вашей сети без выделенного сервера. В режиме WPA нужно выбрать алгоритм шифрования «AES» или «TCIP» и ввести ключ шифрования, в роли которого могут выступать любые символы (желательно использовать ключ максимальной длины, символы с цифрами вперемешку).
Рисунок 15-Настройка режима WPA-PSK в точке доступа Все адаптеры Wi-Fi настраиваются аналогичным образом. А именно, на каждом компьютере/ноутбуке в свойствах «Беспроводного сетевого соединения» выбирайте в проверку подлинности «WPA-PSK» и шифрование данных «AES» или «TKIP», в зависимости от выбранного в точке доступа шифрования.
Рисунок 16-Настройка сетевого адаптера в режим WPA-PSK
Шаг 1 Откройте веб-браузер, наберите IP -адрес маршрутизатора (192.168.1.1 по умолчанию) в адресной строке и нажмите Enter .
Рисунок 17-Окно браузера Шаг 2 Введите имя пользователя и пароль на странице авторизации, по умолчанию имя пользователя и пароль: admin .
Рисунок 19-Окно настройки беспроводной сети Идентификатор SSID (имя беспроводной сети): задайте новое имя для вашей беспроводной сети Канал: 1, 6 или 11 подойдут лучше, чем Auto (Авто).
Поставьте галочку в полях «Enable Wireless Router Radio» («Включить беспроводной маршрутизатор «) и «Enable SSID Broadcast» («Включить вещание SSID»).
Примечание: После нажатия кнопки Save (Сохранить), появляется сообщение «Изменения настроек беспроводной сети начнут работать только после перезагрузки компьютера, пожалуйста, нажмите здесь, чтобы перезагрузить компьютер сейчас». Вам не нужно перезагружать маршрутизатор, пока вы не завершите все настройки беспроводной сети.
Шаг 5 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Security (Безопасность беспроводной сети), с правой стороны включите опцию WPA — PSK / WPA 2- PSK .
Рисунок 20-Настрой WPA-PSK
Version (Версия): WPA — PSK или WPA 2- PSK
Encryption (Шифрование): TKIP или AES
PSK Password (Предварительно выданный ключ): укажите пароль (длина предварительно выданного ключа от 8 до 63 символов.)
Шаг 7 В меню слева выберите Systems Tools (Служебные программы) -> Reboot (Перезагрузка). Перезагрузите маршрутизатор для того, чтобы настройки вступили в силу.
Рисунок 21-Служебные программы
3. Организационно-экономическая часть Стоимость адаптера была выбрана путем сравнения трёх прайс листов таких компаний как СаНи, Рет и DNS-SHOP, цены приведены в таблице 1
Наименование товара | |||
Сетевой адаптер Powerline TP-Link TL-WPA2220KIT | |||
1 870 руб /сайт, 5/. | Сетевой адаптер Powerline TP-Link TL-WPA2220KIT | ||
Таблица 1-Сравнение трёх прайс листов Путем анализа и сравнения цен я сделал вывод что выгодней всего приобрести этот адаптер с поддержкой WPA в магазине РЕТ, так как цена составила 1841 рубль.
4.Охрана труда и техника безопасности Общее положение.
1. Инструкция по охране труда является основным документом, устанавливающим для рабочих правила поведения на производстве и требования безопасного выполнения работ.
2. Знание Инструкции по охране труда обязательно для рабочих всех разрядов и групп квалификации, а также их непосредственных руководителей.
На каждом Объекте должны быть разработаны и доведены до сведения всего персонала безопасные маршруты следования по территории Объекта к месту работы и планы эвакуации на случай пожара и аварийной ситуации.
4. Каждый рабочий обязан:
соблюдать требования настоящей Инструкции;
немедленно сообщать своему непосредственному руководителю, а при его отсутствии -- вышестоящему руководителю о происшедшем несчастном случае и обо всех замеченных им нарушениях требований инструкции, а также о неисправностях сооружений, оборудования и защитных устройств;
помнить о личной ответственности за несоблюдение требований техники безопасности;
обеспечивать на своем рабочем месте сохранность средств защиты, инструмента, приспособлений, средств пожаротушения и документации по охране труда.
ЗАПРЕЩАЕТСЯ выполнять распоряжения, противоречащие требованиям настоящей Инструкции и «Межотраслевые правила по охране труда (правила безопасности) при эксплуатации электроустановок» ПОТ Р М-016−2001 (РД 153−34.0−03.150−00).
Любой компьютер является электроприбором и представляет собой потенциальную угрозу. Поэтому при работе с компьютером необходимо соблюдать требования безопасности.
Перед началом работы следует убедиться в исправности электропроводки, выключателей, штепсельных розеток, при помощи которых оборудование включается в сеть, наличии заземления компьютера и его работоспособности. Недопустимо использование некачественных и изношенных компонентов в системе электроснабжения, а также их суррогатных заменителей: розеток, удлинителей, переходников, тройников. Недопустимо самостоятельно модифицировать розетки для подключения вилок, соответствующих иным стандартам. Электрические контакты розеток не должны испытывать механических нагрузок, связанных с подключением массивных компонентов (адаптеров, тройников и т. п.). Все питающие кабели и провода должны располагаться с задней стороны компьютера и периферийных устройств. Их размещение в рабочей зоне пользователя недопустимо.
Запрещается производить какие-либо операции, связанные с подключением, отключением или перемещением компонентов компьютерной системы без предварительного отключения питания. Компьютер не следует устанавливать вблизи электронагревательных приборов и систем отопления. Недопустимо размещать на системном блоке, мониторе и периферийных устройствах посторонние предметы: книги, листы бумаги, салфетки, чехлы для защиты от пыли. Это приводит к постоянному или временному перекрытию вентиляционных отверстий. Запрещается внедрять посторонние предметы в эксплуатационные или вентиляционные отверстия компонентов компьютерной системы.
Некоторые составные части компьютеров способны сохранять высокое напряжение в течение длительного времени после Особенности электропитания системного блока. Все компоненты системного блока получают электроэнергию от блока питания. Блок питания ПК -- это автономный узел, находящийся в верхней части системного блока. Правила техники безопасности не запрещают вскрывать системный блок, например при установке дополнительных внутренних устройств или их модернизации, но это не относится к блоку питания. Блок питания компьютера -- источник повышенной пожаро-опасности, поэтому вскрытию и ремонту он подлежит только в специализированных мастерских. Блок питания имеет встроенный вентилятор и вентиляционные отверстия. В связи с этим в нем неминуемо накапливается пыль, которая может вызвать короткое замыкание. Рекомендуется периодически (один -- два раза в год) с помощью пылесоса удалять пыль из блока питания через вентиляционные отверстия без вскрытия системного блока. Особенно важно производить эту операцию перед каждой транспортировкой или наклоном системного блока.
Система гигиенических требований. Длительная работа с компьютером может приводить к расстройствам состояния здоровья. Кратковременная работа с компьютером, установленным с грубыми нарушениям гигиенических норм и правил, приводит к повышенному утомлению. Вредное воздействие компьютерной системы на организм человека является комплексным. Параметры монитора оказывают влияние на органы зрения. Оборудование рабочего места влияет на органы опорно-двигательной системы. Характер расположения оборудования в компьютерном классе и режим его использования влияет как на общее психофизиологическое состояние организма, так и им органы зрения.
Требования к видеосистеме. В прошлом монитор рассматривали в основном как источник вредных излучений, воздействующих прежде всего на глаза. Сегодня такой подход считается недостаточным. Кроме вредных электромагнитных излучений (которые на современных мониторах понижены до сравнительно безопасного уровня) должны учитываться параметры качества изображения, а они определяются не только монитором, но и видеоадаптером, то есть всей видеосистемы в целом.
На рабочем месте монитор должен устанавливаться таким образом, чтобы исключить возможность отражения от его экрана в сторону пользователя источников общего освещения помещения.
Расстояние от экрана монитора до глаз пользователя должно составлять от 50 до 70 см. Не надо стремиться отодвинуть монитор как можно дальше от глаз, опасаясь вредных излучений (по бытовому опыту общения с телевизором), потому что для глаза важен также угол обзора наиболее характерных объектов. Оптимально, размещение монитора на расстоянии 1,5 D от глаз пользователя, где D -- размер экрана монитора, измеренный по диагонали. Сравните эту рекомендацию с величиной 3…5 D, рекомендованной для бытовых телевизоров, и сопоставьте размеры символов на экране монитора (наиболее характерный объект, требующий концентрации внимания) с размерами объектов, характерных для телевидения (изображения людей, сооружений, объектов природы). Завышенное расстояния от глаз до монитора приводит к дополнительному напряжению органов зрения, сказывается на затруднении перехода от работы с монитором к работе с книгой и проявляется в преждевременном развитии дальнозоркости.
Важным параметром является частота кадров, которая зависит от свойств монитора, видеоадаптера и программных настроек видеосистемы. Для работы с текстами минимально допустима частота кадров 72 Гц. Для работы с графикой рекомендуется частота кадров от 85 Гц и выше.
Требования к рабочему месту. В требования к рабочему месту входят требования к рабочему столу, посадочному месту (стулу, креслу), Подставкам для рук и ног. Несмотря на кажущуюся простоту, обеспечить правильное размещение элементов компьютерной системы и правильную посадку пользователя чрезвычайно трудно. Полное решение проблемы требует дополнительных затрат, сопоставимых по величине со стоимостью отдельных узлов компьютерной системы, поэтому в быту и на производстве этими требованиями часто пренебрегают.
Монитор должен быть установлен прямо перед пользователем и не требовать поворота головы или корпуса тела.
Рабочий стол и посадочное место должны иметь такую высоту, чтобы уровень глаз пользователя находился чуть выше центра монитора. На экран монитора следует смотреть сверху вниз, а не наоборот. Даже кратковременная работа с монитором, установленным слишком высоко, приводит к утомлению шейных отделов позвоночника.
Если при правильной установке монитора относительно уровня глаз выясняется, что ноги пользователя не могут свободно покоиться на полу, следует установить подставку для ног, желательно наклонную. Если ноги не имеют надежной опоры, это непременно ведет к нарушению осанки и утомлению позвоночника. Удобно, когда компьютерная мебель (стол и рабочее кресло) имеют средства для регулировки по высоте. В этом случае проще добиться оптимального положения.
Клавиатура должна быть расположена на такой высоте, чтобы пальцы рук располагались на ней свободно, без напряжения, а угол между плечом и предплечьем составлял 100° -- 110°. Для работы рекомендуется использовать специальные компьютерные столы, имеющие выдвижные полочки для клавиатуры. При длительной работе с клавиатурой возможно утомление сухожилий кистевого сустава. Известно тяжелое профессиональное заболевание -- кистевой туннельный синдром, связанное с неправильным положением рук на клавиатуре. Во избежание чрезмерных нагрузок на кисть желательно предоставить рабочее кресло с подлокотниками, уровень высоты которых, замеренный от пола, совпадает с уровнем высоты расположения клавиатуры.
При работе с мышью рука не должна находиться на весу. Локоть руки или хотя бы запястье должны иметь твердую опору. Если предусмотреть необходимое расположение рабочего стола и кресла затруднительно, рекомендуется применить коврик для мыши, имеющий специальный опорный валик. Нередки случаи, когда в поисках опоры для руки (обычно правой) располагают монитор сбоку от пользователя (соответственно, слева), чтобы он работал вполоборота, опирая локоть или запястье правой руки о стол.
4.1Требования электробезопасности При пользовании средствами вычислительной техники и периферийным оборудованием каждый работник должен внимательно и осторожно обращаться с электропроводкой, приборами и аппаратами и всегда помнить, что пренебрежение правилами безопасности угрожает и здоровью, и жизни человека Во избежание поражения электрическим током необходимо твердо знать и выполнять следующие правила безопасного пользования электроэнергией:
1. Необходимо постоянно следить на своем рабочем месте за исправным состоянием электропроводки, выключателей, штепсельных розеток, при помощи которых оборудование включается в сеть, и заземления. При обнаружении неисправности немедленно обесточить электрооборудование, оповестить администрацию. Продолжение работы возможно только после устранения неисправности.
2. Во избежание повреждения изоляции проводов и возникновения коротких замыканий не разрешается:
а) вешать что-либо на провода;
б) закрашивать и белить шнуры и провода;
в) закладывать провода и шнуры за газовые и водопроводные трубы, за батареи отопительной системы;
г) выдергивать штепсельную вилку из розетки за шнур, усилие должно быть приложено к корпусу вилки.
3. Для исключения поражения электрическим током запрещается:
а) часто включать и выключать компьютер без необходимости;
б) прикасаться к экрану и к тыльной стороне блоков компьютера;
в) работать на средствах вычислительной техники и периферийном оборудовании мокрыми руками;
г) работать на средствах вычислительной техники и периферийном оборудовании, имеющих нарушения целостности корпуса, нарушения изоляции проводов, неисправную индикацию включения питания, с признаками электрического напряжения на корпусе
д) класть на средства вычислительной техники и периферийном оборудовании посторонние предметы.
4. Запрещается проверять работоспособность электрооборудования в неприспособленных для эксплуатации помещениях с токопроводящими полами, сырых, не позволяющих заземлить доступные металлические части.
5. Ремонт электроаппаратуры производится только специалистами-техниками с соблюдением необходимых технических требований.
6. Недопустимо под напряжением проводить ремонт средств вычислительной техники и перифейного оборудования.
7. Во избежание поражения электрическим током, при пользовании электроприборами нельзя касаться одновременно каких-либо трубопроводов, батарей отопления, металлических конструкций, соединенных с землей.
8. При пользовании элетроэнергией в сырых помещениях соблюдать особую осторожность.
9. При обнаружении оборвавшегося провода необходимо немедленно сообщить об этом администрации, принять меры по исключению контакта с ним людей. Прикосновение к проводу опасно для жизни.
10. Спасение пострадавшего при поражении электрическим током главным образом зависит от быстроты освобождения его от действия током.
Во всех случаях поражения человека электрическим током немедленно вызывают врача. До прибытия врача нужно, не теряя времени, приступить к оказанию первой помощи пострадавшему.
Необходимо немедленно начать производить искусственное дыхание, наиболее эффективным из которых является метод? рот в рот¦ или? рот в нос¦, а также наружный массаж сердца.
Искусственное дыхание пораженному электрическим током производится вплоть до прибытия врача.
4.2 Требования к помещению Помещения должны иметь естественное и искусственное освещение. Расположение рабочих мест за мониторами для взрослых пользователей в подвальных помещениях не допускается.
Площадь на одно рабочее место с компьютером для взрослых пользователей должна составлять не менее 6 м², а объем не менее -20 м3.
Помещения с компьютерами должны оборудоваться системами отопления, кондиционирования воздуха или эффективной приточно-вытяжной вентиляцией.
Для внутренней отделки интерьера помещений с компьютерами должны использоваться диффузно-отражающие материалы с коэффициентом отражения для потолка -- 0,7−0,8; для стен -- 0,5−0,6; для пола -- 0,3−0,5.
Поверхность пола в помещениях эксплуатации компьютеров должна быть ровной, без выбоин, нескользкой, удобной для очистки и влажной уборки, обладать антистатическими??? йствами.
В помещении должны находиться аптечка первой медицинской помощи, углекислотный огнетушитель для тушения пожара.
4.3 Требования по обеспечению пожарной безопасности На рабочем месте запрещается иметь огнеопасные вещества В помещениях запрещается:
а) зажигать огонь;
б) включать электрооборудование, если в помещении пахнет газом;
в) курить;
г) сушить что-либо на отопительных приборах;
д) закрывать вентиляционные отверстия в электроаппаратуре Источниками воспламенения являются:
а) искра при разряде статического электричества б) искры от электроборудования в) искры от удара и трения г) открытое пламя При возникновении пожароопасной ситуации или пожара персонал должен немедленно принять необходимые меры для его ликвидации, одновременно оповестить о пожаре администрацию.
Помещения с электроборудованием должны быть оснащены огнетушителями типа ОУ-2 или ОУБ-3.
Заключение На сегодняшний момент беспроводные сети получили широкое распространение, что приводит к необходимости разработки технологии защиты информации беспроводных сетей.
В результате проведенного исследования в данном дипломном проекте можно сделать следующие выводы:
беспроводная передача данных заключает в себе возможность несанкционированного подключения к точкам доступа, нефиксированную связь, подслушивание, для этого необходимо предусмотреть качественные средства защиты, так как подключиться к сети можно из автомобиля, припаркованного на улице.
обзор программного обеспечения показал, что для защиты информации беспроводных сетей используются специализированные программы такие как WEP и WPA.
наиболее целесообразно для защиты информации беспроводных сетей использовать программу WPA, так как в программе WPA усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.
Список используемых источников Акнорский Д. Немного о беспроводных сетях //Компьютер Price.-2003.-№ 48.
Берлин А. Н. Телекоммуникационные сети и устройства. //Интернет-университет информационных технологий — ИНТУИТ.ру, БИНОМ. Лаборатория знаний, 2008. — 319 стр Системы передачи информации. Курс лекций. /С.В. Кунегин — М.: в/ч 33 965, 1998, — 316 с. с ил.
Беспроводная сеть своими руками
Вишневский В.М., Ляхов А. И. , Портной С. Л. , Шахнович И. В. Широкополосные беспроводные сети передачи информации. — 2005. — 205с.
Восстановления данных в беспроводной сети //iXBT URL: http://www.ixbt.com/storage/faq-flash-p0.shtml
Гультяев А. К. Восстановление данных. 2-е изд. -- СПб.: Питер, 2006. -- 379 с.:
Зорин М., Писарев Ю., Соловьев П. Беспроводные сети: современное состояние и перспективы. — Connect! // Мир связи.1999.№ 4.стр. 104.
Зайдель И. Флэшка должна жить долго//R.LAB URL: http://rlab.ru/doc/long_live_flash.html
Зорин М., Писарев Ю., Соловьев П. Радиооборудование диапазона 2,4 ГГц: задачи и возможности // PCWeek/Russian Edition.1999.№ 20−21.стр.
…Кристиан Барнс, Тони Боутс, Дональд Ллойд, Эрик Уле, Джеффри Посланс, Дэвид М. Зенджан, Нил О’Фаррел., Защита от хакеров беспроводных сетей. — Издательство: Компания АйТи, ДМК пресс. — 2005. — 480с.
Меррит Максим, Дэвид Поллино., Безопасность беспроводных сетей. — 2004. — 288с Молта Д., Фостер-Вебстер А. Тестируем оборудование для беспроводных ЛВС стандарта 802.11 // Сети и системы связи.1999.№ 7.стр.
Арзамасский филиал
Выполнила:
Пушкова К.С.,
студентка 4 курса
очной формы обучения,
направление подготовки
«Прикладная информатика»
________________________
(подпись студента)
Курсовая работа
Научный руководитель:
К.б.н, доцентШирокова Н.П.
Арзамас
ГлаваI ……………………………………………………………………………..6
Глава III
Введение
Глава I АНАЛИЗОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БЕСПРОВОДНОЙ СЕТИ
Основные угрозы беспроводных сетей
Угрозы информационной безопасности, существующие при использовании беспроводных сетей разделяют на два вида:
1) Прямые – угрозы информационной безопасности, возникающие при передаче информации по беспроводному интерфейсу IEEE 802.11;
2) Косвенные - угрозы, связанные с наличием на объекте и рядом с объектом большого количества Wi-Fi-сетей.
Прямые угрозы
Канал передачи данных, используемый в беспроводных сетях может подвергаться внешнему влиянию с целью использования личных сведений, нарушения целостности и доступности информации. В беспроводных сетях существуют как аутентификация, так и шифрование, однако эти возможности защиты имеют свои недостатки. Возможности блокирования передачи данных в канале беспроводных сетей не уделено должного внимания при разработке технологии. Такое блокирование канала не представляет опасности, так как беспроводные сети выполняют вспомогательную роль, но блокирование может являтся подготовительным этапом для атаки "человек посередине", в которой когда между пользователем и точкой доступа возникает третье устройство, перенаправляющее информацию через себя. Такое воздействие предоставляет возможность удалять или изменять информацию.
Чужаки
Чужаки (RogueDevices, Rogues) – это устройства, позволяющие воспользоваться неавторизованным доступом к корпоративной сети, в обход защитных решений, заданных политикой безопасности. Отказ от использования устройств беспроводной связи не предоставляет защититу от беспроводных атак, если в сети возникнет чужак. В роли такого устройства могут выступать устройства, у которых есть проводной и беспроводной интерфейсы: точки доступа, проекторы, сканеры, ноутбуки с включёнными интерфейсами и т.д.
Взлом шифрования
Защищённость WEP очень слаба. В Интернете есть множество специального программного обеспечения для взлома этой технологии, которое выбирает статистику трафика так, чтобы её было достаточно для воссоздантя ключа шифрования. В стандартах WPA и WPA2 также имеются уязвимости различной степени опасности, которые позволяют их взлом. В данном отношении в положительном ракурсе можно рассматривать технологию WPA2-Enterprise (802.1x).
Отказы в обслуживании
DoS атаки применяются для нарушения качества работы сети или на для абсолютного прекращения доступа клиентов к сетям. В случае Wi-Fi сети заметить источник, загружающий сеть «мусорными» пакетами, очень непросто – его нахождение определяется лишь зоной покрытия. При этом существует аппаратный вариант этой атаки – установливается достаточно сильный источник помех в необходимом частотном диапазоне.
Режим безопасности WEP
WEP (Wired Equivalent Privacy) – метод обеспечения безопасности сети, доступен для работы с устаревшими устройствами, но его применение не приветствуется из-за относительно легкого взлома защиты. При использовании протокола WEP настраивается ключ безопасности сети, который выполняет шифрование данных, передаваемых компьютером через сеть другим устройствам.
Используют два метода защиты WEP:
1) проверка подлинности в открытой системе;
2) проверка подлинности с использованием общих ключей.
Эти методы не обеспечивают высокого уровня безопасности, однако метод проверки подлинности в открытой системе является более безопасным. Для большинства устройств и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Перехватив сообщение для проверки подлинности с использованием общих ключей, можно, применяя средства анализа, выделить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP, после чего становится открыт полный доступ к сети.
Режим безопасности WPA
WPA (Wi-Fi Protected Access) является обновлённой программой сертификации устройств беспроводной связи. Технология WPA включает несколько составляющих:
v протокол 802.1x - универсальный протокол для аутентификации, авторизации и учета (AAA);
v протокол TKIP - протокол временной целостности ключей, другой вариант перевода - протокол целостности ключей во времени (Temporal Key Integrity Protocol);
v протокол EAP - расширяемый протокол аутентификации (Extensible Authentication Protocol);
v MIC - криптографическая проверка целостности пакетов (Message Integrity Code);
v протокол RADIUS
Шифрованием данных в WPA занимается протокол TKIP, использующий такой же алгоритм шифрования что WEP (RC4), но при этом использует динамические (часто меняющиеся) ключи. В этой технологии применяется более длинный вектор инициализации и используется криптографическая контрольная сумма (MIC) для подтверждения целостности пакетов.
RADIUS-протокол выполняет работу вместе с сервером аутентификации (RADIUS-сервер). При таком режиме беспроводные точки доступа находятся в enterprise-режиме.
При отсутствии RADIUS-сервера роль сервера аутентификации выполняет точка доступа - так называемый режим WPA-PSK.
Режим безопасности WPA-PSK
WPA-PSK (pre-shared key, общийключ). В данной технологии в конфигурации всех точек доступа задаётся общий ключ. Этот же ключ же прописывается и на пользовательских мобильных устройствах. Такой метод защиты безопаснее в сравнении с WEP, однако не удобен с точки зрения управления. PSK-ключ необходимо задать на каждом беспроводном устройстве, все клиенты сети могут его видеть. При необходимости заблокировки доступа к конкретному пользователю в сеть, нужно снова задавать новый PSK на каждом устройстве сети. Вследствие этого данный режим WPA-PSK можно использовать в домашней сети или небольшом офисе с небольшим числом пользователей.
Рассмотрим механизмы работы WPA. Технология WPA была введена как временная мера до до начала использования стандарта 802.11i. Некоторые производители до ввода этого стандарта стали применять технологию WPA2, в некоторой степени включающую в себя элементы стандарта 802.11i, например, использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), вместо TKIP. В WPA2 качестве алгоритма шифрования используется улучшеная технология шифрования AES (Advanced Encryption Standard). Для работы с ключами используется протокол 802.1x., который может выполнять несколько функций. В вопросах безопасности рассмотрим функции аутентификации пользователя и распределение ключей шифрования. В данном протоколе аутентификация выполняется «на уровне порта». До тех пор, пока пользователь не выполнит аутентификацию, он может отправлять/принимать пакеты, имеющие отношение только к процессу его учетных данных и только. Лишь пройдя успешную аутентификацию порты точки доступа или коммутатора будут открыты и клиент сможет пользоваться ресурсами сети.
Протокол EAP выполняет функции аутентификации и является лишь надстройкой для методов аутентификации. Все преимущества протокола состоят в том, что он очень просто реализуется на точке доступа, так как ей не нужно знать никаких особенностей разнообразных методов аутентификации. В этом случае точка доступа в качестве аутентификатора выполняет лишь передаточные функции между пользователем и сервером аутентификации. Существуют следующие методы аутентификации:
ü EAP-SIM, EAP-AKA - выполняются в сетях мобильной связи GSM;
ü LEAP - пропреоретарный метод от Cisco systems;
ü EAP-MD5 - простейший метод, аналогичный CHAP;
ü EAP-MSCHAP V2 - в основе метода аутентификации лежит использование логина/пароля пользователя в MS-сетях;
ü EAP-TLS - аутентификация на основе цифровых сертификатов;
ü EAP-SecureID - в основе метода лежит применение однократных паролей.
Кроме вышеизложенных, можно выделить ещё два метода: EAP-TTLS и EAP-PEAP, которые перед непосредственной аутентификацией клиента вначале создают TLS-туннель между пользователем и сервером аутентификации, внутри которого и выполняется сама аутентификация, с использованием методов MD5, TLS, PAP, CHAP, MS-CHAP, MS-CHAP v2. Создание туннеля повышает уровень безопасности аутентификации, защищая от атак типа «человек посредине», «session hihacking» или атаки по словарю.
Схема аутентификации состоит из трех компонентов:
v Supplicant - приложение, запущенное на устройстве пользователя, пытающегося выполнить подключение к сети;
v Authenticator - узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x);
v Authentication Server - сервераутентификации (RADIUS-сервер).
Аутентификация состоит из следующих этапов:
1) Клиент посылает запрос на аутентификацию в сторону точки доступа.
2) Точка доступа в ответ создает клиенту запрос на идентификацию клиента.
3) Клиент в ответ высылает пакет с необходимыми данными, который точка доступа перенаправляет в сторону сервера аутентификации.
4) Сервер аутентификации отсылает аутентификатору (точке доступа) запрос информации о подлинности клиента.
5) Аутентификатор пересылает этот пакет клиенту.
После этого выполняется взаимная идентификации сервера и клиента. Число пересылок пакетов в одну и в другую сторону изменяется в зависимости от метода EAP, но в беспроводных сетях используется лишь «strong» аутентификация с обоюдной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и созданием шифрования канала связи.
6) На следующем этапе, сервер аутентификации, с необходимой информацией от клиента, разрешает или запрещает пользователю доступ, с отсылкой соответствующего сообщения аутентификатору (точке доступа). Аутентификатор выполняет открытие порта, если со стороны сервера аутентификации пришел положительный ответ.
7) Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть. После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт».
Для соединения клиента и точки доступа применяются пакеты EAPOL. Протокол RADIUS используется при обмене данными между аутентификатором и RADIUS-сервером.
Начальная аутентификация выполняется на базе общих данных, которые известны и клиенту, и серверу аутентификации, например, логин/пароль, сертификат и т.д. При этом создаётся «мастер ключ», с помощью которого клиент и сервер аутентификации генерируют «парный мастер ключ», который передается точке доступа от сервера аутентификации. Впоследствии на основе «парного мастера ключа» и создаются все остальные изменяющиеся со временем ключи, которые и закрывают передаваемый трафик.
Глава III НАСТРОЙКА БЕЗОПАСНОСТИ В WIFI-СЕТИ
Заключение
В данной курсовой работе проводилось исследование методов повышения защиты данных при передаче их с помощью беспроводных сетей.
Для достижения цели курсовой работы, были выполнены следующие задачи:
1) изучен принцип работы беспроводной сети;
2) были исследованы виды угроз и их отрицательное воздействие на работу беспроводных сетей;
3) проанализированы средства защиты информации беспроводных сетей от несанкционированного доступа;
4) произведена защита беспроводной сети от несанкционированного доступа к ней.
Проведенный анализ угроз беспроводных сетей показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.
Обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать режим WPA2. WPA2 является обновленной программой сертификации устройств беспроводной связи. В данном режиме усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм. Данный режим безопасности был применён при настройке роутера беспроводной сети TP-Link.
В ходе исследования все поставленные задачи были выполнены. Цель курсовой работы достигнута.
Арзамасский филиал
Физико-математический факультет
Кафедра прикладной информатики
Выполнила:
Пушкова К.С.,
студентка 4 курса
очной формы обучения,
направление подготовки
«Прикладная информатика»
направленность (профиль) Прикладная информатика в экономике
________________________
(подпись студента)
Курсовая работа
Анализ методов защиты беспроводных сетей
Научный руководитель:
К.б.н, доцентШирокова Н.П.
Арзамас
Введение……………………………………………………………………….…4
ГлаваI
1.1 Принцип действия беспроводных сетей……………………………………6
1.2 Основные угрозы беспроводных сетей…………………………………….9
1.2.1 Прямые угрозы………………………………………….………………..9
1.2.2 Чужаки……………………………………………………………………10
1.2.3 Нефиксированная природа связи………………………………………..10
1.3 Уязвимости сетей и устройств……………………………………………...11
1.3.1 Некорректно сконфигурированные точки доступа………………….…11
1.3.2 Некорректно сконфигурированные беспроводные клиенты……….…11
1.3.3 Взлом шифрования………………………………………………………12
1.3.4 Имперсонация и IdentityTheft……………………………………………12
1.3.5 Отказы в обслуживании………………………………………………….13
ГЛАВА II СРЕДСТВА ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ.....………..…14
2.1 Режим безопасности WEP…………………………………………...……..14
2.2 Режим безопасности WPA…………………………………………….……14
2.3 Режим безопасности WPA-PSK………………………………………….…15
Глава III НАСТРОЙКА БЕЗОПАСНОСТИ В WIFI-СЕТИ………………….19
3.1 Конфигурация устройств в беспроводных сетях………………………….19
3.2 Настройка безопасности беспроводной сети на примере роутера TP-Link...................................................................................................................22
Заключение……………………………………………………………………….29
Список используемых источников……………………………………………..30
Введение
В современном мире беспроводные сети используются практически во всех сферах человеческой деятельности. Такое повсеместное использование беспроводных сетей связано с тем, что ими можно пользоваться не только на персональных компьютерах, но и на мобильных устройствах, а также их удобством, связанным с отсутствием кабельных линий и сравнительно небольшой стоимостью. Беспроводные сети удовлетворяют совокупности требований к качеству, скорости, защищенности, радиусу приема. Особое внимание необходимо уделять защищенности, как одному из самых важных факторов.
С ростом применения беспроводных сетей, перед пользователями возникает проблема – защита информации от неправомерного доступа к этой сети. В данной работе рассматриваются способы защиты информации беспроводной сети.
Актуальность создания условий безопасного пользования беспроводной сетью обусловлена тем, что в отличие от проводных сетей, где необходимо вначале получить физический доступ к кабелям системы, в беспроводных сетях получить доступ к сети можно с помощью обычного приемника, находящегося в районе распространения сети.
Однако при различной физической организации сетей, создание безопасности и проводных беспроводных сетей одинаково. При организации защиты информации в беспроводных сетях необходимо больше уделять внимание обеспечению невозможности утечки и целостности информации, проверке идентичности пользователей и точек доступа.
Объект исследования в данной работе – средства защиты информации в беспроводных сетях.
Предмет исследования – технологии защиты информации в беспроводных сетях от несанкционированного доступа.
Целью курсовой работы является изучение методов повышения защиты данных при передаче с помощью беспроводных сетей.
Чтобы достичь цели курсовой работы, необходимо выполнить следующие задачи:
1) изучить принцип работы беспроводной сети;
2) исследовать виды угроз и их отрицательное воздействие на работу беспроводных сетей;
3) проанализировать средства защиты информации беспроводных сетей;
4) выполнить защиту беспроводной сети от несанкционированного доступа к ней.
Глава I АНАЛИЗОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БЕСПРОВОДНОЙ СЕТИ
