Урок 2 (згідно робочої навчальної програми) Огляд історії розвитку комп'ютерних мереж Питання для вивчення
Скачать 0.53 Mb.
|
Питання для контролю вивченого матеріалу: 1. Які існують методи для передачі сигналу в бездротових мережах? 2. Назвіть та дайте характеристику кожному методу та технології обробки сигналу. Література: Ватаманюк А. И. Беспроводная сеть своими руками. — СПб.: Питер. 2006. — 192 с: ил., стор. 29-33 Урок № 43 (згідно робочої навчальної програми) Поняття безпеки бездротових мереж Питання для вивчення: 1. Види загроз для бездротових мереж 2. Засоби захисту інформації мереж Wi-Fi 3. Засоби захисту інформації мереж WiМАХ 4. Заходи для вирішення питань безпеки бездротових мереж Види загроз для бездротових мереж. Актуальною проблемою використання бездротових мереж є їх захист та способи захисту даних в них, оскільки комунікаційні сигнали при їх розповсюдженні через радіоефір доступні для перехоплення. Існує кілька форм загрози безпеці в бездротових мережах. Так, хакери можуть викрасти дані, отримавши неавторизований доступ до мережі, і навіть порушити роботу мережі. Моніторинг трафіку.Досвідчений хакер або навіть випадковий снупер (snooper – відстежувач, перехоплювач) може відстежити пакети даних в незахищеній бездротовій мережі, використовуючи відповідні програмні засоби за допомогою яких можна повністю розшифрувати вміст пакетів даних із бездротової мережі. Неавторизований доступ.Також можна здійснити моніторинг виконуваних в мережі програм і без особливих зусиль, якщо не прийнято належних запобіжних заходів, отримати доступ до бездротової мережі, знаходячись поза приміщенням, де вона функцонує. За допомогою сучасних операційних систем можна легко встановлювати під’єднання до бездротових мереж, особливо до загальнодоступних. Коли комп’ютер (ноутбук) під’єднаний до бездротової локальної мережі, його власник отримує доступ до будь-якого іншого комп’ютера (ноутбука), що під’єднаний до тієї самої бездротової локальної мережі. Якщо на комп’ютері не встановлений персональний брандмауер, то хто завгодно може отримати доступ до даних такого комп’ютера (ноутбука). Навіть якщо в бездротовій мережі задіяні механізми захисту, істотною загрозою є під’єднання до підставної точки доступу (rogue аccess point). Атака типу «людина всередині».Завдяки використанню механізмів шифрування і аутентифікації підвищується безпека бездротової мережі, проте, досвідчені хакери відшукують слабкі місця, знаючи, як працюють протоколи мережі. Певну небезпеку представляють атаки типу «людина всередині» (man-in- the-middle attacks): хакер розміщує фіктивний пристрій між легальними користувачами і бездротовою мережею. Наприклад, при здійсненні стандартної атаки типу «людина всередині» використовується протокол перетворення адрес (address resolution protocol (ARP)), який використовується у всіх мережах Ethernet. Хакер, маючи необхідне програмне забезпечення, може, скориставшись ARP, отримати контроль над бездротовою мережею. За допомогою ARP відправляються запити (як в провідниковій, так і в бездротовій мережі) через мережеву плату з метою виявлення іншої фізичної або МАС адреси, куди має прийти даний запит. Проблема, яка виникає при використанні протоколу ARP, полягає в тому, що є небезпека для системи захисту даних за допомогою спуфинга (spoofing (спуфінг) – імітація з’єднання, отримання доступу обманним шляхом). Можна імітувати з’єднання між комп’ютерами, посилаючи на один з комп’ютерів через підставний мережевий пристрій фіктивний ARP запит, що містить IP-адресу дійсного мережевого пристрою і МАС-адресу підставного. Це приведе до того, що на всіх комп’ютерах мережі автоматично відновляться ARP-таблиці, які будуть містити помилкові дані. В результаті за допомогою комп’ютерів передаватимуться пакети до підставного пристрою, а не до дійсної точки доступу або маршрутизатора. Це і є класична атака типу «людина всередині», в результаті якої можна отримати доступ до управління сеансами зв'язку користувача, отримати паролі, важливі дані і навіть можна отримати доступ до корпоративних серверів. Для запобігання такого роду атак з використанням спуфінга ARP розробники пропонують захищені ARP (secure ARP, SARP). Цей ARP забезпечує спеціальний захищений канал зв’язку («тунель») між кожним клієнтом і бездротовою точкою доступу або маршрутизатором, за допомогою якого ігноруються всі ARP-відповіді, не пов'язані з клієнтом, що знаходиться на другому кінці цього каналу зв’язку. Але можна встановити SARP на клієнтських пристроях (комп’ютерах, ноутбуках), забезпечивши захист мережі від атак типу «людина всередині». Атака типу «Відмова в обслуговуванні».Атака типу «відмова в обслуговуванні» (denial of service, DоS) – це атака, в результаті якої бездротова мережа стає недоступною або її робота блокується. Можливість такої атаки потрібно враховувати при створенні і використанні бездротових мереж. Серйозність DoS-атаки залежить від того, до яких наслідків може привести вихід з ладу бездротової мережі. Одним з різновидів DoS-атак є метод «грубої сили» (bruteforce attack). Масове розсилання пакетів в мережі, при якому використовуються всі ресурси мережі, в результаті чого мережа переповнюється і блокується – це і є варіант DoS-атаки, виконаний за методом «грубої сили». Іншим методом припинення роботи більшості бездротових мереж, особливо тих, в яких використовується метод виявлення мережі, є використання сильного радіосигналу, що «глушить» всі інші. Проте спроба проведення атаки на мережу з використанням сильного радіосигналу може виявитися вельми ризикованою, оскільки для проведення такої атаки потрібний потужний передавач, який повинен розташовуватися в безпосередній близькості від приміщення, в якому розгорнута бездротова мережа. Власник мережі може виявити цей передавач, використовуючи засоби виявлення, що входять до складу мережевих аналізаторів. Іноді «відмова в обслуговуванні» бездротової мережі виникає внаслідок ненавмисних дій. Найбільш дієвим захистом від DоS-атак є розробка і дотримання таких правил безпеки: – встановлення та оновлення брандмауерів; – постійне оновлення антивірусних програмних засобів; – встановлення останніх оновлень, за допомогою яких ліквідовують недоліки в системі безпеки операційної системи; – використання довгих паролів; – від’єднання мережевих пристроїв, які не використовуються. Універсального способу протидії DoS-атакам всіх типів не існує. Тому, якщо в результаті атаки бездротова мережа все ж таки вийшла з ладу, слід забезпечити перехід до пакетного опрацювання даних за допомогою дротової мережі. Засоби захисту інформації мереж Wi-Fi. Для захисту бездротової мережі Wi-Fi використовуються наступні засоби: – протокол шифрування WEP — цеп ротокол шифрування, що використовує досить нестійкий алгоритм RC4 на статичному ключі. Існує 64 -, 128 -, 256 - і 512-бітове шифрування. Чим більше біт використовується для зберігання ключа, тим більше можливих комбінацій ключів, а відповідно більш висока стійкість мережі до злому. Частина WEP-ключа є статичною (40 біт у випадку 64-бітного шифрування), а інша частина (24 біта) - динамічною (вектор ініціалізації), вона змінюється в процесі роботи мережі. Основною вразливістю протоколу WEP є те, що вектори ініціалізації повторюються через деякий проміжок часу, і зламнику буде потрібно лише обробити ці повтори і обчислити по них статичну частину ключа. Для підвищення рівня безпеки також додатково до WEP-шифрування використовується стандарт 802.1x або VPN; – протокол шифрування WPA — це більш стійкий протокол шифрування, ніж WEP, хоча використовується той самий алгоритм RC4. Більш високий рівень безпеки досягається за рахунок використання протоколів TKIP і MIC. TKIP (Temporal Key Integrity Protocol) - протокол динамічних ключів мережі, які змінюються досить часто. При цьому, кожному пристрою також привласнюється ключ, що теж змінюється. MIC (Message Integrity Check) - протокол перевірки цілісності пакетів, захищає від перехоплення пакетів і їх перенаправлення. Також існує можливість використання 802.1x та VPN, як і у випадку з протоколом WEP. Існує 2 види WPA: 1. WPA-PSK (Pre-Shared Key) - для генерації ключів мережі і для входу в мережу використовується ключова фраза. Оптимальний варіант для домашньої або невеликої офісної мережі. 2. WPA-802.1x - вхід у мережу здійснюється через сервер аутентифікації. Оптимально для мережі великої компанії; – протокол WPA2 - удосконалення протоколу WPA. На відміну від WPA, використовується більш стійкий алгоритм шифрування AES. За аналогією з WPA, WPA2 також ділиться на два типи: WPA2-PSK і WPA2-802.1x; Слід звернути увагу на протоколи стандарту безпеки 802.1х. До них відносяться: – EAP (Extensible Authentication Protocol) - протокол розширеної аутентифікації. Використовується спільно з RADIUS - сервером у великих мережах; – TLS (Transport Layer Security) - протокол, який забезпечує цілісність і шифрування переданих даних між сервером і клієнтом, їх взаємну аутентифікацію, запобігаючи перехопленню і підміну повідомлень; – RADIUS (Remote Authentication Dial-In User Server) - сервер аутентифікації користувачів за логіном і паролем; – VPN (Virtual Private Network) - віртуальна приватна мережа. Цей протокол спочатку був створений для безпечного підключення клієнтів до мережі через загальнодоступні Інтернет-канали. Принцип роботи VPN - створення так званих безпечних «тунелів» від користувача до вузла доступу або сервера. Хоча VPN спочатку був створений не для Wi-Fi, його можна використовувати в будь- якому типі мереж. Для шифрування трафіку в VPN найчастіше використовується протокол IPSec. Також існує де-кілька засобів додаткового захисту мереж Wi-Fi. Серед них слід відмітити наступні: – фільтрація за МАС адресою. MAC адреса - це унікальний ідентифікатор пристрою (мережного адаптера), «зашитий» в нього виробником. На деякому обладнанні, можливо, задіяти цю функцію і дозволити доступ в мережу необхідним адресам. Це створить додаткову перешкоду зламнику; – приховування SSID .SSID - це ідентифікатор бездротової мережі. Більшість обладнання дозволяє його приховати, таким чином, при скануванні мережі видно не буде. Але це не дуже серйозна перепона, якщо хакер використовує більш просунутий сканер мереж, ніж стандартна утиліта в Windows; – заборона доступу до налаштувань точки доступу або роутера через бездротову мережу. Активувавши цю функцію можна заборонити доступ до налаштувань точки доступу через Wi-Fi мережу, однак, це не захистить мережу від перехоплення трафіку або від проникнення да неї. Засоби захисту інформації мереж WiМАХ. Для здійснення захисту інформації в мережах WiМАХ та у відповідності зі стандартом здійснюється шифрування всього переданого по мережі трафіку. Базова станція (БС) WiMAX являє собою модульний конструктив, в який при необхідності можна встановити кілька модулів зі своїми типами інтерфейсів, але, при цьому, має підтримуватися адміністративне програмне забезпечення для управління мережею. Це програмне забезпечення забезпечує централізоване управління всією мережею. Логічне додавання в існуючу мережу абонентських комплектів здійснюється також через цю адміністративну функцію. Абонентська станція (АС) являє собою пристрій, що має унікальний серійний номер, МАС-адреса, а також цифровий підпис Х. 509, на підставі якої відбувається аутентифікація абонентської станції на базовій станції. При цьому, відповідно до стандарту, термін дійсності цифрового підпису абонентської станції становить 10 років. Після установки абонентської станції у клієнта і подачі живлення вона авторизується на базовій станції, використовуючи певну частоту радіосигналу, після чого базова станція, ґрунтуючись на перерахованих вище ідентифікаційних даних, передає абоненту конфігураційний файл TFTP- протоколу. У цьому конфігураційному файлі знаходиться інформація про піддіапазоні передачі (прийому) даних, типи трафіку і доступній смузі, розклад розсилки ключів для шифрування трафіку і інша необхідна для роботи абонентської станції інформація. Необхідний файл з конфігураційними даними створюється автоматично, після занесення адміністратором системи АС в базу абонентів. Після процедури конфігурування аутентифікація абонентської станції на базовій станції відбувається наступним чином: абонентська станція надсилає запит на авторизацію, в якому міститься сертифікат Х.509, що підтримується методами шифрування і додаткова інформація, базова станція, у відповідь на запит на авторизацію (у разі достовірності запиту), надсилає відповідь, в якій міститься ключ на аутентифікацію, зашифрований відкритим ключем абонента, 4-бітний ключ для визначення послідовності, необхідний для визначення наступного ключа на авторизацію, а також час життя ключа. У процесі роботи абонентської станції, через проміжок часу, який визначається адміністратором системи, відбувається повторна авторизація та аутентифікація, і в разі успішного проходження аутентифікації і авторизації потік даних не переривається. Для забезпечення надійності роботи мережі у стандарті технології WiMAX використовується протокол PKM (Privacy Key Management), відповідно до якого визначено декілька видів ключів для шифрування переданої інформації: – Authorization Key (АК) - ключ, використовуваний для авторизації на базовій станції; – Traffi c Encryption Key (ТЕК) - ключ, використовуваний для криптозахисту трафіку; – Key Encryption Key (КЕК) - ключ, використовуваний для криптозахисту переданих в ефірі ключів. В кожен момент часу використовуються два ключі одночасно, які перекриваються часом життя. Дана міра необхідна в середовищі з втратами пакетів (а в ефірі вони неминучі) і забезпечує безперебійність роботи мережі. Є велика кількість динамічно змінних ключів, досить довгих, при цьому встановлення безпечних з'єднань відбувається за допомогою цифрового підпису. Відповідно до стандарту, криптозахист виконується відповідно до алгоритму 3- DES. Опціонально передбачено шифрування за надійнішого алгоритмом AES. Заходи для вирішення питань безпеки бездротових мереж. Способи захисту даних в бездротових мережах: – фізичний захист бездротових точок доступу. Деякі точки доступу мають спеціальну кнопку «Reset», за допомогою якої можна повернути налаштування пристроїв за замовчуванням. В такому випадку пристрій не буде забезпечувати навіть мінімального захисту бездротової мережі. Це зробить таку точку доступу уразливою. Тому слід забезпечити адекватну фізичну захищеність апаратного забезпечення точок доступу; – відключення точок доступу, які тимчасово не потрібні користувачам. Можна вимикати електроживлення кожної точки доступу, або якщо є можливість використовувати обладнання, управління електроживленням якого здійснюється через мережу, такі точки доступу можна вмикати і вимикати дистанційно; – використання систем шифрування та аутентифікації. Також слід звернути увагу на захист даних в бездротових мережах. Для цього слід використовувати, як мінімум, шифрування цих даних. В процесі шифрування біти даних змінюються за допомогою секретного ключа. Оскільки ключ секретний, зловмиснику (хакеру) буде важко дешифрувати отримані дані. Отже, системи захисту бездротових мереж – це один з найважливіших і складніших елементів налаштування бездротових мереж. Використовуючи ефективні механізми аутентифікації і шифрування, можна істотно понизити небезпеку. Питання для контролю вивченого матеріалу: 1. Які існують загрози для безпеки бездротових мереж? 2. Як потрібно боротися з даними ризиками? 3. Охарактеризуйте відмінності між захистами бездротових мереж Wi- Fi та WiMAX? Яка з них надійніша? 4. Який захист Ви оберете для побудови власної мережі? 5. Назвіть основні протоколи ти способи шифрування для бездротових мереж. 6. Яким чином можна забезпечити недоторканість бездротових мереж? Література: 1. А.Шахнович – Беспроводные сети, електронний ресурс, Режим доступа: http://www.flylik.ru/info/articles 2. Франчук В.М. Захист даних в безпровідних комп’ютерних мережах. // Науковий часопис НПУ імені М.П. Драгоманова. Серія№2. Комп’ютерно- орієнтовані системи навчання: Збірник наукових праць. /Редрада. – К.: НПУ імені М.П. Драгоманова, 2011. – №10 (17). Урок № 49 (згідно робочої навчальної програми) Огляд принципів монтажу обладнання для побудови бездротових мереж Питання для вивчення: 1. Основні етапи створення бездротової мережі Wi-Fi 2. Принципи створення бездротової мережі технології Wi-Fi 3. Рекомендації щодо створення бездротової мережі Wi-Fi 4. Основні етапи створення бездротової мережі Wi-Fi. Безпосередня робота щодо монтажу бездротової мережі Wi-Fi складається з наступних етапів роботи з об'єктом: – обстеження; – попереднє планування; – проведення замірів; – розгортання мережі. Етап обстеження. Бездротова мережа - дуже тонка система, на яку мають вплив безліч факторів. Із зовнішніх можна назвати закритість приміщення, капітальні перекриття (залізобетон, цегляна кладка), металеві двері та перегородки. Кожен з матеріалів має різну ступінь проходження сигналу. До внутрішніх факторів відноситься обстановка оточення, яка перманентно змінюється, включаючи кількість одночасно працюючих в мережі абонентів і ступінь завантаження ефіру. Перешкоди викликає не тільки потужне електрообладнання, але і будь-які високочастотні пристрої. Все це і потрібно з'ясувати на першому етапі побудови мережі. Інженер досліджує навколишнє середовище або приміщення, його тип, ступінь «чистоти» ефіру, а також визначає передбачувану кількість бездротових клієнтів. На даному етапі також узгоджуються діапазони функціонування, стандарт Wi-Fi-мереж, а також параметри роумінгу, відсоток покриття площі, швидкість передачі, і багато інших характеристик. Тут же визначається необхідність розподілу мережі на внутрішній і гостьовий доступ з використанням можливостей шифрування і аутентифікації користувачів. Важливо узгодити і питання IT-безпеки. На підставі цих даних проектувальник приступає до роботи. Етап планування. Даний етап, як правило, не обходиться без використання програмного комплексу, який автоматично проектує бездротові мережі. Цей професійний додаток допомагає створити точну модель обстановки на об'єкті, розрахувати кількість необхідного обладнання, а також створити карту його розміщення і покриття, включаючи межі зон обслуговування точки доступу, типи антен і т.п. У результаті, за отриманими даними, можна визначитися з обладнанням і скласти попередню специфікацію системи. Етап Site Survey. Цим терміном називають виміри, які виконуються з діючим обладнанням. Тимчасове встановлення трьох або більше точок доступу в розрахункових місцях дає можливість зняти реальну карту покриття на об'єкті від даних точок. Серія вимірювань за допомогою ноутбука або ПК-планшета проводиться з кожної позиції робочих місць клієнтів. Також ця перевірка допомагає зафіксувати зони інтерференцій (спотворення даних через перешкод). Головним результатом «Site Survey» стає уточнення плану розміщення обладнання і кількості необхідних точок доступу, тобто максимально точна конфігурація мережі. Етап розгортання мережі. Далі розроблене рішення підводиться до інсталяції. Вона включає в себе монтаж устаткування (точок доступу, контролерів, радіосенсоров і т. д.), а також кабельної системи. Особлива радіорозвідка (як правило, автоматична), що визначає проблемні зони і допомагає доналаштувати потужності точок доступу і орієнтацію антен, завершує етап розгортання. Принципи створення бездротової мережі технології Wi-Fi. Організація бездротової мережі Wi-Fi, на відміну від будь-якого варіанту дротової мережі, вимагає мінімуму зусиль, оскільки середовище передачі даних вже готове і не вимагає монтажу. Для організації Wi-Fi мережі необхідні: – Wireless адаптери: бувають - PCI і USB, також в якості бездротового клієнта можуть виступати точки доступу; – Точка доступу; – Антена зовнішня - спрямована або кругова різної потужності; – Як опція до антени - сполучний кабель. Перш за все, в клієнтські комп'ютери встановлюються мережні Wi-Fi адаптери, певним чином налаштовуються точки доступу, монтуються антени. При використанні Wi-Fi як засобу об'єднання мереж, Wi-Fi карти на клієнтських машинах відсутні. Основні принципи побудови мережі для віддалених об'єктів (від 150 м.) Все обладнання, що офіційно поставляється на ринок проходить обов'язкову сертифікацію. При проходженні сертифікації Wi-Fi обладнання перевіряється на відповідність стандартам передачі даних. На даний момент основним критерієм є потужність передавача. Максимальне значення — 100 мВт. Звідси і малий радіус дії обладнання в стандартній комплектації. В основному заявлені радіуси дії виробниками усереднено можна представити так: – У приміщенні до 100 м.; – Поза приміщенням - до 300 м; Відмінності показників викликані через присутність в реальних умовах різних радіочастотних перешкод, присутності перешкод у вигляді будівель, рослин, людей і т.д. Рекомендації щодо створення бездротової мережі Wi-Fi. При створенні бездротової мережі, якщо потрібно добитися максимальної швидкості роботи, необхідно дотримуватися наступних рекомендацій: – рівень сигналу, а значить, і швидкість роботи залежить від відстані, на якій знаходяться робочі місця від точки доступу. З цієї причини максимальна швидкість передачі можлива при як можна більш близькому контакті точки доступу з комп'ютером; – чим менше перешкод, тим сильніший сигнал; – не рекомендовано використовувати обладнання різних стандартів; – застосування обладнання від різних виробників також небажано; – застосування декількох точок доступу знижує загальну швидкість передачі даних, особливо, між найбільш віддаленими сегментами. З цієї причини або потрібно використати або більш потужну точку доступу, або застосувати кабель для з'єднання точок доступу. |