Сетевая безопасность

Сетевая безопасность обеспечивается безопасностью коммуникаций. Информационная безопасность при коммутации на рабочем месте для сетей WPAN стандартов 1ЁЕЕ 802.15.3 и IEEE 802.14.4 обеспечивается применением протокола безопасности AES 128, для корпоративных сетей Wi-Fi стандартов IEEE 802.1 lg и IEEE 802.1 In -использованием протоколов безопасности WEP, WPA, WPA2, для сетей стандарта IEEE 802.11а и IEEE 802.11b -протоколом безопасности WEP. Для беспроводных сетей масштаба города информационная безопасность обеспечивается тройным шифрованием по протоколу DES3.

К базовым мерам безопасности в беспроводных сетях Wi-Fi относятся:

  • — отключение широковещательной передачи кода сети SSID;
  • — ограничение числа лиц, допущенных к работе в сети;
  • — отключение протокола динамического конфигурирования узла — DHCP (Dynamic Host Configuration Protocol), обеспечивающего автоматическое динамическое назначение IP-адресов;
  • — использование протоколов безопасности WEP, WPA, WPA2.

Отключение широковещательной передачи кода сети SSID

Идентификатор сети SSID является одним из важных параметров, необходимых для получения доступа в сеть. Это встроенное средство защиты стандарта 802.11 представляет собой имя, которое необходимо ввести для входа в сеть.

Стандартно точки доступа оборудуются всенаправленными антеннами. Поэтому для них проблема обеспечения безопасности является первоочередной. Многие точки беспроводного доступа в своей стандартной конфигурации автоматически широковещательно передают идентификатор сети SSID. Передача такого кода приглашает любого осуществить доступ к сети. Его широковещательная передача может быть полезной в сетях общего доступа PWLAN.

Для большинства корпоративных, малых локальных и домашних сетей широковещательная трансляция идентификатора кода сети должна быть отключена. Это осуществляется с помощью программного обеспечения, поставляемого вместе с точкой доступа. Администратор сети может для каждой точки доступа изменить стандартный код SSID на свой, а также ограничить число лиц, которым этот код известен. Однако подобная мера не является достаточной. Узнать SSID для злоумышленника не представляет особого труда. Для этого нужно иметь ноутбук и необходимое программное обеспечение. Злоумышленник может снять трафик между точкой доступа и компьютером и проанализировать его. Код SSID фигурирует в нем в явном виде.

Ограничение числа пользователей сети

Большинство точек доступа позволяет администратору сети с помощью ПО, поставляемого с точкой доступа, создавать список доступа сетевых адаптеров, которым разрешено подключение к беспроводной сети. Для этого каждому из разрешенных пользователей присваивается конкретный МАС-адрес сетевого адаптера компьютера, включенный в список разрешенных адресов. Так как он передастся в незашифрованном открытом текстовом виде, злоумышленник может его перехватить и поставить в нужное место. Это делает этот способ защиты уязвимым. При настройке беспроводного маршрутизатора также необходимо указать МАС-адрес.

Отключение DHCP

Многие беспроводные маршрутизаторы по умолчанию используют протокол DHCP для автоматического назначения IP-адресов беспроводным клиентам. Это значительно облегчает процесс подсоединения, в том числе и для злоумышленников. Чтобы затруднить процесс их подключения, администратор сети может отключить DHCP и каждому клиенту назначить статический IP-адрес.

Для защиты от радиоперехвата данных могут быть использованы программные и аппаратные средства.

Протоколы защиты беспроводной сети WEP, WPA и WPA2

В последние годы для защиты беспроводной сети используется протокол WPA2 (Wi-Fi Protected Access 2), обеспечивающий конфиденциальность и целостность данных в сетях Wi-Fi. В сочетании с основанным на портах протоколом аутентификации IEEE 802.1х он обеспечит безопасность беспроводных коммуникаций. Протокол WPA2 использует метод шифрования ССМР (Counter-Mode with СВС-МАС Protocol), основанный на более мощном, чем RC4, алгоритме шифрования AES (Advanced Encryption Standard).

Протоколы WPA и WPA2 работают в двух режимах аутентификации — персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-битный ключ PSK (PrеSharеd Key — предварительно распределяемый ключ). Длина PSK может составлять от 8 до 63 символов, и чем она больше, тем меньше вероятность успешного взлома. Ключ PSK, а также идентификатор SSI D (Service Set Identifier) и длина последнего вместе образуют математический базис для формирования главного парного ключа (Pairwise Master Key — РМК). Он используется для генерации временного парного или сеансового ключа (Pairwise Transient Key — РТК) с целью взаимодействия беспроводного пользовательского устройства с точкой доступа. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще наличие проблем распределения и поддержки ключей, что делает его более подходящим для применения в небольших офисах.

В протоколе WPA2-Enterprise решены проблемы распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль. Аутентификация осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг соединения и направляют аутентификационные пакеты на соответствующий сервер аутентификации (как правило, на сервер RADIUS). Базой для режима WPA2-Enterprise служит стандарт 802.1х, поддерживающий основанную на контроле портов аутентификацию пользователей и машин, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.

 
< Пред   СОДЕРЖАНИЕ     След >