Уязвимости WI-FI

 

Введение


Под аббревиатурой Wi-Fi (от английского словосочетания Wireless Fidelity, которое можно дословно перевести как «высокая точность беспроводной передачи данных») в настоящее время развивается целое семейство стандартов передачи цифровых потоков данных по радиоканалам. Разработка этих стандартов ведётся в рамках рабочей группы 802.11 Института инженеров по электротехнике и электронике (IEEE). Wi-Fi не является единственной технологией беспроводного доступа - специалисты IEEE и других учреждений разработали и продолжают работать над другими стандартами беспроводных коммуникаций, ориентированных на персональные сети (PWAN, для организации подключения в пределах, например, рабочего места сотрудника) или сети, масштаба города и региона (WWAN).

Количество точек беспроводного доступа в мире растёт с каждым днём, обещая в недалёком будущем широкополосный вход в глобальную сеть откуда угодно и без особых проблем. Был бы под рукой компьютер с Wi-Fi-адаптером. Информационное издание JiWire опубликовало данные из которых следует, что в настоящее время насчитывается 56139 хот-спотов в 93 странах мира.Fi предназначен для создания беспроводных локальных сетей (WLAN) и организации высокоскоростных беспроводных подключений к Интернету. В зависимости от конкретного стандарта сети Wi-Fi работают на частотах 2,4 ГГц или 5 ГГц и обеспечивают скорость передачи данных от 2 Мбит/с. Одна точка доступа может обеспечить охват в радиусе до 200 метров. Широкое распространение, помимо домашних и офисных сетей, Wi-Fi нашёл в сфере организации публичного доступа в Интернет (хот-спотов) - с использованием этой технологии любой посетитель гостиницы, кафе, ресторана, бизнес-центра или аэровокзала (одним словом, заведения, в котором есть публичная точка доступа Wi-Fi) получает возможность мобильного подключения к Сети посредством своего ноутбука, КПК или телефона, поддерживающего стандарт беспроводного доступа.


1.Уязвимости Wi-Fi


Защита беспроводных соединений обеспечивается использованием протоколов WPA и WEP, осуществляющих контроль за аутентификацией пользователей и кодированием сетевого трафика. Кроме шифрации трафика 40, 64 или даже 128 битным ключом, в беспроводных сетях возможен выбор полос частоты, в которых работают устройства передачи данных. В сетях WLAN используется особая технология Direct Sequence Spread Spectrum, обеспечивающая высокую устойчивость ко всем видам искажениям и помехам в радиоэфире.

Каждая беспроводная сеть имеет как минимум два ключевых компонента, базовую станцию (stations) и точку доступа (access points). Беспроводные сети могут функционировать в двух режимах: ad-hoc (peer-to-peer) и infrastructure. В первом случае сетевые карточки напрямую общаются друг с другом, во втором случае при помощи точек доступа, в этом случае такие точки служат в качестве Ethernet мостов.

Клиент и точка перед передачей данных должны установить соединение. Как не трудно догадаться между точкой и клиентом может существовать всего три состояния:

·Аутентификация не пройдена и точка не опознана

·Аутентификация пройдена, но точка не опознана

·Аутентификация принята и точка присоединена

Обратно не трудно понять, что обмен данными может идти только в третьем случае. До установления соединения стороны обмениваются управляющими пакетами, точка доступа передаёт опознавательные сигналы с фиксированным интервалом, клиент, приняв такой пакет, начинает аутентификацию посылкой опознавательного фрейма, после авторизации клиент посылает пакет присоединения, а точка - пакет подтверждения присоединения беспроводного клиента к сети.

1.1Атаки


Главное отличие между проводными и беспроводными сетями связано с абсолютно неконтролируемой областью между конечными точками сети. В достаточно широком пространстве сетей беспроводная среда никак не контролируется. Современные беспроводные технологии предлагают ограниченный набор средств управления всей областью развертывания сети.

Это позволяет атакующим, находящимся в непосредственной близости от беспроводных структур, производить целый ряд нападений, которые были невозможны в проводном мире. Обсудим характерные только для беспроводного окружения угрозы безопасности, оборудование, которое используется при атаках, проблемы, возникающие при роуминге от одной точки доступа к другой, укрытия для беспроводных каналов и криптографическую защиту открытых коммуникаций.

Подслушивание

Наиболее распространенная проблема в таких открытых и неуправляемых средах, как беспроводные сети, - возможность анонимных атак. Анонимные вредители могут перехватывать радиосигнал и расшифровывать передаваемые данные.

Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Чтобы перехватить передачу, злоумышленник должен находиться вблизи от передатчика. Перехваты такого типа практически невозможно зарегистрировать, и еще труднее им помешать. Использование антенн и усилителей дает злоумышленнику возможность находиться на значительном удалении от цели в процессе перехвата. Подслушивание ведут для сбора информации в сети, которую впоследствии предполагается атаковать. Первичная цель злоумышленника - понять, кто использует сеть, какая информация в ней доступна, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно и какова территория развертывания сети. Все это пригодится для того, чтобы организовать атаку на сеть.

Многие общедоступные сетевые протоколы передают такую важную информацию, как имя пользователя и пароль, открытым текстом. Перехватчик может использовать добытые данные для того, чтобы получить доступ к сетевым ресурсам. Даже если передаваемая информация зашифрована, в руках злоумышленника оказывается текст, который можно запомнить, а потом уже раскодировать.

Другой способ подслушивания - подключиться к беспроводной сети. Активное подслушивание в локальной беспроводной сети обычно основано на неправильном использовании протокола Address Resolution Protocol (ARP). Изначально эта технология была создана для «прослушивания» сети. В действительности мы имеем дело с атакой типа MITM (man in the middle, «человек посередине») на уровне связи данных. Они могут принимать различные формы и используются для разрушения конфиденциальности и целостности сеанса связи. Атаки MITM более сложны, чем большинство других атак: для их проведения требуется подробная информация о сети. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов. Когда жертва атаки инициирует соединение, мошенник перехватывает его и затем завершает соединение с требуемым ресурсом, а потом пропускает все соединения с этим ресурсом через свою станцию. При этом, атакующий может посылать информацию, изменять посланную или подслушивать все переговоры и потом расшифровывать их.

Атакующий посылает ARP-ответы, на которые не было запроса, к целевой станции локальной сети, которая отправляет ему весь проходящий через нее трафик. Затем злоумышленник будет отсылать пакеты указанным адресатам.

Таким образом, беспроводная станция может перехватывать трафик другого беспроводного клиента (или проводного клиента в локальной сети).

Отказ в обслуживании (Denial of Service, DOS)

Полную парализацию сети может вызвать атака типа DOS. Во всей сети, включая базовые станции и клиентские терминалы, возникает такая сильная интерференция, что станции не могут связываться друг с другом. Эта атака выключает все коммуникации в определенном районе. Если она проводится в достаточно широкой области, то может потребовать значительных мощностей. Атаку DOS на беспроводные сети трудно предотвратить или остановить. Большинство беспроводных сетевых технологий использует нелицензированные частоты - следовательно, допустима интерференция от целого ряда электронных устройств.

Глушение клиентской станции

Глушение в сетях происходит тогда, когда преднамеренная или непреднамеренная интерференция превышает возможности отправителя или получателя в канале связи, таким образом, выводя этот канал из строя. Атакующий может использовать различные способы глушения.

Глушение клиентской станции дает возможность мошеннику подставить себя на место заглушенного клиента. Также глушение могут использовать для отказа в обслуживании клиента, чтобы ему не удавалось реализовать соединение. Более изощренные атаки прерывают соединение с базовой станцией, чтобы затем она была присоединена к станции злоумышленника.

Глушение базовой станции предоставляет возможность подменить ее атакующей станцией. Такое глушение лишает пользователей доступа к услугам.

Атака глушения базовой станции для перехвата соединения. Как отмечалось выше, большинство беспроводных сетевых технологий использует нелицензированные частоты. Поэтому многие устройства, такие как радиотелефоны, системы слежения и микроволновые печи, могут влиять на работу беспроводных сетей и глушить беспроводное соединение.

Чтобы предотвратить такие случаи непреднамеренного глушения, прежде чем покупать дорогостоящее беспроводное оборудование, надо тщательно проанализировать место его установки. Такой анализ поможет убедиться в том, что другие устройства никак не помешают коммуникациям.


1.2Угрозы криптозащиты


В беспроводных сетях применяются криптографические средства для обеспечения целостности и конфиденциальности информации. Однако оплошности приводят к нарушению коммуникаций и злонамеренному использованию информации.- это криптографический механизм, созданный для обеспечения безопасности сетей стандарта 802.11. Этот механизм разработан с единственным статическим ключом, который применяется всеми пользователями. Управляющий доступ к ключам, частое их изменение и обнаружение нарушений практически невозможны. Исследование WEP-шифрования выявило уязвимые места, из-за которых атакующий может полностью восстановить ключ после захвата минимального сетевого трафика. В Интернет есть средства, которые позволяют злоумышленнику восстановить ключ в течение нескольких часов. Поэтому на WEP нельзя полагаться как на средство аутентификации и конфиденциальности в беспроводной сети. Использовать описанные криптографические механизмы лучше, чем не использовать их вовсе, но благодаря известной уязвимости нужны другие методы защиты от перечисленных выше атак. Все беспроводные коммуникационные сети подвержены атакам прослушивания в период контакта (установки соединения, сессии связи и прекращения соединения). Сама природа беспроводного соединения устраняет возможность его контроля, и потому оно требует защиты. Управление ключом, как правило, вызывает дополнительные проблемы, когда применяется при роуминге и в случае общего пользования открытой средой. Далее в этом мы более внимательно рассмотрим проблемы криптографии и их решения.

1.3Анонимность атак


Беспроводной доступ обеспечивает полную анонимность атаки. Без соответствующего оборудования в сети, позволяющего определять местоположение, атакующий может легко сохранять анонимность и прятаться где угодно на территории действия беспроводной сети. В таком случае злоумышленника трудно поймать и еще сложнее передать дело в суд.

В недалеком будущем прогнозируется ухудшение распознаваемости атак в Интернет из-за широкого распространения анонимных входов через небезопасные точки доступа. Уже есть много сайтов, где публикуются списки таких точек, которые можно использовать с целью вторжения. Важно отметить, что многие мошенники изучают сети не для атак на их внутренние ресурсы, а для получения бесплатного анонимного доступа в Интернет, прикрываясь которым они атакуют другие сети.


2.Безопасность беспроводных сетей


2.1Протоколы безопасности беспроводных сетей


Существует множество технологий безопасности, и все они предлагают решения для важнейших компонентов политики в области защиты данных: аутентификации, поддержания целостности данных и активной проверки. Мы определяем аутентификацию как аутентификацию пользователя или конечного устройства (клиента, сервера, коммутатора, маршрутизатора, межсетевого экрана и т.д.) и его местоположения с последующей авторизацией пользователей и конечных устройств.

Целостность данных включает такие области, как безопасность сетевой инфраструктуры, безопасность периметра и конфиденциальность данных. Активная проверка помогает удостовериться в том, что установленная политика в области безопасности выдерживается на практике, и отследить все аномальные случаи и попытки несанкционированного доступа.

Механизм шифрования WEP

Шифрование WEP (Wired Equivalent Privacy, секретность на уровне проводной связи) основано на алгоритме RC4 (Rivests Cipher v. 4, код Ривеста), представляющем собой симметричное потоковое шифрование. Как было отмечено ранее, для нормального обмена пользовательскими данными ключи шифрования у абонента и точки радиодоступа должны быть идентичными.

Ядро алгоритма состоит из функции генерации ключевого потока. Эта функция генерирует последовательность битов, которая затем объединяется с открытым текстом посредством суммирования по модулю два. Дешифрация состоит из регенерации этого ключевого потока и суммирования его с шифрограммой по модулю два, восстанавливая исходный текст. Другая главная часть алгоритма - функция инициализации, которая использует ключ переменной длины для создания начального состояния генератора ключевого потока.- фактически класс алгоритмов, определяемых размером его блока. Этот параметр n является размером слова для алгоритма. Обычно, n = 8, но в целях анализа можно уменьшить его. Однако для повышения безопасности необходимо увеличить эту величину. Внутреннее состояние RC4 состоит из массива размером 2n слов и двух счетчиков, каждый размером в одно слово. Массив известен как S-бокс, и далее будет обозначаться как S. Он всегда содержит перестановку 2n возможных значений слова. Два счетчика обозначены через i и j.


2.2Аутентификация в беспроводных сетях


Основными стандартами аутентификации в беспроводных сетях являются стандарты IEEЕ 802.11, WPA, WPA2 и 802.1x.

Рассмотрим основы этих стандартов.

Стандарт IEEE 802.11 сети с традиционной безопасностью

Стандарт IEEE 802.11 с традиционной безопасностью (Tradition Security Network, TSN) предусматривает два механизма аутентификации беспроводных абонентов: открытую аутентификацию (Open Authentication) и аутентификацию с общим ключом. В аутентификации в беспроводных сетях также широко используются два других механизма выходящих за рамки стандарта 802.11, а именно назначение идентификатора беспроводной локальной сети (Service Set Identifier, SSID) и аутентификация абонента по его MAC-адресу (MAC Address Authentication).

Идентификатор беспроводной локальной сети (SSID) представляет собой атрибут беспроводной сети, позволяющий логически отличать сети друг от друга. В общем случае, абонент беспроводной сети должен задать у себя соответствующий SSID для того, чтобы получить доступ к требуемой беспроводной локальной сети. SSID ни в коей мере не обеспечивает конфиденциальность данных, равно как и не аутентифицирует абонента по отношению к точке радиодоступа беспроводной локальной сети. Существуют точки доступа позволяющие разделить абонентов подключаемых к точке на несколько сегментов, это достигается тем, что точка доступа может иметь не один, а несколько SSID.

Спецификация WPA

До мая 2001 г. стандартизация средств информационной безопасности для беспроводных сетей 802.11 относилась к ведению рабочей группы IEEE 802.11e, но затем эта проблематика была выделена в самостоятельное подразделение. Разработанный стандарт 802.11i призван расширить возможности протокола 802.11, предусмотрев средства шифрования передаваемых данных, а также централизованной аутентификации пользователей и рабочих станций.

Основные производители Wi-Fi-оборудования в лице организации WECA (Wireless Ethernet Compatibility Alliance), иначе именуемой Wi-Fi Alliance, устав ждать ратификации стандарта IEEE 802.11i, совместно с IEEE в ноябре 2002 г. анонсировали спецификацию Wi-Fi Protected Access (WPA), соответствие которой обеспечивает совместимость оборудования различных производителей.

Новый стандарт безопасности WPA обеспечивает уровень безопасности куда больший, чем может предложить WEP. Он перебрасывает мостик между стандартами WEP и 802.11i и имеет то преимущество, что микропрограммное обеспечение более старого оборудования может быть заменено без внесения аппаратных изменений. IEEE предложила временный протокол целостности ключа (Temporal Key Integrity Protocol, TKIP).

Основные усовершенствования, внесенные протоколом TKIP:

? Пофреймовое изменение ключей шифрования. WEP - ключ быстро изменяется, и для каждого фрейма он другой;

? Контроль целостности сообщения. Обеспечивается эффективный контроль целостности фреймов данных с целью предотвращения проведения тайных манипуляций с фреймами и воспроизведения фреймов;

? Усовершенствованный механизм управления ключами.

Стандарт сети 802.11I с повышенной безопасностью (WPA2)

В июне 2004 г. IEEE ратифицировал давно ожидаемый стандарт обеспечения безопасности в беспроводных локальных сетях - 802.11i. Действительно, WPA достоин восхищения как шедевр ретроинжиниринга.

Созданный с учетом слабых мест WEP, он представляет собой очень надежную систему безопасности, и обратно совместим с большинством существующего Wi-Fi-оборудования. WPA - практическое решение, обеспечивающее более чем адекватную безопасность для беспроводных сетей.

Однако WPA, в конце концов, компромиссное решение. Оно все еще основано на алгоритме шифрования RC4 и протоколе TKIP. Хотя и малая, но все же имеется вероятность открытия каких-либо слабых мест. Абсолютно новая система безопасности, целиком лишенная брешей WEP, представляет собой лучшее долгосрочное и к тому же расширяемое решение для безопасности беспроводных сетей. С этой целью комитет по стандартам принял решение разработать систему безопасности с нуля. Это новый стандарт 802.11i, также известный как WPA2 и выпущенный тем же Wi-Fi Alliance.

Стандарт 802.11i использует концепцию повышенной безопасности (Robust Security Network, RSN), предусматривающую, что беспроводные устройства должны обеспечивать дополнительные возможности. Это потребует изменений в аппаратной части и программном обеспечении, т.е. сеть, полностью соответствующая RSN, станет несовместимой с существующим оборудованием WEP. В переходный период будет поддерживаться как оборудование RSN, так и WEP (на самом деле WPA/TKIP было решением, направленным на сохранение инвестиций в оборудование), но в дальнейшем устройства WEP будут отмирать.

Стандарт 802.1X/EAP (ENTERPRISE-режим)

Проблемы, с которыми столкнулись разработчики и пользователи сетей на основе стандарта 802.11 вынудили искать новые решения защиты беспроводных сетей. Были выявлены компоненты, влияющие на системы безопасности беспроводной локальной сети:

) Архитектура аутентификации;

) Механизм аутентификации;

) Механизм обеспечения конфиденциальности и целостности данных.

Архитектура аутентификации IEEE 802.1x - стандарт IEEE 802.1x описывает единую архитектуру контроля доступа к портам с использованием разнообразных методов аутентификации абонентов.

Алгоритм аутентификации Extensible Authentication Protocol или EAP (Расширяемый протокол идентификации) поддерживает централизованную аутентификацию элементов инфраструктуры беспроводной сети и её пользователей с возможностью динамической генерации ключей шифрования.


3.Технологии целостности и конфиденциальности передаваемых данных


Виртуальная частная сеть (Virtual Private Network, VPN) - это метод, позволяющий воспользоваться телекоммуникационной инфраструктурой общего пользования, например сетью Интернет для предоставления удаленным офисам или отдельным пользователям безопасного доступа к сети организации. Поскольку беспроводные сети 802.11 работают в нелицензируемом диапазоне частот и легко доступны для случайного или злонамеренного прослушивания, то именно в них развертывание и обслуживание VPN приобретает особую важность, если необходимо обеспечить высокий уровень защиты информации.

Защищать нужно как соединения между хостами в беспроводной локальной сети, так и двухточечные каналы между беспроводными мостами. Для обеспечения безопасности особо секретных данных нельзя полагаться на какой-то один механизм или на защиту лишь одного уровня сети. В случае двухточечных каналов проще и экономичнее развернуть VPN, покрывающую две сети, чем реализовывать защиту на базе стандарта 802.11i включающую RADIUS-сервер и базу данных о пользователях.

Пользоваться же реализацией стандарта на базе предварительно разделенных ключей (PSK) и протокола 802.1x при наличии высокоскоростного канала между сетями не самый безопасный метод. VPN - это полная противоположность дорогостоящей системе собственных или арендованных линий, которые могут использоваться только одной организацией. Задача VPN - предоставить организации те же возможности, но за гораздо меньшие деньги. Сравните это с обеспечением связи за счет двухточечных беспроводных каналов с мостами вместо дорогих выделенных линий. VPN и беспроводные технологии не конкурируют, а дополняют друг друга. VPN работает поверх разделяемых сетей общего пользования, обеспечивая в то же время конфиденциальность за счет специальных мер безопасности и применения туннельных протоколов, таких как туннельный протокол на канальном уровне (Layer Two Tunneling Protocol, L2TP). Смысл их в том, что, осуществляя шифрование данных на отправляющем конце и дешифрирование на принимающем, протокол организует «туннель», в который не могут проникнуть данные, не зашифрованные должным образом. Дополнительную безопасность может обеспечить шифрование не только самих данных, но и сетевых адресов отправителя и получателя. Беспроводную локальную сеть можно сравнить с разделяемой сетью общего пользования, а в некоторых случаях (хот-споты, узлы, принадлежащие сообществам) она таковой и является. VPN отвечает трем условиям: конфиденциальность, целостность и доступность.

Следует отметить, что никакая VPN не является устойчивой к DoS- или DDoS-атакам и не может гарантировать доступность на физическом уровне просто в силу своей виртуальной природы и зависимости от нижележащих протоколов. Две наиболее важные особенности VPN, особенно в беспроводных средах, где имеется лишь ограниченный контроль над распространением сигнала, - это целостность и, что еще более существенно, конфиденциальность данных. Возьмем жизненную ситуацию, когда противнику удалось преодолеть шифрование по протоколу WEP и присоединиться к беспроводной локальной сети. Если VPN отсутствует, то он сможет прослушивать данные и вмешиваться в работу сети. Но если пакеты аутентифицированы, то атака «человек посередине» становится практически невозможной, хотя перехватить данные по-прежнему легко. Включение в VPN элемента шифрования уменьшает негативные последствия перехвата данных. VPN обеспечивает не столько полную изоляцию всех сетевых взаимодействий, сколько осуществление таких взаимодействий в более контролируемых условиях с четко определенными группами допущенных участников.

Есть много способов классификации VPN, но основные три вида - это сеть-сеть, хост-сеть и хост-хост.

3.1Топология сеть-сеть


Этим термином иногда описывают VPN-туннель между двумя географически разнесенными частными сетями.такого типа обычно применяются, когда нужно объединить локальные сети с помощью сети общего пользования так, как будто они находятся внутри одного здания. Основное достоинство такой конфигурации состоит в том, что сети выглядят как смежные, а работа VPN-шлюзов совершенно прозрачна для конечных пользователей. В этом случае важно также туннелирование, поскольку в частных сетях обычно используются описанные в RFC 1918 зарезервированные адреса, которые не могут маршрутизироваться через Интернет. Поэтому для успешного взаимодействия трафик необходимо инкапсулировать в туннель.

Типичным примером такой сети может быть соединение двух филиалов одной организации по двухточечному беспроводному каналу. Хотя трафик и не выходит за пределы внутренней инфраструктуры организации, но к ее беспроводной части нужно относиться так же внимательно, как если бы трафик маршрутизировался через сеть общего пользования. Вы уже видели, что протокол WEP можно легко преодолеть и даже TKIP иногда уязвим, поэтому мы настоятельно рекомендуем всюду, где возможно, реализовывать дополнительное шифрование.


3.2Топология хост-сеть


При такой конфигурации удаленные пользователи подключаются к корпоративной сети через Интернет.

Сначала мобильный клиент устанавливает соединение с Интернет, а затем инициирует запрос на организацию зашифрованного туннеля с корпоративным VPN-шлюзом. После успешной аутентификации создается туннель поверх сети общего пользования и клиент становится просто еще одной машиной во внутренней сети. Все более широкое распространение надомной работы стимулирует интерес к такому применению VPN.

В отличие от VPN типа сеть-сеть, где число участников невелико и более или менее предсказуемо, VPN типа хост-сеть легко может вырасти до необъятных размеров. Поэтому системный администратор должен заранее продумать масштабируемый механизм аутентификации клиентов и управления ключами.


3.3Топология хост-хост


Такая топология, по-видимому, встречается реже всего. Речь идет о двух хостах, обменивающихся друг с другом шифрованными и нешифрованными данными. В такой конфигурации туннель организуется между двумя хостами и весь трафик между ними инкапсулируется внутри VPN. У таких сетей не много практических применений, но в качестве примера можно назвать географически удаленный сервер резервного хранения. Оба хоста подключены к Интернет, и данные с центрального сервера зеркально копируются на резервный. Например, простые сети VPN типа хост-хост можно использовать для защиты одноранговых (Ad Hoc) сетей.


4.Описание принципов получения надежного соединения в сети Wi-Fi


Ранее были описаны основные уязвимости Wi-Fi, а так же различные варианты безопасного доступа к беспроводной сети. Однако, стоит подытожить все выше сказанное, и вывести принципы надежного соединения в сети Wi-Fi.


4.1Безопасный публичный беспроводной доступ


Итак, что может сделать владелец компьютера, оснащенного беспроводным доступом, чтобы обеспечить безопасный доступ в публичных местах?

Во-первых, важно помнить об обновлении вашего программного обеспечения: устанавливайте все последние обновления к системе и приложениям и проверяйте веб-сайт производителя вашего беспроводного адаптера на предмет последних драйверов и обновлений прошивок.

Далее, выключите службу общего доступа к файлам и принтерам для всех публичных сетей, к которым вы подсоединяетесь. Это ограничит доступ к общим ресурсам вашего компьютера через ненадежные WLAN-соединения (wireless LAN), в то же время позволит пользоваться Интернетом.

Конечно, вам придется установить брандмауэр, чтобы защитить ваши соединения от атак типа «man-in-the-middle», когда злоумышленники пытаются установить ложную точку доступа и заставить вас подсоединиться к ней или перехватывают передаваемые пакеты данных с помощью упомянутых выше методов прослушивания.

Теперь настройте ПО вашего беспроводного адаптера или Мастер беспроводного подключения (Wireless Network Setup Wizard) в Windows так, чтобы исключить автоматическое подключение к вновь обнаруженным беспроводным сетям. Если в месте вашего нахождения существует несколько беспроводных сетей, создайте список сетей в порядке снижения уровня их надежности. Убедитесь, что вы выключили беспроводной адаптер ноутбука, если вы не используете Интернет.

Постоянно проверяйте список доступных беспроводных сетей во время перемещения - какие из них активны и каким оператором поддерживаются. Где это возможно, подключайтесь к сети, которая поддерживается учреждением, в котором вы находитесь (например, отелем, информационным стендом аэропорта, кафе).

Важно также помнить о том, что никогда не стоит вводить пароли или иные конфиденциальные данные, если вы подключены к беспроводной сети, незащищенной WPA2-шифрованием. Не делайте этого для получения или отправления почты, открытия страниц, загружаемых не по протоколу HTTPS, проведения финансовых операций. Обычная работа в сети, просмотр прогноза погоды и спортивных результатов или чтение последних новостей, возможно, не представляют большой опасности, но любая активность, требующая персональной идентификации, не должна осуществляться в незащищенной сессии браузера.

Еще один важный момент: два беспроводных устройства могут соединиться друг с другом напрямую для произвольного объединения в сеть посредством радиоволн. Конфигурации некоторых беспроводных адаптеров позволяют устанавливать подобное соединение автоматически, без ведома пользователя. Убедитесь, что ваша система не настроена на работу именно так.


4.2Создание персональной Wi-Fi сети


Шифрование в беспроводных сетях - ключ к безопасности данных. Чтобы создать вашу собственную безопасную беспроводную сеть, вам понадобится маршрутизатор или точка доступа с поддержкой WPA2-шифрования. И даже в этом случае вам придется указать пароль, который сможет устоять против прямого подбора по словарю. Более слабые алгоритмы шифрования, такие как WPA (с коротким ключом) или WEP, могут быть взломаны в течение нескольких минут, поэтому мы настоятельно рекомендуем использовать WPA2-шифрование. Некоторые маршрутизаторы способны поддерживать WPA2 после обновления их прошивки.

Другой путь к улучшению безопасности беспроводной сети состоит в изменении учетной записи по умолчанию для удаленного доступа к странице настройки вашей точки доступа. Если ваше устройство использует стандартную комбинацию имени пользователя и пароля «Admin»/» Admin», установленную на фабрике, поменяйте их как только предоставится возможность, на нечто более уникальное и непонятное. Это предотвратит потенциальные попытки изменения настроек безопасности вашего маршрутизатора и получение атакующим доступа к вашей персональной сети с использованием его собственной учетной записи.

Указывайте уникальный SSID (идентификатор точки доступа) вашей сети - это имя сети, которое транслируется и является видимым для всех, кто осуществляет поиск доступных беспроводных сетей. Будьте осторожны при передаче WPA2-ключа вашим доверенным лицам, которые будут подключаться к вашей сети (клиентам сети), или вручную настройте их доступ и проинструктируйте их, чтобы они подключались только под указанным именем.

Отслеживайте появление новых точек доступа в вашем районе и напоминайте вашим мобильным пользователям об опасностях подключения к недоверенным или вредоносным точкам доступа. С их помощью хакеры могут перехватывать трафик от и к клиентам и даже захватить проводную сеть, если клиент одновременно подключен к проводной сети (Ethernet LAN).

Включите фильтрацию IP и MAC адресов на вашем маршрутизаторе. Фильтрация MAC-адресов позволяет вручную добавить сетевые адаптеры с указанными аппаратными идентификаторами в белый список, чтобы никакое устройство с несовпадающим идентификатором не получило доступ в сеть. Фильтрация IP-адресов использует такой же принцип - получить доступ смогут лишь клиенты с указанными доверенными IP-адресами, но это потребует выключения DHCP-сервера в конфигурации вашего маршрутизатора и назначения разрешенных IP-адресов вручную. Также вам может показаться полезным ограничить число клиентов, подключающихся к сети (ограничив, по необходимости, количество узлов в подсети) и указать временные интервалы, во время которых маршрутизатор будет разрешать подключение к сети (доступно лишь в некоторых устройствах).

Ограничьте широковещательный диапазон точки доступа таким образом, чтобы она была доступна только на определенном расстоянии; сигнал будет подавляться при достижении этого предела. Эта возможность доступна только в некоторых устройствах.

Подумайте о том, чтобы скрыть SSID - эта возможность доступна на странице настройки маршрутизатора - ваша сеть не будет отображаться в списке доступных сетей при осуществлении клиентами поиска сетей. Все ранее произведенные на клиенте настройки будут запомнены и компьютеры, которые уже были объединены в сеть с этим идентификатором SSID, будут продолжать обнаруживать эту точку доступа.


Заключение


Новые технологии постепенно внедряются в нашу жизнь. Стандарты будут сменять друг друга и вполне возможно, что проводная связь уступит господство беспроводной. Точки Wi-FI перестанут быть точками и захватят все обитаемое пространство Земли. Выходить в Интернет можно будет с любого населённого пункта, а скорость будет ограничена лишь скоростью приёмного устройства (винчестера, флэш-памяти и т.п.).

Беспроводные сети расширяют границы мобильности и доступа в Интернет, что может быть полезным во многих ситуациях. К сожалению, большинство из них не защищены должным образом настройками по умолчанию и требуют дополнительных усилий со стороны пользователя для обеспечения их безопасности.


Список литературы

беспроводный криптозащита атака сеть

1.Столлингс В. Беспроводные линии связи и сети: Пер. с англ. - М.: Издательский дом «Вильямс», 2003. - 640 с.

.Вишневский В., Ляхов А., Портной С., Шахнович И. Широкополосные беспроводные сети передачи информации. - М.:Эко-Трендз, 2005. - 592 с.

.Олифер В.Г. Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3-е изд. - Спб.: Питер, 2006. - 958 с.

.Беспроводные сети Wi-Fi Пролетарский А.В., Баскаков И.В., Чирков Д.Н., 2007

.Максим М. Безопасность беспроводных сетей / Мерит Максим, Дэвид Полино; Пер.с англ. Семенова А.В. - М.: Компания АйТи; ДМК Пресс, 2004. - 288 с.



Введение Под аббревиатурой Wi-Fi (от английского словосочетания Wireless Fidelity, которое можно дословно перевести как «высокая точность беспроводн

Больше работ по теме:

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать реферат © 2017 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ