Беспроводные сети

Вычислительные системы, сети и телекоммуникации

Контрольные вопросы по предмету

0


Подпишитесь на бесплатную рассылку видео-курсов:

Смотреть лекцию по частям


Текст видеолекции

Занятие 6 (практическое).

Беспроводные сети.

  1. Виды беспроводных сетей.
  2. Аппаратные части Wi-Fi.
  3. Wi-Fi стандарты.
  4. Защита Wi-Fi сетей.
  5. Практические задания.

 

Контрольно-оценочное средство – тестовые задания

 

1. Виды беспроводных сетей.

 

Беспроводные компьютерные сети — это технология, позволяющая создавать вычислительные сети, полностью соответствующие стандартам для обычных проводных сетей (например, Ethernet - технология построения локальной вычислительной сети на основе коаксиального кабеля. В Ethernet все узлы могут принимать все сообщения. Топология Ethernet - линейная или звездообразная, скорость передачи данных 10 или 100 Мбит/сек. англ. Ether - эфир + Net - сеть), без использования кабельной проводки. В качестве носителя информации в таких сетях выступают радиоволны СВЧ-диапазона.

Существует два основных направления применения беспроводных компьютерных сетей:

  •  Работа в замкнутом объеме (офис, выставочный зал и т. п.);
  •  Соединение удаленных локальных сетей (или удаленных сегментов локальной сети).

Технология Wi-Fi

Wi-Fi (англ. Wireless Fidelity — «беспроводная точность») — торговая марка Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11.

Обычная схема сети Wi-Fi включает в себя одну или несколько точек доступа и не менее одного клиента.

В случае необходимости можно создать радиопокрытие большей зоны, чем позволяет точка доступа (аналогично сетям сотовой связи). Для этого с помощью нескольких точек доступа организовывают соты – перекрывающиеся зоны для уверенного приема.

При этом пользователь в роуминге, перемещаясь из соты в соту, не потеряет связь с сетью, так как одна точка доступа «передает» его другой.

 

 

Пример беспроводной локальной сети по технологии Wi-Fi

 

Благодаря функции роуминга (предоставление услуг связи вне своей сети обслуживания) пользователи могут перемещаться между точками доступа по территории покрытия сети Wi-Fi без разрыва  соединения.

Современные сети  Wi-Fi  работают со скоростью до 108 Мбит/с, что сравнимо со скоростью кабельной сети (100Мбит/с – на витой паре категории 5). Пропускная способность зависит от ее топологии, загрузки, расстояния до точки доступа и т.д.

Мобильные устройства (КПК, смартфоны и ноутбуки), оснащенные клиентскими Wi-Fi- приемо-передающими устройствами, могут подключаться к локальной сети и получать доступ в Интернет через так называемые точки доступа (хот-споты). Зона покрытия одной точки доступа называется сота или базовым набором услуг (BSS).

Технология Wi – Fi обладает следующими преимуществами:

  • построение сети без прокладки кабеля (а также уменьшения стоимости ее развертывания и расширения). Места, где нельзя проложить кабель (например, вне помещений и в зданиях, имеющих историческую ценность), могут обслуживаться беспроводными сетями;
  • широкое распространение устройств Wi – Fi разных производителей на рынке, которые могут взаимодействовать на базовом уровне сервисов (оборудование Wi – Fi может работать в разных странах по всему миру);
  • поддерживается роуминг, поэтому клиентская база может перемещаться в пространстве, переходя от одной точки доступа к другой.

Технология Wi – Fi обладает пятью недостатками:

  • по сравнению с другими стандартами довольно высокое потребление энергии, что уменьшает время жизни батарей и повышает температуру устройства;
  • неполная совместимость между устройствами разных производителей (неполное соответствие стандарту) может привести к ограничению возможностей соединения или уменьшению скорости;
  • ограниченный радиус действия (до 300 м);
  • слабая стойкость ключа стандарта шифрования WEP (может быть относительно легко взломан даже при правильной конфигурации);
  • наложение сигналов закрытой (использующей шифрование) и открытой точки доступа, работающих на одном или соседних каналах может помешать доступу к открытой точке доступа. Эта проблема может возникнуть при большой плотности точек доступа, например, в больших многоквартирных домах, где многие жильцы ставят свои точки доступа Wi – Fi.

BlueTooth (Блютуз)

BlueTooth - стандарт беспроводной связи, работающий на частоте 2.45 ГГц. Радиус действия сильно варьируется в зависимости от мощности устройства, наличия помех и составляет от 10 до 100 метров. Скорость связи не более 1 Мбит. Стоимость Blue Tooth - адаптеров варьируется в зависимости от радиуса действия.

Наиболее широкое распространение BlueTooth нашел среди сотовых телефонов и других мобильных устройств, придя на смену достаточно неудобному и медленному инфракрасному порту. Произвести подключение сотового телефона к компьютеру с помощью BlueTooth гораздо проще, скорость выше, радиус действия намного больше, правда, модели телефонов с поддержкой BlueTooth стоят ощутимо дороже. Помимо связи с телефонами и другими беспроводными устройствами (джойстики, мыши, клавиатуры, принтеры, гарнитуры и т д.), BlueTooth позволяет организовать беспроводную сеть.

Точки доступа

Для соединения кабельной и беспроводной сети используются специальные точки доступа – программно – управляемые устройства, выполняющие роль концентратора для клиента беспроводной сети и обеспечивающие подключение к кабельной сети, беспроводной сетевой адаптер.

Пространство, в котором радиосигнал от точки доступа достаточно сильный, чтобы мобильный пользователь мог работать с ней, называется ячейкой, в пределах города размером до 150м, а в условиях прямой видимости до 300м.

При построении беспроводных сетей используются две схемы подключения:

  • точка – точка (сеть Ad - hoc), когда два сетевых адаптера либо две точки доступа соединяются между собой. Эта схема применяется для непосредственного соединения двух компьютеров либо при организации радиомоста между двумя проводными сетями;
  • точка – точка доступа (сеть Infrastructure - Hot-spot), когда несколько сетевых адаптеров соединены с одной точкой доступа либо несколько точек доступа объединены с одной точкой доступа. Этот режим применяется для соединения этой сети с проводной сетью (например, для выхода в Интернет), для соединения между собой нескольких проводных сетей.

Точка доступа - беспроводной маршрутизатор, роутер, основное аппаратное устройство, используемое для обмена данными в беспроводной сети. Это устройство можно закрепить на стене или же установить на обычном столе, желательно расположенном в центре квартиры. При этом необходимо позаботиться о том, чтобы розетка питания находилась недалеко от точки доступа.

Все точки доступа оснащены встроенными антеннами, которые, как правило, направлены вверх в потолок, за счет чего достигается оптимальное распространение сигнала и обмен данными с антеннами беспроводных адаптеров.

Необходимо расположить точку доступа таким образом, чтобы в радиусе ее действия было как можно меньше препятствий для передачи сигнала. К таким препятствиям относятся не только стены или приборы, но даже одежда и вещи людей в квартире.

Типичная точка доступа D-Link (она же маршрутизатор).

 

Точкой доступа должны поддерживаться такие же стандарты беспроводной связи, что и адаптерами беспроводной связи. Если используется точка доступа Wi-Fi 802.11g, то и все адаптеры должны также поддерживать данный стандарт. Рассмотрим основные характеристики современных точек доступа.

  • Скорость передачи данных достигает 125 Мбит/с и более для определенных моделей; максимальная пропускная способность адаптеров Wi-Fi 802.11g составляет 54 Мбит/с.
  • Количество поддерживаемых пользователей - в зависимости от типа точки доступа, она может обеспечивать одновременную работу более 50 пользователей.
  • Радиус действия вне помещения будет всегда больше, чем в здании.
  • Функции питания и энергосбережения - некоторые точки доступа работают не от сети переменного тока, а от встроенного аккумулятора, который необходимо периодически перезаряжать. В офисном помещении рекомендуется использовать точку доступа только с питанием от сети переменного тока.
  • Функции шифрования данных WEP -  предотвращает неавторизованный доступ в сеть, выполняет проверку целостности каждого пакета и защищает данные от недоброжелателей. Для шифрования пакетов данных WEP использует секретный ключ шифрования перед тем, как сетевой клиент или точка доступа передаст их, и применяет этот же ключ для декодирования данных после их приема.

Для точек доступа существуют специальные усилители сигнала, которые, наряду с дополнительными и более мощными антеннами, могут существенно увеличить радиус действия беспроводной сети. Однако, при этом повышается и общая стоимость внедрения такой сети.

Точки доступа взаимодействуют с различными беспроводными адаптерами, которые рассматриваются далее.

 

 

 

2.              Аппаратные части Wi-Fi

Адаптеры беспроводной связи являются аналогом сетевых адаптеров в обычной проводной сети. Адаптеры для сети Wi-Fi могут быть самых различных размеров и типов, они поддерживают определенный набор функций и предназначены для использования в разных операционных системах, включая Windows, Linux и Mac OS.

Типичный адаптер беспроводной связи для настольного компьютера предназначен для установки в разъем PCI материнской платы и представляет собой плату расширения, оснащенную антенной. Также большой популярностью пользуются адаптеры Wi-Fi USB, для подключения которых не потребуется вскрывать корпус компьютера, поэтому во многих случаях таким адаптерам следует отдать предпочтение перед внутренними адаптерами PCI. Некоторые адаптеры USB практически не отличаются по внешнему виду от флеш-накопителей USB. Следует учитывать, что эффективность работы таких адаптеров может быть ниже, чем внутренних адаптеров PCI, оснащенных вынесенной за пределы корпуса компьютера антенной.

Плата PCI для Wi-Fi.

 

Wi-Fi USB

 

Все адаптеры беспроводной связи должны взаимно поддерживать один или несколько выбранных стандартов связи согласно функциям точки доступа. Например, если точка доступа поддерживает стандарт 802.11b, то данный стандарт должен поддерживаться всеми адаптерами в беспроводной сети. Кроме поддержки одного стандарта, все адаптеры беспроводной связи должны быть совместимы с определенной версией операционной системы (например, Windows XP). Зачастую с адаптерами поставляется специальный драйвер, который следует установить на каждом компьютере, оснащенном адаптером беспроводной связи. В некоторых случаях с адаптерами может использоваться стандартный драйвер Windows, однако с таким вариантом связаны и различные проблемы.

Все чаще на рабочих столах вместо настольного компьютера используются ноутбуки. Абсолютно все (ну за очень редким исключением) современные ноутбуки поддерживают Wi-Fi стандартов 802.11a/b/g. Все больше поддерживают и 802.11n.

Если же ноутбук не оснащен адаптером беспроводной связи, то для его подключения к беспроводной сети можно использовать адаптер USB или адаптер для специального разъема PC Card (PCMCIA) или ExpressCard. Последний вариант является весьма популярным, однако, если разъем уже занят, можно приобрести обычный адаптер USB; стоимость обоих вариантов примерно одинакова.

Адаптер беспроводной связи для разъема ExpressCard.

 

Интересно, что многие адаптеры беспроводной связи PCI содержат разъем, в который подключен обычный адаптер PC Card. Это позволяет в случае необходимости подключить к адаптеру PCI другой адаптер беспроводной связи при модернизации сети или замене оборудования.

 

 

 

3. Wi-Fi стандарты.

 

О достоинствах беспроводных сетей (WLAN) Wi-Fi мы уже говорили.

Основная технология, применяемая для создания беспроводных сетей на основе радиоволн, – технология Wi-Fi. Эта технология стремительно завоевывает популярность, и уже многие домашние локальные сети созданы на ее основе. В настоящее время существует четыре основных стандарта Wi-Fi, каждый из которых обладает определенными характеристиками, – стандарты 802.11b, 802.11a и 802.11g. Речь идет о наиболее популярных стандартах, поскольку в реальности их намного больше, причем некоторые из них все еще проходят процесс стандартизации. Например, оборудование стандарта 802.11n уже вовсю продается, однако стандарт все еще развивается.

 

Структура обычной беспроводной сети практически не отличается от структуры проводной сети. Все компьютеры в сети оснащаются беспроводным адаптером, который может иметь антенну и подключается в разъем PCI компьютера (внутренний адаптер) или разъем USB (внешний адаптер). Для ноутбуков можно использовать как внешние адаптеры USB, так и адаптеры для разъема PCMCIA, кроме того, многие ноутбуки изначально оснащены адаптером Wi-Fi. Взаимодействие компьютеров и портативных систем, оснащенных адаптерами Wi-Fi, обеспечивается точкой доступа, которую можно считать аналогом коммутатора в проводной сети.

IEEE 802.11 — набор стандартов связи, для коммуникации в беспроводной локальной сетевой зоне частотных диапазонов 2,4; 3,6 и 5 ГГц. Наиболее известен по названию Wi-Fi.

В настоящее время существует четыре основных стандарта беспроводных сетей:

  • 802.11b;
  • 802.11a;
  • 802.11g,
  • 802.11n.

Рассмотрим эти стандарты подробнее.

Первый вариант стандарта 802.11, диапазон работы – 2.4 ГГц. Изначально стандарт IEEE 802.11 предполагал возможность передачи данных по радиоканалу на скорости не более 1 Мбит/с и опционально на скорости 2 Мбит/с. В настоящее время не используется. Ширина канала – 11МГц.

 

Стандарт 802.11a был разработан для решения проблемы низкой пропускной способности сетей 802.11b. Характеристики 802.11a представлены ниже:

  • скорость передачи данных до 54 Мбит/с;
  • радиус действия до 30 м;
  • частота 5 ГГц;
  • несовместимость с 802.11b;
  • более высокая цена устройств, по сравнению с 802.11b.

Ширина канала – 20МГц.

Преимущества очевидны – скорость передачи данных до 54 Мбит/с и рабочая частота, не используемая в бытовой технике, однако достигается это за счет более низкого радиуса действия и отсутствия совместимости с популярным стандартом 802.11b.

 

Стандарт 802.11b был первым сертифицированным стандартом Wi-Fi. Все устройства, совместимые с 801.11b, должны иметь соответствующую наклейку с надписью Wi-Fi. Основные характеристики 802.11b выглядят следующим образом:

  • скорость передачи данных до 11 Мбит/с;
  • радиус действия до 50 м;
  • частота 2,4 ГГц (совпадает с частотой некоторых радиотелефонов и микроволновых печей);
  • устройства 802.11b обладают наименьшей, по сравнению с другими устройствами Wi-Fi, ценой.

Ширина канала – 22МГц.

Основное преимущество 801.11b – всеобщая доступность и низкая цена. Есть и существенные недостатки, такие как низкая скорость передачи данных и использование радиочастоты, совпадающей с частотой радиоизлучения некоторых бытовых устройств.

 

Третий стандарт, 802.11g, постепенно обрел большую популярность за счет скорости передачи данных и совместимости с 802.11b. Характеристики этого стандарта следующие:

  • скорость передачи данных до 54 Мбит/с;
  • радиус действия до 50 м;
  • частота 2,4 ГГц;
  • полная совместимость с 802.11b;
  • цена практически сравнялась с ценой устройств 802.11b.

Наиболее распространенный стандарт, обеспечивающий лучшую по сравнению с 802.11b пропускную способность. Ширина канала – 20МГц.

Устройства стандарта 802.11g можно рекомендовать для создания беспроводной домашней сети. Скорости передачи данных 54 Мбит/с и радиуса действия до 50 м от точки доступа будет достаточно для любой квартиры, однако для более крупного помещения использование беспроводной связи данного стандарта может оказаться неприемлемым.

 

Скажем и о стандарте 802.11n, который совсем скоро вытеснит три других стандарта.

  • скорость передачи данных до 200 Мбит/с (а в теории и до 480 Мбит/с);
  • радиус действия до 100 метров;
  • частота 2,4 или 5 Ггц;
  • совместимость с 802.11b/g и 802.11a;
  • цена стремительно снижается.

Стандарт 802.11n повышает скорость передачи данных практически вчетверо по сравнению с устройствами стандартов 802.11g (максимальная скорость которых равна 54 МБит/с), при условии использования в режиме 802.11n с другими устройствами 802.11n. Однако, данная скорость передачи данных подразумевает использование большей ширины канала (40 МГц) и использования нескольких антенн для приема и передачи данных.

Это затрудняет применение данного оборудования вне помещения, кроме того, из-за распространения устройств Wi-Fi, работа со спектром 40 МГц в реальных условиях крайне маловероятна.

Конечно, 802.11n – самый классный и перспективный стандарт. Радиус действия больше и скорость передачи многократно выше, чем у трех других стандартов. Однако у 802.11n есть несколько недостатков. ASUS WL-500w один из лучших маршрутизаторов стандарта 802.11n.

 

Самое главное – чтобы насладиться всеми преимуществами 802.11n, необходимо, чтобы все устройства в беспроводной сети поддерживали этот стандарт. Если одно из устройств работает в стандарте, скажем, 802.11g, то маршрутизатор 802.11n будет переведен в режим совместимости, и его преимущества по скорости и дальности попросту исчезнут.

Более того, желательно, чтобы устройства 802.11n были от одной компании. Поскольку стандарт еще разрабатывается, разные компании по своему реализуют его возможности, и нередко бывают казусы, когда беспроводное устройство от Asus стандарта 802.11n не хочет нормально работать с Linksys и т.д.

Если в квартире несколько комнат со стенами из железобетона, скорость передачи на расстоянии уже 20-30 м будет ниже максимальной. Скорость передачи данных от точки доступа к устройству будет уменьшаться пропорционально расстоянию до этого устройства, поскольку для удержания устойчивого сигнала скорость будет понижаться автоматически.

Желательно не размещать точку доступа рядом с бытовыми или офисными устройствами, такими как микроволновые печи, радиотелефоны, факсы, и т.д.

Представленные стандарты используют практически все страны, работающие с Интернетом.

 

 

 

 

 

4. Защита  Wi-Fi сетей.

 

Стандарт Wi-Fi разработан на основе IEEE 802.11 (англ. Institute of Electrical and Electronics Engineers), используется для широкополосных беспроводных сетей связи. Изначально технология Wi-Fi была ориентирована на организацию точек быстрого доступа в Интернет для мобильных пользователей. Преимущества беспроводного доступа очевидны, а технология Wi-Fi изначально стала стандартом, которого придерживаются производители мобильных устройств. Постепенно сети Wi-Fi стали использовать малые и крупные офисы для организации внутренних сетей и подсетей, а операторы создавать собственную инфраструктуру предоставления беспроводного доступа в Интернет на основе технологии Wi-Fi. Таким образом, в настоящее время сети Wi-Fi распространены повсеместно и зачастую имеют зоны покрытия целых районов города.

С точки зрения безопасности, следует учитывать не только угрозы, свойственные проводным сетям, но также и среду передачи сигнала. В беспроводных сетях получить доступ к передаваемой информации намного проще, чем в проводных сетях, равно как и повлиять на канал передачи данных. Достаточно поместить соответствующее устройство в зоне действия сети. 

Мы уже говорили об организации Wi-Fi сетей:

  • Ad-hoc – передача напрямую между устройствами;
  • Hot-spot – передача осуществляется через точку доступа;

В Hot-spot сетях присутствует точка доступа, посредством которой происходит не только взаимодействие внутри сети, но и доступ к внешним сетям. Hot-spot представляет наибольший интерес с точки зрения защиты информации, т.к., взломав точку доступа, злоумышленник может получить информацию не только со станций, размещенных в данной беспроводной сети.

 

Угрозы информационной безопасности, возникающие при использовании Wi-Fi сетей, можно условно разделить на два класса:

  • прямые - угрозы информационной безопасности, возникающие при передаче информации по беспроводному интерфейсу IEEE 802.11;
  • косвенные — угрозы, связанные с наличием на объекте и рядом с объектом большого количества Wi-Fi-сетей.

Рассмотрим несколько подробнее угрозы в Wi-Fi сетях.

Прямые угрозы

Радиоканал передачи данных, используемый в Wi-Fi потенциально подвержен вмешательству с целью нарушения конфиденциальности, целостности и доступности информации.

В Wi-Fi предусмотрены как аутентификация, так и шифрование, но эти элементы защиты имеют свои изъяны.

Шифрование значительно снижает скорость передачи данных, и, зачастую, оно осознанно отключается администратором для оптимизации трафика. Первоначальный стандарт шифрования WEP (Wired Equivalent Privacy) был дискредитирован за счёт уязвимостей в алгоритме распределения ключей. Это несколько притормозило развитие Wi-Fi рынка и вызвало создание институтом IEEE рабочей группы 802.11i для разработки нового стандарта, учитывающего уязвимости WEP, обеспечивающего 128-битное AES шифрование и аутентификацию для защиты данных. Wi-Fi Alliance в 2003 представил свой собственный промежуточный вариант этого стандарта - WPA (Wi-Fi Protected Access). WPA использует протокол целостности временных ключей и метод контрольной суммы, которая позволяет проверять целостность пакетов . В 2004 году Wi-Fi Alliance выпустил стандарт WPA2, который представляет собой улучшенный WPA. Основное различие между WPA и WPA2 заключается в технологии шифрования. WPA2 обеспечивает более высокий уровень защиты сети, так как возможно создавать более длинные ключи длиной.

Угроза блокирования информации в канале Wi-Fi практически оставлена без внимания при разработке технологии. Само по себе блокирование канала не является опасным, так как обычно Wi-Fi сети являются вспомогательными. Но вмешательство в сеть позволяет удалять, искажать или навязывать ложную информацию.

Также угрозу безопасности Wi-Fi представляют, так называемые - чужаки  - устройства, предоставляющие возможность неавторизованного доступа к корпоративной сети, обычно в обход механизмов защиты, определенных политикой безопасности. Запрет на использование устройств беспроводной связи не защитит от беспроводных атак, если в сети, умышленно или нет, появится чужак. В роли чужака может выступать всё, у чего есть проводной и беспроводной интерфейсы: точки доступа (включая программные), сканеры, проекторы, ноутбуки и т.д.

Беспроводные устройства могут менять точки подключения к сети прямо в процессе работы. Например, могут происходить «случайные ассоциации», когда ноутбук с Windows XP (доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Таким образом, нарушитель переключает на себя пользователя для последующего сканирования уязвимостей, фишинга (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям) или других атак.

А если пользователь при этом подключен и к проводной сети, то он становится точкой входа - чужаком. К тому же многие пользователи, подключённые к внутренней сети и имеющие Wi-Fi интерфейс, недовольные качеством и политикой работы сети, переключаются на ближайшую доступную точку доступа (или операционная система делает это автоматически при отказе проводной сети). При этом вся защита сети терпит крах.

Ещё одна проблема - сети Ad-Hoc, с помощью которых удобно передавать файлы коллегам или печатать на принтере с Wi-Fi. Но такая организация сетей не поддерживает многие методы обеспечения безопасности, что делает их лёгкой добычей для нарушителя.

Некорректно сконфигурированные устройства, устройства со слабыми и недостаточно длинными ключами шифрования, использующие уязвимые методы аутентификации - именно такие устройства подвергаются атакам в первую очередь. Согласно отчётам аналитиков, большая часть успешных взломов происходит как раз из-за неправильных настроек точек доступа и программного обеспечения клиента.

1) Некорректно сконфигурированные точки доступа

Достаточно подключить неправильно настроенную точку доступа к сети для взлома последней. Настройки "по умолчанию" не включают шифрование и аутентификацию, или используют ключи, прописанные в руководстве и поэтому всем известные. Маловероятно, что пользователи достаточно серьёзно озаботятся безопасной конфигурацией устройств. Именно такие привнесённые точки доступа и создают основные угрозы защищённым сетям.

2) Некорректно сконфигурированные беспроводные клиенты

Некорректно настроенные устройства пользователей - угроза опаснее, чем некорректно сконфигурированные точки доступа. Это устройства пользователей и они не конфигурируются специально в целях безопасности внутренней сети предприятия. К тому же они находятся за периметром контролируемой зоны, так и внутри него, позволяя злоумышленнику проводить всевозможные атаки, как то распространять вредоносное программное обеспечение или просто обеспечивая удобную точку входа.

WEP имеет слабую защищенность.

Интернет полон специального и удобного в использовании ПО для взлома этого стандарта, которое собирает статистику трафика до тех пор, пока её не станет достаточно для восстановления ключа шифрования. Стандарты WPA и WPA2 также имеют ряд уязвимостей разной степени опасности, позволяющих их взлом. 

Имеется еще одна угроза.

Имперсонация - это явление, когда кто-то выдает себя за другого, действует под именем другого человека.

Имперсонация авторизованного пользователя – серьезная угроза любой сети, не только беспроводной. Однако в беспроводной сети определить подлинность пользователя сложнее. Конечно, существуют SSID (идентификатор беспроводной сети., каждая беспроводная сеть может иметь уникальное имя - SSID) и можно пытаться фильтровать по MAC-адресам (уникальный номер для сетевого оборудования), но и то и другое передается в эфире в открытом виде, и их несложно подделать, а подделав – как минимум снизить пропускную способность сети, вставляя неправильные кадры, а разобравшись в алгоритмах шифрования – устраивать атаки на структуру сети. Имперсонация пользователя возможна не только в случае MAC-аутентификации или использования статических ключей. Схемы на основе 802.11 не являются абсолютно безопасными. Некоторые механизмы позволяют взлом WEP и не гарантируют устойчивость к комплексной атаке.

Еще одна угроза - отказы в обслуживании.

Возможны атаки, направленные на нарушение качества функционирования сети или на абсолютное прекращение доступа пользователей. В случае Wi-Fi сети отследить источник, заваливающий сеть "мусорными" пакетами, крайне сложно - его местоположение ограничивается лишь зоной покрытия. К тому же есть аппаратный вариант этой атаки - установка достаточно сильного источника помех в нужном частотном диапазоне.

Косвенные угрозы

Сигналы WiFi-устройств имеют достаточно сложную структуру и широкий спектр, поэтому эти сигналы, а тем более, окружающие устройства Wi-Fi невозможно идентифицировать обычными средствами радиомониторинга. Уверенное обнаружение сигнала WiFi современными комплексами радиомониторинга в широкой полосе частот возможно только по энергетическому признаку при наличии полос параллельного анализа шириной несколько десятков МГц на скорости не менее 400 МГц/с и лишь в ближней зоне. Сигналы точек доступа, находящихся в дальней зоне, оказываются ниже уровня шумов приёмника. Обнаружение Wi-Fi-передатчиков при последовательном сканировании узкополосными приёмниками вообще невозможно.

Исходя из того, что практически каждый объект окружает множество "чужих" Wi-Fi сетей, отличить легальных клиентов своей сети и соседних сетей от нарушителей крайне сложно, что позволяет успешно маскировать несанкционированную передачу информации среди легальных Wi-Fi-каналов.

В крупных городах Wi-Fi сети общего пользования имеют достаточно обширную зону покрытия, чтобы отпала необходимость использовать мобильный пункт приёма информации рядом с объектом - несанкционированное устройство может подключиться к доступной Wi-Fi сети и использовать её для передачи информации через Интернет в любое требуемое место.

Пропускная способность Wi-Fi сетей позволяет передавать звук и видео в реальном времени. Это упрощает злоумышленнику использовать акустические и оптические каналы утечки информации - достаточно легально купить Wi-Fi-видеокамеру и установить её в качестве устройства негласного получения информации.

Особенности функционирования беспроводных сетей

У беспроводных сетей наличествуют некоторые особенности, отсутствующие в проводных сетях. Эти особенности в целом влияют на производительность, безопасность, доступность и стоимость эксплуатации беспроводной сети. Их приходится учитывать, хотя они и не относятся напрямую к шифрованию или аутентификации. Для решения этих вопросов требуется специальный инструментарий и механизмы администрирования и мониторинга.

Интерференция - взаимное увеличение или уменьшение результирующей амплитуды двух или нескольких когерентных волн при их наложении друг на друга.

Качество работы Wi-Fi сети как радиоэфира зависит от многих факторов. Один из них - интерференция радиосигналов, которая может значительно снизить пропускную способность сети и количество пользователей, вплоть до полной невозможности использования сети. В качестве источника может выступать любое устройство, излучающее на той же частоте сигнал достаточной мощности. Это могут быть как соседние точки доступа, так и микроволновки. Эту особенность могут  также использовать злоумышленники в качестве атаки отказа в обслуживании, или для подготовки атаки "человек посередине", заглушая легитимные точки доступа и оставляя свою с таким же SSID.

Следующий момент – качество связи.

Существуют и другие особенности беспроводных сетей помимо интерференции. Неправильно настроенный клиент или сбоящая антенна могут ухудшить качество обслуживания всех остальных пользователей. Или вопрос стабильности связи. Не только сигнал точки доступа должен достичь клиента, но и сигнал клиента должен достичь точки. Обычно точки мощнее, и чтобы добиться симметрии, возможно придётся снизить мощность сигнала.

Методы ограничения доступа

Фильтрация MAC-адресов:

Данный метод не входит в стандарт IEEE 802.11. Фильтрацию можно осуществлять тремя способами:

  • Точка доступа позволяет получить доступ станциям с любым MAC-адресом;
  • Точка доступа позволяет получить доступ только станциям, чьи MAC-адреса находятся в доверительном списке;
  • Точка доступа запрещает доступ станциям, чьи MAC-адреса находятся в “чёрном списке”;

Наиболее надежным с точки зрения безопасности является второй вариант, хотя он не рассчитан на подмену MAC-адреса, что легко осуществить злоумышленнику.

Режим скрытого идентификатора SSID (англ. Service Set IDentifier):

Для своего обнаружения точка доступа периодически рассылает кадры-маячки. Каждый такой кадр содержит служебную информацию для подключения и, в частности, присутствует SSID (идентификатор беспроводной сети). В случае скрытого SSID это поле пустое, т.е. невозможно обнаружение вашей беспроводной сети и нельзя к ней подключиться, не зная значение SSID . Но все станции в сети, подключенные к точке доступа, знают SSID и при подключении, когда рассылают запросы, указывают идентификаторы сетей, имеющиеся в их профилях подключений. Прослушивая рабочий трафик, с легкостью можно получить значение SSID, необходимое для подключения к желаемой точке доступа.

Методы аутентификации

1. Открытая аутентификация

Рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, т.е. по сути это защита беспроводной Wi-Fi сети на основе ограничения доступа, что не безопасно.

Используемые шифры: без шифрования, статический WEP, CKIP.

2. Аутентификация с общим ключом

Необходимо настроить статический ключ шифрования алгоритма WEP . Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP   и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети.

Схема аутентификации с общим ключом уязвима к атакам «Man in the middle». Алгоритм шифрования WEP – это простой код ключевой последовательности с полезной информацией, следовательно, прослушав трафик между станцией и точкой доступа, можно восстановить часть ключа.

Используемые шифры: без шифрования, динамический WEP, CKIP.

3. Аутентификация по MAC-адресу:

Данный метод не предусмотрен в IEEE 802.11, но поддерживается большинством производителей оборудования, например D-Link и Cisco. Происходит сравнение МАС-адреса клиента с таблицей разрешённых MAC-адресов, хранящейся на точке доступа, либо используется внешний сервер аутентификации. Используется как дополнительная мера защиты.

IEEE начал разработки нового стандарта IEEE 802.11i, но из-за трудностей утверждения, организация WECA (англ. Wi-Fi Alliance) совместно с IEEE анонсировали стандарт WPA . В WPA используется TKIP (англ. Temporal Key Integrity Protocol, протокол проверки целостности ключа), который использует усовершенствованный способ управления ключами и покадровое изменение ключа.

4. Wi-Fi Protected Access (WPA)

После первых успешных атак на WEP было принято разработать новый стандарт 801.11i. Но до него был выпущен “промежуточный” стандарт WPA, который включал в себя новую систему аутентификации и новый метод шифрования TKIP. Существуют два варианта аутентификации: с помощью RADIUS сервераи с помощью предустановленного ключа.

Используемые шифры: TKIP (стандарт), WEP (в качестве обратной совместимости).

5. WI-FI Protected Access2 (WPA2, 801.11i)

WPA2 или стандарт 801.11i – это финальный вариант стандарта безопасности беспроводных сетей. В качестве основного шифра был выбран стойкий блочный шифр AES. Система аутентификации по сравнению с WPA претерпела минимальные изменения. Также как и в WPA, в WPA2 есть два варианта аутентификации: с аутентификацией на RADIUS сервере и с предустановленным ключом.

Используемые шифры: AES-CCMP (стандарт), TKIP (в качестве обратной совместимости).

6.. CCKM - Cisco Centralized Key Managment

Вариант аутентификации от фирмы CISCO. Поддерживает роуминг между точками доступа. Клиент один раз проходит аутентификацию на RADIUS-сервере, после чего может переключаться между точками доступа.

Используемые шифры: WEP, CKIP, TKIP, AES-CCMP

 

Стандарты безопасности беспроводных сетей

Точки беспроводного доступа могут требовать проверку подлинности клиентов перед подключением к сети. Проверка подлинности также позволяет установить личный ключ, который можно использовать для шифрования беспроводных сетей, обеспечивая защиту данных. Беспроводные клиенты Windows поддерживают все распространенные стандарты беспроводных сетей.

Отсутствие требований безопасности в беспроводных сетях. Для обеспечения гостевого доступа клиентам можно разрешить подключаться к точке беспроводного доступа без проверки подлинности (или шифрования). Чтобы обеспечить определенный уровень защиты, некоторые точки беспроводного доступа выполняют  обнаружение новых клиентов и требуют, чтобы пользователь открыл браузер и  подтвердил свое согласие перед предоставлением маршрутизатором доступа в  Интернет.

К сожалению, все данные, пересылаемые в незащищенной беспроводной сети, могут перехватываться злоумышленниками, получившими беспроводный сигнал (как правило, беспроводное широковещание распространяется на сотни метров). Поскольку практически все общественные беспроводные сети не защищены, мобильные пользователи должны понимать степень риска.

 

 

Технологии шифрования в беспроводных сетях

Если вы разрешаете пользователям подключаться к незащищенным беспроводным сетям, по возможности обеспечьте шифрование на других уровнях. Например, используйте протокол SSL (Secure Sockets Layer) для защиты коммуникаций с сервером электронной почты, требуйте, чтобы пользователи подключались с помощью зашифрованного VPN-подключения или IPS с шифрованием.  

Шифрование беспроводных сетей WEP

С помощью стандарта безопасности  беспроводных сетей WEP можно выполнять 64-битовое и 128-битовое  шифрование. К сожалению, WEP уязвим в схеме криптографии. Потенциальные злоумышленники могут загрузить свободно доступные в Интернете инструменты и использовать эти инструменты для взлома ключа, который требуется для подключения к беспроводной сети WEP, причем взлом осуществляется за  несколько минут. Поэтому ни 64-битовое, ни 128-битовое шифрование WEP не может защитить даже от неопытных хакеров. Однако шифрования WEP достаточно для того, чтобы случайные пользователи не могли подключаться к  беспроводной сети. 

Шифрование WEP поддерживается практически всеми беспроводными клиентами (включая другие операционные системы, помимо Windows, и такие сетевые устройства, как принтеры) и не требует создавать дополнительную инфраструктуру кроме точки беспроводного доступа. При подключении к сети WEP пользователи должны ввести ключ или пароль (хотя этот процесс можно автоматизировать).

 

 

 

5. Практические задания.

 

1) Определите скорость передачи данных при подключении к сети Интернет. Для этого откройте сайт http://www.speedtest.net/

Выберите кнопку BEGIN TEST и после окончания теста вы увидите скорость своего Интернета.

Имейте в виду, что тест определить две скорости:

Download speed – скорость закачки на свой компьютер

Upload speed – скорость отправления со своего компьютера

 

2) Определение внутреннего IP-адреса своего компьютера.

Пример задания для Windows 7

- Откройте Центр управления сетями и общим доступом через Панель задач либо через Панель управления

- Выберите подключение по локальной сети

- Посмотрите скорость Интернета, установленную вашим провайдером, но, как правило, существующая будет ниже как раз из-за использования Wi-Fi

- Выберите кнопку сведения и вы увидите IP- адрес своего ПК – комбинация четырех десятичных чисел, разделенных точкой.

Пояснение к заданию.

IP адрес позволяет другим компьютерам, объединенным в сеть, общаться с вашим. Отправлять сообщения, обмениваться файлами и так далее.

"Внешний IP адрес" - это тот же IP-адрес, но он УНИКАЛЕН для всей сети Интернет. Таких адресов ограниченное количество и их нужно специальным образом регистрировать.

Чем внешний IP адрес отличается от "внутреннего"?

Если Вашему компьютеру присвоен внешний (или "белый") IP адрес, ваш компьютер легко сможет стать сервером, то есть к нему можно будет подключиться через Интернет, чего нельзя сделать, если у вас обычный IP адрес, который выделяется всем компьютерам в локальной сети. Например, вы спокойно можете просматривать веб-странички из дома, но не сможете подключиться с работы к своему домашнему компьютеру, чтобы воспользоваться веб-камерой или удалённым помощником.

В отличие от внутреннего IP адреса, внешний IP имеет множество преимуществ: некоторые файлообменные системы (торренты) не позволяют скачивать информацию без конкретного внешнего IP адреса. Если у вас его нет, то один адрес распределяется на несколько пользователей — в этом случае скачать файлы часто становится невозможно из-за ограничений сервисов или из-за высокой загрузки. При наличии внешнего IP адреса, эти системы будут работать с полной отдачей и позволят свободно скачивать файлы с максимально возможной скоростью.

 

3) Определение внешнего IP-адреса

- Откройте сайт http://2ip.ru/

- Вы увидите свой внешний IP-адрес и много дополнительных сведений о своем компьютере.

 

На этом наше практическое занятие закончено. Мы рассмотрели только основные понятия о беспроводных сетях, о них можно говорить еще долго.

Спасибо за внимание!