К.т.н. Чунарьова А.В., Власенко А.Ю.

Національний авіаційний університет (НАУ), Україна

МЕТОДИ ТА ЗАСОБИ ЗАХИСТУ БЕЗДРОТОВИХ СИСТЕМ ТА МЕРЕЖ

Розвитку інформаційного суспільства передбачає розвиток цілої системи технічних стандартів бездротових систем та мереж, що вводяться з метою якісної передачі цифрових потоків даних. На сьогодні бездротові системи ускладнюються, розширюють свої межі і використовують засобами підвищення стійкості до несанкціонованого доступу зовні.

Так забезпечення безпеки передачі інформації це одне з найважливіших завдань при функціонуванні бездротових систем та мереж. На даний час безліч способів шифрування..

На сьогоднішній день у звичайних користувачів і адміністраторів мереж є всі необхідні засоби для надійного захисту Wi-Fi, і за відсутності явних помилок завжди можна забезпечити рівень безпеки, відповідний цінності інформації, що знаходиться в такій мережі.

Сьогодні бездротову мережу вважають захищеною, якщо в ній функціонують три основних складових системи безпеки: аутентифікація користувача, конфіденційність і цілісність передачі даних. Для отримання достатнього рівня безпеки необхідно скористатися рядом правил при організації і настройці приватної Wi-Fi-мережі:

-     шифрувати дані шляхом використання різних систем;

-     використовувати протокол 802.1x;

-     заборонити доступ до налаштувань точки доступу за допомогою бездротового підключення;

-     управляти доступом клієнтів по MAC-адресам;

-     заборонити трансляцію в ефір ідентифікатора SSID;

-     розташовувати антени якнайдалі від вікон, зовнішніх стін будівлі, а також обмежувати потужність радіовипромінювання;

-     використовувати максимально довгі ключі;

-     змінювати статичні ключі і паролі;

-     використовувати метод WEP-аутентифікації "Shared Key";

-     користуватися складним паролем для доступу до налаштувань точки доступу;

-     заборонити гостьовий доступ до ресурсів загального доступу, використовувати довгі складні паролі;

-     не використовувати в бездротовій мережі DHCP. Вручну розподілити статичні IP-адреса між легітимними клієнтами безпечніше;

-     на всіх ПК всередині бездротової мережі встановити файерволи, не встановлювати точку доступу поза брандмауером, використовувати мінімум протоколів усередині WLAN (наприклад, тільки HTTP і SMTP);

-     регулярно досліджувати уразливості мережі за допомогою спеціалізованих сканерів безпеки (наприклад NetStumbler);

-     використовувати спеціалізовані мережеві операційні системи такі як: Windows Nt, Windows 2003, Windows XP.

На даний час існує безліч технологій організацій безпеки бездротових мереж. Проведемо їх огляд та аналіз.

Технологія WEP (Wired Equivalent Privacy) була затверджена у 1997 році, при цьому у 2000 році було написано статтю про недоліки даної технології. У WEP використовується алгоритм RC4 на статичному ключі. Для підвищення захисту частина ключа є статичною, а інша частина – динамічною (вектор ініціалізації), що змінюється в процесі роботи мережі. Основним недоліком WEP є те, що вектор ініціалізації повторюється через деякі проміжки часу. Для того, щоб зламати це шифрування необхідно лише зібрати ці повтори і за секунди отримати іншу частину ключа. Весь процес взлому складає 5-10 хвилин. Саме через це не рекомендується застосовувати цей алгоритм захисту за будь-яких умов [1].

Технологія WPA (Wi-Fi Protected Access) булла впроваджена замість застарілого протоколу WEP. WPA була перехідною технологією між WEP та

відносно новим стандартом безпеки 802.11і. За шифрування даних в WPA відповідає протокол TKIP, який, хоча і використовує той же алгоритм шифрування – RC4 – що й у WEP, але на відміну від останнього, використовує динамічні ключі (тобто ключі часто змінюються). Він застосовує більш довгий вектор ініціалізації і використовує криптографічну контрольну суму (MIC) для підтвердження цілісності пакетів (остання є функцією від адреси джерела і призначення, а також поля даних).  Можна виділити два основних режими роботи технології WPA: WPA-PSK i WPA-Enterprise. Будь-яке сучасне бездротове обладнання стандарту 802.11 підтримує обидва ці режими.

При використанні режиму WPA-PSK (так званий персональний режим) на точці доступу прописується ключ доступу, ввівши який користувач може почати користуватися ресурсами мережі. Такий спосіб захисту досить стійкий, але не досить зручний для адміністрування, оскільки для кожного користувача мережі потрібно ввести пароль точки доступу для його успішного підключення. При досить малих розмірах мережі це припустимо, але з ростом кількості клієнтів це перетворюється на досить важку задачу. Також, якщо є потреба відключити користувача від мережі, потрібно змінювати ключ точки доступу, причому після таких дій потрібно переналаштовувати всіх користувачів мережі.

При використанні технології WPA у режимі WPA-Enterprise для аутентифікації користувачів використовується зовнішній сервер (відносно точки доступу), наприклад RADIUS-сервер. У такому режимі користувачу необхідно ввести пару логін-пароль, по яким і відбувається підключення користувача до мережі. При цьому пара логін-пароль унікальна для кожного користувача. На зміну протоколу шифрування TKIP, у якому теж знайдені недоліки, прийшов покращений алгоритм шифрування AES (Advanced Encryption Standard). AES також відомий під назвою Rijndael симетричний алгоритм блочного шифрування (розмір блока 128 біт, ключ 128/192/256 біт). Сучасне обладнання надає вільний вибір між цими двома протоколами.

Рекомендується вибирати AES як більш надійний метод шифрування [2].

Технологія WPA2. На зміну протоколу WPA прийшов протокол WPA2, який входить до стандарту безпеки бездротових мереж 802.11і. Протоколи WPA2 працюють в двох режимах аутентифікації: персональному (Personal) та корпоративному (Enterprise). У режимі WPA2-Personal з введеної відкритим текстом парольної фрази генерується 256-розрядний ключ PSK (PreShared Key). Ключ спільно з ідентифікатором SSID (Service Set Identifier) використовуються для генерації тимчасових сеансових ключів PTK (Pairwise Transient Key), для взаємодії бездротових пристроїв. Як і протоколу WPA-PSK, протоколу WPA2-Personal притаманне певні проблеми, пов'язані з необхідністю розподілу та підтримки ключів на бездротових пристроях мережі, що робить його більш корисним для застосування в невеликих мережах з десятка пристроїв, у той час як для корпоративних мереж оптимальний WPA2 -Enterprise.

Технологія VPN. З додаткових методів захисту бездротових мереж можна виділити технологію VPN (Virtual Private Network). Дана технологія дозволяє створити віртуальну персональну мережу, яка надає широкі можливості щодо забезпечення конфіденційності клієнтів. Принцип дії VPN – створення так званих безпечних «тунелів» від користувача до вузла доступу або сервера. Для шифрування трафіку в VPN найчастіше застосовується протокол IPSec, рідше – PPTP або L2TP. При цьому можуть використовуватися такі алгоритми, як DES, Triple DES, AES і MD5. VPN підтримується на багатьох платформах (Windows, Linux, Solaris) як програмними, так і апаратними засобами. Варто відзначити високу надійність технології. Зазвичай VPN рекомендується застосовувати у великих корпоративних мережах. Технологію VPN можна використовувати як додатковий засіб захисту мережі у поєднанні з будь-якою технологією захисту бездротових мереж [3].

Література

1.   Джим Гейер Беспроводные сети.Первый шаг. - СПб.:Вільямс, 2005. - 189 с.

2.   Джон Росс. Wi-Fi. Беспроводные сети. Установка. Конфигурирование. – CПб.:НТ Пресс, – 2006. – 550 с.

3.   Педжман Р., Джонатан Л. Основы построения беспроводных локальных сетей стандарта 802.11. - СПб.:Вильямс, 2004. – 302 с.