К.т.н. Черниш Л.Г., Щербань І.В.
Національний авіаційний університет (НАУ),
України
Захист інформації від
несанкціонованого доступу в бездротових мережах
На сьогoднiшнiй дeнь вaжкo уявити життя не використвоучи, як у офісах, так і в
домашніх умовах бездротові мережі, вoни отримали величезне розповсюдження.
Бездротові мережі дуже зручні в
користуванні і дозволяють незалежно від місця знаходження бути он-лайн:
обмінюватися даними, відправляти і приймати пошту, знаходити потрібну
інформацію в Інтернет, бути завжди там, де ви звикли.
Звичайнo дoсить важливу роль грає на сьогоднішній день швидка і
надійна передача інформації, тому на розробку таких методів, способів
витрачаються дуже великі кошти , але на сьогоднішній день особливу увагу варто
надавати захисту конфіденційної інформації в
мережах.
Бездротова мережа може вважатися
захищеною, безпечною для користування та захищенной від несанкціонованого
доступу, якщо в ній функціонують три основних складових системи безпеки:
аутентифікація користувача, конфіденційність і цілісність передачі даних. Існує
ряд правил при організації і настройці приватної Wi-Fi-мережі, для отримання необхідного рівня безпеки, а саме:
- шифрувати
дані шляхом використання різних систем;
- управляти
доступом клієнтів по MAC-адресам;
-
використовувати протокол 802.1x;
- заборонити
доступ до налаштувань точки доступу за допомогою бездротового підключення;
- заборонити
трансляцію в ефір ідентифікатора SSID;
-
розташовувати антени якнайдалі від вікон, зовнішніх стін будівлі, а
також обмежувати потужність радіовипромінювання;
-
використовувати максимально довгі ключі;
-
використовувати метод WEP-аутентифікації "Shared Key";
-
користуватися складним паролем для доступу до налаштувань точки доступу;
- не
використовувати в бездротовій мережі DHCP. Вручну розподілити статичні IP-адреса між легітимними клієнтами безпечніше;
- на всіх ПК
всередині бездротової мережі встановити файерволи, не встановлювати точку
доступу поза брандмауером, використовувати мінімум протоколів усередині WLAN (наприклад, тільки HTTP і SMTP);
- регулярно
досліджувати уразливості мережі за допомогою спеціалізованих сканерів безпеки
(наприклад NetStumbler);
-
використовувати спеціалізовані мережеві операційні системи такі як: Windows XP, Windows 7
Основним способом, для реалізації захисту
інформації від несанкціонованого доступу в бездротових мережах, є обмеження доступу.
Метод шифрування. Існую кілька методів
шифрування данних:
Технологія WEP(англ.
Wired Equivalent Privacy)
була розроблена спеціально для шифрування потоку даних, що передаються в
рамках локальної мережі. Проте в ній використовується не найстійкіший алгоритм RC4 на статичному ключі.
TKIP(англ. Temporal Key Integrity Protocol) використовується той же
симетричний потоковий шифр RC4, але є більш криптостійким.
CKIP(англ. Cisco Key Integrity Protocol) має подібності з протоколом TKIP.
Використовується протокол CMIC (англ. Cisco Message Integrity Check) для перевірки цілісності повідомлень.
WPA(Wi-Fi
Protected Access) більш стійкий алгоритм шифрування, ніж WEP. Високий рівень
безпеки досягається за рахунок використання протоколів TKIP і MIC.
WPA2(IEEE
802.11i) прийнятий у 2004 році, з 2006 року WPA2 повинна підтримувати все
вироблене Wi-Fi обладнання.
Фільтрація MAC-адреси — цей метод обмеження
доступу, допоможе вам дозволити компютерам, з відповідними MAC-адресами, які будуть введені в
фільтрацію, мати доступ до мережи. MAC-адреса (від англ. Media Access Control)
— це унікальний ідентифікатор, що зіставляється з різними типами устаткування
для комп’ютерних мереж, ці ідентифікатори, пов’язані з кожним адаптером
бездротової мережі та точкою доступу. Теоретично вони є унікальними для всіх адаптерів та точок
доступу у світі. Багато хто вірить, що введення цих MAC-адрес у налаштування
бездротової мережі з метою дозволити доступу до даних лише з вказаних адрес
підвищить рівень захисту системи. Хоча подібний захист і може стати перешкодою
для більшості недосвідчених зловмисників, досвідчені нападники знають, що
MAC-адреси досить просто визначити, а згодом «підробити», імітуючи адресу
користувача з правом доступу так, що точці доступу комп’ютер зловмисника
здаватиметься комп’ютером користувача з правом доступу. Атака з підміною
MAC-адреси є однією з найпростіших атак мереж бездротового зв’язку, крім того,
підтримання у актуальному стані списків MAC-адрес великих мереж є справою
досить марудною.
Режим
прихованого ідентифікатора ESSID — у багатьох точках доступу
передбачено можливість приховування, вимикання або маскування трансляції ESSID (Extended Service Set IDentifier або ідентифікатора розширеного
набору служб) мережі, еквівалента назви мережі. Окрім того, що існує декілька вільно доступних програм
для визначення прихованих ESSID надсиланням спеціальних пакунків зондування на
точку доступу, вимикання трансляції ESSID насправді може стати вадою захисту:
якщо нападник визначить прихований ESSID, він зможе створити власну точку
доступу з таким самим ESSID, тобто створити «точку доступу-принаду», з якою
намагатимуться встановити зв’язок клієнтські частини мережі, розкриваючи таким
чином інші параметри мережі.
Література
1. Джим Гейер
Беспроводные сети.Первый шаг. - СПб.:Вільямс, 2005. - 189 с.
2. Джон Росс. Wi-Fi. Беспроводные сети. Установка.
Конфигурирование. – CПб.:НТ Пресс, – 2006. – 550 с.
3. Педжман Р.,
Джонатан Л. Основы построения беспроводных локальных сетей стандарта 802.11. -
СПб.:Вильямс, 2004. – 302 с.