Современные информационные
технологи/Информационная безопасность
Дубчак
О. В., Прокопенко М.А.
Національний авіаційний університет, Україна
АНАЛІЗ
ЗАСОБІВ ЗАХИСТУ БЕЗДРОТОВИХ МЕРЕЖ
Вступ.
Інформаційна безпека з розвитком сучасних інформаційних
технологій стає однією з необхідних характеристик будь – якої інформаційної
системи.
Актуальність. Особлива увага
приділяється безпеці бездротових інформаційно - комунікаційних систем та мереж,
які останнім часом широко використовуються, що викликає необхідність удосконалення
існуючих й розробки нових стандартів зв’язку із більш високими швидкостями
з’єднання й підвищеними вимогами до
убезпечення інформації.
Постановка завдання. Найбільш динамічного розвитку зазнала
технологія бездротового доступу Wi-Fi (Wireless Fidelity) – родина стандарту
ІЕЕЕ 802.11, який забезпечує не тільки зручність користування, але й містить
засоби захисту інформаційних ресурсів, які циркулюють мережею та піддаються
впливу загроз - навмисних або
ненавмисних дій, що можуть призвести до порушення властивостей інформації,
таких як цілісність, конфіденційність, доступність тощо.
Мета - проаналізувати засоби
захисту стандарту ІЕЕЕ 802.11 та виробити рекомендації щодо організації
інформаційної безпеки бездротової мережі (БМ).
Відповідно до Закону
України «Про телекомунікації»[5] під інформаційною безпекою
розуміють здатність системи забезпечувати захист від знищення, перекручення,
блокування інформації, її несанкціонованого витоку або від порушення
встановленого порядку її маршрутизації.
На сьогоднішній день існують декілька
варіантів стандарту ІЕЕЕ 802.11[2], у ході розробки до яких було
включено набір засобів організації інформаційної безпеки, що ускладнюють задачу
зловмисника отримати доступ до інформаційних ресурсів:
WEP -
застарілий протокол безпеки стандарту IEEE 802.11;
WPA
– протокол сертифікації для усування проблем із захистом WEP, зокрема
проблем із криптографічною слабкістю заголовків векторів ініціалізації;
WPA2 - технологія
шифрування даних, що є рекомендованим способом захисту БМ. Тут механізми
захисту розширено за допомогою протоколу блочного шифрування CCMP - Counter
Mode with Cipher Block Chaining Message Authentication Code Protocol , але
ці механізми накладають жорсткіші вимоги на обчислювальні можливості, оскільки
використовується алгоритм AES - Advanced
Encryption Standard або розширений стандарт шифрування.
У приватних мережах ці технології мають
форми WPA-PSK і WPA2-PSK. WPA-PSK є удосконаленим варіантом WEP і передбачає
такі механізми захисту: розмірність вектора ініціалізації — у WPA включено
48-бітовий вектор ініціалізації, що збільшує криптографічну складність
зашифрованих даних; спеціалізовані способи розпізнавання — у WPA передбачено
можливість використання серверів 802.1Х. На цих серверах використовуються
спеціальні механізми розпізнавання користувачів, зокрема RADIUS. [4]
З часом укоренилися
тенденції використання разом з WPA більш надійних протоколів. Як приклад
вдалого рішення є підхід Cisco Systems,
яка пропонує такі протоколи:
EAP - забезпечує підтримку додаткових схем
перевірки дійсності, які називаються типами
EAP (до даних схем належать токен-карти, одноразові паролі,
перевірка дійсності відкритого ключа з використанням смарт-карт і сертифікати);
LEAP - представляє
собою “легкий” протокол взаємної аутентифікації, схожий на двосторонній CHAP -
Challenge Authentification Protokol (використовує ключ, що розділяється, тому
вимагає обміркованої політики генерації паролів);
PEAP – протокол, що
за допомогою криптографічного протоколу TLS - Transport Layer Security, який забезпечує захищену передачу
даних між вузлам в Інтернет, створює
шифрований канал між PEAP - клієнтом, що проходить перевірку дійсності, та
пристроєм перевірки дійсності PEAP
(наприклад, RADIUS-сервером). Для користування з PEAP доступні два типи EAP,
що також називаються типами перевірки дійсності: EAP-MS-CHAP v2 та EAP-TLS.
EAP - FAST –
протокол, що має високу надійність, за
принципом роботи схожий з LEAP, але
аутентифікація проводиться по захищеному тунелю. [3]
Рекомендації. З метою підвищення
безпеки інформаційного обміну в БМ стандарту 802.11 фахівці вважають за
доцільне обрати стандарт 802.11Х та використовувати технології захищених
приватних віртуальних мереж (VPN). При побудові БМ з максимальним рівнем захищеності
виробники встаткування рекомендують використовувати VPN- технології на базі
сімейства протоколів IPSec.
За допомогою VPN
можна створити зовнішній рівень захисту, що дасть упевненість у відсутності
погрози з боку відомих уразливостей убудованих протоколів захисту БМ і інших
можливих джерел. Дану технологію слід розглядати в комплексі з рішенням на базі
протоколу 802.1Х: засоби VPN забезпечують захист на мережному рівні, а
механізми протоколу 802.1Х дозволяють запобігти несанкціонованому доступу до БМ
на більш ранньому етапі. Така схема допомагає побудувати багаторівневий захист.[1]
Висновки. Плануючи захист БМ, слід
ураховувати, з одного боку, що різноманітні операції з даними уповільнюють їх
обробку, призводять до затримок та збільшують навантаження на процесори
мережних пристроїв.
З іншого боку, для
надійного захисту інформаційних ресурсів БМ необхідно сполучати як протокольні
й програмні способи захисту, так і адміністративні; слід впроваджувати
802.11х/EAP і динамічне керування ключами; реалізуючи протокол PEAP и протокол
EAP, не захищений протоколом PEAP, не варто використовувати однотипну перевірку
дійсності EAP з протоколом PEAP і без нього.
Література:
1.
http://citforum.ru/nets/wireless/security/
2.
http://www.networkworld.com/news/tech
3.
http://technet.microsoft.com/ru-ru/library/cc754179.aspx
4.
http://www.wi-fi.org/
5. Закон України «Про
телекомунікації» URL:http://zakon1.rada.gov.ua/laws/show/1280-15