Analyse av sikkerhetsmetoder for trådløse nettverk. Hvorfor installere Windows trådløs sikkerhet
KAPITTEL I. ANALYSE AV SÅRBARHETER OG METODER FOR INFORMASJONSBESKYTTELSE UNDER OVERFØRING I DISTRIBUTERTE TRÅDLØSE NETTVERK.
1.1 Ny generasjon trådløse nettverk.
1.2 Trusler mot informasjon i distribuerte datanettverk.
1.2.1 Aktive nettverksangrep.
1.2.2 Spesifikasjoner for angrep i trådløse nettverk.
1.3 Metoder for å beskytte informasjon i trådløse nettverk.
1.3.2 Databeskyttelsesteknologier.
1.4 Mål for avhandlingsforskningen.
1.5 Konklusjoner.
KAPITTEL II. UTVIKLING AV EN METODER FOR INFORMASJONSBESKYTTELSE UNDER OVERFØRING I DISTRIBUTERTE TRÅDLØSE NETTVERK BASERT PÅ DYNAMISK TRAFIKKRUTE.
2.1 Trafikkmultipleksingssystem.
2.2 Rutetjeneste.
2.2.1 Generelle prinsipper arbeid.
2.2.2 Metodikk for å beskytte informasjon under overføring i et trådløst distribuert nettverk.
2.2.3 Dynamisk trafikkrutingsalgoritme.
2.2.4 Anvendelse av utviklet metodikk.
2.3 Analyse av effektiviteten til den utviklede beskyttelsesmetoden.
2.3.1 Lovbryterens muligheter.
2.3.2 Vurdering av sannsynligheten for at en førsteklasses trussel blir realisert.
2.3.3 Vurdering av sannsynligheten for at en annenrangstrussel blir realisert.
2.3.4 Algoritme for å generere en flyt av angrep.
2.4 Konklusjoner.
KAPITTEL III IMPLEMENTERING AV PROGRAMVAREVERKTØY FOR BESKYTTELSE AV OVERFØRT INFORMASJON.
3.1 Implementering av programvarepakken.
3.2 Eksperimentell implementering og sammenligning med rutingprotokoller.
3.3 Eksperimentelle forskningsmetoder.
3.4 Konklusjoner
Introduksjon av avhandlingen (del av abstraktet) om emnet "Metode for beskyttelse av informasjon i trådløse nettverk basert på dynamisk trafikkruting"
Arbeidets relevans
Utvikling informasjonsteknologier byr på presserende problemer med å øke påliteligheten av funksjonen til datanettverk. For å løse slike problemer er det nødvendig å studere eksisterende nettverksprotokoller, nettverksarkitekturer og utvikle måter å forbedre sikkerheten ved overføring av informasjonsressurser over nettverket.
Ved å velge trådløse teknologier kan du oppnå fordeler i hastighet og mobilitet. Fremveksten av en ny klasse av trådløse bredbåndsnettverk med mesh-struktur (mesh-nettverk) har gjort det mulig å oppnå en betydelig økning i informasjonsdekningsområdet. Den største fordelen med denne klassen av nettverk er tilstedeværelsen av spesielle enheter - mesh-portaler, som gjør det mulig å integrere andre trådløse nettverk (WiMAX, Wi-Fi, GSM) og Internett i mesh-nettverket, og gir derfor brukeren alle slags tjenester fra disse nettverkene.
Ulempene med mesh-teknologi inkluderer det faktum at mesh-nettverksrutingsprotokoller er veldig spesifikke, og utviklingen er vanskelig oppgave med mange kriterier og parametere. Samtidig krever eksisterende protokoller betydelige forbedringer når det gjelder å øke sikkerheten og påliteligheten til informasjonsoverføring.
Nettverksangrep, feil og feil på nettverksutstyr er hovedfaktorene som påvirker sikkerheten for informasjonsoverføring i distribuerte trådløse nettverk. Problemet med å sikre sikkerheten for informasjonsoverføring i distribuerte trådløse nettverk ble håndtert av I. Akyildiz, W. Wang, X. Wang, T. Dorges, N. Ben Salem. Å sikre sikkerheten for informasjonsoverføring på et datanettverk betyr å beskytte dens konfidensialitet, integritet og tilgjengelighet.
Blant metodene for å sikre tilgjengeligheten av informasjon i trådløse nettverk trekker forskere frem en kombinasjon ulike metoder kontroll, duplisering, redundans. Integriteten og konfidensialiteten til informasjon i trådløse nettverk sikres ved metoder for å konstruere virtuelle kanaler basert på bruk av kryptografiske verktøy.
En vanlig ulempe med disse metodene er en reduksjon i nettverksytelse knyttet til kravene til ytterligere behandling av overført informasjon. Denne ulempen er spesielt kritisk for overføring av digital videoinformasjon. I tillegg reduserer forbedringen av kryptoanalysemetoder i økende grad påliteligheten til eksisterende kryptografiske algoritmer/
Av ovenstående følger det at det er nødvendig å utvikle nye metoder for å beskytte informasjon under overføring i distribuerte trådløse nettverk under påvirkning av bevisste angrep. I denne forbindelse er emnet for arbeidet relevant og praktisk viktig.
Målet med arbeidet
Hensikten med avhandlingsarbeidet er å utvikle en metodikk for å beskytte informasjon under overføring i distribuerte trådløse nettverk, basert på bruk av en dynamisk trafikkrutingsalgoritme under påvirkning av bevisste angrep.
2. Forskning av algoritmer for dynamisk trafikkruting i distribuerte nettverk.
3. Forskning av informasjonssikkerhetsmetoder i distribuerte trådløse nettverk.
4. Forskning av typer angrep i distribuerte datanettverk, analyse av spesifikasjonene ved angrep i trådløse nettverk.
5. Utvikling av en algoritme for dynamisk ruting av informasjon under overføring i distribuerte trådløse nettverk under påvirkning av bevisste angrep.
6. Utvikling av en "rutbar tjeneste"-applikasjon basert på algoritmen, som implementerer en teknikk for å beskytte informasjon under overføring i distribuerte trådløse nettverk.
7. Implementering av programvaremoduler for "rutbar tjeneste" for informasjonsoverføring.
8. Studie av alternativer for virkningen av nettverksangrep på en "rutbar tjeneste". Beregner estimater for vellykkede implementeringer av nettverksangrep på overført informasjon i tilfelle bruk av en "rutbar tjeneste".
9. Utvikling av en algoritme for å generere en strøm av nettverksangrep.
10. Utvikling av en prototype av en rutet tjeneste for eksperimentell testing av den foreslåtte beskyttelsesteknikken.
Forskningsobjektene er datanettverk, distribuerte trådløse nettverk med mesh-struktur (mesh-nettverk), informasjonsoverføringsprosesser og prosesser for å implementere ulike typer angrep på overført informasjon og nettverksenheter i distribuerte trådløse nettverk.
Forskningsemner: IEEE 802.11 gruppestandarder, nettverksangrep, metoder for å beskytte informasjon i trådløse nettverk, algoritmer for dynamisk ruting av trafikk i trådløse nettverk.
Forskningsmetoder
Avhandlingsarbeidet bruker metoder for matematisk modellering, grafteori, mengdlære, sannsynlighetsteori og matematisk statistikk. For å bekrefte de oppnådde teoretiske resultatene, ble eksperimentelle studier og modellering utført ved bruk av programmeringsmiljøene Visual Basic Script, Windows Management Instrumentarium, Shell, Awk.
Troverdighet
Påliteligheten til vitenskapelige utsagn, konklusjoner og anbefalinger bekreftes av riktig formulering av problemer, strengheten til det matematiske apparatet som brukes, resultatene av numerisk modellering, positive resultater teste et program som implementerer den foreslåtte informasjonssikkerhetsteknikken og sammenligne den med rutede nettverksprotokoller.
Vitenskapelig nyhet
Følgende vitenskapelige resultater ble oppnådd i avhandlingsarbeidet:
1. Det foreslås en metode for å beskytte informasjon i distribuerte trådløse nettverk basert på bruk av en «rutbar tjeneste»-applikasjon.
2. Det er utviklet en algoritme for dynamisk ruting av informasjon under overføring i distribuerte trådløse nettverk under påvirkning av bevisste angrep.
3. Alternativer for å implementere påvirkningen på det utviklede systemet er beskrevet. Det gis vurderinger av vellykket implementering av nettverksangrep på overført informasjon ved bruk av en "rutbar tjeneste". En algoritme for å generere en strøm av nettverksangrep er utviklet.
4. Implementert programvaremoduler prototype av en "rutbar tjeneste" Prototypen ble testet i et distribuert nettverk.
Praktisk betydning
Den praktiske betydningen bekreftes ved å teste en prototype av det utviklede systemet i et distribuert nettverk. Resultatene av avhandlingsforskningen ble tildelt et H-gradsdiplom ved IX All-Russian-konkurransen for bachelor- og hovedfagsstudenter i informasjonssikkerhet "SIBINFO-2009". Den utviklede metodikken ble introdusert i informasjonsoverføringssystemene til OJSC Omskvodokanal og State Educational Institution of Higher Professional Education "Omsk State teknisk universitet" Resultatene av avhandlingsarbeidet brukes i pedagogisk prosess Statens utdanningsinstitusjon for høyere profesjonsutdanning "Omsk State Technical University".
Metodikken som foreslås i avhandlingen kan brukes som grunnlag for videre forskning.
Godkjenning av arbeid
Resultatene av arbeidet ble testet i form av presentasjoner på vitenskapelige konferanser og seminarer:
1. IX All-russisk konkurranse av studenter og hovedfagsstudenter i informasjonssikkerhet "SIBINFO-2009", I-grad diplom. (2009, Tomsk).
2. VIII sibirsk vitenskapelig skole-seminar med internasjonal deltakelse"Datasikkerhet og kryptografi - SYBECRYPT-09" (2009, Omsk).
3. VII Internasjonal vitenskapelig og teknisk konferanse "Dynamikk av systemer, mekanismer og maskiner" (2009, Omsk).
4. IV Vitenskapelig og praktisk konferanse for unge spesialister fra den vestsibirske banken i Sberbank i Russland "Moderne erfaring med å bruke informasjonsteknologi i bankvirksomheten" (2008, Tyumen).
5. All-russisk vitenskapelig og teknisk konferanse «Ungt Russland: Høyteknologisk inn i industrien" (2008, Omsk).
6. Konferanse-konkurranse "Microsoft Technologies in theory and Practice of Programming" (2008, Novosibirsk).
Publikasjoner
Resultatene av avhandlingen gjenspeiles i 15 publikasjoner, inkludert 2 publikasjoner i publikasjoner anbefalt av Higher Attestation Commission.
Arbeidets struktur og omfang
Avhandlingen består av en innledning, tre kapitler, en konklusjon, en referanseliste og tre vedlegg. Det totale arbeidsvolumet er 118 sider, inkludert 26 figurer og 3 tabeller. Bibliografien inkluderer 82 titler.
Konklusjon på avhandlingen om emnet "Metoder og systemer for informasjonssikkerhet, informasjonssikkerhet", Nikonov, Vyacheslav Igorevich
3.4 Konklusjoner
Som et resultat av programvareimplementeringen av de utviklede metodene for å beskytte informasjon som overføres i distribuerte trådløse nettverk, ble det laget en prototype av systemet "rutbar tjeneste", og modulene tocMlBSreg og toc!.8ener(8) av "rutet tjeneste" søknaden ble implementert.
Prototypen "rutbar tjeneste" ble testet på globalt nettverk en stor bedrift som fullt ut modellerer et visst distribuert nettverk. En beskrivelse av testprosessen er gitt, en graf over trafikkruter presenteres, og sannsynligheten for et vellykket angrep ved bruk på et nettverk beregnes. denne søknaden. Basert på de oppnådde resultatene ble det konkludert med at de praktiske resultatene samsvarer med de teoretiske begrepene i arbeidet til 5a/-tjenesten. De implementerte modulene ^ har blitt testet på en distribuert trådløst nettverk OJSC "Omskvodokanal" Denne faktaen bekreftet ved bruksbevis av resultatene av arbeidet (vedlegg 2).
KONKLUSJON
En avhandling er en fullført vitenskapelig forskning på dette stadiet. I prosessen med forskning utført i avhandlingsarbeidet ble følgende resultater oppnådd:
2. Algoritmer for dynamisk ruting av trafikk i distribuerte nettverk er studert.
3. Metoder for å beskytte informasjon i distribuerte trådløse nettverk er studert.
4. Det er konstruert en algoritme for dynamisk ruting av informasjon under overføring i distribuerte trådløse nettverk under påvirkning av bevisste angrep.
5. Basert på algoritmen ble den "rutbare" applikasjonen utviklet. service", som implementerer en teknikk for å beskytte informasjon under overføring i distribuerte trådløse nettverk.
6. Programvaremoduler "Routable service" er implementert.
7. Varianter av virkningen av nettverksangrep på en "rutbar tjeneste" er studert. Estimater for vellykkede implementeringer av nettverksangrep på overført informasjon ved bruk av en "rutbar tjeneste" er beregnet.
8. En algoritme for å generere en strøm av nettverksangrep er utviklet.
9. En eksperimentell test av den utviklede metodikken ble utført.
Liste over referanser for avhandlingsforskning Kandidat for tekniske vitenskaper Nikonov, Vyacheslav Igorevich, 2010
1. Anin B.Yu. Beskyttelse datainformasjon/ B.Yu. Anin. - St. Petersburg: BHV-Petersburg, 2000. 384 s.
2. Barnes K. Beskyttelse mot hackere av trådløse nettverk / K. Barnes, T. Boates, D. Loyd M.: DMK-Press, 2005. - 480 s.
3. Belousov S.A. Trojanske hester: prinsipper for operasjon og beskyttelsesmetoder / S.A. Belousov, A.K. Guts, M.S. Plankov - Omsk, 2003. 83 s.
4. Bochkarev V. Scenarier for administrasjon / V. Bochkarev // System Engineering. - Tilgangsmodus: http://www.sysengineering.ru/Administration/ScriptsForAdministration02.aspx, gratis.
5. Bochkarev V. Administrasjon ved hjelp av WMI / V. Bochkarev // System Engineering. - Tilgangsmodus: http://www.sysengineering.ru/Administration/AdministrationUsingWMI.aspx, gratis.
6. Hacking av trådløse nettverk: Hack Zone e-zine Elektronisk ressurs. - Tilgangsmodus: http://www.fssr.ru/hz.php?name=News&file=article&sid=7273, gratis.
7. Vishnevsky V.M. Trådløst radio-elektronisk system "Rapier" / V.M. Vishnevsky, H.H. Guzakov, D.V. Lakontsev // ELEKTRONIKK: NTB, 2005, nr. 1.
8. Vishnevsky V.M. Bredbånd trådløse informasjonsoverføringsnettverk / V.M. Vishnevsky, A.I. Lyakhov, SL. Portnoy, I.L. Shakhovich. M.: Tekhnosphere, 2005. - 592 s.
9. Yu. Vishnevsky V. Mesh-cera av IEEE 802.11s-standarden - teknologier og implementering / V. Vishnevsky, D. Lakontsev, A. Safonov, S. Shpilev // First Mile.-2008.-No. 2.
10. Vladimirov A.A. Wi-fu: "kamp"-teknikker for hacking og beskyttelse av trådløse nettverk / A.A. Vladimirov, K.V. Gavrilenko, A.A. Mikhailovsky - M: NT Press, 2005.-464 s.
11. GOST 28147-89. Informasjonsbehandlingssystemer. Kryptografisk beskyttelse. Kryptografisk konverteringsalgoritme.
12. GOST R 34.10-2001. Informasjonsteknologi. Kryptografisk informasjonsbeskyttelse. Prosesser for å generere og verifisere elektroniske digitale signaturer.
13. GOST R 34,10-94. Informasjonsteknologi. Kryptografisk informasjonsbeskyttelse. Prosedyrer for å utvikle og verifisere en elektronisk digital signatur basert på en asymmetrisk kryptografisk algoritme.
14. GOST R 50739-95. Fasiliteter datateknologi. Beskyttelse mot uautorisert tilgang til informasjon.
15. GOST R 50922-2006. Data beskyttelse. Grunnleggende begreper og definisjoner.
16. GOST R ISO/IEC 15408-2002. Metoder og midler for å sikre sikkerhet. Kriterier for vurdering av sikkerheten til informasjonsteknologi.
17. Jamsa K. Programmering for INTERNETT i Windows-miljø/ K. Jamsa, K. Cope SPb.: PETER, 1996. - 688 s.
18. Elmanova N.Z. Introduksjon til Borland C++ Builder / N.Z. Elmanova, S.P. Lommebok. -M.: Dialogue-MEPhI, 1998. 675 s.
19. Efimov V.I. Angrep på et distribuert TCP/IP-trafikksystem basert på flytkorrelasjonsanalyse / V.I. Efimov, E.V. Shcherba // Informasjonsteknologier for modellering og ledelse. - 2005. - nr. 6(24). - s. 859 - 863.
20. Efimov V.I. Multiplekssystem for TSRYAR-trafikk med avstand / V.I. Efimov, R.T. Faizullin // Bulletin fra Tomsk University. Applikasjon. 2005.- nr. 14. - s. 115-118.
21. Zegzhda D.P. Grunnleggende om informasjonssystemsikkerhet / D.P. Zegzda, A.M. Ivashko. M.: Hotline- Telecom, 2000. - 452 s.
22. Zegzhda D.P. Generell arkitektur av inntrengningsdeteksjonssystemer / D.P. Zegzhda, A.I. Bovt // Sammendrag av rapporter fra konferansen "Metoder og tekniske midler for å sikre informasjonssikkerhet". St. Petersburg State Technical University, 2001.
23. Vinter V.M. Global sikkerhet nettverksteknologier. / V.M. Winter, A.A. Moldovyan, N.A. Moldovisk. St. Petersburg: BHV-Petersburg, 2000. - 300 s.
24. Ivanov M.A. Kryptografiske metoder beskyttelse av informasjon i datasystemer og nettverk. / M.A. Ivanov. - M.: KUDITS-OBRAZ, 2001.-368 s.
25. Kaspersky K. Nettverksangrepsteknikker /K. Kaspersky M.: COJIOH-P, 2001. - 396 s.
26. Kader M. Typer nettverksangrep Elektronisk ressurs. / M. Kader. - Tilgangsmodus: http://www.cnews.m/reviews/free/security/part7/netattack.shtml, gratis.
27. Kader M. Typer nettverksangrep, deres beskrivelser og midler for å bekjempe elektronisk L-ressurs. / M. Kader. - Tilgangsmodus: http://vmw.cnews.info/reviews/free/oldcom/security/ciscoattacks.shtml, gratis.
28. Lopukhov I. Redundans av industrielle Ethernet-nettverk på andre OSI-nivå: standarder og teknologier / I. Lopukhov // Moderne automatiseringsteknologier. 2009 - nr. 3 - S. 16-32.
29. Mamaev N.S., Mamaev Yu.N., Teryaev B.G. Digital TV. - M.: Telecom Hotline, 2001. - 180 s.
30. Mamaev N.S., Mamaev Yu.N., Teryaev B.G. Digitale TV- og radiokringkastingssystemer. M.: Hotline - Telecom, 2007. - 254 s.
31. Maxim M. Sikkerhet for trådløse nettverk / M. Maxim, D. Pollino - M.: DMK-Press, 2004. 288 s.
32. Medvedovsky I.D. Angrep fra Internett / I.D. Medvedovsky, B.V. Semyanov,
33. D.G. Leonov, A.B. Lukatsky. M.: Solon-R, 2002. - 356 s.
34. Medvedovsky I.D. Angrep på Internett / I.D. Medvedovsky, B.V. Semyanov, D.G. Leonov. M.: DMK, 1999.-336 s.
35. Medvedovsky I.D. Angrep via Internett / I.D. Medvedovsky, P.V. Semyanov, V.V. Platonov. M.: Mir og familie-95, 1997. - 296 s.
36. Miloslavskaya N.G. Intranett: inntrengningsdeteksjon / N.G. Miloslavskaya, A.I. Tolstoy - M: Unity-Dana, 2001. 592 s.
37. Nikonov V.I. Rutede dataoverføringstjeneste gjennom distribuerte nettverk / V.I. Nikonov // Proceedings of the conference-konkurranse "Microsoft Technologies in Computer Science and Programming" - Novosibirsk, 2008. S. 83-84.
38. Nikonov V.I. Ruteoverføringstjeneste. / I OG. Nikonov // Materialer fra den all-russiske vitenskapelige og tekniske konferansen "Ung Russland: avanserte teknologier i industrien", 12.-13. november 2008.- Omsk, 2008.-P. 80-84.
39. Nikonov V.I. Ruteoverføringstjeneste / V.I. Nikonov // Abstracts of the VIII Siberian School-seminar med internasjonal deltakelse “data security and cryptography” SIBECRYT "09. Omsk, Omsk State Technical University, September 8-11, 2009.- S. 76-78.
40. Nikonov V.I. Ruting i nye generasjons trådløse nettverk /
41. V.I. Nikonov // Kontrollsystemer og informasjonsteknologi. - 2010 - nr. 1.1(39) - S. 170-173.
42. Nikonov V.I. Metoder for å beskytte informasjon i distribuerte datanettverk ved bruk av rutingalgoritmer / V.I. Nikonov // TUSUR melder. 2010. - nr. 1 (21), del 2 - s. 219-224.
43. Novakovsky S.V., Kotelnikov A.B. Nye TV-systemer. Digitale metoder videosignalbehandling. M.: Radio og kommunikasjon, 1992. - 88 s.
44. Olifer V.G. Datanettverk. Prinsipper, teknologier, protokoller: en lærebok for universiteter. 3. utg. / V.G. Olifer, H.A. Olifer SPB.: Peter, 2006. -958 s.
45. Orlov A.I. Tilfeldighetsmatematikk: Sannsynlighet og statistikk - grunnleggende fakta / A.I. Orlov M.: MZ-Press, 2004. - 110 s.
46. Panasenko S.P. Krypteringsalgoritmer. Spesiell referanse/ S.P. Panasenko St. Petersburg: BHV-Petersburg, 2009. - 576 s.
47. Peskin A. E., Smirnov A. V. Digital TV. Fra teori til praksis. - M.: Hotline-Telecom, 2005. 349 s.
48. Proletarsky A.V. Trådløse Wi-Fi-nettverk / A.B. Proletarsky, I.V. Baskakov, D.N. Chirkov M.: BINOM, 2007. - 178 s.
49. Romanets Yu.V. Informasjonsbeskyttelse i datasystemer og nettverk / Yu.V. Romanets, P.A. Timofeev, V.F. Shangin - M.: Radio og kommunikasjon, 2001. - 376 s.
50. Sneijder I. Effektiv programmering TSRYAR. Programmerers bibliotek / I. Sneijder. - St. Petersburg: Peter, 2002. 320 s.
51. Tikhonov A. Inntrengningsdeteksjonssystemer / A. Tikhonov // Tilgangsmodus: URL: www.Isoft.com.ru, gratis.
52. Tyurin M. Funksjoner av russiske / M. Tyurin // Byte. 2005. - nr. 12(88).
53. Feller V. Introduksjon til sannsynlighetsteorien og dens anvendelser / V. Feller -1. M.: Mir, 1964-752 s.
54. Hansen D. Angrep på trådløse nettverk Elektronisk ressurs. / D. Hansen. -Tilgangsmodus: http://www.securitylab.ru/analytics/216360.php, gratis.
55. Shangin V.F. Beskyttelse av datainformasjon. Effektive metoder og betyr / V.F. Shangin M.: DMK-Press, 2008. - 544 s.
56. Shakhlevich A. VPN: fordeler og ulemper / A. Shakhlevich // Informasjonssikkerhet. 2009. - Nr. 6.
57. Shelupanov A.A. Grunnleggende informasjonssikkerhet: Opplæringen/ A.A. Shelupanov, V.P. Los, R.V. Meshcheryakov, E.B. Belov. M.: Hotline - Telecom, 2006. - 544 s.
58. Shcherba E.V. Metode for å beskytte digital videoinformasjon under overføring i distribuerte datanettverk / E.V. Shcherba // Anvendt diskret matematikk. - 2009. - Vedlegg nr. 1. - S. 60-62.
59. Schneier B. Applied cryptography, 2. utgave: protokoller, algoritmer, kildetekster på C-språket / B. Schneier M: Triumph, 2002. - 610 s.
60. Jasjtsjenko V.V. Introduksjon til kryptografi. / V.V. Jasjtsjenko. M: MTsNMO, 1998.-272 s.
61. Adelman L. An Abstract Theory of Computer Viruses / L. Adelman // Advances in Cryptology, 1990.- S. 354-374.
62. Akyildiz I. Wireless Mesh Networks: A Survey / I. Akyildiz, X. Wang, W. Wang // Datanettverk og ISDN-systemer. 2005. - Vol. 47/4. S. 445 - 487.
63. Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response," Intrusion.Net Books, Sparta, New Jersey, 1999.
64. Ben Salem N. Sikring av trådløse mesh-nettverk / N. Ben Salem, J.-P. Hubaux // IEEE trådløs kommunikasjon. 2006. - nr. 13/2.
65. Chereddi C. Net-X: A Multichannel Multi-Interface Wireless Mesh Implementation / C. Chereddi, P. Kyasanur, N. Vaidya // ACM Sigmobile. - 2007.-№11(3).-P. 84-95.
66. Dorges T. Et nettverk av IDS-sensorer for angrepsstatistikk / T. Dorges, O. Gellert, K. Kossakowski // Praxis der Informationsverarbeitung und Kommunikation. - 2004. Nr. 27. - S. 202-208.
67. Giannoulis A. Congestion Control and Channel Assignment in Multi-Radio Wireless Mesh Networks, Congestion Control and Channel Assignment in MultiRadio Wireless Mesh Networks / A. Giannoulis, T. Salonidis, E. Knightly // IEEE SECON, 2008.
68. ISO 15408 Generelle kriterier for vurdering av informasjonsteknologisikkerhet
69. Hvordan A. Portskanning, sårbarhetsskanning og pakkesniffing /A. Hvordan // Datamaskin- og nettverkssikkerhet. 2008. - Vol. 23. - S. 29-38.
70. Kohlenberg, Toby (Red.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael og Poor, Mike, "Snort IDS and IPS Toolkit," Syngress, 2007.
71. Knightly E. Multi-Tier Multi-Hop Wireless: The Road Ahead / E. Knightly // 2007.
72. Microsoft Corporation. Microsoft TCP/IP. Opplæringskurs: Offisiell Microsoft-veiledning i eget tempo. M.: Russisk utgave, 1999.-344 s.
73. Naor M. Visual Cryptography / M. Naor, A. Shamir // Lecture Notes in Computer Science. Berlin: Springer-Verlag, 1995. - Vol. 1294. - S. 322.
74. Paulauskas N. Datasystemangrepsklassifisering / N. Paulauskas, E. Garshva // Elektronikk og elektroteknikk. - 2006. nr. 2(66). - S. 84-87.
75. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time," Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998.
76. Pejman R. 802.11 Wireless LAN Fundamentals / R. Pejman, J. Leary // Cisco Press, 2004.-312 s.
77. Postel, J. Internet Protocol, RFC-791, USC/Information Sciences Institute, - 1981.
78. Trykk W.H. Numeriske oppskrifter: The Art of Scientific Computing. Tredje utgave. / W.H. Press, S.A. Teukolsky, W.T. Vetterling, B.P. Flannery - Cambridge, Cambridge University Press, 2007. 1256 s.
79. Raniwala A. Arkitektur og algoritmer for et IEEE 802.11-basert multikanals trådløst nettverk / A. Raniwala, T. Chiueh // Infocom, 2005.
80. Shamir A. Hvordan dele en hemmelighet / A. Shamir // Communications of the ACM- 1979. -N.Y.: ACM Press. 1979. - Vol. 22. - S. 612-613.
81. Wiggins R. Myths and Realities of Wi-Fi Mesh Networking / R. Wiggins // Mobile Technologies Research Fellow, 2006.
82. Forkortelser tatt i bruk i avhandlingsarbeidet
83. Forkortelse Full betydning1. Internett protokoll
84. OSI Open Systems Interconnection Model
85. TCP Transport Layer Protocol
86. LAN lokalt datanettverknsd Uautorisert tilgang1. OS Operativsystem Mean square errorcmt Trafikkmultipleksingssystem
87. EE Institute of Electrical and Electronics Engineers1. AP tilgangspunkt
88. SS Uavhengige basetjenesteområder
89. BSS Grunnleggende tjenesteområder
90. ESS utvidede tjenesteområder1. MP Network node 1. MRR Portal TEBI-nettverk
91. KART Tilgangspunkt for nettverket ditt1. VS Datasystem
92. S Intrusion Detection System
93. DoS Denial of Service Attack
94. DDoS Distribuert tjenestenektangrep
95. TCP-overføringskontrollprotokoll
96. TFN Distribuert tjenestenektangrep ved bruk av TBI-nettverk
97. TCP SYN Flood Denial of service angrep ved bruk av TCP SYN-pakker
98.PSW-visning Trojanske hester designet for å stjele passord
99. ARP Address Resolution Protocol
100. WEP En protokoll for sikring av Wi-Fi-nettverk
101. Initialiseringsvektor WEP-protokoll
102. TIM Trafikkmeldingskart
103. RTS-ramme "forespørsel om å sende"
104. CTS Frame "klar til å sende"
105. RC4 Stream-chiffer utviklet av Ron Riverst og brukt i originalen IEEE standard 802.111. X.800 ITU-T standard
106. OVA Estimert tillitsnivå
107. MC3 International Telecommunication Union
108. VPN Virtuelt privat nettverk1.N Lokalt nettverk
109. PPTP Link layer nettverk tunnelprotokoll
110. TP Link Layer Tunneling Network Protocol
111. SSL Network link layer tunnelprotokoll
112. TLS Network link layer tunnelprotokoll
113. WPA En protokoll for sikring av Wi-Fi-nettverk
114. TKIP-integritetsprotokoll midlertidig nøkkel
115. EAP Extensible Authentication Framework
116. KSA WEP Key Scheduling Algoritme
117. XOR Modulo 2 addisjonsalgoritme
118. SSID Wireless LAN Identifier
119. WPA En protokoll for sikring av Wi-Fi-nettverk
120. RADIUS Access Control Protocol1. VBS programmeringsspråk
121. WMI Windows Management Instrumentation
122. Ver IP-hodefelt: Versjon
123. L IP topptekstfelt: topptekstlengde
124. TOS IP-hodefelt: Tjenestetype
125. IP-hodefelt: Identifikator
126. TTL IP Header Field: Time to Live
127. ADC Analog-til-digital-omformer
128. DAC Digital-til-analog omformer
129. DVB standard digital TV-kringkasting1. Jeg godkjenner"
130. Avdelingsdirektør Ish^ts^mashirp^Gkh. Teknologier 1. JA. Bolotyuk2010, b - 1. ACT for implementering av resultatene av avhandlingsarbeidet Npkonov V.I. Kommisjonen består av: Formann D.A. Tsvetkov, leder av systemadministrasjonsavdelingen medlemmer av kommisjonen:
131. Glushakov AV„ systemadministrator,
132. Sinegubov D.A., programmerer-utvikler, utarbeidet en handling om følgende.
133. Denne topologien ble utsatt for to typer angrep, uavhengig av hverandre: 1) lytte til trafikk på FSiFSa-nettstedet ved hjelp av Wireshark-programmet; 2) periodisk implementering av et tjenestenektangrep på FSj-serveren.
134. Etter å ha gjennomført overføringsøkter ble følgende effekt oppnådd: 1. prosentandel av pakketap på et tidspunkt når serveren er utilgjengelig L/, - - 15%, FSi~Q%2. prosentandelen av avlyttede MrMB-pakker er 71 %, FsiFso er 16 %.
135. Utviklet av Nikonov V.I. Den originale teknikken lar deg øke sikkerheten til informasjonsoverføringssystemet uten bruk av krypteringsalgoritmer.1. G" ¡g 20Yug.gZ/" / 2010 201 Og.1. Formann 1. Medlemmer av kommisjonen:
136. V. A. Maistrenko E. V. Shcherba T. N. Vinogradova
137. JEG GODKJENT." ZAO1. D"1. YOU.SH. Rybalov 2010 y1. ACT for implementering av resultatene av avhandlingsarbeidet Nikoov V.RG.
138. Disse estimatene er i samsvar med teoretiske estimater beregnet ved hjelp av formlene presentert i arbeidet til V.I. Nikonov. for de valgte "overføringsparametrene.
139. Kommisjonens leder: Kommisjonens medlemmer:
140. S.N. Balabay A.V. Bezditko M.V. Shcherba
141. Programvareimplementering av utviklede algoritmer
142. Oppføring 1. Prototypeimplementering. Beskrivelse av modus -a.1. StrArgs = "-a" Deretter
143. Velg en IP-adresse fra innstillingsfilenI
144. FSO.FileExists(WorkDir&FileConQ = True Then
145. Sett IdFile = FSO.OpenTextFile(WorkDir&FileConf, 1, False)1. MyIp = IdFile.ReadLine1.File.Close1. Slutt om
146. WScript.Echo " Venter på filer."r
147. Vi venter på filer fra andre sendere FlagSend = О LastIp = "1" Do While 1
148. Sett colFiles = FF. ExecQuery("Velg * fra CIMDataFile hvor Path = "WwebservWsendW" og Extension!-ip" og Drive-c:"") For hver objFile i colFiles
149. FSO.FileExists(CurrentDir&objFile.FileName&".ip") = True Then
150. Sett IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&.ip", 1, False)1. OpenIp = 0i
151. Gjør mens Openjp = 0 Ved feil Fortsett neste1. Test = IdFile.ReadLine i
152. Err.Number > 0 Så Openlp = 0 WScript. Sov 10000 Else1. Openlp = 1 End If Loop1. CountServ = test1. DestIp = IdFile.ReadLine1.File.Close i1. MyIp = DestIp Then
153. Sett IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&,.ip", 8, False)1.File.WriteLine MyIp1.File.Close
155. FSO.FileExists(CurrentDir&"ok\\"&objFile.FileName&"."&objFile.Extension) = Sant da
156. FSO.DeleteFile(CurrentDir&nok\\"&objFile.FileName&"."&objFile.Extension) End If
157. FSO.CopyFile objFile.Name, CurrentDir&"ok\\"
158. P80.P11eEx1818(Sigge^B1r&pok\\"&o^P11e.P11eCache&ilr") = True Then FSO.DeleteFile(CurrentDir&"ok\\"&objFile.FileName&.ip")1. Slutt om
159. FSO.CopyFile CurrentDir&objFile.FileName&"".ip", CurrentDir&"ok\\" WScript.Echo objFile.FileName&" ."&objFile.Extension&" ankom" WScript. Sleep 10000
160. FSO.DeleteFile(CurrentDir&objFile.FileName&".ip")
161. FSO.DeleteFile(CurrentDir&objFile.FileName&"."&objFile.Extension)1. Ellers
163. Sett IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 8, False) IdFile.WriteLine Mylp IdFile.Close End If
164. Sett IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&.ip", 1, False)1. Filelp = IdFile.ReadAll1.File.Close i
165. Beregning av antall beståtte sendere CountPer=0
166. Sett IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)
167. Gjør mens IdFile.AtEndOfLine o Truetest = IdFile.ReadLine1. CountPer = CountPer + 11.op1.File.Close1. CountPer = CountJPer-2
168.Int(CountPer)<= Int(CountServ) Then i
169. Velg neste sender1. Currlp =1.st - Instr(FileIp, Currlp) Gjør mens inst > 0 CountHst = 0
170. Sett IdFile = FSO.OpenTextFile(WorkDir&FileHome,l, False)
171. Gjør mens IdFile.AtEndOfLine o Truetest = IdFile.ReadLine1. CountHst = CountHst + 11.op1.File.Close Randomize()1 = Round(Int(CountHst)*Rnd + 1) 1 = 01. WScript.Echo 1
172. Sett IdFile = FSO.OpenTextFile(WorkDir&FileHome, 1, False)1. Gjør mens jeg< 11. Currlp = IdFile.ReadLinei=I+l
173. CurrIp LastIp Then Currlp = End Ifinst=Tnstr(FileIp, Curr lp)
174. Curr lp = DestIp Eller CurrIp=MyIp Deretter Flaglp=0 Else FlagIp=l End Ifinst=inst*FlagIpobjTcp.Sleep 30001.op1.File.Close1.opI1. Ellers 1. CurrIp=DestIp1. Slutt Hvis jeg
175. Vi starter en tilkobling til denne IP-adressen1. WScript.Echo Currlp1.stIp=CurrIpobjTcp.Protocol = objConstants.asSOCKETPROTOCOLRAW objTcp.Connect CurrIp, 1500 Hvis objTcp.LastError ca. 0 Da
176. WScript.Echo "Error " & objTcp.LastError & ": " & objTcp.GetErrorDescription(objTcp.LastError) FlagSend = 1 Else1. FlagSend = 0
177. WScript.Echo "Tilkobling etablert" & vbCrLfstr = " " Mess = " "
178. Gjør mens objTcp.ConnectionState =obj konstanter. asSOCKETCONNSTATECONNECTED i1. Send filen
179. Sett IdFile = FSO.OpenTextFile(objFile.Name,l, False) objTcp.SendString objFile.FileName&"."&objFile.Extension objTcp.Sleep 3000
180. Gjør mens IdFile.AtEndOfLine o Truestr = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 3000 Loop1.File.Close
181. FSO.FolderExists(CurrentDir&"arc\V") = False Sett deretter obj Folder = FSO.CreateFolder(CurrentDir&"arc\\n) End If
182. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) = Sant da
183. FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) End If
184. FSO.MoveFile objFile.Name, CurrentDir&"arc\\"objTcp.SendString "FileEnd" jeg sender en instruksjonsfil sammen med hovedfilen
185. Sett IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)objTcp.SendString objFile.FileName&" .ip"objTcp.Sleep 3000 i
186. Gjør mens IdFile.AtEndOfLine o True str = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 30001.op1.File.Close
187. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&".ip") = True Deretter FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&.ip")1. Slutt om
188. FSO.MoveFile CurrentDir&objFile.FileName&".ip", CurrentDir&"arc\\"obj Tcp. SendString "ConfEnd" i1. objTcp.HasData Deretter
189. Rot = objTcp.ReceiveString
190. WScript.Echo "ReceiveString: " & Mess1. End If iobjTcp.Sleep 3000objTcp.Disconnect
191. WScript.Echo "Send vellykket"1.op1. Slutt If i1. Slutt If i1. Ellers
192. WScript.Echo "Dårlig fil: "&objFile.Name i1. Slutt hvis neste1. WScript. Sleep 100001.op i1. Slutt Hvis "-a
193. Listing 2. Prosedyre for enhetlig bildesegmentering.
194. HRESULT SNT: :Transform(IMediaSample *pMediaSample) (
195. BYTE *pData; lang IDataLen; int iPixel;1. RGBTRIPLE *prgb;
196. Peker til bildebuffer // Størrelse på hver innkommende ramme // Variabel for bruk i løkker // Peker til gjeldende piksel
197. AMMEDIATYPE* pType = &mpInput->CurrentMediaType(); VIDEOINFOHEADER *pvi = (VIDEOINFOHEADER *) pType->pbFormat; ASSERT(pvi);
198. CheckPointer(pMediaSample,EPOINTER); pMediaSample->GetPointer(&pData); IDataLen = pMediaSample->GetSize();
Vær oppmerksom på at de vitenskapelige tekstene som er presentert ovenfor kun er publisert for informasjonsformål og ble innhentet gjennom original avhandlings tekstgjenkjenning (OCR). Derfor kan de inneholde feil knyttet til ufullkomne gjenkjennelsesalgoritmer. Det er ingen slike feil i PDF-filene til avhandlinger og sammendrag som vi leverer.
Uautorisert tilgang - lesing, oppdatering eller ødeleggelse av informasjon uten riktig myndighet til å gjøre det.
Uautorisert tilgang utføres som regel ved å bruke andres navn, endre fysiske adresser til enheter, bruke informasjon som gjenstår etter å ha løst problemer, endre programvare og informasjon, stjele lagringsmedier, installere opptaksutstyr.
For å lykkes med å beskytte informasjonen din, må brukeren ha en helt klar forståelse av mulige måter for uautorisert tilgang. De viktigste typiske måtene å innhente uautorisert informasjon på:
· tyveri av lagringsmedier og produksjonsavfall;
· kopiere lagringsmedier ved å overvinne sikkerhetstiltak;
· forkledning som en registrert bruker;
· hoax (forkledning som systemforespørsler);
· utnytte manglene ved operativsystemer og programmeringsspråk;
· bruk av programvarebokmerker og programvareblokker av typen "trojansk hest";
· avskjæring av elektronisk stråling;
· avlytting av akustisk stråling;
· ekstern fotografering;
· bruk av lytteapparater;
· ondsinnet deaktivering av beskyttelsesmekanismer, etc.
For å beskytte informasjon mot uautorisert tilgang, brukes følgende:
1) organisatoriske arrangementer;
2) tekniske midler;
3) programvare;
4) kryptering.
Organisasjonsarrangementer inkluderer:
· tilgangsmodus;
· lagring av media og enheter i en safe (disketter, skjerm, tastatur, etc.);
· begrense personers tilgang til datarom mv.
Tekniske midler inkluderer:
· filtre, skjermer for utstyr;
· tast for å låse tastaturet;
· autentiseringsenheter – for lesing av fingeravtrykk, håndform, iris, skrivehastighet og -teknikker, etc.;
· elektroniske nøkler på mikrokretser, etc.
Programvareverktøy inkluderer:
· passordtilgang – angi brukertillatelser;
· låse skjermen og tastaturet ved å bruke en tastekombinasjon i Diskreet-verktøyet fra Norton Utilite-pakken;
· bruk av BIOS-passordbeskyttelsesverktøy - på selve BIOS og på PC-en som helhet, etc.
Kryptering er transformasjon (koding) av åpen informasjon til kryptert informasjon som er utilgjengelig for utenforstående. Metoder for kryptering og dekryptering av meldinger er studert av vitenskapen om kryptologi, hvis historie går tilbake rundt fire tusen år.
2.5. Beskyttelse av informasjon i trådløse nettverk
Det utrolig raske tempoet for implementering av trådløse løsninger i moderne nettverk får oss til å tenke på påliteligheten til databeskyttelse.
Selve prinsippet for trådløs dataoverføring inkluderer muligheten for uautoriserte tilkoblinger til tilgangspunkter.
En like farlig trussel er muligheten for utstyrstyveri. Hvis sikkerhetspolicyen for trådløst nettverk er basert på MAC-adresser, kan et nettverkskort eller tilgangspunkt stjålet av en angriper åpne tilgang til nettverket.
Ofte utføres uautorisert tilkobling av tilgangspunkter til et LAN av bedriftsansatte selv, som ikke tenker på beskyttelse.
Slike problemer må behandles omfattende. Organisatoriske tiltak velges ut fra driftsforholdene til hvert enkelt nettverk. Når det gjelder tekniske tiltak, oppnås svært gode resultater ved å bruke obligatorisk gjensidig autentisering av enheter og innføre aktive kontroller.
I 2001 dukket de første implementeringene av drivere og programmer opp som kunne takle WEP-kryptering. Den mest vellykkede er PreShared Key. Men det er bare bra hvis det er pålitelig kryptering og regelmessig utskifting av passord av høy kvalitet (fig. 1).
Figur 1 - Algoritme for å analysere krypterte data
Moderne beskyttelseskrav
Autentisering
For tiden, i forskjellig nettverksutstyr, inkludert trådløse enheter, er en mer moderne autentiseringsmetode mye brukt, som er definert i 802.1x-standarden - inntil gjensidig verifisering er utført, kan brukeren verken motta eller overføre data.
En rekke utviklere bruker protokollene EAP-TLS og PEAP for autentisering i sine enheter.Cisco Systems tilbyr følgende protokoller for sine trådløse nettverk, i tillegg til de som er nevnt: EAP-TLS, PEAR, LEAP, EAP-FAST.
Alle moderne autentiseringsmetoder krever støtte for dynamiske nøkler.
Den største ulempen med LEAP og EAP-FAST er at disse protokollene støttes hovedsakelig i Cisco Systems-utstyr (fig. 2).
Figur 2 - 802.11x-pakkestruktur ved bruk av TKIP-PPK, MIC og WEP-kryptering.
Kryptering og integritet
Basert på Cisco Systems 802.11i-anbefalinger er TCIP (Temporal Integrity Protocol)-protokollen implementert, som sikrer endring av PPK-krypteringsnøkkelen (Per Packet Keying) i hver pakke og overvåker integriteten til MIC-meldinger (Message Integrity Check).
En annen lovende kryptering og integritetsprotokoll er AES (Advanced Encryption Standard). Den har bedre kryptografisk styrke sammenlignet med DES og GOST 28147-89. Det gir både kryptering og integritet.
Merk at algoritmen som brukes i den (Rijndael) ikke krever store ressurser verken under implementering eller drift, noe som er veldig viktig for å redusere dataforsinkelse og prosessorbelastning.
Sikkerhetsstandarden for trådløse lokalnettverk er 802.11i.
Wi-Fi Protected Access (WPA)-standarden er et sett med regler som sikrer implementering av databeskyttelse i 802.11x-nettverk. Siden august 2003 har samsvar med WPA-standarder vært et obligatorisk krav for utstyr sertifisert som Wi-Fi-sertifisert.
WPA-spesifikasjonen inkluderer en modifisert TKOP-PPK-protokoll. Kryptering utføres ved hjelp av en kombinasjon av flere nøkler - de nåværende og påfølgende. I dette tilfellet økes lengden på IV til 48 biter. Dette gjør det mulig å iverksette ytterligere tiltak for å beskytte informasjon, for eksempel for å skjerpe kravene til re-assosiasjoner og re-autentisering.
Spesifikasjonene inkluderer støtte for 802.1x/EAP, delt nøkkelautentisering og selvfølgelig nøkkeladministrasjon.
Tabell 3 - Metoder for implementering av sikkerhetspolicy
|
Indeks | ||||
|
Støtte for moderne OS | ||||
|
Programvarekompleksitet og ressursintensitet for autentisering | ||||
|
Vanskeligheter med kontroll | ||||
|
Enkel pålogging (enkeltpålogging på Windows) | ||||
|
Dynamiske nøkler | ||||
|
Engangspassord | ||||
Fortsettelse av tabell 3
Forutsatt at moderne utstyr og programvare brukes, er det nå fullt mulig å bygge et sikkert og angrepssikkert trådløst nettverk basert på 802.11x-seriens standarder.
Nesten alltid er et trådløst nettverk koblet til et kablet, og dette, i tillegg til behovet for å beskytte trådløse kanaler, er det nødvendig å gi beskyttelse i kablede nettverk. Ellers vil nettverket ha fragmentert sikkerhet, som i hovedsak er en sikkerhetsrisiko. Det anbefales å bruke utstyr som har et Wi-Fi-sertifisert sertifikat, det vil si bekrefter samsvar med WPA.
Vi må implementere 802.11x/EAP/TKIP/MIC og dynamisk nøkkeladministrasjon. I tilfelle av et blandet nettverk, bør VLAN brukes; Hvis det er eksterne antenner, brukes VPN virtuell privat nettverksteknologi.
Det er nødvendig å kombinere både protokoll- og programvarebeskyttelsesmetoder, så vel som administrative.
Vitnemål, kurs, essays, tester...
Utvikling av teknologi for å beskytte informasjon i trådløse nettverk
Type arbeid: Diplomfag: ProgrammeringOriginalt verk
Utdrag fra jobb
Institutt for utdanning, vitenskap og ungdomspolitikk i Voronezh-regionens statlige utdanningsinstitusjon for videregående skole yrkesopplæring Voronezh-regionen
"Voronezh College of Construction Technologies"
(GOBU SPO VO "VTST")
Vedlikehold av datautstyr og datanettverk DIPLOMAPROSJEKT Utvikling av teknologi for informasjonssikkerhetsmidler for trådløse nettverk Konsulent på organisasjons- og
økonomisk del S. N. Mukhina Standardkontroll _ L. I. Korotkikh Head N. A. Merkulova Utviklet av _ M. A. Sukhanov Voronezh 2014
1. Trusselanalyse og trådløs nettverkssikkerhet
1.1 Hovedtrusler fra trådløse nettverk
1.3 Teknologier for å beskytte informasjon i trådløse nettverk
2.1 Sette opp WPA-programmet
2.2 Trafikkkryptering
3. Organisatorisk og økonomisk del
4. Helse og sikkerhet på arbeidsplassen
4.1 Elektrisk sikkerhet ved drift av teknisk utstyr
4.2 Lokalekrav
4.3 Tiltak for slokkeutstyr
Konklusjon
Liste over kilder som er brukt
Liste over forkortelser
Vedlegg Sammendrag Dette oppgaveprosjektet involverte utvikling av informasjonssikkerhetsteknologi for trådløse nettverk, som kan brukes til å øke beskyttelsen av brukerens datamaskin, bedriftsnettverk og små kontorer.
I løpet av diplomprosjektet ble det gjennomført en analyse av informasjonssikkerhetsteknologi for trådløse nettverk, samt en analyse av programvareprodukter som gjør det mulig å øke beskyttelsen av trådløse nettverk mot trusler.
Som et resultat av prosjektet fikk vi erfaring med å konfigurere programvareprodukter som gjør det mulig å maksimalt beskytte et trådløst nettverk mot vanlige trusler.
Diplomprosjektet består av fire seksjoner, inneholder tjuefire figurer, en tabell.
sikkerhetsinformasjonsnettverk Introduksjon Trådløse nettverk brukes allerede i nesten alle aktivitetsområder. Den utbredte bruken av trådløse nettverk skyldes det faktum at de kan brukes ikke bare på personlige datamaskiner, men også på telefoner, nettbrett og bærbare datamaskiner på grunn av deres bekvemmelighet og relativt lave kostnader. Trådløse nettverk skal oppfylle en rekke krav til kvalitet, hastighet, rekkevidde og sikkerhet, hvor sikkerhet ofte er den viktigste faktoren.
Relevansen av å sikre sikkerheten til et trådløst nettverk skyldes det faktum at mens i kablede nettverk en angriper først må få fysisk tilgang til kabelsystemet eller sluttenheter, så er det i trådløse nettverk en konvensjonell mottaker installert innenfor nettverkets rekkevidde tilstrekkelig for å få tilgang.
Til tross for forskjellene i kommunikasjonsimplementering, er tilnærmingen til sikkerhet for trådløse nettverk og deres kablede motparter identisk. Men når man implementerer informasjonssikkerhetsmetoder i trådløse nettverk, vies mer oppmerksomhet til kravene for å sikre konfidensialitet og integritet til overførte data, og for å verifisere ektheten til trådløse klienter og tilgangspunkter.
Formålet med forskningen er midlene for å beskytte informasjon om trådløse nettverk. Temaet for forskningen er teknologien for å beskytte informasjon om trådløse nettverk. Målet med diplomprosjektet er å forbedre kvaliteten på å beskytte informasjon om trådløse nettverk. For å oppnå dette målet ble følgende oppgaver løst:
typer trusler og deres negativ påvirkning om funksjonen til trådløse nettverk;
analysert programvareprodukter, beskyttelse av informasjon om trådløse nettverk;
teknologi for å beskytte informasjon om trådløst nettverk er utviklet;
Det praktiske fokuset for det utviklede oppgaveprosjektet er at som et resultat av anvendelsen av dette oppgaveprosjektet, oppnås beskyttelse av trådløs nettverksinformasjon fra uautoriserte tilkoblinger, stabil internettforbindelseshastighet og kontroll av uautorisert trafikkforbruk.
1. Analyse av trusler og sikkerhet i et trådløst nettverk Prinsippet for trådløs dataoverføring inkluderer muligheten for uautoriserte tilkoblinger til aksesspunkter. Når du utvikler et bedriftsnettverk, må administratorer først og fremst sørge for ikke bare kommunikasjonsdekning av høy kvalitet av kontorområdet, men også sørge for sikkerhetstiltak, siden du kan koble til nettverket fra en bil som er parkert på gaten.
En like farlig trussel mot trådløse nettverk er muligheten for utstyrstyveri: ruter, antenne, adapter. Hvis sikkerhetspolicyen for det trådløse nettverket er basert på MAC-adresser, kan et nettverkskort eller en ruter stjålet av en angriper åpne tilgang til det trådløse nettverket.
1.1 Hovedtrusler fra trådløse nettverk Trådløse teknologier, som opererer uten de fysiske og logiske begrensningene til deres kablede motparter, utsetter nettverksinfrastruktur og brukere for betydelige trusler. De vanligste truslene er følgende:
Fremmede. "Strangers" er enheter som gir uautorisert tilgang til et trådløst nettverk, ofte utenom beskyttelsesmekanismene definert av bedriftens sikkerhetspolicy. Oftest er dette uautoriserte tilgangspunkter. Statistikk viser at trusselen utenforstående er ansvarlig for flertallet av hacking av trådløse nettverk. Rollen til en fremmed kan være en hjemmeruter med Wi-Fi-støtte, et Soft AP-programvaretilgangspunkt, en bærbar datamaskin med både kablet og trådløst grensesnitt aktivert, en skanner, en projektor, etc.
Ufiksert kommunikasjon - trådløse enheter kan endre nettverkstilkoblingspunkter under drift. For eksempel kan "tilfeldige assosiasjoner" oppstå når en bærbar datamaskin med Windows XP (som er ganske tillitsfull for alle trådløse nettverk) eller ganske enkelt en feilkonfigurert trådløs klient automatisk tilknytter og kobler brukeren til det nærmeste trådløse nettverket. Denne mekanismen lar angripere "slå på" en intetanende bruker for påfølgende sårbarhetsskanning.
MITM-angrep (engelsk mann i midten, "mann i midten") er et begrep som brukes i kryptografi og refererer til en situasjon der en kryptoanalytiker (angriper) er i stand til å lese og modifisere meldingene som utveksles mellom korrespondenter, og ingen av sistnevnte kan ikke gjette sin tilstedeværelse i kanalen. Et MITM-angrep er en metode for å kompromittere en kommunikasjonskanal der en angriper, etter å ha koblet seg til en kanal mellom motparter, aktivt forstyrrer overføringsprotokollen ved å slette, forvrenge informasjon eller påtvinge falsk informasjon. En mann i midten-angrepet begynner vanligvis med å avlytte en kommunikasjonskanal og ender med et forsøk fra en kryptoanalytiker på å erstatte en avlyttet melding, trekke ut nyttig informasjon fra den og omdirigere den til en ekstern ressurs.
Eksempel: Objekt A sender noe informasjon til objekt B. Objekt C har kunnskap om strukturen og egenskapene til dataoverføringsmetoden som brukes og planlegger å fange opp denne informasjonen. For å utføre et angrep, "viser" C seg for objektet, A som objekt B, og objekt B som objekt A. Dermed sender objekt A, som sender informasjon til objekt B, ubevisst til objekt C. I sin tur vil objekt C, har mottatt informasjonen og forplikter Noen handlinger i den videresender data til det virkelige objektet B. Objekt B mener at informasjonen ble mottatt direkte fra A.
Denial of Service – Et tjenestenektangrep kan oppnås på flere måter. Hvis en hacker klarer å etablere en tilkobling til et trådløst nettverk, kan hans ondsinnede handlinger forårsake en rekke alvorlige konsekvenser, for eksempel å sende svar på Address Resolution Protocol (ARP)-forespørsler om å endre ARP-tabellene til nettverksenheter for å forstyrre nettverksrutingen eller injisere en uautorisert DHCP-server (Dynamic Host Configuration Protocol) for å utstede ugyldige adresser og nettverksmasker. Hvis en hacker finner ut detaljene i de trådløse nettverksinnstillingene, kan han koble brukere til tilgangspunktet sitt på nytt, og sistnevnte vil bli avskåret fra nettverksressurser som var tilgjengelige gjennom det "legitime" tilgangspunktet.
Avlytting Anonyme skadedyr kan fange opp radiosignaler og dekryptere overførte data. Utstyret som brukes til å avlytte et nettverk er kanskje ikke mer sofistikert enn det som brukes for rutinemessig tilgang til det nettverket. For å avskjære en overføring må en angriper være i nærheten av senderen. Avlytting av denne typen er nesten umulig å registrere, og enda vanskeligere å forhindre. Bruk av antenner og forsterkere gir angriperen mulighet til å være i betydelig avstand fra målet under avlyttingsprosessen. Avlytting lar en samle informasjon på et nettverk som senere er ment å bli angrepet. Angriperens primære mål er å forstå hvem som bruker nettverket, hvilke data som er tilgjengelige på det, hvilke muligheter nettverksutstyret har, i hvilke øyeblikk det blir utnyttet mest og minst intensivt, og hva territoriet til nettverksdistribusjonen er. .
1.2 Sikkerhetsverktøy for trådløst nettverk
Følgende programvare kan brukes til å beskytte mot de vanligste trådløse truslene:
WPA (Wi-Fi Protected Access) er et oppdatert sertifiseringsprogram for trådløse enheter. WPA-teknologien består av flere komponenter:
802.1x-protokoll – Universal Authentication, Authorization, and Accounting (AAA)-protokoll
EAP-protokoll -- Extensible Authentication Protocol
TKIP-protokoll - Temporal Key Integrity Protocol, et annet oversettelsesalternativ - Temporal Key Integrity Protocol
MIC -- kryptografisk pakkeintegritetssjekk (Message Integrity Code)
RADIUS-protokoll
TKIP-protokollen er ansvarlig for datakryptering i WPA, som selv om den bruker samme krypteringsalgoritme - RC4 - som i WEP, men i motsetning til sistnevnte, bruker dynamiske nøkler (det vil si at nøklene endres ofte). Den bruker en lengre initialiseringsvektor og bruker en kryptografisk kontrollsum (MIC) for å bekrefte integriteten til pakker (sistnevnte er en funksjon av kilde- og destinasjonsadressene og datafeltet).
RADIUS-protokollen er utformet for å fungere sammen med en autentiseringsserver, som vanligvis er en RADIUS-server. I dette tilfellet fungerer trådløse tilgangspunkter i bedriftsmodus.
Hvis det ikke er noen RADIUS-server på nettverket, utføres rollen til autentiseringsserveren av selve tilgangspunktet - den såkalte modusen
WPA-PSK (forhåndsdelt nøkkel, delt nøkkel). I denne modusen er en felles nøkkel forhåndsregistrert i innstillingene til alle tilgangspunktene. Det er også registrert på klient trådløse enheterÅh. Denne beskyttelsesmetoden er også ganske sikker (i forhold til WEP), men er svært upraktisk fra et ledelsessynspunkt. PSK-nøkkelen må være registrert på alle trådløse enheter; brukere av trådløse enheter kan se den. Hvis du trenger å blokkere tilgang til et nettverk for en klient, må du registrere en ny PSK på alle nettverksenheter, og så videre. Med andre ord er WPA-PSK-modus egnet for hjemmenettverk og kanskje lite kontor, men ikke noe mer.
Denne serien med artikler vil se på hvordan WPA fungerer sammen med en ekstern RADIUS-server. Men før vi kommer til det, la oss se litt nærmere på mekanismene til WPA. WPA-teknologi var et midlertidig tiltak inntil 802.11i-standarden ble tatt i bruk. Noen produsenter, før den offisielle vedtakelsen av denne standarden, introduserte WPA2-teknologi, som bruker teknologier fra 802.11i i varierende grad. Som for eksempel å bruke CCMP-protokollen (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), i stedet for TKIP, brukes den avanserte krypteringsstandarden AES (Advanced Encryption Standard) som en krypteringsalgoritme. Og 802.1x-protokollen brukes fortsatt til nøkkeladministrasjon og distribusjon.
Som nevnt ovenfor kan 802.1x-protokollen utføre flere funksjoner. I dette tilfellet er vi interessert i brukerautentiseringsfunksjoner og krypteringsnøkkeldistribusjon. Det bør bemerkes at autentisering skjer "på portnivå" - det vil si at inntil brukeren er autentisert, har han lov til å sende/motta pakker relatert kun til autentiseringsprosessen hans (legitimasjon) og ingenting mer. Og først etter vellykket autentisering vil enhetsporten (enten det er et tilgangspunkt eller en smartsvitsj) åpnes og brukeren vil ha tilgang til nettverksressurser.
Autentiseringsfunksjoner er tilordnet EAP-protokollen, som i seg selv bare er et rammeverk for autentiseringsmetoder. Det fine med protokollen er at den er veldig enkel å implementere på autentiseringen (tilgangspunktet), siden den ikke trenger å kjenne til noen spesifikke funksjoner ved de ulike autentiseringsmetodene. Autentiseringsenheten fungerer bare som en overføringskobling mellom klienten og autentiseringsserveren. Det er ganske mange autentiseringsmetoder:
EAP-SIM, EAP-AKA -- brukes i GSM-mobilnettverk
LEAP - proprioretory metode fra Cisco-systemer
EAP-MD5 -- enkleste metoden, lik CHAP (ikke vedvarende)
EAP-MSCHAP V2 -- autentiseringsmetode basert på brukerpålogging/passord i MS-nettverk
EAP-TLS -- autentisering basert på digitale sertifikater
EAP-SecureID -- metode basert på engangspassord
I tillegg til ovenstående bør følgende to metoder noteres, EAP-TTLS og EAP-PEAP. I motsetning til de forrige, oppretter disse to metodene først en TLS-tunnel mellom klienten og autentiseringsserveren før de autentiserer brukeren direkte. Og allerede inne i denne tunnelen utføres selve autentiseringen ved å bruke enten standard EAP (MD5, TLS), eller gamle ikke-EAP-metoder (PAP, CHAP, MS-CHAP, MS-CHAP v2), sistnevnte fungerer bare med EAP- TTLS (PEAP brukes kun i forbindelse med EAP-metoder). Pre-tunneling forbedrer autentiseringssikkerheten ved å beskytte mot man-in-midt, økthihacking eller ordbokangrep.
PPP-protokollen dukket opp der fordi EAP opprinnelig var planlagt brukt over PPP-tunneler. Men siden bruk av denne protokollen kun for autentisering over et lokalt nettverk er unødvendig redundans, pakkes EAP-meldinger i "EAP over LAN" (EAPOL)-pakker, som brukes til å utveksle informasjon mellom klienten og autentiseringsenheten (tilgangspunktet).
Autentiseringsskjemaet består av tre komponenter:
Supplicant - programvare som kjører på klientmaskin prøver å koble til nettverket
Autentisering -- tilgangsnode, autentisering (trådløst tilgangspunkt eller kablet svitsj som støtter 802.1x-protokollen)
Autentiseringsserver -- autentiseringsserver (vanligvis en RADIUS-server).
Autentiseringsprosessen består av følgende stadier:
Klienten kan sende en autentiseringsforespørsel (EAP-startmelding) til tilgangspunktet
Tilgangspunktet (Authenticator) svarer ved å sende klienten en klientidentifikasjonsforespørsel (EAP-forespørsel/identitetsmelding). Autentiseringsenheten kan sende en EAP-forespørsel på egen hånd hvis den ser at noen av portene har blitt aktive.
Klienten svarer ved å sende en EAP-svarpakke med nødvendige data, som tilgangspunktet (autentiseringsmaskinen) omdirigerer mot Radius-serveren (autentiseringsserveren).
Autentiseringsserveren sender en utfordringspakke (en forespørsel om informasjon om klientens autentisitet) til autentiseringsenheten (tilgangspunktet). Autentiseringsenheten videresender den til klienten.
Deretter skjer prosessen med gjensidig identifikasjon av serveren og klienten. Antall stadier av pakkevideresending frem og tilbake varierer avhengig av EAP-metoden, men for trådløse nettverk er det kun «sterk» autentisering med gjensidig autentisering av klienten og serveren (EAP-TLS, EAP-TTLS, EAP-PEAP) og pre- kryptering av kommunikasjonskanalen er akseptabelt.
På neste trinn tillater autentiseringsserveren, etter å ha mottatt den nødvendige informasjonen fra klienten, (aksepterer) eller nekter (avvis) tilgang, og videresender denne meldingen til autentiseringsenheten. Autentiseringsenheten (tilgangspunktet) åpner porten for leverandøren hvis et positivt svar (Godta) mottas fra RADIUS-serveren.
Porten åpnes, autentiseringsenheten sender en suksessmelding til klienten, og klienten får tilgang til nettverket.
Etter at klienten er frakoblet, går porten på tilgangspunktet tilbake til "lukket" tilstand.
EAPOL-pakker brukes til kommunikasjon mellom klienten (supplikant) og tilgangspunktet (autentisering). RADIUS-protokollen brukes til å utveksle informasjon mellom autentiseringsenheten (tilgangspunktet) og RADIUS-serveren (autentiseringsserveren). Når informasjon overføres mellom klienten og autentiseringsserveren, pakkes EAP-pakker om fra ett format til et annet ved autentiseringsenheten.
Innledende autentisering utføres på grunnlag av felles data som både klienten og autentiseringsserveren kjenner til (som pålogging/passord, sertifikat osv.) - på dette stadiet genereres hovednøkkelen. Ved å bruke hovednøkkelen genererer autentiseringsserveren og klienten en parvis hovednøkkel, som sendes til autentiseringsenheten av autentiseringsserveren. Og basert på Pairwise Master Key, genereres alle andre dynamiske nøkler, som lukker den overførte trafikken. Det skal bemerkes at selve Pairwise Master Key også er gjenstand for dynamisk endring.
WEP (Wired Equivalent Privacy) er en gammel metode for nettverkssikkerhet. Den er fortsatt tilgjengelig for å støtte eldre enheter, men bruken anbefales ikke. Aktivering av WEP konfigurerer nettverkssikkerhetsnøkkelen. Denne nøkkelen krypterer informasjon som en datamaskin overfører over et nettverk til andre datamaskiner. Imidlertid er WEP-sikkerhet relativt lett å bryte.
Det finnes to typer WEP-sikkerhetsmetoder: autentisering av åpent system og autentisering med delt nøkkel. Ingen av dem gir et høyt sikkerhetsnivå, men den delte nøkkelautentiseringsmetoden er mindre sikker. For de fleste datamaskiner og trådløse tilgangspunkter er den delte nøkkelautentiseringsnøkkelen den samme som den statiske WEP-krypteringsnøkkelen som brukes til å sikre nettverket. En angriper som avskjærer vellykkede meldinger om autentisering av delt nøkkel kan bruke sniffingsverktøy for å finne autentiseringsnøkkelen for delt nøkkel og deretter den statiske WEP-krypteringsnøkkelen. Når en statisk WEP-krypteringsnøkkel er bestemt, kan en angriper få tak i full tilgang til nettverket. Av denne grunn dette Windows-versjon støtter ikke automatisk nettverkskonfigurasjon via WEP-delt nøkkelautentisering.
Bruker en pseudo-tilfeldig tallgenerator (RC4-algoritme) for å få nøkkelen, samt initialiseringsvektorer. Siden sistnevnte komponent ikke er kryptert, er det mulig for tredjeparter å gripe inn og gjenskape WEP-nøkkelen.
Analysen av trusler mot trådløse nettverk viste at de mest opprørte truslene er fremmede, ufiksert kommunikasjon, nektelse av tilgang og avlytting.
Anmeldelse programvare brukes til å beskytte informasjon på trådløse nettverk har vist at det er mest tilrådelig å bruke WPA-programmet. WPA-programmet er et oppdatert sertifiseringsprogram for trådløse enheter. WPA-programmet forbedrer datasikkerhet og tilgangskontroll til trådløse nettverk, og støtter kryptering i henhold til AES-standarden (Advanced Encryption Standard), som har en mer robust kryptografisk algoritme.
2. Teknologier for å beskytte informasjon i trådløse nettverk
2.1 Sette opp WPA-programmet
Muligheten til å konfigurere WPA i Windows XP vises med installasjonen av tjenesten Pakkeversjon 2 (eller de tilsvarende oppdateringene tilgjengelig på Microsofts nettsted).
Figur 1 – Egenskapsvindu for trådløs adapter
Service Pack 2 utvider funksjonaliteten og bekvemmeligheten til trådløse nettverksinnstillinger betraktelig. Selv om hovedmenyelementene ikke er endret, er nye lagt til.
Kryptering er konfigurert på en standard måte: Velg først ikonet for trådløs adapter, og klikk deretter på knappen Egenskaper.
Figur 2 - kategorien Trådløse nettverk Gå til fanen Trådløse nettverk og velg hvilket nettverk vi skal konfigurere (vanligvis er det bare ett). Klikk på Egenskaper.
Figur 3 - Egenskapsvindu I vinduet som vises, velg WPA-Ingen, dvs. WPA med forhåndsdefinerte nøkler (hvis du velger Kompatibel, vil vi aktivere WEP-krypteringskonfigurasjonsmodusen, som allerede er beskrevet ovenfor).
Figur 4-Egenskapsvindu Velg AES eller TKIP (hvis alle enheter på nettverket støtter AES, er det bedre å velge det) og skriv inn WPA-nøkkelen to ganger (den andre i bekreftelsesfeltet). Gjerne noe langt og vanskelig å hente.
Etter å ha klikket OK, kan WPA-krypteringsoppsettet også anses som fullført.
Avslutningsvis, noen få ord om veiviseren som dukket opp med Service Pack 2
Figur 5 - Trådløse nettverksinnstillinger.
I egenskapene til nettverkskortet velger du knappen Trådløse nettverk.
Figur 6-Adapteregenskaper I vinduet som vises, klikk på Sett opp et trådløst nettverk.
Figur 7-Wireless Network Wizard Her forteller de oss hvor vi er. Klikk Neste.
Figur 8-Veiviser for trådløst nettverk Velg Sett opp et trådløst nettverk. (Hvis du velger Legg til, kan du opprette profiler for andre datamaskiner på samme trådløse nettverk.)
Figur 10-Veiviser for trådløst nettverk I vinduet som vises, setter du nettverkets SSID, aktiver WPA-kryptering, hvis mulig, og velg nøkkelinntastingsmetoden. Du kan overlate generasjonen til operativsystemet eller angi tastene manuelt. Hvis den første er valgt, vil det dukke opp et vindu der du blir bedt om å angi den nødvendige nøkkelen (eller nøklene).
Figur 11-Vindu for valg av nettverksoppsettmetode. Deretter er det to måter å lagre innstillinger for trådløst nettverk på:
I en tekstfil, for påfølgende manuell inntasting på andre maskiner.
Lagre en profil på en USB-flash-stasjon for automatisk inntasting på andre maskiner med Windows XP med integrert Service Pack versjon 2.
Figur 12 - Lagre parametere til flash-minne Hvis lagringsmodus til Flash er valgt, vil du i neste vindu bli bedt om å sette inn Flash-medier og velge det i menyen.
Figur 13-Installasjon fullført Hvis manuell lagring av parametere ble valgt, etter å ha trykket på knappen skriv ut...
Figur 14-Konfigurerte nettverksparametere
...vil bli trukket tilbake tekstfil med de konfigurerte nettverksparametrene. Vær oppmerksom på at tilfeldige og lange (dvs. gode) nøkler genereres, men TKIP brukes som krypteringsalgoritme. AES-algoritmen kan senere aktiveres manuelt i innstillingene, som beskrevet ovenfor.
2.3 Trafikkkryptering Ethvert tilgangspunkt lar deg aktivere krypteringsmodus for trafikk som overføres over et trådløst nettverk. Kryptering av trafikk skjuler dataene til nettverksbrukere og gjør det svært vanskelig for angripere å dekryptere data som overføres over et kryptert nettverk. Det finnes flere krypteringsmetoder, hvorav de vanligste er WEP og, sikrere, WPA og WPA-2. WEP-krypteringsmetoden er ikke sterk nok etter moderne standarder, så moderne 802.11g-tilgangspunkter bruker allerede den forbedrede WPA-krypteringsmetoden. La oss se på å sette opp WPA-kryptering. Aktiver "WPA-PSK"-modusen i kontrollpanelet til tilgangspunktet (helst "WPA2-PSK"), noen ganger kan det være undermoduser som du må velge personlig eller forenklet, siden andre kanskje ikke fungerer på nettverket ditt uten en dedikert server. I WPA-modus må du velge krypteringsalgoritmen "AES" eller "TCIP" og angi krypteringsnøkkelen, som kan være alle symboler (det anbefales å bruke en nøkkel med maksimal lengde, symboler blandet med tall).
Figur 15-Konfigurere WPA-PSK-modus på tilgangspunktet Alle Wi-Fi-adaptere er konfigurert på samme måte. Nemlig, på hver datamaskin/bærbar PC, i egenskapene "Wireless Network Connection", velg "WPA-PSK" for autentisering og "AES" eller "TKIP" datakryptering, avhengig av krypteringen valgt ved tilgangspunktet.
Figur 16-Konfigurere nettverksadapteren i WPA-PSK-modus
Trinn 1 Åpne nettleseren, skriv inn ruterens IP-adresse (192.168.1.1 som standard) i adressefeltet og trykk Enter.
Figur 17-Nettleservindu Trinn 2 Skriv inn brukernavn og passord på innloggingssiden, standard brukernavn og passord er admin.
Figur 19-Vindu for oppsett av trådløst nettverk SSID (navn på trådløst nettverk): Angi et nytt navn for det trådløse nettverket Kanal: 1, 6 eller 11 er bedre enn Auto.
Merk av for Aktiver Trådløs ruter Radio" og "Aktiver SSID-kringkasting".
Merk: Etter å ha klikket på Lagre-knappen, vil meldingen "Endringer i innstillinger for trådløst nettverk trer i kraft etter at du har startet datamaskinen på nytt. Klikk her for å starte datamaskinen på nytt nå." Du trenger ikke å starte ruteren på nytt før du har fullført alle trådløse nettverksinnstillinger.
Trinn 5 Fra menyen til venstre velger du Trådløs -> Trådløs sikkerhet, på høyre side aktiverer du alternativet WPA - PSK / WPA 2-PSK.
Figur 20-WPA-PSK oppsett
Versjon: WPA - PSK eller WPA 2-PSK
Kryptering: TKIP eller AES
PSK-passord: Skriv inn passordet (lengden på forhåndsdelt nøkkel er fra 8 til 63 tegn.)
Trinn 7 Fra menyen til venstre velger du Systemverktøy -> Start på nytt. Start ruteren på nytt for at innstillingene skal tre i kraft.
Figur 21-Verktøy
3. Organisatorisk og økonomisk del. Kostnaden for adapteren ble valgt ved å sammenligne tre prislister for slike selskaper som SaNi, Ret og DNS-SHOP, prisene er vist i tabell 1
Navn på produkt | |||
Powerline nettverksadapter TP-Link TL-WPA2220KIT | |||
1870 RUB /nettsted, 5/. | Powerline nettverksadapter TP-Link TL-WPA2220KIT | ||
Tabell 1-Sammenligning av tre prislister Ved å analysere og sammenligne priser konkluderte jeg med at det er mest lønnsomt å kjøpe denne adapteren med WPA-støtte i PET-butikken, siden prisen var 1841 rubler.
4. Arbeidshelse og sikkerhet Generelle bestemmelser.
1. Arbeidssikkerhetsinstruksen er hoveddokumentet som fastsetter for arbeidstakere reglene for atferd på jobben og kravene til sikker utførelse av arbeidet.
2. Kunnskap om arbeidssikkerhetsinstruksjonene er obligatorisk for arbeidere i alle kategorier og ferdighetsgrupper, så vel som deres nærmeste ledere.
På hvert område må sikre ruter gjennom området til arbeidsstedet og evakueringsplaner i tilfelle brann og nødssituasjoner utvikles og kommuniseres til alt personell.
4. Enhver arbeidstaker er forpliktet:
overholde kravene i disse instruksjonene;
informer umiddelbart din nærmeste overordnede, og i hans fravær, din overordnede leder, om ulykken som har skjedd og om alle brudd på kravene i instruksjonene som er lagt merke til av ham, samt om funksjonsfeil i strukturer, utstyr og verneinnretninger;
husk personlig ansvar for manglende overholdelse av sikkerhetskrav;
sikre sikkerheten til verneutstyr, verktøy, enheter, brannslukningsutstyr og arbeidssikkerhetsdokumentasjon på din arbeidsplass.
DET ER FORBUDT å utføre ordre som er i strid med kravene i denne instruksen og "Interindustrielle regler for arbeidsbeskyttelse (sikkerhetsregler) under drift av elektriske installasjoner" POT R M-016−2001 (RD 153−34.0−03.150− 00).
Enhver datamaskin er en elektrisk enhet og utgjør en potensiell trussel. Derfor, når du arbeider med en datamaskin, er det nødvendig å overholde sikkerhetskravene.
Før du starter arbeidet bør du forsikre deg om at elektriske ledninger, brytere, stikkontakter som utstyret er koblet til nettverket med er i god stand, at datamaskinen er jordet og at den fungerer som den skal. Det er uakseptabelt å bruke lavkvalitets og utslitte komponenter i strømforsyningssystemet, så vel som deres erstatninger: stikkontakter, skjøteledninger, adaptere, tees. Det er uakseptabelt å modifisere stikkontakter uavhengig for å akseptere plugger som oppfyller andre standarder. Elektriske kontakter på stikkontakter bør ikke oppleve mekanisk stress forbundet med tilkobling av massive komponenter (adaptere, tees, etc.). Alle strømkabler og ledninger skal være plassert på baksiden av datamaskinen og eksterne enheter. Deres plassering i brukerens arbeidsområde er uakseptabelt.
Det er forbudt å utføre operasjoner knyttet til tilkobling, frakobling eller flytting av komponenter i et datasystem uten først å slå av strømmen. Datamaskinen bør ikke installeres i nærheten av elektriske varmeovner eller varmesystemer. Det er uakseptabelt å plassere fremmedlegemer på systemenheten, monitoren og eksterne enheter: bøker, papirark, servietter, støvdeksler. Dette resulterer i permanent eller midlertidig blokkering av ventilasjonsåpningene. Ikke legg fremmedlegemer inn i service- eller ventilasjonsåpningene til datasystemkomponenter.
Noen datamaskinkomponenter er i stand til å lagre høyspenning i lang tid etter strømforsyningen til systemenheten. Alle komponenter i systemenheten mottar strøm fra strømforsyningen. PC-strømforsyningen er en frittstående enhet plassert på toppen av systemenheten. Sikkerhetsforskrifter forbyr ikke å åpne systemenheten, for eksempel ved installasjon av ekstra interne enheter eller oppgradering av dem, men dette gjelder ikke strømforsyningen. Datamaskinens strømforsyning er en kilde til økt brannfare, så den kan bare åpnes og repareres i spesialiserte verksteder. Strømforsyningen har innebygget vifte og ventilasjonshull. På grunn av dette vil det uunngåelig samle seg støv i den, noe som kan forårsake kortslutning. Det anbefales med jevne mellomrom (en eller to ganger i året) å bruke en støvsuger for å fjerne støv fra strømforsyningen gjennom ventilasjonshullene uten å åpne systemenheten. Det er spesielt viktig å utføre denne operasjonen før hver transport eller vipping av systemenheten.
System med hygieniske krav. Å jobbe med en datamaskin over lengre tid kan føre til helseproblemer. Kortvarig arbeid med en datamaskin installert i grove brudd på hygienestandarder og regler fører til økt tretthet. De skadelige effektene av et datasystem på menneskekroppen er komplekse. Monitorparametere påvirker synsorganene. Utstyret på arbeidsplassen påvirker organene i muskel- og skjelettsystemet. Arten av arrangementet av utstyr i en datamaskinklasse og bruksmåten påvirker både den generelle psykofysiologiske tilstanden til kroppen og dens visuelle organer.
Systemkrav for video. Tidligere ble monitorer først og fremst sett på som en kilde til skadelig stråling, først og fremst påvirket øynene. I dag anses denne tilnærmingen som utilstrekkelig. I tillegg til skadelig elektromagnetisk stråling (som på moderne skjermer er redusert til et relativt sikkert nivå), må det tas hensyn til bildekvalitetsparametere, og de bestemmes ikke bare av skjermen, men også av videoadapteren, det vil si, hele videosystemet som helhet.
På arbeidsplassen må monitoren installeres på en slik måte at den utelukker muligheten for at kilder reflekteres fra skjermen mot brukeren. generell belysning lokaler.
Avstanden fra monitorskjermen til brukerens øyne bør være fra 50 til 70 cm Det er ikke nødvendig å prøve å flytte monitoren så langt som mulig fra øynene av frykt for skadelig stråling (basert på hverdagserfaring med TV), fordi synsvinkelen til de mest karakteristiske objektene er også viktig for øyet. Optimalt sett, å plassere skjermen i en avstand på 1,5 D fra brukerens øyne, der D er størrelsen på skjermen, målt diagonalt. Sammenlign denne anbefalingen med 3...5 D-verdien som anbefales for husholdnings-TV, og sammenlign størrelsen på tegnene på LCD-skjermen (det mest typiske objektet som krever konsentrasjon) med størrelsen på objekter som er typiske for TV (bilder av mennesker, bygninger, naturgjenstander). En for stor avstand fra øynene til monitoren fører til ytterligere belastning på synsorganene, påvirker overgangsvansker fra arbeid med monitor til bokarbeid, og manifesterer seg i for tidlig utvikling av langsynthet.
En viktig parameter er bildefrekvensen, som avhenger av egenskapene til skjermen, videoadapteren og programvareinnstillinger videosystemer. For å jobbe med tekster er minste tillatte bildefrekvens 72 Hz. For grafikkarbeid anbefales en bildefrekvens på 85 Hz eller høyere.
Arbeidsplasskrav. Kravene til arbeidsplassen inkluderer krav til skrivebord, sete (stol, lenestol), hviler for armer og ben. Til tross for sin tilsynelatende enkelhet, er det ekstremt vanskelig å sikre riktig plassering av datasystemelementer og riktig plassering av brukeren. En fullstendig løsning på problemet krever tilleggskostnader som kan sammenlignes med kostnadene for individuelle komponenter i et datasystem, derfor blir disse kravene ofte neglisjert i hverdagen og i produksjonen.
Monitoren skal installeres rett foran brukeren og skal ikke kreve rotasjon av hodet eller kroppen.
Skrivebordet og setet skal ha en slik høyde at brukerens øyehøyde er litt over midten av skjermen. Du bør se på skjermen fra topp til bunn, og ikke omvendt. Selv kortvarig arbeid med en skjerm installert for høyt fører til tretthet av cervicalcolumna.
Hvis det ved riktig plassering av monitoren i forhold til øyehøyde viser seg at brukerens føtter ikke kan hvile fritt på gulvet, bør det monteres en fotstøtte, helst en skråstilt. Hvis bena ikke har pålitelig støtte, vil dette sikkert føre til dårlig holdning og tretthet av ryggraden. Det er praktisk når datamøbler (skrivebord og arbeidsstol) har midler for høydejustering. I dette tilfellet er det lettere å oppnå den optimale posisjonen.
Tastaturet skal være plassert i en slik høyde at fingrene hviler fritt på det, uten spenning, og vinkelen mellom skulder og underarm er 100° - 110°. For arbeid anbefales det å bruke spesielle databord som har uttrekkbare hyller for tastaturet. På langt arbeid Bruk av tastatur kan føre til tretthet i håndleddsenene. En alvorlig yrkessykdom er kjent - karpaltunnelsyndrom, assosiert med feil håndposisjon på tastaturet. For å unngå overdreven belastning på hånden, er det tilrådelig å gi en arbeidsstol med armlener, hvis høyde, målt fra gulvet, sammenfaller med høyden på tastaturet.
Når du arbeider med musen, bør ikke hånden henge. Albuen eller i det minste håndleddet bør ha fast støtte. Hvis det er vanskelig å gi den nødvendige plasseringen av skrivebordet og stolen, anbefales det å bruke en musematte med en spesiell støtterull. Det er ofte tilfeller når monitoren, på jakt etter støtte for hånden (vanligvis den høyre), plasseres på siden av brukeren (henholdsvis til venstre) slik at han jobber halvt vendt og hviler albuen eller håndleddet av høyre hånd på bordet.
4.1 Krav til elektrisk sikkerhet Ved bruk av datateknologi og periferutstyr skal hver ansatt varsomt og nøye håndtere elektriske ledninger, instrumenter og utstyr og alltid huske at neglisjering av sikkerhetsregler truer både helse og menneskeliv.For å unngå elektrisk støt må du kjenne til og følge følgende regler for sikker bruk av elektrisitet:
1. Det er nødvendig å kontinuerlig overvåke på arbeidsplassen din den gode tilstanden til elektriske ledninger, brytere, stikkontakter som utstyret er koblet til nettverket med, og jording. Hvis det oppdages en feil, slå umiddelbart av strømmen til det elektriske utstyret og varsle administrasjonen. Fortsatt drift er kun mulig etter at feilen er utbedret.
2. For å unngå skade på ledningsisolasjon og kortslutning er følgende ikke tillatt:
a) henge noe på ledninger;
b) male over og bleke ledninger og ledninger;
c) legg ledninger og ledninger bak gass- og vannrør, bak radiatorer i varmesystemet;
d) trekke ut støpsel fra stikkontakten ved ledningen, må det påføres kraft på støpselet.
3. For å unngå elektrisk støt er det forbudt:
a) slår ofte datamaskinen av og på unødvendig;
b) berør skjermen og baksiden av datamaskinblokkene;
c) arbeid på datautstyr og periferutstyr med våte hender;
d) arbeid på datamaskiner og periferutstyr som har brudd på integriteten til dekselet, brudd på ledningsisolasjon, feil på indikasjon på strøm, med tegn til elektrisk spenning på kabinettet
e) plassere fremmedlegemer på datautstyr og periferutstyr.
4. Det er forbudt å kontrollere funksjonaliteten til elektrisk utstyr i rom som ikke er egnet for bruk med ledende gulv, fuktig, og som ikke lar tilgjengelige metalldeler jordes.
5. Reparasjon av elektrisk utstyr utføres kun av spesialistteknikere i samsvar med nødvendige tekniske krav.
6. Det er uakseptabelt å utføre reparasjoner på datamaskiner og periferutstyr mens de er under spenning.
7. For å unngå elektrisk støt, når du bruker elektriske apparater, må du ikke samtidig berøre noen rørledninger, varmeradiatorer eller metallkonstruksjoner koblet til bakken.
8. Vær spesielt forsiktig når du bruker strøm i fuktige områder.
9. Dersom en ledningsbrudd oppdages, må du umiddelbart informere administrasjonen om det og gjøre tiltak for å hindre at personer kommer i kontakt med den. Berøring av ledningen er livsfarlig.
10. Redningen til et offer i tilfelle elektrisk støt avhenger hovedsakelig av hastigheten på hans frigjøring fra effekten av elektrisk strøm.
I alle tilfeller av elektrisk støt til en person, kontakt lege umiddelbart. Før legen kommer, må du begynne å gi førstehjelp til offeret uten å kaste bort tid.
Det er nødvendig å umiddelbart begynne kunstig åndedrett, hvorav den mest effektive er metoden? munn til munn¦ eller? munn til nese¦, samt ekstern hjertemassasje.
Kunstig åndedrett utføres for den som er rammet av den elektriske strømmen til legen kommer.
4.2 Krav til lokalene Lokalene skal ha naturlig og kunstig belysning. Plassering av arbeidsstasjoner bak monitorer for voksne brukere i kjellere er ikke tillatt.
Arealet per arbeidsplass med datamaskin for voksne brukere skal være minst 6 m², og volumet skal være minst -20 m3.
Rom med datamaskiner skal være utstyrt med varme, klimaanlegg eller effektive til- og avtrekksventilasjonsanlegg.
For interiørdekorasjon av rom med datamaskiner, bør diffust reflekterende materialer med en refleksjonskoeffisient for taket på 0,7−0,8 brukes; for vegger -- 0,5−0,6; for gulvet - 0,3−0,5.
Gulvflaten i dataoperasjonsrom skal være jevn, uten jettegryter, sklisikker, lett å rengjøre og våt rengjøring, har antistatisk??? egenskaper.
Det bør være førstehjelpsskrin på rommet først. medisinsk behandling, karbondioksid brannslukningsapparat for slokking av brann.
4.3 Brannsikkerhetskrav Det er forbudt å ha brannfarlige stoffer på arbeidsplassen Følgende er forbudt i lokalene:
a) tenne bål;
b) slå på elektrisk utstyr hvis rommet lukter gass;
c) røyk;
d) tørke noe på varmeapparater;
e) stenge ventilasjonsåpninger i elektrisk utstyr Tennkilder er:
a) gnist fra utladning av statisk elektrisitet b) gnister fra elektrisk utstyr c) gnister fra støt og friksjon d) åpen flamme Hvis det oppstår brannfare eller brann, skal personell umiddelbart treffe nødvendige tiltak for å eliminere det, og samtidig varsle administrasjonen om brannen.
Lokaler med elektrisk utstyr skal utstyres med brannslukningsapparater av typen OU-2 eller OUB-3.
Konklusjon I dag har trådløse nettverk blitt utbredt, noe som fører til behovet for å utvikle teknologi for å beskytte informasjon i trådløse nettverk.
Som et resultat av forskningen utført i dette oppgaveprosjektet, kan følgende konklusjoner trekkes:
Trådløs dataoverføring inkluderer muligheten for uautorisert tilkobling til tilgangspunkter, ufiksert kommunikasjon, avlytting; for dette er det nødvendig å sørge for sikkerhetstiltak av høy kvalitet, siden du kan koble til nettverket fra en bil parkert på gaten.
En gjennomgang av programvaren viste at trådløse nettverk bruker spesialiserte programmer som WEP og WPA.
Det er mest tilrådelig å bruke WPA-programmet for å beskytte informasjon fra trådløse nettverk, siden WPA-programmet forbedrer datasikkerhet og tilgangskontroll til trådløse nettverk, og støtter kryptering i henhold til AES-standarden (Advanced Encryption Standard, en avansert krypteringsstandard), som har en sterkere kryptografisk algoritme.
Liste over kilder som er brukt Aknorsky D. Litt om trådløse nettverk // Datamaskinpris.- 2003. - Nr. 48.
Berlin A. N. Telekommunikasjonsnettverk og -enheter. //Internet University of Information Technologies - INTUIT.ru, BINOM. Kunnskapslaboratoriet, 2008. - 319 sider Informasjonsoverføringssystemer. Forelesningskurs. /S.V. Kunegin - M.: militær enhet 33 965, 1998, - 316 s. med syk.
DIY trådløst nettverk
Vishnevsky V.M., Lyakhov A.I., Portnoy S.L., Shakhnovich I.V. Bredbånd trådløse informasjonsoverføringsnettverk. - 2005. - 205 s.
Datagjenoppretting på et trådløst nettverk //iXBT URL: http://www.ixbt.com/storage/faq-flash-p0.shtml
Gultyaev A.K. Datagjenoppretting. 2. utg. - St. Petersburg: Peter, 2006. - 379 s.:
Zorin M., Pisarev Yu., Solovyov P. Trådløse nettverk: nåværende situasjon og prospekter. - Koble! // World of Communications. 1999. nr. 4. side. 104.
Zaidel I. En flash-stasjon bør leve lenge // R.LAB URL: http://rlab.ru/doc/long_live_flash.html
Zorin M., Pisarev Yu., Solovyov P. Radioutstyr i 2,4 GHz-området: utfordringer og muligheter // PCWeek/Russian Edition.1999.№20−21.pp.
...Christian Barnes, Tony Boates, Donald Lloyd, Erik Uhle, Jeffrey Poslans, David M. Zanjan, Neil O'Farrell., Beskyttelse mot hackere av trådløse nettverk. — Utgiver: IT Company, DMK press. - 2005. - 480 s.
Merritt Maxim, David Pollino., Trådløst nettverkssikkerhet. — 2004. — 288с Molta D., Foster-Webster A. Testing av utstyr for trådløse LAN av 802.11-standarden // Nettverk og kommunikasjonssystemer 1999. nr. 7. s.
Så du kjøpte trådløs adapter, koblet den til nettverket, sett opp en Internett-tilkobling - og du har full trådløs frihet. Nå trenger du ikke koble til en kabel for å få tilgang til nettverket, du trenger bare å være innenfor dekningsområdet til et trådløst nettverk - og dette er mye enklere og mer praktisk. Det er imidlertid enkelt og praktisk, ikke bare for deg. Tross alt, i motsetning til kablede nettverk, for å hacke trådløse nettverk, er det nok å være innenfor deres dekningsområde, som kan strekke seg utover bygninger.
Ikke tenk at du ikke har noe å frykte hvis du har installert et trådløst nettverk hjemme. Selvfølgelig er det lite sannsynlig at noen konfidensiell informasjon vil bli lagret på din hjemmedatamaskin (selv om dette kan være tilfellet), og det meste som en angriper kan stole på er ditt personlige bildearkiv og et utvalg av favorittmusikken din. Dette er imidlertid ikke hovedfaren ved å hacke trådløse hjemmenettverk. Vanligvis er hackere interessert i Internett-tilgangen din.
Hvis du betaler for Internett basert på trafikken som forbrukes, kan en slik uautorisert tilkobling føre til unødvendige utgifter. Fornøyde eiere ubegrensede tariffer De kan heller ikke føle seg rolige; selvfølgelig, hvis noen andre begynner å bruke Internett-tilgangen deres, vil de ikke lide økonomisk. Men samtidig er det en fare for at hastigheten på tilkoblingen din faller - dette gjelder spesielt hvis freebie-elskeren ikke er beskjeden og begynner å bruke peering gjennom kanalen din til det fulle.
Vel, det er ikke nødvendig å snakke om behovet for å beskytte trådløse nettverk i en bedrift - arbeidet til en moderne organisasjon er ofte så avhengig av IT-infrastrukturen at feil og brudd på beskyttelsen av lokale nettverk kan fullstendig ødelegge effektive aktiviteter.
Kryptering
Kryptering er en av de mest åpenbare måtene å sikre et trådløst nettverk på. I teorien er alt enkelt - for at en brukerenhet skal koble seg til et trådløst nettverk, må de bekrefte rettighetene sine på en eller annen måte ved hjelp av autentisering. For å beskytte informasjon på datanettverk er det derfor kun nødvendig å begrense tilgangen til nettverket ved å bruke passord eller andre autentiseringsmetoder.
Historisk sett var den første slike metoden for å beskytte trådløse nettverk WEP-kryptering. For en tid siden ga algoritmen ganske pålitelig beskyttelse for trådløse nettverk, men i 2001 utførte kryptoanalytikere flere studier som trakk oppmerksomhet til visse sårbarheter ved denne algoritmen, på grunn av at en forbindelse beskyttet av denne algoritmen kunne hackes i løpet av få minutter. Selv om denne krypteringen er bedre enn å overføre data over en direkte, ukryptert forbindelse, er den ikke egnet for å beskytte trådløse nettverk mot trådløse hackere. Til tross for dette er det fortsatt et stort antall trådløse nettverk som er beskyttet av denne spesielle algoritmen. Dette skyldes det faktum at utdatert utstyr ikke støtter moderne metoder for å beskytte informasjon på datanettverk. Til tross for implementeringsfeilene til en krypteringsmetode, er denne tilnærmingen for å beskytte informasjon i nettverk ganske effektiv. Derfor, etter WEP, dukket det opp en annen algoritme, blottet for ulempene til forgjengeren - WPA.
I tillegg til å eliminere feil i krypteringsalgoritmen, brukte denne sikkerhetsmetoden den nye Extended Authentication Protocol EAP, Temporary Key Integrity Protocol TKIP og MIC-meldingsintegritetskontrollmekanismen. Det ser ut til at dette imponerende settet med teknologier skulle gi et høyt beskyttelsesnivå for datanettverk. Men for ikke så lenge siden, i 2009, ble det presentert bevis på at enhver forbindelse som er beskyttet av denne protokollen kan hackes (og, med vellykkede kombinasjoner av innstillinger, tar det omtrent 1 minutt å bryte gjennom beskyttelsen av datanettverk). Imidlertid vil kryptering som en metode for å beskytte trådløse nettverk ikke gi opp sin posisjon. I 2004, lenge før WPA ble kompromittert, ble det utviklet en ny protokoll, WPA 2. Hovedforskjellen fra WPA er endringen fra den fundamentalt sårbare RC4-krypteringsmetoden til den mer robuste AES-algoritmen. Det er foreløpig ingen rapporter om at slik datanettverkssikkerhet kan bli kompromittert.
En alvorlig snublestein for full implementering av en så moderne og motstandsdyktig metode for å omgå beskyttelsen av trådløse nettverk fra trådløse nettverkshackere som WPA2 er støtten utenfra klientenheter. Det er ingen problemer hvis du distribuerer et nettverk fra bunnen av - alle moderne enheter utgitt etter 2006 støtter denne metoden for å beskytte informasjon på nettverk. Men hvis du har trådløse enheter som du ønsker å bruke på trådløse nettverk, og de ikke støtter WPA2, så ikke glem at kryptering ikke er den eneste effektive måten å beskytte datanettverk på.
Filtrering etter MAC-adresser
En ganske effektiv metode for å beskytte lokale nettverk er å filtrere tilgang etter MAC-adresser. MAC-adressen er et unikt nummer nettverksgrensesnitt(nettverkskort). Når du på forhånd kjenner MAC-adressene til pålitelige enheter, kan du konfigurere beskyttelse av trådløst nettverk. Men siden moderne nettverksutstyr kan endre fabrikkens MAC-adresse, kan det hende at denne metoden for å beskytte informasjon på nettverket ikke er effektiv. Tross alt, hvis en angriper på en eller annen måte får tilgang til en pålitelig enhet, kan han kopiere dens MAC-adresse og i fremtiden bruke den til å penetrere nettverket fra en hvilken som helst annen enhet (hvis den selvfølgelig støtter endring av MAC-adressen). Denne metoden kan imidlertid brukes i tillegg til andre, og dermed øke sikkerheten til det trådløse nettverket.
Skjuler SSID
For å hacke noe, må du se det eller i det minste vite om dets eksistens. Og hvis denne metoden ikke er egnet for å beskytte et lokalt nettverk (prøv å skjule ledningene), er dette en ganske god løsning for å beskytte trådløse nettverk. Faktum er at tilgangspunktet som standard konstant kringkaster sin SSID - identifikatoren for det trådløse nettverket. Det er denne identifikatoren som nettverkskortet til den bærbare datamaskinen eller kommunikatoren din merker når det vises en melding på den om at et nytt trådløst nettverk er oppdaget. Til tross for at det å avbryte SSID-oversettelse i prinsippet ikke gjør nettverksdeteksjon umulig, vil det være mye vanskeligere for en angriper å oppdage det og enda vanskeligere å koble seg til et slikt nettverk. Denne metoden for å beskytte informasjon på nettverk har imidlertid også visse ulemper: når du kobler nye enheter til et eksisterende trådløst nettverk, må du angi nettverksnavnet manuelt.
Generelt ble en slik metode for å beskytte informasjon som VPN ikke oppfunnet så mye for å beskytte trådløse nettverk, men for å organisere en sikker tilkobling til et eksternt lokalt nettverk via Internett. Denne teknologien fungerer imidlertid utmerket i trådløse nettverk og er flott for å beskytte lokale nettverk. I dette tilfellet kan det trådløse nettverket i seg selv være fullstendig blottet for annen beskyttelse, men det vil ikke være noen åpne ressurser i det - alle sårbare ressurser er plassert i et virtuelt nettverk, det eneste grensesnittet som kun er tilgjengelig via det trådløse nettverket. Moderne krypteringsalgoritmer sikrer høy styrke på slike forbindelser og pålitelig beskyttelse av informasjon i datanettverk.
Temaet beskyttelse av trådløse nettverk er ganske omfattende, men de generelle reglene for beskyttelse av informasjon i nettverk er stort sett de samme. Hvis du ønsker å få virkelig hack-resistent datanettverksbeskyttelse, er det bedre å kombinere flere beskyttelsesmetoder.
Kombinasjonen av et flerlags lokalt nettverksbeskyttelsessystem (det mest avanserte krypteringsalternativet, SSID-skjuling, MAC-adressefiltrering og dataoverføring via VPN) vil tillate deg å effektivt beskytte informasjon på datanettverk. Men i jakten på effektivitet, prøv å opprettholde en balanse mellom påliteligheten til beskyttelse og brukervennlighet - tross alt, jo flere forskjellige kontroller og hindringer i det trådløse nettverket ditt, jo vanskeligere vil det være å bruke. Derfor, når du tenker på å beskytte ditt lokale nettverk, tenk på sannsynligheten for et hackerangrep på nettverket ditt - ikke overbelast nettverket med urettmessige sikkerhetstiltak, dette kan påvirke ytelsen negativt og føre til tapt båndbredde.
Følgende programvare kan brukes til å beskytte mot de vanligste trådløse truslene:
WPA (Wi-Fi Protected Access) er et oppdatert sertifiseringsprogram for trådløse enheter. WPA-teknologien består av flere komponenter:
802.1x-protokoll – Universal Authentication, Authorization, and Accounting (AAA)-protokoll
EAP-protokoll -- Extensible Authentication Protocol
TKIP-protokoll - Temporal Key Integrity Protocol, et annet oversettelsesalternativ - Temporal Key Integrity Protocol
MIC -- kryptografisk pakkeintegritetssjekk (Message Integrity Code)
RADIUS-protokoll
TKIP-protokollen er ansvarlig for datakryptering i WPA, som selv om den bruker samme krypteringsalgoritme - RC4 - som i WEP, men i motsetning til sistnevnte, bruker dynamiske nøkler (det vil si at nøklene endres ofte). Den bruker en lengre initialiseringsvektor og bruker en kryptografisk kontrollsum (MIC) for å bekrefte integriteten til pakker (sistnevnte er en funksjon av kilde- og destinasjonsadressene og datafeltet).
RADIUS-protokollen er utformet for å fungere sammen med en autentiseringsserver, som vanligvis er en RADIUS-server. I dette tilfellet fungerer trådløse tilgangspunkter i bedriftsmodus.
Hvis det ikke er noen RADIUS-server på nettverket, utføres rollen til autentiseringsserveren av selve tilgangspunktet - den såkalte modusen
WPA-PSK (forhåndsdelt nøkkel, delt nøkkel). I denne modusen er en felles nøkkel forhåndsregistrert i innstillingene til alle tilgangspunktene. Den er også registrert på trådløse klientenheter. Denne beskyttelsesmetoden er også ganske sikker (i forhold til WEP), men er svært upraktisk fra et ledelsessynspunkt. PSK-nøkkelen må være registrert på alle trådløse enheter; brukere av trådløse enheter kan se den. Hvis du trenger å blokkere tilgang til et nettverk for en klient, må du registrere en ny PSK på alle nettverksenheter, og så videre. WPA-PSK-modus passer med andre ord for et hjemmenettverk og kanskje et lite kontor, men ikke noe mer.
Denne serien med artikler vil se på hvordan WPA fungerer sammen med en ekstern RADIUS-server. Men før vi kommer til det, la oss se litt nærmere på mekanismene til WPA. WPA-teknologi var et midlertidig tiltak inntil 802.11i-standarden ble tatt i bruk. Noen produsenter, før den offisielle vedtakelsen av denne standarden, introduserte WPA2-teknologi, som bruker teknologier fra 802.11i i varierende grad. Som for eksempel å bruke CCMP-protokollen (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), i stedet for TKIP, brukes den avanserte krypteringsstandarden AES (Advanced Encryption Standard) som en krypteringsalgoritme. Og 802.1x-protokollen brukes fortsatt til nøkkeladministrasjon og distribusjon.
Som nevnt ovenfor kan 802.1x-protokollen utføre flere funksjoner. I dette tilfellet er vi interessert i brukerautentiseringsfunksjoner og krypteringsnøkkeldistribusjon. Det bør bemerkes at autentisering skjer "på portnivå" - det vil si at inntil brukeren er autentisert, har han lov til å sende/motta pakker relatert kun til autentiseringsprosessen hans (legitimasjon) og ingenting mer. Og først etter vellykket autentisering vil enhetsporten (enten det er et tilgangspunkt eller en smartsvitsj) åpnes og brukeren vil ha tilgang til nettverksressurser.
Autentiseringsfunksjoner er tilordnet EAP-protokollen, som i seg selv bare er et rammeverk for autentiseringsmetoder. Det fine med protokollen er at den er veldig enkel å implementere på autentiseringen (tilgangspunktet), siden den ikke trenger å kjenne til noen spesifikke funksjoner ved de ulike autentiseringsmetodene. Autentiseringsenheten fungerer bare som en overføringskobling mellom klienten og autentiseringsserveren. Det er ganske mange autentiseringsmetoder:
EAP-SIM, EAP-AKA -- brukes i GSM-mobilnettverk
LEAP - proprioretory metode fra Cisco-systemer
EAP-MD5 er den enkleste metoden, lik CHAP (ikke robust)
EAP-MSCHAP V2 -- autentiseringsmetode basert på brukerpålogging/passord i MS-nettverk
EAP-TLS -- autentisering basert på digitale sertifikater
EAP-SecureID -- metode basert på engangspassord
I tillegg til ovenstående bør følgende to metoder noteres, EAP-TTLS og EAP-PEAP. I motsetning til de forrige, oppretter disse to metodene først en TLS-tunnel mellom klienten og autentiseringsserveren før de autentiserer brukeren direkte. Og allerede inne i denne tunnelen utføres selve autentiseringen ved å bruke enten standard EAP (MD5, TLS), eller gamle ikke-EAP-metoder (PAP, CHAP, MS-CHAP, MS-CHAP v2), sistnevnte fungerer bare med EAP- TTLS (PEAP brukes kun i forbindelse med EAP-metoder). Pre-tunneling forbedrer autentiseringssikkerheten ved å beskytte mot man-in-midt, økthihacking eller ordbokangrep.
PPP-protokollen dukket opp der fordi EAP opprinnelig var planlagt brukt over PPP-tunneler. Men siden bruk av denne protokollen kun for autentisering over et lokalt nettverk er unødvendig redundans, pakkes EAP-meldinger i "EAP over LAN" (EAPOL)-pakker, som brukes til å utveksle informasjon mellom klienten og autentiseringsenheten (tilgangspunktet).
Autentiseringsskjemaet består av tre komponenter:
Supplicant - programvare som kjører på en klientmaskin som prøver å koble seg til nettverket
Autentisering -- tilgangsnode, autentisering (trådløst tilgangspunkt eller kablet svitsj som støtter 802.1x-protokollen)
Autentiseringsserver -- autentiseringsserver (vanligvis en RADIUS-server).
Autentiseringsprosessen består av følgende stadier:
Klienten kan sende en autentiseringsforespørsel (EAP-startmelding) til tilgangspunktet
Tilgangspunktet (Authenticator) svarer ved å sende klienten en klientidentifikasjonsforespørsel (EAP-forespørsel/identitetsmelding). Autentiseringsenheten kan sende en EAP-forespørsel på egen hånd hvis den ser at noen av portene har blitt aktive.
Klienten svarer ved å sende en EAP-svarpakke med nødvendige data, som tilgangspunktet (autentiseringsmaskinen) omdirigerer mot Radius-serveren (autentiseringsserveren).
Autentiseringsserveren sender en utfordringspakke (en forespørsel om informasjon om klientens autentisitet) til autentiseringsenheten (tilgangspunktet). Autentiseringsenheten videresender den til klienten.
Deretter skjer prosessen med gjensidig identifikasjon av serveren og klienten. Antall stadier av pakkevideresending frem og tilbake varierer avhengig av EAP-metoden, men for trådløse nettverk er det kun «sterk» autentisering med gjensidig autentisering av klienten og serveren (EAP-TLS, EAP-TTLS, EAP-PEAP) og pre- kryptering av kommunikasjonskanalen er akseptabelt.
På neste trinn tillater autentiseringsserveren, etter å ha mottatt den nødvendige informasjonen fra klienten, (aksepterer) eller nekter (avvis) tilgang, og videresender denne meldingen til autentiseringsenheten. Autentiseringsenheten (tilgangspunktet) åpner porten for leverandøren hvis et positivt svar (Godta) mottas fra RADIUS-serveren.
Porten åpnes, autentiseringsenheten sender en suksessmelding til klienten, og klienten får tilgang til nettverket.
Etter at klienten er frakoblet, går porten på tilgangspunktet tilbake til "lukket" tilstand.
EAPOL-pakker brukes til kommunikasjon mellom klienten (supplikant) og tilgangspunktet (autentisering). RADIUS-protokollen brukes til å utveksle informasjon mellom autentiseringsenheten (tilgangspunktet) og RADIUS-serveren (autentiseringsserveren). Når informasjon overføres mellom klienten og autentiseringsserveren, pakkes EAP-pakker om fra ett format til et annet ved autentiseringsenheten.
Innledende autentisering utføres på grunnlag av vanlige data som både klienten og autentiseringsserveren kjenner til (som pålogging/passord, sertifikat osv.) - på dette stadiet genereres hovednøkkelen. Ved å bruke hovednøkkelen genererer autentiseringsserveren og klienten en parvis hovednøkkel, som sendes til autentiseringsenheten av autentiseringsserveren. Og basert på Pairwise Master Key, genereres alle andre dynamiske nøkler, som lukker den overførte trafikken. Det skal bemerkes at selve Pairwise Master Key også er gjenstand for dynamisk endring.
WEP (Wired Equivalent Privacy) er en gammel metode for nettverkssikkerhet. Den er fortsatt tilgjengelig for å støtte eldre enheter, men bruken anbefales ikke. Aktivering av WEP konfigurerer nettverkssikkerhetsnøkkelen. Denne nøkkelen krypterer informasjon som en datamaskin overfører over et nettverk til andre datamaskiner. Imidlertid er WEP-sikkerhet relativt lett å bryte.
Det finnes to typer WEP-sikkerhetsmetoder: autentisering av åpent system og autentisering med delt nøkkel. Ingen av dem gir et høyt sikkerhetsnivå, men den delte nøkkelautentiseringsmetoden er mindre sikker. For de fleste datamaskiner og trådløse tilgangspunkter er den delte nøkkelautentiseringsnøkkelen den samme som den statiske WEP-krypteringsnøkkelen som brukes til å sikre nettverket. En angriper som avskjærer vellykkede meldinger om autentisering av delt nøkkel kan bruke sniffingsverktøy for å finne autentiseringsnøkkelen for delt nøkkel og deretter den statiske WEP-krypteringsnøkkelen. Når en statisk WEP-krypteringsnøkkel er bestemt, kan en angriper få full tilgang til nettverket. Av denne grunn støtter ikke denne versjonen av Windows automatisk nettverkskonfigurasjon gjennom WEP-delt nøkkelautentisering.
Bruker en pseudo-tilfeldig tallgenerator (RC4-algoritme) for å få nøkkelen, samt initialiseringsvektorer. Siden sistnevnte komponent ikke er kryptert, er det mulig for tredjeparter å gripe inn og gjenskape WEP-nøkkelen.
Analysen av trusler mot trådløse nettverk viste at de mest opprørte truslene er fremmede, ufiksert kommunikasjon, nektelse av tilgang og avlytting.
En gjennomgang av programvareverktøy som brukes for å beskytte informasjon på trådløse nettverk viste at det er mest lurt å bruke WPA-programmet. WPA-programmet er et oppdatert sertifiseringsprogram for trådløse enheter. WPA-programmet forbedrer datasikkerhet og tilgangskontroll til trådløse nettverk, og støtter kryptering i henhold til AES-standarden (Advanced Encryption Standard), som har en mer robust kryptografisk algoritme.