itthon / Oktatás/ Absztrakt: "A vezeték nélküli hálózatok védelme. A különböző készségű hackerek elleni védekezés módjai

Absztrakt: „A vezeték nélküli hálózatok védelme. A különböző készségű hackerek elleni védekezés módjai

A vezeték nélküli megoldások mai hálózatainak hihetetlenül gyors üteme elgondolkodtat az adatvédelem megbízhatóságán.

A vezeték nélküli adatátvitel elve magában foglalja a hozzáférési pontokhoz való jogosulatlan kapcsolódás lehetőségét.

Ugyanilyen veszélyes fenyegetés az eszközlopás valószínűsége. Ha a vezeték nélküli hálózat biztonsági házirendje MAC -címeken alapul, akkor a támadó által ellopott hálózati kártya vagy hozzáférési pont megnyithatja a hálózathoz való hozzáférést.

Gyakran a hozzáférési pontok jogosulatlan csatlakoztatását LAN -hez maguk a vállalat alkalmazottai végzik, akik nem gondolnak a védelemre.

Az ilyen problémák megoldását átfogó módon kell kezelni. A szervezeti intézkedéseket az egyes hálózatok működési feltételei alapján választják ki. Ami a technikai intézkedéseket illeti, nagyon jó eredmény érhető el az eszközök kötelező kölcsönös hitelesítésének alkalmazásával és az aktív vezérlők bevezetésével.

2001 -ben az illesztőprogramok és programok első megvalósításai úgy tűntek, hogy megbirkóznak a WEP titkosítással. A legsikeresebb a PreShared Key. De ez csak megbízható titkosítással és jó minőségű jelszavak rendszeres cseréjével jó (1. ábra).

1. ábra - A titkosított adatok elemzésének algoritmusa

Modern biztonsági követelmények

Hitelesítés

Jelenleg a különféle hálózati berendezésekben, beleértve a vezeték nélküli eszközöket, szélesebb körben alkalmaznak egy korszerűbb hitelesítési módszert, amelyet a 802.1x szabvány határoz meg - a kölcsönös ellenőrzés elvégzéséig a felhasználó nem fogadhat és nem továbbíthat semmilyen adatot.

Számos fejlesztő az EAP-TLS és a PEAP protokollokat használja a hitelesítéshez készülékeiben, a Cisco Systems a vezeték nélküli hálózataihoz kínál, az említetteken kívül a következő protokollokat: EAP-TLS, PEAP, LEAP, EAP-FAST.

Minden modern hitelesítési módszer támogatja a dinamikus kulcsokat.

A LEAP és az EAP-FAST fő hátránya, hogy ezeket a protokollokat főként a Cisco Systems berendezései támogatják (2. ábra).

2. ábra - 802.11x csomagszerkezet TKIP -PPK, MIC és WEP titkosítással.

Titkosítás és integritás

A 802.11i ajánlásai alapján a Cisco Systems megvalósította a Temporal Integrity Protocol (TKIP) protokollt, amely biztosítja a PPK (Per Packet Keying) titkosítási kulcs változását minden csomagban, és ellenőrzi a MIC üzenetek integritását (Message Integrity Check).

Egy másik ígéretes titkosítási és integritási protokoll az AES (Advanced Encryption Standard). Jobb kriptográfiai szilárdsággal rendelkezik, mint a DES és a GOST 28147-89. Mind titkosítást, mind integritást biztosít.

Vegye figyelembe, hogy a benne használt algoritmus (Rijndael) nem igényel nagy erőforrásokat sem a megvalósításban, sem a működésben, ami nagyon fontos az adatok késleltetésének és a processzor terhelésének csökkentése szempontjából.

A vezeték nélküli LAN biztonsági szabványa 802.11i.

A Wi-Fi védett hozzáférés (WPA) szabvány olyan szabályrendszer, amely biztonságot nyújt a 802.11x hálózatoknak. 2003 augusztusa óta a WPA-megfelelés kötelező követelmény a Wi-Fi tanúsítvánnyal rendelkező berendezések esetében.

A WPA specifikáció módosított TKOP-PPK protokollt tartalmaz. A titkosítás több kulcs - az aktuális és a következő - kombinációjával történik. Ebben az esetben a IV hossza 48 bitre nő. Ez lehetővé teszi további intézkedések végrehajtását az információk védelme érdekében, például az újraegyesítésre, az újrahitelesítésre vonatkozó követelmények szigorítását.

A specifikációk tartalmazzák a 802.1x / EAP támogatását, a megosztott kulcsos hitelesítést és természetesen a kulcskezelést.

3. táblázat - A biztonságpolitika végrehajtásának módszerei

A 3. táblázat folytatása

A modern berendezések és szoftverek használatával ma már biztonságos és támadásálló vezeték nélküli hálózat kiépítése lehetséges a 802.11x sorozat szabványai alapján.

A vezeték nélküli hálózat szinte mindig vezetékes hálózathoz kapcsolódik, és ez a vezeték nélküli csatornák védelmének szükségessége mellett a vezetékes hálózatokban is védelmet nyújt. Ellenkező esetben a hálózat töredezett védelmet kap, ami valójában biztonsági fenyegetés. Célszerű olyan berendezést használni, amely rendelkezik Wi-Fi Certified tanúsítvánnyal, azaz a WPA-val való megfelelőség megerősítésével.

A 802.11x / EAP / TKIP / MIC és a dinamikus kulcskezelés megvalósítására van szükség. Vegyes hálózat esetén VLAN -okat kell használni; külső antennákkal VPN technológiát használnak.

Szükséges a protokoll- és szoftvervédelmi módszerek, valamint az adminisztratív módszerek kombinálása.

3. FEJEZET AZ INFORMÁCIÓ MŰSZAKI VÉDELME

A helyi és globális számítógépes hálózatok gyors fejlődésével összefüggésben széles körben kifejlesztették az intelligencia (ipari kémkedés) módszereit is, amelyek a helyi hálózatokban feldolgozott (továbbított, tárolt) információk elfogására irányulnak.

Bármely szervezet helyi hálózatába való behatolás csak akkor lehetséges, ha a rendszergazda nem megfelelően konfigurálja a helyi hálózat összes elemét. Illetékes környezet esetén a támadóknak olyan módszereket kell keresniük az információk megszerzésére, amelyek nem kapcsolódnak a helyi hálózatba való behatoláshoz. Ehhez olyan módszereket alkalmaznak, amelyek segítségével a helyi hálózat elemeinek hamis sugárzása és interferenciája (PEMIN) keresztül elkapják az információkat. Az egyes számítógépek védelmének módszertana jól kidolgozott, a szükséges szabályozási dokumentumokkal alátámasztva. Az információ védelme a helyi hálózat PEMIN csatornáin keresztül történő szivárgásától sokkal nehezebb feladat, mint az önállóan használt eszközök esetében.

A munkaállomások és az aktív hálózati berendezések elektromágneses sugárzás forrásai a helyi hálózatban. Ennek a berendezésnek az árnyékolása védelmet nyújt az információszivárgás ellen a hamis kibocsátások és hangszedők csatornáin keresztül. Az aktív LAN berendezések sugárzási szintjének csökkentése érdekében a berendezéseket és a kiszolgálókat legjobban árnyékolt szekrényben kell elhelyezni.

Jelenleg házak állnak rendelkezésre azokhoz a számítógépekhez, amelyek megfelelnek a 89 /336 / EGK európai irányelvnek. A modern házak jelentősen gyengíthetik a számítógépes elemek sugárzását, de a legtöbb további finomítást igényel. A számítógépes rendszer burkolatának árnyékolásának minősége befolyásolja a rendszeregységhez csatlakoztatott összes eszköz (például billentyűzet) sugárzási szintjét. Egy szabványos billentyűzet általában nagyon magas sugárzási szinttel rendelkezik. Ugyanakkor a billentyűzetről a biztonság szempontjából nagyon kritikus adatok kerülnek bevitelre, beleértve a felhasználók és a rendszergazda jelszavait. Egy egyszerű rövidhullámú vevőegység használható a billentyűzet sugárzásának elfogására. Figyelembe véve azt is, hogy a billentyűzetről bevitt adatok szekvenciális kódba kerülnek, és ezért könnyen értelmezhetők, a billentyűzet által kibocsátott sugárzást kell a legveszélyesebbnek tekinteni. Az elektromos (3. ábra) és a mágneses (4. ábra) komponensek szintjének mérési eredményei azt mutatták, hogy a különböző, kereskedelmi forgalomban kapható rendszeregységekkel rendelkező számítógépek több mint 100 -szor eltérhetnek a billentyűzetről származó hamis sugárzás erejétől.

3. ábra - Az elektromos alkatrész szintjei

4. ábra - A mágneses komponens szintjei

Hasonló arányokat kapunk a PC -ben található egyéb eszközök esetében is.

A szabványos házak és szekrények véglegesítésének feladata:

Először is, az egyes házszerkezetek csomópontjain mindig vannak rések, amelyek jelentősen rontják az árnyékolási tulajdonságokat.

Másodszor, az elektronikus készülék házát nem lehet lezárni, mivel szellőzőnyílásokra van szükség a hő eltávolításához.

Harmadszor, az árnyékoló tok kialakítása nem számítható ki előre. Ezért a szabványos ház módosítása árnyékoló tulajdonságainak javítása érdekében mindig kísérleti munka.

Most számos anyagot terveztek a házak árnyékoló tulajdonságainak javítására - mindenféle rugótömítés, elektromosan vezető elasztomerek, öntapadó fémezett bevonatok.

A sugárzás forrása a tápegység. Belsőleg az áramellátás szűrőn keresztül történik, amely megakadályozza a hamis kibocsátás terjedését a vezetékek mentén. De gyakorlatilag lehetetlen kiszámítani egy szűrőt a sugárzás teljes elnyomására, mivel a külső hálózat számos paramétere befolyásolja annak jellemzőit. A kereskedelemben kapható szűrők nem tudják teljes mértékben ellátni funkcióikat egy széles frekvenciasávban. A jó szűrők kompromisszumos megoldást jelentenek, amely a legtöbb esetben csak a szűrőkövetelményeknek felel meg.

Ettől függően az autonóm számítógép vagy a hálózatban lévő számítógép PEMIN csatornáin keresztül történő információszivárgás elleni védelem jellemzői jelentősen eltérhetnek. És a jellemzők közötti különbséghez vezető fő tényező az eszközök földelése.

Az önálló eszközökben a földelés nem javítja vagy rontja árnyékolási tulajdonságaikat. Földelésre csak az elektromos biztonsági követelmények miatt van szükség. Megfelelő földeléssel a hamis kibocsátás szintje némileg csökken. De bizonyos esetekben, amikor a földhöz csatlakozik, a hamis kibocsátás mértéke növekedhet.

A kábelezési rendszer nem tartalmaz aktív elemeket, ezért önmagában nem lehet hamis kibocsátás forrása. A kábelrendszer azonban összeköti a számítógépes hálózat minden elemét. Hálózati adatokat továbbítanak rajta, és ez egyben minden interferencia vevője, és közeg a hamis elektromágneses sugárzás átviteléhez (5. ábra).

5. ábra - Hamis elektromágneses sugárzás

Ezért különbséget kell tenni a következők között:

A vonalon keresztül továbbított jelek által okozott hamis kibocsátás (LAN forgalom);

Más vonalak és készülékek közelében található hamis kibocsátások fogadása és ezt követő újbóli kibocsátása;

A kábelrendszer által a hálózati aktív berendezések elemeiből és számítógépekből származó oldalsó rezgések sugárzása, amelyekhez a kábel csatlakozik.

Leggyakrabban egy kábelrendszer biztonságának felmérésekor csak az érdekli őket, hogy a hálózati információcsere folyamata során a kábelen keresztül továbbított jelek által okozott hamis sugárzást mennyire csillapítják.

Ha a helyi hálózat forgalmát a kábelrendszer rádiófrekvenciája helyre tudja állítani, ez nagy veszélyt jelent. Valójában a helyi hálózati forgalom meglehetősen jól védett a PEMIN csatornákon keresztül történő információszivárgás ellen. A modern LAN kábelek nagyon alacsony jelátvitellel rendelkeznek. Ezekben a kábelekben a jeleket sodrott vezetékpáron keresztül továbbítják, és az egységnyi hosszúságú csavarások száma szigorúan állandó. Elvileg egy ilyen rendszer egyáltalán nem sugározhat. Ezenkívül az árnyékolás jelenléte csavart érpárban nagyon csekély hatással van a csavart érpáron továbbított jelek sugárzási szintjére. Egy valódi rendszerben mindig vannak egyedi kábelek inhomogenitások, amelyek befolyásolják a hálózati csere során fellépő hamis sugárzás szintjét. A valóságban a szó szoros értelmében néhány méteres távolságban már lehetetlen elfogni a modern kábel elektromágneses sugárzása által átvitt információkat. De a legtöbb gyakorlati esetben a kábelrendszer kiváló antenna a hálózathoz csatlakoztatott berendezések minden hamis kibocsátásához. A számítógép elemeiben keletkező hamis sugárzás a helyi hálózati kábel összes vezetékére irányul (6. ábra).

6. ábra - Hamis sugárzás a számítógép elemeiben

Ennek eredményeképpen a számítógépes elemek hamis kibocsátása érdekében a LAN -kábelt egyszerűen egyszálú vezetéknek kell tekinteni, amely túlnyúlik az árnyékolt hangerőn. Ezekhez a vezetékekhez nem lehet hamis szűrőt telepíteni. A hamis kibocsátások elnyomásával elnyomjuk a hálózati forgalmat is. Ha tehát egy információvédett számítógép egy árnyékolatlan csavart érpáron szerepel a helyi hálózatban, akkor a csavart érpárú vezetékek, amelyek az antenna szerepét töltik be, megnövelhetik például a számítógép billentyűzete által létrehozott térerőt. 2., 3. ábra), tízezrekben egyszer. Ezért az árnyékolatlan csavart érpár nem használható olyan helyi hálózatban, ahol korlátozott hozzáférésű információkat dolgoznak fel. Az árnyékolt sodrott érű kábel használata jelentősen javítja a helyzetet.

A helyi számítógépes hálózat jelenleg nem működtethető autonóm módon, más hálózatokkal való interakció nélkül. Különösen minden szervezetnek - legyen az magánvállalkozás, kormányzati szerv vagy a Belügyminisztérium osztályának - aktívan képviseltetnie kell magát a globális interneten. Ez magában foglalja a saját weboldalát, nyilvános e-mailjeit és a munkavállalók hozzáférését a globális hálózat információihoz. Ez a szoros interakció ütközik a biztonsági követelményekkel. Ha több hálózat kölcsönhatásba lép, különféle biztonsági fenyegetések merülhetnek fel. Például egy globális hálózathoz való csatlakozáskor a lehetséges veszélyek közül a legártalmatlanabb a hálózat feltörése huligán indítékok miatt. A külföldi hírszerző szolgálatok számára érdekes információ kering az állami hatóságok számítógépes hálózataiban. A bűnözők számára érdekes információk keringnek a Belügyminisztérium számítógépes hálózataiban. Ez az információ nem minősíthető minősítettnek. Összességében azonban lehetővé teszi, hogy meglehetősen fontos információkat szerezzen. Ezért, ha a kormányzati szervek számítógépes hálózatait kombinálják a globális internettel, a huligán hackeléseken kívül minősített kísérleteket kell feltételezni a behatolók hálózatába való behatoláshoz. Az ilyen kísérletek ellenállása rendkívül nehéz. Ezért az internetet el kell különíteni a belső hálózattól, amelybe az általánosított adatok koncentrálódnak. A biztonság érdekében számos módon elkülönítheti saját számítógépes hálózatát a globális internettől. Azokban a hálózatokban, amelyek nem forgalmaznak korlátozott hozzáférésű információkat, általában elegendő egy útválasztót használni a hálózatok elkülönítésére. De komoly védelmet a globális hálózat behatolása ellen csak tűzfalak (FireWall) használatával lehet biztosítani. Ezért a kereskedelmi cégek vállalati információinak védelme érdekében tűzfalak használata szükséges. A kormányzati szervek információinak védelme érdekében azonban általában a tűzfal nem biztosítja a szükséges védelmi szintet. A biztonság a legteljesebb mértékben csak akkor biztosított, ha az Internet fizikailag el van szigetelve saját helyi hálózattól. Természetesen ez bizonyos kellemetlenségeket okoz a munkában, és további költségeket igényel a számítógépes hálózat létrehozásakor. Tekintettel azonban a bűnözés elleni küzdelem szükségességére, ez indokolt intézkedés.

Fizikai szigeteléssel rendelkező hálózatok kiépítésekor figyelembe kell venni a PEMIN csatornákon keresztül történő információszivárgás elleni védelem kérdéseit is. Sok esetben a korlátozott információkkal dolgozó munkavállalónak is szüksége van az internethez való hozzáférésre. A munkahelyen két számítógép van telepítve, amelyek közül az egyik a vállalkozás (szervezet) helyi hálózatához, a másik pedig az internethez kapcsolódik. Ebben az esetben a saját hálózatának kábeleit információvédelemmel és a nyílt internetes hálózat kábeleit nagyon nehéz megfelelő távolságra elosztani. Ennek eredményeképpen a helyi hálózatban keringő információk, valamint a számítógépek összes helyi sugárzása, amelyek a helyi hálózat kábeleire irányulnak, a nyílt internet kábeleire is irányíthatók. A nyílt hálózati kábel nemcsak elég hosszú antenna (különösen akkor, ha a nyílt hálózatot árnyékolatlan kábellel vezetik). A nyitott hálózati kábelek általában túlmutatnak a védett terület határain, így az információ nemcsak a sugárzás elfogásával, hanem a nyílt hálózati kábelekhez való közvetlen csatlakoztatással is eltávolítható. Ezért a nyílt hálózati kábeleket is a biztonságos hálózat kiépítésekor követett ajánlásoknak megfelelően kell lefektetni.

4. FEJEZET A HELYI HÁLÓZAT FEJLESZTÉSE FOKOZOTT INFORMÁCIÓVÉDELMI KÖVETELMÉNYEKKEL

Jogosulatlan hozzáférés - információk olvasása, frissítése vagy megsemmisítése megfelelő jogosultság hiányában.

A jogosulatlan hozzáférés általában hamis név használatával, az eszközök fizikai címeinek megváltoztatásával, a problémák megoldása után maradt információk felhasználásával, a szoftver és az információs támogatás módosításával, tárolóeszköz ellopásával, rögzítőberendezések telepítésével történik.

Ahhoz, hogy sikeresen megvédje adatait, a felhasználónak tökéletesen tisztában kell lennie az illetéktelen hozzáférés lehetséges módjaival. Az illetéktelen információszerzés fő jellemzői:

· Információhordozók és ipari hulladékok ellopása;

· Az információhordozók másolása a védelmi intézkedések leküzdésével;

· Álcázás regisztrált felhasználónak;

· Hoax (álcázás a rendszerkérésekhez);

· Az operációs rendszerek és programozási nyelvek hiányosságainak használata;

· "Trójai faló" típusú szoftver könyvjelzők és szoftverblokkok használata;

· Az elektronikus kibocsátások lehallgatása;

· Az akusztikus kibocsátások elfogása;

· Távoli fényképezés;

· Lehallgató eszközök használata;

· A védelmi mechanizmusok rosszindulatú letiltása stb.

Az információk jogosulatlan hozzáférés elleni védelme érdekében a következőket kell használni:

1) szervezési intézkedések;

2) technikai eszközök;

3) szoftver;

4) titkosítás.

A szervezeti tevékenységek a következők:

· Hozzáférés-szabályozás;

· Adathordozók és eszközök tárolása széfben (hajlékonylemezek, monitor, billentyűzet stb.);

· A személyek számítógépes helyiségekhez való hozzáférésének korlátozása stb.

A technikai eszközök a következők:

· Szűrők, képernyők berendezésekhez;

· Kulcs a billentyűzet lezárásához;

Hitelesítő eszközök - ujjlenyomatok, kézforma, írisz, nyomtatási sebesség és technikák stb. Olvasására;

Elektronikus kulcsok a mikroáramkörökön stb.

A szoftver tartalmazza:

· Jelszóhozzáférés - felhasználói jogosultságok beállítása;

· Zárja be a képernyőt és a billentyűzetet a Norton Utilites csomag Diskreet segédprogramjának billentyűparancsával;

· BIOS jelszavas védelmi eszközök használata - a BIOS -on és a számítógép egészén stb.

A titkosítás a nyílt információk titkosított információvá történő átalakítása (kódolása), amely kívülállók számára nem hozzáférhető. Az üzenet titkosításának és visszafejtésének módszereit a kriptológia tudománya tanulmányozza, amelynek mintegy négyezer éves múltja van.

2.5. Információk védelme vezeték nélküli hálózatokban

A vezeték nélküli megoldások mai hálózatainak hihetetlenül gyors üteme elgondolkodtat az adatvédelem megbízhatóságán.

A vezeték nélküli adatátvitel elve magában foglalja a hozzáférési pontokhoz való jogosulatlan kapcsolódás lehetőségét.

Gyakran a hozzáférési pontok jogosulatlan csatlakoztatását LAN -hez maguk a vállalat alkalmazottai végzik, akik nem gondolnak a védelemre.

1. ábra - A titkosított adatok elemzésének algoritmusa

Modern biztonsági követelmények

Hitelesítés

Minden modern hitelesítési módszer támogatja a dinamikus kulcsokat.

A LEAP és az EAP-FAST fő hátránya, hogy ezeket a protokollokat főként a Cisco Systems berendezései támogatják (2. ábra).

2. ábra - 802.11x csomagszerkezet TKIP -PPK, MIC és WEP titkosítással.

Titkosítás és integritás

Ne feledje, hogy a benne használt algoritmus (Rijndael) nem igényel nagy erőforrásokat sem a megvalósításban, sem a működésben, ami nagyon fontos az adatok késleltetésének és a processzor terhelésének csökkentése szempontjából.

A vezeték nélküli LAN biztonsági szabványa 802.11i.

A specifikációk tartalmazzák a 802.1x / EAP támogatását, a megosztott kulcsos hitelesítést és természetesen a kulcskezelést.

3. táblázat - A biztonságpolitika végrehajtásának módszerei

Index
Index
Modern operációs rendszerek támogatása
A szoftver összetettsége és a hitelesítés erőforrásintenzitása
A menedzsment összetettsége
Egyszeri bejelentkezés
Dinamikus billentyűk
Egyszeri jelszavak

A 3. táblázat folytatása

A modern berendezések és szoftverek használatával ma már biztonságos és támadásálló vezeték nélküli hálózat kiépítése lehetséges a 802.11x sorozat szabványai alapján.

A 802.11x / EAP / TKIP / MIC és a dinamikus kulcskezelés megvalósítására van szükség. Vegyes hálózat esetén VLAN -okat kell használni; külső antennákkal VPN technológiát használnak.

Szükséges a protokoll- és szoftvervédelmi módszerek, valamint az adminisztratív módszerek kombinálása.

A vezeték nélküli hálózatok nem biztonságosak. Hadd ismételjem meg: a vezeték nélküli hálózatok nem biztonságosak. Legtöbbször elég biztonságosak a legtöbb felhasználó számára, de az ilyen hálózatok nem tehetők teljesen priváttá.

Az egyszerű igazság az, hogy a vezeték nélküli hálózat jól meghatározott jellemzőkkel rendelkező rádiójeleket használ, így bárki, aki elegendő időt és erőfeszítést szeretne szentelni ezeknek a jeleknek a követésére, valószínűleg megtalálja a módját a bennük lévő adatok elfogására és olvasására. . Ha bizalmas információkat küld vezeték nélküli kapcsolaton keresztül, a rosszindulatú másolhatja azt. A hitelkártya -számok, a fiókjelszavak és egyéb személyes adatok sérülékenyek.

A titkosítás és más védelmi módszerek kissé megnehezíthetik a lehallgatást, de nem nyújtanak teljes védelmet egy igazán tapasztalt kém ellen. Ahogy minden rendőr elmondhatja, a zárak jók a becsületes emberektől, de a tapasztalt tolvajok tudják, hogyan kell bánni velük. Könnyű megtalálni a WEP titkosítási feltörőeszközök teljes katalógusát az interneten.

A helyzetet még veszélyesebbé téve, sok hálózati rendszergazda és otthoni vezeték nélküli felhasználó nyitva hagyja ajtóit és ablakait, anélkül, hogy minden 802.11b vezeték nélküli pontba és hálózati csomópontba integrálódna a titkosítás és egyéb biztonsági szolgáltatások. A „bejelentkezés” a nem biztonságos magánhálózatokba számos városi területen és számos helyi hálózatban lehetséges. 2001 tavaszán a San Francisco Chronicle arról számolt be, hogy egy hálózatbiztonsági szakértő San Francisco belvárosában egy furgon tetejére szerelt irányított antennával negyedévente átlagosan féltucat vezeték nélküli hálózatot tudott regisztrálni. Az ilyen hálózatok száma folyamatosan növekszik. Egy évvel később a Microsoft alkalmazottainak egy csoportja, aki "informális tesztet" végzett, több mint 200 nem biztosított nyílt hozzáférési pontot fedezett fel Seattle külvárosi hálózatában. A Tully kávézói azt mondják, hogy észreveszik ügyfeleiket, akik az utca túloldalán található Starbucks üzletek hotspotjain keresztül jelentkeznek be a Wi-Fi hálózatokba.

Elég az egyszerű számtan: a hozzáférési pont hatótávolsága 100 méter vagy annál nagyobb minden irányban, így a jel valószínűleg az ingatlanán (vagy a lakás falain) kívülre jut. Az épület szomszédságában vagy az utca túloldalán található hálózati eszköz valószínűleg képes észlelni a hálózatot. Az utcán parkoló autóba helyezett laptop vagy PDA képes ilyen akcióra. Ha nem tart be néhány óvintézkedést, akkor ennek az eszköznek a kezelője bejelentkezhet a hálózatra, ellophatja a fájlokat a szerverektől, és beszivároghat az internetkapcsolatba streaming video vagy hálózati játékok segítségével.

Fontos megérteni, hogy két különböző típusú vezeték nélküli biztonsági fenyegetésről beszélünk. Az első annak a veszélye, hogy egy harmadik fél az Ön tudta vagy engedélye nélkül csatlakozik a hálózatához; a második az a lehetőség, hogy egy tapasztalt krakkoló ellophatja az adatokat, amikor továbbítja és fogadja azokat. Mindegyik különálló potenciális probléma, és mindegyikük speciális megelőzési és védelmi módszert igényel. Bár igaz lehet, hogy a jelenleg rendelkezésre álló eszközök egyike sem nyújt teljes védelmet, de sokkal megnehezítheti a legtöbb alkalmi rosszhiszemű életét.

A vezeték nélküli hálózatok kompromisszumot jelentenek a biztonság és a használhatóság között. A vezeték nélküli hálózat nyilvánvaló előnyei - gyors és egyszerű hálózati hozzáférés laptopról vagy elszigetelt helyről - drágák. A legtöbb felhasználó számára ezek a költségek nem haladják meg a vezeték nélküli hálózat kényelmét. De ahogy parkolás közben bezárja autója ajtaját, hasonló lépéseket kell tennie a hálózat és az adatok védelme érdekében.

A hálózat és az adatok védelme

Mit tehet, hogy vezeték nélküli hálózati szolgáltatóként megvédje magát az idegenektől? Két választási lehetősége van: elfogadhatja azt a tényt, hogy a 802.11b hálózatok nem teljesen biztonságosak, de beépített tűzfalakkal lassíthatja az ellenfeleket. leiratkozhat a beépített eszközökről, helyette tűzfalat használhat az elkülönítéshez.

Magától értetődik, hogy a biztonsági funkciók integrálva vannak a 802.11b protokollba.

a továbbított adatok abszolút védelme szempontjából elfogadhatatlan. Ha olvasta a szaklapokban a vezeték nélküli biztonságról szóló cikkeket és a hálózati fórumokon folytatott vitákat, könnyen hihető, hogy a Wi-Fi hálózatok olyan szivárognak, mint a közmondásos szita. De talán a saját hálózatát fenyegető valódi veszélyt ez eltúlozza. Ne feledje, hogy az üzenetek ellopásához vagy a hálózatba való beszivárgáshoz közel álló emberek többsége nem csak ül és várja, amíg elkezdi az adatok küldését. És őszintén szólva, a hálózaton keresztül küldött adatok nagy része nem igazán érdekes. A titkosítási eszközök azonban minden Wi-Fi-hálózaton elérhetők, ezért érdemes használni őket.

A komolyabb fenyegetés nem az, hogy üzeneteit lehallgatják, hanem az, hogy illegális kapcsolatok jönnek létre vele. Ez lehetővé teszi egy jogosulatlan felhasználó számára, hogy olvassa el a más hálózati számítógépeken tárolt fájlokat, vagy használja a szélessávú internetkapcsolatot az Ön tudta vagy engedélye nélkül.

Érdemes gondoskodni a hálózatkezelésről. Ha a 802.11b biztonság megvalósítását választotta, akkor speciális lépéseket kell követnie:

Helyezze a hotspotot az épület közepére, ne az ablak mellé. Ez csökkenti a jelzéseknek a falakon áthaladó távolságot;

Használja a WEP (Wired Equivalent Privacy) titkosítást, amely minden 802.11b hálózati csomóponton elérhető. Elegendő idő és megfelelő hardver mellett a WEP könnyen feltörhető, de a titkosított csomagokat még mindig nehezebb olvasni, mint a titkosítatlan adatokat. Ez a fejezet további információkat tartalmaz a WEP titkosításról;

Gyakran cserélje WEP -kulcsait. A WEP titkosítási kulcsok adatfolyamból történő kinyerése időbe telik, és minden alkalommal, amikor kulcsot cserél, az adatokat ellopni próbáló becsmérlőknek elölről kell kezdeniük. A gombok havi egyszer vagy kétszer történő cseréje nem túl gyakori;

Ne tárolja a WEP -kulcsokat könnyen hozzáférhető helyen. Nagy hálózaton megkísérelhetők a helyi weboldalra vagy szöveges fájlba mentése. Ne csináld;

Ne használjon e -mailt a WEP -kulcsok átviteléhez. Ha egy kívülálló ellopja a fiókneveket és jelszavakat, a tolvaj az új kulcsokkal kapcsolatos üzeneteket kapja, mielőtt a jogos felhasználók megkapják őket;

Adjon hozzá egy másik titkosítási réteget, például Kerberos, SSH vagy VPN vezeték nélküli hálózatba integrált WEP titkosításon keresztül;

Ne használja a hozzáférési pont alapértelmezett SSID -jét. Ezeket a beállításokat jól ismerik a hálózati hackerek;

Módosítsa az SSID azonosítót olyanra, amely nem azonosítja a munkáját vagy a tartózkodási helyét. Ha egy rosszakaró felfedezi a BigCorpNet nevet, és körülnéz, és látja a BigCorp központját az utca túloldalán, akkor valószínűleg szándékosan beszivárog a hálózatába. Ugyanez vonatkozik az otthoni hálózatra is. Ne hívja őt Perkinsnek, ha ez a név van írva a postaládája külső oldalán. Ne használjon olyan SSID azonosítót, amely úgy hangzik, mintha a hálózata csábító információkat tartalmazna - használjon nem feltűnő nevet, például üres mezőt, „hálózatot” vagy akár véletlen karakterláncot (W24rnQ);

Módosítsa a hozzáférési pont IP -címét és jelszavát. A legtöbb hozzáférési pont -konfigurációs eszköz alapértelmezett jelszava könnyen megtalálható (és gyakran megismétlődik egyik gyártóról a másikra - tipp: ne használja az "admin" -ot), így még a saját felhasználókkal szembeni védekezéshez sem elég jók. egyedül külső károkozók, akik saját céljukra kívánják használni a hálózatot;

Tiltsa le a "broadcast SSID" szolgáltatást a hozzáférési pontnál, amely lehetővé teszi a megfelelő SSID nélküli ügyfelektől való csatlakozást. Ez nem garantálja, hogy hálózata láthatatlan lesz, de segíthet;

Kapcsolja be a hozzáférés -vezérlő funkciót a hozzáférési ponthoz. A hozzáférés -vezérlés a megadott MAC -címmel rendelkező hálózati ügyfelekre korlátozza a kapcsolatokat. A hozzáférési pont megtagadja a csatlakozást olyan adapterhez, amelynek címe nem szerepel a listában. Ez nem praktikus, ha engedélyezni szeretné más látogatók számára a hálózat használatát, de hasznos eszköz az otthoni és kis irodai hálózatokhoz, ahol ismeri az összes potenciális felhasználót. A Broadcast SSID funkcióhoz hasonlóan ez sem garantált, de nem fog fájni;

Tesztelje hálózatának védelmét az utcáról. Vegyünk egy laptopot, amely szkennelő programot futtat, mint például a Network Stumbler vagy a hálózati adapter állapot segédprogramja, és induljon el az épületből. Ha egy háztömbnyire találja a hálózatát, akkor egy kívülálló is. Ne feledje, hogy a rosszhiszeműek nagy erősítésű irányantennákat használhatnak, ami növeli ezt a távolságot;

Tekintsük a hálózatot széles körben megosztottnak. Győződjön meg arról, hogy mindenki, aki használja a hálózatot, tisztában van azzal, hogy nem biztonságos rendszereket használ;

A fájlhozzáférés kiterjesztése csak azokra a fájlokra, amelyeket valóban elérhetővé szeretne tenni. Ne nyissa ki a teljes lemezt. Használjon jelszavas védelmet minden elérhető elemnél;

Ugyanazokat a biztonsági eszközöket használja, amelyeket vezetékes hálózaton használna. A legjobb esetben a helyi hálózat vezeték nélküli része nem biztonságosabb, mint a vezetékes rész, ezért tegye meg ugyanezeket az óvintézkedéseket. A legtöbb esetben a hálózat vezeték nélküli része sokkal kevésbé biztonságos, mint a vezetékes rész;

Fontolja meg a virtuális magánhálózat (VPN) használatát a nagyobb védelem érdekében.

Egyes szakértők más módszert használnak a vezeték nélküli hálózat védelmére. Elfogadják azt az elképzelést, hogy a 802.11b hálózat nem biztonságos, ezért meg sem próbálják használni a beépített biztonsági szolgáltatásokat. Például a NASA kaliforniai fejlett szuperszámítógép -osztályának tűzfalcsoportja megállapította, hogy "maga a hálózat nem nyújt erős hitelesítést és szabotázsvédelmet", és hogy "a 802.11b biztonsági funkciók csak erőforrásokat emésztenek fel, cserébe nem nyújtanak valódi védelmet". Tehát letiltotta az összes 802.11b biztonsági funkciót, és helyette saját vezeték nélküli tűzfalátjárót (WFG) használ. A WFG egy útválasztó, amely a vezeték nélküli és a hálózat többi része között helyezkedik el, így a vezeték nélküli eszközökről érkező (és az internet -hozzáférést is beleértve) minden bejövő és kimenő hálózati forgalomnak át kell mennie az átjárón.

További előny, hogy ez a védelmi módszer minimálisra csökkenti az adminisztrátor részarányát az egyes csomagokban, mivel nem tartalmaznak hitelesítést vagy titkosítást. Ez csökkenti a bitek számát minden csomagban, ami növeli a tényleges adatátviteli sebességet a hálózaton keresztül.

Más vezeték nélküli szolgáltatók VPN -eket használnak a hozzáférés vezérléséhez vezeték nélküli átjáróikon keresztül. A VPN újabb pont-pont védelmet biztosít az IP-réteghez (a fizikai réteg helyett, ahol a titkosítás a 802.11b-ben történik), mielőtt a felhasználó böngészhet a hálózaton.

A hálózatvédelemre két esetben van szükség - a hálózati rendszergazda nem akarja, hogy illetéktelen felhasználók belépjenek a hálózatukba, és az egyéni felhasználók sem szeretnék, hogy bárki hozzáférjen a személyes fájljaihoz. Amikor bejelentkezik egy közösségi hálózatba, bizonyos óvintézkedéseket kell tennie, hogy ne olvassa el a fájlokat a hálózaton keresztül.

Letiltani Fájlmegosztás(Fájlhozzáférés) Mielőtt megosztott hálózathoz csatlakozna, kövesse az alábbi eljárást Windows 95, Windows 98 és Windows ME rendszerben:

1. In Kezelőpanel(Vezérlőpult) nyissa meg a párbeszédpanelt Hálózat(Hálózat).

2. Válassza a lehetőséget Fájl- és nyomtatómegosztás(Hozzáférés a fájlokhoz és nyomtatókhoz).

3. A Fi párbeszédpanelen és a nyomtatómegosztás tiltsa le a funkciót Hozzáférést szeretnék adni másoknak a fájljaimhoz(Ossza meg fájljaimat másokkal).

A Windows 2000 és a Windows XP nem rendelkezik központi hellyel a fájlhozzáférés letiltásához, ezért mindegyiket külön kell letiltani.

1. Nyisson ablakot A számítógépem(A számítógépem).

2. Az összes rendelkezésre álló meghajtó és mappa ikonja kézzel rajzolt. A hozzáférés letiltásához kattintson a jobb gombbal az ikonra, és válassza a lehetőséget Megosztás és biztonság(Hozzáférés és biztonság) menüben.

3. Kapcsolja ki a funkciót Ossza meg ezt a mappát a hálózaton(Ossza meg ezt a mappát a hálózaton keresztül.)

4. Kattintson a gombra rendben(Igen) a párbeszédpanel bezárásához.

5. Ismételje meg a folyamatot minden elérhető mappa vagy fájl esetében. Ne felejtsd el a mappát Megosztott dokumentumok(Általános dokumentumok).

Amikor visszatér az irodájába vagy az otthoni hálózatába, meg kell fordítania az eljárást, hogy újra hozzáférhessen a fájlokhoz.

Egy másik probléma az a veszély, hogy a rádión keresztül elküldik a kémkövető adatokat, és menet közben eltulajdonítják a bizalmas információkat. Nem olyan széles körben elterjedt, mint egy kém hozzáférése a hálózathoz és fájlok olvasása, de lehetséges. A titkosítás és más biztonsági eszközök megnehezíthetik az adatok dekódolását, de a legjobb, ha a Wi-Fi-hálózatot úgy kezeljük, mint egy mobiltelefont: soha ne küldjünk üzenetet vagy fájlt érzékeny információkkal.

802.11b biztonsági eszközök

A 802.11b specifikációk biztonsági eszközei nem tökéletesek, de a semminél jobbak. Még akkor is, ha úgy dönt, hogy nem használja őket, fontos, hogy a letiltás előtt megértse, mik ezek és hogyan működnek.

Hálózat neve (SSID)

Amint az 1. fejezetben tárgyaltuk, minden vezeték nélküli hálózatnak van neve. Csak egy hozzáférési ponttal rendelkező hálózaton a név az Basic Service Set ID (BSSID). Ha a hálózat egynél több hozzáférési pontot tartalmaz, a név kiterjesztett szolgáltatáskészlet -azonosítóvá (ESSID) válik. Az összes hálózati név szabványos megnevezése az SSID, ez a kifejezés leggyakrabban a vezeték nélküli hozzáférési pontok és ügyfelek konfigurációs segédprogramjaiban fog megjelenni.

Amikor hozzáférési pontokat konfigurál egy hálózathoz, hozzá kell rendelnie egy SSID -t. A hálózat minden hozzáférési pontjának és hálózati kliensének ugyanazt az SSID -t kell használnia. Windows számítógépeken a vezeték nélküli adapter SSID azonosítójának is a munkacsoport nevének kell lennie.

Ha két vagy több azonos SSID azonosítójú hozzáférési pontot talál, a felhasználó azt feltételezi, hogy mindegyik ugyanannak a hálózatnak a része (akkor is, ha a hozzáférési pontok különböző rádiócsatornákon működnek), és társul ahhoz a hozzáférési ponthoz, amely a legerősebb vagy legtisztább jelet biztosítja . Ha ez a jel interferencia vagy elhalványodás miatt romlik, az ügyfél megpróbál egy másik hozzáférési pontra költözni, amely szerinte ugyanabba a hálózatba tartozik.

Ha két különböző átfedő hálózatnak ugyanaz a neve, az ügyfél feltételezi, hogy mindkettő ugyanazon hálózat része, és megpróbálhat átállni. A felhasználó szempontjából az ilyen hibás átmenet a hálózati kapcsolat teljes megszakításának tűnik. Ezért minden vezeték nélküli hálózatnak, amely átfedheti a másikat, egyedi SSID -vel kell rendelkeznie.

Az egyedi SSID -szabály alól kivételt képeznek a kollektív és csoportos hálózatok, amelyek csak az internethez biztosítanak hozzáférést, a helyi hálózat más számítógépeihez vagy eszközeihez nem. Ezek a hálózatok gyakran közös SSID -vel rendelkeznek, így az előfizetők több helyről is felfedezhetik és csatlakozhatnak hozzájuk.

Egyes hozzáférési pontok, köztük az Apple AirPort bázisállomás és hasonló Orinoco rendszerek rendelkeznek olyan funkcióval, amely lehetővé teszi a "nyitott" és a "zárt" hozzáférés közötti választást. Ha a hozzáférési pont nyilvános hozzáférésre van konfigurálva, akkor elfogadja a kapcsolatot az ügyféltől, akinek az SSID -je beállítása Bármi(Bármelyik), valamint a hozzáférési pont saját SSID -jén történő kommunikációra konfigurált eszközökről. Ha egy hozzáférési pont privát hozzáférésre van konfigurálva (az Apple ezt "rejtett hálózatnak" nevezi), akkor csak azokat a kapcsolatokat fogadja el, amelyek SSID azonos az SSID -vel. Ez jó módja annak, hogy a kívülállókat távol tartsa a hálózatától, de csak akkor működik, ha a hálózat minden csomópontja az Orinoco adapterét használja (az Apple AirPort kártya az Orinoco szabadalmaztatott változata). Ha egy másik gyártó által gyártott adapter megpróbál csatlakozni egy zárt hozzáférési ponthoz, akkor figyelmen kívül hagyja, még akkor is, ha az SSID megegyezik.

A hálózati SSID nagyon korlátozott hozzáférési lehetőséget biztosít, mivel az SSID -t meg kell adni a vezeték nélküli kapcsolat konfigurálásakor. A hozzáférési pont SSID -függvénye mindig szövegmező, tetszőleges nevet használva. Azonban sok hálózati konfigurációs program (beleértve a Windows XP vezeték nélküli hálózati eszközeit és a hálózati adapterek néhány nagy márkájához mellékelt szoftvert) automatikusan észleli és megjeleníti az egyes aktív hálózatok SSID -jét a jelek hatótávolságán belül. Ezért nem mindig szükséges ismerni a hálózat SSID -jét a csatlakozás előtt. Néha egy konfigurációs segédprogram (egy hálózati monitor vagy a Network Stumbler -hez hasonló szkennelési program) megjeleníti az egyes közeli hálózatok nevét egy listában vagy menüben.

Példaként az ábra. A 14.1. Ábra a Network Stumbler szkenner kimenetét mutatja a Seattle-Tacoma repülőtéren, ahol az utasterminál a WayPort-ot szolgálja, a MobileStar pedig az American Airlines VIP Club szolgáltatásait. (A MobileStar hamarosan egy másik szolgáltatás részévé vált, miután elkészítettem ezt a tervet, így a hálózatok neve megváltozott, de a szolgáltatás helyben maradt).

Minden hozzáférési ponthoz tartozik egy alapértelmezett SSID -beállítás. Ezek az alapértelmezések jól ismertek és közzétételre kerülnek a hálózati kémközösségekben (lásd például: http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults). Nyilvánvaló, hogy az alapértelmezett beállításokat semmilyen hálózaton nem szabad használni.

Rizs. 14.1

Sok hozzáférési pont SSID rejtőzködő funkcióval rendelkezik, amelyet gyakran úgy is neveznek Rejtett hálózat vagy Rejtett hálózat... Ez a funkció segít megakadályozni, hogy egyes bámészkodók felfedezzék a hálózat nevét, de amikor egy új ügyfél csatlakozik hozzá, vagy egy meglévő ügyfél gyenge jelet kap, az SSID -t sugározzák, és egy olyan program, mint a Kismet, észleli. Az SSID elrejtése lelassíthatja a véletlen vendéget, de nem nyújt valódi biztonságot.

WEP titkosítás

A WEP titkosítás minden 802.11b rendszer jellemzője, ezért fontos tudni, hogyan működik, még akkor is, ha úgy dönt, hogy nem használja. Ahogy a neve is sugallja, a WEP (Wired Equivalent Privacy, WEP) eredeti célja az volt, hogy a vezeték nélküli hálózatokhoz hasonló biztonsági szintet biztosítson, mint a vezetékes hálózaté. De nagyon gyakori az az állítás, hogy a WEP -titkosításon alapuló hálózat majdnem ugyanolyan sebezhető a behatolással szemben, mint egy teljesen biztonság nélküli hálózat. Védelmet nyújt a véletlenszerű kémek ellen, de nem lesz különösen hatékony a makacs betörő ellen.

A WEP három funkcióval rendelkezik: megakadályozza az illetéktelen hozzáférést a hálózathoz, ellenőrzi minden csomag integritását, és megvédi az adatokat a rosszindulatú személyektől. Az adatcsomagok titkosításához a WEP a titkos titkosítási kulcsot használja, mielőtt a hálózati kliens vagy hozzáférési pont továbbítja azokat, és ugyanazzal a kulccsal dekódolja az adatokat azok fogadása után.

Amikor egy ügyfél másik kulccsal próbál kommunikálni a hálózattal, az eredmény elrontja és figyelmen kívül hagyja. Ezért a WEP -beállításoknak pontosan azonosnak kell lenniük a hálózat minden hozzáférési pontján és ügyfél -illesztőjén. Ez elég egyszerűnek hangzik, de nehéz, mivel a gyártók különböző módszerekkel határozzák meg a WEP -kulcs méretét és formátumát. A funkciók márkánként ugyanazok, de ugyanazok a beállítások nem mindig azonos megnevezéssel rendelkeznek.

Hány bit van a WEP kulcsban?

Először is, a WEP kulcs 64 vagy 128 bites lehet. A 128 bites kulcsokat nehezebb feltörni, de növelik az egyes csomagok továbbításához szükséges időt is.

A zűrzavar a különböző gyártók implementációiban merül fel, mert a 40 bites WEP megegyezik a 64 bites WEP-vel, és a 104 bites ugyanaz, mint a 128 bites. A szabványos 64 bites WEP kulcs egy belsőleg generált 24 bites inicializációs vektort és a hálózati rendszergazda által hozzárendelt 40 bites titkos kulcsot tartalmazó karakterlánc. Egyes gyártók specifikációi és konfigurációs programjai ezt „64 bites titkosításnak”, mások „40 bites titkosításnak” nevezik. Mindenesetre a titkosítási séma változatlan marad, így a 40 bites titkosítást használó adapter teljes mértékben kompatibilis a 64 bites titkosítást használó hozzáférési ponttal vagy adapterrel.

Sok hálózati adapter és hozzáférési pont tartalmaz egy "erős titkosítás" funkciót is, amely 128 bites kulcsot használ (ami valójában egy 104 bites titkos kulcs 24 bites inicializáló vektorral).

Az erős titkosítás egyirányúan kompatibilis a 64 bites titkosítással, de nem automatikus, így a 128 és 64 bites kulcsokkal rendelkező eszközök vegyes hálózatának minden része 64 bites titkosítással működik. Ha a hozzáférési pont és az összes adapter támogatja a 128 bites titkosítást, használjon 128 bites kulcsot. Ha azonban azt szeretné, hogy a hálózata kompatibilis legyen a csak 64 bites titkosítást felismerő adapterekkel és hozzáférési pontokkal, konfigurálja a teljes hálózatot 64 bites kulcsok használatára.

ASCII vagy hexadecimális kulcs?

De a kulcshossz önmagában zavaró a WEP titkosítás beállításakor. Néhány programhoz kulcs szükséges, mint szöveges karakterlánc, míg másokhoz hexadecimális számok szükségesek. Mások generálhatnak kulcsot egy opcionális jelszóból.

Minden ASCII karakter 8 bit hosszú, tehát egy 40 bites (vagy 64 bites) WEP kulcs 5, egy 104 bites (vagy 128 bites) kulcs 13 karakter hosszú. Hexadecimális számban minden szám 4 bites, tehát egy 40 bites kulcs 10 hexadecimális karaktert, a 128 bites kulcs pedig 26 karaktert tartalmaz.

Ábrán. A 14.2, amely a D-Link hozzáférési pont Vezeték nélküli beállítás ablakát mutatja, a 40 bites Shared Key Security mező hexadecimális karaktereket használ, és tíz karakterből áll. A D-Link mind a tíz karaktert tartalmazza egy sorban, mások azonban öt két számból álló csoportba vagy két öt számból álló csoportba osztják őket.

Rizs. 14.2

Számítógép számára a kulcs egyébként ugyanúgy néz ki, de könnyebb másolni a karakterláncot, ha darabokra van osztva.

Számos kliens segédprogram, például a Windows XP vezeték nélküli hálózat tulajdonságai párbeszédpanel (14.3. Ábra), hexadecimális vagy szöveges választást kínál, így használhatja a hozzáférési pont megfelelő formátumát.

A jelszó egy szöveges karakterlánc, amely az adaptereket és a hozzáférési pontokat automatikusan hexadecimális karakterlánccá alakítja át. Mivel az emberek hajlamosak könnyebben megjegyezni az értelmes szavakat vagy kifejezéseket, mint a hexadecimális tréfát, a jelszót könnyebb átadni, mint egy hexadecimális karakterláncot. A jelszó azonban csak akkor hasznos, ha a hálózat összes adaptere és hozzáférési pontja ugyanaz a gyártó.

Rizs. 14.3

Milyen funkciók vannak jelen

A 802.11b konfigurációs segédprogram szinte minden beállításához hasonlóan a WEP funkciónevek nem állandóak egyik programról a másikra.

Egyesek olyan funkciók nyílt készletét használják, mint a „WEP -titkosítás engedélyezése”, míg mások a hivatalos 802.11 -es specifikációból vett technológiai terminológiát használnak. A nyílt rendszer hitelesítés a WEP titkosítás letiltva második neve.

Egyes hozzáférési pontok opcionális nyilvános kulcsos hitelesítési szolgáltatást is biztosítanak WEP titkosítással, ahol a hálózati kliens rendelkezik a kulccsal, de a titkosítatlan adatok más hálózati csomópontoktól érkeznek.

Hexadecimális és szövegbillentyűk kombinálása

A vegyes hálózat konfigurálása bonyolult, ha egyes hálózati csomópontok csak hexadecimális kulcsokat használnak, míg mások szöveges kulcsokat igényelnek. Ha ez a helyzet fordul elő a hálózatán, akkor kövesse az alábbi szabályokat a WEP beállításához:

Az összes szöveggomb konvertálása hexadecimálisra. Ha a konfigurációs programhoz szöveges kulcs szükséges, írja be a karaktereket Ó(nulla után kisbetű x) hexadecimális karakterlánc előtt. Ha az Apple AirPort szoftverét használja Ó a hexadecimális kulcs elején meg kell adnia a dollár szimbólumot ( $ );

Győződjön meg arról, hogy az összes titkosítási kulcs megfelelő számú karaktert tartalmaz;

Ha még mindig nem működik minden, olvassa el a hálózati adapterek és hozzáférési pontok kézikönyvének biztonsági részeit. Lehetséges, hogy a hálózat ezen eszközei közül egy vagy több rejtett személyiségvonással rendelkezik, amelyekről Ön nem tud.

WEP kulcsok cseréje

Sok hozzáférési pont és hálózati kliens-adapter akár négy különböző 64 bites WEP-kulcsot is támogathat, de egyszerre csak egy aktív, amint az a 4-2. 14.4. A többi kulcs tartalék, amelyek lehetővé teszik a hálózati rendszergazda számára, hogy rövid időn belül beállítsa a hálózat biztonságát. A 128 bites titkosítást támogató adapterek és hozzáférési pontok egyszerre csak egy 128 bites WEP kulcsot használnak.

Rizs. 14.4

Olyan hálózatban, ahol a WEP titkosítás komolyan szervezett. A WEP -kulcsokat rendszeresen, ütemezés szerint kell cserélni. Egy hónap elegendő egy olyan hálózat számára, amely nem továbbítja a fontos adatokat, de egy komolyabb hálózat esetében hetente egyszer vagy kétszer új kulcsot kell telepíteni. Ne felejtse el leírni a jelenlegi WEP -kulcsokat biztonságos helyen.

Otthoni vagy kis irodai hálózaton minden valószínűség szerint maga módosítja az összes WEP -kulcsot. Ellenkező esetben a hálózati rendszergazdának vagy a biztonsági szakembernek az új WEP -kulcsokat papíron, emlékeztetőben és nem e -mailben kell kiosztania. A 64 bites titkosítást használó hálózatok további védelme érdekében utasítsa a felhasználókat, hogy egyszerre két kulcsot cseréljenek (nem az alapértelmezettet). Küldjön külön emlékeztetőt, amelyben értesíti a felhasználókat, hogy melyik új kulcs, az alapértelmezett és mikor kell megváltoztatni.

Egy tipikus heti menetrend így nézhet ki:

Kérjük, adja meg a következő új 64 bites WEP-kulcsokat:

1. kulcs: XX XX XX XX XX XX

4. kulcs: YY YV YY YY YY

Egy másik megjegyzés, egy héttel később, megadja a 2 -es és a 3 -as kulcs kódjait.

Külön utasítás tartalmazhat: „Hálózatunk kedd éjfélkor átvált a 3 -as kulcs használatára. Kérjük, módosítsa a hálózati adapter alapértelmezett kulcsát. " Válassza ki azt az időt, amikor a vezeték nélküli hálózatot a legkevesebb felhasználó használja a változtatáshoz, mivel a kulcscsere idején a hozzáférési ponton lévő minden aktív kapcsolat megszakad, és nem állítható vissza, amíg a kliensadapter kulcsait nem cserélik ki . A felhasználók idő előtt új kulcsokat adhatnak meg az aktuális aktív kulcs alternatívájaként, és néhány kattintással megváltoztathatják azokat, amikor az új kulcs életbe lép.

Elég a WEP biztonság?

Számos informatikus publikált olyan dokumentumokat a WEP titkosításról, amelyek ellen érvelnek a bizalmas adatok védelmére. Mindegyik súlyos hibákra mutat a WEP titkosítási algoritmusok tervezésében használt kriptográfia elméletében és gyakorlatában. Ezek a szakértők egyöntetűen azt javasolják, hogy aki 802.11 vezeték nélküli hálózatot használ, ne hagyatkozzon a WEP -re a biztonság érdekében. Más módszereket kell használnia a hálózatok védelmére.

A Berkeley -i Kaliforniai Egyetem csoportja számos hibát talált a WEP algoritmusban, ami legalább négy különböző típusú támadással szemben sebezhetővé teszi:

Passzív támadások statisztikai elemzéssel az adatok dekódolásához;

Aktív támadások titkosított csomagok létrehozásával, amelyek kényszerítik a hozzáférési pontot hamis parancsok elfogadására;

A titkosított csomagok elleni támadások elemzése egy szótár létrehozásához, amely aztán használható az adatok valós idejű automatikus dekódolására;

Fejlécmódosító támadások az adatok támadó által irányított célállomásra való átirányítására.

A Berkeley -beszélgetés egy egyértelmű kijelentéssel zárul: „A WEP biztonság nem azonos a vezetékes biztonsággal. A protokollal kapcsolatos problémák a titkosítás egyes alapjainak félreértéséből, és ezért a titkosítási technikák nem biztonságos használatából származnak. "

A Rais Egyetem és az AT&T Labs kutatói saját leírásukat tették közzé a WEP-titkosított hálózatok elleni támadásaikról (http: / /www.cs.rice .edu / ~ astubble / wep), amelyek hasonló következtetésre vezettek: „WEP in A 802.11 teljesen nem biztonságos. " Rendelhették és beszerezhették a szükséges felszerelést, felállíthattak egy tesztpadot, kifejleszthették támadási eszközüket, és kevesebb, mint egy hét alatt sikeresen beszerezhettek egy 128 bites WEP-kulcsot.

Mind a Berkeley -tárgyalásokat, mind az AT&T Labs -beszélgetéseket műszaki szakértők és műszaki szakértők írják, kriptográfiai elemzéssel. Indoklásuk világos, de a módszerek megkövetelik, hogy az ellenfél komoly technikai ismeretekkel rendelkezzen. Azonban a kevésbé kifinomult kódfeltörők eszközei ugyanolyan könnyen megtalálhatók. Mind az AirSnort (http: // airsnort. Shmoo.com), mind a WEPCrack () olyan Linux -programok, amelyek figyelik a vezeték nélküli jeleket, és kihasználják a WEP gyengeségeit egy titkosítási kulcs megszerzéséhez.

Az AirSnort azt állítja, hogy programja két héten belül sikeresen feltörheti a legtöbb hálózatot. Ez a technológia figyeli a hálózati jeleket anélkül, hogy azokat befolyásolná, így a hálózati rendszergazda nem tudja észlelni a támadás jelenlétét. A programot azzal a céllal adják ki, hogy súlyosbítsa a problémát. Bár könnyű feltörni a WEP titkosítást, a szabványalkotó csoportok kénytelenek vagy megoldást találni a biztonságosabbá tételre, vagy kicserélni egy nehezebben feltörhető opcióra.

Összefoglalva: nézze meg egyszerűbben, és titkosítsa a hálózati adatokat.

A titkosított adatok biztonságosabbak, mint a tiszta szöveges átvitel, a WEP -kulcs feltörése pedig időt vesz igénybe, ezért a WEP egy másik (állítólag gyenge) biztonsági réteget ad hozzá, különösen, ha gyakran cseréli a kulcsokat. A WEP-titkosítás nem sokat tehet a komoly ellenségek ellen, de megvéd a véletlen rosszindulatú emberektől. Sokkal könnyebb behatolni egy olyan hálózatba, amely nem használ titkosítást (ezt teszik a legtöbben), így a hacker, aki talál egy titkosított jelet, valószínűleg kevésbé védett célpontra vált.

Segítség az úton

Nyilvánvaló, hogy egy olyan védőáramkör, amelynek lyukai elég nagyok ahhoz, hogy egy óriási digitális teherautót át tudjon vezetni, majdnem olyan rossz, mint a védelem. A WEP-titkosítás elleni sikeres támadások és a biztonsági protokoll hibáinak kihasználására rendelkezésre álló eszközök arra kényszerítik a Wi-Fi Alliance tagjait, hogy komolyan fontolják meg, hogy engedélyüket tényleges vezeték nélküli szabványként támogatják. Olyan szavakat használnak, mint a "válság", hogy leírják az ezekre a kérdésekre fordított figyelmet.

Megoldást akarnak találni, mielőtt a biztonsági jogsértések hírhedtsége felülmúlná az általuk gondosan kidolgozott és hirdetett vezeték nélküli Ethernet hardver iránti keresletet.

A problémával foglalkozó új szabványok neve 802.11i.IEEE. A 802.11 szabványbizottság néhány hónappal a nyilvánosságra kerülése előtt megkezdte a kérdés megvitatását. A Task Group i (TGi) nevű bizottság egy új és továbbfejlesztett biztonsági specifikáció kidolgozásán dolgozik, amely (állítólag) megszünteti a WEP titkosítási szabványok összes ismert hibáját. A csoport azt ígéri, hogy az új védelmi eszközök automatikusan működni fognak, és kompatibilisek lesznek az új eszközöket nem használó régebbi berendezésekkel. A kutatócsoportnak van egy webhelye a http://grouper.ieee.Org/groups/802/11/Reports for Meeting Information és néhány technikai dokumentum.

A Wi-Fi Alliance azt szeretné, ha tagjai a lehető leghamarabb elkezdenék használni a TGi terméket. Ez enyhítheti a helyzetet, mielőtt kereskedelmi katasztrófává válik. Amint a mérnökök beszámolnak a megoldásról, minden hozzáférési pont és hálózati adapter gyártó integrálja termékeibe az új biztonsági módszereket, és a Szövetség hozzáadja őket a Wi-Fi tanúsítvány tesztcsomaghoz. A frissített szoftver és firmware biztosítja, hogy a meglévő 802.11b termékek kompatibilisek az új 802.11i protokollokkal.

Hozzáférés-szabályozás

A legtöbb hozzáférési pont rendelkezik egy olyan funkcióval, amely lehetővé teszi a hálózati rendszergazda számára, hogy korlátozza a hozzáférést az ügyfél -adapterekhez egy megadott listából. Ha egy hálózati eszköz, amelynek MAC -címe nem szerepel a jogosult felhasználók listájában, megpróbál csatlakozni, a hozzáférési pont figyelmen kívül hagyja a hálózathoz való társítási kérelmet. Ez hatékonyan megakadályozhatja a kívülállók csatlakozását a vezeték nélküli hálózathoz, de arra kényszeríti a hálózati rendszergazdát, hogy tartsa fenn a felhasználói adapterek és azok MAC -címeinek teljes listáját. Minden alkalommal, amikor egy új felhasználó csatlakozni akar a hálózathoz, és amikor egy legális felhasználó cseréli az adaptereket, valakinek hozzá kell adnia egy másik MAC -címet a listához. Ez megvalósítható otthoni vagy kis irodai hálózaton, de nagy problémát jelenthet egy nagyvállalati vagy campus rendszer számára.

Minden hozzáférési pont konfigurációs segédprogram más formátumot használ a hozzáférési listákhoz. A hozzáférési ponthoz mellékelt kézikönyv és online dokumentáció részletes utasításokat tartalmaz a hozzáférés-ellenőrzési lista létrehozásáról és használatáról. A 802.11b szabvány nem határozza meg a hozzáférési ponthoz tartozó hozzáférés -vezérlési lista maximális méretét, ezért a számok el vannak osztva a térképen. Egyes hozzáférési pontok néhány tucat paraméterre korlátozzák a listát. Mások, például a Proxim Harmony AP vezérlő, akár 10 000 különböző címet támogatnak. A többi korlátlan. Ha egy címlistát tervez használni a hálózathoz való hozzáférés szabályozására, győződjön meg arról, hogy a hozzáférési pont elég nagy listával fog működni, hogy a jövőben elegendő belmagasságú felhasználót támogasson. Az alapszabály szerint a hozzáférési pontnak legalább kétszer annyi MAC -címet kell engedélyeznie a hálózat jelenlegi felhasználóinak számához képest.

A MAC -hitelesítés nem véd minden behatolás ellen, mivel a legtöbb hálózati kártya MAC -címének megváltoztatása triviális: az ellenfélnek csak annyi ideig kell figyelnie a hálózati forgalmat, hogy elég hosszú ideig találjon érvényes felhasználót, és lemásolja a MAC -címét.

Ennek ellenére nagyon hatékony módja lehet egy alkalmi kém munkájának lelassítására.

Hitelesítés: 802.1x szabvány

A WEP titkosítási specifikáció biztonsági hiányosságai miatt sok vezeték nélküli hálózati eszközgyártó és szoftverfejlesztő már adaptálta az új 802.1x IEEE szabványt, hogy más biztonsági réteget adjon hozzá hálózatainak. A 802.1x szabvány olyan keretrendszert határoz meg, amely többféle hitelesítési formát támogat, beleértve a tanúsítványokat, intelligens kártyákat és egyszeri jelszavakat, amelyek mind nagyobb biztonságot nyújtanak, mint a 802.11-be integrált hozzáférés-szabályozás.

A 802.11 vezeték nélküli hálózatokban a Robust Security Network nevű technológia a 802.1x keretrendszerre épül, hogy korlátozza a hálózati hozzáférést az engedélyezett eszközökhöz.

A legtöbb végfelhasználónak két dolgot kell tudnia a 802.1x -ről: Először is, néhány (de nem minden) 802.11b hardverbe és szoftverbe integrálva van, beleértve a Windows XP -vel szállított vezeték nélküli konfigurációs segédprogramot és sok modern hozzáférési pontot, így ez egy másik potenciális védőréteg; másodszor pedig továbbra is komoly hibái vannak, amelyeket egy tapasztalt hálózati hacker kihasználhat, hogy beszivárogjon egy vezeték nélküli hálózatba. A kellemetlen technikai részletek elemzés formájában, amelyet a Marylandi Egyetem két kutatója készített, online elérhetők a http://www.cs.umd.edu/~waa/1x.pdf címen.

Úgy tűnik, egy mérföldkő jelent meg, nem? Az érdeklődő hardver- és szoftvercégek mérnökei összefognak egy kutatócsoport zászlaja alatt

Mit kell tenni? A biztonságos vezeték nélküli hálózat elérhetetlen ideál? Ha a vezeték nélküli biztonságot macska -egér játéknak tekintjük, akkor nyilvánvaló, hogy az egerek (kémek és hálózati kekszek) nyernek. De ezeknek az egereknek mélyreható ismeretekre és hardverre van szükségük a meglévő titkosítási és hitelesítési eszközök leküzdéséhez.

Gondolj rá úgy, mint a ház bejárati ajtajára: ha nyitva hagyod, bárki bejöhet és ellophatja a holmijaidat, de ha bezárod az ajtót és reteszeld az ablakokat, sokkal nehezebb lesz betörni . Szakember kiválaszthatja a zárat, de ez sok időt és erőfeszítést igényel.

Tűzfalak

Ha elismeri azt a gondolatot, hogy a WEP és a 802.1x nem nyújt megfelelő vezeték nélküli biztonságot, akkor a következő logikus lépés az, hogy talál egy másik módot annak megakadályozására, hogy a kívülállók hozzáférjenek a hálózatához. Tűzfal kell.

A tűzfal egy proxykiszolgáló, amely a hálózat rendszergazdája által beállított szabálykészlettől függően szűri a hálózaton keresztül vagy onnan érkező összes adatot. Például egy tűzfal kiszűrheti az ismeretlen forrásból származó adatokat, vagy egy adott forráshoz (vírusokhoz) tartozó fájlokat. Vagy átadhatja a helyi hálózatról továbbított összes adatot az Internetre, de csak bizonyos típusú adatokat engedélyezhet az internetről. A hálózati tűzfal leggyakoribb felhasználása az Internet átjárója, amint az az ábrán látható. 14.5. A tűzfal figyeli az összes bejövő és kimenő adatot az egyik oldalon a helyi hálózat és a másik oldalon az Internet között. Az ilyen típusú tűzfalakat úgy tervezték, hogy megvédjék a hálózatban lévő számítógépeket az illetéktelen hozzáféréstől az Internetről.

Rizs. 14.5

Vezeték nélküli hálózatban a tűzfal a vezeték nélküli hozzáférési pontok és a vezetékes hálózat közötti átjárón is elhelyezhető. Egy ilyen tűzfal elszigeteli a hálózat vezeték nélküli részét a vezetékes hálózattól, így a rosszhiszeműek, akik engedély nélkül csatlakoztatják számítógépüket a hálózathoz, nem használhatják a vezeték nélküli kapcsolatot az internethez vagy a hálózat vezetékes részéhez. Ábrán. A 14.6 egy tűzfal helyét mutatja egy vezeték nélküli hálózaton.

Rizs. 14.6

Ne hagyjon esélyt a vezeték nélküli támadóknak

A legtöbb vezeték nélküli hálózathoz csatlakozni próbáló ember nem foglalkozik más számítógépekkel; érdeklődnek az ingyenes nagysebességű internet-hozzáférés iránt. Ha nem tudják használni a hálózatot fájlok letöltéséhez vagy kedvenc weblapjaikhoz való csatlakozáshoz, akkor valószínűleg megpróbálnak más, nem biztonságos vezeték nélküli hotspotot találni. Ez nem jelenti azt, hogy érzékeny adatokat kell tárolnia a védtelen számítógépek hozzáférhető fájljaiban, de ha korlátozhatja vagy megtagadhatja az internethez való hozzáférést, akkor sokkal kevésbé teszi vonzóvá hálózatát a rosszhiszeműek számára. A tűzfal egy vezeték nélküli hálózaton több funkciót is elláthat: útválasztóként működik a vezeték nélküli és a vezetékes hálózat között, vagy hídként működik a hálózat és az internet között, és blokkolja a forgalmat a vezeték nélküli végtől a vezetékes végéig, amely nem hitelesített felhasználótól származik. De nem zavarja a megbízható felhasználók parancsait, üzeneteit és fájlátvitelét.

Mivel mind a jogosult felhasználók, mind a kívülállók a tűzfal nem biztonságos oldalán vannak, ez nem szigeteli el a vezeték nélküli csomópontokat egymástól. Egy rosszindulatú ember továbbra is hozzáférhet egy másik számítógéphez ugyanazon a vezeték nélküli hálózaton, és elolvassa a rendelkezésre álló fájlokat, ezért a legjobb, ha letiltja Fájlmegosztás(Fájlhozzáférés) bármely vezeték nélküli hálózathoz csatlakoztatott számítógépen.

A vezeték nélküli tűzfalnak valamilyen típusú hitelesítést kell használnia, hogy a jogosult felhasználók átjárhassák az átjárót, és kiszűrhessenek mindenkit. Ha a MAC-alapú hozzáférés-vezérlés a 802.11b rendszerekbe van beépítve, és az opcionális 802.1x hitelesítés nem elfogadható, akkor egy külső tűzfal megköveteli minden felhasználótól, hogy adja meg felhasználónevét és jelszavát, mielőtt csatlakozik az internethez.

Ha vezeték nélküli hálózata több operációs rendszert futtató számítógépet tartalmaz, a tűzfalnak minden platformon működő bejelentkezési nevet kell használnia. Ennek legegyszerűbb módja az Apache webszerveréhez (http://httpd.apache.org) tartozó web-alapú hitelesítési szerver használata.

A NASA az Apache segítségével egy dedikált szerveren létrehoz egy olyan webhelyet, amely értesíti a felhasználókat a fiók nevének és jelszavának megadásáról.

A szerver Perl / CGI parancsfájlt használ a bejelentkezés és a jelszó összehasonlításához az adatbázissal. Ha helyesek, utasítja a szervert, hogy fogadja el a parancsokat és adatokat a felhasználó IP -címe alapján. Ha nincs felhasználónév az adatbázisban, vagy a jelszó pontatlan, az Apache megjeleníti az Érvénytelen felhasználónév és jelszó weboldalt.

Az Apache webszerver Unix alkalmazásként érhető el, amely egy régi, lassú számítógépen fut, korai Pentium-kal vagy akár 486-os processzorral, így gyakran lehetséges egy régi számítógép használatba vétele, amelyet már nem használnak a mindennapi munkában tűzfalként működjön. Mind az Apache alkalmazás, mind a Unix operációs rendszer elérhető nyílt forráskódú szoftverként, így lehetővé kell tenni egy Apache-alapú tűzfal építését rendkívül alacsony költségek mellett.

Ha inkább a Windows rendszert használja a Unix helyett, akkor több lehetőség közül választhat. Használhatja az Apache Windows NT/2000 verzióját vagy olyan kereskedelmi segédprogramot, mint a Sygate Wireless Enforcer (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) - A Wireless Enforcer a Sygate egyéb elemeivel működik együtt Secure Enterprise Suite. Sygate Security) egyedi ujjlenyomat hozzárendeléséhez és ellenőrzéséhez minden jogosult felhasználóhoz. Ha a kívülállók a szükséges ujjlenyomat nélkül próbálnak csatlakozni egy hozzáférési ponthoz, a hálózat blokkolja őket.

A hálózat elszigetelése az internetről

Nem minden támadást hajtanak végre vezeték nélkül. A vezeték nélküli hálózat ugyanolyan tűzfal támogatást igényel az internetes támadások ellen, mint bármely más hálózat. Sok hozzáférési pont tartalmaz konfigurálható tűzfal funkciókat, de ha a tiéd nem, a hálózatnak tartalmaznia kell az alábbi tűzfalak közül egyet vagy többet:

Tűzfal szoftver minden számítógépen;

Külön útválasztó vagy dedikált számítógép hálózati tűzfalként;

Integrált biztonsági csomag, például az előző részben ismertetett Sygate csomag.

A tűzfal kliensprogramok egy másik védelmi vonalat nyújtanak az interneten keresztül a hálózatot ért támadások ellen. Némelyikük becsmérlőktől származik, akik módot keresnek fájljai és egyéb erőforrásainak elolvasására, amelyeket el szeretne rejteni a külvilág elől. Mások esetleg a számítógépet szeretnék használni a spamek kézbesítési pontjaként, vagy megpróbálnak beszivárogni egy számítógépbe a világ más részein, hogy megnehezítsék az igazi erőforrás nyomon követését. Mások vírusokat terjesztenek, vagy nemkívánatos programokat használnak, amelyek lehallgatják a számítógép vezérlését, és ijesztő vagy reklámüzeneteket jelenítenek meg. Ezenkívül egy nem biztonságos gép, sok elpazarolt tárhellyel, vonzó célpont lehet azoknak a hackereknek, akik kalózszoftvereket, zenét vagy videofájlokat szeretnének terjeszteni (nem gondolja, hogy ezt a szemetet saját számítógépükön tárolják?).

Ha telepít egy tűzfalat, amely értesíti Önt, amikor egy külső számítógép megpróbál csatlakozni a hálózathoz, akkor valószínűleg naponta több behatolási kísérletet fog látni.

Hozzáférési pontok tűzfalakkal

A vezeték nélküli tűzfal legegyszerűbb módja a beépített hozzáférési pont használata. Néhányan egyesítik a vezeték nélküli hozzáférési pont funkcióit egy szélessávú útválasztóval és Ethernet kapcsolóval, így mind a vezetékes, mind a vezeték nélküli hálózati ügyfeleket támogatják.

Mint tudod, a hálózati útválasztó fordítást biztosít a helyi hálózat átjáróját meghatározó numerikus IP -cím és az azon belüli egyes számítógépeket azonosító belső IP -címek között. A tűzfal általában blokkolja az összes bejövő adatkérést a helyi hálózati gazdagépeknek, de ez problémákat okoz, ha egy vagy több számítógépet szeretne használni a helyi hálózaton fájlszerverként. A probléma megoldásához a tűzfal tartalmaz egy virtuális kiszolgálót, amely bizonyos típusú kéréseket átirányít a hálózat megfelelő számítógépére.

A szerverhez való csatlakozás minden kérése tartalmaz egy adott portszámot, amely azonosítja a szerver típusát. Például a webszerverek a 80 -as, az FTP pedig a 21 -es portot használják, így ezek a portszámok a hozzáférési kérelem részét képezik. Amikor elfogadja a szerver elérésére vonatkozó kérelmeket, engedélyeznie kell a hálózati címfordítást (NAT) a tűzfalon, hogy ezeket a kéréseket a helyi hálózaton belül meghatározott számítógéphez irányítsa. Ábrán. 14.7 a virtuális szerver úgy van konfigurálva, hogy olyan számítógépet használjon, amelynek helyi IP -címe 192.168.0.177, mint webkiszolgáló, és 192.168.0.164, mint FTP -fájlkiszolgáló. asztal 14.1 felsorolja a leggyakoribb szolgáltatás portszámokat.

Tab. 14.1 Gyakori TCP / IP szolgáltatásportszámok

Több száz portszámot használnak különböző hálózatokon, de a legtöbbet soha nem fogja látni valós használatban. A hozzárendelt portok hivatalos listája a http://www.iana.org/assignments/port-numbers címen található.

Rizs. 14.7

A NAT fordítás feltételezi, hogy az egyes virtuális kiszolgálók IP -címei nem változhatnak egyik kérésről a másikra. A jelenlegi 192.168.0.23 számú webkiszolgálónak egy hét után nem szabad 192.168.0.47 -re váltania. Ez általában nem vezetékes hálózaton jelent problémát, hanem vezeték nélküli hálózaton, ahol a hálózati kliensek folyamatosan csatlakoznak és kilépnek. A DHCP szerver automatikusan hozzárendeli a következő elérhető számot minden új ügyfélhez. Ha ezen felhasználók egyike a hálózati szolgáltatási portok egyikének helye, előfordulhat, hogy a NAT nem tudja észlelni. Ez a probléma nem túl gyakori, mivel a legtöbb hálózat nem használ laptopot szerverként, de néha előfordul. A megoldás az, hogy vagy letiltja a DHCP -kiszolgálót, és állandó IP -címet rendel hozzá minden ügyfélhez, vagy áthelyezi a szolgáltatásportot egy olyan számítógépre, amely vezetékes kapcsolattal rendelkezik a hálózathoz.

Tűzfal szoftver

A vezeték nélküli átjáró tűzfala a hozzáférési pont és a LAN vezetékes része közötti interfészen megakadályozza, hogy a kívülállók a hálózatot használják az internethez való hozzáféréshez, és az internetkapcsolat tűzfala elutasítja az internetről a hálózathoz való csatlakozási kísérleteket, de a hálózatnak másfajta védelemre van szüksége. Ha valaki engedély nélkül fér hozzá a vezeték nélküli hálózatához, akkor meg kell szabadítania más jogos számítógépeket ugyanazon a hálózaton. Ez azt jelenti, hogy minden hálózati csomóponthoz kliens tűzfalprogramra van szüksége.

A kliens tűzfal ugyanazokat a funkciókat látja el a számítógép hálózati interfészén, mint egy hálózati vagy vállalati tűzfal egy teljes hálózaton. A rendszer észleli a TCP -portokhoz való csatlakozási kísérleteket, és figyelmen kívül hagyja azokat, ha azok nem felelnek meg a tűzfalszoftver egy vagy több konfigurációs beállításának.

Néhány tűzfal kipróbálható verzióban érhető el, míg mások ingyenesek a nem kereskedelmi felhasználók számára, így könnyen kipróbálhatja őket saját rendszerén, és kiválaszthatja a legjobban tetszőt.

Az alábbiakban néhány programot talál a Windows számára:

A Unix és Linux felhasználók számos tűzfal funkcióval is rendelkeznek. Legtöbbjük önálló tűzfalszámítógépeken való használatra készült, amelyeket széles körben használnak hálózati átjáróként, de ugyanúgy védelmet nyújthatnak az egyes hálózati ügyfelek számára.

Linuxon a tűzfal a kernel része, a felhasználó a konzol segédprogramjain keresztül dolgozik vele - akár ipchains, akár iptables. Mindkettőt dokumentálják a http: // linuxdoc.org/HOWTO /IPCHAINS-HOWVTO.html és a http: // www.netfilter .org/reliable-guides / packet-filtering-HOWTO címen. Az IP Filter egy szoftvercsomag, amely tűzfalszolgáltatásokat nyújt a FreeBSD és a NetBSD rendszerekhez. A hivatalos IP-szűrő webhely a http://coombs.anu.edu.au/-avalon címen található, a http://www.obfuscation.org/ipf/ipf-howto.txt pedig kiváló dokumentumot tartalmaz a használatáról. A program elutasíthat vagy engedélyezhet minden olyan csomagot, amely áthalad a tűzfalon, valamint szűrhet hálózati maszk vagy gazdagép címe alapján, érvényt szerezhet a szolgáltatásport -korlátozásoknak, és NAT fordítási szolgáltatásokat nyújthat.

A NetBSD / i386 tűzfal egy másik ingyenes Unix tűzfal.

Minden olyan PC -n fut, amely 486 vagy magasabb processzorral rendelkezik, és minimális memória mérete 8 MB. A NetBSD/i386 Firewall Project honlapja a http://www.dubbele.com címen található.

A PortSentry egy port szkennelési érzékelő eszköz, amely integrálódik számos széles körben használt Linux verzióba, beleértve a Red Hat, Caldera, Debian és Turbo Linux rendszereket. Letölthető a http: // www.psionic .com / products / portsentry.html weboldalról.

Virtuális magánhálózatok

Ha a hálózati csomópontok közötti kapcsolatot elkülöníti a többi hálózati forgalomtól, a VPN újabb védelmi réteget adhat hozzá. A VPN egy titkosított átviteli csatorna, amely két hálózati végpontot összeköt "adat alagúton" keresztül. Sok tűzfalszakértő javasolja a VPN-eket, mint hatékony módszert arra, hogy megvédje vezeték nélküli hálózatát a rosszindulatú személyektől és az illetéktelen felhasználóktól. További részleteket a VPN beállításáról és használatáról a következő fejezetben talál.

Fizikai védelem

Eddig arról beszéltünk, hogy megakadályozzuk az e-tolvajok hozzáférését a hálózatához. Elég egyszerű a hálózathoz való hozzáférés a még nem konfigurált kész hardver használatával. Ez még egyszerűbb, ha a támadónak számítógépe van, amelyet egy jogosult felhasználótól loptak el.

A laptop elvesztése kellemetlen. Még rosszabb, ha megengedjük a tolvajnak, hogy az ellopott számítógépet használja a hálózat követésére. Hálózati üzemeltetőként emlékeztesse a felhasználókat arra, hogy a kézi eszközeik vonzó célpontok a tolvajok számára, és ajánlásokat kell ajánlaniuk védelmük érdekében. Felhasználóként Önnek is be kell tartania ugyanazokat a szabályokat.

Az első szabály egyszerű - ne felejtse el, hogy számítógépe van. Nyilvánvalónak tűnik, de a londoni taxisok fél év alatt megközelítőleg 2900 laptopot (és 62 000 mobiltelefont!) Találtak autójukban. Számtalan más maradt repülőgépen, szállodai szobában, ingázó vonaton és konferenciateremben. Ne hirdesse, hogy számítógépe van. Divatosnak tűnhetnek a nejlonzacskók, amelyek oldalán nagy „IBM” vagy „COMPAQ” felirat olvasható, de nem olyan biztonságosak, mint egy normál aktatáska vagy táska.

A számítógépet mindig kézzel vagy a vállán hordja, ha nincs bezárva egy szekrénybe vagy tárolóhelyiségbe. Elvonja a figyelmét egy percre - és egy tapasztalt tolvaj képes lesz elrabolni. A repülőtéri terminálok, a vasútállomások és a szállodai lobbi gyakori lopási hely. Ne hagyjon egyik napról a másikra védtelen személyi számítógépet az irodában. Ne futtassa a repülőtéri szkennereken. Kérje meg a vezérlőt, hogy vizsgálja meg saját maga, vagy győződjön meg arról, hogy vissza tudja -e adni a számítógépet, amint befejezte a futószalagon való haladást. Két, párban dolgozó ember könnyen letartóztathatja Önt, és ellophatja a számítógépét, mielőtt megvan. Ha valaki megpróbál ellopni egy számítógépet a poggyász ellenőrzése közben, hangoskodjon, és hívja a biztonsági szolgálatot. Győződjön meg arról, hogy a számítógépeken és az egyes alkatrészeken, például a PC -kártyákon kívül és belül fel vannak tüntetve tulajdonosi címkék.

Az irodai ingatlanok biztonsági nyomon követése (http://www.stoptheft.com) regisztrált cianoakrilát ragasztóból készült, nyomtatható biztonsági címkéket kínál, amelyek eltávolításához 360 kg erő szükséges, és az állandó „Lopott tulajdon” vegyi jel, amely látható, ha bárki vagy eltávolítja parancsikon.

Ha meg tudja győzni ügyfeleit, hogy személyhívó eszközöket használnak számítógépükön, az növelheti a visszatérés esélyét. A TRACKIT (http: // www.trackit-corp.co m) egy kétrészes figyelmeztető eszköz, amely lánchoz csatlakoztatott jeladót és egy számítógépes táskában talált miniatűr vevőt használ. Ha az adó több mint 12 m -re van a vevőtől, 110dB szirénát bocsát ki, ami általában arra készteti a tolvajt, hogy dobja el az ellopott táskát.

Végül tartsa külön a modellek és sorozatszámok listáját az eszközöktől. Ezekre az információkra szüksége van a biztosítási igényekhez.

Ha azt tapasztalja, hogy a hálózathoz csatlakoztatott számítógépek egyike elveszett vagy ellopták, fontos a hálózat többi részének védelme. A lehető leghamarabb módosítsa a hálózati SSID -t, jelszót és WEP -kulcsokat. Ha a hálózat a hozzáférés -vezérléshez MAC -címek listáját használja, távolítsa el az ellopott eszköz MAC -címét az engedélyezett kapcsolatok listájából.

Hálózatának összekapcsolása a világgal

Ha vezeték nélküli hálózatot használ az internet megosztásához egy szomszédos hálózaton vagy egyetemen, vagy ha szeretné, hogy az ügyfelek és más látogatók csatlakozhassanak a vezeték nélküli hálózatához, akkor ne használjon WEP -t vagy más biztonsági eszközt az ismert felhasználók hozzáférésének korlátozására de még mindig meg kell tennie néhány biztonsági intézkedést. ...

Az a vágya, hogy közvetlen hozzáférést biztosítson az embereknek az internethez, nem jelenti azt, hogy hagyja, hogy barangoljanak a hálózat más számítógépein - el kell különítenie a vezeték nélküli hotspotokat a hálózat többi részétől.

Ha a hálózat összes helyi hosztja vezetékes, akkor a legjobb módszer egy tűzfal elhelyezése a vezeték nélküli hozzáférési pont és a vezetékes LAN között, amely lehetővé teszi, hogy a hozzáférési pont (és a hozzá vezeték nélkül csatlakoztatott számítógépek) csak az internethez és vezetékes hálózat, amint az az 1. ábrán látható. 14.8.

Ha azonban néhány otthoni számítógépe vezeték nélküli kapcsolatot használ, meg kell védenie őket a hálózat megosztott részét használó kívülállók hozzáférésétől. Ennek a tervnek néhány módja van: a 2. ábrán. A 14.9. Ábra egy vezeték nélküli hálózatot mutat, amely szoftveres tűzfallal rendelkezik minden otthoni számítógépen. 14.10 - két különálló, azonos SSID -vel rendelkező vezeték nélküli hálózatot használó rendszer ugyanahhoz az internetes oldalhoz csatlakoztatva. Az általános hüvelykujjszabály az, hogy egy vagy több tűzfalat használva izolálja a hálózat kollektív részét a számítógépektől, amelyeket nem kíván kitenni a világ többi részének.

Rizs. 14.8

Rizs. 14.9

Rizs. 14.10

Megjegyzések:

A Windows XP és a Windows 2000 rendszerben a fájlhozzáférés központi vezérléséhez kattintson a jobb gombbal a helyi menüre A számítógépemés válassza ki Kezelés... A jobb oldali ablaktáblában válasszon egy könyvjelzőt Megosztott mappák, azután Megoszt. - Kb. tudományos. szerk.

Állami oktatási intézmény

Felsőfokú szakmai végzettség

Tyumen Állami Egyetem

Matematikai és Számítástechnikai Intézet

Információbiztonsági Osztály

Tanfolyammunka

specialitás szerint

« A vezeték nélküli hálózatok védelme »

Befejezve:

357. számú csoport tanulója

Kolbin S.S.

Felügyelő:

Bevezetés.

A vezeték nélküli hálózatoknak sok közös vonása van a vezetékes hálózatokkal, de vannak különbségek is. Annak érdekében, hogy behatoljon egy vezetékes hálózatba, a hackernek fizikailag csatlakoznia kell ahhoz. A Wi-Fi verzióban elegendő, ha az antennát a legközelebbi átjáróba telepíti a hálózati lefedettségi területen.

Bár ma a bonyolult algoritmikus matematikai modelleket alkalmazzák a hitelesítésre, az adatok titkosítására és az átvitel integritásának ellenőrzésére a Wi-Fi hálózatok védelmében, ennek ellenére a Wi-Fi elosztás kezdeti szakaszában gyakran érkeztek olyan üzenetek, amelyek kifinomult berendezések és speciális programok segítségével csatlakozhat néhány vállalati hálózathoz, amelyek csak áthaladnak laptoppal. Még a legendák is arról szólnak, hogy a hackerek nagyvárosokban (háborús sofőrök) járnak bádogdobozból vagy csipszes csomagból épített antennákkal. Állítólag még saját hagyományos jelzőrendszerük is volt, amelyet a járdára húztak, és megfelelően védtelen hozzáférési pontokat jeleztek. Talán így volt, csak a dobozos chipek helyett erőteljes antennákat használtak, és a hagyományos jeleket egy globális helymeghatározó rendszerhez (GPS) társított térképen jelölték. Ez a kurzus a vezeték nélküli hálózatok biztonságára összpontosít. Ebben szeretném elmondani, hogyan védheti meg vezeték nélküli hálózatát. A hálózatbiztonsági szakértők tudják, hogy lehetetlen teljesen megvédeni a hálózatot, és egyszerűen nincs olyan, hogy „tökéletes védelem”. A vezeték nélküli (vagy vezetékes) hálózat biztonságának megfelelő megtervezése érdekében figyelembe kell vennie a védett értékek költségeit, a biztonsági rendszer megvalósításának költségeit, valamint a potenciális támadók képességeit. Más szóval, az emberiség által ismert összes védekezés végrehajtása előtt bölcsebb (és olcsóbb) a leggyakoribb fenyegetések elleni védekezés.

Például a városokban található vezeték nélküli hálózatokat gyakrabban támadják, mint a ritkán lakott területeken található hálózatokat. Naponta több tucat, sőt több száz látogató haladhat át a hálózaton a városban. Ezenkívül a betolakodók észrevétlenek maradhatnak a közelben parkoló autóban. Másrészt egy falu közepén lévő házban található hozzáférési pont nem valószínű, hogy valaha is lát idegen embert, és az ismerős járművek azonnal észrevehetők lesznek.

Néhány felhasználó számára a vezeték nélküli hálózatok biztonságának konfigurálása nehéznek tűnik, remélik, hogy "talán átfújják", és teljesen nyitva hagyják hálózatukat, azaz védtelenül. Emellett az emberek néha azt a kérdést teszik fel, hogy ha csak a hálózatot használják az internet böngészéséhez, és nincsenek titkos információk a számítógépükön, akkor miért kell védeniük hálózatukat? Erre a kérdésre jó válasz van.

A munka célja: elemezze a vezeték nélküli hálózatok biztonságát, emelje ki védelmük módszereit, és határozza meg az egyes elemzett módszerek jellemzőit.

1. A Wi-Fi védelem kialakulásának története.

1997 -ben jelent meg az első IEEE 802.11 szabvány, amelynek biztonsága, mint kiderült, messze nem ideális. Egy egyszerű SSID (Server Set ID) jelszó a helyi hálózathoz való hozzáféréshez a modern szabványok szerint nem tekinthető biztonságnak, különös tekintettel arra, hogy nem kell fizikailag csatlakoznia a Wi-Fi-hez.

A fő védelem hosszú ideig a digitális kulcsok használata volt az adatfolyamok titkosításához a WEP (Wired Equivalent Privacy) funkció segítségével. Maguk a kulcsok rendes jelszavak, 5-13 ASCII karakter hosszúsággal, ami statikus szinten 40 vagy 104 bites titkosításnak felel meg. Amint az idő megmutatta, a WEP nem volt a legmegbízhatóbb biztonsági technológia. És egyébként a hackerek összes fő támadása pontosan a WEP bevezetésének korában történt.

2001 után új vezetékes és vezeték nélküli hálózatokhoz vezettek be egy szabványos IEEE 802.1X szabványt, amely a dinamikus 128 bites titkosítási kulcsok egyik változatát használja, azaz időről időre változik. Így a hálózati felhasználók munkamenetekben dolgoznak, amelyek végén új kulcsot kapnak nekik. Például a Windows XP támogatja ezt a szabványt, és egy munkamenet alapértelmezett ideje 30 perc.

2003 végén vezették be a Wi-Fi védett hozzáférés (WPA) szabványt, amely egyesíti a dinamikus IEEE 802.1X kulcsmegújítás előnyeit a Temporal Keu Integrity Protocol (TClP), az Extensible Authentication Protocol (EAP) és technológia Az üzenetintegritás -ellenőrző (MIC) üzenetek integritásának ellenőrzése.

Emellett számos független biztonsági szabvány fejlődik párhuzamosan a fejlesztőktől, különösen az Intel és a Cisco jól teljesít ezen a területen. 2004 -ben megjelenik a WPA2 vagy a 802.11i - a legbiztonságosabb szabvány

A nem biztosított vezeték nélküli hálózat három fő veszélynek van kitéve.

2.1 Az online erőforrások ismeretlenek számára is elérhetők lesznek.

Amikor valaki csatlakozik a vezeték nélküli hálózathoz, nem különbözik attól, aki vezetékes kapcsolóhoz csatlakozik a hálózaton. Ha semmilyen módon nem korlátozza a hozzáférést a megosztott erőforrásokhoz, akkor a hívatlan vendégek ugyanúgy tehetnek, mint az ismert felhasználók. Másolhatnak, módosíthatnak vagy akár teljesen törölhetnek fájlokat, könyvtárakat és akár teljes lemezeket is. Vagy ami még rosszabb, billentyűzet -elfogók, trójai programok vagy más rosszindulatú programok indítása, amelyek ismeretlen gazdagépeket céloznak meg.

2.2 Minden hálózati forgalom lehallgatható további vizsgálat céljából.

A szükséges eszközök birtokában valós időben tekintheti meg a felkeresett weboldalakat, webhelycímeket, és ami még rosszabb, elhallgathatja jelszavait további használatra, leggyakrabban öncélú célokra.

2.3 Internetcsatornája bármilyen tevékenységre használható, beleértve az illegális tevékenységeket is.

Ha nyílt vezeték nélküli hálózatot használnak filmek vagy zene illegális terjesztésére, akkor ezt sok országban meg lehet fizetni a bűnüldöző szervek pereivel. Ha a csatornát illegálisabb dolgok, például gyermekpornográfia továbbítására használták egy külső erőforráshoz, vagy egy ilyen szerver jelent meg a hálózaton, a problémák sokkal komolyabbak lehetnek. Ezenkívül a csatornát a spamküldők, a DOS -támadások szerelmesei és a rosszindulatú programok, vírusok terjesztői és még sokan mások is használhatják.

Teljesen logikus, ha internet -hozzáférést biztosít minden vendégének. De ha nem komolyan megvédi vezeték nélküli hálózatát, akkor veszélyben van.

3. A különböző képzettségi szintű hackerek elleni védekezés módszerei.

3.1 Nulla szintű készségek: bármely számítógéptulajdonos vezeték nélküli adapterrel.

A nem biztonságos hálózat feltöréséhez nem kell különleges képességekkel rendelkeznie - minden vezeték nélküli adapterrel rendelkező számítógéptulajdonos erre képes. A könnyű használatot gyakran hatalmas pluszként emlegetik a vezeték nélküli hálózatok összefüggésében, de ez kétélű kard. Sok esetben a vezeték nélküli hálózati támogatással rendelkező számítógép bekapcsolása után a felhasználó automatikusan csatlakozik a hozzáférési ponthoz, vagy látja azt a rendelkezésre álló listában.

Az alábbiakban bemutatjuk azokat az intézkedéseket, amelyek segítenek megvédeni a hálózatot a véletlenszerű látogatók ellen, de nem nehezítik meg a hozzáértőbb támadók hozzáférését. Minden intézkedés fontossági sorrendbe van rendezve. A legtöbbjük annyira egyszerű, hogy ajánlott mindet megvalósítani, ha a hardver lehetővé teszi.

Módosítsa az alapértelmezett beállításokat

Módosítsa a rendszergazda jelszavát (és ha lehetséges, felhasználónevét) és SSID -jét (hálózati neve). Általában az alapértelmezett rendszergazdai hitelesítő adatok a következők nyitott és hozzáférhető a legtöbb vezeték nélküli berendezéshez. Ezért azok cseréje nélkül fennáll annak a kockázata, hogy egy napon bejelentkezési hiba lép fel, és elveszíti a vezeték nélküli hálózat kezelésének képességét (amíg vissza nem állítja az összes beállítást)! Az SSID megváltoztatása különösen akkor szükséges, ha más hozzáférési pontok közelében dolgozik. Ha a szomszédos hozzáférési pontok ugyanattól a gyártótól származnak, akkor ugyanazzal az alapértelmezett SSID -vel rendelkeznek, és az ügyfelek valószínűleg tudatlanul csatlakozhatnak az AP -hez, és nem az övékhez. Az új SSID azonosítóhoz semmilyen személyes adatot nem szabad használni! A gondozás során a következő SSID -ket észlelték:

Vezetéknév, keresztnév;

Utca, ház, lakás;

Útlevél;

Telefonszám.

Elvileg, ha több hozzáférési pont van a közelben, akkor érdemes a csatornát megváltoztatni a kölcsönös interferencia elkerülése érdekében. Ez az intézkedés azonban nem lesz jelentős hatással a biztonságra, mivel az ügyfelek leggyakrabban az összes elérhető csatornát megtekintik.

Frissítse a firmware -t és szükség esetén a hardvert.

A legújabb szoftver használata a hozzáférési ponton szintén javítja a biztonságot. Az új firmware általában kijavítja a talált hibákat, és néha új védelmi funkciókat is hozzáad. Néhány újabb hozzáférési pont -modell esetében elegendő néhányszor kattintani az egérgombbal a frissítéshez. A több éve kiadott hozzáférési pontokat a gyártók gyakran már nem támogatják, vagyis nem szabad új firmware -re számítani. Ha a hozzáférési pont firmware -je sem támogatja WP A(Wi-Fi Protected Access), nem is beszélve WPA2, akkor komolyan el kellene gondolkodnia a cseréjén. Ugyanez vonatkozik az adapterekre is! Elvileg minden ma eladott 802.11g berendezés legalább WPA -t támogat, és technikailag WPA2 -re frissíthető. A gyártók azonban nem mindig sietnek a régebbi termékek frissítésével.

Az SSID Broadcast letiltása.

A legtöbb hozzáférési pont lehetővé teszi az SSID -sugárzás kikapcsolását, ami túlterhelő lehet egyes segédprogramok, például a NetstumbIer számára. Ezenkívül az SSID elrejtése megakadályozza, hogy a Windows XP beépített Wireless Zero Configuration segédprogramja és más ügyfélalkalmazások észleljék hálózatát. Ábrán. Az 1. ábra az "ESSID elrejtése" SSID Broadcast Disable elemet mutatja a ParkerVision AP -n. ("SSID" és "ESSID" itt ugyanazt jelenti).

Rizs. 1. Kapcsolja ki az SSID adást a Parkervisio hozzáférési ponton n .

Jegyzet. Az SSID Broadcast letiltása nem védi meg a betolakodóktól az olyan eszközök használatával, mint pl Sors vagy AirMagpet... Az SSID -től függetlenül észlelik a vezeték nélküli hálózat jelenlétét.

Kapcsolja ki a hálózatot, ha nem működik!

A felhasználók gyakran figyelmen kívül hagyják a legegyszerűbb védelmi módszert - a hozzáférési pont kikapcsolását. Mivel nincs vezeték nélküli hálózat, nincsenek problémák. A legegyszerűbb időzítő kikapcsolhatja a hozzáférési pontot például éjszaka, miközben Ön nem használja. Ha ugyanazt a vezeték nélküli útválasztót használja vezeték nélküli hálózatához és internet -hozzáféréséhez, akkor az internetkapcsolata sem fog működni - nem rossz.

Ha nem szeretné leválasztani az internetkapcsolatot, akkor manuálisan letilthatja az útválasztó rádiómodulját, ha ez lehetővé teszi. Tovább Rizs. 2 a rádiómodul leválasztásának pontja látható. Ez a módszer nem elég megbízható, mivel az "emberi tényezőtől" függ - egyszerűen elfelejtheti a leválasztást. Talán a gyártók egyszer hozzáadnak egy funkciót a rádiómodul ütemezett kikapcsolásához.

Rizs. 2. Kapcsolja ki a rádiómodult.

Szűrés vlami alapján MAC -címek

A MAC -címek szerinti szűrést annak biztosítására használják, hogy csak azok a számítógépek férhessenek hozzá a hálózathoz (vagy fordítva, nem), amelyek címei szerepelnek a listában. A szűrés megvédi a hálózatot az újoncoktól, de a tapasztaltabb hackerek könnyen lehallgathatják a MAC -címeket, és megváltoztathatják címüket az engedélyezett címek egyikére.

Rizs. 3. Szűrés MAC -címek az USR 8011 hozzáférési ponton.

Csökkentett átviteli teljesítmény

Kevés fogyasztói AP rendelkezik ezzel a funkcióval, de az átviteli teljesítmény csökkentése korlátozza mind a szándékos, mind a véletlen jogosulatlan kapcsolatok számát. A tömegfelhasználó számára elérhető vezeték nélküli adapterek érzékenysége azonban folyamatosan nő, így aligha érdemes értetlenkedjen így, különösen, ha kizárólag ezt teszi egy lakóház biztonsága miatt. A tapasztalt hackerek általában erős irányított antennákat használnak, amelyek lehetővé teszik számukra, hogy még egy nagyon gyenge jelet is észleljenek, és érvénytelenné tegyék ezt a pontot.

3.2 Az első szintű készségek: felhasználó, aki nyilvános segédprogramokkal rendelkezik a WLAN feltöréséhez

Térjünk át a tapasztaltabb felhasználókhoz, akik kifejezetten a környéken barangolnak, vezeték nélküli hálózatokat keresve. Vannak, akik csak kíváncsiságból teszik ezt, és megpróbálják felfedezni, hány hálózat van a közelben. Soha nem próbálják kihasználni a sebezhető hálózatokat. De vannak kevésbé barátságos hackerek is, akik csatlakoznak és használnak hálózatokat, és néha még kellemetlen tulajdonosok is. A nulla szinten végrehajtott intézkedések nem mentik meg az első szintű betörőktől, és egy betolakodó behatolhat a hálózatba. Használatával megvédheti magát ettől Titkosításés hitelesítés. A hitelesítéssel egy kicsit később foglalkozunk, egyelőre maradjunk a titkosításnál. Az egyik lehetséges megoldás az, hogy az összes vezeték nélküli forgalmat egy virtuális magánhálózat (VPN) alagúton keresztül irányítják.

Titkosítás

A vezeték nélküli tulajdonosoknak a legerősebb titkosítási módszert kell használniuk. Természetesen minden a felszereléstől függ, de így vagy úgy, általában választhat a WBR, a WPA vagy a WPA2 közül. WEP (Wired Equivalent Privacy) - a vezetékes hálózattal egyenértékű biztonság a leggyengébb protokoll, de jelenleg a legelterjedtebb és szinte minden 802.11 -es eszköz támogatja. Lehetséges, hogy abba kell hagynia ennek a technológiának a használatát, mert nem minden vezeték nélküli berendezésgyártó adott ki firmware -frissítéseket WPA támogatással a 802.11b berendezésekhez. Vannak, akik továbbra is csak WEP -t támogató berendezéseket gyártanak, például vezeték nélküli VoIP -telefonokat. Így mesterségesen csökkenteni kell a hálózat biztonságát, mivel nem minden berendezés támogatja az újabb technológiákat.

Mind a WPA (Wi-Fi Protected Access), mind a WPA2 jó vezeték nélküli biztonságot nyújt az erősebb titkosítás és a jobb kulcskezelés révén. A fő különbség a kettő között az, hogy a WPA2 támogatja az erősebb AES (Advanced Encryption Standard) titkosítást. Számos, WPA -t támogató termék azonban lehetővé teszi az AES titkosítási algoritmus használatát a standard TKIP helyett.

A legtöbb 802.11g termék támogatja a WPA -t, de vannak kivételek. Ami a régebbi termékek WPA2 -re való frissítését illeti, sok firmware még fejlesztés alatt áll, annak ellenére, hogy a 802.11i szabványt, amelyen a WPA2 alapul, még 2004 júniusában jóváhagyták.

Javasoljuk legalább a WPA használatát. Hatékonysága összehasonlítható a WPA2 -vel, és mint már írtuk, a szabványt számos berendezés támogatja. Természetesen a WPA megvalósítása új hardver vásárlását igényelheti, különösen, ha 802.11b -t használ. A 11 g -os hardver azonban ma viszonylag olcsó, és kifizetődő lehet.

A legtöbb WPA és WPA2 fogyasztói AP csak a WPA-PSK (Pre-Shared Keu) jelszómódot támogatja (4. ábra)... A WPA2 vagy a WPA "Enterprise" (más néven WPA "RADIUS") bizonyos hardverekben is támogatott, de RADIUS szervert igényel

Rizs. 4. Forgalom titkosítása a Netgear hozzáférési ponton.

A legtöbb privát vezeték nélküli hálózat esetében a WPA-PSK használata nagy biztonságot nyújt, de csak akkor, ha viszonylag hosszú és összetett jelszót választ. Nem csak a szótárból származó számokat vagy szavakat kell használni, például olyan programokként, mint pl tehen engedélyezze a szótári támadásokat a WPA-RSK ellen.

Robert Moskowitz, az ICSA Labs vezető technikai igazgatója cikk 128 bites PSK titkosítás használata ajánlott. Szerencsére minden WPA -megvalósítás lehetővé teszi alfanumerikus jelszavak használatát, vagyis 16 karakter elegendő Moszkvics ajánlásának teljesítéséhez.

Az interneten sok jelszógenerátor található, mindössze egy keresőmotort kell használnia. Végül néhány gyártó

A berendezések elkezdték értékesíteni a hozzáférési pontokat és a vezeték nélküli adaptereket a vezeték nélküli biztonság automatikus konfigurálásával. Bivaly technológia. technológia sorozatú termékcsaládot adott ki AOSS(AirStation OneTouch Secure Station). A Linksys a közelmúltban megkezdte ezt a technológiát támogató hardverek gyártását és értékesítését. SecureEasySetup a Broadcom -tól.

3.3 BToporo szintű képességek: felhasználó a WEP / WPA-PSK feltöréséhez használt segédprogramokkal

A WPA és a WPA2 lefedi a WEP problémáinak nagy részét, de továbbra is sebezhetőek, különösen a PSK változatban. A WPA és a WPA2 feltörése jelszóval nehezebb és drágább, különösen AES titkosítás használatakor, de még mindig lehetséges.

Hitelesítés

A fenyegetés elleni védelem érdekében hitelesítést kell végrehajtani. A hitelesítés újabb biztonsági réteget biztosít, mivel megköveteli, hogy az ügyfél számítógépe regisztráljon a hálózaton. Hagyományosan ez a hitelesítési szerverrel ellenőrzött tanúsítványok, jogkivonatok vagy jelszavak (más néven PreShared-Key) használatával történik.

Alapértelmezett 802.1X lehetővé teszi a WEP, a WPA és a WPA2 használatát, és többféle hitelesítést támogat EAP(Bővíthető hitelesítési protokoll). A hitelesítés beállítása nehéz és költséges lehet még a szakemberek számára is, nem beszélve a hétköznapi felhasználókról. A jelenlegi San Francisco -i RSA konferencián például sok résztvevő úgy döntött, hogy nem állítja be a vezeték nélküli biztonságot, csak azért, mert az útmutató egy egész oldal volt!

Szerencsére a helyzet folyamatosan javul, már nem kell teljes értékű szervert vásárolni SUGÁR annyi könnyen telepíthető alternatíva alakult ki.

A Wireless Security Corporation hasonló termékét (amelyet a McAfee nemrég vásárolt meg) WSC Guard néven hívják. Az előfizetési árak felhasználónként havi 4,95 dollárról indulnak, és több ülésért fizetve kedvezmények érvényesek. A következő megoldás jobban megfelel a tapasztalt "hálózatépítőknek" - TinyPEAP egy firmware RADPJS szerverrel, amely támogatja a PEAP hitelesítést vezeték nélküli útválasztókon Linksys WRT 54 Gés GS... Ne feledje, hogy a firmware -t hivatalosan nem támogatja a Linksys, ezért a telepítés saját felelősségére történik.

3.4 A harmadik szint készségei: professzionális hacker

Eddig a védelem lecsökkent, és megakadályozta, hogy a támadó csatlakozzon a hálózatához. De mi van, ha minden erőfeszítés ellenére? hacker bekerült a hálózatba?

A vezetékes és vezeték nélküli hálózatok számára léteznek észlelési és megelőzési rendszerek, de ezek vállalati szinten vannak megcélozva, és ennek megfelelően vannak árazva. Nyitott forráskódon alapuló megoldásokat is találhat, de sajnos nem teljesen világos a kezdők számára. Az évek során a vezetékes hálózatok olyan alapvető biztonsági elveket dolgoztak ki, amelyek a vezeték nélküli hálózatokra is alkalmazhatók. Megvédik a betolakodókat.

Általános hálózati biztonság

A hálózatok védelmének megerősítése érdekében a következő intézkedéseket kell végrehajtani

Hitelesítés bármely hálózati erőforrás elérésekor.

Bármilyen szerver, megosztás, útválasztó vezérlőpult stb. hitelesítést igényel. Lehetetlen azonban valódi felhasználói szintű hitelesítés megvalósítása megfelelő szerver nélkül. Legalább jelszavakat kell beállítani minden megosztásra, és letiltani a vendégfiókot, ha Windows XP rendszert használ. És soha ne osszon meg teljes részeket!

A hálózat szegmentálása.

A hálózathoz nem csatlakozó számítógép védve van a hálózati támadásoktól. Vannak azonban más módok is a hozzáférés korlátozására. Számos megfelelően konfigurált, olcsó NAT -útválasztó kiváló alapot nyújthat az internethez hozzáférő biztonságos LAN -szegmensek létrehozásához. Erről itt olvashat bővebben. A VLAN támogatással rendelkező kapcsolók vagy útválasztók szintén segítenek a hálózatok elkülönítésében. A VLAN funkciók azonban a legtöbb felügyelt kapcsolón rendelkezésre állnak, de szinte soha nem találhatók meg olcsó útválasztókban és felügyelet nélküli kapcsolókban.

Szoftvervédelmi eszközök.

Legalább frissített víruskereső megoldásokat kell használnia, és rendszeresen frissítenie kell az adatbázisokat. Személyes tűzfalak, mint pl ZoneAlarm, BlackICEés mások figyelmeztetni fognak a gyanús hálózati tevékenységekre. Sajnos a rosszindulatú programok és kémprogramok legújabb verziói speciális kémprogram-ellenes szoftvereket igényelnek. Itt megjegyezheti Webroot szoftverek kémseprő, és A Sunbelt Software CounterSpy.

Vegye figyelembe, hogy a megbízható hálózatvédelem megszervezése érdekében kivétel nélkül minden gépet meg kell védeni!

Fájltitkosítás.

A fájlok titkosítása titkosított algoritmusok használatával megbízható védelmet nyújt jogosulatlan hozzáférés esetén. A Windows XP felhasználók használhatják a Windows titkosított FiIe rendszert (EFS). Mac OS X Tiger felhasználók - FileVault. A titkosítás hátrányai között megjegyezhető, hogy processzor erőforrásokat igényel, és ez jelentősen lelassíthatja a fájlokkal való munkát.

Következtetés.

A vezeték nélküli hálózatok természetesen sok kényelmet biztosítanak, de okosnak kell lenni a biztonságukkal kapcsolatban. Ha maga nem védekezik, akkor senki sem fogja megtenni helyetted. Természetesen nem valószínű, hogy megvédi magát egy profi hackertől, de ez jelentősen megnehezíti a munkáját. És a hálózata valószínűleg nem fogja érdekelni a szakembereket. De védve lesz a számos "szemtelen" szeretőtől. Tehát mérlegelje az előnyöket és hátrányokat, és védje meg hálózatát!

Bibliográfia.

1. Hálózatok és internet: Wi-FI: harci technikák a vezeték nélküli hálózatok feltörésére és védelmére.

2. http://www.thg.ru/network/20050903/- Vezetéknélküli Biztonság

3. "Computer press" magazin - A vezeték nélküli hálózatok védelme a hackelés ellen

4. Simonov S. Kockázatelemzés. Kockázatkezelés // Jet Info, 1999. № 1. 3. Az információs rendszerek biztonsági auditja // Jet Info, 2000, № 1.

5. Magas statisztikai technológiák. Szakértői értékelések. Tankönyv. Orlov A.I. - M.: Vizsga, 2007.