Hem / Utbildning/ Sammanfattning: "Skydd av trådlösa nätverk. Sätt att skydda mot hackare på olika färdighetsnivåer

Sammanfattning: ”Skydd av trådlösa nätverk. Sätt att skydda mot hackare på olika färdighetsnivåer

Den otroligt snabba takten i dagens nätverk av trådlösa lösningar får dig att tänka på tillförlitligheten i dataskydd.

Själva principen för trådlös dataöverföring innebär möjligheten för obehöriga anslutningar till åtkomstpunkter.

Ett lika farligt hot är sannolikheten för utrustningsstöld. Om säkerhetspolicyn för ett trådlöst nätverk är baserat på MAC -adresser kan ett nätverkskort eller en åtkomstpunkt som stulits av en angripare öppna åtkomst till nätverket.

Ofta utförs obehörig anslutning av åtkomstpunkter till ett LAN av företagets anställda själva, som inte tänker på skydd.

Lösningen på sådana problem måste hanteras på ett heltäckande sätt. Organisatoriska åtgärder väljs utifrån driftförhållandena för varje specifikt nätverk. När det gäller tekniska åtgärder uppnås ett mycket bra resultat med användning av obligatorisk ömsesidig autentisering av enheter och införandet av aktiva kontroller.

År 2001 tycktes de första implementeringarna av drivrutiner och program klara WEP -kryptering. Den mest framgångsrika är PreShared Key. Men det är bara bra med tillförlitlig kryptering och regelbundet byte av lösenord av hög kvalitet (bild 1).

Figur 1 - Algoritm för analys av krypterad data

Moderna säkerhetskrav

Autentisering

För närvarande, i olika nätverksutrustningar, inklusive trådlösa enheter, används en mer modern autentiseringsmetod i stor utsträckning, vilket definieras i standarden 802.1x - tills ömsesidig verifiering har utförts kan användaren varken ta emot eller överföra data.

Ett antal utvecklare använder EAP-TLS- och PEAP-protokollen för autentisering i sina enheter, Cisco Systems, erbjuder för sina trådlösa nätverk, förutom de som nämns, följande protokoll: EAP-TLS, PEAP, LEAP, EAP-FAST.

Alla moderna autentiseringsmetoder stöder dynamiska nycklar.

Den största nackdelen med LEAP och EAP-FAST är att dessa protokoll huvudsakligen stöds i Cisco Systems-utrustning (fig. 2).

Figur 2 - 802.11x paketstruktur med TKIP -PPK-, MIC- och WEP -kryptering.

Kryptering och integritet

Baserat på rekommendationerna från 802.11i implementerade Cisco Systems Temporal Integrity Protocol (TKIP), som säkerställer ändringen av krypteringsnyckeln PPK (Per Packet Keying) i varje paket och styr integriteten för MIC -meddelanden (Message Integrity Check).

Ett annat lovande krypterings- och integritetsprotokoll är AES (Advanced Encryption Standard). Den har bättre kryptografisk styrka jämfört med DES och GOST 28147-89. Det ger både kryptering och integritet.

Observera att algoritmen (Rijndael) som används i den inte kräver stora resurser vare sig vid implementering eller drift, vilket är mycket viktigt för att minska datalatens och processorbelastning.

Säkerhetsstandarden för trådlöst LAN är 802.11i.

Standarden Wi-Fi Protected Access (WPA) är en uppsättning regler som ger säkerhet för 802.11x-nätverk. Sedan augusti 2003 har WPA-överensstämmelse varit ett obligatoriskt krav för Wi-Fi-certifierad utrustning.

WPA-specifikationen innehåller ett modifierat TKOP-PPK-protokoll. Kryptering utförs på en kombination av flera nycklar - nuvarande och nästa. I detta fall ökas IV: s längd till 48 bitar. Detta gör det möjligt att genomföra ytterligare åtgärder för att skydda information, till exempel för att skärpa kraven för återförbindelser, omautentisering.

Specifikationerna inkluderar stöd för 802.1x / EAP, delad nyckelautentisering och naturligtvis nyckelhantering.

Tabell 3 - Metoder för att genomföra säkerhetspolicy

Fortsättning av tabell 3

Med användning av modern utrustning och mjukvara är det nu möjligt att bygga ett säkert och attackbeständigt trådlöst nätverk baserat på 802.11x-seriens standarder.

Nästan alltid är ett trådlöst nätverk associerat med ett trådbundet nätverk, och detta, förutom behovet av att skydda trådlösa kanaler, är det nödvändigt att ge skydd i trådbundna nätverk. Annars kommer nätverket att ha fragmenterat skydd, vilket i själva verket är ett säkerhetshot. Det är lämpligt att använda utrustning som har ett Wi-Fi-certifierat certifikat, det vill säga bekräftar överensstämmelse med WPA.

Behöver implementera 802.11x / EAP / TKIP / MIC och dynamisk nyckelhantering. För ett blandat nätverk bör VLAN användas; med externa antenner används VPN -teknik.

Det är nödvändigt att kombinera både protokoll- och programvaruskyddsmetoder och administrativa.

KAPITEL 3 TEKNISKT SKYDD AV INFORMATION

I samband med den snabba utvecklingen av lokala och globala datanät har intelligensmetoder (industriellt spioneri) som syftar till att fånga upp information som bearbetas (överförts, lagras) i lokala nätverk också utvecklats i stor utsträckning.

Inträde till det lokala nätverket för vilken organisation som helst är endast möjlig med otillräckligt kvalificerad konfiguration av alla delar av det lokala nätverket av systemadministratören. Vid en kompetent inställning måste angripare leta efter metoder för att få information som inte är relaterad till penetration i det lokala nätverket. För detta används metoder för att fånga upp information via kanaler för falska utsläpp och störningar (PEMIN) för lokala nätverkselement. Metoden för att skydda enskilda datorer är väl utvecklad, med stöd av nödvändiga regleringsdokument. Uppgiften att skydda information från läckage genom PEMIN -kanaler i ett lokalt nätverk är mycket svårare än för autonomt använda enheter.

Arbetsstationer och aktiv nätverksutrustning är källor till elektromagnetisk strålning i ett lokalt nätverk. Skärmning av denna utrustning används för att skydda mot läckage av information genom kanalerna för falska utsläpp och upphämtningar. För att minska strålningsnivån för aktiv LAN -utrustning är utrustning och servrar bäst placerade i ett skärmad skåp.

Kapslingar finns för närvarande tillgängliga för datorer som uppfyller kraven i det europeiska EMS -direktivet 89/336 / EEC. Moderna höljen kan avsevärt försvaga strålningen av datorelement, men de flesta kräver ytterligare förfining. Kvaliteten på avskärmningen av datorsystemenhetens hölje påverkar strålningsnivån för alla enheter som är anslutna till systemenheten (till exempel ett tangentbord). Ett vanligt tangentbord har vanligtvis mycket höga strålningsnivåer. Samtidigt matas in mycket kritiska data från säkerhetssynpunkt från tangentbordet, inklusive lösenord för användare och systemadministratör. En enkel kortvågsmottagare kan användas för att fånga upp tangentbordets strålning. Med tanke också på att data som matats in från tangentbordet matas in i en sekventiell kod och därför lätt kan tolkas, bör strålningen som släpps ut från tangentbordet anses vara den farligaste. Resultaten av att mäta nivån på de elektriska (fig. 3) och magnetiska (fig. 4) komponenterna visade att datorer med olika kommersiellt tillgängliga fall av systemenheter har kraften av falska utsläpp från tangentbordet som kan skilja sig mer än 100 gånger .

Figur 3 - Nivåer för den elektriska komponenten

Figur 4 - Nivåer av den magnetiska komponenten

Liknande förhållanden erhålls för andra enheter som ingår i datorn.

Uppgiften att slutföra standardhöljen och skåp:

För det första finns det alltid slitsar i korsningarna mellan enskilda bostadskonstruktioner, vilket avsevärt försämrar avskärmningsegenskaperna.

För det andra kan höljet till en elektronisk enhet inte tätas, eftersom ventilationshål behövs för att avleda värme.

För det tredje kan utformningen av skärmhöljet inte beräknas i förväg. Därför är modifieringen av ett standardhus för att förbättra dess skärmningsegenskaper alltid ett experimentellt arbete.

Nu finns det många material som är utformade för att förbättra höljes avskärmningsegenskaper - alla typer av fjäderförseglingar, elektriskt ledande elastomerer, självhäftande metalliserade beläggningar.

Strålningskällan är strömförsörjningen. Internt levereras ström via ett filter som förhindrar spridning av falska utsläpp längs ledningarna. Men det är praktiskt taget omöjligt att beräkna ett filter för fullständigt undertryckande av strålning, eftersom många parametrar i det externa nätverket påverkar dess egenskaper. Inget kommersiellt tillgängligt filter kan fullt ut utföra sina funktioner i ett brett frekvensband. Bra filter är en kompromisslösning som bara uppfyller filterkraven i de flesta fall.

Beroende på detta kan egenskaperna för att skydda information från läckage genom PEMIN -kanaler på en autonom dator eller en dator i ett nätverk skilja sig avsevärt. Och den viktigaste faktorn som leder till skillnaden i egenskaper är jordningen av enheterna.

I fristående enheter förbättrar eller förvärrar inte jordningen deras skärmegenskaper. Jordning krävs endast för elektriska säkerhetskrav. Med rätt jordning minskar nivån på falska utsläpp något. Men i vissa fall, när du ansluter till marken, kan nivån på falska utsläpp öka.

Kabelsystemet innehåller inga aktiva element, därför kan det i sig inte vara en källa till falska utsläpp. Kabelsystemet ansluter dock alla element i ett datornätverk. Nätverksdata överförs längs den och den är också en mottagare av all störning och ett medium för överföring av falsk elektromagnetisk strålning (fig. 5).

Figur 5 - Otäckt elektromagnetisk strålning

Därför bör man skilja mellan:

Otäckt utsläpp orsakat av signaler som överförs över denna linje (LAN -trafik);

Mottagning och efterföljande återutsläpp av falska utsläpp från lokaliserade nära andra linjer och enheter;

Strålning från kabelsystemet av sidvibrationer från element i nätverksaktiv utrustning och datorer som kabeln är ansluten till.

Oftast när de bedömer säkerheten för ett kabelsystem är de bara intresserade av hur mycket falsk strålning som orsakas av signaler som överförs genom kabeln försvagas i processen för utbyte av nätverksinformation.

Om trafik i det lokala nätverket kan återställas genom radiosystemets utsläpp från kabelsystemet, utgör detta en stor fara. Faktum är att den lokala nätverkstrafiken är ganska väl skyddad från informationsläckage genom PEMIN -kanaler. Moderna LAN -kablar har mycket låga överförda signalemissioner. I dessa kablar överförs signaler över ett tvinnat par ledningar, och antalet vridningar per längdenhet är strikt konstant. Ett sådant system ska i princip inte utstråla alls. Dessutom har närvaron av en sköld i ett tvinnat par mycket liten effekt på strålningsnivån hos signaler som överförs över det tvinnade paret. I ett verkligt system finns det alltid individuella kabelinhomogeniteter som påverkar nivån på falsk strålning som uppstår under nätverksutbytet. I verkligheten, på ett avstånd av bokstavligen några meter, är det redan omöjligt att fånga upp informationen som överförs genom den genom elektromagnetisk strålning från en modern kabel. Men i de flesta praktiska fall är kabelsystemet en utmärkt antenn för alla falska utsläpp från utrustning som är ansluten till nätverket. Ilskande strålning som uppstår i datorns element riktas till alla ledningar i den lokala nätverkskabeln (fig. 6).

Figur 6 - Otäckt strålning i datorns element

Som en följd av detta måste LAN -kabeln för falska utsläpp av datorelement helt enkelt betraktas som en enkelsträngad tråd som sträcker sig bortom den avskärmade volymen. Det är inte möjligt att installera ett falskt filter för dessa ledningar. Genom att dämpa falska utsläpp undertrycker vi också nätverkstrafik. Således, om en dator med informationsskydd ingår i ett lokalt nätverk på ett oskärmad tvinnat par, kan de tvinnade parledningarna, som spelar rollen som en antenn, öka fältstyrkan som skapas till exempel av ett datortangentbord (fig. 2, Fig. 3), i tiotusentals en gång. Därför kan det oskärmade tvinnade paret inte användas i ett lokalt nätverk där information med begränsad åtkomst behandlas. Användningen av en skärmad tvinnad parkabel förbättrar situationen avsevärt.

Ett lokalt datanätverk för närvarande kan inte längre drivas autonomt, utan interaktion med andra nätverk. I synnerhet bör varje organisation, vare sig det är ett privat företag, regeringsorgan eller avdelning vid inrikesministeriet, aktivt representeras på det globala Internet. Detta inkluderar en egen webbplats, offentlig e-post och anställdas tillgång till information om det globala nätverket. Denna nära interaktion strider mot säkerhetskraven. När flera nätverk interagerar kan olika säkerhetshot uppstå. Till exempel, när du ansluter till ett globalt nätverk, är det mest ofarliga av de möjliga hoten att hacka nätverket efter huliganmotiv. Information av intresse för utländska underrättelsetjänster cirkulerar i statliga myndigheters datanät. Information av intresse för kriminella cirkulerar i inrikesministeriets datanät. Denna information får inte klassificeras som klassificerad. Men totalt sett kan du få ganska viktig information. Därför, om datornätverk från statliga myndigheter kombineras med det globala Internet, förutom huliganhacks, bör mer kvalificerade försök att tränga in i inkräktarnas nätverk antas. Att motstå sådana försök är extremt svårt. Därför måste Internet isoleras från det interna nätverket, där de generaliserade uppgifterna är koncentrerade. Det finns flera sätt att isolera ditt eget datornät från det globala Internet för att säkerställa säkerheten. I nätverk som inte cirkulerar information med begränsad åtkomst är det vanligtvis tillräckligt att använda en router för att isolera nätverken. Men allvarligt skydd mot intrång från det globala nätverket kan endast tillhandahållas med användning av brandväggar (FireWall). Därför är det nödvändigt att använda brandväggar för att skydda företagsinformation om kommersiella företag. Men för att skydda information i statliga myndigheter ger en brandvägg som regel inte den skyddsnivå som krävs. Säkerheten är mest säkerställd endast om Internet är fysiskt isolerat från sitt eget lokala nätverk. Naturligtvis skapar detta vissa olägenheter i arbetet och kräver extra kostnader när du skapar ett datornätverk. Med tanke på behovet av att motverka brottslighet är detta dock en motiverad åtgärd.

När man bygger nätverk med fysisk isolering är det också nödvändigt att ta hänsyn till frågorna om skydd mot informationsläckage genom PEMIN -kanaler. I många fall behöver en anställd som arbetar med begränsad information också ha tillgång till Internet. På arbetsplatsen installeras två datorer, varav en är ansluten till företagets (organisationens) lokala nätverk, och den andra till Internet. I det här fallet är kablarna i ditt eget nätverk med informationsskydd och kablar från det öppna internetnätverket mycket svåra att sprida över ett tillräckligt avstånd. Som ett resultat kan information som cirkulerar i det lokala nätverket, liksom all sidstrålning från datorer riktade mot kablarna i det lokala nätverket, också riktas till kablarna i det öppna internetnätverket. Inte bara är en öppen nätverkskabel en tillräckligt lång antenn (särskilt när ett öppet nätverk läggs med oskärmad kabel). Öppna nätverkskablar går vanligtvis utöver gränserna för det skyddade området, så information kan tas bort inte bara genom att fånga upp strålning, utan också genom direkt anslutning till öppna nätverkskablar. Därför måste öppna nätverkskablar också läggas i enlighet med alla rekommendationer som följs när man bygger ett nätverk med informationssäkerhet.

KAPITEL 4. UTVECKLING AV ETT LOKALT NÄTVERK MED ÖKADE INFORMATIONSSKYDDSKRAV

Obehörig åtkomst - läsa, uppdatera eller förstöra information i avsaknad av lämplig myndighet för att göra det.

Obehörig åtkomst utförs som regel med hjälp av någon annans namn, ändring av enhetens fysiska adresser, användning av information som lämnas efter problemlösning, modifiering av programvara och informationsstöd, stjäl informationsmedier, installerar inspelningsutrustning.

För att framgångsrikt skydda sin information måste användaren ha en helt klar uppfattning om möjliga sätt för obehörig åtkomst. De vanligaste metoderna för obehörig inhämtning av information:

· Stöld av informationsbärare och industriavfall.

· Kopiering av informationsbärare med övervinnande skyddsåtgärder;

· Förklädnad som en registrerad användare;

· Hoax (förklädnad för systemförfrågningar);

· Användning av brister i operativsystem och programmeringsspråk;

· Användning av programvarubokmärken och mjukvarublock av typen "trojansk häst";

· Avlyssning av elektroniska utsläpp;

· Avlyssning av akustiska utsläpp;

· Fjärrfotografering;

· Användning av avlyssningsanordningar;

· Skadlig inaktivering av skyddsmekanismer etc.

För att skydda information från obehörig åtkomst används följande:

1) organisatoriska åtgärder;

2) tekniska medel;

3) programvara;

4) kryptering.

Organisatoriska aktiviteter inkluderar:

· Åtkomstkontroll;

· Lagring av media och enheter i ett kassaskåp (disketter, bildskärm, tangentbord, etc.);

· Begränsning av tillgång till personer till datorrum etc.

Tekniska medel inkluderar:

· Filter, skärmar för utrustning;

· Nyckel för att låsa tangentbordet;

· Autentiseringsenheter - för att läsa fingeravtryck, handform, iris, utskriftshastighet och tekniker, etc.

Elektroniska nycklar på mikrokretsar etc.

Programvaran innehåller:

· Lösenordsåtkomst - inställning av användarrättigheter;

· Lås skärmen och tangentbordet med en kortkommando i Diskreet -verktyget från Norton Utilites -paketet;

· Användning av BIOS -lösenordsskyddsverktyg - på själva BIOS och på datorn som helhet etc.

Kryptering är omvandling (kodning) av öppen information till krypterad information som inte är tillgänglig för utomstående. Metoder för kryptering och dekryptering av meddelanden studeras av kryptologi, som har en historia på cirka fyra tusen år.

2.5. Skydda information i trådlösa nätverk

Den otroligt snabba takten i dagens nätverk av trådlösa lösningar får dig att tänka på tillförlitligheten i dataskydd.

Själva principen för trådlös dataöverföring innebär möjligheten för obehöriga anslutningar till åtkomstpunkter.

Ofta utförs obehörig anslutning av åtkomstpunkter till ett LAN av företagets anställda själva, som inte tänker på skydd.

Lösningen på sådana problem måste hanteras på ett heltäckande sätt. Organisationsaktiviteter väljs utifrån driftförhållandena för varje specifikt nätverk. När det gäller tekniska åtgärder uppnås ett mycket bra resultat med användning av obligatorisk ömsesidig autentisering av enheter och införandet av aktiva kontroller.

Figur 1 - Algoritm för analys av krypterad data

Moderna säkerhetskrav

Autentisering

Ett antal utvecklare använder EAP-TLS och PEAP-protokollen för autentisering i sina enheter, Cisco Systems, erbjuder för sina trådlösa nätverk, förutom de som nämns, följande protokoll: EAP-TLS, PEAP, LEAP, EAP-FAST.

Alla moderna autentiseringsmetoder innebär stöd för dynamiska nycklar.

Den största nackdelen med LEAP och EAP-FAST är att dessa protokoll huvudsakligen stöds i Cisco Systems-utrustning (fig. 2).

Figur 2 - 802.11x paketstruktur med TKIP -PPK-, MIC- och WEP -kryptering.

Kryptering och integritet

Säkerhetsstandarden för trådlöst LAN är 802.11i.

Specifikationerna inkluderar stöd för 802.1x / EAP, delad nyckelautentisering och naturligtvis nyckelhantering.

Tabell 3 - Metoder för att genomföra säkerhetspolicy

Index
Index
Stöd för moderna operativsystem
Komplexitet av programvara och resursintensitet för autentisering
Komplexitet i hanteringen
Single Sign on
Dynamiska tangenter
Engångslösenord

Fortsättning av tabell 3

Med användning av modern utrustning och mjukvara är det nu möjligt att bygga ett säkert och attackbeständigt trådlöst nätverk baserat på 802.11x-seriens standarder.

Behöver implementera 802.11x / EAP / TKIP / MIC och dynamisk nyckelhantering. För ett blandat nätverk bör VLAN användas; med externa antenner används VPN -teknik.

Det är nödvändigt att kombinera både protokoll- och programvaruskyddsmetoder och administrativa.

Trådlösa nätverk är inte säkra. Låt mig upprepa: trådlösa nätverk är inte säkra. För det mesta är de tillräckligt säkra för de flesta användare, men sådana nätverk kan inte göras helt privata.

Den enkla sanningen är att ett trådlöst nätverk använder radiosignaler med en väldefinierad uppsättning egenskaper, så alla som vill ägna tillräckligt med tid och ansträngning åt att spåra dessa signaler kommer sannolikt att kunna hitta ett sätt att fånga upp och läsa data de innehåller . Om du skickar konfidentiell information via en trådlös anslutning kan en som inte önskar kopiera den. Kreditkortsnummer, kontolösenord och annan personlig information är sårbara.

Kryptering och andra skyddsmetoder kan göra avlyssningen lite svårare, men de ger inte fullständigt skydd från en verkligt erfaren spion. Som alla poliser kan berätta för dig är lås bra från ärliga människor, men erfarna tjuvar vet hur de ska hantera dem. Det är lätt att hitta en hel katalog med WEP -krypteringssprickverktyg på Internet.

Detta gör situationen ännu farligare, många nätverksadministratörer och trådlösa hemanvändare lämnar sina nätverksdörrar och fönster öppna, utan kryptering och andra säkerhetsfunktioner integrerade i varje 802.11b trådlös punkt och nätverksnod. "Logga in" på osäkra privata nätverk är möjligt i många stadsområden och i ett stort antal lokala nätverk. Våren 2001 rapporterade San Francisco Chronicle att en nätverkssäkerhetsexpert med en riktningsantenn monterad på taket på en skåpbil i centrala San Francisco kunde i genomsnitt registrera ett halvt dussin trådlösa nätverk per kvartal. Antalet sådana nätverk växer stadigt. Ett år senare upptäckte en grupp Microsoft -anställda som genomför ett "informellt test" mer än 200 osäkra öppna åtkomstpunkter i Seattles förortsnät. Tullys kaffebutiker säger att de märker att deras kunder loggar in på Wi-Fi-nätverk via hotspots i Starbucks-butiker tvärs över gatan.

Enkel räkning räcker: din åtkomstpunkt har en räckvidd på 100 meter eller mer i alla riktningar, så signalen kommer sannolikt att resa utanför din fastighet (eller väggarna i din lägenhet). En nätverksenhet i nästa rum i en byggnad eller tvärs över gatan kommer sannolikt att kunna upptäcka nätverket. En bärbar dator eller handdator placerad i en bil parkerad på gatan kan en sådan åtgärd. Om du inte följer några försiktighetsåtgärder kan operatören för den här enheten logga in på ditt nätverk, stjäla filer från servrar och infiltrera din internetanslutning med strömmande video eller nätverksspel.

Det är viktigt att förstå att vi talar om två olika typer av trådlösa säkerhetshot. Den första är risken för att en tredje part ansluter till ditt nätverk utan din vetskap eller tillstånd. den andra är möjligheten att en erfaren kracker kan stjäla data när du sänder och tar emot den. Var och en av dem är ett separat potentiellt problem, och var och en kräver en specifik metod för förebyggande och skydd. Även om det kan vara sant att inget av de verktyg som för närvarande finns tillgängliga kan ge fullständigt skydd, kan de göra livet mycket svårare för de flesta tillfälliga sjuka.

Trådlösa nätverk utgör en avvägning mellan säkerhet och användbarhet. De uppenbara fördelarna med trådlöst nätverk - snabb och enkel nätverksåtkomst från en bärbar dator eller isolerad plats - är dyra. För de flesta användare uppväger dessa kostnader inte bekvämligheten med ett trådlöst nätverk. Men precis som du låser dina bildörrar när du parkerar, bör du vidta liknande åtgärder för att skydda ditt nätverk och data.

Skydda ditt nätverk och data

Vad kan du göra för att skydda dig från främlingar som en trådlös operatör? Du har två val: du kan acceptera det faktum att 802.11b-nätverk inte är helt säkra, men använd inbyggda brandväggar för att bromsa motståndare. du kan välja bort de inbyggda verktygen och istället använda en brandvägg för att isolera.

Det är underförstått att säkerhetsfunktionerna är integrerade i 802.11b -protokollen.

oacceptabelt för absolut skydd av överförd data. Om du har läst artiklar om trådlös säkerhet i branschtidningar och diskussionen om nätverksforum är det lätt att tro att Wi-Fi-nätverk är lika läckande som den ordspråkliga silen. Men kanske är det verkliga hotet mot ditt eget nätverk överdrivet av detta. Kom ihåg att de flesta som är nära att stjäla dina meddelanden eller infiltrera ditt nätverk inte bara sitter och väntar på att du ska börja skicka data. Och ärligt talat är de flesta data som skickas via ditt nätverk egentligen inte av något intresse. Men krypteringsverktyg finns på alla Wi-Fi-nätverk, så du borde verkligen använda dem.

Det allvarligare hotet är inte att dina meddelanden kommer att fångas upp, utan att olagliga kopplingar kommer att skapas till det. Detta gör att en obehörig användare antingen kan läsa filer som lagras på andra nätverksdatorer eller använda din bredbandsanslutning till internet utan din vetskap eller tillåtelse.

Det är vettigt att ta hand om din nätverkshantering. Om du har valt att implementera 802.11b -säkerhet finns det särskilda steg att följa:

Placera din hotspot mitt i byggnaden, inte bredvid ett fönster. Detta kommer att minska avståndet dina signaler måste gå genom väggar;

Använd Wired Equivalent Privacy (WEP) -kryptering, som är tillgänglig på alla 802.11b -nätverksnoder. Med tillräckligt med tid och rätt hårdvara är WEP lätt att knäcka, men krypterade paket är fortfarande svårare att läsa än okrypterad data. Detta kapitel ger mer information om WEP -kryptering.

Ändra dina WEP -nycklar ofta. Det tar tid att extrahera WEP -krypteringsnycklar från dataströmmen, och varje gång du ändrar nycklarna måste motståndare som försöker stjäla dina data börja om igen. Att byta nycklar en eller två gånger i månaden är inte alltför ofta;

Förvara inte WEP -nycklar på en lättillgänglig plats. I ett stort nätverk kan man försöka spara dem på en lokal webbsida eller i en textfil. Gör inte det;

Använd inte e -post för att överföra WEP -nycklar. Om en utomstående stjäl kontonamn och lösenord, kommer tjuven att få meddelanden med dina nya nycklar innan dina legitima användare får dem;

Lägg till ytterligare ett lager kryptering, till exempel Kerberos, SSH eller VPN via WEP -kryptering integrerad i det trådlösa nätverket;

Använd inte åtkomstpunktens standard -SSID. Dessa inställningar är välkända för nätverkshackare;

Ändra SSID till något som inte identifierar ditt jobb eller din plats. Om en illa önskad upptäcker namnet BigCorpNet och ser sig omkring och ser BigCorps huvudkontor tvärs över gatan, kommer han troligtvis avsiktligt infiltrera ditt nätverk. Detsamma gäller hemnätverket. Kalla henne inte Perkins om det namnet står på utsidan av din brevlåda. Använd inte ett SSID som låter som om ditt nätverk innehåller någon form av frestande information - använd ett märkbart namn som ett tomt fält, ”nätverk - eller till och med en slumpmässig sträng (W24rnQ);

Ändra IP -adressen och lösenordet för din åtkomstpunkt. Standardlösenorden för de flesta konfigurationsverktyg för åtkomstpunkter är lätta att hitta (och de upprepas ofta från en tillverkare till en annan - tips: använd inte "admin"), så de är inte tillräckligt bra även för att skydda mot dina egna användare, låt ensamma yttre motståndare som tänker använda ditt nätverk för sina egna ändamål;

Inaktivera funktionen "broadcast SSID" för åtkomstpunkten, som tillåter anslutningar från klienter utan rätt SSID. Detta garanterar inte att ditt nätverk blir osynligt, men det kan hjälpa;

Slå på åtkomstkontrollfunktionen för din åtkomstpunkt. Åtkomstkontroll begränsar anslutningar till nätverksklienter med angivna MAC -adresser. Åtkomstpunkten vägrar att ansluta till en adapter vars adress inte finns på listan. Detta kanske inte är praktiskt om du vill tillåta andra besökare att använda ditt nätverk, men det är ett användbart verktyg för hem- och små kontorsnätverk där du känner alla dina potentiella användare. I likhet med Broadcast SSID -funktionen är detta inte garanterat, men det kommer inte att skada;

Testa skyddet för ditt nätverk genom att försöka hitta det från gatan. Skaffa en bärbar dator som kör ett skanningsprogram som Network Stumbler eller nätverksadapterns statusverktyg och börja gå bort från byggnaden. Om du hittar ditt nätverk ett kvarter bort, så kan en utomstående också. Kom ihåg att illa önskade kan använda riktningsantenner med hög förstärkning, vilket ökar detta avstånd;

Tänk på nätverket som allmänt delat. Se till att alla som använder nätverket är medvetna om att de använder osäkra system;

Förläng filåtkomst endast till filer som du verkligen vill göra tillgängliga. Öppna inte hela skivan. Använd lösenordsskydd för varje tillgängligt objekt;

Använd samma säkerhetsverktyg som du skulle använda i ett trådbundet nätverk. I bästa fall är den trådlösa delen av ditt lokala nätverk inte säkrare än den trådbundna delen, så du bör följa samma försiktighetsåtgärder. I de flesta fall är den trådlösa delen av nätverket mycket mindre säker än den trådbundna delen;

Överväg att använda ett virtuellt privat nätverk (VPN) för extra skydd.

Vissa experter använder en annan metod för att säkra det trådlösa nätverket. De accepterar tanken att 802.11b-nätverket är osäkert, så de försöker inte ens använda de inbyggda säkerhetsfunktionerna. Exempelvis fann NASAs brandväggsgrupp Advanced Supercomputing Division i Kalifornien att "nätverket i sig inte ger stark autentisering och skydd mot manipulering" och att "802.11b -säkerhetsfunktioner bara förbrukar resurser och inte ger något verkligt skydd i gengäld." Så den har inaktiverat alla 802.11b -säkerhetsfunktioner och använder sin egen Wireless Firewall Gateway (WFG) istället. WFG är en router som sitter mellan det trådlösa och resten av nätverket, så all inkommande och utgående nätverkstrafik från trådlösa enheter (inklusive internetåtkomst) måste gå genom gatewayen.

Som en extra fördel håller denna skyddsmetod administratörens andel av varje paket till ett minimum, eftersom de inte innehåller autentisering eller kryptering. Detta minskar antalet bitar i varje paket, vilket ökar den effektiva dataöverföringshastigheten över nätverket.

Andra trådlösa operatörer använder VPN för att styra åtkomst via sina trådlösa gateways. VPN lägger till ytterligare ett lager av punkt-till-punkt-skydd till IP-lagret (istället för det fysiska lagret, där kryptering sker i 802.11b) innan användaren kan surfa i nätverket.

Nätverksskydd är nödvändigt i två fall - nätverksadministratören vill inte tillåta obehöriga användare att komma in i deras nätverk, och enskilda användare vill inte att någon ska få tillgång till sina personliga filer. När du loggar in på ett community -nätverk måste du vidta vissa försiktighetsåtgärder mot att läsa dina filer över nätverket.

Att inaktivera Fildelning(Filåtkomst) Innan du ansluter till ett delat nätverk använder du följande procedur i Windows 95, Windows 98 och Windows ME:

1. i Kontrollpanel(Kontrollpanelen) öppna dialogrutan Nätverk(Nätverk).

2. Välj Fil- och skrivardelning(Tillgång till filer och skrivare).

3. I dialogrutan Fi le och Skrivardelning inaktivera funktionen Jag vill ge andra tillgång till mina filer(Dela mina filer med andra).

Windows 2000 och Windows XP har inte en central plats för att inaktivera filåtkomst, så du måste inaktivera varje åtkomst separat.

1. Öppna ett fönster Min dator(Min dator).

2. Ikoner för alla tillgängliga enheter och mappar är handritade. För att inaktivera åtkomst, högerklicka på ikonen och välj Delning och säkerhet(Åtkomst och säkerhet) i menyn.

3. Inaktivera funktionen Dela den här mappen på nätverket(Dela den här mappen över nätverket).

4. Klicka på knappen OK(Ja) för att stänga dialogrutan.

5. Upprepa processen för varje tillgänglig mapp eller fil. Glöm inte mappen Delade dokument(Allmänna dokument).

När du återvänder till ditt kontor eller hemnätverk måste du omvänd proceduren för att återuppta åtkomsten till filer.

Ett annat problem är faran för att en spion spårar data som skickas över radion och stjäl konfidentiell information i farten. Det är inte lika utbrett som att få tillgång till nätverket och läsa filer av en spion, men det är möjligt. Kryptering och andra säkerhetsverktyg kan göra avkodning av data svår, men det är bäst att behandla ett Wi-Fi-nätverk som en mobiltelefon: skicka aldrig ett meddelande eller en fil med känslig information.

802.11b säkerhetsverktyg

Säkerhetsverktygen i 802.11b -specifikationerna är inte perfekta, men de är bättre än ingenting. Även om du väljer att inte använda dem är det viktigt att förstå vad de är och hur de fungerar innan du inaktiverar dem.

Nätverksnamn (SSID)

Som diskuteras i kapitel 1 har varje trådlöst nätverk ett namn. I ett nätverk med endast en åtkomstpunkt är namnet Basic Service Set ID (BSSID). När nätverket innehåller mer än en åtkomstpunkt blir namnet ett Extended Service Set ID (ESSID). Standardbeteckningen för alla nätverksnamn är SSID, termen du oftast kommer att se i konfigurationsverktygsprogram för trådlösa åtkomstpunkter och klienter.

När du konfigurerar åtkomstpunkter för ett nätverk måste du tilldela det ett SSID. Varje åtkomstpunkt och nätverksklient i nätverket måste använda samma SSID. På Windows -datorer måste SSID för den trådlösa adaptern också vara arbetsgruppens namn.

När två eller flera åtkomstpunkter med samma SSID hittas antar användaren att de alla är del av samma nätverk (även om åtkomstpunkterna fungerar på olika radiokanaler) och associerar med den åtkomstpunkt som ger den starkaste eller tydligaste signalen . Om denna signal försämras på grund av störningar eller blekning kommer klienten att försöka flytta till en annan åtkomstpunkt, som den tror tillhör samma nätverk.

Om två olika överlappande nätverk har samma namn, antar klienten att båda är en del av samma nätverk och kan försöka övergå. Ur användarens synvinkel ser en sådan felaktig övergång ut som ett fullständigt avbrott i nätverksanslutningen. Därför måste varje trådlöst nätverk som kan överlappa ett annat ha ett unikt SSID.

Undantag från den unika SSID -regeln är kollektiva och gruppnätverk, som endast ger åtkomst till Internet och inte till andra datorer eller enheter i det lokala nätverket. Dessa nätverk delar ofta ett gemensamt SSID, så att prenumeranter kan upptäcka och ansluta till dem från flera platser.

Vissa åtkomstpunkter, inklusive Apple AirPort -basstationen och liknande Orinoco -system, har en funktion som låter dig välja mellan "öppen" och "stängd" åtkomst. När åtkomstpunkten är konfigurerad för offentlig åtkomst accepterar den en anslutning från en klient vars SSID är inställt på Några(Vilken som helst), liksom från enheter som är konfigurerade för att kommunicera med åtkomstpunktens eget SSID. När en åtkomstpunkt är konfigurerad för privat åtkomst (Apple kallar detta ett "dolt nätverk"), accepterar den bara anslutningar vars SSID matchar dess SSID. Detta är ett bra sätt att hålla utomstående utanför ditt nätverk, men det fungerar bara om varje nod i nätverket använder en adapter från Orinoco (Apple AirPort -kortet är en proprietär version av Orinoco -adaptern). Om en adapter tillverkad av någon annan tillverkare försöker ansluta till en sluten åtkomstpunkt ignoreras den, även om SSID matchar.

Nätverks -SSID ger en mycket begränsad form av åtkomstkontroll eftersom SSID måste anges när den trådlösa anslutningen konfigureras. SSID -funktionen för en åtkomstpunkt är alltid ett textfält, med vilket namn du vill. Många nätverkskonfigurationsprogram (inklusive de trådlösa nätverksverktygen i Windows XP och de som levereras med några större märken av nätverkskort) upptäcker och visar automatiskt SSID för varje aktivt nätverk inom räckvidd för deras signaler. Därför är det inte alltid nödvändigt att känna till nätverkets SSID innan du ansluter. Ibland visar ett konfigurationsverktyg (en nätverksmonitor eller ett skanningsprogram som liknar Network Stumbler) namnen på varje närliggande nätverk i en lista eller meny.

Som ett exempel, Fig. Figur 14.1 visar utmatningen från Network Stumbler-skannern på Seattle-Tacoma Airport, där passagerarterminalen betjänar WayPort och MobileStar ger täckning vid American Airlines VIP Club. (MobileStar blev en del av en annan tjänst strax efter att jag utarbetat denna plan, så namnen på nätverken ändrades, men tjänsten förblev på plats).

Varje åtkomstpunkt har en standard SSID -inställning. Dessa standardvärden är välkända och publicerade i nätverksspiongrupperna (se till exempel http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults). Självklart ska standardinställningarna inte användas i något nätverk.

Ris. 14.1

Många åtkomstpunkter har en SSID -gömningsfunktion, ofta kallad Dold nätverk eller Dold nätverk... Denna funktion hjälper till att förhindra att vissa snokare upptäcker namnet på ditt nätverk, men när en ny klient ansluter till den eller en befintlig klient får en svag signal sänds SSID och ett program som Kismet upptäcker det. Att dölja SSID kan bromsa en oavsiktlig gäst, men ger ingen verklig säkerhet.

WEP-kryptering

WEP -kryptering är en funktion i alla 802.11b -system, så det är viktigt att veta hur det fungerar, även om du bestämmer dig för att inte använda det. Som namnet antyder var det ursprungliga målet för Wired Equivalent Privacy (WEP) att ge en säkerhetsnivå för trådlösa nätverk som är jämförbara med ett trådbundet nätverks. Men det finns ett mycket vanligt påstående att ett nätverk baserat på WEP -kryptering är nästan lika sårbart för intrång som ett nätverk utan absolut säkerhet. Det kommer att skydda mot slumpmässiga spioner, men kommer inte att vara särskilt effektivt mot en envis inbrottstjuv.

WEP har tre funktioner: det förhindrar obehörig åtkomst till nätverket, kontrollerar integriteten för varje paket och skyddar data från missnöjda. För att kryptera datapaket använder WEP den hemliga krypteringsnyckeln innan nätverksklienten eller åtkomstpunkten överför dem och använder samma nyckel för att avkoda data efter att de har tagits emot.

När en klient försöker kommunicera med nätverket med en annan nyckel, förvirras resultatet och ignoreras. Därför måste WEP -inställningarna vara exakt desamma på varje åtkomstpunkt och klientadapter i nätverket. Detta låter tillräckligt enkelt, men det är svårt eftersom tillverkare använder olika metoder för att bestämma storleken och formatet på WEP -nyckeln. Funktionerna är desamma från märke till märke, men samma inställningar har inte alltid samma beteckningar.

Hur många bitar finns i din WEP -nyckel?

För det första kan WEP -nyckeln vara antingen 64 eller 128 bitar. 128-bitars nycklar är svårare att knäcka, men de ökar också den tid det tar för varje paket att överföras.

Förvirringen i olika leverantörers implementeringar uppstår eftersom 40-bitars WEP är samma som 64-bitars WEP och 104-bitar är samma som 128-bitars. Standard 64-bitars WEP-nyckeln är en sträng som innehåller en internt genererad 24-bitars initialiseringsvektor och en 40-bitars hemlig nyckel som tilldelats av nätverksadministratören. Vissa tillverkares specifikationer och konfigurationsprogram kallar detta "64-bitars kryptering" och andra kallar det "40-bitars kryptering". I alla fall förblir krypteringsschemat detsamma, så en adapter som använder 40-bitars kryptering är helt kompatibel med en åtkomstpunkt eller adapter som använder 64-bitars kryptering.

Många nätverkskort och åtkomstpunkter inkluderar också en "stark kryptering" -funktion som använder en 128-bitars nyckel (som faktiskt är en 104-bitars hemlig nyckel med en 24-bitars initialiseringsvektor).

Stark kryptering är enkelriktad med 64-bitars kryptering, men den är inte automatisk, så alla delar av ett blandat nätverk av enheter med 128-bitars och 64-bitars nycklar fungerar med 64-bitars kryptering. Om åtkomstpunkten och alla adaptrar stöder 128-bitars kryptering använder du en 128-bitars nyckel. Men om du vill att ditt nätverk ska vara kompatibelt med adaptrar och åtkomstpunkter som bara känner igen 64-bitars kryptering, konfigurera hela ditt nätverk för att använda 64-bitars nycklar.

ASCII eller hexadecimal nyckel?

Men nyckellängden ensam är förvirrande när du konfigurerar WEP -kryptering. Vissa program kräver en nyckel som en sträng med texttecken, medan andra kräver en nyckel som ett hexadecimalt tal. Andra kan generera en nyckel från en valfri lösenfras.

Varje ASCII-tecken är 8 bitar långt, så en 40-bitars (eller 64-bitars) WEP-nyckel innehåller 5 tecken och en 104-bitars (eller 128-bitars) nyckel innehåller 13 tecken. I hexadecimal är varje tal 4 bitar, så en 40-bitars nyckel innehåller 10 hexadecimala tecken och en 128-bitars nyckel innehåller 26 tecken.

I fig. 14.2, som visar fönstret Trådlös inställning för D-Link-åtkomstpunkten, använder 40-bitars fältet Shared Key Security hexadecimala tecken och har plats för tio tecken. D-Link innehåller alla tio tecken på en rad, men några andra delar dem i fem grupper om två nummer eller två grupper om fem nummer.

Ris. 14.2

För en dator ser nyckeln likadant ut, men det är lättare att kopiera strängen när den delas upp i bitar.

Många klientverktyg, till exempel dialogrutan Egenskaper för trådlösa nätverk i Windows XP (visas i figur 14.3), erbjuder antingen hexadecimal eller text, så att du kan använda lämpligt format för åtkomstpunkten.

Lösenfrasen är en textsträng som adaptrar och åtkomstpunkter automatiskt konverterar till en hexadecimal sträng. Eftersom människor tenderar att memorera meningsfulla ord eller fraser lättare än hexadecimalt skräp, är lösenfrasen lättare att förmedla än en hexadecimal sträng. Lösenfrasen är dock bara användbar när alla adaptrar och åtkomstpunkter i nätverket är gjorda av samma tillverkare.

Ris. 14.3

Vilka funktioner finns

I likhet med nästan alla inställningar i 802.11b -konfigurationsverktyget är WEP -funktionsnamnen inte konstanta från ett program till ett annat.

Vissa använder en öppen uppsättning funktioner som "aktivera WEP -kryptering", medan andra använder teknisk terminologi från den officiella 802.11 -specifikationen. Öppen systemautentisering är det andra namnet på WEP -kryptering inaktiverad.

Vissa åtkomstpunkter ger också en valfri autentiseringsfunktion för allmänna nycklar med WEP -kryptering där nätverksklienten har nyckeln men okrypterad data tas emot från andra nätverksnoder.

Kombinera hexadecimala och textnycklar

Att konfigurera ett blandat nätverk är komplicerat när vissa nätverksnoder bara använder hexnycklar och andra kräver textnycklar. Om denna situation uppstår i ditt nätverk måste du följa reglerna nedan för att konfigurera dem med WEP:

Konvertera alla textnycklar till hexadecimala. Om konfigurationsprogrammet kräver en textnyckel anger du tecknen Åh(noll följt av gemener x) före en hexadecimal sträng. Om du använder Apples AirPort -programvara istället Åh i början av den hexadecimala nyckeln måste du ange dollarsymbolen ( $ );

Se till att alla dina krypteringsnycklar har rätt antal tecken;

Om allt fortfarande inte fungerar, läs säkerhetsavsnitten i manualerna för dina nätverkskort och åtkomstpunkter. Det är möjligt att en eller flera av dessa enheter i nätverket har någon dold identitet som du inte är medveten om.

Ändra WEP -nycklar

Många åtkomstpunkter och nätverksklientadaptrar kan stödja upp till fyra olika 64-bitars WEP-nycklar, men bara en är aktiv åt gången, som visas i Figur 4-2. 14.4. De andra nycklarna är reservdelar, vilket kan göra det möjligt för nätverksadministratören att justera nätverkets säkerhet med kort varsel. Adapter och åtkomstpunkter som stöder 128-bitars kryptering använder bara en 128-bitars WEP-nyckel åt gången.

Ris. 14.4

I ett nätverk där WEP -kryptering är seriöst organiserad. WEP -nycklar bör ändras regelbundet, enligt ett schema. En månad räcker för ett nätverk som inte överför viktiga data, men för ett mer seriöst nätverk måste en ny nyckel installeras en eller två gånger i veckan. Kom ihåg att skriva ner dina nuvarande WEP -nycklar på ett säkert ställe.

På ett hem- eller litet kontorsnätverk kommer du troligen att ändra alla WEP -nycklar själv. Annars måste nätverksadministratören eller säkerhetspersonal distribuera de nya WEP -nycklarna på papper, i ett memo och inte via e -post. För ett extra skyddslager i nätverk som använder 64-bitars kryptering, instruera dina användare att ändra två nycklar samtidigt (inte nuvarande standard). Skicka ett separat memo som meddelar användare vilken nyckel som är ny, standard och när den ska ändras.

Ett vanligt veckoschema kan se ut så här:

Ange följande nya 64-bitars WEP-nycklar:

Nyckel 1: XX XX XX XX XX

Nyckel 4: ÅÅÅÅÅÅÅÅÅÅÅ

En annan anteckning, en vecka senare, innehåller koderna för nyckel 2 och nyckel 3.

En separat instruktion kan säga: ”Vårt nätverk kommer att byta till att använda nyckel 3 vid midnatt på tisdag. Ändra standardnyckeln för ditt nätverkskort. " Välj den tid då det trådlösa nätverket används av minst antal användare för ändringen, eftersom alla aktiva anslutningar på åtkomstpunkten vid tidpunkten för nyckeländringen kommer att brytas och inte kan återställas förrän tangenterna på klientadaptern ändras . Användare kan ange nya nycklar i förväg som alternativ till den aktuella aktiva nyckeln och ändra dem med några klick när den nya nyckeln träder i kraft.

Är WEP -säkerhet tillräckligt?

Flera datavetare har publicerat artiklar om WEP -kryptering som argumenterar mot att använda den för att skydda känslig data. Alla pekar på allvarliga brister i teorin och praktiken för kryptografi som används vid utformningen av WEP -krypteringsalgoritmer. Dessa experter är enhälliga i sin rekommendation att alla som använder ett 802.11 trådlöst nätverk inte ska lita på WEP för säkerhet. Du måste använda andra metoder för att skydda dina nätverk.

En grupp från University of California, Berkeley, fann många brister i WEP -algoritmen, vilket gör den sårbar för minst fyra olika typer av attacker:

Passiva attacker med statistisk analys för att avkoda data;

Aktiva attacker med skapandet av krypterade paket som tvingar åtkomstpunkten att acceptera falska kommandon;

Analysera attacker på krypterade paket för att skapa en ordlista som sedan kan användas för att automatiskt avkoda data i realtid;

Header modifieringsattacker för att omdirigera data till en angriparkontrollerad destination.

Berkeley -samtalet avslutas med ett entydigt uttalande: ”WEP -säkerhet är inte detsamma som trådbunden säkerhet. Problem med protokollet är resultatet av ett missförstånd om några av grunderna i kryptografi och därför en osäker användning av krypteringstekniker. "

Forskare vid Rais University och AT&T Labs har publicerat sina egna beskrivningar av sina attacker mot WEP-krypterade nätverk (http: / /www.cs.rice .edu / ~ astubble / wep), vilket ledde dem till en liknande slutsats: ”WEP in 802.11 är helt osäkert. " De kunde beställa och skaffa nödvändig utrustning, inrätta en testbänk, utveckla sitt attackverktyg och lyckades skaffa en 128-bitars WEP-nyckel på mindre än en vecka.

Både Berkeley -samtalen och AT&T Labs -samtalen är skrivna av tekniska experter och för tekniska experter, med kryptografianalys. Deras resonemang är klart, men metoderna kräver att motståndaren har viss seriös teknisk kunskap. Men verktyg för mindre sofistikerade kodbrytare kan hittas lika enkelt. Både AirSnort (http: // airsnort. Shmoo.com) och WEPCrack () är Linux -program som övervakar trådlösa signaler och utnyttjar WEP -svagheter för att få en krypteringsnyckel.

AirSnort hävdar att programmet framgångsrikt kan hacka de flesta nätverk inom två veckor. Denna teknik övervakar nätverkssignaler utan att påverka dem, så nätverksadministratören kan inte upptäcka förekomsten av en attack. Programmet släpps i syfte att förvärra problemet. Även om det är lätt att knäcka WEP-kryptering, tvingas standardskapande grupper antingen hitta ett sätt att göra det säkrare eller ersätta det med ett svårare att knäcka alternativ.

För att sammanfatta: se det enklare och kryptera dina nätverksdata.

Krypterad data är säkrare än klar textöverföring, och att spricka en WEP -nyckel tar tid, så WEP lägger till en annan (förmodligen svag) säkerhetsnivå, särskilt om du byter nycklar ofta. WEP-kryptering kan inte göra mycket för att skydda dig från allvarliga fiender, men det kommer att skydda dig från oavsiktliga missöden. Det är mycket lättare att tränga in i ett nätverk som inte använder kryptering (vilket är vad de flesta gör), så en hackare som hittar en krypterad signal kommer sannolikt att byta till ett mål med mindre skydd.

Hjälp på vägen

Uppenbarligen är en skyddskrets med tillräckligt stora hål för att köra igenom en gigantisk digital lastbil nästan lika dålig som inget skydd alls. Framgångsrika attacker mot WEP-kryptering och lättillgängliga verktyg för att utnyttja bristerna i säkerhetsprotokollet tvingar Wi-Fi Alliance-medlemmar att allvarligt överväga att stödja sin licens som de facto trådlös standard. Ord som "kris" används av dem för att beskriva uppmärksamheten på dessa frågor.

De vill hitta en lösning innan ryktet om säkerhetsöverträdelser överväger efterfrågan på trådlös Ethernet -hårdvara, noggrant utformad och annonserad av dem.

Nya standarder som tar upp detta problem kommer att kallas 802.11i.IEEE. Standardkommittén 802.11 började diskutera frågan flera månader innan den blev offentlig. Kommittén, som heter Task Group i (TGi), är upptagen med att arbeta med en ny och förbättrad säkerhetsspecifikation som (förmodligen) kommer att ta bort alla kända brister i WEP -krypteringsstandarderna. Gruppen lovar att de nya skyddsverktygen fungerar automatiskt och kommer att vara kompatibla med äldre utrustning som inte använder de nya verktygen. Forskargruppen har en webbplats på http://grouper.ieee.Org/groups/802/11/Rapporter för mötesinformation och några tekniska dokument.

Wi-Fi Alliance vill att medlemmarna ska börja använda TGi-produkten så snart som möjligt. Detta kan avlägsna situationen innan det blir en kommersiell katastrof. När ingenjörer har rapporterat om lösningen kommer alla tillverkare av åtkomstpunkter och nätverkskort att integrera de nya säkerhetsmetoderna i sina produkter, och Alliance kommer att lägga till dem i Wi-Fi-certifieringstestpaketet. Den uppdaterade programvaran och den fasta programvaran säkerställer att befintliga 802.11b -produkter är kompatibla med de nya 802.11i -protokollen.

Åtkomstkontroll

De flesta åtkomstpunkter har en funktion som gör att nätverksadministratören kan begränsa åtkomsten till klientadaptrar från en viss lista. Om en nätverksenhet vars MAC -adress inte finns i listan över behöriga användare försöker ansluta, ignorerar åtkomstpunkten begäran om att associera med nätverket. Detta kan vara effektivt för att förhindra att utomstående ansluter till det trådlösa nätverket, men det tvingar nätverksadministratören att hålla en fullständig lista över användaradaptrar och deras MAC -adresser. Varje gång en ny användare vill ansluta till nätverket och när en juridisk användare byter adaptrar måste någon lägga till en annan MAC -adress i listan. Detta är möjligt i ett hem- eller litet kontorsnätverk, men kan vara ett stort problem för ett stort företags- eller campussystem.

Varje konfigurationsverktyg för åtkomstpunkter använder ett annat format för åtkomstlistor. Handboken och onlinedokumentationen som medföljer din åtkomstpunkt bör ge detaljerade instruktioner om hur du skapar och använder en åtkomstkontrollista. 802.11b -standarden definierar inte den maximala storleken på åtkomstkontrollistan för en åtkomstpunkt, så siffror fördelas över hela kartan. Vissa åtkomstpunkter begränsar listan till några dussin parametrar. Andra, till exempel Proxim Harmony AP Controller, stöder upp till 10 000 olika adresser. Resten är obegränsat. Om du planerar att använda en adresslista för att styra åtkomsten till ditt nätverk, se till att åtkomstpunkten fungerar med en tillräckligt stor lista för att stödja alla användare med tillräckligt med utrymme för framtiden. Som en tumregel måste åtkomstpunkten tillåta minst dubbelt så många MAC -adresser jämfört med det aktuella antalet användare i ditt nätverk.

MAC -autentisering kan inte skydda mot alla intrång, eftersom det är trivialt att ändra MAC -adressen på de flesta nätverkskort: allt en motståndare behöver göra är att övervaka din nätverkstrafik tillräckligt länge för att hitta en giltig användare och kopiera sin MAC -adress.

Ändå kan det vara ett mycket effektivt sätt att bromsa arbetet med en och annan spion.

Autentisering: 802.1x standard

På grund av säkerhetshål i WEP -krypteringsspecifikationen har många tillverkare av trådlös nätverksutrustning och mjukvaruutvecklare redan anpassat den nya IEEE -standarden - 802.1x - för att lägga till ett annat lager av säkerhet i sina nätverk. 802.1x-standarden definierar ett ramverk som kan stödja flera olika former av autentisering, inklusive certifikat, smartkort och engångslösenord, som alla ger mer säkerhet än åtkomstkontrollen integrerad i 802.11.

I 802.11 trådlösa nätverk byggs en teknik som kallas Robust Security Network ovanpå 802.1x -ramverket för att begränsa nätverksåtkomst till auktoriserade enheter.

De flesta slutanvändare bör veta två saker om 802.1x: För det första är det integrerat i en del (men inte alla) 802.11b -hårdvara och programvara, inklusive det trådlösa konfigurationsverktyget som levereras med Windows XP och många moderna åtkomstpunkter, så att det kan tillhandahålla en annan potentiellt skyddslager; och för det andra har den fortfarande allvarliga brister som en erfaren nätverkshacker kan utnyttja för att infiltrera ett trådlöst nätverk. De obehagliga tekniska detaljerna, i form av analys, utarbetade av två forskare vid University of Maryland, finns tillgängliga online på http://www.cs.umd.edu/~waa/1x.pdf.

Det verkar som att ett landmärke har dykt upp, eller hur? Ingenjörer från intresserade hårdvaru- och mjukvaruföretag går samman under en forskargrupps banner

Vad ska man göra? Är ett säkert trådlöst nätverk ett ouppnåeligt ideal? Om du ser på trådlös säkerhet som ett spel med katt och mus är det ganska uppenbart att möss (spioner och nätverksknäckare) vinner. Men dessa möss behöver fördjupad kunskap och hårdvara för att övervinna befintliga krypterings- och autentiseringsverktyg.

Tänk på det som ytterdörren till ditt hus: om du lämnar det öppet kan vem som helst komma in och stjäla dina tillhörigheter, men om du låser dörren och låser fönstren blir det mycket svårare för en inbrottstjuv att komma in . En specialist kan välja låset, men det kommer att ta mycket tid och ansträngning.

Brandväggar

Om du misstänker att WEP och 802.1x inte ger tillräcklig trådlös säkerhet är nästa logiska steg att hitta ett annat sätt att förhindra att utomstående får tillgång till ditt nätverk. Du behöver en brandvägg.

En brandvägg är en proxyserver som filtrerar all data som passerar genom den till eller från ett nätverk, beroende på en uppsättning regler som anges av nätverksadministratören. Till exempel kan en brandvägg filtrera bort data från en okänd källa eller filer som är associerade med en specifik källa (virus). Eller så kan den överföra all data som överförs från det lokala nätverket till Internet, men bara tillåta specifika typer av data från Internet. Den vanligaste användningen av en nätverksbrandvägg är som en gateway till Internet, som visas i fig. 14.5. En brandvägg övervakar all inkommande och utgående data mellan det lokala nätverket på ena sidan och Internet på den andra. Denna typ av brandvägg är utformad för att skydda datorer i nätverket från obehörig åtkomst från Internet.

Ris. 14.5

I ett trådlöst nätverk kan brandväggen också placeras vid gatewayen mellan de trådlösa åtkomstpunkterna och det trådbundna nätverket. En sådan brandvägg isolerar den trådlösa delen av nätverket från det trådbundna nätverket, så missnöjda som ansluter sina datorer till nätverket utan tillstånd kan inte använda den trådlösa anslutningen för att komma åt Internet eller den trådbundna delen av nätverket. I fig. 14.6 visar platsen för en brandvägg i ett trådlöst nätverk.

Ris. 14.6

Lämna ingen chans för trådlösa inkräktare

De flesta som försöker ansluta sig till ett trådlöst nätverk stör inte med andra datorer; de är intresserade av gratis höghastighetsinternet. Om de inte kan använda ditt nätverk för att ladda ner filer eller ansluta till sina favoritwebbsidor, kommer de troligen att försöka hitta någon annan osäker trådlös hotspot. Detta betyder inte att du ska lagra känslig data i tillgängliga filer på oskyddade datorer, men om du kan begränsa eller neka åtkomst till Internet kommer du att göra ditt nätverk mycket mindre attraktivt för illa önskade. En brandvägg i ett trådlöst nätverk kan tjäna flera funktioner: den fungerar som en router mellan det trådlösa och det trådbundna nätverket, eller som en bro mellan nätverket och Internet, och blockerar all trafik från den trådlösa änden till den trådbundna änden som inte kommer från en autentiserad användare. Men det stör inte kommandon, meddelanden och filöverföringar från betrodda användare.

Eftersom både auktoriserade användare och utomstående befinner sig på den osäkra sidan av brandväggen, isolerar detta inte de trådlösa noder från varandra. En illa önskad kan fortfarande komma åt en annan dator i samma trådlösa nätverk och läsa tillgängliga filer, så det är bäst att inaktivera Fildelning(Filåtkomst) på alla datorer som är anslutna till det trådlösa nätverket.

Den trådlösa brandväggen måste använda någon typ av autentisering för att tillåta behöriga användare genom gatewayen och filtrera bort alla andra. Om MAC-baserad åtkomstkontroll är inbyggd i 802.11b-system och valfri 802.1x-autentisering inte är acceptabel, bör en extern brandvägg kräva att varje användare anger ett användarnamn och lösenord innan de ansluter till Internet.

Om ditt trådlösa nätverk innehåller datorer som kör flera operativsystem måste brandväggen använda en inloggning som fungerar på vilken plattform som helst. Det enklaste sättet att uppnå detta är att använda en webbaserad autentiseringsserver som den som ingår i Apaches webbserver (http://httpd.apache.org).

NASA använder Apache på en dedikerad server för att skapa en webbplats som meddelar användare när de anger sitt kontonamn och lösenord.

Servern använder ett Perl / CGI -skript för att jämföra inloggningen och lösenordet mot databasen. Om de är korrekta instruerar den servern att acceptera kommandon och data med användarens IP -adress. Om det inte finns något användarnamn i databasen eller om lösenordet är felaktigt, visar Apache webbsidan ogiltig användarnamn och lösenord.

Apache-webbservern är tillgänglig som ett Unix-program som körs på en gammal långsam dator med ett tidigt Pentium eller till och med en 486 CPU, så det är ofta möjligt att återanvända en gammal dator som inte längre används i det dagliga arbetet för att fungera som en brandvägg. Både Apache-applikationen och Unix-operativsystemet finns som öppen källkod, så det borde vara möjligt att bygga en Apache-baserad brandvägg till en extremt låg kostnad.

Om du föredrar att använda Windows istället för Unix har du flera alternativ. Du kan använda Windows NT/2000 -versionen av Apache eller ett kommersiellt verktyg som Sygates Wireless Enforcer (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) - Wireless Enforcer fungerar med andra delar av Sygate Secure Enterprise Suite. Sygate Security) för att tilldela och verifiera ett unikt fingeravtryck till varje auktoriserad användare. Om utomstående försöker ansluta till en åtkomstpunkt utan det nödvändiga fingeravtrycket, blockerar nätverket dem.

Isolera ditt nätverk från Internet

Alla attacker mot ett trådlöst nätverk utförs inte i luften. Ett trådlöst nätverk kräver samma typ av brandväggsstöd mot Internetattacker som alla andra nätverk. Många åtkomstpunkter innehåller konfigurerbara brandväggsfunktioner, men om din inte gör det måste ditt nätverk innehålla en eller flera av följande brandväggar:

Brandväggsprogramvara på varje dator;

En separat router eller dedikerad dator för att fungera som en nätverksbrandvägg;

Ett integrerat säkerhetspaket, till exempel Sygate -paketet som beskrivs i föregående avsnitt.

Brandväggsklientprogram ger ytterligare en försvarslinje mot attacker på ditt nätverk över Internet. Några av dem kommer från motståndare som letar efter ett sätt att läsa dina filer och andra resurser som du vill dölja för omvärlden. Andra kanske vill använda din dator som leveranspunkt för skräppost eller försök att infiltrera en dator någon annanstans i världen för att göra den verkliga resursen svårare att spåra. Andra sprider virus eller använder oönskade program som avlyssnar datorkontroll och visar skrämmande eller reklammeddelanden. Dessutom kan en osäker maskin med mycket oanvänt lagringsutrymme vara ett attraktivt mål för hackare som vill distribuera piratkopierad programvara, musik eller videofiler (tror du inte att de lagrar detta skräp på sina egna datorer?).

Om du installerar en brandvägg som meddelar dig när en extern dator försöker ansluta till nätverket kommer du troligen att se flera intrångsförsök varje dag.

Åtkomstpunkter med brandväggar

Den enklaste användningen av en trådlös brandvägg är att använda den inbyggda åtkomstpunkten. Vissa kombinerar funktionerna för en trådlös åtkomstpunkt med en bredbandsrouter och Ethernet -switch, så att de stöder både trådbundna och trådlösa nätverksklienter.

Som du vet tillhandahåller en nätverksrouter en översättning mellan en numerisk IP -adress som definierar en lokal nätverksgateway och interna IP -adresser som identifierar enskilda datorer i den. Brandväggen blockerar vanligtvis alla inkommande förfrågningar om data till de lokala nätverksvärdarna, men detta skapar problem när du vill använda en eller flera datorer i det lokala nätverket som filservrar. För att lösa detta problem innehåller brandväggen en virtuell server som omdirigerar specifika typer av förfrågningar till rätt dator i nätverket.

Varje begäran om att ansluta till en server innehåller ett specifikt portnummer som identifierar servertypen. Exempelvis använder webbservrar port 80 och FTP använder port 21, så dessa portnummer är en del av åtkomstbegäran. När du accepterar förfrågningar om åtkomst till servern måste du aktivera nätverksadressöversättning (NAT) i brandväggen för att dirigera dessa förfrågningar till en viss dator i det lokala nätverket. I fig. 14.7 är den virtuella servern konfigurerad för att använda en dator med den lokala IP -adressen 192.168.0.177 som webbserver och 192.168.0.164 som FTP -filserver. Tabell 14.1 listar de vanligaste serviceportnumren.

Flik. 14.1 Vanliga TCP / IP -tjänstportnummer

Hundratals andra portnummer används på olika nätverk, men de flesta av dem kommer du aldrig att se i verklig användning. Den officiella listan över tilldelade hamnar finns på http://www.iana.org/assignments/port-numbers.

Ris. 14.7

NAT -översättning förutsätter att IP -adresserna för varje virtuell server inte bör ändras från en förfrågan till en annan. Webbservern med det aktuella numret 192.168.0.23 bör inte byta till 192.168.0.47 efter en vecka. Detta är vanligtvis inte ett problem på ett trådbundet nätverk, utan på ett trådlöst nätverk där nätverksklienter ansluter och avslutar kontinuerligt. DHCP -servern tilldelar automatiskt nästa tillgängliga nummer till varje ny klient. Om en av dessa användare är platsen för en av nätverkstjänstportarna kanske NAT inte kan upptäcka den. Detta problem är inte särskilt vanligt, eftersom de flesta nätverk inte använder bärbara datorer som servrar, men ibland händer det. Lösningen är att antingen inaktivera DHCP -servern och tilldela en permanent IP -adress till varje klient eller flytta tjänstporten till en dator som har en trådbunden anslutning till nätverket.

Brandväggsprogramvara

Den trådlösa gateway -brandväggen på gränssnittet mellan åtkomstpunkten och den trådbundna delen av ditt LAN kommer att hindra utomstående från att använda nätverket för att komma åt Internet, och brandväggen för Internetanslutning kommer att avvisa försök att ansluta till nätverket från Internet, men en trådlös nätverket behöver en annan form av skydd. Om någon får åtkomst till ditt trådlösa nätverk utan tillstånd, vill du bli av med andra legitima datorer i samma nätverk av dem. Detta innebär att du behöver ett klient brandväggsprogram för varje nätverksnod.

En klientbrandvägg utför samma funktioner på en dators nätverksgränssnitt som ett nätverks- eller företagsbrandvägg gör för ett helt nätverk. Det upptäcker försök att ansluta till TCP -portar och ignorerar dem om de inte matchar en eller flera av konfigurationsinställningarna för brandväggen.

Vissa brandväggar är tillgängliga som en testversion, medan andra är gratis för icke-kommersiella användare, så du kan enkelt prova dem på ditt eget system och välja den du gillar bäst.

Nedan följer några program för Windows:

Unix- och Linux -användare har också många brandväggsfunktioner. De flesta av dem skrevs för användning på fristående brandväggsdatorer som används i stor utsträckning som nätverksportar, men de kan också fungera som skydd för enskilda nätverksklienter.

I Linux är brandväggen en del av kärnan, användaren arbetar med den via konsolverktygen - antingen ipchains eller iptables. Båda är dokumenterade på http: // linuxdoc.org/HOWTO /IPCHAINS-HOWVTO.html respektive http: // www.netfilter .org / unreliable-guides / packet-filtering-HOWTO. IP Filter är ett mjukvarupaket som tillhandahåller brandväggstjänster för FreeBSD- och NetBSD -system. Den officiella IP Filter-webbplatsen finns på http://coombs.anu.edu.au/-avalon, och http://www.obfuscation.org/ipf/ipf-howto.txt har ett utmärkt dokument om hur du använder den. Programmet kan avvisa eller tillåta alla paket som passerar genom brandväggen, samt filtrera efter nätmask eller värdadress, tillämpa restriktioner för tjänstportar och tillhandahålla NAT -översättningstjänster.

NetBSD / i386 Firewall är en annan gratis Unix -brandvägg.

Den körs på alla datorer med en processor på 486 eller högre med en minsta minnesstorlek på 8 MB. Hemsidan för NetBSD/i386 Firewall Project finns på http://www.dubbele.com.

PortSentry är ett verktyg för detektering av portskanning som integreras i flera mycket använda Linux -versioner, inklusive Red Hat, Caldera, Debian och Turbo Linux. Den är tillgänglig för nedladdning på http: // www.psionic .com / products / portsentry.html.

Virtuella privata nätverk

Genom att isolera anslutningen mellan nätverksnoder från annan nätverkstrafik kan ett VPN lägga till ytterligare ett lager av skydd. VPN är en krypterad överföringskanal som ansluter två nätverks slutpunkter genom en "datatunnel". Många brandväggsexperter rekommenderar VPN som ett effektivt sätt att skydda ditt trådlösa nätverk från oönskade och obehöriga användare. Du hittar mer information om hur du konfigurerar och använder ett VPN i nästa kapitel.

Fysiskt skydd

Hittills har vi pratat om att förhindra att e-tjuvar får tillgång till ditt nätverk. Det är enkelt att komma åt nätverket med hjälp av hårdvara som ännu inte har konfigurerats för det. Detta är ännu enklare om angriparen har en dator som har stulits från en auktoriserad användare.

Att tappa bort en bärbar dator är obehagligt. Det är ännu värre att låta tjuven använda den stulna datorn för att spåra nätverket. Som nätoperatör bör du påminna dina användare om att deras handhållna enheter är attraktiva mål för tjuvar och ge några tips för att skydda dem. Som användare måste du själv följa samma regler.

Den första regeln är enkel - glöm inte att du bär en dator. Det verkar självklart, men taxichaufförer i London hittade cirka 2900 bärbara datorer (och 62 000 mobiltelefoner!) Kvar i sina bilar på sex månader. Otaliga andra fanns kvar på flygplan, hotellrum, pendeltåg och konferensrum. Annonsera inte att du bär en dator. Nylonväskor med en stor ”IBM” eller ”COMPAQ” bokstäver på sidan kan se trendiga ut, men de är inte lika säkra som en vanlig portfölj eller tote bag.

Bär alltid datorn för hand eller på axeln när den inte är låst i en garderob eller ett förråd. Distrahera i en minut - och en erfaren tjuv kommer att kunna kidnappa honom. Flygplatsterminaler, tågstationer och hotellobbyer är vanliga platser för stöld. Lämna inte en oskyddad persondator på kontoret över natten. Kör inte det via flygplatsskannrar. Be kontrollanten att inspektera den själv, eller se till att du kan lämna tillbaka datorn så snart den slutar passera längs transportbandet. Två personer som arbetar i par kan enkelt gripa dig och stjäla din dator innan du har det. Om någon försöker stjäla en dator medan han kontrollerar bagage, gör ett ljud och ring säkerheten för hjälp. Se till att dina datorer och enskilda komponenter, till exempel PC -kort, har ägaretiketter, inifrån och ut.

Säkerhetsspårning av kontorsfastighet (http://www.stoptheft.com) erbjuder registrerade cyanoakrylat -självhäftande utskrivbara säkerhetstaggar som kräver en kraft på 360 kg för att ta bort, med det permanenta "stulna fastighets" -märket som är synligt om någon eller tar bort genväg.

Om du kan övertyga dina kunder att använda varningsenheter på sina datorer kan det öka chansen att de återvänder. TRACKIT (http: // www.trackit-corp.co m) är en tvådelad varningsanordning som använder en kedjefäst sändare och en miniatyrmottagare som finns i en datorpåse. När sändaren är mer än 12 meter från mottagaren avger den en 110 dB siren, vilket vanligtvis får tjuven att kasta den stulna påsen.

Håll slutligen listan över modeller och serienummer åtskilda från själva enheterna. Du behöver denna information för ett försäkringsskada.

När du upptäcker att en av datorerna som är anslutna till ditt nätverk har gått förlorad eller stulits är det viktigt att skydda resten av nätverket. Ändra nätverks -SSID, lösenord och WEP -nycklar så snart som möjligt. Om ditt nätverk använder en lista över MAC -adresser för åtkomstkontroll, ta bort MAC -adressen för den stulna enheten från listan över auktoriserade anslutningar.

Anslut ditt nätverk till världen

Om du använder ett trådlöst nätverk för att dela Internet på ett grannskapsnätverk eller campus, eller om du vill låta kunder och andra besökare ansluta till ditt trådlösa nätverk, bör du inte använda WEP eller andra säkerhetsverktyg för att begränsa åtkomsten till kända användare , men du måste fortfarande vidta några säkerhetsåtgärder ....

Din önskan att ge människor en direktanslutning till Internet betyder inte att du vill låta dem ströva omkring på andra datorer i ditt nätverk - du måste isolera de trådlösa hotspotsna från resten av ditt nätverk.

Om alla lokala värdar i ditt nätverk är trådbundna är den bästa metoden att placera en brandvägg mellan den trådlösa åtkomstpunkten och det trådbundna LAN, vilket gör att åtkomstpunkten (och datorer som är anslutna till den trådlöst) endast kan ansluta till Internet och inte till någon av de lokala värdarna. trådbundet nätverk som visas i fig. 14.8.

Men om vissa av dina hemdatorer använder trådlösa anslutningar måste du skydda dem från åtkomst från utomstående som använder den delade delen av ditt nätverk. Det finns ett par sätt att genomföra denna plan: i fig. 14.9 visar ett trådlöst nätverk med en programvarubrandvägg på varje hemdator, och fig. 14.10 - ett system som använder två separata trådlösa nätverk med olika SSID anslutna till samma webbplats. Den allmänna tumregeln är att använda en eller flera brandväggar för att isolera den kollektiva delen av ditt nätverk från datorer som du inte vill exponera för resten av världen.

Ris. 14.8

Ris. 14.9

Ris. 14.10

Anmärkningar:

För centraliserad filåtkomstkontroll i Windows XP och Windows 2000 högerklickar du på snabbmenyn Min dator och välj Hantera... Välj ett bokmärke i den högra rutan Delade mappar, då Aktier. - Cirka. vetenskaplig. red.

Statens utbildningsinstitution

Högre yrkesutbildning

Tyumen State University

Institutet för matematik och datavetenskap

Institutionen för informationssäkerhet

Kursarbete

efter specialitet

« Skyddar trådlösa nätverk »

Avslutad:

Student i grupp nr 357

Kolbin S.S.

Handledare:

Introduktion.

Trådlösa nätverk har mycket gemensamt med trådbundna nätverk, men det finns också skillnader. För att penetrera ett trådbundet nätverk måste en hackare fysiskt ansluta till det. I Wi-Fi-versionen räcker det med att han installerar antennen i närmaste gateway i nätverkets täckningsområde.

Även om komplexa algoritmiska matematiska modeller för autentisering, datakryptering och kontroll av överföringens integritet idag används för att skydda Wi-Fi-nätverk, men i de inledande stadierna av Wi-Fi-distribution uppträdde det ofta meddelanden som även utan att använda sofistikerad utrustning och specialprogram kan ansluta till vissa företagsnätverk som bara går förbi med en bärbar dator. Det finns till och med legender om hackare som kör runt i stora städer (krigsförare) med antenner byggda av en plåtburk eller ett paket chips. Påstås att de till och med hade ett eget konventionellt system med skyltar som ritades på trottoaren och indikerade korrekt oskyddade åtkomstpunkter. Kanske var det, bara i stället för burkar med chips, användes kraftfulla antenner och konventionella skyltar indikerades på en karta som är associerad med ett globalt positioneringssystem (GPS). Detta kursarbete fokuserar på säkerheten för trådlösa nätverk. I den vill jag berätta hur du kan skydda ditt trådlösa nätverk. Nätverkssäkerhetsexperter vet att det är omöjligt att helt skydda ett nätverk och det finns helt enkelt inget som heter "perfekt skydd". För att korrekt planera säkerheten för ett trådlöst (eller trådbundet) nätverk måste du ta hänsyn till kostnaden för de skyddade värdena, kostnaden för att implementera ett säkerhetssystem, liksom möjligheterna för potentiella angripare. Med andra ord, innan man genomför alla försvar som är kända för mänskligheten, är det klokare (och billigare) att genomföra försvar mot de vanligaste hoten.

Till exempel tenderar trådlösa nätverk i städer att attackeras oftare än nätverk i glesbygd. Dussintals och till och med hundratals besökare kan passera ditt nätverk per dag i staden. Dessutom kan inkräktare gå obemärkt förbi när de sitter i en bil som står parkerad i närheten. Å andra sidan är det osannolikt att en åtkomstpunkt som ligger i ett hus mitt i en by någonsin kommer att se en främling, och välkända fordon kommer att märkas direkt.

För vissa användare verkar det svårt att konfigurera säkerheten för trådlösa nätverk, de hoppas att "kanske genomföra det" och lämna sitt nätverk helt öppet, det vill säga oskyddat. Dessutom ställer folk ibland frågan att om de bara använder nätverket för att surfa på Internet och det inte finns någon hemlig information på deras datorer, varför ska de då skydda sitt nätverk? Det finns ett bra svar på denna fråga.

Syfte med arbetet: analysera säkerheten för trådlösa nätverk, markera metoder för deras skydd och bestämma funktionerna i varje analyserad metod.

1. Historien om utvecklingen av Wi-Fi-skydd.

År 1997 släpptes den första IEEE 802.11 -standarden, vars säkerhet, som det visade sig, långt ifrån är idealisk. Ett enkelt lösenord för SSID (Server Set ID) för åtkomst till ett lokalt nätverk kan inte betraktas som säkerhet enligt moderna standarder, särskilt med tanke på det faktum att du inte fysiskt behöver ansluta till Wi-Fi.

Huvudskyddet under lång tid var användningen av digitala nycklar för att kryptera dataströmmar med funktionen Wired Equivalent Privacy (WEP). Nycklarna i sig är vanliga lösenord med en längd på 5 till 13 ASCII-tecken, vilket motsvarar 40 eller 104-bitars kryptering på statisk nivå. Som tiden har visat var WEP inte den mest pålitliga säkerhetstekniken. Och förresten, alla de huvudsakliga attackerna av hackare inträffade just i tiden för introduktionen av WEP.

Efter 2001 introducerades en ny standard IEEE 802.1X för trådbundna och trådlösa nätverk, som använder en variant av dynamiska 128-bitars krypteringsnycklar, det vill säga periodiskt förändras över tiden. Således arbetar nätverksanvändare i sessioner, varefter en ny nyckel skickas till dem. Till exempel stöder Windows XP denna standard och standardtiden för en session är 30 minuter.

I slutet av 2003 introducerades Wi-Fi Protected Access (WPA) -standarden, som kombinerar fördelarna med dynamisk IEEE 802.1X nyckelförnyelse med kryptering av Temporal Keu Integrity Protocol (TClP), Extensible Authentication Protocol (EAP) och teknikmeddelandets integritetskontroll (MIC).

Dessutom utvecklas många oberoende säkerhetsstandarder från olika utvecklare parallellt, särskilt Intel och Cisco gör det bra på detta område. 2004 visas WPA2, eller 802.11i, den säkraste standarden

Ett osäkert trådlöst nätverk är utsatt för tre huvudsakliga faror.

2.1 Dina online -resurser kommer att vara tillgängliga för främlingar.

När någon ansluter till ditt trådlösa nätverk skiljer de sig inte från någon som ansluter till en trådbunden switch i ditt nätverk. Om du inte begränsar åtkomsten till delade resurser på något sätt kan oinbjudna gäster göra allt på samma sätt som kända användare. De kan kopiera, ändra eller till och med radera filer, kataloger och till och med hela diskar. Eller ännu värre, lansering av tangentbordets avlyssnare, trojaner eller annan skadlig kod som riktar sig till okända värdar.

2.2 All nätverkstrafik kan fångas upp för vidare undersökning.

Med de nödvändiga verktygen med dig kan du se de webbsidor du besöker, webbadresser i realtid och, värre, fånga upp dina lösenord för vidare användning, oftast för egoistiska ändamål.

2.3 Din internetkanal kan användas för alla aktiviteter, inklusive olaglig.

Om ett öppet trådlöst nätverk används för att illegalt distribuera filmer eller musik, kan detta i många länder betalas med en stämning från brottsbekämpande myndigheter. Om kanalen användes för att överföra något mer olagligt, till exempel barnpornografi, till en extern resurs eller om en sådan server dök upp i nätverket kan problemen vara mycket allvarligare. Dessutom kan kanalen användas av spammare, älskare av DOS -attacker och distributörer av skadlig kod, virus och många andra.

Det är perfekt att ge internet åtkomst till alla dina gäster. Men om du inte seriöst skyddar ditt trådlösa nätverk är du i fara.

3. Skyddsmetoder mot hackare med olika färdighetsnivåer.

3.1 Färdigheter på nollnivå: alla datorägare med en trådlös adapter.

För att hacka ett osäkert nätverk behöver du inte ha några speciella färdigheter - varje ägare till en dator med en trådlös adapter kan eventuellt göra detta. Användarvänlighet anges ofta som ett stort plus i samband med trådlösa nätverk, men det är ett tveeggat svärd. I många fall, efter att ha startat en dator med stöd för trådlöst nätverk, ansluter användaren automatiskt till en åtkomstpunkt eller ser den i listan över tillgängliga.

Nedan finns åtgärder som hjälper dig att skydda ditt nätverk från slumpmässiga besökare, men som inte kommer att göra det svårt för mer skickliga angripare att komma åt det. Alla åtgärder sorteras i viktordning. De flesta är så enkla att det rekommenderas att implementera dem alla om hårdvaran tillåter det.

Ändra standardinställningarna

Ändra administratörslösenordet (och användarnamn, om möjligt) och SSID (nätverksnamn) på åtkomstpunkten. Vanligtvis är standardadministratörsuppgifterna öppen och tillgänglig för de flesta trådlös utrustning. Därför riskerar du utan att ersätta dem en dag att få ett inloggningsfel och förlora möjligheten att hantera det trådlösa nätverket (tills du återställer alla inställningar)! Att byta SSID är särskilt nödvändigt om du arbetar i närheten av andra åtkomstpunkter. Om angränsande åtkomstpunkter kommer från samma tillverkare har de samma standard -SSID, och klienterna kommer troligtvis omedvetet att kunna ansluta till din AP och inte till deras. Ingen personlig information ska användas för det nya SSID! Under förlossningen märktes följande SSID:

Namn och efternamn;

Gata, hus, lägenhet;

Pass;

Telefonnummer.

I princip, om det finns flera åtkomstpunkter i närheten, är det vettigt att byta kanal för att undvika ömsesidig störning. Denna åtgärd kommer dock inte att ha någon betydande inverkan på säkerheten, eftersom kunder oftast tittar på alla tillgängliga kanaler.

Uppdatera din firmware och, om det behövs, hårdvara.

Att använda den senaste programvaran på åtkomstpunkten förbättrar också säkerheten. Den nya firmware fixar vanligtvis upptäckta buggar och lägger ibland till nya skyddsfunktioner. För vissa nyare modeller av åtkomstpunkter är det tillräckligt att klicka på en musknapp ett par gånger för att uppdatera. Åtkomstpunkter som släpptes för flera år sedan stöds ofta inte längre av tillverkare, det vill säga ny firmware bör inte förväntas. Om firmware för din åtkomstpunkt inte ens stöder WP A(Wi-Fi Protected Access), för att inte tala om WPA2, då borde du allvarligt tänka på att ersätta den. Detsamma gäller adaptrar! I princip stöder all 802.11g -utrustning som säljs idag minst WPA och är tekniskt kapabel att uppgraderas till WPA2. Tillverkare har dock inte alltid bråttom att uppdatera äldre produkter.

Inaktivera SSID -sändning.

De flesta åtkomstpunkter gör att du kan stänga av SSID -sändningar, vilket kan vara överväldigande för vissa verktyg som NetstumbIer. Dessutom döljer SSID-nätverket att ditt nätverk inte upptäcks av Windows XP: s inbyggda Wireless Zero Configuration-verktyg och andra klientprogram. I fig. 1 visar objektet "Dölj ESSID" SSID Broadcast Disable på ParkerVision AP. ("SSID" och "ESSID" betyder samma här).

Ris. 1. Inaktivera SSID -sändning på Parkervisio -åtkomstpunkten n .

Notera. Inaktivering av SSID Broadcast skyddar dig inte från inkräktare som använder verktyg som t.ex. Kismet eller AirMagpet... De upptäcker närvaron av ett trådlöst nätverk oavsett SSID.

Stäng av nätverket när det inte fungerar!

Ofta förbiser användare den enklaste skyddsmetoden - att stänga av åtkomstpunkten. Eftersom det inte finns något trådlöst nätverk är det inga problem. Den enklaste timern kan stänga av åtkomstpunkten, till exempel på natten, medan du inte använder den. Om du använder samma trådlösa router för ditt trådlösa nätverk och för internetåtkomst fungerar inte din internetanslutning heller - inte dåligt.

Om du inte vill koppla från internetanslutningen kan du manuellt inaktivera routerns radiomodul om den tillåter det. På Ris. 2 punkten för att koppla bort radiomodulen visas. Denna metod är inte tillräckligt tillförlitlig, eftersom den beror på den "mänskliga faktorn" - du kan helt enkelt glömma bortkopplingen. Kanske kommer tillverkarna någon gång att lägga till en funktion för att stänga av radiomodulen enligt ett schema.

Ris. 2. Inaktivera radiomodulen.

Filtrera efter MAC -adresser

Filtrering efter MAC -adresser används för att säkerställa att endast de datorer vars adresser finns i listan kan få (eller omvänt inte få) åtkomst till nätverket. Filtrering skyddar ditt nätverk från nybörjare, men mer erfarna hackare kan enkelt fånga upp MAC -adresser och ändra sin adress till en av de tillåtna.

Ris. 3. Filtrering MAC -adresser på accesspunkten USR 8011.

Minskad överföringseffekt

Få konsument AP har den här funktionen, men sänkning av sändningseffekten kommer att begränsa antalet både avsiktliga och oavsiktliga obehöriga anslutningar. Emellertid ökar känsligheten för trådlösa adaptrar som är tillgängliga för massanvändaren ständigt, så det är knappast värt bli förbryllad på det här sättet, särskilt om du uteslutande gör det på grund av säkerhet i ett flerfamiljshus. Erfarna hackare använder vanligtvis kraftfulla riktningsantenner, som gör att de kan upptäcka även en mycket svag signal och göra denna punkt ogiltig.

3.2 Färdigheter på första nivån: en användare med en offentlig uppsättning verktyg för att hacka WLAN

Låt oss gå vidare till mer erfarna användare som specifikt strövar omkring i grannskapet på jakt efter trådlösa nätverk. Vissa gör det bara av nyfikenhet och försöker upptäcka hur många nätverk som finns i närheten. De försöker aldrig utnyttja sårbara nätverk. Men det finns också mindre vänliga hackare som ansluter och använder nätverk, och ibland till och med besvärsägare. Alla åtgärder som vidtas på nollnivån kommer inte att rädda dig från inbrottstjuvar på första nivån, och en inkräktare kan tränga in i nätverket. Du kan skydda dig från det genom att använda kryptering och autentisering. Vi kommer att hantera autentisering lite senare, låt oss nu stanna kvar vid kryptering. En möjlig lösning är att dirigera all trådlös trafik genom en Virtual Private Network (VPN) tunnel.

Kryptering

Trådlösa ägare bör använda den starkaste krypteringsmetoden som finns. Det beror naturligtvis på utrustningen, men på ett eller annat sätt kan du vanligtvis välja WBR, WPA eller WPA2. WEP (Wired Equivalent Privacy) - säkerhet motsvarande ett trådbundet nätverk är det svagaste protokollet, men det är för närvarande det mest utbredda och stöds av nästan all 802.11 -utrustning. Det kan vara nödvändigt att sluta använda denna teknik eftersom inte alla tillverkare av trådlös utrustning har släppt firmwareuppdateringar med WPA -stöd för 802.11b -utrustning. Vissa människor tillverkar fortfarande utrustning som bara stöder WEP, till exempel trådlösa VoIP -telefoner. Således är det nödvändigt att artificiellt minska nätets säkerhet på grund av att inte all utrustning stöder nyare teknik.

Både WPA (Wi-Fi Protected Access) och WPA2 ger god trådlös säkerhet genom starkare kryptering och förbättrad nyckelhantering. Den största skillnaden mellan de två är att WPA2 stöder den starkare AES -krypteringen (Advanced Encryption Standard). Men ett antal produkter som stöder WPA tillåter också att använda AES -krypteringsalgoritmen istället för standard TKIP.

De flesta 802.11g -produkter stöder WPA, men det finns undantag. När det gäller uppdatering av äldre produkter till WPA2, är många firmwares fortfarande under utveckling, trots att 802.11i -standarden, som WPA2 är baserad på, godkändes redan i juni 2004.

Vi rekommenderar åtminstone att använda WPA. Dess effektivitet är jämförbar med WPA2, och som vi redan skrev stöds standarden av ett stort antal utrustningar. Naturligtvis kan implementering av WPA kräva att du köper ny hårdvara, särskilt om du använder 802.11b. 11g hårdvara är dock relativt billig idag och kan löna sig.

De flesta WPA- och WPA2-konsument-AP: n stöder endast WPA-PSK (Pre-Shared Keu) lösenordsläge (Bild 4)... WPA2 eller WPA "Enterprise" (även kallat WPA "RADIUS") stöds också på viss hårdvara, men kräver en RADIUS -server

Ris. 4. Kryptering av trafik på Netgear -åtkomstpunkten.

För de flesta privata trådlösa nätverk ger WPA-PSK riklig säkerhet, men bara när du väljer ett relativt långt och komplext lösenord. Du bör inte bara använda siffror eller ord från en ordbok, som program som t.ex. cowpatty tillåta ordbokattacker mot WPA-RSK.

Robert Moskowitz, Senior CTO på ICSA Labs, i hans artikel rekommenderas med 128-bitars PSK-kryptering. Lyckligtvis tillåter alla WPA -implementationer användning av alfanumeriska lösenord, det vill säga 16 tecken räcker för att uppfylla Moskovichs rekommendation.

Det finns många lösenordsgeneratorer på Internet, allt du behöver göra är att använda en sökmotor. Slutligen några tillverkare

utrustning började sälja åtkomstpunkter och trådlösa adaptrar med automatisk konfiguration av trådlös säkerhet. Buffalo Technology. har släppt en serie produkter med teknik AOSS(AirStation OneTouch Secure Station). Linksys har nyligen börjat tillverka och sälja hårdvara som stöder denna teknik. SecureEasySetup från Broadcom.

3.3 BToporo-nivå färdigheter: användare med utökad uppsättning verktyg för att knäcka WEP / WPA-PSK

WPA och WPA2 täcker de flesta problemen som WEP har, men de är fortfarande sårbara, särskilt i PSK -varianten. Att knäcka WPA och WPA2 med ett lösenord är svårare och dyrare, särskilt när man använder AES -kryptering, men det är fortfarande möjligt.

Autentisering

Autentisering bör implementeras för att skydda mot detta hot. Autentisering lägger till ytterligare ett lager av säkerhet genom att kräva att klientens dator registrerar sig i nätverket. Traditionellt görs detta med hjälp av certifikat, tokens eller lösenord (även kända som PreShared-Key) som verifieras mot autentiseringsservern.

Standard 802.1X låter dig arbeta med WEP, WPA och WPA2 och stöder flera typer av autentisering EAP(Extensible Authentication Protocol). Att skapa autentisering kan vara besvärligt och dyrt, även för proffs, än mindre vanliga användare. Vid den nuvarande RSA -konferensen i San Francisco, till exempel, bestämde många deltagare att inte konfigurera trådlös säkerhet bara för att guiden var en hel sida!

Lyckligtvis förbättras situationen ständigt, du behöver inte längre köpa en fullvärdig server RADIE eftersom många lättinstallerade alternativ har dykt upp.

En liknande produkt från Wireless Security Corporation (nyligen förvärvad av McAfee) kallas WSC Guard. Prenumerationspriserna börjar på $ 4,95 / månad per användare och rabatter gäller när du betalar för flera platser. Följande lösning är mer lämplig för erfarna "nätverkare" - TinyPEAPär en firmware med en RADPJS -server som stöder PEAP -autentisering på trådlösa routrar Linksys WRT 54 G och GS... Observera att firmware inte officiellt stöds av Linksys, så installationen sker på egen risk.

3.4 Färdigheter på tredje nivån: professionell hackare

Hittills har skyddet kokat ner för att förhindra att en angripare ansluter till ditt nätverk. Men tänk om, trots alla ansträngningar. hacker kom in i nätverket?

Detekterings- och förebyggande system finns för trådbundna och trådlösa nätverk, men de är inriktade på företagsnivå och prissätts därefter. Du kan också hitta lösningar baserade på öppen källkod, men tyvärr är de inte helt tydliga för nybörjare. Under åren har trådbundna nätverk utvecklat grundläggande säkerhetsprinciper som kan tillämpas på trådlösa nätverk. De kommer att skydda mot inkräktare.

Allmän nätverkssäkerhet

För att stärka skyddet av nätverk bör följande åtgärder vidtas

Autentisering vid åtkomst till någon nätverksresurs.

Vilken server som helst, vilken resurs som helst, routerns kontrollpanel etc. måste kräva autentisering. Det är dock omöjligt att implementera äkta autentisering på användarnivå utan en lämplig server. Som ett minimum bör du ange lösenord för alla resurser och inaktivera gästkontot om du använder Windows XP. Och dela aldrig hela avsnitt!

Segmentering av nätverket.

En dator som inte är ansluten till ett nätverk är skyddad från nätverksattacker. Det finns dock andra sätt att begränsa åtkomsten. Flera korrekt konfigurerade, billiga NAT -routrar kan ge en utmärkt grund för att skapa säkra LAN -segment som kan komma åt Internet. Läs mer om detta här. Växlar eller routrar med VLAN -stöd hjälper också till med nätverkssegregering. VLAN-funktioner är emellertid tillgängliga på de flesta hanterade switchar, men de finns nästan aldrig i billiga routrar och oövervakade switchar.

Verktyg för skydd av programvara.

Som ett minimum måste du använda uppdaterade antiviruslösningar och regelbundet uppdatera databaserna. Personliga brandväggar som t.ex. ZoneAlarm, BlackICE och andra kommer att varna dig om misstänkt nätverksaktivitet. Tyvärr kräver de senaste versionerna av skadlig kod och spionprogram speciell anti-spionprogramvara för att installeras. Här kan du notera Webroot Software Spy Sweeper, och Sunbelt Software's CounterSpy.

Observera att för att organisera tillförlitligt nätverksskydd är det nödvändigt att skydda alla maskiner, utan undantag!

Filkryptering.

Kryptering av filer med kryptografiskt starka algoritmer ger tillförlitligt skydd vid obehörig åtkomst. Windows XP -användare kan använda Windows Encrypted FiIe System (EFS). Mac OS X Tiger -användare - FileVault. Bland nackdelarna med kryptering kan det noteras att det kräver processorresurser, och detta kan avsevärt bromsa arbetet med filer.

Slutsats.

Naturligtvis ger trådlösa nätverk mycket bekvämlighet, men du måste vara smart om att säkra dem. Om du inte gör försvaret själv, kommer ingen att göra det för dig. Naturligtvis är det osannolikt att du skyddar dig från en professionell hackare, men det kommer att avsevärt komplicera hans arbete. Och ditt nätverk kommer sannolikt inte att vara av intresse för proffs. Men du kommer att skyddas från de många "stygga" älskarna. Så väga för och nackdelar och skydda ditt nätverk!

Bibliografi.

1. Nätverk och Internet: Wi-FI: stridstekniker för hackning och skydd av trådlösa nätverk.

2. http://www.thg.ru/network/20050903/- trådlös säkerhet

3. "Computer press" -tidning - Skydd av trådlösa nätverk från hackning

4. Simonov S. Riskanalys. Riskhantering // Jet Info, 1999. № 1. 3. Säkerhetsrevision av informationssystem // Jet Info, 2000, № 1.

5. Hög statistisk teknik. Expertbedömningar. Lärobok. Orlov A.I. - M.: Exam, 2007.