Международный научно-образовательный электронный журнал «образование и наука в XXI веке». Выпуск №20 (том 5)


Проблемы безопасности беспроводного доступа



Download 20,94 Mb.
Pdf ko'rish
bet205/402
Sana11.07.2022
Hajmi20,94 Mb.
#774459
TuriСборник
1   ...   201   202   203   204   205   206   207   208   ...   402
Bog'liq
ОИНВ21ВЕКЕ. Ноябрь 2021. Том 5

Проблемы безопасности беспроводного доступа 
Существуют различные протоколы и методы, применяемые для 
обеспечения безопасности беспроводных сетей. 
1.
Отключение широковещательной рассылки ESSID. 
Параметр ESSID является идентификатором беспроводной сети. Он 
применяется для разделения пользователей беспроводной сети на логические 
группы. ESSID позволяет пользователю подключиться к требуемой 
беспроводной сети и, при необходимости, может быть сопоставлен с 
идентификатором виртуальной локальной сети (VLAN). Такое сопоставление 
необходимо для организации разграничения уровней доступа беспроводных 
пользователей к ресурсам корпоративной инфраструктуры. 
При проектировании беспроводной сети существует заблуждение, что 
ESSID является одним из средств обеспечения безопасности, и отключение при 
широковещательной рассылке значения ESSID позволит усилить безопасность 
сети. На самом деле значение ESSID продолжает присутствовать в управляющих 
пакетах с запросами на повторную аутентификацию и повторное соединение. 
2.
Аутентификация с использованием MAC-адреса. 
Аутентификация – это процесс определения личности клиента по 
предоставленной им информации, например, по имени и паролю. Многие 
производители беспроводного оборудования поддерживают аутентификацию 
пользовательских устройств по MAC-адресам, однако стандарт IEEE (Institut of 


506 
Electrical and Electronic Engineers) 802.11 такой тип аутентификации не 
предусматривает. 
Аутентификация по MAC-адресу без использования дополнительных 
методов обеспечения безопасности малоэффективна. Злоумышленнику 
достаточно просто получить доступ к беспроводной сети, в которой настроена 
только 
аутентификация 
по 
MAC-адресу. 
Для 
этого 
необходимо 
проанализировать радиоканал, на котором точка радиодоступа работает с 
клиентами, и получить список MAC-адресов устройств, которым открыт доступ 
к сети. Для получения доступа к сетевым ресурсам по беспроводной сети 
необходимо заменить MAC-адрес своей беспроводной карты на известный MAC-
адрес клиента. 
3.
Шифрованием с использованием статических ключей WEP. 
WEP (Wired Equivalent Privacy) - протокол, который предназначен для 
шифрования трафика между точкой радиодоступа и ее пользователями. 
Шифрование WEP основано на недостаточно криптоустойчивом алгоритме 
шифрования RC4. Длина WEP ключа составляет 40 или 104 бита. К ключу 
добавляется 
нешифрованная 
последовательность 
символов 
(вектор 
инициализации) для успешного декодирования сигнала на обратной стороне 
размером 24 бита. Таким образом, принято говорить о длинах ключей 64 и 128 
бит, однако эффективная часть ключа составляет всего лишь 40 и 104 бита. 
Существует пассивные и активные атаки на WEP. К пассивным можно 
отнести следующие: 

атака методом полного перебора; 

атака FMS - предложена в 2001 году Скотом Флурером, Ицик 
Мантином и Ади Шамиром [1]; 

улучшенная атака FMS [2]. 
Эти атаки основаны на анализе перехваченных пакетов беспроводной сети, 
и эффективность их работы зависит от количества собранных данных. Для 
получения секретного ключа WEP теоретически требуется перехватить порядка 
6000000 пакетов, что может занять 3-4 часа [3]. 


507 
Суть активных атак заключается в воздействии на беспроводную сеть с 
целью получения данных, после обработки которых будет получен доступ к 
ресурсам радиосети. К ним относятся: 

повторное использование вектора инициализации. Злоумышленник 
многократно посылает одну и ту же информацию (заранее известного 
содержания) пользователю, который работает в атакуемом беспроводном 
сегменте, через внешнюю сеть. Все время, пока злоумышленник посылает 
информацию пользователю, он также прослушивает радиоканал (канал между 
пользователем и атакуемой точкой радиодоступа) и собирает шифрованные 
данные, в которых содержится посланная им информация. Затем злоумышленник 
вычисляет ключевую последовательность, используя полученные шифрованные 
данные и известные нешифрованные; 

манипуляция битами. Атака основана на уязвимости вектора 
контроля целостности. Например, злоумышленник манипулирует битами 
пользовательских данных внутри фрейма с целью искажения информации 
третьего уровня. Фрейм не претерпел изменений на канальном уровне, проверка 
целостности на точке радиодоступа проходит успешно, и фрейм передается 
дальше. Маршрутизатор, получив фрейм от точки радиодоступа, распаковывает 
его и проверяет контрольную сумму пакета сетевого уровня, контрольная сумма 
пакета оказывается неверной. Маршрутизатор генерирует сообщение об ошибке 
и отсылает фрейм обратно на точку радиодоступа. Точка радиодоступа шифрует 
пакет и отправляет клиенту. Злоумышленник захватывает зашифрованный пакет 
с заранее известным сообщением об ошибке, после чего вычисляет ключевую 
последовательность. 
4.
Применение протокола WPA (Wi-Fi Protected Access). 
В связи с множеством уязвимостей протокола WEP был разработан и 
принят в 2003 году новый протокол безопасного беспроводного доступа WPA 
[4]. Для шифрования WPA использует Temporal Key Integrity Protocol (TKIP) с 
динамически генерируемыми ключами длиной 128 бит. Для усиления 
аутентификации применяется стандарт IEEE 802.1х и Extensible Authentification 


508 
Protocol (EAP). 
В случае если аутентификация не производится средствами протокола 
802.1х и сервером RADIUS, то применяется предварительно разделенный ключ 
(Preshared Key - PSK). Хотя на каждом клиентском компьютере может быть свой 
PSK, но в настоящее время во всех реализациях используется один PSK на 
каждый ESSID точно так же, как в протоколе WEP. Поэтому в случае 
использования PSK возможны успешные атаки на TKIP путем получения и 
анализа перехваченных пакетов во время процедуры аутентификации. 
В 2004 году был представлен стандарт беспроводного доступа второго 
поколения WPA2. В отличие от его предшественника WPA, он полностью 
базируется на заключительной редакции стандарта IEEE 802.11i и в качестве 
протокола шифрования использует AES (Advanced Encryption Protocol) с длиной 
ключа 128 бит. 
Следует отметить, что беспроводные сети также могут подвергаться 
атакам DoS (Deny of Service), результатом которых становится отказ в 
обслуживании клиентов беспроводной сети. Суть этих атак заключается в том, 
чтобы парализовать работу беспроводной сети. 
Необходимо заметить, что данная атака может быть применима не только 
к оборудованию, работающему в стандарте 802.11b, но и к оборудованию 
стандарта 802.11g, хотя он не использует технологию DSSS. Это возможно тогда, 
когда точка радиодоступа, работающая в стандарте 802.11g, поддерживает 
обратную совместимость со стандартом 802.11b. 
На сегодняшний день защиты от DoS атак для оборудования стандарта 
802.11b не существует, но для избежания такой атаки целесообразно 
использовать оборудование стандарта 802.11g (без обратной совместимости с 
802.11b). 
Обсуждение и рекомендации 
При проектировании и построении беспроводной сети необходимо 
уделить основное внимание безопасности, надежности, а также максимально 
упростить эксплуатационный процесс. 


509 
Перед построением сети беспроводного доступа необходимо произвести 
изучение местности, т.е., вооружившись точкой радиодоступа и портативным 
компьютером, выехать на объект предполагаемой инсталляции. Это позволит 
определить места наиболее удачного расположения точек радиодоступа, 
позволяя добиться максимальной зоны покрытия местности. 
При построении системы безопасности беспроводного доступа 
необходимо помнить о трех составляющих: 
1)
архитектура аутентификации; 
2)
механизм аутентификации; 
3)
механизм обеспечения конфиденциальности и целостности данных. 
В качестве архитектуры аутентификации используется стандарт IEEE 
802.1х. Он описывает единую архитектуру контроля доступа к портам устройств 
с использованием различных методов аутентификации абонентов. 
В качестве механизма аутентификации целесообразно использовать 
протокол EAP (Extensible Authentication Protocol). Протокол EAP позволяет 
осуществлять аутентификацию на основе имени пользователя и пароля, а также 
поддерживает возможность динамической смены ключа шифрования. Имена 
пользователей и пароли необходимо хранить на сервере RADIUS. Схема 
проектируемой сети представлена на рис. 

Download 20,94 Mb.

Do'stlaringiz bilan baham:
1   ...   201   202   203   204   205   206   207   208   ...   402




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish