770руб.

Описание

Введение

История беспроводных технологий передачи информации началась в конце XIX века с передачей первого радиосигнала и появлением в 20-х годах ХХ века первых радиоприемников. В 30-е годы появилось телевидение.
В 70-е годы созданы первые беспроводные телефонные системы как естественный итог удовлетворения потребности в мобильной передаче голоса. Сначала это были аналоговые сети, а начале 80-х был разработан стандарт GSM, ознаменовавший начало перехода на цифровые стандарты, как обеспечивающие лучшее качество сигнала, лучшую безопасность.

Фрагмент работы для ознакомления

WPA
современный стандарт, о котором договорились производители оборудования
ОС
операционная система
WPA2
вторая версия набора алгоритмов и протоколов обеспечивающих защиту данных в беспроводных сетях Wi-Fi
WEP(Wired Equivalent Privacy)
протокол безопасности
COOKIE
небольшой фрагмент данных, созданный веб-сервером или веб-страницей и хранимый на компьютере пользователя в виде файла
HTTPS
расширение протокола HTTP, поддерживающее шифрование
BRUTEFORCE
метод взлома паролей путем перебора
Введение
История беспроводных технологий передачи информации началась в конце XIX века с передачей первого радиосигнала и появлением в 20-х годах XX века первых радиоприемников. В 30-е годы появилось телевидение.
В 70-е годы созданы первые беспроводные телефонные системы как естественный итогудовлетворения потребности в мобильной передаче голоса. Сначала это были аналоговые сети, а начале 80-х был разработан стандарт GSM, значимый начало перехода на цифровые стандарты, как обеспечивающие лучшее качество сигнала, лучшую безопасность.
Весьма перспективно и развитие беспроводных локальных сетей (WLAN), Bluetooth (сети средних и коротких расстояний). Беспроводные сети развертываются в аэропортах, университетах, ресторанах, предприятиях. В конце 90-х годов пользователям была предложена WAP-услуга, сначала не вызвавшая у населения большого интереса. Это были основные информационные услуги – новости, погода, всевозможные расписания и т.п. Также весьма низким спросом пользовались вначале и Bluetooth, и WLAN в основном из-за высокой стоимости этих средств связи. К середине первого десятилетия XXI века счет пользователей беспроводного Интернет – сервиса пошел на десятки миллионов. С появлением беспроводной Интернет - связи на первый план вышли вопросы обеспечения безопасности. Как и любая компьютерная сеть, Wi-Fi – является источником повышенного риска несанкционированного доступа. Кроме того, проникнуть в беспроводную сеть значительно проще, чем в обычную, - не нужно подключаться к проводам, достаточно оказаться в зоне приема сигнала.
Но прежде чем приступать к защите беспроводной сети, необходимо понять основные принципы ее организации.
1. Стандарт безопасности WEP
Все современные беспроводные устройства (точки доступа, беспроводные адаптеры и маршрутизаторы) поддерживают протокол безопасности WEP (Wired Equivalent Privacy). Данный протокол является своего рода аналогом проводной безопасности.
Процедура WEP-шифрования выглядит следующим образом. Первоначально передаваемые в пакете данные проверяются на целостность, после чего контрольная сумма добавляется в служебное поле заголовка пакета. Далее генерируется 24-битный вектор инициализации, а к нему добавляется статический (40- или 104-битный) секретный ключ. Полученный таким образом 64- или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, которое используется для шифрования данных.
Протокол безопасности WEP предусматривает два способа аутентификации пользователей: Open System (открытая) и Shared Key (общая). При использовании открытой аутентификации, по сути, никакой аутентификации не выполняется, то есть любой пользователь может получить доступ в беспроводную сеть. Однако даже при открытой системе допускается применение WEP-шифрования данных.
2. Защита от незваных гостей

Список литературы

Список литературы

1. Кудин А.В. //Безопасность и качество услуг сотовой подвижной связи. Терминологический справочник 2014г. // http://www.techbook.ru/book.php?id_book=688(11.03.2014)
2. Сергей Пахомов //Защита беспроводных сетей от взлома//
http://compress.ru/article.aspx?id=16254(11.03.2014)

Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.

* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.

Несанкционированный доступ – чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий .

Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.

Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа. Основные типовые пути несанкционированного получения информации:

· хищение носителей информации и производственных отходов;

· копирование носителей информации с преодолением мер защиты;

· маскировка под зарегистрированного пользователя;

· мистификация (маскировка под запросы системы);

· использование недостатков операционных систем и языков программирования;

· использование программных закладок и программных блоков типа "троянский конь";

· перехват электронных излучений;

· перехват акустических излучений;

· дистанционное фотографирование;

· применение подслушивающих устройств;

· злоумышленный вывод из строя механизмов защиты и т.д..

Для защиты информации от несанкционированного доступа применяются:

1) организационные мероприятия;

2) технические средства;

3) программные средства;

4) шифрование.

Организационные мероприятия включают в себя:

· пропускной режим;

· хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);

· ограничение доступа лиц в компьютерные помещения и т.д..

Технические средства включают в себя:

· фильтры, экраны на аппаратуру;

· ключ для блокировки клавиатуры;

· устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

· электронные ключи на микросхемах и т.д.

Программные средства включают в себя:

· парольный доступ – задание полномочий пользователя;

· блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;

· использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.

Шифрование–это преобразование (кодирование) открытой информации в зашифрованную, не доступную для понимания посторонних. Методы шифрования и расшифровывания сообщения изучает наука криптология, история которой насчитывает около четырех тысяч лет.

2.5. Защита информации в беспроводных сетях

Невероятно быстрые темпы внедрения в современных сетях беспроводных решений заставляют задуматься о надежности защиты данных.

Сам принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа.

Не менее опасная угроза - вероятность хищения оборудования. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или точка доступа, украденная злоумышленником, может открыть доступ к сети.

Часто несанкционированное подключение точек доступа к ЛВС выполняется самими работниками предприятия, которые не задумываются о защите.

Решением подобных проблем нужно заниматься комплексно. Организационные мероприятия выбираются исходя из условий работы каждой конкретной сети. Что касается мероприятий технического характера, то весьма хорошей результат достигается при использовании обязательной взаимной аутентификации устройств и внедрении активных средств контроля.

В 2001 году появились первые реализации драйверов и программ, позволяющих справиться с шифрованием WEP. Самый удачный - PreShared Key. Но и он хорош только при надежной шифрации и регулярной замене качественных паролей (рис.1).

Рисунок 1 - Алгоритм анализа зашифрованных данных

Современные требования к защите

Аутентификация

В настоящее время в различном сетевом оборудовании, в том числе в беспроводных устройствах, широко применяется более современный способ аутентификации, который определен в стандарте 802.1х - пока не будет проведена взаимная проверка, пользователь не может ни принимать, ни передавать никаких данных.

Ряд разработчиков используют для аутентификации в своих устройствах протоколы EAP-TLS и PEAP, Cisco Systems, предлагает для своих беспроводных сетей, помимо упомянутых, следующие протоколы: EAP-TLS, РЕАР, LEAP, EAP-FAST.

Все современные способы аутентификации подразумевают поддержку динамических ключей.

Главный недостаток LEAP и EAP-FAST - эти протоколы поддерживаются в основном в оборудовании Cisco Systems (рис. 2).

Рисунок 2 - Структура пакета 802.11x при использовании TKIP-PPK, MIC и шифрации по WEP.

Шифрование и целостность

На основании рекомендаций 802.11i Cisco Systems реализован протокол ТКIР (Temporal Integrity Protocol), обеспечивающий смену ключа шифрования РРК (Per Packet Keying) в каждом пакете и контроль целостности сообщений MIC (Message Integrity Check).

Другой перспективный протокол шифрования и обеспечения целостности - AES (Advanced Encryption Standart). Он обладает лучшей криптостойкостью по сравнению DES и ГОСТ 28147-89. Он обеспечивает и шифрацию, и целостность.

Заметим, что используемый в нем алгоритм (Rijndael) не требует больших ресурсов ни при реализации, ни при работе, что очень важно для уменьшения времени задержки данных и нагрузки на процессор.

Стандарт обеспечения безопасности в беспроводных локальных сетях - 802,11i.

Стандарт Wi-Fi Protected Access (WPA) - это набор правил, обеспечивающих реализацию защиты данных в сетях 802.11х. Начиная с августа 2003 года соответствие стандартам WPA является обязательным требованием к оборудования, сертифицируемому на звание Wi-Fi Certified.

В спецификацию WPA входит измененный протокол TKOP-PPK. Шифрование производится на сочетании нескольких ключей - текущего и последующего. При этом длина IV увеличена до 48 бит. Это дает возможность реализовать дополнительные меры по защите информации, к примеру ужесточить требования к реассоциациям, реаутентификациям.

Спецификации предусматривают и поддержку 802.1х/EAP, и аутентификацию с разделяемым ключом, и, несомненно, управление ключами.

Таблица 3 - Способы реализации политики безопасности

Показатель
Поддержка современных ОС
Сложность ПО и ресурсоёмкость аутентификации
Сложность управления
Single Sign on (единый логин в Windows)
Динамические ключи
Одноразовые пароли

Продолжение таблицы 3

При условии использования современного оборудования и ПО в настоящее время вполне возможно построить на базе стандартов серии 802.11х защищенную и устойчивую к атакам беспроводную сеть.

Почти всегда беспроводная сеть связана с проводной, а это, помимо необходимости защищать беспроводные каналы, необходимо обеспечивать защиты в проводных сетях. В противном случае сеть будет иметь фрагментарную защиту, что, по сути, является угрозой безопасности. Желательно использовать оборудование, имеющее сертификат Wi-Fi Certified, то есть подтверждающий соответствие WPA.

Нужно внедрять 802.11х/EAP/TKIP/MIC и динамическое управление ключами. В случае смешанной сети следует использовать виртуальные локальные сети; при наличии внешних антенн применяется технология виртуальных частных сетей VPN.

Необходимо сочетать как протокольные и программные способы защиты, так и административные.

ГЛАВА I. АНАЛИЗ УЯЗВИМОСТЕЙ И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПЕРЕДАЧЕ В РАСПРЕДЕЛЕННЫХ БЕСПРОВОДНЫХ СЕТЯХ.

1.1 Беспроводные сети нового поколения.

1.2Угрозы информации в распределенных компьютерных сетях.

1.2.1 Активные сетевые атаки.

1.2.2 Специфика атак в беспроводных сетях.

1.3 Методы защиты информации в беспроводных сетях.

1.3.2 Технологии защиты данных.

1.4 Задачи диссертационного исследования.

1.5 Выводы.

ГЛАВА II. РАЗРАБОТКА МЕТОДИКИ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПЕРЕДАЧЕ В РАСПРЕДЕЛЕННЫХ БЕСПРОВОДНЫХ СЕТЯХ НА ОСНОВЕ ДИНАМИЧЕСКОЙ МАРШРУТИЗАЦИИ ТРАФИКА.

2.1 Система мультиплексирования трафика.

2.2 Маршрутизируемый сервис.

2.2.1 Общие принципы работы.

2.2.2 Методика защиты информации при передаче в беспроводной распределенной сети.

2.2.3 Алгоритм динамической маршрутизации трафика.

2.2.4 Применение разработанной методики.

2.3 Анализ эффективности разработанной методики защиты.

2.3.1 Возможности нарушителя.

2.3.2 Оценка вероятности реализации угрозы первого класса.

2.3.3 Оценка вероятности реализации угрозы второго класса.

2.3.4 Алгоритм генерации потока атак.

2.4 Выводы.

ГЛАВА Ш. РЕАЛИЗАЦИЯ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ПЕРЕДАВАЕМОЙ ИНФОРМАЦИИ.

3.1 Реализация программного комплекса.

3.2 Опытное внедрение и сравнение с протоколами маршрутизации.

3.3 Экспериментальные исследования методов.

3.4 Выводы

Введение диссертации (часть автореферата) на тему "Методика защиты информации в беспроводных сетях на основе динамической маршрутизации трафика"

Актуальность работы

Развитие информационных технологий ставит актуальные задачи повышения надежности функционирования компьютерных сетей. Для решения таких задач необходимы исследования существующих сетевых протоколов, сетевых архитектур, разработка способов повышения безопасности при передаче информационных ресурсов по сети.

Выбор в пользу беспроводных технологий позволяет получить преимущества в скорости, мобильности. Появление нового класса широкополосных беспроводных сетей с ячеистой структурой (меш-сети) позволило достичь значительного увеличения зоны информационного покрытия. Основным достоинством данного класса сетей является наличие особых устройств - меш-порталов, позволяющих интегрировать в меш-сеть другие беспроводные сети (WiMAX, Wi-Fi, GSM) и Интернет, а значит, и предоставить пользователю всевозможные сервисы этих сетей.

К недостаткам меш-технологии можно отнести тот факт, что протоколы маршрутизации меш-сети весьма специфичны, а их разработка - сложная задача с множеством критериев и параметров. При этом существующие протоколы требуют значительных доработок в вопросах повышения безопасности и надежности передачи информации.

Сетевые атаки, сбои и отказы сетевого оборудования - основные факторы, влияющие на безопасность передачи информации в распределенных беспроводных сетях. Проблемой обеспечения безопасности передачи информации в распределенных беспроводных сетях занимались I. Akyildiz, W.Wang, X.Wang, T. Dorges, N. Ben Salem. Под обеспечением безопасности передачи информации в компьютерной сети понимается защита ее конфиденциальности, целостности и доступности.

Среди методов обеспечения доступности информации в беспроводных сетях исследователями выделяется комбинирование различных методов контроля, дублирования, резервирования. Целостность и конфиденциальность информации в беспроводных сетях обеспечивается методами построения виртуальных каналов, основанных на применении криптографических инструментов.

Общий недостаток данных методов - снижение производительности сети, связанное с требованиями к дополнительной обработке передаваемой информации. Указанный недостаток особенно критичен для передачи цифровой видеоинформации. Кроме того, совершенствование методов криптоанализа все более снижает надежность существующих криптоалгоритмов/

Из вышесказанного следует вывод о необходимости разработки новых способов защиты информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак. В связи с этим тема работы является актуальной и практически важной.

Цель работы

Целью диссертационной работы является разработка методики защиты информации при передаче в распределенных беспроводных сетях, основанной на применении алгоритма динамической маршрутизации трафика в условиях воздействия преднамеренных атак.

2. Исследование алгоритмов динамической маршрутизации трафика в распределенных сетях.

3. Исследование методов защиты информации в распределенных беспроводных сетях.

4. Исследование видов атак в распределенных компьютерных сетях, анализ специфики атак в беспроводных сетях.

5. Разработка алгоритма динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

6. Разработка на базе алгоритма приложения «маршрутизируемый сервис», реализующего методику защиты информации при передаче в распределенных беспроводных сетях.

7. Реализация программных модулей «маршрутизируемого сервиса» передачи информации.

8. Исследование вариантов воздействия сетевых атак на «маршрутизируемый сервис». Вычисление оценок успешных реализаций сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса».

9. Разработка алгоритма генерации потока сетевых атак.

10. Разработка прототипа маршрутизируемого сервиса для экспериментальной проверки предложенной методики защиты.

Объектами исследования являются компьютерные сети, распределенные беспроводные сети с ячеистой структурой (меш-сети), процессы передачи информации и процессы реализации различных видов атак на передаваемую информацию и сетевые устройства в распределенных беспроводных сетях.

Предметы исследования: стандарты группы IEEE 802.11, сетевые атаки, методы защиты информации в беспроводных сетях, алгоритмы динамической маршрутизации трафика в беспроводных сетях.

Методы исследований

В диссертационной работе используются методы математического моделирования, теории графов, теории множеств, теории вероятности и математической статистики. Для подтверждения полученных теоретических результатов проведены экспериментальные исследования и моделирование, с использованием сред программирования Visual Basic Script, Windows Management Instrumentarium, Shell, Awk.

Достоверность

Достоверность научных положений, выводов и рекомендаций подтверждается корректной постановкой задач, строгостью применяемого математического аппарата, результатами численного моделирования, положительными результатами апробации программы, реализующей предложенную методику защиты информации, и сравнением с маршрутизируемыми протоколами сети.

Научная новизна

В диссертационной работе получены следующие научные результаты:

1. Предложена методика защиты информации в распределенных беспроводных сетях, основанная на применении приложения «маршрутизируемый сервис».

2. Разработан алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

3. Описаны варианты реализации воздействия на разработанную систему. Даны оценки успешным реализациям сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса». Разработан алгоритм генерации потока сетевых атак.

4. Реализованы программные модули прототипа «маршрутизируемого сервиса» Произведена апробация прототипа в распределенной сети.

Практическая значимость

Практическая значимость подтверждена апробацией прототипа разработанной системы в распределенной сети. Результаты диссертационного исследования отмечены дипломом Н-степени на IX Всероссийском конкурсе студентов и аспирантов по информационной безопасности «SIBINFO-2009». Разработанная методика прошла внедрение в системы передачи информации ОАО «Омскводоканал» и ГОУ ВПО «Омский государственный технический университет». Результаты диссертационной работы используются в учебном процессе ГОУ ВПО «Омский государственный технический университет».

Предлагаемая в диссертации методика может использоваться в качестве базы для дальнейших исследований.

Апробация работы

Результаты работы прошли апробацию в виде выступлений на научных конференциях и семинарах:

1. IX Всероссийский конкурс студентов и аспирантов по информационной безопасности «SIBINFO-2009», диплом И-степени. (2009, г. Томск).

2. VIII Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография - SYBECRYPT-09» (2009, г. Омск).

3. VII Международная научно-техническая конференция «Динамика систем, механизмов и машин» (2009, г. Омск).

4. IV Научно-практическая конференция молодых специалистов западносибирского банка Сбербанка России «Современный опыт использования информационных технологий в банковском бизнесе» (2008, г. Тюмень).

5. Всероссийская научно-техническая конференция «Россия молодая: передовые технологии в промышленность» (2008, г. Омск).

6. Конференция-конкурс «Технологии Microsoft в теории и практике программирования» (2008, г. Новосибирск).

Публикации

Результаты диссертации отражены в 15 публикациях, в том числе 2 публикации в изданиях, рекомендованных ВАК.

Структура и объём работы

Диссертационная работа состоит из введения, трех глав, заключения, списка литературы и трех приложений. Общий объем работы составляет 118 страниц, в том числе 26 рисунков и 3 таблицы. Список литературы насчитывает 82 наименования.

Заключение диссертации по теме "Методы и системы защиты информации, информационная безопасность", Никонов, Вячеслав Игоревич

3.4 Выводы

В результате программной реализации разработанных методов защиты информации, передаваемой в распределенных беспроводных сетях, был создан прототип системы «маршрутизируемый сервис», а также реализованы модули тосМлБШег и тос!.8епёег(8) приложения «маршрутизируемы сервис».

Работа прототипа «маршрутизируемый сервис» была опробована на глобальной сети крупного предприятия, в полной мере моделирующей некоторую распределенную сеть. Приведено описание процесса тестирования, представлен граф маршрутов следования трафика и вычислена вероятность успешной атаки при использовании в сети данного приложения. Исходя из полученных результатов, сделан вывод о соответствии практических результатов теоретическим представлениям работы сервиса 5а/. Реализованные модули ^ прошли успешную апробацию на распределенной беспроводной сети ОАО «Омскводоканал». Данный факт подтверждается справкой об использовании результатов работы (прил. 2).

ЗАКЛЮЧЕНИЕ

Диссертационная работа является законченным на данном этапе научным исследованием. В процессе исследований, выполненных в диссертационной работе, получены следующие результаты:

2. Исследованы алгоритмы динамической маршрутизации трафика в распределенных сетях.

3. Исследованы методы защиты информации в распределенных беспроводных сетях.

4. Построен алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

5. На базе алгоритма разработано приложение «маршрутизируемый. сервис», реализующее методику защиты информации при передаче в распределенных беспроводных сетях.

6. Реализованы программные модули «маршрутизируемого сервиса».

7. Исследованы варианты воздействия сетевых атак на «маршрутизируемый сервис». Вычислены оценки успешных реализаций сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса».

8. Разработан алгоритм генерации потока сетевых атак.

9. Произведена экспериментальная проверка разработанной методики.

Список литературы диссертационного исследования кандидат технических наук Никонов, Вячеслав Игоревич, 2010 год

1. Анин Б.Ю. Защита компьютерной информации / Б.Ю. Анин. - СПб.: БХВ- Петербург, 2000. 384 с.

2. Барнс К. Защита от хакеров беспроводных сетей / К. Барнс, Т. Боутс, Д. Лойд М.: ДМК-Пресс, 2005. - 480с.

3. Белоусов С.А. Троянские кони: принципы работы и методы защиты / С.А. Белоусов, А.К. Гуц, М.С. Планков - Омск, 2003. 83 с.

4. Бочкарев В. Сценарии для администрирования / В. Бочкарев // System Engineering. - Режим доступа: http://www.sysengineering.ru/Administration/ScriptsForAdministration02.aspx, свободный.

5. Бочкарев В. Администрирование с помощью WMI / В. Бочкарев // System Engineering. - Режим доступа: http://www.sysengineering.ru/Administration/AdministrationUsingWMI.aspx, свободный.

6. Взлом беспроводных сетей: электронный журнал Hack Zone Электронный ресурс. - Режим доступа: http://www.fssr.ru/hz.php?name=News&file=article&sid=7273, свободный.

7. Вишневский В.М. Беспроводная радиоэлектронная система «Рапира» / В.М. Вишневский, H.H. Гузаков, Д.В. Лаконцев // ЭЛЕКТРОНИКА: НТБ, 2005, №1.

8. Вишневский В.М. Широкополосные беспроводные сети передачи информации / В.М. Вишневский, А.И. Ляхов, СЛ. Портной, И.Л. Шахович. М.: Техносфера, 2005. - 592 с.

9. Ю.Вишневский В. Mesh-cera стандарта IEEE 802.11s - технологии иреализация / В. Вишневский, Д. Лаконцев, А. Сафонов, С. Шпилев // Первая миля.-2008.-№2.

10. Владимиров A.A. Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей / A.A. Владимиров, К.В. Гавриленко, A.A. Михайловский - М: НТ Пресс, 2005.-464 с.

11. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

12. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

13. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.

14. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации.

15. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

16. ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

17. Джамса К. Программирование для INTERNET в среде Windows / К.Джамса, К. Коуп СПб.: ПИТЕР, 1996. - 688 с.

18. Елманова Н.З. Введение в Borland С++ Builder / Н.З. Елманова, С.П. Кошель. -М.: Диалог-МИФИ, 1998. 675 с.

19. Ефимов В.И. Атака на систему разнесенного TCP/IP трафика на основе анализа корреляции потоков / В.И. Ефимов, Е.В. Щерба // Информационные технологии моделирования и управления. - 2005. - №6(24). - С. 859 - 863.

20. Ефимов В.И. Система мультиплексирования разнесенного ТСРЯР трафика / В.И. Ефимов, Р.Т. Файзуллин // Вестник Томского университета. Приложение. 2005.- №14. - С. 115-118.

21. Зегжда Д.П. Основы безопасности информационных систем / Д.П. Зегжда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.

22. Зегжда Д.П. Общая архитектура систем обнаружения вторжений / Д.П. Зегжда, А.И. Бовт // Тезисы докладов конференции «Методы и технические средства обеспечения безопасности информации». СпбГТУ, 2001.

23. Зима В.М. Безопасность глобальных сетевых технологий. / В.М. Зима, А.А. Молдовян, Н.А. Молдовян. СПб.: БХВ-Петербург, 2000. - 300 с.

24. Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. / М.А. Иванов. - М.: КУДИЦ-ОБРАЗ, 2001.-368 с.

25. Касперский К. Техника сетевых атак /К. Касперский М.: COJIOH-P, 2001. - 396 с.

26. Кадер М. Разновидности сетевых атак Электронный ресурс. / М. Кадер. - Режим доступа: http://www.cnews.m/reviews/free/security/part7/netattack.shtml, свободный.

27. Кадер М. Типы сетевых атак, их описания и средства борьбы Электронный L ресурс. / М. Кадер. - Режим доступа: http://vmw.cnews.info/reviews/free/oldcom/security/ciscoattacks.shtml, свободный.

28. Лопухов И. Резервирование промышленных сетей Ethernet на втором уровне OSI: стандарты и технологии / И. Лопухов // Современные технологии автоматизации. 2009 - №3 - С. 16-32.

29. Мамаев Н.С., Мамаев Ю.Н., Теряев Б.Г. Цифровое телевидение. - М.: Горячая линия Телеком, 2001. - 180 с.

30. Мамаев Н.С., Мамаев Ю.Н., Теряев Б.Г. Системы цифрового телевидения и радиовещания. М.: Горячая линия - Телеком, 2007. - 254 с.

31. Максим М. Безопасность беспроводных сетей / М. Максим, Д. Поллино - М.: ДМК-Пресс, 2004. 288с.

32. Медведовский И.Д. Атака из Internet / И.Д. Медведовский, Б.В. Семьянов,

33. Д.Г. Леонов, A.B. Лукацкий. М.: Солон-Р, 2002. - 356 с.

34. Медведовский И.Д. Атака на Internet / И.Д. Медведовский, Б.В. Семьянов, Д.Г. Леонов. М.: ДМК, 1999.-336 с.

35. Медведовский И.Д. Атака через Internet / И.Д. Медведовский, П.В. Семьянов, В.В. Платонов. М.: Мир и семья-95, 1997. - 296 с.

36. Милославская Н.Г. Интрасети: обнаружение вторжений / Н.Г. Милославская, А.И. Толстой - М: Юнити-Дана, 2001. 592 с.

37. Никонов В.И. Маршрутизируемый сервис передачи данных через распределенные сети / В.И. Никонов // Материалы конференции- конкурса «Технологии Microsoft в информатике и программировании» - Новосибирск, 2008. С. 83-84.

38. Никонов В.И. Маршрутизируемый сервис передачи. / В.И. Никонов // Материалы Всероссийской научно-технической конференции «Россия молодая: передовые технологии в промышленность», 12-13 ноября 2008.- Омск, 2008.-С. 80-84.

39. Никонов В.И. Маршрутизируемый сервис передачи / В.И. Никонов // Тезисы докладов VIII сибирской школы-семинара с международным участием «компьютерная безопасность и криптография» SIBECRYT "09. Омск, ОмГТУ, 8-11 сентября 2009.- С. 76-78.

40. Никонов В.И. Маршрутизация в беспроводных сетях нового поколения /

41. В.И. Никонов // Системы управления и информационные технологии. - 2010 - №1.1(39) - С. 170- 173.

42. Никонов В.И. Методы защиты информации в распределенных компьютерных сетях с помощью алгоритмов маршрутизации / В.И. Никонов // Доклады ТУСУР. 2010. - № 1 (21) , ч.2 - с. 219-224.

43. Новаковский С.В., Котельников A.B. Новые системы телевидения. Цифровые методы обработки видеосигналов. М.: Радио и связь, 1992. - 88с.

44. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы: учебник для Вузов. 3-изд. / В.Г. Олифер, H.A. Олифер СПБ.: Питер, 2006. -958 с.

45. Орлов А.И. Математика случая: Вероятность и статистика - основные факты / А.И. Орлов М.: МЗ-Пресс, 2004. - 110 с.

46. Панасенко С.П. Алгоритмы шифрования. Специальный справочник / С.П. Панасенко СПб.: БХВ-Петербург, 2009. - 576 с.

47. Пескин А. Е., Смирнов А. В. Цифровое телевидение. От теории к практике. - М.: Горячая линия-Телеком, 2005. 349 с.

48. Пролетарский А. В. Беспроводные сети Wi-Fi / A.B. Пролетарский, И.В. Баскаков, Д. Н. Чирков М.: БИНОМ, 2007. - 178 с.

49. Романец Ю.В. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин - М.: Радио и связь, 2001. - 376с.

50. Снейдер И. Эффективное программирование ТСРЯР. Библиотека программиста / И. Снейдер. - СПб: Питер, 2002. 320 с.

51. Тихонов А. Системы обнаружения вторжений / А. Тихонов // Режим доступа: URL: www.Isoft.com.ru, свободный.

52. Тюрин М. Особенности российских стандартов защиты информации / М. Тюрин // Byte. 2005. - №12(88).

53. Феллер В. Введение в теорию вероятностей и ее приложения / В. Феллер -1. М.: Мир, 1964-752 с.

54. Хансен Д. Атаки на беспроводные сети Электронный ресурс. / Д. Хансен. -Режим доступа: http://www.securitylab.ru/analytics/216360.php, свободный.

55. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства / В.Ф. Шаньгин М.: ДМК-Пресс, 2008. - 544с.

56. Шахлевич A. VPN: плюсы и минусы / А. Шахлевич // Информационная безопасность. 2009. - №6.

57. Шелупанов А.А. Основы информационной безопасности: Учебное пособие / А.А. Шелупанов, В.П. Лось, Р.В. Мещеряков, Е.Б. Белов. М.: Горячая линия - Телеком, 2006. - 544 с.

58. Щерба Е.В. Метод защиты цифровой видеоинформации при её передаче в распределенных компьютерных сетях / Е.В. Щерба // Прикладная дискретная математика. - 2009. - Приложение № 1. - С. 60-62.

59. Шнайер Б. Прикладная криптография, 2-е издание: протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер М: Триумф, 2002. - 610 с.

60. Ященко В.В. Введение в криптографию. / В.В. Ященко. М: МЦНМО, 1998.-272 с.

61. Adelman L. An Abstract Theory of Computer Viruses / L. Adelman // Advances in Cryptology, 1990.- P. 354-374.

62. Akyildiz I. Wireless Mesh Networks: A Survey / I. Akyildiz, X. Wang, W. Wang // Computer Networks and ISDN Systems. 2005. - Vol. 47/4. P. 445 - 487.

63. Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999.

64. Ben Salem N. Securing Wireless Mesh Networks / N. Ben Salem, J.-P. Hubaux // IEEE Wireless Communications. 2006. - №13/2.

65. Chereddi C. Net-X: A Multichannel Multi-Interface Wireless Mesh Implementation / C. Chereddi, P. Kyasanur, N. Vaidya // ACM Sigmobile. - 2007.-№11(3).-P. 84-95.

66. Dorges Т. A Network of IDS Sensors for Attack Statistics / T. Dorges, O. Gellert, K. Kossakowski // Praxis der Informationsverarbeitung und Kommunikation. - 2004. №27. - P. 202-208.

67. Giannoulis A. Congestion Control and Channel Assignment in Multi-Radio Wireless Mesh Networks, Congestion Control and Channel Assignment in MultiRadio Wireless Mesh Networks / A. Giannoulis, T. Salonidis, E. Knightly // IEEE SECON, 2008.

68. ISO 15408 Общие критерии оценки безопасности информационныхтехнологий

69. Как A. Port Scanning, Vulnerability Scanning, and Packet Sniffing /А. Как // Computer and Network Security. 2008. - Vol. 23. - P. 29-38.

70. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, Syngress, 2007.

71. Knightly E. Multi-Tier Multi-Hop Wireless: The Road Ahead / E. Knightly // 2007.

72. Microsoft Corporation. Microsoft TCP/IP. Учебный курс: Официальное пособие Microsoft для самостоятельной подготовки. М.: Русская редакция, 1999.-344 с.

73. Naor М. Visual Cryptography / М. Naor, A. Shamir // Lecture Notes in Computer Science. Berlin: Springer-Verlag, 1995. - Vol. 1294. - P. 322.

74. Paulauskas N. Computer System Attack Classification / N. Paulauskas, E. Garshva // Electronics and Electrical Engineering. - 2006. №2(66). - P. 84-87.

75. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time, " Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998.

76. Pejman R. 802.11 Wireless LAN Fundamentals / R. Pejman, J. Leary // Cisco Press, 2004.-312 p.

77. Postel, J. Internet Protocol, RFC-791, USC/Information Sciences Institute, - 1981.

78. Press W.H. Numerical Recipes: The Art of Scientific Computing. Third Edition. / W.H. Press, S.A. Teukolsky, W.T. Vetterling, B.P. Flannery - Cambridge, Cambridge University Press, 2007. 1256 p.

79. Raniwala A. Architecture and Algorithms for an IEEE 802.11-Based MultiChannel Wireless Mesh Network / A. Raniwala, T. Chiueh // Infocom, 2005.

80. Shamir A. How to share a secret / A. Shamir // Communications of the ACM- 1979. -N.Y.: ACM Press. 1979. - Vol. 22. - P. 612-613.

81. Wiggins R. Myths and Realities of Wi-Fi Mesh Networking / R. Wiggins // Mobile Technologies Research Fellow, 2006.

82. Сокращения, принятые в диссертационной работе

83. Сокращение Полное значение1. Интернет протокол

84. OSI Модель взаимодействия открытых систем

85. TCP Протокол транспортного уровня

86. ЛВС Локальная вычислительная сетьнсд Несанкционированный доступ1. ОС Операционная системаско Средняя квадратичная ошибкасмт Система мультиплексирования трафика

87. EE Институт инженеров по электротехнике и электронике1. АР Точка доступа

88. SS Независимые базовые зоны обслуживания

89. BSS Базовые зоны обслуживания

90. ESS Расширенные зоны обслуживания1. MP Узел теБЬ-сети1. МРР Портал теБИ-сети

91. MAP Точка доступа теБЬ-сети1. ВС Вычислительная система

92. S Система обнаружения вторжений

93. DoS Атака типа «отказ в обслуживании»

94. DDoS Распределенная атака типа «отказ в обслуживании»

95. TCP Протокол управления передачей

96. TFN Распределенная атака типа «отказ в обслуживании», использующая ТБИ сеть

97. TCP SYN Flood Атака типа «отказ в обслуживании» с использованием SYN-пакетов протокола TCP

98. PSW Вид троянских коней, предназначенных для похищения паролей

99. ARP Протокол определения адреса

100. WEP Протокол для обеспечения безопасности сетей Wi-Fi

101. Вектор инициализации протокола WEP

102. TIM Карта индикации трафика

103. RTS Фрейм «запрос на передачу»

104. CTS Фрейм «готов к передаче»

105. RC4 Потоковый шифр, разработанный Роном Риверстом и используемый в оригинальном стандарте IEEE 802.111. X.800 Стандарт МСЭ-Т

106. OVA Оценочный уровень доверия

107. MC3 Международный союз электросвязи

108. VPN Виртуальная частная сеть1.N Локальная сеть

109. PPTP Сетевой протокол туннелирования канального уровня

110. TP Сетевой протокол туннелирования канального уровня

111. SSL Сетевой протокол туннелирования канального уровня

112. TLS Сетевой протокол туннелирования канального уровня

113. WPA Протокол для обеспечения безопасности сетей Wi-Fi

114. TKIP Протокол целостности временного ключа

115. EAP Расширяемая инфраструктура аутентифкации

116. KSA Алгоритм планирования ключей протокола WEP

117. XOR Алгоритм сложения по модулю 2

118. SSID Идентификатор беспроводной локальной сети

119. WPA Протокол для обеспечения безопасности сетей Wi-Fi

120. RADIUS Протокол контроля доступа1. VBS Язык программирования

121. WMI Инструментарий управления Windows

122. Ver Поле IP-заголовка: Версия

123. L Поле IP-заголовка: Длина заголовка

124. TOS Поле IP-заголовка: Тип службы

125. Поле IP-заголовка: Идентификатор

126. TTL Поле IP-заголовка: Время существования

127. АЦП Аналого-цифровой преобразователь

128. ЦАП Цифро-аналоговый преобразователь

129. DVB Стандарт цифрового телевещания1. Утверждаю»

130. Директор Департамента Иш^ц^мащирп^Гх. Технологий1. Д.А. Болотюк2010 г, ь - 1. АКТвнедрения результатов диссертационной работы Нпконова В,И. Комиссия в составе:председатель Цветков Д.А., начальник отдела системного администрированиячлены комиссии:

131. Глушаков АВ„ системный администратор,

132. Синегубов Д.А., программист-разработчиксоставили акт о нижеследующем.

133. Данная топология подвергалась воздействию двух типов атак, независимо друг от друга: 1) прослушивание трафика на участке FSiFSa с помощью программы «Wireshark»; 2) периодическая реализация атаки отказ в обслуживании на сервер FSj.

134. После проведения сеансов передачи получен следующий эффект:1. процент потерь пакетов в момент, когда сервер недоступен Л/,- - 15%, FSi~Q%2. процент перехваченных пакетов МрМб- 71%, FsiFso- 16%.

135. Разработанная Никоновым В.И. оригинальная методика позволяет увеличить защищенность системы передачи информации без применения алгоритмов шифрования.1. Г» ¡г 20Юг.гЗ/» /г 2010г.201 Ог.1. Председатель1. Члены комиссии:

136. В. А. Майстренко Е. В. Щерба Т. Н. Виноградова

137. УТВЕРЖДАЮ» .- * РеI!ерал ьпый директор1. ЗАО1. Д»1. ТЫ.Ш. Рыбалов 2010 г.у1. АКТвнедрения результатов диссертационной работы Никоиова В.РГ.

138. Данные оценки согласуются с теоретическими оценками, вычисленными по формулам, представленным в работе Никонова В.И. для выбранных"параметров передачи.

139. Председатель комиссии: Члены комиссии:

140. С.Н. Балабай А.В. Бездитко М.В. Щерба

141. Программная реализация разработанных алгоритмов

142. Листинг 1. Реализация прототипа. Описание режима -а.1. StrArgs = "-a" Then

143. Выбираем ip-адрес из файла настроекI

144. FSO.FileExists(WorkDir&FileConQ = True Then

145. Set IdFile = FSO.OpenTextFile(WorkDir&FileConf, 1, False)1. MyIp = IdFile.ReadLine1.File.Close1. End if

146. WScript.Echo "Waiting for files."r

147. Ожидаем файлы от других передатчиков FlagSend = О LastIp = "1" Do While 1

148. Set colFiles = FF. ExecQuery("Select * from CIMDataFile where Path = "WwebservWsendW" and Extension!-ip" and Drive-c:"") For Each objFile in colFiles

149. FSO.FileExists(CurrentDir&objFile.FileName&".ip") = True Then

150. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 1, False)1. OpenIp = 0 i

151. Do While Openjp = 0 On Error Resume Next1. Test = IdFile.ReadLine i

152. Err.Number > 0 Then Openlp = 0 WScript. Sleep 10000 Else1. Openlp = 1 End If Loop1. CountServ = test1. DestIp = IdFile.ReadLine1.File.Close i1. MyIp = DestIp Then

153. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&,.ip", 8, False)1.File.WriteLine MyIp1.File.Close

155. FSO.FileExists(CurrentDir&"ok\\"&objFile.FileName&"."&objFile.Extension) = True Then

156. FSO.DeleteFile(CurrentDir&nok\\"&objFile.FileName&"."&objFile.Extension) End If

157. FSO.CopyFile objFile.Name, CurrentDir&"ok\\"

158. Р80.Р11еЕх1818(Сигге^В1г&пок\\"&о^Р11е.Р11еКаше&илр") = True Then FSO.DeleteFile(CurrentDir&"ok\\"&objFile.FileName&".ip")1. End If

159. FSO.CopyFile CurrentDir&objFile.FileName&"".ip", CurrentDir&"ok\\" WScript.Echo objFile.FileName&" ."&objFile.Extension&" arrived" WScript. Sleep 10000

160. FSO.DeleteFile(CurrentDir&objFile.FileName&".ip")

161. FSO.DeleteFile(CurrentDir&objFile.FileName&"."&objFile.Extension)1. Else

163. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 8, False) IdFile.WriteLine Mylp IdFile.Close End If

164. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 1, False)1. Filelp = IdFile.ReadAll1.File.Close i

165. Вычисление кол-во пройденных передатчиков CountPer=0

166. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)

167. Do While IdFile.AtEndOfLine о Truetest = IdFile.ReadLine1. CountPer = CountPer + 11.op1.File.Close1. CountPer = CountJPer-2

168. Int(CountPer) <= Int(CountServ) Then i

169. Выбираем следующий передатчик1. Currlp =1.st - Instr(FileIp, Currlp) Do While inst > 0 CountHst = 0

170. Set IdFile = FSO.OpenTextFile(WorkDir&FileHome,l, False)

171. Do While IdFile.AtEndOfLine o Truetest = IdFile.ReadLine1. CountHst = CountHst + 11.op1.File.Close Randomize()1 = Round(Int(CountHst)*Rnd + 1) 1 = 01. WScript.Echo 1

172. Set IdFile = FSO.OpenTextFile(WorkDir&FileHome, 1, False)1. Do While i < 11. Currlp = IdFile.ReadLinei=I+l

173. CurrIp LastIp Then Currlp = End Ifinst=Tnstr(FileIp, Curr lp)

174. Curr lp = DestIp Or CurrIp=MyIp Then Flaglp=0 Else FlagIp=l End Ifinst=inst*FlagIpobjTcp.Sleep 30001.op1.File.Close1.opI1. Else1. CurrIp=DestIp1. End If i

175. Инициируем соединение по данному ip-адресу1. WScript.Echo Currlp1.stIp=CurrIpobjTcp.Protocol = objConstants.asSOCKETPROTOCOLRAW objTcp.Connect CurrIp, 1500 If objTcp.LastError о 0 Then

176. WScript.Echo "Error " & objTcp.LastError & ": " & objTcp.GetErrorDescription(objTcp.LastError) FlagSend = 1 Else1. FlagSend = 0

177. WScript.Echo "Connection established" & vbCrLfstr = " " Mess = " "

178. Do while objTcp.ConnectionState =obj Constants. asSOCKETCONNSTATECONNECTED i1. Отправляем файл

179. Set IdFile = FSO.OpenTextFile(objFile.Name,l, False) objTcp.SendString objFile.FileName&"."&objFile.Extension objTcp.Sleep 3000

180. Do While IdFile.AtEndOfLine о Truestr = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 3000 Loop1.File.Close

181. FSO.FolderExists(CurrentDir&"arc\V") = False Then Set obj Folder = FSO.CreateFolder(CurrentDir&"arc\\n) End If

182. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) = True Then

183. FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) End If

184. FSO.MoveFile objFile.Name, CurrentDir&"arc\\"objTcp.SendString "FileEnd" iвместе с основным файлом отправляем файл инструкций

185. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)objTcp.SendString objFile.FileName&" .ip"objTcp.Sleep 3000 i

186. Do While IdFile.AtEndOfLine о True str = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 30001.op1.File.Close

187. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&".ip") = True Then FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&".ip")1. End If

188. FSO.MoveFile CurrentDir&objFile.FileName&".ip", CurrentDir&"arc\\"obj Tcp. SendString "ConfEnd" i1. objTcp.HasData Then

189. Mess = objTcp.ReceiveString

190. WScript.Echo "ReceiveString: " & Mess1. End If iobjTcp.Sleep 3000objTcp.Disconnect

191. WScript.Echo "Successfully send"1.op1. End If i1. End If i1. Else

192. WScript.Echo "Bad File: "&objFile.Name i1. End If Next1. WScript. Sleep 100001.op i1. End If "-a

193. Листинг 2. Процедура равномерной сегментации изображения.

194. HRESULT SNT: :Transform(IMediaSample *pMediaSample) {

195. BYTE *pData; long IDataLen; int iPixel;1. RGBTRIPLE *prgb;

196. Указатель на буфер изображения // Размер каждого входящего кадра // Переменная для использования внутри циклов // Указатель на текущий пиксель

197. AMMEDIATYPE* рТуре = &mpInput->CurrentMediaType(); VIDEOINFOHEADER *pvi = (VIDEOINFOHEADER *) pType->pbFormat; ASSERT(pvi);

198. CheckPointer(pMediaSample,EPOINTER); pMediaSample->GetPointer(&pData); IDataLen = pMediaSample->GetSize();

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.

Невероятно быстрые темпы внедрения в современных сетях беспроводных решений заставляют задуматься о надежности защиты данных. В статье рассматриваются старые и новые методы обеспечения безопасности.

Настоящее время устройства беспроводной связи на базе стандартов 802.11х продвигаются на рынке сетевого оборудования очень агрессивно. Количество всевозможного работающего оборудования стандартов 802.11х в мире впечатляет: по данным компании J’son & Partners, число хот-спотов в конце 2003 года превысило 43 тыс., а к концу 2004-го увеличилось более чем на 200%. Доля России в этих цифрах невелика, при том что количество сетей беспроводной связи неуклонно растет. Впечатляют не столько цифры, сколько те заблуждения, которые касаются обеспечения безопасной передачи данных в таких сетях.

802.11х — восприимчивость к угрозам извне

ам принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа. Взять хотя бы «непротокольные» угрозы, которые составляют основу проблемы. При разработке корпоративной сети администраторы в первую очередь заботятся о качественном покрытии территории офисов, забывая, что хакеры могут подключиться к сети прямо из автомобиля, припаркованного на улице. Бывают ситуации, когда просто нереально заблокировать саму возможность «слышать» передаваемый трафик.

Не менее опасная угроза — вероятность хищения оборудования. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или точка доступа, украденная злоумышленником, может открыть доступ к вашей сети.

Часто несанкционированное подключение точек доступа к ЛВС выполняется самими работниками предприятия. Защиту информации при подключении к сети таких устройств сотрудники обеспечивают тоже самостоятельно, не всегда задумываясь о последствиях.

Решением подобных проблем нужно заниматься комплексно. Организационные мероприятия в рамках данной статьи не рассматриваются — они чаще всего выбираются исходя из условий работы каждой конкретной сети. Что касается мероприятий технического характера, то весьма хороший результат достигается при использовании обязательной взаимной аутентификации устройств и внедрении активных (Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) и пассивных (APTools 0.1.0, xprobe 0.0.2) средств контроля.

Уязвимость старых методов защиты

ащитой данных в беспроводных сетях комитет IEEE 802.11 занимался всегда. К сожалению, методы обеспечения безопасности сетей 802.11х на этапе их начального развития (1997-98 годы) использовались, мягко говоря, неудачные.

Классический протокол шифрации WEP, разработанный компанией RSA Data Security, использует 40-битный ключ, который складывается со сгенерированным вектором инициализации (IV, 24 бит). С помощью полученного ключа по алгоритму RC4 шифруются пользовательские данные и контрольная сумма. Вектор IV передается в открытом виде.

Первым минусом, безусловно, является 40-битный ключ, поскольку даже DES с его 56-битным ключом давно считается ненадежным. Вторым минусом можно считать неизменяемость ключа — применение статичного ключа упрощает проблему взлома. И наконец, сам подход к шифрованию кажется весьма сомнительным. Размер IV — 24 бит, а значит, он повторится не позднее чем через 5 часов (длина пакета — 1500 байт, скорость — 11 Мбит/с), и это в самом крайнем случае.

В 2001 году появились первые реализации драйверов и программ, позволяющих справиться с шифрованием WEP. Документ, описывающий эту уязвимость, опубликован по адресу: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html .

Способы аутентификации тоже не внушают особого доверия. Например, ничего не стоит подслушать всю процедуру аутентификации по МАС-адресу, ведь МАС-адреса в кадре передаются незашифрованными. Самый удачный из перечисленных способов — PreShared Key. Но и он хорош только при надежной шифрации и регулярной замене качественных паролей.

Существует распространенное заблуждение, что применение уникального Service Set ID (SSID) позволяет избежать несанкционированных подключений. Увы, SSID пригоден лишь для логического разбиения сетевых устройств на группы. Единственное, что вы можете сделать с помощью SSID, — это смутить взломщиков использованием «непечатных» символов.

Алгоритм анализа зашифрованных данных

WEP-атаки

едостаточность длины ключа, отсутствие его ротаций и сам принцип шифрации RC4 — все это позволяет злоумышленнику организовать весьма эффективную пассивную атаку. Причем для этого ему не придется совершать никаких действий, которые помогли бы его обнаружить, — он будет просто слушать канал. Не требуется при этом и специального оборудования — хватит обычной WLAN-карточки, купленной долларов за 20-25, а также программы, которая будет накапливать пакеты на жестком диске до совпадения значений вектора IV. Когда количество пакетов станет достаточным (чаще всего от 1 до 4 млн. пакетов), WEP-ключ легко вычисляется.

Неплохих результатов может достичь хакер, прибегающий к активным способам атаки. Например, посылая в локальную сеть известные данные (скажем, из Интернета) и одновременно анализируя, как их зашифровала точка доступа. Такой метод позволяет вычислить ключ и манипулировать данными.

Еще один метод активной атаки — Bit-Flip attack. Алгоритм действия здесь следующий. В перехваченном фрейме, зашифрованном WEP, произвольно меняется несколько битов в поле «данные», пересчитывается контрольная сумма CRC-32 и посылается обратно на точку доступа. Точка доступа принимает фрейм на канальном уровне, поскольку контрольная сумма верна, пытается дешифровать данные и отвечает заранее известным текстом, например: «Ваш ключ шифрования неверен». Последующее сравнение текста в зашифрованном и незашифрованном виде может позволить вычислить ключ.

Структура пакета 802.11х при использовании TKIP-PPK, MIC и шифрации по WEP

Атакам DOS, использующим способ широкополосной модуляции DSSS, могут быть подвержены устройства стандарта 802.11b и 802.11g, работающие на низких скоростях.

Все вышесказанное позволяет говорить о ненадежности старых методов обеспечения безопасности в беспроводных сетях, поэтому в тех случаях, когда имеющееся оборудование не позволяет реализовать современные решения по защите информации, необходимо либо использовать строжайшую административную политику, либо применять технологию IPSec-ESP, которая даст возможность надежно защитить данные, однако заметно снизит производительность ЛС.

Современные требования к защите

юбой пользователь будет спокоен, если сможет обеспечить решение трех проблем для своего трафика: конфиденциальность (данные должны быть надежно зашифрованы), целостность (данные гарантированно не должны быть изменены третьим лицом) и аутентичность (надежная проверка того, что данные получены от правильного источника).

Аутентификация

В настоящее время в различном сетевом оборудовании, в том числе в беспроводных устройствах, широко применяется более современный по сравнению со стандартами 1997-1998 годов способ аутентификации, который определен в стандарте 802.1x. Принципиальное отличие его от прежних способов аутентификации заключается в следующем: пока не будет проведена взаимная проверка , пользователь не может ни принимать, ни передавать никаких данных. Стандарт предусматривает также динамическое управление ключами шифрования, что, естественно, затрудняет пассивную атаку на WEP.

Ряд разработчиков используют для аутентификации в своих устройствах протоколы EAP-TLS и PEAP, но более широко к проблеме подходит Cisco Systems, предлагая для своих беспроводных сетей, помимо упомянутых, следующие протоколы:

• EAP-TLS — стандарт IETF, обеспечивающий аутентичность путем двустороннего обмена цифровыми сертификатами;
• PEAP — пока предварительный стандарт (draft) IETF, предусматривающий обмен цифровыми сертификатами и дополнительную проверку имени и пароля по специально созданному шифрованному туннелю;
• LEAP — фирменный протокол Cisco Systems, представляющий собой «легкий» протокол взаимной аутентификации, похожий на двусторонний Challenge Authentication Protocol (CHAP). Использует разделяемый ключ, поэтому требует продуманной политики генерации паролей (в противном случае, как и любой другой способ Pre-Shared Keys, подвержен атакам по словарю);
• EAP-FAST — разработан Cisco на основании предварительного стандарта (draft) IETF для защиты от атак по словарю и имеет высокую надежность. Принцип работы схож с LEAP, но аутентификация производится по защищенному туннелю.

Все современные способы аутентификации (см. таблицу) подразумевают поддержку динамических ключей. Однако если сравнивать эти стандарты и по остальным параметрам, то способы EAP-TLS и PEAP оказываются более тяжеловесными. Они больше подходят для применения в сетях, построенных на базе оборудования различных производителей.

* Сложность управления низкая, но необходима продуманная политика генерации паролей, что усложняет управление.

Способы аутентификации, разработанные Cisco, выглядят привлекательнее. Особую прелесть им придает поддержка технологии Fast Secure Roaming, позволяющей переключаться между различными точками доступа (время переключения составляет примерно 100 мс), что особенно важно при передаче голосового трафика. При работе с EAP-TLS и PEAP повторная аутентификация займет существенно больше времени и, как следствие, разговор прервется. Главный недостаток LEAP и EAP-FAST очевиден — эти протоколы поддерживаются в основном в оборудовании Cisco Systems.

Шифрование и целостность

На основании рекомендаций 802.11i Cisco Systems реализован протокол TKIP (Temporal Integrity Protocol), обеспечивающий смену ключа шифрования PPK (Рer Рacket Кeying) в каждом пакете и контроль целостности сообщений MIC (Message Integrity Check).

Процедура PPK предусматривает изменение вектора инициализации IV в каждом пакете. Причем шифрация осуществляется значением хэш-функции от IV и самого WEP-ключа. С учетом того, что WEP-ключи динамически меняются, надежность шифрации оказывается довольно высокой.

Обеспечение целостности возложено на процедуру MIC. В формирующийся фрейм добавляются поля MIC и SEQuence number, в поле SEQ указывается порядковый номер пакета, что позволяет защититься от атак, основанных на повторах и нарушениях очередности. Пакет с неверным порядковым номером просто игнорируется. В 32-битном поле MIC располагается значение хэш-функции, вычисленной исходя из значений самого заголовка пакета 802.11, поля SEQ, пользовательских данных.

Другой перспективный протокол шифрования и обеспечения целостности, уже зарекомендовавший себя в проводных решениях, — AES (Advanced Encryption Standard). Он обладает лучшей криптостойкостью по сравнению с DES и ГОСТ 28147-89. Длина ключа AES — 128, 192 или 256 бит. Как уже отмечалось, он обеспечивает и шифрацию, и целостность.

Заметим, что используемый в нем алгоритм (Rijndael) не требует больших ресурсов ни при реализации, ни при работе, что очень важно для уменьшения времени задержки данных и нагрузки на процессор.

Стандарт 802.11i ратифицирован

нститут инженеров по электротехнике и радиоэлектронике (IEEE) 25 июня текущего года ратифицировал давно ожидаемый стандарт обеспечения безопасности в беспроводных локальных сетях — 802.11i.

Задолго до его принятия, еще в 2002 году, отраслевой консорциум Wi-Fi Alliance предложил использовать в качестве промежуточного варианта протокол WPA (Wi-Fi Protected Access), в который входили некоторые механизмы 802.11i, в том числе шифрование по протоколу TKIP (Temporal Key Integrity Protocol) и возможность применения системы аутентификации пользователей 802.1x, базирующейся на протоколе RADIUS. Протокол WPA существует в двух модификациях: облегченной модификации (для домашних пользователей) и модификации, включающей стандарт аутентификации 802.1x (для корпоративных пользователей).

В официальном стандарте 802.11i к возможностям протокола WPA добавилось требование использовать стандарт шифрования AES (Advanced Encryption Standard), обеспечивающий уровень защиты, соответствующий требованиям класса 140-2 стандарта FIPS (Federal Information Processing Standard), применяемого в правительственных структурах США.

Кроме того, новый стандарт приобрел и несколько малоизвестных свойств. Одно из них — key-caching: незаметно для пользователя информация о нем записывается, что позволяет при выходе из зоны действия беспроводной сети и последующем возвращении в нее не вводить всю информацию о себе заново.

Второе нововведение — преаутентификация, суть которой заключается в следующем: из точки доступа, к которой в настоящее время подключен пользователь, пакет преаутентификации направляется в другую точку доступа, обеспечивая этому пользователю предварительную аутентификацию еще до его регистрации на новой точке, тем самым сокращая время авторизации при перемещении между точками доступа.

Wi-Fi Alliance приступил к тестированию устройств на соответствие новому стандарту (его еще называют WPA2). По заявлению представителей Wi-Fi, повсеместной замены оборудования не понадобится. И если устройства с поддержкой WPA1 могут работать там, где не требуется продвинутое шифрование и RADIUS-аутентификация, то продукты стандарта 802.11i можно рассматривать как WPA-оборудование, поддерживающее AES.

Wi-Fi Protected Access

тандарт Wi-Fi Protected Access (WPA) — это набор правил, обеспечивающих реализацию защиты данных в сетях 802.11х. Начиная с августа 2003 года соответствие WPA является обязательным требованием к оборудованию, сертифицируемому на высокое звание Wi-Fi Certified (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf).

В спецификацию WPA входит немного измененный протокол TKIP-PPK. Шифрование производится на сочетании нескольких ключей — текущего и последующего. При этом длина IV увеличена до 48 бит.

WPA определяет и контроль целостности сообщений согласно упрощенной версии MIC, отличающейся от описанной тем, что хэш-функция рассчитывается на основании меньшего количества полей, но само поле MIC имеет большую длину — 64 бит. Это дает возможность реализовать дополнительные меры по защите информации, к примеру ужесточить требования к реассоциациям, реаутентификациям.

Спецификации предусматривают и поддержку 802.1x/EAP, и аутентификацию с разделяемым ключом, и, несомненно, управление ключами.

WPA-устройства готовы к работе как с клиентами, работающими с оборудованием, поддерживающим современные стандарты, так и с клиентами, совершенно не заботящимися о своей безопасности. Категорически рекомендуется распределять пользователей с разной степенью защищенности по разным виртуальным ЛС и в соответствии с этим реализовывать свою политику безопасности.

	Сергей Монин — инструктор учебного центра REDCENTER.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.Allbest.ru/

Размещено на http://www.Allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего образования

Национальный исследовательский Нижегородский государственный университет им. Н.И. Лобачевского

Арзамасский филиал

Физико-математический факультет

Кафедра прикладной информатики

Курсовая работа

Анализ методов защиты беспроводных сетей

• ВВЕДЕНИЕ
• Глава 1. Анализ угроз, возникающих при передаче данных в беспроводной сети
• 1.1 Принцип действия беспроводных сетей
• 1.2 Основные угрозы беспроводных сетей
• 1.3 Уязвимости сетей и устройств
• Глава 2. Средства защиты беспроводных сетей
• 2.1 Режим безопасности WEP
• 2.2 Режим безопасности WPA
• 2.3 Режим безопасности WPA-PSK
• Глава 3. Настройка безопасности в беспроводной сети при использовании систем обнаружения вторжения
• 3.1 Исследование систем обнаружения вторжения
• 3.2 Изучение системы обнаружения вторжений на примере Kismet
• ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

ВВЕДЕНИЕ

В современном мире, какую бы сферу человеческой деятельности мы не взяли, практически в каждой можно заметить использование беспроводных сетей. Такое повсеместное использование беспроводных сетей связано с тем, что ими можно пользоваться не только на персональных компьютерах, но и на мобильных устройствах, а также их удобством, связанным с отсутствием кабельных линий и сравнительно небольшой стоимостью. Беспроводные сети удовлетворяют совокупности требований к качеству, скорости, защищенности, радиусу приема. Особое внимание необходимо уделять защищенности, как одному из самых важных факторов.

С ростом применения беспроводных сетей, перед пользователями возникает проблема - защита информации от неправомерного доступа к этой сети. В данной работе рассмотрены основные угрозы и методы защиты от них при использовании беспроводной сети для передачи информации .

Актуальность создания условий безопасного пользования беспроводной сетью обусловлена тем, что в отличие от проводных сетей, где необходимо вначале получить физический доступ к кабелям системы, в беспроводных сетях данные оказываются доступными при помощи обычного приемника, находящегося в районе распространения сети.

Однако при различной физической организации сетей, создание безопасности проводных и беспроводных сетей одинаково. При организации безопасности данных при передаче в беспроводных сетях необходимо больше уделять внимание обеспечению невозможности утечки и целостности информации, проверке идентичности пользователей и точек доступа.

Объект исследования в данной работе - средства защиты информации в беспроводных сетях.

Предмет исследования - технологии защиты информации в беспроводных сетях от несанкционированного доступа.

Целью курсовой работы является изучение методов повышения защиты данных при передаче с помощью беспроводных сетей.

Для достижения цели курсовой работы необходимо выполнить следующие задачи:

1) изучить, как выполняется передача данных в беспроводной сети;

2) исследовать виды угроз и их отрицательное воздействие на работу беспроводных сетей;

3) проанализировать средства, при помощи которых возможна защита информации беспроводных сетей;

4) проанализировать системы отслеживания вторжений и рассмотреть работу одной из них.

Глава 1 . Анализ угроз, возникающих при передаче данных в беспроводной сети

1.1 Принцип действия беспроводных сетей

При передаче информации в беспроводных сетях используются три составляющих: радиосигналы, структура сети и формат данных. В отдельности каждый из этих элементов не зависит от других, поэтому, при разработке новой сети, нужно проработать каждую из составляющих. В сетевую структуру входят сопрягающие устройства -- адаптеры интерфейсов и передающие и принимающие станции. В беспроводной сети адаптеры на каждом устройстве выполняют преобразование цифровых данных в радиосигналы, которые затем передаются на другие устройства сети и снова преобразуются обратно в цифровые данные .

В IEEE (Institute of Electrical and Electronics Engineers - Институт инженеров по электротехнике и электронике) был создан набор стандартов и спецификаций для беспроводных сетей, имеющий названием "IEEE 802.11", который определяет вид передаваемых сигналов. На данный момент наиболее применяемой спецификацией является 802.11b. Этот стандарт используется почти в каждой Ethernet-сети. Необходимо учитывать развитие других стандартов, однако на сегодняшний день 802.11b наиболее приспособлен для применения, особенно при расчете подключения к сетям, где невозможно самостоятельное управление всеми устройствами. Сети со спецификацией 802.11b работают в диапазоне радиочастот 2,4 ГГц, который задействован в подавляющем большинстве стран для радио-служб без лицензий, имеющих соединения точка-точка с распределением спектра .

На данный момент существует четыре основных стандарта Wi-Fi:

1) В сетях со стандартом 802.11a данные передаются на частоте 5 ГГц со скоростью до 54 Мбит/с. Этот стандарт предоставляет более удачную технику кодирования, которая предусматривает деление исходящего сигнала на несколько составляющих. Данный метод передачи предоставляет возможность уменьшить влияние помех.

2) Стандарт 802.11b является самым медленным и наиболее дешёвым. В определённый период из-за невысокой стоимости, он широко использовался, но в данное время вытесняется более скоростными стандартами по мере снижения их цены. Стандарт 802.11b работает на частоте 2,4 ГГц. Скорость передачи данных составляет до 11 Мбит/с.Для повышения скорости выполняются преобразования с дополняющим кодом.

3) Стандарт 802.11g также работает на частоте 2,4 ГГц, при этом обеспечивается намного большая скорость передачи данных - до 54 Мбит/с. В стандарте 802.11g используется такое же кодирование данных OFDM, как и в стандарте 802.11a.

4) В стандарте 802.11n ещё больше увеличена скорость передачи данных, а также изменён частотный диапазон. Стандарт 802.11n обеспечивает скорость передачи данных 140 Мбит/с.

К популярным технологиям, производитель Wi-Fi Alliance создал дополнительные стандарты для специализированного использования. К таким спецификациям, которые выполняют обслуживающую работу, относятся:

802.11d -- выполняет сопряжение между устройствами беспроводной сети различных производителей;

802.11e -- определяет качество передаваемых медиа-файлов;

802.11f -- регулирует многообразием точек доступа разнообразных производителей, позволяя без проблем работать в различных сетях;

802.11h -- делает невозможным уменьшение качества сигнала при воздействии метеорологических и военных устройств;

802.11i -- в данном стандарте используется улучшенная защита личной информации при передаче данных;

802.11k -- регулирует нагрузку беспроводной сети и переключает пользователей на другие точки доступа;

802.11m -- включает исправления стандартов 802.11;

802.11p -- идентифицирует Wi-Fi-устройства, которые находятся на расстоянии до 1 км и движутся со скоростью до 200 км/ч;

802.11r -- автоматически идентифицирует беспроводную сеть в роуминге и выполняет подключение к ней мобильных устройств;

802.11s -- выполняет полно-связное подключение, в котором каждое мобильное устройство может работать как маршрутизатор или точка доступа;

802.11t -- этот стандарт тестирует всю сеть 802.11, определяет способы мониторинга и его результаты, предоставляет требования для нормальной работы оборудования;

802.11u -- стандарт выполняет взаимную связь беспроводных и внешних сетей;

802.11v -- выполняется совершенствование стандарта 802.11;

802.11y -- недоработанная технология, позволяющая связать частоты 3,65-3,70 ГГц;

802.11w -- данный стандарт предоставляет способы улучшения защиты доступа при передаче информации.

Современный и наиболее технологичный стандарт 802.11ас.Устройства стандарта 802.11ас дают возможность ощутить более высокое качество работы в интернете .

Среди улучшенных характеристик этой модификации можно выделить следующие:

Высокая скорость. В сети со стандартом 802.11ас применяются более широкие каналы и увеличенная частота передачи данных, что позволяет развить теоретическую скорость до 600 Мбит/с. Кроме скорости, сеть на стандарте 802.11ас передаёт больший объем данных за один такт.

Увеличенный диапазон частот. Модификация 802.11ас имеет целую совокупность частот 5 ГГц. Эта технология обладает более высокую амплитуду сигналов.

Зона покрытия сети 802.11ас. Этот стандарт предоставляет увеличенный радиус действия сети. Отсутствует влияние внешних устройств на работу сети.

Обновлённые технологии. 802.11ас включает расширение MU-MIMO, обеспечивающее непрерывную работу в сети нескольких устройств.

Устройства Wi-Fi работают в одном из трех частотных диапазонов . Возможно быстрое переключение передающих частот из одного диапазона в другой. Это дает возможность уменьшить влияние помех на сигнал и использовать возможности беспроводной связи различными устройствами.

1.2 Основные угрозы беспроводных сетей

Угрозы, возникающие в беспроводных сетях при передаче информации, разделяют на два вида:

1) Прямые - возникают при передаче информации по беспроводному интерфейсу IEEE 802.11;

2) Косвенные - связаны с присутствием на определённой территории и рядом с ней большого количества Wi-Fi-сетей.

Прямые угрозы

Канал передачи данных, используемый в беспроводных сетях может подвергаться внешнему влиянию с целью использования личных сведений, нарушения целостности и доступности информации. В беспроводных сетях существуют как аутентификация, так и шифрование, однако эти возможности защиты имеют свои недостатки. Возможности блокирования передачи данных в канале беспроводных сетей не уделено должного внимания при разработке технологии. Такое блокирование канала не представляет опасности, так как беспроводные сети выполняют вспомогательную роль, но блокирование может являтся подготовительным этапом для атаки "человек посередине", в которой когда пользователем и точкой доступа возникает третье устройство, перенаправляющее информацию через себя. Такое воздействие предоставляет возможность преобразовывать информацию .

Чужаки (RogueDevices, Rogues) - это устройства, позволяющие воспользоваться неавторизованным доступом к корпоративной сети, в обход защитных решений, заданных политикой безопасности. Отказ от использования беспроводных сетей не предоставляет защититу от беспроводных атак, если в сети возникнет чужак. В роли такого устройства могут быть такие, у которых есть оба вида интерфейсов: точки доступа, проекторы, сканеры, ноутбуки с подключённым интерфейсом и т.д .

Нефиксированная природа связи

Устройства беспроводной связи могут изменять точки подключения к сети уже во время работы. К примеру, могут возникать «случайные ассоциации», когда устройство с ОС Windows XP (с доверием работающая со всеми беспроводными сетями) или неправильно настроенный клиент беспроводной сети, который автоматически подключается к ближайшей беспроводной сети. В этом случае злоумышленник подсоединяет к себе пользователя для дальнейшего прослеживания уязвимости, фишинга или атаки «человек посередине» .

А если клиент одновременно соединен и с проводной сетью, то он начинает выполнять роль точки входа - чужака.

Если же пользователь, подключённый к внутренней сети и имеющий беспроводной интерфейс, переключается на ближайшую точку доступа, то вся защита сети уничтожается.

Возможны и другие проблемы, например, сети Ad-Hoc, предоставляющие возможность передачи файлов по беспроводной связи на принтер. Такая структура сети не выполняет многие задачи безопасности, что ставит их в роль лёгкой добычи для злоумышленников. Новые технологии VirtualWiFi и Wi-Fi Direct также слабы в защитных функциях .

1.3 Уязвимости сетей и устройств

Неправильно настроенные устройства, устройства с короткими ключами шифрования, устройства, которые используют слабые методы аутентификации подвержены нападению в первую очередь. По отчётам аналитиков, основная часть несанкционированных вмешательств происходит из-за некорректно сконфигурированных точек доступа и не настроенного программного обеспечения пользователя.

Некорректно сконфигурированные точки доступа

Для взлома сети достаточно подключить к ней точку доступа с неправильными настройками. Настройки, заданные «по умолчанию» не создают шифрование и аутентификацию, а также применяют ключи, описанные в руководстве и поэтому доступные всем. При таких настройках, если пользователь недостаточно серьёзно позаботится о безопасной конфигурации устройства, то именно такая привнесённая точка доступа и является основной угрозой для защищённых сетей .

Беспроводные клиенты с неправильной конфигурацией

Неправильно настроенные устройства клиентов не настраиваются специально для безопасности внутренней беспроводной сети организации. При этом они находятся как вне контролируемой зоны, так и внутри неё, что позволяет злоумышленнику создавать разнообразные атаки.

Взлом шифрования

Защищённость WEP очень слаба. В Интернете есть множество специального программного обеспечения для взлома этой технологии, которое выбирает статистику трафика так, чтобы её было достаточно для воссоздантя ключа шифрования. В стандартах WPA и WPA2 также имеются уязвимости различной степени опасности, которые позволяют их взлом . В данном отношении в положительном ракурсе можно рассматривать технологию WPA2-Enterprise (802.1x) .

Отказы в обслуживании

DoS (Denial of Service) - это негативное внешнее воздействие, направленное на вычислительные ресурсы сервера или рабочей станции, которое проводится для приведения этих систем к состоянию отказа. Под отказом подразумевается не физический выход устройства из строя, а невозможность доступа к ее ресурсам для клиентов сети, то есть отказ системы в их обслуживании.

Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких - DDoS (ДиДоС или ДДоС), что означает «Distributed Denial of Service» - распределенное доведение до отказа в обслуживании.

Принцип действия DoS и DDoS - атак заключается в отправке на сервер большого потока информации, который под загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

DoS атаки применяютсядля нарушения качества работы сети или для абсолютного прекращения доступа клиентов к сетям. В случае Wi-Fi сети заметить источник, загружающий сеть «мусорными» пакетами, оченьнепросто- его нахождениеопределяется лишь зоной покрытия. При этомсуществует аппаратный вариант этой атаки - установливается достаточно сильный источник помех в необходимом частотном диапазоне .

Глава 2. Средства защиты беспроводных сетей

Как средства защиты от часто встречающихся угроз в беспроводных сетях используется такие технологии как:

2.1 Режим безопасности WEP

WEP (Wired Equivalent Privacy) - метод обеспечения безопасности сети, доступен для работы с устаревшими устройствами, но его применение не приветствуется из-за относительно легкого взлома защиты. При использовании протокола WEP настраивается ключ безопасности сети, который выполняет шифрование данных, передаваемых компьютером через сеть другим устройствам.

Используют два метода защиты WEP :

1) проверка подлинности в открытой системе;

2) проверка подлинности с использованием общих ключей.

Эти методы не обеспечивают высокого уровня безопасности, однако способ аутентификации в открытой системе считается более безопасным. Для большинства устройств, при использовании общих ключей, ключ аутентификации идентичен статическому ключу шифрования WEP, который применяется для создания безопасности передачи данных. Перехватив сообщение для идентификации, можно, применяя средства анализа, сначала определить ключ проверки подлинности с применением общих ключей, а после - статический ключ WEP-шифрования, после чего становится открыт полный доступ к сети.

2.2 Режим безопасности WPA

WPA (Wi-Fi Protected Access) - это обновлённая программа сертификации устройств, входяших в беспроводную связь. Режим WPA включает несколько составляющих :

Стандарт 802.1x --протокол применяется для установления подлинности, учета и авторизации;

Стандарт TKIP -- протокол целостности ключей во времени;

Стандарт EAP -- расширяемый протокол установления подлинности;

MIC -- выполняет криптографическую проверку целостности переданных пакетов;

Протокол RADIUS

Шифрование информации в WPA производит протокол TKIP, использующий такой же алгоритм шифрования что WEP (RC4), но при этом использует динамические (часто меняющиеся) ключи. В этой технологии применяется более длинный вектор инициализации, а для подтверждения целостности пакетов используется криптографическая контрольная сумма (MIC).

RADIUS-протокол выполняет работу вместе с сервером аутентификации (RADIUS-сервер). При таком режиме беспроводные точки доступа находятся в enterprise-режиме.

При отсутствии RADIUS-сервера роль сервера, на котором происходит установление подлинности, выполняет точка доступа -- режим WPA-PSK.

2.3 Режим безопасности WPA-PSK

В технологии WPA-PSK (Wi-Fi Protected Access - Pre-Shared Key) в конфигурации всех точек доступа задаётся общий ключ. Этот же ключ прописывается и на пользовательских мобильных устройствах. Такой метод защиты безопаснее в сравнении с WEP, но не очень удобен при управлении. PSK-ключ необходимо задать на каждом беспроводном устройстве, все клиенты сети могут его видеть. При необходимости заблокировки доступа к конкретному пользователю в сеть, нужно снова задавать новый PSK на каждом устройстве сети. Вследствие этого данный режим WPA-PSK можно использовать в домашней сети или небольшом офисе с небольшим числом пользователей .

Рассмотрим механизмы работы WPA. Технология WPA была введена как временная мера до начала использования стандарта 802.11i. Некоторые производители до ввода этого стандарта стали применять технологию WPA2, в некоторой степени включающую в себя элементы стандарта 802.11i, например, использование протокола CCMP, вместо TKIP. WPA2 в качестве алгоритма шифрования используется улучшеная технология шифрования AES. Для работы с ключами используется протокол 802.1x., имеющий несколько возможностей. В вопросах безопасности рассмотрим функции установления подлинности пользователя и создание ключей шифрования. В данном протоколе аутентификация выполняется «на уровне порта». До тех пор, пока пользователь не выполнит аутентификацию, он может отправлять/принимать пакеты, имеющие отношение только к процессу его учетных данных и только. Лишь пройдя успешную аутентификацию порты точки доступа или коммутатора будут открыты и клиент сможет пользоваться ресурсами сети.

Протокол EAP выполняет функции аутентификации и является лишь надстройкой для методов аутентификации. Все преимущества протокола состоят в том, что он очень просто реализуется на точке доступа, так как ей не нужно знать никаких особенностей разнообразных методов аутентификации. В этом случае точка доступа в качестве аутентификатора выполняет лишь передаточные функции между пользователем и сервером аутентификации. Существуют следующие методы аутентификации:

EAP-SIM, EAP-AKA -- выполняются в сетях мобильной связи GSM;

LEAP -- пропреоретарный метод от Cisco systems;

EAP-MD5 -- простейший метод, аналогичный CHAP;

EAP-MSCHAP V2 -- в основе метода аутентификации лежит использование логина/пароля пользователя в MS-сетях;

EAP-TLS -- аутентификация на основе цифровых сертификатов;

EAP-SecureID -- в основе метода лежит применение однократных паролей.

Кроме вышеизложенных, можно выделить ещё два метода: EAP-TTLS и EAP-PEAP, которые перед непосредственной аутентификацией клиента вначале создают TLS-туннель между пользователем и сервером аутентификации, внутри которого и выполняется сама аутентификация, с использованием методов MD5, TLS, PAP, CHAP, MS-CHAP, MS-CHAP v2. Создание туннеля повышает уровень безопасности аутентификации, защищая от атак типа «человек посредине», «session hihacking» или атаки по словарю.

Схема установления подлинности включает три компонента :

Supplicant -- программа, работающая на компьютере пользователя, который подключается к сети;

Authenticator -- узел доступа, выполняющий проверку подлинности;

AuthenticationServer -- сервер, на котором происходит установление подлинности.

Проверка подлинности выполняется по этапам:

1) Клиент посылает запрос на аутентификацию в сторону точки доступа.

2) Точка доступа в ответ создает клиенту запрос на идентификацию клиента.

3) Клиент в ответ высылает пакет с необходимыми сведениями, которые точка доступа перенаправляет серверу аутентификации.

4) Сервер, на котором происходит проверка передает аутентификатору (точке доступа) запрос данных о подлинности клиента.

5) Аутентификатор передаёт этот пакет клиенту.

После этого выполняется взаимная идентификации сервера и клиента. Число пересылок пакетов в одну и в другую сторону изменяется в зависимости от метода EAP, но в беспроводных сетях используется лишь «strong» аутентификация с обоюдной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и созданием шифрования канала связи.

6) На следующем этапе, сервер аутентификации, с необходимой информацией от клиента, разрешает или запрещает пользователю доступ, с отсылкой соответствующего сообщения аутентификатору (точке доступа). Аутентификатор выполняет открытие порта, если со стороны сервера аутентификации пришел положительный ответ.

7) Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса и клиент получает доступ в сеть. После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт» .

Для соединения клиента и точки доступа применяются пакеты EAPOL. Протокол RADIUS используется при обмене данными между аутентификатором и RADIUS-сервером .

Начальная аутентификация выполняется на базе общих данных, которые известны и клиенту, и серверу аутентификации, например, логин/пароль, сертификат и т.д. При этом создаётся «мастер ключ», с помощью которого клиент и сервер аутентификации генерируют «парный мастер ключ», который передается точке доступа от сервера аутентификации. Впоследствии на основе «парного мастера ключа» и создаются все остальные изменяющиеся со временем ключи, которые и закрывают передаваемый трафик .

безопасность информация беспроводной kismet

Глава 3 . Настройка безопасности в беспроводной сети при использовании систем обнаружения вторжения

3.1 Исследование систем обнаружения вторжения

Системой обнаружения вторжений (СОВ) может быть программное или аппаратное средство, выполняющее поиск фактов несанкционированного доступа в компьютерную сеть или управление сетью через Интернет. В переводе на английский язык -- Intrusion Detection System (IDS). Системы обнаружения вторжений создают дополнительную защиту компьютерных систем.

СОВ можно использовать для нахождения определённой вредоносной активности, нарушающей безопасность компьютерной сети, а именно: сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей) .

В состав системы обнаружения вторжений входят:

1) сенсорная подсистема, которая собирает события, связанные с безопасностью сети;

2) анализирующая подсистема, которая выявляет атаки и подозрительные действия на основе сенсорных данных;

3) хранилище, которое обеспечивает сбор первичных событий и результатов анализа;

4) консоль управления, настраивающая систему обнаружения вторжений, наблюдающая за состоянием защищаемой системы и СОВ, просматривающая выявленные подсистемой анализа факты несанкционированного доступа.

Рассмотрим те из имеющихся систем обнаружения, которые можно с успехом применять или изменять, чтобы они были пригодны к использованию. Тогда их можно будет преобразовать с необходимыми настройками, чтобы они собирали дополнительные данные о работе сети.

Из платных продуктов известны такие программы как Air Defense Guard и Isomair Wireless Sentry . Их работа состоит в размещении сенсоров на защищаемой территории и передаче всех собранных ими данных на центральный сервер, который представляет собой специальное устройство с безопасным Web-интерфейсом, либо Linux-машину подключенную к консоли управления на платформе Windows. Такие программы могут анализировать беспроводной трафик, отличный от стандарта 802.11, а также радиопомехи в наблюдаемой полосе частот, что часто бывает необходимо.

Размер сети и зона покрытия имеет решающее значение от расстановки сенсоров системы обнаружения. Для мониторинга сети сенсоры должны охватывать всю территорию беспроводного доступа. Чувствительность сенсоров должна быть не хуже чувствительности трансивера точки доступа. Однако все коммерческие сенсоры имеют недостаток - невозможность подключения внешней антенны, из-за чего весьма затруднительно увеличение дальности действия и чувствительности сенсоров. Чтобы покрыть всю сеть компании нужно покупать больше низко-чувствительных сенсоров с малым радиусом действия.

WiSentry - это коммерческий программный продукт, обеспечивающий слежение за беспроводной сетью и обнаружение вторжений без специальных аппаратных сенсоров. Данная программа создает отдельный профиль для каждого беспроводного узла, который хранится в базе данных WiSentry и применяется для отличия устройства, которым можно доверять, и от подозрительных. В WiSentry существует настраиваемая база данных тревожных событий, которая поддерживает сети стандартов 802.11а, b и т.д.

Еще одно коммерческое решение, сочетающее в себе средства для проверки безопасности и некоторые функции системы обнаружения вторжений - это программа Air Magnet, созданная компанией Global Secure Systems. Главным отличием данного продукта является возможность анализировать радиочастоты в основном диапазоне, что позволяет находить перекрытие каналов 802.11b/g в области приема, а также определять возможные помехи.

Коммерческие анализаторы протоколов 802.11, такие как NAI Sniffer Wireless и Wild Packet Airo Peek, также поддерживают некоторые возможности системы обнаружения вторжений. Airo Peek реализует удаленные сенсоры RF Grabber, из-за чего становится похожей на распределенные системы типа Air Defense / Isomair. Airo Peek имеет набор инструментов для разработки собственных фильтров на языках Visual Basic или C, а значит, возможна доработка данного продукта, несмотря на закрытость исходных текстов .

Далее рассмотрим системы обнаружения вторжений с открытым исходным кодом, которые можно доработать под необходимые функциональные возможности. В первую очередь рассмотрим программу WIDZ, созданную Марком Осборном.

Данная программа выполняет следующие действия:

Обнаруживает фальшивые точки доступа;

Обнаруживает атаки с применением Air Jack;

Обнаруживает пробные запросы;

Обнаруживает фреймы с широковещательным ESSID («ANY»);

Помещает подозрительные МАС-адреса в список заблокированных;

Помещает подозрительные ESSID в список заблокированных;

Обнаруживает атаки путем затопления фреймами с запросом на присоединение.

Программа WIDZ использует драйвер HostAP. Продукт имеет две составляющие: widz_apmon, которая может обнаруживать точки доступа, не указанные в списке, и widz_probemon, ведущая проверку сети на обнаружение подозрительного трафика.

При работе данной программы сигнал тревоги возникает в следующих ситуациях:

Alertl. Сигнал создаётся при пустом ESSID поле. При этом вызывается сценарий Alert, который выполняет запись в протоколе следующие сто пакетов из подозрительного источника;

Alert2. Сигнал создаётся, если в течение определённого времени выполняется большое число попыток присоединения;

Alert3. Сигнал создаётся, если МАС-адрес находится в файле badmac, который представляет собой простой список адресов в шестнадцатеричном виде;

Alert4. Сигнал создаётся, если ESSID находится в файле badsids.

Сценарий Alert вызывается при обнаружении фальшивой точки доступа или подозрительного трафика. По умолчанию сценарий посылает сообщения syslog-серверу и выводит тревожное сообщение на консоль. Можно вместо этого заставить его посылать сообщение по электронной почте, возбуждать SNMP-событие, добавлять недопустимый МАС-адрес в список контроля доступа и т.д.

Существует открытая система обнаружения вторжений и с более обширными возможностями. Это программа WIDS. Программа имеет автоматический дешифратор WEP и средства для организации беспроводных приманок .

WIDS выполняет следующие действия:

Анализирует временные интервалы между маяками для каждой обнаруженной точки доступа;

Анализирует порядковые номера фреймов 802.11;

Обнаруживает пробные запросы, являющиеся признаком активного сканирования;

Обнаруживает затопление запросами на присоединение;

Обнаруживает затопление запросами на аутентификацию;

Обнаруживает частые запросы на повторное присоединение;

Протоколирует трафик приманки в рсар-файл;

Перенаправляет беспроводной трафик на проводной интерфейс.

Говоря о системах обнаружения вторжений, необходимо отметить мощную программу Kismet, которая прошла длинный путь развития от инструмента поиска сетей до полнофункциональной клиент-серверной системы обнаружения вторжений.

Данный инструмент выполняет следующие функции:

Обнаруживает перегрузки запросами на остановку сеанса и отключение;

Анализирует порядковые номера фреймов стандарта 802.11;

Выявляет пользователей Air Jack в наблюдаемой сети;

Обнаруживает пробные запросы, посылаемые программой Net Stumbter;

Обнаруживает атаки по словарю на ESSID, проводимые при помощи Wellenreiter;

Обнаруживает клиентов, посылающих пробные запросы, но не присоединяющихся к сети;

Выполняет различение сетей 802.11 DSSS и FHSS;

Выполняет сохранение фреймов с информацией в именованный FIFO-канал для дальнейшего анализа;

Выполняет дешифровку WEP;

Обнаруживает увеличение шума в канале;

Обнаруживает беспроводные сети Lucent Outdoor Router / Turbocell / Karlnet, построенные не на базе стандарта 802.11 .

Совокупность данных возможностей вместе с архитектурой клиент-сервер, простой системой оповещений, великолепным механизмом структурированного протоколирования данных, а также возможностью интеграции с удаленными сенсорами делают Kismet очень привлекательной системой обнаружения внедрений. Дополнительный вес ей придает возможность поддержки нескольких клиентских карт и расщепление диапазона сканируемых частот между этими картами.

3.2 Изучение системы обнаружения вторжений на примере Kismet

Для установки программы необходимо выполнить следующие действия:

1. Загрузить Kismet с установочного компакт-диска или с web-сайта.

2. Распаковать установочный файл.

3. При компиляции приложения Kismet необходимо выполнить команду./configure с некоторыми подходящими настройками, которые задаются ключами, перечисленными в таблице 1.

Эти ключи компиляции можно задавать в настройках конфигурации для использования определённых возможностей.

Таблица 1

Конфигурационные ключи Kismet

Ключ	Описание
Disable-curses	Отключает интерфейс пользователя на основе curses
	Отключает расширения панели ncurses
	Отключает поддержку GPS
Disable-netlink	Отключает перехват сокетов LinuхNеtLink (с заплатами для prism2/orinoco)
Disable-wireless	Отключает беспроводные расширения ядра Linux
	Отключает поддержку перехвата посредством libpcаp
Enable-syspcap	Использует системную библиотеку libpcap (не рекомендуется)
Disable-setuid	Отключает возможностьпереустановки действующего идентификатора пользователя (не рекомендуется)
	Включает устройство перехвата - удаленный сенсор WSP100
	Включает звуковые функции.
Enable-local-dumper	Заставляет использовать локальные средства дамповой памяти.
With-ethereal=DIR	Поддерживает прослушиваниеEthereal для записи протоколов.
Without-ethereal	Отключает поддержку прослушивания Ethereal
	Включает поддержку продвинутого интерфейса конфигурирования и питания ядром Linux

4. При окончании процесса настройки необходимо выполнить команды makedep и makemakeinstall от имени супер-пользователя, для окончания компиляции и установки программы;

5. После завершения установки программы Kismet, необходимо найти файл kismet.conf, который располагается в каталоге /usr/local/etc. В этом файле пользователем задаются настройки интерфейса и протоколов программы .

В таблице 2 описаны изменяемые параметры программы.

Таблица 2

Интерфейсные и протокольные опции Kismet

Параметр	Описание
	Определяет, какие интерфейсы будут прослушиваться программой Kismet. Обычно здесь задается основной беспроводной интерфейс (wlan0). При необходимости добавления дополнительных интерфейсов, можно сделать это в формате source = тип, интерфейс, имя.
Fuzzy encryption	Настройка отображает все принятые пакеты как нешифрованные для тех станций, которые применяют неизвестные методы шифрования.
Filtering packetlogs	Настройка ограничивает множество пакетов, подлежащих протоколированию. Опция noiselog даёт возможность отбросить все пакеты, которые, возможно, испорчены или фрагментированы из-за помех. Это может уменьшить размер журнала. Опция beaconlog предоставляет возможность отбросить все пакеты отдельной точки доступа, кроме первого пакета радиомаяка. Настройка phylog отбрасывает все пакеты физического уровня, которые иногда подхватываются. Возможна любая комбинация этих настроек
Decrypt WEP keys	Расшифровывает перехваченные пакеты данных на лету. Для этого, однако, следует иметь ключ, который иногда можно добыть с помощью программы AirSnort. Для каждой точки доступа требуется отдельная инструкция вида bssid:key, где bssid - это MAC-адрес точки доступа, а key - ключ для нее
Usinganexternal IDS	Посылает пакеты внешней системе обнаружения вторжений для дальнейшего анализа. В этой инструкции задается именованный канал, а сетевой системе обнаружения вторжений следует предписать чтение из него.

6. Теперь нужно отредактировать файл kismet_ui.conf, также находящийся в /user/local/etc. В нем задаются некоторые настройки интерфейса. В табл. 3 перечислены возможные варианты.

Теперь все готово к применению Kismet для аудита беспроводной сети. В нем задаются некоторые настройки интерфейса. В табл. 3 перечислены возможные варианты .

Таблица 3

Настройки интерфейса Kismet

Применение KismetWireless

Чтобы запустить Kismet, нужно набрать имя исполнимого файла в командной строке или на терминале X-Window, поддерживающем инструментарий Curses. Отобразится основной интерфейс (см. рис. 1). Kismet немедленно начнет сообщать обо всех беспроводных сетях в окружении и выдавать информацию о них.

Рис. 1. Основной экран KismetWireless

В интерфейсе можно выделить три основные части. Раздел NetworkList слева отображает все активные в текущий момент беспроводные сети, которые Kismet смог увидеть, и основную информацию о них: SSID сети (если доступен), тип (точка доступа или узел), шифруется она или нет с помощью WEP, используемый канал вещания, число перехваченных до сих пор пакетов, любые флаги на данных и объем данных, проходящих через сеть. Вывод кодируется цветом: активные сети отображаются красным цветом, а неактивные - черным.

В поле Info справа отображается общая статистика текущего сеанса перехвата, включая общее число обнаруженных сетей, общее число пакетов, которые были зашифрованы, услышанные слабые сети, пакеты с высоким уровнем шума, отброшенные пакеты и среднее число пакетов в секунду.

Поле Status внизу содержит прокручивающееся представление происходящих событий. Сообщения всплывают, когда появляются новые сети или происходят другие события.

Так как Kismet - средство командной строки, хотя и с графическим интерфейсом, для управления его функциями применяются клавишные команды. В табл. 4 перечислены клавишные команды, доступные из основного экрана .

Таблица 4

Клавишные команды Kismet

Клавишная команда	Описание
	Выдает статистику числа пакетов и распределения каналов
	Открывает клиентское всплывающее окно для отображения клиентов выбранной сети
	Предписывает серверу начать извлечение из потока пакетов цепочек печатных символов и их отображение
	Открывает всплывающее окно на серверах Kismet. Это позволяет одновременно контролировать два или несколько серверов Kismet на различных хостах (напомним, что это архитектура клиент-сервер)
	Находит центр сети и отображает компас
	Группирует помеченные в данный момент сети
	Выдает список возможных команд
	Выдает подробную информацию о текущей сети или группе
	Показывает уровни сигнал/мощность/шум, если плата их сообщает
	Отключает звук и речь, если они включены (или включает их, если они были перед этим выключены). Чтобы этим пользоваться, в конфигурации должны быть включены звук или речь
	Переименовывает выбранную сеть или группу
	Выдает типы пакетов по мере их получения
	Выводит столбчатую диаграмму темпа порождения пакетов
	Изменяет способ сортировки списка сетей
	Помечает текущую сеть или снимает метку с нее
	Исключает текущую сеть из группы
	Выдает все предыдущие сигналы и предупреждения
	Увеличивает панель вывода сети на весь экран (или возвращает ей нормальный размер, если она уже увеличена)

Возможно расширение представления данных о каждой найденной сети, для отображения всех деталей определенной точки доступа. Для этого необходимо ввести i в командной строке. На рис. 2 показаны результаты выдачи .

Рис. 2. Экран Kismet с подробными данными о сети

При помощи команды z возможно расширение поля сети на весь экран, увеличивая обзор дополнительной информации о каждой сети, например производителя обнаруженного оборудования. Это оптимизирует группирование точек доступа при отслеживании лишь определенной части из них и желании иметь возможность отфильтровывать другие. Это делается с помощью команд g и u, которые используются для включения и удаления из группы соответственно.

ЗАКЛЮЧЕНИЕ

В данной курсовой работе проводилось исследование методов повышения защиты данных при передаче их с помощью беспроводных сетей.

Для достижения цели курсовой работы, были выполнены следующие задачи:

1) изучен принцип работы беспроводной сети;

2) были исследованы виды угроз и их отрицательное воздействие на работу беспроводных сетей;

3) проанализированы средства защиты информации беспроводных сетей от несанкционированного доступа;

4) проанализированы системы отслеживания вторжений и рассмотрена работа одной из них.

В первой главе был проведен анализ угроз беспроводных сетей, который показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.

Во второй главе выполнен обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать режим WPA2. WPA2 является обновленной программой сертификации устройств беспроводной связи. В данном режиме усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.

В третьей главе было проведено исследование систем обнаружения вторжения в беспроводную сеть и рассмотрена работа одной из них на примере Kismet. Совокупность возможностей вместе с архитектурой клиент-сервер, простой системой предупреждений, отличным механизмом ведения записи данных, а также возможностью взаимосвязи с удаленными датчиками делают Kismet очень привлекательной системой обнаружения внедрений в беспроводную сеть. Дополнительный вес ей придает возможность поддержки нескольких клиентских карт и расщепление диапазона сканируемых частот между этими картами .

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

1. Барнс К. Защита от хакеров беспроводных сетей / Барнс К., Бoутс Т., Ллойд Д., Посланс Д. - Издательство: Компания АйТи, ДМК пресс. -2005, с. 480.

2. Берлин А.Н. Телекоммуникационные сети и устройства. // Интернет-университет информационных технологий - ИНТУИТ.ру, БИНОМ. Лаборатория знаний. - 2008, с. 319 // С.В. Кунeгин. Системы передачи информации. Курс лекций. - М.: в/ч 33965. - 1998, с. 316.

3. Ватаманюк А.И. Беспроводная сеть своими руками.- Издательство: Питер. - 2006, с. 193.

4. Вишневский В.М. Широкополосные беспроводные сети передачи информации / Вишневский В.М., Ляхов А.И., Портной С.Л., Шахнoвич И.В. - Издательство: ДМК пресс, Компания АйТи. - 2005, с. 205.

5. Владимиров А.А. Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей / Владимиров А.А., Гавриленко К.В., Михайловский А.А; - Издательство: НТ Пресс. - 2005, с. 463.

6. Гoрдейчик С.В. Безопасность беспроводных сетей /С.В. Гoрдейчик, Дубровин В.В. - Издательство: Горячая линия -- Телекo ISBN: 978-5-9912-0014-1. - 2008, с. 288.

7. ФренкДж.Дерфлер,мл. Беспроводные ЛВС / Френк Дж. Дерфлер, мл., ЛесФрид. // PC Magazine/Russian Edition.2000. №6.

8. Джон Росс. Wi-Fi. Беспроводная сеть. - Издательство: НТ Пресс. -2007, с. 320.

9. Зорин М. Беспроводные сети: современное состояние и перспективы/ Зорин М., Писарев Ю., Соловьев П. - Издательство: Мир связи. - 1999. №4, С. 104.

10. Зорин М. Радиооборудование диапазона 2,4 ГГц: задачи и возможности / Зорин М., Писарев Ю., Соловьев П. // PCWeek/RussianEdition.- 1999. №20, С.21.

11. Максим М. Безопасность беспроводных сетей/ Максим М., Поллино Д. - Издательство: ДМК пресс, Компания АйТи. -2004, с. 288.

12. Мoлта Д. Тестируем оборудование для беспроводных ЛВС стандарта 802.11./ Мoлта Д., Фостeр-Вебстер А. // Сети и системы связи. -1999. №7, С.10.

13. Олейник Т. Беспроводные сети: современное состояние и перспективы - №10 - Издательство Домашний ПК. - 2003.

14. Олифер В.Г. Основы сетей передачи данных / Олифер В.Г., Олифер Н.А. // Интернет-университет информационных технологий - ИНТУИТ.ру. Лаборатория знаний. - 2005, с. 176.

15. Пролетарский А.В. Организация беспроводных сетей / Пролетарский А.В., Баскаков И.В., Федотов Р.А. - Издательство: Москва. - 2006, с. 181.

16. Писарев Ю. Беспроводные сети: на пути к новым стандартам // PC Magazine/Russian Edition. 1999. №10. С. 184.

17. Писарев Ю. Безопасность беспроводных сетей // PC Magazine/Russian Edition. 1999. №12. С. 97.

18. Пролетарский А.В. Беспроводные сети Wi-Fi / Пролетарский А.В., Баскаков И.В., Чирков Д.Н. - Издательство: Москва. - 2007, с. 216.

19. Стаханов C. Восстановление данных wi-fi // Центр восстановления данных

20. Технологии беспроводных сетей

21. Инструменты безопасности с открытым исходным кодом // университет информационных технологий - ИНТУИТ.ру

22. Технологии беспроводных сетей

Размещено на Allbest.ru

Подобные документы

Знакомство с современными цифровыми телекоммуникационными системами. Принципы работы беспроводных сетей абонентского радиодоступа. Особенности управления доступом IEEE 802.11. Анализ электромагнитной совместимости группировки беспроводных локальных сетей.

дипломная работа , добавлен 15.06.2011


Исследование и анализ беспроводных сетей передачи данных. Беспроводная связь технологии wi–fi. Технология ближней беспроводной радиосвязи bluetooth. Пропускная способность беспроводных сетей. Алгоритмы альтернативной маршрутизации в беспроводных сетях.

курсовая работа , добавлен 19.01.2015


История появления сотовой связи, ее принцип действия и функции. Принцип работы Wi-Fi - торговой марки Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11. Функциональная схема сети сотовой подвижной связи. Преимущества и недостатки сети.

реферат , добавлен 15.05.2015


Изучение особенностей беспроводных сетей, предоставление услуг связи вне зависимости от места и времени. Процесс использования оптического спектра широкого диапазона как среды для передачи информации в закрытых беспроводных коммуникационных системах.

статья , добавлен 28.01.2016


Эволюция беспроводных сетей. Описание нескольких ведущих сетевых технологий. Их достоинства и проблемы. Классификация беспроводных средств связи по дальности действия. Наиболее распространенные беспроводные сети передачи данных, их принцип действия.

реферат , добавлен 14.10.2014


Что такое ТСР? Принцип построения транкинговых сетей. Услуги сетей тракинговой связи. Технология Bluetooth - как способ беспроводной передачи информации. Некоторые аспекты практического применения технологии Bluetooth. Анализ беспроводных технологий.

курсовая работа , добавлен 24.12.2006


Общие понятия о беспроводных локальных сетях, изучение их характеристик и основных классификаций. Применение беспроводных линий связи. Преимущества беспроводных коммуникаций. Диапазоны электромагнитного спектра, распространение электромагнитных волн.

курсовая работа , добавлен 18.06.2014


Исследование обычной схемы Wi-Fi сети. Изучение особенностей подключения двух клиентов и их соединения. Излучение от Wi-Fi устройств в момент передачи данных. Описания высокоскоростных стандартов беспроводных сетей. Пространственное разделение потоков.

лекция , добавлен 15.04.2014


Комплексная классификация технологий и общая характеристика типов беспроводных сетей. Оценка факторов и анализ методов повышения производительности в Ad-Hoc сетях. Описание методов повышения производительности Ad-Hoc сетей на основе различных технологий.

дипломная работа , добавлен 28.12.2011


Проблемы и области применения беспроводных локальных сетей. Физические уровни и топологии локальных сетей стандарта 802.11. Улучшенное кодирование OFDM и сдвоенные частотные каналы. Преимущества применения техники MIMO (множественные входы и выходы).