IT-технологии - Безопасность беспроводных ЛВС

Новости it-компаний

Процессор Fujitsu — самый быстрый в мире

News image

Специалистам Fujitsu удалось создать самый быстрый в мире центральный процессор, способный выполнить 128 млрд вычислений в ...

Обеспечение мобильности. Технология Wi-Fi от компании Cisco

News image

Уже не подлежит обсуждению вопрос о том, насколько важно в современном мире обеспечение мобильности. Компания Ci...

Авторизация



Развитие технологий:

Компьютеры четвертого поколения (1970-1985)

Начало 70-х ознаменовалось поистине революционными преобразованиями в элементной базе компьютеров: в 1971 году по заказу производителя калькуляторов компании Busicom корпорация In...

Развитие модельного ряда компьютеров фирмы IBM

Первая модель ПК IBM - IBM PC (IBM Personal Computer) созданная в 1981 году использовала микропроцессор Intel 8088 и имела 64...


Безопасность беспроводных ЛВС
Это интересно - Технологии

безопасность беспроводных лвс

Известно, что разработчики стандарта 802.11b приложили немало усилий, чтобы упростить процедуру инсталляции и добиться совместимости продуктов различных изготовителей. Эта простота и усыпляет бдительность беспечных пользователей и администраторов, которые строят сети, не задумываясь о конфиденциальности. Даже в средствах защиты, предусматриваемых стандартом 802.11b, есть известные уязвимые места.

До появления Интернета доступ к традиционным проводным ЛВС можно было контролировать, поскольку такие сети размещались в пределах офиса. Но радиоволновые сигналы беспроводных ЛВС выходят за стены офиса, проникают через соседние помещения, принадлежащие другим фирмам, на автостоянку и дальше. Если не применить грамотных мер защиты, то любой человек, располагающий соответствующим оборудованием и некоторыми познаниями в области сетевых технологий, сможет перехватить ваш трафик.

Основные меры безопасности

Независимо от того, кто развертывает сеть - нетерпеливый домашний пользователь или беспечный администратор компании, - существует обязательный набор мер безопасности.

Во-первых, следует изменить принимаемое по умолчанию имя сети (ESSID), необходимое для регистрации в беспроводной ЛВС, и стандартный пароль узла доступа. Как правило, стандартные пароли и имена каждого изготовителя известны хакерам.

Во-вторых, использовать методы шифрования WEP (Wired Equivalent Privacy).

Без шифрования данные передаются в читаемой форме, и каждый владелец беспроводного анализатора протокола или сетевого адаптера, работающего в режиме перехвата всех пакетов, в зоне радиоприема сможет захватить данные без регистрации в сети. В WEP применяется алгоритм шифрования RC4, тот самый, что и в системах электронной торговли. Широко распространены 64 и 128-разрядные варианты WEP. Если возможно, используйте более надежное 128-разрядное шифрование.

В-третих, периодически менять ключи шифрования. Чем меньше данных передается с одним ключом шифрования, тем менее уязвима ваша информация.

И, наконец, активизировать в узлах доступа фильтрацию на уровне управления доступом к среде (Media Access Control, MAC). Каждый беспроводный адаптер PC Card снабжен уникальным идентификатором, известным как МАС-адрес. Во многих узлах доступа предусмотрена возможность составлять список разрешенных МАС-адресов. Адаптеры с адресами, которых нет в списке, получают отказ в доступе к сети.

Следует отметить, что это лишь минимальные меры предосторожности, даже если применить их все, опасность для данных не будет полностью устранена. Например, в июле 2001 года хакеры обнаружили уязвимое место в WEP, и уже в течение считанных недель в Интернете появилось несколько инструментов взлома, в которых было использовано это открытие.

Дополнительные способы защиты

Вероятно, WEP-защита приемлема для большинства домашних пользователей, в зависимости от степени конфиденциальности данных. Но администраторам предприятий необходимы более надежные алгоритмы шифрования. Логичным решением будут виртуальные частные сети (VPN), которые предусматривают шифрование IPSec и РРТР в беспроводных сегментах. Клиент беспроводной ЛВС передает шифрованные данные через узел доступа в концентратор VPN, который дешифрирует данные и пересылает их в проводную сеть. Это решение может быть удачным, особенно для малых ЛВС, но для крупных сетей оно, возможно, окажется слишком дорогостоящим и сложным.

Несколько независимых поставщиков попытались заполнить свободную нишу рынка, предложив аппаратные продукты VPN нового класса, предназначенные специально для беспроводных сетей. Компании Blue Socket, SMC Networks и Vernier Networks избрали похожие подходы, сконструировав аппаратные концентраторы, которые хорошо масштабируются и совместимы с любым беспроводным оборудованием. Каждое такое устройство располагается между узлами доступа беспроводной ЛВС и остальной проводной сетью как естественный и более безопасный шлюз для доступа к внутренним ресурсам. Несколько ведущих изготовителей беспроводных устройств также выпустили продукты со значительно улучшенными, но совершенно нестандартными схемами защиты.

Используемая в Agere Orinoco архитектура Advanced Mobile Security Architecture, технология LEAP, применяемая в Cisco Aironet, и Dynamic Security Link фирмы 3Com предусматривают определенный способ пользовательской аутентификации наряду с динамической генерацией уникального ключа WEP для каждого клиента. Для этих решений необходимы специальные клиентские программы, а также узлы доступа и платы одного изготовителя, но, тем не менее, они дают представление о направлении, в котором развиваются стандарты. Это надежные решения, но неясно, сколь долго просуществуют фирменные схемы после того, как будет подготовлен и принят настоящий открытый стандарт безопасности беспроводных ЛВС (это произойдет не раньше чем через год). Для этой цели организация IEEE сформировала рабочую группу (TGi), задачей которой будет повышение безопасности беспроводных ЛВС в едином, систематическом формате. TGi предложила временное решение под названием TKIP (Temporal Key Integrity Protocol - протокол обеспечения целостности при помощи временного ключа), которое должно работать с существующими и унаследованными аппаратными средствами; провайдеры беспроводной сети могут реализовать его в своих продуктах, обновив микропрограммное обеспечение. TKIP предусматривает механизм, который быстро меняет ключи шифрования пакетов (fast packet rekeying). Использование TKIP - не обязательное условие для сертификации Wi-Fi, но специалисты WECA надеются ввести его в процедуру тестирования к концу 2002 г.

Летом 2001 г. группа TGi одобрила применение предварительного стандарта 802.1х, который получил широкое признание среди изготовителей учрежденческих продуктов для беспроводных ЛВС. Первоначально спецификация 802.1х предназначалась для проводных сетей, но нашла основное применение в беспроводных ЛВС, где она обеспечивает стандартную инфраструктуру для управления сетевым доступом на уровне портов. Клиент беспроводной ЛВС посылает запрос авторизации в узел доступа, который идентифицирует клиента на сервере RADIUS, совместимом с ЕАР (Extensible Authentication Protocol - расширяемый протокол аутентификации). Сервер RADIUS может идентифицировать пользователя (по паролю) или машину (по МАС-адресу). Теоретически, беспроводный клиент не получит разрешения на вход в сеть до тех пор, пока транзакция не будет завершена. Однако в стандарте 802.1х не определена реализация ЕАР. В результате появилось множество вариантов ЕАР: EAP-MD5, EAP-TLS, EAP-TTLS, PEAP - все это способы, с помощью которых клиент беспроводной ЛВС идентифицирует себя на сервере RADIUS. Скорее всего, в ближайшем будущем наиболее распространенными решениями будут EAP-TTLS и PEAP (если эти решения будут ратифицированы).

В действительности, 802.1х не устраняет уязвимых мест WEP. Изъяны в алгоритме RC4 по-прежнему сохраняются, но взломщику труднее воспользоваться ими, так как уменьшается объем графика, шифруемого одинаковыми ключами.

Также набирает силу движение за полный отказ от RC4 в пользу более надежного алгоритма шифрования EAS. Фирма Atheros Communications уже выпустила EAS-совместимые микросхемы для стандарта 802.11а, но работа над подобными микросхемами для 802.11b затягивается.

Предполагается, что в конце 2002 г. в продаже появятся первые EAS-совместимые продукты 802.11а, но EAS-устройства 802.11b, по-видимому, будут выпущены ближе к середине 2003 г.

 


Читайте:


Добавить комментарий


Защитный код
Обновить

История компьютера в лицах. Сеймур Крей

News image

Сеймур Крей, создатель первого в мире суперкомпьютера, родился в городке Chippewa Falls, штат Висконсин, в 1925 году. Семья Креев имеет ан...

Творцы улыбок

News image

Мне часто приходит на ум, что надо придумать какой-нибудь типографический знак, обозначающий улыбку, - какую-нибудь закорючку, или упавшую навзничь скобку, ко...

Жесткие диски для ноутбуков становятся тоньше

News image

На данный момент жесткие диски для ноутбуков могут быть толщиной 9,5 мм и 12,5 мм. Первые получили наибольшее распространение, а об...

Financial Times обещает iTablet уже в следующем месяце

News image

Конец декабря редакция Financial Times решила скрасить очередной порцией слухов о планшетнике Apple. По данным издания, это устройство, покорившее заголовки СМ...

MacBU подытоживает две тысячи девятый год

News image

Как прошел 2009 год в компании, которую традиционно принято считать вторым крупнейшим разработчиков ПО для платформы Apple Macintosh? В Microsoft Ma...

Планшетный Мак покажут 26 января?

News image

За несколько дней до начала нового 2010 года онлайн-пресса разразилась новым потоком слухов на тему планшетного компьютера Apple: сначала хорошо ос...

VESA официально утвердила стандарт mini DisplayPort

News image

Презентованный Apple осенью 2008-го новый видеоинтерфейс mini DisplayPort (сокращенно mDP) вызвал неоднозначную реакцию, отголоски которой оставались различимыми вплоть до вчерашнего дн...

Внедрение 6-ядерных процессоров Intel Xeon может потребовать

News image

Изданию Fudzilla стали известны подробности по первому 6-ядерному процессору Intel Xeon. Он получит обозначение Core i7 980X, а его несущая тактовая ча...