Современные информационные технологи/Информационная безопасность

Дубчак О. В., Пухар А.В.

Національний авіаційний університет, Україна

ОРГАНІЗАЦІЯ ЗАХИСТУ ІНФОРМАЦІЇ У БЕЗДРОТОВИХ МЕРЕЖАХ IEEE 802.11

Вступ Бездротові мережні технології широко використовуються в усьому світі, привертаючи увагу відносно невисокими економічними витратами, простотою розгортання, зручністю використання й гнучкою архітектурою.

Стандарт IEEE 802.11 на локальні бездротові мережі WLAN розроблено Інститутом інженерів з електротехніки й електроніки (Institute of Electrical and Electronics Engineers). Для користувачів стандарт називається Wi-Fi  (wireless fidelity - бездротова бездоганність).

Стандарт IEEE 802.11 містить більше десяти різновидів, з яких найбільше практичне застосування знайшли IEEE 802.11b, IEEE 802.11g і IEEE 802.11n.

Мережі 802.11b і 802.11g працюють у діапазоні 2.4 Ггц,  розрізняються швидкістю передачі даних і радіусом дії. Для мереж 802.11b максимальна швидкість становить 11Мбіт/сек, а радіус дії - до 150 метрів на відкритому просторі й до 20 - 30 метрів у приміщенні. Мережі 802.11g забезпечують значно вищу швидкість - до 54 Мбіт/сек, їхній радіус дії більше - до 300 метрів на відкритому просторі. Стандарт 802.11n підвищує швидкість передачі даних практично вчетверо в порівнянні із пристроями стандартів 802.11g. Теоретично 802.11n здатний забезпечити швидкість передачі даних до 480 Мбіт/с. Радіус дії таких мереж досягає 450 метрів [4].

Постановка завдання Як відомо, у бездротових мережах дані передаються за допомогою радіосигналу, що, на відміну від кабельних систем, не має чітко окреслених границь і точок термінації. Природно, це значно утруднює контроль за підключенням пристроїв до такої мережі. З огляду на особливості технології, класичні способи захисту інформаційних ресурсів можуть не забезпечити належного ефекту. Тому для безпеки бездротових мереж використовуються спеціально розроблені механізми й алгоритми захисту, проаналізувати які поставили за мету автори цієї статті.

Як відзначалося, Wi-Fi - це бездротова мережа з достатньо великим  радіусом дії. Тому несанкціонований користувач - зловмисник може перехоплювати інформацію або ж атакувати систему, перебуваючи на безпечній відстані.

Одним із серії стандартів  IEEE 802.11*  уведено поняття надійно захищеної мережі RSN (Robust Security Network) і надійно захищеного мережного з'єднання RSNA (Robust Security Network Association). Усі алгоритми захисту інформації у бездротовій мережі було розділено на RSNA- алгоритми - для створення й використання мережного з'єднання та  Pre-RSNA - алгоритми.

До RSNA-алгоритмів відносяться: WPA, що використовує протоколи  TKIP і CCMP; процедура встановлення й термінації RSNA, включаючи використання IEEE 802.1x аутентифікації; процедура обміну ключами.

 До Pre-RSNA-алгоритмів відносяться WEP та аутентифікація Open System з WEP-шифруванням.

Протокол шифрування WEP.  Протокол шифрування, що використовує досить нестійкий алгоритм RC4 на статичному ключі. Існує 64-, 128- 256- і 512-бітне шифрування. Чим більше біт використовується для зберігання ключа, тим більше можливих комбінацій ключів, а відповідно -  більш висока стійкість мережі до злому. Частина WEP-ключа є статичною  - 40 біт у випадку 64-бітного шифрування. Інша частина  - вектор ініціалізації довжиною 24 біта - динамічна, вона змінюється в процесі роботи мережі. Основною уразливістю протоколу WEP є те, що вектори ініціалізації повторюються через деякий проміжок часу, і зловмисникові буде потрібно лише обробити ці повтори й обчислити за ними статичну частину ключа. Для підвищення рівня безпеки допускається додатково до WEP-шифрування використовувати стандарт 802.1x або VPN.

Протокол шифрування WPA. Більш стійкий, ніж протокол шифрування WEP, хоч базується на тому ж алгоритмі RC4. Вищий рівень безпеки досягається за рахунок використання протоколів TKIP і MIC.

TKIP (Temporal Key Integrity Protocol) – протокол динамічних ключів мережі, які досить часто змінюються. При цьому кожному пристрою також привласнюється ключ, що теж змінюється.

MIC (Message Integrity Check) – протокол перевірки цілісності пакетів. Захищає від перехоплення пакетів і їхньої переадресації.

Також можливе використання 802.1x і VPN, як і у випадку із протоколом WEP. Існує два види WPA:

WPA-PSK (Pre-Shared Key) – для генерації ключів мережі й для входу в мережу використовується ключова фраза. Оптимальний варіант для домашньої або невеликої офісної мережі.

WPA-802.1x – вхід у мережу здійснюється через сервер аутентифікації. Оптимально для мережі великої компанії.

Протокол WPA2 – удосконалення протоколу WPA, на відміну від якого використовує більш стійкий алгоритм шифрування AES. За аналогією з WPA, WPA2 також поділяються на два типи: WPA 2-PSK і WPA 2-802.1x.

Стандарт безпеки 802.1X, який містить кілька протоколів:

EAP (Extensible Authentication Protocol) - протокол розширеної аутентифікації, використовується разом з RADIUS – сервером у великих мережах.

TLS (Transport Layer Security) - протокол, що забезпечує цілісність і шифрування переданих даних між сервером і клієнтом, їх взаємну аутентифікацію, запобігаючи перехопленню й підробленню повідомлень.

RADIUS (Remote Authentication Dial-In User Server) - сервер аутентифікації користувачів за логіном  і паролем.

VPN (Virtual Private Network) – віртуальна приватна мережа. Протокол було створено для безпечного підключення клієнтів до мережі через загальнодоступні канали Інтернет. Принцип роботи VPN полягає у створенні так званих „безпечних тунелів” від користувача до вузла доступу або сервера. Хоча VPN розроблялася не для Wi-Fi, її можна використовувати в мережах будь-якого типу. Для шифрування трафіку в VPN найчастіше використовується протокол IPSec. Офіційна статистика випадків злому VPN не приводиться. Протокол можна вважати оптимальним для корпоративних мереж.

До додаткових заходів захисту можна віднести наступне:

Фільтрація за МАСадресою. MAC - адреса - унікальний ідентифікатор мережного адаптера, „убудований” у нього виробником. На деякому встаткуванні можливо задіяти дану функцію й дозволити доступ у мережу необхідним адресам. Це створить додаткову перешкоду зловмисникові, хоча не дуже серйозну – MAC- адресу можна підмінити.

Приховання SSID.  SSID - ідентифікатор бездротової мережі користувача. Більшість устаткувань дозволяє його сховати  під час несанкціонованого сканування мережі. Але якщо зловмисник використовує сучасні засоби сканування, то даний метод не буде  для нього серйозною перешкодою. 

Заборона доступу до настроювань точки доступу або роутера через бездротову мережу. Активація цієї функції приводить до заборони доступу до настроювань точки доступу через Wi-Fi - мережу. На жаль, це також не гарантує високий ступінь захисту від перехоплення трафіку або від проникнення зловмисника в  мережу [3].

Таким чином, способами шифрування, що задовольняють RSNA, є: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personal), WPA 2-EAP (WPA 2-Enterprise), WPA 2-PSK (WPA 2-Preshared Key, WPA 2-Personal). Статистика кількості уразливостей  для WPA і WPA2 відсутня. Як відзначалося вище, різниця між WPA і WPA 2 полягає у використанні в останньому більш криптостійкого алгоритму - AES.

Для роботи алгоритмів WPA-EAP і WPA 2-EAP необхідна наявність у мережі сервера аутентифікації, що при кожному підключенні користувача міг би робити розпізнавання й привласнення йому персонального ключа.

Алгоритми WPA-PSK і WPA 2-PSK не вимагають наявності сервера аутентифікації. Ключ генерується з парольної фрази, прописаної на точці бездротового доступу й клієнтах. Недолік WPA-PSK і WPA 2-PSK:  парольна фраза однакова для всіх клієнтів мережі, при її розголошенні неможливо встановити джерело витоку; недостатня унікальність парольної фрази дозволить здійснити її підбирання шляхом перебору.

Зрозуміло, що використання алгоритмів шифрування залежить і від характеру мережі. Якщо це -  мережа організації, то бажано використовувати алгоритми WPA-EAP і WPA 2-EAP. У випадку домашньої мережі  цілком достатньо алгоритмів WPA-PSK або WPA 2-PSK, оскільки розголошення  парольної фрази малоймовірно, і при невеликій кількості бездротових пристроїв її можна досить часто змінювати. При використанні бездротових пристроїв для зв'язку  між двома організаціями за допомогою двох точок доступу варто віддати перевагу тільки алгоритмам WPA-PSK і WPA 2-PSK. Фахівці в області інформаційної безпеки рекомендують досить часто змінювати на точках доступу парольні фрази або захистити таку мережу шифрованим тунелем, наприклад, за допомогою протоколу IPSec. Із класичних способів забезпечення безпеки доцільним буде винесення бездротової мережі в окрему демілітаризовану зону з установкою туди системи виявлення вторгнень і настроювання на точках доступу фільтрів за MAC-адресами [2].

Висновок Проаналізувавши засоби організації захисту інформаційних ресурсів бездротових мереж, можна запропонувати деякі рекомендації щодо підвищення рівня захищеності даних: активізувати фільтрацію за MAC-адресами; заборонити широкомовне розсилання ідентифікатора мережі (SSID); змінити ідентифікатор мережі (SSID), установлений за замовчуванням, і періодично його обновляти; активізувати функції WEP; періодично змінювати WEP-ключі; виконати відповідні настроювання фільтрації трафіку на комунікаційному встаткуванні й міжмережних екранах; забезпечити резервування встаткування, що входить до складу бездротової мережі; забезпечити резервне копіювання програмного забезпечення й конфігурацій устаткування; здійснювати періодичний моніторинг стану захищеності бездротової мережі за допомогою спеціалізованих засобів аналізу захищеності для бездротових мереж тощо [1].

У наш час існує достатня кількість різних способів захисту інформаційних ресурсів у бездротових мережах, і, за умови правильного настроювання, можна бути впевненим у забезпеченні необхідного рівня їх безпеки.

Література:

1.     http://citforum.ru/security/internet/wireless

2.     http://kszi.com.ua/

3.     http://www.smartdom.com.ua/article/ besprovodnye-seti/

4.     http:// wi-fi.na.by/