ГОСУДАРСТВЕННОЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО
ПРОФЕССИОНАЛЬНОГООБРАЗОВАНИЯ ТЮМЕНСКОЙ ОБЛАСТИ
ТЮМЕНСКИЙГОСУДАРСТВЕННЫЙ ИНСТИТУТ МИРОВОЙ ЭКОНОМИКИ, УПРАВЛЕНИЯ И ПРАВА
ФАКУЛЬТЕТ УПРАВЛЕНИЯ
КАФЕДРА МАТЕМАТИКИ И ЕСТЕСТВЕННЫХ НАУК
Курсовая работа
на тему: Wi-Fi — технология беспроводной связи
Выполнили:
Студент 4 курса, гр.411 Гагарин М.А., Студент 4 курса, гр.411 Скачков А.В.
Проверил: Захаров А.А.
Тюмень-2005
Содержание:
Введение.................................................................................................................................3
Глава 1.
1.1. Архитектура, компоненты сети истандарты ...................................................5
1.2. Организация сети ..............................................................................................10
1.2.1. Физический уровень IEEE802.11....................................................................11
1.2.2. Канальный уровень IEEE 802.11.....................................................................13
1.3. Типы и разновидностисоединений ..................................................................15
1.4. Безопасность Wi-Fiсетей..................................................................................17
Глава 2.
2.1 Соединение по Wi-Fiтехнологии в домашних условиях..............................22
Заключение .........................................................................................................................31
Список используемой литературы..................................................................................33
Введение.
Во всем мирестремительно растет потребность в беспроводных соединениях, особенно в сферебизнеса. Пользователи с беспроводным доступом к информации — всегда и вездемогут работать гораздо более производительно и эффективно, чем их коллеги,привязанные к проводным телефонным и компьютерным сетям.
Обычно беспроводныесетевые технологии группируются в три типа, различающиеся по масштабу действияих радиосистем, но все они с успехом применяются в бизнесе.
PAN (персональныесети) — короткодействующие, радиусом до 10 м сети, которые связывают ПК и другиеустройства — КПК, мобильные телефоны, принтеры и т. п. С помощью таких сетейреализуется простая синхронизация данных, устраняются проблемы с обилиемкабелей в офисах, реализуется простой обмен информацией в небольших рабочихгруппах. Наиболее перспективный стандарт для PAN — это Bluetooth.
WLAN (беспроводныелокальные сети) — радиус действия до 100 м. С их помощью реализуется беспроводнойдоступ к групповым ресурсам в здании, университетском кампусе и т. п. Обычнотакие сети используются для продолжения проводных корпоративных локальныхсетей. В небольших компаниях WLAN могут полностью заменить проводныесоединения. Основной стандарт для WLAN — 802.11.
WWAN (беспроводныесети широкого действия) — беспроводная связь, которая обеспечивает мобильнымпользователям доступ к их корпоративным сетям и Интернету. Пока здесь нетдоминирующего стандарта, но наиболее активно внедряется технология GPRS —быстрее всего в Европе и с некоторым отставанием в США.
На современном этаперазвития сетевых технологий, технология беспроводных сетей Wi-Fiявляется наиболее удобной в условияхтребующих мобильность, простоту установки и использования. Wi-Fi (от англ.wireless fidelity — беспроводная связь) — стандарт широкополосной беспроводнойсвязи семейства 802.11разработанный в 1997г. Какправило, технология Wi-Fi используется для организации беспроводных локальныхкомпьютерных сетей, а также создания так называемых горячих точеквысокоскоростного доступа в Интернет.
Цельданной работы заключается в изучении рынка Wi-Fiтехнологий, а так же изучение безопасности функционирования сетей на основепротокола 802.11 и его аналогов.
Задачикурсовой работы заключается в изучении инахождении решения проблем безопасности Wi-Fiтехнологий и практическомприменении полученных в результате исследования знаний в домашних икорпоративных беспроводных сетях.
БеспроводныеЛВС — самый динамичный сектор коммуникационных технологий.
Глава1.
1.1Архитектура, компоненты сети и стандарты
Стандарт RadioEthernetIEEE 802.11 — это стандарт организации беспроводных коммуникаций наограниченной территории в режиме локальной сети, т.е. когда несколько абонентовимеют равноправный доступ к общему каналу передач. 802.11 — первый промышленныйстандарт для беспроводных локальных сетей (Wireless Local Area Networks ), илиWLAN. Стандарт был разработан Institute of Electrical and Electronics Engineers(IEEE), 802.11 может быть сравнен со стандартом 802.3 для обычных проводныхEthernet сетей.
Стандарт RadioEthernetIEEE 802.11 определяет порядок организации беспроводных сетей на уровнеуправления доступом к среде (MAC-уровне) и физическом (PHY) уровне. В стандартеопределен один вариант MAC (Medium Access Control) уровня и три типа физическихканалов.
Подобно проводномуEthernet, IEEE 802.11 определяет протокол использования единой среды передачи,получивший название carrier sense multiple access collision avoidance(CSMA/CA). Вероятность коллизий беспроводных узлов минимизируется путемпредварительной посылки короткого сообщения, называемого ready to send (RTS),оно информирует другие узлы о продолжительности предстоящей передачи иадресате. Это позволяет другим узлам задержать передачу на время, равноеобъявленной длительности сообщения. Приемная станция должна ответить на RTSпосылкой clear to send (CTS). Это позволяет передающему узлу узнать, свободнали среда и готов ли приемный узел к приему. После получения пакета данныхприемный узел должен передать подтверждение (ACK) факта безошибочного приема.Если ACK не получено, попытка передачи пакета данных будет повторена.
В стандартепредусмотрено обеспечение безопасности данных, которое включает аутентификациюдля проверки того, что узел, входящий в сеть, авторизован в ней, а такжешифрование для защиты от подслушивания.
На физическом уровнестандарт предусматривает два типа радиоканалов и один инфракрасного диапазона.
Воснову стандарта 802.11 положена сотовая архитектура. Сеть может состоять изодной или нескольких ячеек (сот). Каждая сотауправляется базовой станцией, называемой точкой доступа (AccessPoint, AP). Точка доступа и находящиеся в пределахрадиуса ее действия рабочие станции образуют базовую зону обслуживания (Basic Service Set,BSS). Точки доступа многосотовой сети взаимодействуютмежду собой через распределительную систему (DistributionSystem, DS), представляющую собой эквивалентмагистрального сегмента кабельных ЛС. Всяинфраструктура, включающая точки доступа и распределительную систему, образуетрасширенную зону обслуживания (Extended Service Set). Стандартомпредусмотрен также односотовый вариант беспроводнойсети, который может быть реализован и без точки доступа, при этом часть еефункций выполняется непосредственно рабочими станциями.
В настоящее время существуетмножество стандартов семейства IEEE 802.11:
1.
2.
3.
4. c — Стандарт, регламентирующий работу беспроводных мостов. Данная спецификацияиспользуется производителями беспроводных устройств при разработке точекдоступа.
5. d — Стандарт определял требования к физическим параметрам каналов (мощностьизлучения и диапазоны частот) и устройств беспроводных сетей с цельюобеспечения их соответствия законодательным нормам различных стран.
6.
7. 802.11f- Данный стандарт, связанный с аутентификацией, определяет механизмвзаимодействия точек связи между собой при перемещении клиента между сегментамисети. Другое название стандарта — Inter Access Point Protocol. Стандарт,описывающий порядок связи между равнозначными точками доступа.
8.
9.
10.
11. j — Спецификацияпредназначена для Японии и расширяет стандарт 802.11а добавочным каналом 4,9ГГц.
12. 802.11n — Перспективный стандарт, находящийся на сегодняшний день вразработке, который позволит поднять пропускную способность сетей до 100Мбит/сек.
13. 802.11r — Данный стандарт предусматривает создание универсальной исовместимой системы роуминга для возможности перехода пользователя из зоныдействия одной сети в зону действия другой.
Из всех существующихстандартов беспроводной передачи данныхIEEE 802.11, на практике наиболее часто используются всеготри, определенных Инженерным институтом электротехники ирадиоэлектроники (IEEE), это: 802.11b, 802.11g и 802.11a.
Сравнение стандартовбеспроводной передачи данных:
Стандарт
802.11b
802.11g
802.11a
Количество используемых радиоканалов
3 не перекрывающихся
3 не перекрывающихся
8 не перекрывающихся
Частотный диапазон
2.4 ГГц
2.4 ГГц
5 ГГц
Макс. скорость передачи данных
11 Мб/с
54 Мб/с
54 Мб/с
Примерная дальность действия
30 мпри 11 Мб/с
100 м при 1 Мб/с
15 мпри 54 Мб/с
50 м при 11 Мб/с
12 мпри 54 Мб/с
100 м при 6 Мб/с
802.11b.В окончательной редакции широко распространенныйстандарт 802.11b был принят в 1999 г. и благодаря ориентации на свободный от лицензированиядиапазон 2,4 ГГц завоевал наибольшую популярность у производителейоборудования. Пропускная способность (теоретическая 11 Мбит/с, реальная — от 1до 6 Мбит/с) отвечает требованиям большинства приложений. Посколькуоборудование 802.11b, работающее на максимальной скорости 11 Мбит/с, имеетменьший радиус действия, чем на более низких скоростях, то стандартом 802.11bпредусмотрено автоматическое понижение скорости при ухудшении качества сигнала.
К началу 2004 года в эксплуатации находилось около 15 млн. радиоустройств802.11b.
Вконце 2001-го появился — стандарт беспроводных локальных сетей 802.11a, функционирующих в частотномдиапазоне 5 ГГц (диапазон ISM). Беспроводные ЛВС стандарта IEEE 802.11a обеспечиваютскорость передачи данных до 54 Мбит/с, т. е. примерно в пять раз быстрее сетей802.11b, и позволяют передавать большие объемы данных, чем сети IEEE 802.11b.
Кнедостаткам 802.11а относятся большая потребляемая мощность радиопередатчиковдля частот 5 ГГц, а также меньший радиус действия (оборудование для 2,4 ГГцможет работать на расстоянии до 300 м, а для 5 ГГц — около 100 м). Кроме того,устройства для 802.11а дороже, но со временем ценовой разрыв между продуктами802.11b и 802.11a будет уменьшаться.
802.11g является новым стандартом, регламентирующим методпостроения WLAN, функционирующих в нелицензируемом частотном диапазоне 2,4 ГГц.Максимальная скорость передачи данных в беспроводных сетях IEEE 802.11gсоставляет 54 Мбит/с. Стандарт 802.11g представляет собой развитие 802.11b иобратно совместим с 802.11b. Соответственно ноутбук с картой 802.11g сможетподключаться и к уже действующим точкам доступа 802.11b, и ко вновь создаваемым802.11g. Теоретически 802.11g обладает достоинствами двух своих предшественников.В числе преимуществ 802.11g надо отметить низкую потребляемую мощность, большуюдальность действия и высокую проникающую способность сигнала. Можно надеяться ина разумную стоимость оборудования, поскольку низкочастотные устройства проще визготовлении.
1.2. Организация сети
Стандарт IEEE 802.11работает на двух нижних уровнях модели ISO/OSI: физическом и канальном. Другимисловами, использовать оборудование Wi-Fi так же просто, как и Ethernet:протокол TCP/IP накладывается поверх протокола, описывающего передачуинформации по каналу связи. Расширение IEEE 802.11b не затрагивает канальныйуровень и вносит изменения в IEEE 802.11 только на физическом уровне.
В беспроводнойлокальной сети есть два типа оборудования: клиент (обычно это компьютер,укомплектованный беспроводной сетевой картой, но может быть и иное устройство)и точка доступа, которая выполняет роль моста между беспроводной и проводнойсетями. Точка доступа содержит приемопередатчик, интерфейс проводной сети, атакже встроенный микрокомпьютер и программное обеспечение для обработки данных.
1.2.1. Физический уровень IEEE 802.11
Стандарт IEEE 802.11предусматривает передачу сигнала одним из двух методов — прямойпоследовательности (Direct Sequence Spread Spectrum, DSSS) и частотных скачков(Frequency Hopping Spread Spectrum, FHSS) различающиесяспособом модуляции, но использующие одну и ту же технологию расширения спектра.Основной принцип технологии расширения спектра (Spread Spectrum, SS) заключаетсяв том, чтобы от узкополосного спектра сигнала, возникающего при обычномпотенциальном кодировании, перейти к широкополосному спектру, что позволяетзначительно повысить помехоустойчивость передаваемых данных
Метод FHSS предусматривает изменение несущей частоты сигнала при передачеинформации. Для повышения помехоустойчивости нужно увеличить спектрпередаваемого сигнала, для чего несущая частота меняется по псевдослучайномузакону, и каждый пакет данных передается на своей несущей частоте. При использованииFHSS конструкция приемопередатчика получается очень простой, но этот методприменим, только если пропускная способность не превышает 2 Мбит/с, так что вдополнении IEEE 802.11b остался один DSSS. Из этого следует, что совместно сустройствами IEEE 802.11b может применяться только то оборудование стандартаIEEE 802.11, которое поддерживает DSSS, при этом скорость передачи не превыситмаксимальной скорости в «узком месте» (2 Мбит/с), коим являетсяоборудование, использующее старый стандарт без расширения.
В основе метода DSSS лежит принцип фазовой манипуляции (т.е. передачиинформации скачкообразным изменением начальной фазы сигнала). Для расширенияспектра передаваемого сигнала применяется преобразование передаваемойинформации в так называемый код Баркера, являющийся псевдослучайнойпоследовательностью. На каждый передаваемый бит приходится 11 бит впоследовательности Баркера. Различают прямую и инверсную последовательностиБаркера. Из-за большой избыточности при кодировании вероятность того, чтодействие помехи превратит прямую последовательность Баркера в инверсную, близкак нулю. Единичные биты передаются прямым кодом Баркера, а нулевые — инверсным.
Под беспроводные компьютерные сети в диапазоне 2,4 ГГц отведен довольно узкий«коридор» шириной 83 МГц, разделенный на 14 каналов. Для исключениявзаимных помех между каналами необходимо, чтобы их полосы отстояли друг отдруга на 25 МГц. Несложный подсчет показывает, что в одной зоне одновременномогут использоваться только три канала. В таких условиях невозможно решитьпроблему отстройки от помех автоматическим изменением частоты, вот почему вбеспроводных локальных сетях используется кодирование с высокой избыточностью.В ситуации, когда и эта мера не позволяет обеспечить заданную достоверность передачи,скорость с максимального значения 11 Мбит/с последовательно снижается до одногоиз следующих фиксированных значений: 5,5; 2; 1 Мбит/с. Снижение скоростипроисходит не только при высоком уровне помех, но и если расстояние междуэлементами беспроводной сети достаточно велико.
1.2.2. Канальный уровень IEEE 802.11
Подобно проводной сетиEthernet, в беспроводных компьютерных сетях Wi-Fi канальный уровень включает всебя подуровни управления логическим соединением (Logical Link Control, LLC) иуправления доступом к среде передачи (Media Access Control, MAC). У Ethernet иIEEE 802.11 один и тот же LLC, что значительно упрощает объединение проводных ибеспроводных сетей. MAC у обоих стандартов имеет много общего, однако естьнекоторые тонкие различия, принципиальные для сравнения проводных ибеспроводных сетей.
В Ethernet дляобеспечения возможности множественного доступа к общей среде передачи (в данномслучае кабелю) используется протокол CSMA/CD, обеспечивающий выявление иобработку коллизий (в терминологии компьютерных сетей так называются ситуации,когда несколько устройств пытаются начать передачу одновременно).
В сетях IEEE 802.11используется полудуплексный режим передачи, т.е. в каждый момент временистанция может либо принимать, либо передавать информацию, поэтому обнаружитьколлизию в процессе передачи невозможно. Для IEEE 802.11 был разработанмодифицированный вариант протокола CSMA/CD, получивший название CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance). Работает он следующимобразом. Станция, которая собирается передавать информацию, сначала«слушает эфир». Если не обнаружено активности на рабочей частоте,станция сначала ожидает в течение некоторого случайного промежутка времени,потом снова «слушает эфир» и, если среда передачи данных все ещесвободна, осуществляет передачу. Наличие случайной задержки необходимо длятого, чтобы сеть не зависла, если несколько станций одновременно захотятполучить доступ к частоте. Если информационный пакет приходит без искажений,принимающая станция посылает обратно подтверждение. Целостность пакетапроверяется методом контрольной суммы. Получив подтверждение, передающаястанция считает процесс передачи данного информационного пакета завершенным.Если подтверждение не получено, станция считает, что произошла коллизия, ипакет передается снова через случайный промежуток времени.
Еще одна специфичнаядля беспроводных сетей проблема — две клиентские станции имеют плохую связьдруг с другом, но при этом качество связи каждой из них с точкой доступахорошее. В таком случае передающая клиентская станция может послать на точкудоступа запрос на очистку эфира. Тогда по команде с точки доступа другиеклиентские станции прекращают передачу на время «общения» двух точекс плохой связью. Режим принудительной очистки эфира (протокол Request toSend/Clear to Send — RTS/CTS) реализован далеко не во всех моделях оборудованияIEEE 802.11 и, если он есть, то включается лишь в крайних случаях.
В Ethernet при передаче потоковых данных используется управление доступом кканалу связи, распределенное между всеми станциями. Напротив, в IEEE 802.11 втаких случаях применяется централизованное управление с точки доступа.Клиентские станции последовательно опрашиваются на предмет передачи потоковых данных.Если какая-нибудь из станций сообщает, что она будет передавать потоковыеданные, точка доступа выделяет ей промежуток времени, в который из всех станцийсети будет передавать только она.
Следует отметить, чтопринудительная очистка эфира снижает эффективность работы беспроводной сети,поскольку связана с передачей дополнительной служебной информации икратковременными перерывами связи. Кроме этого, в проводных сетях Ethernet принеобходимости можно реализовать не только полудуплексный, но и дуплексныйвариант передачи, когда коллизия обнаруживается в процессе передачи (этоповышает реальную пропускную способность сети). Поэтому, увы, при прочих равныхусловиях реальная пропускная способность беспроводной сети IEEE 802.11b будетниже, чем у проводного Ethernet. Таким образом, если сетям Ethernet 10 Мбит/с иIEEE 802.11b (максимальная скорость передачи информации 11 Мбит/с) с одинаковымчислом пользователей давать одинаковую нагрузку, постепенно увеличивая ее, то,начиная с некоторого порога, сеть IEEE 802.11b начнет «тормозить», аEthernet все еще будет функционировать нормально.
Поскольку клиентскиестанции могут быть мобильными устройствами с автономным питанием, в стандартеIEEE 802.11 большое внимание уделено вопросам управления питанием. В частности,предусмотрен режим, когда клиентская станция через определенные промежуткивремени «просыпается», чтобы принять сигнал включения, который,возможно, передает точка доступа. Если этот сигнал принят, клиентскоеустройство включается, в противном случае оно снова «засыпает» доследующего цикла приема информации.
1.3.Типы и разновидности соединений
1.Соединение Ad-Hoc (точка-точка).
Все компьютерыоснащены беспроводными картами (клиентами) и соединяются напрямую друг с другомпо радиоканалу работающему по стандарту 802.11b и обеспечивающих скоростьобмена 11 Mбит/с, чего вполне достаточно для нормальной работы.
2.Инфраструктурное соединение.
Все компьютерыоснащены беспроводными картами и подключаются к точке доступа. Которая, в свою очередь,имеет возможность подключения к проводной сети.
Данная модель используется когданеобходимо соединить больше двух компьютеров. Сервер с точкой доступа можетвыполнять роль роутера и самостоятельно распределять интернет-канал.
3. Точка доступа, с использованием роутера и модема.
Точка доступавключается в роутер, роутер — в модем (эти устройства могут быть объединены вдва или даже в одно). Теперь на каждом компьютере в зоне действия Wi-Fi, в котором есть адаптер Wi-Fi, будет работать интернет.
4. Клиентская точка.
В этом режиме точкадоступа работает как клиент и может соединятся с точкой доступа работающей винфраструктурном режиме. Но к ней можно подключить только один МАС-адрес. Здесьзадача состоит в том, чтобы объединить только два компьютера. Два Wi-Fi-адаптера могут работать друг с другом напрямую без центральныхантенн.
5. Соединение мост.
Компьютеры объединены в проводную сеть. К каждой группесетей подключены точки доступа, которыесоединяются друг с другом по радио каналу. Этот режим предназначен дляобъединения двух и более проводных сетей. Подключение беспроводных клиентов к точкедоступа, работающей в режиме моста невозможно.
6. Репитер.
Точка доступа просто расширяет радиус действия другой точки доступа, работающейв инфраструктурном режиме.
1.4. Безопасность Wi-Fi сетей
Как и любая компьютернаясеть, Wi-Fi – является источником повышенного риска несанкционированного доступа.Кроме того, проникнуть в беспроводнуюсеть значительно проще, чем в обычную, — не нужно подключаться к проводам, достаточнооказаться в зоне приема сигнала.
Беспроводные сетиотличаются от кабельных только на первых двух — физическом (Phy) и отчастиканальном (MAC) — уровнях семиуровневой модели взаимодействия открытых систем.Более высокие уровни реализуются как в проводных сетях, а реальная безопасностьсетей обеспечивается именно на этих уровнях. Поэтому разница в безопасности техи других сетей сводится к разнице в безопасности физического и MAC-уровней.
Хотя сегодня в защитеWi-Fi-сетей применяются сложные алгоритмические математические моделиаутентификации, шифрования данных и контроля целостности их передачи, тем неменее, вероятность доступа к информации посторонних лиц является весьмасущественной. И если настройке сети не уделить должного внимания злоумышленникможет:
·
·
·
·
·
·
·
Для защитысетей 802.11 предусмотрен комплекс мер безопасности передачи данных.
На раннем этапе использования Wi-Fi сетейтаковым являлся пароль SSID (Server Set ID) для доступа в локальную сеть, но современем оказалось, что данная технология не может обеспечить надежную защиту.
Главной жезащитой долгое время являлось использование цифровых ключей шифрования потоковданных с помощью функции Wired Equivalent Privacy (WEP). Сами ключипредставляют из себя обыкновенные пароли с длиной от 5 до 13 символов ASCII.Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ,а только его статическая составляющая. Для усиления защиты применяется такназываемый вектор инициализации Initialization Vector (IV), которыйпредназначен для рандомизации дополнительной части ключа, что обеспечиваетразличные вариации шифра для разных пакетов данных. Данный вектор является24-битным. Таким образом, в результате мы получаем общее шифрование сразрядностью от 64 (40+24)до 128 (104+24) бит, в результате при шифровании мы оперируем и постоянными, ислучайно подобранными символами.
Но, как оказалось, взломать такую защиту можно соответствующие утилитыприсутствуют в Интернете (например, AirSnort, WEPcrack). Основное её слабоеместо — это вектор инициализации. Поскольку мы говорим о 24 битах, этоподразумевает около 16 миллионов комбинаций, после использования этогоколичества, ключ начинает повторяться. Хакеру необходимо найти эти повторы (от15 минут до часа для ключа 40 бит) и за секунды взломать остальную часть ключа.После этого он может входить в сеть как обычный зарегистрированный пользователь.
Как показаловремя, WEP тоже оказалась не самой надёжной технологией защиты. После 2001 годадля проводных и беспроводных сетей был внедрён новый стандарт IEEE 802.1X,который использует вариант динамических 128-разрядных ключей шифрования, тоесть периодически изменяющихся во времени. Таким образом, пользователи сетиработают сеансами, по завершении которых им присылается новый ключ. Например,Windows XP поддерживает данный стандарт, и по умолчанию время одного сеансаравно 30 минутам. IEEE 802.1X — это новый стандарт, который оказался ключевымдля развития индустрии беспроводных сетей в целом. За основу взято исправлениенедостатков технологий безопасности, применяемых в 802.11, в частности,возможность взлома WEP, зависимость от технологий производителя и т. п. 802.1Xпозволяет подключать в сеть даже PDA-устройства, что позволяет более выгодноиспользовать саму идею беспроводной связи. С другой стороны, 802.1X и 802.11являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что ив WEP, а именно — RC4, но с некоторыми отличиями. 802.1X базируется напротоколе расширенной аутентификации (EAP), протоколе защиты транспортногоуровня (TLS) и сервере доступа Remote Access Dial-in User Server. Протоколзащиты транспортного уровня TLS обеспечивает взаимную аутентификацию ицелостность передачи данных. Все ключи являются 128-разрядными по умолчанию.
В конце 2003 года былвнедрён стандарт Wi-Fi Protected Access (WPA), который совмещает преимуществадинамического обновления ключей IEEE 802.1X с кодированием протокола интеграциивременного ключа TKIP, протоколом расширенной аутентификации (EAP) итехнологией проверки целостности сообщений MIC. WPA — это временный стандарт, о котором договорилисьпроизводители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA =802.1X + EAP + TKIP + MIC, где:
· WPA — технология защищённого доступа к беспроводным сетям
· EAP — протоколрасширеннойаутентификации(ExtensibleAuthentication Protocol)
· TKIP — протокол интеграции временного ключа (TemporalKey Integrity Protocol)
· MIC — технология проверки целостности сообщений (MessageIntegrity Check).
Стандарт TKIP используетавтоматически подобранные 128-битные ключи, которые создаются непредсказуемымспособом и общее число вариаций которых достигает 500 миллиардов. Сложнаяиерархическая система алгоритма подбора ключей и динамическая их замена черезкаждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимальнозащищённой.
От внешнего проникновения и изменения информации также обороняет технологияпроверки целостности сообщений (Message Integrity Check). Достаточно сложныйматематический алгоритм позволяет сверять отправленные в одной точке иполученные в другой данные. Если замечены изменения и результат сравнения несходится, такие данные считаются ложными и выбрасываются.
Правда, TKIP сейчас не является лучшим в реализации шифрования, поскольку всилу вступают новые алгоритмы, основанные на технологии Advanced EncryptionStandard (AES), которая, уже давно используется в VPN. Что касается WPA,поддержка AES уже реализована в Windows XP, пока только опционально.
Помимо этого,параллельно развивается множество самостоятельных стандартов безопасности отразличных разработчиков, в частности, в данном направлении преуспевают Intel иCisco. В 2004 году появляется WPA2, или 802.11i, который, в настоящее времяявляется максимально защищённым.
Таким образом, насегодняшний день у обычных пользователей и администраторов сетей имеются всенеобходимые средства для надёжной защиты Wi-Fi, и при отсутствии явных ошибок(пресловутый человеческий фактор) всегда можно обеспечить уровень безопасности,соответствующий ценности информации, находящейся в такой сети.
Сегодня беспроводнуюсеть считают защищенной, если в ней функционируют три основных составляющихсистемы безопасности: аутентификация пользователя, конфиденциальность ицелостность передачи данных. Для получения достаточного уровня безопасностинеобходимо воспользоваться рядом правилпри организации и настройке частной Wi-Fi-сети:
· Шифровать данные путем использованияразличных систем. Максимальный уровень безопасности обеспечит применение VPN;
· использовать протокол 802.1X;
· запретить доступ к настройкамточки доступа с помощью беспроводного подключения;
· управлять доступом клиентов по MAC-адресам;
· запретить трансляцию в эфир идентификатораSSID;
· располагать антенны как можнодальше от окон, внешних стен здания, а также ограничивать мощность радиоизлучения;
· использовать максимально длинные ключи;
· изменять статические ключи и пароли;
· использовать методWEP-аутентификации “Shared Key" таккак клиенту для входа в сеть необходимо будет знать WEP-ключ;
· пользоваться сложным паролем для доступа кнастройкам точки доступа;
· по возможности не использоватьв беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеровобщего доступа. Организация разделяемых ресурсов средствами NetBEUI в данномслучае безопаснее;
·не разрешать гостевой доступ к ресурсам общего доступа, использоватьдлинные сложные пароли;
· не использовать в беспроводнойсети DHCP. Вручную распределить статические IP-адреса между легитимнымиклиентами безопаснее;
· на всех ПК внутрибеспроводной сети установить файерволлы, не устанавливать точку доступа внебрандмауэра, использовать минимум протоколов внутри WLAN (например, только HTTPи SMTP);
· регулярно исследовать уязвимости сети спомощью специализированных сканеров безопасности (например NetStumbler)
· использоватьспециализированные сетевые операционные системы такие как, WindowsNt, Windows2003, WindowsXp.
Так же угрозу сетевойбезопасности могут представлять природные явления и технические устройства,однако только люди (недовольные уволенные служащие, хакеры, конкуренты)внедряются в сеть для намеренного получения или уничтожения информации и именноони представляют наибольшую угрозу.
Глава 2.
2.1. Соединение по