Wi-_Fi_diplom (мой) (1207884), страница 2
Текст из файла (страница 2)
802.11ad Cтандарт будет работать в спектре 60 ГГц, который не лицензируется в большинстве стран. Здесь доступно значительно больше свободной полосы, чем в перегруженном 2.4 ГГц и уже загружаемом спектре 5ГГц.
В части услуг данный стандарт сфокусирован на поддержке видео высокого разрешения (HD). Также здесь ожидается возникновение услуг типа «wireless docking», когда все устройства компьютер, монитор, проектор и т.д. имеют беспроводный обмен данными. Используемая сверхвысокая частота приводит к тому, что сигналы довольно узконаправленные. Также возникает много проблем из-за интенсивного поглощения сигналов при прохождении сквозь препятствия, поэтому основной ожидаемый сценарий использования — это взаимодействие устройств в пределах комнаты.
Ожидается, что 802.11ad должен быть совместим со стандартом WiGig.
Технологии, объединенные под торговой маркой WiMAX, направлены на реализацию широкополосного беспроводного доступа на значительных расстояниях. Коммерческим продвижением технологии занимается организация WiMAX Forum.
Согласно спецификации стандарта 802.16, максимальное расстояние, на котором возможно взаимодействие по сетям WiMAX, составляет 50 км, а суммарная пропускная способность - 70 Мбит/с.
В условиях реальной эксплуатации эти показатели гораздо скромнее и составляют около 8 км и 2 Мбит/с. Такие характеристики делают протокол WiMAX очень привлекательным для замены традиционных технологий по предоставлению «последней мили» при доступе к сети Internet и телефонии. Провайдеры разветвленной городской беспроводной сети могут предоставлять «выделенные» беспроводные каналы для организации виртуальных частных сетей между офисами компаний. Преимущества очевидны: большая, чем при использовании технологии SL, пропускная способность, отсутствие необходимости прокладки кабелей.
В ближайшее время намечается широкое внедрение устройств стандарта 802.16е. Это мобильный вариант протокола WiMAX, рассчитанный на использование в качестве конечных терминалов таких устройств, как компьютеры, КПК, мобильные телефоны и т.д.
Разработанный при содействии правительства стандарт WiBRO выполняет те же функции, что и стандарт 802.16е, и совместим с ним.В первоначальном варианте протокола WiMAX, описанного в стандарте 802.16с использовались частоты в диапазоне 10...66 ГГц.Этому диапазону присущи некоторые ограничения, связанные с лицензированием. Кроме того, его нельзя применять в условиях наличия препятствий между приемником и передатчиком.
Стандарт 802.16а, описывающий использование диапазона 2... 11 ГГц вышел в 2004 г. Поскольку логика работы WiMAX предполагает применение схемы точка-многоточка с фиксированной пропускной способностью канала для каждого из абонентов, на канальном уровне используется механизм множественного доступа к несущей с разделением повремени (TimeDivisionMultipleAccess, TDMA). Этот метод широко используется в сотовых сетях (например, GSM) и позволяет реализовать гарантированное качество обслуживания.
Стандарт 802.16 предполагает шифрование трафика с использованием алгоритма DES. Мобильный вариант WiMAC (802.16е) расширяет возможности по защите информации, добавляя аутентификацию станций по протоколу ЕАР, управление ключами с использованием протокола PrivacyandKeyManagementProtocolVersion 2 (PKMv2) ишифрование AES. При использовании стандарта 802.16 для передачи корпоративных данных рекомендуется усилить встроенные механизмы защиты спомощью технологий построения виртуальных частных сетей.
При проектировании и развертывании сетей нужно помнить о том, что частотный диапазон выделенный для Wi-Fi весьма тесен, поэтому нужно стараться не использовать антенн с коэффициентом усиления больше чем необходимо, а также принять меры для недопущения помех соседними сетям.
Популярность беспроводных локальных сетей уже прошла стадию взрывного роста и дошла до состояния «привычной всем» технологии. Домашние точки доступа и мини-роутеры Wi-Fi недороги и широкодоступны, хот-споты встречаются достаточно часто, ноутбук без Wi-Fi – анахронизм. Как и множество других инновационных технологий, использование беспроводных сетей влечет не только новые выгоды, но и новые риски. Бум Wi-Fi породил целое новое поколение хакеров, специализирующихся на изобретении всё новых и новых способов взлома беспроводной сети и атаки пользователей и корпоративной инфраструктуры. Ещё с 2004 года Gartner предупреждали, что безопасность WLAN будет одной из основных проблем – и прогноз оправдывается.
Беспроводная связь и мобильность, которую она дает, интересны и выгодны многим. Однако, до тех пор, пока вопрос беспроводной безопасности остается не до конца ясным, мнения разнятся кардинально: некоторые (например, операторы складов) уже сейчас не боятся завязывать на Wi-Fi свои ключевые бизнес-процессы, другие – наоборот баррикадируются и запрещают использование беспроводных элементов в своих сетях.
Традиционные проводные сети используют кабель для передачи информации. Кабель считается «контролируемой» средой, защищенной зданиями и помещениями, в которых он находится. Внешний «чужой» трафик, который входит в защищенный сегмент сети, фильтруется межсетевым экраном и анализируется системами IDS/IPS. Для того чтобы получить доступ к такому сегменту проводной сети, злоумышленнику необходимо преодолеть либо систему физической безопасности здания, либо межсетевой экран.
Беспроводные же сети используют радиоволны. Эфир – среда с общим доступом и практически полным отсутствием контроля. Обеспечить эквивалент физической безопасности проводных сетей здесь просто невозможно. Как только пользователь подключает к проводной сети точку доступа, её сигнал может проходить сквозь стены, межэтажные перекрытия, окна здания. Таким образом, подключенный сегмент сети становится доступным с другого этажа или даже из соседнего здания, парковки или другого конца улицы – радиосигнал может распространяться на сотни метров за пределы здания. Единственной физической границей беспроводной сети является уровень этого самого сигнала. Поэтому, в отличие от проводных сетей, где точка подключения пользователя к сети хорошо определена и известна – это розетка в стене – в беспроводных сетях подключиться к сети можно откуда угодно, лишь бы сигнал был достаточной силы.Также, эфир – среда с общим доступом. Все беспроводные устройства включены в один гигантский «хаб» (концентратор) – и любое беспроводное устройство может «видеть» всех беспроводных соседей в сети. При этом приемник, работающий в пассивном режиме (только прослушивание), вообще невозможно определить.
Рисунок 1.1 Периметр беспроводной сети не ограничен периметром здания.
Благодаря усилиям поставщиков потребительского Wi-Fi оборудования, развернуть беспроводную сеть сейчас может даже самый неподготовленный пользователь. Комплект из недорогой точки доступа и беспроводного адаптера обойдется в $50-80. При этом большинство устройств поставляется уже настроенными по умолчанию, что позволяет сразу начинать с ними работу – даже не заглядывая в конфигурацию. Именно в такую сумму может обойтись умышленный или неумышленный взлом Вашей сети со стороны собственных же сотрудников, установивших без согласования собственную точку доступа и не позаботившихся об обеспечении надлежащей её безопасности.
Еще большей проблемой является то, что беспроводные пользователи по определению мобильны. Пользователи могут появляться и исчезать, менять свое местоположение, и не привязаны к фиксированным точкам входа, как в случае с проводными сетями – они могут находиться где угодно в зоне покрытия! Всё это значительно осложняет задачу «удержания непрошеных гостей за порогом» и отслеживания источников беспроводных атак.
Кроме того, такая важная составляющая мобильности, как роуминг, является еще одной проблемой обеспечения беспроводной безопасности. На этот раз – пользователей. В отличие от проводных сетей, где пользователь «привязан» кабелем к определенной розетке и порту коммутатора доступа – в беспроводных сетях пользователь не привязан ни к чему. С помощью специального ПО достаточно несложно «пересадить» его с авторизованной точки доступа на неавторизованную или даже на ноутбук злоумышленника, работающий в режиме Soft AP (программно реализованной точки доступа), открывая возможность для целого ряда атак на ничего не подозревающего пользователя.
Поскольку радиосигналы имеют широковещательную природу, не ограничены стенами зданий и доступны всем приемникам, местоположение которых сложно или вообще невозможно зафиксировать – злоумышленникам особенно легко и удобно атаковать беспроводные сети. Поэтому, формально, даже катающийся сейчас во дворе на велосипеде подросток со смартфоном в кармане может заниматься радиоразведкой вашей сети – чисто из юношеского любопытства. Огромное разнообразие готового инструментария анализа протоколов и уязвимостей, доступного в Интернете, точно также поможет ему чисто из любопытства найти точку доступа, которую какой-то из сотрудников недавно принес на работу и не удосужился переконфигурировать с настроек по умолчанию, чисто из любопытства в инструкции найдется ключ доступа к сети.
1.2 Основные беспроводные риски и способы защиты
Существует несколько видов атак на беспроводные сети Wi-Fi с целью получения доступа к данным:
- Внутренние опасности.
- Внешние опасности.
Внешние атаки выполняются без участия внутренних сотрудников. К основным характеристикам внешних атак можно отнести использование сканирования системы и сбор информации.
Внешние атаки можно разделить на структурированные атаки и неструктурированные атаки:
Внешние структурированные атаки: Структурированные атаки обычно инициируются из некой сети и имеют продуманные заранее цели, на которые планируется оказывать влияние для разрушения, повреждения и т.п. Атакующие в данном случае обычно имеют обширные знания в дизайне сетей, обходе систем безопасности, включая обход IDS (Intrusion Detection Systems), и имеют продвинутый инструментарий для взлома. В их арсенале необходимые знания для разработки новых техник сетевых атак и возможность модификации существующего хакерского инструментария под свои задачи. В некоторых случаях внутренний персонал компании с правами доступа может помогать атакующим.
Внешние неструктурированные атаки: Такие атаки инициируются обычно неопытными хакерами, любителями. При таком подходе атакующий использует простой инструментарий хакерского взлома или скрипты, доступные в Интернете, для выполнения сетевой атаки. Уровень знаний атакующего обычно низок для создания серьезной опасности. Нередко это просто скучающие молодые люди, ищущие славы путем взлома корпоративного веб-сайта или другой известной цели в Интернете.
Внешние удаленные атаки: Такие атаки обычно нацелены на услуги, которые организация предлагает открыто и публично.:
- Удаленные атаки, нацеленные на сервисы, доступные для внутренних пользователей. Такие атаки обычно случаются, когда отсутствуют межсетевые экраны для защиты таких внутренних сервисов.
- Удаленные атаки нацеленные на расположение точек входа в корпоративную сеть (беспроводные сети доступа, порты, модемные пулы).
- Атаки типа Отказ в Обслуживании (DoS) для создания перегрузки процессоров на серверах и т.п. с целью формирования ситуации, когда авторизованные пользователи не могут пользоваться услугами.
- Попытки взлома паролей систем аутентификации.
Внешние локальные атаки (атаки изнутри): такие атаки обычно начинаются, когда открыт доступ в компьютерные помещения, и можно получить доступ к какой-либо системе.
Внутренние атаки: часто инициируются недовольными или обиженными на компанию бывшими или действующими сотрудниками или внештатным персоналом. Внутренние атакующие имеют ту или иную форму доступа к системе и обычно пытаются скрыть атаку и выдать ее за обычный рабочий процесс. Например, нелояльный сотрудник имеет доступ к каким-либо ресурсам внутренней сети. Он может иметь даже некоторые административные права в сети. Здесь один из лучших подходов состоит в развертывании системы обнаружения вторжений IDS (или IPS) и конфигурировании ее для сканирования системы на предмет как внешних, так и внутренних атак. Все формы атак должны быть занесены в журнал, и эти логи необходимо проверять, разбираться и принимать меры по защите от подобного в дальнейшем.
На сегодняшний день существуют следующие механизмы защиты беспроводных сетей:
- Контроль границы сети. Это производится путем ограничения зоны распространения радиосигнала, что позволяет решить 2 задачи: снизить вероятность обнаружения радиосети и уменьшить расстояние, с которого злоумышленник может осуществлять активные или пассивные атаки.
- Скрытие SSID(англ. ServiceSetIDentifier) (скрытие идентификатора беспроводной сети)
- Аутентификация IEEE 802.11X
- Аутентификация по МАС-адресам (Черный и белый списки MAC-адресов)
- Конфигурирование структуры пакетов (Нестандартная структура пакетов)
- WEP, основанный на RC4,
- WPA, основанный на AES.
- оптимизация конфигурации беспроводного сегмента сети.
Чтобы можно было воспользоваться преимуществами беспроводных сетей, их необходимо защитить. Незащищенные беспроводные сети открывают практически неограниченный доступ к корпоративной сети для хакеров и других злоумышленников.
1.3Особенности проектирования беспроводных сетей
Нагрузка на беспроводные сети возрастает с каждым днем. Этому способствует целый ряд факторов:
- Увеличение числа мобильных устройств и интенсивности их использования
- Рост популярности мобильных услуг и приложений, требующих больших скоростей передачи и чувствительных к времени задержки
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
