Одом У. - CISCO Официальное руководство по подготовке к сертификационным экзаменам CCENTCCNA ICND1 - 2010 (953096), страница 82
Текст из файла (страница 82)
Тем не менее, ймы-бакены — зто отличное "подспорье" для злоумышленников, которые легко метро могут получить информацию о точках доступа и попытаться подключиться им, чтобы получить доступ к сети. я(аскировка идентификатора 5510 — зто специальная Функция точки доступа, орал отключает периодическую рассылку фреймов-бакенов. Такой подход вроде должен решить проблемы со злоумышленниками, сканирующими точки доступа лети. Тем не менее легальные клиенты должны найти точки в сети.
Следовательно, еитдцлжсн быть сконфигурирован со специальным значением идентификатора О, .називаемым нулевым, или пустым (пц11). Клиент отправляет сорб(цениеарггс (ргоЬе), которое заставляет точку доступа перезшть евое значеюш ВЯО; КоКе Говоря,.это очень просто заставить точку доступа анонсиррвать свой 'ц((анти-: катор ВВ(О,,даже в том случае, когда маскировка вкиючсйа.' Таким ()брав))м,: хтгзег все рвано могут 'обйарузкить вссточкигдосзупа в'сети. Часть 11.
Коммутация е повальных сетяв(::,:,»с В сетях разных организация используется технология маскировки илешификатора 8811), чтобы прелотвратить попытки лоступа к беспроволной сети из любви ытспх», В аткрытых точках доступа, наоборот, рассылаются фреймы-бакены, чтобы польюватели могли лс~ ко найти нужную. Еше одна дополнительная функция, часто реализуемая совместно с ХУЕР-техноло-'-:;,";!. гней — филы рация МАС-алресов.
В точке доступа может быть настроен список раз. '.'","!-' решенных в беспроводной сети МАС-адресов, остальные адреса будуг отфильтровм- ваться. Фильтрация МАС-адресов может отбить охоту у любопытных пальзователек'-"::;: подключиться к беспроводной сети, но она не поможет отразить реальную атаку. Злсь';"'1 умышленник может использовать беспроводную сетевую карту, в которой разрешаезся,'" менять МАС-адрес, скопировать легальные фреймы себе, узнать из них нужный МАС,,:".-" адрес, установить его в своем адаптере и таким образом обоити фильтр.
Временное решение компании Оасо до принятия стандарта 802.1Й Из-за вполне очевидных недостатков технологии МЕР, многие производители обаз,;.'; рудования, например, компания С!зсо, промышленная ассоциация ЪУ1-Р1-Альянс изф; ';»' попытались решить проблему за счет своих собственных стандартов, которые сопеф'":,'; ничали с медленно разрабатываемыми спецификациями Института! ЕЕЕ. В реше)(азг,-,"..'; компании С!зсо использовались некоторые фирменные улучшения механизма шиф;,'.,' рования совместно со стандартной аутентификацией пользователя 1ЕЕЕ 802.1х. К ой .~, новным улучшениям компанией Сисо исходной технологии можно отнести: ° механизм динамического обмена ключами (вместо статических предваритяз((з)~;,:::"г 1 но распределяемых); ° использование аутентификации стандарта 802.! х; ° генерацию нового ключа для каждого передаваемого пакета.
Вч Использование механизма динамического обмена ключами значительно улучй(~-:, ет систему, поскольку клиент и точка доступа могут мешпь пароль очень часто, ~„'!-: чем без человеческого вмешательства. В результате, даже если ключ взломан»((г' ';, расшифрован злоумышленником), то им можно воспользоваться только в ко1ю отрезок времени. Более того, если клгочи распределяются динамически, для кадаг)»41~~: пакета может генерироваться свой собственный ключ, которым он зашито~~»»~х В таком случае даже если злоумышленник получит (расшифрует или пцЮЮф~9~ ключ, он сможет расшифровать только один-единственный пакет, что сильно'у, „: шает систему безопасности.
Компания С!зсо разработала несколько функций, основанных на известйой,':,' тот момент (момент разработки) информации о стандарте безопасности бесп ..„...,, ных сетей 1ЕЕЕ 802.118 Кроме того, в разработке компании используется ауте „., фикация пользователей, т.е. гюсле аутентификации устройства с помощью (проверки того„что в устройстве установлен правильный ключ) пользоватеяь4в(1:; . ввести свое имя и пароль. Такой дополнительный этап добавляет еще один безопасности в систему: даже если ключи аутентификации временно скомпре рованы, злоумышленник должен знать имя и пароль аутентификации пользов», чтобы получить доступ к беспроводной сети, 375 Глава 11.
Беспроводные локальные сети Защищенный %1-Н-доступ (1я(РА! В усовершенствованном компанией С(зсо варианте технологии МЕР использовались как Фирменные протоколы, так и открытый стандарт 1ЕЕЕ 802.1х. После того как компания включила новый механизм зашиты в свои точки доступа, ЪУ)-Р)- а::-:::, Альянс разработал общий стандарт безопасности лля совмещения устройств от разных изготовителей. Институт 1ЕЕЕ в это время как раз разрабатывал новую спецификациюю безопасности для сетей %) А)х); 802.11(„но очень медленно, а производители оборудования лолжны были реагировать на потребности быстрорастущего рынка и не могли лолго ждать. Поэтому, ЪУ1-Р(-Альянс взял копию стандарта 802.11Е кото-.'-" ": Рый как раз находился в стадии разработки, изучил его, сделал некоторые предпод,;;:::", ложения и допущения и издал его как рекомендацию, которая впоследствии стала г"',~;::,:, стандартом де-факто.
Альянс лалее провел обычную процедуру сергнфикации оборудования разных производителей на предмет того, соответствует оио требованиям ~'."-,',-'.,"!:- нового стандарта или нет, а станларт получил название заяГивгеянвго.доступа И7-Л „".у,': (%1- Е) Рго1есГед Ассевв — ЪЧРА). Технология %РА фактически содержит те же самые функции „которые присут- ~~!.;-';:!. ствовали во временном решении компании СЬсо, но отличающиеся в деталях. Встанларте АУРА также используется динамический обмен ключами на основе протокола целостности временного ключа (Тетрога! Кеу 1пгейг(гу Ргогосо1— г!::::.-:.:ТК1Р); в решении от компании С1зсо использовалась нестандартная фирменная ',.!,. реализация протокола ТК! Р.
В стандарте ЪУРА также разрешено использовать либо стандартную аутентификацию пользователей 1ЕЕЕ 802.1Х, либо простую ауген.;: тификацию устройств посредством предварительно распределяемых ключей ' '~;;::::(ргехйагед )геуь). В качестве метода ц~ифрования использовался алгоритм проверки !:;::- целостности сообщений (Меззайе 1пгейгйу Снес)г — М(С), который очень похож в'„::.':...на Фирменный метод компании С)хсо.
У технологии ЪЧРА есть два больших достоинства. Во-первых, функции безопас ь.' 'Ности значительно лучше, чем в стандарте МЕР; во-вторых, программа сертифика,!::Ййи устройсш 'хЧ-Р1-Альянса была с энтузиазмом воспринята производителями н 1",';:~их!ела огромный успех, все старались пройти сертификацию Альянса, следователь" Но, поддерживали и внедряли технологию %РА в свои устройства. В результате про.','-'Нзводителн персональных компьютеров могли выбрать для установки практически „"'1':4)рб)зо из множества сетевых карт, а потребители могли купить точку доступа лю"-,, ~~го произволителя и быть уверенными, что она заработает в их сепг и будет под.;держивать техноло~ ию %РА ,," "Р)вагЯН ила ! ~~~рменное решение компании Свсо и промышленный стандарт хуРА несовместимы '-х()таь(дарт 1ЕЕЕ 802.111 и ()уРА-2 'ь:,, Институт 1ЕЕЕ ратифицировал счандарт 802.111 в 2005 году, дополнительные сви,,...
ные с ннм спецификации появились позже. Как в фирменном решении компа- С)зсо и в промышленном стандарте %РА Ът(-Р)-Альянса, в спецификации 2.' '- ' 11! используется механизм динамического обмена ключами, более мощный.ад'гм шифрования и,аутентификации ппльзоваталей. Тем не мейее маис детали Часть 11. Коммутация е покапьных сетях :,ве 376 определения Аутентификация Аутентнфикання шнфрованяе.„:::,;;:,';.')2 устройств пользователей Метод ра кинней Да (слабое) (х) Да (ТК(Р) (х) Ла (ТК!Р) (х) Да (АЕБ) Статическое Да (юабая) Ла Нет Омо Лннамнческос Ла (Х02 Ла (ХО2 И статическое и динамическое Да 802. ! ! ! (хтРА2) И стгиическое и динамическое Да (802 спецификаций отличаются, поэтому стандарт 802.11! не совместим ни с технологией 'т((РА, ни с фирменным решением компании С!зсо, Существенным и важным улучшением по сравнению с временным решением от -,'.,',ф компании С!зсо и стандартом %РА стало исполыование уж!Рчнгенного стандарта .х!ф шифрования (Адчапсед Епсгур(юп 8(апдагд — АЕБ) в технологии 802.11!.
Метод АЕВ '-':::;:Ъч. обеспечивает намного лучшее шифрование, чем технолопзя компании С!асс, не говоря уже о стандарте еУЕР, использует ключи большей длины и мощный алгоритм. ЪЧ-Р1-Альянс продолжает играть важную роль в сертификации продуктов, в ча- ,'-:::::фто стности выполняет проверку совместимости со спецификацией 802.!1), но ис- ..ф пользует др>гое название для этого ста!парта. Поскольку успех технологии Ъ!хРА в Ффкачестве промышленного стандарта был ошеломляю!цим, а термин "%(РА" стал очень популярен, Альянс назвал стандарт 802.! 1! термином "хтРА2", подразуме- '. --",1::,(.
вая под ним вторую версию стандарта ттРА. Следовательно, покупая или конфигурируя устройства, вы скорее увиди (е название Ъ'РА2 в документации и настрой-',,":;:,"':- ках, а не 802.111. В табл.!!.10 перечислены ключевые особенное!и разных стандартов безопасно-,'!М сти беспроводных сетей. г Таблица 11.10. Сравнение характеристик стандартов безопасности сетей %1А(Ч Глава 11. Беспроводные локальные сети Подготовка к экзамену Повторите все ключевые темы Следует повторить все ключевые темы данной главы, которые помечены / пиктограммой на полях.
В табл. 11.11 перечислены все основные ключевые темы и соответствуюгцие им страницы. Таблица 11.11. Ключевые темы главь! и. Элемент Описание Номер страницы 352 353 355 357 358 364 368 Рнс. 1! ",З ' Список '2 Список )1~."~,':: Табл. 11.8 1.";:!! Г Табл. 11 9 371 371 376 ~'.",";.
Заполните таблицы и списки по памяти Распечатайте приложение 3 (Аррепг!!х Н) с компакт-диска или его раздел, отно,' ':'РяШийся к зтой главе, и заполните таблицы и списки по памяти. В приложении И Бс г.лг ' йаРРепг!!х !) приведены заполненные таблицы и списки для самоконтроля. чевые термины главы нте определения перечисленных ниже терминов и проверьте правильность их ания в списке терминогк Нларты 802Л ! а, 802.11Ь, 802.118, 802. ! 1з, 802.11п; точка досгУпа, одноРанговаЯ Ы Лос), базовый набор служб (ВББ), метод предотврашения коллизий СБМА/ етол расширения спектра си~нала прямой последовательностью (кзБББ),.раснный набор служб (ЕББ), метол смены рабочей частоты с расцзирен нем спектра Б), Режим инФрасгруктуры, мультиплексирование с ортогональным частотным ением сигналов (ОРОМ), идентификатор набора служб (ББИ3), Ъх(-В!'-Альянсч ология %РА, стандарт МЕР, клиент беспроводной сетй';;технология т!!(!зА2, -" Табл !1 2 Табл.!1 3 Табл.
! 1 4 Табл. ! !.5 б Оргяннзлннн но стлнллртнзяцннтлгЕА74-сагой н нх роль Сраяненне стянллртоя 802 11а, 8В2.11Ь н 862,118 Режимы сет н ттгЛ!ч, нх бюрмяльные названия н описание Нелнлензнруемые частот, нх общепринятые названия н список стлнллрз он для кяжлога диапазона Частоты метолл О$$$, етм числе н трн неперкрыллюглнхся канала Эглин конфигурации беспроводной сети Станларгные проблемы прн установке ттсА!Ч-сети н нх прняюка к картнроллнню сетн Другие стлнлартные проблемы прн развертывании беспрояодной сети Обглензясстныс уязянмостн 1т' зХГЧ-сетей Стандарты бсюнасностн беспрололных сетей Сравнение стл пластов безопасности беспроводных сетей В втой части рассмотрены сладугощие темы зкззмйнй С1зсо! СР1О1 ' Ргщзаботкд схемы 1Р-влресацин и 1Р-службы в небольшой сетя фнливляг и описана роль адресов в сети; ° рассказано, как разработать и применить ааресную схем> в сети; гв объяснено, как проверить правильносп 1Р-адреса ума, сервера и сетевых усгройсге в локальной сети;, .й ° описана работа службы гггчя и методы се проверки; ° описано использование частных и эарепютрнрованных! Ралресов, их преимушества и нелостшк д и рассказано, как включить технологию 1ЧАХ в небольшой сети с одним проаайдером услуг сети Ин тернет с помошью программного обеспечения Я)М и проверить конфигурапию в интерФейсе Ког мандной строки с помошью команды ргпв; ° рассказано, как сконфигурировать службы 0НСР и ВН5 маршрутизатора, проверить ил работу к::!*,'~~ '; ""Ф устранить неисправности (с помощью интерфейса С М и ПО ЯЭМ) „ тч и описано, как внелрить службы динамической н статической адресации е локальной сети; ° рассказано, как найти и исправип ошибки в! Р-адресации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
