 |
|
 |
| Главное меню | ||
· Главная · Права на контект · Скачать NOD32 |
||
| Сетевые технологии | ||
· Учебные пособия и обзоры · Беспроводные технологии · Локальные сети · Сетевое оборудование · Сети хранения данных · TCP/IP · xDSL · ATM · Netware |
||
| Счетчики | ||
|
|
||
| Друзья | ||
| Декоративная штукатурка: краски эмали на сайте. | ||
 |
 |
|
Основным фактором, сдерживающим широкое распространение беспроводных сетей в корпоративной среде, является устоявшееся мнение о недостаточном уровне безопасности таких решений. Впрочем, заключение небезосновательное базовые средства защиты 802.11 взламывались неоднократно. Сегодня беспроводную сеть считают защищенной, если в ней функционируют три основных составляющих системы безопасности: аутентификация пользователя, конфиденциальность и целостность передачи данных.
В настоящее время сообщество разработчиков и производителей беспроводного оборудования близко к повсеместному признанию модели, базирующейся на технологии Wi - Fi Protected Access (WPA). Данная технология поддерживает базовые средства аутентификации протоколов 802.1x, конфиденциальность передачи данных посредством шифрования трафика с помощью TKIP и целостность информации — путем сверки контрольной суммы MIC (Message Integrity Check). Отметим, что протокол TKIP (Temporal Key Integrity Protocol) широкого распространения не получил: несмотря на увеличение общего уровеня безопасности, он существенно сужает пропускную способность беспроводного канала. Стандартные средства защиты беспроводной сети предусматривают комплекс мер по безопасности передачи данных под общим названием Wired Equivalent Privacy (WEP). Протокол обеспечивает противодействие несанкционированному доступу к сети (механизмы и процедуры аутентификации), а также предотвращение перехвата информации (шифрование с помощью 24-битного ключа типа RC4). WEP неоднократно подвергался критике со стороны специалистов, занимающихся вопросами безопасности беспроводных сетей. Исследования предлагаемого решения продемонстрировали, что определить ключ на основе анализа передаваемых данных можно достаточно быстро – перебором порядка 8000 комбинаций. Так же легко изменить нешифруемый заголовок пакета: получатель информации примет ложный ключ и впоследствии будет взаимодействовать с декодером злоумышленника. При использовании распределенной архитектуры составляющие WPA-технологии обеспечиваются точками доступа. Иначе обстоит дело в случае централизованной архитектуры. Некоторые производители возлагают задачу защиты сети на точки доступа, другие – на беспроводные коммутаторы, третьи – распределяют между этими двумя устройствами. Например, на коммутаторы возлагается аутентификация пользователей, а шифрованием и целостностью данных занимаются точки доступа. Однако правильнее, когда аутентификация выполняется на границе сети: если злоумышленник пытается получить доступ к сети, лучше перехватить его как можно раньше. Рассмотрим, как проходит атака DoS (Denial of Service). В распределенной архитектуре DoS-атака осуществляется только на одну точку доступа; так как последняя блокирует весь неавторизованный трафик, другие компоненты сети будут изолированы от атаки. В сети с централизованной архитектурой, где функции аутентификации выполняет коммутатор, точка доступа не может заблокировать неавторизованный трафик, поэтому он направляется к беспроводному коммутатору, который не пропускает его в корпоративную сеть. Однако этот трафик будет передаваться через все устройства, находящиеся на пути от атакованной точки доступа к коммутатору. Так как при распределенной архитектуре все функции безопасности сосредоточиваются в точке доступа, наиболее частым аргументом против такой архитектуры является ее физическая уязвимость. Иными словами, к точке доступа очень просто несанкционированно проникнуть или вообще похитить ее. А это грозит серьезными проблемами: именно в ней содержатся ключи шифрования и другие установки по обеспечению безопасности. Злоумышленник, похитивший точку доступа, может затем извлечь из нее весьма важную информацию, включая МАС-адреса других сетевых устройств. Более того, установив украденную точку доступа в своей сети (достаточно близко от атакуемой), он может перехватить полноправного клиента и раскрыть регистрационную информацию. Впрочем, проблему можно предотвратить: помещение, где налаживается беспроводная сеть, должно иметь хорошую охранную систему, а точки доступа следует располагать на известном удалении от земли (производственные корпуса). В иных случаях для достижения достаточного уровня безопасности сети лучше остановиться на централизованной архитектуре. Не последнее место среди оборудования, повышающего уровень безопасности беспроводной сети, занимают антенны. Если учесть, что беспроводные клиентские адаптеры поставляются со стандартными антеннами, поддерживающими относительно небольшую дальность передачи данных, важность использования направленных антенн для физического ограничения зоны доступа к сети, кабелей с малыми потерями для удаления точки доступа от зоны покрытия, молниеразрядников и других устройств весьма актуальна. Сегодня на рынке встречаются специализированные антенны двух типов. Одни созданы для организации сетей с топологией «точка-точка», то есть однонаправленные, другие – «точка – многоточка» — всенаправленные. Естественно, антенны разного назначения имеют разный коэффициент усиления. Наиболее эффективными принято считать интеллектуальные антенны. Они используют фазированную антенную решетку, с помощью которой можно не только обеспечить большое число контактов с клиентскими станциями при высокой плотности последних, но и максимально ограничить зону работы приемопередатчика точки доступа во избежание возможности внешних атак. Нужно отметить, что стоимость таких антенн пока высока, поэтому они используются в основном операторскими компаниями для строительства крупных сетей. Примером направленной антенны, доступной на российском рынке, может служить продукт компании U.S. Robotics – USR5482, который дает мощный, сфокусированный сигнал (с углом поляризации 60 градусов) и предназначен для точек беспроводного доступа и маршрутизаторов 802.11b и 802.11g. Кроме того, эта антенна сертифицирована и для внешних, уличных приложений (например, для коммуникаций между зданиями). Наконец, еще один элемент беспроводных сетей, без которого в ряде случаев невозможно организовать полноценного удаленного доступа, — это устройства для соединения антенны и точки доступа при их взаимном удалении. Представить случаи, в которых антенная колонка и точка доступа могут быть разнесены, несложно – это и способ избегнуть влияния климатических условий на электрическую часть приемопередающего устройства, и возможность обеспечить физическую безопасность точки доступа. Антенные усилители диапазона 2,4 ГГц предназначены для компенсации потерь в кабеле между антенной и приемопередатчиком, увеличения выходной мощности передатчика и повышения стабильности работы приемника. Сейчас наибольшее применение получили усилители с выходной мощностью 500 мВт в совокупности с параболическими антеннами (усиление 24 dBi), что позволяет практически любой точке доступа увеличить дальность действия до 50 км. Решение проблемы безопасности во многом должно продвинуть распространение протокола передачи данных, заложенного в спецификацию 802.11i. Последняя предполагает внесение изменений не только в протокол, но и в стандартную аппаратуру приемопередающих устройств. Предлагаемый к использованию протокол аутентификации Extensible Authentication Protocol (EAP), базирующийся на PPP, весьма эффективен, так как помимо использования стойких алгоритмов кодирования предлагает еще и применение 128-битных ключей. Кроме того, процедура аутентификации предполагает участие в ней трех сторон — вызывающей (клиента), вызываемой (точки доступа) и сервера аутентификации, что существенно повышает безопасность соединения. |