Характеристика беспроводных компьютерных сетей

2.3 Обеспечение информационной безопасности

Информационная безопасность всегда вызывала резонное беспокойство у суще­ствующих и потенциальных пользователей беспроводных сетей. Это не удиви­тельно, поскольку в отличие от кабеля, зарытого глубоко под землей, радиоэфир доступен для «прослушивания».

Круг потенциальных проблем безопасности при эксплуатации сети сводится к трем основным:

1)    прослушивание эфира в целях хищения важной информации клиентов;

2)     прослушивание эфира и подмена «на лету» передаваемых данных (forgery);

3)     несанкционированное подключение в целях кражи трафика Интернета.

Алгоритм WEP, который должен был помочь решить проблему беспроводной сетевой безопасности и получил широкое распространение в серийных беспро­водных устройствах стандарта 802.11, оказался уязвимым для различного рода атак и не обеспечивает достаточной надежности.

На смену WEP приходят стандарты IEEE 802.lli и WPA от Wi-Fi Alliance.

Структуру защитной технологии WPA можно наглядно выразить с помощью следующей формулы: WPA - 802.1Х + ЕАР f TKIP + MIC 4- (RADIUS*X)If

PSK, X = 0; ELSE X = 1. Из этой формулы видно, что в стандарте WPA преду­смотрено использование известных специалистам защитных протоколов 802.1х, ЕАР, TKIP и R ADIUS. Механизм аутентификации пользователей основан на про­токолах 802.1х (разработан для проводных сетей) и ЕАР (Extensible Authenticat­ion Protocol). Последний позволяет сетевому администратору задействовать мно­жество алгоритмов аутентификации пользователей посредством сервера RADIUS.

В технологии WPA функции обеспечения конфиденциальности и целостно­сти данных базируются на протоколе TKIP, который в отличие от протокола WEP использует более эффективный механизм управления ключами, но тот же самый алгоритм RC4 для шифрования данных. Согласно протоколу TKIP сете­вые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора инициализации протокола WEP) и реализуют правила из­менения последовательности его битов, что исключает повторное использование ключей и осуществление гер1ау-атак. В протоколе TKIP предусмотрены гене­рация нового ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (Message Integrity Code), препятствующей изменению хакером содержимого пе­редаваемых пакетов (forgery-атака).

Система сетевой безопасности стандарта WPA работает в двух режимах: PSK (Preshared Key) и Enterprise (корпоративный). Для развертывания системы, ра­ботающей в режиме PSK, необходим разделяемый пароль. Такую систему неслож­но устанавливать, но она защищает беспроводную сеть не столь надежно, как это делает система, функционирующая в режиме Enterprise с иерархией динами­ческих ключей. Хотя протокол TKIP работает с тем же самым блочным шифром RC4, который предусмотрен спецификацией протокола WEP, технология WPA защищает данные надежнее последнего.

Между тем определенный по умолчанию в стандарте IEEE 802.lli механизм обеспечения конфиденциальности данных основан на блочном шифре стандарта AES. Использующий его защитный протокол получил название Counter-Mode СВС MAC Protocol, или ССМР. Для этого протокола AES играет ту же роль, что и RC4 для протокола TKIP. Основное различие между протоколами ССМР и TKIP проявляется на нижних уровнях модели OSI, где происходят шифрование и расшифровка передаваемых данных: TKIP использует четыре временных ключа шифрования, тогда как AES — только три. Оба протокола работают с одним и тем же механизмом управления ключами.

Чтобы корпоративные точки доступа работали в системе сетевой безопасно­сти стандарта WPA или 802.lli, они должны поддерживать аутентификацию пользователей по протоколу RADIUS и реализовывать предусмотренный стан­дартом метод шифрования — TKIP или AES. Еще одно требование — быстро осуществлять повторную аутентификацию пользователей после разрыва соеди­нения с сетью. Это особенно важно для нормального функционирования прило­жений, работающих в реальном масштабе времени (например, средств передачи речи по беспроводным сетям).

Если сервер R ADIUS, применяемый для контроля доступа пользователей про­водной сети, поддерживает нужные методы аутентификации ЕАР, его можно задействовать и для аутентификации пользователей беспроводной сети. Сервер

WLAN RADIUS работает следующим образом: сначала он проверяет аутентифи- цирующую информацию пользователя (на соответствие содержимому своей базы данных об их идентификаторах и паролях) или его цифровой сертификат, а за­тем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи. Для работы технологии WPA требуется механизм EAP-TLS (Transport Layer Security), тогда как в стандарте IEEE 802. lli применение каких-либо конкретных методов аутентификации ЕАР не оговаривается. Выбор метода аутентификации ЕАР определяется спецификой работы клиентских приложений и архитектурой сети.

Заключение

В последнее десятилетие XX века беспроводные цифровые коммуникации всту­пили в фазу бурного развития, которая продолжается и в настоящее время. Толч­ком к этому послужило, с одной стороны, начавшееся интенсивное развитие гло­бальной сети Интернет, с другой — внедрение новых, прогрессивных методов кодирования, модуляции и передачи информации. В настоящее время очевидно, что беспроводные широкополосные сети практически находятся вне конкурен­ции по оперативности развертывания, мобильности, цене и широте возможных приложений, во многих случаях представляя собой единственное экономически оправданное решение. Для стран, в которых большая территория сочетается с невысокой плотно­стью населения, широкополосные беспроводные решения имеют особое значение, так как позволяют экономично и оперативно создавать телекоммуникационную инфраструктуру на обширных территориях. Особенно важно это для информа­тизации удаленных и сельских регионов Российской Федерации и решения одной из важнейших проблем информационной безопасности России — проблемы «ин­формационного неравенства» российских регионов.

В связи с этим весьма актуальной является дальнейшая разработка фунда­ментальной теории в области передачи информации, методов проектирования, алгоритмов и отечественных программно-технических средств комплектации ши­рокополосных беспроводных сетей (высокоскоростных радиомодемов и управляе­мых антенных устройств). Все эти вопросы нашли полное отражение в настоящей книге, что определяет своевременность и актуальность ее появления

Таким образом, широкополосные беспроводные сети передачи информа­ции становятся одним из основных на­правлений развития телекоммуникаци­онной индустрии. А для стран, в кото­рых большая территория сочетается с невысокой плотностью населения, бес­проводные сети имеют особое значение так как позволяют экономично и опе­ративно создавать телекоммуникаци­онную инфраструктуру на обширных территориях.

Население планеты Земля насчиты­вает миллиарды человек каждый из ко­торых пользуется различными видами телефонной сотовой связи, пользуются интернетом и толь­ко небольшое колличество обладают широко­полосным мультимедийным доступом в различные сети. Современные тех­нологии и прогресс человечества в це­лом диктуют стремительный рост ши­рокополосного доступа. Однако этот рост сдерживают различные факторы, в том числе необходимость огром­ных финансовых вложении в инфра­структуру всемирных сетей. Челове­чество затратило больше 100 лет для развития инфраструктуры всемирной телефонной сети общего пользования, именно эта сеть использовалась для до­ступа в Интернет на первом этапе его развития. Однако очень скоро стало яс­но, что для широкополосного доступа нужны новые сети. Чтобы не строить их еще 100 лет. естественно использо­вать развитые технологии подвижной радиосвязи.

Глоссарий

Список использованных источников

Приложение

4