Технологии средств защиты информации беспроводных сетей. Wi-Fi-сети и угрозы информационной безопасности. Уязвимость старых методов защиты
Белорусов Дмитрий Иванович
Корешков Михаил Сергеевич
ООО «РИКОМ» г.Москва
Wi -Fi -сети и угрозы информационной безопасности
В статье рассмотрены прямые и косвенные угрозы информационной безопасности, которые возникают в связи с развитием технологии беспроводного доступа WiFi. Показано, что применение технологии WiFi может угрожать не только информации, передаваемой непосредственно с помощью оборудования WiFi, но и речевой информации на объекте.
Широкое применение сетей беспроводной передачи данных на основе технологии IEEE 802.11, более известной как WiFi, не может не обращать на себя внимание специалистов по информационной безопасности объектов. В этой статье авторы ставят целью познакомить читателей с результатами исследований новых угроз информационной безопасности объекта, которые связаны с WiFi -сетями.
Изначально технология WiFi была ориентирована на организацию точек быстрого доступа в Интернет (hotspot) для мобильных пользователей. Технология позволяет обеспечить одновременный доступ большого числа абонентов к сети Интернет прежде всего в общественных местах (аэропорты, рестораны и т.д.). Преимущества беспроводного доступа очевидны, тем более что изначально технология WiFi стала стандартом де-факто, и у производителей мобильных компьютеров не возникает вопрос совместимости точек доступа имобильных устройств.
Постепенно сети WiFi распространились и на крупные и мелкие офисы для организации внутрикорпоративных сетей или подсетей.
Одновременно с этим крупные операторы связи начали развивать собственные сервисы по предоставлению платного беспроводного доступа в Интернет на основе технологии WiFi. Такие сети состоят из большого числа точек доступа, которые организуют зоны покрытия целых районов городов, подобно сотовой связи.
Как следствие в настоящее время в любом крупном городе рядом практически с любым объектом расположено как минимум несколько WiFi -сетей со своими точками доступа и клиентами, число которых может доходить до сотен.
Перейдем к рассмотрению угроз информационной безопасности, которые возникают в связи с использованием WiFi -сетей. Все угрозы можно условно разделить на два класса:
- прямые - угрозы информационной безопасности, возникающие при передачеинформации по беспроводному интерфейсу IEEE 802.11;
- косвенные - угрозы, связанные с наличием на объекте и рядом с объектом большого количества WiFi -сетей, которые могут использоваться для передачи информации, в том числе и полученной несанкционированно.
Косвенные угрозы актуальны абсолютно для всех организаций, и, как будет показано далее, они представляют опасность не только для информации, обрабатываемой в компьютерных сетях, но и, что наиболее важно, для речевой информации.
Рассмотрим прямые угрозы. Для организации беспроводного канала связи в технологии WiFi используется радиоинтерфейс передачи данных. Как канал передачи информации он потенциально подвержен несанкционированному вмешательству с целью перехвата информации, искажения или блокирования.
При разработке технологии WiFi учтены некоторые вопросы информационной безопасности, однако, как показывает практика, недостаточно.
Многочисленные «дыры» в безопасности WiFi дали начало отдельному течению в отрасли компьютерного взлома, так называемому вардрайвингу (wardriving - англ.). Вардрайверы - это люди, которые взламывают чужие WiFi -сети из «спортивного» интереса, что, однако, не умаляет опасность угрозы.
Хотя в технологии WiFi и предусмотрены аутентификация и шифрование для защиты трафика от перехвата на канальном уровне, эти элементы защиты работают недостаточно эффективно.
Во-первых, применение шифрования снижает скорость передачи информации по каналу в несколько раз, и, зачастую, шифрование умышленно отключается администраторами сетей для оптимизации трафика. Во-вторых, использование в WiFi -сетях достаточно распространённой технологии шифрования WEP давно было дискредитировано за счёт слабых мест в алгоритме распределения ключей RC4, который используется совместно с WEP. Существуют многочисленные программы, позволяющие подобрать «слабые» WEP- ключи. Эта атака получила название FMS по первым буквам инициалов разработчиков. Каждый пакет, содержащий слабый ключ, с 5%-ной степенью вероятности восстанавливает один байт секретного ключа, поэтому общее количество пакетов, которое атакующий должен собрать для реализации атаки, зависит в первую очередь от степени его везучести. В среднем для взлома требуется порядка шести миллионов зашифрованных пакетов. Хакеры лаборатории H1kari of DasbOden Labs усилили FMS -алгоритм, сократив количество необходимых пакетов с шести миллионов до 500 тысяч. А в некоторых случаях 40/104-битный ключ взламывается всего с тремя тысячами пакетов, что позволяет атаковать даже домашние точки доступа, не напрягая их избыточным трафиком.
Если обмен данными между легальными клиентами и точкой доступа незначителен или практически отсутствует, злоумышленник может заставить жертву генерировать большое количество трафика, даже не зная секретного ключа. Достаточно просто перехватить правильный пакет и, не расшифровывая, ретранслировать его вновь.
Разработчики оборудования отреагировали вполне адекватным образом, изменив алгоритм генерации векторов инициализации так, чтобы слабые ключи уже не возникали.
В августе 2004 года хакер по имени KoreK продемонстрировал исходный код нового криптоанализатора, взламывающего даже сильные векторы инициализации. Для восстановления 40-битного ключа ему требовалось всего 200 000 пакетов с уникальными векторами инициализации, а для 104-битного - 500 тысяч. Количество пакетов с уникальными векторами в среднем составляет порядка 95% от общего количества зашифрованных пакетов, так что для восстановления ключа атакующему потребуется совсем немного времени.
В новом оборудовании WiFi используется технология WPA - WiFi Protected Access (защищенный WiFi -доступ), где вновь была усилена защищённость беспроводных устройств. На место WEP пришел TKIP (Temporal Key Integrity Protocol - протокол краткосрочной целостности ключей), генерирующий динамические ключи, сменяющие друг друга с небольшим интервалом времени. Несмотря на относительную новизну этой технологии, в комплект некоторых хакерских утилит уже входит специальный модуль, отображающий один из ключей протокола. Для несанкционированного подключения к точке доступа, защищённой технологией WPA, этого оказалось вполне достаточно.
Стандарт IEEE 802.11i описывает более продвинутую систему безопасности (известна под именем WPA2), основанную на криптоалгоритме AES. Готовых утилит для её взлома в открытом виде пока не наблюдается, так что с этой технологией можно чувствовать себя в безопасности. По крайней мере, какое-то время она продержится.
Угроза блокирования информации в канале WiFi практически оставлена без внимания при разработке технологии, что напрасно. Конечно, само по себе блокирование канала не является опасным, поскольку практически всегда сети WiFi являются вспомогательными, однако блокирование зачастую является лишь подготовительным этапом для атаки man-in-the-middle, когда между клиентом и точкой доступа появляется третье устройство, которое перенаправляет трафик между ними через себя. В этом случае возникает уже не только угроза перехвата информации, но и её искажения. Известны, по крайней мере, несколько обработанных атак на WiFi -сети, связанных с отказом в обслуживании DOS (Denail-of-Service), но в рамках данной статьи мы не будем останавливаться на их рассмотрении, ограничимся лишь констатацией наличия реальных угроз.
Перейдём к рассмотрению косвенных угроз информационной безопасности объекта, которые непосредственно связаны с WiFi- технологией.
Каналы WiFi -сетей являются крайне привлекательными для использования в качестве транспортной инфраструктуры для устройств несанкционированного получения информации по целому ряду причин:
1. Сигналы WiFi -устройств имеют достаточно сложную структуру и широкий спектр, поэтому эти сигналы, а тем более, окружающие устройства WiFi невозможно идентифицировать обычными средствами радиомониторинга.
Как показала практика, уверенное обнаружение сигнала WiFi современными комплексами радиомониторинга в широкой полосе частот возможно только по энергетическому признаку при наличии полос параллельного анализа шириной несколько десятков МГц на скорости не менее 400 МГц/с и лишь в ближней зоне. Сигналы точек доступа, расположенных в дальней зоне, оказываются ниже уровня шумов приёмника.
Обнаружение WiFi -передатчиков при последовательном сканировании узкополосными приёмниками вообще невозможно.
2. Практически на каждом объекте или вблизи него развёрнуты частные WiFi -сети или WiFi -сети общего пользования. В окружении таких сетей крайне сложно отличить легальных клиентов собственной и соседних сетей от клиентов с возможностями негласного получения информации, что даёт возможность эффективно маскировать несанкционированную передачу информации среди легальных WiFi -каналов.
Передатчик WiFi излучает так называемый «OFDM сигнал». Это означает, что в один момент времени устройство передаёт в одном сигнале, занимающем широкую полосу частот (около 20 МГц), несколько несущих информацию - поднесущих информационных каналов, которые расположены так близко друг от друга, что при приёме их на обычном приёмном устройстве, сигнал выглядит как единый «купол». Разделить в таком «куполе» поднесу-щие и идентифицировать передающие устройства можно только специальным приёмником.
3. В крупных городах сети WiFi общего пользования имеют зону покрытия, достаточную, чтобы гарантировать возможность подключения к ним для передачи информации практически любой точки. Это снимает необходимость использования мобильного пункта приёма информации рядом с объектом, поскольку информация может быть передана несанкционированным устройством через точку доступа общего пользования и далее по сети Интернет в любое место.
4. Ресурсы, которые предоставляют каналы WiFi -сетей, позволяют передавать звук, данные, видео в реальном масштабе времени. Этот факт открывает широкие возможности перед устройствами перехвата информации. Теперь не только звуковая информация, но и видеоданные с компьютеров или локальной сети под угрозой.
Все рассмотренные выше преимущества WiFi -технологии с точки зрения защиты информации на объекте являются недостатками. Кроме того, выпускаются и абсолютно легально продаются малогабаритные WiFi- устройства, позволяющие передавать данные, голосовую или видеоинформацию, например, беспроводные WiFi -видеокамеры, которыелегко могут быть переделаны для использования в качестве устройств негласного получения информации.
Рис. 1. Сигнал WiFi -передатчика в ближней зоне
Рис. 2. Беспроводная WEB
-камера с WiFi-
интерфейсом
1. В помещении несанкционированно установлена WiFi -видеокамера с микрофоном. Для увеличения дальности передачи информации на крыше объекта устанавливается точка доступа WiFi, которая работает в режиме ретранслятора (один из штатных режимов работы WiFi точки доступа) с направленной антенной. В этом случае информация из помещения, в котором установлена камера стандартной мощности WiFi клиента, может быть принята на контрольном пункте, расположенном на расстоянии нескольких километров от объекта, даже в условиях города.
2. Смартфон одного из сотрудников предприятия с помощью специальной программы(вируса) может переводиться в режим, когда речевая информация с микрофона будет записываться и с помощью встроенного в него WiFi- модуля передаваться на контрольный пункт.
Для повышения скрытности контрольный пункт может быть использован также в одном из штатных режимов WiFi точек доступа - «передача со скрытым именем». В таком случае точка доступа будет невидима программам обзора сетевого окружения для беспроводных сетей. Необходимо отметить, что в этих программах WiFi клиенты вообще никогда не видны.
3. И наконец, рассмотрим вариант, когда режим на объекте не позволяет выносить носители информации за его пределы, выход в Интернет отсутствует или ограничен. Как злоумышленник может передать с такого объекта достаточно большой объём данных незаметно? Ответ: ему необходимо абсолютно легально подключиться к соседней широковещательной WiFi -сети и передать информацию, оставаясьнезамеченным среди достаточно большого количества WiFi клиентов соседних сетей, передающих информацию за пределами объекта.
Выводы:
Технология WiFi безусловно удобна и универсальна для организации беспроводного доступа к информации. Однако она несёт в себе множество серьёзных угроз информационной безопасности объекта. При этом существуют прямые и косвенные угрозы информационной безопасности. И если от прямых угроз можно избавиться, отказавшись от применения WiFi -устройств в инфраструктуре корпоративной сети и не использовать WiFi- сети на объекте, то косвенные угрозы существуют независимо от применения на объекте WiFi -технологии. Кроме того косвенные угрозы опаснее прямых, поскольку им подвержена не только информация в компьютерных сетях, но и речевая информация на объекте.
В заключение хотелось бы отметить, что WiFi -технология в настоящее время является не единственной распространённой беспроводной технологией передачи данных, которая может нести в себе угрозы информационной безопасности объекта.
Bluetooth -устройства также могут использоваться для организации несанкционированной беспроводной передачи данных. По сравнению с WiFi- у Bluetooth -устройств существенно меньше возможностей с точки зрения дальности передачи информации и пропускной способности канала, но есть одно важное преимущество - низкое энергопотребление, что для несанкционированного передатчика является крайне важным.
Ещё одна технология, которая начинает конкурировать с WiFi при обеспечении беспроводного широкополосного доступа, это -WiMAX. Однако по состоянию на настоящий момент WiMAX -устройства гораздо менее распространены, и их наличие скорее окажется демаскирующим фактором, чем скроет несанкционированный канал передачи информации.
Таким образом, именно WiFi в настоящее время является не только самой распространённой технологией беспроводного доступа, но и самой удобной с точки зрения несанкционированного получения и передачи информации.
Литература
- Каролик А., Касперски К. Разберемся, что такое вардрайвинг (wardriving) и с чем его необходимо употреблять //Хакер. - №059. - С. 059-0081.
На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.
Анализ безопасности беспроводных сетей.
На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.
Однако данная безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей которые может получить хакер при халатности в настройке беспроводной сети:
Доступ к ресурсам локальной сети;
Прослушивание, воровство (имеется ввиду непосредственно интернет-траффик) трафика;
Искажение проходящей в сети информации;
Внедрение поддельной точки доступа;
Немного теории.
1997 год – выход в свет первого стандарта IEEE 802.11. Варианты защиты доступа к сети:
1. Использовался простой пароль SSID (Server Set ID) для доступа в локальную сеть. Данный вариант не предоставляет должного уровня защиты, особенно для нынешнего уровня технологий.
2. Использование WEP (Wired Equivalent Privacy) – то есть использование цифровых ключей шифрования потоков данных с помощью данной функции. Сами ключи это всего лишь обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.
2001 год - внедрение нового стандарта IEEE 802.1X. Данный стандарт использует динамические 128-разрядные ключи шифрования, то есть периодически изменяющихся во времени. Основная идея заключается в том, что пользователь сети работает сеансами, по завершении которых им присылается новый ключ - время сеанса зависит от ОС (Windows XP - по умолчанию время одного сеанса равно 30 минутам).
На данный момент существуют стандарты 802.11:
802.11 - Первоначальный базовый стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 Мбит/с.
802.11a - Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.
I802.11b - Наиболее распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN
802.11f - Стандарт, описывающий порядок связи между равнозначными точками доступа.
802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
802.11h - Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.
802.11i (WPA2) - Стандарт, исправляющий существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.
На данный момент широко используется 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.
2003 года - был внедрён стандарт WPA (Wi-Fi Protected Access), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP (Temporal Key Integrity Protocol), протоколом расширенной аутентификации EAP (Extensible Authentication Protocol) и технологией проверки целостности сообщений MIC (Message Integrity Check).
Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков. Ведущими являются такие гиганты как Intel и Cisco.
2004 год - появляется WPA2, или 802.11i, - максимально защищённый на данное время стандарт.
Технологии защиты Fi-Wi сетей.
WEP
Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации IV (Initialization Vector), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, что позволяет при шифровании оперировать и постоянными, и случайно выбранными символами. Но с другой стороны 24 бита это всего лишь ~16 миллионов комбинаций (2 24 степени) – то есть по истечению цикла генерации ключа начинается новый цикл. Взлом осуществляется достаточно элементарно:
1) Нахождение повтора (минимальное время, для ключа длинной 40 бит – от 10 минут).
2) Взлом остальной части (по сути - секунды)
3) Вы можете внедряться в чужую сеть.
При этом для взлома ключа имеются достаточно распространенные утилиты такие как WEPcrack.
802.1X
IEEE 802.1X - это основополагающий стандарт для беспроводных сетей. На данный момент он поддерживается ОС Windows XP и Windows Server 2003.
802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно - RC4, но с некоторыми отличиями (большая «мобильность», т.е. имеется возможность подключения в сеть даже PDA-устройства) и исправлениями (взлом WEP и т. п.).
802.1X базируется на протоколе расширенной аутентификации EAP (Extensible Authentication Protocol), протоколе защиты транспортного уровня TLS (Transport Layer Security) и сервере доступа RADIUS (Remote Access Dial-in User Service).
После того, как пользователь прошёл этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определённое незначительное время - время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными.
Отдельно необходимо упомянуть о безопасности RADIUS: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно и многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (сleartext и CHAP), имеет среднюю степень защищенности. В RADIUS"е шифруется только cleartext-пароли, весь остальной пакет остается "открытым" (с точки зрения безопасности даже имя пользователя является очень важным параметром). А вот CHAP – это отдельный разговор. Идея в том, что бы cleartext-пароль ни в каком виде никогда не передавался бы через сеть. А именно: при аутентификации пользователя клиент посылает пользовательской машине некий Challenge (произвольная случайная последовательность символов), пользователь вводит пароль и с этим Challengе"ем пользовательская машина производит некие шифрующий действия используя введенный пароль (как правило это обыкновенное шифрование по алгоритму MD5 (RFC-1321). Получается Response. Этот Response отправляется назад клиенту, а клиент все в совокупности (Challenge и Response) отправляет на аутентификацию 3A-серверу (Authentication, Authorization, Accounting). Тот (также имея на своей стороне пользовательский пароль) производит те же самые действия с Challeng"ем и сравнивает свой Response с полученным от клиента: сходится - пользователь аутентифицирован, нет - отказ. Таким образом, cleartext-пароль знают только сам пользователь и 3А-сервер и пароль открытым текстом не "ходит" через сеть и не может быть взломан.
WPA
WPA (Wi-Fi Protected Access) - это временный стандарт (технология защищённого доступа к беспроводным сетям), который является переходным перед IEEE 802.11i. По сути, WPA совмещает в себе:
802.1X - основополагающий стандарт для беспроводных сетей;
EAP - протокол расширенной аутентификации (Extensible Authentication Protocol);
TKIP - протокол интеграции временного ключа (Temporal Key Integrity Protocol);
MIC - технология проверки целостности сообщений (Message Integrity Check).
Основные модули - TKIP и MIC. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом и общее число вариаций которых примерно 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 Кбайт (10 тыс. передаваемых пакетов) делают систему максимально защищённой. От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.
Правда, TKIP сейчас не является лучшим в реализации шифрования, из-за новой технологии Advanced Encryption Standard (AES), используемой ранее в VPN.
VPN
Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN наверное одна из самых надежных с точки зрения шифрования и надёжности аутентификации.
Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65-70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.
Технология VPN не была ориентированна именно для Wi-Fi - она может использоваться для любого типа сетей, но защита с её помощью беспроводных сетей наиболее правильное решение.
Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы. Хотя всё это достаточно громоздко, но очень надёжно. Но как и все - это имеет свои недостатки, в данном случае их два:
Необходимость в достаточно емком администрировании;
Уменьшение пропускной способности канала на 30-40%.
За исключением этого – VPN, это вполне понятный выбор. Тем более в последнее время, развитие VPN оборудования происходит как раз в направлении улучшения безопасности и мобильности. Законченное решение IPsec VPN в серии Cisco VPN 5000 служит ярким примером. Тем более что в данной линейке представлена пока только единственное сегодня решение VPN на основе клиентов, которое поддерживает Windows 95/98/NT/2000, MacOS, Linux и Solaris. Кроме этого бесплатная лицензия на использование марки и распространение программного обеспечения клиента IPsec VPN поставляется со всеми продуктами VPN 5000, что тоже не маловажно.
Основные моменты защиты Fi-Wi сетей организации.
В свете всего выше изложенного можно убедиться что имеющиеся на данный момент механизмы и технологии защиты позволяют обеспечить безопасность вашей сети, при использовании Fi-Wi. Естественно если администраторы не будут полагаться только на элементарные настройки, а озаботятся тонкой настройкой. Конечно нельзя сказать, что таким образом ваша сеть превратится в неприступный бастион, но выделив достаточно серьезные средства на оборудование, время для настройки и конечно для постоянного контроля – можно обеспечить безопасность с вероятностью примерно до 95 %.
Основные моменты при организации и настройке Wi-Fi сети которыми не стоит пренебрегать:
- Выбор и установка точки доступа:
> перед приобретением внимательно ознакомьтесь с документацией и имеющейся на данный момент информации о дырах в реализации ПО для этого класса оборудования (всем известный пример дыры в IOS маршрутизаторов Cisco, позволяющая злоумышленнику получить доступ к листу конфига). Возможно будет смысл ограничиться покупкой более дешевого варианта и обновлением ОС сетевого устройства;
> изучите поддерживаемые протоколы и технологии шифрования;
> при возможности приобретайте устройства, использующие WPA2 и 802.11i, так как они для обеспечения безопасности используют новую технологию - Advanced Encryption Standard (AES). На данный момент это могут быть двухдиапазонные точеки доступа (AP) к сетям IEEE 802.11a/b/g Cisco Aironet 1130AG и 1230AG. Данные устройства поддерживают стандарт безопасности IEEE 802.11i, технологию защиты от вторжений Wi-Fi Protected Access 2 (WPA2) с использованием Advanced Encryption Standard (AES) и гарантируют емкость, отвечающую самым высоким требованиям пользователей беспроводных локальных сетей. Новые АР используют преимущества двухдиапазонных технологий IEEE 802.11a/b/g и сохраняют полную совместимость с ранними версиями устройств, работающих на IEEE 802.11b;
> подготовьте предварительно клиентские машины для совместной работы с приобретаемым оборудованием. На данный момент некоторые технологии шифрования могут не поддерживаться ОС или драйверами. Это поможет избежать лишних затрат времени при разворачивании сети;
> не устанавливать точку доступа вне брандмауэра;
> располагайте антенны внутри стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «извне».
> используйте направленные антенны, не используйте радиоканал по умолчанию.
- Настройка точки доступа:
> если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Изначально не давайте возможность хакеру при внедрении в вашу сеть контролировать ключевые узлы по радиоканалу. Отключите вещание по радиоканалу такие протоколы как SNMP, web-интерфейс администрирования и telnet;
> обязательно(!) используйте сложный пароль для доступа к настройкам точки доступа;
> если точка доступа позволяет управлять доступом клиентов по MAC-адресам непременно используйте это;
> если оборудование позволяет запретить трансляцию в эфир идентификатора SSID – сделайте это обязательно. Но при этом у хакера всегда есть возможность получить SSID при подключении как легитимного клиент;
> политика безопасности должна запрещать беспроводным клиентам осуществлять ad-hoc соединения (такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик). Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.
- Выбор настройки в зависимости от технологии:
> если есть возможность - запретите доступ для клиентов с SSID;
> если нет другой возможности - обязательно включайте хотя бы WEP, но не ниже 128bit.
> если при установке драйверов сетевых устройств предлагается на выбор три технологиями шифрования: WEP, WEP/WPA и WPA, то выбирайте WPA;
> если в настройках устройства предлагается выбор: “Shared Key“(возможен перехват WEP-ключа, который одинаков для всех клиентов) и “Open System”(возможно внедрение в сеть, если известен SSID) - выбирайте “Shared Key”. В данном случае (если вы используете WEP-аутентификацию) – наиболее желательно включить фильтрацию по МАС-адресу;
> если ваша сеть не велика – можно выбрать Pre-Shared Key (PSK).
> если есть возможность использовать 802.1X. Но при этом при настройке RADIUS-сервера желательно выбирать тип аутентификации CHAP;
> максимальный уровень безопасности на данный момент обеспечивает применение VPN - используйте эту технологию.
- Пароли и ключи:
> при использовании SSID придерживайтесь требований аналогичных требованиям парольной защиты - SSID должен быть уникален (не забывайте, что SSID не шифруется и может быть легко перехвачен!);
> всегда используйте максимально длинные ключи. Не используйте ключи меньше 128 бит;
> не забывайте про парольную защиту – используйте генератор паролей, меняйте пароли через определенный промежуток времени, храните пароли в тайне;
> в настройках обычно имеется выбор из четырёх заранее заданных ключей - используйте их все, меняя по определенному алгоритму. По возможности ориентируйтесь не на дни недели (всегда существуют люди в любой организации, работающие по выходным – что мешает осуществить внедрение в сеть в эти дни?).
> старайтесь применять длинные динамически изменяющиеся ключи. Если вы используете статические ключи и пароли, меняйте пароли через определенный промежуток времени.
> проинструктируйте пользователей, что бы они хранили пароли и ключи в тайне. Особенно важно, если некоторые используют для входа ноутбуки которые хранят дома.
- Сетевые настройки:
> для организации разделяемых ресурсов используйте NetBEUI. Если это не противоречит концепции вашей сети - не используйте в беспроводных сетях протокол TCP/IP для организации папок и принтеров общего доступа.
> не разрешайте гостевой доступ к ресурсам общего доступа;
> старайтесь не использовать в беспроводной сети DHCP - используйте статические IP-адреса;
> ограничьте количество протоколов внутри WLAN только необходимыми.
- Общее:
> на всех клиентах беспроводной сети используйте файерволлы или при ХР хотя бы активизируйте брандмауэр;
> регулярно следите за уязвимостями, обновлениями, прошивками и драйверами ваших устройств;
> используйте периодически сканеры безопасности, для выявления скрытых проблем;
> определите инструменты для выполнения беспроводного сканирования, а также частоту выполнения этого сканирования. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.
> если финансы вашей организации позволяют – приобретите системы обнаружения вторжения (IDS, Intrusion Detection System), такие как:
CiscoWorks Wireless LAN Solution Engine (WLSE), в которой
реализовано несколько новых функций - самовосстановление, расширенное
обнаружение несанкционированного доступа, автоматизированное обследование
площадки развертывания, "теплое" резервирование, отслеживание
клиентов с созданием отчетов в реальном времени.
CiscoWorks WLSE - централизованное решение системного уровня для управления
всей беспроводной инфраструктурой на базе продуктов Cisco Aironet.
Усовершенствованные функции управления радиоканалом и устройствами,
поддерживаемые CiscoWorks WLSE, упрощают текущую эксплуатацию беспроводной
сети, обеспечивают беспрепятственное развертывание, повышают безопасность,
гарантируют максимальную степень готовности, сокращая при этом расходы на
развертывание и эксплуатацию.
Система Hitachi AirLocation использует сеть стандарта IEEE802.11b и способна работать как внутри помещений, так и вне зданий. Точность определения координат объекта, по словам разработчиков, составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS- систем. Система состоит из сервера определения координат, управляющего сервера, комплекта из нескольких базовых станций, комплекта WLAN- оборудования и специализированного ПО. Минимальная цена комплекта - около $46,3 тыс. Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа.
Да цены на такое оборудование достаточно высоки, но любая серьезная компания может решить потратить данную сумму для того, что бы быть уверенной в безопасности свой беспроводной сети.
770руб.
Описание
Введение
История беспроводных технологий передачи информации началась в конце XIX века с передачей первого радиосигнала и появлением в 20-х годах ХХ века первых радиоприемников. В 30-е годы появилось телевидение.
В 70-е годы созданы первые беспроводные телефонные системы как естественный итог удовлетворения потребности в мобильной передаче голоса. Сначала это были аналоговые сети, а начале 80-х был разработан стандарт GSM, ознаменовавший начало перехода на цифровые стандарты, как обеспечивающие лучшее качество сигнала, лучшую безопасность.
Фрагмент работы для ознакомления
WPA
современный стандарт, о котором договорились производители оборудования
ОС
операционная система
WPA2
вторая версия набора алгоритмов и протоколов обеспечивающих защиту данных в беспроводных сетях Wi-Fi
WEP(Wired Equivalent Privacy)
протокол безопасности
COOKIE
небольшой фрагмент данных, созданный веб-сервером или веб-страницей и хранимый на компьютере пользователя в виде файла
HTTPS
расширение протокола HTTP, поддерживающее шифрование
BRUTEFORCE
метод взлома паролей путем перебора
Введение
История беспроводных технологий передачи информации началась в конце XIX века с передачей первого радиосигнала и появлением в 20-х годах XX века первых радиоприемников. В 30-е годы появилось телевидение.
В 70-е годы созданы первые беспроводные телефонные системы как естественный итогудовлетворения потребности в мобильной передаче голоса. Сначала это были аналоговые сети, а начале 80-х был разработан стандарт GSM, значимый начало перехода на цифровые стандарты, как обеспечивающие лучшее качество сигнала, лучшую безопасность.
Весьма перспективно и развитие беспроводных локальных сетей (WLAN), Bluetooth (сети средних и коротких расстояний). Беспроводные сети развертываются в аэропортах, университетах, ресторанах, предприятиях. В конце 90-х годов пользователям была предложена WAP-услуга, сначала не вызвавшая у населения большого интереса. Это были основные информационные услуги – новости, погода, всевозможные расписания и т.п. Также весьма низким спросом пользовались вначале и Bluetooth, и WLAN в основном из-за высокой стоимости этих средств связи. К середине первого десятилетия XXI века счет пользователей беспроводного Интернет – сервиса пошел на десятки миллионов. С появлением беспроводной Интернет - связи на первый план вышли вопросы обеспечения безопасности. Как и любая компьютерная сеть, Wi-Fi – является источником повышенного риска несанкционированного доступа. Кроме того, проникнуть в беспроводную сеть значительно проще, чем в обычную, - не нужно подключаться к проводам, достаточно оказаться в зоне приема сигнала.
Но прежде чем приступать к защите беспроводной сети, необходимо понять основные принципы ее организации.
1. Стандарт безопасности WEP
Все современные беспроводные устройства (точки доступа, беспроводные адаптеры и маршрутизаторы) поддерживают протокол безопасности WEP (Wired Equivalent Privacy). Данный протокол является своего рода аналогом проводной безопасности.
Процедура WEP-шифрования выглядит следующим образом. Первоначально передаваемые в пакете данные проверяются на целостность, после чего контрольная сумма добавляется в служебное поле заголовка пакета. Далее генерируется 24-битный вектор инициализации, а к нему добавляется статический (40- или 104-битный) секретный ключ. Полученный таким образом 64- или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, которое используется для шифрования данных.
Протокол безопасности WEP предусматривает два способа аутентификации пользователей: Open System (открытая) и Shared Key (общая). При использовании открытой аутентификации, по сути, никакой аутентификации не выполняется, то есть любой пользователь может получить доступ в беспроводную сеть. Однако даже при открытой системе допускается применение WEP-шифрования данных.
2. Защита от незваных гостей
Список литературы
Список литературы
1. Кудин А.В. //Безопасность и качество услуг сотовой подвижной связи. Терминологический справочник 2014г. // http://www.techbook.ru/book.php?id_book=688(11.03.2014)
2. Сергей Пахомов //Защита беспроводных сетей от взлома//
http://compress.ru/article.aspx?id=16254(11.03.2014)
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
ГЛАВА I. АНАЛИЗ УЯЗВИМОСТЕЙ И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПЕРЕДАЧЕ В РАСПРЕДЕЛЕННЫХ БЕСПРОВОДНЫХ СЕТЯХ.
1.1 Беспроводные сети нового поколения.
1.2Угрозы информации в распределенных компьютерных сетях.
1.2.1 Активные сетевые атаки.
1.2.2 Специфика атак в беспроводных сетях.
1.3 Методы защиты информации в беспроводных сетях.
1.3.2 Технологии защиты данных.
1.4 Задачи диссертационного исследования.
1.5 Выводы.
ГЛАВА II. РАЗРАБОТКА МЕТОДИКИ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПЕРЕДАЧЕ В РАСПРЕДЕЛЕННЫХ БЕСПРОВОДНЫХ СЕТЯХ НА ОСНОВЕ ДИНАМИЧЕСКОЙ МАРШРУТИЗАЦИИ ТРАФИКА.
2.1 Система мультиплексирования трафика.
2.2 Маршрутизируемый сервис.
2.2.1 Общие принципы работы.
2.2.2 Методика защиты информации при передаче в беспроводной распределенной сети.
2.2.3 Алгоритм динамической маршрутизации трафика.
2.2.4 Применение разработанной методики.
2.3 Анализ эффективности разработанной методики защиты.
2.3.1 Возможности нарушителя.
2.3.2 Оценка вероятности реализации угрозы первого класса.
2.3.3 Оценка вероятности реализации угрозы второго класса.
2.3.4 Алгоритм генерации потока атак.
2.4 Выводы.
ГЛАВА Ш. РЕАЛИЗАЦИЯ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ПЕРЕДАВАЕМОЙ ИНФОРМАЦИИ.
3.1 Реализация программного комплекса.
3.2 Опытное внедрение и сравнение с протоколами маршрутизации.
3.3 Экспериментальные исследования методов.
3.4 Выводы
Введение диссертации (часть автореферата) на тему "Методика защиты информации в беспроводных сетях на основе динамической маршрутизации трафика"
Актуальность работы
Развитие информационных технологий ставит актуальные задачи повышения надежности функционирования компьютерных сетей. Для решения таких задач необходимы исследования существующих сетевых протоколов, сетевых архитектур, разработка способов повышения безопасности при передаче информационных ресурсов по сети.
Выбор в пользу беспроводных технологий позволяет получить преимущества в скорости, мобильности. Появление нового класса широкополосных беспроводных сетей с ячеистой структурой (меш-сети) позволило достичь значительного увеличения зоны информационного покрытия. Основным достоинством данного класса сетей является наличие особых устройств - меш-порталов, позволяющих интегрировать в меш-сеть другие беспроводные сети (WiMAX, Wi-Fi, GSM) и Интернет, а значит, и предоставить пользователю всевозможные сервисы этих сетей.
К недостаткам меш-технологии можно отнести тот факт, что протоколы маршрутизации меш-сети весьма специфичны, а их разработка - сложная задача с множеством критериев и параметров. При этом существующие протоколы требуют значительных доработок в вопросах повышения безопасности и надежности передачи информации.
Сетевые атаки, сбои и отказы сетевого оборудования - основные факторы, влияющие на безопасность передачи информации в распределенных беспроводных сетях. Проблемой обеспечения безопасности передачи информации в распределенных беспроводных сетях занимались I. Akyildiz, W.Wang, X.Wang, T. Dorges, N. Ben Salem. Под обеспечением безопасности передачи информации в компьютерной сети понимается защита ее конфиденциальности, целостности и доступности.
Среди методов обеспечения доступности информации в беспроводных сетях исследователями выделяется комбинирование различных методов контроля, дублирования, резервирования. Целостность и конфиденциальность информации в беспроводных сетях обеспечивается методами построения виртуальных каналов, основанных на применении криптографических инструментов.
Общий недостаток данных методов - снижение производительности сети, связанное с требованиями к дополнительной обработке передаваемой информации. Указанный недостаток особенно критичен для передачи цифровой видеоинформации. Кроме того, совершенствование методов криптоанализа все более снижает надежность существующих криптоалгоритмов/
Из вышесказанного следует вывод о необходимости разработки новых способов защиты информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак. В связи с этим тема работы является актуальной и практически важной.
Цель работы
Целью диссертационной работы является разработка методики защиты информации при передаче в распределенных беспроводных сетях, основанной на применении алгоритма динамической маршрутизации трафика в условиях воздействия преднамеренных атак.
2. Исследование алгоритмов динамической маршрутизации трафика в распределенных сетях.
3. Исследование методов защиты информации в распределенных беспроводных сетях.
4. Исследование видов атак в распределенных компьютерных сетях, анализ специфики атак в беспроводных сетях.
5. Разработка алгоритма динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.
6. Разработка на базе алгоритма приложения «маршрутизируемый сервис», реализующего методику защиты информации при передаче в распределенных беспроводных сетях.
7. Реализация программных модулей «маршрутизируемого сервиса» передачи информации.
8. Исследование вариантов воздействия сетевых атак на «маршрутизируемый сервис». Вычисление оценок успешных реализаций сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса».
9. Разработка алгоритма генерации потока сетевых атак.
10. Разработка прототипа маршрутизируемого сервиса для экспериментальной проверки предложенной методики защиты.
Объектами исследования являются компьютерные сети, распределенные беспроводные сети с ячеистой структурой (меш-сети), процессы передачи информации и процессы реализации различных видов атак на передаваемую информацию и сетевые устройства в распределенных беспроводных сетях.
Предметы исследования: стандарты группы IEEE 802.11, сетевые атаки, методы защиты информации в беспроводных сетях, алгоритмы динамической маршрутизации трафика в беспроводных сетях.
Методы исследований
В диссертационной работе используются методы математического моделирования, теории графов, теории множеств, теории вероятности и математической статистики. Для подтверждения полученных теоретических результатов проведены экспериментальные исследования и моделирование, с использованием сред программирования Visual Basic Script, Windows Management Instrumentarium, Shell, Awk.
Достоверность
Достоверность научных положений, выводов и рекомендаций подтверждается корректной постановкой задач, строгостью применяемого математического аппарата, результатами численного моделирования, положительными результатами апробации программы, реализующей предложенную методику защиты информации, и сравнением с маршрутизируемыми протоколами сети.
Научная новизна
В диссертационной работе получены следующие научные результаты:
1. Предложена методика защиты информации в распределенных беспроводных сетях, основанная на применении приложения «маршрутизируемый сервис».
2. Разработан алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.
3. Описаны варианты реализации воздействия на разработанную систему. Даны оценки успешным реализациям сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса». Разработан алгоритм генерации потока сетевых атак.
4. Реализованы программные модули прототипа «маршрутизируемого сервиса» Произведена апробация прототипа в распределенной сети.
Практическая значимость
Практическая значимость подтверждена апробацией прототипа разработанной системы в распределенной сети. Результаты диссертационного исследования отмечены дипломом Н-степени на IX Всероссийском конкурсе студентов и аспирантов по информационной безопасности «SIBINFO-2009». Разработанная методика прошла внедрение в системы передачи информации ОАО «Омскводоканал» и ГОУ ВПО «Омский государственный технический университет». Результаты диссертационной работы используются в учебном процессе ГОУ ВПО «Омский государственный технический университет».
Предлагаемая в диссертации методика может использоваться в качестве базы для дальнейших исследований.
Апробация работы
Результаты работы прошли апробацию в виде выступлений на научных конференциях и семинарах:
1. IX Всероссийский конкурс студентов и аспирантов по информационной безопасности «SIBINFO-2009», диплом И-степени. (2009, г. Томск).
2. VIII Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография - SYBECRYPT-09» (2009, г. Омск).
3. VII Международная научно-техническая конференция «Динамика систем, механизмов и машин» (2009, г. Омск).
4. IV Научно-практическая конференция молодых специалистов западносибирского банка Сбербанка России «Современный опыт использования информационных технологий в банковском бизнесе» (2008, г. Тюмень).
5. Всероссийская научно-техническая конференция «Россия молодая: передовые технологии в промышленность» (2008, г. Омск).
6. Конференция-конкурс «Технологии Microsoft в теории и практике программирования» (2008, г. Новосибирск).
Публикации
Результаты диссертации отражены в 15 публикациях, в том числе 2 публикации в изданиях, рекомендованных ВАК.
Структура и объём работы
Диссертационная работа состоит из введения, трех глав, заключения, списка литературы и трех приложений. Общий объем работы составляет 118 страниц, в том числе 26 рисунков и 3 таблицы. Список литературы насчитывает 82 наименования.
Заключение диссертации по теме "Методы и системы защиты информации, информационная безопасность", Никонов, Вячеслав Игоревич
3.4 Выводы
В результате программной реализации разработанных методов защиты информации, передаваемой в распределенных беспроводных сетях, был создан прототип системы «маршрутизируемый сервис», а также реализованы модули тосМлБШег и тос!.8епёег(8) приложения «маршрутизируемы сервис».
Работа прототипа «маршрутизируемый сервис» была опробована на глобальной сети крупного предприятия, в полной мере моделирующей некоторую распределенную сеть. Приведено описание процесса тестирования, представлен граф маршрутов следования трафика и вычислена вероятность успешной атаки при использовании в сети данного приложения. Исходя из полученных результатов, сделан вывод о соответствии практических результатов теоретическим представлениям работы сервиса 5а/. Реализованные модули ^ прошли успешную апробацию на распределенной беспроводной сети ОАО «Омскводоканал». Данный факт подтверждается справкой об использовании результатов работы (прил. 2).
ЗАКЛЮЧЕНИЕ
Диссертационная работа является законченным на данном этапе научным исследованием. В процессе исследований, выполненных в диссертационной работе, получены следующие результаты:
2. Исследованы алгоритмы динамической маршрутизации трафика в распределенных сетях.
3. Исследованы методы защиты информации в распределенных беспроводных сетях.
4. Построен алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.
5. На базе алгоритма разработано приложение «маршрутизируемый. сервис», реализующее методику защиты информации при передаче в распределенных беспроводных сетях.
6. Реализованы программные модули «маршрутизируемого сервиса».
7. Исследованы варианты воздействия сетевых атак на «маршрутизируемый сервис». Вычислены оценки успешных реализаций сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса».
8. Разработан алгоритм генерации потока сетевых атак.
9. Произведена экспериментальная проверка разработанной методики.
Список литературы диссертационного исследования кандидат технических наук Никонов, Вячеслав Игоревич, 2010 год
1. Анин Б.Ю. Защита компьютерной информации / Б.Ю. Анин. - СПб.: БХВ- Петербург, 2000. 384 с.
2. Барнс К. Защита от хакеров беспроводных сетей / К. Барнс, Т. Боутс, Д. Лойд М.: ДМК-Пресс, 2005. - 480с.
3. Белоусов С.А. Троянские кони: принципы работы и методы защиты / С.А. Белоусов, А.К. Гуц, М.С. Планков - Омск, 2003. 83 с.
4. Бочкарев В. Сценарии для администрирования / В. Бочкарев // System Engineering. - Режим доступа: http://www.sysengineering.ru/Administration/ScriptsForAdministration02.aspx, свободный.
5. Бочкарев В. Администрирование с помощью WMI / В. Бочкарев // System Engineering. - Режим доступа: http://www.sysengineering.ru/Administration/AdministrationUsingWMI.aspx, свободный.
6. Взлом беспроводных сетей: электронный журнал Hack Zone Электронный ресурс. - Режим доступа: http://www.fssr.ru/hz.php?name=News&file=article&sid=7273, свободный.
7. Вишневский В.М. Беспроводная радиоэлектронная система «Рапира» / В.М. Вишневский, H.H. Гузаков, Д.В. Лаконцев // ЭЛЕКТРОНИКА: НТБ, 2005, №1.
8. Вишневский В.М. Широкополосные беспроводные сети передачи информации / В.М. Вишневский, А.И. Ляхов, СЛ. Портной, И.Л. Шахович. М.: Техносфера, 2005. - 592 с.
9. Ю.Вишневский В. Mesh-cera стандарта IEEE 802.11s - технологии иреализация / В. Вишневский, Д. Лаконцев, А. Сафонов, С. Шпилев // Первая миля.-2008.-№2.
10. Владимиров A.A. Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей / A.A. Владимиров, К.В. Гавриленко, A.A. Михайловский - М: НТ Пресс, 2005.-464 с.
11. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
12. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
13. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.
14. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации.
15. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
16. ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
17. Джамса К. Программирование для INTERNET в среде Windows / К.Джамса, К. Коуп СПб.: ПИТЕР, 1996. - 688 с.
18. Елманова Н.З. Введение в Borland С++ Builder / Н.З. Елманова, С.П. Кошель. -М.: Диалог-МИФИ, 1998. 675 с.
19. Ефимов В.И. Атака на систему разнесенного TCP/IP трафика на основе анализа корреляции потоков / В.И. Ефимов, Е.В. Щерба // Информационные технологии моделирования и управления. - 2005. - №6(24). - С. 859 - 863.
20. Ефимов В.И. Система мультиплексирования разнесенного ТСРЯР трафика / В.И. Ефимов, Р.Т. Файзуллин // Вестник Томского университета. Приложение. 2005.- №14. - С. 115-118.
21. Зегжда Д.П. Основы безопасности информационных систем / Д.П. Зегжда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.
22. Зегжда Д.П. Общая архитектура систем обнаружения вторжений / Д.П. Зегжда, А.И. Бовт // Тезисы докладов конференции «Методы и технические средства обеспечения безопасности информации». СпбГТУ, 2001.
23. Зима В.М. Безопасность глобальных сетевых технологий. / В.М. Зима, А.А. Молдовян, Н.А. Молдовян. СПб.: БХВ-Петербург, 2000. - 300 с.
24. Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. / М.А. Иванов. - М.: КУДИЦ-ОБРАЗ, 2001.-368 с.
25. Касперский К. Техника сетевых атак /К. Касперский М.: COJIOH-P, 2001. - 396 с.
26. Кадер М. Разновидности сетевых атак Электронный ресурс. / М. Кадер. - Режим доступа: http://www.cnews.m/reviews/free/security/part7/netattack.shtml, свободный.
27. Кадер М. Типы сетевых атак, их описания и средства борьбы Электронный L ресурс. / М. Кадер. - Режим доступа: http://vmw.cnews.info/reviews/free/oldcom/security/ciscoattacks.shtml, свободный.
28. Лопухов И. Резервирование промышленных сетей Ethernet на втором уровне OSI: стандарты и технологии / И. Лопухов // Современные технологии автоматизации. 2009 - №3 - С. 16-32.
29. Мамаев Н.С., Мамаев Ю.Н., Теряев Б.Г. Цифровое телевидение. - М.: Горячая линия Телеком, 2001. - 180 с.
30. Мамаев Н.С., Мамаев Ю.Н., Теряев Б.Г. Системы цифрового телевидения и радиовещания. М.: Горячая линия - Телеком, 2007. - 254 с.
31. Максим М. Безопасность беспроводных сетей / М. Максим, Д. Поллино - М.: ДМК-Пресс, 2004. 288с.
32. Медведовский И.Д. Атака из Internet / И.Д. Медведовский, Б.В. Семьянов,
33. Д.Г. Леонов, A.B. Лукацкий. М.: Солон-Р, 2002. - 356 с.
34. Медведовский И.Д. Атака на Internet / И.Д. Медведовский, Б.В. Семьянов, Д.Г. Леонов. М.: ДМК, 1999.-336 с.
35. Медведовский И.Д. Атака через Internet / И.Д. Медведовский, П.В. Семьянов, В.В. Платонов. М.: Мир и семья-95, 1997. - 296 с.
36. Милославская Н.Г. Интрасети: обнаружение вторжений / Н.Г. Милославская, А.И. Толстой - М: Юнити-Дана, 2001. 592 с.
37. Никонов В.И. Маршрутизируемый сервис передачи данных через распределенные сети / В.И. Никонов // Материалы конференции- конкурса «Технологии Microsoft в информатике и программировании» - Новосибирск, 2008. С. 83-84.
38. Никонов В.И. Маршрутизируемый сервис передачи. / В.И. Никонов // Материалы Всероссийской научно-технической конференции «Россия молодая: передовые технологии в промышленность», 12-13 ноября 2008.- Омск, 2008.-С. 80-84.
39. Никонов В.И. Маршрутизируемый сервис передачи / В.И. Никонов // Тезисы докладов VIII сибирской школы-семинара с международным участием «компьютерная безопасность и криптография» SIBECRYT "09. Омск, ОмГТУ, 8-11 сентября 2009.- С. 76-78.
40. Никонов В.И. Маршрутизация в беспроводных сетях нового поколения /
41. В.И. Никонов // Системы управления и информационные технологии. - 2010 - №1.1(39) - С. 170- 173.
42. Никонов В.И. Методы защиты информации в распределенных компьютерных сетях с помощью алгоритмов маршрутизации / В.И. Никонов // Доклады ТУСУР. 2010. - № 1 (21) , ч.2 - с. 219-224.
43. Новаковский С.В., Котельников A.B. Новые системы телевидения. Цифровые методы обработки видеосигналов. М.: Радио и связь, 1992. - 88с.
44. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы: учебник для Вузов. 3-изд. / В.Г. Олифер, H.A. Олифер СПБ.: Питер, 2006. -958 с.
45. Орлов А.И. Математика случая: Вероятность и статистика - основные факты / А.И. Орлов М.: МЗ-Пресс, 2004. - 110 с.
46. Панасенко С.П. Алгоритмы шифрования. Специальный справочник / С.П. Панасенко СПб.: БХВ-Петербург, 2009. - 576 с.
47. Пескин А. Е., Смирнов А. В. Цифровое телевидение. От теории к практике. - М.: Горячая линия-Телеком, 2005. 349 с.
48. Пролетарский А. В. Беспроводные сети Wi-Fi / A.B. Пролетарский, И.В. Баскаков, Д. Н. Чирков М.: БИНОМ, 2007. - 178 с.
49. Романец Ю.В. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин - М.: Радио и связь, 2001. - 376с.
50. Снейдер И. Эффективное программирование ТСРЯР. Библиотека программиста / И. Снейдер. - СПб: Питер, 2002. 320 с.
51. Тихонов А. Системы обнаружения вторжений / А. Тихонов // Режим доступа: URL: www.Isoft.com.ru, свободный.
52. Тюрин М. Особенности российских стандартов защиты информации / М. Тюрин // Byte. 2005. - №12(88).
53. Феллер В. Введение в теорию вероятностей и ее приложения / В. Феллер -1. М.: Мир, 1964-752 с.
54. Хансен Д. Атаки на беспроводные сети Электронный ресурс. / Д. Хансен. -Режим доступа: http://www.securitylab.ru/analytics/216360.php, свободный.
55. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства / В.Ф. Шаньгин М.: ДМК-Пресс, 2008. - 544с.
56. Шахлевич A. VPN: плюсы и минусы / А. Шахлевич // Информационная безопасность. 2009. - №6.
57. Шелупанов А.А. Основы информационной безопасности: Учебное пособие / А.А. Шелупанов, В.П. Лось, Р.В. Мещеряков, Е.Б. Белов. М.: Горячая линия - Телеком, 2006. - 544 с.
58. Щерба Е.В. Метод защиты цифровой видеоинформации при её передаче в распределенных компьютерных сетях / Е.В. Щерба // Прикладная дискретная математика. - 2009. - Приложение № 1. - С. 60-62.
59. Шнайер Б. Прикладная криптография, 2-е издание: протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер М: Триумф, 2002. - 610 с.
60. Ященко В.В. Введение в криптографию. / В.В. Ященко. М: МЦНМО, 1998.-272 с.
61. Adelman L. An Abstract Theory of Computer Viruses / L. Adelman // Advances in Cryptology, 1990.- P. 354-374.
62. Akyildiz I. Wireless Mesh Networks: A Survey / I. Akyildiz, X. Wang, W. Wang // Computer Networks and ISDN Systems. 2005. - Vol. 47/4. P. 445 - 487.
63. Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999.
64. Ben Salem N. Securing Wireless Mesh Networks / N. Ben Salem, J.-P. Hubaux // IEEE Wireless Communications. 2006. - №13/2.
65. Chereddi C. Net-X: A Multichannel Multi-Interface Wireless Mesh Implementation / C. Chereddi, P. Kyasanur, N. Vaidya // ACM Sigmobile. - 2007.-№11(3).-P. 84-95.
66. Dorges Т. A Network of IDS Sensors for Attack Statistics / T. Dorges, O. Gellert, K. Kossakowski // Praxis der Informationsverarbeitung und Kommunikation. - 2004. №27. - P. 202-208.
67. Giannoulis A. Congestion Control and Channel Assignment in Multi-Radio Wireless Mesh Networks, Congestion Control and Channel Assignment in MultiRadio Wireless Mesh Networks / A. Giannoulis, T. Salonidis, E. Knightly // IEEE SECON, 2008.
68. ISO 15408 Общие критерии оценки безопасности информационныхтехнологий
69. Как A. Port Scanning, Vulnerability Scanning, and Packet Sniffing /А. Как // Computer and Network Security. 2008. - Vol. 23. - P. 29-38.
70. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, Syngress, 2007.
71. Knightly E. Multi-Tier Multi-Hop Wireless: The Road Ahead / E. Knightly // 2007.
72. Microsoft Corporation. Microsoft TCP/IP. Учебный курс: Официальное пособие Microsoft для самостоятельной подготовки. М.: Русская редакция, 1999.-344 с.
73. Naor М. Visual Cryptography / М. Naor, A. Shamir // Lecture Notes in Computer Science. Berlin: Springer-Verlag, 1995. - Vol. 1294. - P. 322.
74. Paulauskas N. Computer System Attack Classification / N. Paulauskas, E. Garshva // Electronics and Electrical Engineering. - 2006. №2(66). - P. 84-87.
75. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time, " Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998.
76. Pejman R. 802.11 Wireless LAN Fundamentals / R. Pejman, J. Leary // Cisco Press, 2004.-312 p.
77. Postel, J. Internet Protocol, RFC-791, USC/Information Sciences Institute, - 1981.
78. Press W.H. Numerical Recipes: The Art of Scientific Computing. Third Edition. / W.H. Press, S.A. Teukolsky, W.T. Vetterling, B.P. Flannery - Cambridge, Cambridge University Press, 2007. 1256 p.
79. Raniwala A. Architecture and Algorithms for an IEEE 802.11-Based MultiChannel Wireless Mesh Network / A. Raniwala, T. Chiueh // Infocom, 2005.
80. Shamir A. How to share a secret / A. Shamir // Communications of the ACM- 1979. -N.Y.: ACM Press. 1979. - Vol. 22. - P. 612-613.
81. Wiggins R. Myths and Realities of Wi-Fi Mesh Networking / R. Wiggins // Mobile Technologies Research Fellow, 2006.
82. Сокращения, принятые в диссертационной работе
83. Сокращение Полное значение1. Интернет протокол
84. OSI Модель взаимодействия открытых систем
85. TCP Протокол транспортного уровня
86. ЛВС Локальная вычислительная сетьнсд Несанкционированный доступ1. ОС Операционная системаско Средняя квадратичная ошибкасмт Система мультиплексирования трафика
87. EE Институт инженеров по электротехнике и электронике1. АР Точка доступа
88. SS Независимые базовые зоны обслуживания
89. BSS Базовые зоны обслуживания
90. ESS Расширенные зоны обслуживания1. MP Узел теБЬ-сети1. МРР Портал теБИ-сети
91. MAP Точка доступа теБЬ-сети1. ВС Вычислительная система
92. S Система обнаружения вторжений
93. DoS Атака типа «отказ в обслуживании»
94. DDoS Распределенная атака типа «отказ в обслуживании»
95. TCP Протокол управления передачей
96. TFN Распределенная атака типа «отказ в обслуживании», использующая ТБИ сеть
97. TCP SYN Flood Атака типа «отказ в обслуживании» с использованием SYN-пакетов протокола TCP
98. PSW Вид троянских коней, предназначенных для похищения паролей
99. ARP Протокол определения адреса
100. WEP Протокол для обеспечения безопасности сетей Wi-Fi
101. Вектор инициализации протокола WEP
102. TIM Карта индикации трафика
103. RTS Фрейм «запрос на передачу»
104. CTS Фрейм «готов к передаче»
105. RC4 Потоковый шифр, разработанный Роном Риверстом и используемый в оригинальном стандарте IEEE 802.111. X.800 Стандарт МСЭ-Т
106. OVA Оценочный уровень доверия
107. MC3 Международный союз электросвязи
108. VPN Виртуальная частная сеть1.N Локальная сеть
109. PPTP Сетевой протокол туннелирования канального уровня
110. TP Сетевой протокол туннелирования канального уровня
111. SSL Сетевой протокол туннелирования канального уровня
112. TLS Сетевой протокол туннелирования канального уровня
113. WPA Протокол для обеспечения безопасности сетей Wi-Fi
114. TKIP Протокол целостности временного ключа
115. EAP Расширяемая инфраструктура аутентифкации
116. KSA Алгоритм планирования ключей протокола WEP
117. XOR Алгоритм сложения по модулю 2
118. SSID Идентификатор беспроводной локальной сети
119. WPA Протокол для обеспечения безопасности сетей Wi-Fi
120. RADIUS Протокол контроля доступа1. VBS Язык программирования
121. WMI Инструментарий управления Windows
122. Ver Поле IP-заголовка: Версия
123. L Поле IP-заголовка: Длина заголовка
124. TOS Поле IP-заголовка: Тип службы
125. Поле IP-заголовка: Идентификатор
126. TTL Поле IP-заголовка: Время существования
127. АЦП Аналого-цифровой преобразователь
128. ЦАП Цифро-аналоговый преобразователь
129. DVB Стандарт цифрового телевещания1. Утверждаю»
130. Директор Департамента Иш^ц^мащирп^Гх. Технологий1. Д.А. Болотюк2010 г, ь - 1. АКТвнедрения результатов диссертационной работы Нпконова В,И. Комиссия в составе:председатель Цветков Д.А., начальник отдела системного администрированиячлены комиссии:
131. Глушаков АВ„ системный администратор,
132. Синегубов Д.А., программист-разработчиксоставили акт о нижеследующем.
133. Данная топология подвергалась воздействию двух типов атак, независимо друг от друга: 1) прослушивание трафика на участке FSiFSa с помощью программы «Wireshark»; 2) периодическая реализация атаки отказ в обслуживании на сервер FSj.
134. После проведения сеансов передачи получен следующий эффект:1. процент потерь пакетов в момент, когда сервер недоступен Л/,- - 15%, FSi~Q%2. процент перехваченных пакетов МрМб- 71%, FsiFso- 16%.
135. Разработанная Никоновым В.И. оригинальная методика позволяет увеличить защищенность системы передачи информации без применения алгоритмов шифрования.1. Г» ¡г 20Юг.гЗ/» /г 2010г.201 Ог.1. Председатель1. Члены комиссии:
136. В. А. Майстренко Е. В. Щерба Т. Н. Виноградова
137. УТВЕРЖДАЮ» .- * РеI!ерал ьпый директор1. ЗАО1. Д»1. ТЫ.Ш. Рыбалов 2010 г.у1. АКТвнедрения результатов диссертационной работы Никоиова В.РГ.
138. Данные оценки согласуются с теоретическими оценками, вычисленными по формулам, представленным в работе Никонова В.И. для выбранных"параметров передачи.
139. Председатель комиссии: Члены комиссии:
140. С.Н. Балабай А.В. Бездитко М.В. Щерба
141. Программная реализация разработанных алгоритмов
142. Листинг 1. Реализация прототипа. Описание режима -а.1. StrArgs = "-a" Then
143. Выбираем ip-адрес из файла настроекI
144. FSO.FileExists(WorkDir&FileConQ = True Then
145. Set IdFile = FSO.OpenTextFile(WorkDir&FileConf, 1, False)1. MyIp = IdFile.ReadLine1.File.Close1. End if
146. WScript.Echo "Waiting for files."r
147. Ожидаем файлы от других передатчиков FlagSend = О LastIp = "1" Do While 1
148. Set colFiles = FF. ExecQuery("Select * from CIMDataFile where Path = "WwebservWsendW" and Extension!-ip" and Drive-c:"") For Each objFile in colFiles
149. FSO.FileExists(CurrentDir&objFile.FileName&".ip") = True Then
150. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 1, False)1. OpenIp = 0 i
151. Do While Openjp = 0 On Error Resume Next1. Test = IdFile.ReadLine i
152. Err.Number > 0 Then Openlp = 0 WScript. Sleep 10000 Else1. Openlp = 1 End If Loop1. CountServ = test1. DestIp = IdFile.ReadLine1.File.Close i1. MyIp = DestIp Then
153. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&,.ip", 8, False)1.File.WriteLine MyIp1.File.Close
155. FSO.FileExists(CurrentDir&"ok\\"&objFile.FileName&"."&objFile.Extension) = True Then
156. FSO.DeleteFile(CurrentDir&nok\\"&objFile.FileName&"."&objFile.Extension) End If
157. FSO.CopyFile objFile.Name, CurrentDir&"ok\\"
158. Р80.Р11еЕх1818(Сигге^В1г&пок\\"&о^Р11е.Р11еКаше&илр") = True Then FSO.DeleteFile(CurrentDir&"ok\\"&objFile.FileName&".ip")1. End If
159. FSO.CopyFile CurrentDir&objFile.FileName&"".ip", CurrentDir&"ok\\" WScript.Echo objFile.FileName&" ."&objFile.Extension&" arrived" WScript. Sleep 10000
160. FSO.DeleteFile(CurrentDir&objFile.FileName&".ip")
161. FSO.DeleteFile(CurrentDir&objFile.FileName&"."&objFile.Extension)1. Else
163. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 8, False) IdFile.WriteLine Mylp IdFile.Close End If
164. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 1, False)1. Filelp = IdFile.ReadAll1.File.Close i
165. Вычисление кол-во пройденных передатчиков CountPer=0
166. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)
167. Do While IdFile.AtEndOfLine о Truetest = IdFile.ReadLine1. CountPer = CountPer + 11.op1.File.Close1. CountPer = CountJPer-2
168. Int(CountPer) <= Int(CountServ) Then i
169. Выбираем следующий передатчик1. Currlp =1.st - Instr(FileIp, Currlp) Do While inst > 0 CountHst = 0
170. Set IdFile = FSO.OpenTextFile(WorkDir&FileHome,l, False)
171. Do While IdFile.AtEndOfLine o Truetest = IdFile.ReadLine1. CountHst = CountHst + 11.op1.File.Close Randomize()1 = Round(Int(CountHst)*Rnd + 1) 1 = 01. WScript.Echo 1
172. Set IdFile = FSO.OpenTextFile(WorkDir&FileHome, 1, False)1. Do While i < 11. Currlp = IdFile.ReadLinei=I+l
173. CurrIp LastIp Then Currlp = End Ifinst=Tnstr(FileIp, Curr lp)
174. Curr lp = DestIp Or CurrIp=MyIp Then Flaglp=0 Else FlagIp=l End Ifinst=inst*FlagIpobjTcp.Sleep 30001.op1.File.Close1.opI1. Else1. CurrIp=DestIp1. End If i
175. Инициируем соединение по данному ip-адресу1. WScript.Echo Currlp1.stIp=CurrIpobjTcp.Protocol = objConstants.asSOCKETPROTOCOLRAW objTcp.Connect CurrIp, 1500 If objTcp.LastError о 0 Then
176. WScript.Echo "Error " & objTcp.LastError & ": " & objTcp.GetErrorDescription(objTcp.LastError) FlagSend = 1 Else1. FlagSend = 0
177. WScript.Echo "Connection established" & vbCrLfstr = " " Mess = " "
178. Do while objTcp.ConnectionState =obj Constants. asSOCKETCONNSTATECONNECTED i1. Отправляем файл
179. Set IdFile = FSO.OpenTextFile(objFile.Name,l, False) objTcp.SendString objFile.FileName&"."&objFile.Extension objTcp.Sleep 3000
180. Do While IdFile.AtEndOfLine о Truestr = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 3000 Loop1.File.Close
181. FSO.FolderExists(CurrentDir&"arc\V") = False Then Set obj Folder = FSO.CreateFolder(CurrentDir&"arc\\n) End If
182. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) = True Then
183. FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) End If
184. FSO.MoveFile objFile.Name, CurrentDir&"arc\\"objTcp.SendString "FileEnd" iвместе с основным файлом отправляем файл инструкций
185. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)objTcp.SendString objFile.FileName&" .ip"objTcp.Sleep 3000 i
186. Do While IdFile.AtEndOfLine о True str = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 30001.op1.File.Close
187. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&".ip") = True Then FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&".ip")1. End If
188. FSO.MoveFile CurrentDir&objFile.FileName&".ip", CurrentDir&"arc\\"obj Tcp. SendString "ConfEnd" i1. objTcp.HasData Then
189. Mess = objTcp.ReceiveString
190. WScript.Echo "ReceiveString: " & Mess1. End If iobjTcp.Sleep 3000objTcp.Disconnect
191. WScript.Echo "Successfully send"1.op1. End If i1. End If i1. Else
192. WScript.Echo "Bad File: "&objFile.Name i1. End If Next1. WScript. Sleep 100001.op i1. End If "-a
193. Листинг 2. Процедура равномерной сегментации изображения.
194. HRESULT SNT: :Transform(IMediaSample *pMediaSample) {
195. BYTE *pData; long IDataLen; int iPixel;1. RGBTRIPLE *prgb;
196. Указатель на буфер изображения // Размер каждого входящего кадра // Переменная для использования внутри циклов // Указатель на текущий пиксель
197. AMMEDIATYPE* рТуре = &mpInput->CurrentMediaType(); VIDEOINFOHEADER *pvi = (VIDEOINFOHEADER *) pType->pbFormat; ASSERT(pvi);
198. CheckPointer(pMediaSample,EPOINTER); pMediaSample->GetPointer(&pData); IDataLen = pMediaSample->GetSize();
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.
Департамент образования, науки и молодежной политики
Воронежской области
государственное образовательное бюджетное учреждение
среднего профессионального образования
Воронежской области
«Воронежский техникум строительных технологий»
(ГОБУ СПО ВО «ВТСТ»)
Техническое обслуживание средств вычислительной техники и компьютерных сетей
ДИПЛОМНЫЙ ПРОЕКТ
Разработка технологии средств защиты информации беспроводных сетей
Консультант по организационно-
экономической части С.Н. Мухина
Нормоконтроль _ Л.И. Коротких
Руководитель Н.А. Меркулова
Разработал(а) _ М.А. Суханов
Воронеж 2014
Аннотация
Введение
1.1 Основные угрозы беспроводных сетей
1.3 Технологии средств защиты информации беспроводных сетей
1 Настройка программы WPA
2 Шифрование трафика
4. Охрана труда и техника безопасности
4.1 Электробезопасность при эксплуатации технических средств
4.2 Требования к помещению
4.3 Мероприятия по противопожарной технике
Заключение
Список сокращений
Приложение
Аннотация
В данном дипломном проекте велась разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов.
В ходе выполнения дипломного проекта был проведен анализ технологии информации защиты информации беспроводных сетей, анализ программных продуктов позволяющих повысить защиту беспроводных сетей от угроз.
В результате выполнения проекта приобретен опыт настройки программных продуктов, позволяющих максимально защитить беспроводную сеть от часто встречающихся угроз.
Дипломный проект состоит из четырех разделов, содержит двадцать четыре рисунка, одну таблицу.
защита информация сеть
Введение
Беспроводные сети уже используются практически во всех сферах деятельности. Широкое использование беспроводных сетей обусловлено тем, что они могут использоваться не только на персональных компьютерах, но и телефонах, планшетах и ноутбуках их удобством и сравнительно невысокой стоимостью. Беспроводные сети должны удовлетворять ряду требований к качеству, скорости, радиусу приема и защищенности, при этом защищенность часто является самым важным фактором.
Актуальность обеспечения безопасности беспроводной сети обусловлена тем, что если в проводных сетях злоумышленник должен сначала получить физический доступ к кабельной системе или оконечным устройствам, то в беспроводных сетях для получения доступа достаточно обычного приемника, установленного в радиусе действия сети.
Несмотря на различия в реализации связи, подход к безопасности беспроводных сетей и их проводных аналогов идентичен. Но при реализации методов защиты информации в беспроводных сетях больше внимания уделяется требованиям к обеспечению конфиденциальности и целостности передаваемых данных, к проверке подлинности беспроводных клиентов и точек доступа.
Объектом исследования является средства защиты информации беспроводных сетей
Предметом исследования является технология защиты информации беспроводных сетей
Целью дипломного проекта является повышение качества защиты информации беспроводных сетей
Для достижения указанной цели были решены следующие задачи:
исследованы виды угроз и их негативное воздействие на функционирование беспроводных сетей;
проанализированы программные продукты, осуществляющие защиту информации беспроводных сетей;
разработана технология средств защиты информации беспроводных сетей;
Практическая направленность разработанного дипломного проекта состоит в том, что в результате применения данного дипломного проекта достигается защита информации беспроводных сетей от несанкционированного подключения, стабильная скорость Интернет-соединения, контроль несанкционированного потребления трафика.
1. Анализ угроз и обеспечения безопасности беспроводной сети
Принцип беспроводной передачи данных заключает в себе возможность несанкционированных подключений к точкам доступа. При разработке корпоративной сети администраторы должны в первую очередь предусматривать не только качественное покрытие территории офисов связью, но и предусмотреть средства защиты, так как подключиться к сети можно и из автомобиля, припаркованного на улице.
Не менее опасной угрозой беспроводным сетям является вероятность хищения оборудования: роутер, антенна, адаптер. Если политика безопасности беспроводной сети построена на МАС-адресах, то сетевая карта или роутер, украденная злоумышленником, может открыть доступ к беспроводной сети.
1 Основные угрозы беспроводных сетей
Беспроводные технологии, работающие без физических и логических ограничений своих проводных аналогов, подвергают сетевую инфраструктуру и пользователей значительным угрозам. Наиболее частыми угрозами являются следующие:
Чужаки. «Чужаками» называются устройства, предоставляющие возможность неавторизованного доступа к беспроводной сети, зачастую в обход механизмов защиты, определенных корпоративной политикой безопасности. Чаще всего это самовольно установленные точки доступа. Статистика показывает, что угроза «чужаки» является причиной большинства взломов беспроводных сетей. В роли чужака могут выступить домашний маршрутизатор с поддержкой Wi-Fi, программная точка доступа Soft AP, ноутбук с одновременно включенными проводным и беспроводным интерфейсами, сканер, проектор и т. п.
Нефиксированная связь - беспроводные устройства могут менять точки подключения к сети прямо в процессе работы. К примеру, могут происходить «случайные ассоциации», когда ноутбук с Windows XP (достаточно доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Такой механизм позволяет злоумышленникам «переключать на себя» ничего не подозревающего пользователя для последующего сканирования уязвимостей.атака (англ. Man in the middle, "человек посередине") - термин используется в криптографии и обозначает ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле, сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале. MITM-атака - это метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную. Атака Man in the middle, обычно начинается с прослушивания канала связи и заканчивается попыткой криптоаналитика подменить перехваченное сообщение, извлечь из него полезную информацию, перенаправить его на какой-нибудь внешний ресурс.
Пример: Объект A передает объекту B некую информацию. Объект C обладает знаниями о структуре и свойствах используемого метода передачи данных, планирует перехватить эту информацию. Для совершения атаки С "представляется" объекту А - объектом В, а объекту В - объектом А. Таким образом, объект А отправляя информацию объекту В, неосознано посылает её объекту С. В свою очередь объект С, получив информацию и совершив с ней некоторые действия пересылает данные настоящему объекту В. Объект В считает, что информация была получена им напрямую от А.
Отказ в обслуживании - атака «отказ в обслуживании» может быть достигнута несколькими способами. Если хакеру удается установить соединение с беспроводной сетью, его злонамеренные действия могут вызвать ряд таких серьезных последствий: например, рассылку ответов на запросы протокола разрешения адресов (Address Resolution Protocol, ARP) для изменения ARP-таблиц сетевых устройств с целью нарушения маршрутизации в сети или внедрение несанкционированного сервера протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP) для выдачи неработоспособных адресов и масок сетей. Если хакер выяснит подробности настроек беспроводной сети, то сможет переподключить пользователей на свою точку доступа,а последние окажутся отрезанными от сетевых ресурсов, которые были доступны через «законную» точку доступа.
Подслушивание
Анонимные вредители могут перехватывать радиосигнал и расшифровывать передаваемые данные. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Чтобы перехватить передачу, злоумышленник должен находиться вблизи от передатчика. Перехваты такого типа практически невозможно зарегистрировать, и еще труднее помешать им. Использование антенн и усилителей дает злоумышленнику возможность находиться на значительном расстоянии от цели в процессе перехвата. Подслушивание позволяет собрать информацию в сети, которую впоследствии предполагается атаковать. Первичная цель злоумышленника - понять, кто использует сеть, какие данные в ней доступны, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно и какова территория развертывания сети.
1.2 Средства защиты беспроводных сетей
В качестве средств защиты от наиболее частых угроз беспроводных сетей можно использовать следующее программое обеспечение(Wi-Fi Protected Access) представляет собой обновлённую программу сертификации устройств беспроводной связи. Технология WPA состоит из нескольких компонентов:
протокол 802.1x - универсальный протокол для аутентификации, авторизации и учета (AAA)
протокол EAP - расширяемый протокол аутентификации (Extensible Authentication Protocol)
протокол TKIP - протокол временнОй целостности ключей, другой вариант перевода - протокол целостности ключей во времени (Temporal Key Integrity Protocol) - криптографическая проверка целостности пакетов (Message Integrity Code)
протокол RADIUS
За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования - RC4 - что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных). протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.
Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа - так называемый режим
WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты тоже довольно секьюрен (относительно WEP), очень не удобен с точки зрения управления. PSK-ключ требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети и так далее. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.
В этой серии статей будет рассмотрена работа WPA совместно с внешним RADIUS-сервером. Но прежде чем перейти к ней, немного подробнее остановимся на механизмах работы WPA. Технология WPA являлась временной мерой до ввода в эксплуатацию стандарта 802.11i. Часть производителей до официального принятия этого стандарта ввели в обращение технологию WPA2, в которой в той или иной степени используются технологии из 802.11i. Такие как использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), взамен TKIP, в качестве алгоритма шифрования там применяется усовершенствованный стандарт шифрования AES (Advanced Encryption Standard). А для управления и распределения ключей по-прежнему применяется протокол 802.1x.
Как уже было сказано выше, протокол 802.1x может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» - то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства (будь то точка доступа или умный коммутатор) будет открыт и пользователь получит доступ к ресурсам сети.
Функции аутентификации возлагаются на протокол EAP, который сам по себе является лишь каркасом для методов аутентификации. Вся прелесть протокола в том, что его очень просто реализовать на аутентификаторе (точке доступа), так как ей не требуется знать никаких специфичных особенностей различных методов аутентификации. Аутентификатор служит лишь передаточным звеном между клиентом и сервером аутентификации. Методов же аутентификации, которых существует довольно много: SIM, EAP-AKA - используются в сетях GSM мобильной связи - пропреоретарный метод от Cisco systems MD5 - простейший метод, аналогичный CHAP (не стойкий) MSCHAP V2 - метод аутентификации на основе логина/пароля пользователя в MS-сетях TLS - аутентификация на основе цифровых сертификатов SecureID - метод на основе однократных паролей
Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.
Протокол PPP засветился там потому, что изначально EAP планировался к использованию поверх PPP туннелей. Но так как использование этого протокола только для аутентификации по локальной сети - излишняя избыточность, EAP-сообщения упаковываются в «EAP over LAN» (EAPOL) пакеты, которые и используются для обмена информацией между клиентом и аутентификатором (точкой доступа).
Схема аутентификации состоит из трех компонентов: - софт, запущенный на клиентской машине, пытающейся подключиться к сети - узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x) Server - сервер аутентификации (обычно это RADIUS-сервер).
Процесс аутентификации состоит из следующих стадий:
Клиент может послать запрос на аутентификацию (EAP-start message) в сторону точки доступа
Точка доступа (Аутентификатор) в ответ посылает клиенту запрос на идентификацию клиента (EAP-request/identity message). Аутентификатор может послать EAP-request самостоятельно, если увидит, что какой-либо из его портов перешел в активное состояние.
Клиент в ответ высылает EAP-response packet с нужными данными, который точка доступа (аутентификатор) перенаправляет в сторону Radius-сервера (сервера аутентификации).
Сервер аутентификации посылает аутентификатору (точке доступа) challenge-пакет (запрос информации о подлинности клиента). Аутентификатор пересылает его клиенту.
Далее происходит процесс взаимной идентификации сервера и клиента. Количество стадий пересылки пакетов туда-сюда варьируется в зависимости от метода EAP, но для беспроводных сетей приемлема лишь «strong» аутентификация с взаимной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и предварительным шифрованием канала связи.
На следующий стадии, сервер аутентификации, получив от клиента необходимую информацию, разрешает (accept) или запрещает (reject) тому доступ, с пересылкой данного сообщения аутентификатору. Аутентификатор (точка доступа) открывает порт для Supplicant-а, если со стороны RADIUS-сервера пришел положительный ответ (Accept).
Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть.
После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт».
Для коммуникации между клиентом (supplicant) и точкой доступа (authenticator) используются пакеты EAPOL. Протокол RADIUS используется для обмена информацией между аутентификатором (точкой доступа) и RADIUS-сервером (сервером аутентификации). При транзитной пересылке информации между клиентом и сервером аутентификации пакеты EAP переупаковываются из одного формата в другой на аутентификаторе.
Первоначальная аутентификация производится на основе общих данных, о которых знают и клиент, и сервер аутентификации (как то логин/пароль, сертификат и т.д.) - на этом этапе генерируется Master Key. Используя Master Key, сервер аутентификации и клиент генерируют Pairwise Master Key (парный мастер ключ), который передается аутентификатору со стороны сервера аутентификации. А уже на основе Pairwise Master Key и генерируются все остальные динамические ключи, которым и закрывается передаваемый трафик. Необходимо отметить, что сам Pairwise Master Key тоже подлежит динамической смене. (Wired Equivalent Privacy) - старый метод обеспечения безопасности сети. Он все еще доступен для поддержки устаревших устройств, но использовать его не рекомендуется. При включении протокола WEP выполняется настройка ключа безопасности сети. Этот ключ осуществляет шифрование информации, которую компьютер передает через сеть другим компьютерам. Однако защиту WEP относительно легко взломать.
Существует два типа методов защиты WEP: проверка подлинности в открытой системе и проверка подлинности с использованием общих ключей. Ни один из них не обеспечивает высокий уровень безопасности, но метод проверки подлинности с использованием общих ключей является менее безопасным. Для большинства компьютеров и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Злоумышленник, перехвативший сообщения для успешной проверки подлинности с использованием общих ключей, может, используя средства анализа, определить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP. После определения статического ключа шифрования WEP злоумышленник может получить полный доступ к сети. По этой причине эта версия Windows автоматически не поддерживает настройку сети через проверку подлинности с использованием общих ключей WEP.
Использует генератор псевдослучайных чисел (алгоритм RC4) для получения ключа, а также векторы инициализации. Так как последний компонент не зашифрован, возможно вмешательство третьих лиц и воссоздание WEP-ключа.
Проведенный анализ угроз беспроводных сетей показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.
Обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать программу WPA. Программа WPA является обновленной программой сертификации устройств беспроводной связи. В программе WPA усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.
2. Технологии средств защиты информации беспроводных сетей
1 Настройка программы WPA
Возможность настройки WPA в Windows XP появляется с установкой Service Pack версии 2 (или же соответствующими обновлениями, лежащими на сайте Microsoft).
<#"363" src="doc_zip2.jpg" /> <#"352" src="doc_zip3.jpg" /> <#"327" src="doc_zip4.jpg" /> <#"325" src="doc_zip5.jpg" /> <#"376" src="doc_zip6.jpg" /> <#"351" src="doc_zip7.jpg" /> <#"351" src="doc_zip8.jpg" /> <#"326" src="doc_zip9.jpg" /> <#"291" src="doc_zip10.jpg" /> <#"311" src="doc_zip11.jpg" /> <#"298" src="doc_zip12.jpg" /> <#"349" src="doc_zip13.jpg" /> <#"justify">2.3 Шифрование трафика
Любая точка доступа позволяет включить режим шифрования трафика, передаваемого по беспроводной сети. Шифрование трафика скрывает данные пользователей сети и сильно осложняет злоумышленникам раскодирование данных, передаваемых по зашифрованной сети. Методов шифрования существует несколько, самые распространенные из которых WEP и, более защищенные, WPA и WPA-2. Метод шифрования WEP по современным меркам недостаточно стойкий, поэтому в современных точках доступа стандарта 802.11g уже используется улучшенный метод кодирования WPA. Рассмотрим настройку WPA шифрования.В панели управления точки доступа включите режим «WPA-PSK» (предпочтительнее «WPA2-PSK»), иногда могут быть подрежимы из них нужно выбирать персональный или упрощенный, так как другие могут не работать в вашей сети без выделенного сервера. В режиме WPA нужно выбрать алгоритм шифрования «AES» или «TCIP» и ввести ключ шифрования, в роли которого могут выступать любые символы (желательно использовать ключ максимальной длины, символы с цифрами вперемешку).
Рисунок 15-Настройка режима WPA-PSK в точке доступа
Все адаптеры Wi-Fi настраиваются аналогичным образом. А именно, на каждом компьютере/ноутбуке в свойствах «Беспроводного сетевого соединения» выбирайте в проверку подлинности «WPA-PSK» и шифрование данных «AES» или «TKIP», в зависимости от выбранного в точке доступа шифрования.
Рисунок 16-Настройка сетевого адаптера в режим WPA-PSK
Шаг 1 Откройте веб-браузер, наберите IP -адрес маршрутизатора (192.168.1.1 по умолчанию) в адресной строке и нажмите Enter .
Рисунок 17-Окно браузера
Шаг 2 Введите имя пользователя и пароль на странице авторизации, по умолчанию имя пользователя и пароль: admin .
Шаг 3 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Settings (Настройки беспроводных сетей), откроется окно настройки беспроводных сетей.
Рисунок 19-Окно настройки беспроводной сети
Идентификатор SSID (имя беспроводной сети): задайте новое имя для вашей беспроводной сети
Канал: 1, 6 или 11 подойдут лучше, чем Auto (Авто).
Поставьте галочку в полях "Enable Wireless Router Radio" (" Включить беспроводной маршрутизатор ") и "Enable SSID Broadcast" (" Включить вещание SSID").
Примечание: После нажатия кнопки Save (Сохранить), появляется сообщение Изменения настроек беспроводной сети начнут работать только после перезагрузки компьютера, пожалуйста, нажмите здесь, чтобы перезагрузить компьютер сейчас. Вам не нужно перезагружать маршрутизатор, пока вы не завершите все настройки беспроводной сети.
Шаг 5 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Security (Безопасность беспроводной сети), с правой стороны включите опцию WPA - PSK / WPA 2- PSK .
Рисунок 20-Настрой WPA-PSK
Version (Версия): WPA - PSK или WPA 2- PSK
Encryption (Шифрование): TKIP или AESPassword (Предварительно выданный ключ): укажите пароль (длина предварительно выданного ключа от 8 до 63 символов.)
Шаг 7 В меню слева выберите Systems Tools (Служебные программы) -> Reboot (Перезагрузка). Перезагрузите маршрутизатор для того, чтобы настройки вступили в силу.
Рисунок 21-Служебные программы
3. Организационно-экономическая часть
Стоимость адаптера была выбрана путем сравнения трёх прайс листов таких компаний как СаНи, Рет и DNS-SHOP, цены приведены в таблице 1
МагазинЦенаНаименование товараРЕТ1 841 руб.Сетевой адаптер Powerline TP-Link TL-WPA2220KITСаНи2 190 руб.Сетевой адаптер Powerline TP-Link TL-WPA2220KITDNS-SHOP1 870 руб.Сетевой адаптер Powerline TP-Link TL-WPA2220KITТаблица 1-Сравнение трёх прайс листов
Путем анализа и сравнения цен я сделал вывод что выгодней всего приобрести этот адаптер с поддержкой WPA в магазине РЕТ, так как цена составила 1841 рубль.
Охрана труда и техника безопасности
Инструкция по охране труда является основным документом, устанавливающим для рабочих правила поведения на производстве и требования безопасного выполнения работ.
Знание Инструкции по охране труда обязательно для рабочих всех разрядов и групп квалификации, а также их непосредственных руководителей.
На каждом Объекте должны быть разработаны и доведены до сведения всего персонала безопасные маршруты следования по территории Объекта к месту работы и планы эвакуации на случай пожара и аварийной ситуации.
Каждый рабочий обязан:
соблюдать требования настоящей Инструкции;
немедленно сообщать своему непосредственному руководителю, а при его отсутствии - вышестоящему руководителю о происшедшем несчастном случае и обо всех замеченных им нарушениях требований инструкции, а также о неисправностях сооружений, оборудования и защитных устройств;
помнить о личной ответственности за несоблюдение требований техники безопасности;
обеспечивать на своем рабочем месте сохранность средств защиты, инструмента, приспособлений, средств пожаротушения и документации по охране труда.
ЗАПРЕЩАЕТСЯ выполнять распоряжения, противоречащие требованиям настоящей Инструкции и "Межотраслевые правила по охране труда (правила безопасности) при эксплуатации электроустановок" ПОТ Р М-016-2001 (РД 153-34.0-03.150-00).
Любой компьютер является электроприбором и представляет собой потенциальную угрозу. Поэтому при работе с компьютером необходимо соблюдать требования безопасности.
Перед началом работы следует убедиться в исправности электропроводки, выключателей, штепсельных розеток, при помощи которых оборудование включается в сеть, наличии заземления компьютера и его работоспособности. Недопустимо использование некачественных и изношенных компонентов в системе электроснабжения, а также их суррогатных заменителей: розеток, удлинителей, переходников, тройников. Недопустимо самостоятельно модифицировать розетки для подключения вилок, соответствующих иным стандартам. Электрические контакты розеток не должны испытывать механических нагрузок, связанных с подключением массивных компонентов (адаптеров, тройников и т. п.). Все питающие кабели и провода должны располагаться с задней стороны компьютера и периферийных устройств. Их размещение в рабочей зоне пользователя недопустимо.
Запрещается производить какие-либо операции, связанные с подключением, отключением или перемещением компонентов компьютерной системы без предварительного отключения питания. Компьютер не следует устанавливать вблизи электронагревательных приборов и систем отопления. Недопустимо размещать на системном блоке, мониторе и периферийных устройствах посторонние предметы: книги, листы бумаги, салфетки, чехлы для защиты от пыли. Это приводит к постоянному или временному перекрытию вентиляционных отверстий. Запрещается внедрять посторонние предметы в эксплуатационные или вентиляционные отверстия компонентов компьютерной системы.
Некоторые составные части компьютеров способны сохранять высокое напряжение в течение длительного времени после
Особенности электропитания системного блока. Все компоненты системного блока получают электроэнергию от блока питания. Блок питания ПК - это автономный узел, находящийся в верхней части системного блока. Правила техники безопасности не запрещают вскрывать системный блок, например при установке дополнительных внутренних устройств или их модернизации, но это не относится к блоку питания. Блок питания компьютера - источник повышенной пожаро-опасности, поэтому вскрытию и ремонту он подлежит только в специализированных мастерских. Блок питания имеет встроенный вентилятор и вентиляционные отверстия. В связи с этим в нем неминуемо накапливается пыль, которая может вызвать короткое замыкание. Рекомендуется периодически (один - два раза в год) с помощью пылесоса удалять пыль из блока питания через вентиляционные отверстия без вскрытия системного блока. Особенно важно производить эту операцию перед каждой транспортировкой или наклоном системного блока.
Система гигиенических требований. Длительная работа с компьютером может приводить к расстройствам состояния здоровья. Кратковременная работа с компьютером, установленным с грубыми нарушениям гигиенических норм и правил, приводит к повышенному утомлению. Вредное воздействие компьютерной системы на организм человека является комплексным. Параметры монитора оказывают влияние на органы зрения. Оборудование рабочего места влияет на органы опорно-двигательной системы. Характер расположения оборудования в компьютерном классе и режим его использования влияет как на общее психофизиологическое состояние организма, так и им органы зрения.
Требования к видеосистеме. В прошлом монитор рассматривали в основном как источник вредных излучений, воздействующих прежде всего на глаза. Сегодня такой подход считается недостаточным. Кроме вредных электромагнитных излучений (которые на современных мониторах понижены до сравнительно безопасного уровня) должны учитываться параметры качества изображения, а они определяются не только монитором, но и видеоадаптером, то есть всей видеосистемы в целом.
На рабочем месте монитор должен устанавливаться таким образом, чтобы исключить возможность отражения от его экрана в сторону пользователя источников общего освещения помещения.
Расстояние от экрана монитора до глаз пользователя должно составлять от 50 до 70 см. Не надо стремиться отодвинуть монитор как можно дальше от глаз, опасаясь вредных излучений (по бытовому опыту общения с телевизором), потому что для глаза важен также угол обзора наиболее характерных объектов. Оптимально, размещение монитора на расстоянии 1,5 D от глаз пользователя, где D - размер экрана монитора, измеренный по диагонали. Сравните эту рекомендацию с величиной 3…5 D, рекомендованной для бытовых телевизоров, и сопоставьте размеры символов на экране монитора (наиболее характерный объект, требующий концентрации внимания) с размерами объектов, характерных для телевидения (изображения людей, сооружений, объектов природы). Завышенное расстояния от глаз до монитора приводит к дополнительному напряжению органов зрения, сказывается на затруднении перехода от работы с монитором к работе с книгой и проявляется в преждевременном развитии дальнозоркости. Важным параметром является частота кадров, которая зависит от свойств монитора, видеоадаптера и программных настроек видеосистемы. Для работы с текстами минимально допустима частота кадров 72 Гц. Для работы с графикой рекомендуется частота кадров от 85 Гц и выше.
Требования к рабочему месту. В требования к рабочему месту входят требования к рабочему столу, посадочному месту (стулу, креслу), Подставкам для рук и ног. Несмотря на кажущуюся простоту, обеспечить правильное размещение элементов компьютерной системы и правильную посадку пользователя чрезвычайно трудно. Полное решение проблемы требует дополнительных затрат, сопоставимых по величине со стоимостью отдельных узлов компьютерной системы, поэтому в быту и на производстве этими требованиями часто пренебрегают.
Монитор должен быть установлен прямо перед пользователем и не требовать поворота головы или корпуса тела.
Рабочий стол и посадочное место должны иметь такую высоту, чтобы уровень глаз пользователя находился чуть выше центра монитора. На экран монитора следует смотреть сверху вниз, а не наоборот. Даже кратковременная работа с монитором, установленным слишком высоко, приводит к утомлению шейных отделов позвоночника.
Если при правильной установке монитора относительно уровня глаз выясняется, что ноги пользователя не могут свободно покоиться на полу, следует установить подставку для ног, желательно наклонную. Если ноги не имеют надежной опоры, это непременно ведет к нарушению осанки и утомлению позвоночника. Удобно, когда компьютерная мебель (стол и рабочее кресло) имеют средства для регулировки по высоте. В этом случае проще добиться оптимального положения.
Клавиатура должна быть расположена на такой высоте, чтобы пальцы рук располагались на ней свободно, без напряжения, а угол между плечом и предплечьем составлял 100° - 110°. Для работы рекомендуется использовать специальные компьютерные столы, имеющие выдвижные полочки для клавиатуры. При длительной работе с клавиатурой возможно утомление сухожилий кистевого сустава. Известно тяжелое профессиональное заболевание - кистевой туннельный синдром, связанное с неправильным положением рук на клавиатуре. Во избежание чрезмерных нагрузок на кисть желательно предоставить рабочее кресло с подлокотниками, уровень высоты которых, замеренный от пола, совпадает с уровнем высоты расположения клавиатуры.
При работе с мышью рука не должна находиться на весу. Локоть руки или хотя бы запястье должны иметь твердую опору. Если предусмотреть необходимое расположение рабочего стола и кресла затруднительно, рекомендуется применить коврик для мыши, имеющий специальный опорный валик. Нередки случаи, когда в поисках опоры для руки (обычно правой) располагают монитор сбоку от пользователя (соответственно, слева), чтобы он работал вполоборота, опирая локоть или запястье правой руки о стол.
4.1Требования электробезопасности
При пользовании средствами вычислительной техники и периферийным оборудованием каждый работник должен внимательно и осторожно обращаться с электропроводкой, приборами и аппаратами и всегда помнить, что пренебрежение правилами безопасности угрожает и здоровью, и жизни человека
Во избежание поражения электрическим током необходимо твердо знать и выполнять следующие правила безопасного пользования электроэнергией:
Необходимо постоянно следить на своем рабочем месте за исправным состоянием электропроводки, выключателей, штепсельных розеток, при помощи которых оборудование включается в сеть, и заземления. При обнаружении неисправности немедленно обесточить электрооборудование, оповестить администрацию. Продолжение работы возможно только после устранения неисправности.
Во избежание повреждения изоляции проводов и возникновения коротких замыканий не разрешается:
а) вешать что-либо на провода;
б) закрашивать и белить шнуры и провода;
в) закладывать провода и шнуры за газовые и водопроводные трубы, за батареи отопительной системы;
г) выдергивать штепсельную вилку из розетки за шнур, усилие должно быть приложено к корпусу вилки.
Для исключения поражения электрическим током запрещается:
а) часто включать и выключать компьютер без необходимости;
б) прикасаться к экрану и к тыльной стороне блоков компьютера;
в) работать на средствах вычислительной техники и периферийном оборудовании мокрыми руками;
г) работать на средствах вычислительной техники и периферийном оборудовании, имеющих нарушения целостности корпуса, нарушения изоляции проводов, неисправную индикацию включения питания, с признаками электрического напряжения на корпусе
д) класть на средства вычислительной техники и периферийном оборудовании посторонние предметы.
Запрещается под напряжением очищать от пыли и загрязнения электроооборудование.
Запрещается проверять работоспособность электрооборудования в неприспособленных для эксплуатации помещениях с токопроводящими полами, сырых, не позволяющих заземлить доступные металлические части.
Ремонт электроаппаратуры производится только специалистами-техниками с соблюдением необходимых технических требований.
Недопустимо под напряжением проводить ремонт средств вычислительной техники и перифейного оборудования.
Во избежание поражения электрическим током, при пользовании электроприборами нельзя касаться одновременно каких-либо трубопроводов, батарей отопления, металлических конструкций, соединенных с землей.
При пользовании элетроэнергией в сырых помещениях соблюдать особую осторожность.
При обнаружении оборвавшегося провода необходимо немедленно сообщить об этом администрации, принять меры по исключению контакта с ним людей. Прикосновение к проводу опасно для жизни.
Спасение пострадавшего при поражении электрическим током главным образом зависит от быстроты освобождения его от действия током.
Во всех случаях поражения человека электрическим током немедленно вызывают врача. До прибытия врача нужно, не теряя времени, приступить к оказанию первой помощи пострадавшему.
Необходимо немедленно начать производить искусственное дыхание, наиболее эффективным из которых является метод?рот в рот¦ или?рот в нос¦, а также наружный массаж сердца.
Искусственное дыхание пораженному электрическим током производится вплоть до прибытия врача.
4.2 Требования к помещению
Помещения должны иметь естественное и искусственное освещение. Расположение рабочих мест за мониторами для взрослых пользователей в подвальных помещениях не допускается.
Площадь на одно рабочее место с компьютером для взрослых пользователей должна составлять не менее 6 м2, а объем не менее -20 м3.
Помещения с компьютерами должны оборудоваться системами отопления, кондиционирования воздуха или эффективной приточно-вытяжной вентиляцией.
Для внутренней отделки интерьера помещений с компьютерами должны использоваться диффузно-отражающие материалы с коэффициентом отражения для потолка - 0,7-0,8; для стен - 0,5-0,6; для пола - 0,3-0,5.
Поверхность пола в помещениях эксплуатации компьютеров должна быть ровной, без выбоин, нескользкой, удобной для очистки и влажной уборки, обладать антистатическими???йствами.
В помещении должны находиться аптечка первой медицинской помощи, углекислотный огнетушитель для тушения пожара.
4.3 Требования по обеспечению пожарной безопасности
На рабочем месте запрещается иметь огнеопасные вещества
В помещениях запрещается:
а) зажигать огонь;
б) включать электрооборудование, если в помещении пахнет газом;
в) курить;
г) сушить что-либо на отопительных приборах;
д) закрывать вентиляционные отверстия в электроаппаратуре
Источниками воспламенения являются:
а) искра при разряде статического электричества
б) искры от электроборудования
в) искры от удара и трения
г) открытое пламя
При возникновении пожароопасной ситуации или пожара персонал должен немедленно принять необходимые меры для его ликвидации, одновременно оповестить о пожаре администрацию.
Помещения с электроборудованием должны быть оснащены огнетушителями типа ОУ-2 или ОУБ-3.
Заключение
На сегодняшний момент беспроводные сети получили широкое распространение, что приводит к необходимости разработки технологии защиты информации беспроводных сетей.
В результате проведенного исследования в данном дипломном проекте можно сделать следующие выводы:
беспроводная передача данных заключает в себе возможность несанкционированного подключения к точкам доступа, нефиксированную связь, подслушивание, для этого необходимо предусмотреть качественные средства защиты, так как подключиться к сети можно из автомобиля, припаркованного на улице.
обзор программного обеспечения показал, что для защиты информации беспроводных сетей используются специализированные программы такие как WEP и WPA.
наиболее целесообразно для защиты информации беспроводных сетей использовать программу WPA, так как в программе WPA усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм.
Список используемых источников
Акнорский Д. Немного о беспроводных сетях //Компьютер Price.-2003.-№48.
Берлин А.Н. Телекоммуникационные сети и устройства. //Интернет-университет информационных технологий - ИНТУИТ.ру, БИНОМ. Лаборатория знаний, 2008. - 319 стр Системы передачи информации. Курс лекций. /С.В. Кунегин - М.: в/ч 33965, 1998, - 316 с. с ил.
Беспроводная сеть своими руками
Вишневский В.М., Ляхов А.И., Портной С.Л., Шахнович И.В. Широкополосные беспроводные сети передачи информации. - 2005. - 205с.
Восстановления данных в беспроводной сети //iXBT URL:#"justify">Гультяев А.К. Восстановление данных. 2-е изд. - СПб.: Питер, 2006. - 379 с.:
Зорин М., Писарев Ю., Соловьев П. Беспроводные сети: современное состояние и перспективы. - Connect! // Мир связи.1999.№4.стр. 104.
Зайдель И. Флэшка должна жить долго//R.LAB URL:#"justify">Зорин М., Писарев Ю., Соловьев П. Радиооборудование диапазона 2,4 ГГц: задачи и возможности // PCWeek/Russian Edition.1999.№20-21.стр.
Кристиан Барнс, Тони Боутс, Дональд Ллойд, Эрик Уле, Джеффри Посланс, Дэвид М. Зенджан, Нил О"Фаррел., Защита от хакеров беспроводных сетей. - Издательство: Компания АйТи, ДМК пресс. - 2005. - 480с.
Меррит Максим, Дэвид Поллино., Безопасность беспроводных сетей. - 2004. - 288с
Молта Д., Фостер-Вебстер А. Тестируем оборудование для беспроводных ЛВС стандарта 802.11 // Сети и системы связи.1999.№7.стр.
Митилино C. Безопасность беспроводных сетей //ITC-Online.-2003.-№27 URL:#"justify">Норенков, В.А. Трудоношин - М.: Изд-во МГТУ им. Н.Э. Баумана, 1998. 232 с.
Олифер В.Г., Олифер Н.А. Основы сетей передачи данных. //Интернет-университет информационных технологий - ИНТУИТ.ру, 2005 г. -176 стр.
Олейник Т. Беспроводные сети: современное состояние и перспективы.//Домашний ПК.-2003.-№10.
Программное обеспечение комплекса PC-3000 Flash//ACE Lab URL:#"justify">
Пролетарский А. В., Баскаков И. В., Чирков Д. Н. Беспроводные сети Wi-Fi. - 2007. - 216с
Пролетарский А.В., Баскаков И.В., Федотов Р.А. Организация беспроводных сетей. - Издательство: Москва. - 2006. - 181с.
Себастиан Рапли. ЛВС без ограничений // PC Magazine/Russian Edition.1999.№12.стр.105.
Стаханов C. Восстановление данных wi-fi//Центр восстановления данных Стаханов URL:#"justify">Технологии беспроводных сетей//iXBT URL:#"justify">Утилиты для восстановления данных//Центр Восстановления данных АСЕ URL:#"justify">Френк Дж. Дерфлер, мл., Лес Фрид. Беспроводные ЛВС //PC Magazine/Russian Edition.2000.№6. .
Юрий Писарев. Беспроводные сети: на пути к новым стандартам // PC Magazine/Russian Edition.1999.№ 10. стр. 184.
Юрий Писарев. Безопасность беспроводных сетей // PC Magazine/Russian Edition.1999.№12.стр. 97. Fi. Беспроводная сетьАвтор: Джон РоссИздательство: НТ Пресс Год издания: 2007 Страниц: 320фу: "боевые" приемы взлома и защиты беспроводных сетей название
Список сокращений
WEP - Wired Equivalent Privacy - Wi-Fi Protected Access- Address Resolution Protocol - Advanced Encryption Standard - Temporal Key Integrity Protocol fi - Wireless Fidelity
Приложение А
Рисунок 22- Защита WPA
Рисунок 23 - Построение защищенной беспроводной сети
Рисунок 24 - Адаптер с поддержкой WPA
