Technologie pro ochranu informací v bezdrátových sítích. Wi-Fi sítě a hrozby pro informační bezpečnost. Zranitelnost starých metod zabezpečení
Bělorusov Dmitrij Ivanovič
Koreškov Michail Sergejevič
LLC "RICOM" Moskva
Wi-Fi sítě a ohrožení bezpečnosti informací
Článek pojednává o přímých i nepřímých hrozbách informační bezpečnosti, které vznikají v souvislosti s rozvojem technologie bezdrátového přístupu WiFi. Ukazuje se, že použití WiFi technologie může ohrozit nejen informace přenášené přímo pomocí WiFi zařízení, ale také řečové informace v zařízení.
Široké používání bezdrátových datových sítí založených na technologii IEEE 802.11, známější jako WiFi, nemůže přitáhnout pozornost specialistů na bezpečnost zařízení. V tomto článku si autoři kladou za cíl seznámit čtenáře s výsledky výzkumu nových hrozeb pro informační bezpečnost objektu, které jsou spojeny s WiFi sítěmi.
Zpočátku byla technologie WiFi zaměřena na organizaci rychlých přístupových bodů k internetu (hotspotů) pro mobilní uživatele. Technologie umožňuje poskytovat současný přístup k internetu velkému počtu účastníků především na veřejných místech (letiště, restaurace atd.). Výhody bezdrátového přístupu jsou zřejmé, zejména proto, že technologie WiFi se zpočátku stala de facto standardem a výrobci mobilních počítačů nemají problém s kompatibilitou mezi přístupovými body a mobilními zařízeními.
Postupně se WiFi sítě rozšířily do velkých i malých kanceláří, aby organizovaly vnitropodnikové sítě nebo podsítě.
Zároveň se začali rozvíjet velcí telekomunikační operátoři vlastní služby poskytovat placené bezdrátové připojení k internetu založené na technologii WiFi. Takové sítě se skládají z velkého počtu přístupových bodů, které organizují oblasti pokrytí celých městských oblastí, podobně jako mobilní komunikace.
Výsledkem je, že v dnešní době v každém velkém městě, vedle téměř jakéhokoli objektu, existuje alespoň několik WiFi sítí s vlastními přístupovými body a klienty, jejichž počet může dosáhnout stovek.
Přejděme k hrozbám informační bezpečnosti, které vznikají v souvislosti s používáním WiFi sítí. Všechny hrozby lze rozdělit do dvou tříd:
- přímá - ohrožení informační bezpečnosti, která vznikají při přenosu informací přes bezdrátové rozhraní IEEE 802.11;
- nepřímé - hrozby spojené s přítomností velkého počtu WiFi sítí na místě a v blízkosti místa, které lze použít k přenosu informací, včetně informací přijatých neoprávněně.
Nepřímé hrozby jsou relevantní pro naprosto všechny organizace, a jak bude ukázáno níže, představují nebezpečí nejen pro informace zpracovávané v počítačových sítích, ale především také pro řečové informace.
Podívejme se na přímé hrozby. Pro organizaci bezdrátového komunikačního kanálu v technologii WiFi se používá rozhraní pro rádiový přenos dat. Jako kanál pro přenos informací je potenciálně náchylný k neoprávněnému zásahu s cílem zachytit, zkreslit nebo zablokovat informace.
Při vývoji technologie WiFi byly zohledněny některé problémy informační bezpečnosti, ale jak ukazuje praxe, nestačí to.
Četné „díry“ v zabezpečení WiFi vedly k samostatnému hnutí v odvětví počítačového hackingu, takzvanému wardrivingu. Wardrivers jsou lidé, kteří ze „sportovního“ zájmu hackují cizí WiFi sítě, což však nesnižuje nebezpečí hrozby.
Přestože technologie WiFi poskytuje ověřování a šifrování pro ochranu provozu před zachycením na vrstvě datového spojení, tyto bezpečnostní funkce nejsou dostatečně účinné.
Za prvé, použití šifrování několikrát snižuje rychlost přenosu informací kanálem a často je šifrování záměrně zakázáno správci sítě za účelem optimalizace provozu. Za druhé, použití docela běžné technologie šifrování WEP v sítích WiFi bylo dlouho zdiskreditováno kvůli nedostatkům v algoritmu distribuce klíčů RC4, který se používá ve spojení s WEP. Existuje mnoho programů, které umožňují vybrat „slabé“ klíče WEP. Tento útok byl nazván FMS podle prvních písmen iniciál vývojářů. Každý paket obsahující slabý klíč má 5% šanci na obnovení jednoho bajtu tajného klíče, takže celkový počet paketů, které musí útočník shromáždit, aby provedl útok, závisí především na míře jeho štěstí. V průměru trvá prolomení asi šest milionů šifrovaných paketů. Hackeři z H1kari z DasbOden Labs posílili FMS algoritmus a snížili počet požadovaných balíčků ze šesti milionů na 500 tisíc. A v některých případech je 40/104bitový klíč prolomený pouze třemi tisíci pakety, což umožňuje útočit i na domácí přístupové body, aniž by je zatěžoval nadměrným provozem.
Pokud mezi legitimními klienty a přístupovým bodem probíhá jen malá nebo žádná komunikace, může útočník donutit oběť, aby generovala velké množství provozu, aniž by znal tajný klíč. Stačí jednoduše zachytit správný paket a bez jeho dešifrování jej znovu předat.
Vývojáři zařízení reagovali zcela adekvátně a změnili algoritmus pro generování inicializačních vektorů tak, aby se již neobjevovaly slabé klíče.
V srpnu 2004 hacker jménem KoreK demonstroval zdrojový kód nového kryptografického analyzátoru, který dokázal prolomit i silné inicializační vektory. K obnově 40bitového klíče potřeboval pouze 200 000 paketů s jedinečnými inicializačními vektory a na 104bitový klíč 500 tisíc. Počet paketů s jedinečnými vektory je v průměru asi 95 % z celkového počtu zašifrovaných paketů, takže útočník bude potřebovat velmi málo času na obnovení klíče.
Nová WiFi výbava využívá technologii WPA - WiFi Protected Access (chráněný WiFi přístup), kde byla opět posílena bezpečnost bezdrátových zařízení. WEP přišel nahradit TKIP (Temporal Key Integrity Protocol)- protokol krátkodobé integrity klíče), generující dynamické klíče, které se vzájemně nahrazují v krátkém časovém intervalu. Navzdory relativní novosti této technologie již některé hackerské nástroje obsahují speciální modul, který zobrazuje jeden z klíčů protokolu. Pro neautorizované připojení k přístupovému bodu chráněnému technologií WPA se to ukázalo jako zcela dostačující.
Standard IEEE 802.11i popisuje pokročilejší bezpečnostní systém (známý jako WPA2) založený na kryptografickém algoritmu AES. Hotové nástroje pro jeho nabourání otevřený formulář nebyla dosud pozorována, takže se s touto technologií můžete cítit bezpečně. Aspoň chvíli vydrží.
Hrozba zablokování informací na WiFi kanálu byla při vývoji technologie prakticky ignorována, což je marné. Blokování kanálu samo o sobě samozřejmě není nebezpečné, protože WiFi sítě jsou téměř vždy pomocné, ale blokování je často jen přípravnou fází pro útok typu man-in-the-middle, kdy se mezi klientem a přístupem objeví třetí zařízení. bod, který přes ně přesměruje provoz mezi nimi. V tomto případě hrozí nejen zachycení informace, ale i její zkreslení. Je známo minimálně několik zpracovaných útoků na WiFi sítě spojených s odmítnutím služby (DOS), ale v tomto článku se jejich úvahami nebudeme zdržovat, omezíme se pouze na konstatování přítomnosti skutečných hrozeb.
Přejděme k úvahám o nepřímých hrozbách pro informační bezpečnost objektu, které přímo souvisejí s technologií WiFi.
Kanály WiFi sítě jsou mimořádně atraktivní pro použití jako transportní infrastruktura pro zařízení pro neoprávněný příjem informací z řady důvodů:
1. Signály z WiFi zařízení mají poměrně složitou strukturu a široké spektrum, takže tyto signály, a tím spíše okolní WiFi zařízení, nelze identifikovat běžnými rádiovými monitorovacími nástroji.
Jak ukázala praxe, spolehlivá detekce WiFi signálu moderními rádiovými monitorovacími komplexy v širokém frekvenčním pásmu je možná pouze na základě energetického kritéria za přítomnosti paralelních analytických pásem o šířce několika desítek MHz při rychlosti minimálně 400 MHz/ s a pouze v blízké zóně. Signály z přístupových bodů umístěných ve vzdáleném poli jsou pod úrovní šumu přijímače.
Detekce WiFi vysílačů během sekvenčního skenování s úzkopásmovými přijímači je obecně nemožná.
2. Privátní WiFi sítě nebo veřejné WiFi sítě jsou rozmístěny téměř na každém zařízení nebo v jeho blízkosti. V obklíčení takovými sítěmi je extrémně obtížné odlišit legální klienty vlastní a sousední sítě od klientů se schopností tajně přijímat informace, což umožňuje efektivně maskovat neoprávněný přenos informací mezi legálními WiFi kanály.
WiFi vysílač vysílá takzvaný “OFDM signál”. To znamená, že v jednom okamžiku zařízení vysílá v jednom signálu zabírajícím široké frekvenční pásmo (asi 20 MHz) několik informačních nosičů - dílčích nosných informačních kanálů, které jsou umístěny tak blízko u sebe, že při příjmu na běžném přijímacím zařízení , signál vypadá jako jedna „kopule“. V takové „kopuli“ je možné oddělit dílčí nosné a identifikovat vysílací zařízení pouze pomocí speciálního přijímače.
3. Ve velkých městech mají veřejné WiFi sítě dostatečnou oblast pokrytí, aby bylo možné se k nim připojit a přenášet informace téměř z jakéhokoli místa. To eliminuje potřebu používat mobilní bod příjmu informací v blízkosti místa, protože informace mohou být přenášeny neoprávněným zařízením přes veřejný přístupový bod a poté přes internet na jakékoli místo.
4. Zdroje, které kanály WiFi sítě poskytují, vám umožňují přenášet zvuk, data a video v reálném čase. Tato skutečnost otevírá široké možnosti pro zařízení na zachycování informací. Nyní nejen zvukové informace, ale i obrazová data z počítačů resp místní síť v ohrožení.
Všechny výhody WiFi technologie diskutované výše z hlediska ochrany informací na místě jsou nevýhodami. Kromě toho se zcela legálně vyrábějí a prodávají malá WiFi zařízení, která umožňují přenos dat, hlasu nebo obrazových informací, například bezdrátové WiFi videokamery, které lze snadno přeměnit pro použití jako zařízení pro tajné získávání informací.
Rýže. 1. Signál z WiFi vysílače v blízkém poli
Rýže. 2. Bezdrátová WEB kamera s WiFi rozhraním
1. V místnosti byla instalována neautorizovaná WiFi videokamera s mikrofonem. Pro zvýšení dosahu přenosu informací je na střeše objektu instalován WiFi přístupový bod, který pracuje v režimu opakovače (jeden ze standardních provozních režimů WiFi přístupového bodu) se směrovou anténou. V tomto případě lze informace z místnosti, ve které je nainstalována standardní napájecí WiFi kamera klienta, přijímat na kontrolním místě vzdáleném několik kilometrů od místa, dokonce i ve městě.
2. Pomocí speciálního programu (viru) lze chytrý telefon některého z podnikových zaměstnanců přepnout do režimu, kdy budou zaznamenávány řečové informace z mikrofonu a přenášeny do řídícího bodu pomocí WiFi modulu v něm zabudovaného.
Pro zvýšení utajení lze kontrolní bod použít i v jednom ze standardních režimů WiFi přístupových bodů – „přenos z skryté jméno" V tomto případě bude přístupový bod neviditelný pro programy pro procházení sítě pro bezdrátové sítě. Nutno podotknout, že v těchto WiFi programech nejsou klienti vůbec vidět.
3. A na závěr zvažme variantu, kdy režim v zařízení neumožňuje přesun paměťových médií mimo jeho hranice, chybí nebo je omezený přístup k internetu. Jak může útočník nepozorovaně přenést dostatečně velké množství dat z takového objektu? Odpověď: Potřebuje se zcela legálně připojit k sousední WiFi vysílací síti a přenášet informace, přičemž zůstává nepovšimnut mezi dostatečně velkým počtem WiFi klientů sousedních sítí přenášejících informace mimo zařízení.
Závěry:
Technologie WiFi je jistě pohodlná a univerzální pro organizaci bezdrátového přístupu k informacím. Nese však mnoho vážných hrozeb pro informační bezpečnost objektu. Zároveň existují přímé i nepřímé hrozby pro informační bezpečnost. A pokud se můžete zbavit přímých hrozeb tím, že odmítnete používat WiFi zařízení v podnikové síťové infrastruktuře a nepoužíváte WiFi sítě v objektu, pak nepřímé hrozby existují bez ohledu na použití WiFi technologie v objektu. Kromě toho jsou nepřímé hrozby nebezpečnější než přímé, protože ovlivňují nejen informace v počítačových sítích, ale také řečové informace v zařízení.
Na závěr bych rád poznamenal, že technologie WiFi není v současnosti jedinou rozšířenou technologií bezdrátového přenosu dat, která může představovat hrozbu pro informační bezpečnost objektu.
Zařízení Bluetooth lze také použít k organizaci neoprávněných bezdrátových datových přenosů. Ve srovnání s WiFi mají zařízení Bluetooth výrazně menší možnosti, pokud jde o dosah přenosu informací a kapacitu kanálu, ale mají jednu důležitou výhodu - nízkou spotřebu energie, která je pro neautorizovaný vysílač extrémně důležitá.
Další technologií, která začíná konkurovat WiFi v poskytování bezdrátového širokopásmového přístupu, je WiMAX. V současnosti jsou však zařízení WiMAX mnohem méně běžná a jejich přítomnost bude spíše demaskujícím faktorem než skrytím neoprávněného kanálu přenosu informací.
WiFi je tedy v současnosti nejen nejrozšířenější technologií bezdrátového přístupu, ale také nejpohodlnější z pohledu neoprávněného příjmu a přenosu informací.
Literatura
- Karolik A., Kaspersky K. Pojďme zjistit, co je to wardriving a co by se mělo používat s //Hackerem. - č. 059. - S. 059-0081.
V současné době většina firem a podniků věnuje stále více pozornosti přímému využívání Wi-Fi sítí. Je to dáno pohodlností, mobilitou a relativní levností propojení jednotlivých kanceláří a možností jejich přesunu v rámci vybavení. Wi-Fi sítě používají složité algoritmické matematické modely pro autentizaci, šifrování dat a kontrolu integrity jejich přenosu – což vám umožní být relativně klidný ohledně bezpečnosti dat při používání této technologie.
Bezpečnostní analýza bezdrátových sítí.
V současné době většina firem a podniků věnuje stále více pozornosti přímému využívání Wi-Fi sítí. Je to dáno pohodlností, mobilitou a relativní levností propojení jednotlivých kanceláří a možností jejich přesunu v rámci vybavení. Wi-Fi sítě používají složité algoritmické matematické modely pro autentizaci, šifrování dat a kontrolu integrity jejich přenosu – což vám umožní být relativně klidný ohledně bezpečnosti dat při používání této technologie.
Toto zabezpečení je však relativní, pokud nevěnujete konfiguraci náležitou pozornost bezdrátové sítě. V tuto chvíli již existuje seznam „standardních“ funkcí, které může hacker získat, pokud při nastavování bezdrátové sítě zanedbá:
Přístup k místním síťovým zdrojům;
Poslouchání, krádež (to znamená přímo internetový provoz) provozu;
Zkreslení informací procházejících sítí;
Představení falešného přístupového bodu;
Trochu teorie.
1997 – vydán první standard IEEE 802.11. Možnosti ochrany přístupu k síti:
1. Pro přístup k místní síti bylo použito jednoduché heslo SSID (Server Set ID). Tato možnost neposkytuje požadovanou úroveň ochrany, zejména pro současnou úroveň technologie.
2. Použití WEP (Wired Equivalent Privacy) – tedy použití digitálních klíčů k šifrování datových toků pomocí této funkce. Samotné klíče jsou jen obyčejná hesla s délkou od 5 do 13 ASCII znaky, což odpovídá 40 nebo 104bitovému šifrování na statické úrovni.
2001 - představení nového standardu IEEE 802.1X. Tento standard používá dynamické 128bitové šifrovací klíče, které se v průběhu času periodicky mění. Základní myšlenkou je, že uživatel sítě pracuje v relacích, po jejichž dokončení je mu zaslán nový klíč - doba relace závisí na OS (Windows XP - standardně je doba jedné relace 30 minut).
V současné době existují standardy 802.11:
802.11 - Původní základní standard. Podporuje přenos dat přes rádiový kanál rychlostí 1 a 2 Mbit/s.
802.11a – vysokorychlostní standard WLAN. Podporuje přenos dat rychlostí až 54 Mbit/s přes rádiový kanál v rozsahu asi 5 GHz.
I802.11b - Nejběžnější standard. Podporuje přenos dat rychlostí až 11 Mbit/s přes rádiový kanál v rozsahu asi 2,4 GHz.
802.11e - Požadavek na kvalitu vyžadovaný pro všechna rádiová rozhraní IEEE WLAN
802.11f – Standard, který popisuje pořadí komunikace mezi peer přístupovými body.
802.11g – Zavádí další modulační techniku pro frekvenci 2,4 GHz. Navrženo pro přenos dat rychlostí až 54 Mbit/s přes rádiový kanál v rozsahu přibližně 2,4 GHz.
802.11h – Standard, který popisuje správu spektra 5 GHz pro použití v Evropě a Asii.
802.11i (WPA2) – Standard, který opravuje stávající bezpečnostní problémy v oblasti autentizačních a šifrovacích protokolů. Ovlivňuje protokoly 802.1X, TKIP a AES.
V současné době jsou široce používány 4 standardy: 802.11, 802.11a, 802.11b, 802.11g.
2003 – Byl představen standard WPA (Wi-Fi Protected Access), který kombinuje výhody dynamické obnovy klíče IEEE 802.1X s kódováním TKIP (Temporal Key Integrity Protocol), EAP (Extensible Authentication Protocol) a ověřovací technologií integrity zpráv MIC ( Kontrola integrity zprávy).
Kromě toho se paralelně vyvíjí mnoho nezávislých bezpečnostních standardů od různých vývojářů. Vůdci jsou takoví giganti jako Intel a Cisco.
2004 – Objevuje se WPA2 nebo 802.11i – v současnosti nejbezpečnější standard.
Technologie pro ochranu Fi-Wi sítí.
WEP
Tato technologie byla vyvinuta speciálně pro šifrování toku přenášených dat v rámci lokální sítě. Data jsou šifrována klíčem 40 až 104 bitů. To ale není celý klíč, ale pouze jeho statická složka. Pro zvýšení bezpečnosti se používá tzv. inicializační vektor IV (Initialization Vector), který je určen k randomizaci dodatečné části klíče, která poskytuje různé varianty šifry pro různé datové pakety. Tento vektor je 24bitový. Ve výsledku tak získáme obecné šifrování s bitovou hloubkou od 64 (40+24) do 128 (104+24) bitů, což nám umožňuje při šifrování pracovat s konstantními i náhodně vybranými znaky. Ale na druhou stranu, 24 bitů je pouze ~16 milionů kombinací (2 24 mocnin) - to znamená, že po vypršení cyklu generování klíče začíná nový cyklus. Hackování se provádí zcela jednoduše:
1) Nalezení opakování (minimální čas, pro klíč dlouhý 40 bitů - od 10 minut).
2) Hacknutí zbytku části (v podstatě sekund)
3) Můžete se infiltrovat do sítě někoho jiného.
Na prolomení klíče přitom existují celkem běžné utility, jako je WEPcrack.
802.1X
IEEE 802.1X je základním standardem pro bezdrátové sítě. V současné době je podporován systémy Windows XP a Windows Server 2003.
802.1X a 802.11 jsou kompatibilní standardy. 802.1X používá stejný algoritmus jako WEP, konkrétně RC4, ale s určitými odlišnostmi (větší „mobilita“, tj. je možné k síti připojit i PDA zařízení) a korekcemi (hackování WEP atd.) s.).
802.1X je založen na Extensible Authentication Protocol (EAP), Transport Layer Security (TLS) a RADIUS (Remote Access Dial-in User Service).
Poté, co uživatel projde fází autentizace, je mu po určitou krátkou dobu – dobu aktuálně platné relace – zaslán tajný klíč v zašifrované podobě. Po dokončení této relace je vygenerován nový klíč a znovu odeslán uživateli. Protokol zabezpečení transportní vrstvy TLS zajišťuje vzájemnou autentizaci a integritu přenosu dat. Všechny klíče jsou 128bitové.
Samostatně je nutné zmínit bezpečnost RADIUS: je založen na protokolu UDP (a je tedy relativně rychlý), proces autorizace probíhá v rámci autentizačního procesu (tj. neexistuje autorizace jako taková), implementace serveru RADIUS je zaměřena na jednoprocesovou obsluhu klientů (i když je možná a víceprocesová - otázka je stále otevřená), podporuje poměrně omezený počet typů autentizace (cleartext a CHAP) a má průměrnou míru zabezpečení. V RADIUSu jsou šifrována pouze hesla s čistým textem, zbytek balíčku zůstává „otevřený“ (z hlediska bezpečnosti je velmi důležitý parametr i uživatelské jméno, ale CHAP je samostatná záležitost). heslo v jakékoli podobě by se nikdy nepřeneslo přes síť Totiž: při autentizaci uživatele odešle klient uživatelskému stroji určitou výzvu (libovolnou náhodnou sekvenci znaků), uživatel zadá heslo a s touto výzvou uživatel provede. určité šifrovací akce pomocí zadaného hesla (obvykle se jedná o běžné šifrování pomocí algoritmu MD5 (RFC-1321). Tato odpověď je zaslána zpět klientovi a klient odešle vše (výzva a odpověď) na server 3A k ověření (Authentication , Autorizace, Účetnictví) provádí stejné akce s Challengem a porovnává svou odpověď s odpovědí přijatou od klienta: konverguje - uživatel je ověřen, ne - odmítnutí. Heslo ve formátu prostého textu tedy znají pouze uživatel a server 3A a heslo v čistém textu„necestuje“ sítí a nemůže být hacknut.
WPA
WPA (Wi-Fi Protected Access) je dočasný standard (technologie pro bezpečný přístup k bezdrátovým sítím), který je přechodný k IEEE 802.11i. WPA v podstatě kombinuje:
802.1X je základní standard pro bezdrátové sítě;
EAP - Extensible Authentication Protocol;
TKIP - Temporal Key Integrity Protocol;
MIC je technologie pro kontrolu integrity zpráv (Message Integrity Check).
Hlavními moduly jsou TKIP a MIC. Standard TKIP používá automaticky vybrané 128bitové klíče, které jsou generovány nepředvídatelným způsobem a mají přibližně 500 miliard variací. Obtížný hierarchický systém Algoritmus výběru klíčů a jejich dynamické nahrazování každých 10 KB (10 tisíc přenesených paketů) činí systém maximálně bezpečným. Technologie Message Integrity Check také chrání před externím pronikáním a změnami informací. Poměrně složitý matematický algoritmus umožňuje porovnávat data odeslaná v jednom bodě a přijatá v jiném. Pokud jsou zaznamenány změny a výsledek srovnání se neshoduje, jsou taková data považována za nepravdivá a vyřazena.
Je pravda, že TKIP není v současné době nejlepší v implementaci šifrování kvůli nové technologii Advanced Encryption Standard (AES), která se dříve používala ve VPN.
VPN
Technologie virtuální privátní sítě VPN ( Virtuální privát Network) byl navržen společností Intel, aby poskytoval zabezpečené připojení mezi klientskými systémy a servery prostřednictvím veřejných internetových kanálů. VPN je pravděpodobně jedna z nejspolehlivějších, pokud jde o spolehlivost šifrování a ověřování.
Ve VPN se používá několik šifrovacích technologií, z nichž nejoblíbenější jsou popsány protokoly PPTP, L2TP a IPSec s algoritmy DES šifrování, Triple DES, AES a MD5. IP Security (IPSec) se používá přibližně 65–70 % času. S jeho pomocí je zajištěna téměř maximální bezpečnost komunikační linky.
Technologie VPN nebyla navržena speciálně pro Wi-Fi – lze ji použít pro jakýkoli typ sítě, ale ochrana bezdrátových sítí s její pomocí je tím nejsprávnějším řešením.
Pro VPN již bylo uvolněno poměrně velké množství softwaru (Windows NT/2000/XP, Sun Solaris, Linux) a hardwaru. Pro implementaci ochrany VPN v rámci sítě je třeba nainstalovat speciální bránu VPN (softwarovou nebo hardwarovou), ve které se vytvářejí tunely, jeden pro každého uživatele. Například u bezdrátových sítí by brána měla být instalována přímo před přístupovým bodem. A uživatelé sítě potřebují nainstalovat speciální klientské programy, které zase fungují i mimo bezdrátovou síť a dešifrování se provádí za jejími hranicemi. I když je to všechno dost těžkopádné, je to velmi spolehlivé. Ale jako všechno má své nevýhody, v tomto případě jsou dvě:
Potřeba poměrně rozsáhlé administrativy;
Snížení kapacity kanálu o 30–40 %.
Kromě toho je VPN docela jasnou volbou. Navíc v poslední době jde vývoj zařízení VPN přesně směrem ke zlepšení bezpečnosti a mobility. Kompletní řešení IPsec VPN v řadě Cisco VPN 5000 je ukázkovým příkladem. Navíc tato řada v současnosti obsahuje pouze jediné klientské řešení VPN, které dnes podporuje Windows 95/98/NT/2000, MacOS, Linux a Solaris. Kromě toho je ke všem produktům VPN 5000 dodávána bezplatná licence na používání značky a distribuci klientského softwaru IPsec VPN, což je také důležité.
Klíčové body o ochraně sítí Fi-Wi organizace.
Ve světle výše uvedeného se můžete ujistit, že aktuálně dostupné ochranné mechanismy a technologie vám umožní zajistit bezpečnost vaší sítě při používání Fi-Wi. Přirozeně, pokud se správci nespoléhají pouze na základní nastavení, ale postarají se o doladění. Samozřejmě nelze říci, že se takto vaše síť promění v nedobytnou baštu, ale vyčleněním dostatečně značných finančních prostředků na vybavení, čas na konfiguraci a samozřejmě na neustálé sledování můžete zajistit bezpečnost s pravděpodobností přibližně 95 %.
Klíčové body při organizaci a Nastavení Wi-Fi sítě, které by neměly být opomíjeny:
- Výběr a instalace přístupového bodu:
> před nákupem si pozorně přečtěte dokumentaci a aktuálně dostupné informace o dírách v implementaci softwaru pro tuto třídu zařízení (vše slavný příklad díry v IOS směrovačů Cisco, které umožňují útočníkovi získat přístup ke konfiguračnímu listu). Může mít smysl omezit se na nákup levnější varianty a aktualizaci operačního systému síťového zařízení;
> prozkoumat podporované protokoly a šifrovací technologie;
> kdykoli je to možné, kupujte zařízení, která používají WPA2 a 802.11i, protože používají novou technologii pro zabezpečení – Advanced Encryption Standard (AES). V tuto chvíli se může jednat o dvoupásmové přístupové body (AP) do sítí IEEE 802.11a/b/g Cisco Aironet 1130AG a 1230AG. Tato zařízení podporují bezpečnostní standard IEEE 802.11i, technologii ochrany proti vniknutí Wi-Fi Protected Access 2 (WPA2) využívající Advanced Encryption Standard (AES) a zaručují kapacitu pro splnění nejvyšších požadavků uživatelů bezdrátové sítě LAN. Nové AP využívají dvoupásmové technologie IEEE 802.11a/b/g a zůstávají plně kompatibilní s dřívějšími verzemi zařízení používajících IEEE 802.11b;
> předpřipravte klientské stroje na spolupráci se zakoupeným zařízením. Některé technologie šifrování nemusí být v současné době podporovány operačním systémem nebo ovladači. To pomůže vyhnout se plýtvání časem při zavádění sítě;
> neinstalujte přístupový bod mimo firewall;
> Umístěte antény uvnitř zdí budovy a omezte rádiový výkon, abyste snížili pravděpodobnost připojení zvenčí.
> používejte směrové antény, nepoužívejte výchozí rádiový kanál.
- Nastavení přístupového bodu:
> pokud váš přístupový bod umožňuje odepřít přístup k vašim nastavením prostřednictvím bezdrátového připojení, použijte tuto funkci. Zpočátku nedovolte hackerovi ovládat klíčové uzly prostřednictvím rádia, když proniká do vaší sítě. Zakázat protokoly rádiového vysílání, jako je SNMP, webové rozhraní pro správu a telnet;
> ujistěte se, že(!) používáte složité heslo pro přístup k nastavení přístupového bodu;
> pokud vám přístupový bod umožňuje řídit klientský přístup pomocí MAC adres, použijte toto;
> pokud vám zařízení umožňuje zakázat vysílání SSID, nezapomeňte to udělat. Ale zároveň má hacker vždy možnost získat SSID, když se připojuje jako legitimní klient;
> bezpečnostní politika by měla zakazovat bezdrátovým klientům vytváření ad-hoc spojení (takové sítě umožňují dvěma nebo více stanicím přímé vzájemné spojení a obcházení přístupových bodů, které směrují jejich provoz). Hackeři mohou proti systémům pomocí ad-hoc připojení použít několik typů útoků. Primárním problémem ad-hoc sítí je nedostatek identifikace. Tyto sítě mohou hackerovi umožnit provádět útoky typu man in the middle, denial of service (DoS) a/nebo kompromitovat systémy.
- Výběr nastavení v závislosti na technologii:
> pokud je to možné, odepřít přístup klientům s SSID;
> pokud není jiná možnost, povolte alespoň WEP, ale ne nižší než 128bit.
> pokud při instalaci ovladačů síťová zařízení Na výběr jsou tři technologie šifrování: WEP, WEP/WPA a WPA, poté zvolte WPA;
> pokud nastavení zařízení nabízí možnost volby: „Shared Key“ (je možné zachytit klíč WEP, který je stejný pro všechny klienty) a „Open System“ (je možné integrovat do sítě, pokud je známo SSID ) - vyberte „Sdílený klíč“. V tomto případě (pokud používáte ověřování WEP) je nejvhodnější povolit filtrování podle MAC adresy;
> pokud vaše síť není velká, můžete zvolit Pre-Shared Key (PSK).
> pokud je možné použít 802.1X. Při nastavování serveru RADIUS je však vhodné vybrat typ ověřování CHAP;
> maximální úroveň zabezpečení v současné době poskytuje použití VPN - použijte tuto technologii.
- Hesla a klíče:
> při používání SSID dodržujte stejné požadavky jako ochrana heslem – SSID musí být jedinečné (nezapomeňte, že SSID není šifrované a lze jej snadno zachytit!);
> vždy používejte nejdelší možné klíče. Nepoužívejte klíče menší než 128 bitů;
> nezapomínejte na ochranu heslem – používejte generátor hesel, měňte hesla po určité době, hesla udržujte v tajnosti;
> v nastavení je obvykle na výběr ze čtyř předdefinovaných kláves - použijte je všechny, mění se podle určitého algoritmu. Pokud je to možné, nezaměřujte se na dny v týdnu (v každé organizaci jsou vždy lidé, kteří pracují o víkendech - co v těchto dnech brání implementaci sítě?).
> zkuste použít dlouhé, dynamicky se měnící klíče. Pokud používáte statické klíče a hesla, změňte svá hesla po určité době.
> poučte uživatele, aby uchovávali hesla a klíče v tajnosti. Je to zvláště důležité, pokud někteří lidé používají k přihlášení notebooky, které mají doma.
- Nastavení sítě:
> pomocí NetBEUI organizovat sdílené prostředky. Pokud to neodporuje konceptu vaší sítě, nepoužívejte to drátové sítě Protokol TCP/IP pro organizaci sdílených složek a tiskáren.
> nepovolit přístup hostů ke sdíleným zdrojům;
> zkuste nepoužívat bezdrátové připojení DHCP sítě- používat statické IP adresy;
> omezit počet protokolů v síti WLAN pouze na ty nezbytné.
- Generál:
> používat firewally na všech klientech bezdrátové sítě nebo alespoň aktivovat firewall pro XP;
> pravidelně sledovat zranitelnosti, aktualizace, firmware a ovladače vašich zařízení;
> pravidelně používat bezpečnostní skenery k identifikaci skrytých problémů;
> Určete nástroje pro provádění bezdrátového skenování a jak často tato skenování provádět. Bezdrátové skenování může pomoci najít podvodné přístupové body.
> pokud to finance vaší organizace dovolují, zakupte si systémy detekce narušení (IDS, Intrusion Detection System), jako jsou:
CiscoWorks Wireless LAN Solution Engine (WLSE), který obsahuje několik nových funkcí - samoléčení, pokročilá detekce neoprávněné manipulace, automatizovaná kontrola místa, pohotovostní režim, sledování klientů s hlášením v reálném čase.
CiscoWorks WLSE - Centralizované řešení systémové úrovni pro správu celé bezdrátové infrastruktury založené na produktech Cisco Aironet. Pokročilé možnosti správy rádia a zařízení podporované CiscoWorks WLSE zjednodušují probíhající operace bezdrátové sítě, umožňují bezproblémové nasazení, zvyšují zabezpečení a zajišťují maximální dostupnost a zároveň snižují náklady na nasazení a provoz.
Systém Hitachi AirLocation využívá síť IEEE802.11b a je schopen provozu uvnitř i venku. Přesnost určení souřadnic objektu je podle vývojářů 1-3 m, což je poněkud přesnější než podobná charakteristika systémů GPS. Systém se skládá ze serveru pro určení souřadnic, řídicího serveru, sady několika základnových stanic, sady zařízení WLAN a specializovaného softwaru. Minimální cena sady je asi 46,3 tisíc dolarů Systém určí polohu požadovaného zařízení a vzdálenost mezi ním a každým přístupovým bodem pomocí výpočtu doby odezvy terminálu na signály odesílané body připojenými k síti se vzdáleností mezi uzly. 100-200 m. Pro dostatečně přesné umístění terminálu tedy stačí pouze tři přístupové body.
Ano, ceny za taková zařízení jsou poměrně vysoké, ale každá seriózní společnost se může rozhodnout utratit tuto částku, aby si byla jistá bezpečností své bezdrátové sítě.
770 rublů.
Popis
Zavedení
Historie technologií bezdrátového přenosu informací začala na konci 19. století přenosem prvního rádiového signálu a objevením se prvních rádiových přijímačů ve 20. letech 20. století. Televize se objevila ve 30. letech 20. století.
V 70. letech byly vytvořeny první bezdrátové telefonní systémy jako přirozený výsledek uspokojení potřeby mobilní přenos hlasování. Nejprve se jednalo o analogové sítě a na počátku 80. let byl vyvinut standard GSM, který znamenal začátek přechodu na digitální standardy, protože poskytovaly lepší kvalitu signálu, lepší zabezpečení.
Fragment práce k recenzi
WPA
moderní standard schválený výrobci zařízení
OS
operační systém
WPA2
druhá verze sady algoritmů a protokolů, které poskytují ochranu dat v bezdrátových sítích Wi-Fi
WEP (Wired Equivalent Privacy)
bezpečnostní protokol
COOKIE
malý kus dat vytvořený webovým serverem nebo webovou stránkou a uložený v počítači uživatele jako soubor
HTTPS
Rozšíření protokolu HTTP, které podporuje šifrování
BRUTEFORCE
metoda prolomení hesel hrubou silou
Zavedení
Historie technologií bezdrátového přenosu informací začala na konci 19. století přenosem prvního rádiového signálu a objevením se prvních rádiových přijímačů ve 20. letech 20. století. Televize se objevila ve 30. letech 20. století.
V 70. letech byly vytvořeny první bezdrátové telefonní systémy jako přirozený výsledek uspokojení potřeby mobilního přenosu hlasu. Nejprve se jednalo o analogové sítě a na počátku 80. let byl vyvinut standard GSM, který byl významným začátkem přechodu na digitální standardy, protože poskytovaly lepší kvalitu signálu a lepší zabezpečení.
Velmi slibný je také rozvoj bezdrátových lokálních sítí (WLAN), Bluetooth (sítě na střední a krátké vzdálenosti). Bezdrátové sítě jsou rozmístěny na letištích, univerzitách, restauracích a podnicích. Na konci 90. let byla uživatelům nabídnuta služba WAP, která zpočátku nevzbuzovala mezi obyvateli příliš velký zájem. Jednalo se o základní informační služby - zprávy, počasí, všechny druhy jízdních řádů atd. Také Bluetooth a WLAN byly zpočátku velmi málo žádané, hlavně kvůli vysokým nákladům na tyto komunikační prostředky. Do poloviny prvního desetiletí 21. století dosáhl počet uživatelů služeb bezdrátového internetu desítek milionů. S příchodem bezdrátové internetové komunikace se do popředí dostaly bezpečnostní problémy. Jako každá počítačová síť je i Wi-Fi zdrojem zvýšeného rizika neoprávněného přístupu. Navíc je mnohem snazší proniknout do bezdrátové sítě než do běžné – nemusíte se připojovat k drátům, stačí být v oblasti příjmu signálu.
Než se ale pustíte do ochrany vaší bezdrátové sítě, musíte pochopit základní principy její organizace.
1. Bezpečnostní standard WEP
Všechna moderní bezdrátová zařízení (přístupové body, bezdrátové adaptéry a směrovače) podporují bezpečnostní protokol WEP (Wired Equivalent Privacy). Tento protokol je jakýmsi analogem drátového zabezpečení.
Postup šifrování WEP je následující. Nejprve se zkontroluje integrita dat přenášených v paketu, načež se kontrolní součet přidá do pole služby v hlavičce paketu. Dále je vygenerován 24bitový inicializační vektor a je k němu přidán statický (40 nebo 104bitový) tajný klíč. Takto získaný 64 nebo 128bitový klíč je výchozím klíčem pro generování pseudonáhodného čísla, které se používá k šifrování dat.
Bezpečnostní protokol WEP poskytuje dva způsoby ověření uživatele: Open System (otevřený) a Shared Key (sdílený). Při použití otevřené autentizace se v podstatě neprovádí žádná autentizace, což znamená, že k bezdrátové síti může přistupovat každý uživatel. I v otevřeném systému je však povoleno šifrování dat WEP.
2. Ochrana před nezvanými hosty
Reference
Reference
1. Kudin A.V. //Bezpečnost a kvalita služeb mobilní mobilní komunikace. Příručka terminologie 2014 // http://www.techbook.ru/book.php?id_book=688(11.03.2014)
2. Sergey Pakhomov //Ochrana bezdrátových sítí před hackováním//
http://compress.ru/article.aspx?id=16254(11.03.2014)
Pečlivě si prostudujte obsah a fragmenty práce. Peníze za zakoupené hotové práce nebudou vráceny z důvodu, že dílo nesplňuje Vaše požadavky nebo je jedinečné.
* Kategorie práce má hodnotící charakter v souladu s kvalitativními a kvantitativními parametry poskytnutého materiálu. Tento materiál, ani jako celek, ani žádná jeho část, není hotovou vědeckou prací, závěrečnou kvalifikační prací, vědeckou zprávou nebo jinou prací poskytovanou státní systém vědecká certifikace nebo nezbytná pro absolvování průběžné nebo závěrečné certifikace. Tento materiál je subjektivním výsledkem zpracování, strukturování a formátování informací shromážděných jeho autorem a je určen především jako zdroj pro samostatnou přípravu práce na toto téma.
KAPITOLA I. ANALÝZA ZRANITELNÝCH STRÁNEK A ZPŮSOBY OCHRANY INFORMACÍ BĚHEM PŘENOSU V DISTRIBUOVANÝCH BEZDRÁTOVÝCH SÍTÍCH.
1.1 Bezdrátové sítě nové generace.
1.2Ohrožení informací v distribuovaných počítačových sítích.
1.2.1 Aktivní síťové útoky.
1.2.2 Specifika útoků v bezdrátových sítích.
1.3 Metody ochrany informací v bezdrátových sítích.
1.3.2 Technologie ochrany dat.
1.4 Cíle výzkumu disertační práce.
1.5 Závěry.
KAPITOLA II. VÝVOJ METOD PRO OCHRANU INFORMACÍ PŘI PŘENOSU V DISTRIBUOVANÝCH BEZDRÁTOVÝCH SÍTÍCH ZALOŽENÝCH NA DYNAMICKÉM SMĚROVÁNÍ DOPRAVY.
2.1 Systém multiplexování provozu.
2.2 Směrovaná služba.
2.2.1 Obecné provozní principy.
2.2.2 Metodika ochrany informací při přenosu v bezdrátové distribuované síti.
2.2.3 Algoritmus dynamického směrování provozu.
2.2.4 Aplikace vyvinuté metodiky.
2.3 Analýza účinnosti vyvinuté metody ochrany.
2.3.1 Schopnosti pachatele.
2.3.2 Posouzení pravděpodobnosti realizace prvotřídní hrozby.
2.3.3 Posouzení pravděpodobnosti realizace hrozby druhé třídy.
2.3.4 Algoritmus pro generování proudu útoků.
2.4 Závěry.
KAPITOLA III IMPLEMENTACE SOFTWAROVÝCH NÁSTROJŮ PRO OCHRANU PŘENÁŽENÝCH INFORMACÍ.
3.1 Implementace softwarového balíčku.
3.2 Experimentální implementace a srovnání se směrovacími protokoly.
3.3 Experimentální metody výzkumu.
3.4 Závěry
Úvod disertační práce (část abstraktu) na téma "Metodika ochrany informací v bezdrátových sítích založená na dynamickém směrování provozu"
Relevance práce
Rozvoj informačních technologií přináší naléhavé problémy zvýšení spolehlivosti fungování počítačových sítí. K vyřešení těchto problémů je nutné prostudovat stávající síťové protokoly, síťové architektury a vyvinout způsoby, jak zlepšit zabezpečení přenosu informační zdroje přes síť.
Výběr bezdrátových technologií vám umožní získat výhody v rychlosti a mobilitě. Vznik nové třídy širokopásmových bezdrátových sítí s mesh strukturou (mesh networks) umožnil dosáhnout výrazného zvětšení oblasti informačního pokrytí. Hlavní výhodou této třídy sítí je přítomnost speciálních zařízení - mesh portálů, které umožňují integraci dalších bezdrátových sítí (WiMAX, Wi-Fi, GSM) a internetu do mesh sítě a poskytují tak uživateli všemožné služby z těchto sítí.
Mezi nevýhody mesh technologie patří skutečnost, že směrovací protokoly mesh sítě jsou velmi specifické a jejich vývoj je složitý úkol s mnoha kritérii a parametry. Stávající protokoly zároveň vyžadují výrazná vylepšení z hlediska zvýšení bezpečnosti a spolehlivosti přenosu informací.
Síťové útoky, selhání a selhání síťová zařízení- hlavní faktory ovlivňující bezpečnost přenosu informací v distribuovaných bezdrátových sítích. Problémem zajištění bezpečnosti přenosu informací v distribuovaných bezdrátových sítích se zabývali I. Akyildiz, W. Wang, X. Wang, T. Dorges, N. Ben Salem. Zajištění bezpečnosti přenosu informací v počítačové síti znamená ochranu jejich důvěrnosti, integrity a dostupnosti.
Mezi metodami pro zajištění dostupnosti informací v bezdrátových sítích výzkumníci vyzdvihují kombinaci různých metod řízení, duplikace a redundance. Integrita a důvěrnost informací v bezdrátových sítích je zajištěna metodami pro konstrukci virtuálních kanálů založených na použití kryptografických nástrojů.
Společnou nevýhodou těchto metod je snížení výkonu sítě spojené s požadavky na dodatečné zpracování přenášené informace. Tato nevýhoda je zvláště kritická pro přenos digitální video informace. Zdokonalování metod kryptoanalýzy navíc stále více snižuje spolehlivost stávajících kryptografických algoritmů/
Z výše uvedeného vyplývá, že je nutné vyvinout nové způsoby ochrany informací při přenosu v distribuovaných bezdrátových sítích pod vlivem záměrných útoků. V tomto ohledu je téma práce relevantní a prakticky důležité.
Účel práce
Cílem disertační práce je vyvinout metodiku ochrany informací při přenosu v distribuovaných bezdrátových sítích založenou na využití algoritmu dynamického směrování provozu pod vlivem záměrných útoků.
2. Výzkum algoritmů pro dynamické směrování provozu v distribuovaných sítích.
3. Výzkum metod informační bezpečnosti v distribuovaných bezdrátových sítích.
4. Výzkum typů útoků v distribuovaných počítačových sítích, analýza specifik útoků v bezdrátových sítích.
5. Vývoj algoritmu pro dynamické směrování informací při přenosu v distribuovaných bezdrátových sítích pod vlivem záměrných útoků.
6. Vývoj aplikace „routovatelné služby“ založené na algoritmu, který implementuje techniku ochrany informací při přenosu v distribuovaných bezdrátových sítích.
7. Implementace softwarových modulů pro „směrovatelnou službu“ pro přenos informací.
8. Studie možností dopadu síťových útoků na „směrovatelnou službu“. Výpočet odhadů úspěšných implementací síťových útoků na přenášené informace v případě použití „směrovatelné služby“.
9. Vývoj algoritmu pro generování proudu síťových útoků.
10. Vývoj prototypu routované služby pro experimentální testování navržené techniky ochrany.
Předmětem výzkumu jsou počítačové sítě, distribuované bezdrátové sítě s mesh strukturou (mesh networks), procesy přenosu informací a implementační procesy různé typyútoky na přenášené informace a síťová zařízení v distribuovaných bezdrátových sítích.
Předměty výzkumu: standardy skupiny IEEE 802.11, síťové útoky, způsoby ochrany informací v bezdrátových sítích, algoritmy pro dynamické směrování provozu v bezdrátových sítích.
Výzkumné metody
Disertační práce využívá metod matematické modelování, teorie grafů, teorie množin, teorie pravděpodobnosti a matematická statistika. Pro potvrzení získaných teoretických výsledků byly provedeny experimentální studie a modelování pomocí programovacích prostředí Visual Basic Script, Správa Windows Instrumentarium, Shell, Awk.
Důvěryhodnost
Spolehlivost vědeckých tvrzení, závěrů a doporučení potvrzuje správná formulace problémů, přísnost použitého matematického aparátu, výsledky numerického modelování, pozitivní výsledky testování programu, který implementuje navrženou techniku zabezpečení informací, a porovnání se směrovanými síťovými protokoly.
Vědecká novinka
V dizertační práci byly získány tyto vědecké výsledky:
1. Je navržen způsob ochrany informací v distribuovaných bezdrátových sítích založený na použití aplikace „směrovatelných služeb“.
2. Byl vyvinut algoritmus pro dynamické směrování informací při přenosu v distribuovaných bezdrátových sítích pod vlivem záměrných útoků.
3. Jsou popsány možnosti implementace dopadu na vyvíjený systém. Posuzuje se úspěšná implementace síťových útoků na přenášené informace v případě použití „směrovatelné služby“. Byl vyvinut algoritmus pro generování proudu síťových útoků.
4. Byly implementovány softwarové moduly prototypu „směrovatelné služby“ Prototyp byl testován v distribuované síti.
Praktický význam
Praktický význam je potvrzen testováním prototypu vyvinutého systému v distribuované síti. Výsledky disertační práce byly oceněny diplomem H na IX. celoruské soutěži pro vysokoškolské a postgraduální studenty v oboru informační bezpečnosti „SIBINFO-2009“. Vyvinutá metodika byla zavedena do systémů přenosu informací OJSC Omskvodokanal a Státní vzdělávací instituce vyššího odborného vzdělávání "Omská státní technická univerzita". Výsledky disertační práce jsou využívány ve vzdělávacím procesu Státní vzdělávací instituce vyššího odborného vzdělávání „Omská státní technická univerzita“.
Metodika navržená v dizertační práci může být použita jako základ pro další výzkum.
Schválení práce
Výsledky práce byly testovány formou prezentací na vědeckých konferencích a seminářích:
1. IX. Celoruská soutěž studentů a postgraduálních studentů v informační bezpečnosti „SIBINFO-2009“, diplom I-degree. (2009, Tomsk).
2. VIII. Sibiřský vědecký školní seminář s mezinárodní účastí „Počítačová bezpečnost a kryptografie - SYBECRYPT-09“ (2009, Omsk).
3. VII. mezinárodní vědeckotechnická konference „Dynamika systémů, mechanismů a strojů“ (2009, Omsk).
4. IV Vědecká a praktická konference mladí specialisté Západosibiřské banky Sberbank Ruska „Moderní zkušenosti s používáním informačních technologií v bankovnictví“ (2008, Tyumen).
5. Všeruská vědecká a technická konference „Mladé Rusko: pokročilé technologie do průmyslu“ (2008, Omsk).
6. Konference-soutěž „Microsoft Technologies v teorii a praxi programování“ (2008, Novosibirsk).
Publikace
Výsledky disertační práce jsou reflektovány v 15 publikacích, z toho 2 publikacích v publikacích doporučených Vyšší atestační komisí.
Struktura a rozsah práce
Disertační práce se skládá z úvodu, tří kapitol, závěru, seznamu literatury a tří příloh. Celkový objem práce je 118 stran včetně 26 obrázků a 3 tabulek. Bibliografie obsahuje 82 titulů.
Závěr disertační práce na téma "Metody a systémy informační bezpečnosti, informační bezpečnost", Nikonov, Vjačeslav Igorevič
3.4 Závěry
V důsledku softwarové implementace vyvinutých metod ochrany informací přenášených v distribuovaných bezdrátových sítích vznikl prototyp systému „routable service“ a moduly tocMlBSreg a toc!.8ener(8) „routované služby“ aplikace byla implementována.
Práce prototypu „směrovatelné služby“ byla testována na globální síti velkého podniku, plně simulující určitou distribuovanou síť. Je uveden popis procesu testování, je uveden graf dopravních tras a je vypočtena pravděpodobnost úspěšného útoku při použití této aplikace v síti. Na základě získaných výsledků bylo konstatováno, že praktické výsledky odpovídají teoretickým představám o práci služby 5a/. Implementované moduly byly úspěšně testovány na distribuované bezdrátové síti OJSC Omskvodokanal. Tato skutečnost je potvrzena osvědčením o použití výsledků práce (Příloha 2).
ZÁVĚR
V této fázi je práce hotová vědecký výzkum. V procesu výzkumu prováděného v rámci disertační práce byly získány následující výsledky:
2. Byly studovány algoritmy pro dynamické směrování provozu v distribuovaných sítích.
3. Byly studovány metody ochrany informací v distribuovaných bezdrátových sítích.
4. Byl zkonstruován algoritmus pro dynamické směrování informací při přenosu v distribuovaných bezdrátových sítích pod vlivem záměrných útoků.
5. Na základě algoritmu byla vyvinuta „směrovatelná“ aplikace. služba“, která implementuje techniku ochrany informací během přenosu v distribuovaných bezdrátových sítích.
6. Byly implementovány softwarové moduly „Směrovatelná služba“.
7. Byly studovány varianty dopadu síťových útoků na „směrovatelnou službu“. Byly vypočteny odhady úspěšných implementací síťových útoků na přenášené informace v případě použití „směrovatelné služby“.
8. Byl vyvinut algoritmus pro generování proudu síťových útoků.
9. Byl proveden experimentální test vyvinuté metodiky.
Seznam odkazů pro výzkum disertační práce Kandidát technických věd Nikonov, Vjačeslav Igorevič, 2010
1. Anin B.Yu. Ochrana počítačových informací / B.Yu. Anin. - Petrohrad: BHV-Petersburg, 2000. 384 s.
2. Barnes K. Ochrana před hackery bezdrátových sítí / K. Barnes, T. Boates, D. Loyd M.: DMK-Press, 2005. - 480 s.
3. Belousov S.A. Trojské koně: principy fungování a způsoby ochrany / S.A. Belousov, A.K. Střeva, M.S. Plankov - Omsk, 2003. 83 s.
4. Bochkarev V. Scénáře pro správu / V. Bochkarev // Systémové inženýrství. - Režim přístupu: http://www.sysengineering.ru/Administration/ScriptsForAdministration02.aspx, zdarma.
5. Bochkarev V. Správa pomocí WMI / V. Bochkarev // Systémové inženýrství. - Režim přístupu: http://www.sysengineering.ru/Administration/AdministrationUsingWMI.aspx, zdarma.
6. Hackování bezdrátových sítí: elektronický časopis Hack Zone Elektronický zdroj. - Režim přístupu: http://www.fssr.ru/hz.php?name=News&file=article&sid=7273, zdarma.
7. Višněvskij V.M. Bezdrátový radioelektronický systém „Rapier“ / V.M. Višněvskij, H.H. Guzakov, D.V. Lakontsev // ELEKTRONIKA: NTB, 2005, č. 1.
8. Višněvskij V.M. Širokopásmové bezdrátové sítě pro přenos informací / V.M. Višněvskij, A.I. Ljachov, SL. Portnoy, I.L. Šachovič. M.: Technosféra, 2005. - 592 s.
9. Yu. Vishnevsky V. Mesh-cera standardu IEEE 802.11s - technologie a implementace / V. Vishnevsky, D. Lakontsev, A. Safonov, S. Shpilev // First Mile.-2008.-No.
10. Vladimirov A.A. Wi-fu: „bojové“ techniky pro hackování a ochranu bezdrátových sítí / A.A. Vladimirov, K.V. Gavrilenko, A.A. Michajlovský - M: NT Press, 2005.-464 s.
11. GOST 28147-89. Systémy zpracování informací. Kryptografická ochrana. Algoritmus kryptografické konverze.
12. GOST R 34.10-2001. Informační technologie. Ochrana kryptografických informací. Procesy pro generování a ověřování elektronických digitální podpis.
13. GOST R 34.10-94. Informační technologie. Ochrana kryptografických informací. Postupy pro vývoj a ověřování elektronického digitálního podpisu založeného na asymetrickém kryptografickém algoritmu.
14. GOST R 50739-95. Počítačové vybavení. Ochrana před neoprávněným přístupem k informacím.
15. GOST R 50922-2006. Ochrana informací. Základní pojmy a definice.
16. GOST R ISO/IEC 15408-2002. Metody a prostředky zajištění bezpečnosti. Kritéria pro hodnocení bezpečnosti informačních technologií.
17. Dzhamsa K. Programování pro INTERNET v prostředí Windows / K. Dzhamsa, K. Cope SPb.: PETER, 1996. - 688 s.
18. Elmanová N.Z. Úvod do Borland C++ Builder / N.Z. Elmanová, S.P. Peněženka. -M.: Dialog-MEPhI, 1998. 675 s.
19. Efimov V.I. Útok na distribuovaný dopravní systém TCP/IP založený na korelační analýze toků / V.I. Efimov, E.V. Shcherba // Informační technologie pro modelování a řízení. - 2005. - č. 6(24). - str. 859 - 863.
20. Efimov V.I. Multiplexní systém pro distribuovaný provoz TSRYAR / V.I. Efimov, R.T. Faizullin // Bulletin Tomské univerzity. Aplikace. 2005.- č. 14. - s. 115-118.
21. Zegzhda D.P. Základy zabezpečení informační systémy/ D.P. Zegzda, A.M. Ivashko. M.: Hotline - Telecom, 2000. - 452 s.
22. Zegzhda D.P. Obecná architektura systémů detekce narušení / D.P. Zegzhda, A.I. Bovt // Abstrakty zpráv z konference „Metody a technické prostředky zajištění informační bezpečnosti“. Petrohradská státní technická univerzita, 2001.
23. Zimní V.M. Bezpečnost globálních síťových technologií. / V.M. Winter, A.A. Moldovyan, N.A. moldavský. Petrohrad: BHV-Petersburg, 2000. - 300 s.
24. Ivanov M.A. Kryptografické metody ochrany informací v počítačových systémech a sítích. / M.A. Ivanov. - M.: KUDITS-OBRAZ, 2001.-368 s.
25. Kaspersky K. Techniky síťových útoků /K. Kaspersky M.: COJIOH-P, 2001. - 396 s.
26. Kader M. Typy síťových útoků Elektronický zdroj. / M. Kader. - Režim přístupu: http://www.cnews.m/reviews/free/security/part7/netattack.shtml, zdarma.
27. Kader M. Typy síťových útoků, jejich popisy a prostředky boje s elektronickým L zdrojem. / M. Kader. - Režim přístupu: http://vmw.cnews.info/reviews/free/oldcom/security/ciscoattacks.shtml, zdarma.
28. Lopukhov I. Redundance sítí průmyslového Ethernetu na druhé úrovni OSI: standardy a technologie / I. Lopukhov // Moderní automatizační technologie. 2009 - č. 3 - S. 16-32.
29. Mamaev N.S., Mamaev Yu.N., Teryaev B.G. Digitální televize. - M.: Telecom Hotline, 2001. - 180 s.
30. Mamaev N.S., Mamaev Yu.N., Teryaev B.G. Digitální televizní a rozhlasové vysílací systémy. M.: Hotline - Telecom, 2007. - 254 s.
31. Maxim M. Zabezpečení bezdrátových sítí / M. Maxim, D. Pollino - M.: DMK-Press, 2004. 288 s.
32. Medvědovský I.D. Útok z internetu / I.D. Medvědovský, B.V. Semjanov,
33. D.G. Leonov, A.B. Lukatský. M.: Solon-R, 2002. - 356 s.
34. Medvědovský I.D. Útok na internetu / I.D. Medvědovský, B.V. Semjanov, D.G. Leonov. M.: DMK, 1999.-336 s.
35. Medvědovský I.D. Útok přes internet / I.D. Medvědovský, P.V. Semjanov, V.V. Platonov. M.: Mir a rodina-95, 1997. - 296 s.
36. Miloslavskaya N.G. Intranety: detekce narušení / N.G. Miloslavskaja, A.I. Tolstoj - M: Unity-Dana, 2001. 592 s.
37. Nikonov V.I. Služba směrovaného přenosu dat prostřednictvím distribuovaných sítí / V.I. Nikonov // Sborník příspěvků z konference-soutěže „Microsoft Technologies in Computer Science and Programming“ - Novosibirsk, 2008. S. 83-84.
38. Nikonov V.I. Služba směrovaného přenosu. / V.I. Nikonov // Materiály všeruského vědeckotechnickou konferenci„Mladé Rusko: pokročilé technologie v průmyslu“, 12.-13. listopadu 2008.- Omsk, 2008.-S. 80-84.
39. Nikonov V.I. Služba směrovaného přenosu / V.I. Nikonov // Abstrakta VIII. Sibiřského školního semináře s mezinárodní účastí „Počítačová bezpečnost a kryptografie“ SIBECRYT "09. Omsk, Omská státní technická univerzita, 8.-11. září 2009.- S. 76-78.
40. Nikonov V.I. Směrování v bezdrátových sítích nové generace /
41. V.I. Nikonov // Řídicí systémy a informační technologie. - 2010 - č. 1.1(39) - S. 170-173.
42. Nikonov V.I. Metody ochrany informací v distribuovaných počítačových sítích pomocí směrovacích algoritmů / V.I. Nikonov // hlásí TUSUR. 2010. - č. 1 (21), část 2 - str. 219-224.
43. Novákovský S.V., Kotelnikov A.B. Nové televizní systémy. Digitální metody zpracování videosignálu. M.: Rozhlas a komunikace, 1992. - 88 s.
44. Oliver V.G. Počítačové sítě. Principy, technologie, protokoly: učebnice pro vysoké školy. 3. vyd. / V.G. Oliver, H.A. Olifer SPB.: Peter, 2006. -958 s.
45. Orlov A.I. Matematika náhody: Pravděpodobnost a statistika - základní fakta / A.I. Orlov M.: MZ-Press, 2004. - 110 s.
46. Panasenko S.P. Šifrovací algoritmy. Speciální referenční kniha / S.P. Panasenko Petrohrad: BHV-Petersburg, 2009. - 576 s.
47. Peskin A. E., Smirnov A. V. Digitální televize. Od teorie k praxi. - M.: Hotline-Telecom, 2005. 349 s.
48. Proletarsky A.V Bezdrátové Wi-Fi sítě / A.B. Proletarsky, I.V. Baskakov, D. N. Chirkov M.: BINOM, 2007. - 178 s.
49. Romanets Yu.V. Ochrana informací v počítačových systémech a sítích / Yu.V. Romanets, P.A. Timofeev, V.F. Shangin - M.: Rádio a komunikace, 2001. - 376 s.
50. Sneijder I. Efektivní programování TSRYAR. Programátorská knihovna / I. Sneijder. - Petrohrad: Petr, 2002. 320 s.
51. Tikhonov A. Systémy detekce narušení / A. Tikhonov // Režim přístupu: URL: www.Isoft.com.ru, zdarma.
52. Tyurin M. Vlastnosti ruských standardů bezpečnosti informací / M. Tyurin // Byte. 2005. - č. 12(88).
53. Feller V. Úvod do teorie pravděpodobnosti a její aplikace / V. Feller -1. M.: Mir, 1964-752 s.
54. Hansen D. Útoky na bezdrátové sítě Elektronický zdroj. / D. Hansen. -Režim přístupu: http://www.securitylab.ru/analytics/216360.php, zdarma.
55. Shangin V.F. Ochrana počítačových informací. Efektivní metody a prostředky / V.F. Shangin M.: DMK-Press, 2008. - 544 s.
56. Shakhlevich A. VPN: klady a zápory / A. Shakhlevich // Bezpečnost informací. 2009. - č. 6.
57. Shelupanov A.A. Základy informační bezpečnosti: Učebnice / A.A. Šelupanov, V.P. Los, R.V. Meshcheryakov, E.B. Belov. M.: Hotline - Telecom, 2006. - 544 s.
58. Shcherba E.V. Způsob ochrany digitální obrazové informace při jejím přenosu v distribuovaných počítačových sítích / E.V. Shcherba // Použito diskrétní matematika. - 2009. - Příloha č. 1. - S. 60-62.
59. Schneier B. Aplikovaná kryptografie, 2. vydání: protokoly, algoritmy, zdrojové texty v jazyce C / B. Schneier M: Triumph, 2002. - 610 s.
60. Jaščenko V.V. Úvod do kryptografie. / V.V. Jaščenko. M: MTsNMO, 1998.-272 s.
61. Adelman L. An Abstract Theory of Computer Viruses / L. Adelman // Advances in Cryptology, 1990.- S. 354-374.
62. Akyildiz I. Wireless Mesh Networks: A Survey / I. Akyildiz, X. Wang, W. Wang // Počítačové sítě a ISDN systémy. 2005. - Sv. 47/4. str. 445 - 487.
63. Amoroso, Edward, "Detekce narušení: Úvod do internetového sledování, korelace, zpětného sledování, pastí a odezvy", Intrusion.Net Books, Sparta, New Jersey, 1999.
64. Ben Salem N. Zabezpečení bezdrátových sítí Mesh / N. Ben Salem, J.-P. Hubaux // Bezdrátová komunikace IEEE. 2006. - č. 13/2.
65. Chereddi C. Net-X: A Multichannel Multi-Interface Wireless Mesh Implementation / C. Chereddi, P. Kyasanur, N. Vaidya // ACM Sigmobile. - 2007.-№11(3).-P. 84-95.
66. Dorges T. A Network of IDS Sensors for Attack Statistics / T. Dorges, O. Gellert, K. Kossakowski // Praxis der Informationsverarbeitung und Kommunikation. - 2004. č. 27. - S. 202-208.
67. Giannoulis A. Řízení přetížení a přidělování kanálů v sítích Multi-Radio Wireless Mesh, Řízení přetížení a přidělování kanálů v sítích MultiRadio Wireless Mesh / A. Giannoulis, T. Salonidis, E. Knightly // IEEE SECON, 2008.
68. ISO 15408 Obecná kritéria pro hodnocení bezpečnosti informačních technologií
69. Jak A. Skenování portů, Skenování zranitelnosti a Sniffování paketů /A. Jak // Počítač a Zabezpečení sítě. 2008. - Sv. 23. - S. 29-38.
70. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael a Poor, Mike, „Snort IDS and IPS Toolkit“, Syngress, 2007.
71. Knightly E. Multi-Tier Multi-Hop Wireless: The Road Ahead / E. Knightly // 2007.
72. Microsoft Corporation. Microsoft TCP/IP. Školicí kurz: Oficiální průvodce pro samostudium společnosti Microsoft. M.: Ruské vydání, 1999.-344 s.
73. Naor M. Visual Cryptography / M. Naor, A. Shamir // Lecture Notes in Computer Science. Berlin: Springer-Verlag, 1995. - Sv. 1294. - S. 322.
74. Paulauskas N. Klasifikace útoků počítačových systémů / N. Paulauskas, E. Garshva // Elektronika a elektrotechnika. - 2006. č. 2(66). - S. 84-87.
75. Paxson, Vern, "Bro: A System for Detection Network Intruders in Real-Time," Proceedings of the 7th USENIX Security Symposium, San Antonio, TX, 1998.
76. Pejman R. 802.11 Wireless LAN Fundamentals / R. Pejman, J. Leary // Cisco Press, 2004.-312 s.
77. Postel, J. Internet Protocol, RFC-791, USC/Information Sciences Institute, - 1981.
78. Stiskněte W.H. Numerické recepty: Umění vědecké práce na počítači. Třetí vydání. / W.H. Press, S.A. Teukolsky, W.T. Vetterling, B.P. Flannery - Cambridge, Cambridge University Press, 2007. 1256 s.
79. Raniwala A. Architecture and Algorithms for IEEE 802.11-Based MultiChannel Mesh Network / A. Raniwala, T. Chiueh // Infocom, 2005.
80. Shamir A. Jak sdílet tajemství / A. Shamir // Communications of the ACM- 1979. -N.Y.: ACM Press. 1979. - sv. 22. - S. 612-613.
81. Wiggins R. Mýty a realita sítí Wi-Fi Mesh / R. Wiggins // Mobile Technologies Research Fellow, 2006.
82. Zkratky použité v disertační práci
83. Zkratka Plný význam1. internetový protokol
84. Model propojení otevřených systémů OSI
85. TCP Transport Layer Protocol
86. LAN Local area networknsd Neoprávněný přístup1. OS Operační systém Střední kvadratická chyba smt Systém multiplexování provozu
87. EE Institute of Electrical and Electronics Engineers1. Přístupový bod AP
88. SS Nezávislé oblasti služeb základny
89.BSS Základní zóny servis
90. Rozšířené oblasti služeb ESS1. Síťový uzel MP 1. Portál MRR TEBI-síť
91. MAP Přístupový bod vaší sítě1. Počítačový systém VS
92. S Systém detekce narušení
93. DoS Denial of Service Attack
94. DDoS Distribuovaný útok odmítnutí služby
95. TCP Transmission Control Protocol
96. TFN Distribuovaný útok odmítnutí služby pomocí sítě TBI
97. TCP SYN Flood Denial of service útok pomocí paketů TCP SYN
98. PSW Typ trojského koně určený ke krádeži hesel
99. ARP Address Resolution Protocol
100. WEP Protokol pro zabezpečení sítí Wi-Fi
101. Inicializační vektor protokol WEP
102. TIM Dopravní indikační mapa
103. Rámec RTS „požadavek na přenos“
104. Rámec CTS „připraven k přenosu“
105. Šifra RC4 Stream vyvinutá Ronem Riverstem a používaná v původním standardu IEEE 802.111. Standard X.800 ITU-T
106. OVA Odhadovaná úroveň důvěry
107. MC3 International Telecommunication Union
108. VPN Virtuální privátní síť1.N Lokální síť
109.PPTP Síťový protokol tunelování spojové vrstvy
110. TP Link Layer Tunneling Network Protocol
111. SSL Protokol tunelování síťové linky
112. Protokol tunelování vrstvy síťového spoje TLS
113. WPA Protokol pro zabezpečení sítí Wi-Fi
114. TKIP Temporal Key Integrity Protocol
115. EAP Extensible Authentication Framework
116. KSA WEP Key Scheduling Algorithm
117. Algoritmus sčítání XOR Modulo 2
118. SSID Identifikátor bezdrátové sítě LAN
119. WPA Protokol pro zabezpečení sítí Wi-Fi
120. RADIUS Access Control Protocol1. Programovací jazyk VBS
121. Sada nástrojů WMI Správa Windows
122. Pole hlavičky Ver IP: Verze
123. L Pole IP záhlaví: Délka záhlaví
124. Pole záhlaví IP TOS: Typ služby
125. Pole záhlaví IP: Identifikátor
126. TTL IP Header Field: Time to Live
127. ADC Analogově-digitální převodník
128. DAC Digitálně-analogový převodník
129. DVB Standard digitálního televizního vysílání1. schvaluji"
130. Ředitel odboru Ish^ts^mashirp^Gkh. Technologie1. ANO. Bolotyuk2010, b - 1. ZÁKON o realizaci výsledků disertační práce Npkonov V, I. Komisi tvoří: předseda D.A. Tsvetkov, vedoucí oddělení správy systému členové komise:
131. Glushakov AV„ správce systému,
132. Sinegubov D.A., programátor-vývojář, vypracoval zákon o následujícím.
133. Tato topologie byla vystavena dvěma typům útoků, nezávisle na sobě: 1) naslouchání provozu na webu FSiFSa pomocí programu Wireshark; 2) pravidelná implementace útoku typu denial of service na serveru FSj.
134. Po provedení přenosových relací bylo dosaženo následujícího účinku: 1. procento ztráty paketů v době, kdy je server nedostupný L/, - - 15 %, FSi~Q%2. procento zachycených paketů MrMB je 71 %, FsiFso je 16 %.
135. Vyvinul Nikonov V.I. Originální technika umožňuje zvýšit bezpečnost systému přenosu informací bez použití šifrovacích algoritmů.1. G" ¡g 20Yug.gZ/" / 2010 201 Og.1. předseda1. Členové komise:
136. V. A. Maistrenko E. V. Shcherba T. N. Vinogradova
137. Schválil jsem." ZAO1. D"1. VY.SH. Rybalov 2010 y1. ZÁKON o realizaci výsledků disertační práce Nikoov V.RG.
138. Tyto odhady jsou v souladu s teoretickými odhady vypočítanými pomocí vzorců uvedených v práci V.I. pro vybrané "parametry přenosu.
139. Předseda komise: Členové komise:
140. S.N. Balabay A.V. Bezditko M.V. Ščerba
141. Softwarová implementace vyvinutých algoritmů
142. Výpis 1. Implementace prototypu. Popis režimu -a.1. StrArgs = "-a" Potom
143. Vyberte IP adresu ze souboru nastavení I
144. FSO.FileExists(WorkDir&FileConQ = True Then
145. Nastavte IdFile = FSO.OpenTextFile(WorkDir&FileConf, 1, False)1. MyIp = IdFile.ReadLine1.File.Close1. Konec, pokud
146. WScript.Echo "Čekání na soubory."r
147. Čekáme na soubory z jiných vysílačů FlagSend = О LastIp = "1" Do While 1
148. Nastavte colFiles = FF. ExecQuery("Vyberte * z CIMDataFile, kde Path = "WwebservWsendW" a Extension!-ip" a Drive-c:"") pro každý objFile v colFiles
149. FSO.FileExists(CurrentDir&objFile.FileName&".ip") = True Then
150. Nastavte IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 1, False)1. OpenIp = 0 i
151. Do While Openjp = 0 On Error Resume Next1. Test = IdFile.ReadLine i
152. Err.Number > 0 Potom Openlp = 0 WScript. Spánek 10 000 jinak1. Openlp = 1 End If Loop1. CountServ = test1. DestIp = IdFile.ReadLine1.File.Close i1. MyIp = DestIp Then
153. Nastavte IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&,.ip", 8, False)1.File.WriteLine MyIp1.File.Close
155. FSO.FileExists(CurrentDir&"ok\\"&objFile.FileName&"."&objFile.Extension) = True Then
156. FSO.DeleteFile(CurrentDir&nok\\"&objFile.FileName&"."&objFile.Extension) End If
157. FSO.CopyFile objFile.Name, CurrentDir&"ok\\"
158. P80.P11eEx1818(Sigge^B1r&pok\\"&o^P11e.P11eCache&ilr") = True Then FSO.DeleteFile(CurrentDir&"ok\\"&objFile.FileName&".ip")1. End If
159. FSO.CopyFile CurrentDir&objFile.FileName&"".ip", CurrentDir&"ok\\" WScript.Echo objFile.FileName&" ."&objFile.Extension&" added" WScript. Sleep 10000
160. FSO.DeleteFile(CurrentDir&objFile.FileName&".ip")
161. FSO.DeleteFile(CurrentDir&objFile.FileName&"."&objFile.Extension)1. Jiný
163. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 8, False) IdFile.WriteLine Mylp IdFile.Close End If
164. Nastavte IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 1, False)1. Filelp = IdFile.ReadAll1.File.Close i
165. Výpočet počtu prošlých vysílačů CountPer=0
166. Nastavte IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)
167. Proveďte While IdFile.AtEndOfLine o Truetest = IdFile.ReadLine1. CountPer = CountPer + 11.op1.File.Close1. CountPer = PočetJPer-2
168.Int (počet za)<= Int(CountServ) Then i
169. Vyberte další vysílač1. Currlp =1.st - Instr(FileIp, Currlp) Provést Zatímco inst > 0 PočetHst = 0
170. Nastavte IdFile = FSO.OpenTextFile(WorkDir&FileHome,l, False)
171. Proveďte While IdFile.AtEndOfLine o Truetest = IdFile.ReadLine1. CountHst = CountHst + 11.op1.File.Close Randomize()1 = Round(Int(CountHst)*Rnd + 1) 1 = 01. WScript.Echo 1
172. Nastavte IdFile = FSO.OpenTextFile(WorkDir&FileHome, 1, False)1. Dělat Zatímco i< 11. Currlp = IdFile.ReadLinei=I+l
173. CurrIp LastIp Then Currlp = End Ifinst=Tnstr(FileIp, Curr lp)
174. Curr lp = DestIp Or CurrIp=MyIp Then Flaglp=0 Jinak FlagIp=l End Ifinst=inst*FlagIpobjTcp.Sleep 30001.op1.File.Close1.opI1. Jinak 1. CurrIp=DestIp1. Konec Pokud i
175. Zahájíme připojení k této IP adrese1. WScript.Echo Currlp1.stIp=CurrIpobjTcp.Protocol = objConstants.asSOCKETPROTOCOLRAW objTcp.Connect CurrIp, 1500 If objTcp.LastError asi 0 Potom
176. WScript.Echo "Error" & objTcp.LastError & ": " & objTcp.GetErrorDescription(objTcp.LastError) FlagSend = 1 Else1. FlagSend = 0
177. WScript.Echo "Připojení navázáno" & vbCrLfstr = " " Nepořádek = " "
178. Proveďte while objTcp.ConnectionState =obj Constants. asSOCKETCONNSTATCONNECTED i1. Odešlete soubor
179. Nastavte IdFile = FSO.OpenTextFile(objFile.Name,l, False) objTcp.SendString objFile.FileName&"."&objFile.Extension objTcp.Sleep 3000
180. Do While IdFile.AtEndOfLine o Truestr = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 3000 Loop1.File.Close
181. FSO.FolderExists(CurrentDir&"arc\V") = False Then Set obj Folder = FSO.CreateFolder(CurrentDir&"arc\\n) End If
182. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) = True Then
183. FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) End If
184. FSO.MoveFile objFile.Name, CurrentDir&"arc\\"objTcp.SendString "FileEnd" Odesílám instrukční soubor spolu s hlavním souborem
185. Nastavit IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)objTcp.SendString objFile.FileName&" .ip"objTcp.Sleep 3000 i
186. Do While IdFile.AtEndOfLine o True str = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 30001.op1.File.Close
187. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&".ip") = True Then FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&".ip")1. End If
188. FSO.MoveFile CurrentDir&objFile.FileName&".ip", CurrentDir&"arc\\"obj Tcp. SendString "ConfEnd" i1. objTcp.HasData Potom
189. Nepořádek = objTcp.ReceiveString
190. WScript.Echo "ReceiveString: " & Mess1. End If iobjTcp.Sleep 3000objTcp.Disconnect
191. WScript.Echo "Úspěšně odesláno"1.op1. Konec Pokud i1. Konec Pokud i1. Jiný
192. WScript.Echo "Špatný soubor: "&objFile.Name i1. End If Next1. WScript. Sleep 100001.op i1. Konec Pokud "-a
193. Výpis 2. Jednotný postup segmentace obrazu.
194. HRESULT SNT: :Transform(IMediaSample *pMediaSample) (
195. BYTE *pData; dlouhý IDataLen; int iPixel; 1. RGBTRIPLE *prgb;
196. Ukazatel na vyrovnávací paměť obrazu // Velikost každého příchozího snímku // Proměnná pro použití uvnitř smyček // Ukazatel na aktuální pixel
197. AMMEDIATYPE* pType = &mpInput->CurrentMediaType(); VIDEOINFOHEADER *pvi = (VIDEOINFOHEADER *) pType->pbFormat; ASSERT(pvi);
198. CheckPointer(pMediaSample,EPOINTER); pMediaSample->GetPointer(&pData); IDataLen = pMediaSample->GetSize();
Vezměte prosím na vědomí, že výše uvedené vědecké texty jsou zveřejněny pouze pro informační účely a byly získány pomocí rozpoznávání textu původní disertační práce (OCR). V této souvislosti mohou obsahovat chyby spojené s nedokonalými rozpoznávacími algoritmy. V soubory PDF V disertačních pracích a abstraktech, které dodáváme, takové chyby nejsou.
Ministerstvo školství, vědy a politiky mládeže
Voroněžská oblast
státní vzdělávací rozpočtová instituce
střední odborné vzdělání
Voroněžská oblast
"Voroněžská vysoká škola stavebních technologií"
(GOBU SPO VO "VTST")
Údržba počítačového vybavení a počítačových sítí
DIPLOMOVÝ PROJEKT
Vývoj technologií pro ochranu informací v bezdrátových sítích
Organizační poradce
ekonomická část S.N. Mukhina
Standardní ovládání _ L.I. Krátký
Vedoucí N.A. Merkulová
Vyvinuto _ M.A. Suchanov
Voroněž 2014
Anotace
Zavedení
1.1 Hlavní hrozby bezdrátových sítí
1.3 Technologie pro ochranu informací v bezdrátových sítích
1 Nastavení programu WPA
2 Šifrování provozu
4. Bezpečnost a ochrana zdraví při práci
4.1 Elektrická bezpečnost při obsluze technických zařízení
4.2 Požadavky na prostory
4.3 Opatření pro hasičskou techniku
Závěr
Seznam zkratek
Aplikace
Anotace
Tato diplomová práce se týkala vývoje technologie informační bezpečnosti pro bezdrátové sítě, kterou lze využít ke zvýšení ochrany počítače uživatele, podnikových sítí a malých kanceláří.
V průběhu diplomového projektu byla provedena analýza technologie informační bezpečnosti pro bezdrátové sítě a analýza softwarových produktů, které umožnily zvýšit ochranu bezdrátových sítí před hrozbami.
Výsledkem projektu jsme získali zkušenosti s konfigurací softwarových produktů, které umožňují maximálně chránit bezdrátovou síť před běžnými hrozbami.
Diplomová práce se skládá ze čtyř částí, obsahuje dvacet čtyři obrázků, jednu tabulku.
informační síť ochrany
Zavedení
Bezdrátové sítě se již používají téměř ve všech oblastech činnosti. Široké použití bezdrátových sítí je způsobeno tím, že je lze používat nejen osobní počítače, ale také telefony, tablety a notebooky díky jejich pohodlí a relativně nízké ceně. Bezdrátové sítě musí splňovat řadu požadavků na kvalitu, rychlost, dosah a zabezpečení, přičemž bezpečnost je často tím nejdůležitějším faktorem.
Relevantnost zajištění bezpečnosti bezdrátové sítě je dána skutečností, že zatímco v drátových sítích musí útočník nejprve získat fyzický přístup ke kabelovému systému nebo koncovým zařízením, pak v bezdrátových sítích stačí konvenční přijímač instalovaný v dosahu sítě. získat přístup.
Navzdory rozdílům v implementaci komunikace je přístup k zabezpečení bezdrátových sítí a jejich drátových protějšků identický. Při implementaci metod zabezpečení informací v bezdrátových sítích je však věnována větší pozornost požadavkům na zajištění důvěrnosti a integrity přenášených dat a na ověřování pravosti bezdrátových klientů a přístupových bodů.
Předmětem studia jsou prostředky ochrany informací v bezdrátových sítích.
Předmětem výzkumu je technologie informační ochrany bezdrátových sítí
Cílem diplomového projektu je zvýšení kvality informační bezpečnosti v bezdrátových sítích
K dosažení tohoto cíle byly vyřešeny následující úkoly:
typy hrozeb a jejich negativní dopad o fungování bezdrátových sítí;
Analyzované softwarové produkty, které chrání informace o bezdrátové síti;
byla vyvinuta technologie pro ochranu informací o bezdrátové síti;
Praktické zaměření vypracovaného projektu diplomové práce spočívá v tom, že aplikací tohoto diplomového projektu je dosaženo ochrany informací o bezdrátové síti před neoprávněným připojením, stabilní rychlosti připojení k internetu a kontroly nad neoprávněným odběrem provozu.
1. Analýza hrozeb a zabezpečení bezdrátové sítě
Princip bezdrátového přenosu dat zahrnuje možnost neoprávněná připojení k přístupovým bodům. Při budování podnikové sítě musí správci především zajistit nejen kvalitní komunikační pokrytí kancelářského prostoru, ale také zajistit bezpečnostní opatření, protože k síti se lze připojit z auta zaparkovaného na ulici.
Neméně nebezpečnou hrozbou pro bezdrátové sítě je možnost krádeže zařízení: router, anténa, adaptér. Pokud jsou zásady zabezpečení bezdrátové sítě založeny na adresách MAC, pak síťová karta nebo router odcizený útočníkem by mohl otevřít přístup k bezdrátové síti.
1 Hlavní hrozby bezdrátových sítí
Bezdrátové technologie fungující bez fyzických a logických omezení jejich kabelových protějšků vystavují síťovou infrastrukturu a uživatele významným hrozbám. Nejběžnější hrozby jsou následující:
Cizinci. "Cizinci" jsou zařízení, která umožňují neoprávněný přístup k bezdrátové síti, často obcházejí bezpečnostní mechanismy definované pomocí firemní politiku zabezpečení. Nejčastěji se jedná o neautorizované přístupové body. Statistiky ukazují, že za většinu hacků bezdrátových sítí je zodpovědná cizí hrozba. V roli cizince může být domácí router s podporou Wi-Fi, softwarový přístupový bod Soft AP, notebook s povoleným drátovým i bezdrátovým rozhraním, skener, projektor atd.
Nefixovaná komunikace – bezdrátová zařízení mohou během provozu měnit body připojení k síti. K „náhodnému přidružení“ může například dojít, když se notebook s Windows XP (který je zcela důvěryhodný vůči všem bezdrátovým sítím) nebo jednoduše nesprávně nakonfigurovaný bezdrátový klient automaticky přiřadí a připojí uživatele k nejbližší bezdrátové síti. Tento mechanismus umožňuje útočníkům „přepnout“ nic netušícího uživatele pro následný útok na zranitelnost (anglicky: Man in the middle, „man in the middle“) – termín používaný v kryptografii a označuje situaci, kdy kryptoanalytik (útočník) je schopen číst a upravovat o své vlastní svobodné vůli zprávy vyměňované mezi korespondenty a nikdo z nich nemůže odhadnout jeho přítomnost v kanálu. MITM útok je metoda kompromitace komunikačního kanálu, při které útočník po připojení ke kanálu mezi protistranami aktivně zasahuje do přenosového protokolu, maže, zkresluje informace nebo vnucuje nepravdivé informace. Útok typu Man in the middle obvykle začíná odposlechem komunikačního kanálu a končí pokusem kryptoanalytika nahradit zachycenou zprávu, získat z ní užitečné informace a přesměrovat ji na nějaký externí zdroj.
Příklad: Objekt A posílá nějaké informace objektu B. Objekt C má znalosti o struktuře a vlastnostech použité metody přenosu dat a plánuje tyto informace zachytit. K provedení útoku se C „objeví“ objektu A jako objekt B a objektu B jako objektu A. Objekt A, posílající informace objektu B, je tedy nevědomě posílá objektu C. Objekt C, který má přijal informaci a provedl s ní nějaké akce, předá data skutečnému objektu B. Objekt B se domnívá, že informace byla přijata přímo od A.
Denial of Service – Útok odmítnutí služby lze dosáhnout několika způsoby. Pokud se hackerovi podaří navázat spojení s bezdrátovou sítí, jeho škodlivé činy mohou způsobit řadu vážných následků, jako je odesílání odpovědí na požadavky protokolu ARP (Address Resolution Protocol) na změnu tabulek ARP síťových zařízení za účelem narušení směrování sítě. nebo vložení neautorizovaného serveru DHCP (Dynamic Host Configuration Protocol) za účelem vydání neplatných adres a síťových masek. Pokud hacker zjistí podrobnosti o nastavení bezdrátové sítě, může znovu připojit uživatele ke svému přístupovému bodu a ten bude odříznut od síťových zdrojů, které byly přístupné přes „legitimní“ přístupový bod.
Odposlechy
Anonymní škůdci mohou zachytit rádiové signály a dešifrovat přenášená data. Zařízení používané k odposlouchávání sítě nemusí být složitější než zařízení používané pro rutinní přístup k této síti. K zachycení přenosu musí být útočník blízko vysílače. Odposlechy tohoto typu je téměř nemožné zaregistrovat a ještě obtížnější je zabránit. Použití antén a zesilovačů dává útočníkovi možnost být během procesu odposlechu ve značné vzdálenosti od cíle. Odposlech umožňuje shromažďovat informace o síti, která má být později napadena. Útočníkovým primárním cílem je porozumět tomu, kdo síť používá, jaká data jsou na ní k dispozici, jaké jsou možnosti síťového zařízení, v jakých okamžicích je nejvíce a nejméně intenzivně využíváno a jaké je území nasazení sítě. .
1.2 Nástroje pro zabezpečení bezdrátové sítě
K ochraně před nejběžnějšími hrozbami pro bezdrátové sítě můžete použít následující software (Wi-Fi Protected Access) je aktualizovaný program certifikace bezdrátových zařízení. Technologie WPA se skládá z několika komponent:
protokol 802.1x - univerzální protokol pro autentizaci, autorizaci a účtování (AAA)
protokol EAP- Extensible Authentication Protocol
Protokol TKIP - Temporal Key Integrity Protocol, další možnost překladu - Temporal Key Integrity Protocol - kryptografické ověření integrity paketu (Message Integrity Code)
protokol RADIUS
Za šifrování dat ve WPA je zodpovědný protokol TKIP, který sice používá stejný šifrovací algoritmus - RC4 - jako ve WEP, ale na rozdíl od druhého používá dynamické klíče (to znamená, že klíče se často mění). Používá delší inicializační vektor a používá kryptografický kontrolní součet (MIC) k ověření integrity paketů (poslední je funkcí zdrojové a cílové adresy a datového pole). Protokol je navržen tak, aby fungoval ve spojení s ověřovacím serverem, kterým je obvykle server RADIUS. V tomto případě bezdrátové přístupové body pracují v podnikovém režimu.
Pokud v síti není RADIUS server, pak roli autentizačního serveru plní samotný přístupový bod - tzv. režim
WPA-PSK (předsdílený klíč, sdílený klíč). V tomto režimu je v nastavení všech přístupových bodů předem registrován společný klíč. Je také registrován na klientských bezdrátových zařízeních. Tento způsob ochrany je také docela bezpečný (ve srovnání s WEP), ale je velmi nepohodlný z hlediska správy. Klíč PSK musí být zaregistrován na všech bezdrátových zařízeních, která jej mohou zobrazit. Pokud potřebujete zablokovat přístup k síti pro klienta, budete muset znovu zaregistrovat nový PSK na všech síťových zařízeních a tak dále. Jinými slovy, režim WPA-PSK je vhodný pro domácí síť a možná i malou kancelář, ale nic víc.
Tato série článků se bude zabývat tím, jak WPA funguje ve spojení s externím serverem RADIUS. Než se k tomu ale dostaneme, podívejme se trochu blíže na mechanismy WPA. Technologie WPA byla dočasným opatřením, než se začal používat standard 802.11i. Někteří výrobci před oficiálním přijetím tohoto standardu zavedli technologii WPA2, která v různé míře využívá technologie z 802.11i. Například při použití protokolu CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) namísto TKIP používá jako šifrovací algoritmus pokročilý šifrovací standard AES (Advanced Encryption Standard). A protokol 802.1x se stále používá pro správu a distribuci klíčů.
Jak bylo uvedeno výše, protokol 802.1x může provádět několik funkcí. V tomto případě nás zajímají funkce ověřování uživatelů a distribuce šifrovacích klíčů. Je třeba poznamenat, že autentizace probíhá „na úrovni portu“ – to znamená, že dokud není uživatel autentizován, smí odesílat/přijímat pakety související pouze s jeho autentizačním procesem (přihlašovacími údaji) a nic víc. A teprve po úspěšné autentizaci se otevře port zařízení (ať už jde o přístupový bod nebo chytrý přepínač) a uživatel bude mít přístup k síťovým zdrojům.
Autentizační funkce jsou přiřazeny protokolu EAP, který je sám o sobě pouze rámcem pro autentizační metody. Krása protokolu spočívá v tom, že jej lze velmi jednoduše implementovat na autentizátor (přístupový bod), protože nepotřebuje znát žádné specifické vlastnosti různých autentizačních metod. Autentizátor pouze slouží přenosový spoj mezi klientem a ověřovacím serverem. Způsobů autentizace je poměrně dost: SIM, EAP-AKA - používané v sítích GSM mobilní komunikace- propaoretická metoda z Systémy Cisco MD5 - nejjednodušší metoda, podobná CHAP (není silná) MSCHAP V2 - metoda autentizace na základě přihlášení/hesla uživatele v sítích MS TLS - autentizace na základě digitálních certifikátů SecureID - metoda založená na jednorázových heslech
Kromě výše uvedeného je třeba poznamenat následující dvě metody, EAP-TTLS a EAP-PEAP. Na rozdíl od předchozích tyto dvě metody nejprve vytvoří tunel TLS mezi klientem a autentizačním serverem a teprve poté přímo autentizují uživatele. A již uvnitř tohoto tunelu se provádí samotná autentizace, a to buď pomocí standardního EAP (MD5, TLS), nebo starých non-EAP metod (PAP, CHAP, MS-CHAP, MS-CHAP v2), které fungují pouze s EAP- TTLS (PEAP používaný pouze ve spojení s metodami EAP). Předtunelování zlepšuje zabezpečení autentizace tím, že chrání před útoky typu man-in-middle, hacking session nebo slovníkovými útoky.
Protokol PPP se tam objevil, protože se původně plánovalo použití EAP přes PPP tunely. Ale protože použití tohoto protokolu pouze pro autentizaci v místní síti je zbytečná redundance, jsou zprávy EAP zabaleny do paketů „EAP over LAN“ (EAPOL), které se používají k výměně informací mezi klientem a autentizátorem (přístupovým bodem).
Autentizační schéma se skládá ze tří komponent: - běžící software klientský stroj pokus o připojení k síti - přístupový uzel, autentizátor ( bezdrátový bod přístup nebo drátový přepínač podporující protokol 802.1x) Server - autentizační server (obvykle RADIUS server).
Proces ověřování se skládá z následujících fází:
Klient může odeslat požadavek na ověření (zprávu EAP-start) do přístupového bodu
Přístupový bod (Authenticator) odpoví odesláním klientovi požadavek na identifikaci klienta (EAP-request/identity message). Ověřovatel může odeslat požadavek EAP sám, pokud zjistí, že se některý z jeho portů stal aktivním.
Klient odpoví odesláním paketu EAP-response s potřebnými daty, které přístupový bod (autenticátor) přesměruje na server Radius (autentizační server).
Autentizační server odešle paket výzvy (požadavek na informace o autentičnosti klienta) autentizátorovi (přístupovému bodu). Autentizátor jej předá klientovi.
Dále nastává proces vzájemné identifikace serveru a klienta. Počet fází předávání paketů tam a zpět se liší v závislosti na metodě EAP, ale pro bezdrátové sítě pouze „silná“ autentizace se vzájemnou autentizací klienta a serveru (EAP-TLS, EAP-TTLS, EAP-PEAP) a pre- šifrování komunikačního kanálu je přijatelné.
V další fázi autentizační server po obdržení nezbytných informací od klienta povolí (přijme) nebo zamítne (odmítne) přístup s předáním této zprávy autentizátor. Autentizátor (přístupový bod) otevře port pro žadatele, pokud ze serveru RADIUS přišla kladná odpověď (Accept).
Port se otevře, autentizátor odešle klientovi zprávu o úspěchu a klient získá přístup k síti.
Po odpojení klienta se port na přístupovém bodu vrátí do stavu „zavřeno“.
Pakety EAPOL se používají pro komunikaci mezi klientem (žadatelem) a přístupovým bodem (autentizátorem). Protokol RADIUS se používá k výměně informací mezi ověřovatelem (přístupovým bodem) a serverem RADIUS (ověřovací server). Při přenosu informací mezi klientem a ověřovacím serverem jsou pakety EAP v ověřovacím zařízení přebaleny z jednoho formátu do druhého.
Prvotní autentizace se provádí na základě společných údajů, které zná klient i autentizační server (např. login/heslo, certifikát atd.) – v této fázi je vygenerován Master Key. Pomocí hlavního klíče vygeneruje autentizační server a klient párový hlavní klíč, který autentizační server předá autentizátorovi. A na základě Pairwise Master Key jsou generovány všechny ostatní dynamické klíče, které uzavírají přenášený provoz. Je třeba poznamenat, že i samotný Pairwise Master Key podléhá dynamickým změnám. (Wired Equivalent Privacy) - stará metoda zajištění bezpečnosti sítě. Je stále k dispozici pro podporu starších zařízení, ale jeho použití se nedoporučuje. Povolení WEP nakonfiguruje klíč zabezpečení sítě. Tento klíč zašifruje informace, které počítač přenáší po síti do jiných počítačů. Zabezpečení WEP je však poměrně snadné prolomit.
Existují dva typy metod zabezpečení WEP: ověřování otevřeného systému a ověřování sdíleným klíčem. Ani jedna neposkytuje vysokou úroveň zabezpečení, ale metoda ověřování sdíleným klíčem je méně bezpečná. U většiny počítačů a bezdrátových přístupových bodů je ověřovací klíč sdíleného klíče stejný jako statický šifrovací klíč WEP, který se používá k zabezpečení sítě. Útočník, který zachytí úspěšné zprávy o ověření sdíleným klíčem, může pomocí nástrojů pro čichání určit ověřovací klíč sdíleného klíče a poté statický šifrovací klíč WEP. Jakmile je určen statický šifrovací klíč WEP, může útočník získat plný přístup k síti. Z tohoto důvodu tato verze systému Windows automaticky nepodporuje konfiguraci sítě prostřednictvím ověřování sdíleným klíčem WEP.
K získání klíče používá generátor pseudonáhodných čísel (algoritmus RC4) a také inicializační vektory. Protože poslední komponenta není zašifrován, je možné, aby do něj zasáhly třetí strany a znovu vytvořily klíč WEP.
Analýza hrozeb pro bezdrátové sítě ukázala, že nejvíce znepokojujícími hrozbami jsou cizí lidé, neopravená komunikace, odepření přístupu a odposlouchávání.
Revize softwarových nástrojů používaných k ochraně informací v bezdrátových sítích ukázala, že je nejvhodnější používat program WPA. Program WPA je aktualizovaný program certifikace bezdrátových zařízení. Program WPA zvyšuje zabezpečení dat a řízení přístupu k bezdrátovým sítím a podporuje šifrování v souladu se standardem AES (Advanced Encryption Standard), který má robustnější kryptografický algoritmus.
2. Technologie pro ochranu informací v bezdrátových sítích
1 Nastavení programu WPA
Možnost konfigurace WPA v systému Windows XP se objeví při instalaci služby Verze balíčku 2 (nebo odpovídající aktualizace dostupné na webu společnosti Microsoft).
<#"363" src="doc_zip2.jpg" /> <#"352" src="doc_zip3.jpg" /> <#"327" src="doc_zip4.jpg" /> <#"325" src="doc_zip5.jpg" /> <#"376" src="doc_zip6.jpg" /> <#"351" src="doc_zip7.jpg" /> <#"351" src="doc_zip8.jpg" /> <#"326" src="doc_zip9.jpg" /> <#"291" src="doc_zip10.jpg" /> <#"311" src="doc_zip11.jpg" /> <#"298" src="doc_zip12.jpg" /> <#"349" src="doc_zip13.jpg" /> <#"justify">2.3 Šifrování provozu
Jakýkoli přístupový bod vám umožňuje povolit režim šifrování pro provoz přenášený přes bezdrátovou síť. Šifrovaný provoz skrývá data uživatelů sítě a útočníkům velmi ztěžuje dešifrování dat přenášených přes šifrovanou síť. Existuje několik metod šifrování, z nichž nejběžnější jsou WEP a bezpečnější WPA a WPA-2. Metoda šifrování WEP není podle moderních standardů dostatečně silná, takže moderní přístupové body 802.11g již používají vylepšenou metodu šifrování WPA. Zvažme nastavení šifrování WPA Na ovládacím panelu přístupového bodu povolte režim „WPA-PSK“ (nejlépe „WPA2-PSK“), někdy mohou existovat dílčí režimy, které je třeba vybrat osobní nebo zjednodušené, protože jiné. nemusí ve vaší síti fungovat bez vyhrazeného serveru. V režimu WPA je třeba vybrat šifrovací algoritmus „AES“ nebo „TCIP“ a zadat šifrovací klíč, což mohou být libovolné symboly (doporučuje se použít klíč maximální délky, symboly smíšené s čísly).
Obrázek 15 – Konfigurace režimu WPA-PSK na přístupovém bodu
Všechny adaptéry Wi-Fi jsou nakonfigurovány stejným způsobem. Totiž na každém počítači/notebooku ve vlastnostech „Wireless síťové připojení» Vyberte „WPA-PSK“ pro ověření a „AES“ nebo „TKIP“ pro šifrování dat v závislosti na šifrování zvoleném na přístupovém bodu.
Obrázek 16-Konfigurace síťového adaptéru v režimu WPA-PSK
Krok 1 Otevřete webový prohlížeč, do adresního řádku zadejte IP adresu routeru (192.168.1.1 ve výchozím nastavení) a stiskněte Enter.
Obrázek 17-Okno prohlížeče
Krok 2 Zadejte uživatelské jméno a heslo na přihlašovací stránce, výchozí uživatelské jméno a heslo je admin.
Krok 3 V levém menu vyberte Wireless -> Wireless Settings, zobrazí se okno nastavení bezdrátového připojení.
Obrázek 19-Okno nastavení bezdrátové sítě
SSID (Název bezdrátové sítě): Nastavte nový název bezdrátové sítě
Kanál: 1, 6 nebo 11 jsou lepší než Auto.
Zaškrtněte políčko „Povolit“. Bezdrátový router Rádio“ a „Povolit vysílání SSID“.
Poznámka: Po kliknutí na tlačítko Uložit se zobrazí zpráva Změny nastavení bezdrátové sítě budou fungovat až po restartování počítače, kliknutím sem restartujte počítač nyní . Router není nutné restartovat, dokud nedokončíte všechna nastavení bezdrátové sítě.
Krok 5 Z nabídky nalevo vyberte Bezdrátové připojení -> Zabezpečení bezdrátového připojení s pravá strana povolte možnost WPA-PSK / WPA 2-PSK.
Obrázek 20-Nastavení WPA-PSK
Verze: WPA - PSK nebo WPA 2- PSK
Šifrování: TKIP nebo AESPassword: Zadejte heslo (délka předsdíleného klíče je od 8 do 63 znaků.)
Krok 7 Z nabídky vlevo vyberte Systems Tools -> Reboot. Restartujte router, aby se nastavení projevila.
Obrázek 21-Obslužné programy
3. Organizační a ekonomická část
Cena adaptéru byla vybrána porovnáním tří ceníků takových společností jako SaNi, Ret a DNS-SHOP, ceny jsou uvedeny v tabulce 1
StorePriceNázev produktu PET RUB 1 841 Network Powerline adaptér TP-Link TL-WPA2220KITСаНИ2 190 RUR Síťový adaptér Powerline TP-Link TL-WPA2220KITDNS-SHOP1 870 RUR Síťový adaptér Powerline TP-Link TL-WPA2220KIT Tabulka 1-Porovnání tří ceníků
Analýzou a porovnáním cen jsem dospěl k závěru, že je nejvýhodnější koupit tento adaptér s podporou WPA v obchodě PET, protože cena byla 1841 rublů.
Bezpečnost a ochrana zdraví při práci
Pokyn bezpečnosti práce je hlavním dokumentem, který pro pracovníky stanoví pravidla chování při práci a požadavky na bezpečný výkon práce.
Znalost Pokynů bezpečnosti práce je povinná pro pracovníky všech kategorií a skupin dovedností, jakož i jejich přímé nadřízené.
Na každém pracovišti musí být vypracovány bezpečné cesty přes místo na pracoviště a evakuační plány pro případ požáru a nouze a musí být sděleny všem zaměstnancům.
Každý pracovník je povinen:
dodržovat požadavky těchto pokynů;
neprodleně informovat svého přímého nadřízeného a v jeho nepřítomnosti nadřízeného nadřízeného o nehodě, ke které došlo, a o všech jím zjištěných porušeních požadavků pokynů, jakož i o poruchách konstrukcí, zařízení a ochranných zařízení;
pamatovat na osobní odpovědnost za nedodržení bezpečnostních požadavků;
zajistit bezpečnost ochranných prostředků, nářadí, přístrojů, hasicích zařízení a dokumentace bezpečnosti práce na svém pracovišti.
JE ZAKÁZÁNO provádět příkazy, které jsou v rozporu s požadavky tohoto Pokynu a „Mezioborovými pravidly pro ochranu práce (bezpečnostní pravidla) při provozu elektrických instalací“ POT R M-016-2001 (RD 153-34.0-03.150- 00).
Každý počítač je elektrické zařízení a představuje potenciální hrozbu. Proto je při práci s počítačem nutné dodržovat bezpečnostní požadavky.
Před zahájením práce byste se měli ujistit, že elektrické vedení, vypínače, zásuvky, pomocí kterých je zařízení připojeno k síti, jsou v dobrém stavu, že počítač je uzemněn a že správně funguje. Je nepřípustné používat v napájecím systému nekvalitní a opotřebované komponenty, stejně jako jejich náhradní náhražky: zásuvky, prodlužovací kabely, adaptéry, odpaliště. Je nepřijatelné nezávisle upravovat zásuvky tak, aby přijímaly zástrčky, které splňují jiné normy. Elektrické kontakty zásuvek by neměly být vystaveny mechanickému namáhání spojenému s připojováním masivních součástí (adaptéry, T-kusy atd.). Všechny napájecí kabely a vodiče by měly být umístěny na zadní straně počítače a periferních zařízení. Jejich umístění v pracovní oblasti uživatele je nepřijatelné.
Neprovádějte žádné operace související s připojováním, odpojováním nebo přemisťováním součástí. počítačový systém bez předchozího vypnutí napájení. Počítač by neměl být instalován v blízkosti elektrických ohřívačů nebo topných systémů. Je nepřijatelné umísťovat cizí předměty na systémovou jednotku, monitor a periferní zařízení: knihy, listy papíru, ubrousky, kryty proti prachu. To má za následek trvalé nebo dočasné ucpání ventilačních otvorů. Nevkládejte cizí předměty do provozních nebo ventilačních otvorů součástí počítačového systému.
Některé počítačové komponenty jsou schopny udržet vysoké napětí po dlouhou dobu poté
Vlastnosti napájecího zdroje systémové jednotky. Všechny součásti systémové jednotky dostávají elektřinu z napájecího zdroje. Napájecí zdroj PC je samostatná jednotka umístěná v horní části systémové jednotky. Bezpečnostní předpisy nezakazují otevření systémové jednotky, například při instalaci přídavné vnitřní zařízení nebo jejich upgrade, ale to se netýká napájecího zdroje. Počítačový zdroj je zdrojem zvýšeného nebezpečí požáru, proto jej lze otevřít a opravit pouze ve specializovaných dílnách. Zdroj má vestavěný ventilátor a větrací otvory. Kvůli tomu se v něm nevyhnutelně bude hromadit prach, který může způsobit zkrat. Doporučuje se pravidelně (jednou nebo dvakrát ročně) použít vysavač k odstranění prachu z napájecího zdroje ventilačními otvory bez otevření systémové jednotky. Je obzvláště důležité provést tuto operaci před každým transportem nebo nakloněním systémové jednotky.
Systém hygienických požadavků. Dlouhodobá práce s počítačem může vést ke zdravotním problémům. Krátkodobá práce s počítačem instalovaným při hrubém porušování hygienických norem a pravidel vede ke zvýšené únavě. Škodlivé účinky počítačového systému na lidský organismus jsou komplexní. Parametry monitoru ovlivňují zrakové orgány. Vybavení pracoviště ovlivňuje orgány pohybového aparátu. Povaha uspořádání zařízení v počítačové třídě a způsob jeho použití ovlivňuje jak celkový psychofyziologický stav těla, tak jeho zrakové orgány.
Požadavky na videosystém. V minulosti byl monitor vnímán především jako zdroj škodlivé záření, postihující především oči. Dnes je tento přístup považován za nedostatečný. Kromě škodlivého elektromagnetického záření (které je u moderních monitorů sníženo na relativně bezpečnou úroveň) je třeba brát ohled na parametry kvality obrazu, které určuje nejen monitor, ale také grafický adaptér, tzn. celý video systém jako celek.
Na pracovišti musí být monitor instalován tak, aby byla vyloučena možnost odrazu od jeho obrazovky směrem k uživateli od zdrojů celkového osvětlení v místnosti.
Vzdálenost od obrazovky monitoru k očím uživatele by měla být od 50 do 70 cm Z obavy před škodlivým zářením není potřeba zkoušet odsunout monitor co nejdále od očí (na základě každodenní zkušenosti s TV), protože. pro oko je důležitý i pozorovací úhel nejcharakterističtějších předmětů. Optimálně by měl být monitor umístěn ve vzdálenosti 1,5 D od očí uživatele, kde D je velikost obrazovky monitoru, měřeno diagonálně. Porovnejte toto doporučení s hodnotou 3...5 D doporučenou pro domácí televizory a porovnejte velikost znaků na obrazovce monitoru (nejtypičtější objekt, který vyžaduje soustředění) s velikostí objektů typických pro televizi (obrázky lidí, budovy, přírodní objekty). Přílišná vzdálenost očí od monitoru vede k dodatečné zátěži zrakových orgánů, ovlivňuje obtížnost přechodu od práce s monitorem k práci s knihou a projevuje se předčasným rozvojem dalekozrakosti. Důležitý parametr je snímková frekvence, která závisí na vlastnostech monitoru, grafického adaptéru a nastavení softwaru video systémy. Pro práci s texty je minimální povolená snímková frekvence 72 Hz. Pro práci s grafikou se doporučuje snímková frekvence 85 Hz nebo vyšší.
Požadavky na pracoviště. Požadavky na pracoviště zahrnují požadavky na pracovní plochu, sedák (židle, křeslo), opěrky rukou a nohou. Přes svou zdánlivou jednoduchost poskytněte správné umístění prvků počítačového systému a správné umístění uživatele je extrémně obtížné. Kompletní řešení problémy vyžadují dodatečné náklady srovnatelné s náklady na jednotlivé komponenty počítačového systému, proto jsou tyto požadavky v každodenním životě a ve výrobě často opomíjeny.
Monitor by měl být instalován přímo před uživatelem a neměl by vyžadovat otáčení hlavy nebo těla.
Pracovní plocha a sedadlo by měly být v takové výšce, aby úroveň očí uživatele byla mírně nad středem monitoru. Měli byste se dívat na obrazovku monitoru shora dolů a ne naopak. I krátkodobá práce s příliš vysoko nainstalovaným monitorem vede k únavě krční páteře.
Pokud se při správné instalaci monitoru ve vztahu k úrovni očí ukáže, že nohy uživatele nemohou volně spočívat na podlaze, měla by být nainstalována podnožka, nejlépe nakloněná. Pokud nohy nemají spolehlivou oporu, jistě to povede ke špatnému držení těla a únavě páteře. Je výhodné, když počítačový nábytek (stůl a pracovní židle) má prostředky pro nastavení výšky. V tomto případě je snazší dosáhnout optimální polohy.
Klávesnice by měla být umístěna v takové výšce, aby na ní prsty spočívaly volně, bez napětí a úhel mezi ramenem a předloktím byl 100° - 110°. Pro práci se doporučuje používat speciální počítačové stoly, které mají výsuvné police pro klávesnici. Dlouhodobá práce s klávesnicí může způsobit únavu šlach zápěstního kloubu. Známá je závažná nemoc z povolání - syndrom karpálního tunelu, spojený s nesprávným postavením ruky na klávesnici. Aby nedošlo k nadměrnému namáhání ruky, je vhodné opatřit pracovní židli područkami, jejichž výška měřená od podlahy se shoduje s výškou klávesnice.
Při práci s myší byste neměli mít svěšenou ruku. Loket nebo alespoň zápěstí by mělo mít pevnou oporu. Pokud je obtížné zajistit potřebné umístění pracovní plochy a židle, doporučuje se použít podložku pod myš se speciálním podpůrným válečkem. Často dochází k případům, kdy při hledání opory pro ruku (obvykle pravou) je monitor umístěn na straně uživatele (resp. na levé), takže pracuje napůl otočený, opřený o loket popř. zápěstí pravé ruky na stole.
4.1 Požadavky na elektrickou bezpečnost
Při používání výpočetní techniky a periferních zařízení musí každý zaměstnanec opatrně a pečlivě zacházet s elektrickými rozvody, přístroji a zařízeními a vždy pamatovat na to, že zanedbání bezpečnostních pravidel ohrožuje lidské zdraví i život
Abyste předešli úrazu elektrickým proudem, musíte znát a dodržovat následující pravidla pro bezpečné používání elektřiny:
Na svém pracovišti je nutné neustále sledovat dobrý stav elektrických rozvodů, vypínačů, zásuvek, kterými je zařízení připojeno k síti, a uzemnění. Pokud je zjištěna porucha, okamžitě vypněte napájení elektrického zařízení a informujte správu. Další provoz je možný až po odstranění závady.
Aby se zabránilo poškození izolace vodičů a zkratům, není povoleno:
a) pověsit něco na dráty;
b) přetírat a bělit šňůry a dráty;
c) pokládat dráty a šňůry za plynové a vodovodní potrubí, za radiátory otopné soustavy;
d) vytáhněte zástrčku ze zásuvky za šňůru, na tělo zástrčky je třeba působit silou.
Aby se zabránilo úrazu elektrickým proudem, je zakázáno:
a) často zbytečně zapínat a vypínat počítač;
b) dotkněte se obrazovky a zadní strany počítačových bloků;
c) práce na počítačovém a periferním zařízení mokrýma rukama;
d) práce na počítačích a periferních zařízeních, které mají narušení celistvosti skříně, porušení izolace vodičů, vadnou indikaci zapnutí, se známkami elektrického napětí na skříni
e) pokládat cizí předměty na počítačová zařízení a periferní zařízení.
Je zakázáno čistit elektrická zařízení od prachu a nečistot pod napětím.
Je zakázáno kontrolovat funkčnost elektrických zařízení v místnostech, které nejsou vhodné pro použití s vodivými podlahami, vlhkými a neumožňují uzemnění přístupných kovových částí.
Opravy elektrického zařízení provádějí pouze odborní technici při dodržení nezbytných technické požadavky.
Je nepřípustné provádět opravy počítačů a periferních zařízení pod napětím.
Aby nedošlo k úrazu elektrickým proudem, při používání elektrických spotřebičů se nesmíte současně dotýkat potrubí, radiátorů nebo kovových konstrukcí spojených se zemí.
Při používání elektřiny ve vlhkých prostorách buďte zvlášť opatrní.
Pokud je zjištěn přerušený vodič, musíte o tom okamžitě informovat správu a přijmout opatření, aby se s ním lidé nedostali do kontaktu. Dotyk drátu je životu nebezpečný.
Záchrana oběti v případě úrazu elektrickým proudem závisí především na rychlosti jejího osvobození od účinků proudu.
Ve všech případech úrazu elektrickým proudem okamžitě zavolejte lékaře. Než dorazí lékař, musíte bez ztráty času začít poskytovat první pomoc oběti.
Je nutné okamžitě zahájit umělé dýchání, z nichž nejúčinnější je metoda „z úst do úst“ nebo „z úst do nosu“ a také zevní srdeční masáž.
Umělé dýchání se osobě zasažené elektrickým proudem provádí do příjezdu lékaře.
4.2 Požadavky na prostory
Prostory by měly mít přirozené a umělé osvětlení. Umístění pracovních stanic za monitory pro dospělé uživatele v suterénech není povoleno.
Plocha na jedno pracoviště s počítačem pro dospělé uživatele musí být minimálně 6 m2 a objem minimálně -20 m3.
Místnosti s počítači musí být vybaveny topením, klimatizací nebo účinnými systémy přívodu a odvodu vzduchu.
Pro vnitřní výzdobu místností s počítači by měly být použity difúzně reflexní materiály s koeficientem odrazivosti pro strop 0,7-0,8; pro stěny - 0,5-0,6; pro podlahu - 0,3-0,5.
Podlaha v počítačových operačních sálech musí být hladká, bez výmolů, protiskluzová, snadno se čistí a mokrá a musí mít antistatické vlastnosti.
V místnosti by měla být lékárnička a hasicí přístroj s oxidem uhličitým k uhašení požáru.
4.3 Požadavky na požární bezpečnost
Na pracovišti je zakázáno mít hořlavé látky
V areálu je zakázáno:
a) zapálit oheň;
b) zapněte elektrické zařízení, pokud je v místnosti cítit plyn;
c) kouř;
d) něco sušit na topných zařízeních;
e) uzavřete ventilační otvory v elektrických zařízeních
Zdroje vznícení jsou:
a) jiskra v důsledku výboje statické elektřiny
b) jiskry z elektrického zařízení
c) jiskry z nárazu a tření
d) otevřený plamen
Dojde-li k nebezpečí požáru nebo požáru, musí personál neprodleně učinit nezbytná opatření k jeho odstranění a zároveň o požáru informovat správu.
Prostory s elektrickým zařízením musí být vybaveny hasicími přístroji typu OU-2 nebo OUB-3.
Závěr
Dnes se bezdrátové sítě rozšířily, což vede k potřebě vyvinout technologii pro ochranu informací v bezdrátových sítích.
Na základě výzkumu provedeného v rámci tohoto diplomového projektu lze vyvodit následující závěry:
bezdrátový přenos data zahrnují možnost neoprávněného připojení k přístupovým bodům, nepevnou komunikaci, odposlechy, k tomu je nutné zajistit vysoce kvalitní bezpečnostní opatření, protože se můžete připojit k síti z auta zaparkovaného na ulici.
Revize softwaru ukázala, že k ochraně informací o bezdrátové síti se používají specializované programy, jako jsou WEP a WPA.
K ochraně informací před bezdrátovými sítěmi je nejvhodnější používat program WPA, protože program WPA zvyšuje zabezpečení dat a řízení přístupu k bezdrátovým sítím a podporuje šifrování v souladu se standardem AES (Advanced Encryption Standard, pokročilý standard šifrování), který má silnější kryptografický algoritmus.
Seznam použitých zdrojů
Aknorsky D. Něco málo o bezdrátových sítích // Počítač Cena.-2003.-č.
Berlín A.N. Telekomunikační sítě a zařízení. //Internetová univerzita informačních technologií - INTUIT.ru, BINOM. Znalostní laboratoř, 2008. - 319 stran Systémy přenosu informací. Průběh přednášek. /S.V. Kunegin - M.: vojenský útvar 33965, 1998, - 316 s. s nemocným.
DIY bezdrátová síť
Vishnevsky V.M., Lyakhov A.I., Portnoy S.L., Shakhnovich I.V. Širokopásmové bezdrátové sítě pro přenos informací. - 2005. - 205 s.
Obnova dat v bezdrátové síti //iXBT URL:#"justify">Gultyaev A.K. Záchrana dat. 2. vyd. - Petrohrad: Petr, 2006. - 379 s.:
Zorin M., Pisarev Yu., Solovyov P. Bezdrátové sítě: současný stav a vyhlídky. - Připojte se! // World of Communications 1999. č. 4. strana. 104.
Zaidel I. Flash disk by měl žít dlouho //R.LAB URL:#"justify">Zorin M., Pisarev Y., Solovyov P. Rádiová zařízení v pásmu 2,4 GHz: výzvy a příležitosti // PCWeek/Russian Vydání.1999.№ 20-21.s.
Christian Barnes, Tony Boates, Donald Lloyd, Erik Uhle, Jeffrey Poslans, David M. Zanjan, Neil O'Farrell, Ochrana proti hackerům bezdrátových sítí - Vydavatel: IT Company, tisk DMK - 2005. - 480 s.
Merritt Maxim, David Pollino., Zabezpečení bezdrátové sítě. - 2004. - 288s
Molta D., Foster-Webster A. Testovací zařízení pro bezdrátové sítě LAN standardu 802.11 // Sítě a komunikační systémy 1999. č. 7. strana.
Mitilino S. Security of wireless networks //ITC-Online.-2003.-No 27 URL:#"justify">Norenkov, V.A. Trudonoshin - M.: Nakladatelství MSTU im. N.E. Bauman, 1998. 232 s.
Olifer V.G., Olifer N.A. Základy datových sítí. //Internetová univerzita informačních technologií - INTUIT.ru, 2005 - 176 stran.
Oleinik T. Bezdrátové sítě: současný stav a vyhlídky.//Domácí PC.-2003.-10.
PC-3000 Flash //ACE Lab software URL:#"justify">
Bezdrátové Wi-Fi sítě Proletarsky A.V., Baskakov I.V., Chirkov D.N. - 2007. - 216s
Proletarsky A.V., Baskakov I.V., Fedotov R.A. Organizace bezdrátových sítí. - Vydavatel: Moskva. - 2006. - 181 s.
Sebastian Rapley. LAN bez omezení // PC Magazine/Russian Edition.1999.№12.s.105.
Stakhanov S. Wi-Fi obnova dat//Centrum obnovy dat Stakhanov URL:#"justify">Bezdrátové síťové technologie//iXBT URL:#"justify">Nástroje pro obnovu dat//ACE URL centra obnovy dat:#"justify" > Frank J. Doerfler, Jr., Les Freed. Wireless LANs //PC Magazine/Russian Edition.2000.No.6. .
Jurij Pisarev. Bezdrátové sítě: na cestě k novým standardům // PC Magazine/Russian Edition.1999.No 10. p 184.
Jurij Pisarev. Zabezpečení bezdrátových sítí // PC Magazine/Russian Edition.1999.№12.page. 97. Fi. Bezdrátová síť Autor: John Ross Vydavatel: NT Press Rok vydání: 2007 Stránky: 320fu: „bojové“ techniky pro hackování a ochranu bezdrátových sítí název
Seznam zkratek
WEP – Wired Equivalent Privacy – Wi-Fi Protected Access – Address Resolution Protocol – Advanced Encryption Standard – Temporal Key Integrity Protocol fi – Wireless Fidelity
Dodatek A
Obrázek 22- Zabezpečení WPA
Obrázek 23 - Budování zabezpečené bezdrátové sítě
Obrázek 24 - Adaptér s podporou WPA
