В 1997 году вышел первый стандарт IEEE 802.11, безопасность которого, как оказалось, далека от идеала. Простой пароль SSID (Server Set ID) для доступа в локальную сеть по современным меркам нельзя считать защитой, особенно, учитывая факт, что к Wi-Fi не нужно физически подключаться.

Главной же защитой долгое время являлось использование цифровых ключей шифрования потоков данных с помощью функции Wired Equivalent Privacy (WEP). Сами ключи представляют из себя обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне. Как показало время, WEP оказалась не самой надёжной технологией защиты. И, кстати, все основные атаки хакеров пришлись как раз-таки на эпоху внедрения WEP.

После 2001 года для проводных и беспроводных сетей был внедрён новый стандарт IEEE 802.1X, который использует вариант динамических 128-разрядных ключей шифрования, то есть периодически изменяющихся во времени. Таким образом, пользователи сети работают сеансами, по завершении которых им присылается новый ключ. Например, Windows XP поддерживает данный стандарт, и по умолчанию время одного сеанса равно 30 минутам.

В конце 2003 года был внедрён стандарт Wi-Fi Protected Access (WPA), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа Temporal Key Integrity Protocol (TKIP), протоколом расширенной аутентификации Extensible Authentication Protocol (EAP) и технологией проверки целостности сообщений Message Integrity Check (MIC).

Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков, в частности, в данном направлении преуспевают Intel и Cisco.

В 2004 году появился WPA2, или 802.11i, - максимально защищённый стандарт на сегодняшний день.

Методы передачи и защиты беспроводной сети

Технология размытого спектра известна еще со времен второй мировой войны. Основной принцип - передаваемый сигнал как бы размазан по некоторому частотному диапазону. Само по себе словосочетание "размытый спектр" означает, что для кодирования сигнала используется более широкий частотный диапазон, чем тот, что потребовался бы при передаче только полезной информации. Эта технология получила распространение благодаря высокой помехоустойчивости. Очевидно, что эта ее особенность актуальна и для современного бизнеса, так как компаниям приходится зачастую доверять радиоволнам важную конфиденциальную информацию. Кроме того, технология оказалась относительно дешевой при массовом производстве. Отметим, что максимальная скорость передачи данных в канале зависит только от ширины канала, а не от участка спектра. Передающая станция беспроводной сети постоянно меняет частотный диапазон, в котором ведется передача сигнала. Получается, что одна часть информации передается на одной частоте, другая - на второй, третья - на третьей и т.д. Конкретная последовательность используемых частот называется последовательностью скачков. Она должна быть синхронизирована между передающей и принимающей станцией. В противном случае они не смогут общаться друг с другом. Не зная нужной последовательности и частоты переключения поддиапазонов, расшифровать сигнал практически невозможно. Стандарт определяет 79 каналов и 78 частот, изменяющихся скачкообразно. Метод частотных скачков обеспечивает конфиденциальность и некоторую помехозащищенность передач беспроводной сети. Помехозащищенность обеспечивается тем, что если на каком-то из 79 подканалов передаваемый пакет не удалось принять, то приемник сообщает об этом, и передача этого пакета повторяется на одном из следующих (в последовательности скачков) подканалов. С другой стороны, поскольку при использовании метода частотных скачков на каждом подканале передача ведется на достаточно большой мощности, сравнимой с мощностью обычных узкополосных передатчиков, об этом методе нельзя сказать, что он не мешает другим видам передач. Первый очевидный результат применения этого метода - защита передаваемой информации беспроводной сети от подслушивания. Но более важным оказалось другое свойство, состоящее в том, что благодаря многократной избыточности передачи можно обойтись сигналом очень маленькой мощности (по сравнению с обычной узкополосной технологией), не увеличивая при этом размеров антенн. При этом в беспроводной связи сильно уменьшается отношение сигнал/шум (под шумом имеются в виду случайные или преднамеренные помехи), так что передаваемый сигнал уже как бы неразличим в общем шуме. Тем не менее, благодаря избыточности сигнала принимающее устройство все же сумеет его распознать. Ясно, что при генерации и кодировании избыточных разрядов эффективная частота полученного сигнала возрастает, поэтому для его передачи требуется более широкий диапазон, чем для передачи "чистой" информации, в результате чего спектр и растягивается, или "размывается". Защита информации в беспроводных сетях предлагают четыре уровня средств безопасности: физический, идентификатор набора служб, идентификатор управления доступом к среде и шифрование. Еще одно преимущество беспроводных сетей связано с тем, что физические характеристики сети делают ее локализованной. В результате дальность действия сети ограничивается лишь определенной зоной покрытия. Для подслушивания потенциальный злоумышленник должен будет находиться в непосредственной физической близости, а значит, привлекать к себе внимание. В этом преимущество беспроводных сетей с точки зрения безопасности. Беспроводные сети имеют также уникальную особенность: их можно отключить или модифицировать их параметры, если безопасность зоны вызывает сомнения. Благодаря средствам аутентификации и шифрования данных, злоумышленнику почти невозможно получить доступ к сети или перехватить передаваемые данные. В сочетании с мерами безопасности на сетевом уровне протокола (подключение к беспроводной сети парольного доступа и т.д.), а также функциями безопасности тех или иных конкретных приложений (шифрование, парольный доступ и т.д.) средства безопасности продуктов беспроводной сети открывают путь к безопасной связи.

Что в наше время может быть важнее, чем защита своей домашней Wi-Fi сети 🙂 Это очень популярная тема, на которую уже только на этом сайте написана не одна статья. Я решил собрать всю необходимую информацию по этой теме на одной странице. Сейчас мы подробно разберемся в вопросе защиты Wi-Fi сети. Расскажу и покажу, как защитить Wi-Fi паролем, как правильно это сделать на роутерах разных производителей, какой метод шифрования выбрать, как подобрать пароль, и что нужно знать, если вы задумали сменить пароль беспроводной сети.

В этой статье мы поговорим именно о защите домашней беспроводной сети . И о защите только паролем. Если рассматривать безопасность каких-то крупных сетей в офисах, то там к безопасности лучше подходить немного иначе (как минимум, другой режим аутентификации) . Если вы думаете, что одного пароля мало для защиты Wi-Fi сети, то я бы советовал вам не заморачиваться. Установите хороший, сложный пароль по этой инструкции, и не беспокойтесь. Вряд ли кто-то будет тратить время и силы, что бы взломать вашу сеть. Да, можно еще например скрыть имя сети (SSID), и установить фильтрацию по MAC-адресам, но это лишние заморочки, которые в реальности будут только приносить неудобства при подключении и использовании беспроводной сети.

Если вы думаете о том, защищать свой Wi-Fi, или оставить сеть открытой, то решение здесь может быть только одним – защищать. Да, интернет безлимитный, да практически у все дома установлен свой роутер, но к вашей сети со временем все ровно кто-то подключится. А для чего нам это, ведь лишние клиенты, это лишняя нагрузка на роутер. И если он у вас не дорогой, то этой нагрузки он просто не выдержит. А еще, если кто-то подключится к вашей сети, то он сможет получить доступ к вашим файлам (если настроена локальная сеть) , и доступ к настройкам вашего роутера (ведь стандартный пароль admin, который защищает панель управления, вы скорее всего не сменили) .

Обязательно защищайте свою Wi-Fi сеть хорошим паролем с правильным (современным) методом шифрования. Устанавливать защиту я советую сразу при настройке маршрутизатора. А еще, не плохо бы время от времени менять пароль.

Если вы переживаете, что вашу сеть кто-то взломает, или уже это сделал, то просто смените пароль, и живите спокойно. Кстати, так как вы все ровно будете заходит в панель управления своего роутера, я бы еще советовал , который используется для входа в настройки маршрутизатора.

Правильная защита домашней Wi-Fi сети: какой метод шифрования выбрать?

В процессе установки пароля, вам нужно будет выбрать метод шифрования Wi-Fi сети (метод проверки подлинности) . Я рекомендую устанавливать только WPA2 - Personal , с шифрованием по алгоритму AES . Для домашней сети, это лучшее решения, на данный момент самое новое и надежное. Именно такую защиту рекомендуют устанавливать производители маршрутизаторов.

Только при одном условии, что у вас нет старых устройств, которые вы захотите подключить к Wi-Fi. Если после настройки у вас какие-то старые устройства откажутся подключатся к беспроводной сети, то можно установить протокол WPA (с алгоритмом шифрования TKIP) . Не советую устанавливать протокол WEP, так как он уже устаревший, не безопасный и его легко можно взломать. Да и могут появится проблемы с подключением новых устройств.

Сочетание протокола WPA2 - Personal с шифрованием по алгоритму AES , это оптимальный вариант для домашней сети. Сам ключ (пароль) , должен быть минимум 8 символов. Пароль должен состоять из английских букв, цифр и символов. Пароль чувствителен к регистру букв. То есть, "111AA111" и "111aa111" – это разные пароли.

Я не знаю, какой у вас роутер, поэтому, подготовлю небольшие инструкции для самых популярных производителей.

Если после смены, или установки пароля у вас появились проблемы с подключением устройств к беспроводной сети, то смотрите рекомендации в конце этой статьи.

Советую сразу записать пароль, который вы будете устанавливать. Если вы его забудете, то придется устанавливать новый, или .

Защищаем Wi-Fi паролем на роутерах Tp-Link

Подключаемся к роутеру (по кабелю, или по Wi-Fi) , запускаем любой браузер и открываем адрес 192.168.1.1, или 192.168.0.1 (адрес для вашего роутера, а так же стандартные имя пользователя и пароль указаны на наклейке снизу самого устройства) . Укажите имя пользователя и пароль. По умолчанию, это admin и admin. В , я подробнее описывал вход в настройки.

В настройках перейдите на вкладку Wireless (Беспроводной режим) - Wireless Security (Защита беспроводного режима). Установите метку возле метода защиты WPA/WPA2 - Personal(Recommended) . В выпадающем меню Version (версия) выберите WPA2-PSK . В меню Encryption (шифрование) установите AES . В поле Wireless Password (Пароль PSK) укажите пароль, для защиты своей сети.

Установка пароля на роутерах Asus

В настройках нам нужно открыть вкладку Беспроводная сеть , и выполнить такие настройки:

В выпадающем меню "Метод проверки подлинности" выбираем WPA2 - Personal.
"Шифрование WPA" - устанавливаем AES.
В поле "Предварительный ключ WPA" записываем пароль для нашей сети.

Для сохранения настроек нажмите на кнопку Применить .

Подключите свои устройства к сети уже с новым паролем.

Защищаем беспроводную сеть роутера D-Link

Зайдите в настройки своего роутера D-Link по адресу 192.168.0.1. Можете смотреть подробную инструкцию . В настройках откройте вкладку Wi-Fi - Настройки безопасности . Установите тип безопасности и пароль, как на скриншоте ниже.

Установка пароля на других маршрутизаторах

У нас есть еще подробные инструкции для роутеров ZyXEL и Tenda. Смотрите по ссылкам:

Если вы не нашли инструкции для своего роутера, то настроить защиту Wi-Fi сети вы сможете в панели управления своим маршрутизатором, в разделе настроек, который называется: настройки безопасности, беспроводная сеть, Wi-Fi, Wireless и т. д. Найти я думаю будет не сложно. А какие настройки устанавливать, я думаю вы уже знаете: WPA2 - Personal и шифрование AES. Ну и ключ.

Если не сможете разобраться, спрашивайте в комментариях.

Что делать, если устройства не подключаются после установки, смены пароля?

Очень часто, после установки, а особенно смены пароля, устройства которые раньше были подключены к вашей сети, не хотят к ней подключатся. На компьютерах, это как правило ошибки "Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети" и "Windows не удалось подключится к…". На планшетах, и смартфонах (Android, iOS) так же могут появляться ошибки типа "Не удалось подключится к сети", "Подключено, защищено" и т. д.

Решаются эти проблемы простым удалением беспроводной сети, и повторным подключением, уже с новым паролем. Как удалить сеть в Windows 7, я писал . Если у вас Windows 10, то нужно "забыть сеть" по . На мобильных устройствах нажмите на свою сеть, подержите, и выберите "Удалить" .

Если проблемы с подключением наблюдаются на старых устройствах, то установите в настройках роутера протокол защиты WPA, и шифрование TKIP.

Эта статья посвящена вопросу безопасности при использовании беспроводных сетей WiFi.

Введение - уязвимости WiFi

Главная причина уязвимости пользовательских данных, когда эти данные передаются через сети WiFi, заключается в том, что обмен происходит по радиоволне. А это дает возможность перехвата сообщений в любой точке, где физически доступен сигнал WiFi. Упрощенно говоря, если сигнал точки доступа можно уловить на дистанции 50 метров, то перехват всего сетевого трафика этой WiFi сети возможен в радиусе 50 метров от точки доступа. В соседнем помещении, на другом этаже здания, на улице.

Представьте такую картину. В офисе локальная сеть построена через WiFi. Сигнал точки доступа этого офиса ловится за пределами здания, например на автостоянке. Злоумышленник, за пределами здания, может получить доступ к офисной сети, то есть незаметно для владельцев этой сети. К сетям WiFi можно получить доступ легко и незаметно. Технически значительно легче, чем к проводным сетям.

Да. На сегодняшний день разработаны и внедрены средства защиты WiFi сетей. Такая защита основана на шифровании всего трафика между точкой доступа и конечным устройством, которое подключено к ней. То есть радиосигнал перехватить злоумышленник может, но для него это будет просто цифровой "мусор".

Как работает защита WiFi?

Точка доступа, включает в свою WiFi сеть только то устройство, которое пришлет правильный (указанный в настройках точки доступа) пароль. При этом пароль тоже пересылается зашифрованным, в виде хэша. Хэш это результат необратимого шифрования. То есть данные, которые переведены в хэш, расшифровать нельзя. Если злоумышленник перехватит хеш пароля он не сможет получить пароль.

Но каким образом точка доступа узнает правильный указан пароль или нет? Если она тоже получает хеш, а расшифровать его не может? Все просто - в настройках точки доступа пароль указан в чистом виде. Программа авторизации берет чистый пароль, создает из него хеш и затем сравнивает этот хеш с полученным от клиента. Если хеши совпадают значит у клиента пароль верный. Здесь используется вторая особенность хешей - они уникальны. Одинаковый хеш нельзя получить из двух разных наборов данных (паролей). Если два хеша совпадают, значит они оба созданы из одинакового набора данных.

Кстати. Благодаря этой особенности хеши используются для контроля целостности данных. Если два хеша (созданные с промежутком времени) совпадают, значит исходные данные (за этот промежуток времени) не были изменены.

Тем, не менее, не смотря на то, что наиболее современный метод защиты WiFi сети (WPA2) надежен, эта сеть может быть взломана. Каким образом?

Есть две методики доступа к сети под защитой WPA2:

Подбор пароля по базе паролей (так называемый перебор по словарю).
Использование уязвимости в функции WPS.

В первом случае злоумышленник перехватывает хеш пароля к точке доступа. Затем по базе данных, в которой записаны тысячи, или миллионы слов, выполняется сравнение хешей. Из словаря берется слово, генерируется хеш для этого слова и затем этот хеш сравнивается с тем хешем который был перехвачен. Если на точке доступа используется примитивный пароль, тогда взлом пароля, этой точки доступа, вопрос времени. Например пароль из 8 цифр (длина 8 символов это минимальная длина пароля для WPA2) это один миллион комбинаций. На современном компьютере сделать перебор одного миллиона значений можно за несколько дней или даже часов.

Во втором случае используется уязвимость в первых версиях функции WPS. Эта функция позволяет подключить к точке доступа устройство, на котором нельзя ввести пароль, например принтер. При использовании этой функции, устройство и точка доступа обмениваются цифровым кодом и если устройство пришлет правильный код, точка доступа авторизует клиента. В этой функции была уязвимость - код был из 8 цифр, но уникальность проверялась только четырьмя из них! То есть для взлома WPS нужно сделать перебор всех значений которые дают 4 цифры. В результате взлом точки доступа через WPS может быть выполнен буквально за несколько часов, на любом, самом слабом устройстве.

Настройка защиты сети WiFi

Безопасность сети WiFi определяется настройками точки доступа. Несколько этих настроек прямо влияют на безопасность сети.

Режим доступа к сети WiFi

Точка доступа может работать в одном из двух режимов - открытом или защищенном. В случае открытого доступа, подключиться к точке досутпа может любое устройство. В случае защищенного доступа подключается только то устройство, которое передаст правильный пароль доступа.

Существует три типа (стандарта) защиты WiFi сетей:

WEP (Wired Equivalent Privacy) . Самый первый стандарт защиты. Сегодня фактически не обеспечивает защиту, поскольку взламывается очень легко благодаря слабости механизмов защиты.
WPA (Wi-Fi Protected Access) . Хронологически второй стандарт защиты. На момент создания и ввода в эксплуатацию обеспечивал эффективную защиту WiFi сетей. Но в конце нулевых годов были найдены возможности для взлома защиты WPA через уязвимости в механизмах защиты.
WPA2 (Wi-Fi Protected Access) . Последний стандарт защиты. Обеспечивает надежную защиту при соблюдении определенных правил. На сегодняшний день известны только два способа взлома защиты WPA2. Перебор пароля по словарю и обходной путь, через службу WPS.

Таким образом, для обеспечения безопасности сети WiFi необходимо выбирать тип защиты WPA2. Однако не все клиентские устройства могут его поддерживать. Например Windows XP SP2 поддерживает только WPA.

Помимо выбора стандарта WPA2 необходимы дополнительные условия:

Использовать метод шифрования AES.

Пароль для доступа к сети WiFi необходимо составлять следующим образом:

Используйте буквы и цифры в пароле. Произвольный набор букв и цифр. Либо очень редкое, значимое только для вас, слово или фразу.
Не используйте простые пароли вроде имя + дата рождения, или какое-то слово + несколько цифр, например lena1991 или dom12345 .
Если необходимо использовать только цифровой пароль, тогда его длина должна быть не менее 10 символов. Потому что восьмисимвольный цифровой пароль подбирается методом перебора за реальное время (от нескольких часов до нескольких дней, в зависимости от мощности компьютера).

Если вы будете использовать сложные пароли, в соответствии с этими правилами, то вашу WiFi сеть нельзя будет взломать методом подбора пароля по словарю. Например, для пароля вида 5Fb9pE2a (произвольный буквенно-цифровой), максимально возможно 218340105584896 комбинаций. Сегодня это практически невозможно для подбора. Даже если компьютер будет сравнивать 1 000 000 (миллион) слов в секунду, ему потребуется почти 7 лет для перебора всех значений.

WPS (Wi-Fi Protected Setup)

Если точка доступа имеет функцию WPS (Wi-Fi Protected Setup), нужно отключить ее. Если эта функция необходима, нужно убедиться что ее версия обновлена до следующих возможностей:

Использование всех 8 символов пинкода вместо 4-х, как это было вначале.
Включение задержки после нескольких попыток передачи неправильного пинкода со стороны клиента.

Дополнительная возможность улучшить защиту WPS это использование цифробуквенного пинкода.

Безопасность общественных сетей WiFi

Сегодня модно пользоваться Интернет через WiFi сети в общественных местах - в кафе, ресторанах, торговых центрах и т.п. Важно понимать, что использование таких сетей может привести к краже ваших персональных данных. Если вы входите в Интернет через такую сеть и затем выполняете авторизацию на каком-либо сайта, то ваши данные (логин и пароль) могут быть перехвачены другим человеком, который подключен к этой же сети WiFi. Ведь на любом устройстве которое прошло авторизацию и подключено к точке доступа, можно перехватывать сетевой трафик со всех остальных устройств этой сети. А особенность общественных сетей WiFi в том, что к ней может подключиться любой желающий, в том числе злоумышленник, причем не только к открытой сети, но и к защищенной.

Что можно сделать для защиты своих данных, при подключении к Интерне через общественную WiFi сеть? Есть только одна возможность - использовать протокол HTTPS. В рамках этого протокола устанавливается зашифрованное соединение между клиентом (браузером) и сайтом. Но не все сайты поддерживают протокол HTTPS. Адреса на сайте, который поддерживает протокол HTTPS, начинаются с префикса https://. Если адреса на сайте имеют префикс http:// это означает что на сайте нет поддержки HTTPS или она не используется.

Некоторые сайты по умолчанию не используют HTTPS, но имеют этот протокол и его можно использовать если явным образом (вручную) указать префикс https://.

Что касается других случаев использования Интернет - чаты, скайп и т.д, то для защиты этих данных можно использовать бесплатные или платные серверы VPN. То есть сначала подключаться к серверу VPN, а уже затем использовать чат или открытый сайт.

Защита пароля WiFi

Во второй и третьей частях этой статьи я писал, о том, что в случае использования стандарта защиты WPA2, один из путей взлома WiFi сети заключается в подборе пароля по словарю. Но для злоумышленника есть еще одна возможность получить пароль к вашей WiFi сети. Если вы храните ваш пароль на стикере приклеенном к монитору, это дает возможность увидеть этот пароль постороннему человеку. А еще ваш пароль может быть украден с компьютера который подключен к вашей WiFi сети. Это может сделать посторонний человек, в том случае если ваши компьютеры не защищены от доступа посторонних. Это можно сделать при помощи вредоносной программы. Кроме того пароль можно украсть и с устройства которое выносится за пределы офиса (дома, квартиры) - со смартфона, планшета.

Таким образом, если вам нужна надежная защита вашей WiFi сети, необходимо принимать меры и для надежного хранения пароля. Защищать его от доступа посторонних лиц.

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .

Даже небольшая сумма может помочь написанию новых статей:)

Государственного образовательного учреждения

Высшего профессионального образования

Тюменский государственный университет

Институт математики и компьютерных наук

Кафедра информационной безопасности

Курсовая работа

по специальности

«Защита беспроводных сетей »

Выполнили:

Студент группы №357

Колбин С.С.

Руководитель:

Введение .

У беспроводных сетей очень много общего с проводными, но есть и различия. Для того, чтобы проникнуть в проводную сеть, хакеру необходимо физически к ней подключиться. В варианте Wi-Fi ему достаточно установить антенну в ближайшей подворотне в зоне действия сети.

Хотя сегодня в защите Wi-Fi-сетей и применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи, тем не менее, на начальных этапах распространения Wi-Fi нередко появлялись сообщения о том, что даже не используя сложного оборудования и специальных программ можно было подключиться к некоторым корпоративным сетям просто проезжая мимо с ноутбуком. Появились даже легенды о разъезжающих по крупным городам хакерах (war driver) с антеннами, сооруженными из консервной банки или упаковки из под чипсов. Якобы у них даже была своя условная система знаков, которые рисовались на тротуаре и указывали незащищенные должным образом точки доступа. Возможно, так и было, лишь вместо банок из-под чипсов использовались мощные антенны, а условные знаки обозначались на карте, связанной с системой глобального позиционирования (GPS). Данная курсовая работа посвящена защите беспроводных сетей. В ней я хочу рассказать, как можно защитить беспроводную сеть. Специалисты по сетевой безопасности знают, что невозможно полностью защитить сеть и такого понятия как «совершенная защита» просто нет. Для того чтобы правильно спланировать безопасность беспроводной сети (или проводной) нужно учитывать стоимость защищаемых ценностей, стоимость внедрения системы безопасности, а также способности потенциальных атакующих. Другими словами, прежде чем внедрять все меры защиты, известные человечеству, разумнее (и дешевле) внедрить меры защиты от наиболее частых угроз.

Например, беспроводные сети, расположенные в городах, обычно подвергаются атакам чаще, чем сети, расположенные в малонаселённой местности. За день в городе через вашу сеть могут пройти десятки и даже сотни посетителей. Кроме того, злоумышленники могут оставаться незамеченными, находясь в машине, припаркованной неподалёку. С другой стороны, точка доступа, расположенная в доме посередине деревни, вряд ли когда-нибудь увидит чужого посетителя, да и знакомый транспорт будет сразу же заметен.

Для некоторых пользователей настройка безопасности беспроводных сетей кажется сложной, они надеются на "авось пронесёт" и оставляют свою сеть абсолютно открытой, то есть незащищённой. Также люди иногда задаются вопросом, что если они используют сеть только для просмотра интернет страниц и на компьютерах нет секретной информации, то зачем им защищать свою сеть? На этот вопрос есть хороший ответ.

Цель работы: провести анализ безопасности беспроводных сетей, выделить методы их защиты и определить особенности каждого проанализированного метода.

1. История развития защиты Wi-Fi.

После 2001 года для проводных и беспроводных сетей был внедрён новый стандарт IEEE 802.1Х, который использует вариант динамических 128 разрядных ключей шифрования, то есть периодически изменяющихся во времени. Таким образом, пользователи сети работают сеансами, по завершении которых им присылается новый ключ. Например, Windows ХР поддерживает данный стандарт, и по умолчанию время одного сеанса равно 30 минутам.

В конце 2003 года был внедрён стандарт Wi-Fi Protected Access (WPA), который совмещает преимущества динамического обновления ключей IEEE 802.1Х с кодированием протокола интеграции временного ключа Temporal Кеу Integrity Protocol (TКlP), протоколом расширенной аутентификации Extensible Authentication Protocol (ЕАР) и технологией проверки целостности сообщений Message Integrity Check (MIC).

Незащищённая беспроводная сеть подвержена трём основным опасностям.

2.1 Ваши сетевые ресурсы будут доступны незнакомцам.

Когда кто-то подключается к вашей беспроводной сети, он ничем не отличается от пользователя, подсоединившегося к проводному коммутатору вашей сети. Если вы никак не ограничиваете доступ к общим ресурсам, то незваные гости могут делать всё то же самое, что и известные пользователи. Они могут копировать изменять или даже полностью удалять файлы, каталоги и даже целые диски. Или даже хуже - запускать перехватчики нажатий клавиатуры, "трояны" или другие вредоносные программы, которые будут работать на неизвестных хозяев.

2.2 Весь сетевой трафик может быть перехвачен для дальнейшего исследования.

Имея при себе нужные инструменты, можно в режиме реального времени про сматривать посещаемые вами web-страницы, адреса сайтов и, что хуже, перехватывать ваши пароли для дальнейшего использования, чаще всего в корыстных целях.

2.3 Ваш интернет-канал может использоваться для любой деятельности, в том числе и незаконной.

Если открытая беспроводная сеть будет использоваться для нелегального распространения фильмов или музыки, то во многих странах за это можно поплатиться иском со стороны правоохранительных органов. Если же канал использовался для передачи на внешний ресурс чего-то более противозаконного, например детской порнографии, или же такой сервер появился внутри сети, проблемы могут быть гораздо более серьёзными. Кроме того, каналом могут воспользоваться спамеры, любители атак DOS и распространители вредоносного ПО, вирусов, да и многие другие.

Вполне разумно раздавать доступ в Интернет всем вашим гостям. Но до тех пор, пока вы не обеспечите серьёзную защиту беспроводной сети, вы рискуете.

3. Способы защиты от хакеров разного уровня подготовки.

3.1 Умения нулевого уровня: любой владелец компьютера с беспроводным адаптером.

Для того чтобы взломать незащищённую сеть можно и не обладать какимилибо особыми навыками - каждый владелец компьютера с беспроводным адаптером потенциально способен это сделать. Простота использования чаще упоминается в контексте беспроводных сетевых решений как огромный плюс, однако это палка о двух концах. Во многих случаях, включив компьютер с поддержкой беспроводной сети, пользователь автоматически подключается к точке доступа или видит её в списке доступных.

Ниже приведены меры, которые позволят защитить сеть от случайных посетителей, но ничуть не затруднят доступ к ней более умелым взломщикам. Все меры упорядочены в списке по важности. Большинство из них настолько просты, что их рекомендуется реализовать их все, если позволяет оборудование.

Смените настройки по умолчанию

Измените пароль администратора (и имя пользователя, если можно) и идентификатор SSID (имя сети) на точке доступа. Как правило, учётные данные администратора, установленные по умолчанию, открыты и доступны для большинства беспроводного оборудования. Поэтому, не заменив их, вы рискуете однажды получить отказ при входе в систему и лишиться возможности управления беспроводной сетью (до тех пор, пока не сбросите все настройки)! Изменить SSID особенно необходимо в том случае, если вы работаете по соседству с другими точками доступа. Если соседние точки доступа окажутся того же производителя, то они имеют тот же SSID по умолчанию, и клиенты, что вполне вероятно, смогут неосознанно подключиться к вашей ТД, а не к своей. Для нового SSID не следует использовать личную информацию! Во время вардрайвинга удавалось заметить следующие SSID:

Имя и фамилия;

Улица, дом, квартира;

Номер паспорта;

Номер телефона.

В принципе, если рядом есть несколько точек доступа, то имеет смысл изменить и канал, чтобы избежать взаимных помех. Однако эта мера не особо повлияет на защищённость, поскольку клиенты чаще всего просматривают все доступные каналы.

Обновите прошивку и, если нужно, оборудование.

Использование на точке доступа последней версии программного обеспечения также повышает безопасность. В новой прошивке обычно исправлены обнаруженные ошибки, а иногда и добавлены новые возможности защиты. У некоторых новых моделей точек доступа для обновления достаточно пару раз щёлкнуть кнопкой мыши. Точки доступа, выпущенные несколько лет назад, часто уже не поддерживаются производителями, то есть новых прошивок ожидать не стоит. Если же прошивка вашей точки доступа не поддерживает даже WP A (Wi-Fi Protected Access), не говоря о WPA2 , то следует всерьёз задуматься о её замене. То же самое касается адаптеров! В принципе, всё продаваемое сегодня оборудование 802.11g поддерживает, как минимум, WPA и технически способно быть модернизировано до уровня WPА2. Однако производители не всегда торопятся с обновлением старых продуктов.

Отключите широковещание SSID.

Большинство точек доступа позволяют отключить широковещание SSID, что может обвести вокруг пальца некоторые утилиты вроде NetstumbIer. Кроме того, скрытие SSID блокирует обнаружение вашей сети средствами встроенной утилиты настройки беспроводной сети Windows ХР (Wireless Zero Configuration) и других клиентских приложений. На Рис. 1 показан пункт отключения широковещания SSID "Hide ESSID" на точке доступа ParkerVision. ("SSID" и "ESSID" в данном случае означают одно и то же).

Рис. 1. Отключение широковещания SSID на точке доступа Раrkеrvisiо n .

Примечание. Отключение широковещания SSID не обезопасит вас от взломщиков, использующих такие средства, как Kismet или АirМаgпеt . Они определяют наличие беспроводной сети независимо от SSID.

Выключайте сеть, когда не работаете!

Часто пользователи пропускают мимо внимания самый простой способ защиты - выключение точки доступа. Раз нет беспроводной сети, то нет и проблем. Простейший таймер может отключать точку доступа, например, на ночь, пока вы ей не пользуетесь. Если для беспроводной сети и для доступа в Интернет вы используете один и тот же беспроводной маршрутизатор, то при этом соединение с Интернетом тоже не будет работать - вполне неплохо.

Если же вы не хотите отключать соединение с Интернетом, тогда можно отключать радиомодуль маршрутизатора вручную, если он это позволяет. На Рис. 2 показан пункт отключения радиомодуля. Такой способ недостаточно надёжен, поскольку он зависит от "человеческого фактора" - можно просто забыть об отключении. Возможно, производители когда-нибудь добавят функцию отключения радиомодуля по расписанию.

Рис. 2. Отключение радиомодуля.

Фильтрация по MAC -адресам

Фильтрация по MAC-адресам используется для того, чтобы доступ к сети могли получить (или, наоборот, не получить) только те компьютеры, чьи адреса указаны в списке. Фильтрация защитит вашу сеть от новичков, но более опытные хакеры могут легко перехватить MAC-адреса и подменить свой адрес на один из разрешённых.

Рис. 3. Фильтрация MAC -адресов на точке доступа USR 8011.

Снижение мощности передачи

Лишь некоторые потребительские точки доступа имеют эту функцию, однако снижение мощности передачи позволит ограничить количество как преднамеренных, так и случайных неавторизованных подключений. Впрочем, чувствительность доступных массовому пользователю беспроводных адаптеров постоянно растёт, так что вряд ли стоит озадачиваться этим способом, особенно если вы это делаете исключительно из-за безопасности в многоквартирном доме. Опытные хакеры обычно используют мощные направленные антенны, что позволяет им обнаруживать даже очень слабый сигнал и сводит существенность этого пункта к нулю.

3.2 Умения первого уровня: пользователь с общедоступным набором утилит для взлома WLAN

Перейдём к более опытным пользователям, которые специально бродят по окрестностям в поисках беспроводных сетей. Некоторые занимаются этим просто из интереса, пытаясь обнаружить, сколько сетей находится рядом. Они никогда не пытаются использовать уязвимые сети. Но есть и менее доброжелательные хакеры, которые подключаются и используют сети, а иногда даже доставляют владельцам неудобства. Все принятые меры нулевого уровня не спасут от взломщиков первого уровня, и незваный гость может проникнуть в сеть. От него можно защититься, используя шифрование и аутентификацию. С аутентификацией будем разбираться немного позже, пока же остановимся на шифровании. Одно из возможных решений - пропускать весь беспроводной трафик через туннель VPN (Virtual Private Network) - виртуальная частная сеть.

Шифрование

Владельцам беспроводных сетей следует использовать самый надёжный из доступных методов шифрования. Конечно, здесь всё зависит от оборудования, но, так или иначе, обычно можно выбрать WБР, WPA или WPА2. WEP (Wired Equivalent Privacy) - безопасность, эквивалентная проводной сети является наиболее слабым протоколом, но на текущее время он наиболее широко распространён и поддерживается практически всем оборудованием 802.11. Возможно, придётся остановиться на использовании этой технологии и потому, что не все производители беспроводного оборудования выпустили обновления прошивки с поддержкой WPA для оборудования 802.11 Ь. Некоторые до сих пор выпускают оборудование, которое поддерживает только WEP, например - беспроводные VoIP-телефоны. Таким образом, приходится искусственно снижать безопасность сети из-за того, что не всё оборудование поддерживает более новые технологии.

Как WPA (Wi-Fi Protected Access), так и WPA2 обеспечивают хорошую защиту беспроводной сети, что достигается благодаря более стойкому алгоритму шифрования и улучшенному алгоритму управления ключами. Основное отличие между ними состоит в том, что WPА2 поддерживает более стойкое шифрование AES (Advanced Encryption Standard). Однако, ряд продуктов, поддерживающих WPA , тоже позволяют использовать алгоритм шифрования AES вместо стандартного TKIP.

Большинство продуктов 802.11 g поддерживают WPA, но есть и исключения. Что касается обновления старых продуктов до WPА2, то многие прошивки до сих пор находятся в состоянии разработки, несмотря на то, что стандарт 802.11i, на котором основан WPА2, был утверждён ещё в июне 2004.

Мы рекомендуем, по меньшей мере, использовать WPA. Его эффективность сопоставима с WPА2, и, как мы уже писали, стандарт поддерживается большим количеством оборудования. Конечно, внедрение WPA может потребовать покупки нового оборудования, особенно, если вы используете 802.11b. Однако оборудование 11g стоит сегодня относительно недорого и сможет оправдать себя.

Большинство потребительских точек доступа WPA и WPА2 поддерживают только режим с общим паролем WPA-PSK (Pre-Shared Кеу) (Рис. 4) . WPA2 или WPA "Enterprise" (он же WPA "RADIUS") также поддерживается в некотором оборудовании, однако его использование требует наличия сервера RADIUS

Рис. 4. Шифрование трафика на точке доступа Netgear.

Для большинства частных беспроводных сетей использование WPA-PSK обеспечит вполне достаточную защиту, но только при выборе относительно длинного и сложного пароля. Не следует использовать только цифры или слова из словаря, поскольку такие программы, как cowpatty , позволяют проводить словарные атаки против WPA-РSK.

Роберт Москович (Robert Moskowitz), старший технический директор ICSA Labs, в своей статье рекомендовал использовать 128-битное шифрование PSK. К счастью, все реализации WPA позволяют использовать цифробуквенные пароли, то есть для выполнения рекомендация Московича достаточно 16 символов.

В Интернете можно найти множество генераторов паролей, стоит лишь воспользоваться поисковой системой. И, наконец, некоторые производители

оборудования стали продавать точки доступа и беспроводные адаптеры с автоматической настройкой защиты беспроводных соединений. Buffalo Technology. выпустила серию продуктов с технологией AOSS (AirStation OneTouch Secure Station). Linksys недавно начала производство и продажу оборудования с поддержкой подобной технологии SecureEasySetup от Broadcom.

3.3 Умения BToporo уровня: пользователь с расширенным набором утилит для взлома WEP/WPA-PSK

WPA и WPА2 закрывают большинство проблем, которые есть у WEP, но они всё же остаются уязвимыми, особенно в варианте PSK. Взлом WPA и WPА2 с паролем более сложен и требует больших затрат, особенно при использовании шифрования AES, но всё же возможен.

Аутентификация

Для защиты от этой угрозы следует внедрять аутентификацию. Аутентификация добавляет ещё один уровень безопасности, требуя, чтобы компьютер клиента зарегистрировался в сети. Традиционно это выполняется при помощи сертификатов, маркеров или паролей (также известных как PreShared-Key), которые проверяются на сервере аутентификации.

Стандарт 802.1Х позволяет работать с WEP, WPA и WPA2 и поддерживает несколько типов аутентификации ЕАР (Extensible Authentication Protocol). Настройка аутентификации может оказаться затруднительной и дорогой задачей даже для профессионалов, не говоря об обычных пользователях. На нынешней конференции RSA в Сан-Франциско, например, многие посетители решили не настраивать безопасность беспроводных подключений только из-за того, что руководство занимало целую страницу!

К счастью, ситуация постоянно улучшается, уже не нужно покупать полноценный сервер RADIUS , поскольку появилось множество простых в установке альтернативных решений.

Подобный продукт от Wireless Security Corporation (недавно приобретённой McAfee) носит название WSC Guard. Цена подписки на него начинается от $4,95 в месяц за каждого пользователя, при оплате нескольких мест действуют скидки. Следующее решение больше подходит для опытных "сетевиков" - TinyPEAP является прошивкой с сервером RАDПJS, который поддерживает аутентификацию РЕАР на беспроводных маршрутизаторах Linksys WRT 54 G и GS . Отмечу, что прошивка официально не поддерживается Linksys, так что установка выполняется на свой страх и риск.

3.4 Умения третьего уровня: профессиональный хакер

До этого момента защита сводил ась к тому, чтобы не дать злоумышленнику подключиться к вашей сети. Но что делать, если, несмотря на все усилия. хакер пробрался в сеть?

Существуют системы обнаружения и предотвращения атак для проводных и беспроводных сетей, однако они нацелены на корпоративный уровень и имеют соответствующую стоимость. Также можно найти и решения, основанные на открытом исходном коде, но они, к сожалению, не совсем понятны для новичков. За многие годы существования проводных сетей были выработаны основные принципы безопасности, которые можно при менять и к беспроводным сетям. Они позволят защититься от вторжения злоумышленника.

Общая безопасность сети

Для усиления защиты сетей следует внедрить следующие меры

Аутентификация при обращении к любому сетевому ресурсу.

Любой сервер, любой общий ресурс, панель управления маршрутизатором и т.д. должны требовать аутентификации. Хотя внедрить на уровне пользователей настоящую аутентификацию без соответствующего сервера невозможно. Как минимум, следует установить пароли на все общие ресурсы и отключить гостевую учётную запись, если вы используете Windows ХР. И никогда не предоставляйте в общее пользование целые разделы!

Сегментирование сети.

Компьютер, не подключённый к сети, защищён от сетевых атак. Однако есть и другие способы ограничения доступа. Несколько правильно настроенных недорогих маршрутизаторов NAT могут послужить прекрасной основой для создания защищённых сегментов LAN, с возможностью доступа из них в Интернет. Подробнее об этом читайте здесь. Коммутаторы или маршрутизаторы с поддержкой VLAN помогут также с разделением сети. Впрочем, функции VLAN есть на большинстве управляемых коммутаторов, однако они практически не встречаются в недорогих маршрутизаторах и неуправляемых коммутаторах.

Программные средства защиты.

Как минимум, нужно использовать обновлённые антивирусные решения и регулярно обновлять базы. Персональные брандмауэры, такие как ZoneAlarm, BlackICE и другие оповестят о подозрительной сетевой активности. К сожалению, последние версии вредоносных и "шпионских" программ требуют установки ещё и специального "антишпионского" программного обеспечения. Здесь можно отметить Webroot Softwares Spy Sweeper , а также Sunbelt Software"s CounterSpy.

Отметим, что для организации надёжной защиты сети необходимо защитить все машины без исключения!

Шифрованиефайлов.

Шифрование файлов с использованием криптостойких алгоритмов обеспечит надёжную защиту на случай неавторизованного доступа. Пользователи Windows ХР могут воспользоваться Windows Encrypted FiIe System (EFS). Пользователи Мас OS Х Tiger - FileVault. Из минусов шифрования можно отметить, что оно требует ресурсов процессора, а это может существенно замедлить работу с файлами.

Заключение.

Безусловно, беспроводные сети добавляют немало удобства, но нужно с умом подходить к их защите. Если вы не сделаете защиту самостоятельно, то никто не сделает это за вас. Конечно, от профессионального хакера вы вряд ли защититесь, но значительно осложните его работу. Да и вряд ли ваша сеть будет интересна профессионалам. А вот от многочисленных любителей «нашкодить» вы будете защищены. Так что взвесьте все "за" и "против" и защитите свою сеть!

Список используемой литературы.

1. Сети и интернет: Wi-FI: боевые приемы взлома и защиты беспроводных сетей.

2. http://www.thg.ru/network/20050903/ - защита беспроводной сети

3. Журнал «Компьютер пресс» - Защита беспроводных сетей от взлома

4. Симонов С. Анализ рисков. Управление рисками//Jet Info, 1999. № 1. 3. Аудит безопасности информационных систем //Jet Info, 2000, № 1.

5. Высокие статистические технологии. Экспертные оценки. Учебник. Орлов А.И. – М.: Экзамен, 2007.

Шифрованию данных в беспроводных сетях уделяется так много внимания из-за самого характера подобных сетей. Данные передаются беспроводным способом, используя радиоволны, причем в общем случае используются всенаправленные антенны. Таким образом, данные слышат все, не только тот, кому они предназначены. Конечно, расстояния, на которых работают беспроводные сети (без усилителей или направленных антенн), невелики – около 100 метров в идеальных условиях. Стены, деревья и другие препятствия сильно гасят сигнал, но это все равно не решает проблему.

Изначально для защиты использовался лишь SSID (имя сети ). Но SSID передается в открытом виде и никто не мешает злоумышленнику его подслушать, а потом подставить в своих настройках нужный. Не говоря уже о том, что (это касается точек доступа) может быть включен широковещательный режим для SSID, т.е. он будет принудительно рассылаться в эфир для всех слушающих.

Поэтому встала нужда именно в шифровании данных. Первым таким стандартом стал WEP – Wired Equivalent Privacy . Шифрование осуществляется с помощью 40 или 104-битного ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе). Сам же ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Драйвера многих производителей позволяют вводить вместо набора ASCII-символов напрямую шестнадцатеричные значения (той же длины). Алгоритмы перевода из ASCII-последовательности символов в шестнадцатеричные значения ключа могут различаться у производителей, поэтому, если в сети используется разнородное беспроводное оборудование и настройка WEP шифрования с использованием ключа-ASCII-фразы никак не удается, необходимо ввести вместо нее ключ в шестнадцатеричном представлении.

Реально шифрование данных происходят с использованием ключа длиной 40 или 104. Но кроме ASCII-фразы (статической составляющей ключа) есть еще такое понятие, как Initialization Vector (IV) – вектор инициализации . Он служит для рандомизации оставшейся части ключа. Вектор выбирается случайным образом и динамически меняется во время работы. В принципе, это разумное решение, так как позволяет ввести случайную составляющую в ключ. Длина вектора равна 24 битам, поэтому общая длина ключа в результате получается равной 64 (40+24) или 128 (104+24) бит.

Используемый алгоритм шифрования (RC4) в настоящее время не является особенно стойким – при большом желании, за относительно небольшое время можно подобрать ключ перебором. Но все же главная уязвимость WEP связана как раз с вектором инициализации. Длина IV составляет всего 24 бита. Это дает примерно 16 миллионов комбинаций – 16 миллионов различных векторов. В реальной работе все возможные варианты ключей будут использованы за промежуток от десяти минут до нескольких часов (для 40-битного ключа). После этого вектора начнут повторяться. Злоумышленнику достаточно набрать достаточное количество пакетов, просто прослушав трафик беспроводной сети, и найти эти повторы. После этого подбор статической составляющей ключа (ASCII-фразы) не занимает много времени.

Многие производители встраивают в софт (или аппаратную часть беспроводных устройств) проверку на подобные вектора, и, если подобные попадаются, они молча отбрасываются, т.е. не участвую в процессе шифрования.

Для увеличения безопасности беспроводных сетей был разработан протокол WPA (Wi-Fi Protected Access - защищенный доступ Wi-Fi). Протокол WPA был призван закрыть слабые места беспроводных сетей, где используется WEP. Спецификация требует, чтобы сетевые элементы были оснащены средствами динамической генерации ключей и использовали усовершенствованную схему шифрования данных RC4 на основе TKIP (Temporal Key Integrity Protocol - протокол краткосрочной целостности ключей). Таким способом удалось повысить защищенность пакетов и обеспечить обратную совместимость с WEP, пусть даже за счет дополнительной нагрузки на сетевые каналы. Кроме того, контрольные криптографические суммы в WPA рассчитываются по новому методу под названием Michael. В каждый кадр 802.11 здесь помещается специальный восьмибайтный код целостности сообщения, проверка которого позволяет отражать атаки с применением подложных пакетов.

Все устройства с поддержкой WPA производят обязательную аутентификацию 802.1х посредством протокола EAP (Extensible Authentication Protocol - расширенный протокол аутентификации) . При этом применяется сервер RADIUS (Remote Authentication Dial - In User Service - служба дистанционной аутентификации пользователей по коммутируемым линиям) либо предварительно заданный общий ключ.

Аутентификация 802.1х основана на клиент-серверной архитектуре и использует три элемента: клиентский запросчик (client supplicant), аутентификатор и сервер аутентификации. Широкому применению этой технологии в корпоративных беспроводных ЛВС способствуют реализованная в ней модель централизованного управления безопасностью и возможность интеграции с действующими схемами корпоративной аутентификации.

Большинству организаций для использования WPA будет достаточно установить новые микропрограммы и клиенты, интегрировав их со своими системами аутентификации. Компаниям же малого и среднего бизнеса, которые обходятся без сервера аутентификации, придется предварительно инсталлировать общий ключ на каждом клиенте и точке доступа.
WPA уже находит поддержку и в операционных системах.

Не так давно вышел новый стандарт 802.11i, направленный на повышение безопасности беспроводных сетей: он предполагает применение шифрования AES (Advanced Encryption Standa rd) с длиной ключа 128, 192 или 256 бит и применяется с устройствами стандартов 802.11b и 802.11g.

Стандарт 802.11i, предназначенный для обеспечения информационной безопасности БЛВС крупных предприятий и небольших офисов, задуман с целью усовершенствования защитных функций стандарта 802.11. Вместе с тем этот стандарт, предусматривающий шифрование данных и контроль их целостности, отличается повышенной сложностью реализации и может оказаться несовместимым с уже существующим беспроводным оборудованием.

В защитном стандарте 802.11i предусмотрена промежуточная спецификация на так называемую переходную защищенную сеть - Transitional Security Network (TSN) , в которой допускается возможность одновременного использования решений RSN и устаревших систем WEP. Однако при этом беспроводная сеть будет защищена не столь хорошо.

Определенный по умолчанию в стандарте IEEE 802.11i механизм обеспечения конфиденциальности данных основан на блочном шифре стандарта AES. Использующий его защитный протокол получил название Counter-Mode CBC MAC Protocol, или CCMP. На нижних уровнях модели OSI, где происходят шифрование и расшифровка передаваемых данных AES использует три временных ключа шифрования. AES (Advanced Encryption Standard - усовершенствованный стандарт шифрования) отличается от включенной в WEP реализации RC4 гораздо более стойким криптоалгоритмом, однако предъявляет повышенные требования к пропускной способности каналов связи, поэтому переход на новый стандарт потребует и модернизации сетевой аппаратуры. К тому же у AES отсутствует обратная совместимость с нынешним оборудованием WPA и WEP.

Чтобы корпоративные точки доступа работали в системе сетевой безопасности стандарта 802.11i, они должны поддерживать аутентификацию пользователей по протоколу RADIUS и иметь возможность быстро осуществлять повторную аутентификацию пользователей после разрыва соединения с сетью. Это особенно важно для нормального функционирования приложений, работающих в реальном масштабе времени (например, средств передачи речи по БЛВС).

Если сервер RADIUS, применяемый для контроля доступа пользователей проводной сети, поддерживает нужные методы аутентификации EAP, то его можно задействовать и для аутентификации пользователей беспроводной сети. В противном случае стоит установить сервер WLAN RADIUS, который будет взаимодействовать с имеющимся сервером RADIUS в качестве сервера-посредника. Сервер WLAN RADIUS работает следующим образом: сначала он проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей базы данных об их идентификаторах и паролях) или его цифровой сертификат, а затем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи. В стандарте IEEE 802.11i применение каких-либо конкретных методов аутентификации EAP не оговаривается. Выбор метода аутентификации EAP определяется спецификой работы клиентских приложений и архитектурой сети.

Новый стандарт приобрел несколько относительно малоизвестных свойств. Одно из них - key-caching - незаметно для пользователя записывает информацию о нем, позволяя при выходе из зоны действия беспроводной сети и последующем возвращении в нее не вводить всю информацию о себе заново.

Второе нововведение - пре-аутентификация. Суть ее в следующем: из точки доступа, к которой в настоящее время подключен пользователь, пакет пре-аутентификации направляется в другую точку доступа, обеспечивая этому пользователю предварительную аутентификацию еще до его регистрации на новой точке и тем самым сокращая время авторизации при перемещении между точками доступа.

Чтобы ноутбуки и карманные ПК работали в системе сетевой безопасности стандарта 802.11i, они должны быть оснащены клиентскими программами, поддерживающими стандарт 802.1x. Фирма Cisco включила ее в свою утилиту Aironet Client Utility. Компания Microsoft предусмотрела наличие поддержки стандарта 802.1x в ОС Windows XP, Vista, Seven. К сожалению, эти клиентские программы, заранее включаемые в ОС и в другие средства, как правило, поддерживают не все методы аутентификации EAP, таблица 4.8

Таблица 4.8 - Стандарты шифрования данных.

Стандарт	Средства обеспечения безопасности	Достоинства	Недостатки
WEP	Шифрование RC4, статичные ключи, аутентификация 802.1х – по делания пользователя	Хоть какая-то защита; поддержка WEP в большинстве устройств 802.11	Слишком много брешей для использования в корпоративной среде; для защиты беспроводных ЛВС часто используют дополнительные средства наподобие виртуальных частных сетей
WPA	TKIP, динамичны лючи, Michael, обязательная аутентификация 802.1х (EAP и RADIUS либо предустановленный общий ключ)	Обратная совместимость с WEP; возможность интеграции в существующие беспроводные сети потеем простого обновления микропрограмм.	Временное решение проблемы на переходный период до утверждения более надежного стандарта 802.11i.
802,11i	Шифрование AES, CCMP, WRAP, управление ключами 802,11i, аутентификация 802.1х.	Более стойкое, чем WEB шифрование; надежная схема управления ключами	Необходимость нового оборудования и наборов микросхем; несовместимость со старым оборудование Wi-Fi

5 Отказоустойчивые системы хранения данных:
RAID - массивы

Проблема повышения надежности хранения информации и одновременного увеличения производительности системы хранения данных занимает умы разработчиков компьютерной периферии уже давно. Относительно повышения надежности хранения все понятно: информация - это товар, и нередко очень ценный. Для защиты от потери данных придумано немало способов, наиболее известный и надежный из которых - это резервное копирование информации.

RAID - это избыточный массив независимых дисков (Redundant Arrays of Independent Discs ) , на который возлагается задача обеспечения отказоустойчивости и повышения производительности. Отказоустойчивость достигается за счет избыточности. То есть часть емкости дискового пространства отводится для служебных целей, становясь недоступной для пользователя.

Повышение производительности дисковой подсистемы обеспечивается одновременной работой нескольких дисков, и в этом смысле чем больше дисков в массиве (до определенного предела), тем лучше.

Совместную работу дисков в массиве можно организовать с использованием либо параллельного, либо независимого доступа.

При параллельном доступе дисковое пространство разбивается на блоки (полоски) для записи данных. Аналогично информация, подлежащая записи на диск, разбивается на такие же блоки. При записи отдельные блоки записываются на различные диски (рисунок 5.1), причем запись нескольких блоков на различные диски происходит одновременно, что и приводит к увеличению производительности в операциях записи. Нужная информация также считывается отдельными блоками одновременно с нескольких дисков (рисунок 5.2).


Рисунок 5.1 - Структура записи	Рисунок 5.2 - Структура считывания

Что также способствует росту производительности пропорционально количеству дисков в массиве.

Следует отметить, что модель с параллельным доступом реализуется только при условии, что размер запроса на запись данных больше размера самого блока. В противном случае реализовать параллельную запись нескольких блоков просто невозможно. Представим ситуацию, когда размер отдельного блока составляет 8 Кбайт, а размер запроса на запись данных - 64 Кбайт. В этом случае исходная информация нарезается на восемь блоков по 8 Кбайт каждый. Если имеется массив из четырех дисков, то одновременно можно записать четыре блока, или 32 Кбайт, за один раз. Очевидно, что в рассмотренном примере скорость записи и скорость считывания окажется в четыре раза выше, чем при использовании одного диска. Однако такая ситуация является идеальной, поскольку далеко не всегда размер запроса кратен размеру блока и количеству дисков в массиве.

Если же размер записываемых данных меньше размера блока, то реализуется принципиально иная модель доступа - независимый доступ. Более того, эта модель может быть реализована и в том случае, когда размер записываемых данных больше размера одного блока. При независимом доступе все данные отдельного запроса записываются на отдельный диск, то есть ситуация идентична работе с одним диском. Преимущество модели с параллельным доступом в том, что при одновременном поступлении нескольких запросов на запись (чтение) все они будут выполняться независимо, на отдельных дисках (рисунок 5.3). Подобная ситуация типична, например, в серверах.

В соответствии с различными типами доступа существуют и различные типы RAID-массивов, которые принято характеризовать уровнями RAID. Кроме типа доступа, уровни RAID различаются способом размещения и формирования избыточной информации. Избыточная информация может либо размещаться на специально выделенном диске, либо перемешиваться между всеми дисками. Способов формирования этой информации несколько больше. Простейший из них - это полное дублирование (100-процентная избыточность), или зеркалирование. Кроме того, используются коды с коррекцией ошибок, а также вычисление четности.

В настоящее время существует несколько стандартизированных RAID-уровней: от RAID 0 до RAID 5. К тому же используются комбинации этих уровней, а также фирменные уровни (например, RAID 6, RAID 7). Наиболее распространенными являются уровни 0, 1, 3 и 5.

RAID уровня 0, строго говоря, не является избыточным массивом и соответственно не обеспечивает надежности хранения данных. Тем не менее данный уровень находит широкое применение в случаях, когда необходимо обеспечить высокую производительность дисковой подсистемы. Особенно популярен этот уровень в рабочих станциях. При создании RAID-массива уровня 0 информация разбивается на блоки, которые записываются на отдельные диски, то есть создается система с параллельным доступом (если, конечно, размер блока это позволяет). Благодаря возможности одновременного ввода-вывода с нескольких дисков RAID 0 обеспечивает максимальную скорость передачи данных и максимальную эффективность использования дискового пространства, поскольку не требуется места для хранения контрольных сумм. Реализация этого уровня очень проста. В основном RAID 0 применяется в тех областях, где требуется быстрая передача большого объема данных.

RAID 1 (Mirrored disk)

RAID уровня 1 - это массив дисков со 100-процентной избыточностью. То есть данные при этом просто полностью дублируются (зеркалируются), за счет чего достигается очень высокий уровень надежности (как, впрочем, и стоимости). Отметим, что для реализации уровня 1 не требуется предварительно разбивать диски и данные на блоки. В простейшем случае два диска содержат одинаковую информацию и являются одним логическим диском. При выходе из строя одного диска его функции выполняет другой (что абсолютно прозрачно для пользователя). Кроме того, этот уровень удваивает скорость считывания информации, так как эта операция может выполняться одновременно с двух дисков. Такая схема хранения информации используется в основном в тех случаях, когда цена безопасности данных намного выше стоимости реализации системы хранения.

RAID уровня 2 - это схема резервирования данных с использованием кода Хэмминга для коррекции ошибок. Записываемые данные формируются не на основе блочной структуры, как в RAID 0, а на основе слов, причем размер слова равен количеству дисков для записи данных в массиве. Если, к примеру, в массиве имеется четыре диска для записи данных, то размер слова равен четырем дискам. Каждый отдельный бит слова записывается на отдельный диск массива. Например, если массив имеет четыре диска для записи данных, то последовательность четырех бит, то есть слово, запишется на массив дисков таким образом, что первый бит окажется на первом диске, второй бит - на втором и т.д.

Кроме того, для каждого слова вычисляется код коррекции ошибок (ECC), который записывается на выделенные диски для хранения контрольной информации. Их число равно количеству бит в контрольном слове, причем каждый бит контрольного слова записывается на отдельный диск.

RAID 2 - один из немногих уровней, позволяющих не только исправлять «на лету» одиночные ошибки, но и обнаруживать двойные. При этом он является самым избыточным из всех уровней с кодами коррекции. Эта схема хранения данных применяется редко, поскольку плохо справляется с большим количеством запросов, сложна в организации и обладает незначительными преимуществами перед уровнем RAID 3.

RAID уровня 3 - это отказоустойчивый массив с параллельным вводом-выводом и одним дополнительным диском, на который записывается контрольная информация. При записи поток данных разбивается на блоки на уровне байт (хотя возможно и на уровне бит) и записывается одновременно на все диски массива, кроме выделенного для хранения контрольной информации. Для вычисления контрольной информации (называемой также контрольной суммой) используется операция «исключающего ИЛИ» (XOR), применяемая к записываемым блокам данных. При выходе из строя любого диска данные на нем можно восстановить по контрольным данным и данным, оставшимся на исправных дисках.

RAID уровня 3 имеет намного меньшую избыточность, чем RAID 2. Благодаря разбиению данных на блоки RAID 3 имеет высокую производительность. При считывании информации не производится обращение к диску с контрольными суммами (в случае отсутствия сбоя), что происходит всякий раз при операции записи. Поскольку при каждой операции ввода-вывода производится обращение практически ко всем дискам массива, одновременная обработка нескольких запросов невозможна. Данный уровень подходит для приложений с файлами большого объема и малой частотой обращений. Кроме того, к достоинствам RAID 3 относятся незначительное снижение производительности при сбое и быстрое восстановление информации.

RAID уровня 4 - это отказоустойчивый массив независимых дисков с одним диском для хранения контрольных сумм. RAID 4 во многом схож с RAID 3, но отличается от последнего прежде всего значительно большим размером блока записываемых данных (большим, чем размер записываемых данных). В этом и есть главное различие между RAID 3 и RAID 4. После записи группы блоков вычисляется контрольная сумма (точно так же, как и в случае RAID 3), которая записывается на выделенный для этого диск. Благодаря большему, чем у RAID 3, размеру блока возможно одновременное выполнение нескольких операций чтения (схема независимого доступа).

RAID 4 повышает производительность передачи файлов малого объема (за счет распараллеливания операции считывания). Но поскольку при записи должна вычисляться контрольная сумма на выделенном диске, одновременное выполнение операций здесь невозможно (налицо асимметричность операций ввода и вывода). Рассматриваемый уровень не обеспечивает преимущества в скорости при передаче данных большого объема. Эта схема хранения разрабатывалась для приложений, в которых данные изначально разбиты на небольшие блоки, поэтому нет необходимости дополнительно их разбивать. RAID 4 представляет собой неплохое решение для файл-серверов, информация с которых преимущественно считывается и редко записывается. Эта схема хранения данных имеет невысокую стоимость, но ее реализация достаточно сложна, как и восстановление данных при сбое.

RAID уровня 5 - это отказоустойчивый массив независимых дисков с распределенным хранением контрольных сумм (рисунок 5.4). Блоки данных и контрольные суммы, которые рассчитываются точно так же, как и в RAID 3, циклически записываются на все диски массива, то есть отсутствует выделенный диск для хранения информации о контрольных суммах.

Рисунок 5.4 - Структура RAID 5

В случае RAID 5 все диски массива имеют одинаковый размер, однако общая емкость дисковой подсистемы, доступной для записи, становится меньше ровно на один диск. Например, если пять дисков имеют размер 10 Гбайт, то фактический размер массива составляет 40 Гбайт, так как 10 Гбайт отводится на контрольную информацию.

RAID 5, так же как и RAID 4, имеет архитектуру независимого доступа, то есть в отличие от RAID 3 здесь предусмотрен большой размер логических блоков для хранения информации. Поэтому, как и в случае с RAID 4, основной выигрыш такой массив обеспечивает при одновременной обработке нескольких запросов.

Главным же различием между RAID 5 и RAID 4 является способ размещения контрольных сумм.

Наличие отдельного (физического) диска, хранящего информацию о контрольных суммах, здесь, как и в трех предыдущих уровнях, приводит к тому, что операции считывания, не требующие обращения к этому диску, выполняются с большой скоростью. Однако при каждой операции записи меняется информация на контрольном диске, поэтому схемы RAID 2, RAID 3 и RAID 4 не позволяют проводить параллельные операции записи. RAID 5 лишен этого недостатка, поскольку контрольные суммы записываются на все диски массива, что обеспечивает возможность выполнения нескольких операций считывания или записи одновременно.

Практическая реализация

Для практической реализации RAID-массивов необходимы две составляющие: собственно массив жестких дисков и RAID-контроллер. Контроллер выполняет функции связи с сервером (рабочей станцией), генерации избыточной информации при записи и проверки при чтении, распределения информации по дискам в соответствии с алгоритмом

Основной функцией RAID-массива является не увеличение емкости дисковой подсистемы (как видно из его устройства, такую же емкость можно получить и за меньшие деньги), а обеспечение надежности сохранности данных и повышение производительности. Для серверов, кроме того, выдвигается требование бесперебойности в работе, даже в случае отказа одного из накопителей. Бесперебойность в работе обеспечивается при помощи горячей замены, то есть извлечения неисправного SCSI-диска и установки нового без выключения питания. Поскольку при одном неисправном накопителе дисковая подсистема продолжает работать (кроме уровня 0), горячая замена обеспечивает восстановление, прозрачное для пользователей. Однако скорость передачи и скорость доступа при одном неработающем диске заметно снижается из-за того, что контроллер должен восстанавливать данные из избыточной информации. Правда, из этого правила есть исключение - RAID-системы уровней 2, 3, 4 при выходе из строя накопителя с избыточной информацией начинают работать быстрее! Это закономерно, поскольку в таком случае уровень «на лету» меняется на нулевой, который обладает великолепными скоростными характеристиками.

ВЫВОД : Учитывая специфику работы предприятия, лучшим вариантом применения массива является массив RAID 5 т.к. он имеет достаточно высокую скорость записи-считывания (скорость чтения ниже, чем у RAID 4) и малую избыточность, т.е. он экономичен.