Analýza bezpečnosti bezdrátových sítí. Analýza metod ochrany bezdrátových sítí

pobočka Arzamas

Provedeno:

Pushkova K.S.,

student 4. ročníku

plný úvazek formy vzdělávání,

směr tréninku

"Aplikovaná informatika"

________________________

(podpis studenta)

Práce na kurzu

Vědecký poradce:

Kandidát biologických věd, docent Shirokova N.P.

Arzamas

Kapitola I……………………………………………………………………………..6

Kapitola III

Úvod

Kapitola I ANALÝZA BEZDRÁTOVÉHO ZABEZPEČENÍ

Hlavní hrozby pro bezdrátové sítě

Hrozby zabezpečení informací, které existují při používání bezdrátových sítí, se dělí na dva typy:

1) Přímé - ohrožení bezpečnosti informací vyplývající z přenosu informací přes bezdrátové rozhraní IEEE 802.11;

2) Nepřímé – hrozby spojené s přítomností velkého množství Wi-Fi sítí v objektu a v blízkosti objektu.

Přímé hrozby

Kanál přenosu dat používaný v bezdrátových sítích může být vystaven vnějším vlivům za účelem použití osobních údajů, porušení integrity a dostupnosti informací. Bezdrátové sítě mají jak ověřování, tak šifrování, ale tyto bezpečnostní funkce mají své nevýhody. Možnost blokování přenosu dat v kanálu bezdrátových sítí nebyla při vývoji technologií věnována náležitá pozornost. Takové blokování kanálu není nebezpečné, protože bezdrátové sítě hrají pomocnou roli, ale blokování může být přípravnou fází pro útok typu man-in-the-middle, při kterém se mezi uživatelem a přístupovým bodem objeví třetí zařízení, které přesměruje informace přes sám. Takový dopad poskytuje možnost odstranit nebo změnit informace.

cizinci

Rogues (RogueDevices, Rogues) jsou zařízení, která umožňují neoprávněný přístup do podnikové sítě a obcházejí bezpečnostní řešení specifikovaná bezpečnostní politikou. Odhlášení z bezdrátových zařízení neposkytuje ochranu proti bezdrátovým útokům, pokud do sítě vstoupí narušitel. Rolí takového zařízení mohou být zařízení, která mají drátová a bezdrátová rozhraní: přístupové body, projektory, skenery, notebooky s povoleným rozhraním atd.

Prolomení šifrování

Zabezpečení WEP je velmi slabé. Existuje mnoho speciálních software prolomit tuto technologii, která vybírá statistiky provozu tak, aby stačilo znovu vytvořit šifrovací klíč. Standardy WPA a WPA2 mají také zranitelnosti různé závažnosti, které umožňují jejich napadení. V tomto ohledu lze na technologii WPA2-Enterprise (802.1x) nahlížet z pozitivní perspektivy.

Odmítnutí služby

DoS útoky se používají k narušení kvality sítě nebo k úplnému zastavení přístupu klientů k sítím. V případě Wi-Fi sítě je velmi obtížné postřehnout zdroj, který síť zatěžuje „odpadkovými“ pakety – jeho poloha je určena pouze oblastí pokrytí. Zároveň existuje hardwarová verze tohoto útoku – v požadovaném frekvenčním rozsahu je instalován dostatečně silný zdroj rušení.

Režim zabezpečení WEP

WEP (Wired Equivalent Privacy) je metoda zabezpečení sítě dostupná pro práci se staršími zařízeními, ale její použití se nedoporučuje kvůli relativně snadnému narušení bezpečnosti. Když používáte WEP, nastavíte klíč zabezpečení sítě, který šifruje data, která váš počítač odesílá přes síť do jiných zařízení.

Existují dva způsoby zabezpečení WEP:

1) autentizace v otevřeném systému;

2) autentizace pomocí sdílených klíčů.

Tyto metody neposkytují vysokou úroveň zabezpečení, ale metoda ověřování otevřeného systému je bezpečnější. U většiny bezdrátových síťových zařízení a přístupových bodů je ověřovací klíč se sdíleným klíčem stejný jako statický šifrovací klíč WEP, který se používá k zabezpečení sítě. Zachycením zprávy pro autentizaci pomocí veřejných klíčů můžete pomocí analytických nástrojů extrahovat ověřovací klíč pomocí veřejných klíčů a poté statický šifrovací klíč WEP, po kterém se otevře plný přístup do sítě.

Bezpečnostní režim WPA

WPA (Wi-Fi Protected Access) je aktualizovaný certifikační program pro bezdrátová zařízení. Technologie WPA obsahuje několik komponent:

v Protokol 802.1x, generický protokol pro ověřování, autorizaci a účtování (AAA);

v Protokol TKIP - Temporal Key Integrity Protocol, další možnost překladu - Temporal Key Integrity Protocol;

v protokol EAP - Extensible Authentication Protocol (Extensible Authentication Protocol);

v MIC - kontrola kryptografické integrity paketů (kód integrity zprávy);

v Protokol RADIUS

WPA šifruje data pomocí protokolu TKIP, který používá stejný šifrovací algoritmus jako WEP (RC4), ale používá dynamické (často se měnící) klíče. Tato technologie využívá delší inicializační vektor a používá kryptografický kontrolní součet (MIC) k ověření integrity paketů.

Protokol RADIUS spolupracuje s ověřovacím serverem (server RADIUS). V tomto režimu jsou bezdrátové přístupové body v podnikovém režimu.

V případě nepřítomnosti serveru RADIUS plní roli ověřovacího serveru přístupový bod – tzv. režim WPA-PSK.

Bezpečnostní režim WPA-PSK

WPA-PSK (předsdílený klíč, sdílený klíč). V této technologii je v konfiguraci všech přístupových bodů nastaven společný klíč. Stejný klíč je také registrován na mobilních zařízeních uživatelů. Tento způsob ochrany je bezpečnější než WEP, ale není vhodný z hlediska správy. PSK klíč musí být nastaven na každém bezdrátovém zařízení, vidí ho všichni síťoví klienti. Pokud potřebujete zablokovat přístup konkrétnímu uživateli v síti, musíte znovu nastavit nové PSK na každém síťovém zařízení. Proto lze tento režim WPA-PSK použít v domácí síti nebo malé kanceláři s malým počtem uživatelů.

Pojďme se podívat, jak WPA funguje. WPA bylo zavedeno jako dočasné opatření před zavedením standardu 802.11i. Někteří výrobci před zavedením tohoto standardu začali používat technologii WPA2, která do jisté míry zahrnuje prvky standardu 802.11i, například použití CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) namísto TKIP. WPA2 používá jako šifrovací algoritmus Advanced Encryption Standard (AES). Pro práci s klíči se používá protokol 802.1x, který může plnit několik funkcí. V otázkách zabezpečení zvažte funkce ověřování uživatelů a distribuci šifrovacích klíčů. V tento protokol autentizace se provádí „na úrovni portu“. Dokud se uživatel neověří, může odesílat/přijímat pakety, které jsou relevantní pouze pro proces jeho pověření a pouze. Teprve po úspěšné autentizaci se otevřou porty přístupového bodu nebo přepínače a klient bude moci využívat síťové zdroje.

Protokol EAP plní funkce ověřování a je pouze doplňkem pro metody ověřování. Všechny výhody protokolu spočívají v tom, že je velmi snadné jej implementovat na přístupový bod, protože nepotřebuje znát žádné vlastnosti různých autentizačních metod. V tomto případě přístupový bod jako ověřovatel provádí pouze přenosové funkce mezi uživatelem a ověřovacím serverem. Existují následující metody ověřování:

ü EAP-SIM, EAP-AKA - provádí se v mobilních sítích GSM komunikace;

ü LEAP - vlastní metoda ze systémů Cisco;

ü EAP-MD5 - nejjednodušší metoda, podobně jako CHAP;

ü EAP-MSCHAP V2 - metoda autentizace je založena na použití uživatelského jména/hesla v sítích MS;

ü EAP-TLS - autentizace založená na digitálních certifikátech;

ü EAP-SecureID - metoda je založena na použití jednorázových hesel.

Kromě výše uvedeného lze rozlišit ještě dvě metody: EAP-TTLS a EAP-PEAP, které před přímou autentizací klienta nejprve vytvoří TLS tunel mezi uživatelem a autentizačním serverem, uvnitř kterého se provádí samotná autentizace pomocí Metody MD5, TLS, PAP, CHAP, MS-CHAP, MS-CHAP v2. Tunelování zvyšuje bezpečnost autentizace tím, že chrání před útoky typu man-in-the-middle, hacking session nebo slovníkovými útoky.

Autentizační schéma má tři složky:

v Supplicant, aplikace běžící na zařízení uživatele, který se pokouší připojit k síti;

v Authenticator - přístupový uzel, autentizátor ( bezdrátový bod přístupový nebo kabelový přepínač podporující protokol 802.1x);

v Authentication Server - autentizační server (RADIUS server).

Autentizace se skládá z následujících kroků:

1) Klient odešle požadavek na ověření směrem k přístupovému bodu.

2) Přístupový bod jako odpověď vytvoří klientovi požadavek na identifikaci klienta.

3) Klient jako odpověď odešle paket s potřebnými daty, který přístupový bod přesměruje na autentizační server.

4) Autentizační server odešle požadavek na autentizační informace klienta autentizátorovi (přístupovému bodu).

5) Autentizátor předá tento paket klientovi.

Poté se provede vzájemná identifikace serveru a klienta. Počet předávání paketů tam a zpět se liší v závislosti na metodě EAP, ale v bezdrátových sítích se používá pouze „silná“ autentizace se vzájemnou autentizací klienta a serveru (EAP-TLS, EAP-TTLS, EAP-PEAP) a vytvořením komunikace. šifrování kanálu.

6) V další fázi autentizační server s potřebnými informacemi od klienta povolí nebo zakáže uživateli přístup a odešle příslušnou zprávu autentizátorovi (přístupovému bodu). Autentizátor provede otevření portu, pokud je přijata kladná odpověď od ověřovacího serveru.

7) Port je otevřen, autentizátor odešle klientovi zprávu o úspěchu a klient získá přístup do sítě. Po odpojení klienta přejde port na přístupovém bodu opět do stavu „zavřeno“.

Pakety EAPOL se používají k propojení klienta a přístupového bodu. Protokol RADIUS se používá při výměně dat mezi autentizátorem a serverem RADIUS.

Počáteční autentizace se provádí na základě společných dat, která zná klient i autentizační server, jako je přihlašovací jméno / heslo, certifikát atd. Tím se vytvoří „hlavní klíč“, s jehož pomocí klient a autentizační server vygenerují „párový hlavní klíč“, který je z autentizačního serveru přenesen do přístupového bodu. Následně se na základě „párového hlavního klíče“ vytvoří všechny další klíče, které se v čase mění, které uzavírají přenášený provoz.

Kapitola III NASTAVENÍ ZABEZPEČENÍ WIFI

Závěr

V této práci byla provedena studie metod pro zlepšení ochrany dat při jejich přenosu pomocí bezdrátových sítí.

K dosažení cíle práce v kurzu byly splněny následující úkoly:

1) byl studován princip fungování bezdrátové sítě;

2) byly zkoumány typy hrozeb a jejich negativní dopad na provoz bezdrátových sítí;

3) jsou analyzovány prostředky ochrany informací bezdrátových sítí před neoprávněným přístupem;

4) bezdrátová síť je chráněna před neoprávněným přístupem k ní.

Analýza hrozeb pro bezdrátové sítě ukázala, že nejvíce frustrovanými hrozbami jsou cizí lidé, nepevná komunikace, odepření sezení a odposlouchávání.

Posouzení softwarových nástrojů používá k ochraně informací bezdrátových sítí ukázal, že je nejvhodnější použít režim WPA2. WPA2 je aktualizovaný program certifikace bezdrátových zařízení. Tento režim zlepšuje zabezpečení dat a řízení přístupu k bezdrátovým sítím, podporuje šifrování v souladu se standardem Advanced Encryption Standard (AES), který má silnější šifrovací algoritmus. Tento režim zabezpečení bylo použito při nastavování bezdrátového směrovače TP-Link.

Během studia byly všechny úkoly splněny. Cíl práce v kurzu byl splněn.

pobočka Arzamas

Fyzikálně-matematická fakulta

Katedra aplikované informatiky

Provedeno:

Pushkova K.S.,

student 4. ročníku

studium na plný úvazek,

směr tréninku

"Aplikovaná informatika"

zaměření (profil) Aplikovaná informatika v ekonomii

________________________

(podpis studenta)

Práce na kurzu

Analýza metod ochrany bezdrátových sítí

Vědecký poradce:

Kandidát biologických věd, docent Shirokova N.P.

Arzamas

Úvod ………………………………………………………………………………….…4

Kapitola I

1.1 Princip fungování bezdrátových sítí………………………………………6

1.2 Hlavní hrozby pro bezdrátové sítě………………………………………..9

1.2.1 Přímé hrozby………………………………………….………………..9

1.2.2 Cizí lidé……………………………………………………………………………… 10

1.2.3 Nepevná povaha komunikace………………………………………..10

1.3 Zranitelnost sítí a zařízení………………………………………………...11

1.3.1 Nesprávně nakonfigurované přístupové body……………………….…11

1.3.2 Nesprávně nakonfigurovaní bezdrátoví klienti……….…11

1.3.3 Crack šifrování……………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………… ………………………………………………………….

1.3.4 Předstírání jiné identity a krádež identity………………………………………………………12

1.3.5 Odepření služby……………………………………………………………….13

KAPITOLA II PROSTŘEDKY OCHRANY BEZDRÁTOVÝCH SÍTÍ........…14

2.1 Bezpečnostní režim WEP………………………………………......……..14

2.2 Režim zabezpečení WPA……………………………………………….……14

2.3 Bezpečnostní režim WPA-PSK……………………………………….…15

Kapitola III NASTAVENÍ ZABEZPEČENÍ WIFI……………………….19

3.1 Konfigurace zařízení v bezdrátových sítích……………………………….19

3.2 Konfigurace zabezpečení bezdrátové sítě pomocí příkladu routeru TP-Link .................................. ............................................................. ............................. 22

Závěr……………………………………………………………………………………….29

Seznam použitých zdrojů………………………………………………..30

Úvod

V moderní svět Bezdrátové sítě se používají téměř ve všech sférách lidské činnosti. Takové rozšířené používání bezdrátových sítí je způsobeno tím, že je lze používat nejen na osobních počítačích, ale také na mobilních zařízeních, stejně jako jejich pohodlí kvůli absenci kabelových linek a relativně nízkým nákladům. Bezdrátové sítě splňují řadu požadavků na kvalitu, rychlost, zabezpečení a rádius příjmu. Zvláštní pozornost by měla být věnována bezpečnosti jako jednomu z nejdůležitějších faktorů.

S rostoucím využíváním bezdrátových sítí se uživatelé potýkají s problémem ochrany informací před neoprávněným přístupem do této sítě. Tento dokument pojednává o způsobech ochrany informací o bezdrátové síti.

Naléhavost vytvoření podmínek pro bezpečné používání bezdrátové sítě je dána skutečností, že na rozdíl od drátových sítí, kde musíte nejprve získat fyzický přístup k systémovým kabelům, v bezdrátových sítích můžete přistupovat k síti pomocí konvenčního přijímače umístěného v distribuční oblasti sítě.

S odlišnou fyzickou organizací sítí je však vytváření bezpečnostních a drátových bezdrátových sítí stejné. Při organizaci informační bezpečnosti v bezdrátových sítích je nutné věnovat větší pozornost zajištění nemožnosti úniku a integrity informací, ověřování identity uživatelů a přístupových bodů.

Předmětem studia v tomto příspěvku jsou prostředky ochrany informací v bezdrátových sítích.

Předmětem výzkumu jsou technologie pro ochranu informací v bezdrátových sítích před neoprávněným přístupem.

Cílem práce v předmětu je studium metod pro zlepšení ochrany dat při přenosu pomocí bezdrátových sítí.

Abyste dosáhli cíle práce v kurzu, musíte splnit následující úkoly:

1) studovat princip fungování bezdrátové sítě;

2) zkoumat typy hrozeb a jejich negativní dopad na provoz bezdrátových sítí;

3) analyzovat prostředky ochrany informací bezdrátových sítí;

4) chránit bezdrátovou síť před neoprávněným přístupem k ní.

Kapitola I ANALÝZA BEZDRÁTOVÉHO ZABEZPEČENÍ

„...Informační bezpečnost a bezdrátové sítě?
Proč se tyto vzájemně nevylučují pojmy?
Z rozhovoru na výstavě Svyazexpocom 2004"

Bezdrátová zařízení založená na standardech 802.11x se dnes velmi agresivně přesouvají na trh síťových zařízení. To není překvapivé: pohodlí práce pro mobilní a kvazimobilní uživatele, organizace komerčních a podnikových hot spots, „poslední míle“, propojení místních sítí (LAN) mezi sebou - to vše není kompletní seznam důvodů pro implementaci takových řešení. Počet všech druhů provozovaných zařízení 802.11x ve světě je skutečně impozantní: podle J "son & Partners přesáhl počet hot spotů jen na konci roku 2003 43 tisíc a do konce roku 2004 by měl dosáhnout 140 tis. Podíl Ruska v těchto ukazatelích je malý, ale počet bezdrátových sítí (včetně hot spotů) u nás neustále roste. „nejstarší“ a nejpoužívanější zařízení – Cisco Aironet.

Ale nejsou to jen čísla, která jsou působivá; mnohem překvapivější je množství mylných představ spojených se zajištěním bezpečného přenosu dat v takových sítích. Škála názorů je zde nejširší: od naprosté důvěry v jakékoli zařízení a jakékoli jeho nastavení až po nelichotivé vlastnosti toho druhu, které jsme uvedli jako epigraf.

802.11x - náchylnost k vnějším hrozbám

Samotná podstata bezdrátový přenos data jsou plná možnosti neoprávněného připojení k přístupovým bodům, zachycení dat a dalších problémů. Absence kabelu, který se dá organizačně snadno ochránit, vyvolává pocit nepříjemné otevřenosti a přístupnosti.

Za zmínku stojí „neprotokolové“ hrozby – ty jsou základem problému. Při vývoji bezdrátové podnikové sítě se správci starají především o kvalitní pokrytí kancelářského prostoru. Velmi často prostě nikdo nebere v potaz, že se zákeřní hackeři dokážou připojit k síti přímo z auta zaparkovaného na ulici. Navíc existují situace, kdy v zásadě nelze eliminovat samotnou možnost „slyšení“ přenášeného provozu. Příkladem jsou externí antény. Mimochodem, v zemích SNS je propojení LAN kanceláří mezi sebou pomocí „bezdrátového“ řešení velmi oblíbené.

Neméně nebezpečnou hrozbou je možnost krádeže zařízení. Pokud je zásada zabezpečení bezdrátové sítě založena na adresách MAC, pak jakákoli součást ( LAN karta, přístupový bod) odcizený narušitelem okamžitě tuto síť otevře.

A nakonec problém „příliš chytrých“ uživatelů. Často je neoprávněné připojení přístupových bodů k sítím LAN dílem samotných zaměstnanců organizace. A to se děje pouze pro pohodlí práce, někdy dokonce s dobrými úmysly. Tito zaměstnanci samozřejmě také zajišťují ochranu informací, když jsou taková zařízení připojena k síti vlastními silami a ne vždy si domyslí důsledky takové „sebeobrany“.

Tyto a podobné problémy je třeba řešit komplexně. Okamžitě poznamenáváme, že organizační opatření nejsou v rámci tohoto článku zvažována - nejčastěji jsou vybírána na základě pracovních podmínek každého konkrétní síť. S ohledem na technická opatření je velmi dobrého výsledku dosaženo povinnou vzájemnou autentizací zařízení a zavedením aktivních (například Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) a pasivních (jako jsou APTools 0.1.0, xprobe 0.0 .2) ovládání .

Zranitelnost „starých“ metod ochrany

Výbor IEEE 802.11 se vždy zabýval ochranou dat v bezdrátových sítích. Bohužel metody zajištění bezpečnosti sítí 802.11x ve fázi jejich počátečního vývoje (1997-1998) byly použity mírně řečeno neúspěšně. Ty zahrnovaly šifrování a ověřování WEP (Wired Equivalent Privacy) na základě MAC adresy, Open a PreShared Key.

Zvažme tyto metody v pořadí. Klasický šifrovací protokol WEP, vyvinutý společností RSA Data Security, používá 40bitový klíč, který je přidán do vygenerovaného inicializačního vektoru (IV, jeho délka je 24 bitů). Pomocí přijatého klíče jsou uživatelská data a kontrolní součet zašifrovány pomocí algoritmu RC4. IV vektor se přenáší v čistém stavu.

První nevýhodou této metody je, že 40bitový klíč pro klid duše nestačí. Dokonce i DES se svým 56bitovým klíčem byl dlouho považován za nespolehlivý. Druhým mínusem je neměnnost klíče; použití statického klíče zjednodušuje problém s hackováním. Vzhledem k tomu, že 40bitový klíč je nespolehlivý, rád bych ho měnil častěji. A konečně samotný přístup k šifrování je značně diskutabilní. Velikost IV je 24 bitů, to znamená, že se bude opakovat nejpozději do 5 hodin (délka paketu 1500 bajtů, rychlost 11 Mbps).

Nikita Borisov, Ian Goldberg a David Wagner byli první, kdo tento problém studoval, a již v roce 2001 se objevily první implementace ovladačů a programů, které zvládají šifrování WEP. Dokument popisující tuto chybu zabezpečení je zveřejněn na adrese: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l.

Metody autentizace také nejsou příliš spolehlivé. Například „odposlouchávání“ celé procedury ověřování MAC adresy nic nestojí – MAC adresy v rámci jsou totiž přenášeny nešifrovaně. Pokud útočník ví o přijaté metodě autentizace, je téměř připraven vstoupit do sítě. Nejspolehlivější z těchto metod je PreShared Key, ale ten je dobrý pouze se silným šifrováním a pravidelným nahrazováním kvalitních hesel.

Je běžnou mylnou představou, že používání jedinečného ID sady služeb (SSID) pomáhá vyhnout se neoprávněným připojením. Bohužel, SSID je vhodné pouze pro logické rozdělení síťových zařízení do skupin - nic víc. Jediné, co může SSID udělat, je zmást mladého hackera používáním „netisknutelných“ znaků. Umožňují vám to například přístupové body (AP) od společnosti Cisco Systems (znaky zahrnuté v SSID můžete zadat v šestnáctkové soustavě - \xbd\xba).

Pokud tedy vezmeme v úvahu i masu „zvídavých“ teenagerů s notebooky, nevyhnutelně vyvstává v bezdrátové komunikační síti problém ochrany před téměř zaručenými WEP útoky.

WEP útoky

Nedostatečná délka klíče, absence jeho rotací a samotný princip RC4 šifrování popsaný výše umožňují zorganizovat velmi efektivní pasivní útok. Útočník navíc nemusí provádět žádné akce, kterými by mohl být detekován, stačí pouze poslech kanálu. To nevyžaduje ani speciální vybavení - stačí běžná WLAN karta zakoupená za 20-25 dolarů a program, který bude hromadit pakety na pevném disku, dokud se hodnoty IV vektoru neshodují. Když je počet paketů dostatečný (nejčastěji od 1 milionu do 4 milionů), je snadné vypočítat klíč WEP. Jedním z nejoblíbenějších programů pro taková „cvičení“ je AirSnort (http://airsnort.shmoo.com). Tento software funguje se síťovými kartami od Cisco Systems, kartami NMC Prism-2 (je jich poměrně dost), ale i kartami Orinoco nebo jejich klony.

Dobrých výsledků lze dosáhnout pomocí hackerů aktivní způsobyútoky. Můžete například odesílat známá data zvenčí LAN, řekněme z internetu, a přitom analyzovat, jak byla zašifrována přístupovým bodem. Tato metoda umožňuje jak vypočítat klíč, tak manipulovat s daty.

Další aktivní metodou útoku je útok Bit-Flip. Algoritmus akcí je zde následující (obr. 1):

Zachycujeme rámec šifrovaný pomocí WEP.
Náhodně změníme pár bitů v poli "data" a přepočítáme kontrolní součet CRC-32.
Upravený rámec odešleme do přístupového bodu.
Přístupový bod přijme rámec na vrstvě propojení, protože kontrolní součet je správný.
Přístupový bod se pokusí data dešifrovat a odpoví známým textem, například: "Váš šifrovací klíč je nesprávný."
Porovnání textu v zašifrované a nešifrované podobě může umožnit výpočet klíče.

V tomto článku se nebudeme zabývat možným DOSovým útokem na zařízení využívající širokopásmovou modulační metodu DSSS. Tento typ zařízení zahrnuje zařízení 802.11ba 802.11a pracující při nízkých rychlostech.

Průběžné závěry

Vše výše uvedené naznačuje nespolehlivost starých metod zabezpečení v bezdrátových sítích; a pokud vybavení neumožňuje implementaci moderních řešení informační bezpečnosti, pak je výběr strategií malý: buď použít nejpřísnější administrativní politiku (viz postranní panel "Administrativní opatření"), nebo použít technologii IPSec - ESP.

Technologie IPSec - ESP samozřejmě ochrání data, ale výrazně sníží výkon LAN. Přesto byla tato technologie vyvinuta pro rozsáhlé sítě a je zbytečné ji používat v bezdrátové místní síti. Jeho použití přes bezdrátové kanály je opodstatněné pouze v případě propojování poboček nebo jiných podobných řešení.

Moderní požadavky na ochranu aneb „Ze života s Cisco“

Pro klid každého uživatele je třeba vyřešit pouze tři problémy s jeho provozem: jedná se o důvěrnost (data musí být bezpečně šifrována), integritu (data musí být zaručena, že je nezmění třetí strana) a autentičnost (důvěra že data jsou přijímána ze správného zdroje).

Autentizace

Standard 802.1x definuje modernější standard než standardy z let 1997-1998. metoda ověřování, která je široce používána v různých síťových zařízeních, včetně bezdrátových zařízení. Jeho základní rozdíl oproti starým metodám autentizace je následující: dokud není provedeno vzájemné ověření, uživatel nemůže přijímat ani přenášet žádná data. Standard také počítá s dynamickou správou šifrovacích klíčů, což samozřejmě znesnadňuje pasivní útok na WEP.

Například řada vývojářů používá k autentizaci ve svých zařízeních protokoly EAP-TLS a PEAP, ale společnost Cisco Systems (http://www.cisco.com) přistupuje k problému „šířeji“ a nabízí pro své bezdrátové sítě s nimi následuje řada protokolů.

Extensible Authentication Protocol - Transport Layer Security(EAP-TLS) je standard IETF, který poskytuje ověřování prostřednictvím obousměrné výměny digitálních certifikátů.

Chráněný EAP(PEAP) - zatímco předběžný standard (návrh) IETF. Umožňuje výměnu digitálních certifikátů a dodatečné ověření jména a hesla prostřednictvím speciálně vytvořeného šifrovaného tunelu.

Lehký EAP(LEAP) je proprietární protokol společnosti Cisco Systems. „Odlehčený“ protokol vzájemné autentizace podobný obousměrnému protokolu CHAP (Challenge Authentication Protocol). Používá sdílený klíč, takže při generování hesel vyžaduje určitou chytrost. Jinak, jako každá jiná metoda PreShared Key, podléhá slovníkovým útokům.

EAP – Flexibilní ověřování prostřednictvím zabezpečeného tunelování(EAP-FAST) - vyvinutý společností Cisco na základě předběžného standardu (návrhu) IETF k ochraně před slovníkovými útoky a má vysokou spolehlivost. Vyžaduje minimální úsilí administrátora pro podporu. Princip jeho fungování je podobný jako LEAP, ale autentizace se provádí přes zabezpečený tunel. První implementace se objevily v dubnu 2004. Podporováno počínaje verzemi softwaru IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3.

Všechno moderní způsoby autentizace (viz tabulka) znamená podporu dynamických klíčů, což je dobrá zpráva. Pokud však porovnáme všechny tyto standardy z hlediska jiných parametrů, pak se metody EAP-TLS a PEAP zdají být těžší. A skutečně je. Jsou vhodnější pro použití v sítích vybudovaných na bázi zařízení různých výrobců.

Vlastnosti autentizačních metod

Index	Cesta
Index	SKOK	EAP-RYCHLE	PEAP	EAP-TLS
Podpora moderních OS	Ano	Ano	Ne vše	Ne vše
Softwarová složitost a náročnost na zdroje autentizace	Nízký	Nízký	Střední	vysoký
Složitost řízení	Nízký*	Nízký	Střední	Střední
Jednotné přihlášení (jedno přihlášení ve Windows)	Ano	Ano	Ne	Ano
Dynamické klávesy	Ano	Ano	Ano	Ano
Jednorázová hesla	Ne	Ano	Ano	Ne
Podpora pro uživatelské základny jiných než Microsoft Windows	Ne	Ano	Ano	Ano
Rychlý bezpečný roaming	Ano	Ano	Ne	Ne
Možnost lokální autentizace	Ano	Ano	Ne	Ne

Autentizační metody vyvinuté společností Cisco vypadají hezčí. Zvláštní kouzlo jim dodává podpora technologie Fast Secure Roaming, která umožňuje přepínání mezi různými přístupovými body (doba přepínání je cca 100 ms), což je důležité zejména při přenosu hlasového provozu. U EAP-TLS a PEAP bude opětovná autentizace trvat podstatně déle a v důsledku toho bude konverzace přerušena. Hlavní nevýhoda LEAP a LEAP-FAST je zřejmá - tyto protokoly jsou podporovány pouze v zařízeních Cisco Systems.

Šifrování a integrita

Na základě doporučení 802.11i společnost Cisco Systems implementovala protokol TKIP (Temporal Key Integrity Protocol), který zajišťuje změnu šifrovacího klíče PPK (Per Racket Keying) v každém paketu a kontrolu integrity zpráv MIC (Message Integrity Check).

Procedura PPK umožňuje změnu IV v každém paketu. Navíc je šifrování prováděno hodnotou hashovací funkce z IV a samotným klíčem WEP. Pokud vezmeme v úvahu také to, že klíče WEP se dynamicky mění, pak se spolehlivost šifrování stává poměrně vysokou.

Zajištění integrity je svěřeno postupu MIC. Pole MIC a SEQuence number jsou přidány do vznikajícího rámce, pořadové číslo paketu je uvedeno v poli SEQ, což vám umožňuje chránit se před útoky na základě opakování a narušení sekvence. Balíček s neplatným sériové číslo je prostě ignorován. Pole 32bitového MIC obsahuje hodnotu hashovací funkce vypočítanou z hodnot samotné hlavičky paketu 802.11, pole SEQ a uživatelských dat (obr. 2).

Další slibný protokol šifrování a integrity, který se již osvědčil drátová řešení, je AES (Advanced Encryption Standard). Byl vyvinut relativně nedávno - v říjnu 2001 a má lepší kryptografickou sílu ve srovnání s DES a GOST 28147-89. Délka klíče AES je 128, 192 nebo 256 bitů. Jak bylo uvedeno, poskytuje jak šifrování, tak integritu.

Všimněte si, že v něm použitý algoritmus (Rijndael) nevyžaduje velké zdroje ani při implementaci, ani při provozu, což je velmi důležité pro snížení datové latence a zatížení procesoru.

AES již běží v Cisco IOS (k9) od 12.2(13)T. V současné době jsou prakticky všechna zařízení Cisco Systems 802.11g připravena na AES. Síťová komunita je v očekávání oznámení o vydání tohoto softwaru, ale opakovaně volané termíny nejsou dodržovány. Nyní je však jisté jasno. Společnost oznámila, že všechna zařízení pracující ve standardu 802.11g mohou být zcela zdarma poskytovat nový software, který se určitě brzy objeví... Ale - až po ratifikaci standardu 802.11i. Standard byl ratifikován IEEE na konci června (viz postranní panel „802.11i Standard Ratified“). Tak si počkáme.

WiFi chráněný přístup

Standard Wi-Fi Protected Access (WPA) je soubor pravidel pro implementaci zabezpečení dat v sítích 802.11x. Od srpna 2003 je shoda s WPA požadavkem pro zařízení s certifikací Wi-Fi na vysoké úrovni (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf).

Všimněte si, že specifikace WPA obsahuje mírně upravený protokol TKIP-PPK. Šifrování se provádí na „směsi“ více klíčů – aktuálního a následného. Současně se délka IV zvýší na 48 bitů.

WPA také definuje řízení integrity zprávy podle zjednodušené verze MIC (Michael MIC), která se od popsané liší tím, že hashovací funkce je vypočítána na základě menšího počtu polí, ale samotné pole MIC je delší – 64 bitů. To umožňuje zavést další opatření na ochranu informací, například zpřísnit požadavky na opětovné přidružení, opětovné ověření atd.

Ve specifikacích nechybí ani podpora 802.1x/EAP a autentizace sdíleným klíčem a samozřejmě správa klíčů.

Obzvláště mě těší, že WPA zařízení jsou připravena spolupracovat s klienty, jejichž vybavení podporuje moderní standardy, a s klienty, kteří se o svou bezpečnost vůbec nestarají a používají staré vybavení či software. Autor kategoricky doporučuje: distribuovat uživatele s různým stupněm zabezpečení do různých virtuálních sítí LAN a podle toho implementovat svou bezpečnostní politiku.

Dnes, s využitím moderního hardwaru a softwaru, je docela možné vybudovat bezpečnou a útokům odolnou bezdrátovou síť založenou na standardech 802.11x. K tomu stačí aplikovat v něm pár rozumných postulátů.

Je třeba mít na paměti, že téměř vždy je bezdrátová síť připojena k pevné síti. Kromě potřeby chránit bezdrátové kanály, daný fakt slouží jako pobídka pro zavádění nových metod ochrany v drátových sítích. V opačném případě může nastat situace, kdy síť bude mít roztříštěnou ochranu, což ve skutečnosti vytváří potenciální bezpečnostní riziko.

Doporučujeme používat zařízení, které má certifikaci Wi-Fi Certified po srpnu 2003, tj. kompatibilní s WPA.

Mnoho správců při instalaci zařízení do sítě LAN zachovává výchozí nastavení výrobce. Ve vážných bezdrátových sítích je to kategoricky nepřijatelné.

Rozhodně je potřeba implementovat 802.1x/EAP/TKIP/MIC a dynamickou správu klíčů. Pokud je síť smíšená - použijte virtuální místní sítě. Nyní podporuje téměř každý významný výrobce přístupových bodů tuto technologii. A pokud to nepodporuje, neměli byste takového výrobce podporovat nákupem jeho zařízení. V případě použití externí antény(například při vzájemném propojování různých sítí LAN) se doporučuje technologie VPN.

Vyplatí se kombinovat protokolové a softwarové metody ochrany s administrativními. Má smysl přemýšlet o zavedení technologie Intrusion Detection System (IDS) pro detekci možných narušení. Můžete také použít softwarové produkty popsané výše.

A konečně, a to nejdůležitější, při plánování bezpečné bezdrátové sítě používejte zdravý rozum. Pamatujte: jakékoli šifrování nebo jiná manipulace s daty nevyhnutelně způsobí další zpoždění, zvýší objem provozu služeb a zatížení procesorů síťových zařízení. Bezpečnost je samozřejmě důležitým faktorem v dnešních sítích, ale ztrácí veškerý význam, pokud provoz uživatele nedostává správnou šířku pásma. Koneckonců, všechny sítě jsou bohužel vytvářeny v konečném důsledku pro uživatele, nikoli pro správce. Téma QoS v bezdrátových sítích 802.11x si však zaslouží samostatný článek.

802.11i ratifikováno

Dne 25. června 2004 Institut elektrotechnických a elektronických inženýrů (IEEE) ratifikoval dlouho očekávaný standard zabezpečení bezdrátové sítě LAN 802.11i.

Před jeho přijetím, v roce 2002, průmyslové konsorcium Wi-Fi Alliance navrhlo použití protokolu WPA jako přechodnou možnost. Zahrnuje některé z mechanismů 802.11i, včetně šifrování TKIP a možnosti používat systém ověřování uživatelů 802.1x založený na protokolu RADIUS. Protokol WPA existuje ve dvou verzích: odlehčená (pro domácí uživatele) a včetně autentizačního standardu 802.1x (pro firemní uživatele).

Oficiální standard 802.11i přidal ke schopnostem protokolu WPA požadavek na použití šifrovacího standardu AES, který poskytuje úroveň ochrany splňující požadavky třídy 140-2 FIPS (Federal Information Processing Standard) používané vládou USA. agentur. Nicméně v mnoha stávající sítě protokol AES může vyžadovat výměnu hardwaru, pokud není vybaven speciálními prostředky šifrování a dešifrování.

Kromě toho nový standard získal několik relativně málo známých vlastností. Jeden z nich - key-caching - pro uživatele nepostřehnutelně zaznamenává informace o něm, což vám umožňuje nezadávat všechny informace o sobě znovu, když opouštíte oblast pokrytí bezdrátové sítě a poté se do ní vracíte.

Druhou novinkou je předběžná autentizace. Jeho podstata je následující: z přístupového bodu, ke kterému je uživatel aktuálně připojen, je paket předběžné autentizace odeslán do jiného přístupového bodu, což tomuto uživateli poskytuje předběžnou autentizaci ještě před registrací na novém bodu, a tím zkracuje dobu autorizace při přesunu. mezi přístupovými body.

Wi-Fi Alliance hodlá začít testovat zařízení na shodu s novým standardem (nazývaným také WPA2) do září tohoto roku. Podle jejích zástupců nebude nutná plošná výměna zařízení. A pokud zařízení s podporou WPA1 mohou pracovat tam, kde není vyžadováno pokročilé šifrování a ověřování RADIUS, pak lze produkty 802.11i považovat za zařízení WPA s podporou AES.

Ministerstvo školství, vědy a politiky mládeže

Voroněžská oblast

státní vzdělávací státem financovaná organizace

střední odborné vzdělání

Voroněžská oblast

„Voroněžská kolej stavební technologie»

(GOBU SPO VO "VTST")

Údržba počítačového vybavení a počítačových sítí

PROJEKT MATURA

Vývoj technologie pro ochranu informací bezdrátových sítí

Organizační poradce

ekonomická část S.N. Mukhina

Kontrola norem _ L.I. Krátký

Vedoucí N.A. Merkulová

Navrhl _ M.A. Suchanov

Voroněž 2014

anotace

Úvod

1.1 Hlavní hrozby pro bezdrátové sítě

1.3 Technologie prostředků informační bezpečnosti bezdrátových sítí

1 Nastavení programu WPA

2 Šifrování provozu

4. Bezpečnost a ochrana zdraví při práci

4.1 Elektrická bezpečnost během provozu technické prostředky

4.2 Požadavky na místnost

4.3 Protipožární opatření

Závěr

Seznam zkratek

aplikace

anotace

V tomto absolventském projektu byl realizován vývoj technologie informační bezpečnosti pro bezdrátové sítě, kterou lze využít pro zvýšení ochrany počítače uživatele, podnikových sítí a malých kanceláří.

V průběhu diplomového projektu byla provedena analýza informačních technologií pro ochranu informací bezdrátových sítí, analýza softwarových produktů, které umožňují zvýšit ochranu bezdrátových sítí před hrozbami.

Výsledkem projektu byly zkušenosti s nastavováním softwarových produktů, které umožňují maximální ochranu bezdrátové sítě před běžnými hrozbami.

Diplomová práce se skládá ze čtyř částí, obsahuje dvacet čtyři obrázků, jednu tabulku.

informační síť ochrany

Úvod

Bezdrátové sítě se již používají téměř ve všech oblastech činnosti. Široké použití bezdrátových sítí je způsobeno tím, že je lze používat nejen na osobních počítačích, ale také na telefonech, tabletech a noteboocích díky jejich pohodlí a relativně nízké ceně. Bezdrátové sítě musí splňovat řadu požadavků na kvalitu, rychlost, dosah a zabezpečení, přičemž zabezpečení je často tím nejdůležitějším faktorem.

Relevantnost zajištění bezpečnosti bezdrátové sítě je dána skutečností, že pokud v drátových sítích musí útočník nejprve získat fyzický přístup ke kabelovému systému nebo koncovým zařízením, pak v bezdrátových sítích se použije konvenční přijímač instalovaný v dosahu sítě. stačí k získání přístupu.

Navzdory rozdílům v implementaci komunikace je přístup k zabezpečení bezdrátových sítí a jejich drátových protějšků identický. Při implementaci metod zabezpečení informací v bezdrátových sítích se však více pozornosti věnuje požadavkům na zajištění důvěrnosti a integrity přenášených dat, na autentizaci bezdrátových klientů a přístupových bodů.

Předmětem studia jsou prostředky ochrany informací bezdrátových sítí

Předmětem výzkumu je technologie informační bezpečnosti bezdrátových sítí

Cílem diplomového projektu je zvýšení kvality informační bezpečnosti bezdrátových sítí

K dosažení tohoto cíle byly vyřešeny následující úkoly:

zkoumal typy hrozeb a jejich negativní dopad na fungování bezdrátových sítí;

Analyzované softwarové produkty, které chrání informace bezdrátových sítí;

byla vyvinuta technologie prostředků ochrany informací bezdrátových sítí;

Praktické zaměření vypracovaného absolventského projektu spočívá v tom, že aplikací tohoto absolventského projektu je dosaženo ochrany informací o bezdrátové síti před neoprávněným připojením, stabilní rychlosti připojení k internetu a kontroly nad neoprávněným odběrem provozu.

1. Analýza hrozeb a bezdrátové zabezpečení

Princip bezdrátového přenosu dat zahrnuje možnost neoprávněného připojení k přístupovým bodům. Při rozvoji podnikové sítě musí správci především zajistit nejen kvalitní pokrytí území kanceláří komunikací, ale také zajistit prostředky ochrany, protože k síti se můžete připojit i z auta zaparkovaného na ulici. .

Neméně nebezpečnou hrozbou pro bezdrátové sítě je pravděpodobnost krádeže zařízení: router, anténa, adaptér. Pokud jsou zásady zabezpečení bezdrátové sítě založeny na adresách MAC, pak síťová karta nebo router odcizený útočníkem mohou otevřít přístup k bezdrátové síti.

1 Hlavní hrozby pro bezdrátové sítě

Bezdrátové technologie fungující bez fyzických a logických omezení jejich kabelových protějšků vystavují síťovou infrastrukturu a uživatele významným hrozbám. Nejběžnější hrozby jsou:

Cizinci. Rogue jsou zařízení, která umožňují neoprávněný přístup k bezdrátové síti, často obcházejí bezpečnostní mechanismy definované firemní bezpečnostní politikou. Většinou je to libovolné. nastavit body přístup. Statistiky ukazují, že hrozba „zvenčí“ je příčinou většiny narušení bezdrátové sítě. Jako cizí se může chovat domácí router s podporou Wi-Fi, softwarový přístupový bod Soft AP, notebook s povoleným kabelovým i bezdrátovým rozhraním současně, skener, projektor atd.

Nepevná komunikace – bezdrátová zařízení mohou měnit body připojení k síti přímo v procesu. Například k „náhodnému přidružení“ může dojít, když se notebook se systémem Windows XP (který poměrně důvěřuje všem bezdrátovým sítím) nebo pouze nesprávně nakonfigurovaný bezdrátový klient automaticky přiřadí a připojí uživatele k nejbližší bezdrátové síti. Takový mechanismus umožňuje útočníkům „přepnout na sebe“ nic netušícího uživatele pro následné skenování zranitelnosti, dobrovolně, zprávy vyměňované korespondenty, a nikdo z nich nemůže tušit jeho přítomnost v kanálu. MITM útok je metoda kompromitace komunikačního kanálu, při které útočník po připojení ke kanálu mezi protistranami aktivně zasahuje do přenosového protokolu, maže, zkresluje informace nebo vnucuje nepravdivé informace. Útok typu Man in the middle obvykle začíná poslechem komunikačního kanálu a končí pokusem kryptoanalytika nahradit zachycenou zprávu, extrahovat z ní užitečné informace, přesměrujte jej na nějaký externí zdroj.

Příklad: Objekt A posílá nějaké informace objektu B. Objekt C má znalosti o struktuře a vlastnostech použité metody přenosu dat, plánuje tyto informace zachytit. K provedení útoku se C "představuje" objektu A - objektem B a objektu B - objektem A. Objekt A, posílající informace objektu B, je nevědomě posílá objektu C. C poté, co přijal informaci a provedl s ní nějaké akce, odešle data skutečnému objektu B. Objekt B se domnívá, že informace obdržel přímo od A.

Denial of Service – Útok odmítnutí služby lze dosáhnout několika způsoby. Pokud se hackerovi podaří navázat spojení s bezdrátovou sítí, jeho škodlivé činy mohou způsobit řadu takových vážných následků: například odesílání odpovědí na požadavky protokolu ARP (Address Resolution Protocol) na změnu tabulek ARP síťových zařízení za účelem narušení síťové směrování nebo zavedení neautorizovaného serveru DHCP (Dynamic Host Configuration Protocol) za účelem vydávání neplatných adres a síťových masek. Pokud hacker zjistí podrobnosti o nastavení bezdrátové sítě, může uživatele znovu připojit k té své přístupový bod a ten bude odříznut od síťových zdrojů, které byly dostupné prostřednictvím „legitimního“ přístupového bodu.

Odposlechy

Anonymní škůdci mohou zachytit rádiový signál a dešifrovat přenášená data. Zařízení používané k odposlouchávání sítě nesmí být o nic sofistikovanější než zařízení používané pro normální přístup k této síti. Pro zachycení přenosu musí být útočník blízko vysílače. Odposlechy tohoto typu je téměř nemožné zaregistrovat a ještě obtížnější je zmařit. Použití antén a zesilovačů dává útočníkovi možnost být během procesu odposlechu ve značné vzdálenosti od cíle. Odposlech umožňuje shromažďovat informace v síti, která má být následně napadena. Primárním cílem útočníka je porozumět tomu, kdo síť používá, jaká data jsou na ní dostupná, jaké jsou možnosti síťového zařízení, v jakých okamžicích je nejvíce a nejméně intenzivně využíváno a jaké je území nasazení sítě. .

1.2 Zabezpečení bezdrátové sítě

Následující software (Wi-Fi Protected Access) je aktualizovaný program certifikace bezdrátových zařízení na ochranu před nejběžnějšími hrozbami bezdrátové sítě. Technologie WPA se skládá z několika komponent:

802.1x protokol - univerzální protokol pro autentizaci, autorizaci a účtování (AAA)

Protokol EAP - Extensible Authentication Protocol

Protokol TKIP - Temporal Key Integrity Protocol, další možnost překladu - Temporal Key Integrity Protocol - kontrola integrity kryptografických paketů (Message Integrity Code)

protokol RADIUS

Za šifrování dat ve WPA je zodpovědný protokol TKIP, který sice používá stejný šifrovací algoritmus - RC4 - jako ve WEP, ale na rozdíl od druhého používá dynamické klíče (to znamená, že klíče se často mění). Používá delší inicializační vektor a používá kryptografický kontrolní součet (MIC) k ověření integrity paketů (ten je funkcí zdrojové a cílové adresy a datového pole). protokol je navržen tak, aby fungoval ve spojení s ověřovacím serverem, kterým je obvykle server RADIUS. V tomto případě bezdrátové přístupové body pracují v podnikovém režimu.

Pokud v síti není RADIUS server, pak roli autentizačního serveru plní samotný přístupový bod - tzv. režim

WPA-PSK (předsdílený klíč, sdílený klíč). V tomto režimu je v nastavení všech přístupových bodů předem registrován společný klíč. Je také registrován na klientských bezdrátových zařízeních. Tento způsob ochrany je také poměrně bezpečný (ve srovnání s WEP), velmi nepohodlný z hlediska správy. Klíč PSK musí být zaregistrován na všech bezdrátových zařízeních, uživatelé bezdrátových zařízení jej mohou vidět. Pokud potřebujete zablokovat přístup k síti pro některého klienta, budete muset znovu zaregistrovat nový PSK na všech síťových zařízeních a tak dále. Jinými slovy, WPA-PSK je vhodný pro domácí síť a možná i malou kancelář, ale nic víc.

Tato série článků se podívá na to, jak WPA funguje s externím serverem RADIUS. Než se k tomu ale přesuneme, podívejme se blíže na mechanismy WPA. WPA bylo dočasným opatřením, dokud nebyl zaveden standard 802.11i. Před oficiálním přijetím tohoto standardu někteří výrobci uvedli do oběhu technologii WPA2, ve které se v té či oné míře používají technologie z 802.11i. Jako šifrovací algoritmus se používá protokol AES (Advanced Encryption Standard), jako je použití protokolu CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) namísto TKIP. A protokol 802.1x se stále používá pro správu a distribuci klíčů.

Jak bylo uvedeno výše, protokol 802.1x může provádět několik funkcí. V tento případ zajímají nás funkce ověřování uživatelů a distribuce šifrovacích klíčů. Je třeba poznamenat, že autentizace probíhá "na úrovni portu" - to znamená, že dokud není uživatel ověřen, smí odesílat / přijímat pakety týkající se pouze jeho autentizačního procesu (pověření) a nic víc. A teprve po úspěšné autentizaci se port zařízení (ať už je to přístupový bod nebo chytrý vypínač) se otevře a uživatel bude mít přístup k síťovým zdrojům.

Autentizační funkce jsou přiřazeny protokolu EAP, který je sám o sobě pouze rámcem pro autentizační metody. Krása protokolu spočívá v tom, že je velmi snadné jej implementovat na autentizátor (přístupový bod), protože nepotřebuje znát žádné specifické funkce různé metody autentizace. Autentizátor slouží pouze jako přenosové spojení mezi klientem a autentizačním serverem. Autentizačních metod je poměrně hodně: SIM, EAP-AKA - používají se v sítích GSM mobilní komunikace- Proprietární metoda ze systémů Cisco MD5 - Nejjednodušší metoda, podobná CHAP (není silná) MSCHAP V2 - Metoda autentizace na základě uživatelského jména/hesla v sítích MS TLS - Autentizace na základě digitálních certifikátů SecureID - Metoda založená na jednorázových heslech

Kromě výše uvedeného je třeba poznamenat následující dvě metody, EAP-TTLS a EAP-PEAP. Na rozdíl od předchozích tyto dvě metody nejprve vytvoří tunel TLS mezi klientem a autentizačním serverem a teprve poté přímo autentizují uživatele. A již uvnitř tohoto tunelu se provádí samotná autentizace, a to jak pomocí standardních EAP (MD5, TLS), tak starých non-EAP metod (PAP, CHAP, MS-CHAP, MS-CHAP v2), ty druhé fungují pouze s EAP- TTLS (PEAP používaný pouze ve spojení s metodami EAP). Předtunelování zlepšuje zabezpečení autentizace tím, že chrání před útoky typu man-in-middle, hacking session nebo slovníkovými útoky.

Protokol PPP se tam rozsvítil, protože se původně plánovalo použití EAP přes PPP tunely. Ale protože použití tohoto protokolu pouze pro LAN autentizaci je nadbytečné, EAP zprávy jsou zabaleny do "EAP over LAN" (EAPOL) paketů, které se používají k výměně informací mezi klientem a autentizátorem (přístupovým bodem).

Schéma autentizace se skládá ze tří komponent: - software běžící na klientském počítači, který se pokouší připojit k síti - přístupový uzel, autentizátor (bezdrátový přístupový bod nebo drátový přepínač podporující protokol 802.1x) Server - autentizační server (obvykle server RADIUS).

Proces ověřování se skládá z následujících kroků:

Klient může odeslat požadavek na ověření (zprávu EAP-start) směrem k přístupovému bodu

Přístupový bod (Authenticator) jako odpověď odešle klientovi požadavek na identifikaci klienta (EAP-request/identity message). Autentizátor MŮŽE odeslat požadavek EAP sám o sobě, pokud zjistí, že některý z jeho portů se zvýšil.

V odezvě klient odešle paket s odpovědí EAP s potřebnými daty, který přístupový bod (autenticátor) přesměruje na server Radius (ověřovací server).

Autentizační server odešle paket výzvy (požadavek na informaci o identitě klienta) autentizátorovi (přístupovému bodu). Autentizátor jej předá klientovi.

Dále probíhá proces vzájemné identifikace serveru a klienta. Počet fází předávání paketů tam a zpět se liší v závislosti na metodě EAP, ale pro bezdrátové sítě je k dispozici pouze „silná“ autentizace se vzájemnou autentizací klienta a serveru (EAP-TLS, EAP-TTLS, EAP-PEAP) a předšifrováním. komunikačního kanálu je přijatelný.

V další fázi autentizační server obdrží od klienta nezbytné informace, povolí (přijme) nebo zamítne (odmítne) tento přístup s předáním této zprávy autentizátorovi. Autentizátor (přístupový bod) otevře port pro žadatele, pokud je přijata kladná odpověď (Accept) ze serveru RADIUS.

Port se otevře, autentizátor odešle klientovi zprávu o úspěchu a klient získá přístup do sítě.

Po odpojení klienta přejde port na přístupovém bodu opět do stavu „zavřeno“.

Pakety EAPOL se používají pro komunikaci mezi klientem (žadatelem) a přístupovým bodem (autentizátorem). Protokol RADIUS se používá k výměně informací mezi autentizátorem (přístupovým bodem) a serverem RADIUS (ověřovacím serverem). Při přenosu informací mezi klientem a ověřovacím serverem jsou pakety EAP v ověřovateli přebaleny z jednoho formátu do druhého.

Počáteční autentizace je založena na společných datech, o kterých ví klient i autentizační server (např. přihlašovací jméno / heslo, certifikát atd.) – v této fázi je vygenerován hlavní klíč. Pomocí hlavního klíče vygeneruje autentizační server a klient párový hlavní klíč, který je předán autentizátorovi z autentizačního serveru. A již na základě Pairwise Master Key se generují všechny ostatní dynamické klíče, které uzavírají přenášený provoz. Je třeba poznamenat, že i samotný Pairwise Master Key podléhá dynamickým změnám. (Wired Equivalent Privacy) je stará metoda zabezpečení sítě. Je stále k dispozici pro podporu starší zařízení, ale jeho použití se nedoporučuje. Když je povoleno WEP, je nakonfigurován klíč zabezpečení sítě. Tento klíč zašifruje informace, které počítač přenáší po síti do jiných počítačů. Ochrana WEP je však poměrně snadno prolomitelná.

Existují dva typy metod zabezpečení WEP: ověřování otevřeného systému a ověřování pomocí předsdíleného klíče. Ani jedna neposkytuje vysokou úroveň zabezpečení, ale metoda ověřování sdíleným klíčem je méně bezpečná. U většiny počítačů a bezdrátových přístupových bodů je ověřovací klíč sdíleného klíče stejný jako statický šifrovací klíč WEP, který se používá k zabezpečení sítě. Útočník, který zachytí zprávy za účelem úspěšného ověření veřejným klíčem, může pomocí analytických nástrojů určit ověřovací klíč veřejného klíče a poté statický šifrovací klíč WEP. Jakmile je určen statický šifrovací klíč WEP, může útočník získat plný přístup k síti. Z tohoto důvodu, toto Verze Windows nepodporuje automaticky konfiguraci sítě prostřednictvím ověřování pomocí předem sdíleného klíče WEP.

K získání klíče používá generátor pseudonáhodných čísel (algoritmus RC4) a také inicializační vektory. Vzhledem k tomu, že poslední komponenta není zašifrována, je možné, aby zasáhly třetí strany a znovu vytvořily klíč WEP.

Analýza hrozeb pro bezdrátové sítě ukázala, že nejvíce frustrovanými hrozbami jsou cizí lidé, nepevná komunikace, odepření sezení a odposlouchávání.

Revize softwarových nástrojů používaných k ochraně informací bezdrátových sítí ukázala, že je nejvhodnější používat program WPA. Program WPA je aktualizovaný program certifikace bezdrátových zařízení. Program WPA má vylepšené zabezpečení dat a řízení přístupu pro bezdrátové sítě a podporuje šifrování v souladu se standardem Advanced Encryption Standard (AES), který má silnější šifrovací algoritmus.

2. Technologie prostředků ochrany informací bezdrátových sítí

1 Nastavení programu WPA

Možnost konfigurace WPA v systému Windows XP se objeví po instalaci aktualizace Service Pack verze 2 (nebo odpovídající aktualizace z webu společnosti Microsoft).

<#"363" src="doc_zip2.jpg" /> <#"352" src="doc_zip3.jpg" /> <#"327" src="doc_zip4.jpg" /> <#"325" src="doc_zip5.jpg" /> <#"376" src="doc_zip6.jpg" /> <#"351" src="doc_zip7.jpg" /> <#"351" src="doc_zip8.jpg" /> <#"326" src="doc_zip9.jpg" /> <#"291" src="doc_zip10.jpg" /> <#"311" src="doc_zip11.jpg" /> <#"298" src="doc_zip12.jpg" /> <#"349" src="doc_zip13.jpg" /> <#"justify">2.3 Šifrování provozu

Jakýkoli přístupový bod vám umožňuje povolit režim šifrování pro provoz přenášený přes bezdrátovou síť. Šifrování provozu skrývá data uživatelů sítě a útočníkům velmi ztěžuje dešifrování dat přenášených přes šifrovanou síť. Existuje několik metod šifrování, z nichž nejběžnější jsou WEP a bezpečnější WPA a WPA-2. Metoda šifrování WEP není podle dnešních standardů dostatečně silná, takže moderní přístupové body 802.11g již používají vylepšenou metodu šifrování WPA. Zvažme nastavení šifrování WPA V ovládacím panelu přístupového bodu povolte režim „WPA-PSK“ (nejlépe „WPA2-PSK“), někdy mohou existovat dílčí režimy, z nichž je třeba vybrat osobní nebo zjednodušené, jako ostatní nemusí ve vaší síti fungovat bez vyhrazeného serveru. V režimu WPA je třeba zvolit šifrovací algoritmus "AES" nebo "TCIP" a zadat šifrovací klíč, kterým mohou být libovolné znaky (doporučuje se použít klíč maximální délka, symboly se smíšenými čísly).

Obrázek 15 – Konfigurace režimu WPA-PSK na přístupovém bodu

Všechno wifi adaptéry nakonfigurován stejným způsobem. Konkrétně na každém počítači / notebooku ve vlastnostech "Bezdrátové připojení k síti" vyberte ověřování "WPA-PSK" a šifrování dat "AES" nebo "TKIP" v závislosti na šifrování zvoleném na přístupovém bodu.

Obrázek 16-Nastavení síťový adaptér do režimu WPA-PSK

Krok 1 Otevřete webový prohlížeč, do adresního řádku zadejte IP adresu routeru (výchozí 192.168.1.1) a stiskněte Enter .

Obrázek 17 - Okno prohlížeče

Krok 2 Zadejte uživatelské jméno a heslo na přihlašovací stránce, výchozí uživatelské jméno a heslo je admin .

Krok 3 Z nabídky nalevo vyberte Bezdrátové ( Bezdrátové připojení) -\u003e Nastavení bezdrátového připojení, otevře se okno nastavení bezdrátového připojení.

Obrázek 19-Okno nastavení bezdrátové sítě

SSID (Název bezdrátové sítě): Nastavte nový název bezdrátové sítě

Kanál: 1, 6 nebo 11 jsou lepší než Auto.

Zaškrtněte políčka „Povolit bezdrátový směrovač“ a „Povolit vysílání SSID“.

Poznámka: Po kliknutí na tlačítko Uložit se zobrazí zpráva Změny nastavení bezdrátové sítě se projeví až po restartování počítače. Kliknutím sem restartujete počítač nyní . Router není nutné restartovat, dokud nedokončíte všechna nastavení bezdrátové sítě.

Krok 5 Z nabídky na levé straně vyberte Wireless -> Wireless Security, na pravé straně povolte možnost WPA - PSK / WPA 2-PSK.

Obrázek 20 - Konfigurace WPA-PSK

Verze: WPA - PSK nebo WPA 2 - PSK

Šifrování: TKIP nebo AESPassword: Zadejte heslo (délka předsdíleného klíče je 8 až 63 znaků.)

Krok 7 Z nabídky nalevo vyberte Systémové nástroje ( Utility) -> Restartovat (Restartovat). Restartujte router, aby se nastavení projevila.

Obrázek 21 - Utility

3. Organizační a ekonomická část

Cena adaptéru byla vybrána porovnáním tří ceníků společností jako Sani, Ret a DNS-SHOP, ceny jsou uvedeny v tabulce 1

StoreCenaNázev produktuPET1 841 RUB Powerline TP-Link TL-WPA2220KITCaNi2 190 RUBPowerline TP-Link TL-WPA2220KITDNS-SHOP1 870 RUBPowerline TP-Link TL-WPA2220KIT Tabulka 1-Porovnání tří ceníků

Analýzou a porovnáním cen jsem dospěl k závěru, že je nejvýhodnější koupit tento adaptér s podporou WPA v obchodě PET, protože cena byla 1841 rublů.

Bezpečnost a ochrana zdraví při práci

Obecná poloha.

Poučení o ochraně práce je hlavním dokumentem, který stanoví pro pracovníky pravidla chování při práci a požadavky na bezpečný výkon práce.

Znalost Pokynů na ochranu práce je povinná pro pracovníky všech kategorií a skupin dovedností, jakož i jejich přímé nadřízené.

V každém zařízení musí být vypracovány bezpečné cesty přes zařízení na pracoviště a evakuační plány pro případ požáru a nouzové situace a musí být sděleny všem zaměstnancům.

Každý pracovník musí:

dodržovat požadavky tohoto Pokynu;

okamžitě hlásit svému přímému nadřízenému a v jeho nepřítomnosti nadřízenému o nehodě, ke které došlo, a o všech jím zjištěných porušeních požadavků pokynů, jakož i o poruchách konstrukcí, zařízení a ochranných zařízení;

být si vědom osobní odpovědnosti za nedodržení bezpečnostních požadavků;

zajistit bezpečnost ochranných prostředků, nářadí, přístrojů, hasicích prostředků a dokumentace o ochraně práce na svém pracovišti.

JE ZAKÁZÁNO dodržovat příkazy, které jsou v rozporu s požadavky tohoto Pokynu a "Meziodvětvovými pravidly ochrany práce (bezpečnostními pravidly) pro provoz elektrických instalací" POT R M-016-2001 (RD 153-34.0-03.150-00).

Každý počítač je elektrický spotřebič a představuje potenciální hrozbu. Proto při práci s počítačem musíte dodržovat bezpečnostní požadavky.

Před zahájením práce se ujistěte, že kabeláž, spínače, zásuvky, se kterým je zařízení připojeno k síti, přítomnost uzemnění počítače a jeho provozuschopnost. Je nepřípustné používat v napájecím systému nekvalitní a opotřebované komponenty, stejně jako jejich náhradní náhražky: zásuvky, prodlužovací kabely, adaptéry, odpaliště. Je nepřípustné sami upravovat zásuvky pro připojení zástrček, které splňují jiné normy. Elektrické kontakty zásuvek by neměly být vystaveny mechanickému namáhání spojenému s připojením masivních součástí (adaptéry, T-kusy atd.). Všechny napájecí kabely a vodiče by měly být umístěny na zadní straně počítače a periferních zařízení. Jejich umístění v pracovní oblasti uživatele je nepřijatelné.

Je zakázáno provádět jakékoli operace související s připojováním, odpojováním nebo přemisťováním součástí počítačového systému bez předchozího vypnutí napájení. Počítač by neměl být instalován v blízkosti elektrických ohřívačů nebo topných systémů. Je nepřípustné umístit na systémovou jednotku, monitor a příslušenství cizí předměty: knihy, listy papíru, ubrousky, kryty proti prachu. To má za následek trvalé nebo dočasné zablokování ventilačních otvorů. Nevkládejte cizí předměty do provozních nebo ventilačních otvorů součástí počítačového systému.

Některé součásti počítačů jsou schopny udržet vysoké napětí po dlouhou dobu poté

Vlastnosti napájecího zdroje systémové jednotky. Všechny součásti systémové jednotky dostávají elektřinu z napájecího zdroje. Napájecí zdroj PC je samostatný uzel umístěný v horní části systémové jednotky. Bezpečnostní předpisy nezakazují otevření systémové jednotky například při instalaci dalších interních zařízení nebo jejich upgradu, to se však netýká napájecího zdroje. Počítačový zdroj je zdrojem zvýšeného nebezpečí požáru, proto jej lze otevřít a opravit pouze ve specializovaných dílnách. Zdroj má vestavěný ventilátor a větrací otvory. V tomto ohledu se v něm nevyhnutelně hromadí prach, což může způsobit zkrat. Doporučuje se pravidelně (jednou nebo dvakrát ročně) použít vysavač k odstranění prachu z napájecího zdroje ventilačními otvory bez otevření systémové jednotky. Zvláště důležité je provést tuto operaci před každým transportem nebo nakloněním systémové jednotky.

Systém hygienické požadavky. Dlouhodobá práce s počítačem může vést ke zdravotním poruchám. Krátkodobá práce s nainstalovaným počítačem s hrubým porušením hygienických norem a pravidel vede ke zvýšené únavě. Škodlivý účinek počítačového systému na lidské tělo je komplexní. Nastavení monitoru ovlivňuje zrakové orgány. Vybavení pracoviště ovlivňuje orgány pohybového aparátu. Povaha umístění zařízení v počítačové učebně a způsob jeho použití ovlivňuje jak celkový psychofyziologický stav těla, tak orgány zraku.

požadavky na videosystém. V minulosti byl monitor považován především za zdroj škodlivého záření, především na oči. Dnes je tento přístup považován za nedostatečný. Kromě škodlivého elektromagnetického záření (které moderní monitory snížena na relativně bezpečnou úroveň), je třeba brát v úvahu parametry kvality obrazu, které určuje nejen monitor, ale také grafický adaptér, tedy celý videosystém jako celek.

Na pracovišti musí být monitor instalován tak, aby byla vyloučena možnost odrazu od jeho obrazovky směrem k uživateli zdrojů celkového osvětlení v místnosti.
Vzdálenost od obrazovky monitoru k očím uživatele by měla být od 50 do 70 cm Není třeba usilovat o posunutí monitoru co nejdále od očí v obavě ze škodlivého záření (dle každodenní zkušenosti s komunikací s TV ), protože pro oko je důležitý i zorný úhel nejcharakterističtějších předmětů. Optimální je umístění monitoru ve vzdálenosti 1,5 D od očí uživatele, kde D je velikost obrazovky monitoru, měřeno diagonálně. Porovnejte toto doporučení s hodnotou 3…5 D doporučenou pro domácí televizory a porovnejte velikosti znaků na obrazovce monitoru (nejtypičtější objekt vyžadující soustředění) s velikostí objektů typických pro televizi (obrazy lidí, staveb, objektů Příroda). Nadhodnocená vzdálenost od očí k monitoru vede k dodatečné zátěži zrakových orgánů, ovlivňuje obtížnost přechodu od práce s monitorem k práci s knihou a projevuje se předčasným rozvojem dalekozrakosti. Důležitý parametr je snímková frekvence, která závisí na vlastnostech monitoru, grafického adaptéru a nastavení softwaru videosystému. Pro práci s texty je minimální snímková frekvence 72 Hz. U grafiky se doporučuje snímková frekvence 85 Hz nebo vyšší.

Požadavky na pracoviště. Mezi požadavky na pracoviště patří požadavky na pracovní plochu, sedák (židle, křeslo), Opěrky rukou a nohou. Přes zdánlivou jednoduchost je extrémně obtížné zajistit správné umístění prvků počítačového systému a správné přizpůsobení uživatele. Kompletní řešení problému vyžaduje dodatečné náklady, srovnatelné v hodnotě s náklady na jednotlivé komponenty počítačového systému, proto jsou tyto požadavky v každodenním životě i v práci často opomíjeny.

Monitor by měl být namontován přímo před uživatelem a neměl by vyžadovat otáčení hlavy nebo těla.

Pracovní plocha a sedadlo by měly být v takové výšce, aby úroveň očí uživatele byla mírně nad středem monitoru. Obrazovka monitoru by měla být sledována shora dolů a ne naopak. I krátkodobá práce s příliš vysoko nastaveným monitorem vede k únavě krční páteře.

Pokud je monitor správně umístěn v úrovni očí a nohy uživatele nemohou volně spočívat na podlaze, měla by být instalována podnožka, nejlépe nakloněná. Pokud nohy nemají spolehlivou podporu, jistě to povede k porušení držení těla a únavě páteře. Je výhodné, když počítačový nábytek (stůl a kancelářská židle) má prostředky pro nastavení výšky. V tomto případě je snazší dosáhnout optimální polohy.

Klávesnice by měla být umístěna v takové výšce, aby na ní byly prsty volně, bez napětí a úhel mezi ramenem a předloktím byl 100° - 110°. Pro práci se doporučuje používat speciální počítačové stoly s výsuvnými policemi pro klávesnici. Při dlouhodobém používání klávesnice je možná únava šlach zápěstního kloubu. Je známa závažná nemoc z povolání - syndrom karpálního tunelu, spojený s nesprávným postavením rukou na klávesnici. Aby se zabránilo nadměrnému namáhání ruky, je žádoucí opatřit pracovní židli područkami, jejichž výška, měřená od podlahy, se shoduje s výškou klávesnice.

Při práci s myší by ruka neměla být na váze. Loket ruky, nebo alespoň zápěstí, musí být pevně podepřený. Pokud je obtížné předvídat potřebné uspořádání pracovní plochy a židle, doporučuje se použít podložku pod myš se speciálním podpůrným válečkem. Není neobvyklé, když při hledání opory pro ruku (obvykle pravou) je monitor umístěn na stranu uživatele (respektive na levou stranu), takže pracuje napůl otočení, opřený o loket resp. zápěstí pravé ruky na stole.

4.1 Požadavky na elektrickou bezpečnost

Při používání výpočetní techniky a periferních zařízení musí každý zaměstnanec opatrně a pečlivě zacházet s elektrickými rozvody, přístroji a přístroji a vždy pamatovat na to, že zanedbání bezpečnostních pravidel ohrožuje zdraví i lidský život.

Aby nedošlo k porážce elektrický šok pro bezpečné používání elektřiny musíte znát a dodržovat následující pravidla:

Na svém pracovišti je nutné neustále sledovat dobrý stav elektroinstalace, vypínačů, zásuvek, kterými je zařízení připojeno k síti, a uzemnění. Pokud je zjištěna porucha, okamžitě vypněte napájení elektrického zařízení, informujte administrativu. Pokračování v práci je možné až po odstranění závady.

Aby se zabránilo poškození izolace vodičů a výskytu zkratů, není povoleno:

a) pověsit něco na dráty;

b) přelakovat a nabílit šňůry a dráty;

c) pokládat dráty a šňůry pro plynové a vodovodní potrubí, pro baterie topného systému;

d) vytáhněte zástrčku ze zásuvky za šňůru, na tělo zástrčky je třeba působit silou.

Abyste předešli úrazu elektrickým proudem, neprovádějte:

a) často zbytečně zapínat a vypínat počítač;

b) dotkněte se obrazovky a zadní strany počítačových bloků;

c) práce na počítačovém a periferním zařízení mokrýma rukama;

d) práce na počítačovém vybavení a periferním zařízení, které má porušení integrity pouzdra, porušení izolace vodičů, chybná indikace zapnutí, se známkami elektrického napětí na pouzdru

e) pokládat cizí předměty na počítačová zařízení a periferní zařízení.

Je zakázáno čistit elektrické zařízení od prachu a znečištění pod napětím.

Je zakázáno kontrolovat provozuschopnost elektrických zařízení v prostorách nevhodných pro provoz s vodivými podlahami, vlhkými, které neumožňují uzemnění přístupných kovových částí.

Opravy elektrického zařízení provádějí pouze odborní technici při dodržení nezbytných technických požadavků.

Je nepřípustné provádět opravy výpočetní techniky a periferních zařízení pod napětím.

Aby nedošlo k úrazu elektrickým proudem, při používání elektrických spotřebičů se současně nedotýkejte potrubí, radiátorů, kovových konstrukcí spojených se zemí.

Při používání elektřiny ve vlhkých místnostech buďte zvlášť opatrní.

Pokud je nalezen přerušený drát, je nutné o tom neprodleně informovat správu, přijmout opatření k vyloučení osob z kontaktu s ním. Dotyk drátu je životu nebezpečný.

Záchrana postiženého v případě úrazu elektrickým proudem závisí především na rychlosti jeho uvolnění z působení proudu.

Ve všech případech zasažení člověka elektrickým proudem je okamžitě přivolán lékař. Před příjezdem lékaře je nutné bez ztráty času začít poskytovat první pomoc oběti.

Je nutné okamžitě zahájit umělé dýchání, z nichž nejúčinnější je metoda z úst do úst nebo z úst do nosu a také zevní masáž srdce.

Umělé dýchání postiženému elektrickým proudem se provádí do příjezdu lékaře.

4.2 Požadavky na místnost

Prostory by měly mít přirozené i umělé osvětlení. Umístění pracovišť za monitory pro dospělé uživatele v suterénu není povoleno.

Plocha na jedno pracoviště s počítačem pro dospělé uživatele by měla být minimálně 6 m2 a objem minimálně -20 m3.

Místnosti s počítači by měly být vybaveny topením, klimatizací nebo efektivním přívodem a odvodem vzduchu.

Pro vnitřní výzdobu interiéru místností s počítači by měly být použity difúzně reflexní materiály s koeficientem odrazu pro strop 0,7-0,8; pro stěny - 0,5-0,6; pro podlahu - 0,3-0,5.

Podlaha v prostorách, kde jsou počítače používány, musí být rovná, bez výmolů, protiskluzová, snadno se čistí a čistí za mokra a musí mít antistatické vlastnosti.

V místnosti by měla být lékárnička, hasicí přístroj s oxidem uhličitým k uhašení požáru.

4.3 Požadavky na požární bezpečnost

Na pracovišti je zakázáno mít hořlavé látky

V areálu je zakázáno:

a) zapálit oheň

b) zapněte elektrické zařízení, pokud je v místnosti cítit plyn;

c) kouř;

d) něco sušit na ohřívačích;

e) zavřete větrací otvory v elektrických zařízeních

Zdroje vznícení jsou:

a) jiskra při vybíjení statické elektřiny

b) jiskry z elektrického zařízení

c) jiskry z nárazu a tření

d) otevřený plamen

V případě nebezpečí požáru nebo požáru je personál povinen neprodleně učinit nezbytná opatření k jeho odstranění a zároveň oznámit vznik požáru správě.

Prostory s elektrickým zařízením musí být vybaveny hasicími přístroji typu OU-2 nebo OUB-3.

Závěr

K dnešnímu dni se bezdrátové sítě rozšířily, což vede k potřebě vyvinout technologii zabezpečení informací pro bezdrátové sítě.

Na základě výzkumu v rámci tohoto diplomového projektu lze vyvodit následující závěry:

bezdrátový přenos dat zahrnuje možnost neoprávněného připojení k přístupovým bodům, nepevnou komunikaci, odposlechy, k tomu je nutné zajistit vysoce kvalitní prostředky ochrany, protože se můžete připojit k síti z auta zaparkovaného na ulici.

revize softwaru ukázala, že k ochraně informací v bezdrátových sítích se používají specializované programy jako WEP a WPA.

k ochraně informací bezdrátových sítí je nejvhodnější používat program WPA, protože program WPA má vylepšené zabezpečení dat a řízení přístupu k bezdrátovým sítím, podporuje šifrování v souladu se standardem AES (Advanced Encryption Standard, rozšířený standard šifrování) , která má silnější kryptografický algoritmus.

Seznam použitých zdrojů

Aknorsky D. Něco málo o bezdrátových sítích // Cena počítače.-2003.-№48.

Berlín A.N. Telekomunikační sítě a zařízení. //Internetová univerzita informační technologie- INTUIT.ru, BINOM. Znalostní laboratoř, 2008. - 319 stran Systémy přenosu informací. Přednáškový kurz. /S.V. Kunegin - M.: vojenský útvar 33965, 1998, - 316 s. od nemocných.

DIY bezdrátová síť

Vishnevsky V.M., Lyakhov A.I., Portnoy S.L., Shakhnovich I.V. Širokopásmové bezdrátové sítě pro přenos informací. - 2005. - 205 s.

Obnova dat v bezdrátové síti //iXBT URL:#"justify">Gultyaev A.K. Obnova dat. 2. vyd. - Petrohrad: Petr, 2006. - 379 s.:

Zorin M., Pisarev Yu., Solovyov P. Bezdrátové sítě: současný stav a vyhlídky. - Připojte se! // Svět komunikace 1999. č. 4. s. 104.

Zaidel I. Flash disk by měl žít dlouho//R.LAB URL:#"justify">Zorin M., Pisarev Yu., Solovyov P. 2,4 GHz rádiové zařízení: výzvy a příležitosti // PCWeek/Russian Edition.1999.№ 20-21.pp.

Christian Barnes, Tony Boats, Donald Lloyd, Eric Ole, Jeffrey Poslans, David M. Zanjan, Neil O "Farrell., Ochrana před hackery bezdrátových sítí. - Vydavatel: IT Company, DMK press. - 2005. - 480s.

Merrit Maxim, David Pollino., Zabezpečení bezdrátové sítě. - 2004. - 288s

Molta D., Foster-Webster A. Testovací zařízení pro bezdrátové sítě LAN standardu 802.11 // Sítě a komunikační systémy.1999.№7.p.

Mitilino S. Zabezpečení bezdrátových sítí //ITC-Online.-2003.-№27 URL:#"justify">Norenkov, V.A. Trudonoshin - M.: Nakladatelství MSTU im. N.E. Bauman, 1998. 232 s.

Olifer V.G., Olifer N.A. Základy datových sítí. //Internetová univerzita informačních technologií - INTUIT.ru, 2005 - 176 stran.

Oleinik T. Bezdrátové sítě: současný stav a vyhlídky.//Domácí PC.-2003.-№10.

PC-3000 Flash software//ACE Lab URL:#"justify">

Proletarsky A. V., Baskakov I. V., Chirkov D. N. Bezdrátové sítě Wi-Fi. - 2007. - 216s

Proletarsky A.V., Baskakov I.V., Fedotov R.A. Organizace bezdrátových sítí. - Vydavatel: Moskva. - 2006. - 181s.

Sebastian Rapley. LAN bez omezení // PC Magazine/Russian Edition.1999.č.12.str.105.

Stakhanov S. Wi-Fi Data Recovery//Stakhanov Data Recovery Center URL:#"justify">Wireless Network Technologies//iXBT URL:#"justify">Nástroje pro obnovu dat//ACE Data Recovery Center URL:#"justify" > Frank J. Derfler, Jr., Les Freed. Wireless LAN //PC Magazine/Russian Edition.2000.№6. .

Jurij Pisarev. Bezdrátové sítě: na cestě k novým standardům // PC Magazine/Russian Edition. 1999. č. 10. s. 184.

Jurij Pisarev. Zabezpečení bezdrátové sítě // PC Magazine/Russian Edition.1999.№12.p. 97. Fi. Bezdrátová síťAutor: John Ross Vydavatel: NT Press Rok vydání: 2007 Stránky: 320fu: "bojové" metody hackování a ochrany bezdrátových sítí název

Seznam zkratek

WEP - Wired Equivalent Privacy - Wi-Fi Protected Access - Address Resolution Protocol - Advanced Encryption Standard - Temporal Key Integrity Protocol fi - Wireless Fidelity

Příloha A

Obrázek 22- Zabezpečení WPA

Obrázek 23 - Budování zabezpečené bezdrátové sítě

Obrázek 24 - Adaptér s podporou WPA

Diplomy, semestrální práce, abstrakty, kontrola...

Vývoj technologie pro ochranu informací bezdrátových sítí

Typ práce: Diplomová Předmět: Programování

původní práce

Výňatek z práce

Odbor školství, vědy a politiky mládeže Voroněžské oblasti Státní vzdělávací rozpočtová instituce středního odborného školství Voroněžské oblasti

"Voroněžská vysoká škola stavebních technologií"

(GOBU SPO VO "VTST")

Technická údržba výpočetní techniky a počítačových sítí.

ekonomická část S. N. Mukhina Norm control _ L. I. Korotkikh Head N. A. Merkulova Zpracováno (a) _ M. A. Sukhanov Voronezh 2014

1. Analýza hrozeb a bezdrátové zabezpečení

1.1 Hlavní hrozby pro bezdrátové sítě

1.3 Technologie prostředků informační bezpečnosti bezdrátových sítí

2.1 Nastavení programu WPA

2.2 Šifrování provozu

3. Organizační a ekonomická část

4. Bezpečnost a ochrana zdraví při práci

4.1 Elektrická bezpečnost při provozu technických prostředků

4.2 Požadavky na místnost

4.3 Protipožární opatření

Závěr

Seznam použitých zdrojů

Seznam zkratek

Příloha Anotace V tomto diplomovém projektu byl realizován vývoj technologie informační bezpečnosti pro bezdrátové sítě, kterou lze využít ke zvýšení ochrany počítače uživatele, podnikových sítí a malých kanceláří.

Výsledkem projektu byly zkušenosti s nastavováním softwarových produktů, které umožňují maximální ochranu bezdrátové sítě před běžnými hrozbami.

Diplomová práce se skládá ze čtyř částí, obsahuje dvacet čtyři obrázků, jednu tabulku.

bezpečnostní informační síť Úvod Bezdrátové sítě se již používají téměř ve všech oblastech činnosti. Široké použití bezdrátových sítí je způsobeno tím, že je lze používat nejen na osobních počítačích, ale také na telefonech, tabletech a noteboocích díky jejich pohodlí a relativně nízké ceně. Bezdrátové sítě musí splňovat řadu požadavků na kvalitu, rychlost, dosah a zabezpečení, přičemž zabezpečení je často tím nejdůležitějším faktorem.

Předmětem výzkumu jsou prostředky ochrany informací bezdrátových sítí Předmětem výzkumu je technologie ochrany informací bezdrátových sítí Účelem diplomového projektu je zkvalitnění ochrany informací bezdrátových sítí K dosažení tohoto cíle je třeba provést následující: úkoly byly vyřešeny:

zkoumal typy hrozeb a jejich negativní dopad na fungování bezdrátových sítí;

Analyzované softwarové produkty, které chrání informace bezdrátových sítí;

byla vyvinuta technologie prostředků ochrany informací bezdrátových sítí;

1. Analýza hrozeb a zabezpečení bezdrátové sítě Princip bezdrátového přenosu dat zahrnuje možnost neoprávněného připojení k přístupovým bodům. Při rozvoji podnikové sítě musí správci především zajistit nejen kvalitní pokrytí území kanceláří komunikací, ale také zajistit prostředky ochrany, protože k síti se můžete připojit i z auta zaparkovaného na ulici. .

1.1 Klíčové hrozby pro bezdrátové sítě Bezdrátové technologie fungující bez fyzických a logických omezení jejich kabelových protějšků vystavují síťovou infrastrukturu a uživatele významným hrozbám. Nejběžnější hrozby jsou:

Cizinci. Rogue jsou zařízení, která umožňují neoprávněný přístup k bezdrátové síti, často obcházejí bezpečnostní mechanismy definované firemní bezpečnostní politikou. Nejčastěji se jedná o neautorizované přístupové body. Statistiky ukazují, že hrozba „zvenčí“ je příčinou většiny narušení bezdrátové sítě. Jako cizí se může chovat domácí router s podporou Wi-Fi, softwarový přístupový bod Soft AP, notebook s povoleným kabelovým i bezdrátovým rozhraním současně, skener, projektor atd.

MITM útok (angl. Man in the middle, "man in the middle") - termín se používá v kryptografii a označuje situaci, kdy je kryptoanalytik (útočník) schopen číst a libovolně upravovat zprávy vyměňované mezi korespondenty a nikdo z nich nemůže uhodnout jeho přítomnost v kanálu. MITM útok je metoda kompromitace komunikačního kanálu, při které útočník po připojení ke kanálu mezi protistranami aktivně zasahuje do přenosového protokolu, maže, zkresluje informace nebo vnucuje nepravdivé informace. Útok typu Man in the middle obvykle začíná poslechem komunikačního kanálu a končí pokusem kryptoanalytika nahradit zachycenou zprávu, extrahovat z ní užitečné informace a přesměrovat ji na nějaký externí zdroj.

Příklad: Objekt A posílá nějaké informace objektu B. Objekt C má znalosti o struktuře a vlastnostech použité metody přenosu dat, plánuje tyto informace zachytit. K provedení útoku se C „představuje“ objektu, A – objektu B a objekt B – objektu A. Objekt A, vysílající informace objektu B, je tedy nevědomě posílá objekt C. Objekt C poté, co přijal informaci, odešle nějaké akce skutečnému objektu B. Objekt B se domnívá, že informace obdržel přímo od A.

Denial of Service − Útok denial of service lze dosáhnout několika způsoby. Pokud se hackerovi podaří navázat spojení s bezdrátovou sítí, jeho škodlivé činy mohou způsobit řadu takových vážných následků: například odesílání odpovědí na požadavky protokolu ARP (Address Resolution Protocol) na změnu tabulek ARP síťových zařízení za účelem narušení síťové směrování nebo zavedení neautorizovaného serveru DHCP (Dynamic Host Configuration Protocol) za účelem vydávání neplatných adres a síťových masek. Pokud hacker zjistí podrobnosti o nastavení bezdrátové sítě, může znovu připojit uživatele ke svému přístupovému bodu a ten bude odříznut od síťových zdrojů, které byly dostupné prostřednictvím „legitimního“ přístupového bodu.

Odposlech Anonymní škůdci mohou zachytit rádiový signál a dešifrovat přenášená data. Zařízení používané k odposlouchávání sítě nesmí být o nic sofistikovanější než zařízení používané pro normální přístup k této síti. Pro zachycení přenosu musí být útočník blízko vysílače. Odposlechy tohoto typu je téměř nemožné zaregistrovat a ještě obtížnější je zmařit. Použití antén a zesilovačů dává útočníkovi možnost být během procesu odposlechu ve značné vzdálenosti od cíle. Odposlech umožňuje shromažďovat informace v síti, která má být následně napadena. Primárním cílem útočníka je porozumět tomu, kdo síť používá, jaká data jsou na ní dostupná, jaké jsou možnosti síťového zařízení, v jakých okamžicích je nejvíce a nejméně intenzivně využíváno a jaké je území nasazení sítě. .

1.2 Zabezpečení bezdrátové sítě

Následující software lze použít k ochraně před nejběžnějšími hrozbami bezdrátové sítě

WPA (Wi-Fi Protected Access) je aktualizovaný certifikační program pro bezdrátová zařízení. Technologie WPA se skládá z několika komponent:

Protokol 802.1x – Obecný protokol pro ověřování, autorizaci a účtování (AAA)

Protokol EAP -- Extensible Authentication Protocol

Protokol TKIP - Temporal Key Integrity Protocol, další možnost překladu - Temporal Key Integrity Protocol

MIC -- kontrola kryptografické integrity paketů (kód integrity zprávy)

protokol RADIUS

Protokol RADIUS je navržen tak, aby fungoval ve spojení s ověřovacím serverem, kterým je obvykle server RADIUS. V tomto případě bezdrátové přístupové body pracují v podnikovém režimu.

Pokud v síti není žádný RADIUS server, pak roli autentizačního serveru plní samotný přístupový bod - tzv. režim

Jak bylo uvedeno výše, protokol 802.1x může provádět několik funkcí. V tomto případě nás zajímají funkce ověřování uživatelů a distribuce šifrovacích klíčů. Je třeba poznamenat, že autentizace probíhá „na úrovni portu“ – to znamená, že dokud není uživatel ověřen, smí odesílat/přijímat pakety týkající se pouze jeho autentizačního procesu (přihlašovacích údajů) a nic víc. A teprve po úspěšné autentizaci se otevře port zařízení (ať už jde o přístupový bod nebo chytrý přepínač) a uživatel bude mít přístup k síťovým zdrojům.

Autentizační funkce jsou přiřazeny protokolu EAP, který je sám o sobě pouze rámcem pro autentizační metody. Krása protokolu spočívá v tom, že jej lze velmi snadno implementovat na autentizátor (přístupový bod), protože nepotřebuje znát žádné specifické vlastnosti různých autentizačních metod. Autentizátor slouží pouze jako přenosové spojení mezi klientem a autentizačním serverem. Existuje několik způsobů ověřování:

EAP-SIM, EAP-AKA -- používá se v mobilních sítích GSM

LEAP je vlastní metoda od Cisco systems

EAP-MD5 -- nejjednodušší metoda, podobná CHAP (není robustní)

EAP-MSCHAP V2 -- metoda ověřování na základě uživatelského jména/hesla v sítích MS

EAP-TLS -- autentizace digitálním certifikátem

EAP-SecureID -- metoda založená na OTP

Autentizační schéma má tři složky:

Suplicant -- software běžící na klientském počítači, který se pokouší připojit k síti

Authenticator -- přístupový bod, autentizátor (bezdrátový přístupový bod nebo drátový přepínač podporující protokol 802.1x)

Authentication Server -- Autentizační server (obvykle RADIUS server).

Proces ověřování se skládá z následujících kroků:

Klient může odeslat požadavek na ověření (zprávu EAP-start) směrem k přístupovému bodu

V odezvě klient odešle paket s odpovědí EAP s potřebnými daty, který přístupový bod (autenticátor) přesměruje na server Radius (ověřovací server).

Autentizační server odešle paket výzvy (požadavek na informaci o identitě klienta) autentizátorovi (přístupovému bodu). Autentizátor jej předá klientovi.

V další fázi autentizační server po obdržení nezbytných informací od klienta povolí (přijme) nebo zamítne (odmítne) tento přístup a předá tuto zprávu autentizátorovi. Autentizátor (přístupový bod) otevře port pro žadatele, pokud je přijata kladná odpověď (Accept) ze serveru RADIUS.

Port se otevře, autentizátor odešle klientovi zprávu o úspěchu a klient získá přístup do sítě.

Po odpojení klienta přejde port na přístupovém bodu opět do stavu „zavřeno“.

Prvotní autentizace je založena na společných datech, o kterých ví klient i autentizační server (např. přihlašovací jméno / heslo, certifikát atd.) – v této fázi je vygenerován Master Key. Pomocí hlavního klíče vygeneruje autentizační server a klient párový hlavní klíč, který je předán autentizátorovi z autentizačního serveru. A již na základě Pairwise Master Key se generují všechny ostatní dynamické klíče, které uzavírají přenášený provoz. Je třeba poznamenat, že i samotný Pairwise Master Key podléhá dynamickým změnám.

WEP (Wired Equivalent Privacy) je stará metoda zabezpečení sítě. Je stále k dispozici pro podporu starších zařízení, ale jeho použití je zastaralé. Když je povoleno WEP, je nakonfigurován klíč zabezpečení sítě. Tento klíč zašifruje informace, které počítač přenáší po síti do jiných počítačů. Ochrana WEP je však poměrně snadno prolomitelná.

Existují dva typy metod zabezpečení WEP: ověřování otevřeného systému a ověřování pomocí předsdíleného klíče. Ani jedna neposkytuje vysokou úroveň zabezpečení, ale metoda ověřování sdíleným klíčem je méně bezpečná. U většiny počítačů a bezdrátových přístupových bodů je ověřovací klíč sdíleného klíče stejný jako statický šifrovací klíč WEP, který se používá k zabezpečení sítě. Útočník, který zachytí zprávy za účelem úspěšného ověření veřejným klíčem, může pomocí analytických nástrojů určit ověřovací klíč veřejného klíče a poté statický šifrovací klíč WEP. Jakmile je určen statický šifrovací klíč WEP, může útočník získat plný přístup k síti. Z tohoto důvodu tato verze systému Windows automaticky nepodporuje konfiguraci sítě prostřednictvím ověřování pomocí předem sdíleného klíče WEP.

Analýza hrozeb pro bezdrátové sítě ukázala, že nejvíce frustrovanými hrozbami jsou cizí lidé, nepevná komunikace, odepření sezení a odposlouchávání.

2. Technologie prostředků ochrany informací bezdrátových sítí

2.1 Nastavení programu WPA

Možnost konfigurace WPA v systému Windows XP se objeví po instalaci aktualizace Service Pack verze 2 (nebo odpovídající aktualizace z webu společnosti Microsoft).

Obrázek 1 – Okno vlastností bezdrátového adaptéru

Service Pack 2 výrazně rozšiřuje funkce a pohodlí nastavení bezdrátové sítě. Přestože se položky hlavního menu nezměnily, přibyly k nim nové.

Šifrování se konfiguruje standardním způsobem: nejprve vyberte ikonu bezdrátového adaptéru a poté klikněte na tlačítko Vlastnosti.

Obrázek 2 - Záložka Bezdrátové sítě Přejděte na záložku Bezdrátové sítě a vyberte síť, kterou budeme konfigurovat (obvykle je to jedna). Klepněte na tlačítko Vlastnosti.

Obrázek 3- Okno Vlastnosti V okně, které se objeví, vyberte WPA-None, tedy WPA s předdefinovanými klíči (pokud zvolíte Kompatibilní, povolíme režim konfigurace šifrování WEP, který již byl popsán výše).

Obrázek 4-Okno Vlastnosti Vyberte AES nebo TKIP (pokud všechna zařízení v síti podporují AES, je lepší jej vybrat) a dvakrát zadejte klíč WPA (druhý do pole pro potvrzení). Nejlépe nějaké dlouhé a těžko sbíratelné.

Po kliknutí na Ok lze také nastavení šifrování WPA považovat za dokončené.

Na závěr pár slov o průvodci, který se objevil s aktualizací Service Pack 2

Obrázek 5 - Nastavení bezdrátové sítě.

Ve vlastnostech síťového adaptéru vyberte tlačítko Bezdrátové sítě.

Obrázek 6-Vlastnosti adaptéru V okně, které se objeví, klikněte na Nastavit bezdrátovou síť.

Obrázek 7-Wireless Wizard Zde je nám řečeno, kde se nacházíme. Klepněte na tlačítko Další.

Obrázek 8-Wireless Network Wizard Vyberte možnost Set up a wireless network. (Pokud vyberete Přidat, můžete vytvořit profily pro další počítače ve stejné bezdrátové síti.)

Obrázek 10-Wireless Network Wizard V okně, které se zobrazí, nastavte SSID sítě, aktivujte, pokud je to možné, šifrování WPA a vyberte metodu zadání klíče. Generování lze ponechat na operačním systému nebo lze klíče zadat ručně. Pokud je vybráno první, objeví se okno s výzvou k zadání požadovaný klíč(nebo klíče).

Obrázek 11 – Okno výběru metody nastavení sítě Existují dva způsoby, jak uložit nastavení bezdrátové sítě:

V textovém souboru pro následné ruční zadávání na jiných strojích.

Uložení profilu na USB flash disk pro automatický vstup na jiných počítačích se systémem Windows XP s integrovanou aktualizací Service Pack verze 2.

Obrázek 12- Ukládání parametrů do flash paměti Pokud je režim ukládání nastaven na Flash, pak v dalším okně budete vyzváni k vložení Flash média a jeho výběru z nabídky.

Obrázek 13-Instalace dokončena

Obrázek 14 - Konfigurovaná nastavení sítě

... zobrazí se textový soubor s parametry nakonfigurované sítě. Upozorňuji na skutečnost, že jsou generovány náhodné a dlouhé (tj. dobré) klíče, ale jako šifrovací algoritmus se používá TKIP. Algoritmus AES lze později ručně zapnout v nastavení, jak je popsáno výše.

2.3 Šifrování provozu Jakýkoli přístupový bod umožňuje povolit režim šifrování provozu přenášeného přes bezdrátovou síť. Šifrování provozu skrývá data uživatelů sítě a útočníkům velmi ztěžuje dešifrování dat přenášených přes šifrovanou síť. Existuje několik metod šifrování, z nichž nejběžnější jsou WEP a bezpečnější WPA a WPA-2. Metoda šifrování WEP není podle dnešních standardů dostatečně silná, takže moderní přístupové body 802.11g již používají vylepšenou metodu šifrování WPA. Zvažte nastavení šifrování WPA. Na ovládacím panelu přístupového bodu povolte režim „WPA-PSK“ (nejlépe „WPA2-PSK“), někdy z nich možná budete muset vybrat osobní nebo zjednodušené podrežimy, protože ostatní nemusí ve vaší síti fungovat bez vyhrazeného server. V režimu WPA je třeba zvolit šifrovací algoritmus "AES" nebo "TCIP" a zadat šifrovací klíč, kterým mohou být libovolné znaky (doporučuje se použít klíč maximální délky, znaky smíšené s čísly).

Obrázek 15 – Konfigurace režimu WPA-PSK na přístupovém bodu Všechny adaptéry Wi-Fi jsou nakonfigurovány stejným způsobem. Konkrétně na každém počítači / notebooku ve vlastnostech "Bezdrátové připojení k síti" vyberte ověřování "WPA-PSK" a šifrování dat "AES" nebo "TKIP" v závislosti na šifrování zvoleném na přístupovém bodu.

Obrázek 16 – Konfigurace síťového adaptéru v režimu WPA-PSK

Krok 1 Otevřete webový prohlížeč, do adresního řádku zadejte IP adresu routeru (výchozí 192.168.1.1) a stiskněte Enter .

Obrázek 17-Okno prohlížeče Krok 2 Zadejte uživatelské jméno a heslo na přihlašovací stránce, výchozí uživatelské jméno a heslo je admin .

Obrázek 19-Okno Nastavení bezdrátové sítě SSID (Název bezdrátové sítě): Nastavte nový název pro vaši bezdrátovou síť Kanál: 1, 6 nebo 11 je lepší než Auto.

Zaškrtněte políčka „Enable Wireless Router Radio“ a „Enable SSID Broadcast“.

Poznámka: Po kliknutí na tlačítko Uložit se zobrazí zpráva „Změny nastavení bezdrátové sítě se projeví až po restartování počítače, kliknutím sem restartujte počítač nyní“. Router není nutné restartovat, dokud nedokončíte všechna nastavení bezdrátové sítě.

Krok 5 Z nabídky na levé straně vyberte Wireless -> Wireless Security, na pravé straně povolte možnost WPA - PSK / WPA 2-PSK.

Obrázek 20 - Konfigurace WPA-PSK

Verze: WPA-PSK nebo WPA 2-PSK

Šifrování: TKIP nebo AES

Heslo PSK: Zadejte heslo (délka předsdíleného klíče je 8 až 63 znaků.)

Krok 7 Z nabídky vlevo vyberte Systems Tools -> Reboot. Restartujte router, aby se nastavení projevila.

Obrázek 21 - Utility

3. Organizační a ekonomická část Cena adaptéru byla vybrána porovnáním tří ceníků firem jako Sani, Ret a DNS-SHOP, ceny jsou uvedeny v tabulce 1


		Název produktu

		Síťový adaptér Powerline TP-Link TL-WPA2220KIT
	1 870 rublů /web, 5/.	Síťový adaptér Powerline TP-Link TL-WPA2220KIT

Tabulka 1-Porovnání tří ceníků Analýzou a porovnáním cen jsem dospěl k závěru, že je nejvýhodnější koupit tento adaptér s podporou WPA v obchodě PET, protože cena byla 1841 rublů.

4. Bezpečnost a ochrana zdraví při práci Obecná ustanovení.

1. Poučení o ochraně práce je hlavním dokumentem, který stanoví pro pracovníky pravidla chování při práci a požadavky na bezpečný výkon práce.

2. Znalost Pokynů na ochranu práce je povinná pro pracovníky všech kategorií a skupin dovedností, jakož i jejich přímé nadřízené.

4. Každý pracovník je povinen:

dodržovat požadavky tohoto Pokynu;

být si vědom osobní odpovědnosti za nedodržení bezpečnostních požadavků;

zajistit bezpečnost ochranných prostředků, nářadí, přístrojů, hasicích prostředků a dokumentace o ochraně práce na svém pracovišti.

JE ZAKÁZÁNO provádět příkazy, které jsou v rozporu s požadavky tohoto Pokynu a "Meziodvětvovými pravidly ochrany práce (bezpečnostními pravidly) pro provoz elektrických instalací" POT R M-016-2001 (RD 153-34.0-03.150-00).

Každý počítač je elektrický spotřebič a představuje potenciální hrozbu. Proto při práci s počítačem musíte dodržovat bezpečnostní požadavky.

Před zahájením práce byste se měli ujistit, že kabeláž, vypínače, zásuvky, které připojují zařízení k síti, jsou v dobrém stavu, že počítač je uzemněn a že funguje. Je nepřípustné používat v napájecím systému nekvalitní a opotřebované komponenty, stejně jako jejich náhradní náhražky: zásuvky, prodlužovací kabely, adaptéry, odpaliště. Je nepřípustné sami upravovat zásuvky pro připojení zástrček, které splňují jiné normy. Elektrické kontakty zásuvek by neměly být vystaveny mechanickému namáhání spojenému s připojením masivních součástí (adaptéry, T-kusy atd.). Všechny napájecí kabely a vodiče by měly být umístěny na zadní straně počítače a periferních zařízení. Jejich umístění v pracovní oblasti uživatele je nepřijatelné.

Je zakázáno provádět jakékoli operace související s připojováním, odpojováním nebo přemisťováním součástí počítačového systému bez předchozího vypnutí napájení. Počítač by neměl být instalován v blízkosti elektrických ohřívačů nebo topných systémů. Je nepřijatelné umísťovat cizí předměty na systémovou jednotku, monitor a periferní zařízení: knihy, listy papíru, ubrousky, kryty proti prachu. To má za následek trvalé nebo dočasné zablokování ventilačních otvorů. Nevkládejte cizí předměty do provozních nebo ventilačních otvorů součástí počítačového systému.

Některé komponenty počítačů jsou schopny udržet vysoké napětí po dlouhou dobu po napájení systémové jednotky. Všechny součásti systémové jednotky dostávají elektřinu z napájecího zdroje. Napájecí zdroj PC je samostatný uzel umístěný v horní části systémové jednotky. Bezpečnostní předpisy nezakazují otevření systémové jednotky například při instalaci dalších interních zařízení nebo jejich upgradu, to se však netýká napájecího zdroje. Počítačový zdroj je zdrojem zvýšeného nebezpečí požáru, proto jej lze otevřít a opravit pouze ve specializovaných dílnách. Zdroj má vestavěný ventilátor a větrací otvory. V tomto ohledu se v něm nevyhnutelně hromadí prach, což může způsobit zkrat. Doporučuje se pravidelně (jednou - dvakrát ročně) používat vysavač k odstranění prachu z napájecího zdroje ventilačními otvory bez otevření systémové jednotky. Zvláště důležité je provést tuto operaci před každým transportem nebo nakloněním systémové jednotky.

Systém hygienických požadavků. Dlouhodobá práce s počítačem může vést ke zdravotním poruchám. Krátkodobá práce s nainstalovaným počítačem s hrubým porušením hygienických norem a pravidel vede ke zvýšené únavě. Škodlivý účinek počítačového systému na lidské tělo je komplexní. Nastavení monitoru ovlivňuje zrakové orgány. Vybavení pracoviště ovlivňuje orgány pohybového aparátu. Povaha umístění zařízení v počítačové učebně a způsob jeho použití ovlivňuje jak celkový psychofyziologický stav těla, tak orgány zraku.

požadavky na videosystém. V minulosti byl monitor považován především za zdroj škodlivého záření, především na oči. Dnes je tento přístup považován za nedostatečný. Kromě škodlivého elektromagnetického záření (které je u moderních monitorů sníženo na relativně bezpečnou úroveň) je třeba brát v úvahu parametry kvality obrazu, které určuje nejen monitor, ale také grafický adaptér, tedy celý video systém jako celek.

Důležitým parametrem je snímková frekvence, která závisí na vlastnostech monitoru, grafického adaptéru a softwarovém nastavení videosystému. Pro práci s texty je minimální snímková frekvence 72 Hz. U grafiky se doporučuje snímková frekvence 85 Hz nebo vyšší.

Monitor by měl být namontován přímo před uživatelem a neměl by vyžadovat otáčení hlavy nebo těla.

Klávesnice by měla být umístěna v takové výšce, aby na ní byly prsty volně, bez napětí a úhel mezi ramenem a předloktím byl 100 ° - 110 °. Pro práci se doporučuje používat speciální počítačové stoly s výsuvnými policemi pro klávesnici. Při dlouhodobém používání klávesnice je možná únava šlach zápěstního kloubu. Je známa závažná nemoc z povolání - syndrom karpálního tunelu, spojený s nesprávným postavením rukou na klávesnici. Aby se zabránilo nadměrnému namáhání ruky, je žádoucí opatřit pracovní židli područkami, jejichž výška, měřená od podlahy, se shoduje s výškou klávesnice.

4.1 Požadavky na elektrickou bezpečnost Při používání výpočetní techniky a periferních zařízení musí každý zaměstnanec pečlivě a pečlivě zacházet s elektrickými rozvody, přístroji a přístroji a vždy pamatovat na to, že zanedbání bezpečnostních pravidel ohrožuje jak zdraví, tak lidský život Abyste se vyhnuli úrazu elektrickým proudem, musíte vědět a dodržovat následující pravidla pro bezpečné používání elektřiny:

1. Na svém pracovišti je nutné neustále sledovat dobrý stav elektrických rozvodů, vypínačů, zásuvek, kterými je zařízení připojeno k síti, a uzemnění. Pokud je zjištěna porucha, okamžitě vypněte napájení elektrického zařízení, informujte administrativu. Pokračování v práci je možné až po odstranění závady.

2. Aby nedošlo k poškození izolace vodičů a vzniku zkratů, není dovoleno:

a) pověsit něco na dráty;

b) přelakovat a nabílit šňůry a dráty;

c) pokládat dráty a šňůry pro plynové a vodovodní potrubí, pro baterie topného systému;

d) vytáhněte zástrčku ze zásuvky za šňůru, na tělo zástrčky je třeba působit silou.

3. Aby nedošlo k úrazu elektrickým proudem, je zakázáno:

a) často zbytečně zapínat a vypínat počítač;

b) dotkněte se obrazovky a zadní strany počítačových bloků;

c) práce na počítačovém a periferním zařízení mokrýma rukama;

e) pokládat cizí předměty na počítačová zařízení a periferní zařízení.

4. Je zakázáno kontrolovat provozuschopnost elektrických zařízení v prostorách nevhodných pro provoz s vodivými podlahami, vlhkými, které neumožňují uzemnění přístupných kovových částí.

5. Opravy elektrického zařízení provádějí pouze odborní technici při dodržení nezbytných technických požadavků.

6. Je nepřípustné provádět opravy výpočetní techniky a periferních zařízení pod napětím.

7. Aby nedošlo k úrazu elektrickým proudem, nedotýkejte se při používání elektrických spotřebičů současně potrubí, radiátorů, kovových konstrukcí spojených se zemí.

8. Buďte obzvláště opatrní při používání elektřiny ve vlhkých místnostech.

9. V případě zjištění přerušeného drátu je nutné o tom neprodleně informovat správu, učinit opatření k vyloučení osob z kontaktu s ním. Dotyk drátu je životu nebezpečný.

10. Záchrana postiženého při úrazu elektrickým proudem závisí především na rychlosti jeho vysvobození z působení proudu.

Ve všech případech zasažení člověka elektrickým proudem je okamžitě přivolán lékař. Před příjezdem lékaře je nutné bez ztráty času začít poskytovat první pomoc oběti.

Je nutné okamžitě zahájit umělé dýchání, z nichž nejúčinnější je metoda? z úst do úst nebo? z úst do nosu, stejně jako vnější masáž srdce.

Umělé dýchání postiženému elektrickým proudem se provádí do příjezdu lékaře.

4.2 Požadavky na prostory Prostory musí mít přirozené a umělé osvětlení. Umístění pracovišť za monitory pro dospělé uživatele v suterénu není povoleno.

Plocha na jedno pracoviště s počítačem pro dospělé uživatele by měla být alespoň 6 m² a objem by měl být alespoň -20 m3.

Místnosti s počítači by měly být vybaveny topením, klimatizací nebo efektivním přívodem a odvodem vzduchu.

Pro vnitřní výzdobu interiéru místností s počítači by měly být použity difúzně reflexní materiály s koeficientem odrazu pro strop 0,7-0,8; pro stěny - 0,5-0,6; pro podlahu - 0,3-0,5.

Povrch podlahy v prostorách, kde se používají počítače, musí být rovný, bez výmolů, protiskluzový, snadno čistitelný a mokrý, antistatický??? nádobí.

V místnosti by měla být lékárnička, hasicí přístroj s oxidem uhličitým k uhašení požáru.

4.3 Požadavky na požární bezpečnost Na pracovišti je zakázáno mít hořlavé látky.

a) zapálit oheň

b) zapněte elektrické zařízení, pokud je v místnosti cítit plyn;

c) kouř;

d) něco sušit na ohřívačích;

e) Uzavřete ventilační otvory v elektrických zařízeních Zdroje vznícení jsou:

a) jiskry z výboje statické elektřiny b) jiskry z elektrického zařízení c) jiskry z nárazu a tření d) otevřený plamen V případě nebezpečí požáru nebo požáru musí personál neprodleně učinit nezbytná opatření k jeho odstranění, současně včas informovat správu o požáru.

Prostory s elektrickým zařízením musí být vybaveny hasicími přístroji typu OU-2 nebo OUB-3.

Závěr K dnešnímu dni se bezdrátové sítě rozšířily, což vede k potřebě vyvinout technologii zabezpečení informací pro bezdrátové sítě.

Na základě výzkumu v rámci tohoto diplomového projektu lze vyvodit následující závěry:

revize softwaru ukázala, že k ochraně informací v bezdrátových sítích se používají specializované programy jako WEP a WPA.

Seznam použitých zdrojů Aknorsky D. Něco málo o bezdrátových sítích // Cena počítače.-2003.-№ 48.

Berlin A.N. Telekomunikační sítě a zařízení. //Internetová univerzita informačních technologií - INTUIT.ru, BINOM. Znalostní laboratoř, 2008. - 319 stran Systémy přenosu informací. Přednáškový kurz. /S.V. Kunegin - M.: v/h 33 965, 1998, - 316 s. od nemocných.

DIY bezdrátová síť

Vishnevsky V.M., Lyakhov A.I., Portnoy S.L., Shakhnovich I.V. Širokopásmové bezdrátové sítě pro přenos informací. - 2005. - 205 s.

Bezdrátová obnova dat //iXBT URL: http://www.ixbt.com/storage/faq-flash-p0.shtml

Obnova dat Gultyaev A.K. 2. vyd. - Petrohrad: Petr, 2006. - 379 s.:

Zorin M., Pisarev Yu., Solovyov P. Bezdrátové sítě: současný stav a vyhlídky. — Připojte se! // Svět komunikace 1999. č. 4. s. 104.

Zaidel I. Flash disk by měl žít dlouho//R.LAB URL: http://rlab.ru/doc/long_live_flash.html

Zorin M., Pisarev Yu., Solovyov P. Rádiová zařízení v pásmu 2,4 GHz: úkoly a příležitosti // PCWeek/Russian Edition.1999.č. 20−21.s.

…Christian Barnes, Tony Boats, Donald Lloyd, Eric Oule, Jeffrey Poslans, David M. Zanjan, Neil O'Farrell., Ochrana bezdrátových sítí před hackery. — Vydavatel: IT Company, tisk DMK. - 2005. - 480. léta.

Merrit Maxim, David Pollino., Zabezpečení bezdrátové sítě. - 2004. - 288s Molta D., Foster-Webster A. Testovací zařízení pro bezdrátové sítě LAN standardu 802.11 // Sítě a komunikační systémy 1999. č. 7. s.

Bezdrátové sítě se začínají používat téměř po celém světě. To je způsobeno jejich pohodlím, flexibilitou a relativně nízkou cenou. Bezdrátové technologie musí splňovat řadu požadavků na kvalitu, rychlost, dosah a zabezpečení, přičemž zabezpečení je často tím nejdůležitějším faktorem.

Složitost zabezpečení bezdrátové sítě je zřejmá. Pokud v drátových sítích musí útočník nejprve získat fyzický přístup ke kabelovému systému nebo koncovým zařízením, pak v bezdrátových sítích tato podmínka zmizí sama od sebe: protože data jsou přenášena „vzduchem“, konvenční přijímač instalovaný v dosahu sítě stačí získat přístup (viz obr. část 2.2.3).

Navzdory rozdílům v implementaci je však přístup k zabezpečení bezdrátových sítí a jejich drátových protějšků identický: existují podobné požadavky na zajištění důvěrnosti a integrity přenášených dat a samozřejmě na autentizaci bezdrátových klientů i přístupových bodů.

Obecná informace

Stejně jako všechny standardy IEEE 802 funguje základní standard bezdrátové sítě LAN IEEE 802.11 na spodních dvou vrstvách modelu ISO/OSI, fyzické vrstvě a vrstvě datového spojení. Síťová aplikace, síťový operační systém nebo protokol (jako je TCP/IP) bude fungovat stejně dobře v síti 802.11 jako v síti Ethernet.

Základní architektura, vlastnosti a služby jsou definovány v základním standardu 802.11 (viz část 4.2), který definuje dva režimy provozu bezdrátové sítě – režim klient/server (nebo režim infrastruktury) a point-to-point (Ad-hoc). režimu.

V režimu klient/server se bezdrátová síť skládá z alespoň jednoho AP (přístupového bodu) připojeného ke kabelové síti a sady bezdrátových koncových stanic. Tato konfigurace se nazývá základní sadu služeb BSS(Základní servisní sada). Dvě nebo více BSS tvořící jeden formulář podsítě rozšířený soubor služeb EZS(Rozšířená sada služeb). Protože většina bezdrátových stanic potřebuje přístup k souborovým serverům, tiskárnám, internetu dostupnému v kabelové síti LAN, budou pracovat v režimu klient/server.

Režim point-to-point je jednoduchá síť, ve které je komunikace mezi mnoha stanicemi navázána přímo, bez použití speciálního přístupového bodu. Tento režim je užitečný, když není vytvořena infrastruktura bezdrátové sítě (například v hotelu, výstavní síni, na letišti).

Na fyzické úrovni Standard 802.11 definuje 2 širokopásmové vysokofrekvenční přenosové metody a 1 infračervený. RF metody pracují v pásmu 2,4 GHz ISM a typicky používají pásmo 83 MHz od 2,400 GHz do 2,483 GHz. Technologie širokopásmový signál, používané v radiofrekvenčních metodách, zvyšují spolehlivost, propustnost, umožňují mnoha nesouvisejícím zařízením sdílet stejné frekvenční pásmo s minimálním vzájemným rušením.

Hlavním přírůstkem standardu 802.11b k hlavnímu standardu je podpora dvou nových datových rychlostí – 5,5 a 11 Mbps. Pro dosažení těchto rychlostí byla zvolena metoda Direct Sequence Spread Spectrum (DSSS).

Vrstva Data Link standardu 802.11 se skládá ze dvou podúrovní: řízení logického spojení LLC (Logical Link Control) a řízení přístupu k médiím MAC (Media Access Control).

Zabezpečení bezdrátových sítí

Bezpečnostní systém WLAN založený na protokolu WEP (Wired Equivalent Privacy) původního standardu 802.11 má značné nevýhody. Objevily se však efektivnější technologie zabezpečení informací WLAN, které jsou popsány v WPA (Wi-Fi

Protected Access) od Wi-Fi Alliance a standardu 802.1 a IEEE a jsou navrženy tak, aby řešily nedostatky standardu 802.11. Vzhledem k tomu, že proces vývoje standardu 802.1I byl příliš dlouhý, byla Wi-Fi Alliance nucena v roce 2002 nabídnout vlastní technologii zabezpečení informací WLAN – standard WPA.

Standard WPA je velmi atraktivní, protože je relativně snadno implementovatelný a umožňuje chránit současné WLAN. WPA a 802.1 AND jsou vzájemně kompatibilní, takže použití produktů podporujících WPA lze považovat za počáteční fázi přechodu na bezpečnostní systém založený na standardu 802.1 AND (viz část 4.2).

Mezi technologiemi 802.1 a WPA je mnoho podobností. Definují například identickou architekturu zabezpečení s vylepšenými mechanismy autentizace uživatelů a protokoly distribuce a obnovy klíčů. Jsou tu ale i podstatné rozdíly. Technologie WPA je například založena na protokolu dynamického klíče TKIP (Temporal Key Integrity Protocol), jehož podporu lze implementovat do většiny zařízení WLAN aktualizací jejich softwaru, a funkčnější koncept standardu 802.1 umožňuje použití nový standard šifrování AES (Advanced Encryption Standard), který je pouze kompatibilní nejnovější vybavení pro WLAN.

Standard WPA umožňuje použití bezpečnostních protokolů 802.Ix, EAP, TKIP a RADIUS.

Mechanismus ověřování uživatele je založen na protokolu řízení přístupu 802.1x (určeném pro kabelové sítě) a protokolu EAP (Extensible Authentication Protocol). To druhé umožňuje správce sítě povolit algoritmy ověřování uživatelů prostřednictvím serveru RADIUS (viz kapitola 13).

Funkce důvěrnosti a integrity dat jsou založeny na protokolu TKIP, který na rozdíl od protokolu WEP používá efektivnější mechanismus správy klíčů, ale stejný algoritmus RC4 pro šifrování dat. Síťová zařízení podle protokolu TKIP pracují s 48bitovým inicializačním vektorem (oproti 24bitovému inicializačnímu vektoru protokolu WEP) a implementují pravidla pro změnu sekvence jeho bitů, což eliminuje opětovné použití klíče a útoky na opakované přehrávání. .

Protokol TKIP zajišťuje generování nového klíče pro každý přenášený paket a vylepšenou kontrolu integrity zprávy pomocí kryptografického kontrolního součtu MIC (Message Integrity Code), který zabraňuje hackerům měnit obsah přenášených paketů.

Systém zabezpečení sítě Standard WPA funguje ve dvou režimech: PSK (Pre-Shared Key) a Enterprise (firemní). Pro nasazení systému běžícího v režimu PSK je vyžadováno sdílené heslo. Takový systém se snadno instaluje, ale nechrání WLAN tak dobře jako systém běžící v režimu Enterprise s dynamickou hierarchií klíčů. Ačkoli TKIP pracuje se stejnou blokovou šifrou RC4 jako specifikace WEP, WPA je bezpečnější než WPA.

Aby byly přístupové body WLAN kompatibilní se standardem WPA, stačí upgradovat jejich software. Za překlad síťové infrastruktury 802.Hi bude vyžadovat nový hardware, který podporuje šifrovací algoritmus AES, protože šifrování AES velmi zatěžuje CPU bezdrátového klientského zařízení.

Aby podnikové přístupové body fungovaly v systému zabezpečení sítě standardu WPA nebo 802.1 AND, musí podporovat autentizaci uživatele protokolem RADIUS a implementovat metodu šifrování poskytovanou standardem - TKIP nebo AES, což bude vyžadovat, aby jejich software být upgradován. A dalším požadavkem je rychlé opětovné ověření uživatelů po odpojení od sítě. To je důležité zejména pro normální fungování aplikací v reálném čase.

Pokud server RADIUS používaný k řízení přístupu uživatelů kabelové sítě podporuje požadované metody ověřování EAP, lze jej také použít k ověřování uživatelů sítě WLAN. V opačném případě musíte nainstalovat server WLAN RADIUS. Tento server funguje následovně: nejprve zkontroluje autentizační informace uživatele (shoda s obsahem jeho databáze o jeho identifikátorech a heslech) nebo jeho digitální certifikát a poté aktivuje dynamické generování šifrovacích klíčů přístupovým bodem a klientem. systém pro každou komunikační relaci.

Technologie WPA vyžaduje mechanismus EAP-TLS (Transport Layer Security), zatímco standard IEEE 802.1 P nespecifikuje použití konkrétních metod ověřování EAP. Volba autentizační metody EAP je dána specifiky práce klientské aplikace a síťovou architekturu. Aby notebooky a kapesní počítače fungovaly se zabezpečením WPA nebo 802.1 A sítě, musí být vybaveny klientskými programy, které podporují 802.1x.

Nejjednodušší z hlediska nasazení je systém zabezpečení sítě WPA režim PS K. Je určen pro malé a domácí kanceláře a nepotřebuje server RADIUS a používá MIC k šifrování paketů a výpočtu kryptografického kontrolního součtu MIC. PSK hesla. Jím poskytovaná úroveň zabezpečení síťových informací je pro většinu výše uvedených úřadů zcela dostatečná. Pro zlepšení účinnosti ochrany údajů by se měla používat hesla obsahující alespoň 20 znaků.

Podnikům se doporučuje implementovat systémy zabezpečení sítě WPA se servery RADIUS. Většina společností preferuje tyto systémy, protože řešení v režimu PSK se obtížněji spravují a jsou zranitelnější vůči útokům hackerů.

Dokud nebudou na trhu dostupné funkce 802.1 a 802.1, zůstane WPA nejvhodnějším standardem pro zabezpečení sítí WLAN.

Standardy WPA a 802.1 jsou dostatečně spolehlivé a poskytují vysokou úroveň zabezpečení bezdrátových sítí. Přesto jeden bezpečnostní protokol nestačí – pozornost je třeba věnovat i správné konstrukci a konfiguraci sítě.

Fyzická ochrana. Při nasazování sítě Wi-Fi musíte fyzicky omezit přístup k bezdrátovým bodům.

Správné nastavení. Paradoxem moderních bezdrátových sítí je, že uživatelé ne vždy aktivují a nepoužívají vestavěné mechanismy ověřování a šifrování.

Ochrana uživatelských zařízení. Nespoléhejte se výhradně na vestavěné mechanismy ochrany sítě. Nejoptimálnější metodou je obrana do hloubky, jejíž první linií jsou prostředky ochrany instalované na stacionárním PC, notebooku nebo PDA.

tradiční opatření. Efektivní práce počítač v síti je nemyslitelný bez klasických ochranných opatření - včasné instalace aktualizací, používání ochranných mechanismů zabudovaných v OS a aplikacích a také antivirů. Tato opatření však dnes nestačí, neboť jsou zaměřena na ochranu před již známými hrozbami.

Monitorování sítě. Slabým článkem v podnikové síti jsou neautorizované přístupové body. Aktuální je problém lokalizace neautorizovaných přístupových bodů. Speciální nástroje pro lokalizaci přístupových bodů umožňují graficky zobrazit polohu „mimozemského“ terminálu na mapě patra nebo budovy. Pokud klasické metody nezachrání před narušením, měly by být použity systémy detekce narušení.

Agenti URM. Mnoho přístupových bodů pracuje v otevřeném režimu, proto je nutné používat metody ochrany přenášených dat. Na chráněném počítači musí být nainstalován klient UR1M, který převezme řešení této úlohy. Téměř všechny moderní operační systémy (například Yindows XP) takové softwarové komponenty obsahují.