Hi-Tech  ->  Сети и связь  | Автор: | Добавлено: 2015-05-28

Защита беспроводной компьютерной сети Wi-Fi

Интеграция вычислительной, коммуникационной и мобильной технологий повышает спрос на беспроводные сети, позволяющие неизменно оставаться на связи. Беспроводные сети повышают эффективность работы, обеспечивая мгновенный доступ к цифровым ресурсам.

Основным назначением сетевых решений является повышение эффективности управления и функционирования лицея, использующего средства коммуникации для обмена информацией и управления. Повышение эффективности достигается путём создания сети с большим количеством сервисных возможностей. В область задач, рассматриваемых в момент реализации сети, входит целый перечень вопросов, связанных с созданием, модификацией защищённых сетей.

Целью данной работы является: рассмотрение теоретических и практических вопросов использования технологии построения защищённых компьютерных сетей; приобретение умений и навыков развёртывания и администрирования программного обеспечения; приобретение опыта в организации сетевого взаимодействия в Державинском лицее.

Что такое беспроводная сеть

Прежде чем приступать к вопросу защиты беспроводной сети, необходимо знать историю её создания, понять основные принципы ее организации и работы, иметь представление о стандартах, используемых в беспроводных компьютерных сетях. Все эти вопросы подробно были изложены в работе «Беспроводная компьютерная сеть Wi-Fi», представленной на городской конференции молодых исследователей «Шаг в будущее».

Программное обеспечение компьютерной защищённой сети

Создавая компьютерную сеть, очень важно остановиться на вопросе защиты информации при её передаче в сеть, защите от доступа к ресурсам компьютера и атакам на него из локальной и глобальной сетей. Программные продукты для защиты информации должны соответствовать следующим требованиям: обеспечивать защищённый обмен информацией через Интернет; организовывать удалённый защищённый доступ через Интернет к конфиденциальным ресурсам локальной сети и одновременно обеспечить защиту мобильных компьютеров от возможных сетевых атак; обеспечивать разграничение доступа внутри локальной сети, например, чтобы к некоторому серверу с конфиденциальной информацией имела доступ только определённая группа пользователей, а все остальные даже не догадывались о его существовании.

При этом хочется простого и понятного программного обеспечения для создания и изменения структуры защищённой сети, чтобы не надо было вникать в технологию виртуальных сетей и иметь серьёзные познания в области защиты информации.

Задачей сетевого программного обеспечения является объединение в единую защищённую виртуальную сеть рабочих мест пользователей сети – компьютеров (стационарных, мобильных, серверов и пр. ). Создание защищённой сети обеспечивается посредством решения двух важных задач информационной безопасности: создания защищённой среды передачи конфиденциальной информации с использованием открытых каналов связи с использованием технологий шифрования и хеширования; разворачивания структуры открытых ключей и организации иерархической системы удостоверяющих центров корпоративных, региональных и мировых уровней.

Для защиты конфиденциальной информации в настоящее время используют комплекс различных технологий: технологию виртуальных частных сетей (соединение защищёнными каналами компьютеров, находящихся в различных точках), технологию криптографического преобразования данных (приведение нечитаемый вид, скрытие и защита передаваемой конфиденциальной информации), технологию электронной цифровой подписи (обеспечение целостности и доверия передаваемой конфиденциальной информации), технологию идентификации и аутентификации (обеспечение проверки личности пользователя и сетевого пакета), технологию межсетевого и персонального экранирования (фильтрация входящего и исходящего сетевого трафика компьютера по указанным пользователем параметрам), технологию инкапсуляции и туннелирования (упаковка IP-пакета вместе со служебными полями в стандартный вид IP-пакета для возможности передачи зашифрованной информации по открытым каналам связи и скрытия тем самым вида и типа передаваемой информации).

Виртуальная защищённая сеть – это совокупность локальных сетей и отдельных компьютеров, объединённых в единую виртуальную защищённую сеть, с целью обеспечения конфиденциальности, целостности и аутентичности данных при её передаче. Формирование осуществляется путём построения виртуальных защищённых каналов связи или туннелей на базе каналов открытой связи с использованием криптографических методов. Туннель – защищённое соединение, проведённое через открытую сеть, которое создаётся с помощью технологии туннелирования или инкапсуляции. Туннель обладает свойствами защищённой выделенной линии. Инкапсуляция – это способ передачи полезной информации через открытую сеть, который заключается в упаковке передаваемого пакета вместе со служебными полями в новый пакет.

Программное обеспечение для построения системы сетевой защиты реализует: формирование структуры защиты сети и централизованное управление конфигурацией; шифрование информации; разграничение доступа к информационным ресурсам; безопасный доступ к каналам общего пользования, включая Интернет.

Основные функции центра управления сетью: регистрация сетевых узлов и пользователей сети; задание полномочий и связей; формирование справочников; взаимодействие с другими сетями для организации межсетевого обмена; централизованная рассылка обновлений справочников и ключей информации.

Полномочия пользователей – это права, уровень которых определяет допустимость различных действий пользователей на сетевом узле. Уровень полномочий задаётся центром управления связью. Минимальные полномочия – пользователь практически не может изменять работу системы защиты, средние – пользователь может изменять некоторые параметры системы защиты, максимальные - пользователь может изменять все параметры системы защиты, специальные – пользователь может работать в системе защиты со специальными настройками.

Администратор сети должен знать: основные технологии работы локальных и глобальных сетей; основные технологии защиты конфиденциальных данных; принцип работы защищённых виртуальных сетей; технологию построения корпоративной сети с использованием системы защиты; особенности криптосистемы и состав ключевой информации; принципы и правила управления сетью; возможности, работу и принципы основных программных модулей: администратора, координатора, клиента.

Администратор должен быть способен: создавать и модифицировать защищённые виртуальные сети; организовывать и обеспечивать взаимодействие всех объектов сети; обеспечивать работу серверов – координаторов сети; организовывать взаимодействие сетей (связь пользователей из разных защищённых сетей); обучать пользователей работе с системой защиты.

Точка доступа

Основным элементом Беспроводной сети является точка доступа, создающая зону покрытия. Современные точки доступа в основном работают по стандарту IEEE 802. 11.

Точка доступа, работающая стандарту IEEE 802. 11, обеспечивает скорость передачи данных до 100 Мбит\с, вещание осуществляется на частоте 2,4ГГц или 5ГГц. 2,4ГГц - эта свободная частота, которая может использоваться в России без специальных разрешений. Этой частотой пользуются все: от машинок, работающих на радиоуправлении, до любительских радиостанций, что естественно создает помехи для точки доступа. Разные точки доступа создают разные зоны покрытия, чем мощнее передатчик, тем больше зона покрытия сети. Также немаловажным является количество антенн: чем их больше, тем лучше.

В лицее используется точка доступа компании D-Link, DWL-2100AP стандарта IEEE 802. 11g, которая обеспечивает передачу данных в радиусе 45 метров в помещении. Модель оборудована двумя антеннами и портом 10/100 Ethernt. Поддерживается фильтрация по MAC-адресам, шифрование по стандарту WEP,WPA, WPA2, управление через веб-интерфейс. Размеры устройства равны 142 x 109 x 31 мм.

Недостатки точки доступа: посредственная производительность при совместном использовании в сети оборудования стандартов IEEE 802. 11b и IEEE 802. 11g.

Естественно, при использовании Беспроводной сети следует помнить, что она подвержена атакам хакеров, вирусов. Важным фактором в точке доступа являются её дополнительные функции. Например, фильтрация по MAC-адресам. Но самым главным гарантом безопасности является шифрование сети в стандартах WEP, WPA и WPA2.

Защита беспроводной сети Державинского лицея

Основным элементом защиты информации в беспроводной сети является стандарт шифрования WPA2. WPA (Wi-Fi Protected Access) — представляет собой обновленную программу сертификации устройств беспроводной связи. Предполагается, что WPA заменит широко распространенную технологию защиты беспроводных сетей WEP. Преимуществами WPA являются усиленная безопасность данных и ужесточенный контроль доступа к беспроводным сетям. Немаловажной характеристикой является совместимость между множеством беспроводных устройств, как на аппаратном, так и на программном уровнях. На данный момент WPA и WPA2 разрабатываются и продвигаются организацией Wi-Fi Alliance.

В WPA обеспечена поддержка стандартов 802. 1X, а так же протокола EAP (Extensible Authentication Protocol, расширенный протокол аутентификации). Стоит заметить, что в WPA поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет ряд преимуществ по сравнению с используемым в WEP RC4, например, в нём реализован более стойкий криптоалгоритм.

Большим плюсом при внедрении WPA является возможность работы технологии на существующем аппаратном обеспечении Wi-Fi.

Некоторые отличительные особенности WPA: усовершенствованная схема шифрования RC4; обязательная аутентификация с использованием EAP; система централизованного управления безопасностью, возможность использования в действующих корпоративных политиках безопасности.

Wi-Fi Alliance дает следующую формулу для определения сути WPA:

WPA = 802. 1X + EAP + TKIP + MIC

TKIP – протокол интеграции временного ключа (Temporal Key Integrity Protocol) – каждому устройству присваивается изменяемый ключ.

Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом, и общее число их вариаций достигает 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 KB (10 тыс. передаваемых пакетов) делают систему максимально защищенной.

MIC – технология проверки целостности сообщений (Message Integrity Check) – защищает от перехвата пакетов и их перенаправления.

MIC использует весьма непростой математический алгоритм, который позволяет сверять отправленные в одной и полученные в другой точке данные. Если замечены изменения или результаты сравнения не сходятся, такие данные считаются ложными и выбрасываются.

EAP (Расширяемый Протокол Аутентификации)— в телекоммуникациях расширяемая инфраструктура аутентификации. В стандарте WPA2 поддерживают пять типов EAP как официальные инфраструктуры аутентификации (всего существует порядка 40 типов EAP); для беспроводных сетей актуальны EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP и EAP-TTLS.

Проводная и беспроводная сеть

На момент создания беспроводной сети в лицее уже действовала проводная сеть. Одной из главных задач стала необходимость совместить проводную и беспроводную сеть. Однако некоторые сетевые службы проводной сети не работали в беспроводной.

Причину проблемы нашли достаточно быстро: протокол безопасности, внедрённый в компьютеры, с успехом работал в проводной сети, а вот в беспроводной сети этот протокол не работал. Возникла необходимость изучения программного обеспечения точки доступа. Модернизировав протокол безопасности, мы внедрили протокол непосредственно в точку доступа. Сразу же возникла другая проблема: объём памяти точки доступа был мал, поэтому протокол в неё не помещался. Пришлось из основной программы удалить ненужные сервисы точки доступа, а именно: DHCP, FireWall. Естественно, не обошлось и без ошибок, приводящих к проблемам работы беспроводной сети.

Протокол безопасности

Для обеспечения безопасности лицейской сети было решено разработать дополнительный протокол безопасности, который обеспечивал бы надежность сети лицея.

На языке программирования С++ была написана небольшая программа, которая устанавливается на компьютер. Эта программа собирает основную информацию о компьютере, а именно серийные номера материнской платы, жесткого диска и других основных устройств компьютера. Вторая часть программы была внедрена в точку доступа, основным назначением которой была передача полученной информации центральному серверу. На сервере в базе данных содержатся основные характеристики всех компьютеров, входящих в беспроводную сеть. Функциональной задачей сервера является проверка полученной от компьютеров информации.

При подключении компьютера в беспроводную сеть, вводя ключ сети, программа отправляет информацию на сервер. В случае отсутствия информации или её некорректности сервер даёт команду точке доступа об отключении этого клиента. Даже если ввёден правильный ключ сети и mac-адрес соответствует списку, а информация об основных параметрах компьютера не верна, пользователь не сможет подключиться к сети.

Фильтрация по Mac-адресам

Одним из преимуществ точки доступ DWL-2100AP является то, что в неё встроена функция фильтрации по mac- адресам сетевых устройств. Каждое сетевое устройство имеет свой уникальный mac- адрес, который практически нельзя переписать. Фильтрация по mac- адресу позволяет добавить надёжности беспроводной сети. В случае отсутствия mac -адреса в списке разрешенных адресов, сетевое устройство не сможет подключиться к беспроводной сети. В основном сетевые устройства не поддерживают функции смены mac- адреса, что также повышает надёжность беспроводной сети. Однако при определённых условиях можно поменять mac- адрес сетевого устройства. Поэтому фильтрацию mac -адресов нельзя считать решением проблемы защиты сети.

Модернизация точки доступа

При изучение точки доступа мы выбрали подпрограмму, которая отвечала за усилитель радиосигнала. Прочитав аннотацию к оборудованию, пришли к выводу, что точка доступа использует свой потенциал на 70-80%. Изменение подпрограммы, а именно увеличение мощности выходного сигнала в 2 раза (теперь она равнялась не 0. 15 Ватт, а 0. 3 Ватт), позволило увеличить радиус действия сети примерно в 1. 5 раза.

Через час было обнаружено, что точка доступа отключилась. Выключив её на 15 минут из сети и снова включив, мы обнаружили, что точка доступа работает. Первое предположение, что отключение точки доступа было вызвано нарушением синтаксиса при её перепрограммировании, не подтвердилось. Одновременно было обнаружено, что центральный процессор точки доступа был очень горячим (75 С). Такая температура недопустима при работе, что и приводило к самопроизвольному отключению. Проанализировав данную ситуацию, мы пришли к выводу, что необходимо усовершенствовать точку доступа. В порядке эксперимента на центральный процессор установили радиатор из алюминия для отвода тепла. Радиатор был приклеен с помощью термоклея. Выяснилось, что при длительной работе точки доступа она отключалась, причина была всё та же - перегрев. Было решено установить дополнительный вентилятор для охлаждения.

При установке вентилятора возникла проблема подключения его к источнику питания. Подключить вентилятор к источнику питания точки доступа оказалось невозможным, так как в 3 раза падала мощность передатчика, что неприемлемо. В проводных сетях стандарта Fast-Ethernert 100 Мбит/с используется только 4 медных провода, остальные 4 - не задействованы. Именно эти четыре провода были использованы для подачи питания на вентилятор и точку доступа. Такое решение возможно при соблюдении определённых условий, поскольку ток не велик (0. 23А и 12V). Проделав данную модернизацию, мы увеличили радиус сети в 1. 5 раза.

Для увеличения зоны покрытия сети была использована дополнительная антенна компании D-Link, что позволило существенно улучшить качество сети и увеличить зону покрытия.

В результате всех модернизаций радиус действия сети увеличился в 2. 5 раза по сравнению со стандартной точкой доступа.

В работе рассмотрены основные технологии защиты конфиденциальных данных, принципы работы защищённых компьютерных сетей, принципы и правила управления сетью. В лицее модифицирована защита компьютерной сети, организовано и обеспечено взаимодействие всех объектов, накоплен опыт работы технологии клиент-сервер, обучены пользователи, работающие в защищённой компьютерной сети, модернизирована точка доступа.

Комментарии


Войти или Зарегистрироваться (чтобы оставлять отзывы)