IEEE IEEE (IEEE англ. Institute of Electrical and Electronics Engineers ) - семейство спецификаций, разработанных IEEE для беспроводных локальных сетей (wireless LAN). IEEE задает спецификации интерфейса между беспроводным клиентом и базовой станцией или между двумя беспроводными клиентами. Список стандартов IEEE

Угрозы безопасности беспроводных сетей : 1. Подслушивание Первичная цель злоумышленника : кто использует сеть, какие данные в ней доступны, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно, какова территория развертывания сети.

Активное подслушивание в локальной беспроводной сети обычно основано на неправильном использовании протокола Address Resolution Protocol (ARP). Атакующий посылает ARP- ответы, на которые не было запроса, к целевой станции локальной сети, которая отправляет ему весь проходящий через нее трафик.

2. Отказ в обслуживании 3.1 Глушение клиентской станции Глушение клиентской станции дает мошеннику возможность подставить себя на место заглушенного клиента. Для беспроводных сетей DOS – атака понимается как перегрузка точек доступа пакетами, вследствие чего происходит зависание точки доступа и, как следствие, всей сети.

3.2 Глушение базовой станции Глушение базовой станции предоставляет возможность подменить ее атакующей станцией. Непреднамеренное глушение : многие устройства, такие как радиотелефоны, системы слежения и микроволновые печи, могут влиять на работу беспроводных сетей и глушить беспроводное соединение.

4. Угрозы криптозащиты Например, при использовании WEP- шифрования ( единственный статический ключ для всех пользователей ) атакующий может полностью восстановить ключ после захвата минимального сетевого трафика. 5. Анонимность атак 6. Несанкционированное использование устройств беспроводного доступа к сети

Обеспечение безопасности беспроводных соединений : 1. Идентификация, аутентификация, авторизация Идентификация, аутентификация, авторизация 2. Шифрование Шифрование 3. VPN 4. Средства обнаружения вторжения Средства обнаружения вторжения

Принцип аутентификации абонента в IEEE : Механизмы аутентификации беспроводных абонентов : Открытая аутентификация Аутентификация общим ключом (Shared Key Authentication) Назначение идентификатора беспроводной локальной сети (Service Set Identifier - SSID ) Аутентификация абонента по его MAC- адресу

Открытая аутентификация Точка радиодоступа удовлетворит любой запрос открытой аутентификации.

Аутентификация с общим ключом Аутентификация с общим ключом требует настройки у абонента статического ключа шифрования WEP. В результате выполнения побитовой операции XOR над зашифрованным сообщением и ключевой последовательностью злоумышленник может легко вычислить сегмент ключевой последовательности путем анализа фреймов в процессе аутентификации абонента. ( СХЕМА ) СХЕМА

Аутентификация по MAC- адресу Аутентификация по MAC- адресу используется в дополнение к открытой аутентификации и аутентификации с общим ключом стандарта IEEE для уменьшения вероятности доступа посторонних абонентов. Стандарт IEEE требует передачи MAC- адресов абонента и точки радиодоступа в открытом виде. В результате в беспроводной сети, использующей аутентификацию по MAC- адресу, злоумышленник может обмануть метод аутентификации путем подмены своего MAC- адреса легитимным.

Шифрование в беспроводных сетях 1997 г. - WEP ( Wired Equivalent Privacy ) 2002 г. - WPA ( Wi-Fi Protected Access ) 2004 г i ( иногда называют WPA2 )

Стан дарт Средства обеспечения безопасности ДостоинстваНедостатки WEP Шифрование RC4 (40 или 104 бита)+ вектор инициализации IV (24 бита), статичные ключи, аутентификация 802.1х – по желанию пользователя аутентификация 802.1х Хоть какая-то защита; поддержка WEP в большинстве устройств Атакующий может восстановить ключ после захвата минимального сетевого трафика ( Схема ) ; следует использовать дополнительные СЗИ (напр., VPN) Схема WPA TKIPTKIP, динамичные ключи, Michael, обязательная аутентификация 802.1х (EAP и RADIUS либо предустановленный общий ключ)Michael аутентификация 802.1хEAPRADIUS Обратная совместимость с WEP; возможность интеграции в существующие беспроводные сети простым обновлением микропрограмм. Временное решение проблемы на переходный период до утверждения более надежного стандарта i i Шифрование AES, CCMP, управление ключами 802,11i, аутентификация 802.1х. Более стойкое чем WEР шифрование; надежная схема управления ключами Необходимость нового оборудования; несовместимость со старым оборудованием Wi-Fi

TKIP TKIP - временный протокол целостности ключа ( Temporal Key Integrity Protocol ): 1.Пофреймовое изменение ключей шифрования. WEP - ключ быстро изменяется, и для каждого фрейма он другой : IV, MAC- адрес передатчика и WEP- ключ обрабатываются вместе с помощью двухступенчатой функции перемешивания. Результат применения этой функции соответствует стандартному 104- разрядному WEP- ключу и 24- разрядному IV. IEEE предложила также увеличить 24- разрядный вектор инициализации до 48- разрядного IV.

2.Контроль целостности сообщения. Обеспечивается эффективный контроль целостности фреймов данных с целью предотвращения скрытых манипуляций с фреймами и воспроизведения фреймов. MIC (Michael) - уникальный ключ, который отличается от ключа, используемого для шифрования фреймов данных. MIC перемешивается с назначенным MAC- адресом и исходным MAC- адресом фрейма, а также со всей незашифрованной частью фрейма. ( СХЕМА ) СХЕМА 3.Усовершенствованный механизм управления ключами.

Механизм шифрования TKIP:

Стандарт х Стандарт IEEE 802.1x описывает единую архитектуру контроля доступа к портам с использованием разнообразных методов аутентификации абонентов. Архитектура IEEE 802.1x: Клиент (Supplicant) - находится в операционной системе абонента ; Аутентификатор (Authenticator) - находится в программном обеспечении точки радиодоступа ; Сервер аутентификации ( Authentication Server ) - находится на RADIUS- сервере ( англ. Remote Authentication in Dial-In User Service протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. ).

1. Клиент активизируется и ассоциируется с точкой радиодоступа ( или физически подключается к сегменту в случае проводной локальной сети ). 2. Аутентификатор распознает факт подключения и активизирует логический порт для клиента, сразу переводя его в состояние " неавторизован ". В результате через клиентский порт возможен лишь обмен трафиком протокола IEEE 802.1x, для всего остального трафика порт заблокирован.

Алгоритм аутентификации Extensible Authentication Protocol или EAP ( расширяемый протокол идентификации ) поддерживает централизованную аутентификацию элементов инфраструктуры беспроводной сети и ее пользователей с возможностью динамической генерации ключей шифрования. EAP ЕАР служит « транспортом » для сообщений х

Системы обнаружения вторжения в беспроводные сети IDS (Intrusion Detection System) на базе сети NIDS (Network Intrusion Detection Systems ) на базе хоста HIDS ( Host Intrusion Detection Systems) на основе сигнатур на основе базы знаний ПРИМЕРЫ : AirDefense Guard, Isomair Wireless Sentry