Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Рішення для захисту мережі від проникнення і отримання доступу до внутрішніх ресурсів. Ключові слова: захист інформації, комп’ютерна мережа, Wi-Fi мережа, аутентифікація

Скачати 88.73 Kb.

Рішення для захисту мережі від проникнення і отримання доступу до внутрішніх ресурсів. Ключові слова: захист інформації, комп’ютерна мережа, Wi-Fi мережа, аутентифікація




Скачати 88.73 Kb.
Дата конвертації25.03.2017
Розмір88.73 Kb.
ТипРішення

УДК 004.07

Я.Р. Бежик

Національний університет “Львівська політехніка”

Кафедра електронно обчислювальних машин

Дослідження методів злому та захисту Wi-Fi мереж.

© Бежик Я.Р., 2015

За результатами аналізу особливостей захисту інформації в комп’ютерних безпровідних мережах обґрунтована потреба застосування комплексного рішення для захисту мережі від проникнення і отримання доступу до внутрішніх ресурсів.

Результат, пі́дсумок, (заст. ску́ток, вислід) - кінцевий наслідок послідовності дій. Можливі результати містять перевагу, незручність, вигоду, збитки, цінність і перемогу. Результат є етапом діяльності, коли визначено наявність переходу якості в кількість і кількості в якість.
Застосунок, застосовна програма, прикладна програма (англ. application, application software; пол. aplikacja; рос. приложение, прикладная программа) - користувацька комп'ютерна програма, що дає змогу вирішувати конкретні прикладні задачі користувача.
Електро́н (грец. Ηλεκτρόνιο, англ. electron, нім. Elektron) - стабільна, негативно заряджена елементарна частинка, що входить до складу всіх атомів. Має електричний заряд (-е= −1,6021892(46)×10−19 Кл) і масу (9,109554(906)×10−31 кг).
Захист інформації Зáхист інформáції (англ. Data protection) - сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.


Ключові слова: захист інформації, комп’ютерна мережа, Wi-Fi мережа, аутентифікація.
Автентифікáція (з грец. αυθεντικός ; реальний або істинний) - процедура встановлення належності користувачеві інформації в системі пред'явленого ним ідентифікатора. .


© Bezhyk Y.R., 2015

Research methods of hacking and protection of Wi-Fi networks

Analysis features of information security in computer wireless networks justified need of a comprehensive solution to protect networks from penetration and access to internal resources.

Keywords: information security, computer network, Wi-Fi network, authentication.

Вступ

Останнім часом бездротові (Wi-Fi) мережі отримали величезне розповсюдження. Сьогодні бездротові мережі можуть бути використані як у офісах, хот-спотах, так і в домашніх умовах.

Бездротова мережа Бездротова мережа - тип комп'ютерної мережі, яка використовує бездротове з'єднання для передачі даних й підключення до мережевих вузлів.
Їхнє використання може бути зумовлене одним із наступних чинників: необхідність забезпечення мобільності користувачів, необхідність підключення великої кількості ко­ристувачів у майбутньому;
Кори́стува́ч - той, хто користується чим-небудь - майном, землею, комп'ютером тощо.
Необхідність - система зв'язків і відносин, що зумовлює зміну, поступальний рух, розвиток у жорстко визначеному напрямку з жорстко визначеними результатами. Іншими словами, необхідність - це такий зв'язок, що обов'язково призводить до певної події.
Майбутнє - суб'єктивна з людського погляду й об'єктивна з погляду стороннього спостерігача часова категорія сприйняття реальності, яка характеризується комплексом явищ і подій, що не здійснились і не відбулися відносно об'єкта, який перебуває в більш ранньому часі.
Кількість - в Арістотелівській логіці друга з 10 категорій (класів, розрядів, які спрощують процес розумового визначення будь-якої речі), побічна обставина матеріальних речей , за допомогою якої вони поширюються в просторі, вимірюються якоюсь математичною нормою і здатні бути поділеними на окремі частини.
неможливість використання дротової мережі. Також безпровідною мережею передаються важлива особиста і комерційна інформація, проводяться банківські транзакції – кількість людей які бажають заволодіти подібною інформацією також збільшується.
Торгі́вля - процес обміну товарами, послугами, цінностями і грошима. У широкому значенні - вид підприємницької діяльності, пов'язаний з купівлею-продажем товарів.
Відповідно, дослідження щодо підвищення ефективності захисту інформації в комп’ютерних мережах є актуальним.



Огляд літературних джерел

Серед багатьох літературних джерел, що стосуються криптографії та захисту мереж, виділимо наважливіші. В монографії [1] розглянуто основні поняття сучасної криптографії, в монографії [2] – загальні принципи криптографії та особливості захисту комп'ютерних мереж.

Підвищення (елевація) - кутова висота об'єкта спостереження (земного предмета, літального апарату, небесного світила тощо) над істинним горизонтом. Підвищення спільно з азимутом служить для визначення напрямку на об'єкт.
Ба́нк (від італ. banco - лавка або стіл) - кредитно-фінансова установа, яка здійснює грошові розрахунки, акумулює грошові кошти та інші цінності, надає кредити та здійснює інші послуги за фінансовими операціями.
Криптогра́фія (від грецького kryptós - прихований і gráphein - писати) - наука про математичні методи забезпечення конфіденційності, цілісності і автентичності інформації. Розвинулась з практичної потреби передавати важливі відомості найнадійнішим чином.
Моногра́фія (англ. monograph, нім. Monographie f) - наукова праця у вигляді книги з поглибленим вивченням однієї або декількох (тісно пов'язаних між собою) тем.
До основних функцій, які мають виконувати засоби захисту інформації, зараховують конфіденційність, аутентифікацію, цілісність, доступність, керування доступом. Конфінденційність– це гарантія можливості користування інформацією наперед визначеним суб’єктам та гарантія неможливості доступу до цієї інформації зловмисникам. В монографії [3-4] розглянуто протоколи шифрування.



Завдання

Дослідити можливості злому Wi-Fi мережі та можливості застосування комплексного рішення для захисту від несанкціонованого доступу.

Доступність (англ. Availability) - властивість інформаційного ресурсу, яка полягає в тому, що користувач та/або процес, який володіє відповідними повноваженнями, може використовувати цей ресурс відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу.
Конфіденційність (англ. confidentiality, privacy) - властивість не підлягати розголосові; довірливість, секретність, суто приватність.
Протоко́л - (фр. protocole, пізньолат. protocollum з пізньогрец. Πρωτόκολλον (Πρώτο+κολλάω) - перший, передній+приклеюю) - перший лист, приклеєний до звитку папіруса чи нотаріального документа, на якому була написана дата.
Можливість - це дія, що може відбутися або ні (можливо, приїду, а, можливо, і ні). Можливість можна забезпечити чи покладатись на «авось» та якось буде. Альтернатива дає шанс, але не гарантує без відповідних дій забезпечення результату і адекватності та конструктиву діяльності.
Несанкціоно́ваний до́ступ до інформа́ції - доступ до інформації з порушенням посадових повноважень співробітника, доступ до закритої для публічного доступу інформації з боку осіб, котрі не мають дозволу на доступ до цієї інформації.



Основні результати дослідження

У бездротових мереж є багато переваг перед провідними мережами, але є й недоліки. І однією з найважливіших вад – це досить низьких рівень безпе­ки. Існують різні причини, що спонукають хакерів займатися атаками. Одна з причин: заради цікавості. Такі люди займаються зламуванням задля розваги та самоствердження. Вони можуть навіть зробити послугу суспільству, публічно сповістити про виявлені небезпечні місця мереж, що примусить звернути увагу на іс­нуючі проблеми.

Інша причина атак криється в застосуванні чужої мережі, тобто в крадіжці інтернет-трафіку.

Третя, найважливіша причина – це викрадення конфіденційної інформації.

Тра́фік (англ. traffic - «рух», «транспорт», «торгівля») - узагальнений термін, яким позначають інтенсивність руху, транспортування; потік навантаження на комунікаційну систему (звернення, кількість переданих за одиницю часу пакетів або повідомлень) в різних системах, мережах, в тому числі телекомунікаційних та транспортних мережах, а також обсяг переданих або прийнятих даних.
Конфіденці́йна інформ́ація - інформація про фізичну особу (персональні дані) або юридичну особу, доступ та поширення якої можливі лише за згодою її власників (тобто тих, кого ця інформація безпосередньо стосується) та на тих умовах, які вони вкажуть.
Ці зловмисники є найнебезпечнішими. Стандартні заходи безпеки можуть лише затримати такого супротивника на декілька годин.
Проти́вник (супроти́вник, во́рог, неприя́тель) - у військовій справі - військовослужбовець, особовий склад, військове формування (військові формування), Збройні сили або інша держава, які ведуть бойові дії супротив протилежної держави, її військовослужбовців, особового складу, військових формувань, Збройних сил тощо.
Станда́рт - нормативний документ, заснований на консенсусі, прийнятий визнаним органом, що встановлює для загального і неодноразового використання правила, настанови або характеристики щодо діяльності чи її результатів, та спрямований на досягнення оптимального ступеня впорядкованості в певній сфері.
Якщо безпеці мережі 802.11 не приділити належної уваги, то атака неминуче виявиться успішною.

Відповідно для забезпечення безпечної роботи даної мережі треба розуміти основні принципи безпеки заложені в даній технології.

Пра́ця - цілеспрямована діяльність людей зі створення матеріальних і духовних благ, необхідних для задоволення потреб кожного індивіда і суспільства в цілому.

Пристрої стандарту 802.11 зв’язуються один з одним, використовуючи в якості передавача даних сигнали, що передаються в діапазоні радіочастот. Дані передаються по радіо відправником, які вважають, що приймач також працює в обраному радіодіапазоні. Недоліком такого механізму є те, що будь-яка інша станція, що використовує цей діапазон, теж здатна прийняти ці дані.

Якщо не використовувати який-небудь механізм захисту, будь-яка станція стандарту 802.11 зможе обробити дані, послані по бездротовій локальній мережі, якщо тільки її приймач працює в тому ж радіодіапазоні. Для забезпечення хоча б мінімального рівня безпеки необхідні наступні компоненти.

Радіочастота (RF) - будь-яка частота електромагнітної хвилі, що знаходиться в межах приблизно від 3 кГц до 300 ГГц, і включає ті частоти, що використовуються для зв’язку чи сигналів радару. Під радіо частотою зазвичай мають на увазі електричне, а не механічне коливання.
Радіохви́лі - діапазон електромагнітних хвиль з довжиною хвилі від 10−5 до 1010 метра.
Діапазо́н (від грец. δϊα πασον (χορδων) - через усі (струни).
Механі́зм (грец. μηχανή mechané - машина) - система тіл, що призначена для перетворення руху одного або декількох тіл у потрібний рух інших тіл. Механізм складає основу більшості машин і застосовується в різноманітних технічних об'єктах.
Компонент (англ. component, нім. Komponente f) - різновид, складова частина чогось.


  • Засоби для ухвалення рішення щодо того, хто або що може використовувати бездротову LAN. Ця вимога задовольняється за рахунок механізму аутентіфікаціі, що забезпечує контроль доступу до LAN.

  • Засоби захисту інформації, переданої через безпровідне середовище.

Ця вимога задовольняється за рахунок використання алгоритмів шифрування.
Алгори́тм (латинізов. Algorithmi за араб. ім'ям узб. математика аль-Хорезмі) - набір інструкцій, які описують порядок дій виконавця, щоб досягти результату розв'язання задачі за скінченну кількість дій; система правил виконання дискретного процесу, яка досягає поставленої мети за скінченний час.

На рис. 1.1. показано, що захист в бездротових мережах забезпечується як за рахунок аутентифікації, так і завдяки шифруванню. Жоден з названих механізмів окремо не здатний забезпечити захист бездротової мережі.



Рис. 1.1. Захист в бездротових мережах забезпечується за рахунок аутентифікації і шифрування

Також існують головні та допоміжні методи захисту представлені на рисунку 1.2.

Рис. 1.2. Класифікація методів захисту бездротових локальних мереж

Розглянемо кожен з методів більш детально:


  1. Основні методи захисту

WEP (Wired Equivalence Privacy) – це прото­кол шифрування, що базується на алгоритмі RC4. Алгоритм використовує ключі довжиною 64, 128, 256 та 512 біт. Чим більше біт викорис­товується для зберігання ключа, тим більше можливих комбінацій ключів, а відповідно бі­льша стійкість мережі до злому.
Зберіга́ння - дія за значенням зберігати; технологічний процес.

Але довжина ключа тільки сповільнить дію хакера на деякий час, а не зупинить його. Час­тина ключа WEP є статичною (40 біт у випадку 64-бітного шифрування), а інша частина (24 біт) – динамічна (вектор ініціалізації), тобто вона змінюється в процесі роботи мережі.

Ініціалізація (initialization) - ряд дій, що передують виконанню програми, зокрема, встановлення програмних змінних в нуль, або надання їм інших початкових значень.
Головною уразливістю WEP протоколу є те, що вектори ініціалізації повторюються через де­який проміжок часу.

Отже, для досягнення мінімального рівня безпеки ключі необхідно періодично змінювати. Якщо для бездротової мережі, що складається з точки доступу та трьох клієнтів, це не буде складати великої проблеми, то для корпоратив­них мереж із сотнями бездротових користувачів дане рішення не підходить. Більше того, для за­безпечення достатнього рівня безпеки при ви­користанні WEP-шифрування потрібна зміна 64-бітного ключа раз у пів години, а 128-бітного – раз у годину (в реальності ключі часто вводять один раз і назавжди).

WPA (Wi–Fi Protected Access) – протокол, в основі якого покладено підмножину стандарту IEEE 802.11i.

Множина́ - одне з основних понять сучасної математики. Строго воно не визначається, але може бути дано інтуїтивне визначення множини як сукупності певних і різних об'єктів довільної природи, яка розглядається як одне ціле.
В WPA використовується декілька засобів й алгоритмів для вдосконалення мето­дів керування ключем та шифрування.

Якщо в WEP протоколі ключ, що використо­вується для шифрування даних, вводиться руч­ним способом та використовується до тих пір, поки не буде змінений, то в WPA ключ вводить­ся один раз, але використовується не для шифрування даних, а для генерації справжніх клю­чів для шифрування даних. WPA періодично змінює ключ. Отже, навіть якщо зловмиснику пощастить, і він відгадає ключ шифрування, то зможе ним користуватися лише до того часу, доки бездротова точка доступу та клієнт авто­матично не змінять його.

Генерація - покоління, що представлене більш чи менш одноманітними особинами, які змінюються наступним поколінням, яке при диференціації життєвого циклу може істотно відрізнятися від попереднього. Наприклад: при чергуванні поколінь (гетерогонії, метагенезі) у тлі (Aphidoidea), галиць (Cecidomyiidae) та деяких інших комах.
Ключ - інформація, яка використовується для шифрування і/або дешифрування повідомлення.
Бездротова точка доступу (англ. Wireless Access Point) - центральний пристрій бездротової мережі, яку використовують для з'єднання між бездротовими клієнтами, а також для з'єднання дротового і бездротового сегментів (виконує функції моста між ними).
Ключ шифрування в бездротових точках доступу змінюється доволі часто: раз на 1-2 години.

У стандарті WPA передбачено використання захисних протоколів 802.1x, EAS, TKIP і RADIUS. Конфіденційність та цільність даних забезпечуються за допомогою протоколу TKIP (Temporal Key Integrity Protocol), який на відмі­ну від протоколу WEP використовує інший ме­ханізм генерації ключів, щоправда він теж за­снований на алгоритмі RC4. Якщо в WEP дов­жина вектору ініціалізації дорівнює 24 бітам, то в протоколі TKIP використовується 48 біт. Крім того, вектор ініціалізації відбирається не випад­ково (псевдо-випадково) як раніше, а послідов­но, до того ж пакети, що прийшли з невірним номером, відкидаються геть. Це виключає мож­ливість здійснення reply-атаки. У протоколі TKIP новий ключ формується для кожного но­вого пакету, для цього використовується крип­тографічний контроль суми MIC (Message Integrity Code), призначеного для контролю ці­лісності пакетів та виявлення підробки у безд­ротових мережах, що перешкоджають зловмис­нику змінювати зміст пакетів.

У системі передбачено два режими роботи: PSK (Pre-Shared Key) та Enterprise (корпоратив­ний). Pre-Shared легко розгорнути, простий у використанні та налаштуванні, використовуєть­ся для користувачів малого та домашнього офі­су. Система Enterprise більш надійна завдяки серверу ідентифікації, що використовується для середніх та великих підприємств.

Підприє́мство - самостійний суб'єкт господарювання, зареєстрований компетентним органом державної влади або органом місцевого самоврядування, для задоволення суспільних та особистих потреб шляхом систематичного здійснення виробничої, науково-дослідної, торговельної, іншої господарської діяльності в порядку, передбаченому Господарським кодексом України та іншими законами.



WPA2-шифрування – це система шифруван­ня, заснована на остаточній редакції стандарту IEEE 802.11i. Алгоритм шифрування побудова­но на блочному шифрі стандарту AES (Advanced Encryption Standard). Захисний про­токол, що його використовує, отримав назву Counter-Mode CBC MAC Protocol (CCMP). Ос­новна різниця між протоколами CCMP і TKIP знаходиться на рівні шифрування, дешифру­вання переданих даних: TKIP використовує чо­тири тимчасових ключі шифрування, а AES – три. Механізм керування ключами в обох випа­дках однаковий.

Недоліком системи можна вважати те, що через велике навантаження алгоритму на центральний процесор бездротового клієнтсь­кого обладнання для переведення мережі на но­вий стандарт необхідно нове обладнання, що підтримує алгоритм шифрування AES.

Центральний процесор Центральний процесор, ЦП (англ. Central processing unit, CPU) - функціональна частина комп'ютера, що призначена для інтерпретації команд.
Вважа­ється, що цей алгоритм, так само як WPA, при правильному налаштуванні майже неможливо зламати.

802.1Xце стандарт безпеки, що включає декілька протоколів. Почнемо з протоколу EAP (Extensible Au­thentication Protocol). Протокол розширеної іде­нтифікації.

У документі RFC 2284 протокол ЕАР описа­но наступним чином: “Розширений протокол ідентифікації (EAP) – це загальний протокол для підтвердження автентичності протоколу PPP, який підтримує кілька механізмів іденти­фікації.

Автентичність (дав.-гр. αὐθεντικός - справжній) - доказ походження, вірогідність. Автентичний - цілком вірогідний, заснований на першоджерелах.
Докуме́нт - базова теоретична конструкція, яка відноситься до всього, що може бути збережене або представлене, щоб служити як доказ для певної мети.
EAP не обирає певний механізм іден­тифікації на етапі керування каналом, а відкла­дає вибір до етапу ідентифікації. Це дозволяє ідентифікатору запитати більше інформації ще до вибору певного механізму. Це також відкри­ває можливість для застосування підтримуючо­го серверу, який реалізує різні механізми, тоді як ідентифікатор на рівні PPP просто пропускає через себе всі необхідні для ідентифікації по­відомлення”.

Серед плюсів протоколу EAP можна зазна­чити наступне: підтримка різних методів іден­тифікації без необхідності фіксувати який-небудь механізм на етапі керування каналом, пристрій може працювати як агент, що переад­ресує запити RADIUS-серверу, тобто обладнан­ня буде тільки стежити за результатами іденти­фікації та відстежувати наслідки вдалих або не­вдалих ідентифікацій.

Поряд з цим, у даного протоколу є декілька мінусів: він не підтримує динамічний розподіл ключів;

Дина́міка (грец. δύναμις - сила) - розділ механіки,в якому вивчаються причини виникнення механічного руху. Динаміка оперує такими поняттями, як маса, сила, імпульс, момент імпульсу, енергія.
уразливий до атаки «людина посереди­ні» з використанням фальшивої точки доступу та до атаки на сервер ідентифікації: зловмисник може підслухати запит та зашифровану відпо­відь, після чого провести атаку з невідомим відкритим або зашифрованим текстом.



RADIUS (Remote Authen­tication Dial-In User Server). Широко використо­вується в багатьох мережах. Його можна визна­чити як протокол безпеки, в якому для іденти­фікації віддалених користувачів використову­ється модель клієнт-сервер. Він реалізується у вигляді серії запитів та відповідей, які клієнт передає від сервера доступу до мережі (Network Access Server - NAS) кінцевому користувачу. Протокол RADIUS був розроблений у відповідь на необхідність мати який-небудь метод іден­тифікації, авторизації та обліку дій користува­чів, яким необхідний доступ до різних обчис­люваних ресурсів.

  1. Серед допоміжних методів слід виділити на­ступні

Фільтрація MAC-адреси.
MAC-адреса (від англ. Media Access Control - управління доступом до носія) - це унікальний ідентифікатор, що зіставляється з різними типами устаткування для комп'ютерних мереж. Більшість мережевих протоколів канального рівня використовують один з трьох просторів MAC-адрес, керованих IEEE: MAC-48, EUI-48 і EUI-64.
MAC-адреса (Media Access Control - керу­вання доступом до носія) – це унікальний іден­тифікатор обладнання, що надає виробник. Фі­льтрація MAC-адреси міститься у розширенні доступу до мережі тільки визначених користу­вачів. Це створює зловмиснику додаткову зава­ду, але не зупиняє його. Крім того необхідність своєчасно поновляти список MAC-адрес важко здійсненна для великих мереж.

Заборона широкомовної трансляції іденти­фікатора SSID. SSID – ідентифікатор мережі, знання якого є необхідною умовою для підключення. SSID може широко транслюватися в ефір або бути «прихованим» – у такому випадку клієнту прийдеться прописати ідентифікатор у налашту­ваннях свого підключення. Більшість облад­нання дозволяє його приховати, так що при скануванні мережі цього не буде видно. Крім того, необхідно змінити SSID, встановлений з початку. Звісно, це не надто серйозна перешко­да, але вона є необхідною для елементарних за­ходів обережності.

Заборона доступу до налаштувань точки до­ступу або роутера через бездротову мережу. Активувавши цю функцію можна заборонити доступ до налаштувань точки доступу через Wi-Fi мережу, але це не захистить від перехоп­лення трафіку або від проникнення до мережі.

Мінімально припустима зона радіо покрит­тя. В ідеалі вона не повинна виходити за межі контрольованої території. При необхідності можна встановити параболічні відбивачі, що перешкоджають розповсюдженню сигналу в небажаних напрямках.

Встановлення декількох точок доступу в бездротовій мережі не тільки створює резервну смугу пропускання на випадок виходу з ладу однієї з точок, але й підвищує стійкість мережі до деяких видів атак.
Смуга пропускання частот (англ. Bandwith) - діапазон частот, у межах якого амплітудно-частотна характеристика (АЧХ) акустичного, радіотехнічного або оптичного пристрою є досить рівномірною для того, щоб забезпечити передачу сигналу без суттєвого викривлення його форми.


Висновки

Отже розглянувши усі доступні на сьогоднішній день методи захисту, можна виділити головні: WEP, WPA, WPA2, 802.1X. Який саме метод вибрати залежить від мети, яку переслідує ко­ристувач, та від існуючого обладнання. WPA2 та 802.1X - більш нові методи захисту, вони по­требують потужного обладнання для крипто­графічних обчислень. Якщо пристрої спромож­ні підтримувати ці методи, то краще вибрати саме їх. Якщо ні, то можна зупинити свій вибір на WPA, якщо і цей стандарт обладнанням не підтримується, то хоча б на WEP. .


1. Ємець В. Сучасна криптографія: основні поняття В.Ємець, А. Мельник, Р. Попович . – Львів: БАК. – 2003. – 144 с. 2.Столлингс В. Криптография защита сетей: принципы и практика : пер. с англ. 2-еизд. – М.:Вильямс, 2001. – 672 с.3.Gilbert Held. Securing wireless LAN's. - Macon, Georgia, USA, 2003. - 276p. 4. Рошан Педжман, Лтри Джонатан. Основи построение беспроводных локальных сетей стандарта 802.11. - М.: Издательский дом "Вильямс", 2004. - 304 с


Скачати 88.73 Kb.

  • Ключові слова: захист інформації, комп’ютерна мережа, Wi-Fi мережа, аутентифікація
  • Research methods of hacking and protection of Wi-Fi networks
  • Keywords: information security , computer network, Wi-Fi network , authentication. Вступ
  • Основні результати дослідження
  • Стандартні