диан ф.ном.11054

Икономически университет – Варна

Център „Магистърско обучение”

Тема:

Безопасност и защита на Wi-Fi – мрежи

Изготвил:Диан Иванов, Проверил:

спец. „Информатика”, V курс, Доц. д-р Стефан Дражев ф. № 11054

Безопасност и защита на Wi-Fi - мрежи

Диан Динев Иванов, фак. № 11054 2

Съдържание

Въведение ………….…………………………………………………………………3

Какво е Wi-Fi ?…………………………..…………………………………………….6

Wi-Fi технология …….……………………………………………………………….8

Сигурност и защита…………………………………………………………………..9

WEP защита ………….………………………………………………………………..9

WPA …………………………………………………………………………………...12

WPA 2 ……………………….………………………………………………………....16

FIPS 140 ………………………….………………………………………………….....17

WiMAX ………………………………......……...………………………………….....19

WiMAX2 …………………………………………....……………..………………......20

802.1x …………….…………..…………………………………………………........20

VPN ………….……………………………..…………………………………………..21

Как да изхвърлим натрапниците от домашната Wi-Fi мрежа …….……………….22

Wi-Fi сертифицирани продукти……………………………………………………28

Wi-Fi в нашия живот….……………………………………..……………………………………………29

Използвана литература ….…………………………………………………………30



Въведение в защитата на WI-FI мрежи

На 29 октомври 1969 г. инженери от Калифорнийския университет и Станфордския изследователски институт успяват за пръв път обменят данни между два компютъра на разстояние 400 мили, с което се слага началото Интернет. Днес интернет връзката се осъществява благодарение на оптични кабели ,WAN (Wide Area Network) ADSL (Asymmetric Digital Subscriber Line), LAN (Local Area Network), PAN и други мрежи. Wireless мрежите намират широко приложение в малките частни мрежи. Често използвана е Wi-Fi технологията базирана на спецификациите от серията IEEE 802.11. Тя е лицензирана от “Wi-Fi Allianc”, като първоначалното й приложение е да се използва от преносими компютри за връзка с локални мрежи. Сега намира приложение не само със свързването с Интернет, но и за връзка с телевизори, DVD-та, телефони, цифрови камери и мн. други устройства. Разработват се постоянно нови стандарти за използване на Wi-Fi, като например да се използва в колите по магистралите, повишаване на сигурността при мобилната търговия и др. Wi-Fi и Wi-Fi CERTIFIED логата са регистрирани търговски марки на Wi-Fi Alliance – търговската организация, която тества и сертифицира оборудването съгласно стандартите от серията 802.11. IEEE 802.11 известен също под марката Wi-Fi, дефинира набор от стандарти за Wireless LAN/WLAN, разработени от работна група 11 на IEEE LAN/MAN Standards Committee (IEEE 802). Изразът 802.11x се използва да обозначи набор от стандарти и не бива да се бърка със нито един от неговите елементи. Не съществува самостоятелен 802.11x стандарт. Изразът IEEE 802.11 също така се отнася към първичния 802.11.

Серията 802.11 в момента включва шест техники за модулация във въздушна среда, всички които използват един и същ протокол. Най-популярните техники са тези определени от 802.11b, 802.11a, и 802.11g; сигурността е била първоначално включена и по-късно разширена чрез подобрението 802.11i. 802.11n е друга модулационна техника, която е наскоро разработена. Другите стандарт от фамилията (c–f, h, j) са сервизни разширения или поправки на предишни спецификации. 802.11b бе първият широко приет мрежов стандарт, последван от 802.11a и 802.11g. 802.11b и 802.11g стандартите използват 2.40 GHz (гигахерц) честотата, използвана ( в САЩ) под Part 15 на FCC Правила и регулации. Поради избора на честотния канал 802.11b и 802.11g оборудването може да получи



интерференция от микровълнови фурни, безжични телефони, Bluetooth устройства и други използващи тази честота.

Към момента са разпространени три официално приети Wi-Fi стандарта, които имат различни обозначения. Ето техните основни разлики.

Стандарти и честоти на Wi-Fi

развитие на протокола IEEE 802.11 до 2008г.

802.11a – работи на честота 5 GHz и позволява да се предават данни със скорост до 2 Mbit/s благодарение на използването на мултиплексиране с ортогонално деление на честотите – OFDM.

802.11b – максимална скорост 11 Mbit/s, честота 2,4 GHz. Благодарение на по-ниската честота далечината на връзка е по-голяма, а следователно и зоната на покритие от една точка за достъп.

802.11g – относително нов стандарт, обединяващ положителните качества на предишните. Работи на честота 2,4 GHz и позволява да се предават данни със скорост до 54 Mbit/s. Използва се OFDM за честотно уплътняване на канала.

802.11n – нов стандарт, който все още не е приет официално, но вече се предлага в чернови (draft) вариант. Работи на честота 2,4 GHz и позволява да се предават данни със скорост до 540 Mbit/s.



скорост до 540 Mbit/s.

Wi-Fi осигурява различни възможности при решаването на най-разнообразни задачи. С помощта на безжичен маршрутизатор (той често се нарича рутер или точка за достъп), лесно се създава проста мрежа от типа „звезда“, при това рутерът в повечето случаи представлява обикновен мрежов концентратор с Wi-Fi приемо-предавател. Благодарение на допълнителната функционалност, той може да служи за свързване на два сегмента от мрежата (кабелна и безжична), както и за преходник за включване към ADSL или кабелен Интернет.

Още един вариант на създаване на мини-мрежа е обменът на данни между два компютъра без използване на точка за достъп. Такава връзка се нарича computer-to-computer и не изисква допълнително оборудване.

Първоначалната версия на стандарта IEEE 802.11 датира от 1997 г. и определя две скорости от 1 и 2 (Mbit/s)мегабита в секунда, които да се излъчват чрез инфрачервени (ИЧ) сигнали за индустриални, научни, медицински цели от честотна лента на 2.4 GHz. ИЧ остава част от стандарта, която все още няма реализация. Първоначалният стандарт дефинира Carrier Sense Multiple Access с избягване на колизии като метод за достъп до медията. Значителен процент от наличния капацитет на каналите се жертва, за да се подобри надеждността на изпращането при разнообразни и враждебни състояния на средата.

Типичната Wi-Fi среда съдържа една или повече безжични точки за достъп (ТД) (Wireless access point, Access Point (APs) ) и един или повече „клиенти“. Една ТД излъчва своето "Име на мрежа" (SSID Service Set Identifier, "Network name") чрез пакети, които се наричат маяци (beacons), които обикновено се излъчват всеки 100 ms. Маяците се излъчват с 1 Mbit/s, относително къси са като продължителност и затова не оказват значителен ефект върху производителността. Понеже 1 Mbit/s е най-ниската скорост на Wi-Fi това означава, че клиентът трябва да може да комуникира със скорост поне 1 Mbit/s. Основавайки се на настройките (например на SSID), клиентът може да се свърже с ТД. Ако две ТД имат еднакъв SSID и са в обсега на клиента, клиентският фърмуеър може да използва силата на сигнала, за да реши към коя точно ТД да се свърже. Wi-Fi критериите за стандартни нива на връзката и за роуминг са напълно отворени за клиента. Това е предимство на Wi-Fi, но означава също, че един безжичен адаптер може да предава по-добре от друг. Понеже Wi-Fi предава във въздуха, той има същите настройки, както и несуичнатите Ethernet мрежи и затова е възможно да се получат колизии. За разлика от кабелния Ethernet и подобно на повечето пакетни радиа, Wi-Fi не може да разграничава колизиите, а за целта използва пакетна размяна с разпознаване на носителя (Collision Avoidance или CA).



Канали

С изключение на 802.11a, който работи на 5 GHz, Wi-Fi използва спектъра около 2.4 GHz, която е стандартизирана като нелицензирана според международно съглашение, въпреки че определянето на точната честота варира слабо в различните части на света, като максимално разрешена мощност. Както и да е стандартизиран броя на каналите по света, така одобрените честоти могат да се определят от броя на каналите.

Максималният брой налични канали за Wi-Fi са:

13 за Европа 11 за Северна Америка 14 за Япония

В Северна Америка, е препоръчително да се използват само канали 1, 6, и 11 за 802.11b/g, за да се минимизира интерференцията от близко стоящите канали.

Какво е Wi-Fi ?

WiFi е революционна безжична технология за обединяване на компютри в мрежа и/или връзка в Интернет. С нея интернетът става наистина мобилен и дава на потребителя свобода за постоянна връзка както в рамките на една зона (стая, етаж, дом, заведение, район) , така и по целия свят.

Повечето от новите преносими устройства вече се произвеждат с вградено Wi Fi устройство, например има го всеки ноутбук на база Intel® Centrino™. Ако на Вашия компютър има лого тип Intel® Centrino™, той вече е готов за работа с Wi Fi и никакви допълнителни устройства не са ви необходими.

Достъпни са и различни видове Wi Fi адаптери, съвместими със всеки преносим компютър. Тези адаптери се предлагат или като PCMCIA карти, или като външни устройства, които се включват към USB порта. Включването им е достатъчно лесно и добре описано в инструкциите за ползване.

Собствениците на PDA устройства с вграден специален модул също могат да се възползват от възможностите на Wi Fi достъпа. В описанието на PDA устройства в такъв случай се посочва че те поддържат стандарт IEEE 802.11./ след номера може да има различни букви/.WiFi вече е достъпен и за всички притежатели на GSM апарати с SD слот, като е необходима допълнителна SD карта.



Предимства на Wi-Fi

Позволява LAN мрежите да се разполагат без окабеляване, обикновено редуцирайки цената за построяване и разширяване на мрежата. Пространствата, където не е възможно да се положи кабел,такива като Външни пространства и исторически сгради, могат да се оборудват с безжични LAN мрежи.

Wi-Fi продуктите са добре разпространени на пазара. Различни марки на точки на достъп и клиентски мрежови карти са съвместими на базово ниво на услугите. Продуктите проектирани като Wi-Fi CERTIFIED by the Wi-Fi Alliance са съвместими, включително WPA2 сигурността.

От 2006 г. WPA и WPA2 криптиранията не са лесно разбиваеми, ако се използва силна парола.



Недостатъци на Wi-Fi

EIRP в Европа е ограничен до 20dBm. Няколко 2.4 GHz 802.11b и 802.11g Точки за достъп по подразбиране работят

на един и същ канал, като резултат се получава задръстване в определен канал.

Wi-Fi мрежите могат да се подслушват и да се използват за копиране на данни (включително лични данни) предадени по мрежата, когато не се използва криптиране.

Wi-Fi технология

Безжичните мрежи използват радиовълни, точно както и мобилните ни

телефони, радиоприемниците и телевизорите. Всичко става много просто – работата на

Wi-Fi рутера е да приема сигнал в единици и нули от Ethernet връзката си, да я

преобразува в радио вълни и да я изпраща към адаптера на лаптопа ви. Той пък я

приема, чрез антената си, декодира я в единици и нули и я представя. Когато трябва да

върне информация, всичко минава по обратния път. В затворени пространства,

безжична мрежа може да предава данни в разстояние от 20 до 45 метра, поради

високата интерференция. На открито обаче такава мрежа може да работи от разстояние

до над 300 метра.Нека разгледаме типовете безжични Интернет мрежи



.

Wireless PAN

Wireless PAN е съкращение от Wireless Personal Area Network. Тя има много малък обхват до 10 метра и се използва за главно при Bluetooth връзките. Използва се за свързване в мрежи на малки растояния – безжични слушлки, прехвърляне на данни между телефони.

Wireless LAN

Wireless LAN е съкращение от Wireless Local Area Networks. Това са най-популярните мрежи и се използват при домашни рутери, офиси, малки сгради,



ресторанти и т.н. Обхвата им е 300 метра. Почти всички WLAN мрежи са базирани на IEEE 802.11 стандартите.

Wireless MAN

Wireless MAN е съкращение от Wireless Metropolitan Area Networks. Тази мрежа

свързва няколко WLAN мрежи и сме свикнали да я чуваме по-често като WiMAX

мрежа. Те са с обхват до 50 километра.

Wireless WAN

Wireless WAN e съкращение от Wireless Wide Area Networks. Тази мрежа се различават от WLAN в използването на мобилни телекомуникационни технологии като LTE, WiMAx, UMTS, CDMA2000 , GSM , cellular digital packet data, Mobitex. Използва Local Multipoint Distribution Service (LMDS) или Wi-Fi за да осигури интернет достъп.

Сигурност и защита

Ако за проникването на злосторниците в обикновената мрежа е необходимо

физически да се вържеш към нея, то при Wi-Fi всичко е много по-просто - нужно е

единствено да се намираш в зоната на приемане на мрежата.Освен баналните щети

от достъпа до конфиденциална информация, последиците може да се изразяват в

разпространение на спам от ваше име, кражба на Интернет-трафик, прослушване на

незащитени разговори и т.н. Обаче технологиите постоянно се усъвършенстват, и

ако в зората на своето създаване Wi-Fi-мрежите бяха практически незащитени

против атаки, то сега ситуацията осезаемо се е променила към по-добро.По-долу ще

разгледаме съществуващите технологии за защита.

1. WEP защита

Wi-Fi е изключително удобен начин, да свържем компютрите в една домашна

или малка бизнес мрежа. Важна част от мрежата е нейната сигурност, като един от

начините да защитите своята безжична връзка, е да се използва технологията за

криптиране Wired Equivalent Privacy (WEP). Която представлява протокол за

криптиране на безжично предаване на пакети по IEEE 802.11 стандарта, пуснат в

експлоатация през септември 1999г. С 802.11, безжична станция може да бъде



конфигуриран с до четири клавиша (основните ценности на индекса на 1, 2, 3, и 4).

Когато точката за достъп или безжична станция предава шифровано съобщение,

което използва ключови съхраняват в специален ключ индекс, изпратените

съобщения показва ключови индекс, който е използван за кодиране на тялото на

съобщението. Приемащият точка за достъп или безжичен станция може да

изтеглите ключ, който се съхранява в ключови indexand да я използват за

декодиране на криптирани тялото на съобщението. Използването на статични

ключове е значителна слабост на този алгоритъм. Т. нар. шифър на потока данни

може лесно да се установи и да се де криптират данните, освен ако WEB не се

използва за безжични конекции към принтери или други подобни устройства. Като

цяло статичността на WEB е твърде лошо решение. 802.1X с динамичен WEP.

Значително по-добро решение, т.к ключът на потока данни се генерира динамично.

Това означава, че много по дълго време е необходимо за пробив в сигурността на

безжичната система и средно статистическият „хакер” би бил затруднен да

дешифрира потока данни. Повечето потребители намират това ниво на сигурност за

достатъчно.

При WEP е необходимо да се създадат специални ключове за криптиране на

връзката. Те се задават в настройките на безжичните адаптери за всеки компютър,

който е оторизиран да се връзва към мрежата. Ключовете могат да бъдат с дължина

64 и 128бита и представляват измислен от нас или генериран от компютъра низ от

символи. Имайки предвид, че ако изберем 128-битов ключ, всъщност трябва да

въведем 104 бита, а другите 24 се генерират автоматично. WEP използва RC4 за

криптиране на данните, предадени по мрежата. RC4 изисква парола която е

съставена от две части.

Първата част е известна като предварително споделен ключ (PSK).

Втората част се състои от иновационен вектор (IV), целта му е да

криптира всеки пакет с различен ключ (IV + PSK).

Всеки пакет е криптирана с уникален ключ. Този ключ е двоичен низ, който

всъщност криптира всеки бит на пакети данни се използва XOR алгоритъм.



WEP има голяма уязвимост относно защитата, 50% е вероятността

иновационният вектор да се повтори след 5000 пакета. Поради 128 битовият ключ и

иновационният вектор има възможност да се генерират не повече от 16,7 милионна

възможни комбинации от клавиши. През 2007 година тестове правени от Ерик,

Андрей и Ралф показват как могат да проникнат в 104-битов WEP ключ. С 40 000

заловени пакети вероятността да намерят ключа е 50%, с 60 000 налични пакета от

данни успехът е 80%, а с 85 хиляди е около 95%. Като 40 000 пакети могат да бъдат

заловени с техники като „deaurh” и “ARP”, при добри условия за не повече от една

минута. Откриването на паролата отнема около 3 секунди с 3 MB на Pentium-M 1,7

GHz. 1

Друга от слабостите на WEP, е че пакетите могат да се накъсат на малки части и това

да позволи бързото им разкодиране.

2. WPA защита

През октомври 2003 година е създаден нов протокол за защита Wi-Fi

Protected Access (WPA) (Wireless Application Protocol), който дава възможност да се

използва старата техника, но с по -добра опция за защита. WPA е създаден, за да

коригира недостатъците на WEP. WPA е комбинация от две отделни решения:

- Едното решава проблеми, свързани с протокола за интеграция на

временният ключ (TKIP),

- Второто добавя необходимите компоненти за проверка на

автентичността.

WPA използва шифроване нарича предварително споделен ключ (PSK) за

криптиране на данни, преди да се предадат. Въведете една и съща парола за всички

компютри и точките за достъп в дома или малкия бизнес мрежа. Само устройства,

които използват един и същ ключ за криптиране имат достъп до мрежата или

дешифриране на криптирани данни, предоставени от други компютри. Паролата



автоматично започва времето Ключови интегритет протокол (TKIP) за процеса на

криптиране на данните.

“TRIP” коригира проблема при иновационният вектор от размера му в „WEP” е

24-bits, в „WAP” той е 48-bits, по този начин при активно следене на пакети, ще

издържи до 900 години. Проблема е че старият хардуер може да съхрани в

иновационният вектор 24 buts. За да се реши този проблем се използват 16 bits за

запълване на 24 битово поле и “IV”, като първите 8-bits се дублират във второто

поле с малки промени + останалите 8-bits. „TRIP” представлява смесване на

ключовете за пакет, прави проверка на съобщение и механизъм за смяна на

ключовете. Благодарение на иновационният вектор, който е с дължина 48bits се

дават възможност на 500 милиарда комбинации от клавиши. Предотвратява се

повторна употреба на един ключ. “Master” ключа никога не се използва директно.

WAP включва в себе си „Message Integrity Check (MIC)”, което пречи за повторно

изпращане на данни с пакети. „MIC” замества технологията на „Cyclic Redundancy

Check” (CRC) използвана в WEP, която имаше като недостатък с проверката на

целостта на пакетите. С “MIC” се коригира този проблем, ако някой пакет е не е цял

се отхвърля. Друга новост при WAP е стандарта за разширено криптиране – „AES”,

който е разработен през 1998г. и е приет приз 2002 г. е приет като стандартно

кодиране от „Националният институт за стандарти и технологии”. Използва се в

окончателната версия на WAP и WAP2, като еквивалент на „RC4” алгоритъма,

използван в WEP кодирането. “AES” е по – сложен начин за криптиране на връзката,

който използва три дължини 128, 192 или 256 бита.

WPA има възможност за предварително споделен ключ “WAP-PSK”. Той се

използва в режим на по-ниска сигурност. Подобно на “WEP” е необходими да се

избере статичен ключ, който след известен интервал от време се сменя

автоматично. Този режим е подходящ за малки офиси и домашни мрежи, който не се

нуждаят от сложността на 802.1X сървър за удостоверение. Всяко безжично

устройство криптира мрежата с 254 битов ключ. Този ключ може да се впише или

като низ от 64 шестнадесетични цифри, или като парола от 8-63 видими ASCII знака.



Проблеми с сигурността на WPA

Използваният механизъм за кодиране TRIP използва подобен механизъм,

като WEP и следователно е уязвим към редица подобни нападения. На 8 ноември

2008г. Мартин Бек и Ерик Теус публикуван подробна информация как може да се

атакува сигурността на WAP. Техният механизъм е подобен на WEP, но трябва

предварително да изчакат 60 секунди, за да заловят ARP пакет който е лесен за

разкодиране и с него ще видят с каква дължина са пакетите. TRIP използва CRC32

механизъм за контрол на сумата, който внася допълнителен код MIC. Ако два

неправилно MIC кодове са получени в рамките на 60 секунди, точката за достъп ще

приложи мерки за защита и ще промени сесията на TRIP ключа, с което ще се

промени и бъдещият “keystreams”. Beck-Tews атаката ще гледа да избегне тези

мерки за защита. Благодарение на заловения ARP пакет те виждат размера на пакета

и могат да имат достъп до целият пакет. При изтеглянето на целия текст на един и

същ пакет те ще имат достъп до “keystream” на пакета, както и кода MIC на сесията.

Имайки тази информация информация хакерите леко могат да направят свой пакет

и да го пуснат в мрежата за да наобиколят WAP защитата. Ново създадените пакети

използват QOS канали за предаване на пакети. WPA 1.0 с TKIP криптиране. За WLAN

прилагането на WPA 1.0 с TKIP криптиране е по-добро решение отколкото WEP. В

случая на WPA, ако външно устройство се опита да получи неоторизиран достъп до

безжичната система, то вградена алармена система ще предупреди потребителя за

опита за атака и произхода и. TKIP използва същия механизъм чрез детектиране на

атака, но при този метод за криптиране ще се девалидира ключовия поток, за да

предотврати достъп до мрежата и ще алармира системният администратор, че са

предприети съответни мерки.

Предимствата при WPA 1.0 с TKIP, са че използва ключ с по-голяма дължина -

128 бита, докато WEP използва максимум 104 битов ключ. При TKIP, ключът и

инициализиращият вектор се променят с всеки пакет данни, което елиминира

напълно слабостите на проблема с инициализиращия вектор. Да се осъществи

пробив при прилагане на TKIP алгоритъма е много по-трудно.



За да се предотврати фалшифициране и други активни атаки – по отношение на

фрагментирането, битовия поток или интерактивно налучкване на ключа, TKIP

добавя истинска проверка на целостта на съобщенията (MIC), наречена Michael. Това

е ключово хеширане, което го прави криптографически сигурно. Michael е 64 бита,

което е два пъти повече от CRC. При стартиран TKIP и някой се опита да подправи

предавания пакет данни, то този пакет ще бъде отхвърлен. Ако се осъществи атака с

2 или повече пакета в рамките на една минута, TKIP праща инструкция до точката за

достъп да регенерира ключовата последователност, в резултат на което точката за

достъп за известен кратък период от време отказва колекциите на крайния

потребител (този период е приблизително една минута) в отговор на потенциалната

атака.

Така чрез решаване на въпроса за целостта на съобщенията, TKIP създаде друго

предизвикателство: той самия може да бъде използван като източник на DoS атаки.

Ако TKIP засече два пъти лош резултат от проверката за целостта на данните (MIC) в

рамките на една минута, той приема, че това е атака – изхвърля всички потребители,

свързани с точката за достъп и девалидира ключовете на всички. В опита си да бъде

винаги бдителен относно сигурността, TKIP окуражава простите DoS атаки.

Докато TKIP не изисква нов WLAN хардуер, то със сигурност изисква усилия за

поддръжка. Клиентските операционни системи трябва да бъдат над граждани до

последните версии на Windows XP или MacOS. Поддръжката на TKIP от точките за

достъп зависи от производителя и може да изисква надграждане на фърмуера. Само

Windows XP поддържа TKIP, така че ако се използват по-стари Windows платформи

има нужда от друго решение. При клиента използващ TKIP, WEP не трябва да се

стартира, тъй като TKIP и WEP са несъвместими и не могат да работят едновременно

– причината за това е, че използват един и същ механизъм за криптиране.

През октомври 2009 г. Халворсен и други хакери са направили голям пробив в

сигурността на WPA защитата. Те успяват да инжектират в мрежата, голям

злонамерен пакет (596 байта) в рамките на 18 минути 2. Въз основа на тази атака



японски учени са направили тази атака още по бърза. С това се разкрива проблемите

при защитата на WPA.

3. WPA2 защита

WPA2 е второто поколение на сигурност WPA, който е разработен от Wi-Fi и

използва 802.11i стандарт включен в него AES и CCMP . Използва Robust Security

Network - RSB (стабилна мрежа за сигурност). „WAP2” мрежата е несъвместима с по

старите устройства, които използват WEP. По подразбиране се използва AES и

Counter Mode CBC MAC Protocol – CCMP, с който се предоставя по – добра

мащаберуемост, но има възможност да се използва и TRIP протокола. Изисква се

повече процесор на мощ за кодиране и декодиране на сигнала. Има възможност за

бързо свързване, докато сте на линия и се доближите до нова точка на достъп се

идентифицирате автоматично през нея, без да излизате от предходната връзка. В

WPA2 се използва CCMP. Това е защитен протокол който използва AES. Това е

еквивалент на TRIP в WAP. CCMP съобщението се проверява от MIC с помощта на

Cipher Block Chaining Message Authentication Code (CBC-MAC) метода.

WPA 2.0 с AES е стандарт за подобрено криптиране, който американското

правителство одобри е наследник на 3DES стандарта (Triple Data Encryption Standard

– стандарт за трикратно криптиране на данните) и е най-последното решение в

областта на безжичното криптиране. AES елиминира всички уязвимости на WEP

алгоритъма, включително потенциалните DoS атаки. AES е резултат от четири

годишни усилия, обединявайки сътрудничеството между американското

правителство, частната индустрия и академичната общност по света. Това е най-

силното налично криптиране за не военно приложение и може да бъде

експортирано извън пределите на Съединените Щати. AES също така е познат като

FIPS 197. AES изглежда по-рентабилен от TKIP. В допълнение, AES е много по-

ефикасен от изчислителна гледна точка и изисква по-малко процесорно време за

обработване от 3DES. AES ще бъде основна част 802.11i стандарта. Windows XP има

възможност за поддръжка му, карти и драйвери започват да се появяват на пазара от



лятото на 2003 г. , който да отговарят на стандарта. Трябва да се вземе под

внимание, че много платформи, особено точките за достъп, разчитат на хардуера на

радио чиповете, за да изпълняват криптирането, като по този начин избягват

голямо процесорно време за обработка му. WPA 2.0 или 802.11i с AES. За изграждане

на по-голяма сигурност 802.1X предлага и по-ново решение – използване на WPA 2.0

или 802.11i с AES, най голямото възможно криптиране за невоенни цели.

4. FIPS 140

Ако имате намерение да извършвате бизнес с правителствени агенции на

САЩ или Канада, ще се нуждаете от FIPS 140 Level 1 или Level 2 сертификат.

Програмата за сертифициране FIPS 140, представлява обширна документация и

процес на тестване, които демонстрират компютърна обработка на сигурността

между двама крайни потребители. Употребата на IPsec виртуални частни мрежи с

инфраструктура от тип публичен ключ (PKI – public-key infrastructure) и статичен IP

адрес, може да осигури FIPS 140 сертифициране, когато се използва на одобрена

платформа с FIPS.

За да се компенсират слабостите на статичния WEP, някои организации, които не

прилагат правителствени изисквания за сигурност, избират да реализират

виртуални частни мрежи за достъп и мобилност в подмрежите на безжичните LAN.

Поради появяването на 802.1X и динамичния WEP с голямо разнообразие от

шифриращи ключове, подходът на изграждане на виртуални частни мрежи рядко е

необходим извън FIPS среди. В действителност, организациите, които възприемат

виртуалните частни мрежи като условие за сигурна защита, съкращават

процедурата при изграждане на VPN, а това намалява сигурността. При използване

на 802.1X аутентификация може да се запълнят недостатъците в сигурността чрез

този подход.

Следващият анализ изследва как 802.1X може да подобри WLAN сигурността ако се

използват IPsec виртуални частни мрежи. По правило IPsec виртуалните частни



мрежи се разработват по мрежова топология от тип точка до точка, като например

отдалечен достъп чрез набиране (dial remote access).

Все пак, 802.11 мрежите са от тип Layer 2 broadcast domains (домейни на предаване

от слой 2) – по подобие на първоначалните Ethernet с поделени концентратори

(shared hubs). Навсякъде, където има точка за достъп имаме Layer 2 broadcast

domain. Това съответно поражда много спорни въпроси по отношение на

сигурността на слой 2.

IPsec виртуалните частни мрежи предлагат добра сигурност на трето ниво, но

същевременно пораждат и свое собствено множество недостатъци. На първо място,

за предпазване от проблемите на ниво 2 при предаване към всички възли в домейна,

виртуалните частни мрежи изискват клиентски софтуер или персонални защитни

стени, които много трудно се настройват и управляват. Освен това, тъй като DHCP-

базираните (DHCP – Dynamic Host Control Protocol) IPsec виртуални частни мрежи

изискват IP адрес преди да започне процесът на криптиране, то външно

вмешателство може лесно да установи даден IP адрес и да започне атака срещу друг

потребител асоцииран към същата точка за достъп.

Дори ако се използва статично IP адресиране, атакуващите мрежата могат да си

присвоят неизползван IP адрес в съществуваща подмрежа и да осъществят

неоторизиран достъп до други потребители, свързани с точката за достъп. Ако

имаме изградена IPSec виртуална частна мрежа и RADIUS сървър за потребителска

аутентификация, то може да се използва IPsec XAUTH. XAUTH изисква секретен ключ,

поделен между всички, с инвестиране на взаимната аутентификация, осигурена от

IKE (Internet key exchange – обмен на ключове в Интернет). XAUTH е уязвима към

активни атаки и пренася съобщения за готовност под формата на познат обикновен

текст за въвеждане на потребителско име и парола като криптирана полезна

информация.

Може би най-важният недостатък на VPN е голямата сложност и трудното

настройване при изграждане и наличие на голяма потребителска плътност. Докато

безжичните LAN се разпространяват и поддържат все повече потребители,

управлението на виртуалните частни мрежи по отношение на сигурността води до



твърде големи разноски за VPN услугите и тунелиране.

При това, IPsec няма стандартен метод за поддръжка разпространението на

множествени ключове на предаване (multicast keys), така че трябва да се предава

единично видео потокът, а това при наличие на хиляди потребители на една

безжична мрежа води до значително увеличаване на мрежовия трафик.

Могат да се разгърнат както IPsec така и 802.1X сигурността, за да се реализират

възможно най-добрите аутентификация, криптиране и комуникация. 802.1X

осигурява защита на второ ниво от мрежовия слоев модел OSI , която не може да

бъде осигурена от разпространените IPsec VPN на ново 3.

Ако е необходима сигурност FIPS 140 Level 2, обикновено се изисква по-сложната

реализация на IPsec с инфраструктура, използваща публичен ключ (PKI). Този

подход е достатъчно сигурен и обикновено твърде скъп. Но той все още е валидна

опция и напълно прозрачен за 802.1X и слой 2. Тази опция може да бъде включена в

съществуваща 802.1X WLAN, когато е необходимо.

5. WiMAX

Не можем да не отбележим нарастващото значение на новата технология за

достъп WiMax (World Interoperability for Microwave Access) , която също се базира на

лицензиран обхват. Ето в този случай за разлика от Wi-Fi вече могат да се изграждат

платени мрежи за достъп, тъй като качеството на услугата се определя само от

лицензирания оператор и мрежата не подлежи на смущения от случайни

излъчватели или поне подобно действие е незаконно. WiMax се очаква да има

сериозно развитие в близко бъдеще и да се конкурира с другите технологии за

достъп до Интернет, като LAN, ADSL и FTTx.

WiMAX е безжичен широколентов стандарт, който е предназначен да разшири

Wi-Fi мрежите за нуждите, например, на студентски градчета или в крайните части

на големи градове. Стандартът IEEE 802.16e на теория може да предава данни със

скорост до 70Mbps на разстояние до 37 мили. Този стандарт се ползва с подкрепата

на AES. Използва метод за еднопосочно удостоверяване, който се използва X.509



сертификати. Има високо ниво на криптиране на връзката, което прави неговата

защита за момента непробиваема.

Intel цели да превърне WiMAX в ежедневие по целия свят, каквато днес е

ситуацията с Wi-Fi в кафенета и летища. Процесорният гигант предвижда, че през

следващите години WiMAX ще покрие близо 150 милиона души, като този брой ще

нарасне на 1.3 милиарда през 2012 година.

6. WiMAX2

На 04.04.2011г. е одобрен новият стандарт WiMAX 2 , който подържа 802.16m

стандарт със скорост до 300 Mbips. Първоначално IEEE планираше с новия стандарт

да преодолее психологическата граница от 1 гигабит в секунда (Gbps), но в крайна

сметка WiMAX 2 не постигна тази цел. Четири години бяха необходими на IEEE да

вземе окончателно решение за WiMAX 2. През това време много оператори се

насочиха към други технологии за предаване на данни, като LTE (Long Term

Evolution) .

LTE стъпва на усъвършенствани технологии CDMA и UMTS, които поддържат

скорости до 326,4 Mbps. Базовата станция на LTE има радиус на действие от 5 до 100

км, а позвъняванията, инициирани в зоната на LTE, могат да се предават и в мрежи

3G, благодарение на което LTE мрежите са по-евтини от WiMAX. Същевременно, на

изложението CEATEC 2010 корейският гигант Samsung показа оборудване, което

поддържа безжично предаване на данни със скорост до 330 Mbps.3

7. 802.1x IEEE 802.1x - това е сравнително нов стандарт, за основа на който са взети

поправените недостатъци в технологията за безопасност, прилагани в 802.11, вчастност възможностите за взлом WEP, в зависимост от технологията на производителя и т. н. 802.1x предвижда включване към мрежата дори на PDA-устройства, което позволява по-изгодно да се приложи самата идея за безжична връзка. От друга страна, 802.1x и 802.11 са съвместими стандарти. 802.1x е базирана на следните протоколи.



EAP (Extensible Authentication Protocol). Протокол за разширена автентификация. Използва се съвместно с RADIUS-сървър в големи мрежи. TLS (Transport Layer Security). Протокол, който осигурява цялостност и кодиране на предаваните данни между сървърите и клиентите, взаимната им автентификация, като предотвратява прихващането и подмяната на съобщения. RADIUS (Remote Authentica-tion Dial-In User Server). Сървърна автентификация на потребителите с име и парола. Така се появява новата организация на работа с клиентски мрежи. След като потребителят премине фазата на автентификация, му се изпраща секретен ключ в кодиран вид на определен кратък период от време - това е срокът на действие на сеанса. При неговото изтичане се генерира нов шифър, който отново се изпраща на потребителя. Протоколът за защита на транспортно ниво TLS осигурява взаимна автентификация и цялостност на пренос на данните. Всички ключове" са 128-разрядни.

8. VPN

Технологията на виртуалните частни мрежи VPN (Virtual Private Network) е разработка на Intel. Смята се, че тя се използва за защитено свързване на клиента към мрежата чрез общодостъпните Интернет-канали. Принципът на действие на VPN - произведение на т.нар. безопасни "тунели" от потребителя до точката за достъп или до сървъра. И макар VPN първоначално до не е приеман за работа с Wi-Fi, той е пригоден за всеки вид мрежа. За кодиране на трафика във VPN по-често от всякога се прилага протоколът IPSec (в около 70% от случаите), по-рядко - PPTP или L2TP. При тази операция могат да се използват алгоритми като DES, Triple DES, AES и MD5. VPN се поддържа на много платформи - Windows, Linux, Solaris, както с програмни, така и с технически средства. Струва си да се отбележи и високата надеждност - макар че още не са фиксиране случаите на пробив във VPN-мрежи. Обикновено VPN се препоръчва за големите корпоративни мрежи, тъй като за домашните потребители инсталирането и настройките могат да се окажат твърде трудоемки и обемни като работа. Няма да мине и без някои отрицателни моменти - при прилагането на технологията се налага да се пожертва около 35% от пропускателната способност на канала.



Как да изхвърлим натрапниците от домашната

Wi-Fi мрежа

Ако не сте я защитили надеждно Wi-Fi мрежа, твърде възможно е други хора – ваши съседи или случайни минувачи – с радост да използват пропускателния капацитет, за който плащате вие. Много маршрутизатори с готовност помагат да направите това (да я споделяте – share). С една дума, имате основателни причини да държите своята Wi-Fi мрежа под ключ. Тук ще споделим с вас някои съвети как да откривате хора, които се възползват от вашата безжична мрежа 802.11, и как да ги блокирате.

ПрикриЙте се

Можете да установите настройките на своя безжичен маршрутизатор на „невидим”, така че други потребители, „прослушващи” локални мрежи, да не виждат вашата.

Можете да направите магия



Cisco Network Magic е една от програмите за следене на всеки аспект от вашата мрежа.(Забележка: Всеки модел безжичен маршрутизатор е с различен интерфейс. Понякога различните модели, произведени от една и съща компания, са с различен интерфейс. Но тъй като всички имат подобни инструменти, тук се описват общо. Ако се поразровите сред настройките на вашия маршрути- затор, ще ги намерите.)

Спрете да излъчвате името си

Повечето маршрутизатори излъчват по подразбиране вашия the SSID (Service Set Identifier). SSID е името на локалната безжична мрежа и то се излъчва, за да могат различни устройства с Wi-Fi връзка, като лаптопи и смартфони, да я намират. Но може да се изключи това излъчване – много е просто. Тази операция не е за съвсем несведущи (и няма да попречи на някого, който вече знае вашия SSID, да се свърже с интернет чрез вашата Wi-Fi мрежа), но ще ви предпази поне от случайните крадци на Wi-Fi капацитет. Тогава последните ще предпочетат ябълката на по-ниския клон – например ще потърсят друга открита мрежа. А ако някой вече знае SSID на вашата локална безжична мрежа и искате да прекратите достъпа му до нея, променете SSID. Така нахалниците ще бъдат объркани – поне за известно време. Дава се на мрежата някое по-сложно име и ги оставете да си блъскат главата.

Управление на настройките на DHCP



Можете да контролирате броя на IP адресите,които вашият маршрутизатор задава, според броя на устройствата във вашата мрежа.

Управление на MAC адреси

Настройте маршрутизатора така, че да разрешава само MAC адресите на вашите собствени устройства. Това е чудесен начин да се предпазите от натрапници.

Сменяйте името на вашата Wi-Fi мрежа колкото се може по-често, за да ги затрудните още повече. (Тази мяка обаче е съмнителна, ако криптирането е активирано.) Но имайте предвид, че ако изключите излъчването на вашия SSID, на вас самите ще ви е много трудно да добавяте нови устройства към вашата мрежа. Затова има вероятност усилията за внедряване на тази мярка да не си струват.



Ограничете броя на IP адресите

Мрежите използват IP адреси, за да „общуват“. На всяко устройство, свързано с маршрутизатора (router, или рутер), се задава временен IP адрес, с помощта на протокола Dynamic Host Control Protocol (DHCP). Това може да ви спести много време. Но ако искате да поемете напълно контрола над вашата безжична мрежа, задавайте сами статични адреси на всяко мрежово устройство – т.е. на всеки прено- сим компютър, телефон, система за игри или друга джаджа, която използва Wi-Fi за връзка с интернет. Това обаче ще коства твърде много усилия и едва ли си струва, освен ако сте заклет привърженик на тоталния контрол.

Има и друг вариант: ограничете броя на IP адресите, които DHCP да раздава. Ако знаете, че към вашата безжична мрежа са свързани шест устройства, задайте само шест адреса. Не забравяйте, че IP адреси получават устройствата, свързани както с кабелна, така и чрез безжична връзка, така че в списъка добавете и всички устройства с Ethernet връзка: настолни компютри, телевизори, конзоли за игри и др.

Накрая повечето нови модели маршрутизатори извършват DHCP резервация. Това гарантира, че всеки път, когато дадено устройство се свърже с мрежата, получава един и същ IP адрес. Без резервация адресът би се променил. Ако устройствата запазват едни и същи IP адреси за свързване с дадена безжична мрежа, на тях им е по-лесно да обменят информация по нея – особено когато използвате вашия персонален компютър в качеството на сървър за видео, свързан с конзола за игра (например Xbox или PS3).

Блокирайте MAC

Можете да се проверят изброените MAC адреси за всяко устройство, което общува с вашия маршрути- затор, и да ги сравните с MAC адресите, отпечатани физически на вашия хардуер. Ако в списъка видите MAC адреси, които не отговарят на тези на вашето оборудване, вероятно някой се е възползвал от безжичната ви мрежа.

След това намерете филтрите за MAC адреси (MAC Address Filters) в настройките на вашия маршрути- затор. Укажете му да позволява само MAC адресите, които желаете. Това налага да въвеждате нов MAC адрес всеки път, когато включвате нов, базиран на Wi-Fi продукт към вашата мрежа. Освен това този метод не е за несведущи, защото MAC адресите могат да бъдат подправени с подходящи инструменти, но това обикновено се прави от опитни хакери, а не от случайни потребители.



Обратно – вашият филтър може да бъде настроен така, че да отказва достъп до MAC адресите във ва- шия списък – например тези, за които знаете, че не са ваши, но се появяват в DHCP списъка.

Криптирайте вашата безжична мрежа

Разбира се, най-естественият начин да попречите на хората да се възползват от вашата безжична мрежа, и при това да я запазите леснодостъпна за самия вас и за приятелите ви, е да я криптирате с помощта на добре установения протокол Wi-Fi Protected Access (WPA), с който се доставят почти всички модерни устройства, които имат връзка с безжична мрежа.

При все това може би имате устройства от старата школа, които използват единствено стария WEP, прословут с това колко лесно може да бъде крекнат. Можете да използвате и него, но така мрежата ви ще бъде малко по-уязвима. Все пак това е по-добре от нищо. Защитата чрез WEP прилича на врата със счупена ключалка – добре, че изобщо имате врата.

Може би имате и устройства, които използват Wi-Fi Protected Setup (WPS – установяване на защитена Wi-Fi връзка). Тя работи с WPA. Натиснете бутон на маршрутизатора и след това съответния бутон на устройството с Wi-Fi връзка и двата ще генерират напълно неразбиваема парола, която дори вие няма да знаете. Вие трябва само да знаете главната парола на маршрутизатора. Не всички устройства с Wi-Fi връзка поддържат този режим, така че е най-добре сами да си изберете някоя супернеоткриваема парола.



Контрол на мрежата

Cisco Network Magic Pro 5.5 улеснява откриването на натрапници. С тази програма можете да установите споделено ползване и да добавяте устройства към вашата мрежа.

Установете WPA

Ако вашият маршрутизатор предлага WPA криптиране, установете го на всяка цена. А ако имате по-стармаршрутизатор, криптирайте чрез WEP.



Малко магия

Cisco Network Magic Pro 5.5 (цена при директно закупуване 39.99 USD) си остава носител на наша- та награда „Избор на редакторите“ за продукти за следене на дейността в домашни мрежи, както и за откриване на прониквания. Той работи с почти всички домашни мрежи (особено с тези с маршру- тизатори Cisco и Linksys), за да имате по-солидни и по-защитени връзки. Освен това той извежда карта на домашната мрежа на екрана, на която се вижда кой не би трябвало да е свързан към нея. Всъщност последната версия на Cisco Network Magic Pro 5.5 използва протокол за конфигуриране на домашна мрежа (home network administration protocol (HNAP)), за контрол на настройките за защита на повечето маршрутизатори. Когато работи, той осигурява бърз начин за отстраняване на заплахи за сигурността. Има и други продукти, които може да ви помогнат – например Who’s On My WiFi и AirSnare.

Wi-Fi сертифицирани продукти

Wi-Fi Alliance е възложил на повече от 11,000 продуктови сертификати за

устройства, които са били тествани за съвместимост и да се гарантира, че те са добри съседи на друго Wi-Fi оборудване. При покупка на Wi-Fi сертифицирани продукти, можете да бъдете уверени, че те са били тествани, за да работят добре и съдържат най-новите функции за сигурност.

Wi-FiCertified™продукти

Wi-Fi Certified е програма за тестване на продукти 802.11 стандарти за оперативна съвместимост, сигурност, лесен монтаж и надеждност. Wi-Fi CERTIFIED логото е гаранция, че Wi-Fi Alliance е тествал продукти в множество конфигурации, както и с разнообразно вземане на проби от други устройства, за да се гарантира съвместимост с други Wi-Fi CERTIFIED оборудвания, които работят в една и съща честота.

Търсете логото Wi-Fi сертифицираните устройства носят Wi-Fi CERTIFIED лого и са достъпни

чрез големите търговци на електроника. Избора на Wi-Fi сертифицирани продукти, ви позволява да смесвате и съчетавате устройства от различни производители, прави създаването на мрежата ви бързо и лесно и ви позволява да изберете най-новите и най-функционални приложения. Wi-Fi CERTIFIED лого е гаранция, че даден продукт е изпълнил строгите изисквания за оперативна съвместимост, тестове, за да се гарантира, че съвместими продукти от различни производители ще работят заедно. Проверете за Wi-Fi CERTIFIED лого с цветово кодирани стандартни икони индикатори (СИП) върху опаковката на продукта, или търсете на сайта сертифицираните продукти, преди да направите покупка на Wi-Fi.



Wi-Fi в нашия живот

Днес Wi-Fi продуктите могат да правят всичко - от изпращане на имейл до свързване на международни конферентни видео разговори - дори и свързването към Интернет от самолет 10,000 фута във въздуха, или малко по-надолу по коридора. Продукти за всички тези нужди, идват в много форми, за да отговорят на всички ваши нужди, някои от тях за по-малко от няколко долара. За да стигнеш там, където сме днес, тя е предприела голямо сътрудничество между хиляди компании, изследователи и инженери, за да разработват продукти, които работят заедно безпроблемно. В средата на 1990-те години, международен консорциум на техническите експерти от много технологични компании започват да работят заедно чрез организация, наречена IEEE (Институт на инженерите по електротехника и електроника, известна като "I-тройна E"), за да разработват нови стандарти. Всеки може да използва Wi-Fi, почти навсякъде по света .Wi-Fi ви свързва ... с Вашия офис, вашето семейство,с забавления,със света. Той е наличен в хиляди устройства и милиони места. Wi-Fi има по нещо за всеки. Ако не сте запознати с технологията, ще ви хареса начина, по който ви позволява да се свържете в движение и да споделяте една интернет връзка в дома си. Wi-Fi технологията държи хората, свързани докато са в движение. Сега повече от всякога, Wi-Fi е лесно достъпна в повечето летища в света. Wi-Fi технологията запазва пътниците, свързани по влакове и автобуси в световен мащаб и автомобилните производители включват Wi-Fi в колите. Wi-Fi работи навсякъде и е на разположение в световен мащаб.

Wi-Fi вече не е само за PC мрежи. Wi-Fi технологията може да позволи свързване на телевизори, игрови конзоли, медийни библиотеки и други устройства за забавление заедно, така че можете да се насладите на всичките си готин мултимедийно съдържание - без значение къде се намирате в къщата.

Wi-Fi означава всички в семейството да споделяте интернет връзка с преносими компютри, игрови конзоли, телефони и др. Семействата могат да използват гласа си или дори видео през Wi-Fi, за да поддържате връзка с любимите хора в целия град или в целия свят.

Можете също да използвате Wi-Fi, за да споделят неща, като едно семейство принтер или твърд диск за музика, видео и снимки. Не е трудно да се създаде проста домашна мрежа. И добавяне на нови устройства към мрежата, както и създаване на защита на сигурността, която е бърза и лесна с продукти, които поддържат Wi-Fi Protected Setup ™.

Wi-Fi технология е мрежова технология на избор в широк спектър от учебните заведения от oсновно до висше образование.



Използвана литература:

http://pcworld.bg/

http://www.digital.bg/

http://sagabg.net/PCMagazine/article-243.html

http://www.mrejata.us/articles.php?article_id=80

http://www.pcmagbg.net/

http://windows.microsoft.com/bg-bg/windows-vista/making-your-network-more-secure

http://wifi.radosi.com/

http://bg.wikipedia.org/wiki/Wi-Fi

http://networkworld.bg/

http://www.wi-fi.org/

http://ezinearticles.com/?What-Are-WEP,-WPA,-TKIP,-AES-and-PSK-In-Simple-

Terms?&id=3684974

http://pcworld.bg/5847_bezopasnostta_na_wifi_mrezhite__osnovni_tehnologii_za_zashtita


Реферат на Илия Илиев и Димитрина Сталева на тема „Безопасност и защита на Wi Fi”

http://pcworld.bg/

http://www.digital.bg/

http://sagabg.net/PCMagazine/article-243.html

http://www.mrejata.us/articles.php?article_id=80

http://www.pcmagbg.net/

http://windows.microsoft.com/bg-bg/windows-vista/making-your-network-more-secure

http://wifi.radosi.com/


http://networkworld.bg/

http://www.wi-fi.org/

http://ezinearticles.com/?What-Are-WEP,-WPA,-TKIP,-AES-and-PSK-In-Simple-Terms?&id=3684974

http://ezinearticles.com/?What-Are-WEP,-WPA,-TKIP,-AES-and-PSK-In-Simple-Terms?&id=3684974

http://pcworld.bg/5847_bezopasnostta_na_wifi_mrezhite__osnovni_tehnologii_za_zashtita


диан ф.ном.11054

Documents