Научная статья на тему 'Инновационные способы защиты беспроводных компьютерных соединений в целях обеспечения экономической безопасности'

Инновационные способы защиты беспроводных компьютерных соединений в целях обеспечения экономической безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1447
166
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Лабутин Николай Григорьевич

Беспроводные сети завоевывают все большую и большую популярность, но в плане безопасности они обладают определенными недостатками. Пробелы в защите Wi-Fi-сетей позволяют злоумышленникам успешно осуществлять перехват информации, что может нанести значительный экономический ущерб владельцу информации, обрабатываемой в компьютерной сети. Исходя из возрастающей популярности использования Wi-Fi-сетей, в статье рассматриваются как уже применяемые традиционные способы защиты информации в беспроводных сетях, так и новые, предлагаемые автором статьи, способы.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Innovation ways of protection of wireless computer connections for the purposes of provision of economic safety to organizations

Wireless network gains greater and greater popularity, but, in the plane of safety they possess certain defects. Gaps in protection of Wi-Fi-nets allow the malicious offenders to successfully realize the interception of information that can inflict the significant economic damage to the owner of information, processed in the computer network. Emphasizing the increasing popularity of Wi-Fi-nets, the article considers already aplicable traditional ways of protection of information in wireless network, including new ways.

Текст научной работы на тему «Инновационные способы защиты беспроводных компьютерных соединений в целях обеспечения экономической безопасности»

косвенными показателями, поддающимися довольно простому учету. В ряде случаев этот метод давал хорошие результаты.

Однако необходимым условием его применения является достаточное развитие рыночных отношений и адекватные цены на электроэнергию и грузовые перевозки. Если цены являются регулируемыми и не отражают действительной стоимости энергии или существуетвозможность длительное время не оплачивать потребление электроэнергии ввиду имеющихся социальных и других льгот, динамика потребления электроэнергии может значительно отличаться от динамики промышленного производства не только по величине, но даже и по направлению. То же относится и к грузовым перевозкам. Поэтому в современных российских условиях этот метод неприменим.

Дополнительные выборочные обследования могут быть использованы для получения необходимой информации о параметрахскрытой (неформальной) экономической деятельности.

Однако следует учитывать, что если экономические единицы скрывают параметры своей деятельности, они скорее всего откажутся принимать участие и в обследованиях либо намеренно исказят предоставляемую информацию. Поэтому наи-

более эффективным является сбор не прямой, а косвенной информации о масштабах скрываемой деятельности, которая потом может быть использована для дальнейших расчетов.

Примером регулярно проводимых обследований такого рода является обследование неорганизованных вещевых и продуктовых рынков для определения параметров неформальной торговой деятельности. Другим примером является проведение обследования домашних хозяйств на предмет отработанного рабочего времени. Информация, полученная таким образом, может быть использована для определения параметров скрытого (неформального) производства в ряде отраслей.

Экспертные оценки в ряде случаев могут быть достаточно эффективны, особенно если требуется дать качественные оценки или определить общую тенденцию развития исследуемого явления. Данные налоговой инспекции могут быть использованы для определения средних размеров доходов граждан, занимающихся различными видами индивидуальной предпринимательской деятельности. Оценка экспертов таможенной службы используется для проведения досчетов количества некоторых видов продуктов, контрабандно ввозимых в Россию в виде сырья.

S

з-

ъ

со

S

I

г

Q.

о

о

0

1

о

ъ

с

о

со

ф

Ю

8

о

0

1

8

со

§

I

ф

ф

с

о

ф

Ю

О

i5

§

3-

Н.Г. Лабутин

Лабутин Николай Григорьевич — доцент кафедры управления и информационно-технического обеспечения

Нижегородской академии МВД России, кандидат технических наук

E-mail: ko [email protected]

s

s

I?

о

0 X

-Q

1 Q.

s

s

-Q

с

s

Инновационные способы защиты беспроводных компьютерных соединений в целях обеспечения экономической безопасности организации

I

?!

со

о

&

о

»о

Беспроводные сети завоевывают все большую и большую популярность, но в плане безопасности они обладают определенными недостатками. Пробелы в защите Wi-Fi-сетей позволяют злоумышленникам успешно осуществлять перехват информации, что может нанести значительный экономический ущерб владельцу информации, обрабатываемой в компьютерной сети.

Исходя из возрастающей популярности использования Wi-Fi-сетей, в статье рассматриваются как уже применяемые традиционные способы защиты информации в беспроводных сетях, так и новые, предлагаемые автором статьи, способы.

Wireless network gains greater and greater popularity, but, in the plane of safety they possess certain defects. Gaps in protection of Wi-Fi-nets allow the malicious offenders to successfully realize the interception of information that can inflict the significant economic damage to the owner of information, processed in the computer network.

Emphasizing the increasing popularity of Wi-Fi-nets, the article considers already aplicable traditional ways of protection of information in wireless network, including new ways.

Одной из немаловажных составляющих экономической безопасности является информационная безопасность. Поэтому обеспечение безопаснос-

ти информации на всех уровнях в современном, быстроразвивающемся мире является первоочередной задачей. Информационная безопас-

s

?

то

2

Ю

О

о

о

с

о

I

I

о

S

з-

CS

со

0

1 I

X

с

ос

I

S

и

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

и

ц

а

со

и

I

га

рго

с

о

I

с

а

с

о

со

е

б

й

кой

с

е

о

£

S

со

ия

I

е

ч

е

с

с

е

б

о

§

е

ц

й

и

I

е

I

и

еди

о

с

I

р

е

х

ы

£

§

в

о

&

с

е

б

и

а

<0

ы

б

о

с

о

с

с

е

ы

Ї

Ї

о

и

ц

а

в

о

Ї

Ї

S

с

Ї

Ї

£

бут

ность во многом зависит от защищенности инфор-мационныхсистем и компьютерных сетей от несанкционированного доступа, кражи и модификации информации, хранящейся и обрабатываемой в них.

Наряду с обычными проводными компьютерными сетями, многие государственные учреждения, организации, предприятия и фирмы широко используют беспроводные сети, называемые WiFi-сетями. Данные передаются по Wi-Fi-сетям с использованием радиоканала, объединение устройств в сеть происходит без кабельных соединений, что подразумеваетопределенные преимущества в их использовании по сравнению с проводными сетями. Объединение компьютеров в беспроводную сеть не требует прокладки множества кабелей через стены и потолки, то есть пользователи могут добавлять компьютеры, имеющие WiFi-адаптер (устройство для подключения к Wi-Fi-сетям), и прочие беспроводные устройства с минимальными физическими, временными и материальными затратами.

Именно поэтому беспроводные сети в настоящее время находят все более широкое применение в различных сферах человеческой деятельности. Но с позиций безопасности информации, передаваемой с помощью беспроводных сетей, эти компьютерные сети обладают недостатками, использование которых злоумышленниками в своих корыстных целях может нанести экономический ущерб владельцу информации.

Для защиты информации, передаваемой в WiFi-сетях, в настоящее время существует несколько стандартов. Стандарты IEEE 802.1 и 802.11 для беспроводных сетей предусматривают несколько механизмов обеспечения безопасности сети. Для понимания технологии обхода защиты рассмотрим эти механизмы подробнее.

Протокол шифрования передаваемых данных Wired Equivalent Protocol, или WEP, долгое время являлся основой стандарта 802.11. Его основная функция — WEP-шифрование данных при передаче по радио и предотвращение неавторизованного доступа в беспроводную сеть. Для шифрования WEP использует алгоритм RC4, который основан на использовании цифровых ключей шифрования потоков данных2. Сами ключи представляют собой обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104разрядному шифрованию на статическом уровне. Как показало время, WEP оказался не самым надежным механизмом защиты. И, кстати, основная масса атак хакеров пришлась как раз на эпоху внедрения WEP.

Протокол WEP позволяет шифровать поток передаваемых данных на основе алгоритма RC 4 с ключом размером 64 или 128 бит.

Ключи шифрования имеют так называемую статическую составляющую длиной от 40 до 104 бит и дополнительную динамическую составляющую размером 24 бита, называемую вектором инициализации (Initialization Vector, IV).

На простейшем уровне процедура WEP-шифрования выглядит следующим образом3: первоначально передаваемые в пакете данные проверяются на целостность (алгоритм CRC-32), после чего контрольная сумма (Integrity Check Value, ICV) добавляется в служебное поле заголовка пакета. Далее генерируется 24-битный вектор инициализации (IV) и к нему добавляется статический (40-или 104-битный) секретный ключ. Полученный таким образом 64- или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, использующегося для шифрования данных. Далее данные смешиваются (шифруются) с помощью логической операции XOR с псевдослучайной ключевой последовательностью, а вектор инициализации добавляется в служебное поле кадра. Таким образом, из исходных данных формируется зашифрованная посылка.

Основное слабое место защиты с помощью WEP-шифрования — это сам вектор инициализации4. Поскольку его длина — 24 бита, что подразумевает около 16 миллионов комбинаций (2 в 24 степени), то после использования этого количества комбинаций ключ начинает повторяться. Хакеру необходимо найти эти повторы (от 15 минут до часа подбора специальной утилитой) и за секунды взломать остальную часть ключа. Причем соответствующие утилиты для взлома широко распространены в Интернете (например, AirSnort, WEPcrack). После этого хакер может входить в сеть как обычный зарегистрированный пользователь.

Еще один уровень защиты, предусмотренный в протоколе WEP, — это аутентификация пользователей5. Протокол безопасности WEP предусматривает два способа аутентификации пользователей: Open System (открытая) и Shared Key (общая). При использовании открытой аутентификации никакого определения пользователей, собственно, и не существует, то есть любой пользователь может получить доступ в беспроводную сеть. Единственная возможная защита в этом случае — использование WEP-шифрования данных.

Общая аутентификация пользователей подразумевает составление администратором сети списка учетных данных пользователей (имен пользователей и паролей). Как известно, такая защита тоже весьма ненадежна. Учетные данные пользователей хранятся на компьютере — сервере, значит, при компрометации учетной записи администратора или при несанкционированном доступе к серверу учетные данные всех пользователей легко могут попасть в руки злоумышленника.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Еще один механизм защиты — протокол WEP2, который является усовершенствованной версией WEP и применяется в стандарте 802.116. Представленный в 2001 году после обнаружения множества «дырок» в первой версии, WEP2 имеет улучшенный механизм шифрования и поддержку метода шифрования Cerberos V. Но опять-таки с позиций защищенности оставляет желать лучшего. Рассмотрим, почему.

Система аутентификации Open System Authentication (OSA), по умолчанию используемая в протоколе 802.11, весьма несовершенна. Собственно, системы как таковой нет — аутентификацию проходит любой, кто запрашивает. В случае OSA не помогает даже WEP, так как в ходе экспериментов, проводимых независимыми экспертами, было выяснено, что пакет аутентификации посылается незашифрованным.

Access Control List (лист контроля доступа) в протоколе 802.11 не описывается, но используется многими в качестве дополнения к стандартным методам. Основа такого метода — клиентский Ethernet MAC (физический адрес адаптера), уникальный для каждого Wi-Fi-адаптера. Точка доступа ограничивает доступ к сети в соответствии со своим списком МАС-адресов, если клиент есть в списке, то доступ разрешен, нет — значит, запрещен. Но МАС-адрес беспроводного адаптера легко можно подделать, поэтому такая защита не является стопроцентной.

В протоколе 802.11 используется еще один способ защиты — Closed Network Access Control (закрытый контроль сетевого доступа). Принцип его действия не намного сложнее, чем предыдущий: либо администратор разрешает любому пользователю присоединяться к сети, либо в нее может войти только тот, кто знает ее имя — SSID (сетевой идентификатор). Сетевое имя в таком случае служит секретным ключом.

В 2003 году был представлен следующий стандарт безопасности IEEE802.1X, который использует вариант динамических 128-разрядных ключей шифрования, то есть периодически изменяющихся во времени7. Таким образом, пользователи сети работают сеансами, по завершении которых им присылается новый ключ. Например, Windows XP поддерживает данный стандарт, и по умолчанию время одного сеанса равно 30 минутам.

Основой стандарта IEEE 802.1X является протокол WPA (Wi-Fi Protected Access)8. Главная особенность этого протокола — использование технологии динамической генерации ключей шифрования данных, построенной на базе протокола TKIP (Temporal Key Integrity Protocol), представляющего собой дальнейшее развитие алгоритма шифрования RC 4. По протоколу TKIP сетевые устройства работаютс 48-битовым вектором инициализации (в отличие от 24-битового вектора WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей. В протоколе TKIP предусмотрена генерация нового 128-битного ключа для каждого передаваемого пакета. Кроме того, контрольные криптографические суммы в WPA рассчитываются по новому методу под названием MIC (Message Integrity Code). В каждый кадр при этом помещается специальный 8-байтный код целостности сообщения, проверка которого позволяет отражать атаки с применением подложных пакетов. В итоге

получается, что каждый передаваемый по сети пакет данных имеет собственный уникальный ключ, а каждое устройство беспроводной сети наделяется динамически изменяемым ключом.

Кроме того, протокол WPA использует расширенную аутентификацию пользователей Extensible Authentication Protocol (EAP), а также поддерживает шифрование по стандарту AES (Advanced Encryption Standard), то есть по усовершенствованному стандарту шифрования, который отличается более стойким криптоалгоритмом, чем алгоритм, реализованный в протоколах WEP и TKIP9.

Дальнейшим развитием протокола WPA является разработанный в 2004 году WPA2 — основа стандарта 802.11i, который считается в настоящее время максимально защищенным стандартом10. Кроме этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков, в частности, в данном направлении преуспевают Intel и Cisco.

При развертывании беспроводных сетей в домашних условиях или небольших офисах обычно используется вариант протокола безопасности WPA на основе общих ключей — WPA-PSK (Pre Shared Key). Далее в статье мы рассматриваем только вариант WPA-PSK, не касаясь вариантов протокола WPA, ориентированных на корпоративные сети, где авторизация пользователей проводится на отдельном RADIUS-сервере, то есть применяются дополнительные способы защиты.

При использовании WPA-PSK в настройках точки доступа и профилях беспроводного соединения клиентов указывается пароль длиной от 8 до 63 символов.

На основании вышесказанного определим наиболее часто используемые способы проникновения в беспроводные сети11. По некоторым оценкам12 95% сетей практически беззащитны и каждый из описываемых ниже методов имеет почти стопроцентный шанс на успех. Поэтому для защиты информации в беспроводных сетях необходимо знать эти способы и уметь им противодействовать, тем более, что в отличие от стационарной сети определение несанкционированных проникновений и поимка нарушителя в беспроводной среде — довольно не тривиальное дело.

Выше были описаны способы защиты сети с помощью листа контроля доступа и фильтрации доступа пользователей по MAC-адресам сетевых адаптеров, используемые в протоколах WEP и WPA. Исходя из слабой защищенности сетей с помощью этих способов, существует метод скрытого проникновения, называемый Access Point Spoofing & MAC Sniffing (Обман точки доступа и MAC-сниффинг).

Access Control List (лист контроля доступа) фактически представляет собой список доступа пользователей ксети и вполне пригоден кисполь-зованию совместно с правильной идентификацией пользователей в этом списке. В случае сравнения МАС-адресов Access Control List очень просто

s

s

а-

то

s

I

г

Q.

О

О

0

1

о

то

с

о

<0

»о

>s

8

о

0

1

8

со

§

I

ф

ф

с

О

Ф

Ю

О

£

§

з

S

I

ф

I

S

?!

О

0 X

-Q

1 Q.

S

s

с

2 S

I

§

со

о

&

о

ф

Ю

ъ

со

2

Ю

о

о

о

с

о

I

I

о

S

3

CS

со

0

1 I

X

с

ос

I

S

woHomvEeKati БEЭOпacнocтb roevAaPCTBa:

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

ПOЛИTИVECKИE oP^H^Pbh 3aKonoAaTEfib4ME ПPИOPИTETЫt Практика OБECПEVEИИЛ

и

и

а

CO

и

I

e

&

с

0

1

с

а

с

о

со

е

VO

>s

8

с

е

0

1

8

CO

ия

I

е

ч

е

с

с

е

VO

о

§

е

3-

>s

и

I

е

I

и

еди

о

с

I

р

е

><

-Q

I

5

CO

о

6

с

е

»o

и

а

<0

3

»o

о

с

о

с

с

е

з

ї

ї

о

и

З-

а

оо

о

ї

ї

S

і—!

ї

ї

£

»о

обойти, так как МАС-адрес просто изменить (беспроводные сетевые карты позволяют программно менять МАС-адрес). Перехватить список доступа еще проще, так как он в случае с WEP передается в открытом виде, а в случае WPA — хоть и в зашифрованном, но с недостатками, указанными выше. Таким образом, проникнуть в сеть, защищенную Access Control List, элементарно просто, что позволит использовать все ее преимущества и ресурсы.

Одним из вариантов обмана точки доступа может быть установка собственной точки доступа рядом с сетью, к которой надо осуществить скрытый доступ или перехват информации. В этом случае, если ваш сигнал сильнее оригинального, то клиент подключится именно к вашей точке доступа, а не к той, которая принадлежит атакуемой сети, передав при этом не только МАС-адрес, но и пароль, и прочие данные.

Если в беспроводной сети используется протокол WEP, то атаки производятся исходя из алгоритма шифрования данных в WEP, который заключается в следующем13:

— исходные данные проходят проверку целостности, и выдается контрольная сумма (integrity check value — ICV); в стандарте 802.11 для этого используется алгоритм CRC-32;

— контрольная сумма ICV добавляется в конец данных;

— генерируется 24-битный вектор инициализации (IV) и за ним прикрепляется секретный ключ, полученное значение является исходным для генерации псевдослучайного числа;

— генератор случайных чисел выдает ключевую последовательность;

— данные шифруются методом XOR с этой ключевой последовательностью;

— вектор инициализации добавляется в конец последовательности данных и все это передается в эфир.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

На слабости защиты данных по этому алгоритму основаны представленные далее атаки14.

Атака Plaintext (открытый текст) основана на том, что атакующий знает исходное послание и имеет копию зашифрованного ответа. Недостающее звено — это ключ. Для его получения атакующий посылает точке доступа сети небольшую часть данных и получает ответ, затем с помощью специальных утилит (например, AirSnort, WEP-crack) определяется 24-битный вектор инициализации, используемый для генерирования ключа. Нахождение ключа в этом случае всего лишь дело времени и зависит от скорости перебора символов утилитой.

Другой вариант атаки — обычное использование логической операции ИЛИ — НЕ (XOR). Если перехвачены посланные в незашифрованном виде данные (plain text) и их зашифрованный вариант, то достаточно выполнить операцию XOR с шифром и на выходе получить ключ, который вместе с вектором дает возможность вставлять

пакеты данных в сеть без аутентификации на точке доступа.

Следующая атака называется «Повторное использование шифра». При ее осуществлении атакующий выделяет из пакета данных ключевую последовательность. Так как алгоритм шифрования WEP на вектор отводит довольно мало места, атакующий может перехватывать ключевой поток, используя разные векторы инициализации, создавая для себя их последовательность. Таким образом, хакер может расшифровывать пакеты данных, используя все ту же операцию XOR, когда по сети пойдут зашифрованные данные при помощи сгенерированных ранее ключевых потоков, то их можно будет расшифровать.

Существует еще один вид атак, названный Fluhrer-Mantin-Shamir по фамилиям работника фирмы Cisco Scott Fluhrer и сотрудников научного института Израиля Itsik Mantin и Adi Shamir, обнаруживших этот вид атак, который основан на уязвимости в алгоритме Key Scheduling Algorithm (KSA), применяемом в RC4.

С помощью этой уязвимости можно получить как 24-битный ключ WEP, так и 128-битный ключ WEP2. В результате исследований этих ученых были разработаны и представлены на всеобщее обозрение две программы — Airsnort и WEPCrack.

Атака Low-Hanging Fruit (низко висящие фрукты) фактически даже не можетназываться атакой, так как состоит в обычном подключении и использовании ресурсов незащищенных сетей.

Большинство беспроводных сетей абсолютно не защищены, в них не требуется авторизации и, зачастую, даже не используют WEP или WPA, так что любой желающий с беспроводной сетевой картой и сканером может легко подключиться к точке доступа сети и использовать все ресурсы, ею предоставляемые. Отсюда и название — «низко висящие фрукты», которые сорвать не составляет никакого труда.

Технологии «взлома» беспроводной сети с протоколом WEP в большинстве случаев достаточно просты. В их основе лежит применение специальных утилит15 (например, aircrack2.4, cmac).

Некоторые скажут, что это малоактуально, так как WEP-протокол давно не используют, ведь на смену ему пришел более стойкий протокол WPA. Отчасти это действительно так, но только отчасти. Дело в том, что в некоторых случаях для увеличения радиуса действия беспроводной сети разворачиваются такназываемые распределенные беспроводные сети (WDS) на базе нескольких точек доступа. Но самое интересное заключается в том, что распределенные сети не поддерживают WPA-протокола и единственной допустимой мерой безопасности в данном случае является применение WEP-шифрования. Ну а «взлом» WDS-сети осуществляется абсолютно так же, как сети на базе одной точки доступа.

Несанкционированный доступ кбеспроводной сети с более защищенным протоколом WPA не

намного сложнее процедуры «взлома» сетей с WEP-протоколом. Для этого могут быть применены утилиты airodump, aircrack.

Исходя из описанных выше способов несанкционированного доступа («взлома») к компьютерной информации, для создания надежной системы безопасности беспроводных сетей предлагаются следующие способы защиты.

Самым надежным способом считается использование виртуальных частных сетей VPN (Virtual Private Network)16. Технология виртуальных частных сетей Virtual Private Network (VPN) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN очень хорошо себя зарекомендовали с точки зрения шифрования и надежности аутентификации.

Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. Шифрование данных по протоколу IP Security (IPSec) используется примерно в 65—70% случаев применения VPN. С его помощью обеспечивается практически максимальная безопасность линии связи.

И хотя технология VPN не предназначалась изначально именно для Wi-Fi, она может использоваться для любого типа сетей, и идея защитить с ее помощью беспроводные их варианты одна из лучших на сегодня.

Для VPN выпущено уже достаточно большое количество программного (Windows 2000/XP/ 2003/Vista/7, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа, а пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка данных выносится за ее пределы.

Создание беспроводной виртуальной частной сети предполагает установку шлюза непосредственно перед точкой доступа и установку VPN-клиентов на рабочихстанцияхпользователей сети. Путем администрирования виртуальной частной сети осуществляется настройка виртуального закрытого соединения (VPN-туннеля) между шлюзом и каждым VPN-клиентом сети. Впрочем, VPN-сети очень редко используются в небольших офисных сетях и практически не используются в домашних условиях. Как и стандарт 802.1x, VPN-сети — прерогатива защищенных корпоративных сетей.

Кроме применения VPN, необходимо также соблюдать следующие правила при организации и настройке Wi-Fi-сети.

Если есть возможность использовать стандарт 802.1х(например, точка доступа его поддержива-

ет, имеется RADIUS-сервер) — воспользуйтесь им (впрочем, как было указано выше, уязвимости есть и у 802.1х).

Перед покупкой сетевых устройств внимательно ознакомьтесь с документацией. Узнайте, какие протоколы или технологии шифрования ими поддерживаются. Проверьте, поддерживают ли эти технологии шифрования операционные системы (ОС), установленные на компьютерах сети. Если ряд технологий не поддерживается со стороны ОС, то это должно поддерживаться на уровне драйверов сетевых устройств.

Если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Настраивайте абонентский пункт только по проводной сети. Не используйте по радиоканалу протокол управления SNMP, web-интерфейс и telnet.

Если точка доступа позволяет управлять доступом клиентов по MAC-адресам (Media Access Control, в настройкахможетназываться Access List), используйте эту возможность. Хотя MAC-адрес и можно подменить, тем не менее, это дополнительный барьер на пути злоумышленника.

Если оборудование позволяет запретить трансляцию в эфир идентификатора SSID, используйте эту возможность (опция может называться «closed network»), но и в этом случае SSID может быть перехвачен при подключении легитимного клиента.

Запретите доступ для клиентов с SSID по умолчанию «ANY» (все), если оборудование позволяет это делать. Не используйте в своих сетях простые SSID — придумайте что-нибудь уникальное, не завязанное на названии вашей организации и отсутствующее в словарях.

Располагайте антенны как можно дальше от окон, внешних стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «с улицы». Используйте направленные антенны, не используйте радиоканал по умолчанию.

Если при установке драйверов сетевых устройств предлагается выбор между технологиями шифрования WEP, WEP/WPA (средний вариант), WPA, выбирайте WPA (в малых сетях можно использовать режим Pre-Shared Key (PSK)). Если устройства не поддерживают WPA, то обязательно включайте хотя бы WEP. При выборе устройства никогда не приобретайте то, что не поддерживает даже 128-битный WEP

Всегда используйте максимально длинные ключи. 128 бит — это минимум (но если в сети есть карты 40/64 бит, то в этом случае с ними вы не сможете соединиться). Никогда не прописывайте в настройках простые или очевидные ключи и пароли (например, день рождения, 12345), периодически их меняйте (в настройках обычно имеется удобный выбор из четырех заранее заданных ключей — сообщите пользователям о том, в какой день недели какой ключ используется).

s

s

а

то

s

I

г

Q.

О

О

0

1

о

то

с

о

<0

»о

>s

8

о

0

1

8

со

§

I

ф

ф

с

О

Ф

Ю

О

£

§

3

S

I

ф

I

S

?!

О

0 X

1 Q.

S

s

с

2 S

I

§

со

о

&

о

ф

Ю

CS

со

2

Ю

О

о

о

с

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

о

I

I

о

S

ГЭ-

СЕ

со

0

1 I

X

с

ОС

I

S

и

и

3

а

со

и

I

е

&

с

о

X

с

а

с

о

со

е

Ю

>s

S

с

е

о

I

S

3 ия

I

е

4 е

с

с

е

Ю

о

§

е

3

>s

и

I

е

I

и

еди

о

с

I

р

е

><

-Q

I

§

в

о

&

с

е

»о

и

а

<0

3

»о

о

с

о

с

с

е

3

Ї

Ї

о

и

3-

а

в

о

Ї

Ї

S

С

Ї

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Ї

S

'Ї5‘

Не разглашайте посторонним информацию о том, каким образом и с какими паролями вы подключаетесь (если используются пароли). Искажение данных или их воровство, а также прослушивание трафика путем внедрения в передаваемый поток — очень трудоемкая задача при условиях, что применяются длинные динамически изменяющиеся ключи. Поэтому хакерам проще использовать человеческий фактор.

Если вы используете статические ключи и пароли, позаботьтесь об их частой смене. Делать это лучше одному человеку — администратору.

Если в настройках устройства предлагается выбор между методами WEP-аутентификации «Shared Key» и «Open System», выбирайте «Shared Key». Если AP не поддерживает фильтрацию по MAC-адресам, то для входа в «Open System» достаточно знать SSID, в случае же «Shared Key» клиент должен знать WEP-ключ. Впрочем, в случае «Shared Key» возможен перехват ключа, а ключ доступа одинаков для всех пользователей. В связи с этим многие источники рекомендуют «Open System».

Обязательно используйте сложный пароль для доступа к настройкам точки доступа.

Если для генерации ключа предлагается ввести ключевую фразу, то используйте набор букв и цифр без пробелов. При ручном вводе ключа WEP вводите значения для всех полей ключа (при шестнадцатеричной записи вводить можно цифры 0—9 и буквы a—f).

По возможности не используйте в беспроводных сетяхпротокол TCP/IP для организации папок, файлов и принтеров общего доступа. Организация разделяемых ресурсов средствами NetBEUI в данном случае безопаснее. Не разрешайте гостевой доступ к ресурсам общего доступа, используйте длинные сложные пароли.

По возможности не используйте в беспроводной сети DHCP, вручную распределить статические IP-адреса между легитимными клиентами безопаснее.

На всех компьютерах внутри беспроводной сети установите межсетевые экраны (файерволлы, брандмауэры), старайтесь не устанавливать точку доступа вне брандмауэра, используйте минимум протоколов внутри WLAN (например, только HTTP и SMTP).

Регулярно исследуйте уязвимость своей сети с помощью специализированных сканеров безопасности (в том числе хакерских типа NetStumbler), обновляйте прошивки и драйвера устройств, устанавливайте обновления безопасности для Windows.

Отмеченные в статье способы защиты компьютерной информации в беспроводных сетях могут применяться для обеспечения безопасности информации в различных сферах и отраслях экономической деятельности, повышая в целом экономическую безопасность государства.

Таким образом, для успешного противодействия преступности в целях обеспечения экономической безопасности необходимо применять новейшие информационные технологии и разработанные на их основе способы и специальные программные средства компьютерной информации.

Примечания

1. См.: Колисниченко Д.Н. Беспроводная сеть дома и в офисе. — СПб., 2009. — С. 7.

2. См.: Колисниченко Д.Н. Указ. соч. — С. 7—8; Росс Дж. Беспроводная компьютерная сеть Wi-Fi своими руками: установка, настройка, использование. — М., 2009. — С. 3.

3. См.: Росс Дж. Указ. соч. — С. 6.

4. См.: Рэндалл Н. Беспроводные решения / Н. Рэндалл, Б. Сосински. — М., 2007. — С. 11; Росс Дж. Указ. соч. — С. 7.

5. См. там же.

6. См.: Росс Дж. Указ. соч. — С. 9; Рэндалл Н. Указ. соч. / Н. Рэндалл, Б. Сосински. — С. 13.

7. См.: Рекомендации по защите беспроводных сетей // www.Xakep.ru 2009

8. См.: Рэндалл Н. Указ. соч. / Н. Рэндалл, Б. Сосински. — С. 15; Рекомендации по защите беспроводных сетей // www.Xakep.ru 2009

9. См.: Рэндалл Н. Указ. соч. / Н. Рэндалл, Б. Сосински. — С. 16; Рекомендации по защите беспроводных сетей // www.Xakep.ru 2009

10. См.: Леонов В. Безопасность Wi-Fi-сетей // www.ferra.ru/online/networks/s26260/print/. 2008

11. См.: Как взломать Wi-Fi-сеть // hacks.easyforum. ru. 2007; Леонов В. Указ. соч.

12. См.: Как взломать Wi-Fi-сеть // hacks.easyforum. ru. 2007

13. См. там же.

14. См.: Леонов В. Указ. соч.; Как взломать Wi-Fi-сеть // hacks.easyforum.ru. 2007

15. См.: Несколько способов взлома Wi-Fi-сетей // xakz.org. 2008

16. См.: Как взломать Wi-Fi-сеть // hacks.easyforum. ru. 2007; Несколько способов взлома Wi-Fi-сетей // xakz.org. 2008

i Надоели баннеры? Вы всегда можете отключить рекламу.