Размножение пакетов в самоорганизующихся сетях. Самоорганизующиеся сети - будущее связи
В век коммуникационных устройств, социальных сетей и прочих сервисов сообщение на расстоянии и мгновенный обмен информацией кажутся чем-то само собой разумеющимися. Однако возможность оставаться на связи именно в те моменты, когда коммуникационная инфраструктура оказывается нарушенной, приобретает особое значение. Например, на Гаити после недавнего катастрофического землетрясения главным средством связи оказались спутниковые телефоны, предоставленные службами помощи. Но парализовать инфраструктуру сотовой связи могут не только масштабные природные катаклизмы — даже банальное отключение электропитания способны превратить наши мобильные устройства в бесполезные игрушки.
В подобных случаях все более привлекательным вариантом становится создание беспроводной самоорганизующейся (или динамической, или ad hoc) сети. Такая структура формирует сама себя всякий раз, когда специально запрограммированные мобильные телефоны или иные устройства связи оказываются в пределах прямого доступа. Каждое из них выполняет в динамической сети функции и передатчика, и приемника, а также, что очень важно, служит ретрансляционным пунктом для всех ближайших приспособлений. Устройства, расстояние между которыми превышает дальность прямой связи, могут поддерживать связь между собой, если им готовы помочь другие приспособления, находящиеся между ними, передавая сообщения по цепочке, как ведра при пожаре. Иными словами, каждый узел в сети служит и коммуникатором для собственных сообщений, и элементом инфраструктуры для сообщений других узлов.
Помощь при бедствиях — лишь одна из возможных функций самоорганизующихся сетей. Они будут полезны везде, где создание стационарной базы будет слишком долгим, трудным или дорогим. Военные вложили большие деньги в разработку самоорганизующихся систем для применения на поле боя. Динамические сети в вашем доме позволят бытовым приборам находить друг друга и устанавливать связи между собой, избавив от необходимости протягивать провода в спальню или кабинет. Удаленные поселения и малообеспеченные соседи могли бы через беспроводные ad hoc сети получить широкополосный доступ в Интернет. Ученые, исследующие экологические микросреды на верхушках деревьев или гидротермальные источники на дне океана, смогли бы размещать датчики в исследуемых точках, не заботясь о том, будут ли они «слышать» друг друга, или о том, как информация попадет в их компьютер.
Разработка таких сетей ведется уже больше трех десятилетий, но лишь в последние годы успехи теории сетей привели к созданию первых рабочих крупномасштабных систем. В Сан-Франциско новая компания Meraki Network подключила 400 тыс. жителей города к Интернету через свою систему Free the Net, созданную на основе технологии беспроводных самоорганизующихся сетей. Компоненты Bluetooth в сотовых телефонах, компьютерные игровые системы и ноутбуки обеспечивают связь между собой без проводных соединений или специального конфигурирования при помощи технологий динамических сетей. Самоорганизующиеся сети развернуты в ряде удаленных или неблагоприятных мест для сбора информации от маломощных беспроводных датчиков. Для того чтобы подобные сети получили широкое распространение, требуется еще ряд технических прорывов, но на нескольких направлениях успехи уже достигнуты.
Сотовая сеть
Беспроводные самоорганизующиеся сети пока еще редко встречаются. Чтобы понять причину их медленного внедрения, полезно рассмотреть различия между такими новыми технологиями, как сотовые телефоны и Wi-Fi. Когда вы звоните другу по мобильнику, в беспроводной связи задействован только каждый из соединяемых телефонов и ближайшая к нему вышка сотовой связи (базовая станция). Вышки неподвижны и связаны между собой обширной сетью проводов и кабелей. В беспроводных локальных сетях, в частности Wi-Fi, также используются неподвижные антенны и проводные соединения.
Такой подход имеет как достоинства, так и недостатки. Для передачи информации необходима энергия, и в классических беспроводных сетях она запасается в аккумуляторах мобильных устройств (например, телефонов и ноутбуков), а максимально возможная часть коммуникационной нагрузки возлагается на стационарную инфраструктуру, питаемую от электросети. Ширина беспроводной полосы — также фиксированный и ограниченный ресурс. В традиционных беспроводных сетях ширина полосы экономится за счет передачи большей части информации по проводным каналам. Использование стационарной инфраструктуры позволяет создавать большие и наиболее надежные телефонные и WiFi-коммуникационные ресурсы в областях, где потребность в них наиболее велика.
Однако использование фиксированной инфраструктуры делает эти сети уязвимыми: их работа нарушается в случае отключения электропитания и других сбоев даже при исправности отдельных телефонов и других мобильных устройств в зоне действия сети. Надежность динамических сетей намного выше. Если один мобильный прибор отключается, остальные видоизменяют сеть таким образом, чтобы в возможно большей степени компенсировать выбывший элемент. С подключением и отключением устройств сеть подстраивается и «вылечивается» сама.
Но такая перенастройка не дается даром. Сеть должна передавать информацию таким образом, чтобы сообщение могло быть реконструировано даже в том случае, если в ходе передачи послания какие-то звенья цепи связи между отправителем и адресатом прекратят работу. Система должна определять оптимальный путь доставки сообщения адресату даже при условии, что отправляющее устройство не имеет возможности определить местонахождение адресата. Кроме того, сеть должна справляться с неизбежными шумами от множества устройств, одновременно передающих сообщения.
ГЛАВА 26. Самоорганизующиеся сети SON
Одним из подходов классификации беспроводных сетей связи является деление на централизованные инфраструктуры и самоорганизующиеся. Отличительной особенностью самоорганизующихся сетей SON (self-organization) - это возможность в отсутствии централизованной инфраструктуры обмениваться данными любой паре находящихся в зоне радиопокрытия узлов сети. Узлы в SON могут быть одновременно конечными хостами и маршрутизаторами. Соединение организуется на длинные расстояния с помощью специализированных протоколов маршрутизации в промежуточных узлах-маршрутизаторах. Такое соединение называется «многоэтапным или многошаговым» (multihop) . Этапом является участие в этом соединении одного узла - маршрутизатора. В классе SON настоящей главы рассматриваются следующие сети:
· мобильные целевые Ad Hoc сети - Wireless Mobile Ad Hoc Network (MANET);
· беспроводные сенсорные сети - Wireless Sensor Network (WSN);
· беспроводные mesh-сетей Wireless Mesh Network (WMN). Эти сети называют также ячеистыми сетями.
· автомобильные беспроводные сети Vehicular Ad Hoc Network (VANET).
Узлы этих сетей обладают способностью сами находить друг друга и формировать сеть, а в случае выхода из строя какого-либо узла могут устанавливать новые маршруты для передачи сообщений. В главе 24 приводится краткое описание построения самоорганизующихся сетей: MANET, ячеистой сети стандарта 802.11s, ячеистой сети WiMAX (глава 25). В настоящей главе большое внимание уделяется информационной безопасности самоорганизующихся сетей в части анализа угроз (атак) DoS в результате намеренных действий злоумышленника по нарушению работы протоколов маршрутизации.
Функции самоорганизующихся сетей и область их использования
Структура мобильной сети Ad Hoc (MANET) приведена в главе 24. Сети MANET являются распределенной системой, состоящей из мобильных терминалов, снабженных приемо-передатчиками. Они могут организовывать временные сетевые технологии для передачи информации. В сети MANET мобильные устройства выполняют не только функции оконечных станций, но и функции сетевых узлов (роутеров). При этом часто используется не лицензионная полоса частот. Приведем некоторые области применения сетей MANET.
Согласно зарубежным работам наиболее широко применение мобильных сетей Ad Hoc рассматривается для установления связи во время боевых действий. При этом рассматривается установление связи между солдатами, расположенными на земле, в наземном и воздушном транспорте. Большинство узлов связи движутся с различными скоростями. Сети связи с фиксированной инфраструктурой не могут обеспечить надежную связь при таких обстоятельствах высокого темпа и высокой степени непредсказуемости. У системного администратора мало времени для того, чтобы реагировать и реконфигурировать сети. Как правило, сети MANET не требуют администрирования. Временная сеть Ad Hoc может быть развернута, когда создание инфраструктуры невозможно или неэффективно. Например, такая сеть может использоваться, как временное решение на конференциях, а также в незаселенных местах, на которых очень сложно создать инфраструктуру. Небольшое время на развертку сети Ad Hoc делает их незаменимыми при спасательных операциях после катастроф или стихийных бедствий.
Сенсорные сети (WSN)
Сенсорная сеть WSN - это распределенная сеть необслуживаемых миниатюрных узлов, которые осуществляют сбор данных о параметрах внешней среды и передачу их на базовую станцию посредством ретрансляции от узла к узлу с помощью беспроводной связи. Узел сети, называемый сенсором, содержит датчик, воспринимающий данные от внешней среды (собственно сенсор), микроконтроллер, память, радиопередатчик, автономный источник питания и иногда исполнительные механизмы. Возможна также передача управляющих воздействий от узлов сети к внешней среде, Сенсорные сети строятся на основе протоколов IEEE 802.15.4, ZigBee и DigiMesh. С помощью радиосвязи, осуществляемой между узлами сети на основе стандарта ZigBee, создаются самоорганизующиеся и самовосстанавливающиеся сети. Для многих сенсорных сетей характерна мобильность не отдельно каждого узла (как это имеет место в MANET), а отдельной группы узлов. Основное требование к протоколам сенсорных сетей малое потребление энергоресурсов. В сенсорных сетях время их жизнедеятельности прямо зависит от решения вопросов энергопотребления узлов сети.
Сенсорные сети применяются в различных областях - от борьбы с терроризмом до охраны природы. Существует множество приложений, для которых разные производители выпускают разные узлы для создания сенсорных сетей. По области применения приложения сенсорных сетей можно разделить на категории :
· погода, окружающая среда;
· телемедицина;
· чрезвычайные ситуации (пожары, катастрофы и др.);
· военные операции и др.
Ячеистые сети (WMN)
В главе 24 приводится архитектура ячеистой сети (mesh-сети), построенной на протоколе 802.11s, принадлежащем к группе протоколов стандарта 802.11. Как отмечалось выше, mesh-сети могут быть построены на базе протоколов других стандартов- 802.16 и LTE. На рис. 26.1 приведена общая архитектура mesh-сети . Как видно из рисунка mesh-сеть состоит из беспроводной опорной сети (Wireless Mesh Backbone) и поключенных к ней сети Интернет, сети Wi-Fi, сотовых сетей связи, оконечных пользователей. Непрерывной линией обозначен проводный канал, а пунктирной - беспроводный канал.
Беспроводная опорная сеть (Wireless Mesh Backbone) включает следующие маршрутизаторы:
1. mesh-роутер без шлюза (Mesh Router).
2. mesh-роутер c шлюзом (Mesh Router with Gateway), взаимодействующий с Интернетом и остальными типами mesh-роутеров.
3. mesh-роутер c шлюзом и мостом (Mesh Router with Gateway/Bridge), взаимодействующим со всеми mesh-роутерами опорной сети, а также точкой доступа сети WiMAX, базовыми станциями сотовой сети связи и сети WiMAX. узлом сенсорной сети связи (Sink Node), непосредственно с абонентами по проводному или беспроводному каналу.
Рис. 26.1. Архитектура mesh-сети
В работе приводится ещё одна архитектура mesh-сети, позволяющая абонентам дополнительно обеспечивать не только доступ в Интернет, но и связь между собой внутри опорной сети. Сравнивая c MANET и сенсорными сетями, ячеистые беспроводные сети выполняют функцию транзитной сети и отличаются по следующим четырем признакам:
· Роутеры в ячеистых сетях способны пропускать больше трафик и имеют меньше ограничений в плане энергозатрат.
· Сети маршутизаторов могут обеспечить передачу данных на более дальние расстояния.
· Сети маршрутизаторов могут быть использованы в качестве интегратора таких сетей, как Интернет, сотовые сети, беспроводные локальные сети.
· В ячеистых сетях любой роутер имеет, по крайней мере, два радиоканала: один для подключения клиентов, другой для связи с другими роутерами.
Почти любое применение мобильных Ad Hoc сетей, рассмотренное выше, может быть реализовано в беспроводных ячеистых сетях. Основным достоинством ячеистых сетей является способность передавать большие объемы данных на дальние расстояния и обеспечение широкополосного доступа.
Автомобильные беспроводные сети (VANET)
Cоздание автомобильных беспроводных самоорганизующихся сетей VANET предназначено для повышения эффективности и безопасности дорожного движения. В настоящее время при поддержке индустрии, государственных и академических институтов в мире выполняются несколько научно-исследовательских проектов, направленных на разработку и принятие стандартов таких автомобильных сетей. Основные цели использования VANET можно разделить на три группы :
· помощь водителю (навигация, предотвращение столкновений и смена полос);
· информирование (об ограничении скорости или зоне ремонтных работ);
· предупреждение (послеаварийные, о препятствиях или состоянии дорог).
Похожая информация.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
Размещено на http://allbest.ru
Введение
1. Общее описание проблемы
2. Понятие компьютерной сети
3. Введение в сети AdHoc
4. Применение
5. Безопасность
6. Механизмы защиты
7. Безопасность в беспроводных самоорганизующихся сетях
Заключение
Список литературы
Введение
В данной работе рассмотрены беспроводные самоорганизующиеся сети, основные типы атак, проводимые на них и методы повышения безопасности. Выявлены максимально возможные на сегодняшний день средства и методы защиты для обеспечения безопасности в данных сетях.
В последнее время невероятно быстро развиваются беспроводные сети (БС) передачи информации. По пропускной способности они не уступают выделенным медным линиям.
Помехоустойчивость, надежность и защищенность современных протоколов передачи сделали БС передачи информации явлением повсеместным, а оборудование для них - массовым продуктом. Бесспорным лидером на рынке продуктов для БС является оборудование, отвечающее стандартам IEEE 802.11.
В данной работе приведена классификация БС стандарта IEEE 802.11, основное внимание будет уделено беспроводным самоорганизующимся (Ad-Hoc) сетям.
Однако возможность оставаться на связи именно в те моменты, когда коммуникационная инфраструктура оказывается нарушенной, приобретает особое значение.
Парализовать инфраструктуру сотовой связи могут не только масштабные природные катаклизмы - даже банальное отключение электропитания способны превратить наши мобильные устройства в бесполезные игрушки.
В подобных случаях все более привлекательным вариантом становится создание Ad-Hoc сети. Вместе с тем, само понятие БС, приводит к возникновению большого количества возможных уязвимостей для атак и проникновений, которые были бы гораздо затруднены в стандартной проводной сети. Из-за динамически меняющейся топологии сети и отсутствия централизованного управления, данный вид сетей уязвим для ряда атак.
Поэтому аспект безопасности является очень важным в таких сетях. В научной литературе приведены криптографические методы для БС в целом, стандарты безопасности, а также угрозы, атаки и подходы к защите информации.
Приведены разные типы атак, проводимые на Ad-Hoc сети. Для более глубокого изучения данной темы необходимо иметь общее представление об обеспечении максимальной безопасности, учитывая специфику Ad-Hoc сетей.
Эффективность подобных работ в значительной мере определяется правильной оценкой эволюционных процессов, свойственных для отрасли информационных технологий.
Целью данной статьи является на базе изученной научной литературы и статей исследовать Ad-Hoc сети, выявить угрозы криптозащиты, источники их уязвимости, типы атак и, на основании данного исследования, составить перечень методов и средств защиты для обеспечения максимальной безопасности в Ad-Hoc сети.
Первый международный стандарт IEEE 802.11, разработка которого была завершена в 1997г., является базовым стандартом и определяет протоколы, необходимые для организации беспроводных локальных сетей Wireless Local Area Network (WLAN).
Организация WECA - Wireless Ethernet Compatibility Alliance, стала выступать в качестве гаранта совместимости оборудования для БС от разных производителей. В настоящее время членами
WECA являются более 80 компаний, в том числе Cisco, Lucent, 3Com, IBM, Intel и ряд других известных производителей сетевого оборудования. В терминологии WECA соответствие оборудования требованиям IEEE 802.11 обозначается как Wi-Fi (Wireless Fidelity - дословно переводится на русский язык как "беспроводная точность").
Таким образом, за последние несколько лет беспроводные сети получили широкое распространение во всём мире. И, если ранее речь шла преимущественно об использовании беспроводных сетей в офисах и хот-спотах, то теперь они широко используются как в домашних условиях, так и для развертывания мобильных офисов (в условиях командировок).
Специально для домашних пользователей и небольших офисов продаются точки беспроводного доступа и беспроводные маршрутизаторы, а для мобильных пользователей - карманные беспроводные маршрутизаторы. Однако, принимая решение о переходе к беспроводной сети, не стоит забывать, что на сегодняшнем этапе их развития они имеют одно уязвимое место. Речь идёт о безопасности беспроводных сетей.
1. Общее описание проблемы
Безопасность беспроводной сети включает в себя два аспекта: это защита от несанкционированного доступа и шифрование передаваемой информации. Отметим сразу, что решить их сегодня со стопроцентной гарантией невозможно, но обезопасить себя от всевозможных «любителей» можно и нужно. Ведь беспроводное оборудование и программное обеспечение по умолчанию содержит в себе определенные средства защиты, остается только их задействовать и правильно настроить. Однако, прежде чем перейти к оценке этих средств, приведем несколько фактов, подтверждающих остроту проблемы.
Если взглянуть на результаты опроса главных менеджеров IT-компаний, проведенного фирмой Defcom, то складывается любопытная картина. Порядка 90% опрошенных уверенно в будущем беспроводных сетей, но отодвигают ее на неопределенные сроки ввиду слабой защищенности таких сетей на современном этапе. Равновесие, с точки зрения безопасности между проводными и беспроводными сетями, наступит, по их мнению, только через 3-5 лет. И более 60% утверждают, что недостаточная безопасность серьезно тормозит развитие этого направления - нет доверия, соответственно, многие не рискуют отказываться от испытанных временем проводных решений.
Итак, перейдем непосредственно к методам и средствам обеспечения безопасности беспроводных соединений.
Каждая беспроводная сеть имеет, как минимум, 2 ключевых компонента: базовую станцию и точку доступа. Беспроводные сети могут функционировать в двух режимах: ad-hoc (per-to-per) и infrastructure. В первом случае сетевые карточки напрямую общаются друг с другом, во втором при помощи точек доступа, которые служат в качестве Ethernet мостов.
Клиент и «точка» перед передачей данных должны установить соединение. Не трудно догадаться, что между точкой и клиентом может существовать всего три состояния:
- «аутентификация не пройдена и точка не опознана»;
- «аутентификация пройдена, но точка не опознана»;
- «аутентификация принята и точка присоединена».
Понятно, что обмен данными может идти только в третьем случае. До установления соединения стороны обмениваются управляющими пакетами, «точка доступа» передает опознавательные сигналы с фиксированным интервалом, «клиент», приняв такой пакет, начинают аутентификацию посылкой опознавательного фрейма, после авторизации «клиент» посылает пакет присоединения, а «точка» - пакет подтверждения присоединения беспроводного «клиента» к сети.
2. Понятие компьютерной сети
Компьютерной сетью, или сетью ЭВМ, называется комплекс территориально рассредоточенных ЭВМ, связанных между собой каналами передачи данных. Объединенные в сеть компьютеры обладают существенным суммарным вычислительным потенциалом и обеспечивают повышение надежности работы всей системы в целом за счет дублирования ресурсов.
Целесообразность создания компьютерной сети обуславливается следующим: возможностью использования территориально распределенного программного обеспечения, информационных баз данных и баз знаний, находящихся у различных пользователей; возможностью организации распределенной обработки данных путем привлечения ресурсов многих вычислительных машин; оперативному перераспределению нагрузки между компьютерами, включенными в сеть и ликвидации пиковой нагрузки за счет перераспределения ее с учетом часовых поясов; специализацией отдельных машин на работе с уникальными программами, которые нужны ряду пользователей сети; коллективизации ресурсов, в особенности дорогостоящего периферийного оборудования, которым экономически нецелесообразно укомплектовывать каждую ЭВМ.
Основные требования, предъявляемые к современным компьютерным сетям: Простота эксплуатации и доступа пользователя к сети.
Открытость - возможность подключения разнотипных ЭВМ.
Развиваемость - возможность наращивания ресурсов сети и абонентов.
Автономность - работа пользователя на своей ЭВМ не должна ограничиваться тем, что ЭВМ включена в сеть.
Интегральность - возможность обработки и передачи информации различного вида: символьной, графической и др.
Защищенность - возможность пресечения несанкционированного доступа к сети. Небольшое время ответа обеспечивает эффективную работу пользователя в диалоговом режиме в соответствии с назначением сети.
Непрерывность работы - возможность отключения и подключения компонентов сети без прерывания ее работы.
Помехоустойчивость - способность достоверно передавать информацию в условиях помех.
Высокая надежность и приемлемая стоимость услуг сети.
Часть этих требований заложена в международных или национальных стандартах, другие служат предметом межфирменных соглашений и дополнений.
Сеть можно рассматривать как систему с распределенными по территории аппаратурными, программными и информационными ресурсами. То есть, компьютерные сети представляют собой комплекс технических, программных и информационных средств.
Технические средства - это ЭВМ различных типов (от микро до суперЭВМ); системы передачи данных, включая каналы связи, модемы и сетевые адаптеры для подключения ЭВМ к линиям связи; шлюзы, распределители, маршрутизаторы и другое оборудование.
Информационные средства - это единый информационный фонд, содержащий данные разных типов для общего и индивидуального применения.
В состав информационных средств входят базы данных, базы знаний - локальные и распределенные. Программные средства сети предназначены для организации коллективного доступа к ее ресурсам, динамического распределения и перераспределения ресурсов сети, для оптимальной загрузки технических средств, координации работы основных звеньев сети.
Технически, сеть представляет собой набор компьютеров, периферийных устройств (принтеров и т.п.) и коммутационных устройств, соединенных кабелями.
В качестве кабеля используют: витую пару, тонкий коаксиальный кабель, толстый коаксиальный кабель, волоконно-оптический кабель. Самое распространенное соединение - это простая витая пара (twisted pair), представляющая собой два перевитых вокруг друг друга изолированных медных провода.
Локальные компьютерные сети в основном создаются на базе витой пары или тонкого кабеля. Толстый кабель, в основном, используется на участках большой протяженности при требованиях высокой пропускной способности. Волоконно-оптический кабель позволяет создавать протяженные участки без ретрансляторов при не достижимой с помощью других кабелей скорости и надежности.
Однако стоимость кабельной сети на основе волоконно-оптического кабеля достаточно высока. Первоначально сети создавались по принципу: несколько компьютеров с сетевыми адаптерами соединялись последовательно коаксиальным кабелем, причем все сетевые адаптеры выдавали свой сигнал на него одновременно.
Однако, с ростом размеров сетей, работа нескольких компьютеров на единую шину стала неудобной, так как большими стали взаимные влияния друг на друга: случайные повреждения коаксиального кабеля выводили из строя всю сеть.
Поэтому, дальнейшее развитие компьютерных сетей стало происходить на принципах структурирования. В этом случае каждая сеть складывается из набора взаимосвязанных участков - структур.
Каждая отдельная структура представляет собой несколько компьютеров с сетевыми адаптерами, каждый из которых соединен отдельным проводом (витой парой) с коммутатором. Коммутатор - это устройство, осуществляющее жесткое соединение в локальной сети с использованием современных телекоммуникационных технологий.
При необходимости развития, к сети добавляют новую структуру. Существенным свойством такой структурированной сети является ее высокая помехоустойчивость: при нарушении связи между некоторыми ее элементами остальные продолжают сохранять работоспособность.
Структурированная система несколько дороже традиционной сети за счет увеличения расходов на ее проектирование. Но она обеспечивает возможность надежной эксплуатации в течение многих лет. Для сетей, построенных по этому принципу, появляется необходимость в специальном электронном оборудовании.
Одно из таких устройств - hub (host united block) является коммутационным элементом в сети. Каждый hub имеет от восьми до тридцати разъемов (портов) для подключения либо компьютера, либо другого huba. При подключении компьютера к hubу часть электроники сетевого интерфейса находится в компьютере, а часть - в hub.
Такое подключение позволяет повысить надежность соединения. Соединение компьютерных сетей различных организаций, зачастую созданных на основе различных стандартов, вызвало появление специального оборудования: мостов, маршрутизаторов, концентраторов и т.п., - осуществляющих такое взаимодействие.
Мост - это устройство, объединяющее сегменты компьютерной сети, созданной на базе различных технических средств.
Концентраторы используются, если происходит соединение сетей, имеющих высокую скорость передачи, с сетью, которая имеет низкую скорость, то есть концентратор выполняет функцию накопителя информации.
Мосты и концентраторы используются для присоединения компьютера, а для организации трафика (traffic - уличное движение) используются маршрутизаторы, которые преобразуют информацию из одного формата в другой, а также организуют защиту информации. Что можно получить от компьютерной сети, став ее абонентом?
Наиболее эффективны следующие три сетевые услуги. Обеспечение информацией по всем областям человеческой деятельности. Базы первоисточников на оптических дисках и автоматизированные хранилища организованы практически при всех крупных библиотеках и университетах. Электронные коммуникации.
Прежде всего, это электронная почта - передача и прием текстовой и графической информации. На основе электронной почты организуются так называемые телеконференции - взаимный обмен тематической информацией между пользователями-участниками. Удаленное выполнение программ.
Наличие в сети суперкомпьютеров позволяет проводить на них решения сложных научных и коммерческих задач, а результат выводить на любую сетевую станцию. Эта услуга положена в основу всемирной сети Internet, в которой маломощные ПК получают уже готовую обработанную информацию.
3. Введение в сети AdHoc
Беспроводные самоорганизующиеся сети (другие названия: беспроводные ad hoc сети, беспроводные динамические сети) -- децентрализованные беспроводные сети, не имеющие постоянной структуры. Клиентские устройства соединяются на лету, образуя собой сеть. Каждый узел сети пытается переслать данные предназначенные другим узлам. При этом определение того, какому узлу пересылать данные, производится динамически, на основании связности сети. Это является отличием от проводных сетей и управляемых беспроводных сетей, в которых задачу управления потоками данных выполняют маршрутизаторы (в проводных сетях) или точки доступа (в управляемых беспроводных сетях).
Первыми беспроводными самоорганизующимися сетями были сети «packet radio» начиная с 1970-ых годов, финансируемые DARPA после проекта ALOHAnet.
Применение : Минимальное конфигурирование и быстрое развёртывание позволяет применять самоорганизующиеся сети в чрезвычайных ситуациях таких как природные катастрофы и военные конфликты.
В зависимости от применения беспроводные самоорганизующиеся сети могут быть разделены на:
мобильные самоорганизующиеся сети
беспроводные ячеистые сети
беспроводные сенсорные сети
Основные принципы беспроводных Ad-hoc сетей :
Беспроводные сети делятся на две категории -- сети типа Infrastructure (инфраструктурные) и сети типа ad-hoc (специализированные). Для объединения нескольких компьютеров в инфраструктурную сеть используются маршрутизаторы или групповые пункты доступа. В сети ad-hoc не используются маршрутизаторы и групповые пункты доступа. Она состоит из компьютеров, которые осуществляют обмен данными непосредственно друг с другом.
Ad-hoc сети - это множество беспроводных мобильных узлов связи (станций, пользователей), образующих динамическую автономную сеть при помощи полностью мобильной инфраструктуры. Узлы общаются друг с другом без вмешательства централизованных точек доступа или базовых станций, поэтому каждый узел действует и как маршрутизатор, и как конечный пользователь.
Примером может служить соединение нескольких компьютеров беспроводным способом без точки доступа. Нередко такой способ соединения используется на выставках, в конференц-залах.
В Интернете маршрутизаторами в пределах центральных областей сети владеют хорошо известные операторы, и поэтому предполагается некоторая степень доверия к ним. Но это предположение больше не справедливо для Ad-hoc сетей, т.к. ожидается, что все узлы, входящие в сеть, принимают участие в маршрутизации.
Режим IBSS : - Режим IBSS, также называемый ad-hoc, предназначен для соединений точка-точка. На самом деле существуют два типа режима ad-hoc. Один из них является режимом IBSS, называемый также режимом ad-hoc или IEEE ad-hoc. Этот режим определён стандартами IEEE 802.11. Второй режим называется демонстрационным режимом ad-hoc, или Lucent ad-hoc (или, иногда неправильно, режимом ad-hoc). Это старый, существовавший до появления 802.11, режим ad-hoc, и он должен использоваться только для старых сетей.
Шифрование : - Шифрование в беспроводной сети имеет важное значение, потому что у вас нет больше возможности ограничить сеть хорошо защищённой областью. Данные вашей беспроводной сети вещаются по всей окрестности, так что любой заинтересовавшийся может их считать. Вот здесь используется шифрование. Шифруя данные, посылаемые в эфир, вы делаете их прямой перехват гораздо более сложным для всех любопытных.
Двумя наиболее широко применяемыми способами шифрования данных между вашим клиентом и точкой доступа являются WEP и ip-sec:
WEP. WEP является сокращением от Wired Equivalency Protocol (Протокол Соответствия Проводной сети). WEP является попыткой сделать беспроводные сети такими же надёжными и безопасными, как проводные.
IP-sec. ip-sec является гораздо более надёжным и мощным средством шифрования данных в сети. Этот метод определённо является предпочтительным для шифрования данных в беспроводной сети.
Утилиты : - Имеется несколько утилит, которые можно использовать для настройки и отладки беспроводной сети:
Пакет bsd-airtools
Пакет bsd-airtools представляет собой полный набор инструментов, включая инструменты для проверки беспроводной сети на предмет взлома WEP-ключа, обнаружения точки и т.д.
Утилиты bsd-airtools можно установить из порта net/bsd-airtools.
Утилиты wicontrol, ancontrol и raycontrol
Это инструменты, которые могут быть использованы для управления поведением адаптера беспроводной связи в сети. Wicontrol выбирается, тогда когда адаптером беспроводной сети является интерфейс wi0. Если установлено устройство беспроводного доступа от Cisco, этим интерфейсом будет an0, и тогда будет использоваться ancontrol
Поддерживаемые адаптеры : Точки доступа
Единственными адаптерами, которые на данный момент поддерживаются в режиме BSS (как точка доступа), являются те устройства, что сделаны на основе набора микросхем Prism 2, 2.5 или 3).
Клиенты 802.11a и 802.11g
К сожалению, все еще много производителей, не предоставляющих схематику своих драйверов сообществу open source, поскольку эта информация считается торговым секретом. Следовательно, у разработчиков операционных систем остается два варианта: разработать драйверы долгим и сложным методом обратного инжиниринга, или использовать существующие драйверы для платформ Microsoft® Windows.
Благодаря усилиям Билла Пола (wpaul),существует »прозрачная» поддержка Network Driver Interface Specification (NDIS). FreeBSD NDISulator (известный также как Project Evil) преобразует бинарный драйвер Windows так, что он работает так же как и в Windows. Эта возможность всё ещё относительно нова, но в большинстве тестов она работает адекватно.
Базовая инфраструктура современного Интернета, как известно, управляется и поддерживается десятком организаций, часть из которых подконтрольны правительству США. Далеко не всем по нраву такое положение вещей, и потому уже в течение нескольких лет IT-специалисты обсуждают альтернативные способы организации глобальных информационных сетей.
Существует две основных угрозы для безопасного информационного обмена в электронных сетях: это несанкционированный доступ к приватных данным и вмешательство в работу оборудования и устройств с целью нарушить их активность и даже вывести их из строя.
Возможный ответ на эти угрозы заключается в распространении нового типа телекоммуникаций - независимых, децентрализованных сетей, каждое устройство в которых является полноправным участником и несет свою долю ответственности за функционирование сети. Такой тип информационных сетей называется AHN (ad hoc network).
Главная проблема, которая раньше препятствовала развертыванию подобных сетей в глобальном масштабе, происходила из низкой производительности устройств и «узких» каналов связи: маршрутизация и передача необходимой для работы ad hoc-сети данных отнимает системные ресурсы и предъявляет высокие требования к пропускной способности канала, связывающего устройства между собой. Сегодня множество устройств лишены этих недостатков, а значит в ближайшие годы следует ожидать появления экспериментальных ad hoс-сетей, состоящих из тысяч устройств.
А через пару десятилетий беспроводные, или мобильные ad hoc-сети (MANETs, Mobile ad hoc networks) вполне могут стать необходимым условием для безопасной работы будущих транспортных систем, которым предстоит объединить огромное число роботизированных автомобилей, самолетов и поездов. Каждое транспортное средство в такой системе будет получать навигационную и другую информацию напрямую от своих соседей: так можно обеспечить надежность и непрерывность связи для автономного транспорта.
4. Применение
Существует два основных направления применения беспроводных компьютерных сетей:
Работа в замкнутом объеме (офис, выставочный зал и т. п.);
Соединение удаленных локальных сетей (или удаленных сегментов локальной сети).
Для организации беспроводной сети в замкнутом пространстве применяются передатчики со всенаправленными антеннами. Стандарт IEEE 802.11 определяет два режима работы сети -- Ad-hoc и клиент-сервер. Режим Ad-hoc (иначе называемый «точка-точка») -- это простая сеть, в которой связь между станциями (клиентами) устанавливается напрямую, без использования специальной точки доступа.
В режиме клиент-сервер беспроводная сеть состоит, как минимум, из одной точки доступа, подключенной к проводной сети, и некоторого набора беспроводных клиентских станций. Поскольку в большинстве сетей необходимо обеспечить доступ к файловым серверам, принтерам и другим устройствам, подключенным к проводной локальной сети, чаще всего используется режим клиент-сервер.
Без подключения дополнительной антенны устойчивая связь для оборудования IEEE 802.11b достигается в среднем на следующих расстояниях: открытое пространство -- 500 м, комната, разделенная перегородками из неметаллического материала -- 100 м, офис из нескольких комнат -- 30 м.
Следует иметь в виду, что через стены с большим содержанием металлической арматуры (в железобетонных зданиях таковыми являются несущие стены) радиоволны диапазона 2,4 ГГц иногда могут вообще не проходить, поэтому в комнатах, разделенных подобной стеной, придется ставить свои точки доступа.
Для соединения удаленных локальных сетей (или удаленных сегментов локальной сети) используется оборудование с направленными антеннами, что позволяет увеличить дальность связи до 20 км (а при использовании специальных усилителей и большой высоте размещения антенн -- до 50 км).
Причем в качестве подобного оборудования могут выступать и устройства Wi-Fi, нужно лишь добавить к ним специальные антенны (конечно, если это допускается конструкцией).
Комплексы для объединения локальных сетей по топологии делятся на «точку-точку» и «звезду». При топологии «точка-точка» (режим Ad-hoc в IEEE 802.11) организуется радиомост между двумя удаленными сегментами сети. При топологии «звезда» одна из станций является центральной и взаимодействует с другими удаленными станциями. При этом центральная станция имеет всенаправленную антенну, а другие удаленные станции -- однонаправленные антенны.
Применение всенаправленной антенны в центральной станции ограничивает дальность связи дистанцией примерно 7 км. Поэтому, если требуется соединить между собой сегменты локальной сети, удаленные друг от друга на расстояние более 7 км, приходится соединять их по принципу «точка-точка». При этом организуется беспроводная сеть с кольцевой или иной, более сложной топологией.
Мощность, излучаемая передатчиком точки доступа или же клиентской станции, работающей по стандарту IEEE 802.11, не превышает 0,1 Вт, но многие производители беспроводных точек доступа ограничивают мощность лишь программным путем, и достаточно просто поднять мощность до 0,2-0,5 Вт. Для сравнения -- мощность, излучаемая мобильным телефоном, на порядок больше(в момент звонка - до 2 Вт).
Поскольку, в отличие от мобильного телефона, элементы сети расположены далеко от головы, в целом можно считать, что беспроводные компьютерные сети более безопасны с точки зрения здоровья, чем мобильные телефоны.
Если беспроводная сеть используется для объединения сегментов локальной сети, удаленных на большие расстояния, антенны, как правило, размещаются за пределами помещения и на большой высоте.
Беспроводная связь, или связь по радиоканалу, сегодня используется и для построения магистралей (радиорелейные линии), и для создания локальных сетей, и для подключения удаленных абонентов к сетям и магистралям разного типа. Весьма динамично развивается в последние годы стандарт беспроводной связи Radio Ethernet.
Изначально он предназначался для построения локальных беспроводных сетей, но сегодня все активнее используется для подключения удаленных абонентов к магистралям. С его помощью решается проблема «последней мили» (правда, в отдельных случаях эта «миля» может составлять от 100 м до 25 км). Radio Ethernet сейчас обеспечивает пропускную способность до 54 Мбит/с и позволяет создавать защищенные беспроводные каналы для передачи мультимедийной информации.
Данная технология соответствует стандарту 802.11, разработанному Международным институтом инженеров по электротехнике и радиоэлектронике (IEEE) в 1997 году и описывающему протоколы, которые позволяют организовать локальные беспроводные сети (Wireless Local Area Network, WLAN).
Один из главных конкурентов 802.11 -- стандарт HiperLAN2 (High Performance Radio LAN), разрабатываемый при поддержке компаний Nokia и Ericsson. Следует заметить, что разработка HiperLAN2 ведется с учетом обеспечения совместимости данного оборудования с системами, построенными на базе 802.11а. И этот факт наглядно демонстрирует популярность средств беспроводного доступа на основе Radio Ethernet, растущую по мере увеличения числа пользователей ноутбуков и прочих портативных вычислительных средств.
5. Безопасность
Продукты для беспроводных сетей, соответствующие стандарту IEEE 802.11, предлагают четыре уровня средств безопасности: физический, идентификатор набора служб (SSID -- Service Set Identifier), идентификатор управления доступом к среде (MAC ID -- Media Access Control ID) и шифрование.
Технология DSSS для передачи данных в частотном диапазоне 2,4 ГГц за последние 50 лет нашла широкое применение в военной связи для улучшения безопасности беспроводных передач. В рамках схемы DSSS поток требующих передачи данных «разворачивается» по каналу шириной 20 МГц в рамках диапазона ISM с помощью схемы ключей дополнительного кода (Complementary Code Keying, CCK).
Для декодирования принятых данных получатель должен установить правильный частотный канал и использовать ту же самую схему CCK. Таким образом, технология на базе DSSS обеспечивает первую линию обороны от нежелательного доступа к передаваемым данным. Кроме того, DSSS представляет собой «тихий» интерфейс, так что практически все подслушивающие устройства будут отфильтровывать его как «белый шум».
Идентификатор SSID позволяет различать отдельные беспроводные сети, которые могут действовать в одном и том же месте или области. Он представляет собой уникальное имя сети, включаемое в заголовок пакетов данных и управления IEEE 802.11. Беспроводные клиенты и точки доступа используют его, чтобы проводить фильтрацию и принимать только те запросы, которые относятся к их SSID. Таким образом, пользователь не сможет обратиться к точке доступа, если только ему не предоставлен правильный SSID.
Возможность принятия или отклонения запроса к сети может зависеть также от значения идентификатора MAC ID -- это уникальное число, присваиваемое в процессе производства каждой сетевой карте. Когда клиентский ПК пытается получить доступ к беспроводной сети, точка доступа должна сначала проверить адрес MAC для клиента. Точно так же и клиентский ПК должен знать имя точки доступа.
Механизм Wired Equivalency Privacy (WEP), определенный в стандарте IEEE 802.11, обеспечивает еще один уровень безопасности. Он опирается на алгоритм шифрования RC4 компании RSA Data Security с 40- или 128-разрядными ключами. Несмотря на то, что использование WEP несколько снижает пропускную способность, эта технология заслуживает более пристального внимания.
Дополнительные функции WEP затрагивают процессы сетевой аутентификации и шифрования данных. Процесс аутентификации с разделяемым ключом для получения доступа к беспроводной сети использует 64-разрядный ключ -- 40-разрядный ключ WEP выступает как секретный, а 24-разрядный вектор инициализации (Initialization Vector) -- как разделяемый. Если конфигурация точки доступа позволяет принимать только обращения с разделяемым ключом, она будет направлять клиенту случайную строку вызова длиной 128 октетов. Клиент должен зашифровать строку вызова и вернуть зашифрованное значение точке доступа. Далее точка доступа расшифровывает полученную от клиента строку и сравнивает ее с исходной строкой вызова.
Наконец, право клиента на доступ к сети определяется в зависимости от того, прошел ли он проверку шифрованием. Процесс расшифровки данных, закодированных с помощью WEP, заключается в выполнении логической операции «исключающее ИЛИ» (XOR) над ключевым потоком и принятой информацией. Процесс аутентификации с разделяемым ключом не допускает передачи реального 40-разрядного ключа WEP, поэтому этот ключ практически нельзя получить путем контроля за сетевым трафиком. Ключ WEP рекомендуется периодически менять, чтобы гарантировать целостность системы безопасности.
Еще одно преимущество беспроводной сети связано с тем, что физические характеристики сети делают ее локализованной. В результате дальность действия сети ограничивается лишь определенной зоной покрытия. Для подслушивания потенциальный злоумышленник должен будет находиться в непосредственной физической близости, а значит, привлекать к себе внимание. В этом преимущество беспроводных сетей с точки зрения безопасности. Беспроводные сети имеют также уникальную особенность: их можно отключить или модифицировать их параметры, если безопасность зоны вызывает сомнения.
6. Механизмы защиты
информация шифрование сеть интернет
Основополагающим стандартом при построении данного вида сетей является стандарт 802.1. Этот стандарт для беспроводных сетей предусматривает несколько механизмов обеспечения безопасности сети. Среди них наиболее используемые следующие:
Wired Equivalent Protocol, или WEP, разработанных автором стандарта 802.1. Основная функция WEP - шифрование данных при передаче по радио и предотвращение неавторизованного доступа в беспроводную сеть. По умолчанию WEP отключен, однако его можно легко включить и в таком случае он начнет шифровать каждый исходящий пакет. Для шифрования WEP использует алгоритм RC4.
WEP 2 - представлен в 2001 году после обнаружения множества дырок в первой версии, WEP 2 имеет улучшенный механизм шифрования и поддержку Cerberus V.
Open System Authentication - система аутентификации по умолчанию, используемая в протоколе 802.11. Собственно системы как таковой нет - аутентификацию проходит любой, кто запрашивает. В случае OSA не помогает даже WEP, т.к. в ходе экспериментов было выяснено, что пакет аутентификации посылается незашифрованным.
Access Control List - в протоколе не описывается, но используется многими в качестве дополнения к стандартным методам. Основа такого метода - клиентский Ethernet MAC, уникальный для каждой карточки. Точка доступа ограничивает доступ к сети в соответствии со своим списком MAC адресов, есть клиент в списке и доступ разрешен, нет- значит, нет.
Closed Network Access Control - тут не намного сложнее: либо администратор разрешает любому пользователю присоединяться к сети, либо в нее может войти только тот, кто знает ее имя, SSID. Сетевое имя в таком случае служит секретным ключом.
Виды атак на Wi-Fi сети :
Access Point Spoofing & Mac Sniffing - список доступа вполне пригоден к использованию совместно с правильной идентификацией пользователей в этом списке. В случае же с MAC адресом Access Control List очень просто побороть, т.к. такой адрес очень просто изменить (беспроводные сетевые карты позволяют программно менять MAC адрес) и еще проще перехватить, так как он даже в случае с WEP передается в открытом виде. Таким образом, элементарно проникнуть в сеть, защищенную Access Control List и использовать все ее преимущества и ресурсы.
В случае наличия у нарушителя в загашнике собственной точки доступа есть другая возможность: устанавливается Access Point рядом с существующей сетью: если сигнал хакера сильнее оригинального, то клиент подключится именно к хакеру, а не к сети, передав при этом не только MAC адрес, но и пароль и прочие данные.
WEP Attacks - чистые данные проходят проверку целостности и выдается контрольная сумма (integrity check value, ICV). В протоколе 802.11 для этого используется CRC-32. ICV добавляется в конец данных. Генерируется 24-битный вектор инициализации (IV) и к нему «привязывается» секретный ключ. Полученное значение является исходным для генерации псевдослучайного числа. Генератор выдает ключевую последовательность. Данные XOR-ятся с этой ключевой последовательностью. Вектор инициализации добавляется в конец и все это передается в эфир.
Plaintext атака - в таком взломе атакующий знает исходное послание и имеет копию зашифрованного ответа. Недостающее звено -это ключ. Для его получения атакующий посылает «цели» небольшую часть данных и получает ответ. Получив его, хакер находит 24-битный вектор инициализации, используемый для генерирования ключа: нахождение ключа в таком случае всего лишь задача брутфорса.
Другой вариант - обычный XOR. Если у хакера есть посланный plain text и его зашифрованный вариант, то он просто XOR-ит шифр и на выходе получает ключ, который вместе с вектором дает возможность «грузить» пакеты в сеть без аутентификации на точке доступа.
Повторное использование шифра - атакующий выцепляет из пакета ключевую последовательность. Так как алгоритм шифрования WEP на вектор отводит довольно мало места, атакующий может перехватить ключевой поток, используя разные IV, создавая для себя их последовательность. Таким образом, хакер может расшифровать сообщения, используя все тот же XOR; когда по сети пойдут зашифрованные данные при помощи сгенерированных ранее ключевых потоков их можно будет расшифровать.
Атака Fluther-Mantin-Shamir - хакер может использовать уязвимости и при помощи специализированного софта можно получить как 24 битный ключ WEP, так и 128 битный ключ WEP 2.
Low-Hanging Fruit - этот вид атаки рассчитан на добычу незащищенных ресурсов из незащищенных сетей. Большинство беспроводных сетей абсолютно незащищены, в них не требуется авторизации и даже не используют WEP, так что человек с беспроводной сетевой карточкой и сканером может легко подключиться к Access Point-у и использовать все предоставляемые им ресурсы. Отсюда и название - низко висящие фрукты, которые сорвать не составляет никакого труда.
А как же защитить сети. К числу основных способов защиты сетей можно отнести следующие:
1. Фильтрация MAC адресов: в этом случае администратор составляет список MAC адресов сетевых карт клиентов. В случае нескольких AP необходимо предусмотреть, чтобы MAC адрес клиента существовал на всех, дабы он мог беспрепятственно перемещаться между ними. Однако этот метод очень легко победить, так что в одиночку его использовать не рекомендуется.
2. SSID (Network ID) - использование системы сетевых идентификаторов. При попытке клиента подключиться к АР на него передается семизначный алфавитно-цифровой код; используя метку SSID можно быть уверенным, что к сети смогут подсоединиться только клиенты, знающие его.
3. Firewall: доступ к сети должен осуществляться при помощи IPSec, secure shell или VPN, брандмауэр должен быть настроен на работу именно с этими сетевыми соединениями.
4. AccessPoint - точку доступа надо настраивать на фильтрацию MAC адресов, кроем того, физически сам девайс необходимо изолировать от окружающих. Рекомендуется также конфигурировать точку только по telnet, отключив возможность конфигурации через браузер или SNMP.
Атака клиентского устройства на Wi-Fi сетях
Несмотря на то, что все-таки способы защиты в беспроводных сетях существуют, и администраторы такого рода сетей должны принимать профилактические меры. Нужно отметить сразу, что взлом «в лоб» таких сетей практически невозможен, если не считать взломом атаки по отказу в обслуживании (DoS) на первом и втором уровнях OSI модели. И тем не менее, все таки есть некоторый вид атак, которому беспроводные сети могут быть подвержены. Наиболее угрожающим типом подобных «атак в обход» являются атаки против неассоциированных клиентских хостов.
Общая идея состоит в следующем:
1. Находится неассоциированное клиентское устройство, либо используется «затопление» сети фреймами деассоциации или деаутентификации для его получения.
2. Специфически эмулируется точка доступа для подсоединения этого хоста.
3. Выдается IP адрес, а также IP адреса фальшивых шлюза и DNS сервера через DHCP.
4. Атакуется устройство.
5. Если это необходимо и удаленный доступ к устройству был успешно получен, хост «отпускается» обратно на «родную» сеть, предварительно запускается на нем «троян».
Со следующего года все выпускаемые лаптопы и ноутбуки будут иметь встроенную поддержку Wi-Fi. Да и сейчас уже очень многие клиентские устройства обладают встроенной поддержкой включенной и постоянно ищущей сети для ассоциаций, часто без ведома их владельца. Данный факт игнорируем большинством системных администраторов. Зачастую профессионалы в области IT безопасности ищут исключительно несанкционированные точки доступа и ад-хок сети, не уделяя достаточного внимания Probe Request фреймам от «потерянных» клиентов.
Казалось бы, на первый взгляд, что «отлов» таких клиентов не составляет особого труда. Но лицу, занимающемуся такого рода деятельностью необходимо обладать некоторой информацией. Какого рода данная информация - попытаемся раскрыть.
Для начала ему необходимо знать согласно какому алгоритму клиентские устройства автоматически ищут сети для подсоединения. Будут ли они ассоциироваться с любой обнаруженной 802.11 сетью с достаточно мощным сигналом? А если таких сетей несколько? На чем будет основан их выбор? Kaк насчет сетей с «закрытым» ESSID и сетей, защищенных с помощью WEP или WPA? Ответы на эти вопросы зависят как от операционной системы клиентского хоста, так и от используемой им беспроводной аппаратной части, её драйверов и пользовательских настроек. Рассмотрим одну из наиболее используемых на сегодняшний день операционных систем семейства Windows.
Для установки беспроводного соединения в Windows XP и Windows Server 2003 используется «Алгоритм беспроводной самонастройки» (АБС). Данный алгоритм оперирует с двумя списками 802.11 сетей: списком доступных сетей (СДС) и списком предпочитаемых сетей (СПС). СДС представляет из себя список сетей, ответивших на широковещательные Probe Request фреймы при последнем активном скане. СПС есть список сетей, к которым было установлено полноценное соединение в прошлом. Последние сети, с которыми было ассоциировано устройство, идут в данном списке первыми. Описание сети в обоих списках содержит её ESSID, канал и метод шифрования - «открытый текст», WEP или WPA. Эти списки используются следующим образом в процессе работы АБС:
1. Клиентское устройство составляет СДС путем посылки широковещательных Probe Request фреймов с пустым полем ESSID по одному на каждый из используемых 802.11 каналов и параллельной обработки ответов на эти фреймы.
2. Если обнаруживаются сети, находящиеся в СПС, то происходит ассоциация с такими сетями в порядке их расположения в этом списке. То есть клиентское устройство ассоциируется с самой верхней сетью СПС, которая присутствует в СДС.
3. Если таких сетей не обнаруживается, или же успешной ассоциации с ними не произошло по причине различия в 802.11 стандартах или проблем аутентификации, АБС "заходит на второй круг", посылая Probe Request фреймы специфически для поиска сетей, перечисленных в СПС. На практике это означает, что данные фреймы посылаются на каналы СПС сетей и содержат их ESSID. При этом, отсылка этих фреймов от содержания СДС абсолютно не зависит. Смысл наличия "второго круга" АБС заключается в поиске сетей с "закрытым" ESSID.
4. В случае ненахождения подходящих Infrastructure сетей, следующим этапом поиска является нахождение ад-хок сетей. Для этого проводится сопоставление ад-хок сетей СДС и СПС.
5. Если в СПС имеется хотя бы одна ад-хок сеть, но в СДС она не найдена, АБС устанавливает клиентское устройство в режим ад-хок и присваивает беспроводному интерфейсу IP адрес, принадлежащий к 169.254.0.0/16 диапазону (RFC 3330). Таким образом, хост становится первым узлом потенциальной новой ад-хок сети и алгоритм заканчивает свою работу.
6. Если же ад-хок сетей в СПС нет, то АБС проверяет флаг "Подсоединиться к Непредпочитаемым Сетям" ("Connect To Nonpreferred Networks"). Если этот флаг равен единице, то клиентское устройство будет пытаться ассоциироваться с каждой сетью СДС в порядке их очередности в списке. Для атакующих, по умолчанию данный флаг равен нулю.
7. Если вышеупомянутый флаг не включен пользователем, то беспроводная карточка "запарковывается" как клиент с установленным псевдослучайным 32-х значным ESSID. В таком состоянии она функционирует 60 секунд, после чего алгоритм поиска сетей перезапускается.
В основном атаки хакеров всегда направлены на сам алгоритм АБС. Рассмотрим очевидные слабости данного алгоритма. В первую очередь, во время "второго раунда" АБС (пункт 3), клиентское устройство фактически раскрывает содержание СПС. Если представить себе ситуацию, когда такой хост находится вне досягаемости его "родной" сети. Например, корпоративный лаптоп взят сотрудником на дом или в коммандировку (и используется в аэропорту, самолете, гостинице и так далее). Для обнаружившего такой лаптоп атакующего не составит особого труда определить первую сеть в СПС по ESSID посылаемых устройством Probe Request фреймов, и установить именно это значение ESSID на своей точке доступа. То же самое относится и к поиску ад-хок сетей СПС. Если первая сеть СПС защищена и требует WEP или WPA ключ для подключения, атакующий идет далее по списку и ищет в нем открытую сеть, включая ад-хок WLANы. Вероятность нахождения такой сети достаточно велика. К примеру, большинство Wi-Fi хотспотов используют методы защиты беспроводной передачи данных на более высоких уровнях OSI модели, обычно на седьмом. Подключение к таким сетям оставит описание "незащищенной" (на 2-ом уровне) сети в СПС, которым без проблем может воспользоваться атакующий.
Подобное описание ведет ко второй слабости. При отсутствии такой ад-хок сети поблизости (крайне вероятный сценарий, учитывая то, что ад-хок соединения обычно ставятся на короткие промежутки времени и часто - с новым ESSID каждый раз), Windows клиент установится в постоянном режиме работы как ад-хок узел, ожидающий других клиентов (пункт 5). Злоумышленник без никаких проблем может стать таким клиентом, взять себе один из RFC 3330 адресов, и не проводить широковещательный пинг или послать ARP запросы для обнаружения IP адреса жертвы и проведения дальнейших атак. Причём, для подобного подключения не требуется никакого взаимодействия со стороны пользователя. Оно является полностью автоматическим.
Наконец, при отсутствии незащищенных и ад-хок сетей в СПС и включенного флага "Подсоединиться к Непредпочитаемым Сетям", алгоритм достигнет установки клиентской карточки в "режим ожидания" с посылкой Probe Request фреймов с длинным псевдослучайным ESSID (пункт 7). Проблема в том, что эти "загадочные" ESSID значения являются вполне "рабочими". То есть, достаточно установить по соседству точку доступа с таким ESSID, и «клиент» благополучно на нее "клюнет", чтобы получить IP адрес через DHCP и подвергнуться дальнейшим атакам. Следует сказать, что данная проблема уже устранена в Longhorn, но до тотального перехода на эту операционную систему ещё далеко. А теперь самое главное: так как сеть с длинным псевдослучайным ESSID отсутствует в СПС, подсоединение к такой сети не только не требует никакого взаимодействия со стороны атакуемого пользователя, но даже и не будет показано как существующее индикатором беспроводной связи Windows XP. Данный индикатор будет говорить, что устройство не ассоциировано с какой-либо Wi-Fi сетью, и только контрольная панель установки сетевых опций Windows покажет наличие соединения и присвоенного IP адреса. Следует упомянуть, что последние версии драйверов 802.11a/b/g карточек с Atheros чипсетом хоть и отсылают Probe Request фреймы с псевдослучайными ESSID, но не поддерживают автоматическое соединение с точками доступа, настроенными с такими ESSID значениями.
Что же делать атакующему, если, как было сейчас упомянуто, автоматическая ассоциация, использующая псевдослучайные ESSID невозможна, а СПС не содержит незащищенных на втором уровне сетей? Если сети, к которым подсоединялось атакуемое устройство, защищены с помощью неподбираемого по словарю WPA-PSK либо WPA-802.1х с использованием EAP-TLS, то на данный момент перспектив успешного взлома не видно. Если по крайней мере одна такая сеть была защищена с помощью WPA-802.1х с использованием EAP-TТLS или EAP-PEAP, то существует возможность проведения атак на данные протоколы согласно алгоритмам, описанным хак-группой Shmoo "Тhe Radical Realm of Radius, 802.1x, and You".
Говоря об устаревших механизмах защиты 802.11 сетей, невозможно не упомянуть избитый всеми WEP. Атаки на него могут быть применены и против отдельных клиентских устройств, сети в СПС которых "защищены" с помощью WEPа. Если все ад-хок сети в СПС имеют WEP в своих установках, то и произвольная ад-хок конфигурация с RFC 3330 адресом, как описано в пункте 5 выше, будет использовать WEP. Проблема в том, что такой ад-хок узел не будет "соблюдать тишину" - достаточно вспомнить хотя бы отсылку NetBIOS HELLO пакетов каждые 2 секунды. Соответственно, подобного рода трафик может быть успешно утилизирован для взлома WEP ключа различными методами, от простого перебора по словарю с помощью WepAttack до акселерации взлома путем иньекции пакетов используя Christopher Devine"s aireplay (модифицированная атака ложной аутентификации либо интерактивная реиньекция пакетов, с помощью которых можно заставить одиночный ад-хок клиент послать зашифрованный ARP пакет для последующей ARP реиньекции).
Ещё более интересный пример - клиенты с псевдослучайным ESSID (пункт 7) и WEPом, которые "возникают" в тех случаях, когда все сети, перечисленные в СПС, являются защищенными. Сам факт того, что при наличии в этом списке и WPA-защищенных сетей, всё равно используется WEP - это уже уязвимость. Но, более того, так как установки подобной сети нигде не определены и "самоконфигурируются" без участия пользователя, атакующая точка доступа способна навязать таким клиентам небезопасный метод 802.11 аутентификации с использованием распределенного WEP ключа. Навязывая этот метод, кракер может послать клиентскому устройству challenge строку с известным текстом и получить обратно её же, заXORенную с частью RC4 потока. Таким образом, заXORив полученное с первоначальным текстом, атакующий узнает 144 байта RC4 потока для заданного вектора инициализации (IV). У этой атаки много возможных применений. В частности:
Можно посылать всё новые и новые challenge запросы, пока не откроется поток RC4 шифра для всех векторов инициализации 24-битного WEP IV пространства
Можно атаковать полученный ответ перебором по словарю испольуя WepAttack и сходные утилиты
Можно использовать известные 144 байта потока для реиньекции пакетов к клиентскому устройству с помощью WepWedgie Антона Рэйджера. Удачная реиньекция заставит атакуемый хост послать зашифрованный ARP пакет, который легко перехватить и использовать с aireplay.
В любом из вышеперечисленных случаев, одиночное клиентское устройство, требующее соединение, защищенное WEPом, трудно назвать неуязвимым.
7.
Безопасность в беспроводных самоорганизующихся сетях -- это состояние защищённости информационной среды беспроводных самоорганизующихся сетей.
Особенности беспроводных самоорганизующихся сетей :
общая среда передачи данных
все узлы сети изначально равноправны
сеть является самоорганизующейся
каждый узел выполняет роль маршрутизатора
топология сети может свободно меняться
в сеть могут свободно входить новые и выходить старые узлы
Источники уязвимостей в беспроводных самоорганизующихся сетях : Уязвимость каналов к прослушиванию и подкладыванию сообщений, в связи с общей доступностью среды передачи, как и в любых беспроводных сетях.
Незащищённость узлов от злоумышленника, который легко может получить один в распоряжение, так как обычно они не находятся в безопасных местах, таких как сейфы.
...Подобные документы
Типы беспроводных сетей: PAN (персональные), WLAN (беспроводные локальные), WWAN (беспроводные сети широкого действия). Стандарты беспроводной передачи данных. Соединение Ad-Hoc, инфраструктурное соединение, репитер и мост. Безопасность Wi-Fi сетей.
контрольная работа , добавлен 19.01.2011
Классификация компьютерных сетей. Назначение компьютерной сети. Основные виды вычислительных сетей. Локальная и глобальная вычислительные сети. Способы построения сетей. Одноранговые сети. Проводные и беспроводные каналы. Протоколы передачи данных.
курсовая работа , добавлен 18.10.2008
Семиуровневая архитектура, основные протоколы и стандарты компьютерных сетей. Виды программных и программно-аппаратных методов защиты: шифрование данных, защита от компьютерных вирусов, несанкционированного доступа, информации при удаленном доступе.
контрольная работа , добавлен 12.07.2014
Разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов. Анализ угроз и обеспечения безопасности беспроводной сети. Настройка программы WPA.
дипломная работа , добавлен 19.06.2014
Беспроводная технология передачи информации. Развитие беспроводных локальных сетей. Стандарт безопасности WEP. Процедура WEP-шифрования. Взлом беспроводной сети. Режим скрытого идентификатора сети. Типы и протоколы аутентификации. Взлом беспроводной сети.
реферат , добавлен 17.12.2010
Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.
курсовая работа , добавлен 18.04.2014
Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.
дипломная работа , добавлен 16.06.2012
Анализ цели проектирования сети. Разработка топологической модели компьютерной сети. Тестирование коммутационного оборудования. Особенности клиентских устройств. Требования к покрытию и скорости передачи данных. Виды угроз безопасности беспроводных сетей.
дипломная работа , добавлен 22.03.2017
Монтаж и прокладывание локальной сети 10 Base T. Общая схема подключений. Сферы применение компьютерных сетей. Протоколы передачи информации. Используемые в сети топологии. Способы передачи данных. Характеристика основного программного обеспечения.
курсовая работа , добавлен 25.04.2015
Роль компьютерных сетей, принципы их построения. Системы построения сети Token Ring. Протоколы передачи информации, используемые топологии. Способы передачи данных, средства связи в сети. Программное обеспечение, технология развертывания и монтажа.
Если в случае «традиционной» беспроводной сети мы должны разворачивать зачастую дорогостоящую инфраструктуру базовых станций, то в случае самоорганизующихся сетей достаточно одной или нескольких точек доступа.
Суть самоорганизующихся сетей — предоставление абоненту возможности доступа к различным сетевым услугам посредством передачи и приема «своего» трафика через соседних абонентов.
Самоорганизующиеся сети связи — сети с изменяемой децентрализованной инфраструктурой. В общем случае данные сети имеют такие преимущества, как широкое покрытие и теоретически широкая абонентская база без большого количества дорогостоящих базовых станций и увеличения мощности излучаемого сигнала.
Если говорить простыми словами, структура простейшей самоорганизующейся сети представляет из себя большое количество абонентов на некоторой площади, которую упрощенно можно назвать площадью покрытия сети, и одну или несколько точек доступа к внешним сетям. Каждое из абонентских устройств, в зависимости от его мощности, обладает своим радиусом действия. Если абонент, находясь «на периферии» посылает пакет абоненту, находящемуся в центре сети или на точку доступа, происходит так называемый многоскачковый процесс передачи пакета через узлы, находящиеся на пути заранее проложенного маршрута. Таким образом можно сказать, что каждый новый абонент за счет своих ресурсов увеличивает радиус действия сети. Следовательно, мощность каждого отдельного устройства может быть минимальной. А это предполагает как меньшие стоимости абонентских устройств, так и лучшие показатели безопасности и электромагнитной совместимости.
На данный момент широким фронтом идут исследования и применения самоорганизующихся сетей в следующих сферах:
Военная связь;
Интеллектуальные транспортные системы;
Локальные сети;
Сенсорные сети;
Обо всех этих направлениях — в следующих статьях.
В настоящее время существует несколько «базовых» технологий для самоорганизующихся сетей:
1. Bluetooth
Самоорганизующиеся на основе Bluetooth состоят из ведущих и ведомых устройств (эти роли могут совмещаться), способных передавать данные как в синхронном, так и в асинхронном режимах. Синхронный режим передачи предполагает прямую связь между ведущим и ведомым устройствами с закрепленным каналом и временными слотами доступа. Данный режим используется в случае ограниченных по времени передач. Асинхронный режим предполагает обмен данными между ведущим и несколькими ведомыми устройствами с использованием пакетной передачи данных. Используется для организации пикосетей. Одно устройство (как ведущее, так и ведомое) может поддерживать до 3-х синхронных соединений.
В синхронном режиме максимальная скорость передачи данных равна 64 кбит/с. Максимальная скорость передачи в асинхронном режиме составляем 720 кбит/с.
Достоинства сетей на базе Bluetooth:
возможность быстрого развертывания;
сравнительно малое энергопотребление абонентских устройств;
широкий спектр поддерживающих эту технологию устройств.
Недостатки сети:
небольшой радиус действия (радиус действия одного абонентского устройства составляет 0.1 — 100 м);
малые скорости передачи данных (для сравнения: в сетях WiFi этот показатель составляет 11 — 108 Мбит/с);
нехватка частотного ресурса.
Возможно, последняя проблема будет решена с выходом устройств Bluetooth 3.0, где предполагается возможность использовать альтернативные протоколы уровней MAC и физического с целью ускоренной передачи данных профилей Bluetooth (AMP). В частности могут быть использованы протоколы стандарта 802.11.
Исходя из вышеприведенного, можно заключить, что сети на основе Bluetooth применимы лишь в местах большого скопления людей (например, в центрах городов, небольших офисах, магазинах). Например подобная сеть может служить для организации видеонаблюдения на небольшом объекте.
Сети стандарта 802.11 изначально были задуманы как способ замены проводных сетей. Однако, относительно высокие скорости передачи (до 108 Мбит/с) делают перспективным возможное применение в тех самоорганизующихся сетях, в которых необходимо передавать большие объемы информации в реальном времени (например, видеосигнала).
2007 году впервые была выпущена черновая версия стандарта 802.11s, определяющего основные характеристики самоорганизующихся сетей на основе WiFi.
В отличии от традиционных сетей WiFi, в которых существует только два типа устройств - «точка доступа» и «терминал», стандарт 802.11s предполагает наличие так называемых «узлов сети» и «порталов сети». Узлы могут взаимодействовать друг с другом и поддерживать различные службы. Узлы могут быть совмещены с точками доступа, порталы же служат для соединения с внешними сетями.
На основе уже существующих стандартов 802.11 можно строить MANET-сети (мобильные самоорганизующиеся сети), отличительной чертой которых можно назвать большую зону покрытия (несколько квадратных километров).
Проблемы, требующие особого внимания при дальнейшем развитии самоорганизующихся сетей на базе WiFi можно разделить на следующие классы:
Проблемы пропускной способности;
Проблемы масштабируемости сетей.
3. ZigBee
Стандарт 802.15.4 (ZigBee) описывает низкоскоростные сети связи малого радиуса действия с маломощными передающими устройствами. Предусмотрено использование трех диапазонов частот: 868-868.6 МГц, 902-928 МГц, 2.4-2.4835 ГГц.
В качестве метода доступа к каналу используется DSSS с различными длинами последовательности для диапазонов 868/915 и 2450 МГц .
Скорости передачи данных варьируются от 20 до 250 кбит/с.
Согласно стандарту сеть ZigBee поддерживает работу с топологиями типа «звезда» и «каждый с каждым».
Существуют два варианта приемопередающих устройств: полнофункциональные (FFD) и неполнофункциональные (RFD). Коренное отличие этих устройств состоит в том, что FFD могут устанавливать прямую связь с любыми устройствами, а RFD — только с FFD.
Сеть ZigBee может состоять из нескольких кластеров, образованных устройствами FFD.
Сети стандарта ZigBee могут работать в режиме mesh. При этом предполагается, что каждый узел сети (узел сети образует устройство FFD, RFD работают в качестве т.н. сенсоров) постоянно следит за состоянием соседних узлов, обновляя при необходимости свои маршрутные таблицы.
В отличии от всех предыдущих вариантов сетей ad hoc, ZigBee рассчитана на низкие скорости передачи данных и проблемы возможности увеличения таковых не существует.
Беспроводные самоорганизующиеся сети (другие названия: беспроводные ad hoc сети , беспроводные динамические сети ) - децентрализованные беспроводные сети , не имеющие постоянной структуры. Клиентские устройства соединяются на лету, образуя собой сеть. Каждый узел сети пытается переслать данные предназначенные другим узлам. При этом определение того, какому узлу пересылать данные, производится динамически, на основании связности сети. Это является отличием от проводных сетей и управляемых беспроводных сетей, в которых задачу управления потоками данных выполняют маршрутизаторы (в проводных сетях) или точки доступа (в управляемых беспроводных сетях).
Первыми беспроводными самоорганизующимися сетями были сети «packet radio » начиная с 1970-ых годов, финансируемые DARPA после проекта ALOHAnet.
Применение
Минимальное конфигурирование и быстрое развёртывание позволяет применять самоорганизующиеся сети в чрезвычайных ситуациях таких как природные катастрофы и военные конфликты.
В зависимости от применения беспроводные самоорганизующиеся сети могут быть разделены на:
- мобильные самоорганизующиеся сети
- беспроводные ячеистые сети
Безопасность в беспроводных самоорганизующихся сетях
Из-за динамически меняющейся топологии сети и отсутствия централизованного управления, данный вид сетей уязвим для ряда атак. Поэтому аспект безопасности является очень важным в таких сетях.
Технологии, используемые при построении беспроводных самоорганизующихся сетей
- Bluetooth (IEEE 802.15)
- WiFi (IEEE 802.11)
- ZigBee (IEEE 802.15.4)
Wikimedia Foundation . 2010 .
Смотреть что такое "Беспроводные самоорганизующиеся сети" в других словарях:
Эту страницу предлагается переименовать в Беспроводная самоорганизующаяся сеть. Пояснение причин и обсуждение на странице Википедия:К переименованию/1 декабря 2012. Возможно, её текущее название не соответствует нормам современного… … Википедия
Для улучшения этой статьи желательно?: Проставить интервики в рамках проекта Интервики. Безопасность в беспроводных самоорга … Википедия
JTRS перспективная военная радиосистема связи американской армии. Программа JTRS (Joint Tactical Radio System) появилась в середине 90х. Изначально система была предназначена для замены 25 30 разных типов военных радиосистем (многие из которых не … Википедия
- (англ. Mobile Ad hoc Network) беспроводные децентрализованные самоорганизующиеся сети, состоящие из мобильных устройств. Каждое такое устройство может независимо передвигаться в любых направлениях, и, как следствие, часто разрывать и… … Википедия
