- хранилище носителей информации,

- элементы строительных конструкций и окна помещений, которые образуют каналы утечки конфиденциальной информации за счет так называемого микрофонного эффекта,

- телефонные, радио-, а также иные проводные и беспроводные каналы (в том числе каналы мобильной связи).

Любые дополнительные соединения с другими сегментами или подключение к Интернет порождают новые проблемы. Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты.

Места и каналы возможного несанкционированного доступа к информации в компьютерной сети

Сетевые атаки через Интернет могут быть классифицированы следующим образом:

- Сниффер пакетов (sniffer - в данном случае в смысле фильтрация) - прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).

- IP-спуфинг (spoof - обман, мистификация) - происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя.

- Отказ в обслуживании (Denial of Service - DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

- Парольные атаки-попытка подбора пароля легального пользователя для входа в сеть.

- Атаки типа Man-in-the-Middle - непосредственный доступ к пакетам, передаваемым по сети.

- Атаки на уровне приложений.

- Сетевая разведка - сбор информации о сети с помощью общедоступных данных и приложений.

- Злоупотребление доверием внутри сети.

- Несанкционированный доступ, который не может считаться отдельным типом атаки, так как большинство сетевых атак проводятся ради получения несанкционированного доступа.

- Вирусы и приложения типа «троянский конь».

2. Беспроводные локальные сети

2.1 Основные свойства

Беспроводные сети передачи данных (БСПД) позволяют объединить в единую информационную систему разрозненные локальные сети и компьютеры для обеспечения доступа всех пользователей этих сетей к единым информационным ресурсам без прокладки дополнительных проводных линий связи. БСПД обычно создаются в тех случаях, когда прокладка кабельной системы затруднена или экономически нецелесообразна. Примером могут служить предприятия, имеющие распределенную структуру (складские помещения, отдельные цеха, карьеры и пр.), наличие естественных преград при построении кабельных систем (рек, озер и т.д.), предприятия, арендующие офисы на небольшой срок, выставочные комплексы и гостиницы, предоставляющие доступ в Интернет для своих клиентов. Беспроводные локальные сети уменьшают затраты на планирование и подготовку рабочего пространства, обновление оборудования и периферии, обеспечивая при этом небольшой радиус мобильности пользователям ноутбуков и PDA.

Наиболее популярные схемы беспроводных сетей:

Wi-Fi (англ. Wireless Fidelity - «беспроводная точность») - стандарт на оборудование Wireless LAN. Установка Wireless LAN рекомендовалась там, где развёртывание кабельной системы было невозможно или экономически нецелесообразно. В нынешнее время во многих организациях используется Wi-Fi, так как при определённых условиях скорость работы сети уже превышает 100 Мбит/сек. Пользователи могут перемещаться между точками доступа по территории покрытия сети Wi-Fi. Мобильные устройства (КПК, смартфоны, PSP и ноутбуки), оснащённые клиентскими Wi-Fi приёмо-передающими устройствами, могут подключаться к локальной сети и получать доступ в Интернет через точки доступа.

WiMAX (англ. Worldwide Interoperability for Microwave Access) - телекоммуникационная технология, разработанная с целью предоставления универсальной беспроводной связи на больших расстояниях для широкого спектра устройств (от рабочих станций и портативных компьютеров до мобильных телефонов). Основана на стандарте IEEE 802.16, который также называют Wireless MAN.

WiMAX подходит для решения следующих задач:

- Соединения точек доступа Wi-Fi друг с другом и другими сегментами Интернета.

- Обеспечения беспроводного широкополосного доступа как альтернативы выделенным линиям и DSL.

- Предоставления высокоскоростных сервисов передачи данных и телекоммуникационных услуг.

- Создания точек доступа, не привязанных к географическому положению.

WiMAX позволяет осуществлять доступ в Интернет на высоких скоростях, с гораздо большим покрытием, чем у Wi-Fi сетей. Это позволяет использовать технологию в качестве «магистральных каналов», продолжением которых выступают традиционные DSL- и выделенные линии, а также локальные сети. В результате подобный подход позволяет создавать масштабируемые высокоскоростные сети в масштабах целых городов.

Bluetooth

Bluetooth - производственная спецификация беспроводных персональных сетей (англ. Wireless personal area network, WPAN), обеспечивает обмен информацией между такими устройствами как карманные и обычные персональные компьютеры, мобильные телефоны, ноутбуки, принтеры, цифровые фотоаппараты, мышки, клавиатуры, джойстики, наушники, гарнитуры на надёжной, недорогой, повсеместно доступной радиочастоте для ближней связи. Bluetooth позволяет этим устройствам сообщаться, когда они находятся в радиусе до 10-100 метров друг от друга (дальность очень сильно зависит от преград и помех), даже в разных помещениях.

2.2 Топология беспроводных компьютерных сетей

Существует два основных направления применения беспроводных компьютерных сетей - работа в замкнутом объеме (офис, выставочный зал и т.п.) и соединение удаленных локальных сетей (или удаленных сегментов локальной сети).

Для организации беспроводной сети в замкнутом пространстве применяются передатчики со всенаправленными антеннами. Стандарт IEEE 802.11 определяет два режима работы сети - Ad-hoc и клиент / сервер. Режим Ad-hoc (иначе называемый «точка-точка») - это простая сеть, в которой связь между станциями (клиентами) устанавливается напрямую, без использования специальной точки доступа. В режиме клиент / сервер беспроводная сеть состоит, как минимум, из одной точки доступа, подключенной к проводной сети, и некоторого набора беспроводных клиентских станций. Поскольку в большинстве сетей необходимо обеспечить доступ к файловым серверам, принтерам и другим устройствам, подключенным к проводной локальной сети, чаще всего используется режим клиент / сервер. Без подключения дополнительной антенны устойчивая связь для оборудования IEEE 802.11b достигается в среднем на следующих расстояниях: открытое пространство - 500 м, комната, разделенная перегородками из неметаллического материала, - 100 м, офис из нескольких комнат - 30 м. Следует иметь в виду, что через стены с большим содержанием металлической арматуры (в железобетонных зданиях таковыми являются несущие стены) радиоволны диапазона 2,4 ГГц иногда могут вообще не проходить, поэтому в комнатах, разделенных подобной стеной, придется ставить свои точки доступа. Для соединения удаленных локальных сетей (или удаленных сегментов локальной сети) используется оборудование с направленными антеннами, что позволяет увеличить дальность связи до 20 км (а при использовании специальных усилителей и большой высоте размещения антенн - до 50 км). Причем в качестве подобного оборудования могут выступать и устройства Wi-Fi, нужно лишь добавить к ним специальные антенны (конечно, если это допускается конструкцией). Комплексы для объединения локальных сетей по топологии делятся на «точку-точку» и «звезду». При топологии «точка-точка» (режим Ad-hoc в IEEE 802.11) организуется радиомост между двумя удаленными сегментами сети. При топологии «звезда» одна из станций является центральной и взаимодействует с другими удаленными станциями. При этом центральная станция имеет всенаправленную антенну, а другие удаленные станции - однонаправленные антенны. Применение всенаправленной антенны в центральной станции ограничивает дальность связи дистанцией примерно 7 км. Поэтому, если требуется соединить между собой сегменты локальной сети, удаленные друг от друга на расстояние более 7 км, приходится соединять их по принципу «точка-точка». При этом организуется беспроводная сеть с кольцевой или иной, более сложной топологией [2].

2.3 Устройства для создания беспроводных компьютерных сетей

Большинство адаптеров для беспроводных компьютерных сетей сейчас выпускается в формате карт PC Card Type II, предусматривающем установку устройства в ноутбук, хотя существуют и модели адаптеров для установки в слоты PCI или ISA, но их значительно меньше. Поэтому, увы, для установки беспроводного сетевого адаптера в настольный персональный компьютер приходится еще и приобретать дополнительный переходник, вставляемый в слот PCI. Относительно недавно начат выпуск сетевых адаптеров Wi-Fi, выполненных в виде плат стандарта CompactFlash. Такие устройства предназначены для карманных компьютеров, работающих под операционной системой Windows CE (Pocket PC). Существуют и сетевые адаптеры Wi-Fi, выполненные в виде отдельных устройств с интерфейсом USB.

Современной тенденцией является использование в сетевых адаптерах внутренних антенн. В точках доступа для повышения дальности связи чаще используются внешние антенны. В некоторых моделях точек доступа качестве приемопередатчика используется тот же сетевой адаптер, что и в клиентских станциях, причем в точке доступа его так же просто заменять, как и в клиентской станции. Такое техническое решение ограничивает дальность связи (а большая дальность для квартиры или маленького офиса может оказаться излишней), и причина, побудившая инженеров пойти на такой шаг, не совсем понятна. Возможно, они считали, что так будет проще модернизировать точку доступа, если в стандарт беспроводных сетей будут внесены какие-либо изменения на физическом уровне.

Типичным случаем является объединение в одном устройстве точки доступа и маршрутизатора. Точка доступа может также включать в себя и некоторые другие устройства, например модем. Для небольшого офиса очень удобно использовать точку доступа, объединенную с принт-сервером. К ней можно подключить самый обычный принтер, превратив его тем самым в сетевой.

Управление точкой доступа в современных беспроводных сетях, как правило, осуществляется по протоколу TCP/IP через обычный Интернет-браузер.

Ясно, что клиентские станции стоят пока значительно дороже, чем простые сетевые карты Ethernet. Но ведь важна не стоимость клиентских устройств как таковых, а общая стоимость системы, а также ее установки и обслуживания. И вот тут мы сталкиваемся с новой ситуацией: разница между стоимостью комплекта оборудования для проводной сети Ethernet (с учетом затрат на покупку кабеля) и стоимостью комплекта оборудования IEEE 802.11b сопоставима по порядку величины со стоимостью прокладки кабеля. И если тенденция снижения цен на беспроводное сетевое оборудование сохранится (при том, что стоимость прокладки кабеля значительно зависит от стоимости труда, которая в нашей стране сейчас растет), то уже в ближайшем будущем может оказаться что в ряде случаев экономически выгоднее развернуть беспроводную локальную сеть, чем возиться с прокладкой кабелей [5].

2.4 Метод доступа, используемый при беспроводной связи

Стандарт IEEE 802.11 для беспроводного доступа

Комитет по стандартам IEEE 802 сформировал рабочую группу по стандартам для беспроводных локальных сетей 802.11 в 1990 году. Эта группа занялась разработкой всеобщего стандарта для радиооборудования и сетей, работающих на частоте 2,4 ГГц, со скоростями доступа 1 и 2 Mbps (Megabits-per-second). Работы по созданию стандарта были завершены через 7 лет, и в июне 1997 года была ратифицирована первая спецификация 802.11. Стандарт IEEE 802.11 являлся первым стандартом для продуктов WLAN от независимой международной организации, разрабатывающей большинство стандартов для проводных сетей. Однако к тому времени заложенная первоначально скорость передачи данных в беспроводной сети уже не удовлетворяла потребностям пользователей. Для того, чтобы сделать технологию Wireless LAN популярной, дешёвой, а главное, удовлетворяющей современным жёстким требованиям бизнес-приложений, разработчики были вынуждены создать новый стандарт.

В сентябре 1999 года IEEE ратифицировал расширение предыдущего стандарта. Названное IEEE 802.11b (также известное, как 802.11 High rate), оно определяет стандарт для продуктов беспроводных сетей, которые работают на скорости 11 Mbps (подобно Ethernet), что позволяет успешно применять эти устройства в крупных организациях. Совместимость продуктов различных производителей гарантируется независимой организацией, которая называется Wireless Ethernet Compatibility Alliance (WECA). Эта организация была создана лидерами индустрии беспроводной связи в 1999 году. В настоящее время членами WECA являются более 80 компаний, в том числе такие известные производители, как Cisco, Lucent, 3Com, IBM, Intel, Apple, Compaq, Dell, Fujitsu, Siemens, Sony, AMD и пр.

Стандарт IEEE 802.11 и его расширение 802.11b

Как и все стандарты IEEE 802, 802.11 работает на нижних двух уровнях модели ISO/OSI, физическом уровне и канальном уровне (Рисунок 3). Любое сетевое приложение, сетевая операционная система, или протокол (например, TCP/IP), будут так же хорошо работать в сети 802.11, как и в сети Ethernet.

Уровни модели ISO/OSI и их соответствие стандарту 802.11

Основная архитектура, особенности и службы 802.11b определяются в первоначальном стандарте 802.11. Спецификация 802.11b затрагивает только физический уровень, добавляя лишь более высокие скорости доступа.

802.11 определяет два типа оборудования - клиент, который обычно представляет собой компьютер, укомплектованный беспроводной сетевой интерфейсной картой (Network Interface Card, NIC), и точку доступа (Access point, AP), которая выполняет роль моста между беспроводной и проводной сетями. Точка доступа обычно содержит в себе приёмопередатчик, интерфейс проводной сети (802.3), а также программное обеспечение, занимающееся обработкой данных. В качестве беспроводной станции может выступать ISA, PCI или PC Card сетевая карта в стандарте 802.11, либо встроенные решения, например, телефонная гарнитура. 802.11.

Стандарт IEEE 802.11 определяет два режима работы сети - режим «Ad-hoc» и клиент / сервер (или режим инфраструктуры - infrastructure mode). В режиме клиент / сервер беспроводная сеть состоит из как минимум одной точки доступа, подключенной к проводной сети, и некоторого набора беспроводных оконечных станций. Такая конфигурация носит название базового набора служб (Basic Service Set, BSS). Два или более BSS, образующих единую подсеть, формируют расширенный набор служб (Extended Service Set, ESS). Так как большинству беспроводных станций требуется получать доступ к файловым серверам, принтерам, Интернет, доступным в проводной локальной сети, они будут работать в режиме клиент / сервер.

Режим «Ad-hoc» (также называемый точка-точка, или независимый базовый набор служб, IBSS) - это простая сеть, в которой связь между многочисленными станциями устанавливается напрямую, без использования специальной точки доступа. Такой режим полезен в том случае, если инфраструктура беспроводной сети не сформирована (например, отель, выставочный зал, аэропорт), либо по каким-то причинам не может быть сформирована.

Архитектура сети «Ad-hoc»

Физический уровень 802.11

На физическом уровне определены два широкополосных радиочастотных метода передачи и один - в инфракрасном диапазоне. Радиочастотные методы работают в ISM диапазоне 2,4 ГГц и обычно используют полосу 83 МГц от 2,400 ГГц до 2,483 ГГц. Технологии широкополосного сигнала, используемые в радиочастотных методах, увеличивают надёжность, пропускную способность, позволяют многим несвязанным друг с другом устройствам разделять одну полосу частот с минимальными помехами друг для друга.

Канальный (Data Link) уровень 802.11

Канальный уровень 802.11 состоит из двух подуровней: управления логической связью (Logical Link Control, LLC) и управления доступом к носителю (Media Access Control, MAC). 802.11 использует LLC и 48-битовую адресацию, что и другие сети 802, что позволяет легко объединять беспроводные и проводные сети, однако MAC уровень имеет кардинальные отличия.

MAC уровень 802.11 поддерживает множество пользователей на общем носителе, когда пользователь проверяет носитель перед доступом к нему. Для Ethernet сетей 802.3 используется протокол Carrier Sence Multiple Access with Collision Detection (CSMA/CD), который определяет, как станции Ethernet получают доступ к проводной линии, и как они обнаруживают и обрабатывают коллизии, возникающие в том случае, если несколько устройств пытаются одновременно установить связь по сети.

CSMA/CA работает следующим образом. Станция, желающая передавать, тестирует канал, и если не обнаружено активности, станция ожидает в течение некоторого случайного промежутка времени, а затем передаёт, если среда передачи данных всё ещё свободна. Если пакет приходит целым, принимающая станция посылает пакет ACK, по приёме которого отправителем завершается процесс передачи. Если передающая станция не получила пакет ACK, в силу того, что не был получен пакет данных, или пришёл повреждённый ACK, делается предположение, что произошла коллизия, и пакет данных передаётся снова через случайный промежуток времени.

Для определения того, является ли канал свободным, используется алгоритм оценки чистоты канала (Channel Clearance Algorithm, CCA). Его суть заключается в измерении энергии сигнала на антенне и определения мощности принятого сигнала (RSSI). Если мощность принятого сигнала ниже определённого порога, то канал объявляется свободным, и MAC уровень получает статус CTS. Если мощность выше порогового значения, передача данных задерживается в соответствии с правилами протокола. Стандарт предоставляет ещё одну возможность определения незанятости канала, которая может использоваться либо отдельно, либо вместе с измерением RSSI - метод проверки несущей. Этот метод является более выборочным, так как с его помощью производится проверка на тот же тип несущей, что и по спецификации 802.11. Наилучший метод для использования зависит от того, каков уровень помех в рабочей области.

Таким образом, CSMA/CA предоставляет способ разделения доступа по радиоканалу. Механизм явного подтверждения эффективно решает проблемы помех. Однако он добавляет некоторые дополнительные накладные расходы, которых нет в 802.3, поэтому сети 802.11 будут всегда работать медленнее, чем эквивалентные им Ethernet локальные сети [6].

Подключение к сети

MAC уровень 802.11 несёт ответственность за то, каким образом клиент подключается к точке доступа. Когда клиент 802.11 попадает в зону действия одной или нескольких точек доступа, он на основе мощности сигнала и наблюдаемого значения количества ошибок выбирает одну из них и подключается к ней. Как только клиент получает подтверждение того, что он принят точкой доступа, он настраивается на радиоканал, в котором она работает. Время от времени он проверяет все каналы 802.11, чтобы посмотреть, не предоставляет ли другая точка доступа службы более высокого качества. Если такая точка доступа находится, то станция подключается к ней, перенастраиваясь на её частоту.

Переподключение обычно происходит в том случае, если станция была физически перемещена вдаль от точки доступа, что вызвало ослабление сигнала. В других случаях повторное подключение происходит из-за изменения радиочастотных характеристик здания, или просто из-за большого сетевого трафика через первоначальную точку доступа. В последнем случае эта функция протокола известна как «балансировка нагрузки», так как её главное назначение - распределение общей нагрузки на беспроводную сеть наиболее эффективно по всей доступной инфраструктуре сети [5].

2.5 Безопасность беспроводных сетей

В сетях IEEE 802.11 предусмотрены определенные меры для ограничения круга клиентов, подключаемых к точке доступа. Каждой станции присваивается уникальный идентификационный номер ESSID, который требуется передать на точку доступа, чтобы соединиться с ней. Кроме того, каждая точка доступа может хранить у себя список MAC-адресов и соединять только тех клиентов, которые упомянуты в этом списке.

Шифрование передаваемой информации в беспроводных компьютерных сетях IEEE 802.11 осуществляется по стандарту WEP (Wired Equivalent Privacy, т.е. защита информации, эквивалентная проводной сети), в основе которого лежит алгоритм RC4 с длиной ключа 40 или 64 бит. На смену WEP идет стандарт WEP2 с длиной ключа 128 бит. Поддержка стандарта WEP является обязательным условием для получения оборудованием сертификата соответствия требованиям Wi-Fi, благодаря чему обеспечивается совместимость устройств и при обмене зашифрованной информацией. В то же время производители оборудования добавляют в него дополнительно поддержку и иных алгоритмов шифрования, например LEAP с длиной ключа 128 бит.

Мощность, излучаемая передатчиком точки доступа или же клиентской станции, работающей по стандарту IEEE 802.11b, не превышает 0,1 Вт. Для сравнения - мощность, излучаемая мобильным телефоном, на порядок больше. Поскольку, в отличие от мобильного телефона, элементы сети расположены далеко от головы, в целом можно считать, что беспроводные компьютерные сети более безопасны с точки зрения здоровья, чем мобильные телефоны.

Если беспроводная сеть используется для объединения сегментов локальной сети, удаленных на большие расстояния, антенны, как правило, размещаются за пределами помещения и на большой высоте.

Заключение

Беспроводные сети выглядят предпочтительнее сетей проводных ввиду наличия следующих преимуществ:

- Мобильность пользователей. Технология позволяет пользователям перемещаться внутри зоны охвата беспроводной сети без перерыва в пользовании ресурсами сети.

- Скорость и простота развертывания. В отличие от проводных систем передачи информации, беспроводные сети не требуют прокладки кабелей, занимающей, обычно, основное время при внедрении проводных сетей.

- Гибкость. Быстрая реструктуризация, изменение размеров и конфигурации сети, подключение новых пользователей.

- Сохранение инвестиций. Беспроводные сети удобно использовать, если необходимо развернуть сеть на небольшой отрезок времени или есть вероятность переезда.

- Возможность развертывания там, где нельзя воспользоваться кабельными сетями: наличие рек, озер, болот и т.д., развертывание сети на территории памятников архитектуры.

Но, как и у любой другой сложной технологии, у беспроводных компьютерных сетей есть не только положительные, но и отрицательные стороны. Одна из самых главных проблем - возможное наличие на пути радиоволн препятствий, что приходится учитывать при размещении точки доступа и клиентских станций. Металлические конструкции могут создавать отражения сигнала, создавая т.н. эффект многолучевого приема, когда на антенну, расположенную на приемной стороне, приходит несколько вариантов переданного сигнала, сдвинутых по фазе один относительно другого. Многолучевой прием значительно увеличивает коэффициент ошибок. Еще одна проблема - «свободный статус» диапазона 2,4 ГГц. В нем могут работать, например, генераторы микроволновых печей или медицинские приборы. Информацию, передаваемую по беспроводной сети, относительно легко перехватить. Да, сейчас используются алгоритмы, которые можно «вскрыть» прямым перебором, разве что используя суперкомпьютер. Но и производительность вычислительной техники растет с большой скоростью. Не исключено, что через несколько лет системы защиты информации, используемые в беспроводных компьютерных сетях, можно будет взломать, используя персональный компьютер. А вот на то, что за это время алгоритмы шифрования, разрешенные для массового применения, будут адекватно улучшены, надеяться не приходится, поскольку в США поставили перед миром вопрос об ограничении совершенствования массовых средств криптозащиты информации [5].

Список литературы

1. В.И. Васильев и др. Методы и средства организации каналов передачи данных.

2. Вычислительные машины, системы и сети. Учебник под редакцией А.В. Пятибратова.

3. Ф. Дженнингс. Практическая передача данных: модемы, сети, протоколы.

4. Ю. Блэк. Сети ЭВМ: протоколы, стандарты, интерфейсы.

5. http://ru.wikipedia.org/

Страницы: 1, 2, 3