3.4. Угрозы криптозащиты
В беспроводных сетях применяются криптографические средства для обеспечения целостности и конфиденциальности информации. Однако оплошности приводят к нарушению коммуникаций и использованию информации злоумышленниками. WEP - это криптографический механизм, созданный для обеспечения безопасности сетей стандарта 802.11. Этот механизм разработан с единственным статическим ключом, который применяется всеми пользователями. Исследование WEP-шифрования выявило уязвимые места, из-за которых атакующий может полностью восстановить ключ после захвата минимального сетевого трафика. В Internet есть средства, которые позволяют злоумышленнику восстановить ключ в течение нескольких часов. Поэтому на WEP, как на средство аутентификации и конфиденциальности в беспроводной сети, полностью полагаться нельзя. Все беспроводные коммуникационные сети подвержены атакам прослушивания в период контакта (установки соединения, сессии связи и прекращения соединения). Сама природа беспроводного соединения не позволяет его контролировать, и потому оно требует защиты. Управление ключом вызывает дополнительные проблемы при роуминге и при пользовании открытой средой.
Анонимность атак. Беспроводной доступ обеспечивает полную анонимность атаки. Без соответствующего оборудования в сети, позволяющего определять местоположение, атакующий может легко сохранять анонимность и прятаться где угодно на территории действия беспроводной сети. В таком случае злоумышленника трудно поймать и еще сложнее передать дело в суд. В недалеком будущем прогнозируется ухудшение распознаваемости атак в Internet из-за широкого распространения анонимных входов через небезопасные точки доступа. Уже существует много сайтов, где публикуются списки таких точек, которые можно использовать с целью вторжения. Важно отметить, что многие мошенники изучают сети не для атак на их внутренние ресурсы, а для получения бесплатного анонимного доступа в Internet, прикрываясь которым, они атакуют другие сети. Если операторы связи не принимают мер предосторожности против таких нападений, они должны нести ответственность за вред, причиняемый другим сетям при использовании их доступа к Internet.
Физическая защита. Устройства беспроводного доступа к сети должны быть маленькими и переносимыми (КПК, ноутбуки), как и точки доступа. Кража таких устройств во многом приводит к тому, что злоумышленник может попасть в сеть, не предпринимая сложных атак, т. к. основные механизмы аутентификации в стандарте 802.11 рассчитаны на регистрацию именно физического аппаратного устройства, а не учетной записи пользователя. Так что потеря одного сетевого интерфейса и несвоевременное извещение администратора может привести к тому, что злоумышленник получит доступ к сети без особых хлопот.
3.5. Основы криптографии
Аутентификация - определение источника информации, то есть конечного пользователя или устройства (центрального компьютера, сервера, коммутатора, маршрутизатора и т. д.).
Целостность данных - обеспечение неизменности данных в ходе их передачи. Конфиденциальность данных - обеспечение просмотра данных в приемлемом формате только для лиц, имеющих право на доступ.
Шифрование - метод изменения информации таким образом, что прочитать ее не может никто, кроме адресата, который должен ее расшифровать.
Расшифровка - метод восстановления измененной информации и приведения ее в читаемый вид. Ключ - цифровой код, используемый для шифрования и расшифровки информации, а также для ее подписи. Общий ключ - цифровой код, используемый для шифрования/расшифровки информации и проверки цифровых подписей. Этот ключ может быть широко распространен и используется с соответствующим частным ключом. Частный ключ - цифровой код, используемый для шифрования/расшифровки информации и проверки цифровых подписей. Владелец этого ключа должен держать его в секрете. Частный ключ используется с соответствующим общим ключом. Секретный ключ - цифровой код, совместно используемый двумя сторонами для шифрования и расшифровки данных. Хэш-функция - математический аппарат, результатом которого является последовательность битов (цифровой код). Имея этот результат, невозможно восстановить исходные данные, использовавшиеся для расчета. Хэш - последовательность битов, полученная в результате расчета хэш-функции. Результат обработки сообщения (Message digest) - величина, выдаваемая хэш-функцией (то же, что и «хэш»). Шифр - любой метод шифрования данных. Цифровая подпись - последовательность битов, прилагаемая к сообщению (зашифрованный хэш), которая обеспечивает аутентификацию и целостность данных. AAA (Authentication, Authorization, Accounting) - архитектура аутентификации, авторизации и учета. VPN (Virtual Private Networks) - виртуальные частные сети. IDS (Intrusion Detection System) - системы обнаружения вторжений.
Криптография. Криптографией называется наука о составлении и расшифровке закодированных сообщений. Криптография является важным элементом для механизмов аутентификации, целостности и конфиденциальности.
Аутентификация служит средством подтверждения личности отправителя или получателя информации. Целостность означает, что данные не были изменены, а конфиденциальность обеспечивает ситуацию, при которой данные не может понять никто, кроме их отправителя и получателя. Обычно криптографические механизмы существуют в виде алгоритма (математической функции) и секретной величины (ключа). Аутентификация, целостность данных и конфиденциальность данных поддерживаются тремя типами криптографических функций: симметричным шифрованием, асимметричным шифрованием и хэш-функциями.
Симметричное шифрование. Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных. Для того чтобы обеспечить конфиденциальность данных, абоненты должны совместно выбрать единый математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того, им нужно выбрать общий ключ (секретный ключ), который будет использоваться с принятым ими алгоритмом шифрования/расшифровки. Пример симметричного шифрования показан на рис. 3.5.
Рис. 3.5. Симметричное шифрование
Сегодня широко используются такие алгоритмы секретных ключей, как Data Encryption Standard (DES), 3DES (или "тройной DES") и International Data Encryption Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Если объем сообщения превышает 64 бита, то необходимо разбить его на блоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такое объединение, как правило, осуществляется одним из четырех методов:
электронной кодовой книгой (Electronic Code Book - ECB);
цепочкой зашифрованных блоков (Cipher Block Changing - CBC);
x-битовой зашифрованной обратной связью (Cipher FeedBack - CFB-x);
выходной обратной связью (Output FeedBack - OFB).
Шифрование с помощью секретного ключа чаще всего используется для поддержки конфиденциальности данных и очень эффективно реализуется с помощью неизменяемых «вшитых» программ (firmware). Этот метод можно использовать для аутентификации и поддержания целостности данных, но метод цифровой подписи является более эффективным. С методом секретных ключей связаны следующие проблемы: необходимо часто менять секретные ключи, поскольку всегда существует риск их случайного раскрытия; трудно обеспечить безопасную генерацию и распространение секретных ключей.
Асимметричное шифрование. Асимметричное шифрование часто называют шифрованием с помощью общего ключа, при котором используются разные, но взаимно дополняющие друг друга ключи и алгоритмы шифрования и расшифровки. Для того чтобы установить связь с использованием шифрования через общий ключ, обеим сторонам нужно получить два ключа: общий и частный (рис. 3.6). Для шифрования и расшифровки данных стороны будут пользоваться разными ключами.
Рис. 3.6. Асимметричное шифрование
Вот некоторые наиболее типичные цели использования алгоритмов общих ключей: обеспечение конфиденциальности данных; аутентификация отправителя; получение общих ключей для совместного использования.
Механизмы генерирования пар общих/частных ключей являются достаточно сложными, но в результате получаются пары очень больших случайных чисел, одно из которых становится общим ключом, а другое - частным. Генерация таких чисел требует больших процессорных мощностей, поскольку эти числа, а также их произведения, должны отвечать строгим математическим критериям. Однако этот процесс абсолютно необходим для обеспечения уникальности каждой пары общих/частных ключей. Алгоритмы шифрования с помощью общих ключей редко используются для поддержки конфиденциальности данных из-за ограничений производительности. Вместо этого их часто используют в приложениях, где аутентификация проводится с помощью цифровой подписи и управления ключами. Из наиболее известных алгоритмов общих ключей можно назвать RSA (Rivest-Shamir-Adleman) и ElGamal (Эль-Гамал).
Безопасная хэш-функция. Безопасной хэш-функцией называется та функция, которую легко рассчитать, но обратное восстановление практически невозможно, так как требует непропорционально больших усилий. Входящее сообщение пропускается через математическую функцию (хэш-функцию), и в результате на выходе мы получаем некую последовательность битов (рис. 3.7). Эта последовательность называется «хэш». Хэш-функция принимает сообщение любой длины и выдает на выходе «хэш» фиксированной длины.
Рис. 3.7. Вычисление хэш-функции
Обычные хэш-функции включают: алгоритм Message Digest 4 (MD4); алгоритм Message Digest 5 (MD5); алгоритм безопасного «хэша» (Secure Hash Algorithm - SHA).
- Глава 1. Беспроводная технология Wi-Fi
- Техническое обеспечение сетей wlan
- 1.2. Режимы и особенности организации технологии Wi-Fi
- 1.2.1. Режим Ad Hoc.
- 1.2.2. Инфраструктурный режим
- 1.2.3. Режимы wds и wds with ap
- 1.2.4. Режим повторителя
- 1.2.5. Режим клиента
- 1.3. Организация и планирование беспроводных сетей
- 1.3.1. Офисная сеть
- 1.3.2. Роуминг в беспроводных сетях
- 1.3.3. Сеть между несколькими офисами
- 1.3.4. Предоставление бесплатного гостевого доступа
- 1.3.5. Платный доступ в Интернет, организация hot-spot
- 1.3.6. Для чего технология Wi-Fi не предназначена
- Глава 2. Беспроводная технология wimax
- 2.1. Цели и задачи WiMax
- 2.2. Принципы работы
- 2.3. Режимы работы
- 2.4. Антенны
- 2.5. Отношение «сигнал-шум» в цифровых системах связи
- Глава 3. Угрозы и риски безопасности беспроводных сетей
- 3.1. Подслушивание
- 3.2. Отказ в обслуживании (Denial of Service - dos)
- 3.3. Глушение клиентской или базовой станций
- 3.4. Угрозы криптозащиты
- Цифровая подпись. Цифровая подпись представляет собой зашифрованный хэш, который добавляется к документу. Принцип шифрования с цифровой подписью поясняет рисунок 3.8.
- 3.6. Протоколы безопасности беспроводных сетей
- 3.6.1. Механизм шифрования wep
- 3.6.2. Потоковое шифрование
- 3.6.3. Блочное шифрование
- 3.6.4. Вектор инициализации
- 3.6.5. Шифрование с обратной связью
- 3.6.6. Уязвимость шифрования wep
- 3.6.7. Проблемы управления статическими wep-ключами
- 3.7. Аутентификация в беспроводных сетях
- 3.8. Спецификация wpa
- Архитектура ieee 802.1x. Архитектура ieee 802.1x включает в себя следующие обязательные логические элементы (рис. 3.28):
- Глава 4. Спутниковые системы позиционирования
- 4.1. Принцип работы
- 4.2. Технические детали работы систем
- 4.3. Коммерциализация глонасс
- Глава 5. Спутниковые сети
- Беспроводная среда и ее преимущества.
- Беспроводные радиоканалы наземной и спутниковой связи.
- Спутниковые каналы связи.
- 5.4. Сотовые каналы связи и сети.
- 5.5. Радиопередача в узком диапазоне (одночастотная передача).
- 5.6. Радиопередача в рассеянном спектре.
- Микроволновые сети и системы.
- Беспроводные сети на инфракрасном излучении.
- Лазерные сети
- Оборудование беспроводных и спутниковых сетей
- Спутниковые технологии.
- Спутниковый Интернет
- Спутниковые мультисервисные сети.
- Мультисервисное оборудование спутниковых сетей
- Антенные системы. Антенна - необходимый атрибут любой земной спутниковой станции. Антенная система зссс включает следующие компоненты:
- Усилители мощности, преобразователи и трансиверы
- Системы управления спутниковыми сетями.
- Глобальная спутниковая система связи Globalstar.
- Пользовательский сегмент Globalstar. Пользовательский сегмент системы Globalstar состоит из следующих видов абонентских терминалов:
- Технология vsat.
- Оборудование для наземного сегмента спутникового Интернета.
- Протоколы множественного доступа
- Маршрутизация в спутниковых сетях
- Транспортные протоколы в спутниковых сетях
- Международные консорциумы в системах спутниковой связи (ссс)
- Глава 6. Беспроводная технология и ресторанно-гостиничный бизнес
- Беспроводная технология и гостиничный, туристический бизнес
- Глава 7. Беспроводная технология и окружающая среда
- Мобильники и медицинские приборы
- Молния и iPod