Выше мы рассмотрели основные архитектуры нейронных сетей и принципы их создания, обучения и функционирования. Основная часть теоретических достижений в этой области связана именно с такими архитектурами. Однако существует еще два малоисследованных, но перспективных направления – это алгоритмы обучения, не требующие предоставления обучающих образцов (самообучение) и сети с обратными связями, позволяющие выделять не только пространственные, но и временные характеристики входных сигналов.
Самоорганизующиеся сети являются одним из наиболее интересных направлений в области. Такие сети способны выделять корреляции во входных данных и приводить свое состояние в соответствие с ними. Самоорганизующиеся сети способны выделять близкие входные образы так, что они вызывают возбуждение близких нейронов выходного слоя.
Демонстрационный пример «Competitive learning» показывает реализацию классификатора с использованием самоорганизующихся сетей.
Рисунок 31. Использование самоорганизующихся сетей для классификации
(Competitive learning)
Рисунок 32. Самоорганизующйся слой
Обучение сети происходит так, что при подаче на вход сети нового вектора, значительно отличающегося от существующих классов, в сети создается новый класс. Если же вектор близок к одному из существующих классов, то веса изменяются для приведения его в соответствие с новыми данными. Понятно, что для такого рода сети число классов, которые она способна выделять равно числу нейронов соревнующегося слоя. Создание сети осуществляется с помощью функции newc:
net = newc(, 2);
где первый аргумент – диапазоны значений входных сигналов, а второй – число нейронов в слое.
Обучается сеть с помощью правила обучения Кохонена (learnk):
где i –индекс выигравшего нейрона (обучению подвергается i-й ряд весовой матрицы)
Одно из ограничений самообучающихся сетей – это то, что не все нейроны могут быть задействованы в распознавании. Если изначально веса нейрона далеки от входных векторов, то такой нейрон никогда не выиграет в соревновании, и, соответственно, не будет подвергаться обучению. Чтобы обойти это ограничение, используются смещения. Положительное смещение, прибавленное к отрицательному расстоянию, делает вероятность выигрыша для нейрона выше. Таким образом, при обучении, смещения наиболее успешных нейронов уменьшаются, а менее успешных – увеличиваются, что приводит к равномерному распределению распознаваемых сигналов по нейронам. Такого рода обучение осуществляется с помощью функции learncon.
Другой тип самообучающихся сетей, имеющих некоторые преимущества перед рассмотренными – это так называемые самообучающиеся карты. Архитектура этих сетей приведена на следующем рисунке:
Рисунок 33. Самоорганизующаяся карта
В них обучение производится не только над самим нейроном, выигравшем соревнование, но и над его ближайшими соседями, что приводит к тому, что близко расположенные в сети нейроны учатся распознавать близкие образы, т.е. сеть запоминает топологию сигналов. Правило обучения для таких сетей приведено ниже:
Самоорганизующиеся карты могут иметь различную топологию (прямоугольные ячейки, шестиугольные ячейки, случайное расположение весов) и по-разному определять расстояние между нейронами.
Самоорганизующаяся сеть – сеть, не имеющая определенной структуры, меняющаяся и распределяющая функции между узлами при подключении нового устройства, изменении характера трафика и т.д.
2. История создания и развитияИстория современных самоорганизующихся сетей начинается с 1970-х годов с момента создания PRNET (Packet Radio Networks), финансированные министерством обороны США. Цель создания самоорганизующихся сетей заключалась в возможности работать в сети, получать доступ к сети Интернет в любом месте, даже в движении, не полагаясь на инфраструктуру фиксированной сети.
С развитием всепроникающих сетей возникла необходимость в использовании нового типа сетей, без устойчивой структуры и способной адаптироваться к меняющимся характеристикам каналов связи. Такие стали называть самоорганизующимися. Первые коммерческие самоорганизующиеся мобильные сети были развернуты в США и Японии в 2009-2010 годах.
Самоорганизующиеся сети в зависимости от скорости самоорганизации, доли участия в ней людей делят на целевые (ad hoc) и ячеистые (mesh) сети. В переводе с латыни «ad hoc» буквально означает «для этого, специально для этого случая». Основное отличие между ad hoc и mesh сетями состоит в том, что, как правило, ad hoc относят к терминальным сетям, a Mesh - к транзитным, хотя это деление весьма условно, но принято в настоящее время.
3. Технические характеристикиСамоорганизующаяся сеть обладает следующими характеристиками:
Самоконфигурация – распознавание и регистрирование в сети новых подключенных устройств. При этом соседние автоматически корректируют свои технические параметры (например, мощность излучения, наклон антенны и т.д.).
Самооптимизация – адаптация параметров устройств при изменении параметров сети: количества пользователей, уровня сигнала, уровня внешних помех и др.
Самовосстановление – автоматическое обнаружение и устранение сбоев: перераспределение функций между устройствами при выходе из строя каких-либо узлов сети для повышения отказоустойчивости сети.
Алгоритмы маршрутизации самоорганизующихся сетей:
Проактивная маршрутизация – наличие постоянно обновляемых полных списков адресов назначения и маршрутов до них.
Реактивная маршрутизация – построенные маршрута по необходимости, т.е. при наличии трафика предназначенного определенному адресату, с помощью опросов соседних узлов и алгоритмов обнаружения соседей.
Гибридная маршрутизация – сочетание элементов проактивной и реактивной маршрутизации. Т.е. хранение таблицы некоторых адресатов, и последующий их опрос по требованию по мере необходимости построения иных маршрутов.
Для организации самоорганизующейся сети чаще всего используют протоколы Bluetooth, Wi-Fi, ZigBee, для маршрутизации – AODV, SAODV, ZRP, OLSR, LAR.
4. Кейсы примененияБыстрое развертывание сенсорных сетей в чрезвычайных ситуациях: например, для поиска пострадавших, анализа масштаба бедствия и т.д. В локальных сетях (сеть HANET), например, при создании системы автоматизации зданий, домов, систем локального позиционирования (RTLS).
В транспортной сфере для системы умного транспорта и умного трафика – сети VANET. В местах массового скопления людей для разгрузки базовых станций и обеспечения связи мобильных устройств напрямую без участия базовых станций (MANET).
5. Полезные ссылкиИсточники:
В век коммуникационных устройств, социальных сетей и прочих сервисов сообщение на расстоянии и мгновенный обмен информацией кажутся чем-то само собой разумеющимися. Однако возможность оставаться на связи именно в те моменты, когда коммуникационная инфраструктура оказывается нарушенной, приобретает особое значение. Например, на Гаити после недавнего катастрофического землетрясения главным средством связи оказались спутниковые телефоны, предоставленные службами помощи. Но парализовать инфраструктуру сотовой связи могут не только масштабные природные катаклизмы — даже банальное отключение электропитания способны превратить наши мобильные устройства в бесполезные игрушки.
В подобных случаях все более привлекательным вариантом становится создание беспроводной самоорганизующейся (или динамической, или ad hoc) сети. Такая структура формирует сама себя всякий раз, когда специально запрограммированные мобильные телефоны или иные устройства связи оказываются в пределах прямого доступа. Каждое из них выполняет в динамической сети функции и передатчика, и приемника, а также, что очень важно, служит ретрансляционным пунктом для всех ближайших приспособлений. Устройства, расстояние между которыми превышает дальность прямой связи, могут поддерживать связь между собой, если им готовы помочь другие приспособления, находящиеся между ними, передавая сообщения по цепочке, как ведра при пожаре. Иными словами, каждый узел в сети служит и коммуникатором для собственных сообщений, и элементом инфраструктуры для сообщений других узлов.
Помощь при бедствиях — лишь одна из возможных функций самоорганизующихся сетей. Они будут полезны везде, где создание стационарной базы будет слишком долгим, трудным или дорогим. Военные вложили большие деньги в разработку самоорганизующихся систем для применения на поле боя. Динамические сети в вашем доме позволят бытовым приборам находить друг друга и устанавливать связи между собой, избавив от необходимости протягивать провода в спальню или кабинет. Удаленные поселения и малообеспеченные соседи могли бы через беспроводные ad hoc сети получить широкополосный доступ в Интернет. Ученые, исследующие экологические микросреды на верхушках деревьев или гидротермальные источники на дне океана, смогли бы размещать датчики в исследуемых точках, не заботясь о том, будут ли они «слышать» друг друга, или о том, как информация попадет в их компьютер.
Разработка таких сетей ведется уже больше трех десятилетий, но лишь в последние годы успехи теории сетей привели к созданию первых рабочих крупномасштабных систем. В Сан-Франциско новая компания Meraki Network подключила 400 тыс. жителей города к Интернету через свою систему Free the Net, созданную на основе технологии беспроводных самоорганизующихся сетей. Компоненты Bluetooth в сотовых телефонах, компьютерные игровые системы и ноутбуки обеспечивают связь между собой без проводных соединений или специального конфигурирования при помощи технологий динамических сетей. Самоорганизующиеся сети развернуты в ряде удаленных или неблагоприятных мест для сбора информации от маломощных беспроводных датчиков. Для того чтобы подобные сети получили широкое распространение, требуется еще ряд технических прорывов, но на нескольких направлениях успехи уже достигнуты.
Сотовая сеть
Беспроводные самоорганизующиеся сети пока еще редко встречаются. Чтобы понять причину их медленного внедрения, полезно рассмотреть различия между такими новыми технологиями, как сотовые телефоны и Wi-Fi. Когда вы звоните другу по мобильнику, в беспроводной связи задействован только каждый из соединяемых телефонов и ближайшая к нему вышка сотовой связи (базовая станция). Вышки неподвижны и связаны между собой обширной сетью проводов и кабелей. В беспроводных локальных сетях, в частности Wi-Fi, также используются неподвижные антенны и проводные соединения.
Такой подход имеет как достоинства, так и недостатки. Для передачи информации необходима энергия, и в классических беспроводных сетях она запасается в аккумуляторах мобильных устройств (например, телефонов и ноутбуков), а максимально возможная часть коммуникационной нагрузки возлагается на стационарную инфраструктуру, питаемую от электросети. Ширина беспроводной полосы — также фиксированный и ограниченный ресурс. В традиционных беспроводных сетях ширина полосы экономится за счет передачи большей части информации по проводным каналам. Использование стационарной инфраструктуры позволяет создавать большие и наиболее надежные телефонные и WiFi-коммуникационные ресурсы в областях, где потребность в них наиболее велика.
Однако использование фиксированной инфраструктуры делает эти сети уязвимыми: их работа нарушается в случае отключения электропитания и других сбоев даже при исправности отдельных телефонов и других мобильных устройств в зоне действия сети. Надежность динамических сетей намного выше. Если один мобильный прибор отключается, остальные видоизменяют сеть таким образом, чтобы в возможно большей степени компенсировать выбывший элемент. С подключением и отключением устройств сеть подстраивается и «вылечивается» сама.
Но такая перенастройка не дается даром. Сеть должна передавать информацию таким образом, чтобы сообщение могло быть реконструировано даже в том случае, если в ходе передачи послания какие-то звенья цепи связи между отправителем и адресатом прекратят работу. Система должна определять оптимальный путь доставки сообщения адресату даже при условии, что отправляющее устройство не имеет возможности определить местонахождение адресата. Кроме того, сеть должна справляться с неизбежными шумами от множества устройств, одновременно передающих сообщения.
Беспроводные самоорганизующиеся сети (MANET- Mobile Ad-Hoc Networks) представляют архитектуру построения мобильных радиосетей, которая предполагает отсутствие фиксированной сетевой инфраструктуры (базовых станций) и централизованного управления. Особую привлекательность эти сети приобрели с появлением беспроводных стандартов и сетевых технологий (Bluetooth, Wi-Fi, WiMAX). На основе уже существующих стандартов 802.11 и 802.16 можно строить беспроводные самоорганизующиеся сети городского масштаба, отличительной чертой которых можно назвать большую зону покрытия (несколько квадратных километров).
Беспроводная самоорганизующаяся сеть (БСС) характеризуется динамическими изменениями топологии, ограниченной пропускной способностью, ограниченной мощностью батарей (аккумуляторов) в узлах, неоднородностью ресурсов узлов, ограниченной безопасностью и др Однако в последнее время БСС-сети стали использовать в интеллектуальных транспортных системах и для дома (HANET - Home AdHoc Network), для сетей небольших офисов, для совместных вычислений компьютеров, расположенных на небольшой территории. Самоорганизующиеся сети (Ad-Hoc сети) могут быть классифицированы согласно их применению: - мобильные беспроводные самоорганизующиеся сети (Mobile Ad-hoc Networks, MANET); - Беспроводные mesh-сети (Wireless Mesh Networks, WMN);
Мобильная беспроводная самоорганизующаяся сеть (MANET), которую иногда называют мобильной mesh-сетью, является самонастраивающейся сетью, которая состоит из мобильных устройств. Все узлы используют для связи беспроводные соединения (рис. 1.8).
Рис. 1.8. Пример архитектуры БСС-сети
Все устройства в БСС-сети постоянно перемещаются, а следовательно, в сети постоянно меняются связи. Каждый узел должен выполнять функции маршрутизатора и принимать участие в ретрансляции пакетов данных. Главная задача в создании такой сети - сделать так, чтобы все устройства могли постоянно поддерживать актуальную информацию для правильной маршрутизации трафика. БСС-сеть также можно разделить на несколько классов:
Vehicular Ad Hoc Network (VANET) - Ad-Hoc-сеть, которая используется для связи транспортных средств друг с другом, а также для их соединения с придорожным оборудованием;
Intelligent vehicular Ad-Hoc network (InVANET) - своего рода искусственный интеллект, который помогает управлять автомобилем в разных непредвиденных ситуациях;
Internet Based Mobile Ad hoc Network (iMANET) - БСС-сеть, которая соединяет мобильные узлы с фиксированными Internet-шлюзами.
Беспроводные mesh-сети - это особый вид Ad-Hoc-сетей, который имеет более спланированную конфигурацию. Mesh-сети состоят из клиентов, маршрутизаторов и шлюзов (рис. 1.9). Основное отличие состоит в том, что беспроводные узлы не перемещаются в пространстве во время работы. Основное отличие между MANET и Mesh-сетями состоит в том, что, как правило, MANET - относится к терминальной сети, т.е. к сети без транзитных функций, а Mesh-сети - к транзитной сети, хотя деление это весьма условно, но принято в настоящее время. В соответствии с более сложными функциями Mesh-сети при ее построении тоже различают родительские и дочерние сети Internet.
Рис. 1.9. Пример беспроводной mesh-сети
На данный момент наблюдается огромный научный и прикладной интерес к созданию самоорганизующихся самовосстанавливающихся сетей .
Как было упомянуто выше, одним из наиболее актуальных кандидатов для реализации когнитивных беспроводной сетей считают: беспроводные самоорганизующиеся сети.
Рамминг (Ramming) в утверждает, что для БСС-сети требуется новый тип технологии организации сети, называемый когнитивной технологией. Он в подбор утверждает, что такая сеть должна понимать задачи приложения, а приложение способно понять возможности сети в любой момент времени. Это позволило бы сети, посредством изучения основных требований приложения, использовать новые возможности и динамически выбирать удовлетворяющие этим требованиям протоколы сети.
Как основное положение когнитивной теории, когнитивный цикл применяется в сетях для распознавания образов. Степень возможности распознавания образов узлом зависит от его логического положения и уровня расположения в сети. Исходя из этого, подобно БСС-сети, когнитивная сеть может рассматриваться в качестве динамической интегрирующейся сети. Поэтому возможно применять когнитивную технологию в БСС-сетях, что, следовательно, приводит к развитию БСС-сетей.
Когнитивная беспроводная самоорганизующаяся сеть - естественная конечная точка развития современной БСС-сети. Однако когнитивные сети реагируют намного быстрее, чем самоорганизующиеся сети, поскольку они должны быть способны изучать и планировать и, следовательно, существует большая потребность в самоанализе. Можно было бы утверждать, что полностью функционирующая когнитивная сеть является естественным развитием БСС-сети.
Рассмотрим простейший пример управления маршрутизацией в когнитивной беспроводной самоорганизующейся сети. В качестве примера необходимости адаптации всей системы рассматривается сеанс передачи данных в самоорганизующейся сети между исходящим узлом S1 и узлом назначения D1, как показано на рис. 1.10. Исходящий узел S1 не имеет достаточной мощности для прямой передачи данных в D1. Поэтому он должен передать данные в узел назначения только через промежуточные узлы, такие как R1 и R2.
Рис. 1.10. Управление маршрутизацией в когнитивной Ad-Нос сети
Предполагается, что цепь из источника до назначения имеет высокую вероятность успешной передачи. Уровень маршрутизации будет определять маршруты на основе минимального количества промежуточных узлов, которые в данном случае включают в себя либо R1, либо R2. Узел S1 выполняет адаптацию канального уровня для выбора R1 или R2 на основе отношения сигнала к шуму и наименьшей вероятности нарушения связи. С точки зрения канального уровня в узле S1 это обеспечивает самую высокую вероятность того, что переданные пакеты прибудут к ретрансляционным узлам корректно. Однако без дополнительной информации этот выбор не гарантирует вероятность доставки передаваемых данных от S1 до D1 .
В отличие от адаптации отдельных элементов сети, для расчета полной вероятности нарушения связи на пути от узла S1 до D1 через узлы R1 и R2 когнитивная сеть использует информацию от всех узлов. Это показывает преимущество более глобального подхода, но у когнитивной сети есть и другое преимущество: ее способность к обучению. Предположим, что механизм познания измеряет пропускную способность от источника до пункта назначения, чтобы оценить эффективность предыдущих решений, а узлы S1 и S2 направляют свой трафик в обоих направлениях через узел R2, поскольку это удовлетворяет требованию минимальной вероятности нарушения связи. Теперь предполагается, что R2 переполняется из-за большого объема трафика, поступающего из S2. Это становится очевидным в процессе изучения пропускной способности на основании сообщений узлов S1 и S2. Механизм изучения признает, что предшествующее решение больше не оптимально, и познавательный процесс направляется на выработку другого решения. Когнитивная сеть явно не знает, что есть переполнение в узле R2, потому что мы не включали эту информацию в качестве наблюдения. Тем не менее, сеть в состоянии сделать вывод, что могут возникнуть проблемы из-за снижения пропускной способности, а затем реагировать на переполнение, возможно, перенаправлением трафика через узлы R1 и (или) R3. Этот пример иллюстрирует потенциал когнитивных сетей в оптимизации непрерывной работы и способность реагировать на непредвиденные обстоятельства. Протокол маршрутизации когнитивной сети основан не на чисто алгоритмическом подходе и способен выбрать эффективный операционный режим даже в непредвиденных ситуациях.
Библиографический список
1- Wyglinski A.M., Nekovee M., Hou Y.T. (Editors). Cognitive radio communications and networks: principles and practice, Academic Press | 2009, 736 pages.
2- Комашинский В. И. Системы подвижной радиосвязи с пакетной передачей информации./ В.И. Комашинский, А.В. Максимов // СПБ.: Изд-во Лема, 2006. - 238с.
3- Cordeiro C. IEEE 802.22: the first worldwide wireless standard based on cognitive radio / С Cordeiro, K. Challapali, D. Birru, Sai Shankar // First IEEE International Symposium on New Frontiers in Dynamic Spectrum Access Networks (DySPAN 2005), Nov. 2005. P.328-337.
4- Баранов В.П. Синтез микропрограммных автоматов. М.: Нолидж, 1997.-376 с.
5- Кучерявый А. Е. Самоорганизующиеся сети и новые услуги / А.Е. Кучерявый // Электросвязь, № 1 2009. С. 19-23.
6- Ramming С. Cognitive networks. Proceedings of DARPA Tech Symposium, March 2004. pp.9-11 .
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
Размещено на http://allbest.ru
Введение
1. Общее описание проблемы
2. Понятие компьютерной сети
3. Введение в сети AdHoc
4. Применение
5. Безопасность
6. Механизмы защиты
7. Безопасность в беспроводных самоорганизующихся сетях
Заключение
Список литературы
Введение
В данной работе рассмотрены беспроводные самоорганизующиеся сети, основные типы атак, проводимые на них и методы повышения безопасности. Выявлены максимально возможные на сегодняшний день средства и методы защиты для обеспечения безопасности в данных сетях.
В последнее время невероятно быстро развиваются беспроводные сети (БС) передачи информации. По пропускной способности они не уступают выделенным медным линиям.
Помехоустойчивость, надежность и защищенность современных протоколов передачи сделали БС передачи информации явлением повсеместным, а оборудование для них - массовым продуктом. Бесспорным лидером на рынке продуктов для БС является оборудование, отвечающее стандартам IEEE 802.11.
В данной работе приведена классификация БС стандарта IEEE 802.11, основное внимание будет уделено беспроводным самоорганизующимся (Ad-Hoc) сетям.
Однако возможность оставаться на связи именно в те моменты, когда коммуникационная инфраструктура оказывается нарушенной, приобретает особое значение.
Парализовать инфраструктуру сотовой связи могут не только масштабные природные катаклизмы - даже банальное отключение электропитания способны превратить наши мобильные устройства в бесполезные игрушки.
В подобных случаях все более привлекательным вариантом становится создание Ad-Hoc сети. Вместе с тем, само понятие БС, приводит к возникновению большого количества возможных уязвимостей для атак и проникновений, которые были бы гораздо затруднены в стандартной проводной сети. Из-за динамически меняющейся топологии сети и отсутствия централизованного управления, данный вид сетей уязвим для ряда атак.
Поэтому аспект безопасности является очень важным в таких сетях. В научной литературе приведены криптографические методы для БС в целом, стандарты безопасности, а также угрозы, атаки и подходы к защите информации.
Приведены разные типы атак, проводимые на Ad-Hoc сети. Для более глубокого изучения данной темы необходимо иметь общее представление об обеспечении максимальной безопасности, учитывая специфику Ad-Hoc сетей.
Эффективность подобных работ в значительной мере определяется правильной оценкой эволюционных процессов, свойственных для отрасли информационных технологий.
Целью данной статьи является на базе изученной научной литературы и статей исследовать Ad-Hoc сети, выявить угрозы криптозащиты, источники их уязвимости, типы атак и, на основании данного исследования, составить перечень методов и средств защиты для обеспечения максимальной безопасности в Ad-Hoc сети.
Первый международный стандарт IEEE 802.11, разработка которого была завершена в 1997г., является базовым стандартом и определяет протоколы, необходимые для организации беспроводных локальных сетей Wireless Local Area Network (WLAN).
Организация WECA - Wireless Ethernet Compatibility Alliance, стала выступать в качестве гаранта совместимости оборудования для БС от разных производителей. В настоящее время членами
WECA являются более 80 компаний, в том числе Cisco, Lucent, 3Com, IBM, Intel и ряд других известных производителей сетевого оборудования. В терминологии WECA соответствие оборудования требованиям IEEE 802.11 обозначается как Wi-Fi (Wireless Fidelity - дословно переводится на русский язык как "беспроводная точность").
Таким образом, за последние несколько лет беспроводные сети получили широкое распространение во всём мире. И, если ранее речь шла преимущественно об использовании беспроводных сетей в офисах и хот-спотах, то теперь они широко используются как в домашних условиях, так и для развертывания мобильных офисов (в условиях командировок).
Специально для домашних пользователей и небольших офисов продаются точки беспроводного доступа и беспроводные маршрутизаторы, а для мобильных пользователей - карманные беспроводные маршрутизаторы. Однако, принимая решение о переходе к беспроводной сети, не стоит забывать, что на сегодняшнем этапе их развития они имеют одно уязвимое место. Речь идёт о безопасности беспроводных сетей.
1. Общее описание проблемы
Безопасность беспроводной сети включает в себя два аспекта: это защита от несанкционированного доступа и шифрование передаваемой информации. Отметим сразу, что решить их сегодня со стопроцентной гарантией невозможно, но обезопасить себя от всевозможных «любителей» можно и нужно. Ведь беспроводное оборудование и программное обеспечение по умолчанию содержит в себе определенные средства защиты, остается только их задействовать и правильно настроить. Однако, прежде чем перейти к оценке этих средств, приведем несколько фактов, подтверждающих остроту проблемы.
Если взглянуть на результаты опроса главных менеджеров IT-компаний, проведенного фирмой Defcom, то складывается любопытная картина. Порядка 90% опрошенных уверенно в будущем беспроводных сетей, но отодвигают ее на неопределенные сроки ввиду слабой защищенности таких сетей на современном этапе. Равновесие, с точки зрения безопасности между проводными и беспроводными сетями, наступит, по их мнению, только через 3-5 лет. И более 60% утверждают, что недостаточная безопасность серьезно тормозит развитие этого направления - нет доверия, соответственно, многие не рискуют отказываться от испытанных временем проводных решений.
Итак, перейдем непосредственно к методам и средствам обеспечения безопасности беспроводных соединений.
Каждая беспроводная сеть имеет, как минимум, 2 ключевых компонента: базовую станцию и точку доступа. Беспроводные сети могут функционировать в двух режимах: ad-hoc (per-to-per) и infrastructure. В первом случае сетевые карточки напрямую общаются друг с другом, во втором при помощи точек доступа, которые служат в качестве Ethernet мостов.
Клиент и «точка» перед передачей данных должны установить соединение. Не трудно догадаться, что между точкой и клиентом может существовать всего три состояния:
- «аутентификация не пройдена и точка не опознана»;
- «аутентификация пройдена, но точка не опознана»;
- «аутентификация принята и точка присоединена».
Понятно, что обмен данными может идти только в третьем случае. До установления соединения стороны обмениваются управляющими пакетами, «точка доступа» передает опознавательные сигналы с фиксированным интервалом, «клиент», приняв такой пакет, начинают аутентификацию посылкой опознавательного фрейма, после авторизации «клиент» посылает пакет присоединения, а «точка» - пакет подтверждения присоединения беспроводного «клиента» к сети.
2. Понятие компьютерной сети
Компьютерной сетью, или сетью ЭВМ, называется комплекс территориально рассредоточенных ЭВМ, связанных между собой каналами передачи данных. Объединенные в сеть компьютеры обладают существенным суммарным вычислительным потенциалом и обеспечивают повышение надежности работы всей системы в целом за счет дублирования ресурсов.
Целесообразность создания компьютерной сети обуславливается следующим: возможностью использования территориально распределенного программного обеспечения, информационных баз данных и баз знаний, находящихся у различных пользователей; возможностью организации распределенной обработки данных путем привлечения ресурсов многих вычислительных машин; оперативному перераспределению нагрузки между компьютерами, включенными в сеть и ликвидации пиковой нагрузки за счет перераспределения ее с учетом часовых поясов; специализацией отдельных машин на работе с уникальными программами, которые нужны ряду пользователей сети; коллективизации ресурсов, в особенности дорогостоящего периферийного оборудования, которым экономически нецелесообразно укомплектовывать каждую ЭВМ.
Основные требования, предъявляемые к современным компьютерным сетям: Простота эксплуатации и доступа пользователя к сети.
Открытость - возможность подключения разнотипных ЭВМ.
Развиваемость - возможность наращивания ресурсов сети и абонентов.
Автономность - работа пользователя на своей ЭВМ не должна ограничиваться тем, что ЭВМ включена в сеть.
Интегральность - возможность обработки и передачи информации различного вида: символьной, графической и др.
Защищенность - возможность пресечения несанкционированного доступа к сети. Небольшое время ответа обеспечивает эффективную работу пользователя в диалоговом режиме в соответствии с назначением сети.
Непрерывность работы - возможность отключения и подключения компонентов сети без прерывания ее работы.
Помехоустойчивость - способность достоверно передавать информацию в условиях помех.
Высокая надежность и приемлемая стоимость услуг сети.
Часть этих требований заложена в международных или национальных стандартах, другие служат предметом межфирменных соглашений и дополнений.
Сеть можно рассматривать как систему с распределенными по территории аппаратурными, программными и информационными ресурсами. То есть, компьютерные сети представляют собой комплекс технических, программных и информационных средств.
Технические средства - это ЭВМ различных типов (от микро до суперЭВМ); системы передачи данных, включая каналы связи, модемы и сетевые адаптеры для подключения ЭВМ к линиям связи; шлюзы, распределители, маршрутизаторы и другое оборудование.
Информационные средства - это единый информационный фонд, содержащий данные разных типов для общего и индивидуального применения.
В состав информационных средств входят базы данных, базы знаний - локальные и распределенные. Программные средства сети предназначены для организации коллективного доступа к ее ресурсам, динамического распределения и перераспределения ресурсов сети, для оптимальной загрузки технических средств, координации работы основных звеньев сети.
Технически, сеть представляет собой набор компьютеров, периферийных устройств (принтеров и т.п.) и коммутационных устройств, соединенных кабелями.
В качестве кабеля используют: витую пару, тонкий коаксиальный кабель, толстый коаксиальный кабель, волоконно-оптический кабель. Самое распространенное соединение - это простая витая пара (twisted pair), представляющая собой два перевитых вокруг друг друга изолированных медных провода.
Локальные компьютерные сети в основном создаются на базе витой пары или тонкого кабеля. Толстый кабель, в основном, используется на участках большой протяженности при требованиях высокой пропускной способности. Волоконно-оптический кабель позволяет создавать протяженные участки без ретрансляторов при не достижимой с помощью других кабелей скорости и надежности.
Однако стоимость кабельной сети на основе волоконно-оптического кабеля достаточно высока. Первоначально сети создавались по принципу: несколько компьютеров с сетевыми адаптерами соединялись последовательно коаксиальным кабелем, причем все сетевые адаптеры выдавали свой сигнал на него одновременно.
Однако, с ростом размеров сетей, работа нескольких компьютеров на единую шину стала неудобной, так как большими стали взаимные влияния друг на друга: случайные повреждения коаксиального кабеля выводили из строя всю сеть.
Поэтому, дальнейшее развитие компьютерных сетей стало происходить на принципах структурирования. В этом случае каждая сеть складывается из набора взаимосвязанных участков - структур.
Каждая отдельная структура представляет собой несколько компьютеров с сетевыми адаптерами, каждый из которых соединен отдельным проводом (витой парой) с коммутатором. Коммутатор - это устройство, осуществляющее жесткое соединение в локальной сети с использованием современных телекоммуникационных технологий.
При необходимости развития, к сети добавляют новую структуру. Существенным свойством такой структурированной сети является ее высокая помехоустойчивость: при нарушении связи между некоторыми ее элементами остальные продолжают сохранять работоспособность.
Структурированная система несколько дороже традиционной сети за счет увеличения расходов на ее проектирование. Но она обеспечивает возможность надежной эксплуатации в течение многих лет. Для сетей, построенных по этому принципу, появляется необходимость в специальном электронном оборудовании.
Одно из таких устройств - hub (host united block) является коммутационным элементом в сети. Каждый hub имеет от восьми до тридцати разъемов (портов) для подключения либо компьютера, либо другого huba. При подключении компьютера к hubу часть электроники сетевого интерфейса находится в компьютере, а часть - в hub.
Такое подключение позволяет повысить надежность соединения. Соединение компьютерных сетей различных организаций, зачастую созданных на основе различных стандартов, вызвало появление специального оборудования: мостов, маршрутизаторов, концентраторов и т.п., - осуществляющих такое взаимодействие.
Мост - это устройство, объединяющее сегменты компьютерной сети, созданной на базе различных технических средств.
Концентраторы используются, если происходит соединение сетей, имеющих высокую скорость передачи, с сетью, которая имеет низкую скорость, то есть концентратор выполняет функцию накопителя информации.
Мосты и концентраторы используются для присоединения компьютера, а для организации трафика (traffic - уличное движение) используются маршрутизаторы, которые преобразуют информацию из одного формата в другой, а также организуют защиту информации. Что можно получить от компьютерной сети, став ее абонентом?
Наиболее эффективны следующие три сетевые услуги. Обеспечение информацией по всем областям человеческой деятельности. Базы первоисточников на оптических дисках и автоматизированные хранилища организованы практически при всех крупных библиотеках и университетах. Электронные коммуникации.
Прежде всего, это электронная почта - передача и прием текстовой и графической информации. На основе электронной почты организуются так называемые телеконференции - взаимный обмен тематической информацией между пользователями-участниками. Удаленное выполнение программ.
Наличие в сети суперкомпьютеров позволяет проводить на них решения сложных научных и коммерческих задач, а результат выводить на любую сетевую станцию. Эта услуга положена в основу всемирной сети Internet, в которой маломощные ПК получают уже готовую обработанную информацию.
3. Введение в сети AdHoc
Беспроводные самоорганизующиеся сети (другие названия: беспроводные ad hoc сети, беспроводные динамические сети) -- децентрализованные беспроводные сети, не имеющие постоянной структуры. Клиентские устройства соединяются на лету, образуя собой сеть. Каждый узел сети пытается переслать данные предназначенные другим узлам. При этом определение того, какому узлу пересылать данные, производится динамически, на основании связности сети. Это является отличием от проводных сетей и управляемых беспроводных сетей, в которых задачу управления потоками данных выполняют маршрутизаторы (в проводных сетях) или точки доступа (в управляемых беспроводных сетях).
Первыми беспроводными самоорганизующимися сетями были сети «packet radio» начиная с 1970-ых годов, финансируемые DARPA после проекта ALOHAnet.
Применение : Минимальное конфигурирование и быстрое развёртывание позволяет применять самоорганизующиеся сети в чрезвычайных ситуациях таких как природные катастрофы и военные конфликты.
В зависимости от применения беспроводные самоорганизующиеся сети могут быть разделены на:
мобильные самоорганизующиеся сети
беспроводные ячеистые сети
беспроводные сенсорные сети
Основные принципы беспроводных Ad-hoc сетей :
Беспроводные сети делятся на две категории -- сети типа Infrastructure (инфраструктурные) и сети типа ad-hoc (специализированные). Для объединения нескольких компьютеров в инфраструктурную сеть используются маршрутизаторы или групповые пункты доступа. В сети ad-hoc не используются маршрутизаторы и групповые пункты доступа. Она состоит из компьютеров, которые осуществляют обмен данными непосредственно друг с другом.
Ad-hoc сети - это множество беспроводных мобильных узлов связи (станций, пользователей), образующих динамическую автономную сеть при помощи полностью мобильной инфраструктуры. Узлы общаются друг с другом без вмешательства централизованных точек доступа или базовых станций, поэтому каждый узел действует и как маршрутизатор, и как конечный пользователь.
Примером может служить соединение нескольких компьютеров беспроводным способом без точки доступа. Нередко такой способ соединения используется на выставках, в конференц-залах.
В Интернете маршрутизаторами в пределах центральных областей сети владеют хорошо известные операторы, и поэтому предполагается некоторая степень доверия к ним. Но это предположение больше не справедливо для Ad-hoc сетей, т.к. ожидается, что все узлы, входящие в сеть, принимают участие в маршрутизации.
Режим IBSS : - Режим IBSS, также называемый ad-hoc, предназначен для соединений точка-точка. На самом деле существуют два типа режима ad-hoc. Один из них является режимом IBSS, называемый также режимом ad-hoc или IEEE ad-hoc. Этот режим определён стандартами IEEE 802.11. Второй режим называется демонстрационным режимом ad-hoc, или Lucent ad-hoc (или, иногда неправильно, режимом ad-hoc). Это старый, существовавший до появления 802.11, режим ad-hoc, и он должен использоваться только для старых сетей.
Шифрование : - Шифрование в беспроводной сети имеет важное значение, потому что у вас нет больше возможности ограничить сеть хорошо защищённой областью. Данные вашей беспроводной сети вещаются по всей окрестности, так что любой заинтересовавшийся может их считать. Вот здесь используется шифрование. Шифруя данные, посылаемые в эфир, вы делаете их прямой перехват гораздо более сложным для всех любопытных.
Двумя наиболее широко применяемыми способами шифрования данных между вашим клиентом и точкой доступа являются WEP и ip-sec:
WEP. WEP является сокращением от Wired Equivalency Protocol (Протокол Соответствия Проводной сети). WEP является попыткой сделать беспроводные сети такими же надёжными и безопасными, как проводные.
IP-sec. ip-sec является гораздо более надёжным и мощным средством шифрования данных в сети. Этот метод определённо является предпочтительным для шифрования данных в беспроводной сети.
Утилиты : - Имеется несколько утилит, которые можно использовать для настройки и отладки беспроводной сети:
Пакет bsd-airtools
Пакет bsd-airtools представляет собой полный набор инструментов, включая инструменты для проверки беспроводной сети на предмет взлома WEP-ключа, обнаружения точки и т.д.
Утилиты bsd-airtools можно установить из порта net/bsd-airtools.
Утилиты wicontrol, ancontrol и raycontrol
Это инструменты, которые могут быть использованы для управления поведением адаптера беспроводной связи в сети. Wicontrol выбирается, тогда когда адаптером беспроводной сети является интерфейс wi0. Если установлено устройство беспроводного доступа от Cisco, этим интерфейсом будет an0, и тогда будет использоваться ancontrol
Поддерживаемые адаптеры : Точки доступа
Единственными адаптерами, которые на данный момент поддерживаются в режиме BSS (как точка доступа), являются те устройства, что сделаны на основе набора микросхем Prism 2, 2.5 или 3).
Клиенты 802.11a и 802.11g
К сожалению, все еще много производителей, не предоставляющих схематику своих драйверов сообществу open source, поскольку эта информация считается торговым секретом. Следовательно, у разработчиков операционных систем остается два варианта: разработать драйверы долгим и сложным методом обратного инжиниринга, или использовать существующие драйверы для платформ Microsoft® Windows.
Благодаря усилиям Билла Пола (wpaul),существует »прозрачная» поддержка Network Driver Interface Specification (NDIS). FreeBSD NDISulator (известный также как Project Evil) преобразует бинарный драйвер Windows так, что он работает так же как и в Windows. Эта возможность всё ещё относительно нова, но в большинстве тестов она работает адекватно.
Базовая инфраструктура современного Интернета, как известно, управляется и поддерживается десятком организаций, часть из которых подконтрольны правительству США. Далеко не всем по нраву такое положение вещей, и потому уже в течение нескольких лет IT-специалисты обсуждают альтернативные способы организации глобальных информационных сетей.
Существует две основных угрозы для безопасного информационного обмена в электронных сетях: это несанкционированный доступ к приватных данным и вмешательство в работу оборудования и устройств с целью нарушить их активность и даже вывести их из строя.
Возможный ответ на эти угрозы заключается в распространении нового типа телекоммуникаций - независимых, децентрализованных сетей, каждое устройство в которых является полноправным участником и несет свою долю ответственности за функционирование сети. Такой тип информационных сетей называется AHN (ad hoc network).
Главная проблема, которая раньше препятствовала развертыванию подобных сетей в глобальном масштабе, происходила из низкой производительности устройств и «узких» каналов связи: маршрутизация и передача необходимой для работы ad hoc-сети данных отнимает системные ресурсы и предъявляет высокие требования к пропускной способности канала, связывающего устройства между собой. Сегодня множество устройств лишены этих недостатков, а значит в ближайшие годы следует ожидать появления экспериментальных ad hoс-сетей, состоящих из тысяч устройств.
А через пару десятилетий беспроводные, или мобильные ad hoc-сети (MANETs, Mobile ad hoc networks) вполне могут стать необходимым условием для безопасной работы будущих транспортных систем, которым предстоит объединить огромное число роботизированных автомобилей, самолетов и поездов. Каждое транспортное средство в такой системе будет получать навигационную и другую информацию напрямую от своих соседей: так можно обеспечить надежность и непрерывность связи для автономного транспорта.
4. Применение
Существует два основных направления применения беспроводных компьютерных сетей:
Работа в замкнутом объеме (офис, выставочный зал и т. п.);
Соединение удаленных локальных сетей (или удаленных сегментов локальной сети).
Для организации беспроводной сети в замкнутом пространстве применяются передатчики со всенаправленными антеннами. Стандарт IEEE 802.11 определяет два режима работы сети -- Ad-hoc и клиент-сервер. Режим Ad-hoc (иначе называемый «точка-точка») -- это простая сеть, в которой связь между станциями (клиентами) устанавливается напрямую, без использования специальной точки доступа.
В режиме клиент-сервер беспроводная сеть состоит, как минимум, из одной точки доступа, подключенной к проводной сети, и некоторого набора беспроводных клиентских станций. Поскольку в большинстве сетей необходимо обеспечить доступ к файловым серверам, принтерам и другим устройствам, подключенным к проводной локальной сети, чаще всего используется режим клиент-сервер.
Без подключения дополнительной антенны устойчивая связь для оборудования IEEE 802.11b достигается в среднем на следующих расстояниях: открытое пространство -- 500 м, комната, разделенная перегородками из неметаллического материала -- 100 м, офис из нескольких комнат -- 30 м.
Следует иметь в виду, что через стены с большим содержанием металлической арматуры (в железобетонных зданиях таковыми являются несущие стены) радиоволны диапазона 2,4 ГГц иногда могут вообще не проходить, поэтому в комнатах, разделенных подобной стеной, придется ставить свои точки доступа.
Для соединения удаленных локальных сетей (или удаленных сегментов локальной сети) используется оборудование с направленными антеннами, что позволяет увеличить дальность связи до 20 км (а при использовании специальных усилителей и большой высоте размещения антенн -- до 50 км).
Причем в качестве подобного оборудования могут выступать и устройства Wi-Fi, нужно лишь добавить к ним специальные антенны (конечно, если это допускается конструкцией).
Комплексы для объединения локальных сетей по топологии делятся на «точку-точку» и «звезду». При топологии «точка-точка» (режим Ad-hoc в IEEE 802.11) организуется радиомост между двумя удаленными сегментами сети. При топологии «звезда» одна из станций является центральной и взаимодействует с другими удаленными станциями. При этом центральная станция имеет всенаправленную антенну, а другие удаленные станции -- однонаправленные антенны.
Применение всенаправленной антенны в центральной станции ограничивает дальность связи дистанцией примерно 7 км. Поэтому, если требуется соединить между собой сегменты локальной сети, удаленные друг от друга на расстояние более 7 км, приходится соединять их по принципу «точка-точка». При этом организуется беспроводная сеть с кольцевой или иной, более сложной топологией.
Мощность, излучаемая передатчиком точки доступа или же клиентской станции, работающей по стандарту IEEE 802.11, не превышает 0,1 Вт, но многие производители беспроводных точек доступа ограничивают мощность лишь программным путем, и достаточно просто поднять мощность до 0,2-0,5 Вт. Для сравнения -- мощность, излучаемая мобильным телефоном, на порядок больше(в момент звонка - до 2 Вт).
Поскольку, в отличие от мобильного телефона, элементы сети расположены далеко от головы, в целом можно считать, что беспроводные компьютерные сети более безопасны с точки зрения здоровья, чем мобильные телефоны.
Если беспроводная сеть используется для объединения сегментов локальной сети, удаленных на большие расстояния, антенны, как правило, размещаются за пределами помещения и на большой высоте.
Беспроводная связь, или связь по радиоканалу, сегодня используется и для построения магистралей (радиорелейные линии), и для создания локальных сетей, и для подключения удаленных абонентов к сетям и магистралям разного типа. Весьма динамично развивается в последние годы стандарт беспроводной связи Radio Ethernet.
Изначально он предназначался для построения локальных беспроводных сетей, но сегодня все активнее используется для подключения удаленных абонентов к магистралям. С его помощью решается проблема «последней мили» (правда, в отдельных случаях эта «миля» может составлять от 100 м до 25 км). Radio Ethernet сейчас обеспечивает пропускную способность до 54 Мбит/с и позволяет создавать защищенные беспроводные каналы для передачи мультимедийной информации.
Данная технология соответствует стандарту 802.11, разработанному Международным институтом инженеров по электротехнике и радиоэлектронике (IEEE) в 1997 году и описывающему протоколы, которые позволяют организовать локальные беспроводные сети (Wireless Local Area Network, WLAN).
Один из главных конкурентов 802.11 -- стандарт HiperLAN2 (High Performance Radio LAN), разрабатываемый при поддержке компаний Nokia и Ericsson. Следует заметить, что разработка HiperLAN2 ведется с учетом обеспечения совместимости данного оборудования с системами, построенными на базе 802.11а. И этот факт наглядно демонстрирует популярность средств беспроводного доступа на основе Radio Ethernet, растущую по мере увеличения числа пользователей ноутбуков и прочих портативных вычислительных средств.
5. Безопасность
Продукты для беспроводных сетей, соответствующие стандарту IEEE 802.11, предлагают четыре уровня средств безопасности: физический, идентификатор набора служб (SSID -- Service Set Identifier), идентификатор управления доступом к среде (MAC ID -- Media Access Control ID) и шифрование.
Технология DSSS для передачи данных в частотном диапазоне 2,4 ГГц за последние 50 лет нашла широкое применение в военной связи для улучшения безопасности беспроводных передач. В рамках схемы DSSS поток требующих передачи данных «разворачивается» по каналу шириной 20 МГц в рамках диапазона ISM с помощью схемы ключей дополнительного кода (Complementary Code Keying, CCK).
Для декодирования принятых данных получатель должен установить правильный частотный канал и использовать ту же самую схему CCK. Таким образом, технология на базе DSSS обеспечивает первую линию обороны от нежелательного доступа к передаваемым данным. Кроме того, DSSS представляет собой «тихий» интерфейс, так что практически все подслушивающие устройства будут отфильтровывать его как «белый шум».
Идентификатор SSID позволяет различать отдельные беспроводные сети, которые могут действовать в одном и том же месте или области. Он представляет собой уникальное имя сети, включаемое в заголовок пакетов данных и управления IEEE 802.11. Беспроводные клиенты и точки доступа используют его, чтобы проводить фильтрацию и принимать только те запросы, которые относятся к их SSID. Таким образом, пользователь не сможет обратиться к точке доступа, если только ему не предоставлен правильный SSID.
Возможность принятия или отклонения запроса к сети может зависеть также от значения идентификатора MAC ID -- это уникальное число, присваиваемое в процессе производства каждой сетевой карте. Когда клиентский ПК пытается получить доступ к беспроводной сети, точка доступа должна сначала проверить адрес MAC для клиента. Точно так же и клиентский ПК должен знать имя точки доступа.
Механизм Wired Equivalency Privacy (WEP), определенный в стандарте IEEE 802.11, обеспечивает еще один уровень безопасности. Он опирается на алгоритм шифрования RC4 компании RSA Data Security с 40- или 128-разрядными ключами. Несмотря на то, что использование WEP несколько снижает пропускную способность, эта технология заслуживает более пристального внимания.
Дополнительные функции WEP затрагивают процессы сетевой аутентификации и шифрования данных. Процесс аутентификации с разделяемым ключом для получения доступа к беспроводной сети использует 64-разрядный ключ -- 40-разрядный ключ WEP выступает как секретный, а 24-разрядный вектор инициализации (Initialization Vector) -- как разделяемый. Если конфигурация точки доступа позволяет принимать только обращения с разделяемым ключом, она будет направлять клиенту случайную строку вызова длиной 128 октетов. Клиент должен зашифровать строку вызова и вернуть зашифрованное значение точке доступа. Далее точка доступа расшифровывает полученную от клиента строку и сравнивает ее с исходной строкой вызова.
Наконец, право клиента на доступ к сети определяется в зависимости от того, прошел ли он проверку шифрованием. Процесс расшифровки данных, закодированных с помощью WEP, заключается в выполнении логической операции «исключающее ИЛИ» (XOR) над ключевым потоком и принятой информацией. Процесс аутентификации с разделяемым ключом не допускает передачи реального 40-разрядного ключа WEP, поэтому этот ключ практически нельзя получить путем контроля за сетевым трафиком. Ключ WEP рекомендуется периодически менять, чтобы гарантировать целостность системы безопасности.
Еще одно преимущество беспроводной сети связано с тем, что физические характеристики сети делают ее локализованной. В результате дальность действия сети ограничивается лишь определенной зоной покрытия. Для подслушивания потенциальный злоумышленник должен будет находиться в непосредственной физической близости, а значит, привлекать к себе внимание. В этом преимущество беспроводных сетей с точки зрения безопасности. Беспроводные сети имеют также уникальную особенность: их можно отключить или модифицировать их параметры, если безопасность зоны вызывает сомнения.
6. Механизмы защиты
информация шифрование сеть интернет
Основополагающим стандартом при построении данного вида сетей является стандарт 802.1. Этот стандарт для беспроводных сетей предусматривает несколько механизмов обеспечения безопасности сети. Среди них наиболее используемые следующие:
Wired Equivalent Protocol, или WEP, разработанных автором стандарта 802.1. Основная функция WEP - шифрование данных при передаче по радио и предотвращение неавторизованного доступа в беспроводную сеть. По умолчанию WEP отключен, однако его можно легко включить и в таком случае он начнет шифровать каждый исходящий пакет. Для шифрования WEP использует алгоритм RC4.
WEP 2 - представлен в 2001 году после обнаружения множества дырок в первой версии, WEP 2 имеет улучшенный механизм шифрования и поддержку Cerberus V.
Open System Authentication - система аутентификации по умолчанию, используемая в протоколе 802.11. Собственно системы как таковой нет - аутентификацию проходит любой, кто запрашивает. В случае OSA не помогает даже WEP, т.к. в ходе экспериментов было выяснено, что пакет аутентификации посылается незашифрованным.
Access Control List - в протоколе не описывается, но используется многими в качестве дополнения к стандартным методам. Основа такого метода - клиентский Ethernet MAC, уникальный для каждой карточки. Точка доступа ограничивает доступ к сети в соответствии со своим списком MAC адресов, есть клиент в списке и доступ разрешен, нет- значит, нет.
Closed Network Access Control - тут не намного сложнее: либо администратор разрешает любому пользователю присоединяться к сети, либо в нее может войти только тот, кто знает ее имя, SSID. Сетевое имя в таком случае служит секретным ключом.
Виды атак на Wi-Fi сети :
Access Point Spoofing & Mac Sniffing - список доступа вполне пригоден к использованию совместно с правильной идентификацией пользователей в этом списке. В случае же с MAC адресом Access Control List очень просто побороть, т.к. такой адрес очень просто изменить (беспроводные сетевые карты позволяют программно менять MAC адрес) и еще проще перехватить, так как он даже в случае с WEP передается в открытом виде. Таким образом, элементарно проникнуть в сеть, защищенную Access Control List и использовать все ее преимущества и ресурсы.
В случае наличия у нарушителя в загашнике собственной точки доступа есть другая возможность: устанавливается Access Point рядом с существующей сетью: если сигнал хакера сильнее оригинального, то клиент подключится именно к хакеру, а не к сети, передав при этом не только MAC адрес, но и пароль и прочие данные.
WEP Attacks - чистые данные проходят проверку целостности и выдается контрольная сумма (integrity check value, ICV). В протоколе 802.11 для этого используется CRC-32. ICV добавляется в конец данных. Генерируется 24-битный вектор инициализации (IV) и к нему «привязывается» секретный ключ. Полученное значение является исходным для генерации псевдослучайного числа. Генератор выдает ключевую последовательность. Данные XOR-ятся с этой ключевой последовательностью. Вектор инициализации добавляется в конец и все это передается в эфир.
Plaintext атака - в таком взломе атакующий знает исходное послание и имеет копию зашифрованного ответа. Недостающее звено -это ключ. Для его получения атакующий посылает «цели» небольшую часть данных и получает ответ. Получив его, хакер находит 24-битный вектор инициализации, используемый для генерирования ключа: нахождение ключа в таком случае всего лишь задача брутфорса.
Другой вариант - обычный XOR. Если у хакера есть посланный plain text и его зашифрованный вариант, то он просто XOR-ит шифр и на выходе получает ключ, который вместе с вектором дает возможность «грузить» пакеты в сеть без аутентификации на точке доступа.
Повторное использование шифра - атакующий выцепляет из пакета ключевую последовательность. Так как алгоритм шифрования WEP на вектор отводит довольно мало места, атакующий может перехватить ключевой поток, используя разные IV, создавая для себя их последовательность. Таким образом, хакер может расшифровать сообщения, используя все тот же XOR; когда по сети пойдут зашифрованные данные при помощи сгенерированных ранее ключевых потоков их можно будет расшифровать.
Атака Fluther-Mantin-Shamir - хакер может использовать уязвимости и при помощи специализированного софта можно получить как 24 битный ключ WEP, так и 128 битный ключ WEP 2.
Low-Hanging Fruit - этот вид атаки рассчитан на добычу незащищенных ресурсов из незащищенных сетей. Большинство беспроводных сетей абсолютно незащищены, в них не требуется авторизации и даже не используют WEP, так что человек с беспроводной сетевой карточкой и сканером может легко подключиться к Access Point-у и использовать все предоставляемые им ресурсы. Отсюда и название - низко висящие фрукты, которые сорвать не составляет никакого труда.
А как же защитить сети. К числу основных способов защиты сетей можно отнести следующие:
1. Фильтрация MAC адресов: в этом случае администратор составляет список MAC адресов сетевых карт клиентов. В случае нескольких AP необходимо предусмотреть, чтобы MAC адрес клиента существовал на всех, дабы он мог беспрепятственно перемещаться между ними. Однако этот метод очень легко победить, так что в одиночку его использовать не рекомендуется.
2. SSID (Network ID) - использование системы сетевых идентификаторов. При попытке клиента подключиться к АР на него передается семизначный алфавитно-цифровой код; используя метку SSID можно быть уверенным, что к сети смогут подсоединиться только клиенты, знающие его.
3. Firewall: доступ к сети должен осуществляться при помощи IPSec, secure shell или VPN, брандмауэр должен быть настроен на работу именно с этими сетевыми соединениями.
4. AccessPoint - точку доступа надо настраивать на фильтрацию MAC адресов, кроем того, физически сам девайс необходимо изолировать от окружающих. Рекомендуется также конфигурировать точку только по telnet, отключив возможность конфигурации через браузер или SNMP.
Атака клиентского устройства на Wi-Fi сетях
Несмотря на то, что все-таки способы защиты в беспроводных сетях существуют, и администраторы такого рода сетей должны принимать профилактические меры. Нужно отметить сразу, что взлом «в лоб» таких сетей практически невозможен, если не считать взломом атаки по отказу в обслуживании (DoS) на первом и втором уровнях OSI модели. И тем не менее, все таки есть некоторый вид атак, которому беспроводные сети могут быть подвержены. Наиболее угрожающим типом подобных «атак в обход» являются атаки против неассоциированных клиентских хостов.
Общая идея состоит в следующем:
1. Находится неассоциированное клиентское устройство, либо используется «затопление» сети фреймами деассоциации или деаутентификации для его получения.
2. Специфически эмулируется точка доступа для подсоединения этого хоста.
3. Выдается IP адрес, а также IP адреса фальшивых шлюза и DNS сервера через DHCP.
4. Атакуется устройство.
5. Если это необходимо и удаленный доступ к устройству был успешно получен, хост «отпускается» обратно на «родную» сеть, предварительно запускается на нем «троян».
Со следующего года все выпускаемые лаптопы и ноутбуки будут иметь встроенную поддержку Wi-Fi. Да и сейчас уже очень многие клиентские устройства обладают встроенной поддержкой включенной и постоянно ищущей сети для ассоциаций, часто без ведома их владельца. Данный факт игнорируем большинством системных администраторов. Зачастую профессионалы в области IT безопасности ищут исключительно несанкционированные точки доступа и ад-хок сети, не уделяя достаточного внимания Probe Request фреймам от «потерянных» клиентов.
Казалось бы, на первый взгляд, что «отлов» таких клиентов не составляет особого труда. Но лицу, занимающемуся такого рода деятельностью необходимо обладать некоторой информацией. Какого рода данная информация - попытаемся раскрыть.
Для начала ему необходимо знать согласно какому алгоритму клиентские устройства автоматически ищут сети для подсоединения. Будут ли они ассоциироваться с любой обнаруженной 802.11 сетью с достаточно мощным сигналом? А если таких сетей несколько? На чем будет основан их выбор? Kaк насчет сетей с «закрытым» ESSID и сетей, защищенных с помощью WEP или WPA? Ответы на эти вопросы зависят как от операционной системы клиентского хоста, так и от используемой им беспроводной аппаратной части, её драйверов и пользовательских настроек. Рассмотрим одну из наиболее используемых на сегодняшний день операционных систем семейства Windows.
Для установки беспроводного соединения в Windows XP и Windows Server 2003 используется «Алгоритм беспроводной самонастройки» (АБС). Данный алгоритм оперирует с двумя списками 802.11 сетей: списком доступных сетей (СДС) и списком предпочитаемых сетей (СПС). СДС представляет из себя список сетей, ответивших на широковещательные Probe Request фреймы при последнем активном скане. СПС есть список сетей, к которым было установлено полноценное соединение в прошлом. Последние сети, с которыми было ассоциировано устройство, идут в данном списке первыми. Описание сети в обоих списках содержит её ESSID, канал и метод шифрования - «открытый текст», WEP или WPA. Эти списки используются следующим образом в процессе работы АБС:
1. Клиентское устройство составляет СДС путем посылки широковещательных Probe Request фреймов с пустым полем ESSID по одному на каждый из используемых 802.11 каналов и параллельной обработки ответов на эти фреймы.
2. Если обнаруживаются сети, находящиеся в СПС, то происходит ассоциация с такими сетями в порядке их расположения в этом списке. То есть клиентское устройство ассоциируется с самой верхней сетью СПС, которая присутствует в СДС.
3. Если таких сетей не обнаруживается, или же успешной ассоциации с ними не произошло по причине различия в 802.11 стандартах или проблем аутентификации, АБС "заходит на второй круг", посылая Probe Request фреймы специфически для поиска сетей, перечисленных в СПС. На практике это означает, что данные фреймы посылаются на каналы СПС сетей и содержат их ESSID. При этом, отсылка этих фреймов от содержания СДС абсолютно не зависит. Смысл наличия "второго круга" АБС заключается в поиске сетей с "закрытым" ESSID.
4. В случае ненахождения подходящих Infrastructure сетей, следующим этапом поиска является нахождение ад-хок сетей. Для этого проводится сопоставление ад-хок сетей СДС и СПС.
5. Если в СПС имеется хотя бы одна ад-хок сеть, но в СДС она не найдена, АБС устанавливает клиентское устройство в режим ад-хок и присваивает беспроводному интерфейсу IP адрес, принадлежащий к 169.254.0.0/16 диапазону (RFC 3330). Таким образом, хост становится первым узлом потенциальной новой ад-хок сети и алгоритм заканчивает свою работу.
6. Если же ад-хок сетей в СПС нет, то АБС проверяет флаг "Подсоединиться к Непредпочитаемым Сетям" ("Connect To Nonpreferred Networks"). Если этот флаг равен единице, то клиентское устройство будет пытаться ассоциироваться с каждой сетью СДС в порядке их очередности в списке. Для атакующих, по умолчанию данный флаг равен нулю.
7. Если вышеупомянутый флаг не включен пользователем, то беспроводная карточка "запарковывается" как клиент с установленным псевдослучайным 32-х значным ESSID. В таком состоянии она функционирует 60 секунд, после чего алгоритм поиска сетей перезапускается.
В основном атаки хакеров всегда направлены на сам алгоритм АБС. Рассмотрим очевидные слабости данного алгоритма. В первую очередь, во время "второго раунда" АБС (пункт 3), клиентское устройство фактически раскрывает содержание СПС. Если представить себе ситуацию, когда такой хост находится вне досягаемости его "родной" сети. Например, корпоративный лаптоп взят сотрудником на дом или в коммандировку (и используется в аэропорту, самолете, гостинице и так далее). Для обнаружившего такой лаптоп атакующего не составит особого труда определить первую сеть в СПС по ESSID посылаемых устройством Probe Request фреймов, и установить именно это значение ESSID на своей точке доступа. То же самое относится и к поиску ад-хок сетей СПС. Если первая сеть СПС защищена и требует WEP или WPA ключ для подключения, атакующий идет далее по списку и ищет в нем открытую сеть, включая ад-хок WLANы. Вероятность нахождения такой сети достаточно велика. К примеру, большинство Wi-Fi хотспотов используют методы защиты беспроводной передачи данных на более высоких уровнях OSI модели, обычно на седьмом. Подключение к таким сетям оставит описание "незащищенной" (на 2-ом уровне) сети в СПС, которым без проблем может воспользоваться атакующий.
Подобное описание ведет ко второй слабости. При отсутствии такой ад-хок сети поблизости (крайне вероятный сценарий, учитывая то, что ад-хок соединения обычно ставятся на короткие промежутки времени и часто - с новым ESSID каждый раз), Windows клиент установится в постоянном режиме работы как ад-хок узел, ожидающий других клиентов (пункт 5). Злоумышленник без никаких проблем может стать таким клиентом, взять себе один из RFC 3330 адресов, и не проводить широковещательный пинг или послать ARP запросы для обнаружения IP адреса жертвы и проведения дальнейших атак. Причём, для подобного подключения не требуется никакого взаимодействия со стороны пользователя. Оно является полностью автоматическим.
Наконец, при отсутствии незащищенных и ад-хок сетей в СПС и включенного флага "Подсоединиться к Непредпочитаемым Сетям", алгоритм достигнет установки клиентской карточки в "режим ожидания" с посылкой Probe Request фреймов с длинным псевдослучайным ESSID (пункт 7). Проблема в том, что эти "загадочные" ESSID значения являются вполне "рабочими". То есть, достаточно установить по соседству точку доступа с таким ESSID, и «клиент» благополучно на нее "клюнет", чтобы получить IP адрес через DHCP и подвергнуться дальнейшим атакам. Следует сказать, что данная проблема уже устранена в Longhorn, но до тотального перехода на эту операционную систему ещё далеко. А теперь самое главное: так как сеть с длинным псевдослучайным ESSID отсутствует в СПС, подсоединение к такой сети не только не требует никакого взаимодействия со стороны атакуемого пользователя, но даже и не будет показано как существующее индикатором беспроводной связи Windows XP. Данный индикатор будет говорить, что устройство не ассоциировано с какой-либо Wi-Fi сетью, и только контрольная панель установки сетевых опций Windows покажет наличие соединения и присвоенного IP адреса. Следует упомянуть, что последние версии драйверов 802.11a/b/g карточек с Atheros чипсетом хоть и отсылают Probe Request фреймы с псевдослучайными ESSID, но не поддерживают автоматическое соединение с точками доступа, настроенными с такими ESSID значениями.
Что же делать атакующему, если, как было сейчас упомянуто, автоматическая ассоциация, использующая псевдослучайные ESSID невозможна, а СПС не содержит незащищенных на втором уровне сетей? Если сети, к которым подсоединялось атакуемое устройство, защищены с помощью неподбираемого по словарю WPA-PSK либо WPA-802.1х с использованием EAP-TLS, то на данный момент перспектив успешного взлома не видно. Если по крайней мере одна такая сеть была защищена с помощью WPA-802.1х с использованием EAP-TТLS или EAP-PEAP, то существует возможность проведения атак на данные протоколы согласно алгоритмам, описанным хак-группой Shmoo "Тhe Radical Realm of Radius, 802.1x, and You".
Говоря об устаревших механизмах защиты 802.11 сетей, невозможно не упомянуть избитый всеми WEP. Атаки на него могут быть применены и против отдельных клиентских устройств, сети в СПС которых "защищены" с помощью WEPа. Если все ад-хок сети в СПС имеют WEP в своих установках, то и произвольная ад-хок конфигурация с RFC 3330 адресом, как описано в пункте 5 выше, будет использовать WEP. Проблема в том, что такой ад-хок узел не будет "соблюдать тишину" - достаточно вспомнить хотя бы отсылку NetBIOS HELLO пакетов каждые 2 секунды. Соответственно, подобного рода трафик может быть успешно утилизирован для взлома WEP ключа различными методами, от простого перебора по словарю с помощью WepAttack до акселерации взлома путем иньекции пакетов используя Christopher Devine"s aireplay (модифицированная атака ложной аутентификации либо интерактивная реиньекция пакетов, с помощью которых можно заставить одиночный ад-хок клиент послать зашифрованный ARP пакет для последующей ARP реиньекции).
Ещё более интересный пример - клиенты с псевдослучайным ESSID (пункт 7) и WEPом, которые "возникают" в тех случаях, когда все сети, перечисленные в СПС, являются защищенными. Сам факт того, что при наличии в этом списке и WPA-защищенных сетей, всё равно используется WEP - это уже уязвимость. Но, более того, так как установки подобной сети нигде не определены и "самоконфигурируются" без участия пользователя, атакующая точка доступа способна навязать таким клиентам небезопасный метод 802.11 аутентификации с использованием распределенного WEP ключа. Навязывая этот метод, кракер может послать клиентскому устройству challenge строку с известным текстом и получить обратно её же, заXORенную с частью RC4 потока. Таким образом, заXORив полученное с первоначальным текстом, атакующий узнает 144 байта RC4 потока для заданного вектора инициализации (IV). У этой атаки много возможных применений. В частности:
Можно посылать всё новые и новые challenge запросы, пока не откроется поток RC4 шифра для всех векторов инициализации 24-битного WEP IV пространства
Можно атаковать полученный ответ перебором по словарю испольуя WepAttack и сходные утилиты
Можно использовать известные 144 байта потока для реиньекции пакетов к клиентскому устройству с помощью WepWedgie Антона Рэйджера. Удачная реиньекция заставит атакуемый хост послать зашифрованный ARP пакет, который легко перехватить и использовать с aireplay.
В любом из вышеперечисленных случаев, одиночное клиентское устройство, требующее соединение, защищенное WEPом, трудно назвать неуязвимым.
7.
Безопасность в беспроводных самоорганизующихся сетях -- это состояние защищённости информационной среды беспроводных самоорганизующихся сетей.
Особенности беспроводных самоорганизующихся сетей :
общая среда передачи данных
все узлы сети изначально равноправны
сеть является самоорганизующейся
каждый узел выполняет роль маршрутизатора
топология сети может свободно меняться
в сеть могут свободно входить новые и выходить старые узлы
Источники уязвимостей в беспроводных самоорганизующихся сетях : Уязвимость каналов к прослушиванию и подкладыванию сообщений, в связи с общей доступностью среды передачи, как и в любых беспроводных сетях.
Незащищённость узлов от злоумышленника, который легко может получить один в распоряжение, так как обычно они не находятся в безопасных местах, таких как сейфы.
...Подобные документы
Типы беспроводных сетей: PAN (персональные), WLAN (беспроводные локальные), WWAN (беспроводные сети широкого действия). Стандарты беспроводной передачи данных. Соединение Ad-Hoc, инфраструктурное соединение, репитер и мост. Безопасность Wi-Fi сетей.
контрольная работа , добавлен 19.01.2011
Классификация компьютерных сетей. Назначение компьютерной сети. Основные виды вычислительных сетей. Локальная и глобальная вычислительные сети. Способы построения сетей. Одноранговые сети. Проводные и беспроводные каналы. Протоколы передачи данных.
курсовая работа , добавлен 18.10.2008
Семиуровневая архитектура, основные протоколы и стандарты компьютерных сетей. Виды программных и программно-аппаратных методов защиты: шифрование данных, защита от компьютерных вирусов, несанкционированного доступа, информации при удаленном доступе.
контрольная работа , добавлен 12.07.2014
Разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов. Анализ угроз и обеспечения безопасности беспроводной сети. Настройка программы WPA.
дипломная работа , добавлен 19.06.2014
Беспроводная технология передачи информации. Развитие беспроводных локальных сетей. Стандарт безопасности WEP. Процедура WEP-шифрования. Взлом беспроводной сети. Режим скрытого идентификатора сети. Типы и протоколы аутентификации. Взлом беспроводной сети.
реферат , добавлен 17.12.2010
Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.
курсовая работа , добавлен 18.04.2014
Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.
дипломная работа , добавлен 16.06.2012
Анализ цели проектирования сети. Разработка топологической модели компьютерной сети. Тестирование коммутационного оборудования. Особенности клиентских устройств. Требования к покрытию и скорости передачи данных. Виды угроз безопасности беспроводных сетей.
дипломная работа , добавлен 22.03.2017
Монтаж и прокладывание локальной сети 10 Base T. Общая схема подключений. Сферы применение компьютерных сетей. Протоколы передачи информации. Используемые в сети топологии. Способы передачи данных. Характеристика основного программного обеспечения.
курсовая работа , добавлен 25.04.2015
Роль компьютерных сетей, принципы их построения. Системы построения сети Token Ring. Протоколы передачи информации, используемые топологии. Способы передачи данных, средства связи в сети. Программное обеспечение, технология развертывания и монтажа.
