Криптографическая защита беспроводных сетей

МОСКОВСКИЙ ЭНЕРГЕТИЧЕСКИЙ ИНСТИТУТ

(ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ)

ИНЖЕНЕРНО-ЭКОНОМИЧЕСКИЙ ИНСТИТУТ

 

Специальность 090900 «Информационная безопасность»

 

 

 

КУРСОВАЯ РАБОТА

 

Тема: КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА БЕСПРОВОДНЫХ СЕТЕЙ

 

 

Студент             ИБС 13-13      Паничкина М.А

группа   подпись   фамилия, и.,о.

Руководитель работы

должность звание  подпись   фамилия, и.,о.

 

 

 

 

 

 

 

Дата_________________________                 200___г.

 

 

СОДЕРЖАНИЕ

 

 

 

 

ВВЕДЕНИЕ

В современном мире вопросам информационной безопасности уделяется пристальное внимание, поскольку утеря или кража информации разной степени важности может привести к потере конкурентных преимуществ на рынке или даже банкротству компании. С развитием информационных технологий увеличилось количество угроз информационной безопасности. Корпоративные сети все чаще подвергаются нападениям изнутри как со стороны нелояльных сотрудников, так и вследствие халатности персонала.

Скопление больших объемов информации в организации приводит к увеличению вероятности утечки или утери важных конфиденциальных сведений. Для предотвращения таких ситуаций необходимы меры по обеспечению информационной безопасности. Средства и способы несанкционированного доступа к информации, ее искажения и уничтожения совершенствуются, соответственно, увеличиваются риски.

Ниже перечислены современные ИТ-риски.

1. Сложность информационных систем. С увеличением сложности информационных систем растет количество ошибок в тексте программы.

2. Сокращение времени разработки и тестирования продуктов с целью скорейшего выпуска в продажу.

3. Распространение мобильных пользовательских устройств. Личные устройства пользователя могут не удовлетворять требованиям информационной безопасности и подвергаться риску атаки, при этом традиционные защитные средства чаще всего не могут быть применены к современным устройствам: они либо не обеспечат нужный уровень безопасности, либо будут препятствовать нормальной работе системы.

4. Автоматизация атак, организация распределенных нападений. Современный уровень технологий позволяет проводить масштабные многоэтапные нападения с минимальными усилиями со стороны злоумышленников.

5. Развитие шпионского и вредоносного программного обеспечения. С помощью разнообразных вирусов, руткитов и других программ возможно проводить распределенные кибератаки, собирать защищенную информацию и совершать другие преступные действия с целью получения выгоды.

Беспроводные технологии с каждый годом становятся все более незаменимыми в современной жизни человека. В первую очередь это связано с все возрастающими требованиями к мобильности сотрудников, которая непосредственно влияет на скорость принятия решений по важным для организации вопросам.

Сеть WLAN (Wireless Local Area Network – беспроводная локальная сеть) – вид локальной вычислительной сети (LAN), использующий для связи и передачи данных между узлами высокочастотные радиоволны, а не кабельные соединения. Такие сети обеспечивают надежный и простой способ развертывания локально-вычислительных сетей без необходимости прокладывания кабельной системы, давая пользователям возможность перемещаться по территории организации не отключаясь от сети.

Беспроводные локально-вычислительные сети существуют уже не один год, но до некоторого времени для них не было разработано общепризнанных стандартов; кроме того, высокая стоимость оборудования, используемые лицензионные частоты и невысокая скорость передачи данных являлись ограничивающими факторами, препятствующими широкому распространению такого типа сетей, поэтому их использовали, прежде всего, для решения узкоспециальных задач.

В 1997 г. была принята первая спецификация Wi-Fi: американский стандарт IEEE 802.11 “Wireless LAN Medium Access Control and Physical Layer specifications” и аналогичный международный стандарт ISO 802.11 1998г.  В стандарте 802.11 регламентируется работа оборудования на центральной частоте 2,4 ГГц с максимальной скоростью до 2 Мбит/с. В базовом варианте стандарта 802.11 используется метод расширения спектра Frequency Hopping Spread Spectrum (FHSS). Опционно может применяться также метод Direct Sequence Spread Spectrum (DSSS).

Для модуляции сигнала используется технология Gaussian Frequency Shift Keying. Как правило, когда задействован метод FHSS, полоса делится на 79 каналов по 1 МГц (хотя встречается оборудование и с другим способом разбиения частотного диапазона). Отправитель и получатель согласовывают схему переключения каналов, и данные посылаются последовательно по различным каналам с использованием выбранной схемы.

Принятие стандартов 802.11b, а впоследствии, 802.11a и 802.11g, которые увеличивают теоретическую скорость передачи данных до 54 Мбит/сек увеличило популярность беспроводных сетей. Основным фактором, способствующим продвижению беспроводных сетей этого стандарта, явилась используемая нелицензионная частота и дешевизна оборудования. На сегодняшний день основная масса устройств для беспроводных сетей выпускается в соответствии с данным стандартом. В то же время появляются все новые модели, превосходящие по характеристикам стандартное оборудование.

В настоящее время беспроводные локальные сети, построенные в соответствии со стандартом IEEE 802.11, уже несколько лет используются как в корпоративной, так и в приватной областях.

Таким образом, в связи с распространением беспроводных сетей под угрозу попадают как мобильные устройства пользователей, так и сетевая инфраструктура организации. Беспроводные сети подвержены следующим угрозам информационной безопасности:

- несанкционированный перехват данных, передаваемых по беспроводным сетям связи;

- сетевые атаки, направленные на оборудование беспроводных сетей связи;

- атаки, направленные на получение несанкционированного доступа к ресурсам системы через беспроводную сеть связи;

- несанкционированное искажение данных, передаваемых через беспроводную сеть связи.

Открытая среда передачи данных дает большие возможности для беспрепятственного перехвата кодированных потоков, передающихся в ней. Поэтому  остро встает вопрос защиты информации при ее передаче по беспроводным каналам связи.

 

1. ОСНОВНЫЕ ПОНЯТИЯ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Криптография является методологической основой современных систем обеспечения безопасности информации в компьютерных системах и сетях и представляет собой совокупность методов преобразования данных, направленных защиту этих данных, сделав их бесполезными для незаконных пользователей. Такие преобразования обеспечивают решение трех главных проблем защиты данных: обеспечение конфиденциальности, целостности и подлинности передаваемых или сохраняемых данных.

Для обеспечения безопасности данных необходимо выполнять три основные функции:

• защиту конфиденциальности передаваемых или хранимых в памяти данных;

• подтверждение целостности и подлинности данных;

• аутентификацию абонентов при входе в систему и при установлении соединения;

Для реализации указанных функций используются криптографические технологии шифрования, цифровой подписи и аутентификации.

Конфиденциальность обеспечивается с помощью алгоритмов и методов симметричного и асимметричного шифрования, а также путем взаимной аутентификации абонентов на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт и т. п.

Целостность и подлинность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на односторонних функциях и асимметричных методах шифрования.

Аутентификация разрешает устанавливать соединения только между легальными пользователями и предотвращает доступ к средствам сети нежелательных лиц. Абонентам, доказавшим свою легальность (аутентичность), предоставляются разрешенные виды сетевого обслуживания.

Обеспечение конфиденциальности, целостности и подлинности передаваемых и сохраняемых данных осуществляется прежде всего правильным использованием криптографических способов и средств защиты информации. Основой большинства криптографических средств защиты информации является шифрование данных.

Под шифром понимают совокупность процедур и правил криптографических преобразований, используемых для зашифровывания и расшифровывания информации по ключу шифрования. Под зашифровыванием информации понимается процесс преобразования открытой информации (исходный текст) в зашифрованный текст (шифртекст). Процесс восстановления исходного текста по криптограмме с использованием ключа шифрования называют расшифровыванием (дешифрованием)

Обобщенная криптосистемы шифрования показана на рисунке (рис.1.1). Исходный текст передаваемого сообщения или хранимой информации М зашифровывается с помощью криптографического преобразования Ек с получением в результате шифртекста С:

C=Eki(Nf), где Nf - параметр функции Е, называемый ключом шифрования.

 

 

Шифртекст С, называемый также криптограммой, содержит исходную информацию М в полном объеме, однако последовательность знаков в нем внешне представляется случайной и не позволяет восстановить исходную информацию без знания ключа шифрования кх.

Ключ шифрования является тем элементом, с помощью которого можно варьировать результат криптографического преобразования. Данный элемент может принадлежать конкретному пользователю или группе пользователей и являться для них уникальным. Зашифрованная с использованием конкретного ключа информация может быть расшифрована только его владельцем (или владельцами).

Обратное преобразование информации выглядит следующим образом:

M’ = Dki(C)

Функция D является обратной к функции Е и производит расшифровывание шифртекста. Она также имеет дополнительный параметр в виде ключа к2. Ключ расшифровывания к2 должен однозначно соответствовать ключу к1 в этом случае полученное в результате расшифровывания сообщение М’ будет эквивалентно М. При отсутствии верного ключа к2 получить исходное сообщение М’ = Мс помощью функции D невозможно.

Преобразование шифрования может быть симметричным или асимметричным относительно преобразования расшифровывания. Соответственно различают два класса криптосистем:

• симметричные криптосистемы (с единым ключом);

• асимметричные криптосистемы (с двумя ключами).

 

2. СТАНДАРТ IEEE 802.11

В 1990г. Комитет по стандартам IEEE 802 сформировал рабочую группу по стандартам для беспроводных локальных сетей 802.11. Эта группа занялась разработкой всеобщего стандарта для радиооборудования и сетей, работающих на частоте 2,4 ГГц со скоростями доступа 1 и 2 Мбит/с. Разработка стандарта длилась 6 лет, последний черновой вариант стандарта был представлен в ноябре 1995 г. В марте 1996г. он был представлен в Международную организацию по стандартизации (International Organization for Standardization, ISO). Первые комплексные испытания прошли в марте 1996 г., окончательные комплексные испытания - в июле 1996 г., в июне 1997 года была ратифицирована первая спецификация стандарта 802.11. Стандарт IEEE 802.11 являлся первым стандартом для продуктов WLAN от независимой международной организации, разрабатывающей большинство стандартов для проводных сетей. Как и у других стандартов серии 802, главной функцией стандарта 802.11 является обеспечение работы устройств обслуживания передачи данных для доступа к среде передачи на уровне протокола управления логическим каналом. При этом стандартизованное оборудование осуществляет передачу пакетов данных между сетевыми платами без проводов. Однако, к тому времени, заложенная первоначально скорость передачи данных в беспроводной сети, уже не удовлетворяла потребностям пользователей. Для того чтобы сделать технологию Wireless LAN популярной, дешевой и удовлетворяющей современным жестким требованиям бизнес-приложений, разработчики были вынуждены создать новый стандарт. В сентябре 1999г. IEEE ратифицировал расширение предыдущего стандарта.

Расширение IEEE 802.11b (также известное, как 802.11 High rate) определяет стандарт для продуктов БС, которые работают на скорости 11 Мбит/с, что позволяет успешно применять эти устройства в крупных организациях.

Позже появились еще различные типы беспроводных сетей, которые отличаются друг от друга радиусом действия, поддерживаемыми скоростями соединения и технологией кодирования данных. Так стандарт IEEE 802.11b+  предусматривает максимальную скорость соединения 22 Мбит/с, стандарты IEEE 802.11g и 802.11a - 54 Мбит/с. Преимущество стандарта 802.11g заключается в том, что он полностью совместим со стандартами 802.11b и 802.11b+, то есть любое устройство, поддерживающее стандарт 802.11g, будет работать (правда, на меньших скоростях соединения) и в сетях стандарта 802.11b/b+, а устройство, поддерживающее стандарт 802.11b/b+ - в сетях стандарта 802.11g, хотя и с меньшей скоростью соединения. Совместимость стандартов 802.11g и 802.11b/b+ обусловлена, во-первых, тем, что они предполагают использование одного и того же частотного диапазона, а во-вторых, что все режимы, предусмотренные в протоколах 802.11b/b+, реализованы и в стандарте 802.11g. Поэтому стандарт 802.11b/b+ можно рассматривать как подмножество стандарта 802.11g.

24 июня 2004 г. был принят один из наиболее важных стандартов - стандарт обеспечения безопасности в беспроводных сетях 802.11i. Данный стандарт, который не могли ратифицировать более четырех лет, вышел как поправка № 6 к IEEE 802.11 редакции 1999 г. и имеет полное название «IEEE 802.11i Medium Access Control Security Enhancements», т.е. расширения по безопасности для MAC- уровня. В описании сказано, что в данной поправке определены механизмы безопасности для стандарта IEEE 802.11, включающие WEP (Wired Equivalent Privacy) для обеспечения обратной совместимости с оригинальным стандартом редакции 1999 г. Эта поправка определяет протоколы TKIP (Temporal Key Integrity Protocol) и CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), которые предлагают более надежные механизмы защиты данных в дополнение к WEP. Кроме того, указано, как IEEE 802.1x может быть использован протоколом IEEE 802.11 для эффективной аутентификации.

 

3. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ДАННЫХ В БЕСПРОВОДНЫХ СЕТЯХ

Сложность обеспечения безопасности беспроводной сети очевидна. Если в проводных сетях злоумышленник должен сначала получить физический доступ к кабельной системе или оконечным устройствам, то в беспроводных сетях это условие отпадает само собой: поскольку данные передаются «по воздуху», для получения доступа достаточно обычного приемника, установленного в радиусе действия сети.

Однако, несмотря на различия в реализации, подход к безопасности беспроводных сетей и их проводных аналогов идентичен: здесь присутствуют аналогичные требования к обеспечению конфиденциальности и целостности передаваемых данных и, конечно же, к проверке подлинности как беспроводных клиентов, так и точек доступа.