Смекни!
smekni.com

Проектирование беспроводной сети Wi-Fi (стр. 10 из 15)

– реальная чувствительность приемника;

По графику, приведённому на рисунке 3.1, находим необходимую дальность работы беспроводного канала связи.

Рисунок 3.1 – График для определения дальности работы беспроводного канала связи

По графику (кривая для 2.4 GHz) определяем соответствующую этому значению дальность. Получаем дальность равную ~300 метрам.

Без вывода приведём формулу для расчёта дальности. Она берётся из инженерной формулы расчёта потерь в свободном пространстве:

(3.3)

где

FSL (freespaceloss) – потери в свободном пространстве (дБ);

F – центральная частота канала на котором работает система связи (МГц);

D – расстояние между двумя точками (км).

FSL определяется суммарным усилением системы. Оно считается следующим образом:

Суммарное усиление = Мощность передатчика (дБмВт) + | Чувствительность приёмника (–дБмВт)(по модулю) | + Коэф. Уисления антенны передатчика + Коэф усиления антенны приёмника – затухание в антенно-фидерном тракте передатчика – затухание в антенно-фидерном тракте приёмника – SOM

Для каждой скорости приёмник имеет определённую чувствительность. Для небольших скоростей (например, 1-2 мегабита) чувствительность наивысшая: от –90 дБмВт до –94 дБмВт. Для высоких скоростей, чувствительность намного меньше.

В зависимости от марки радио-модулей максимальная чувствительность может немного варьироваться. Ясно, что для разных скоростей максимальная дальность будет разной.

SOM (SystemOperatingMargin) – запас в энергетике радиосвязи (дБ). Учитывает возможные факторы отрицательно влияющие на дальность связи, такие как:

· температурный дрейф чувствительности приемника и выходной мощности передатчика;

· всевозможные погодные аномалии: туман, снег, дождь;

· рассогласование антенны, приёмника, передатчика с антенно-фидерным трактом.

Параметр SOM берётся равным 15 дБ. Считается, что 15-ти децибельный запас по усилению достаточен для инженерного расчета.

В итоге получим формулу дальность связи:

.

D=0.25km = 250м


4 ЗАЩИТА БЕСПРОВОДНЫХ СЕТЕЙ

4.1 Защита информации

По мере увеличения количества поставщиков и производителей, отдающих предпочтение беспроводным технологиям, последние все чаще преподносятся как средство, способное спасти современный компьютерный мир от опутывающих его проводов.

Разработчики беспроводного доступа не заметили подводных рифов в собственных водах, в результате чего первые робкие попытки беспроводных технологий завоевать мир провалились. Препятствием для широкого распространения беспроводных технологий, то есть тем самым «рифом», стал недостаточно высокий уровень безопасности.

4.2 WEP и его последователи

Поскольку система беспроводной связи, построенная на базе статически распределяемых среди всех абонентов ключей шифрования WEP и аутентификации по MAC-адресам, не обеспечивает надлежащей защиты, многие производители сами начали улучшать методы защиты. Первой попыткой стало увеличение длины ключа шифрования — с 40 до 128 и даже до 256 бит. По такому пути пошли компании D-Link, U.S. Robotics и ряд других. Однако применение такого расширения, получившего название WEP2, приводило к несовместимости с уже имеющимся оборудованием других производителей. К тому же использование ключей большой длины только увеличивало объем работы, осуществляемой злоумышленниками, и не более того.

Понимая, что низкая безопасность будет препятствовать активному использованию беспроводных технологий, производители обратили внимание на спецификацию 802.1x, предназначенную для предоставления единого для всех сетевых технологий в рамках группы стандартов 802 сетевого механизма контроля доступа. Этот стандарт, называемый также динамическим WEP, применим и к беспроводным технологиям, что достигается благодаря использованию протокола EAP (Extensible Authentication Protocol). Данный протокол позволяет устранить угрозу создания ложных точек доступа, повысить криптографическую стойкость трафика к взлому и облегчить распределение аутентификационной информации по абонентам сети беспроводного доступа. Со временем протокол EAP видоизменялся, и сейчас существует несколько его разновидностей:

• Cisco Wireless EAP (LEAP);

• Protected EAP (PEAP);

• EAP-Transport Layer Security (EAP-TLS);

• EAP-Tunneled (EAP-TTLS);

• EAP-Subscriber Identity Module (EAP-SIM).

Надо заметить, что компания одной из первых реализовала проект этого стандарта в своем оборудовании Aironet. Клиент 802.1x уже встроен в операционную систему Windows XP; для других клиентов необходимо дополнительно устанавливать соответствующее программное обеспечение.

Новизна стандарта 802.1x вызывает при его применении ряд сложностей, первой по значимости из которых является возможная нестыковка между собой оборудования различных производителей, а второй — отсутствие клиентов 802.1x для некоторых типов устройств доступа. Но эти проблемы постепенно решаются, и в ближайшее время стандарт будет признан и станет повсеместно применяться для аутентификации беспроводного доступа. Остается, правда, человеческий фактор, который также мешает повышению защищенности любой технологии, и не только беспроводной. Например, по данным исследования TNS Intersearch, проводившегося по заказу Microsoft, из всех компаний, развернувших беспроводные точки доступа у себя в сети, только 42% задействовали механизмы аутентификации — никакие технические решения в такой ситуации не помогут.

Однако слабость базовых механизмов защиты не ограничивается одной лишь аутентификацией. Остаются открытыми вопросы дешифрования трафика, управления ключами, подмены сообщений и т.п., которые также активно решаются мировым сообществом. Например, последняя из названных проблем устраняется протоколом MIC (Message Integrity Check), позволяющим защитить передаваемые пакеты от изменения.

Слабая криптография WEP постепенно заменяется другими алгоритмами. Некоторые производители предлагают использовать DES или TripleDES в качестве альтернативы RC4. Интересное решение представила компания Fortress, которая разработала протокол канального уровня wLLS (wireless Link Layer Security), базирующийся:

• на алгоритме обмена ключами Диффи—Хеллмана;

• 128-разрядном шифровании IDEA (опционально могут использоваться также DES и 3DES);

• динамической смене ключей через каждые два часа;

• использовании двух пар ключей (для шифрования сетевого трафика и шифрования при обмене ключами).

Применение одного и того же ключа шифрования WEP приводило к накапливанию злоумышленником объема данных, достаточного для взлома используемой криптографии. Решением проблемы стала динамическая смена ключей, которую одной из первых реализовала компания Fortress в своем протоколе wLLS. Сменяемые через каждые два часа ключи усложняли работу криптоаналитика.

Второй подход, предложенный в протоколе TKIP (Temporal Key Integrity Protocol), заключается в смене ключей через каждые 10 Кбайт переданных данных. Этот протокол, заменив статический ключ шифрования динамически изменяющимися и распределяемыми по клиентам, позволил увеличить их длину — с 40 до 128 бит. При этом RC4 по-прежнему оставался алгоритмом шифрования.

Многие производители делают ставку на более сложный алгоритм AES (длина ключей шифрования 128, 192 или 256 бит), ставший национальным стандартом шифрования США. Однако его внедрение потребует реализации новых микросхем в оборудовании, что, в свою очередь, скажется на его цене и на стоимости перехода на новую версию.

Новые алгоритмы и протоколы значительно повышали защищенность беспроводных технологий и способствовали их более широкому распространению, однако они плохо интегрировались друг с другом, а оборудование, их использующее, стыковалось только после приложения серьезных усилий. Устранить все эти недостатки позволяет стандарт WPA (Wi-Fi Protected Access), анонсированный альянсом Wi-Fi (бывший WECA) 31 октября 2002 года. Данный стандарт призван унифицировать все технологии безопасности для беспроводных сетей 802.11. В настоящее время в этот стандарт входят:

• аутентификация пользователей при помощи 802.1x и EAP;

• шифрование при помощи TKIP;

• динамическое распределение ключей при помощи 802.1x;

• контроль целостности при помощи MIC (он же Michael).

В этом году стандарт WPA должен преобразоваться в более новую и расширенную спецификацию 802.11i (или WPA2). Именно в WAP2 алгоритм шифрования WEP будет заменен на AES.

4.3 Программное обеспечение

Решения предлагаются различными производителями для защиты беспроводных сетей. Программное обеспечение позволяет достичь трех целей:

Найти чужих, то есть провести инвентаризацию беспроводной сети с целью обнаружить любые несанкционированные точки доступа и беспроводных клиентов, которые могут прослушивать трафик и вклиниваться во взаимодействие абонентов;

Проверить своих, то есть проконтролировать качество настройки и порекомендовать способы устранения дыр в санкционировано установленных беспроводных устройствах;

Защитить своих, то есть предотвратить несанкционированный доступ и атаки на узлы беспроводного сегмента сети (рисунок 4.1).

Рисунок 4.1 – Беспроводная сеть

4.4 Инвентаризация беспроводной сети

Первую, и самую распространенную, задачу можно решить с помощью достаточно большого количества инструментов — NetStumbler, Wellenreiter, WifiScanner и др., а также с помощью сканеров безопасности беспроводных сетей и ряд систем обнаружения атак.