95237

Методика тестирования на проникновение в беспроводную сеть семейства стандартов IEEE 802

Дипломная

Информатика, кибернетика и программирование

Беспроводные сети семейства стандартов Их проблемы и преимущества Общие характеристики семейства стандартов Топологии и спецификации WLAN Фаза планирования Причины, мотивы, запросы Анализ структуры существующей сети Технологический план Интеграционный план Фаза проектирования Создание высокоуровневой архитектуры сети...

Русский

2015-09-21

765 KB

10 чел.

Содержание

ВВЕДЕНИЕ 

1. ОБЗОР ПРЕДМЕТНОЙ ОБЛАСТИ 

1.1 Беспроводные сети семейства стандартов 802.11. Их проблемы и преимущества 

1.2 Общие характеристики семейства стандартов 802.11 

1.3 Топологии и спецификации WLAN 

2. ПЛАНИРОВАНИЕ И МОНТАЖ СЕТИ 

2.1 Фаза планирования 

2.1.1 Причины, мотивы, запросы 

2.1.2 Анализ структуры существующей сети 

2.1.3 Технологический план 

2.1.4 Интеграционный план 

2.2 Фаза проектирования 

2.2.1 Создание высокоуровневой архитектуры сети 

2.2.2 Предварительное радиообследование 

2.2.3 Создание низкоуровневой архитектуры сети 

2.2.4 Выбор оборудования 

2.3 Монтаж сети 

2.3.1 Развертывание сети 

2.3.2 Тестирование физических характеристик сети 

2.4 Пример проекта реализации сети 

3. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СЕТИ 

3.1 Методы ограничения доступа (МОД) 

3.2 Методы шифрования 

3.2.1 WEP – Wired Equivalent Privacy 

3.2.2 TKIP 

3.2.3 CCMP 

3.3 Методы аутентификации 

3.3.1 Open system 

3.3.2 Shared Key 

3.3.3 Shared Key (WPA-PSK, WPA2-PSK) 

3.3.4 802.1х (EAP) 

4. ЭКОЛОГИЯ И ОХРАНА ТРУДА 

4.1 Анализ условий труда на рабочем месте 

4.2 Требования к шуму и вибрации 

4.3 Требования к освещению помещений и рабочих мест ПЭВМ 

4.4 Требования электробезопасности при работе с ПЭВМ. 

4.5 Электромагнитное излучение 

4.6 Требования по соблюдению пожаробезопасности 

СПИСОК ЛИТЕРАТУРЫ 


ВВЕДЕНИЕ

Беспроводные сети Wi-Fi – это сети, являющиеся хорошей альтернативой проводным ethernet-сетям. Официальное название набора стандартов Wi-Fi – IEEE 802.11; Wi-Fi сети обладают, по сравнению с традиционными проводными сетями, немалыми преимуществами, главным из которых является:  

- простота развѐртывания (нет необходимости в прокладке кабелей);

-  большая рентабельность монтажа;

-  гибкость архитектуры сети;

-  быстрота проектирования и реализации.

Но беспроводные сети на современном этапе их развития не лишены серьѐзных недостатков. Прежде всего, это низкая, по сегодняшним меркам, скорость соединения, которая к тому же серьѐзно зависит от наличия преград и от расстояния между приѐмником и передатчиком. Да, «сверхскоростной» стандарт 802.11n уже принят на вооружение, но судя по скорости внедрения предыдущих стандартов, например, 802.11i, увеличение скорости передачи данных до 600 Мбит/с еще нескоро будет радовать рядовых пользователей.

Один из способов увеличения радиуса действия беспроводной сети заключается в создании распределѐнной сети на основе нескольких точек беспроводного доступа. При создании таких сетей появляется возможность превратить все здание в единую беспроводную сеть и увеличить скорость соединения вне зависимости от количества препятствий и преград в помещениях.

Таким образом, радиус сети увеличивается и при этом сеть может включать в себя неподконтрольные владельцу (администратору) сети локации; так как чаще всего используются всенаправленные антенны и сигнал распространяется во все стороны, существует риск захвата сигнала посторонним злоумышленником (например, использующим направленную антенну). Т.о., данные, передающиеся в сети, могут быть перехвачены, а сама сеть может быть подвергнута сетевой атаке.

В этой дипломной работе будут исследованы методы защиты беспроводных сетей; составлена методика тестирования на проникновение в беспроводную сеть семейства стандартов IEEE 802.


1. ОБЗОР ПРЕДМЕТНОЙ ОБЛАСТИ

1.1 Беспроводные сети семейства стандартов 802.11. Их проблемы и преимущества

Беспроводные сети в целом описываются несколькими группами стандартов и разделяются по следующим свойствам и характеристикам:  

- назначение;

-  радиус действия;

-  пропускная способность.

Беспроводные сети открывают новую эру возможностей для передачи данных, недоступных в проводном мире. Быстрота развертывания, простой доступ к информации и возможность масштабирования - все это означает, что могут быть удовлетворены запросы совершенно новых групп пользователей, причем такими способами, которые были недоступны всего несколько лет назад. Уже разрабатываются совершенно новые виды услуг и приложений, которые предоставят как корпоративным, так и конечным пользователям возможность эффективного доступа к данным и работы с ними.

Основные выгоды от использования беспроводных технологий можно разделить на пять категорий:

-  удобство;

-  доступность;

-  скорость;

-   эстетика;

-   производительность.

На первое место среди преимуществ, которые предоставляют им беспроводные сети, все - и ИТ-профессионалы, и топ-менеджеры, и конечные пользователи - ставят фактор удобства. Это основное преимущество оказывается более важным, чем все остальные вместе взятые, именно оно является решающим аргументом для развертывания беспроводных сетей. Удобство можно разделить на три составные части - гибкость, мобильность и возможность роуминга. Доступность. Оборудование для беспроводных сетей становится дешевле, быстрее и производительнее буквальна каждые шесть месяцев, и наконец оно достигло той точки, где стало конкурентоспособным с проводными сетями. Пользователи беспроводных сетей в домашних и малых офисах требуют скорости доступа в 5-10 Мб/с на пользователя, это обходится им от 30 до 100 долл. В эту цену входит стоимость карточки беспроводного доступа и ТД. До сих пор стоимость оборудования для беспроводных LAN чуть выше, чем для проводных LAN, но зато стоимость их развертывания и поддержки существенно ниже.

Приход потребительского оборудования создал огромный рынок для производителей основных беспроводных компонентов, используемых как для бизнеса, так и для конечных пользователей. Это приводит к снижению стоимости производства и конечных продуктов. Скорость. При обсуждении любой сетевой технологии вопрос скорости доступа и полосы пропускания является наиболее важным аргументом при выборе той или иной технологии. Стандарт 802.11 делится па несколько подстандартов с увеличивающейся скоростью доступа - 802.11b, 802.1 la, 802.1 lg и 802.11n. Беспроводные LAN поддерживают сегодня скорость доступа от 1,6 Мб/с до 400 Мб/с. Эстетика. Недооцененными аспектами беспроводных сетей являются эстетика и безопасность. А ведь размеры сетевых устройств оказывают существенное влияние на атмосферу в офисе. Беспроводные точки доступа сегодня имеют размер не больше маленькой звуковой колонки и могут быть легко встроены в любой дизайн офиса. Благодаря упоминавшейся уже проникающей способности радиоволн ТД   могут быть даже спрятаны за стены или в шкафы.

Используя технологии персональных беспроводных сетей, пользователи могут уменьшить или даже совсем избавиться от соединения устройств проводами. Избавление от проводов приводит к существенному повышению безопасности рабочего места и дома. Производительность, увеличение гибкости, мобильности и удобства пользования от внедрения беспроводных сетей в итоге приводит к росту производительности. Сетевые ресурсы становятся доступными из любого места, это позволяет создать такую структуру сети, где пользователи и услуги оптимально сочетаются друге другом. Беспроводные сети предоставляют возможности для более высокого уровня обслуживания и производительности, которые существенно выше, чем в проводных сетях. Как и в любом стандарте, в семействе 802.11 есть свои проблемы и тонкости:

-  Конфликты стандартов (использование перекрывающихся радиочастот);

-  Конфликты производителей (не всегда оборудование разных  производителей полностью совместимо между собой);  

- Проблемы принятия рынком (из-за конфликтов стандартов);

-  Ограничения «радио» (специфика распространения радиоволн –интерференция, ограниченная дальность и др.);

-  Ограничения сетевой безопасности.

Рассмотрим технические подробности семейства стандартов.


1.2 Общие характеристики семейства стандартов 802.11

Группа по разработке спецификации на беспроводные ЛВС (Wireless LAN Network Standards Working Group) была создана в 1990 г. Первый продукт, выпущенный группой только в июне 1997 г - стандарт IEEE 802.11. Этот документ содержит необходимую информацию для организации беспроводных ЛВС, передающих данные со скоростью 1-2 Мбит/с. В спецификации выбрана полоса 83 МГц в диапазоне 2,4 - 2,4835 ГГц ISM (Industrial, Scientific, Medical), который не требует дополнительного лицензирования на использование практически во всех странах мира. В сентябре 1999 г. появилась версия стандарта, основным усовершенствованием которого стало повышение скорости передачи до 5,5 и 11 Мбит/с. Дальность передачи - 100 метров. Стандарт получил название IEEE 802.11b HR (High Rate). Впоследствии был принят стандарт 802.11a. Он уже обеспечивает скорость передачи данных до 54 Мбит/с в диапазонах 5,15 - 5,35 ГГц и 5,725 - 5,875 ГГц. Следующим стандартом принятым IEEE (июнь 2003 г.) стал стандарт беспроводной связи 802.11g обеспечивающий обмен данными на скорости до 54 Мбит/с в диапазоне 2,4 ГГц.

Одно из главных преимуществ данного протокола в том, что соединение, установленное с его помощью, обладает повышенной устойчивостью. Этот стандарт обратно совместим с 802.11b, следовательно точка доступа 802.11g поддерживает клиентов 802.11b и 802.11g. Поэтому, имея оборудование стандарта 802.11g, можно подключаться как к точкам доступа 802.11b, так и к 802.11g. Радиус действия устройств 802.11g на скорости 54 Мбит/с составляет 15 метров, обеспечивается качественная связь даже при отсутствии прямой видимости между устройствами .

Остальные спецификации определяют:

-  802.11c — таблицы маршрутизации для беспроводных мостов;

-  802.11d — международный роуминг в беспроводных сетях;

-  802.11e — технология QoS (Quality of Service) в применении к  беспроводным сетям;  

- 802.11f — протоколы для обмена данными между точками доступа (базовыми станциями);  

- 802.11h — дополнительные требования, относящиеся к европейскому  региону;

- 802.11i — улучшенные по сравнению с базовыми стандартами технологии защиты данных.  

- 802.11n — повышает скорость передачи данных до 600 мбит/с (теоретически)  - - 802.11r — быстрый роуминг

-  802.11s — ESS Mesh Networking

- 802.11u — взаимодействие с не-802 сетями (сотовые сети) и т.д.

802.11a, 802.11b, 802.11g и 802.11n относятся к физическому уровню среды передачи; 802.11d, 802.11e, 802.11i и 802.11h - к MAC-уровню, остальные (802.11c, 802.11f) - к более высоким уровням модели OSI.


1.3 Топологии и спецификации WLAN

В основу стандарта 802.11 положена сотовая архитектура. Сеть как таковая состоит из ячеек (зон обслуживания). Основные топологии беспроводных сетей стандарта 802.11:

- IBSS (independent basic service sets) - независимые базовые зоны обслуживания;  

- BSS (basic service sets) - базовые зоны обслуживания;

-  ESS (extended service sets) - расширенные зоны обслуживания.

Зона обслуживания service set – это логически объединенные устройства (клиенты). Согласно технологии WLAN, работа сети обеспечивается трансляцией в эфир широковещательных сигналов на несущей частоте в определенном диапазоне частот. Источник сигнала – базовая станция (точка доступа - access point - AP) либо беспроводной адаптер (wireless adapter) транслирует в эфир модулированный сигнал, предварительно получив доступ к среде; направление распространения сигнала зависит от антенны источника, которая может быть однонаправленной или всенаправленной. Приемник соответственно принимает сигнал и декодирует его. IBSS – это так называемые «ad-hoc» сети, в чем то эквивалентные одноранговой проводной сети. Также называются сетями peer-to-peer (точка- точка). Это примитивные децентрализованные сети, лишенные какой либо инфраструктуры; число клиентов ограничивается пропускной способностью сети – от 2 до 5 клиентов. Архитектура «Infrastructure» включает в себя BSS и ESS. Это режимы взаимодействия с базовыми станциями (точками доступа), играющими роли концентраторов сети (по аналогии с проводными сетями). Клиенты взаимодействуют друг с другом не напрямую, а через базовые станции, разделяя между собой доступ к среде.

BSS – самый распространенный тип архитектуры беспроводной сети 802.11; подразумевает наличие одной базовой станции, чаще всего являющейся мостом во внешнюю сеть. В расширенном режиме ESS существует инфраструктура нескольких сетей BSS, причѐм сами точки доступа взаимодействуют друг с другом, что позволяет передавать трафик от одной BSS к другой. Сами точки доступа соединяются между собой с помощью либо сегментов кабельной сети, либо радиомостов. Из семи уровней модели OSI (Open System Interconnect) спецификация 802.11 регламентировала два уровня сети - физический (PHY) и управления доступом к среде передачи данных (MAC, Media Access Control), т. е. нижний подуровень канального уровня. На физическом уровне определяются методы модуляции и характеристики сигналов для передачи данных. В стандарт заложены различные методы передачи в радиочастотном диапазоне волн, а также один в инфракрасном. Канальный уровень 802.11 состоит из двух подуровней: управления логической связью (Logical Link Control, LLC) и управления доступом к носителю (Media Access Control, MAC). 802.11 использует тот же LLC и 48-битовую адресацию, что и другие сети 802, что позволяет легко объединять беспроводные и проводные сети, однако MAC уровень имеет кардинальные отличия.

В стандарте 802.11 он называется методом доступа к беспроводной среде передачи с распределенной базой (Distributed Foundation Wireless MAC, DFWMAC). Для доступа к среде передачи данных в беспроводных сетях применяется метод коллективного доступа с обнаружением несущей и избежанием коллизий (Carrier Sense Multiple Access / Collision Avoidance, CSMA/CA). Собственно, этот метод даже по своему названию напоминает технологию коллективного доступа, реализованную в сетях Ethernet, где используется метод коллективного доступа к среде с опознанием несущей и обнаружением коллизий (Сarrier-Sense-Multiply-Access With Collision Detection, CSMA/CD). Единственное различие состоит во второй части метода – вместо обнаружения коллизий используется технология избежания коллизий.

Важные компоненты CSMA/CA 802.11:  

  •  контроль несущей;
  •  распределенная функция координации;
  •  фреймы подтверждения;
  •  резервирование среды.

Дополнительные компоненты MAC 802.11:  

  •  фрагментация фреймов;
  •  точечная функция координации.

Перед тем как послать данные в «эфир», станция Х сначала проверяет несущую частоту на предмет ее использования. Если несущая используется, то станция Х откладывает передачу до момента освобождения среды. С помощью проверки физического уровня PHY и использования вектора резервирования сети NAV станция Х дожидается своей очереди на отправку, отправляет специальное сообщение, называемое RTS (Ready To Send), которое трактуется как готовность данного узла к отправке данных. Такое RTS-сообщение содержит информацию о продолжительности предстоящей передачи и об адресате и доступно всем узлам в сети. Это позволяет другим узлам задержать передачу на время, равное объявленной длительности сообщения, для исключения коллизий.

Приѐмная станция Y (например, точка доступа), получив сигнал RTS, отвечает посылкой сигнала CTS (Clear To Send), свидетельствующего о готовности станции Y к приѐму информации. Приняв сигнал CTS, относящийся к станции Х, остальные станции обновляют свои векторы NAV и среда считается занятой на время, указанное в RTS. После этого станция X посылает пакет данных, а станция Y должна передать кадр ACK, подтверждающий безошибочный прием; если АСК не получен, попытка передачи пакета данных будет повторена через некоторый интервал времени.

Таким образом, реализуется технология избежания коллизий. Примерно такая схема позволяет сети эффективно функционировать в условиях общей среды доступа. На физическом уровне определены несколько широкополосных радиочастотных метода передачи и один - в инфракрасном диапазоне. Технологии широкополосного сигнала, используемые в радиочастотных методах, увеличивают надежность, пропускную способность, позволяют многим несвязанным друг с другом устройствам разделять одну полосу частот с минимальными помехами друг для друга.

При использовании технологии размытого спектра (spread spectrum) передаваемый сигнал "размазан" по некоторому частотному диапазону. Само по себе словосочетание "размытый спектр" означает, что для кодирования сигнала используется более широкий частотный диапазон, чем тот, что требовался бы при передаче только полезной информации. Протоколы физического уровня для 802.11 основываются на принципах расширения спектра прямой последовательностью - Direct Sequence Spread Spectrum (DSSS) и псевдослучайной перестройки частоты - Frequency Hopping Spread Spectrum (FHSS). Эти методы кардинально отличаются, и несовместимы друг с другом. Для модуляции сигнала FHSS использует технологию Frequency Shift Keying (FSK). При работе на скорости 1 Мбит/с используется FSK модуляция по Гауссу второго уровня, а при работе на скорости 2 Мбит/с - четвертого уровня.

Метод DSSS использует технологию модуляции Phase Shift Keying (PSK). При этом на скорости 1 Мбит/с используется дифференциальная двоичная PSK, а на скорости 2 Мбит/с - дифференциальная квадратичная PSK модуляция. Для стандарта 802.11b и 802.11g (DSSS) определен метод дополняющей манипуляции кодом (Code Complementary Keying, CCK).

При использовании CCK, для кодирования данных применяется набор из восьмибитных кодировочных слов, которые имеют уникальные математические свойства, которые позволяют корректно их различать получателем при наличии существенных помех. Для достижения скоростей 5,5 и 11 Мбит/с был выбран метод DSSS (метод частотных скачков в силу ограничений FCC не может поддерживать более высокие скорости), а для 54 Мбит/с - метод OFDM. Следовательно, совместимость систем, использующих разные методы, не обеспечивается. Для поддержки очень зашумленных сред, а также работы на больших расстояниях, сети 802.11b, 802.11a, 802.11g используют динамический сдвиг скорости, который позволяет автоматически изменять скорость передачи данных в зависимости от свойств радиоканала.

Например, пользователь может подключиться с максимальной скоростью 11 Мбит/с (802.11b), но в том случае, если повысится уровень помех, или пользователь удалится на большое расстояние, мобильное устройство начнет передавать на меньшей скорости - 5,5, 2 или 1 Мбит/с. В том случае, если возможна устойчивая работа на более высокой скорости, мобильное устройство автоматически начнет передавать с более высокой скоростью. Сдвиг скорости - механизм физического уровня, и является прозрачным для вышестоящих уровней и пользователя.

Таблица 1.1 – Сравнение физических характеристик стандартов семейства IEEE 802.11.

IEEE 802.11

IEEE 802.11b

IEEE 802.11a

IEEE 802.11g

Полоса пропускания

2 Мбит/с

11 Мбит/с

54 Мбит/с

54 Мбит/с

Частотный диапазон

2,4 ГГц

2,4 ГГц

5 ГГц

2,4 ГГц

Модуляция

FHSS,DSSS

DSSS+CCK

OFDM

OFDM, DSSS+CCK

OFDM (Orthogonal Frequency Division Multiplexing). В версиях стандарта для частотных полос 5 ГГц (802.11a) и 2,4 ГГц (802.11g), описывается следующий метод технологии размытого спектра - ортогональное мультиплексирование с разделением частот. При данном методе радиосигнал разделяется на несколько меньших подсигналов, которые затем передаются одновременно на различных частотах. Импульсы поднесущей частоты имеют прямоугольную форму. Число непересекающихся частотных каналов - 8 (802.11a). Максимальная скорость передачи данных - 54 Мбит/с. К основным преимуществами данного метода можно отнести смягчение узкополосной интерференции сигналов и высокую устойчивость к шумам. DSSS (Direct Sequence Spread Spectrum).

Метод DSSS делит диапазон 2,4 ГГц на 14 частично перекрывающихся каналов (в США доступно только 11 каналов). Для того, чтобы несколько каналов могли использоваться одновременно в одном и том же месте, необходимо, чтобы они отстояли друг от друга на 25 МГц (не перекрывались), для исключения взаимных помех. Таким образом, в одном месте может одновременно использоваться максимум 3 канала.

Данные пересылаются с использованием одного из этих каналов без переключения на другие каналы. Чтобы компенсировать посторонние шумы, используется специальная последовательность (например, код Баркера), когда каждый информационный бит преобразуется в определенное количество бит передаваемых данных. Для передачи единичного и нулевого символов сообщением используется прямая и инверсная последовательности соответственно. Для модуляции несущего колебания в этом случае используются уже не исходные символы сообщения, а прямые или инверсные последовательности .

В приемнике полученный сигнал умножается на код Баркера, в результате он становится узкополосным, поэтому его фильтруют в узкой полосе частот, равной удвоенной скорости передачи. Любая помеха после умножения на код Баркера, наоборот, становится широкополосной, поэтому в узкую информационную полосу попадает лишь часть помехи, в несколько раз меньшая по мощности помехи, действующей на входе приемника.

В результате демодуляции обычным демодулятором выделяется передаваемое сообщение. Такая высокая избыточность для каждого бита позволяет существенно повысить надежность передачи, при этом значительно снизив мощность передаваемого сигнала. Благодаря этому обеспечивается восстановление исходных данных без повторной передачи, если один или более разрядов оказываются потерянными или искаженными при передаче. Естественно, что при генерации и кодировании избыточных разрядов эффективная частота полученного сигнала возрастает, следовательно, для его передачи требуется более широкий диапазон, чем для передачи "чистой" информации, в результате чего спектр и "растягивается". FHSS (Frequency Hopping Spread Spectrum).

При использовании метода частотных скачков полоса 2,4 ГГц делится на 79 каналов по 1 МГц при времени передачи на каждом в течение 20 мс (в диапазоне 900 МГц частотный диапазон передачи разбивается на поддиапазоны шириной 500 кГц). Несущая частота сигнала периодически изменяется, что позволяет легко исправить ошибочно принятые на пораженной частоте блоки, путем их повторной передачи на другой частотной позиции. Порядок следования частот должен быть одинаковым на передающей и приемной стороне или у всех устройств сети при сетевом варианте использования. Отправитель и получатель согласовывают схему переключения каналов (на выбор имеется 22 таких схемы), и данные посылаются последовательно по различным каналам с использованием этой схемы.

Каждая передача данных в сети 802.11 происходит по разным схемам переключения, а сами схемы разработаны таким образом, чтобы минимизировать шансы того, что два отправителя будут использовать один и тот же канал одновременно.


2. ПЛАНИРОВАНИЕ И МОНТАЖ СЕТИ

Беспроводная сеть является частью транспортной IT-инфраструктуры компании, которая существует для передачи данных от их источника к потребителю. Передача данных используется различными приложениями, которые, в свою очередь, поддерживают бизнес-процессы компании. Отсутствие проводов позволяет источникам и потребителям информации быть мобильными. Преимущества беспроводных решений проявляются в появлении новых возможностей оптимизации бизнес-процессов, ставших доступными благодаря мобильности в беспроводной среде.

Эффективное осуществление бизнес- процессов отличает успешные компании от их менее успешных конкурентов. При принятии решений относительно развертывания беспроводных LAN (WLAN) необходимо:

  1.  Определить  
  •  целесообразность внедрения беспроводных решений;

∙  требуемые качественные и количественные характеристики целевой

сети;

  •  необходимые для развертывания сети материальные затраты.
  1.  Изучить  
  •  топологическую карту местности;

∙  карты распределения нагрузки (трафика) на местности;

∙  характеристики существующей сети в целом;

∙  технические и количественные характеристики клиентского оборудования;

  •  программные особенности работы клиентского оборудования;
  •  технические характеристики сторонних радиосредств в зоне действия сети;
  1.  Обеспечить:

создание и выполнение технологического, интеграционного и др. планов;  использование математических моделей расчѐта параметров распространения сигнала;  

правильный выбор топологии сети, мест размещения и режимов работы оборудования;  

оптимальное частотное планирование;

минимизация внутрисистемных помех;

максимальный охват территории с требуемым качеством передачи информации;  

обеспечение электромагнитной совместимости (ЭМС) планируемой и существующих сетей.

В рамках этой главы на основе общих принципов проектирования проводных сетей и приобретенного в процессе работы с беспроводными сетями опыта будет составлен алгоритм проектирования и монтажа беспроводной сети и проведена упрощенная реализация этого алгоритма на примере тестовой беспроводной SOHO сети. В целом проектирование сети подразделяется на следующие фазы: планирование, проектирование, монтаж.

Фаза планирования содержит этапы, описывающие процессы сбора начальных данных и и оформление начальных идей, связанных с проектированием. План состоит из документирования и проведения исследований, связанных с потребностями клиента, что приводит к созданию документов, подчеркивающих конкурентную практику, анализ зазора и анализы риска. Включает в себя:  выяснение необходимости внедрения решений (причины, мотивы, запросы);  анализ структуры существующей сети и анализ зазора; технологический план;  интеграционный план.

Фаза проектирования включает в себя более приближенные к реальности действия:  создание высокоуровневой архитектуры сети;  предварительное радиообследование; создание низкоуровневой архитектуры сети;  выбор оборудования.

Фаза развертывания сети – завершающая фаза внедрения беспроводных решений:  монтаж сети;  тестирование физических характеристик сети;  обеспечение информационной безопасности сети.

Требования к информационной безопасности сети должны учитываться уже на этапе проектирования и монтажа. Так, интеграционный план подразумевает интеграцию существующей и проектируемой сети, при этом механизмы безопасности обеих сетей должны быть согласованы. При выборе оборудования обязательно должны учитываться возможности оборудования в плане поддержки адекватных механизмов безопасности. Зона покрытия ТД должна накрывать только требуемую территорию, как можно меньше распространяться на неподконтрольные владельцу сети локации.


2.1 Фаза планирования

2.1.1 Причины, мотивы, запросы  

пользователям сети необходима подвижность и свобода передвижения, возможность оперативно реагировать на поступающие запросы, всегда иметь доступ к важной информации и услугам;

прокладка сетевого кабеля затруднена, невозможна или экономически нецелесообразна;  

потребность в быстром строительстве временных сетей в месте проведения работы или мероприятия;  

желание снизить эксплуатационные расходы  

необходимость создать индивидуальную модель бизнеса или  уникальную схему предоставления услуг;  

требуется сбор и передача информации в реальном времени  территориально разнесенным мобильным и стационарным объектам;  

быстрый темп изменений порождает необходимость всегда быть на  связи, иметь доступ к информации, данным, людям;  

стирание границы между работой в офисе, дома и работой во время пути (концепция современного мобильного офиса);  

рост гибкости, мобильности, скорости доступа, расширение  функциональности, информационной защищенности, качества обслуживания беспроводных сетей.

После принятия решения о целесообразности монтажа беспроводной сети 802.11 требуется сформировать количественные и качественные требования, которые будут предъявляться к будущей беспроводной сети. Второй (после выяснения необходимости внедрения) и довольно важный этап – сбор запросов и требований. Именно они определяют основу для формулировки сети и для проектирования. Если запросы сформулированы неправильно или не полностью, то цель внедрения беспроводных решений может быть упущена и реализованная в будущем сеть может не удовлетворять окончательным требованиям.

Вот, что входит в запросы/требования:

1) бизнес-требования (бюджет, время выполнения проекта, общие требования к функционированию сети, последствия выхода сети из строя, требуемое время технического обслуживания и т.д.);

2) требования регулирующих органов (лицензия на использование радиочастот);

3) предлагаемые услуги (перечисление услуг, которые сеть будет предоставлять конечным пользователям. Один из самых важных пунктов);

4) уровни сервиса (ожидаемые услуги, гарантируемые провайдером);

5) база пользователей (число пользователей, используемые приложения, потоки трафика);

6) требования по функционированию, администрированию и снабжению

7) технические требования (выбор предпочтительного оборудования, требования управления системой в плане конвергенции с проводной сетью и т.д.);

8) дополнительная информация (любая информация, могущая повлиять на проектирование сети)


2.1.2 Анализ структуры существующей сети

После выяснения требований к будущей сети проводится анализ структуры существующей сети. Причина, по которой следует проводить анализ существующей сети, заключается в необходимости четко представлять себе, как она работает. Эта информация будет потом использоваться для определения того, как новое проектирование будет встраиваться/взаимодействовать с существующей сетью.

Следующие пункты составляют основу данного анализа:

 ∙  сетевая архитектура;

∙  IP-адресация;

∙  сетевое оборудование;

∙  использование;

∙  полоса пропускания;

∙  функционирование;

∙  структура трафика;

∙ приложения;

∙  обзор места действия;

∙  анализ затрат.

Тщательно оценивая жизнеспособность и функционирование существующей сети, можно получить представление о процессах, в ней происходящих, увидеть недостатки оптимизации этой сети, а значит можно предусмотреть и заранее устранить или компенсировать ограничения или риски будущей сети. После анализа структуры проводится анализ зазора.

Анализ зазора - сравнение возможностей существующей сети (чаще всего проводной) с требованиями к проектируемой на основе данных, полученных на этапе анализа структуры существующей сети. Анализ зазора это способ разработки плана для модификации и оптимизации существующей сети и интеграции новых решений.

Результирующий документ анализа должен включать в себя следующие разделы:

1) анализ структуры сети;

2) будущие требования;

3) возможности альтернативной (внедряемой) технологии;

4) план действий.

После выполнения анализа зазора надо приступать к созданию технологического плана.


2.1.3 Технологический план

Технологический план - план, в рамках которого определяется конкретная технология, которая должна привести к реализации бизнес-целей. Может существовать несколько технологических планов, так как каждый план предусматривает использование одной технологии, а по окончании составления всех технологических планов и их сравнительного анализа из всех планов выбирается один оптимальный результирующий план и соответственно одна внедряемая технология. Технологический план должен определить, какие разновидности оборудования, стандартов, протоколов, сетевых транспортов и т.д. будут использоваться в сети. Технологический план не будет содержать специфических подробностей о функционировании новой сети - это будут определять технологии сети.

2.1.4 Интеграционный план

Когда новая услуга, приложение, сетевой компонент или сеть добавляется к существующей сети, необходимо разработать план интеграции. Интеграционный план будет определять, какие системы будут

интегрироваться, где и как. План должен включать такие детали, как

определение уровня тестирования перед интеграцией. Наиболее важно то, что интеграционный план должен включать шаги, необходимые для завершения интеграции. Вот где используется информация из анализа зазора. Таким образом, анализ зазора дает сведения о том, чего не хватает в сети, а интеграционный план дает информацию о том, как этот зазор может быть заполнен.


2.2 Фаза проектирования

2.2.1 Создание высокоуровневой архитектуры сети

На основе требований и полученных на предыдущих этапах данных

разрабатывается топология высокого уровня. Топология высокого уровня

описывает логическую архитектуру сети. Логическая архитектура должна

описывать функции, необходимые для внедрения сети, и может использоваться для описания того, как разные компоненты сети будут взаимодействовать и как сеть аутентифицирует пользователей. Топология высокого уровня не включает такие подробности, как конкретные аппаратные решения; скорее она иллюстрирует требуемую функциональность сети. Вот компоненты, которые должны быть включены в топологию высокого уровня:

логические сетевые диаграммы;

функциональные сетевые диаграммы;

радиочастотная топология;

потоки трафика/данных;

функциональные соединения ресурсов;

Затем проводится физическое проектирование высокого уровня.

Физическое проектирование высокого уровня - это наиболее важный шаг на стадии архитектуры, он обычно отнимает больше всего сил и времени. Во время этого шага расходуется много работы, мыслей и знаний, определяются физическое местоположение и типы оборудования в сети, необходимые для выполнения поставленных задач. На этом этапе не  уточняются производители оборудования, его модели или разновидности, определяется только функциональность компонент - маршрутизаторы, переключатели, точки доступа.

Физическое проектирование высокого уровня рассматривает топологию радиосети, созданную на шаге топологии высокого уровня, и превращает ее в расположение физического оборудования. Из-за большого объема неясных моментов в радиочастотном оборудовании перед окончательным завершением этого шага может потребоваться несколько модификаций и повторных разработок, в том числе проведение предварительного картрирования.


2.2.2 Предварительное радиообследование

На этапе планирования картрирование (радиообследование) позволяет реалистично оценить принятые проектные решения и при необходимости сделать корректировки проекта до начала внедрения, избежав дорогостоящих изменений уже после установки. В основном этот этап предполагает получение информации об источниках радиоволн определенной длины на месте установки сети и изучение собственно этого места с точки зрения физической топологии, расположения помех и т.д.

Основные фазы работы над обследованием :

сбор исходных данных, формулировка требований, составление задания

на обследование;

проведение измерений в месте установки беспроводной сети;

анализ собранных «полевых» данных;

оформление отчета, формулировка рекомендаций.

Сбор данных для беспроводной сети внутри помещения включает в себя сбор данных при помощи ноутбука с установленным специальным сетевым клиентским адаптером и специализированным ПО. Для получения более точных данных необходим неоднократный обход всех помещений. Местоположение при измерениях определяется по схеме помещения или при помощи GPS.

Во время проведения обследования обычно собираются следующие данные:

физические характеристики места установки беспроводной сети, его

возможности и ограничения, которые необходимо учитывать при анализе

собранных данных и формулировке рекомендаций;

данные о радиопокрытии, уровне мешающих сигналов;

данные о возможных источниках интерференции, характере и уровнях

излучения, местоположении источников.

Специализированное программное обеспечение для планирования

беспроводных сетей позволяет пользователю создать или импортировать схемы помещений и предсказать радиопокрытие сети, используя модели

распространения радиоволн. Проведение предварительного планирования

позволяет уменьшить финансовые и временные затраты на проведение

обследования, поскольку предварительно определив расположение точек

доступа, можно в течение тестирования найти оптимальное размещение с

учетом характеристик места установки.

Дополнительно к измерениям, предпочтительным является использование спектроанализатора, позволяющего идентифицировать возможные источники помех.

Проведение обследования для беспроводных сетей, устанавливаемых вне помещений, проводится при помощи похожей методики, но вместо схемы помещений используется карта местности и применяется специализированное оборудование. Процедура похожа и включает в себя запись параметров функционирования беспроводной сети в различных точках местности с последующим анализом и рекомендациями по оптимизации.

Следует помнить и об определенных ограничениях данного метода.

Проведение обследования позволяет получить «моментальный снимок»

состояния беспроводной сети непосредственно во время проведения

обследования. «Отловить» возникновение нечастых ситуаций снижения

производительности бывает сложно и требует значительных временных затрат. Для полного обследования обстановки также необходимо получить доступ во все помещения без исключения, иначе отсутствующие «белые пятна» не позволят составить полную картину. Несмотря на ограничения, метод обследования является полезным действенным инструментом и  часто применяется в практике.


2.2.3 Создание низкоуровневой архитектуры сети

После этой процедуры проводится детальное физическое проектирование. Оно базируются на физическом проектировании высокого уровня и на результатах картрирования. Оно определяет большинство физических деталей для сети, включая:

аппаратные характеристики оборудования;

детали кабельных соединений;

требования к окружающей среде;

физическое расположение устройств;

детальное радиочастотное проектирование.

После всех этих процедур у нас должны быть детальные чертежи сети и описание каждого устройства в ней. На основе этих данных вырабатывается физическая топология беспроводной сети. С учетом всего этого проводится выбор оборудования.

2.2.4 Выбор оборудования

В первую очередь проводится выбор базового оборудования – точек доступа, повторителей, беспроводных мостов, маршрутизаторов и т.д. Важнейшие критерии и параметры базовой станции SOHO WLAN (точки доступа - Access Point), по которым оценивается ее пригодность для работы в целевой сети:

1) аппаратное обеспечение

соответствие стандарту;

мощный процессор/криптографический процессор;

простое крепление к стене/потолку;

электропитание по витой паре (Power over Ethernet);

две и более антенны/беспроводных интерфейса;

количество и типы проводных портов;

возможность модернизации до новых стандартов

безопасности/качества услуг;

регулировка мощности передатчика.

2) функции безопасности

шифрование WEP/динамический WEP (WEP Plus);

безопасность WPA (аутентификация PSK/802.1х/RADIUS и шифрование

TKIP/AES);

трансляция сетевых адресов (Network Address Translation, NAT);

списки контроля доступа на базе МАС-адресов;

ретрансляция SSL, IPSec, PPTP, L2TP;

брандмауэр с контекстной проверкой пакетов (если точка доступа используется как маршрутизатор доступа);

встроенная база для Radius-сервера.

3) управление

Интерфейс Web (сервер HTTP);

SSL, SSH;

Консольный порт;

Поддержка SNMP;

Сервер DHCP/ретранслятор DNS;

Инструментарий для планирования и конфигурирования.

4) дополнительные функции (точка доступа как маршрутизатор доступа)

Встроенный ISDN/DSL/кабельный маршрутизатор;

Интегрированный коммутатор;

Интегрированный принт-сервер.

5) прочее

Сертификация Wi-Fi;

Режим повторителя;

Поддержка качества услуг (WME);

Рабочий диапазон температур;

Относительная влажность;

Масса, габариты;

Ценовые характеристики.

Беспроводные мосты также являются базовым оборудованием беспроводной сети. Одна из областей их применения – беспроводное соединение проводных LAN, находящихся в разных зданиях; такие мосты часто называют наружными мостами. С помощью мостов можно связать локальные сети, находящиеся на расстоянии нескольких километров. Характеристики моста более специфичны, чем характеристики точки доступа. Так, в число основных параметров моста, помимо характерных для точки доступа, входят:

Расширенный частотный диапазон;

Повышенные уровни выходной мощности сигнала;

Максимальные радиусы покрытия в режиме точка/точка и

точка/многоточка;

Поддержка широкой полосы пропускания проводной сети;

Расширенный диапазон рабочих температур;

Рабочий диапазон влажности воздуха;

Ценовые характеристики;

Степень защищенности корпуса моста (пыле-влагозащищенное, из стойких материалов).

Далеко не все представленные в текущее время на рынке и тем более находящиеся в использовании устройства удовлетворяют указанным критериям.

После выбора базового оборудования можно приступать к выбору клиентского оборудования; он проводится с учетом параметров базового оборудования (обеспечение совместимости и т.д.)

Критерии выбора беспроводного адаптера:

Соответствие стандарту;

Режимы работы (Infrastructure, Ad-hoc, host-AP);

Наличие и тип антенны;

Коэффициент усиления антенны (встроенной);

Выходная мощность передатчика;

Чувствительность приемника;

Радиус покрытия;

Интерфейс подключения к PC;

Поддержка различных ОС драйвером адаптера;

Частотный диапазон;

Поддерживаемые механизмы безопасности;

Поддерживаемые скорости передачи данных;

Потребляемый ток;

Рабочий диапазон температур;

Рабочий диапазон влажности воздуха;

Ценовые характеристики.


2.3 Монтаж сети

2.3.1 Развертывание сети

После принятия решения о внедрении беспроводных решений, определения размера бюджета, выбора моделей активного и клиентского оборудования, расчета радиуса действия сети на основании параметров выбранного оборудования и проведения предварительного радиочастотного исследования настает черед покупки оборудования и монтажа сети. Монтаж беспроводной сети как таковой – размещение элементов сети в соответствии с заранее определенным планом и установка/настройка программного обеспечения беспроводных клиентских адаптеров и точек доступа (в плане физических параметров) – простая инженерная процедура, которая проводится по инструкциям из технической документации на устройства, поэтому я не буду еѐ здесь рассматривать.

2.3.2 Тестирование физических характеристик сети

Проведение обследования полезно как на этапе планирования беспроводной сети, так и на этапе ее эксплуатации. На этапе эксплуатации обследование позволяет решить проблемы, которые уже возникли в процессе эксплуатации, либо избежать их возникновения, вовремя приняв меры по исправлению сложившейся обстановки, а также дает возможность оценить варианты оптимизации существующей сети в общем.

После монтажа сети полезно провести повторное (эксплуатационное)

картрирование и сравнить его результаты с предварительным картрированием, выяснив возможные расхождения результатов и определив причины этих расхождений. Затем необходимо провести тестирование сети физическими нагрузками – трафиком, помехами и прочими нештатными для сети факторами.

Если сеть тестирование не пройдет (например, перестанет функционировать в результате перегрузок или э/м помех), то необходимо принять соответствующие меры: например, перераспределение сетевой нагрузки – потоков трафика – между точками доступа, нейтрализация помех и т.д.


2.4 Пример проекта реализации сети

Основная цель данной работы – исследование механизмов безопасности беспроводной сети. Но сначала необходимо реализовать установку этой сети. В данном разделе вкратце будет реализовано проектирование и монтаж домашней тестовой беспроводной сети. Так как основная цель дипломной работы – тестирование механизмов безопасности домашней тестовой сети, то некоторые этапы проектирования можно опустить и проводить проектирование

в упрощенном виде.

Целесообразность установки сети установлена: необходим доступ в сеть Интернет нескольким компьютерам, но по помещению невозможно проложить сетевой кабель, обеспечивающий доступ в сеть, в силу организационной причины – проведенный ремонт в помещении, исключающий прокладку кабеля.

Оптимальный вариант – использование беспроводной сети и шлюза.

Исходные данные:

Рабочие станции

Стационарный компьютер

Ноутбук

Коммуникатор, встроеннный беспроводный адаптер

Активное сетевое оборудование

Маршрутизатор D-link DI-707

Для организации сети необходимо приобрести базовую станцию (в данном случае – точку доступа) и два беспроводных адаптера – один с интерфейсом USB (для ноутбука) и один с интерфейсом PCI (для стационарного компьютера).

Выбор оборудования производится с учетом требований, предъявляемых к сети. В случае домашней сети, необходимой для тестирования механизмов защиты, требования не критичны.

1) Отказоустойчивость, бесперебойность работы сети

2) Бюджет < 6000р.

3) Поддержка основных механизмов безопасности Wi-Fi сети

Согласно данным требованиям были выбраны следующие устройства.

Беспроводная точка доступа 802.11g D-Link DAP-1150

Беспроводной адаптер D-Link DWA-510

Беспроводной адаптер ASUS WL-167g

Предварительный расчет радиуса действия точки доступа для данной

тестовой  сети не целесообразен, так как площадь помещения вполне

укладывается в рамки указанного в спецификациях точки доступа. Проблемой в данном случае может быть наличие радиоволновых помех, поэтому необходимо провести упрощенное предварительное катрирование сети. Карта помещения, в котором будет монтироваться и функционировать сеть, представлена на рисунке 2.1.

Рисунок 2.1 – План-карта

Таким образом, ослабление сигнала произойдет в результате его

прохождения сквозь препятствия – стены, перегородки и собственно расстояние до точки доступа от каждого узла. Также важное значение имеет расчет первой зоны Френеля; в основном этот расчет применяется только при построении радиосетей между зданиями (в т.ч. беспроводных мостов), где расстояние между приемником и передатчиком исчисляется километрами. В нашем случае зона Френеля составляет около 0,6 м, т.к. расстояние до самого дальнего приемника – примерно 11 метров.

Для анализа радиопокрытия и уровня посторонних сигналов используется дорогое радиооборудование, поэтому такой анализ проводится при проектировании относительно больших сетей. В случае тестовой сети достаточно провести измерение уровня и характеристик радиосигнала, создаваемого посторонними беспроводными сетями, в радиус действия которых может входить помещение тестовой сети.

Внутри помещения не наблюдается наличия радиосигналов посторонних сетей, поэтому замер производится на местах предполагаемого расположения клиентских станций и точки доступа (поскольку межэтажные перекрытия обеспечивают хорошее экранирование сигнала с верхних и нижних этажей, а беспроводные устройства тестовой сети находятся возле окон – там возможно

наличие помех) с помощью специализированной утилиты Kismet,

предназначенной для сбора информации об окружающих беспроводных сетях 802.11.


3. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СЕТИ

WLAN семейства стандартов IEEE 802.11 представляют собой ряд новых проблем для администраторов сетей и систем безопасности. В отличие от проводных сетей Ethernet, беспроводные ЛВС стандарта IEEE 802.11 используют общедоступный радиоканал для связи с абонентами.

Этот факт лежит в основе целого ряда новых сложных проблем, решение которых потребовало дополнений к стандарту IEEE 802.11. Средства обеспечения безопасности, предусмотренные спецификацией IEEE 802.11 и применимые также к 802.11b, 802.11a, 802.11g подверглись тщательному анализу и серьѐзной критике. Аналитиками были выявлены и продемонстрированы серьѐзные уязвимости в определѐнных стандартом механизмах аутентификации (authentification), обеспечения конфиденциальности (privacy) и целостности (integrity) данных.

При построении системы обеспечения безопасности важно определить модель угроз, т.е. решить, чему собственно защита будет противостоять. Беспроводные ЛВС, ввиду их широковещательной природы, требуют реализации дополнительных механизмов для хотя бы частичной ликвидации двух основных проблем:

аутентификации абонентов (user authentication) с целью

предотвращения несанкционированного доступа к сетевым ресурсам;

обеспечения конфиденциальности данных (data privacy) с целью

обеспечения целостности и защиты при передаче по общедоступному

радиоканалу.

Таким образом, в беспроводных сетях основных угроз две:

несанкционированное подключение и прослушивание, но их список можно

расширить, выделив следующие угрозы, связанные с беспроводными

устройствами:

неконтролируемое использование и нарушение периметра;

несанкционированное подключение к устройствам и сетям;

перехват и модификация трафика;

нарушение доступности;

позиционирование устройства.

Широкое распространение беспроводных устройств и их небольшая

стоимость приводят к тому, что в периметре сетевой безопасности возникают бреши. Здесь речь идет не только о злоумышленниках, подключивших КПК с поддержкой Wi-Fi к проводной сети компании, но и о более тривиальных вещах.

Активный беспроводной адаптер на подключенном к корпоративной сети ноутбуке, принесенная из дома для тестирования точка доступа - все это может стать удобными каналами для проникновения во внутреннюю сеть. Недостаточная аутентификация, ошибки системы разграничения доступа позволят осуществить несанкционированное подключение к сети.

Специфика беспроводных сетей подразумевает, что данные могут быть перехвачены и изменены в любой момент. Для одних технологий достаточно стандартного беспроводного адаптера, для других требуется

специализированное оборудование. Однако эти угрозы реализуются достаточно просто и для противостояния им требуются эффективные криптографические механизмы защиты данных.

Если рассматривать технологии защиты БЛВС в целом, то можно выделить следующие методы защиты:

методы ограничения доступа;

методы шифрования;

методы аутентификации.


3.1 Методы ограничения доступа (МОД)

Существует 6 МОД, применимых к решениям от большинства производителей беспроводного оборудования):

смена настроек по умолчаниию.

В подавляющем большинстве случаев информация о стандартных настройках находится в публичном доступе, и любому злоумышленнику не составит труда достать ее и использовать для проникновения в сеть на основе устройств с настройками по умолчанию:

 ESSID

BSSID (MAC-адрес)

Netbios-имя

 Логин/пароль на вход в интерфейсы управления

Интервал рассылки маячковых фреймов beacon

Интервал обновления ключей TKIP

Закрыть ненужные сетевые порты

отключения широковещания ESSID (закрытые сети).

Идентификатор ESSID регулярно передается точками радиодоступа во фреймах типа «beacon». Несмотря на то, что фреймы beacon играют чисто информационную роль в радиосети, т.е. совершенно "прозрачны" для абонента, сторонний наблюдатель в состоянии с легкостью определить SSID с помощью анализатора трафика протокола 802.11, например Kismet.

белые и черные списки ACL на основе MAC-адресов.

Большинство точек доступа и беспроводных коммутаторов позволяет указывать черные и белые списки МАС-адресов станций, которым запрещено (или разрешено) подключаться к сети. В результате при попытке установления ассоциации проверяется, разрешено ли станции с таким МАС-адресом подключатся к сети, и если нет, то отсылается фрейм Disassociate.

Ограничение обходится методов подмены MAC-адреса.

использование политик безопасности.

Политика безопасности в отношении беспроводных сетей может быть представлена как в виде отдельного документа, так и в составе других составляющих нормативного обеспечения безопасности.

Правильно построенная и соблюдаемая политика безопасности является надежным фундаментом защищенной беспроводной сети. Вследствие этого стоит уделять ей достаточное внимание, как на этапе внедрения сети, так и в ходе ее эксплуатации, отражая в нормативных документах изменения, происходящие в сети.

снижение мощности передатчика.

Снижение мощности передатчика позволит уменьшить область покрытия сети, а значит, и ограничить количество как преднамеренных, так и случайных неавторизованных подключений к сети. Однако, против опытных злоумышленников это не спасает, так как они чаще всего используют мощные однонаправленные антенны, что позволяет обнаруживать даже слабый сигнал и это сводит функциональность данного метода ограничения доступа к нулю.

защита точки доступа.

Точка доступа – сетевое устройство, поэтому она уязвима к многим атакам с использованием стека TCP/IP. Как показывает практика и Bugtraq, качество кода, на основе которого работает большинство точек доступа, оставляет желать лучшего. После приобретения устройств, обновления версии программного обеспечения и тщательного изучения документации полезно проверить, какие сетевые службы работают на точке доступа и не содержат ли они общеизвестных уязвимостей. Для этого можно воспользоваться сетевым сканером безопасности. Как правило, набор обнаруживаемых сетевых служб превышает ожидаемый. Поэтому в целях безопасности необходимо до минимума урезать список работающих служб, закрыть все неиспользуемые порты (если присутствует функциональсть firewall) и обязательно обновить программное

обеспечение (прошивку). Таким образом, МОД в большинстве своем оправдывают свое название, отсеивая от сети любителей бесплатного интернета и т.н. «скрипт-киддов»; для серьезно настроенных на взлом хакеров это просто «низкий барьер». Более серьезные уровни защиты, обеспечивающие защищенность сети – шифрование и аутентификация беспроводных клиентов. Рассмотрим основные моменты.


3.2 Методы шифрования

Шифрование — способ преобразования открытой информации в закрытую и обратно. Применяется для хранения важной информации в ненадѐжных источниках или передачи еѐ по незащищѐнным каналам связи. Механизмы шифрования основаны на алгоритмах, которые рандомизируют данные. Используются два вида шифров.

поточный (групповой) шифр;

блочный шифр.

Шифры обоих типов работают, генерируя ключевой поток (key stream), получаемый на основе значения секретного ключа. Ключевой поток смешивается с данными, или открытым текстом, в результате чего получается закодированный выходной сигнал, или зашифрованный текст.

Названные два вида шифров отличаются по объему данных, с которыми они могут работать одновременно. Поточный шифр генерирует непрерывный ключевой поток, основываясь назначении ключа. Например, поточный шифр может генерировать 15-разрядный ключевой поток для шифрования одного фрейма и 200-разрядный ключевой поток для шифрования другого. На рис. 3.1 проиллюстрирована работа

поточного шифра. Поточные шифры — это небольшие и эффективные алгоритмы шифрования, благодаря которым нагрузка на центральный процессор оказывается небольшой. Наиболее распространенным является поточный шифр RC4, который и лежит в основе алгоритма WEP.

Рисунок 3.1 – Поточное шифрование

Блочный шифр, наоборот, генерирует единственный ключевой поток

шифрования фиксированного размера. Открытый текст делится на блоки, и

каждый блок смешивается с ключевым потоком независимо. Если блок открытого текста меньше, чем блок ключевого потока, первый дополняется с целью получения блока нужного размера. На рис. 3.2 проиллюстрирована работа блочного шифра. Процесс фрагментации, а также другие особенности шифрования с использованием блочного шифра вызывают повышенную, по сравнению с поточным шифрованием, нагрузку на центральный процессор. В результате производительность устройств, применяющих блочное шифрование, снижается.

 

Рисунок 3.2 – Блочное шифрование

Этот процесс шифрования, используемый для поточных и блочных шифров, называется режимом шифрования с помощью книги электронных кодов (Electronic Code Book, ЕСВ). Режим шифрования ЕСВ характеризуется тем, что один и тот же открытый текст после шифрования преобразуется в один и тот же зашифрованный текст. Этот фактор потенциально представляет собой угрозу для безопасности, поскольку злоумышленники могут получать образцы зашифрованного текста и выдвигать какие-то предположения об исходном тексте. Некоторые методы шифрования позволяют решить эту проблему:

векторы инициализации (initialization vectors, IV);

режимы с обратной связью (feedback modes).

Рассмотрим подробнее вектор инициализации. Это номер, добавляемый к ключу, конечным результатом этого является изменение информации ключевого потока. Вектор инициализации связывается с ключом до того, как начнется генерация ключевого потока. Вектор инициализации все время изменяется, то же самое происходит с ключевым потоком. Стандарт 802.11 рекомендует изменять вектор инициализации пофреймово (on a per-frame basis). Это означает, что если один и тот же фрейм будет передан дважды, весьма высокой окажется вероятность того, что зашифрованный текст будет разным. Рассмотрим основные методы шифрования данных в беспроводных сетях семейства 802.11, использующие эти типы шифров.


3.2.1 WEP – Wired Equivalent Privacy

Протокол Wired Equally Privacy (WEP) приведен в базовом стандарте 802.11 в качестве основного механизма защиты. Его применение обеспечивает двустороннюю аутентификацию станции и сети (метод Shared Key) и конфиденциальность передаваемых данных. Для контроля целостности используется значение ICV (Integrity Check Value), рассчитываемое с помощью функции CRC. На каждом устройстве может  быть установлено до четырехключей WEP; номер ключа, использованного для шифрования, передается в заголовках пакета. В один момент времени на всех устройствах используется только один из ключей.

В основе протокола WEP лежит потоковый симметричный шифр RC4. Для шифрования в RC4 может использоваться ключ длиной 64 и 128 бит. Некоторые реализации поддерживают ключ до 256 бит. Алгоритм RC4 использует функции PRGA (Psuedo Random Generation Algorithm) и KSA (Key Scheduling Algorithm). Ключ шифрования подается на вход функции KSA, выход которой используется для инициализации датчика псевдослучайных чисел. Основу алгоритма составляет побитовое сложение по модулю 2 (“исключающее ИЛИ“, XOR) ключевой последовательности - гаммы, генерируемой алгоритмом шифрования на основе заранее заданного ключа, и исходного сообщения. Ключевая последовательность имеет длину, соответствующую длине исходного сообщения,

подлежащего шифрованию. Последовательность этого алгоритма изображена на рис. 3.3.

Выбор такого короткого ключа объяснялся экспортными ограничениями, действовавшими в конце 90-х годов. Однако эффективная длина ключа еще меньше, поскольку 24 бита передаются в каждом пакете в открытом виде. Эти 24 бита вектора инициализации (Initialization Vector, IV) используются для того, чтобы ключ RC4 был уникален для каждого пакета. Таким образом, секретная часть ключа WEP составляет всего 40 или 104 бита.


Рисунок 3.3 – WEP

WEP-шифрование используется только по отношению к фреймам данных и вовремя процедуры аутентификации с совместно используемым ключом. По алгоритму WEP шифруются следующие поля фрейма данных стандарта 802.11.

данные или полезная нагрузка (payload);

контрольный признак целостности (integrity check value, ICV).

Значения всех остальных полей передаются без шифрования. Вектор

инициализации должен быть послан незашифрованным внутри фрейма, чтобы приемная станция могла получить его и использовать для корректной расшифровки полезной нагрузки и ICV. В дополнение к шифрованию данных спецификация стандарта 802.11 предлагает использовать 32-разрядное значение, функция которого — осуществлять контроль целостности. Этот контрольный признак целостности говорит приемнику о том, что фрейм был получен без повреждения в процессе передачи. Он усиливает действие контрольных последовательностей фрейма (FCS) уровней 1 и 2, назначение которых — выявлять возникающие в процессе передачи ошибки.

Для работы алгоритма необходимо, чтобы и передающая, и приемная

станция были сконфигурированы на использование одинакового ключа в один момент времени. Имея ключ и вектор инициализации, передающийся в виде незашифрованного текста внутри фрейма, приемная станция может

расшифровать данные.

Согласно собранной статистике, около 20-30% защищенных домашних и офисных сетей в настоящее время используют WEP в качестве механизма шифрования.

Как и во многих других новых технологиях, в первоначальном

проектировании WЕР было немало существенных уязвимых мест. За несколько лет эксперты по безопасности использовали найденные уязвимости для организации атак на WEP, которые с успехом прорываются через все те средства обеспечения безопасности, поставленные в WEP: управление доступом в сеть, конфиденциальность данных и целостность данных. Сразу после публикации протокол WEP вызвал ряд нареканий.

Для шифрования используется непосредственно пароль, введенный пользователем, а не сессионный ключ, т.е. отсутствует механизм привязки ключа к конкретной сессии или паре устройств. Ключ протокола WEP одинаков для всех станций сети и его компрометация (например, утеря ноутбука) требует смены ключей шифрования для всех точек доступа и клиентов беспроводной сети. Кроме того, недостаточная длина ключа (5 ASCII-символов для 40 бит и 13 для 104) делает атаки с помощью перебора вполне реальными, тем более, что для проведения атаки достаточно перехватить только один пакет, после чего проводить все вычисления без взаимодействия с сетью. Хотя в качестве ключа WEP можно использовать и не ASCII символы, в реальности это бывает очень редко. Гораздо проще использовать в качестве ключа «qwerty1234567», чем малопонятные шестнадцатеричные числа. Поскольку для контроля целостности пакетов в WEP используется линейная функция CRC32, злоумышленник на основе повтора векторов инициализации получает возможность подделывать зашифрованное сообщение таким образом, что оно пройдет контроль целостности.

Также существенным недостатком является не слабость механизма WEP как таковая, но фундаментальная ошибка в описании стандарта 802.11, который утверждает, что WEP необязателен для внедрения. Когда люди устанавливают новое оборудование, они не всегда делают все необходимое для того, что заставить его работать, и обычно не трогают его после того, как оборудование заработало. Многие производители беспроводного оборудования (до недавнего времени) поставляли свое оборудование с возможностью WEP, не активированной по умолчанию.

Как уже говорилось ранее, часть ключа RC4 передается в открытом виде в

качестве вектора инициализации. Однако, выбранная длина синхропосылки (24 бита) явно недостаточна для решения задачи защиты от повторного использования ключа шифрования. Использование 24 бит дает возможность передать менее 17 миллионов пакетов до начала повторения вектора инициализации. В мире сетей это не так уж и много. Но ситуация

усугубляется тем фактом, что механизм изменения вектора инициализации в стандарте не определен, поэтому разные производители используют различные подходы, например, просто последовательно увеличивают значение IV после рестарта адаптера. Таким образом, если в сети находятся две станции, вероятность повторения вектора инициализации резко возрастает.  Повторное использование вектора инициализации представляет проблему, если у злоумышленника есть представление об открытом тексте одного из пакетов. В сетях, где структура фреймов строго описана, и присутствуют большие объемы служебного трафика, определить открытый текст фрейма не так уж сложно. Пакеты ARP, запросы и ответы ICMP-эхо (ping) могут быть вычленены из общего потока по характерным признакам (размер, МАС-адрес

получателя, последовательность запрос-ответ). Определить их содержимое, за исключением некоторых полей, тоже не представляет большой проблемы.

Отсутствие эффективного контроля целостности пакетов в WEP позволяет проводить активные атаки на подбор «корректного» пакета, который будет расшифрован и передан точкой доступа в сеть.

Основные пассивные атаки на Wep – «FMS» и «КоreK» атаки.

В августе 2001 известные специалисты по криптографии Scott Fluhrer, Itsik

Mantin и Adi Shamir создали статью «Weaknesses in the Key Scheduling Algorithm of RC4». Описанная в статье атака, получившая по первым буквам фамилий авторов название FMS, является статистической и основана на том факте, что при использовании определенных векторов инициализации алгоритм KSA не обеспечивает должного перемешивания, что в совокупности с возможностью предсказать определенные байты открытого текста (0хАА в заголовке LLC) позволяет восстанавливать ключ шифрования. В свою очередь публикация основана на электронном письме Дэвида Вагнера (David Wagner) «My RC4 Weak Keys», опубликованном еще в 1995 г. В основе атаки FMS лежат три основных принципа:

1) При некоторых векторах инициализации (IV) шифр RC4 таким, что

информация о ключе проявляется в выходных байтах.

2) Слабость, выражающаяся в инвариатности, позволяет использовать

выходные байты для определения наиболее вероятных байтов ключа.

3) Первые выходные байты всегда предсказуемы, поскольку содержат

заголовок SNAP, о пределенный в спецификации IEEE.


3.2.2 TKIP

Протокол WEP является далеко не лучшим способом защиты беспроводной сети. После публичной демонстрации многочисленных уязвимостей WEP IEEE приступил к разработке стандарта 802.11 i, призванного устранить эти недостатки.

Однако процесс его создания затянулся, в связи с чем один из набросков стал использоваться в качестве промежуточного решения. Этот

стандарт получил название Wi-Fi Protected Access(WPA). В качестве алгоритма шифрования в WPA используется TKIP, основанный на RC4, что позволяет реализовать совместимость с оборудованием, поддерживающим WEP. По проведенным в рамках работы исследованиям, примерно 30% защищенных сетей используют TKIP в качестве протокола управления ключами и шифрованием.

Протокол подготовки и распределения временных ключей TKIP(Temporal Key Integrity Protocol) использует тот же потоковый шифр RC4, что и WEP. реализует три подхода к улучшению безопасности радио-протоколов семейства IEEE 802.11.

Функция смешения ключей, которая комбинирует секретный основной

ключ PTK (temporary encr key) с вектором инициализации TSC и MAC-адресом перед тем, как передать его в качестве ключа алгоритму RC4.

Последовательный счетчик (TSC — TKIP Sequence Counter) 48-битной

длины, значение которого растет с каждым переданным пакетом. Назначение TSC – защита от перехвата и повторной отправки пакетов, участие в генерации (перемешивании) ключа. Пакеты, полученные в неверном порядке, будут отвергнуты (а именно, будут отвергнуты пакеты с более ранним TSC), что позволяет защищаться от так называемых replay-атак. Увеличение длины вектора инициализации до 48 бит позволяет избежать коллизии векторов и гарантирует, что они не повторятся на протяжении более тысячи лет

64-битный код защиты сообщения MIC (Message Integrity Code). В

отличие от протокола WEP, где для обеспечения целостности передаваемых данных применялся механизм CRC-32, протокол TKIP использует MIC, обеспечивающий криптографическую контрольную сумму от полей “адрес источника”, “адрес назначения” и поля данных.

Формирование предварительного ключа для RC4 представлено на рисунке 3.4. Общая логика работы TKIP представлена на рисунке 3.5.

Рисунок 3.4 – Формирование предварительного ключа для функции RC4

Рисунок 3.5 – Общая логика работы TKIP

3.2.3 CCMP

CCMP (протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счѐтчика) — протокол шифрования 802.11i созданный для замены TKIP, обязательного протокола шифрования в WPA и WEP, как более надѐжный вариант. CCMP является обязательной частью стандарта WPA2.

CCMP основан на алгоритме шифрования CCM AES. В отличие от TKIP, управление ключами и целостностью сообщений осуществляется одним компонентом, построенным вокруг AES с использованием 128-битного ключа, 128-битного блока, в соответствии со стандартом шифрования FIPS-197.CCM использует механизм CTR для обеспечения конфиденциальности и механизм CBCMAC для проверки подлинности и целостности данных. CCM обеспечивает как шифрование как области данных пакета MPDU, то есть пакета (DATA UNIT), передающегося по сети, так и некоторых частей заголовка пакета стандарта 802.11. Вся обработка AES, используемая в CCMP, использует AES со 128-битным

ключом и 128-битным блоком. Логика работы CCMP-AES представлена на рис.3.7. Режим СММ является общим режимом, который может быть использован с любым блочным алгоритмом шифрования. Стандарт алгоритма СММ требует использования новых временных ключей для каждой вновь создаваемой сессии. Кроме того, СММ требует уникального значения Nonce для каждого кадра, защищенного конкретным выбранным временным ключом. CCMP использует для этого 48-разрядный номер пакета (PN). Повторное использование PN-номера с тем же временным ключом обнуляет все гарантии безопасности.

Рисунок 3.7 – CCMP-AES


3.3 Методы аутентификации

В сетях 802.11 используются два вида аутентификации: открытая система(Open System) и общий ключ (Shared-Key Authentication).

3.3.1 Open system

При использовании открытой системы на запрос клиента сеть отвечает подтверждением аутентификации или отказом. Поскольку никаких данных для аутентификации от клиентов не требуется, единственным критерием отказа может быть МАС-адрес клиента, то метод Open System представляет собой отсутствие аутентификации как таковой. Но именно Open System используется при работе таких механизмов защиты, как 802.11 i и WPA. В этих случаях станция сначала устанавливает соединение в открытом режиме, после чего проходит аутентификацию по протоколу ЕАР.

3.3.2 Shared Key

Аутентификация с общим ключом может применяться при использовании шифрования WEP, WPA-PSK и WPA2-PSK. В случае WEP происходит обмен сообщениями между станцией и точкой доступа по следующей схеме:

станция отправляет запрос на аутентификацию;

ТД посылает станции 128 байт случайного текста;

станция зашифровывает полученный текст с использованием WEP и

отправляет его в сеть;

ТД проверяет, что принятый текст может быть расшифрован с

помощью используемого ключа WEP и сравнивает принятые данные с

переданными;

в случае совпадения данных станции передается фрейм

подтверждения аутентификации. Несмотря на кажущуюся стойкость,

использование метода аутентификации Shared-Key не рекомендуется в связи с тем, что он облегчает злоумышленнику проведение криптографических атак с известным открытым текстом на WEP.

3.3.3 Shared Key (WPA-PSK, WPA2-PSK)

Pre-Shared Key режим (PSK, также известный как режим WPA-personal) предназначен для домашних и небольших офисных сетей, которые не требуют наличия сервера аутентификации 802.1X RADIUS. Каждое устройство беспроводной сети обеспечивает шифрование сетевого трафика с использованием 256 битного ключа PSK. В зависимости от настроек может использоваться один для всех, а может быть выделен уникальный для каждого клиента. Этот ключ может быть заключен как в виде строки из 64 HEX-цифр, как и в виде ключевой фразы от 8 до 63 символов ASCII. Если используются ASCII символы, 256 битный ключ шифрования рассчитываются путем применения ключевой функции PBKDF2, которая смешивает введенный ключ – passphrase -

и SSID сети (как соль); итерации смешения повторяются 4096 раз (алгоритм HMAC-SHA1)1: PSK = PMK = PBKDF2(password, SSID, SSID length, 4096, 256) PBKDF2 - криптографический метод из стандарта PKCS #5 v2.0. Алгоритм его работы таков. Первые три значения перемешиваются 4096 раз для генерирования 256-битового ключа.

PSK в свою очередь используется для генерирования пары временных ключей Transient Key - РТК. Теоретически, зная PSK можно и сгенерировать РТК. Сам стандарт говорит о том, что если парольная фраза менее 20 символов, то сгенерированный ключ будет не достаточно криптостойким. PSK передаѐтся в пакет для аутентификации, поэтому здесь так же можно применить технологию, когда клиенту от имени AP отсылается датаграмма на разрыв соединения (deauth attack). Клиент повторно пытается соединиться, проходит процедуру 4-way handshake, и злоумышленник перехватывает фреймы аутентификации и впоследствии проводит атаку по словарю на эти фреймы, после чего может вычислить ключ.

3.3.4 802.1х (EAP)

Протокол 802.1X обычно ассоциируется с беспроводными сетями, однако изначально он был разработан для разграничения доступа в сетях Ethernet и Token Ring. Технология 802.1 X обеспечивает возможность решения задач идентификации, аутентификации и разграничения доступа к сетям на канальном уровне. При использовании протокола 802.1 X станция, физически подключающая к сети, не получает доступа к другим узлам до прохождения аутентификации. За реализацию этой функции отвечает активное сетевое оборудование (коммутатор, точка доступа), отключающее станции от сети до получения положительного вердикта об их аутентичности. Поскольку реализовать функции аутентификации непосредственно на коммутаторе было бы нелогично (представьте, если каждый коммутатор должен содержать свою базу данных учетных записей), аутентификатор используется в качестве сервера-

посредника между инициатором и третьим компонентом 802.1 X, сервером

аутентификации (Authentication Server). В роли сервера аутентификации может быть использована практически любая реализация сервера RADIUS, например FreeRADIUS, Microsoft Internet Authentication Server (IAS) и так далее. При подключении к сети аутентификатор посылает инициатору по

протоколу Extensible Authentication Protocol over LAN (EAPOL) запрос на

утентификацию. Если клиент не поддерживает 802.1 X, запрос игнорируется, и станция не имеет возможности взаимодействия с сетью. В противном случае клиент инициирует протокол проверки подлинности, в ходе которого происходит взаимная аутентификация сервера RADIUS и подключаемой станции.

Аутентификатор преобразует запросы EAPOL в команды протокола RADIUS и обратно. Если клиент успешно прошел аутентификацию и авторизацию, сервер RADIUS дает аутентификатору команду на подключение к сети, после чего станция получает возможность взаимодействия в рамках контролируемого коммутатором или точкой доступа сегмента. Дополнительно сервер RADIUS может генерировать и передавать точке доступа и подключаемой станции ключи шифрования (WEP, РМК для WPA или WPA2). Для аутентификации в сети, использующей технологию 802.1х, может использоваться один из протоколов семейства ЕАР (RFC 3748, 4017). Наиболее распространены следующие из них:

EAP-TLS;

PEAP (Protected ЕАР);

 EAP-TTLS (Tunneled Transport Layer Security);

 Cisco-LEAP;

EAP-FAST.

Напоследок рассмотрим некоторые «нетрадиционные» уязвимости

беспроводных сетей, напрямую не связанных с такими механизмами, как

шифрование и аутентификация.

Ошибки при настройке клиентов (дополнительные незащищенные точки

доступа в профиле);

MITM с доверенным сертификатом (при ошибках настройки клиента);

Уязвимые драйвера беспроводных карт;

Атаки на элементы беспроводной инфраструктуры;

DOS-атаки:

o Глушение;

o Buffer overflow;

o Фреймы-фальшивки.

Как можно видеть, механизмов защиты БЛВС достаточно много, но далеко не все из них могут гарантированно защитить передаваемую в сети

информацию.


4. ЭКОЛОГИЯ И ОХРАНА ТРУДА

Исследование безопасности сети, являющееся темой дипломного проекта, на стадии своего проектирования и использования предполагает применение персональных ЭВМ, расположенных в домашних условиях. В целом, условия работы соответствуют действующим нормам. В рассматриваемом помещении имеется одно ПЭВМ, состоящие из видеотерминала и системного блока. В помещении подведено переменное напряжение, которое используется для питания ПЭВМ и осветительных приборов (люминесцентные лампы). Особенностью труда пользователей являются повышенное зрительное восприятие, связанное со слежением за информацией, а также наличие ряда других неблагоприятно воздействующих на зрение факторов.

Пользователь утомляется из-за эффекта мелькания, неустойчивости и нечѐткости изображения, необходимости частой адаптации глаз к освещенности дисплея, рабочего места и общей освещенности помещения. На орган зрения воздействуют появление ярких пятен за счѐт отражения светового потока на клавиатуре и экране, различие в освещѐнности рабочей поверхности и ее окружения.

4.1 Анализ условий труда на рабочем месте

В настоящее время общепринятой является классификация опасных и вредных факторов, которые согласно ГОСТ 12.0.00374* по характерным видам воздействий, оказываемых на организм человека, подразделяются на

физические, химические, биологические и психофизиологические. При работе с ПЭВМ на пользователя в той или иной степени могут воздействовать следующие физические факторы:

повышенные уровни переменного электромагнитного и

электростатического полей;

повышенный уровень статического электричества;

повышенный уровень низкоэнергетического (мягкого) рентгеновского

ионизирующего излучения;

повышенные уровни ультрафиолетового и инфракрасного излучения;

повышенный или пониженный уровень освещенности рабочей зоны;

повышенная яркость фрагментов светового изображения или света,

падающего в поле зрения пользователя

4.2 Требования к шуму и вибрации

При выполнении основной работы на ПЭВМ (диспетчерские, операторские, расчетные, кабинеты и посты управления, залы вычислительной техники и др.), во всех учебных и дошкольных помещениях с ПЭВМ уровень шума на рабочем месте не должен превышать 50 дБ. В производственных помещениях , в которых работа с ПЭВМ не является основной, а также во всех учебных помещениях с ПЭВМ вибрация на рабочих местах не должна превышать допустимые нормы вибрации. Шумящее оборудование (АЦПУ, принтеры и т.п.), уровни шума которого превышают нормированные, должно находиться вне помещений с ПЭВМ

4.3 Требования к освещению помещений и рабочих мест ПЭВМ

Освещенность на поверхности стола в зоне размещения рабочего

документа должна быть 400 лк. Следует ограничивать прямую блесткость от источников освещения, при этом яркость светящихся поверхностей (окна, светильники и др.), находящихся в поле зрения, должна быть не более 200 кл/м.

Слеедует ограничивать отраженную блесткость на рабочих поверхностях

(экран, стол, клавиатура и др.) за счет правильного выбора светильников и

расположения рабочих мест по отношению к источникам естественного и

искусственного освещения, при этом яркость бликов на экране ПЭВМ не должна превышать 40 кд/ми яркость потолка, при применении системы отраженного освещения, не должна превышать 200 кд/м.

Показатель ослепленности для источников общего искусственного

освещения в производственных помещениях должен быть не более 40, в

дошкольных и учебных помещениях не более 25.

Следует ограничивать неравномерность распределения яркости в поле зрения пользователя ПЭВМ, при этом соотношение яркости между рабочими поверхностями не должно превышать 3:1 5:1, а между рабочими поверхностями и поверхностями стен и оборудования 10:1. Светильники местного освещения должны иметь не просвечивающий отражатель

с защитным углом не менее 40 градусов. Коэффициент пульсации не должен превышать 5%, что должно обеспечиваться применением газоразрядных ламп в светильниках общего и местного освещения с высокочастотными пускорегулирующими аппаратами (ВЧ ПРА) для любых типов светильников. Рациональное освещение рабочего места является одним из важнейших факторов, влияющих на эффективность трудовой деятельности человека, предупреждающих травматизм и профессиональные заболевания. Правильно организованное освещение создает благоприятные условия труда, повышает работоспособность и производительность труда. Освещение на рабочем месте программиста должно быть таким, чтобы работник мог без напряжения зрения

выполнять свою работу. Утомляемость органов зрения зависит от ряда причин:

недостаточность освещенности;

чрезмерная освещенность;

неправильное направление света.

Все эти причины могут привести к несчастному случаю или профзаболеваниям, поэтому столь важен правильный расчет освещенности. Расчет освещенности рабочего места сводится к выбору системы освещения, определению необходимого числа светильников, их типа и размещения. Исходя из этого, рассчитаем параметры искусственного освещения.  Искусственное освещение выполняется посредством электрических источников света двух видов: ламп накаливания и люминесцентных ламп. Будем использовать люминесцентные лампы, которые ПО сравнению с лампами

накаливания имеют существенные преимущества:

по спектральному составу света они близки к дневному, естественному

освещению;

обладают более высоким КПД (в 1,5-2 раза выше, чем КПД ламп

накаливания);

обладают повышенной светоотдачей (в 3-4 раза выше, чем у ламп

накаливания);

более длительный срок службы.

4.4 Требования электробезопасности при работе с ПЭВМ.

В ЭВМ источником опасности является электрическая часть, а именно входные цепи блока питания, который может быть подключен к сети промышленного тока напряжением 240 В. частотой 50 Гц, с изолированной нейтралью. Выходные цепи блока питания составляют ± 15, ± 5 В. Следовательно, согласно ПЭУ 1.1.3 устройство относится к установкам с рабочим напряжением до 1000 В.

Использовавшееся помещение с ЭВМ относится к классу помещений без повышенной опасности с точки зрения поражения электрическим током. Температура окружающей среды +20± ° С, относительная влажность воздуха ± 20%. В помещении должны быть непроводящие полы, отсутствовать токопроводящая пыль, отсутствовать электрически активная среда, отсутствовать возможность одновременного прикосновения к металлическим частям прибора и заземляющему устройству, отсутствовать высокая температура и сырость (ПУЭ п.1.1.13). Для защиты от поражения электрическим током все токоведущие части должны быть защищены от случайных прикосновений кожухами (ПУЭ п.1.1.32), корпус устройства должен быть заземлен.

Заземление выполняется изолированным медным проводом сечением 1.5 мм(ПУЭ 1.7.78), который присоединяется к общей шине заземления с общим сечением 48 мм при помощи сварки. Общая шина присоединяется к заземлению, сопротивление которого не должно превышать 4 Ом (ПУЭ п.1.7.65). Питание устройства должно осуществляться от силового щита через автоматический предохранитель, срабатывающий при коротком замыкании нагрузки. Персонал технического обслуживания проводит проверку наличия цепи

между магистралью заземления и заземленным оборудованием при каждом ремонте или при переустановке оборудования. Также персонал должен быть обучен иметь группу допуска по электробезопасности 2-3.

4.5 Электромагнитное излучение

Опасное воздействие на работающих могут оказывать электромагнитные поля радиочастот (60 кГц300 ГГц) и электрические поля промышленной частоты (50 Гц). Источником электрических полей промышленной частоты являются токоведущие части действующих электроустановок (линии электропередач, индукторы, конденсаторы термических установок, фидерные линии, генераторы, трансформаторы, электромагниты, соленоиды, импульсные установки полупериодного или конденсаторного типа, литые и металлокерамические магниты и др.). Длительное воздействие электрического поля на организм человека может вызвать нарушение функционального состояния нервной и

сердечнососудистой систем. Это выражается в повышенной утомляемости,

снижении качества выполнения рабочих операций, болях в области сердца,

изменении кровяного давления и пульса. Основными видами средств

коллективной защиты от воздействия электрического поля токов промышленной частоты являются экранирующие устройства.

Экранирующее устройство необходимо при осмотре оборудования и при

оперативном переключении, наблюдении за производством работ. Конструктивно  экранирующие устройства оформляются в виде козырьков, навесов или перегородок из металлических канатов, прутков, сеток. Экранирующие устройства должны быть заземлены и иметь антикоррозионное покрытие.

4.6 Требования по соблюдению пожаробезопасности

Помещения, в которых установлены персональные ЭВМ, по пожарной опасности относятся к категории Д, и должны удовлетворять требованиям по предотвращению и тушению пожара по ГОСТ 12.1.004. Обязательно наличие телефонной связи и пожарной сигнализации.

Для предотвращения возгорания в зоне расположения ЭВМ обычных

горючих материалов (бумага) и электрооборудования, необходимо принять

следующие меры:

в качестве вспомогательного средства тушения пожара могут использоваться

гидрант или устройства с гибкими шлангами.

Среди организационных мероприятий, важными являются

проведения инструктажа и обучения правилам пожарной безопасности среди персонала. Меры пожарной безопасности определены в ГОСТ 12.1.00491.


ЗАКЛЮЧЕНИЕ

 В данной дипломной работе были проведены исследования механизмов безопасности беспроводных сетей. Были рассмотрены различные механизмы обеспечения безопасности сетей стандарта 802.11. По ходу выполнения дипломной работы был составлен алгоритм проектирования сети, и тестовая сеть была смонтирована согласно этому алгоритму с детальным учетом характеристик окружающего радиоэфира.

Результаты данной работы будут полезны в первую очередь системным администраторам и сетевым аудиторам как с чисто технической точки зрения (алгоритмы, описывающие последовательности применения ПО для тестирования), так и с методической точки зрения (алгоритм планирования и проектирования сети, методика тестирования на проникновение беспроводной сети).


СПИСОК ЛИТЕРАТУРЫ

1. Барнс К. Защита от хакеров беспроводных сетей. М.: Компания АйТи, ДМК Пресс, 2004. 239 с.

2. Вишневский В.М. Широкополосные беспроводные сети передачи информации. М.: Техносфера, 2005. 595 с.

3. Владимиров А.А. Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей. М.: НТ Пресс, 2005. 463 с.

4. Гордейчик С.В., Дубровин В.В. Безопасность беспроводных сетей. М.:

Горячая линия – Телеком, 2008. 288 с.

5. Меррит М., Поллино Д. Безопасность беспроводных сетей. М.: Компания Ай- Ти; ДМК Пресс, 2004. 288 с.

6. Рошан П., Лиэри Д. Основы постороения беспроводных локальных сетей

стандарта 802.11. М.: Издательский дом «Вильямс», 2004. 304 с.

7. Шахнович И. Анатомия стандартов IEEE 802.11 // Электроника: наука,

технология, бизнес. 2003. N. 1. C. 42.

8. Проблемы безопасности в беспроводных ЛВС IEEE 802.11 и решения Cisco Wireless Security Suite. Cisco Press 2002.

9. Зачем нужно и как проводится обследование сети. URL:

http://proitclub.ru/2009/06/16/Зачем-нужно-и-как-проводится-обследов

(дата обращения 18.03.2010)

PAGE   \* MERGEFORMAT 58


Изм.

ист

документа

Подпись

Дата

Лист

ГХТТ ДР.230111.16 ПЗ


 

А также другие работы, которые могут Вас заинтересовать

15766. СТАТИСТИКА ОБОРОТНЫХ СРЕДСТВ 43.5 KB
  ТЕМА 7. СТАТИСТИКА ОБОРОТНЫХ СРЕДСТВ К оборотным средствам относятся производственные запасы сырье материалы топливо запчасти инструменты хозтовары и другие незавершенное производство готовая продукция товары для перепродажи а также денежные средства д
15767. СТАТИСТИКА СЕБЕСТОИМОСТИ ПРОДУКЦИИ И ФИНАНСОВЫХ РЕЗУЛЬТАТОВ 111 KB
  Тема 8. СТАТИСТИКА СЕБЕСТОИМОСТИ ПРОДУКЦИИ И ФИНАНСОВЫХ РЕЗУЛЬТАТОВ Разные стороны хозяйственной деятельности предприятий фирм компаний отражаются в себестоимости продукции. Себестоимость продукции работ услуг представляет собой стоимостную оценку используе...
15768. Статистические методы оценки финансовых, страховых и бизнес рисков 35.5 KB
  Тема 9. Статистические методы оценки финансовых страховых и бизнес рисков Современные предприятия организации функционируют в условиях неопределенности и нестабильности внешней среды. Результаты деятельности хозяйствующих субъектов зависят от международной обста...
15769. Абсолютные величины и их классификация 14.21 KB
  Абсолютные величины и их классификация. Абсолютные величины это результаты статистических наблюдений. В статистике в отличие от математики все абсолютные величины имеют размерность единицу измерения а также могут быть положительными и отрицательными. Единицы из...
15770. Агрегатная форма общих индексов 28.55 KB
  Агрегатная форма общих индексов. Общие индексы вычисляют для сложных совокупностей состоящих из различных по натуральновещественной форме единиц. Общие индексы строятся различно для количественных качественных и результативных показателей. Исходной формой любого
15771. Взаимосвязь общих индексов и условия её осуществления 22.36 KB
  Взаимосвязь общих индексов и условия её осуществления. Между качественными количественными и результативными общими индексами существует взаимосвязь. Произ
15772. Взаимосвязь относительных величин 10.22 KB
  Взаимосвязь относительных величин. Между относительными показателями существует взаимосвязь. УплУ0=У1У0УплУ1 Основываясь на взаимосвязи по любым двум известным величинам при необходимости всегда можно определить третью неизвестную величину....
15773. Виды группировок. Определение числа групп, величины интервалов 20.26 KB
  Виды группировок. Определение числа групп величины интервалов В зависимости от решаемых задач выделяют следующие виды группировок: 1 типологическая 2 структурная 3 аналитическая. Типологическая группировка – это разделение исследуемой качественно разнородной со
15774. Виды дисперсий и правило их сложения 24.79 KB
  Виды дисперсий и правило их сложения. Наряду с вариацией признака по всей совокупности в целом часто бывает необходимо проследить количественные изменения признака по группам на которые разделяются совокупность а также и между группами. Выделяют дисперсию общую ме