- •1. Основные принципы построения беспроводных систем связи
- •1.1. Стандарты семейства ieee 802.11
- •1.1.1. Основные принципы
- •1.1.3. Физический уровень
- •1.1.4. Стандарты ieee 802.11а и 802.11g
- •1.2. Схема распределенного управления в локальных сетях
- •1.3. Работа беспроводных систем связи в условиях городских и региональных сетей
- •1.4. Структура беспроводной сети в локальном территориальном районе
- •2. Идентификация рисков информационной безопасности беспроводных систем связи
- •2.1. Идентификация нарушителей
- •2.2. Потенциал нападения нарушителей
- •2.3. Спектр угроз безопасности беспроводных систем связи
- •2.4. Спектр уязвимостей беспроводных систем связи
- •2.4.1. Уязвимости, обусловленные средой передачи и диапазоном рабочих частот
- •2.4.2. Уязвимости системы аутентификации
- •2.4.3. Уязвимости криптографических протоколов
- •2.4.3.1. Crc и целостность данных.
- •2.4.3.2. Шифрование rc4
- •2.4.3.3. Вычисление ключевого потока
- •2.4.3.4. Получение секретного ключа
- •2.5. Атаки, применяемые к беспроводным системам связи
- •2.5.2. Атаки на систему аутентификации
- •2.5.3. Атаки на криптографические протоколы
- •2.5.3.1. Пассивные сетевые атаки
- •2.5.3.2. Активные сетевые атаки
- •2.5.3.3. Повторное использование вектора инициализации
- •2.5.3.4. Манипуляция битами
- •2.6. Определение вероятностей реализации угроз
- •3. Политика безопасности оператора беспроводной связи
- •3.1. Общие положения
- •3.2. Цели и задачи
- •3.3. Основные принципы
- •3.4. Подход к разработке политики безопасности согласно iso 17799
- •3.5. Структура неформальной политики безопасности
- •3.6. Формализация положений политики безопасности
- •3.7. Основные методики формирования политики безопасности
- •4. Обеспечение информационной безопасности беспроводных систем связи
- •4.1. Основные принципы и подходы к защите
- •4.2. Мероприятия по организации минимального уровня защищенности
- •4.3. Мероприятия по обеспечению информационной безопасности беспроводных сетей
- •4.4. Наказания за нарушения политики безопасности
- •394026 Воронеж, Московский просп., 14
1.3. Работа беспроводных систем связи в условиях городских и региональных сетей
В последние годы беспроводные сети передачи данных становятся одним из основных направлений развития сетевой индустрии. Беспроводная технология позволяет в кратчайшие сроки и с небольшими затратами объединить удаленные локальные сети различных организаций в единую региональную сеть передачи данных, обеспечивая им удаленный высокоскоростной стационарный доступ в Интернет. Основной структурной единицей региональной беспроводной сети является радиосота (рис. 1.19), имеющая звездообразную структуру: в центре нее помещается базовая станция (БС) со всенаправленной антенной, на которую сфокусированы антенны оконечных станций (ОС) — радиобриджей между беспроводной сетью и локальными кабельными сетями. В типичных условиях региональной беспроводной сети ОС не имеют радиовидимости друг с другом (т. е. скрыты друг от друга) и вынуждены взаимодействовать через ретрансляционную БС, расположенную на большой высоте (на высотных зданиях, телевышках и т д.), и являющуюся точкой доступа во внешнюю сеть.
Рис.1.19. Типовая радиосота
Пример реализации подобной сети на базе протокола IEEE 802.11 в городских условиях, состоящей из нескольких радиосот показан на рис. 1.20. При использовании механизма базового доступа схемы DCF станция, успешно принявшая кадр DATA, содержащий информационный пакет, спустя короткий интервал SIFS немедленно отвечает положительным подтверждением АСК (рис. 1.21).
Таким образом, попытка передачи пакета считается успешной, если станция, отправившая кадр DATA, в течение тайм-аута EIFS получает корректное подтверждение АСК на этот кадр.
После завершения попытки передачи очередного пакета станция переходит в состояние отсрочки спустя интервал задержки DIFS, если попытка была успешной (т.е. коллизия отсутствовала и все кадры, относящиеся к данному пакету, были переданы корректно, без искажения помехами), или EIFS при неудачной попытке.
Рис. 1.20. Пример беспроводной сети
в городских условиях
Заметим, что отсчет времени отсрочки станция ведет только при свободном канале: значение счетчика уменьшается на единицу только в том случае, если в течение всего предшествующего слота канал воспринимался данной станцией как свободный (скрытые станции по-разному воспринимают состояние канала, рис. 1.22)
Рис. 1.21. Работа DCF при скрытых ОС (θi = EIFS ,θs = DIFS)
Отсчет времени отсрочки прекращается, когда канал становится, занят (в восприятии данной станции), и в следующий раз счетчик отложенного времени уменьшится только тогда, когда канал окажется, свободен в течение в зависимости от того, был ли кадр, принятый данной станцией, последним, соответственно, корректным или нет. При достижении счетчиком отсрочки нулевого значения станция начинает передачу.
Рассмотрим случаи, когда происходят коллизии, в предположении, что длины всех пакетов, передаваемых от ОС к БС и обратно, равны соответственно re и rb >> rb байт (данный вид трафика характерен для региональной сети). Кроме того, предположим, что все станции используют только механизм базового доступа. Пусть в некоторый момент t0 БС, «слышащая» все остальные станции, начинает передачу ОС 1 (рис.1.23). Тогда коллизия возможна только в случае, если какая-либо ОС также попытается передавать в интервале(t0 – δ, t0 + δ), где δ — время распространения сигнала, причем передача БС окончится неудачей из-за коллизии, только если в коллизии участвует и ОС 1.
Попытки остальных ОС не мешают БС передавать кадр DATA и принимать кадр АСК, так как: 1) станция не прослушивает канал в течение своей передачи; 2) ОС 1 не «слышит» остальные оконечные станции и успешно принимает кадр DATA от БС; 3) rb > re, поэтому коллизия всегда завершается до начала передачи кадра АСК ОС 1. Таким образом, при коллизии, в которой участвует как БС, так и ОС 1, искажаются все передаваемые кадры (назовем такую коллизию разрушающей Б - коллизией), а если ОС 1 не участвует в коллизии, то данная Б - коллизия является неразрушающей для БС (хотя, конечно, кадры других станций будут искажены).
Рис. 1.22. Коллизия беспроводных сетей
Рис.1.23. Неудачные попытки ОС
Перейдем к коллизиям ОС. Пусть в момент t0 начинает передачу ОС 1. Время, необходимое для передачи кадра DATA от ОС, обозначим через tde (при передаче от БС к ОС - tdb ). Пусть также БС не начнет передачу в (t0 - δ, t0 + δ). Тогда коллизия произойдет, если какая-либо ОС также попытается начать передачу в момент ti € (t0 - tde -2δ - SIFS, t0 + tde + 2δ +SIFS) причем при ti € (t0 - tde, t0 + tde) искажаются оба передаваемых кадра (разрушающая О - коллизия), а при |t1 - t0| € (tde , tde + 2δ +SIFS) БС успевает успешно принять кадр, прибывший первым, т. е. имеет место неразрушающая О -коллизия.
Наконец, после коллизии ОС или искажения помехами кадра DATA, посланного ОС, как эта (или эти) ОС, так и БС не могут начать следующую попытку передачи в течение, по крайней мере, EIFS (будем говорить, что они становятся блокированными на время EIFS), в то время как остальные ОС продолжают отсчет отложенного времени и могут начать передачу.