Национальный исследовательский университет высшая школа экономики московский институт электроники и математики






Скачать 438.54 Kb.
НазваниеНациональный исследовательский университет высшая школа экономики московский институт электроники и математики
страница2/4
Дата публикации29.08.2016
Размер438.54 Kb.
ТипОбзор
l.120-bal.ru > Водные виды спорта > Обзор
1   2   3   4

2.1.3. Региональные и городские сети

Технологии, объединенные под торговой маркой WiMAX, направлены на реализацию широкополосного беспроводного доступа на значительных расстояниях. Коммерческим продвижением технологии занимается организация WiMAX Forum.

Согласно спецификации стандарта 802.16, максимальное расстояние, на котором возможно взаимодействие по сетям WiMAX, составляет 50 км, а суммарная пропускная способность - 70 Мбит/с.

В условиях реальной эксплуатации эти показатели гораздо скромнее и составляют около 8 км и 2 Мбит/с. Такие характеристики делают протокол WiMAX очень привлекательным для замены традиционных технологий по предоставлению «последней мили» при доступе к сети Internet и телефонии. Провайдеры разветвленной городской беспроводной сети могут предоставлять «выделенные» беспроводные каналы для организации виртуальных частных сетей между офисами компаний. Преимущества очевидны: большая, чем при использовании технологии SL, пропускная способность, отсутствие необходимости прокладки кабелей.

В ближайшее время намечается широкое внедрение устройств стандарта 802.16е. Это мобильный вариант протокола WiMAX, рассчитанный на использование в качестве конечных терминалов таких устройств, как компьютеры, КПК, мобильные телефоны и т.д.

Разработанный при содействии правительства стандарт WiBRO выполняет те же функции, что и стандарт 802.16е, и совместим с ним. В первоначальном варианте протокола WiMAX, описанного в стандарте 802.16с использовались частоты в диапазоне 10...66 ГГц. Этому диапазону присущи некоторые ограничения, связанные с лицензированием. Кроме того, его нельзя применять в условиях наличия препятствий между приемником и передатчиком.

Стандарт 802.16а, описывающий использование диапазона 2... 11 ГГц вышел в 2004 г. Поскольку логика работы WiMAX предполагает применение схемы точка-многоточка с фиксированной пропускной способностью канала для каждого из абонентов, на канальном уровне используется механизм множественного доступа к несущей с разделением по времени (Time Division Multiple Access, TDMA). Этот метод широко используется в сотовых сетях (например, GSM) и позволяет реализовать гарантированное качество обслуживания.

Стандарт 802.16 предполагает шифрование трафика с использованием алгоритма DES. Мобильный вариант WiMAC (802.16е) расширяет возможности по защите информации, добавляя аутентификацию станций по протоколу ЕАР, управление ключами с использованием протокола Privacy and Key Management Protocol Version 2 (PKMv2) и шифрование AES. При использовании стандарта 802.16 для передачи корпоративных данных рекомендуется усилить встроенные механизмы защиты с помощью технологий построения виртуальных частных сетей.

При проектировании и развертывании сетей нужно помнить о том, что частотный диапазон выделенный для Wi-Fi весьма тесен, поэтому нужно стараться не использовать антенн с коэффициентом усиления больше чем необходимо, а также принять меры для недопущения помех соседними сетям.

2.2. Безопасность беспроводных сетей

Популярность беспроводных локальных сетей уже прошла стадию взрывного роста и дошла до состояния «привычной всем» технологии. Домашние точки доступа и мини-роутеры Wi-Fi недороги и широкодоступны, хот-споты встречаются достаточно часто, ноутбук без Wi-Fi – анахронизм. Как и множество других инновационных технологий, использование беспроводных сетей влечет не только новые выгоды, но и новые риски. Бум Wi-Fi породил целое новое поколение хакеров, специализирующихся на изобретении всё новых и новых способов взлома беспроводной сети и атаки пользователей и корпоративной инфраструктуры. Ещё с 2004 года Gartner предупреждали, что безопасность WLAN будет одной из основных проблем – и прогноз оправдывается. 

Беспроводная связь и мобильность, которую она дает, интересны и выгодны многим. Однако, до тех пор, пока вопрос беспроводной безопасности остается не до конца ясным, мнения разнятся кардинально: некоторые (например, операторы складов) уже сейчас не боятся завязывать на Wi-Fi свои ключевые бизнес-процессы, другие – наоборот баррикадируются и запрещают использование беспроводных элементов в своих сетях.

Среда с общим доступом, которую практически невозможно контролировать

Традиционные проводные сети используют кабель для передачи информации. Кабель считается «контролируемой» средой, защищенной зданиями и помещениями, в которых он находится. Внешний «чужой» трафик, который входит в защищенный сегмент сети, фильтруется межсетевым экраном и анализируется системами IDS/IPS. Для того чтобы получить доступ к такому сегменту проводной сети, злоумышленнику необходимо преодолеть либо систему физической безопасности здания, либо межсетевой экран.

Беспроводные же сети используют радиоволны. Эфир – среда с общим доступом и практически полным отсутствием контроля. Обеспечить эквивалент физической безопасности проводных сетей здесь просто невозможно. Как только пользователь подключает к проводной сети точку доступа, её сигнал может проходить сквозь стены, межэтажные перекрытия, окна здания. Таким образом, подключенный сегмент сети становится доступным с другого этажа или даже из соседнего здания, парковки или другого конца улицы – радиосигнал может распространяться на сотни метров за пределы здания. Единственной физической границей беспроводной сети является уровень этого самого сигнала. Поэтому, в отличие от проводных сетей, где точка подключения пользователя к сети хорошо определена и известна – это розетка в стене – в беспроводных сетях подключиться к сети можно откуда угодно, лишь бы сигнал был достаточной силы. Также, эфир – среда с общим доступом. Все беспроводные устройства включены в один гигантский «хаб» (концентратор) – и любое беспроводное устройство может «видеть» всех беспроводных соседей в сети. При этом приемник, работающий в пассивном режиме (только прослушивание), вообще невозможно определить.

4a28fdcc91ae76f5d54f25d0c66c5f61
Рис.1 Периметр беспроводной сети не ограничен периметром здания.
Легкость в развертывании и мобильность

Благодаря усилиям поставщиков потребительского Wi-Fi оборудования, развернуть беспроводную сеть сейчас может даже самый неподготовленный пользователь. Комплект из недорогой точки доступа и беспроводного адаптера обойдется в $50-80. При этом большинство устройств поставляется уже настроенными по умолчанию, что позволяет сразу начинать с ними работу – даже не заглядывая в конфигурацию. Именно в такую сумму может обойтись умышленный или неумышленный взлом Вашей сети со стороны собственных же сотрудников, установивших без согласования собственную точку доступа и не позаботившихся об обеспечении надлежащей её безопасности.

Еще большей проблемой является то, что беспроводные пользователи по определению мобильны. Пользователи могут появляться и исчезать, менять свое местоположение, и не привязаны к фиксированным точкам входа, как в случае с проводными сетями – они могут находиться где угодно в зоне покрытия! Всё это значительно осложняет задачу «удержания непрошеных гостей за порогом» и отслеживания источников беспроводных атак.

Кроме того, такая важная составляющая мобильности, как роуминг, является еще одной проблемой обеспечения беспроводной безопасности. На этот раз – пользователей. В отличие от проводных сетей, где пользователь «привязан» кабелем к определенной розетке и порту коммутатора доступа – в беспроводных сетях пользователь не привязан ни к чему. С помощью специального ПО достаточно несложно «пересадить» его с авторизованной точки доступа на неавторизованную или даже на ноутбук злоумышленника, работающий в режиме Soft AP (программно реализованной точки доступа), открывая возможность для целого ряда атак на ничего не подозревающего пользователя. 
Легко атаковать

Поскольку радиосигналы имеют широковещательную природу, не ограничены стенами зданий и доступны всем приемникам, местоположение которых сложно или вообще невозможно зафиксировать – злоумышленникам особенно легко и удобно атаковать беспроводные сети. Поэтому, формально, даже катающийся сейчас во дворе на велосипеде подросток со смартфоном в кармане может заниматься радиоразведкой вашей сети – чисто из юношеского любопытства. Огромное разнообразие готового инструментария анализа протоколов и уязвимостей, доступного в Интернете, точно также поможет ему чисто из любопытства найти точку доступа, которую какой-то из сотрудников недавно принес на работу и не удосужился переконфигурировать с настроек по умолчанию, чисто из любопытства в инструкции найдется ключ доступа к сети.

2.3. Основные беспроводные риски и способы защиты

Существует несколько видов атак на беспроводные сети Wi-Fi с целью получения доступа к данным:

- Внутренние опасности.

- Внешние опасности.

Внешние атаки выполняются без участия внутренних сотрудников. К основным характеристикам внешних атак можно отнести использование сканирования системы и сбор информации.

Внешние атаки можно разделить на структурированные атаки и неструктурированные атаки:

Внешние структурированные атаки: Структурированные атаки обычно инициируются из некой сети и имеют продуманные заранее  цели, на которые планируется оказывать влияние для разрушения, повреждения и т.п. Атакующие в данном случае обычно имеют обширные знания в дизайне сетей, обходе систем безопасности, включая обход IDS (Intrusion Detection Systems), и имеют продвинутый инструментарий для взлома. В их арсенале необходимые знания для разработки новых техник сетевых атак и возможность модификации существующего хакерского инструментария под свои задачи. В некоторых случаях внутренний персонал компании с правами доступа может помогать атакующим.

Внешние неструктурированные атаки: Такие атаки инициируются обычно неопытными хакерами, любителями. При таком подходе атакующий использует простой инструментарий хакерского взлома или скрипты, доступные в Интернете, для выполнения сетевой атаки. Уровень знаний атакующего обычно низок для создания серьезной опасности. Нередко это просто скучающие молодые люди, ищущие славы путем взлома корпоративного веб-сайта или другой известной цели в Интернете.

Внешние удаленные атаки: Такие атаки обычно нацелены на услуги, которые организация предлагает открыто и публично.:

- Удаленные атаки, нацеленные на сервисы, доступные для внутренних пользователей. Такие атаки обычно случаются, когда отсутствуют межсетевые экраны для защиты  таких внутренних сервисов.

- Удаленные атаки нацеленные на расположение точек входа в корпоративную сеть (беспроводные сети доступа, порты, модемные пулы).

- Атаки типа Отказ в Обслуживании (DoS) для создания перегрузки процессоров на серверах и т.п. с целью формирования ситуации, когда авторизованные пользователи не могут пользоваться услугами.

- Попытки взлома паролей систем аутентификации.

Внешние локальные атаки (атаки изнутри): такие атаки обычно начинаются, когда открыт доступ в компьютерные помещения, и можно получить доступ к какой-либо системе.

Внутренние атаки: часто инициируются недовольными или обиженными на компанию бывшими или действующими сотрудниками или внештатным персоналом. Внутренние атакующие имеют ту или иную форму доступа к системе и обычно пытаются скрыть атаку и выдать ее за обычный рабочий процесс. Например, нелояльный сотрудник имеет доступ к каким-либо ресурсам внутренней сети. Он может иметь даже некоторые административные права в сети. Здесь один из лучших подходов состоит в развертывании системы обнаружения вторжений IDS (или IPS) и конфигурировании ее для сканирования системы на предмет как внешних, так и внутренних атак. Все формы атак должны быть занесены в журнал, и эти логи необходимо проверять, разбираться и принимать меры по защите от подобного в дальнейшем.

На сегодняшний день существуют следующие механизмы защиты беспроводных сетей:

- Контроль границы сети. Это производится путем ограничения зоны распространения радиосигнала, что позволяет решить 2 задачи: снизить вероятность обнаружения радиосети и уменьшить расстояние, с которого злоумышленник может осуществлять активные или пассивные атаки.

- Скрытие SSID(англ.  ServiceSetIDentifier) (скрытие идентификатора беспроводной сети)

- Аутентификация IEEE 802.11X

- Аутентификация по МАС-адресам (Черный и белый списки MAC-адресов)

- Конфигурирование структуры пакетов (Нестандартная структура пакетов)

- WEP, основанный на RC4,

- WPA, основанный на AES.

- оптимизация конфигурации беспроводного сегмента сети.

Вывод: Чтобы можно было воспользоваться преимуществами беспроводных сетей, их необходимо защитить. Незащищенные беспроводные сети открывают практически неограниченный доступ к корпоративной сети для хакеров и других злоумышленников.

2.4. Особенности проектирования беспроводных сетей.

2.4.1. Особенности проектирования беспроводных сетей, обеспечивающих работу с большим количеством пользователей

Нагрузка на беспроводные сети возрастает с каждым днем. Этому способствует целый ряд факторов:

- Увеличение числа мобильных устройств и интенсивности их использования

- Рост популярности мобильных услуг и приложений, требующих больших скоростей передачи и чувствительных к времени задержки

- Использование беспроводных локальных сетей для разгрузки сотовых сетей

Несоответствие запланированной пропускной способности беспроводной локальной сети и быстрорастущего трафика ее пользователей приводит к значительному ухудшению характеристик сети, к недовольству ее пользователей и неверным выводам о том, что сеть Wi-Fi не может справиться с большой нагрузкой. Однако соблюдение простых принципов проектирования позволит обеспечить достаточную пропускную способность беспроводной сети Wi-Fi для обслуживания тысяч пользователей в одном месте, как показывают примеры удачных проектов.

2.4.2. Ключевые критерии и особенности проектирования беспроводной локальной сети для большой нагрузки

Основная задача проектировщика такой сети – тщательное планирование зоны покрытия. Для увеличения общей пропускной способности такой беспроводной сети необходимо обратить внимание на следующие параметры: мощность передатчиков точек доступа, разрешенные и требуемые скорости передачи данных, применяемый частотный диапазон, распределение и ширина полосы используемых каналов, тип антенн и размещение точек доступа.

2.4.3 Интерференция сигналов Wi-Fi на одном канале (соканальная интерференция)

Соканальная интерференция – спутник беспроводных сетей с большой плотностью размещения точек доступа и пользователей. Количество каналов в диапазоне 2,4 ГГц очень ограниченно, поэтому точки доступа вынуждены работать на одних и тех же радиоканалах в непосредственной близости друг от друга. Соканальная интерференция – это самый сложный тип интерферирующего сигнала. Он состоит не из неразличимых сигналов на уровне шума сигналов, а из декодируемых пакетов данных в том же формате, что и полезные сигналы для точки доступа. При плотной установке точек доступа очень высока вероятность возникновения соканальной интерференции, которая может значительно ухудшить характеристики радиоканалов для пользователей. Необходимо уменьшать мощность передатчиков точек доступа, чтобы оставить уровень соканальной интерференции в приемлемом диапазоне. Это тот самый случай, когда больше мощность – не значит лучше канал.

2.4.4. Разрешенные и требуемые скорости передачи данных

Точки доступа и клиенты беспроводной локальной сети могут работать на разных уровнях модуляции и кодирования, которые обеспечивают различные скорости передачи данных на физическом уровне. Это делает беспроводные сети адаптивными к условиям: чем больше уровень сигнала и отношение «сигнал-шум», тем выше скорость передачи данных, чем хуже условия в радиоканале – тем меньше становится скорость передачи. Однако адаптивность является положительным фактором для проектов с малой плотностью клиентов, а в сети с большой нагрузкой может вызвать негативные эффекты. Почему? Чем ниже скорость передачи данных в канале, тем меньше его суммарная пропускная способность. Простой пример – если точка настроена на одновременную работу с клиентскими устройствами стандартов 802.11b и 802.11g, то ее средняя пропускная способность равна примерно 13 Мбит/сек, если только с устройствами 802.11g, то ее средняя пропускная способность увеличивается до 25 Мбит/сек. К счастью, этим параметром можно управлять!

При ассоциации клиента с точкой доступа, последняя сообщает клиентскому устройству, какие скорости доступа она разрешает при подключении к ней. Клиентское устройство должно использовать только те скорости, которые разрешены точкой доступа. Поэтому, отключив в конфигурации точек доступа низкие уровни модуляции и кодирования, можно значительно улучшить использование радиоканалов беспроводной сети и поднять ее пропускную способность!

2.4.5. Суммарная пропускная способность беспроводной сети

Беспроводные сети, предназначенные для работы с большим числом пользователей, должны обладать большой пропускной способностью. Согласно уравнению Шеннона, пропускная способность канала напрямую зависит от его ширины полосы частот. К сожалению, мы не можем управлять числом каналов Wi-Fi и их шириной в диапазоне 2,4 ГГц, их всего три по 20 МГц. Если мы установим 3 точки доступа в одном месте, и каждая из них будет поддерживать 802.11b\g, то суммарная средняя пропускная способность беспроводной сети в одном месте установки составит около 39 Мбит/сек (13 Мбит/сек умножить на 3). Даже если мы увеличим число точек вдвое и установим 6 точек доступа в одном небольшом помещении, то суммарная средняя пропускная способность беспроводной сети в одном месте не увеличится! Более того, если не принять меры, то из-за возникновения соканальной интерференции суммарная пропускная способность может даже уменьшиться!

Использование диапазона 5 ГГц может значительно улучшить пропускную способность беспроводной локальной сети. Помимо более высокой пропускной способности в одном канале (нет режима совместимости с 802.11b), в диапазоне 5 ГГц есть 21 непересекающийся канал по 20 МГц. И все их можно одновременно использовать в одном месте, получив суммарную пропускную способность в 525 Мбит/сек в сравнении с 39 Мбит/с в диапазоне 2,4 ГГц.

2.4.6. Мощность передатчиков клиентских устройств

Соканальную интерференцию могут создавать не только точки доступа, но и большое число пользователей беспроводной сети, работающих в одном месте на большой мощности. Кроме того, мощность передатчиков клиентских устройств необходимо балансировать с мощностью передатчиков точек доступа. Нет никакого смысла клиентским передатчикам работать на мощности 50 миллиВатт, когда точки доступа работают с мощностью 5 миллиВатт. Точки доступа могут анонсировать мощность своего передатчика, а клиентские устройства динамически подстраивать свою мощность до минимально необходимого уровня. Помимо значительного уменьшения эффекта соканальной интерференции, снижается потребление электроэнергии в клиентском устройстве и увеличивается автономное время работы (от батареи).

2.4.7. Количество клиентов работающих с одной точкой доступа

К одной точке доступа может подключиться до 254 пользователей. Однако, что получат эти пользователи, кроме факта подключения? Если разделить пропускную способность одного полудуплексного радиоканала (около 20 Мбит/сек) на такое количество одновременно передающих пользователей и добавить к этому многочисленные повторы передачи данных из-за возникновения коллизий при их одновременной передаче, то получится реальная пропускная способность на одного пользователя, приближающаяся к нулю. Число одновременно работающих клиентов в пересчете на одну точку доступа должно быть в диапазоне от 12 до 50. Вот почему потребуется большое число точек доступа и достаточно плотная их установка.

2.4.8. Производительность других компонентов сети беспроводного доступа

Помимо пропускной способности сети беспроводного доступа, необходимо вспомнить о других компонентах системы. Если обеспечиваются хорошие условия радиодоступа, но пропускная способность канала до Интернет провайдера составляет 128 кбит/сек, то он быстро станет «узким местом» в созданной системе. Нельзя забывать также об авторизации клиентов. Если используется RADIUS сервер или веб-авторизация, то это устройство также должно быть масштабировано на работу с пиковой нагрузкой, особенно в моменты начала дня, когда количество регистраций в единицу времени достигает наибольшего числа.
1   2   3   4

Похожие:

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики iconТ. В. Романова Национальный исследовательский университет «Высшая школа экономики»
Национальный исследовательский университет «Высшая школа экономики» (Нижний Новгород)

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики iconПравительство Российской Федерации Федеральное государственное автономное...
Московский институт электроники и математики Национального исследовательского университета "Высшая школа экономики"

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики iconВ скобках помечены о
В. С. Магун, М. Г. Руднев (Национальный исследовательский университет «Высшая школа экономики», Институт социологии ран)

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики iconНациональный исследовательский университет «Высшая школа экономики»
Олимпиада – это радость интеллектуальных соревнований и возможность испытать свои силы и знания!

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики iconНациональный исследовательский университет «Высшая школа экономики»
Олимпиада – это радость интеллектуальных соревнований и возможность испытать свои силы и знания!

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики iconПротокол
Нижегородский филиал федерального государственного автономного образовательного учреждения высшего профессионального образования...

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики iconПрограмма учебной дисциплины «Криминалистика»
Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Национальный исследовательский...

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики iconПоложение о стипендиальном обеспечении и других формах материальной...
Национальный исследовательский университет "Высшая школа экономики" и его филиалов (далее по тексту – ниу вшэ) за счёт субсидии,...

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики icon«Экономическая эффективность методов несовершенного хеджирования финансовых опционов»
Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Национальный исследовательский...

Национальный исследовательский университет высшая школа экономики московский институт электроники и математики iconРабочая программа Наименование дисциплины
Московский государственный институт электроники и математики (технический университет)

Вы можете разместить ссылку на наш сайт:


Литература


При копировании материала укажите ссылку ©ucheba 2000-2015
контакты
l.120-bal.ru
..На главную