- •Н.М. Радько а.Н. Мокроусов
- •Введение
- •Защита информации в сети доступа
- •Методы защиты информации в канале связи
- •Режимы шифрования
- •2.1. Терминология
- •2.2. Электронная кодовая книга
- •2.3. Сцепление блоков по шифротексту
- •2.4. Обратная загрузка шифротекста
- •2.5. Обратная загрузка выходных данных
- •2.6. Шифрование со счётчиком
- •2.7. Вектор инициализации
- •2.8. Накопление ошибок в различных режимах шифрования
- •Криптографическая защита телефонных сообщений
- •3.1. Общие принципы криптографического преобразования телефонных сообщений
- •3.2. Криптографическое преобразование аналоговых телефонных сообщений
- •3.3. Криптографическое преобразование цифровых телефонных сообщений
- •Основы безопасности gsm
- •4.1. Потенциальные (виртуальные) механизмы защиты информации
- •4.1.1. Алгоритмы аутентификации
- •4.1.2. Шифрование
- •4.1.3. Управление ключами
- •4.1.4. Средства защиты идентичности пользователя
- •4.1.5. Архитектура и протоколы
- •4.2. Суровая реальность: вскрытие криптозащиты и клонирование телефонов gsm
- •4.3. Абонентское шифрование – реальная гарантированная защита информации
- •4.4. Акустическое зашумление – защита от негласной активации мобильного телефона
- •Защита информации и беспроводные сети
- •5.2. Уязвимость старых методов защиты
- •5.4. Современные требования к защите
- •Аутентификация
- •Шифрование и целостность
- •5.5. Стандарт 802.11i ратифицирован
- •5.7. Выводы и рекомендации
- •Вопросы обеспечения безопасности корпоративных беспроводных сетей стандарта 802.11. Специфика россии.
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
5.7. Выводы и рекомендации
При условии использования современного оборудования и По в настоящее время вполне возможно построить на базе стандартов серии 802.11х защищенную и устойчивую к атакам беспроводную сеть, для чего необходимо реализовать в ней лишь несколько разумных постулатов /17/.
Таблица 5.1.
Показатель |
Способ |
|||
LEAP |
EAP-FAST |
PEAP |
EAP-TLS |
|
Поддержка современных ОС |
Да |
Да |
Не все |
Не все |
Сложность ПО и ресурсоёмкость аутентификации |
Низкая |
Низкая |
Средняя |
Высокая |
Сложность управления |
Низкая* |
Низкая |
Средняя |
Средняя |
Single Sign on (единый логин в Windows) |
Да |
Да |
Нет |
Да |
Динамические ключи |
Да |
Да |
Да |
Да |
Одноразовые пароли |
Нет |
Да |
Да |
Нет |
Поддержка баз пользователей не в формате MS Windows |
Нет |
Да |
Да |
Да |
Fast Secure Роуминг |
Да |
Да |
Нет |
Нет |
Возможность локальной аутентификации |
Да |
Да |
Нет |
Нет |
* Сложность управления низкая, но необходима продуманная политика генерации паролей, что усложняет управление. |
||||
Нужно помнить, что почти всегда беспроводная сеть связана с проводной, а это, помимо необходимости защищать беспроводные каналы, является побудительным мотивом к внедрению новых методов защиты в беспроводных сетях. В противном случае сеть будет иметь фрагментарную защиту, что, по сути, является угрозой безопасности. Желательно использовать оборудование, имеющее сертификат Wi-Fi Certified, то есть подтверждающий соответствие WPA.
Многие администраторы, устанавливая в ЛС устройства, оставляют настройки производителя по умолчанию, что категорически недопустимо в серьезных беспроводных сетях.
Несомненно, нужно внедрять 802.11х/EAP/TKIP/MIC и динамическое управление ключами. В случае смешанной сети следует использовать виртуальные локальные сети; при наличии внешних антенн применяется технология виртуальных частных сетей VPN.
Необходимо сочетать как протокольные и программные способы защиты, так и административные. Имеет смысл подумать и о внедрении технологии Intrusion Detection Systems (IDS) или специальных программных пакетов для обнаружения возможных вторжений.
При планировании защищенной беспроводной сети нужно помнить, что любое шифрование или другие манипуляции с данными неизбежно приводят к дополнительным задержкам, увеличивают объем служебного трафика и нагрузку на процессоры сетевых устройств. Безопасность - безусловно, важный фактор в современных сетях, но он теряет всякий смысл, если трафик пользователя не получает должной полосы пропускания. Сети создаются в конечном счете не для администраторов, а для пользователей /17/.