Warning: Attempt to read property "name" on bool in /usr/home/um/ypn.ru/www/wp-content/themes/magazine-basic/functions.php on line 904
Международные стандарты информационной безопасности | Your Private Network

Международные стандарты информационной безопасности

Стандарты для беспроводных сетей

Стандарт IEEE 802.11. В 1990 г. Комитет IEEE 802 сформировал рабочую группу 802.11 для разработки стандарта для беспроводных локальных сетей. Работы по созданию стандарта были завершены через 7 лет. В 1997 г. была ратифицирована первая спецификация беспроводного стандарта IEEE 802.11, обеспечивающего передачу данных с гарантированной скоростью 1 Мб/с (в некоторых случаях до 2 Мб/с) в полосе частот 2,4 ГГц. Эта полоса частот доступна для нелицензионного использования в большинстве стран мира.

Стандарт IEEE 802.11 является базовым стандартом и определяет протоколы, необходимые для организации беспроводных локальных сетей WLAN (Wireless Local Area Network). Основные из них — протокол управления доступом к среде MAC (Medium Accsess Control — нижний подуровень канального уровня) и протокол PHY передачи сигналов в физической среде. В качестве физической среды допускается использование радиоволн и инфракрасного излучения.
В основу стандарта IEEE 802.11 положена сотовая архитектура, причем сеть может состоять как из одной, так и нескольких ячеек. Каждая из них управляется базовой станцией, называемой точкой доступа АР (Access Point), которая вместе с находящимися в пределах радиуса ее действия рабочими станциями пользователей образует базовую зону обслуживания BSS (Basic Service Set). Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему DS (Distribution System), представляющую собой эквивалент магистрального сегмента кабельных ЛС. Вся инфраструктура, включающая точки доступа и распределительную систему образует расширенную зону обслуживания ESS (Extended Service Set). Стандартом предусмотрен также односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций выполняются непосредственно рабочими станциями.

Для обеспечения перехода мобильных рабочих станций из зоны действия одной точки доступа к другой в многосотовых системах предусмотрены специальные процедуры сканирования (активного и пассивного прослушивания эфира) и присоединения (Association), однако строгих спецификаций по реализации роуминга стандарт IEEE 802.11 не предусматривает.

Для защиты WLAN стандартом IEEE 802.11 предусмотрен алгоритм WEP (Wired Equivalent Privacy). Он включает средства противодействия НСД к сети, а также шифрование для предотвращения перехвата информации.
Однако заложенная в первую спецификацию стандарта IEEE 802.1 1 скорость передачи данных в беспроводной сети перестала удовлетворять потребностям пользователей: алгоритм WEP имел ряд существенных недостатков — отсутствие управления ключом, использование общего статического ключа, малые разрядности ключа и вектора инициализации, сложности использования алгоритма RC4.

Чтобы сделать технологию Wireless LAN недорогой, популярной и удовлетворяющей жестким требованиям бизнес-приложений, разработчики создали семейство новых спецификаций стандарта IEEE 802.11 — а, Ь, L Стандарты этого семейства, по сути, являются беспроводными расширениями протокола Ethernet, что обеспечивает хорошее взаимодействие с проводными сетями Ethernet.

Стандарт IEEE 802.11b был ратифицирован IEEE в сентябре 1999 г. как развитие базового стандарта 802.11; в нем используется полоса частот 2,4 ГГц, скорость передачи достигает 11 Мб/с (подобно Ethernet). Благодаря ориентации на освоенный диапазон 2,4 ГГц стандарт 802.11b завоевал большую популярность у производителей оборудования. В качестве базовой радиотехнологии в нем используется метод распределенного спектра с прямой последовательностью DSSS (Direct Sequence Spread Spectrum), который отличается высокой устойчивостью к искажению данных помехами, в том числе преднамеренными. Этот стандарт получил широкое распространение, и беспроводные LAN стали привлекательным решением с технической и финансовой точки зрения.

Стандарт IEEE 802.11а предназначен для работы в частотном диапазоне 5 ГГц. Скорость передачи данных до 54 Мбит/с, т. е. примерно в 5 раз быстрее сетей 802.1 lb. Ассоциация WECA называет этот стандарт Wi-Fi5. Это наиболее широкополосный стандарт из семейства стандартов 802.11. Определены три обязательные скорости — 6, 12 и 24 Мбит/с и пять необязательных — 9, 18, 36, 48 и 54 Мбит/с. В качестве метода модуляции сигнала принято ортогональное частотное мультиплексирование OFDM (Orthogonal Frequency Division Multiplexing). Его отличие от метода DSSS заключается в том, что OFDM предполагает параллельную передачу полезного сигнала одновременно по нескольким частотам диапазона, в то время как технологии расширения спектра DSSS передают сигналы последовательно. В результате повышается пропускная способность канала и качество сигнала. К недостаткам стандарта 802.11а относится большая потребляемая мощность радиопередатчиков для частот 5 ГГц, а также меньший радиус действия (около 100 м).

Для простоты запоминания в качестве общего имени для стандартов 802.1 lb и 802.11а, а также всех последующих, относящихся к беспроводным локальным сетям (WLAN), Ассоциацией беспроводной совместимости с Ethernet WECA (Wireless Ethernet Compatibility Aliance) был введен термин Wi-Fi (Wireless Fidelity). Если устройство помечено этим знаком, оно протестировано на совместимость с другими устройствами 802.11.

Стандарт IEEE 802.1 lg представляет собой развитие 802.11b и обратно совместим с 802.11b; предназначен для обеспечения скоростей передачи данных до 54 Мбит/с. В числе достоинств 802.1 Ig надо отметить низкую потребляемую мощность, большие расстояния (до 300 м) и высокую проникающую способность сигнала.

Стандарт IEEE 802.1 li — стандарт обеспечения безопасности в беспроводных сетях; ратифицирован IEEE в 2004 г. Этот стандарт решил существовавшие проблемы в области аутентификации и протокола шифрования, обеспечив значительно более высокий уровень безопасности. Стандарт 802.11 i может применяться в сетях Wi-Fi, независимо от используемого стандарта — 802.1 la, b или g.

Существуют два очень похожих стандарта — WPA и 802.1 П. WPA был разработан в Wi-Fi Alliance как решение, которое можно применить немедленно, не дожидаясь завершения длительной процедуры ратификации 802.1 li в IEEE. Оба стандарта используют механизм 802.1х (см. далее) для обеспечения надежной аутентификации, оба используют сильные алгоритмы шифрования и предназначены для замены протокола WEP.

Их основное отличие заключается в использовании различных механизмов шифрования. В WPA применяется протокол TKIP (Temporal Key Integrity Protocol), который, также как и WEP, использует шифр RC4, но значительно более безопасным способом. Обеспечение конфиденциальности данных в стандарте IEEE 802.1 li основано на использовании алгоритма шифрования AES (Advanced Encryption Standard). Использующий его защитный протокол получил название ССМР (Counter-Mode СВС MAC Protocol). Алгоритм AES обладает высокой криптостойко-стью. Длина ключа AES равна 128, 192 или 256 бит, что обеспечивает наиболее надежное шифрование из доступных сейчас.

Стандарт 802.1 П предполагает наличие трех участников процесса аутентификации. Это сервер аутентификации AS (Authentication Server), точка доступа АР (Access Point) и рабочая станция STA (Station). В процессе шифрования данных участвуют только АР и STA (AS не используется). Стандарт предусматривает двустороннюю аутентификацию (в отличие от WEP, где ау-тентифицируется только рабочая станция, но не точка доступа). При этом местами принятия решения о разрешении доступа являются сервер аутентификации AS и рабочая станция STA, а местами исполнения этого решения — точка доступа АР и STA.

Для работы по стандарту 802.1 li создается иерархия ключей, содержащая мастер-ключ МК (Master Key), парный мастер-ключ РМК (Pairwise Master Key), парный временный ключ РТК (Pairwise Transient Key), а также групповые временные ключи GTK (Group Transient Key), служащие для защиты широковещательного сетевого трафика.

МК — это симметричный ключ, реализующий решение STA и AS о взаимной аутентификации. Для каждой сессии создается новый МК.
РМК — обновляемый симметричный ключ, владение которым означает разрешение (авторизацию) на доступ к среде передачи данных в течение данной сессии. РМК создается на основе МК. Для каждой пары STA и АР в каждой сессии создается новый РМК.
РТК — это коллекция операционных ключей, которые используются для привязки РМК к данным STA и АР, распространения GTK и шифрования данных.

Процесс аутентификации и доставки ключей определяется стандартом 802.1 х. Он предоставляет возможность использовать в беспроводных сетях такие традиционные серверы аутентификации, как RADIUS (Remote Authentication Dial-In User Server). Стандарт 802.1 li не определяет тип сервера аутентификации, но использование RADIUS для этой цели является стандартным решением.
Транспортом для сообщений 802.1х служит протокол ЕАР (Extensible Authentication Protocol). ЕАР позволяет легко добавлять новые методы аутентификации. Точке доступа не требуется знать об используемом методе аутентификации, поэтому изменение метода никак не затрагивает точку доступа. Наиболее популярные методы ЕАР — это LEAP, PEAP, TTLS и FAST. Каждый из методов имеет свои сильные и слабые стороны, условия применения, по-разному поддерживается производителями оборудования и ПО. Выделяют пять фаз работы 802.1 П.

Первая фаза — обнаружение. В этой фазе рабочая станция STA находит точку доступа АР, с которой может установить связь и получает от нее используемые в данной сети параметры безопасности. Таким образом STA узнает идентификатор сети SSID и методы аутентификации, доступные в данной сети. Затем STA выбирает метод аутентификации, и между STA и АР устанавливается соединение. После этого STA и АР готовы к началу второй фазы 802.1х.
Вторая фаза — аутентификация. В этой фазе выполняется взаимная аутентификация STA и сервера AS, создаются МК и РМК. В данной фазе STA и АР блокируют весь трафик, кроме трафика 802.1х.
Третья фаза — AS перемещает ключ РМК на АР. Теперь STA и АР владеют действительными ключами РМК.
Четвертая фаза — управление ключами 802.1х. В этой фазе происходит генерация, привязка и верификация ключа РТК.
Пятая фаза — шифрование и передача данных. Для шифрования используется соответствующая часть РТК.

Стандартом 802.1 li предусмотрен режим PSK (Pre-Shared Key), который позволяет обойтись без сервера аутентификации AS. При использовании этого режима на STA и на АР вручную вводится Pre-Shared Key, который используется в качестве РМК. Дальше генерация РТК происходит описанным выше порядком. Режим PSK может использоваться в небольших сетях, где нецелесообразно устанавливать AS.


Страницы: 1 2 3 4

Эта статья была опубликована Воскресенье, 9 августа, 2009 at 16:56 в рубрике Стандарты информационной безопасности. Вы можете следить за ответами через RSS 2.0 feed.