Реферат: Аналіз актуальних проблем захисту користувачів у загальних мережах

Перед тим, як перейти до основного матріалу дамо формулювання основним визначенням, що стосуються теми мого диплому.

Аутентифікація: визначення джерела інформації, тобто кінцевого користувача чи пристрою ( центрального комп”ютера, сервера, комутатора, маршрутизотора тощо ).

Конфіденційність даних: забезпечення доступу даних тільки для осіб, які мають право на доступ до цих даних.

Шифрування: метод зміни інформації таким чином, що прочитати її не може ніхто, крім адресату, який повинен її розшифрувати.

Розшифровка: метод встановлення зміненої інформації і приведення її до читаємого виду.

Ключ: цифровий код, який може використовуватись для шифрування і розшифрування інформації, а також для її підпису.

Шифр: будь-який метод шифрування даних.

Цифровий підпис: послідовність біт, що додається до повідомлення і забезпечує аутентифікацію і цілісність даних.

3. Стек протоколів і їх коротка характеристика

Тема безпеки бездротових мереж як і раніше залишається актуальною, хоча вже достатньо давно існують надійні ( на даний момент ) методи захисту цих мереж. Мова йде про технології WPA ( Wi-FiProtectedAccess ).

Більшість існуючого на даний момент Wi-Fi обладнання підтримує дану технологію. Незабаром буде введено в дію новий стандарт 802.11і (WPA2).

Технологія WPA, призначена тимчасово ( в очікуванні переходу до 802.11і) закрити недоліки попередньої технології WEP і складається з кількох компонентів:

- Протокол 802.1х – універсальний протокол для аутентифікації, авторизації і обліку (ААА );

- протокол EAP – розширюємий протокол аутентифікації ( ExtensibleAutentificationProtoсol);

- протокол TKIP – протокол часової цілісності ключів, інший варіант перекладу – протокол цілісності ключів в часі (TemporalKeyIntegrityProtocol);

- MIC – криптографічна перевірка цілісності пакетів (MessageIntegrityCode);

- протокол RADIUS.

За шифрування даних у WPA відповідає протокол TKIP, який використовує той же алгоритм шифрування – RC4, що і в WEP, але навідміну від нього використовує динамічні ключі ( тобто ключі часто міняються ). TKIP використовує криптографічну контрольну суму (MIC) для підтвердження цілісності пакетів.

RADIUS - протокол призначений для роботи в парі з сервером аутентифікації, в якості якого звичайно виступає RADIUS – сервер. В цьому випадку безпроводові точки доступу працюють в enterprise– режимі.

Якщо в мережі відсутній RADIUS – сервер, то роль сервера аутентифікації виконує сама точка доступу – так званий режим WPA-PSK ( загальний ключ ). В цьому режимі в настройках усіх точок доступу попередньо прописується загальний ключ. Він же прописується і на клієнтських безпроводових пристроях. Такий метод захисту достатньо надійний ( відносно WEP ), але досить незручний з точки зору управління. PSK - ключ необхідно прописувати на всіх безпроводових пристроях, користувачі яких його можуть бачити. При необхідності заблокувати доступ до мережі якомусь клієнту потрібно заново прописувати новий PSK на всіх пристроях мережі. Інакше кажучи, режим WPA-PSK підходить для домашньої мережі і, можливо, для невеликого офісу, але не більше.

Технологія WPA використовувалася тимчасово до вводу в дію стандарту 802.11і. Частина виробників до офіційного прийняття цього стандарту ввели у використання технологію WPA2, в якій в тій чи іншій мірі використовуються технології з 802.11і. Використання протоколу ССМР замість ТКІР в якості алгоритму шифрування там приміняється удосконалений стандарт шифрування AES ( AdvancedEncryptionStandard ). А для управління і розподілу ключів як і раніше протокол 802.1х.

Як вже було сказано, протокол 802.1х може виконувати кілька функцій. В моєму випадку нас цікавлять функції аутентифікації користувача і розподілу ключів шифрування. Слід відмітити, що аутентифікація виконується „на рівні порта”, - тобто доки користувач не буде аутентифікований, йому дозволено віправляти/приймати пакети, що стосуються тільки процесу його аутентифікації ( обліку даних ) і не більше. І тільки після успішної аутентифікації порт пристрою ( будь то точка доступу чи розумний комутатор ) буде відкритий і користувач отримає доступ до ресурсів мережі.

Функції аутентифікації покладаються на протокол ЕАР, який сам по собі є лише каркасом для методів аутентифікації. Вся перевага протоколу в тому, що його досить просто реалізувати на аутентифікаторі ( точці доступу ), так як їй не потрібно знати ніяких специфічних особливостей різних методів аутентифікації. Аутентифікатор служить передаточним ланцюгом між клієнтом і сервером аутентифікації. Самих методів аутентифікації існує достатньо багато:

- EAP-SIM, EAP-AKA – використовується в мережах GSM мобільного зв”язку;

- LEAP – пропреоретарний метод від Siscosystems;

- EAP-MD5 – простіший метод, аналогічний СНАР ( не стійкий );

- EAP-MSCHAPV2 – метод аутентифікації на основі логін – пароля користувача в МS – мережах;

- EAP-TLS – аутентифікація на основі цифрових сертифікатів;

- EAP-SecureID – метод на основі однократних паролів.