Лекции по информационным сетям

DS – может быть реализована на базе проводной и беспроводной сети

 

AP – более 1

Топология – ESS

Соединение – станция  к AP

Режим – инфраструктурный

Охват – ESA (Extended Service Area)

 

 

Сети WiMAX

 

Основные принципы работы.

Технология WiMax определяется стандартом IEEE 802.16

Предполагается, что технология обеспечит:

- высокую пропускную способность;

- надежность

- мобильность

 

1999 год – создана WiMAX-форум на базе рабочей группы IEEE 802.16

 

Основные компоненты:

1) базовые станции WiMAX

2) приемники WiMAX: антенна с приемником

 

 

- соединения БС и приемника работает в диапазоне 2-11 ГГц и не требует наличия примой видимости;

- соединение БС-БС является постоянным и работает на частотах прямой видимости (10-66 ГГц);

- хотя бы одна из БС имеет широкополосный выделенный канал, т.е. БС связана проводным оптоволоконным каналом с провайдером услуг.

 

Основные  режимы работы

1) Фиксированный доступ (Fixed WiMAX)

Используется  диапазон частот 11-66 ГГц, работает только при прямой видимости, большая ширина канала связи: 25 или 28 МГц. Обеспечивает скорость передачи до 120 мбит/с.

2) Сеансовый доступ

К фиксированному доступу добавляется понятие  сессии. Это позволяет перемещать клиентское оборудование между сессиями и восстанавливать соединение с  помощью других «вышек» (БС).

3) Доступ в режиме перемещения

Есть возможность  автоматического переключения клиента  между БС без потери соединения. Ограничение: скорость перемещения  – 40 км/ч.

4) Мобильный доступ

Работает в  стандарте 802.16с и позволяет увеличить скорость перемещения до 120 км/ч. Достоинства: устойчивость к помехам и масштабируемая пропускная способность канала.

 

 

Безопасность беспроводных сетей

 

Основная проблема – это неконтролируемая область  между конечными точками сети.

 

- подслушивание

Анонимный перехват сигнала и последующий анализ полученных сведений для проведения атак и поиска уязвимостей; тип атаки «человек посередине»; Весь трафик злоумышленник пропускает через свое оборудование.

- отказ в обслуживании (DOS)

Создание ситуации сильной интерференции, когда станции не могут связаться друг с другом.

- глушение клиентской станции

Не даем возможности  клиенту подсоединиться к БС

- глушение БС

Заглушив БС, подменяем ее своей.

- угрозы криптозащиты

Уязвимость  существующих методов криптозащиты, наличие в них уязвимостей.

- анонимность атаки

Нет физического  подключения, нет контроля области  распространения сигнала; требуется дополнительное оборудование для определения местоположения атакующего.

- физическая защита

Можно просто украсть  КПК с уже настроенным подключением; Человеческий фактор.

 

Протоколы безопасности беспроводных сетей.

 

1) шифрование WEP

- основано на алгоритме RC4

- симметричное потоковое шифрование

- использование  единого секретного ключа

 

Уязвимости:

- пассивные сетевые атаки: вычисляем ключ на основе собранных кадров; решение: использование динамических ключей

- активные сетевые  атаки: воздействуем на беспроводную  сеть для получения ключа; модификация  сообщений.

Повторное использование  вектора инициализации

1- злоумышленник  отправляет известное сообщение

2- прослушиваем  радиоканал для получения зашифрованного  сообщения

3- вычисление  ключа применяя XOR к шифрованному и известному сообщению

Манипуляция битами

Изменение поля кадра 2-го уровня для искажения пакета 3-го уровня. Затем ловим сообщение об ошибке, которое зашифровано, но само сообщение об ошибке нам известно, на его основе вычисляем ключ

 

- нет поддержки  управления ключами

Если ключ компрометирован, то необходимо заменить ключи у всех абонентов сети.

 

Аутентификация  в беспроводных сетях

1) стандарт IEEE 802.11

- открытая аутентификация (ОА)

- аутентификация с общими  ключами (Shared Key Authentication, SKA)

 

Кроме это используется:

- SSDI – идентификатор беспроводной локальной сети

- аутентификация по MAC адресу

 

Уязвимости:

- SSID передается открыто в составе кадра

- ОА вообще открыта  всем м вся

- SKA требует настройки статического ключа; происходит открытый обмен кадра с SKA

- MAC адрес можно подменить на легитимный

 

2) спецификация  WPA

WPA – Wi-Fi Protected Access

Используется временный протокол целостности ключа (Temporal Key Integrity Protocol, TKIP)

• Пофреймовое изменение ключа шифрования
• - контроль целостности сообщения
• - усовершенствованный механизм управление ключами

 

Режимы работы WPA

1- корпоративный (Enterprise)

2- персональный (Pre-Shared Key)

 

При Enterprise хранение БД и проверка аутентичности выполняется специальным сервером (например, RADIUS)

При Pre-Shared Key подразумевается применение WPA всеми пользователями

WPA-PSK предполагает наличие пароля на каждый узел.

 

Стандарт 802.11i (WPA2)

• Принят в 2004 году
• Используется концепция повышенной безопасности (RSN)
• Используется блочный шифр AES CCMP протокол безопасности
• Определяется иерархия ключей с ограниченным сроком действия
• Режимы работы: WPA2-Enterprise и WPA2-PSK

 

Стандарт 802.1x/EAP

Архитектура аутентификации IEEE 802.1x описывает единую архитектуру контроля доступа к портам с использованием различных методов аутентификации.

Алгоритм аутентификации EAP поддерживает централизованную аутентификацию

 

Основные  элементы:

- клиент –  в ПО ОС абонента

- аутентификатор  в ПО точки доступа

- сервер аутентификации  – RADIUS сервер.

 

 

 

Варианты EAP

• EAP-MD5 – это обязательные уровень, он должен присутствовать во всех реализациях 802.1x
• EAP-TLS – протокол защиты транспортного уровня;

поддерживает  взаимную аутентификацию на безе сертификатов

основан на SSLv3

требуется удостоверяющий центр

• EAP-LEAP – облегченный EAP;

запатентованный Cisco вариант EAP

основан на применении паролей

• PEAP (Protected EAP, защищенный EAP)

 

 

 

 

 

 

 

 

 

Основы коммутации

 

Рассмотрим  неполносвязную топологию.

 

Для передачи данных используются транзитные узлы. На транзитных узлах выполняется передача данных на соответствующие интерфейсы.

Маршрут – последовательность транзитных узлов от отправителя до получателя.

Задача  коммутации – это задача соединения конечных узлов через транзитные узлы.

 

Частные задачи:

- определение информационных потоков, для которых требуется прокладывать путь

- определение маршрутов для потоков

- сообщение о найденных маршрутах узлам сети

- продвижение пакетов (распознавание потоков и локальная коммутация на транзитных узлах)

- мультиплексирование и демультиплексирование потоков

 

Решение отдельной  частной задачи зависит от решения  остальных задач

 

Виды  коммутации:

- коммутация  каналов

- коммутация  пакетов

 

Коммутация  каналов

Исторически появилась  раньше, чем коммутация пакетов

Реализация  в телефонных сетях

Образуется непрерывный составной физический канал из последовательно соединенных коммутатором промежуточных канальных участков.

Обязательным  условием создания непрерывного канала является равенство скоростей на всех физических сегментах.

Отсутствует буферизация на коммутаторах.

Предварительно  выполняется процедура установления соединения – это по сути и есть создание составного канала.

 

- выбор маршрута (следующего узла)

- отправка запроса

- обработка  ответа

 

Достоинства:

- постоянная  и известная скорость передачи  данных (можно оценить время передачи)

- низкий и  постоянный уровень задержек  при передачи данных (может качественно  передавать трафик реального времени)

Недостатки:

- отказ сети в обслуживании запроса на установление соединения (физический канал исчерпал возможности мультиплексирования информационных потоков)

- нерациональное использование пропускной способности физических каналов

- нет возможности динамически перераспределять пропускную способность физических каналов

- обязательные задержка из-за фазы установления соединения

 

Единица коммутации – информационный поток.

 

Коммутация  пакетов

Исторически появилась  в конце 60-х годов, когда экспериментировали с первыми глобальными сетями

Метод коммутации каналов неэффективен для передачи неравномерного, с высоким уровнем пульсации компьютерного трафика.

Пример неравномерного компьютерного трафика: когда используется ftp сервер: просмотр каталога и скачка файлов.

 

Сообщение разбивается  на части, которые имеют служебную  информацию в заголовке (адресная информация, номер части).

 

 

Каждая честь  передается как независимый информационный блок.

Коммутаторы имеют  буферную память для временного хранения пакетов:

- сглаживание пульсации трафика на магистральных связях между коммутаторами;

- более эффективное использование полосы пропускания;

- более равномерная загрузка коммутаторов верхних уровней.

 

Для паря абонентов  более эффективна коммутация каналов:

- время передачи в этом случае минимально;

- весь канал в их единоличном распоряжении.

 

Сеть с коммутацией  пакетов замедляет процесс взаимодействия этой пары абонентов, т.к. пакеты ожидают  своей очередь на магистральных  коммутаторах.

НО:

Совокупный  объем передаваемых данных в единицу  времени при коммутации пакетов выше.

Эффективность коммутации пакетов была доказана в  конце 60-х годов экспериментально и с использование имитационного  моделирования.

 

Достоинства:

- высокая общая пропускная способность сети при передачи пульсирующего неравномерного трафика;

- возможность динамически перераспределять пропускную способность физических каналов среды абонента.

Недостатки:

- неопределенность скорости передачи данных из-за задержек в буферной памяти коммутаторов;

- переменная величина задержек данных; может быть очень большой в моменты перегрузок сети;

- потери данных из-за переполнения буферной памяти коммутаторов.

 

Сети с коммутацией  пакетов:

- с виртуальным  каналом;

- дейтограммные  сети

 

Сети  с виртуальным каналом

Логический, виртуальный  канал

- устанавливается перед началом соединения

И

- является единственным маршрутом для данного соединения.

 

Динамический – устанавливается по запросу; прокладываем маршрут и все пакеты передаем по этому маршруту.

Статический – создается вручную администратором.