Сервистердің базалық жиынтығы
BSS қатынаудың бір нүктесінен тұрады, олар бәрімен байланысты сымсыз клиенттермен жұмыс істейді. Дөңгелектермен қамту зонасы белгіленген, оның шегінде BSS сымсыз клиенттері бір-бірімен байланыс жасай алады. Бұл зона негізгі қызмет көрсету (BSA) зонасы деп аталады. Егер сымсыз клиент қызмет көрсетудің негізгі зонасынан шықса, онда ол BSA зонасы шегінде басқа сымсыз құрылғылармен тікелей байланыса алмайды. BSS топологияның құрылымдық элементі, ал BSA — нақты қамту зонасы болып табылады (BSA және BSS терминдері көбіне өзара алмастырушы ретінде пайдаланылады).
2-деңгейдегі МАС-адресі BSS әр жиынтығының бірегей сәйкестендіруі үшін қолданылады, ол сервистердің базалық жиынтығының идентификаторы (BSSID) деп аталады. Сонымен, BSSID идентификаторы BSS формальды атауы болып табылады және әрқашан тек қана қатынаудың бір нүктесімен байланысады.
Сервистердің кеңейтілген жиынтығы
BSS-тің бір жиынтығы радиожиіліктік қамтуды жеткіліксіз қамтамасыз еткенде, онда жалпы тарату жүйесінің көмегімен BSS жиынтығының екі немесе одан көбімен байланыстыруға болады, бұл сервистердің (ESS) кеңейтілген жиынтығын түзейді. Мұнда енді сымсыз клиенттер BSA бір зонасында ESS бір жиынтығы шегінде BSA басқа зонасының сымсыз клиенттерімен деректерді алмастыра алады. Роумингтегі ауысатын ұтқыр сымсыз клиенттер BSA бір зонасынан екіншісіне ауыса алады (жиынтығы бұрынғыша ESS) және қосуда проблемасыз орындайды.
Тік бұрышты саламен қамту зонасы белгіленген, оның шектерінде ESS жиынтығының қатысушылары деректермен алмаса алады. Бұл сала кеңейтілген қызмет көрсету зонасы (ESA) деп аталады. Әдетте ESA өзара қиысатын жән/немесе жекелеген конфигурацияларда бірнеше BSS жиынтығынан тұрады.
Әрбір ESS SSID идентификаторымен, ал әр BSS ESS-те BSSID идентификаторымен анықталады. Қауіпсіздік жағдайларына байланысты қосымша SSID идентификаторлары желіге қатынау деңгейінен бөліну үшін ESS-те толтырылуы мүмкін.
802.11 стандарты шеңберінде тікелей қосылу режімі IBSS деп аталады.
3.1.6 Сымсыз жергілікті желінің жұмыс принциптері
Қақтығыстарды болдырмау және ағымдағыны бақылау мен көптік бақылау
Ортада шиеленісті шешу әдісі егер желі бойынша трафикті жіберу талап етілсе, бұл жағдайда ортаға қатынасу уақыты мен әдістері құрылғыларын анықтау болып табылатынын еске сақтау керек. WLAN IEEE 802.11 желісі MAC CSMA/CA хаттамасын пайдаланады. Оның атауы Ethernet CSMA/CD ұқсас болса да әрекет ету приницпі тіпті өзгеше.
Wi-Fi жүйелері жартылай дуплексті режімде жұмыс істейді және ортаның жалпы конфигурациясын құрайды, демек сымсыз клиенттер бір радио арна бойынша деректерді қабылдайды және жібере алады. Осы себепті проблемалар туындайды, себебі сымсыз клиент тжөнелту процесінде деректерді алмайды. Сөйтіп, қақтығыстарды табу мүмкін болмайды. Бұл проблеманы шешу үшін электротехника және электроника бойынша инженерлер институты (ІЕЕЕ) қақтығыстарды болдырмаудың қосымша тетігін әзірледі. Ол бөлінген координация функциясы ретінде танымал (DCF). Сымсыз клиент DCF көмегімен деректерді тек қана өзінің бос арнасы арқылы таратады. Таратудың барлық операцияларының деректері бекітіледі. Демек, егер сымсыз клиент бекітуді алмаса, ол қақтығыстардың болғанын сезеді және ерікті күту интервалы бойынша әрекет жасайды.
Сымсыз клиенттер және қатынау нүктелері деректерді нақты таратуын қарапайымдылау үшін RTS және CTS бақылау кадрларын пайдаланады.
3.12-суретте көрсетілгендей деректерді жөнелтуде сымсыз клиент алдымен басқа құрылғылар мен деректерді тарату операцияларының белсенділігін анықтау үшін ортаны сканерлейді. Егер мұндай операциялар байқалмаса, сымсыз клиент қатынау нүктесіне RTS кадрын жібереді. Бұл кадр көрсетілген кезеңде радиожиіліктер тасымалы үшін бөлінген қатынаудың сұранысын жіберу үшін пайдаланылады. Қатынау нүктесі кадрды қабылдайды және мүмкіндігінше сымсыз клиентке СTS кадрын сондай ұзақықпен жіберу жолымен радиоиіліктер тасымалына қатынауды ұсынады. Қалған барлық сымсыз құрылғылар осы CTS кадрын көреді, таратқыш тораптан деректерді жіберу үшін ортаны босатады.
3.12 сурет - Деректерді тарату үшін бақылау кадрларын пайдалану
CTS бақылау кадры ұзақтық туралы деректерден тұрады, оларды тарату торабынан жіберуге рұқсат етілген. Қалған сымсыз клиенттер осы кезеңнен кем емес жағдайда таратуды бөгейді.
Сымсыз клиенттердің қатынау нүктесінің Ассоциациясы
Сымсыз құрылғылар желі бойынша деректермен алмасуды іске асыру үшін алдымен оларға қатынау нүктесінен немесе сымсыз маршрутизатормен ассоциацияны орындау қажет. 802.11 процесімен маңызды кезеңі WLAN желісін табу және оған одан әрі қосылу болып табылады.
Басқару кадрлары үш кезеңнен тұратын келесі процесті орындау үшін сымсыз құрылғыларды пайдаланады:
Сымсыз қатынаудың жаңа нүктесін анықтау.
Қатынау нүктесіндегі аутентификация.
Қатынау нүктесіндегі ассоциация
Қатынау нүктесі және сымсыз клиент ассоциацияны орындай үшін ерекше параметрлерді келісуі қажет. осы процестердің келісімін шешу үшін осы параметрлерді қатынау нүктесіне одан кейін клиентке баптау қажет.
3.13 сурет – Үш кезеңді процесс
Ассоциация параметрлері
Сымсыз желінің жалпы бапталатан параметрлері:
SSID Идентификаторы – SSID идентификаторы сымсыз клиент сымсыз желілерді бір зонада ажырату үшін қолданатын ерекше идентификатор. SSID атауы клиентте қол жетімді сымсыз желілер тізімінде бейнеленеді. SSID идентификаторы желінің конфигурациясына байланысты желіге қатынаудың бірнеше нүктелерімен бірге пайдаланылуы мүмкін. Көбіне атау ұзындығы 2 – 32 символдарды құрайды.
Пароль – қатынау нүктесінде аутентификациялау үшін сымсыз клиентке міндетті түрде ұсынылады. Кейде парольді қауіпсіздік кілті деп атайды. Пароль сымсыз желіге қажетсіз пайдаланушылар мен қаскүнемдердің қатынауын болдырмайды.
Желілік режім (Network mode) – WLAN 802.11a/b/g/n/ac/ad желісінің стандартына жатады. Қатынау нүктесі және сымсыз маршрутизаторлар аралас режімде жұмыс істей алады, яғни олар бір уақытта бірнеше стандартты пайдалануы мүмкін.
Қауіпсіздік режімі (Security mode) – бұл термин қауіпсіздік параметрлерін баптауына жатады (WEP, WPA немесе WPA2). Әрқашан қауіпсіздік қатынау деңгейлерінің ең жоғарғы белсенділігін қамту қажет.
Арнаны баптау (Channel settings) – сымисыз деректерді тарату үшін пайдаланылатын жиілікті жолақтарға жатады. Сымсыз маршрутизаторлар және қатынау нүктесі арнаның баптауын таңдауы мүмкін. Сондай-ақ, басқа қатынау нүктесінің немесе сымсыз құрылғының тарапынан бөгеу болған жағдайда бұл баптауларды қолмен орындауға болады.
Қатынау нүктелерін табу
Сымсыз құрылғылар сымсыз маршрутизаторға немесе қатынау нүктесіне қосуды және табуды орындауы қажет. Сымсыз клиенттер қатынау нүктесіне сканерлеу процесін (іздеу) пайдалана отырып, қатынайды. Бұл процесс келесі режімдерде орындалуы мүмкін:
Пассив режім (Passive mode) – қатынау нүктесі қауіпсіздік баптау және қолданылатын стандарттар туралы мәліметтерді SSID атауынан тұратын кең таратылымды жіберілімдер сигнал кадрларын тұрақты жөнелту жолымен өз қызметін ашық көрсетеді. Сигналдың негізгі міндеті – қатынау нүктесін және қажет желіні таңдау үшін осы зонада қатынаудың желілері мен нүктелері туралы деректерді сымсыз клиенттерге алуға рұқсат етеді.
Актив режім (Active mode) – сымсыз клиенттер SSID атауын білуі қажет. Сымсыз клиент бірнеше ағзаларға ізденіс сұраныс кадрын кең хабармен жөнелту бойынша процесті жүргізеді. Ізденіс сұранысы SSID атынан және қолдайтын стандарттар туралы мәліметтерден тұрады. Активті режім сигнал кадрларын кең тарату жолымен тыйымға бапталған қатынау нүктесі немесе сымсыз маршрутизаторы үшін қажет болады.
3.14-суретте пассивті желінің кезең кезеңімен кең хабар жіберу арқылы сигнал кадрына қатынау нүктесінің жұмысы көрсетілген.
3.14 сурет – Клиент құрылғылары қатынау нүктесін тыңдайды
3.15-суретте кең тарату жолымен нақты SSID ізденіс сұранысын беретін сымсыз клиентпен актив режімнің қалай жұмыс істейтінін көрсетілген. Ізденіс бойынша кадр жауабына SSID қатынау нүктесін жібереді.
Бұдан басқа, сымсыз клиент WLAN жақын желілерін табу үшін SSID атауынан, тұрмайтын ізденіс сұранысын жібере алады. Сигнал кадрларын кең тарату үшін бапталған қатынау нүктелері сымсыз клиентке SSID атауы көрсетілген және ізденіс бойынша жауаптан тұратын жауап жібереді. Кең тарату бойынша SSID тарату компоненті өшіріліп тұрса қатынау нүктесі жауап бермейді.
3.15 сурет – Қатынау нүктесі кезеңділікпен сигнал кадрларының кең таратылуын орындайды
Аутентификация
802.11 стандарты бастапқыда аутентификацияның екі механизмін ескере отырып, әзірленген:
Ашық аутентификация – сымсыз клиент аутентификация сұранысын жіберетін және қатынау нүктесі растау жауабыныа жіберетін шеңберінде негізгі NULL аутентификациясы. Ашық аутентификация кез келген сымсыз құрылғы үшін сымсыз желіге қосылуды қамтамасыз етеді. Аутентификацияның бұл әдісін қауіпсіздік онша үлкен мәнде болмағанда пайдаланылады.
Келісілген кілт аутентификациясы – бұл технология қатынау нүктесімен және клиентпен алдын ала келісілген кілтті пайдалануды айғақтайды.
3.16-суретте аутентификация амалының қысқаша жазбасы ұсынылған.
3.16 сурет – Клиент және қатынау нүктесінің аутентификациясы
Келісілген кілт пайдаланылатын жүйелердің көршілігінде деректермен алмасу келесі түрде орындалады:
1. Сымсыз клиент қатынау нүктесіне аутентификация кадрын жібереді;
2. Қатынау нүктесі сұранысқа бақылау мәтінін жібереді.
3. Клиент келісілген кілтті пайдалана отырып, хабарламаны шифрлеуді орындайды және шифрленген мәтінді кері қатынау нүктесіне жібереді.
4. Осыдан кейін қатынау нүктесі өзінің келісілген кілтін пайдаланып, мәтіннің шифрін ашады.
5. Егер шифрленген мәтін бақылау мәтінімен сай келсе, онда қатынау нүктесі клиентті аутентификациялайды. Егер хабарламалар сәйкес келмесе, сымсыз клиент аутентификациядан өтпейді және сымсыз қатынауға ие болмайды.
Сымсыз клиент қатынау нүктесінің аутентификациясынан өткенннен кейін ассоциация кезеңінен ауысады. 3.17-суретте көрсетілгендей, ассоциация кезеңінде параметрлердің соңғы баптауы орындалады және қатынау нүктесі мен сымсыз клиент арасындағы деректерді тарату арнасы тағайындалады.
3.17 сурет – Қатынау нүктесінен клиентті ассоциациялау
Бұл кезеңде:
Сымсыз клиент ассоциацияның сұраныс кадрын қайта жібереді, ол МАС-адерісінен тұрады.
Қатынау нүктесі қатынау нүктесінің МАС-адресі болып табылатын, қатынау нүктесінің BSSID нүктесінен тұратын ассоциация бойынша сұранысқа жауап жібереді.
Қатынау нүктесі сымсыз клиентпен ассоциация (AID) индентификаторы ретінде белгілі логикалық порттан тұрады. AID идентификаторы коммутатор портына тең мәнді және ол жөнелту үшін сымсыз клиентке жолданатын кадрлардың инфрақұрылымын коммутаторда байқауға мүмкіндік жасайды.
Сымсыз клиентті қатынау нүктесінен ассоциациялаудан кейін олардың арасында трафик берілуі мүмкін.
Арналарды басқару. Жиілікті арнаны қанықтыру
Алдында түсіндірілгендей LAN сымсыз желі құрылғылары деректермен алмасу үшін радиотолқындардың белгілі жиіліктеріне бапталған таратқыштар мен қабылдағыштардан тұрады. Әдетте диапазондар сапасы ретінде жиіліктер ерекшеленеді. Мұндай диапазондар содан кейін кіші диапазон-арналарына бөлінеді.
Егер нақты арнаға сұраныс өте үлкен болса, онда ол арна көбіне артық қаныққан болып есептеледі. Сымсыз желінің артық қаныққан ортасы деректермен алмасу сапасын төмендетеді. Соңғы жылдары деректермен алмасу сапасын жақсартататын және артық қанығуды азайтатын арнаулы қабылдағыштар әзірленді. Төменде санамаланған әдістер оларды тиімді пайдалану арқылы арналардың қанығуын азайтуға мүмкіндік жасайды.
Тікелей тізбектелуде сигналды бөлу (Direct-sequence spread spectrum, DSSS) – DSSS сигналды бөлу модуляциясы технологиясын ұсынады. Спектрді бөлу технологиясы үлкен жиілік жолағы бойынша сигналды тарату мақсатында әзірленген, ол оның бөгеуілдерге тұрақтылығын арттырады. DSSS технологиясы көмегімен сигнал «жасанды жасалған шу» мәніне көбейеді, сондай-ақ ол спектрді кеңейту коды деп аталады. Алушыға спектрді кеңейту коды белгілі болғандықтан, ол математикалық түрде оның қосуларын шығара алады және қайтадан шығыс сигналын түзуге мүмкіндік береді. Нақтысында бұл сымсыз желі ортасының сапасының төмендеуін болдырмауды қамтамасыз етеді. DSSS технологиясы 802.11b стандартымен, сондай-ақ ол 900 МГц, 2,4 ГГц, 5,8 ГГц ұялы CDMA және GPS желілер жиілігінде жұмыс істейтін радиотелефондарда пайдаланылады (3.18-сурет).
3.18 сурет – DSSS мысалы
Кеңейтілген спектрі бар жұмыс жиілігін секірмелі түрде ауыстыру (Frequency-hopping spread spectrum, FHSS) – деректермен алмасу үшін спектрді тарату әдісі қолданылады. Бұл технология DSSS-ке ұқсас, бірақ арналар жиіліктерінң көпшілігі бойыншажиілікті сигналдарды тез комутациялау арқылы радиосигналдарды жібереді. FHSS пайдалануда жіберуші және алушы синхрондалуы тиіс, бұл қай арнаға ауысуды білу үшін қажет. арналар арасындағы сигналдың өтуінің бұл процесі арналарды тиімдірек пайдалануды қамтамасыз етеді және олардың артық жүктемесін төмендетеді. 900 МГц жиілікте жұмыс істейтін шағын рациялар мен радиотелефондарда FHSS пайдаланады, ал сол уақытта Bluetooth сияқтылар бұл технологияны вариациялау нұсқаларының бірін ұстанады. Бұдан басқа, FHSS технологиясы 802.11. шығыс стандартын қолданады (3.19 сурет).
Жиіліктерді ортогоналдық бөлумен мультиплексирлеу (Orthogonal frequency-division multiplexing, OFDM) – жиіліктіреді бөлудің мультиплексирленген түрі, мұның деңгейінде жақын жиіліктерде бір арна бірнеше арнашаларды пайдаланады. OFDM жүйесіндегі арнашалар бір-біріне қатысты дәл ортогоналды, бұл арнашаларға өзара кедергісіз жұмыс істеуге мүмкіндік береді. Соның нәтижесінде OFDM жүйесі аралас арналарда кедергісіз спектр тиімділігін максималды үлкейтуге мүмкіндік береді. Негізінде бұл технология қабылдаушы стансаға сигналды «естуге» мүмкіндік жасайды. OFDM арнашаларды пайдаланатындықтан ол арнаны мейлінше тиімді етеді. ОFDM, 802.11a/g/n/ac стандартымен қоса, байланыстың бірнеше жүйелерін пайдаланады (3.20 -сурет).
3.19 сурет - FHSS мысалы
3.20 сурет – ОFDM мысалы
WLAN жаймалауды жоспарлау
Жоғары сапалы қызмет көрсетуді қамтамасыз ететін және ресурстарды өте тиімді пайдаланатын WLAN желісін іске асыру тыңғылықты жоспарлауды талап етеді. WLAN желілерінің салыстырмалы қарапайымнан өте күрделіге дейінгі модельдері бар. Сымсыз желіні орындау алдында тыңғылықты жоспар жасаған дұрыс.
WLAN желісін қолдайтын пайдаланушылар саны айтарлықтай күрделі сұлба бойынша есептеледі. Пайдаланушылар саны нысандағы қатынау кеңістігіне, олар қуатты тарату баптауларымен ESS-ке қатынаудың бірнеше нүктелері мен үзілмейтін арналарды пайдалануда күтілетін деректерді тарату жылдамдығын орналастыратын құрылғылар санына тәуелді.
3.21-суреттегі қабаттық жоспарды қараңыз.
Қатынау нүктелерін орналастыруды жоспарлауда әкімшілікке қамту зонасын қарапайым шеңберлермен белгілеу және оларды жоспарда орналастыру жеткіліксіз болады. ұсынылған шеңберлік қамту зоналары өте маңызды, бірақ оған қосатын ұсыныстар қатары бар:
Егер қатынау нүктелері қолданыстағы кабельдік жүйелерді пайдалану қажет болса немесе орналастырулары көрсетілсе, мұнда қатынау нүктесін орналастыруға болмайдыі яғни бұл орындарды картада белгілеу қажет;
Қатынау нүктелерін физикалық бөгеуілдерден жоғары орналастырған дұрыс;
Мүмкіндігінше қатынау нүктелерін әр зонаның орталығында төбемен қатар тік орнатады;
Пайдаланушылар болатын орындарда AP орнатылады. Мысалы, әдетте қатынау нүктелерін орналастыру үшін дәлізге қарағанда конференц-зал қолайлы болады.
3.21 сурет – Қабаттық жоспар мысалы
Көрсетілген мәселелер шешілгеннен кейін қатынау нүктелерінің болжалдық қамту зонасын бағалау қажет. Бұл мән қатынау нүктесі үшін бапталған тарату қуаты, нысан сипаты, жаймалауға жататын WLAN желісі стандарттарын комбинациялау немесе стандарттау және көптеген басқа факторларда үлкен мәнге ие болады. Қамту зонасы жоспарын әзірлеуде пайдаланылатын қатынау нүктелерінің ерекшелігін тереңірек зерттеу қажет.
BSA қамту зонасы бір арнаны қамтамасыз ететін өздік қамту зонасын ұсынады. Кеңейтілген сервис жиынтығы (ESS) BSA қамту зоналары арасында ESS шектерінде 10–15% қамтуы қажет. BSA-ны SSID идентификаторымен және үзілмейтін арналармен (яғни, 1 арнада бір ұяшық, ал басқасы 6 арнада) 15% қамтуда роуминг мүмкіндігін жасауға болады.
3.22-суретте BSA қамту зонасы мүмкіндігінің мысалы көрсетілген.
3.22 сурет – BSA қамту зонасы
Басқа факторларға қатынау нүктесінің түрлі орналасу мүмкіндігін нақты айғақтайтын нысанды зерттеу жатады.
3.1.7 Сымсыз жергілікті желілер қауіпсіздігі
WLAN желілерінің қауіптері
Сымды желіні қорғауға қарағанда, сымсыз желінің қауіпсіздігін қамтамасыз ету тым күрделірек. Кімде кім әкімшілік желілерін пайдаланатын болса, барлығы үшін бірінші орында қорғаныс тұруы қажет.
WLAN желісінің қатынау нүктесінің әрекет ету аумағы қатынау нүктесінің ассоциациясын орындау арқылы сәйкесті есептік деректерге ие болатындардың барлығы үшін ашық. Қаскүнем сымсыз адаптер желісін және бұзу әдістерін біле отырып, WLAN желісі бар қатынау орнынан басқа жерде де оған қатынай алады.
Қауіпсіздік мәселелері күн өткен сайын үлкен мәнге ие болуда, себебі компанияның қызме әрекеті оның деректерінің қорғалуына тәуелді. Компаниялар үшін қауіпсіз жүйесінің бұзылуы апатты салдарға ұрындырады. Әсіресе өз клиенттерінің қаржы ақпаратының сақталуы алға тартылады. Сымсыз желілер көбіне кәсіпорындарда орналастырылады және көп жағдайларда тек тиімді нұсқа болып қоймай, өте маңызды сыни бөлігі де болып табылады. WLAN желілері үнемі шабуылға ұрынады, өйткені бұл желінің қолданылуы бірінші орында. Ал шабуылдар бөтен адамдармен немесе риза емес өз қызметкерлерімен, сондай-ақ қасақана жасалған кез келген қызметкермен ұйымдастырылуы мүмкін. Сымсыз желілер көбіне келесі қатерлерге ұшырайды:
Зиян шектіретін қосымшалар;
Бұл тарауда қатынау нүктесінің немесе сымсыз клиенттің МАС-адресі спуфингі ретіндегі қатерлер құрылымға шабуылдар және бұзулар қарастырылмайды.
«Қызмет көрсетуден бас тарту» типіндегі шабуыл
Төменде сымсыз желіде туындайтын DoS-шабуылдарының себептері келтірілген:
Құрылғыларды теріс баптау – WLAN желісінің тоқтау себебі конфигурация қателігінен болуы мүмкін. Мысалы, әкімші кездейсоқ конфигурацияны өзгертеді және желіні өшіреді, немесе әкімші құқы бар қаскүнем әдейі WLAN желісін өшіруі мүмкін.
Сымсыз желі бойынша деректер алмасуға әдейі кедергі келтіретін қаскүнем – мұндай қаскүнемдер желіні толық немесе белгілі бір дәрежеде ажыратуға ұмтылады, бұл жағдайда құрылғылар ортаға қатынай алмайды.
Кездейсоқ бөгеуілдер – WLANжелісі лицензияланбаған, жиілік жолақтарда жұмыс істейді, чғни барлық сымсыз желілер қауіпсіздік функциясына тәуелсіз басқа сымсыз құрылғылардың тарапынан бөгеуілдер әсеріне ұшырауы мүмкін. Кездейсоқ бөгеуілдер мынандай құрылғылар жұмысында микротолқынды пештер, радиотелефонда, радио-нянялар т.б. болуы мүмкін. 2,4 ГГц жолағы 5 ГГц-ке қарағанда бөгеуіл әсеріне көбірек ұшырайды.
Зиянды шабуылдармен құрылғыларды тез баптау салдарынан DoS-шабуылдарының қатерін азайтуға болады, ол үшін барлық құрылғылар қорғанысын сақтауды, парольдерді сенімді орындарға қоюды, резервтік көшірмелер жасауды және конфигурацияны жұмыстан кейінгі сағаттарда өзгертуді қамтамасыз ету қажет.
Кездейсоқ бөгеуілдер тек қана басқа сымсыз құрылғылардың жұмыс жағдайында туындайды. Мұндай проблемаларды шешу және бөгеуілдерді болдырмау WLAN желісінің мониторингісінің оңтайлы шешімі болып табылады. себебі, 2,4 ГГц жолағы көп дәрежеде бөгеуіл әсеріне ұшырайды, ал нашар зоналарда 5 ГГц жолағын пайдалануға болады. WLAN желілері үшін кейбір шешімдер қатынау нүктелері арналарын автоматты реттеумен жасалады және бөгеуілдерді болдырмау үшін 5 ГГц жолақты пайдалануға мүмкіндік жасайды. Мысалы, 802.11n/ac/ad стандартының кейбір шешімі бөгеуілдерге қарсылық жасау мақсатында автоматты түрде реттеледі.
Төмендегі 3.23 суретте WLAN желісінің алмасу деректері үшін бөгеуілдер жасауы мүмкін радиотелефон мен микротолқынды пеш көрсетілген.
3.23 сурет – Кездейсоқ бөгеуілдер
Cisco CleanAir технологиясы 802.11 стандартына жатпайтын бөгеуілдер көздерін табуға және анықтауға мүмкіндік береді. Бұл технология өзгерген ортаға автоматты бейімделетін желі жасайды.
Басқару кадрлары пайдаланылатын DoS- шабуылдары
Бұл онша сенімді болмаса да қаскүнемдер кездейсоқ бөгеуіл жасайтын радиоэлектронды қарсы әрекет құрылғысын пайдалана отырып, әдейі DoS-шабуылын жасауы мүмкін. Қаскүнемдер басқару кадрларын пайдалануға тырысады, сөйтіп қатынау нүктелері, арналар пайдалану трафигін станциялайтын қызмет ете алмау үшін бүлдірулер жасайды.
Басқару кадрларын DoS-шабуылының әртүрлі типтерін ұйымдастыру үшін .пайдалануы мүмкін. Басқару кадрларын пайдалану жолымен шабуыл жасаудың екі түрі таралған.
Жалған өшіру жолымен шабуыл – мұндай шабуыл жасау үшін қаскүнем «ассоциацияларды ауыстыру» командасының жиынтығын BSS шегінде барлық құрылғыларға жібереді. Бұл командалар барлық клиенттердің ажыратылуын жасайды. Бұл ажыратуда барлық сымсыз клиенттер бірден қайталама ассоциация орындауға тырысады, бұл өз ретінде трафиктің көлемін күрт ұлғайтады. Қаскүнем ассоциацияны ажырату кадрларын жібере береді және айналым қайталанады.
CTS жөнелту шешімдерін жаппай шабуылдау – шабуылдың бұл типі барлық сымсыз клиенттер үшін қатынауды болдырмау және өту жолақтарының иемденуі үшін CSMA/CA ортасында шиеленістер шешу әдісін қолданғанда туындайды. Ол үшін қаскүнем тұрақты түрде жалған STA-ға CTS рұқсат жөнелтпесін жаппай жөнелтуді BSS-те орындайды. Радиожиіліктерді бірге пайдаланатын барлық қалған сымсыз клиенттер CTS-ті қабылдайды және қаскүнем CTS кадрларын тоқтатқанға дейін деректерді жіберуді тоқтатады.
3.24–суретте ортаға қатынау үшін CSMA/CA әдісін сымсыз клиенттің қалай пайдалануы көрсетілген.
3.24 сурет – CSMA/CA пайдалан отырып, қалыпты режімде жұмыс істеу
3.25-суретте жалған сымсыз клиентте қаскүнемнің CTS кадрлардың жаппай жіберілуін қалай құратыны көрсетілген. Енді қалған барлық клиенттер CTS кадрында берілген кезеңнің аяқталуын күтуге мәжбүрленеді. Бірақ, қаскүнем CTS кадрларын жіберуді жалғастыра береді. Демек, қалған клиенттердің үнемі күтуіне тура келеді. Сөйтіп, қаскүнем ортаны бақылап отырады.
Бұл басқару кадрын қолдана отырып шабуылдаудың тек бірыңғай мысалы. Оның бірнеше басқа түрлері де бар.
Осындай шабуылдардың туу қатерін азайту үшін Cisco корпорациясы Cisco Management Frame Protection (MFP) функциясын қоса отырып, бірқатар шешімдер әзірледі, онда кадрлар мен құрылғыларды спуфингтен алдын ала толық қорғау қамтамасыз етіледі. Cisco Adaptive Wireless басып енуді болдырмау жүйесі бұл шешімде сигнатур шабуылдарын салыстыру жолымен бастапқы мерзімде бұзып енуді табудың функцияларымен толықтырады.
3.25 сурет – CTS жіберуді шешуде жаппай DoS-шабуылын құрушы қаскүнем
Сондай-ақ, IEEE 802.11 стандарты комитеті сымсыз желі қауіпсіздігінің екі стандартын жасады. Cisco MFP пайдаланатын 802.11і стандарты сымсыз желілер үшін қауіпсіздік тектері анықтайды, ал 802.11w басқару кадрларын ққорғау стандарты басқару кадрларын айламен байланысқан проблемаларды шешуге бағытталады.
Қатынаудың зиянтасымды нүктелері
Қатынаудың зиянтасымды нүктесі сымсыз маршрутизатор түрінде болады, оны келесі түрде сипаттаймыз:
мұндай маршрутизатор ұжымдық саясатты бұзып және нақты авторлаусыз ұжымдық желіге қосылады. Нысандарға қатынауы бар кез келген пайдаланушы қымбат емес сымсыз маршрутизаторды қоя алады (әдейі немесе онсыз), бұл теориялық түрде қорғалған желі ресурстарына қатынауды қамтамасыз етеді.
қаскүнем мұндай маршрутизаторды клиенттердің деректерін алу үшін қосады немесе қосылады немесе өзінің арам ойын жасырады, яки басып алу шабуылы мақсатын пайдаланады.
Дербес сымсыз қатынау нүктесін жасау өте оңай екенін ескеру керек. Мысалы, желіге қатынау қорғауы бар пайдаланушы Wi-Fi желісіне қатынау нүктесі сияқты Windows өзінің авторланған торабын баптайды. Бұл жағдайда станцияланбаған құрылғылар қауіпсіздік шараларын айналып өтеді және жалпы бір құрылғы ретінде желі ресурстарына қатынауға қол жеткізеді.
Қатынаудың зиянды нүктелерін тағайындауды болдырмау үшін ұйымдар қатынаудың станцияланбаған нүктелерінің болуына радиосигналдар спектрінің белсенді мониторингі үшін бағдарламалық қамтуды пайдалану қажет. Мысалы, Cisco Prime инфрақұрылымы желілерін басқару үшін бағдарламалық қамту экранындағы суретте анықталған жалған МАС-адресі қаскүнемнің орналасқан орнын анықтайтын радиожиіліктерінің картасы көрсетілген.
Cisco Prime желілерді басқару үшін бағдарламалық қамтамасыз ету болып табылады, ол желі туралы барлық деректерді жалпы ұсыну мен орталықтандыруды қамтамасыз ететін, басқа бағдарламалармен әрекетке түседі. Әдетте, бұл ПО өте ірі ұйымдарда қолданылады.
Басып алу шабуылы
Қаскүнемнің қолданатын шабуылдарының ішіндегі ең күрделісі - басып алу шабуылы. Басып алу шабуылын жасау үшін тәсілдер де көп.
Осындай тәсілдердің ең көп таралғандарының бірі – «қас егіз», мұнда қаскүнем қатынауға зиянды нүкте енгізеді және оны SSID атынан пайдалану арқылы баптайды. Мқндай типті шабуыл үшін ең лайықты нысандар әуежайлар, кафелер, мейрамханалар, бұлардың Wi-Fi желісіне қатынау тегін және оларда ашық аутентификация пайдаланылады.
Сымсыз клиенттерге қосылуда қатынаудың екі нүктесі бейнеленеді, бұлар сымсыз қатынаулар ұсынады. Қатынаудың зиянды нүктесімен қатар тұрғандар қуатты сигнал табады, бұл сигналды көбіне «қас егіз» жасайды. Енді пайдалангу трафигі қатынаудың барлық нүктесіне барады, ол өз кезегінде деректерді ұстап алады және қатынаудың сенімді нүктесіне жібереді. Қатынаудың станцияланған нүктесінің кері трафигі қатынаудың зиянды нүктесіне жөнелтіледі, содан кейін ештеңе сезбеген стансаға (STA) қайта жіберіледі. Сөйтіп, қаскүнем пайдаланушы паролін, жеке ақпаратын ұрлайды. Желіге қатынай алады және жүйені бұзады.
Мысалы, 3.26-суретте «Латте Боба» кафесінде тұр және ештеңе сезбейтін сымсыз клиенттерден трафикті ұрлауға тырысады. Қаскүнем бағдарламалық қамтуды қосады, оның ноутбугының қатынау нүктесіне «қас егізі» бар SSID атауымен арнаны және сымсыз маршрутизаторды басып алады.
3.26 сурет – Қаскүнем «қас егіз» шабуылын бастайды
3.27-суретте пайдаланушы сымсыз қосылудың екі қатынауын көреді, бірақ «қас егіз» қатынау нүктесінің ассоциациясы үшін таңдайды. Қаскүнем пайдалану деректерін басып алады және оны қатынаудың санкция нүктелеріне жібереді, ал олар өз кезеңдерінде «қас егіздің» қатынау нүктесіне жауап трафигін кері жібереді. «Қас егіздің» қатынау нүктесі жауап трафигін басып алады және оның деректерін ештеңе сезбеген пайдаланушыға жібереді.
Шабуылды қолға түсіру арқылы болдырмау WLAN желісінің инфрақұрылымының күрделігіне және желі мониторингінің мұқияттылығына тәуелді. Процесс WLAN желісінің станцияланған құрылғыларын анықтаудан басталады. Ол үшін пайдаланушылар дәлдестіруден өтуі қажет. Сөйтіп, барлық станцияланған құрылғылар аяқталған соң, желінің күмәнді құрылғылары мен трафиктерінің болуына мониторинг жүргізеді.
3.27 сурет - «Қас егіз» шабуылы ойдағыдай өтті
Қазіргі WLAN құрылғыларын пайдаланатын WLAN ұжымдық желілері әкімшілікке құрылғылар ұсынады, олар бөтен енуді (IPS) болдырмаудың сымсыз жүесі ретінде кешенде жұмыс істейді. Бұл құралдарға сканерлер жатады. Олардың көмегі арқылы қатынаудың зиянды нүктелері және бір рангты желілері, сондай-ақ қатынау нүктесінің жүктемесі мен белсенділігіне радиожиіліктік жолақтың мониторингін орындайтын радиоресурстары басқару құралдары жатады. Қатынау нүктесіне үлкен жүктеме әкімшіге станцияланбаған трафиктің болуы мүмкіндігі туралы сигнал береді.
Сымсыз желі қауіпсіздігіне шолу
Wi-Fi желісінің қауіпсіздігі әрқашан ерекше тынымсыздық тұдырады, себебі желі шегаралары кеңейтілген. Сымсыз байланыс сигналдары қатты кедергілер – төбелер, едендер, қабырғалар, үй немесе кеңсе шегінен тыс орындар арқылы таратылуы мүмкін. Қауіпсіздіктің қатаң шараларынсыз WLAN желісін орнату - Ethernet-порттарын барлық орындарда, тіпті көшеде орнатумен тең.
Сымсыз желіге енуге тырысатын қаскүнемдер тарапынан қауіпті болдырмау және деректерді қорғау үшін қауіпсіздікті қамтамасыз етудің екі функциясы пайдаланылады:
SSID идентификаторын жасыру. Қатынау нүктелері және кейбір сымсыз маршрутизаторлар SSID идентификаторының сигнал кадрын сөндіруге береді. Сымсыз клиенттер желіге қосылу үшін SSID атауын қолмен белгілеуі қажет.
MAC-адрестерді сүзгілеу. Әкімші клиенттерге МАС-адрестің физикалық жабдығына байланысты сымсыз қатынауға қолмен рұқсат етуі немесе тыйым салуы мүмкін.
Осы екі функция пайдаланушылардың көпшілігін сиретсе де, нақтысында SSID идентификаторын жасыру да, МАС-адрестерін сүзгілеу де майталман қаскүнемге бөгет жасай алмайды. SSID атауларын тіпті егер қатынау нүктелері олардың кеңтарату жолдарын орындамаған жағдайда да табу оңай, ал МАС-адрестерін қолдан жасауға болады. Сымсыз желіні қорғаудың ең оңтайлы тәсілі аутентификация және шифрлау жүйелерін пайдалану болып табылады.
Бастапқы 802.11 стандартында аутентификациясын екі типі ұсынылған:
Ашық жүйені аутентификациялау. БАрлық сымсыз клиенттер қосылуды оңай орындай алуы мүмкін, және мұндай жүйе қауіпсіздік ерекше мәнге ие болмаған жағдайда да пайдаланылуы мүмкін (мысалы Интернетке тегін қатынауды ұсынатын орындарда – кафеде, қашықталған орындарда) .
Келісілген кілтті аутентификациялау. Сымсыз клиенттер мен қатынау нүктесі арасында берілетін деректерді аутентификациялау және шифрлау үшін WEP, WPA немесе WPA2 сияқты мехнизмдер ұсынылады. Бірақ, парольді қосу үшін алдын ала тараптар арасындағы келісу қажет.
3.28-сурет сұлбасында аутентификацияның түрлі типтері туралы қысқа мәліметтер ұсынылған.
3.28 сурет – Аутентификациялау әдісі
Келісілген кілтті аутентификациялау әдістері
Келісілген кілтті аутентификациялаудың үш нұсқасы бар:
Сымсыз байланысты шиярлау хаттамасы (WEP). Сымды қосылумен салыстырмалы деңгейде құпиялықты қамтамасыз ету үшін әзірленген 802.11. шығыс ерекшелемесі. Деректерді қорғау статикалық кілтті пайдаланумен RC4 шифрлау әдісі арқылы қамтамасыз етіледі. Бірақ кілт пакеттерді таратуда ешқашан өзгермейді, сол себепті оны бұзу оңай.
Wi-Fi қорғалған қатынауы (WPA). WEP-ті пайдаланатын, бірақ уақытша кілтті қолданумен тиімдірек алгоритмді шифрлау есебінен деректерді (TKIP) қамтамасыз ететін Wi-Fi Alliance стандарты. TKIP әр пакет үшін кілтті өзгертеді, сол себепті оны бұзу қиынырақ.
IEEE 802.11i/WPA2. IEEE 802.11i стандарты сымсыз желілердің қауіпсіз салалық стандарты болып табылады. Wi-Fi Alliance нұсқасы WPA2 деп аталады. 802.11i және WPA2 жетілдірілген шифрлау стандартын пайдаланады (AES). Қазіргі кезде AES шифрлаудың ең сенімді хаттамасы болып есептеледі.
WEP-ті пайдалану ұсынылмайды. WEP-тің жалпы кілттері өзінің жарамсыздығын көкрсетті, демек оларды пайдаланбаған дұрыс. WEP жалпы кілттерінің әлсіз жақтарын теңгеру үшін компаниялармен алдымен SSID идентификаторын жасыруға және МАС-адрестерін сүзгілеуге тырысты. Сөйтсе де, бұл әдістер өте сенімсіз болды.
WEP негізінде қауіпсіздік жүйесінің сенімсіздігіне байланысты бірқатар уақыт барысында аралық қауіпсіздік шаралары пайдаланылды. Cisco сияқты жеткізушілер қауіпсіздіктің жоғары талаптарын қанағаттандыруға ұмтылып, бір уақытта 802.11i стандартын жетілдіруге тырысып, өз жүйелерін әзірледі. 802.11i стандартын дамыту процесінде TKIP шифрлау алгоритмі жасалды, ол Wi-Fi Alliance WPA қауіпсіздігін қамтамасыз ету әдісімен байланысты болды.
Қазіргі сымсыз желілер әрдайым 802.11i/WPA2 стандарттарын қолдануы қажет. WPA2 802.11i стандартының Wi-Fi нұсқасы болып табылады, демек, WPA2 және 802.11i терминдері өзара алмастырғыштар болып табылады.
2006 жылдан WPA2 пайдалану үшін Wi-Fi Certified логотипі енгізілген барлық құрылғылар сертификатталды.
Өнімділігті оңтайландыру мақсатында Wireless-N желісі WPA2-Personal қауіпсіздік желісін пайдалану қажет.
Кесте келісілген кілттерді аутентификациялаудың үш типтік әдістері көрсетілген.
Кесте Келісілген кілтті аутентификациялау әдістері
Достарыңызбен бөлісу: |