ТехнологіяWi-fi. Переваги та основні принципи

Wi-fi – це технологія безпровідного доступу в інтернет. Вона базується на стандарті передачі даних IEEE 802.11. Технологія Wi-fi допомагає об’єднати n-ну кількість комп’ютерів в мережу, або підключити їх до інтернету, малим радіусом дії. Технологія Wi-fi використовує радіохвилі. Стандарти технології IEEE 802.11 – це серія стандартів, прийнятих інститутом IEEE, які визначають взаємодію бездротових комп'ютерних мереж.

¾ 802.11 – початковий (базовий) стандарт бездротових локальних мереж (прийнятий в 1997 році), заснований на бездротовій передачі даних у діапазоні 2,4 Ггц. Підтримує обмін даними зі швидкістю до 1-2 Мбіт/с.

¾ 802.11а –діапазоні 5 Ггц. Діапазон роздільний на три непересічні канали. Максимальна швидкість обміну даними складає 54 Мбіт/с, при цьому доступні також швидкості 48, 36, 24, 18, 12, 9 і 6 Мбіт/с.

¾ 802.11b –діапазон 2,4 Ггц. У всьому діапазоні існує три непересічні канали, тобто на одній території, не впливаючи один на одного, можуть працювати три різні бездротові мережі. У стандарті передбачено два типи модуляції – DSSS (Direct Sequence Spread Spectrum, розширення спектру методом прямої послідовності) та FHSS (Frequency Hopping Spectrum Spreading, швидка псевдовипадкова перебудова робочої частоти). Максимальна швидкість роботи складає 11 Мбіт/с, при цьому доступні також швидкості 5,5, 2 і 1 Мбіт/с.

¾ 802.11g –діапазон 2,4 Ггц зі швидкістю 54 Мбіт/с. Для збільшення швидкості обміну даними застосовані методи модуляції OFDM (Ortogonal Frequency Division Multiplexing, метод модуляції з ортогональним частотним мультиплексуванням) та PBCC (Packet Binary Convolutional Coding, метод двійкового пакетного згорткового кодування).

¾ 802.11n – стандарт бездротових локальних мереж останнього покоління, заснований на бездротовій передачі даних в діапазоні 2,4 Ггц, швидкість – 600 Мбіт/с.

¾ 802.11е (QoS, Quality of service) – додатковий стандарт, що дозволяє забезпечити гарантовану якість обміну даними шляхом перестановки пріоритетів різних пакетів; необхідний для роботи таких потокових сервісів як VoIP або IP-TV.

¾ 802.11i (WPA2) – стандарт, що знімає недоліки в області безпеки попередніх стандартів. Даний стандарт вирішує проблеми захисту даних канального рівня і дозволяє створювати безпечні бездротові мережі практично будь-якого масштабу.

Крім групи стандартів IEEE 802.11 a/b/g/n (Wireless Networks, бездротові мережі) на сьогоднішній день існують ще такі групи:

¾ 802.6 (Metropolitan Area Network, MAN, мережі мегаполісів);

¾ 802.9 (Integrated Voice and data Networks, інтегровані мережі передачі голосу і даних);

¾ 802.10 (Network Security, мережева безпека);

¾ 802.15 (Wireless PAN, бездротові персональні мережі);

¾ 802.16 (WiMAX, бездротові мережі міського масштабу);

Методи обмеження доступу до бездротових мереж

Взагалі, методів обмеження доступу по суті є два – це відключення широкомовного розсилання ESSID (ідентифікатор точки доступу, а фактично – ім’я бездротової мережі) та фільтрація MAC-адрес.

У першому випадку AP не передає у відкриту свій ESSID. Для підключення до такої мережі потрібно знати її ESSID, у іншому випадку підключення неможливе.

У другому випадку можливі такі три варіанти конфігурації:

1. AP приймає з'єднання з всіма бездротовими пристроями, незалежно від їх MAC-адреси;

2. AP не приймає з'єднання з бездротовими пристроями, MAC-адреси яких задані у списку безпосередньо на самому пристрої. Усі інші пристрої можуть підключатися;

3. AP приймає з'єднання лише з тими пристроями, MAC-адреси яких задані у списку безпосередньо на самому пристрої. Усі інші пристрої не можуть підключатися

 

Типи брандмауерів та їх основне призначення. Політика міжмережевої взаємодії.

Брандмауер - це комп'ютер з програмною системою, встановлений на межi мережi, який пропускає тiльки авторизованi об'єкти.

За допомогою брандмауера можна забезпечити безпеку комп'ютера: атаки хакерів, проникнення шкідливих програм стають неможливими. Інший плюс полягає в тому, що брандмауер не дозволяє зловмисникам використовувати ваш комп'ютер в своїх цілях: наприклад, для атаки на комп'ютери інших користувачів. Особлива важливість застосування брандмауерів наголошується на тих комп'ютерах, які мають постійне підключення до інтернету.

Основними компонентами брандмауера є:

· політика мережевого доступу;

· механізми посиленої аутентифікації;

· фільтрація пакетів;

· прикладні шлюзи.

Види брандмауерів

· брандмауери з фiльтруванням пакетiв. Захист вiдбувається на канальному та мережевому рiвнях; працюють переважно з маршрутизаторами. Пiд час роботи аналiзують заголовки пакетiв згiдно з вiдомою таблицею; досить дешевi i мають нетривалi затримки пiд час обслуговування; функцiї фiльтрування часто iнтегрують у маршрутизатори;

· шлюзи сеансового рiвня. Розпiзнають учасникiв сеансу, визначають лише вiдповiднiсть клiєнта та початок сеансу;

· шлюзи рiвня застосувань (прикладний). Фiльтрацiя вiдбувається за застосуваннями, яким вiдповiдають програми-посередники. Наприклад, посередник застосування FTP може заборонити використання команди PUT для передавання iнформацiї на свiй сервер;

· брандмауери експертного рiвня. Поєднують рiвнi 1-4 пiд час фiльтрування; фiльтрують пакети на канальному рiвнi, розпiзнають сеанс, оскiльки шлюзи належать до сеансового рiвня; аналiзують i фiльтрують пакети за ознаками рiвня. Для фiльтрування пакета даних застосовують табличнi, евристичнi правила, порiвняння зi зразками тощо.

 

Політика міжмережевої взаємодії ― це частина політики безпеки в організації, яка визначає вимоги до безпеки інформаційного обміну з зовнішнім світом.

Дані вимоги обов'язково повинні відображати два аспекти:

● політику доступу до мережевих сервісів - визначає правила надання,а також використання всіх можливих сервісів захищається комп'ютерної мережі;

● політику роботи брандмауера - задає базовий принцип управління міжмережевим взаємодією, покладений в основу функціонування брандмауера. Може бути вибраний один з двох таких принципів:

● заборонено все, що явно не дозволено;

● дозволено все, що явно не заборонено.

Тунелювання

За допомогою даної методики пакети даних транслюються через загальнодоступну мережу як за звичайним двохточковим з'єднанням. Між кожною парою «відправник - одержувач даних» встановлюється своєрідний тунель - безпечне логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу в пакети іншого.

Технологія тунелювання дозволяє зашифрувати вихідний пакет повністю, разом із заголовком, а не тільки його поле даних. Такий зашифрований пакет поміщається в інший пакет з відкритим заголовком.

Крім захисту переданої інформації, механізм тунелювання використовують для забезпечення цілісності та автентичності (при цьому захист потоку реалізується більш повно).

Тунелювання застосовується також і для узгодження різних транспортних технологій, якщо; дані одного протоколу транспортного рівня необхідно передати через транзитну мережу з іншим транспортним протоколом.

Що таке iptables? Основні можливості

Iptables -утиліта командного рядка, стандартний інтерфейс керування роботою міжмережевного екрану (брандмауеру) Netfilter для ядер Linux.

Що таке політика безпеки?

Політика інформаційної безпеки — набір законів, правил і практичних рекомендацій і практичного досвіду, що визначають управлінські і проектні рішення в області ЗИ. На основі ПІБ будується керування, захист і розподіл критичної інформації в системі. Вона повинна охоплювати всі особливості процесу обробки інформації, визначаючи поводження ІС у різних ситуаціях.

Політика безпеки визначається як сукупність документованих управлінських рішень, спрямованих на захист інформації й асоційованих з нею ресурсів.

При розробці і проведенні її в життя доцільно керуватися наступними засадами:

1. Стосовно до межмережевих екранів принцип неможливості минати захисні засоби означає, що всі інформаційні потоки в мережу, що захищається, і з її повинні проходити через екран. Не повинно бути "таємних" модемних чи входів тестових ліній, що йдуть в обхід екрана.

2. Надійність будь-якої оборони визначається самою слабкою ланкою. Часто самою слабкою ланкою виявляється не чи комп'ютер програма, а людина, і тоді проблема забезпечення інформаційної безпеки здобуває нетехнічний характер.

3. Принцип неприпустимості переходу у відкритий стан означає, що при будь-яких обставинах (у тому числі позаштатних), СЗІ або цілком виконує свої функції, або повинна цілком блокувати доступ.

4. Принцип мінімізації привілеїв наказує виділяти користувачам і адміністраторам тільки ті права доступу, що необхідні їм для виконання службових обов'язків.

5. Принцип поділу обов'язків припускає такий розподіл ролей і відповідальності, при якому одна людина не може порушити критично важливий для організації процес. Це особливо важливо, щоб запобігти зловмисні чи некваліфіковані дії системного адміністратора.

6. Принцип багаторівневого захисту наказує не покладатися на один захисний рубіж, яким би надійним він ні здавався. За засобами фізичного захисту повинні випливати програмно-технічні засоби, за ідентифікацією й аутентификацией - керування доступом і, як останній рубіж, - протоколювання й аудит. Ешелонована оборона здатна принаймні затримати зловмисника, а наявність такого рубежу, як протоколювання й аудит, істотно утрудняє непомітне виконання злочинних дій.

7. Принцип розмаїтості захисних засобів рекомендує організовувати різні за своїм характером оборонні рубежі, щоб від потенційного зловмисника було потрібно оволодіння різноманітними і, по можливості, несумісними між собою навичками подолання СЗІ.

8. Принцип простоти і керованості інформаційної системи в цілому і СЗІ особливо визначає можливість формального чи неформально доказу коректності реалізації механізмів захисту. Тільки в простій і керованій системі можна перевірити погодженість конфігурації різних компонентів і здійснити централізоване адміністрування.

9. Принцип загальної підтримки заходів безпеки - носить нетехнічний характер. Рекомендується із самого початку передбачити комплекс заходів, спрямований на забезпечення лояльності персоналу, на постійне навчання, теоретичне і, головне, практичне.