излу-IrDA Infrared Data Association - Ассоциация передачи данных с помощью ин-фракрасного оборудования - некоммерческая ассоциация, предлагающая стан-дарты в области обеспечения качест
Trang 24 2 6 ПРИЛОЖЕНИЕ F
Предлагаемые новые значки
Trang 3Arhont Ltd Отчет о результатах аудита стабильности и безопасности
беспроводной сети
Trang 44 2 8 ПРИЛОЖЕНИЕ G jxi.i.i.- Ui.ijijujmjjijj.ijjjj i.u,i i i Ttr.
Trang 5ФОРМА ОТЧЕТА О РЕЗУЛЬТАТАХ ТЕСТИРОВАНИЯ 4 2 9
Trang 17801.11 - самый первый из стандартов IEEE, в котором определяется порядок
дос-тупа к передающей среде и приводятся спецификации физического уровня длябеспроводных локальных сетей со скоростью до 2 Мбит/с Стандарт 802.11 рас-пространяется на высокочастотные радиоканалы DSSS и FHSS, а также на инфра-красные каналы
802.1 li - стандарт IEEE, относящийся к безопасности беспроводных сетей В нем
объединены протоколы 802.1х и TKIP/CCMP с целью обеспечить аутентификациюпользователей, конфиденциальность и целостность данных в беспроводных ло-кальных сетях
представ-Big-Endian - метод хранения данных, когда наиболее значимый бит хранитсяпервым
Trang 184 4 2 WI-ФУ: «БОЕВЫЕ» ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Bluetooth - часть спецификации 802.15 для беспроводных персональных сетей,
разработанная и поддерживаемая группой Bluetooth SIG, которая была основана компаниями Ericsson, Nokia, IBM, Intel и Toshiba Радиоустройства Bluetooth - это маломощные FHSS-трансиверы, работающие в среднем диапазоне ISM.
ССМР (Counter Mode with CBC-MAC) - основанный на алгоритме AES протокол
шифрования, который должен заменить WEP и TKIP, когда выйдет окончательная версия стандарта 802.Hi Будет считаться обязательным в спецификации WPA версии 2.
Clear To Send (CTS) (Готов к передаче) - управляющий фрейм в стандарте
802.11, применяемый для обнаружения виртуальной несущей Фрейм CTS ется в ответ на фрейм RTS Он разрешает запрашивающему хосту передавать дан-
посыла-ные в течение времени, указанного в поле Network Allocation Vector.
CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance) - протокол
мый компанией Digital Equipment Corporation.
DSSS (Direct Sequence Spread Spectrum - прямая последовательность ния спектра) - один из двух подходов к передаче радиосигналов с изменяемым
измене-спектром При использовании технологии DSSS поток передаваемых данных бивается на небольшие кусочки, каждому из которых выделяется широкополос- ный канал На передающем конце информационный сигнал комбинируется с пос- ледовательностью битов, передаваемых с более высокой скоростью, которая разделяет данные в соответствии с коэффициентом изменения.
раз-ЕАР (Extensible Authentication Protocol - расширяемый протокол кации) - гибкий протокол аутентификации, первоначально спроектированный
аутентифи-для аутентификации в протоколе РРР, а позже включенный в стандарт 802.1х Протокол ЕАР определен в RFC 2284.
EAPOL (ЕАР over LAN - ЕАР поверх локальной сети) - инкапсуляции фреймов
протокола ЕАР в проводных локальных сетях Определяется отдельно для Ethernet
и Token Ring.
EIRP (Эффективная изотропно излучаемая мощность) - реальная выходная
мощ-ность, излучаемая антенной, рассчитываемая по формуле IR + коэффициент усиленияантенны
Trang 19из-Integrity Check Value (ICV - код контроля целостности) - простая контрольная
сумма, вычисляемая для фрейма 802.11 перед началом шифрования по протоколу WEP.
Internet Key Exchange (IKE - обмен ключами через Internet) - стандартный
протокол управления ключами, обычно применяемый в IPSec.
IR (Intentional Radiator) - радиопередающее устройство с кабелями и
разъе-мами, но без антенн Определено FCC для реализации ограничений в части чаемой мощности.
излу-IrDA (Infrared Data Association - Ассоциация передачи данных с помощью
ин-фракрасного оборудования) - некоммерческая ассоциация, предлагающая
стан-дарты в области обеспечения качества и совместной работы оборудования для тей на основе инфракрасных лучей.
се-ISM (Industrial, Scientific, Medical) - диапазоны частот, разрешенные FCC для
применения в промышленных, научных и медицинских целях без получения цензии К этим диапазонам относятся 902-928 МГц, 2,4-2,5 ГГц и 5,725-5,875 ГГц.
ли-Lightweight Directory Access Protocol (LDAP - облегченный протокол службы каталогов) - протокол, предоставляющий интерфейс для управления и поиска в
каталогах стандарта Х.500.
Little-Endian - метод хранения данных, когда наименее значимый бит хранится первым.
Management Information Base (MIB - управляемый информационный блок) - спецификация параметров устройства, записанная с помощью абстракт-
ной синтаксической нотации (Abstract Syntax Notation- ASN) Используется в протоколе SNMP для мониторинга и оповещения о статусе устройства, а также для удаленного управления.
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) - протокол
аутентификации с предварительным согласованием вызова.
Trang 20не требует замены оборудования.
Traffic Indication Map (TIM - карта индикации трафика) - поле во
фреймах-маяках стандарта 802.11, используемое для того, чтобы сообщить клиентам в щем режиме о том, что для них поступили данные.
спя-UNII (Unlicensed National Information Infrastructure - нелицензируемый пазон для национальной информационной инфраструктуры) - набор частот-
диа-ных диапазонов, одобренный FCC для нелицензируемого использования: 5,15- 5,25, 5,25- 5,35 и 5,725-5,825 ГГц.
WEP (Wired Equivalent Privacy) - в стандарте 802.11 необязательный механизм
обеспечения безопасности, в котором для шифрования трафика в беспроводной сети применяется алгоритм RC4 Опубликованы и широко известны некоторые слабости протокола WER
WIDS (IDS для беспроводных сетей) - система обнаружения вторжений,
способ-ная выявлять угрозы безопасности на первом и втором уровнях беспроводной сети.
Wi-Fi (Wireless Fidelity) - процедура сертификации, разработанная
организа-цией Wi-Fi Alliance, которая гарантирует возможность совместной работы личных продуктов, реализующих стандарт 802.11.
раз-Wi-Fi Alliance - организация, которая сертифицирует пригодность устройств
802.11 для совместной работы и продвигает Wi-FiTM в качестве глобального дарта совместимости беспроводных сетей.
стан-Активное сканирование - метод, с помощью которого клиентское устройство
обнаруживает беспроводные сети Состоит в посылке фрейма с пробным сом и ожидании ответа на этот фрейм, в котором содержатся параметры отвечаю- щей сети.
запро-Анализатор беспроводных протоколов - анализатор протоколов, способный
вести мониторинг трафика в беспроводной сети (например, с помощью режима
RFM0N) и распознавать протоколы, применяемые на уровне 2 такой сети.
Trang 21ГЛОССАРИЙ 4 4 5 iuu jmmn-j-mimAi.nАнтенна - устройство для передачи и приема радиосигналов Антенны проекти-
руются для конкретных частотных диапазонов и сильно различаются по форме.
В этой книге рассматриваются главным образом антенны, работающие в нах ISM и UNII.
диапазо-Атака методом полного перебора - атака путем подбора комбинации имени и
пароля пользователя, основанная на предложении случайных неповторяющихся строк до тех пор, пока не будут угаданы правильные значения.
Атака на беспроводную сеть путем внедрения трафика - атака на
защищен-ную протоколом WEP беспроводзащищен-ную сеть, основанная на дублировании щего трафика и повторной вставке его в сеть или на получении правильных час- тей гаммы и последующей передачи корректных данных без знания ключа.
проходя-Атака на механизм маршрутизации - класс DoS-атак или атак путем
перенап-равления трафика, основанных на модификации маршрутных таблиц на жертве Может быть реализована посредством подделки обновлений, посылаемых
реализован-Атака типа «отказ в обслуживании» (DoS-атака) ~ в этой книге любой вид
ата-ки, которая может привести к останову или зависанию машины либо нию нормальной работы службы, хоста или всей сети.
прекраще-Атака типа «человек посередине» - активная атака, в ходе которой
против-ник перехватывает и избирательно модифицирует передаваемые данные, ставляясь одной из общающихся сторон.
разме-Аутентификация на основе разделенных ключей - вид аутентификации в
стандарте 802.11, основанный на механизм запрос-ответ с использованием варительно разделенного WEP-ключа Не обеспечивает безопасности и в конце концов будет заменен стандартом 802.1х.
Trang 22Беспроводная распределенная система (WDS) - элемент беспроводной
систе-мы, состоящий из взаимосвязанных базовых наборов служб, которые образуют расширенный набор служб.
Беспроводной мост - устройство, работающее на канальном уровне и
соединяю-щее проводные локальные сети с помощью беспроводной среды.
Беспроводной шлюз - связное устройство между проводной и беспроводной
се-тями, которое может поддерживать различные функции, в том числе межсетевой экран, маршрутизатор, качество обслуживания, VPN-концентратор и сервер аутен- тификации Можно сказать, что это обогащенная точка доступа.
Вектор инициализации (IV) - дополнительные несекретные двоичные
дан-ные для шифрования известного или предсказуемого открытого текста с лью введения добавочной криптографической изменчивости Кроме того, век- торы инициализации используются для синхронизации криптографического оборудования.
це-Взломщик - человек, пытающийся преодолеть механизмы защиты сети, хоста или
программы для получения незаконных привилегий.
Виртуальная локальная сеть - способ разделения широковещательных доменов
на канальном уровне с помощью стандарта 802.lq или предложенной компанией Cisco технологии тегированных ISL-фреймов Для соединения двух виртуальных сетей необходим маршрутизатор.
Глубоко эшелонированная оборона - в этой книге подход к обеспечению
безо-пасности сети, основанный на создании защитных механизмов на нескольких уровнях, не полагаясь на какую-то одну контрмеру, протокол или устройство.
Глушение - преднамеренное внесение помех в беспроводной канал передачи
данных DoS-атака на уровне 1 против беспроводных сетей.
Демилитаризованная зона (DMZ) - в архитектуре межсетевых экранов область,
отделяющая безопасную внутреннюю локальную сеть от хостов, доступных из сети общего пользования.
Децибел (дБ) - единица измерения отношения мощностей, применяемая к
уси-лению или ослабуси-лению сигнала.
Trang 23ГЛОССАРИЙ 4 4 7
Закрытый системный ESSID - сокрытие ESSID путем удаления содержащей его
строки из фреймов-маяков и пробных запросов Как и фильтрация МАС-адресов,легко обходится решительным противником
Запрос на передачу (Request to Send - RTS) - тип управляющего фрейма в
стан-дарте 802.11, применяется в механизме обнаружения виртуальной несущей Еслитакой механизм используется в сети 802.11, то станция, желающая отправить дан-ные, должна предварительно послать фрейм RTS
Затухание в свободном пространстве - уменьшение амплитуды радиосигнала
из-за рассеивания
Зона Френеля - упрощенно можно сказать, что это эллиптическая область
вок-руг линии прямой видимости между двумя беспроводными передатчиками Чтобыкачество сигнала оставалось приемлемым, зона Френеля не должна перекрывать-
Обнаружение физической несущей - в этой книге проверка уровня сигнала в
беспроводной сети
Trang 244 4 8 А Wl-ФУ: «БОЕВЫЕ» ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Ортогональное мультиплексирование деления частоты (Orthogonal Frequency Division Multiplexing - OFDM) - метод кодирования на физическом уровне, заклю-
чающийся в том, что несколько медленных подканалов передачи данных ются в один быстрый Применяется в сетях стандартов 802.11а и 802.llg.
объединя-Ослабление - уменьшение амплитуды радиосигнала из-за сопротивления
кабе-лей и разъемов, потерь в свободном пространстве, помех или препятствий на пути распространения сигнала.
Осмотр места развертывания сети - осмотр местности с целью определения
пе-риметра и свойств зоны радиопокрытия.
Отношение сигнал/шум - сила принятого сигнала за вычетом фонового шума Отрицание - ситуация, в которой отправляющая сторона отказывается от факта
Поляризация - в этой книге физическая ориентация антенны относительно
зем-ли Может быть горизонтальной или вертикальной.
Пометки на стенах - оставление мелом или краской пометок о присутствии
и характеристиках беспроводных сетей в виде заранее оговоренных, широко известных пиктограмм Необязательная альтруистическая помощь искателю сетей.
Претендент - в протоколе 802.1х клиентское устройство, нуждающееся в
аутен-тификации.
Принцип минимальной осведомленности - общий принцип обеспечения
безопасности, заключающийся в том, что пользователи должны иметь доступ только к тем ресурсам и данным, которые необходимы для выполнения их фун- кций в организации.
Trang 25ГЛОССАРИЙ 4 4 9
Проблема «близко/далеко» - проблема, возникающая в беспроводных сетях
из-за того, что хосты, находящиеся близко к точке доступа, из-забивают своим нием удаленные узлы, тем самым отсекая их от сети Может быть результатом ата-
Протокол остовного дерева (Spanning Tree Protocol - STP) - определенный в
стандарте 802.Id протокол уровня 2, позволяющий избежать зацикливания в тях с несколькими коммутаторами и избыточными соединениями.
се-Разнесенность антенны - применение нескольких антенн с одним приемником
для повышения качества приема сигнала и преодоления некоторых ческих проблем, например распространения сигнала по нескольким путям.
радиофизи-Разъем типа pigtail - разъем, с помощью которого специфичные для
производи-теля гнезда на беспроводном оборудовании соединяются со стандартными кочастотными разъемами Основной источник проблем и сбоев при подготовке мобильного оборудования к работе.
высо-Рассеивание спектра - метод модуляции, заключающийся в том, чтобы
«разма-зать» мощность сигнала на более широкий, чем необходимо, частотный диапазон для передачи полезных данных.
Расширенный набор служб (Extended Service Set - ESS) - сеть, состоящая из
обнаружеРежим с предварительным распределением ключей (PreShared Key PSK)
-описанный в спецификации WPA режим обеспечения безопасности, основанный
на предварительном размещении ключей на всех хостах, имеющих доступ к проводной локальной сети Применяется в тех случаях, когда распределение клю- чей по протоколу 802.1х невозможно.
Trang 26бес-4 5 0А WI-ФУ: «БОЕВЫЕ» ПРИЕМЫ ВЗЛОМА И ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ
Режим экономии энергии (PSM) - режим работы клиентского устройства
802.11, при котором питание на короткие промежутки времени отключается и устройство пассивно анализирует трафик в поисках фреймов-маяков (в режиме BSS) или ATIM-фреймов (в режиме IBSS) Если обнаружен маяк с непустым полем TIM или АТШ-фрейм, то клиент выходит из спящего режима и запрашивает данные Когда все ожидающие пакеты получены, клиент снова входит в спящий режим.
Сеть-приманка (honeynet) - реальная или виртуальная сеть, состоящая из
хос-тов-приманок.
Система открытой аутентификации - принятый по умолчанию в стандарте
802.11 метод, согласно которому аутентификационные фреймы должны содержать один и тот же ESSID Не обеспечивает безопасности, так как ESSID передается в открытом виде.
Скриптописатель, или 1337 h4x0r - неквалифицированный хакер, который
пользуется инструментами (часто уже заранее откомпилированными), не мая, для чего они были написаны и как работают Часто обладает непомерным самомнением.
пони-Скрытый узел - беспроводной клиент, который может общаться с точкой
досту-па, но не с другими беспроводными клиентами в той же сети Из-за наличия тых узлов возникают многочисленные коллизии и повторные передачи.
скры-Совмещение (co-location) - установка в одной сети нескольких точек доступа с
неперекрывающимися частотными диапазонами Применяется для увеличения пропускной способности в беспроводных сетях.
Спектральный анализатор - приемник, способный измерять амплитуды
сигна-лов в выбранных частотных диапазонах Полезен для обнаружения помех или глушения в беспроводных сетях.
Усиление - увеличение амплитуды радиосигнала.
Усилитель - устройство, подающее дополнительный постоянный ток в
высокоча-стотный кабель для повышения коэффициента усиления Может быть одно- или двунаправленным с постоянным или переменным усилением.