Технологии безопасности сетей WLAN (начало)

Современный рынок требует мобильности и постоянства связи для эффективной конкуренции. Сотовые телефоны и персональные цифровые секретари (PDA – Personal Digital Assistant) стали обязательными при увеличении производительности и улучшении конкурентоспособности. Ноутбуки, нетбуки обеспечивают пользователям мобильность работы в любом месте и в любое время. С их появлением возник вопрос о беспроводной передачи данных и подключения терминалов вместо базовых проводных сетей. Одним из самых известных беспроводных технологий стала Wi-Fi (Wireless Fidelity) беспроводная LAN (WLAN). Это технология базируется на методе передачи информации с помощью радиоволн для соединения терминалов в сети с гарантированной пропускной способностью – 11 – 54 Мб / с, работающий в диапазоне частот 2,4 – 5 ГГц.

Сетевые компоненты становятся более уязвимыми для вредоносных действий и непреднамеренных ошибок в политике безопасности предприятия, что роль корпоративной сети продолжает расти, обеспечивая соединение обоих – внутреннего и внешнего связи в форме приложений Internet, intranet и extranet. Сетевая безопасность стала критическим элементом планирования и выполнения корпоративной сети.

Определив функциональность и объяснив необходимость, а также преимущества комплексной безопасности в коммуникациях и, особенно, по беспроводных технологий, эта статья подробно останавливается на решениях, которые выполнены в аппаратном или программном обеспечении и рассматривает две фундаментальные аппаратные категории: с возможностью переконфигурации или без нее. Изученными являются различные технологии существующих платформ с помощью быстрых исполнения интегрированных решений безопасности: цифровые процессоры сигналов (DSP – digital signal processor) и системы на микросхемах (SOC – system-on-a-chip) с / без встроенного функционального DSP.

Безопасность безпроводных сетей так же актуальна при осуществлении видеонаблюдения. Особенно, если в качестве видеоисточника используется аналоговая камера с последующей оцифровкой и передачей данных по беспроводному каналу.

Технологии безопасности сети WLAN. С первых дней существования WLAN были предложены стандартизированные решения и большое количество базовых технологий сетевой безопасности. Впоследствии они были, дополнительные, или заменены более современными стандартами.

Некоторые из ключевых технологий сетевой безопасности, используемые в исполнениях WLAN являются: изоляция демилитаризованной зоны (DMZ – DeMilitarized Zone), изоляция радиочастотного диапазона (RF – radio frequency).

Особенности безопасности стандарта 802.11. IEEE 802.11 – метод аутентификации по умолчанию, который был определен для 802.11 и является подлинности открытой системы и двухшаговый процессом. Станция, которая пытается установить аутентификацию с другой станцией – отправляет управляющий кадр аутентификации, в котором содержится идентификатор станции запрашивает. Станция, получившая этот кадр в ответ отправляет кадр, в котором указывает или автентификувала она эту станцию ​​или нет.

С появлением стандартов 802.11 и их расширений все больше и больше усовершенствованных методов безопасности были заложены в эти стандарты. Три наиболее известные методы защищенного точек беспроводного доступа были заложены в сети стандарта 802.11. Эти базовые методы широко доступны и могут быть достаточными для некоторых приложений: SSID, фильтрация адресов MAC (Media Access Control – контроль медиа-доступа), WEP (Wireless Encryption Protocol – протокол шифрования беспроводной связи).

Возможно использование одного из них, но большая защищенность достигается при их комплексном использовании.

Беспроводная безопасность VPN (Virtual Private Network). VPN решения широко применяются для того, чтобы обеспечить защищенный доступ удаленных сотрудников к корпоративной сети через Интернет. В этом приложении удаленного пользователя VPN обеспечивает защищенный «туннель» через «недовирчу» сеть, в данном случае – Интернет. Различные «туннельные» протоколы, включая протокол туннелирования между узлами (точка-точка) (PPTP – Point-to-Point Tunneling Protocol) и протокол туннелирования канального уровня (L2TP – Layer 2 Tunneling Protocol) используются совместно со стандартными решениями централизованной идентификации, таких как серверы Cisco RADIUS.

Такие же VPN технологии могут быть использованы для защиты беспроводного доступа в сетях WLAN. В этом случае недовирчою сетью является беспроводная сеть. Точки беспроводного доступа конфигурируются для открытого доступа без WEP кодирования, но беспроводной доступ изолируется от корпоративной сети сервером VPN. Точки беспроводного доступа могут быть соединены вместе через виртуальную LAN или LAN, которая разворачивается в демилитаризованной зоне и соединяется с сервером VPN. Точки беспроводного доступа все еще необходимо сконфигурировать в закрытом режиме с SSID (устройством определения идентификатора абонента, осуществляющего вызов) для сегментации сети. Аутентификация и полное шифрование через беспроводную сеть обеспечивается через VPN сервера, также выполняют роль брандмауэров и шлюзов к внутренней корпоративной сети. В отличие от WEP ключей и подходов к фильтрации MAC адресов решения, основанные на VPN и является масштабируемые для большого количества пользователей.

Мобильность является важным в беспроводных приложениях, поскольку ожидается, что мобильный IP действовать аналогично звонкам в сетях телефонии. WLAN ^ должны сотрудничать, чтобы гарантировать санкционированным пользователям, что им нет необходимости регистрироваться снова к существующему домену безопасности и, что их поток информации и сессии будут непрерывными. Под этим понимается возможность единого ввода пароля (при входе в диалоговую систему) и доступ, и управление пропускной способностью, принадлежащий пользователю. Другим родственным моментом является то, что роуминг между беспроводными сетями не вполне прозрачным. Пользователи осуществляют регистрацию только в момент перехода между VPN серверами в сети или, когда система клиент возобновляет работу из аварийного режима. Некоторые VPN решения могут повторно авто подключиться к VPN.

Предмет оптимизации. Подслушивание – угроза номер один в сетях WLAN. Угрозой может быть случайная или хорошо спланированное действие, которое имеет финансовую выгоду или без нее, злоумышленником может быть хорошо обучен и «вооруженный» специалист, который может финансировать чужой правительство. Злоумышленником может даже оказаться старшеклассник, случайно подслушал разговор. Несмотря на источник угрозы, необходимо обеспечить конфиденциальность, целостность, аутентификацию и невозможность отказа от установления коммуникационной сессии и авторства того, что злоумышленник не отправлял данного сообщения.

Существует 12 параметров проектирования, которые должны храниться при выборе этой или иной архитектуры беспроводной безопасности и при проектировании защищенных беспроводных устройств. Без специально заказанных показателей, параметров ими являются: скорость работы в реальном масштабе времени с незначительными задержками сетевых приложений; потребляемая мощность; легкость интеграции и встроенность; легкость технического развития; гибкость и возможность совершенствования, стоимость внедрения, первичная стоимость для пользователя / заказчика операционная зависимость от внешних устройств беспроводной системы; физическая защищенность (защита от неумелого использования и обнаружения вмешательства); устойчивость криптографической системы Мощность двусторонней аутентификации; случайность генерации ключей и вектора инициализации (IV – Initialization Vector).

Если интегрированная система строится на платформе SOC над стандартным CPU или DSP ядром (что называется здесь главным внутришньопроцесорним CPU), тогда функциональность безопасности выполняется в виде встроенного программного обеспечения выполняется всего из ПЗУ путем отбора циклов с внутришньопроцесорного главного CPU или встроенного DSP сопроцессора (в виде отдельной микросхемы).

Это – классическое правило проектирования в области безопасности коммуникаций, которое означает, что ничто не может быть доверительным за пределами криптографической модуля. Это особенно видно в приложениях правительственной связи, где, например, должна быть обеспечена Federal Information Processing Standard (FIPS)-основанная технология обнаружения вмешательств. Вот почему правила не могут быть общепринятыми для загрузки извне (за исключением некоторых специфических и очень хорошо контролируемых окружения), так приходиться иметь дело с вредоносным или ложным правилом. Результирующим принципом является то, что достаточное функциональность должна быть интегрирована в середине криптографической модуля. В HORNET ™ проектировании, например, устройство CPU (главный CPU терминала-телефона) является недовирчим местом. Поэтому, ключи генерируются внутри криптографической микросхемы (кристалла). Случайные числа, которые используются для генерирования векторов инициализации (также известное как начальное значение) генераторов случайных чисел также генерируются внутри этой криптографической микросхемы. При минимизации случайности возникают проблемы с избыточным доверием другого компонента.

Предположим, что хотим обеспечить безопасность беспроводных терминалов, а потом допустим, чтобы наш проект:

  • Обеспечивал сквозной защиту для голоса и данных.
  • Действовал в скоростях реального времени.
  • Был защищен от неумелого использования и сложный для взлома.
  • Базировался на соответствующих стойких криптографических алгоритмах.

Среди нескольких необходимых модулей основой этого решения – криптографический механизм. Шифрование, используя, например, алгоритмы DES или 3DES, являются привлекательными для нашей архитектуры.

Применение 3DES шифрования в программном воплощении в середине мобильного терминала должно быть исключено, пока настоящее CPU меняется. Современные мобильные терминалы используют чипы, которые проектируются на основе SOC архитектуры. Возможно было бы изменить ядро ​​CPU в середине устройства главного центрального процессора (MCU) и приспособить такое решение в программном обеспечении вместе с цифровым сигнальным процессором (DSP). Другое решение, которое используют некоторые производители, – создать внешний модуль-приставку, внутри которой 3DES выполняется на отдельном CPU (с его собственной памятью и питанием). Но это не то, что нам необходимо. Это решение не является встроенным и не в середине мобильного терминала. Это решение не является быстрым и, наверное, не является защищенным от неумелого использования.

Добавляя шифрования в реальном времени, очевидно, это нагрузит ресурсы процессора. Если рассматривать это с точки зрения схемы, новая криптография может быть не симметричной (используя Rijndael в аппаратном воплощении необходима разная схема в обоих концах связи, поскольку планирование ключей отличается на станциях шифрования и дешифрования).

До тех пор, пока MCU или немодулированной передачи вычислений микросхемы может быть усовершенствовано, следующий рост потребления мощности связано с продолжительностью работы батареи питания и соответственно увеличивается стоимость устройства. Невозможно будет выполнение рассматриваемого 3DES алгоритма шифрования в программном обеспечении в сжатом устройства. Отрицательным является вид, когда рассматриваются телекоммуникации 2.5 или 3 поколения, поскольку багатомегабитний трафик в секунду (в том числе потоковое аудио или сжатый / кодированное видео) будет ссылаться в прямом и обратном направлениях.

Это и является причиной того, что телефоны с шифроалгоритмом 3DES отсутствуют в свободной продаже в магазинах. Такие компании, как Starium, SAGEM, Crypto AG, Siemens и др. (аппараты, продаваемые Rohde & Schwartz) пробовали осуществить эту задачу в нескольких вариациях, но лучшим достижением было создание встроенного модуля, который соединяется с мобильным терминалом с собственным RISC CPU, памятью и питанием, что обеспечивает комплексную безопасность в программном исполнении низкоуровневой криптографии и управления ключами. Это решение работает на совместимых устройствах одного и того же производителя и может работать в низкоскоростных коммуникациям (телефония), причем стоимость колеблется от $ 100 за модуль в $ 44,000 за защищенный качественных модуль.

Вернемся теперь к аппаратному подхода. А если мы будем использовать DES шифратор вместо программного обеспечения? Существует несколько замечательных DES шифраторов в кремниевой или IP форме ядра. Почему бы не лицензировать один из этих многочисленных IP ядер шифрования DES, которые могут быть легко интегрированы в ASIC? Почему бы не спроектировать один из них в нашем мобильном терминале?

Эти ASIC и IP ядра, основанные на технологии потокового шифрования и / или блочного шифрования, который может применяться на очень больших скоростях. Это занимает относительно маленькую частичку кремния и может быть связано с различными механизмами генерирования случайных чисел и генерирования ключей, планирования, замена и управления с соответствующими методами аутентификации и требованиями к PKI (Public Key Infrastructure-инфраструктура открытых ключей) общества в будущем. Они – современные проекты, которые используются в маломощных CMOS технологиях и изготавливаются для продажи за несколько долларов.

Добавить комментарий

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.