- •1. Основные принципы построения беспроводных систем связи
- •1.1. Стандарты семейства ieee 802.11
- •1.1.1. Основные принципы
- •1.1.3. Физический уровень
- •1.1.4. Стандарты ieee 802.11а и 802.11g
- •1.2. Схема распределенного управления в локальных сетях
- •1.3. Работа беспроводных систем связи в условиях городских и региональных сетей
- •1.4. Структура беспроводной сети в локальном территориальном районе
- •2. Идентификация рисков информационной безопасности беспроводных систем связи
- •2.1. Идентификация нарушителей
- •2.2. Потенциал нападения нарушителей
- •2.3. Спектр угроз безопасности беспроводных систем связи
- •2.4. Спектр уязвимостей беспроводных систем связи
- •2.4.1. Уязвимости, обусловленные средой передачи и диапазоном рабочих частот
- •2.4.2. Уязвимости системы аутентификации
- •2.4.3. Уязвимости криптографических протоколов
- •2.4.3.1. Crc и целостность данных.
- •2.4.3.2. Шифрование rc4
- •2.4.3.3. Вычисление ключевого потока
- •2.4.3.4. Получение секретного ключа
- •2.5. Атаки, применяемые к беспроводным системам связи
- •2.5.2. Атаки на систему аутентификации
- •2.5.3. Атаки на криптографические протоколы
- •2.5.3.1. Пассивные сетевые атаки
- •2.5.3.2. Активные сетевые атаки
- •2.5.3.3. Повторное использование вектора инициализации
- •2.5.3.4. Манипуляция битами
- •2.6. Определение вероятностей реализации угроз
- •3. Политика безопасности оператора беспроводной связи
- •3.1. Общие положения
- •3.2. Цели и задачи
- •3.3. Основные принципы
- •3.4. Подход к разработке политики безопасности согласно iso 17799
- •3.5. Структура неформальной политики безопасности
- •3.6. Формализация положений политики безопасности
- •3.7. Основные методики формирования политики безопасности
- •4. Обеспечение информационной безопасности беспроводных систем связи
- •4.1. Основные принципы и подходы к защите
- •4.2. Мероприятия по организации минимального уровня защищенности
- •4.3. Мероприятия по обеспечению информационной безопасности беспроводных сетей
- •4.4. Наказания за нарушения политики безопасности
- •394026 Воронеж, Московский просп., 14
1.2. Схема распределенного управления в локальных сетях
В режиме распределенного управления (схема DCF) информационные пакеты передаются в общем случае двумя способами. Короткие пакеты, чья длина не превышает некоторого предела , передаются с помощью механизма базового доступа. При этом механизме, показанном на рис. 1.16, станция, успешно принявшая кадр DATA, содержащий информационный пакет, спустя короткий интервал SIFS немедленно отвечает положительным подтверждением АСК.
Рис. 1.16. Механизм базового доступа (s – SIFS, b.s - слоты времени отсрочки)
Для пакетов с длиной, большей RTS-порога , используется механизм Request-To-Send/Clear-To-Send (RTS/CTS). В этом случае, изображенном на рис. 1.16 передача кадра DATA предваряется запросом на передачу (RTS). направляемым к принимающей станции, которая спустя SIFS отвечает разрешающим кадром CTS. И только по получении кадра CTS передается кадр DATA, который подтверждается кадром АСК. Таким образом, значение выбирается в результате разумного компромисса между накладными расходами механизма RTS/CTS, заключающимися в передаче двух дополнительных кадров RTS и CTS, и выигрышем в длительности коллизии. Как видно из сравнения рис. 1.16 и рис. 1.17, длительность коллизии при базовом доступе определяется максимальной длиной кадров DATA, участвующих в коллизии, а при использовании механизма RTS/CTS она равна длительности передачи короткого кадра RTS.
Рис. 1.17. Механизм RTS/CTS
После завершения попытки передачи очередного пакета станция переходит в состояние отсрочки спустя интервал DIFS, если попытка была успешной (т. е. коллизия отсутствовала и все кадры, относящиеся к данному пакету, были переданы корректно, без искажения помехами), или EIFS — при неудачной попытке. При этом счетчик времени нахождения в состоянии отсрочки устанавливается в начальное значение b, которое называется временем отсрочки, измеряется в слотах длительностью σ и равновероятно выбирается из множества (0,..., w - 1). Значение w, называемое конкурентным окном, зависит от значения пr числа сделанных попыток передачи текущего пакета:
W=Wi=Wo2nr при nr<m и w=Wm при , (1.4)
где W0=CWmin и Wm=W02m = CWmax — соответственно минимальное и максимальное конкурентные окна.
В процессе передачи текущего пакета каждая станция, инициировавшая передачу, подсчитывает число неудачных попыток передачи коротких (ns) и длинных (nd) кадров. Пусть станция передала кадр DATA с пакетом, длина которого меньше или равна , или кадр RTS. Тогда, если в течение тайм-аута, равного EIFS, поступит ответный корректный кадр, соответственно АСК или CTS, то значение счетчика ns обнуляется, а иначе значение ns увеличивается на единицу. Аналогично значение счетчика nd обнуляется или увеличивается на единицу в случаях соответственно приема или отсутствия (в течение тайм-аута) корректного кадра АСК, подтверждающего успешную передачу кадра DATA с пакетом, длина которого больше . Если значение любого из счетчиков ns и nd достигает некоторых предельных значений соответственно Ns и Nd, то текущий пакет отбрасывается и (при непустой очереди) выбирается следующий пакет для передачи с обнулением значений nr,ns и nd
Для снижения влияния помех стандарт рекомендует разбивать пакеты, размер которых больше некоторого порога фрагментации Lf, на фрагменты, размер каждого из которых (кроме последнего) равен Lf. Таким образом, пакет передается в виде цепочки кадров DATA, содержащих последовательные фрагменты и перемежаемых ответными кадрами АСК, а также короткими межкадровыми промежутками SIFS (рис. 1.18). При искажении некоторого фрагмента станция переходит в состояние отсрочки, увеличивая на единицу значение счетчика попыток nг, и повторная передача начнется именно с этого фрагмента, а не с начала всего пакета.
Рис. 1.18. Передача фрагментированных пакетов
Процесс передачи первого фрагмента в общем случае складывается из обмена четырьмя кадрами: запрос на передачу (кадр RTS), разрешение на передачу (кадр CTS), сам фрагмент с заголовком (кадр DATA) и подтверждение успешной передачи (кадр АСК).
Эти фазы обмена разделяются коротким временным интервалом SIFS. При длине фрагмента, меньшей некоторого предела Р, кадры RTS и CTS не используются. Если станция в течение тайм-аута не получает ответные корректные кадры CTS и АСК (а также сразу по приеме искаженных кадров или кадров, относящихся к другой станции), она считает, что либо произошла коллизия, либо последний переданный кадр был искажен, и переходит в состояние отсрочки, увеличивая на единицу свой счетчик коллизий nг. После успешной передачи фрагмента (по получении АСК) станция, спустя SIFS начинает передачу следующего фрагмента. Передача последующих фрагментов пакета отличается лишь тем, что при первой попытке не используются кадры RTS и CTS независимо от длины фрагмента. После успешной передачи последнего фрагмента пакета станция переходит в состояние отсрочки, обнуляя счетчики nr,ns и nd. Станция начинает передачу при выполнении следующих условий: 1) истекло время отсрочки с момента последней передачи данной станции; 2) эфир этой станции был свободен в течение интервала задержки (равного DIFS, если последний «услышанный» кадр не был искаженным, а иначе — EIFS); 3) в очереди на передачу имеются готовые пакеты. В частности, при поступлении нового пакета в пустую очередь на передачу станция либо сразу начинает передачу кадра RTS или DATA (см. выше), если на момент поступления пакета эфир был свободен в течение интервала задержки, либо переходит в состояние отсрочки с пr = 0. Этот переход в общем случае состоит из двух фаз: 1) ожидание освобождения канала, если он занят, и 2) интервал задержки. Если в течение этого интервала канал был свободен, станция начинает отсчет времени отсрочки (а иначе обе фазы перехода повторяются). Отсчет прекращается по получении сигнала о занятости канала и возобновляется только спустя интервал задержки с момента освобождения канала. По окончании отсчета времени отсрочки станция либо сразу же посылает кадр RTS (или DATA при длине фрагмента, меньшей ), либо простаивает в ожидании нового пакета (при пустой очереди на передачу).
Для повышения надежности слежения за состоянием эфира протокол Radio-Ethernet наряду с регистрацией «физической» занятости эфира предусматривает механизм отслеживания «виртуальной» занятости. Для этого кадры содержат поле предполагаемой длительности передачи tnav
- для кадра RTS значение tnav равно сумме времен передачи CTS, DATA и АСК;
- для CTS оно равно сумме времен передачи DATA и АСК;
- для DATA оно равно сумме времен передачи АСК данного фрагмента и DATA и АСК следующего фрагмента (если он есть);
- наконец, для АСК tnav равно сумме времен передачи DATA и АСК следующего фрагмента.
Все эти суммы включают соответствующее число интервалов SIFS между кадрами. Станция, принявшая кадр, не предназначенный ей, считывает из него значение tnav и считает эфир «виртуально» занятым в течение соответствующего интервала (в случае кадра RTS механизм более сложен). Механизм отслеживания «виртуальной» занятости особенно полезен в случае скрытых станций, причем особенности схемы DCF в этом случае будут рассмотрены в следующей главе.
Изложение особенностей протокола для технологии FHSS также дадим в следующей главе, а сейчас перейдем к описанию используемых моделей.