По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Стандарт 802.11 поддерживал только один способ защиты данных, передаваемых по WI-FI, от перехвата- это WEP. В прошлых статьях мы узнали, что WEP является устаревшим средством защиты данных и его использование не рекомендовано. Какие же еще существуют способы шифрования и защиты данных при передаче по Wi-Fi?
TKIP
В свое время WEP применялся на беспроводном оборудовании клиента и точки доступа, но он был сильно уязвим. На смену WEP пришел протокол целостности временного ключа (Temporal Key Integrity Protocol (TKIP).
TKIP добавляет следующие функции безопасности на устаревшем оборудовании и при использовании базового шифрования WEP:
MIC: этот эффективный алгоритм шифрования добавляет хэш-значение к каждому кадру в качестве проверки целостности сообщения, чтобы предотвратить подделку.
Time stamp: метка времени добавляется в MIC, чтобы предотвратить атаки, которые пытаются повторно использовать или заменить кадры, которые уже были отправлены.
MAC-адрес отправителя: MIC также включает MAC-адрес отправителя в качестве доказательства источника кадра.
Счетчик последовательностей TKIP: эта функция обеспечивает запись кадров, отправленных по уникальному MAC-адресу, чтобы предотвратить использование повторение кадров в качестве атаки.
Алгоритм смешивания ключей: этот алгоритм вычисляет уникальный 128-битный WEP-ключ для каждого кадра.
Более длинный вектор инициализации (IV): размер IV удваивается с 24 до 48 бит, что делает практически невозможным перебор всех ключей WEP путем использования метода вычисления brute-force.
До 2012 года протокол шифрования TKIP был достаточно безопасным методом защиты данных. Он применялся до тех пор, пока не появился стандарт 802.11i. Злоумышленники не оставили в стороне протокол TKIP. Было создано много алгоритмов атак против TKIP, поэтому его тоже следует избегать, если есть более лучший метод защиты данных в беспроводных сетях.
CCMP
Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. CCMP состоит из двух алгоритмов:
AES шифрование в режиме счетчика
Cipher Block Chaining Message Authentication Code (CBC-MAC) используется в качестве проверки целостности сообщения (MIC)
Расширенный стандарт шифрования (AES)- это текущий алгоритм шифрования, принятый Национальным институтом стандартов и технологий США (NIST) и правительством США и широко используемый во всем мире. Другими словами, AES является открытым, общедоступным и представляет собой самый безопасный метод шифрования на данный момент времени.
Для использования протокола защиты CCMP, необходимо убедиться, что устройства и точки доступа поддерживают режим счетчика AES и CBC-MAC на аппаратном уровне. CCMP нельзя использовать на устаревших устройствах, поддерживающих только WEP или TKIP. Как определить, что устройство поддерживает CCMP? Ищите обозначение WPA2.
GCMP
Протокол Galois/Counter Mode Protocol (GCMP)- это надежный набор шифрования, который является более безопасным и эффективным, чем CCMP. GCMP состоит из двух алгоритмов:
AES шифрование в режиме счетчика
Galois Message Authentication Code (GMAC) используется в качестве проверки целостности сообщения (MIC)
GCMP используется в WPA3.
WPA, WPA2 и WPA3
На сегодняшний день существует три метода шифрования WPA: WPA, WPA2 и WPA3. Беспроводные технологии тестируются в официальных испытательных лабораториях в соответствии со строгими критериями.
Альянс Wi-Fi представил первое поколение сертифицированную WPA (известную просто как WPA, а не WPA1), в то время как поправка IEEE 802.11i для совершенных методов обеспечения безопасности все еще разрабатывалась. WPA была основана на части стандарта 802.11i и включала аутентификацию 802.1x, TKIP и метод динамического управления ключами шифрования.
Как только 802.11i был ратифицирован и опубликован, WiFi Alliance включил его в полном объеме в свою сертификацию WPA Version 2 (WPA2). WPA2 основан на превосходных алгоритмах AES CCMP, а не на устаревшем TKIP от WPA. Очевидно, что WPA2 был разработан взамен WPA.
В 2018 году Альянс Wi-Fi представил версию WPA3 в качестве замены WPA2, добавив несколько важных и превосходных механизмов безопасности. WPA3 использует более сильное шифрование AES с помощью протокола Galois/Counter Mode Protocol (GCMP). Он также использует защищенные кадры управления (PMF) для защиты кадров управления 802.11 между точкой доступа и клиентами, чтобы предотвратить несанкционированный доступ и нарушение нормальной работы BSS.
Обратите внимание, что все три версии WPA поддерживают два режима проверки подлинности клиента: предварительный общий ключ (PSK) или 802.1x, в зависимости от масштаба развертывания. Они также известны как личный режим и режим предприятия, соответственно.
Зачастую взлом инфраструктуры происходит не с помощью сверхсекретных разработок или специально созданных "организмов" ("вирусов", "червей", "пауков", "дятлов" - нужное подчеркнуть), а из-за стандартных ошибок в настройках и дизайне. Ликвидировать эти недочёты - проще простого, но с такой же простотой они и создают огромные возможности для хакерских атак. Как отмечают специалисты по безопасности, появления подобных упущений в системе встречается настолько часто, что создаётся впечатление, что для таких ошибок существуют спецкурсы. Поэтому задачей данной статьи не является рассказ о самых современных методах защиты - мы просто постараемся заставить читателей задаться вопросом: "А всё ли хорошо в нашей системе безопасности и всё ли мы предусмотрели для того, чтобы конкуренты не смогли воспользоваться нашими данными и разработками и как устранить неполадки в нашей системе?".
Локальная учётная запись? Забудьте об этом.
Уж сколько раз твердили миру... Слова дедушки Крылова как нельзя лучше характеризуют данную ситуацию - она постоянно возникает и о ней всё время напоминают. Не надо (совсем нельзя) создавать доменной групповой политикой локальные учетные записи на хостах в вашем домене. Говоря военными терминами - уровень опасности красный.
Причина самая банальная - данные по записи (в том числе и пароль) хранится в открытом доступе и по умолчанию доступен всем участникам группы. Если кому интересно, то он находится в файле groups.xml, в ресурсе sysvol контроллера домена, но при этом ключ один на всех. Таким образом, любой желающий может скачать файл и путём нехитрых телодвижений стать администратором группы. Думаю о последствиях говорить не надо.
Чтобы не получилось подобных конфузов надо просто добавлять только доменные учетные записи в локальные группы на хостах.
Права юзеров - на необходимый минимум.
Каждая учётная запись имеет свои права для работы в системе и создана для работы конкретной направленности. Поэтому необходимо минимизировать права каждого пользователя системы, так чтобы они подходили под зону его ответственности. Таким образом, снизится риск утраты контроля над записью, и каждый будет знать только свою, необходимую ему информацию.
UAC - на максимум!
Поставьте на максимум User Account Control (UAC). Его, конечно, можно обойти, но он создаст лишнюю нагрузку для атаки, а время в таких вопросах - играет Вам на руку.
Никакого доступа к учетным данным и хэшам
MIMIKATZ - это утилита, которая очищает память процесса, ответственного за проверку подлинности Windows (LSASS). Затем она и выдает пароли в виде открытого текста и хеш-коды NTLM, которые злоумышленник может использовать для перемещения по сети. Чтобы защититься от неё, надо соблюдать несколько простых правил:
Обновите ваш Active Directory как минимум до 2012 R2;
Следите за обновлениями Windows и постоянно их устанавливайте;
Помещайте важные учетные записи в группу защищенных пользователей и установите параметр реестра;
Не предоставляйте учетной записи больше прав администратора, чем им нужно;
Продолжим тему NTLM, поднятую в предыдущем пункте. Его нужно запретить - от слова совсем. Есть такая замечательная штука, как pass-the-hash. Она, как это можно понять из названия, передаёт хеш NTLM на абсолютно любой хостинг, где разрешён NTLM и атакующий всё про вас узнает. Более того, его также можно передавать вместо учетной записи и ее пароля при атаках.
Навешайте ярлыков на рабочий стол
В прямом смысле - поставьте ярлыки на рабочий стол, которые будут связывать с общими файловыми ресурсами. Тем самым Вы уйдёте от сетевых дисков, а malware почти никогда не воспримет их как сетевые ресурсы. Причина, как всегда, банальная - malware путём перебора букв ищет названия дисков. Конечно, данный совет подходит не всем компаниям, но если возможность подобного похода существует - попробуйте.
Отключите скрытые файловые ресурсы!
И вновь из-за банальной причины. Они - первоочередная цель действия malware и злоумышленников. Конечно, это не все инструменты защиты инфраструктуры, но каждый случай нужно рассматривать отдельно, как и индивидуальные настройки для каждой инфраструктуры.
Первая часть тут.
В конце 1980—х в мире сетевой инженерии появилась новая тема для обсуждения-асинхронный режим передачи данных (ATM). Потребность в более скоростных схемах в сочетании с медленным развитием в коммутации пакетов персонально на основе их адресов назначения привела к толчку к новому виду передачи, который, в конечном счете, реконфигурировал бы весь набор (или стек, потому что каждый протокол образует слой поверх протокола ниже, как «слоёный пирог») протоколов, используемых в современных сетях. ATM объединил размер ячейки (или пакета) с фиксированной длиной коммутации каналов с заголовком из коммутации пакетов (хотя и значительно упрощенным), чтобы произвести «промежуточное» технологическое решение. Было два ключевых момента для ATM: label switching и fixed call sizes; рисунок 1 иллюстрирует первый вариант.
На рис. 1 G отправляет пакет, предназначенный для H. При получении этого пакета A проверяет локальную таблицу и обнаруживает, что следующий переход к H — это C. Локальная таблица A также указывает метку, показанную как L, а не «просто» информацию о том, куда переслать пакет. A вставляет эту метку в специальное поле в начале пакета и пересылает ее в C. Когда C получает пакет, ему не нужно читать адрес назначения в заголовке, скорее, он просто читает метку, которая является коротким полем фиксированной длины. Метка просматривается в локальной таблице, которая сообщает C переадресовать трафик в D для назначения H. Метка очень мала и поэтому легко обрабатывается для устройств пересылки, что делает переключение намного быстрее.
В некотором смысле метка также может «содержать» информацию для обработки пакета. Например, если на самом деле существует два потока трафика между G и H, каждому из них может быть назначена своя метка (или набор меток) через сеть. Пакеты, несущие одну метку, могут иметь приоритет над пакетами, несущими другую метку, поэтому сетевым устройствам не нужно просматривать какие-либо поля в заголовке, чтобы определить, как обрабатывать конкретный пакет.
Это можно рассматривать как компромисс между коммутацией пакетов и коммутацией каналов. В то время как каждый пакет все еще пересылается hop by hop, виртуальный канал также может быть определен путем метки через сеть. Второй момент заключался в том, что ATM также был основан на ячейке фиксированного размера: каждый пакет был ограничен 53 октетами информации. Ячейки фиксированного размера могут показаться незначительной проблемой, но пакеты фиксированного размера могут иметь огромное значение для производительности. Рисунок 2 иллюстрирует некоторые факторы, связанные с фиксированными размерами ячеек.
На рисунке 2 пакет 1 (A1) копируется из сети в память на сетевой карте или интерфейсе LC1; затем он проходит через внутреннюю структуру внутри B (между ячейками памяти) к LC2, и, наконец, возвращается в сеть на исходящем интерфейсе B. На такой диаграмме это может показаться тривиальным, но, пожалуй, наиболее важным фактором скорости, с которой устройство может переключать / обрабатывать пакеты, является время, необходимое для копирования пакета по любым внутренним путям между ячейками памяти. Процесс копирования информации из одного места в памяти в другое является одной из самых медленных операций, которые может выполнять устройство, особенно на старых процессорах. Создание одинакового пакета (фиксированный размер ячейки) позволило оптимизировать код во время процесса копирования, что значительно увеличило скорость переключения.
Путь пакета 2 через B еще хуже с точки зрения производительности; сначала он копируется из сети в локальную память. Когда порт назначения определяется путем поиска в локальной таблице пересылки, код, обрабатывающий пакет, понимает, что пакет должен быть фрагментирован, чтобы соответствовать наибольшему размеру пакета, разрешенному на исходящем канале [B,C]. Карта входящей линии, LC1, фрагментирует пакет на A1 и A2, создавая второй заголовок и корректируя любые значения в заголовке по мере необходимости. Пакет делится на два пакета, А1 и А2. Эти два пакета копируются в двух операциях через матрицу на исходящую сетевую карту LC2. Используя ячейки фиксированного размера, ATM избегает затрат на производительность фрагментации пакетов (в то время, когда предлагалась ATM), понесенных почти любой другой системой коммутации пакетов.
ATM, на самом деле, не начинался в ядре сети и не прокладывал свой путь к краю сети. А почему бы и нет? Первый ответ заключается в довольно странном выборе размера ячейки. Почему 53 октета? Ответ прост-и, возможно, немного поразителен. АТМ должна была заменить не только сети с коммутацией пакетов, но и тогдашнее поколение голосовых сетей, основанных на технологиях коммутации каналов. Объединяя эти две технологии, провайдеры могли бы предлагать оба вида услуг на одном наборе схем и устройств.
Какой объем информации или размер пакета идеально подходит для передачи голосового трафика? Около 48 октетов. Какой объем информации или размер пакета является минимумом, который имеет какой-либо смысл для передачи данных? Около 64 октетов. Пятьдесят три октета были выбраны в качестве компромисса между этими двумя размерами; это не было бы идеально для передачи голоса, так как 5 октетов каждой ячейки, несущей голос, были бы потрачены впустую. Это не было бы идеально для трафика данных, потому что самый распространенный размер пакета, 64 октета, должен был бы быть разделен на две ячейки для переноса через сеть ATM. Общим мнением во время проведения этих обсуждений было то, что протоколы передачи данных могли бы адаптироваться к немного меньшему размеру ячейки, что делает 53 октета оптимальным размером для поддержки широкого спектра трафика. Протоколы передачи данных, однако, не изменились. Для переноса 64-октетного блока данных одна ячейка будет содержать 53 октета, а вторая - 9 октетов с 42 октетами свободного пространства. Провайдеры обнаружили 50% или более доступной пропускной способности на каналах ATM использовались пустые ячейки, что фактически приводило к потере пропускной способности. Следовательно, поставщики данных прекратили развертывание ATM, поставщики голосовой связи так и не начали его развертывание, и ATM умер.
Что интересно, так это то, как наследие таких проектов, как ATM, живет в других протоколах и идеях. Концепция переключения меток была подхвачена Yakov Rekhter и другими инженерами и превращена в переключение меток. Это сохраняет многие фундаментальные преимущества быстрого поиска ATM на пути пересылки и объединения метаданных об обработке пакетов в саму метку. Коммутация по меткам в конечном итоге стала Multiprotocol Label Switching (MPLS), которая не только обеспечивает более быстрый поиск, но также стеки меток и виртуализацию. Таким образом, была взята и расширена основная идея, которая существенно повлияла на современные сетевые протоколы и конструкции.
Вторым наследием ATM является фиксированный размер ячейки. В течение многих лет доминирующий сетевой транспортный пакет, основанный на TCP и IP, позволял сетевым устройствам фрагментировать пакеты при их пересылке. Однако это хорошо известный способ снижения производительности сети. Бит «не фрагментировать» был добавлен в заголовок IP, сообщая сетевым устройствам о необходимости отбрасывать пакеты, а не фрагментировать их, и были предприняты серьезные усилия для обнаружения самого большого пакета, который может передаваться по сети между любой парой устройств. Новое поколение IP, названное IPv6, удалило фрагментацию сетевыми устройствами из спецификации протокола.
Третья часть тут.