Техническая записка TN-182 11/04/TC ОСНОВЫ БЕСПРОВОДНОЙ БЕЗОПАСНОСТИ ВСТУПЛЕНИЕ Компания RAE Systems предлагает ряд решений по обеспечению беспроводной связи, облегчающих установку и развертывание датчиков RAE. При внедрении беспроводных систем в зонах, где постоянно измеряются химические, биологические, радиологические и/или физические параметры встает целый ряд вопросов: будет ли передача данных по каналу искажаться от помех? Смогут ли посторонние лица перехватить информацию или подделать передаваемые данные? Не получат ли они доступ ко всей сети через беспроводной канал? Ответы на эти вопросы можно найти в этой технической записке. О защите беспроводной связи доступны достаточно обширные сведения, однако не лишним будет рассмотреть и вопросы обеспечения безопасности проводных систем. Для начала целесообразно изучить схему распределения спектров частот в США. Обратите внимание: таблица распределения на рисунке 1 представляет собой график с логарифмическими координатами, на котором графически представлено распределение частот в диапазоне от 3 кГц до 300 ГГц между пользователями/службами. Детали диаграммы достаточно сложно рассмотреть. Полноформатную версию PDF можно найти на веб-сайте Национального управления США по связи и информации: http://ntia.doc.gov/osmhome/allochrt. html. Таблицу в документе PDF можно масштабировать для удобства чтения, а на сайте вы сможете заказать ее в виде настенного плаката. Обратите внимание на цветовые обозначения. Желтый указывает на частоты, используемые в астрономии (например, для поисков сигналов от внеземных цивилизаций на линии 21 см H2). Большие синие зоны обозначают частоты, используемые для амплитудно-тоновой модуляции (AM/FM), телевидения, беспроводной и сотовой связи. Зеленые зоны представляют промышленные, научные и медицинские диапазоны (ISM) — участки спектра, в которых работает большинство нелицензируемых радиоустройств, в том числе и беспроводные системы от RAE Systems. Первый зеленый диапазон на рисунке 1 (линия 5) соответствует примерно 433 МГц (за ним следуют различные диапазоны, используемые для телевещания и сотовой телефонии). Небольшой зеленый сектор в центре линии 5 обозначает ISM-диапазон 902–928 МГц. За ним расположены частоты, предназначенные для других целей (используются Министерством обороны, Рисунок 1. Схема распределения частот в США от Федеральной комиссии связи (FCC) RAE Systems by Honeywell 877-723-2878 raesystems.com 1 Техническая записка TN-182 11/04/TC полицией, радиоастрономами, а также в системах GPS). По правому краю линии 5 расположена небольшая зеленая вставка — ISM-диапазон 2,4 ГГц, активно использующийся в работе нелицензируемых устройств по всему миру. Таким образом, мы видим, что наиболее распространенные нелицензируемые ISM-диапазоны для радиочастотной передачи данных — 433 МГц, 915 МГц и 2,4 ГГц. Передача данных на фиксированных частотах (узкополосная) Традиционным радиостанциям AM и FM выделяются специальные частоты для центров передачи данных (вспомните «980 на шкале AM»). Преимущество фиксированной частоты — в том, что приемник автоматически настраивается на нее для получения радиосигнала. На рисунке 2 показано, как мог бы выглядеть традиционный узкополосный сигнал в обычном анализаторе спектра. В ходе передачи информации несущая частота модулируется, что создает вариации, которые затем улавливаются и демодулируются в приемнике. Передачу сигнала можно легко обнаружить с помощью анализатора спектра. А чтобы получить сигнал, достаточно просто настроить приемник на нужную частоту вещания. Демодуляция сигнала и извлечение информации основаны на расшифровке сигнала. Рисунок 3. Передача данных с расширением спектра методом скачкообразной перестройки частоты Расширение спектра методом прямой последовательности (DSSS) Этот новый подход к расширению спектра узкополосной передачи предусматривает распространение энергии сигнала по нескольким частотам и их одновременную передачу. Как видно из рисунка 4, это достигается за счет чередования битов информации (данных) с дополнительными битами 0 или 1, которые добавляются не в случайном порядке, а в заданной последовательности, что позволяет одновременно передавать различные сигналы в одном спектральном диапазоне. Чередование также предусматривает механизм исправления различных ошибок, которые могут возникнуть в процессе беспроводной передачи данных. При передаче сигнала методом DSSS больше энергии перемещается в боковые лепестки, Рисунок 2. Узкополосная передача на фиксированной частоте На сегодняшний день существует множество радиосистем, использующих узкополосную передачу. Вспомним радиостанции AM и FM: когда два радиоустройства одновременно вещают на одной частоте из одного места, это приводит к внутриканальным помехам, из-за которых сигнал обоих передатчиков сбивается. Другими словами, узкополосное вещание имеет ряд ограничений. Расширение спектра со скачкообразной перестройкой частоты (FHSS) В системах со скачкообразной перестройкой частоты средняя частота передачи варьируется во времени, как показано на рисунке 3. В каждый отдельный момент времени система работает как узкополосный передатчик, и вся энергия фактически сконцентрирована в этом главном лепестке. Так называемое «расширение» заключается в скачках средней частоты лепестка. Например, технология беспроводной передачи данных Bluetooth основана на FHSS с 1600 скачками в секунду в диапазоне 80 МГц. Чтобы приемник, использующий технологию FHSS, мог отслеживать передачу, он должен быть рассчитан на такую перестройку. Для лучшей защиты можно время от времени менять схему перестройки (как правило, основанную на последовательности Фибоначчи) псевдослучайным образом. RAE Systems by Honeywell 877-723-2878 raesystems.com Рисунок 4. Расширение узкополосного сигнала путем включения кода расширения в данные а в несущем сигнале энергии остается меньше, поэтому обнаружить такой несущий сигнал тяжелее. На рисунке 5 представлен типичный спектр для 11-битного кода расширения. Следует отметить, что большая часть энергии все равно находится в средней частоте. Чем больше битов в коде расширения спектра, тем больше энергии передается в боковые лепестки. В крайнем случае энергия передаваемого сигнала примерно совпадает с уровнем шума. Из-за этого становится еще труднее выявить сигнал и настроиться на него, в то время как авторизованный пользователь обнаружит сигнал с легкостью. Рисунок 5. Передача данных с расширением спектра методом прямой последовательности 2 Техническая записка TN-182 11/04/TC Безопасность проводной связи: шифрование Безопасность беспроводных устройств RAE Systems В среде с проводной связью безопасность передачи данных обеспечивается защитой физических средств связи (кабелей, в том числе коаксиальных и оптоволоконных) от вмешательства, а также шифрованием. Соответствующая схема представлена на рисунке 6. Как правило, от атак проводные сети защищены только шифрованием. Шифрование считалось эффективным на протяжении многих лет, однако последние атаки показывают, что одного уровня шифрования может быть недостаточно. В таких устройствах, как RAELink или беспроводные компоненты оборудования AreaRAE, используется сочетание шифрования, частотной модуляции с гауссовской фильтрацией (GFSK) и расширения спектра со скачкообразной перестройкой частоты (FHSS) в ISM-диапазоне от 902 до 928 МГц. Из соображений безопасности в настоящем документе не описывается используемая схема перестройки (темп перестройки, ключ к шифрованию с использованием псевдослучайных чисел). Схема исправления ошибок с использованием 32-битного контроля циклическим избыточным кодом (CRC) сводит к минимуму потребность в повторной передаче данных, которая может понизить уровень безопасности. На практике данные шифруются путем присваивания динамического ключа и шифрования заменой. Рисунок 6. Безопасность проводной связи Безопасность беспроводной связи: шифрование Использование методов расширения спектра и чередования совместно с шифрованием (как изображено на рисунке 7) позволяет обеспечить даже большую безопасность системы, чем у проводных аналогов. В беспроводных сетях используются различные методы повышения безопасности, например расширение спектра и чередование. Они позволяют сделать сигнал практически неуловимым для тех, кто не знает о существовании сети, что значительно повышает ее безопасность. Рисунок 9. Рабочие параметры безопасности RAELink RF О безопасности стандарта 802.11 Рисунок 7. Безопасность беспроводной связи Что это значит для развертывания беспроводных сетей RAE Systems Выше приведен общий обзор фундаментальных аспектов беспроводной связи и безопасности сетей. Во многих случаях развертывания сетей RAE Systems большое значение также имеет архитектура сети. Рассмотрим случай, когда несколько устройств AreaRAE совмещены с контроллером ProRAE Remote. При такой звездообразной конфигурации сети (см. рисунок 8) устройства AreaRAE передают показания на базовую станцию. На практике связь между узлами датчиков и базовой станцией сети RAE Systems осуществляется путем зашифрованной широкополосной передачи данных со скачкообразной перестройкой частоты. Для беспроводной связи между модулями датчиков RAE Systems и контроллером RAE Systems Host Controller или AreaConnect используется технология FHSS, обеспечивающая безопасную передачу данных. Однако при этом во многих компаниях параллельно развернуты беспроводные сети стандарта 802.11 (Wi-Fi). Такие сети покрывают значительную часть полосы частот информационного канала для всех типов безопасности беспроводной связи, поэтому в этом техническом примечании мы уделим им отдельное внимание. Рисунок 10. Используемые технологии шифрования и исправления ошибок Общие сведения о стандарте 802.11 Рисунок 8. Звездообразная топология сети RAE Systems by Honeywell 877-723-2878 raesystems.com В 1999 году Институтом инженеров по электротехнике и радиоэлектронике (IEEE) был доработан и утвержден стандарт, ныне известный как 802.11b. Так появились беспроводные локальные вычислительные сети (WLAN). Их появление позволило добиться достаточной ширины полосы пропускания в компьютерных сетях без необходимости использовать проводные подключения. В стандарт 802.11b не закладывался полноценный набор инструментов для обеспечения безопасности корпоративного уровня. Тем не менее стандарт предусматривает базовые меры защиты сети. Каждая новая функция может как защитить сеть, так сделать ее более уязвимой. Со временем стандарты 802.11 совершенствовались, и на сегодняшний 3 Техническая записка TN-182 11/04/TC день существует ряд различных типов беспроводных локальных сетей (в частности, 802.11a, 802.11b и 802.11g). Безопасность Wi-Fi Ниже перечислены ключевые параметры безопасности стандарта Wi-Fi/802.11. 1. Использование идентификатора сети (SSID), позволяющего сетевой карте стандарта 802.11 различать сети. 2. Связь сетей — функция, позволяющая сетям требовать аутентификацию непосредственно после подключения устройства, прежде чем оно запросит связь через точку доступа. Эта мера призвана обеспечить дополнительную защиту сети с помощью ключа и предусматривает возможность выбора одного из двух типов аутентификации: с помощью общего ключа шифрования или открытую аутентификацию. 3. Протокол беспроводного шифрования (WEP). Протокол WEP разрабатывался как средство, позволяющее защитить пользователей беспроводных сетей так же надежно, как и пользователей проводных сетей. Когда WEP-шифрование включено, каждый пакет, передаваемый с одного радиоустройства на другое, изначально шифруется следующим образом: данные из пакета вместе с секретным 40-битным ключом пропускаются сквозь своеобразный «шредер» — поточный шифр RC4. Зашифрованный пакет передается посредством радиоволн. Когда приемная станция улавливает такой пакет, она вновь пропускает зашифрованные данные через RC4 с помощью того же 40-битного ключа, восстанавливая их до исходного состояния. Краткий обзор безопасности Wi-Fi Как видно из ранее изложенного, для обеспечения безопасности канала беспроводной передачи данных Wi-Fi (802.11) применяются разнообразные технические средства. Однако при использовании стандарта Wi-Fi (802.11) существуют обоснованные поводы для беспокойства, о чем неоднократно сообщалось в прессе. WEP-шифрование обеспечивает лишь начальную степень защиты — уровень, необходимый для каждого пользователя как домашних, так и корпоративных сетей. Со временем появились и новые, более надежные схемы стандартов 802.11, в частности WPA и 802.11i, однако ни одна из этих Рисунок 11. Статистика Wi-Fi (World War Drive IV) RAE Systems by Honeywell 877-723-2878 raesystems.com схем не обладает полной обратной совместимостью с уже развернутыми маршрутизаторами Wi-Fi, точками доступа и конечными узлами. На рисунке 11 представлена таблица результатов, составленная на основе проверок безопасности Wi-Fi в июне 2004 года (World War Drive). Полученные данные свидетельствуют о том, что большинство систем Wi-Fi не имеют даже простейшей защиты, которую обеспечивает активированное WEP-шифрование — минимальная мера безопасности, которую следует применять каждому ответственному пользователю беспроводного Интернета. Общая ситуация в сфере безопасности с точки зрения RAE Systems Несомненно, при беспроводной передаче данных существуют определенные угрозы безопасности, но их можно свести к минимуму или даже полностью устранить, если правильно использовать специальные технические возможности, связанные с этим информационным каналом. Прежде всего, для связи между узлом и базовой станцией обязательно использовать технологию расширения спектра. Компания RAE Systems использует энергоэффективный метод расширения спектра со скачкообразной перестройкой частоты, который сокращает время ожидания до минимума. Он не только значительно повышает безопасность передачи данных, но и позволяет существенно увеличить повторное использование сети, поскольку при использовании этой технологии пользователи могут одновременно передавать информацию в одном общем диапазоне частот (ISM). Применение этих двух мер в сочетании с шифрованием передаваемой информации практически исключает возможность ее повреждения (как случайного, так и умышленного). Результат внедрения этих технологий — ряд беспроводных устройств от компании RAE Systems, которые позволяют многочисленным «облакам» узлов датчиков передавать данные в одном диапазоне с другими подобными потоками данных. Рисунок 12. Беспроводные устройства RAE Systems 4