Словарь терминов

wifi_img

 

 

Wi Fi (Wireless Fidelity) - процедура сертификации, разработанная организацией Wi Fi Alliance, которая гарантирует возможность совместной работы различных продуктов, реализующих стандарт 802.11.

 

 

Wi Fi Alliance - организация, которая сертифицирует пригодность устройств 802.11 для совместной работы и продвигает Wi FiTM в качестве глобального стандарта совместимости беспроводных сетей.

 

801.11 - самый первый из стандартов IEEE, в котором определяется порядок доступа к передающей среде и приводятся спецификации физического уровня для беспроводных локальных сетей со скоростью до 2 Мбит/с. Стандарт 802.11 распространяется на высокочастотные радиоканалы DSSS и FHSS, а также на инфракрасные каналы.

 

802.1х - стандарт IEEE аутентификации и контроля доступа на уровне 2.

802.11а - редакция стандарта 802.11 IEEE, в которой рассматриваются сети, работающие в диапазоне UNII со скоростями до 54 Мбит/с по технологии DSSS.

802.11b - редакция стандарта 802.11 IEEE, в которой рассматриваются сети, работающие в среднем диапазоне ISM со скоростями до 11 Мбит/с по технологии DSSS.

802.11i - стандарт IEEE, относящийся к безопасности беспроводных сетей. В нем объединены протоколы 802.1х и TKIP/CCMP с целью обеспечить аутентификацию пользователей, конфиденциальность и целостность данных в беспроводных локальных сетях.

802.15 - спецификация IEEE, описывающая беспроводные персональные сети (WPAN), которая была одобрена в начале 2002 года.

 

Bluetooth - часть спецификации 802.15 для беспроводных персональных сетей, разработанная и поддерживаемая группой Bluetooth SIG, которая была основана компаниями Ericsson, Nokia, IBM, Intel и Toshiba.

 

Authentication Header (АН) - один из протоколов IPSec, который проверяет аутентичность IP пакетов, но не обеспечивает конфиденциальности данных.

 

Banyan VINES - набор протоколов для организации виртуальной сетевой системы, основанной на идеологии UNIX. В наше время встречается нечасто. Интерес представляет система именования Banyan VINES StreetTalk.

 

Big Endian - метод хранения данных, когда наиболее значимый бит хранится первым.

 

Little Endian - метод хранения данных, когда наименее значимый бит хранится первым.

 

ССМР - (Counter Mode with CBC MAC) основанный на алгоритме AES протокол шифрования, который должен заменить WEP и TKIP, когда выйдет окончательная версия стандарта 802.Hi. Будет считаться обязательным в спецификации WPA версии 2.

 

Clear To Send (CTS) (Готов к передаче) - управляющий фрейм в стандарте 802.11, применяемый для обнаружения виртуальной несущей. Фрейм CTS посылается в ответ на фрейм RTS. Он разрешает запрашивающему хосту передавать данные в течение времени, указанного в поле Network Allocation Vector.

 

CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance) - протокол второго уровня, применяемый для устранения коллизий в сетях 802.11, а также в составе протокола LocalTalk в сетях AppleTalk. Чтобы избежать коллизий, CSMA/CA посылает положительную квитанцию (АСК) на переданные фреймы.

 

dBi - децибелы, отнесенные к идеальной изотропной антенне.

 

Децибел (дБ) - единица измерения отношения мощностей, применяемая к усилению или ослаблению сигнала.

 

dBm - 0 dBm равно выходной мощности 1 мВт при частоте 1 кГц и импедансе 600 0м

 

DECnet - набор сетевых протоколов коммуникации, разработанный и поддерживаемый компанией Digital Equipment Corporation.

 

DSSS (Direct Sequence Spread Spectrum прямая последовательность изменения спектра) - один из двух подходов к передаче радиосигналов с изменяемым спектром. При использовании технологии DSSS поток передаваемых данных разбивается на небольшие кусочки, каждому из которых выделяется широкополосный канал. На передающем конце информационный сигнал комбинируется с последовательностью битов, передаваемых с более высокой скоростью, которая разделяет данные в соответствии с коэффициентом изменения.

 

ЕАР (Extensible Authentication Protocol - расширяемый протокол аутентификации) - гибкий протокол аутентификации, первоначально спроектированный для аутентификации в протоколе РРР, а позже включенный в стандарт 802.1х. Протокол ЕАР определен в RFC 2284.

 

EAPOL (ЕАР over LAN ЕАР поверх локальной сети) - инкапсуляции фреймов протокола ЕАР в проводных локальных сетях. Определяется отдельно для Ethernet и Token Ring.

 

EIRP (Эффективная изотропно излучаемая мощность) - реальная выходная мощность, излучаемая антенной, рассчитываемая по формуле IR + коэффициент усиления антенны.

 

ESSID (Extended Service Set ID) - имя, идентифицирующее сеть 802.11. Чтобы присоединиться к беспроводной локальной сети, нужно знать ее ESSID.

 

Идентификатор базового набора служб (BSSID) - на практике МАС адрес бес проводной точки доступа. Не путать с ESSID.

 

ETSI (European Telecommunications Standards Institute Европейский институт стандартов телекоммуникаций) - некоммерческая организация, выпускающая стандарты и правила в области телекоммуникаций для всей Европы.

 

[B]FHSS (Frequency Hopping Spread Spectrum) - изменение спектра скачкообразной перестройкой частоты). Один из двух подходов к передаче радиосигнала с изменяемым спектром. Характеризуется тем, что несущая частота псевдослучайным образом «скачет» в пределах определенного диапазона.

 

Integrity Check Value (ICV код контроля целостности) - простая контрольная сумма, вычисляемая для фрейма 802.11 перед началом шифрования по протоколу WEP.

 

Internet Key Exchange (IKE обмен ключами через Internet) - стандартный протокол управления ключами, обычно применяемый в IPSec.

 

IR (Intentional Radiator) - радиопередающее устройство с кабелями и разъемами, но без антенн. Определено FCC для реализации ограничений в части излучаемой мощности.

 

IrDA (Infrared Data Association Ассоциация передачи данных с помощью инфракрасного оборудования) - некоммерческая ассоциация, предлагающая стандарты в области обеспечения качества и совместной работы оборудования для сетей на основе инфракрасных лучей.

 

ISM (Industrial, Scientific, Medical) - диапазоны частот, разрешенные FCC для применения в промышленных, научных и медицинских целях без получения лицензии. К этим диапазонам относятся 902 - 928 МГц, 2,4 - 2,5 ГГц и 5,725 - 5,875 ГГц.

 

Lightweight Directory Access Protocol (LDAP облегченный протокол службы каталогов) - протокол, предоставляющий интерфейс для управления и поиска в каталогах стандарта Х.500.

 

Management Information Base (MIB управляемый информационный блок) - спецификация параметров устройства, записанная с помощью абстрактной синтаксической нотации (Abstract Syntax Notation ASN). Используется в протоколе SNMP для мониторинга и оповещения о статусе устройства, а также для удаленного управления.

 

MS CHAP (Microsoft Challenge Handshake Authentication Protocol) - протокол аутентификации с предварительным согласованием вызова.

 

Point to Point Tunneling Protocol (PPTP двухточечный туннельный протокол) - очень широко распространенный туннельный протокол, запатентованный Microsoft.

 

Remote Access Dial In User Service (RADIUS служба удаленной аутентификации пользователей) - многофункциональный протокол и служба аутентификации, являющиеся стандартом де факто и имеющие множество реализаций.

 

TKIP (Temporal Key Integrity Protocol протокол целостности временных ключей) - основанный на алгоритме RC4 протокол шифрования, который избавлен от многих слабостей оригинального статического протокола WEP. Протокол TKIP это необязательная часть стандарта 802.11i. Он обратно совместим с WEP и не требует замены оборудования.

 

WEP (Wired Equivalent Privacy) - в стандарте 802.11 необязательный механизм обеспечения безопасности, в котором для шифрования трафика в беспроводной сети применяется алгоритм RC4. Опубликованы и широко известны некоторые слабости протокола WEP

 

Traffic Indication Map (TIM карта индикации трафика) - поле во фреймах маяках стандарта 802.11, используемое для того, чтобы сообщить клиентам в спящем режиме о том, что для них поступили данные.

 

UNII (Unlicensed National Information Infrastructure нелицензируемый диапазон для национальной информационной инфраструктуры)  - набор частот ных диапазонов, одобренный FCC для нелицензируемого использования: 5,15 - 5,25  ГГц ; 5,25 - 5,35  ГГц  и 5,725 - 5,825 ГГц.

 

WIDS (IDS для беспроводных сетей) - система обнаружения вторжений, способная выявлять угрозы безопасности на первом и втором уровнях беспроводной сети.

 

Активное сканирование - метод, с помощью которого клиентское устройство обнаруживает беспроводные сети. Состоит в посылке фрейма с пробным запросом и ожидании ответа на этот фрейм, в котором содержатся параметры отвечающей сети.

 

Анализатор беспроводных протоколов - анализатор протоколов, способный вести мониторинг трафика в беспроводной сети (например, с помощью режима RFM0N) и распознавать протоколы, применяемые на уровне 2 такой сети.

 

Антенна - устройство для передачи и приема радиосигналов. Антенны проектируются для конкретных частотных диапазонов и сильно различаются по форме, рассматриваются главным образом антенны, работающие в диапазонах ISM и UNII.

 

Атака на беспроводную сеть путем внедрения трафика - атака на защищенную протоколом WEP беспроводную сеть, основанная на дублировании проходящего трафика и повторной вставке его в сеть или на получении правильных частей гаммы и последующей передачи корректных данных без знания ключа.

 

Атака типа «человек посередине» на беспроводную сеть - атака путем включения мошеннического беспроводного устройства, эксплуатирующего уязвимости на уровнях 1 и 2.

 

Аутентификатор - в протоколе 802.1х посредник между сервером аутентификации, например RADIUS, и претендентом. В беспроводных сетях обычно размещается на точке доступа; в проводных сетях эту функцию могут выполнять высококлассные коммутаторы.

 

Аутентификация на основе разделенных ключей - вид аутентификации в стандарте 802.11, основанный на механизм запрос ответ с использованием предварительно разделенного WEP ключа. Не обеспечивает безопасности и в конце концов будет заменен стандартом 802.1х.

 

Базовый набор служб (Basic Service Set BSS) - базовая сота в сети 802.11, состоящая из одной точки доступа и присоединившихся к ней клиентов.

 

Беспроводная локальная сеть (WLAN) - так называются в основном сети стандарта 802.11. Конечно, употребление этого термина в таком смысле правильно лишь отчасти, поскольку существуют и другие беспроводные локальные сети, но они значительно менее распространены.

 

Беспроводная распределенная система (WDS) - элемент беспроводной системы, состоящий из взаимосвязанных базовых наборов служб, которые образуют расширенный набор служб.

 

Беспроводной мост - устройство, работающее на канальном уровне и соединяющее проводные локальные сети с помощью беспроводной среды.

 

Беспроводной шлюз - связное устройство между проводной и беспроводной сетями, которое может поддерживать различные функции, в том числе межсетевой экран, маршрутизатор, качество обслуживания, VPN концентратор и сервер аутентификации. Можно сказать, что это обогащенная точка доступа.

 

Вектор инициализации (IV) - дополнительные несекретные двоичные данные для шифрования известного или предсказуемого открытого текста с целью введения добавочной криптографической изменчивости. Кроме того, векторы инициализации используются для синхронизации криптографического
оборудования.

 

Виртуальная локальная сеть - способ разделения широковещательных доменов на канальном уровне с помощью стандарта 802.lq или предложенной компанией Cisco технологии тегированных ISL фреймов. Для соединения двух виртуальных сетей необходим маршрутизатор.

 

Глубоко эшелонированная оборона - подход к обеспечению безопасности сети, основанный на создании защитных механизмов на нескольких уровнях, не полагаясь на какую то одну контрмеру, протокол или устройство.

 

Глушение - преднамеренное внесение помех в беспроводной канал передачи данных. DoS атака на уровне 1 против беспроводных сетей.

 

Демилитаризованная зона (DMZ) - в архитектуре межсетевых экранов область, отделяющая безопасную внутреннюю локальную сеть от хостов, доступных из сети общего пользования.

 

Закрытый системный ESSID - сокрытие ESSID путем удаления содержащей его строки из фреймов маяков и пробных запросов. Как и фильтрация МАС адресов, легко обходится решительным противником.

 

Запрос на передачу (Request to Send RTS) - тип управляющего фрейма в стандарте 802.11, применяется в механизме обнаружения виртуальной несущей. Если такой механизм используется в сети 802.11, то станция, желающая отправить данные, должна предварительно послать фрейм RTS.

 

Затухание в свободном пространстве - уменьшение амплитуды радиосигнала из-за рассеивания.

 

Зона Френеля - упрощенно можно сказать, что это эллиптическая область вокруг линии прямой видимости между двумя беспроводными передатчиками. Чтобы качество сигнала оставалось приемлемым, зона Френеля не должна перекрываться препятствиями более чем на 20%.

 

Код целостности сообщения (Message Integrity Check MIC) - алгоритм вычисления НМАС, используемого в стандарте 802 .11i для обеспечения аутентификации и целостности пакетов.

 

Код циклической избыточности (Cyclic Redundancy Check CRC) - основной математический алгоритм вычисления контрольной суммы для проверки целостности передаваемых данных. Часто вычисляется путем деления длины фрейма на простое число, легко может быть подделан противником.

 

Комплект искателя сетей обычно состоит из ноутбука, антенны, GPS приемника и необходимых кабелей и разъемов.

 

Лепестки - электрические поля, излучаемые антенной.

 

Методы ЕАР - конкретные механизмы аутентификации, применяемые в протоколе EAR Наиболее распространены EAP MD5, EAP TLS, EAP TTLS, ЕАР РЕАР и EAP LEAP.

 

Независимая сеть - называется также ad hoc сетью или независимым базовым набором служб (IBSS Indepe nde nt Basic Service Set). Это беспроводная сеть, в которой нет точки доступа, а есть только беспроводные станции.

 

Обнаружение виртуальной несущей - метод обнаружения несущей, основанный на использовании поля NAV (Network Allocation Vector вектор выделения сети) во фреймах 802.11 в качестве таймера для передачи данных. Таймер управляется по протоколу RTS/CTS.

 

Обнаружение физической несущей - проверка уровня сигнала в беспроводной сети.

 

Ортогональное мультиплексирование деления частоты (Orthogonal Frequency Division Multiplexing OFDM) - метод кодирования на физическом уровне, заключающийся в том, что несколько медленных подканалов передачи данных объединяются в один быстрый. Применяется в сетях стандартов 802.11а и 802.llg.

 

Ослабление - уменьшение амплитуды радиосигнала из за сопротивления кабелей и разъемов, потерь в свободном пространстве, помех или препятствий на пути распространения сигнала.

 

Отношение сигнал/шум - сила принятого сигнала за вычетом фонового шума.

 

Пассивное сканирование - метод, с помощью которого клиентские устройства обнаруживают беспроводные сети. Заключается в том, что устройство анализирует трафик в поисках фреймов маяков.

 

Поляризация - физическая ориентация антенны относительно земли. Может быть горизонтальной или вертикальной.

 

Претендент в протоколе 802.1х - клиентское устройство, нуждающееся в аутентификации.

 

Проблема «близко/далеко» - проблема, возникающая в беспроводных сетях из-за того, что хосты, находящиеся близко к точке доступа, забивают своим излучением удаленные узлы, тем самым отсекая их от сети. Может быть результатом атаки «человек посередине» на уровень 1.

 

Программная точка доступа - функциональность точки доступа, реализованная на клиентском оборудовании с помощью средств, включенных в его драйвер.

 

Протокол RTS/CTS - практическая реализация механизма обнаружения виртуальной несущей в сетях 802.11. Используется четырехсторонняя процедура квитирования RTS => CTS => Данные => АСК. Часто протокол RTS/CTS применяется для решения проблемы скрытого узла.

 

Протокол доступа к подсетям (Subnetwork Access Protocol SNAP) - формат фрейма 802.3, придуманный для обеспечения обратной совместимости с сетями DIX Ethernet Version II и допускающий применение стандарта Ethertype.

 

Протокол основного дерева (Spanning Tree Protocol STP) - определенный в стандарте 802.Id протокол уровня 2, позволяющий избежать зацикливания в сетях с несколькими коммутаторами и избыточными соединениями.

 

Разнесенность антенны - применение нескольких антенн с одним приемником для повышения качества приема сигнала и преодоления некоторых радиофизических проблем, например распространения сигнала по нескольким путям.

 

Разъем типа pigtail - разъем, с помощью которого специфичные для производителя гнезда на беспроводном оборудовании соединяются со стандартными высокочастотными разъемами. Основной источник проблем и сбоев при подготовке мобильного оборудования к работе.

 

Рассеивание спектра - метод модуляции, заключающийся в том, чтобы «размазать» мощность сигнала на более широкий, чем необходимо, частотный диапазон для передачи полезных данных.

 

Расширенный набор служб (Extended Service Set ESS) - сеть, состоящая из взаимосвязанных базовых наборов служб, объединенных общим SSID.

 

Широковещательный SSID - пустое значение в поле идентификатора базового набора служб в управляющих фреймах 802.11. На практике то же самое, что и значение Any в поле ESSID. Означает, что к беспроводной сети может присоединиться любой клиент.

 

Режим RFM0N - также называется режимом мониторинга. Режим работы клиентского устройства 802.11, в котором можно перехватывать и анализировать фреймы. Используется при атаках на беспроводные сети для пассивного обнаружения и прослушивания сети. Необходим также для отладки, мониторинга и обнаружения вторжений в сеть.

 

Режим с предварительным распределением ключей (Pre Shared Key PSK) - описанный в спецификации WPA режим обеспечения безопасности, основанный на предварительном размещении ключей на всех хостах, имеющих доступ к беспроводной локальной сети. Применяется в тех случаях, когда распределение ключей по протоколу 802.1х невозможно.

 

Режим экономии энергии (PSM) - режим работы клиентского устройства 802.11, при котором питание на короткие промежутки времени отключается и устройство пассивно анализирует трафик в поисках фреймов маяков (в режиме BSS) или ATIM фреймов (в режиме IBSS). Если обнаружен маяк с непустым полем TIM или АТМ фрейм, то клиент выходит из спящего режима и запрашивает данные. Когда все ожидающие пакеты получены, клиент снова входит в спящий режим.

 

Система открытой аутентификации - принятый по умолчанию в стандарте 802.11 метод, согласно которому аутентификационные фреймы должны содержать один и тот же ESSID. Не обеспечивает безопасности, так как ESSID передается в открытом виде.

 

Скрытый узел - беспроводной клиент, который может общаться с точкой доступа, но не с другими беспроводными клиентами в той же сети. Из за наличия скрытых узлов возникают многочисленные коллизии и повторные передачи.

 

Совмещение (co location) - установка в одной сети нескольких точек доступа с неперекрывающимися частотными диапазонами. Применяется для увеличения пропускной способности в беспроводных сетях.

 

Спектральный анализатор - приемник, способный измерять амплитуды сигналов в выбранных частотных диапазонах. Полезен для обнаружения помех или глушения в беспроводных сетях.

 

Точка доступа - устройство, обеспечивающее связь на уровне 2, которое предназначено для организации интерфейса между проводной и беспроводной сетью и управления параметрами беспроводной сети.

 

Усиление - увеличение амплитуды радиосигнала.

 

Усилитель - устройство, подающее дополнительный постоянный ток в высокочастотный кабель для повышения коэффициента усиления. Может быть одно или двунаправленным с постоянным или переменным усилением.

 

Фальшивое беспроводное устройство - незаконный передатчик. Часто незаконно размещается точка доступа или беспроводной мост, но фальшивым может быть также скрытое клиентское устройство (например, подключенное к порту USB).

 

Хост приманка (honeypot) - хост, специально настроенный для того, чтобы его атаковали взломщики. Основная причина организации хостов приманок понять поведение взломщика, его методы и применяемые им инструменты. Их также применяют для того, чтобы замедлить атаку и отвлечь внимание и силы взломщика. Часто в приманках оставляют известные бреши в системе безопасности. Обязательное условие полная изоляция приманок от внутренней сети.

 

Хотспот - область, покрытая беспроводной сетью общего пользования. Обычно размещаются в аэропортах, отелях, кофейнях и аналогичных общественных местах.