CC BY
53
НЕКОТОРЫЕ ПРОБЛЕМЫ БЕЗОПАСНОСТИ В ШКОЛЬНЫХ БЕСПРОВОДНЫХ СЕТЯХ СТАНДАРТА IEEE 802.11
А.Ю. Лагунов
Поморский государственный университет имени М.В. Ломоносова, г. Архангельск, Россия
Технология беспроводных сетей WLAN (Wireless LAN) развивается довольно быстро. В первую очередь, эти сети удобны для подвижных средств, но находят применение и в других областях (динамичные сети фирм, больницы, аэропорты, учебные заведения и т. д.). Стандарт на локальные беспроводные сети (сокращенно WLAN) разработан Институтом инженеров по электротехнике и электронике (IEEE, Institute of Electrical and Electronics Engineers) и официально именуется как 802.11. Проект IEEE 802.11 является наиболее перспективным для закрытых помещений и подвижных объектов, так как представляет для радиосетей такую же интегрирующую роль, как 802.3 для сетей Ethernet и 802.5 для сетей Token Ring. В протоколе 802.11 используется алгоритм доступа и подавления столкновений, похожий на 802.3, но здесь вместо соединительного кабеля
используются радиоволны.
Большинство современных портативных устройств (ноутбуки, КПК, смартфоны) уже имеют встроенные средства для работы в беспроводных сетях. При отсутствии таких средств они могут быть установлены дополнительно: для ноутбука это могут быть Wi-Fi карточки, вставляющиеся в разъем PCMCIA, или внешний USB-адаптер; для КПК или смартфона это, как правило, Wi-Fi SDIO карта; для стационарного компьютера
- .PCI карта или USB-адаптер.
В настоящее время Wi-Fi сети начинают устанавливаться в школах. Рассмотрим основные вопросы безопасности школьных беспроводных сетей.
Безопасность данных
Хотя сегодня в защите Wi-Fi-сетей и применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи, тем не менее на начальных этапах распространения Wi-Fi нередко появлялись сообщения
о том, что даже не используя сложного оборудования и специальных программ,
можно было подключиться к некоторым корпоративным сетям, просто проезжая мимо с ноутбуком.
Выделим основные правила при организации и настройке школьной Wi-Fi-сети:
1. Максимальный уровень безопасности обеспечит применение VPN - данную технологию рекомендуется использовать в сетях больших школ и университетов.
2. Перед покупкой сетевых устройств следует внимательно ознакомится с документацией с целью определения, какие протоколы или технологии шифрования ими поддерживаются. Следует обратить внимание на устройства, использующие WPA2 и 802.11i, поскольку в этом стандарте для обеспечения безопасности используется новый Advanced Encryption Standard (AES).
3. Если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то необходимо использовать эту возможность. Настраивать точку доступа надо только по проводам. Не следует использовать по беспроводной сети протокол SNMP, web-интерфейс и telnet.
4. Если точка доступа позволяет управлять доступом клиентов по MAC-адресам (Media Access Control, в настройках может называться Access List), следует использовать эту возможность. Хотя MAC-адрес и можно подменить, тем не менее это дополнительный барьер на пути злоумышленника.
5. Если оборудование позволяет
запретить трансляцию в эфир идентификатора SSID, то следует воспользоваться этим предложением (опция может называться «closed network»), но и в этом случае SSID может быть перехвачен при подключении
легитимного клиента.
6. Надлежит запретить доступ для
клиентов с SSID по умолчанию «ANY», если оборудование позволяет это делать. Не
рекомендуется использовать в своих сетях простые SSID - лучше что-нибудь
уникальное, не завязанное на название
организации и отсутствующее в словарях. Впрочем, SSID не шифруется и может быть легко перехвачен (или подсмотрен на ПК клиента).
7. Следует располагать антенны как можно дальше от окон, внешних стен здания, а также ограничивать мощность радиоизлучения, чтобы снизить вероятность подключения «с улицы», рекомендуем использовать направленные антенны и не использовать радиоканал по умолчанию.
8. Если при установке драйверов сетевых устройств предлагается выбор между технологиями шифрования WEP, WEP/WPA (средний вариант), WPA, WPA2, то надлежит выбирать WPA2.
9. Следует всегда использовать максимально длинные ключи. 128 бит - это минимум (но если в сети есть карты 40/64 бит, то в этом случае с ними вы не сможете соединиться). Никогда не прописывайте в настройках простые, «дефолтные» или очевидные ключи и пароли (день рождения, 12345), периодически их меняйте (в настройках обычно имеется удобный выбор из четырех заранее заданных ключей -сообщите клиентам о том, в какой день недели какой ключ используется).
10. Если используются статические ключи и пароли, необходимо позаботиться о регулярной замене ключей и паролей. Делать это лучше одному человеку -администратору.
11. Следует обязательно использовать сложный пароль для доступа к настройкам точки доступа.
12. Рекомендуется, по возможности, не использовать в беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеров общего доступа. Организация разделяемых ресурсов средствами NetBEUI в данном случае безопаснее.
13. На всех ПК внутри беспроводной сети рекомендуется установить файерволлы, не следует устанавливать точку доступа вне брандмауэра, надлежит ограничить количество протоколов внутри WLAN (например, только HTTP и SMTP).
14. Обязательно должна быть установлена комплексная антивирусная система безопасности (Avira, DrWeb, Kaspersky).
15. Рекомендуется регулярно исследовать уязвимость сети с помощью
специализированных сканеров безопасности (в том числе хакерских типа NetStumbler), обновлять прошивки и драйвера устройств, устанавливать обновление для операционной системы.
Если следовать перечисленным выше рекомендациям, то в определенной степени можно защитить беспроводную сеть от внешних сетевых атак.
Экологическая безопасность
В 2009 г. весь мир отмечал 150-летие со дня рождения русского ученого Александра Степановича Попова, который является одним из изобретателей радио. За сто с лишним лет со дня изобретения радио в жизни человека появилось большое количество различных устройств, которые являются источниками электромагнитного излучения (ЭМИ). Современный человек достаточно большое количество времени находится в зоне действия ЭМИ.
В настоящее время в учебных заведениях начинают устанавливать беспроводные компьютерные сети. При работе такой сети радиопередатчики будут работать непрерывно, и возникает вопрос: «Насколько опасно излучение от беспроводной сети для учащихся учебных заведений?». Особенно важен ответ на этот вопрос для школьников северных территорий, которые вынуждены из-за неблагоприятных погодных условий длительное время проводить в помещениях.
По этот вопрос существует два противоположных мнения:
1. Фирмы-производители радиотехнических устройств, например наиболее активна в этом вопросе фирма «Motorola», утверждают, что производимые данными фирмами устройства безопасны для здоровья человека. Это убеждение основано на том, что все устройства соответствуют требованиям по уровню излучения согласно нормам
Международной комиссии
неионизирующего излучения (ICNIRP). Кроме того, согласно многочисленным исследованиям, например группы канадских ученых, было доказано, что маломощное излучение от радиоустройств диапазона 1-5 ГГц не способно привести к нездоровому нагреву тканей человека, как это делает микроволновая печь.
2. Родители и администрация
некоторых школ, например
Профессиональная ассоциация учителей (Professional Association of Teachers) Великобритании [4], убеждены
в том, что необходимы широкомасштабные исследования по влиянию беспроводных сетей на здоровье человека, особенно ребенка, так как, по наблюдению учителей, после установки беспроводной сети у многих детей появился синдром хронической усталости и другие болезненные симптомы.
Изначально рассмотрим стандарты безопасности на ЭМИ. Согласно рекомендациям ICNIRP излучающая
мощность радиоперадающих устройств измеряют в SAR. SAR (Specific Absorption Rate) - удельная поглощенная мощность, выраженная на единицу массы тела или ткани. Предельно допустимая величина SAR при поглощении всем телом не должна превышать 0,08 Вт/кг, а при поглощении головой - 2 Вт/кг.
В Российской Федерации излучающая мощность радиоперадающих устройств регулируется СанПиН 2.2.4.1191-03 [1].
Предельно допустимое значение ЭМИ по плотности потока энергии (ППЭ) составляет 200 мкВт/см2 в час. Переведем данную величину в единицы СИ, получим 2 Вт/м2 в час.
Для того, чтобы можно было сравнить нормы ICNIRP и СанПиН, найдем между ними соответствие. Вес человека и поверхность тела человека связаны формулой Мостеллера [2]:
S =
2(P + 25) • P P2 + 25P
3600
1800
(4)
S =
h • P 3600
(1)
где S - площадь тела (м ), h - рост человека (см), Р - вес человека (кг).
Рассчитаем площадь тела для «идеального» организма, соотношения роста и веса которого можно определить по формуле Лоренца:
р = к -100 - - ~150 = к -100 - - + 75 = - - 25, (2)
2 2 2
где h - рост человека (см), Р - вес человека (кг).
Выразим в формуле (2) высоту человека через вес и подставим в формулу (1).
Предположим, что все ЭМИ, которое падает на поверхность тела человека, поглощается. Принимая значение ППЭ равным
2 Вт/м2 и используя формулу (4), рассчитаем предельно допустимое значение SAR. Результаты расчетов приведены на рисунке
1.
Расчетная величина SAR при весе тела человека в 20 кг составила 0,071 Вт/кг. Данная величина ниже нормы, рекомендованной ГС№КР. В тоже время данный факт свидетельствует о том, что требования по экологической безопасности в РФ более жесткие, чем в зарубежных странах. Необходимо учитывать тот факт, что нами было принято допущение о 100 %-ном поглощении ЭМИ. Реально часть тела человека закрыта одеждой, поэтому часть излучения отражается. Незакрытая часть тела
- голова и руки - подвергается наибольшему воздействию. По данным, полученным шведскими учеными в результате опытов на животных [3], длительное воздействие ЭМИ диапазона 1-2 ГГц вызывает открытие гемоэнцефалического барьера, который отделяет клетки мозга от кровеносной системы. Восстановление барьера после прекращения воздействия излучением у подопытных животных со временем не наступило. Отсутствие барьера, по мнению ученых, может привести к катастрофическим последствиям для мозга, так как любые вещества и микроорганизмы из крови могут поступить в мозг. По мнению ученых, причина открытия барьера не связана с нагревом тканей, так как это происходит при работе микроволновой печи. А ведь именно те исследования, которые проводились на основании гипотезы о нагревании тканей, дали отрицательный результат о нанесении вреда здоровью человека.
h = 2(P + 25)
(3)
SAR, Вт/кг
P, кг
Рис. 1. Зависимость величины SAR от P при постоянном ППЭ=2 Вт/м2
Из рисунка видно, что наибольших величин SAR достигает при малом весе тела, что соответствует детскому возрасту. 20 кг весит семилетний ребенок. Вес мозга такого ребенка составляет 90 % от веса взрослого человека, кроме того, кости черепа у ребенка значительно тоньше. Поэтому воздействие ЭМИ на развивающийся мозг ребенка будет более значительным.
В качестве точек доступа Wi-Fi сети в школах РФ используют недорогое оборудование фирмы D-Link. Согласно санитарно-эпидемиологическому заключению Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека предельно
допустимый уровень ППЭ для таких устройств составляет 100 мкВт/см2 (1 Вт/м2) в час. Для достижения предельно допустимой нормы по СанПиН 2.2.4.1191-03 человеку достаточно находиться в пределах ЭМИ такой точки доступа всего 2 часа.
На основании вышеизложенного можно сделать следующие выводы:
1. Очень малая величина ЭМИ сети WiFi не дает возможности сделать однозначный вывод о нанесении вреда здоровью школьников, но назвать ее влияние на здоровье абсолютно безвредным нельзя. По данному вопросу необходимо проводить дополнительные исследования.
2. При построении беспроводной сети в школе необходимо строго соблюдать рекомендации СанПиН 2.2.4.1191-03. При проведении тендера на оборудование обязательным является условие выбора
аппаратуры с наименьшим ППЭ.
3. Размещать точки доступа сети Wi-Fi в школе необходимо в местах, где школьники бывают эпизодически: столовая, библиотека, медиацентр и др. Мощность передатчика точек доступа должна быть минимально возможной, чтобы излучение не распространялось за пределы данных помещений. Рекомендуем для выбора оборудование стандарта IEEE 802.11n, которое позволяет при минимальной мощности обеспечить высокую скорость и надежность работы сети.
4. Обучить учащихся при работе с мобильными устройствами располагать гаджет так, чтобы внутренняя антенна Wi-Fi не была направлена на тело человека. Например,
у ноутбуков антенна располагается снизу, поэтому не рекомендуется держать ноутбук на коленях.
Литература
1. Электромагнитные поля в
производственных условиях. Санитарноэпидемиологические правила и нормативы. СанПиН 2.2.4.1191-03. М., 2003.
2. Mosteller RD. Simplified calculation of body surface area // New England Journal of Medicine, 1987. P. 1098.
3. Nerve Cell Damage in Mammalian Brain after Exposure to Microwaves from GSM Mobile // Leif G. Salford, Arne E. Brun, Jacob L. Eberhardt, Lars Malmgren, Bertil R.R. Persson / Depts of Neurosurgery, Neuropathology, Medical Radiation Physics and Applied Electronics, Lund University,
the Rausing Laboratory and Lund University Hospital, S-22185, Lund, Sweden, 2003.
4. Voice renews call for wi-fi inquiry. URL: http://www.voicetheunion.org.uk/index.cfm/page/ _sections.contentdetail.cfm/navid/11/parentid/325/id/ 1641/_sa/17.
