Обеспечение безопасности WLAN

Обзор безопасности беспроводной сети

Безопасность сети Wi-Fi всегда вызывала особое беспокойство, поскольку границы сети расширились. Сигналы беспроводной связи могут передаваться через твердые препятствия — потолки, полы, стены, за пределы дома или офиса. Без строгих мер безопасности установка сети WLAN — сродни повсеместному размещению Ethernet-портов, даже на улице.

Чтобы предотвратить угрозы со стороны злоумышленников, пытающихся проникнуть в беспроводную сеть, и защитить данные, использовались две функции обеспечения безопасности.

· Сокрытие идентификатора SSID. Точки доступа и некоторые беспроводные маршрутизаторы позволяют отключить кадр сигнала идентификатора SSID. Беспроводные клиенты должны вручную определить имя SSID, чтобы подключиться к сети.

· Фильтрация MAC-адресов. Администратор может вручную разрешить или запретить клиентам беспроводной доступ в зависимости от MAC-адреса их физического оборудования.

Хотя эти две функции отсеивают большинство пользователей, на самом деле ни сокрытие идентификатора SSID, ни фильтрация MAC-адресов не помешают умелому взломщику. Имена SSID легко обнаружить даже в том случае, если точки доступа не выполняют их широковещательную рассылку, а MAC-адреса можно подделать. Оптимальным способом защиты беспроводной сети является использование систем аутентификации и шифрования (см. рис. 1).

В исходном стандарте 802.11 представлено два типа аутентификации:

· Аутентификация открытой системы. Все беспроводные клиенты могут легко выполнить подключение, и такая система может использоваться только в тех случаях, когда безопасность не имеет особого значения (например, в местах, где предоставляется бесплатный доступ к Интернету — кафе, отели и удалённые расположения).

· Аутентификация согласованного ключа. Для аутентификации и шифрования данных, передаваемых между беспроводным клиентом и точкой доступа, предоставляет такие механизмы, как WEP, WPA или WPA2 . Однако для подключения пароль необходимо предварительно согласовать между сторонами.

На схеме на рис. 2 представлены краткие сведения о различных типах аутентификации.

Методы аутентификации согласованного ключа

Как показано на рис. 1, доступны три варианта аутентификации согласованного ключа:

· Протокол шифрования беспроводной связи (WEP). Исходная спецификация 802.11, которая разработана для обеспечения конфиденциальности на уровне, сопоставимом с проводным подключением. Защита данных обеспечивается посредством метода шифрования RC4 с использованием статического ключа. Однако ключ никогда не изменяется при передаче пакетов, поэтому его достаточно легко взломать.

· Защищённый доступ к Wi-Fi (WPA). Стандарт Wi-FiAlliance, который использует WEP, но обеспечивает защиту данных за счёт гораздо более надежного алгоритма шифрования с использованием временных ключей (TKIP). TKIP изменяет ключ для каждого пакета, поэтому его гораздо сложнее взломать.

· IEEE 802.11i/WPA2. Стандарт IEEE 802.11i является отраслевым стандартом безопасности беспроводных сетей. Версия Wi-FiAlliance называется WPA2. 802.11i и WPA2 используют для шифрования усовершенствованный стандарт шифрования (AES). В настоящее время AES считается самым надежным протоколом шифрования.

Использовать WEP уже не рекомендуется. Общие ключи WEP показали свою несостоятельность, и, следовательно, их не следует использовать. Чтобы компенсировать слабые стороны общих ключей WEP, компании сначала пытались скрывать идентификаторы SSID и фильтровать MAC-адреса. Эти методы также оказались слишком ненадежными.

Ввиду ненадежности систем безопасности на основе WEP, в течение некоторого времени использовались промежуточные меры безопасности. Такие поставщики, как Cisco, стремясь удовлетворить повышенные требования в отношении безопасности, разработали собственные системы, одновременно пытаясь усовершенствовать стандарт 802.11i. В процессе развития стандарта 802.11i был создан алгоритм шифрования TKIP, который был связан с методом обеспечения безопасности Wi-FiAlliance WPA.

Современные беспроводные сети всегда должны использовать стандарт 802.11i/WPA2. WPA2 является версией Wi-Fi стандарта 802.11i, следовательно, термины WPA2 и 802.11i зачастую являются взаимозаменяемыми.

С 2006 года все устройства, на которые нанесен логотип Wi-FiCertified, сертифицированы для использования WPA2.

Примечание. В целях оптимизации производительности, сети Wireless-N должны использовать режим безопасности WPA2-Personal.

В таблице на рис. 2 показаны общие сведения о трех типах методов аутентификации согласованных ключей.

Методы шифрования

Шифрование используется для защиты данных. Если злоумышленник выполнил захват зашифрованных данных, он не сможет их расшифровать за короткий срок.

Стандарты IEEE 802.11i, Wi-FiAlliance WPA и WPA2 используют следующие протоколы шифрования:

· Шифрование с использованием временных ключей (TKIP). TKIP является методом шифрования, который используется стандартом WPA. Он обеспечивает поддержку предыдущих версий оборудования сетей WLAN за счёт устранения исходных уязвимостей, характерных для метода шифрования 802.11 WEP. Он использует WEP, однако выполняет шифрование полезной нагрузки 2 уровня с использованием TKIP и выполняет проверку целостности сообщений в зашифрованном пакете, чтобы убедиться в том, что сообщение не используется несанкционированно.

· Усовершенствованный стандарт шифрования (AES). AES является методом шифрования, который используется стандартом WPA2. Этот метод является предпочтительным, поскольку соответствует отраслевому стандарту IEEE 802.11i. AES выполняет те же функции, что и TKIP, но обеспечивает значительно более надежный метод шифрования. Он использует протокол CCMP, который позволяет узлам назначения распознавать зашифрованные и незашифрованные биты, используемые несанкционированно.

Примечание. По возможности всегда следует выбирать WPA2 с AES.

Дата добавления: 2018-04-05; просмотров: 1184; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 6 7 8 9 101112 13 14 15 Следующая ⇒

Мы поможем в написании ваших работ!