Опубликована 25 Фев 2008 | Тимофей
0Безопасность WiFi сетей
WiFi сеть или беспроводная сеть (WLAN) — это очень популярное направление в развитии сетей передачи данных. Настолько популярное, что по информации от аналитической компании Insight Research: ежегодный рост в секторе беспроводной связи составит около 10% (для сравнения рост сектора проводной связи ожидается около 2%).
Давайте поближе рассмотрим технологию wi-fi, с одной стороны она обладает большими преимуществами, например, нет необходимости прокладки кабеля, лучшая масштабируемость и цена,но с другой стороны есть и недостатки — главный из которых безопасность. Допустим, у вас в квартире или офисе проложена проводная локальная сеть (LAN), чтобы подключится к этой сети злоумышленник, должен иметь доступ в помещения где проходит сеть, получить такой доступ достаточно сложно (тут скорее нужен профессиональный форточник, а не хакер) Но если у вас беспроводная сеть и вы не используете различные способы защиты, то даже ребенок соседа Васи может с легкостью подключится к вашей сети.
Какие бывают способы защиты WiFi сетей?
Использование:
— протоколов шифрования (WPE, WPA);
— протоколов аутентификации (802.1X, RADIUS, EAP);
— виртуальной частной сети (VPN);
— режима скрыто индификатора сети (ESSID);
— фильтрации MAC-адресов;
Два последних способа не обеспечивают реальную безопасность и их применение сомнительно. Возможны и другие варианты защиты беспроводных сете, например, использование специального программного обеспечения (AirDefense Guard, AirMagnet и др.).
Протокол WEP
Все современные wi-fi устройства (точки доступа, беспроводные адаптеры и маршрутизаторы)поддерживают протокол безопасности WEP (Wired Equivalent Privacy), который был изначально заложен в спецификацию беспроводных сетей IEEE 802.11. Данный протокол является своего рода аналогом проводной безопасности (во всяком случае, расшифровывается он именно так), однако реально никакого эквивалентного проводным сетям уровня безопасности он, конечно же,не предоставляет.
Протокол WEP позволяет шифровать поток передаваемых данных на основе алгоритма RC4 с ключом размером 64 или 128 бит. Данные ключи имеют так называемую статическую составляющую длиной от 40 до 104 бит и дополнительную динамическую составляющую размером 24 бита, называемую вектором инициализации (Initialization Vector, IV).
На простейшем уровне процедура WEP-шифрования выглядит следующим образом: первоначально передаваемые в пакете данные проверяются на целостность (алгоритм CRC-32), после чего контрольная сумма (integrity check value, ICV) добавляется в служебное поле заголовка пакета. Далее генерируется 24-битный вектор инициализации, (IV) и к нему добавляется статический (40-или 104-битный) секретный ключ. Полученный таким образом 64-или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, использующегося для шифрования данных. Далее данные смешиваются (шифруются) с помощью логической операции XORс псевдослучайной ключевой последовательностью, а вектор инициализации добавляется в служебное поле кадра. Вот, собственно, и всё.
Протокол безопасности WEP предусматривает два способа аутентификации пользователей: Open System (открытая) и Shared Key (общая). При использовании открытой аутентификации никакой аутентификации, собственно, и не существует, то есть любой пользователь может получить доступ в беспроводную сеть. Однако даже при использовании открытой системы допускается использование WEP-шифрования данных.
Протокол WPA
Как будет показано чуть позже, протокол WEP имеет ряд серьёзных недостатков и не является для взломщиков труднопреодолимым препятствием. Поэтому в 2003 году был представлен следующий стандарт безопасности — WPA (Wi-Fi Protected Access). Главной особенностью этого стандарта является технология динамической генерации ключей шифрования данных, построенная на базе протокола TKIP (Temporal Key Integrity Protocol), представляющего собой дальнейшее развитие алгоритма шифрования RC 4. По протоколу TKIP сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей.В протоколе TKIP предусмотрена генерация нового 128-битного ключа для каждого передаваемого пакета. Кроме того, контрольные криптографические суммы в WPA рассчитываются по новому методу под названием MIC (Message Integrity Code). В каждый кадр здесь помещается специальный восьмибайтный код целостности сообщения, проверка которого позволяет отражать атаки с применением подложных пакетов. В итоге получается, что каждый передаваемый по сети пакет данных имеет собственный уникальный ключ, а каждое устройство беспроводной сети наделяется динамически изменяемым ключом.
Кроме того, протокол WPA поддерживает шифрование по стандарту AES (Advanced Encryption Standard), то есть по усовершенствованному стандарту шифрования, который отличается более стойким криптоалгоритмом, чем это реализовано в протоколах WEP и TKIP.
При развёртывании беспроводных сетей в домашних условиях или небольших офисах обычно используется вариант протокола безопасности WPA на основе общих ключей – WPA-PSK (Pre Shared Key). В дальнейшем мы будем рассматривать только вариант WPA-PSK, не касаясь вариантов протокола WPA, ориентированных на корпоративные сети, где авторизация пользователей проводится на отдельном RADIUS-сервере.
При использовании WPA-PSK в настройках точки доступа и профилях беспроводного соединения клиентов указывается пароль длиной от 8 до 63 символов.