В вопросах безопасности беспроводные сети имеют очень много общих граней с проводными сетями, однако есть и существенные различия. Для того чтобы проникнуть в проводную сеть, злоумышленнику необходимо получить физический доступ к активному сетевому оборудованию для перехвата потока трафика. В случае с беспроводной сетью достаточно установить антенну в любом месте внутри зона действия сети.
В настоящее время для защиты сетей Wi-Fi применяются сложные алгоритмические модели аутентификации, шифрования данных, контроля целостности их передачи. Но так было не всегда, на ранних стадиях развития технологий беспроводных сетей появлялись сообщения о том, что, даже не используя сложного оборудования и специальных программ, можно было подключиться к некоторым корпоративным сетям, просто проезжая мимо с ноутбуком.
Вот стандартный список того, что может осуществить злоумышленник в случае нелегитимного доступа к беспроводной сети.
- доступ к ресурсам и дискам пользователей сети Wi-Fi, а через нее – и к ресурсам LAN;
- прослушивание трафика и получение конфинденциальной информации;
- искажение проходящей информации;
- воровство интернет-трафика;
- атаку на ПК пользователей и сервисы сети (например Denial of Service (DOS) или даже глушение радиосвязи);
- внедрение поддельной точки доступа.
Рассмотрим технологии защиты, которые применяются в беспроводных сетях.
wep
Данная технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Для усиления защиты применяется так называемый вектор инициализации (Initialization Vector, IV), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Но оказалось, что взломать такую защиту можно – соответствующие утилиты присутствуют в Интернете (например: AirSnort, WEPcrack). Основное ее слабое место – именно вектор инициализации.
IEEE 802.1X
Это новый стандарт, который оказался ключевым для развития индустрии беспроводных сетей в целом. Он базируется на протоколе расширенной аутентификации Extensible Authentication Protocol (EAP), протоколе защиты транспортного уровня Transport Layer Security (TLS) и сервере доступа RADIUS (Remote Access Dial-in User Server). Плюс к этому стоит упомянуть новую организацию работы клиентов сети. После того как пользователь прошел этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определенное незначительное время – время действующего на данный момент сеанса. По завершении этого сеанса генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию.
wpa
Это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA=802.1X+EAP+TKIP+MIC, где:
- WPA – технология защищенного доступа к беспроводным сетям (Wi-Fi Protected Access);
- EAP – протокол расширенной аутентификации (Extensible Authentication Protocol);
- TKIP -протокол интеграции временного ключа (Temporal Key Integrity Protocol);
- MIC -технология проверки целостности сообщений (Message Integrity Check).
Комментариев нет:
Отправить комментарий