Безопасность Wi-Fi-сетей: технологии защиты

Безопасность Wi-Fi-сетей: технологии защитыЕсли для проникновения в обычную сеть злоумышленнику необходимо физически к ней подключиться, то в случае с Wi-Fi все намного проще – нужно всего лишь находиться в зоне приема сети. Какой вред может нанести хакер, проникший в вашу сеть? Кроме банального доступа к конфиденциальным файлам, это может быть рассылка спама от вашего имени, воровство интернет-трафика, прослушивание незащищенных разговоров и т. д. Однако технология постоянно совершенствуется, и если на заре своего становления Wi-Fi-сети были практически беззащитными против атак, то сейчас ситуация заметно изменилась к лучшему.

Дмитрий Конончук, ITC

Рассмотрим существующие технологии защиты.

WEP

Поиск доступных Wi-Fi-сетей

Технология WEP (Wired Equivalent Privacy) была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Однако в ней используется не самый стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное шифрование. Для усиления защиты часть ключа (от 40 бит в 64-битном шифровании) является статической, а другая часть – динамической, так называемый вектор инициализации (Initialization Vector или IV), меняющейся в процессе работы сети. Данный вектор 24-битный. Основной уязвимостью WEP является то, что вектор инициализации повторяется через определенный промежуток времени (24 бита – около 16 миллионов комбинаций). Взломщику потребуется лишь собрать эти повторы и за секунды взломать остальную часть ключа. После чего он входит в сеть, как обычный зарегистрированный пользователь. Для повышения уровня безопасности можно дополнительно применять стандарт 802.1x или VPN.

WPA

  • WPA (Wi-Fi Protected Access) – более стойкий алгоритм шифрования, чем WEP. Высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.
  • TKIP – протокол интеграции временного ключа (Temporal Key Integrity Protocol) – каждому устройству присваивается изменяемый ключ.
  • MIC – технология проверки целостности сообщений (Message Integrity Check) – защищает от перехвата пакетов и их перенаправления.Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом, и общее число их вариаций достигает 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 KB (10 тыс. передаваемых пакетов) делают систему максимально защищенной.MIC использует весьма непростой математический алгоритм, который позволяет сверять отправленные в одной и полученные в другой точке данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.Существуют два вида WPA.
  • WPA-PSK (Pre-shared key) – для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.
  • WPA-802.1x – вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

WPA2

Создание и настройка нового подключения

WPA2 во многом построен на основе предыдущей версии, WPA, использующей элементы IEEE 802.11i. Стандарт предусматривает применение шифрования AES, аутентификации 802.1x, а также защитных спецификаций RSN и CCMP. Как предполагается, WPA2 должен существенно повысить защищенность Wi-Fi-сетей по сравнению с прежними технологиями. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

802.1x

IEEE 802.1x – это сравнительно новый стандарт, за основу которого взято исправление недостатков технологий безопасности, применяемых в 802.11, в частности возможность взлома WEP, зависимость от технологий производителя и т. д. 802.1x предусматривает подключение к сети даже PDA-устройств, что позволяет более выгодно использовать саму идею беспроводной связи. С другой стороны, 802.1x и 802.11 являются совместимыми стандартами. 802.1x базируется на следующих протоколах.

  • EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS-сервером в крупных сетях.
  • TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.
  • RADIUS (Remote Authentica-tion Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.Также появилась новая организация работы клиентов сети. После того как пользователь прошел этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определенное незначительное время – срок действующего на данный момент сеанса. По его завершении генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию.

VPN

Подключение к сети с помощью ноутбука с Windows XP Подключение к сети с помощью КПК с Windows Mobile 5.0

Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel. Задумывалась она для защищенного подключения клиентов к сети через общедоступные интернет-каналы. Принцип действия VPN – создание так называемых безопасных «туннелей» от пользователя до узла доступа или сервера. И хоть VPN изначально не был рассчитан для работы с Wi-Fi, он пригоден для любого типа сетей. Для шифрования трафика в VPN чаще всего применяется протокол IPSec (около 70% случаев), реже – PPTP или L2TP. При этом могут использоваться такие алгоритмы, как DES, Triple DES, AES и MD5. VPN поддерживается на многих платформах (Windows, Linux, Solaris) как программными, так и аппаратными средствами. Стоит отметить высокую надежность – пока что еще не зафиксировано случаев взлома VPN-сетей. Обычно VPN рекомендуется применять в больших корпоративных сетях, для домашнего пользователя установка и настройка может показаться слишком громоздкой и трудоемкой. Не обошлось и без ложки дегтя – при применении технологии придется пожертвовать около 35% пропускной способности канала.

 

SocButtons v1.5

Комментарии  

 
0 #1 пнглпнл 01.03.2017 15:03
:cry: :sigh: :-x :-? :cry: :cry: :cry: :cry: :cry: :cry: :cry: :-| :-| ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп ппппппппппппппп пппппппппппп
Цитировать
 

Добавить комментарий

Обращайтесь к посетителям сайта так, как вы хотите чтобы они обращались к вам

Защитный код
Обновить

Допрос

Сколько вы готовы платить за качественный интернет для личного пользования 100 Мбит/c на загрузку и отдачу?

Вы здесь: Главная Пресса Безопасность Wi-Fi-сетей: технологии защиты