2014-02-12
543
Многие производители аппаратной части разрабатывают свои методы защиты и шифрования соединений, но они в большинстве своём мало совместимы друг с другом.
Далее подробно рассмотрим безопасность сетей стандарта IEEE 802.11b, так как 90% (если не больше) корпоративных сетей развёрнуты именно на его базе.
Стандарт 802.11b имеет модель защиты, которая позволяет мобильным клиентам безопасно соединяться и взаимодействовать с точкой доступа и обеспечивает конфиденциальную передачу данных. Она состоит из двух базовых методов:
SSID
WEP
A Service Set Identification (SSID) – служебный идентификатор, это имя сети в сегменте беспроводной сети. Он также логически разделяет пользователей и точку доступа. Вообще для соединения с сетью беспроводной сетевой адаптер (WNIC) клиента должен быть настроен с таким же SSID, что и у точки доступа.
Wired Equivalent Privacy (WEP) – был утверждён IEEE для того, чтобы безопасность WLAN стала сопоставима с обычными проводными сетями, такими как локальная сеть (LAN). Иными словами, WEP представляет собой возможность шифрования передаваемых данных. В процессе WEP-кодирования используется симметричный ключ и математический алгоритм для преобразования данных в нечитаемый текст, называемый текст-шифр. В криптографии симметричный ключ – это значение с переменной длиной, используется для шифрования и расшифровки данных. Любое устройство, участвующее в соединении, должно иметь одинаковый ключ. WEP-ключи конфигурируются WLAN-администратором, чем длиннее ключ, тем сложнее будет расшифровать шифр-текст. WEP использует алгоритм RC4, которому в свою очередь необходим Вектор Инициализации (InitializationVector (IV)). IV это псевдо-случайная бинарная строка для скачкообразного процесса шифрования для алгоритмов, зависящих от предыдущей последовательности блоков шифр-текста. WEP совмещает в себе до 4 симметричных ключей переменной
длины, основанных на потоковом шифре RC4. Все ключи статичны и одинаковы для всех устройств в WLAN. Это означает, что все WEP-ключи вручную настраиваются на всех WLAN-устройствах и не меняются, пока администратор не сгенерирует новые ключи. Большинство 802.11b-оборудования поддерживают 2 размера ключей:
64-бита 40-битный ключ и 24-битный Вектор Инициализации;
128-бит 104-битный ключ и 24-битный Вектор Инициализации.
WEP имеет 2 основных назначения:
Запрещение доступа к WLAN;
Препятствие «атаке повтором».
Точка доступа использует WEP для предотвращения доступа к WLAN, посылая текстовые запросы конечному клиенту. Клиент шифрует запрос своим ключом и отправляет его обратно точке доступа. Если результат идентичен, пользователь получает доступ в сеть.
 |
WEP также препятствует «атаке повтором». «Атака повтором» заключается в декодировании пойманных в беспроводной сети пакетов. Если атакуемый WLAN-пользователь шифрует 802.11b фреймы WEP, атакующий не сможет декодировать данные до тех пор, пока у него не будет верного WEP-ключа.
Для получения доступа к WLAN стандарт 802.11b указывает, что клиент должен пройти 2 этапа:
Процесс авторизации.
Процесс присоединения.
Клиент, желающий подключиться к WLAN, должен сперва пройти авторизацию.
В процессе авторизации проверяется информация о клиенте, и это является начальным этапом соединения с точкой доступа. Существует 2 типа авторизации:
Открытая система (Open System Authentication).
Общий ключ (Shared Key Authentication).
Открытая система (OSA) подразумевает, что всё взаимодействие проходит в открытом виде, без использования WEP-ключей. Любой клиент может беспрепятственно присоединиться к WLAN. Единственное, что необходимо, – это SSID. Некоторые точки доступа принимают даже нулевой SSID. Точка доступа может быть настроена на оба типа.
В отличие от OSA, Shared Key Authentication (SKA) подразумевает посылку запроса на шифрование. Клиент шифрует запрос и посылает его обратно. Точка доступа декодирует ответ и сравнивает его с оригиналом. Если результат положительный, клиент может осуществить присоединение.
Присоединение – это финальный этап соединения с беспроводной сетью, результатом которого является полноценное подключение клиента к точке доступа.
Таким образом, стандарт 802.11b предусматривает 3 состояния:
Состояние 1: Неавторизирован и не присоединён.
Состояние 2: Авторизирован и не присоединён.
Состояние 3: Авторизирован и присоединён.
С технической точки зрения процесс доступа делится на 3 фазы:
Фаза поиска.
Фаза авторизации.
Фаза присоединения.
Фаза поиска. Клиент посылает пробный пакет по всем каналам и ждёт ответа от любой точки доступа. Ответ точки доступа содержит информацию, необходимую для процесса соединения.
Фаза авторизации. Как указывалось выше, точка доступа может быть одновременно и SKA и OSA типа. Настройка точки доcтупа определяет, какой тип авторизации будет использоваться.
Фаза присоединения. Клиент посылает пакет – запрос на присоединение. Точка доступа посылает пакет – ответ, разрешающий присоединение. Состояние «Авторизирован и присоединён» финальный этап инициализации между точкой доступа и клиентом при условии, что отсутствуют другие защитные механизмы, такие как: RADIUS, EAP или 802.1X. Клиент подключается к WLAN.
