2015-04-30
608
Службы аутентификации, шифрования и контроля доступа (или авторизации) — это три ключевых компонента комплексной системы безопасности беспроводной ЛВС.
Различают следующие виды аутентификации:
· Открытая – Рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, что не безопасно.
· С общим ключом – необходимо настроить статический ключ шифрования алгоритма WEP. Клиент делает запрос, на что получает подтверждение, содержащее 128 байт случайной информации. Станция шифрует полученные данные WEP’ом и отправляет их с запросом на ассоциацию. Точка доступа расшифровывает данные и сравнивает с исходными. В случае совпадения клиент считается подключенным к сети.
· По MAC-адресу – Происходит сравнение МАС-адреса клиента с таблицей разрешённых MAC-адресов.
· WPA2 – основной шифр – AES. Два варианта аутентификации: WPA2-Enterprise с аутентификацией на RADIUS сервере и WPA2-PSK с предустановленным ключом. AES-CCMP, TKIP – доп. шифры.
|
|
|
Различают следующие виды шифрования:
· WEP-шифрование – используется шифр RC4. Есть два основных протокола WEP:
40-битный (64 бит-ключ, 24-вектор инициализации), 104-битный (128 и 24 соответственно)
· TKIP-шифрование – используется более криптостойкий шифр RC4, 48 бит- вектор инициализации. Используется протокол MIC для проверки целостности сообщений.
· WPA2 – использует AES. Есть 2 режима: Pre-Shared Key - каждый узел вводит пароль для доступа к сети; Enterprise - проверка осуществляется серверами RADIUS.
Различают следующие виды ограничения:
· Фильтрация MAC-адресов – можно осуществлять тремя способами:
1. Доступ станциям с любым MAC-адресом
2. Доступ только станциям, чьи MAC-адреса находятся в доверительном списке
3. Доступ только станциям, не входящим в «чёрный список»
· Режим скрытого идентификатора SSID – точка доступа рассылает кадры-маячки, каждый из которых содержит SSID(идентификатор беспроводной сети). В случае скрытого SSID невозможно обнаружение сети. К сети подключится тот, кто его уже знает.
Wired Equivalent Privacy (WEP) – алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для обеспечения защиты передаваемых данных от прослушивания. Существует две разновидности: WEP-40 и WEP-104, различающиеся длиной ключа. RC4 (англ. R ivest c ipher 4 или англ. R on’s c ode,)) — потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях (например, в протоколах SSL и TLS, алгоритмах обеспечения безопасности беспроводных сетей WEP и WPA).
Алгоритм RC4, как и любой потоковый шифр, строится на основе генератора псевдослучайных битов. На вход генератора записывается ключ, а на выходе читаются псевдослучайные биты. Длина ключа может составлять от 40 до 2048 бит[1]. Генерируемые биты имеют равномерное распределение.
|
|
|
Основные преимущества шифра:высокая скорость работы;переменный размер ключа.
WPA и WPA2 (Wi-Fi Protected Access) — представляет собой обновлённую программу сертификации устройств беспроводной связи. Технология WPA пришла на замену технологии защиты беспроводной Wi-Fi сети WEP. Плюсами WPA являются усиленная безопасность данных и ужесточённый контроль доступа к беспроводным сетям. Немаловажной характеристикой является совместимость между множеством беспроводных устройств как на аппаратномуровне, так и на программном.
В WPA обеспечена поддержка стандартов 802.1X, а также протокола EAP (Extensible Authentication Protocol, расширяемый протокол аутентификации). Стоит заметить, что в WPA2 поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет ряд преимуществ над используемым в WEP RC4, например гораздо более стойкий криптоалгоритм.
Большим плюсом при внедрении EWPA является возможность работы технологии на существующем аппаратном обеспечении Wi-Fi.
Некоторые отличительные особенности WPA:
· усовершенствованная схема шифрования RC4
· обязательная аутентификация с использованием EAP.
· система централизованного управления безопасностью, возможность использования в действующих корпоративных политиках безопасности.
