При строительстве сети на современных беспроводных устройствах фактически придется выбирать только между двумя протоколами:
WEP и WPA (скорее всего, в модификации WPA-PSK).
К сожалению, выбор определяется самым слабым устройством в сети. Если самое слабое с точки зрения поддерживаемых протоколов безопасности устройство, работает только с шифрованием WEP, придется либо смириться с увеличением потенциальной уязвимости сети (допустимо в малых сетях), либо применять меры безопасности, неспецифичные для беспроводных сетей, в частности построение VPN.
Протокол аутентификации и шифрования данных WEP.
WEP (Wired Equivalent Privacy) – протокол безопасности для сетей Wi-Fi, определенный стандартом IEEE 802.11b.
WEP был разработан для обеспечения уровня безопасности, аналогичного тому, какой существует в проводных локальных сетях и обеспечивает шифрование данных, передаваемых по радиоканалу. К сожалению, протокол оказался не столь надежным, как ожидалось. Основным его недостатком является использование статического ключа для шифрования данных и злоумышленник может тем или иным способом узнать этот ключ, чтобы получить доступ к беспроводной сети.
При использовании протокола WEP возможны два типа взаимной аутентификации беспроводных устройств (Authentication Type):
В WEP шифрование данных осуществляется с использованием алгоритма RC4. Шифрование происходит с использованием статического ключа длиной 40 или 104 бит, к статической части ключа добавляется так называемый вектор инициализации (Initialization Vector, IV) длиной 24 бита, который изменяется динамически. Общая длина ключа WEP получается равной 64 (40+24) или 128 (104+24) бит (обычно в параметрах настройки указывают именно общую длину ключа. Главная уязвимость протокола WEP связана с короткой длиной IV – 24 бита дают возможность создать всего около 16 миллионов различных векторов. Это число может показаться большим, но в реальной работе все возможные варианты ключей будут использованы в течение нескольких часов, затем значения IV начнут повторяться. Чтобы взломать сеть, злоумышленнику нужно записать достаточно большой кусок трафика беспроводной сети и найти повторы IV. После этого подбор статической составляющей ключа делается достаточно быстро с использованием легкодоступных программ. Существуют также так называемые «нестойкие» IV. Некоторые производители встраивают в свои устройства специальные процедуры для отбрасывания подобных векторов, но, к сожалению, эта функция реализована не на всех устройствах. Если используются нестойкие векторы в ключе WEP, злоумышленнику не придется ждать несколько часов, пассивно накапливая трафик сети, узнать ключ WEP он сможет еще быстрее. Деятельность злоумышленника облегчается тем, что практически невозможно сетевыми средствами определить факт прослушивания и записи трафика беспроводной сети. Некоторые производители беспроводного оборудования предлагают поддержку ключей длиной более 128 бит, обычно 256 бит. Но увеличивается лишь статическая составляющая ключа, IV остается таким же. При использовании протокола WEP рекомендуется использовать ключ длиной 128 или 256 бит и включить тип аутентификации Shared Key. Если у вас вдруг оказалось устройство, которое не поддерживает даже WEP с ключом 128 бит, вряд ли найдется оправдание присутствию такого устройства в вашей сети – оно сделает всю сеть ещё более незащищённой, независимо от поддержки другими устройствами более сильных протоколов шифрования, поскольку для включения такого устройства в сеть необходимо будет выключить шифрование всей сети. На смену WEP приходят более надежные протоколы, тем не менее протокол WEP продолжает широко использоваться, так как не все устройства поддерживают новые протоколы безопасности.
WEP и WPA (скорее всего, в модификации WPA-PSK).
К сожалению, выбор определяется самым слабым устройством в сети. Если самое слабое с точки зрения поддерживаемых протоколов безопасности устройство, работает только с шифрованием WEP, придется либо смириться с увеличением потенциальной уязвимости сети (допустимо в малых сетях), либо применять меры безопасности, неспецифичные для беспроводных сетей, в частности построение VPN.
Протокол аутентификации и шифрования данных WEP.
WEP (Wired Equivalent Privacy) – протокол безопасности для сетей Wi-Fi, определенный стандартом IEEE 802.11b.
WEP был разработан для обеспечения уровня безопасности, аналогичного тому, какой существует в проводных локальных сетях и обеспечивает шифрование данных, передаваемых по радиоканалу. К сожалению, протокол оказался не столь надежным, как ожидалось. Основным его недостатком является использование статического ключа для шифрования данных и злоумышленник может тем или иным способом узнать этот ключ, чтобы получить доступ к беспроводной сети.
При использовании протокола WEP возможны два типа взаимной аутентификации беспроводных устройств (Authentication Type):
- Open System. При аутентификации Open System к беспроводной сети может подключиться любое устройство с соответствующим значением SSID. Ключи WEP в процессе аутентификации не проверяются и используются только для шифрации/дешифрации передаваемых данных.
- Shared Key. Аутентификация типа Shared Key требует, чтобы точка доступа и беспроводной адаптер имели одинаковый ключ WEP. Процесс аутентификации в режиме Shared Key выглядит следующим образом: в ответ на запрос клиентского устройства на подключение к сети Wi-Fi точка доступа посылает незашифрованное тестовое сообщение (challenge text), клиент зашифровывает это сообщение своим ключом WEP и возвращает точке доступа, точка доступа расшифровывает сообщение с помощью своего ключа WEP и, если результат совпадает с исходным сообщением, разрешает доступ. Тип аутентификации Shared Key значительно безопаснее, чем Open System, поэтому, если нет специальных противопоказаний, следует использовать именно Shared Key Authentication.
В WEP шифрование данных осуществляется с использованием алгоритма RC4. Шифрование происходит с использованием статического ключа длиной 40 или 104 бит, к статической части ключа добавляется так называемый вектор инициализации (Initialization Vector, IV) длиной 24 бита, который изменяется динамически. Общая длина ключа WEP получается равной 64 (40+24) или 128 (104+24) бит (обычно в параметрах настройки указывают именно общую длину ключа. Главная уязвимость протокола WEP связана с короткой длиной IV – 24 бита дают возможность создать всего около 16 миллионов различных векторов. Это число может показаться большим, но в реальной работе все возможные варианты ключей будут использованы в течение нескольких часов, затем значения IV начнут повторяться. Чтобы взломать сеть, злоумышленнику нужно записать достаточно большой кусок трафика беспроводной сети и найти повторы IV. После этого подбор статической составляющей ключа делается достаточно быстро с использованием легкодоступных программ. Существуют также так называемые «нестойкие» IV. Некоторые производители встраивают в свои устройства специальные процедуры для отбрасывания подобных векторов, но, к сожалению, эта функция реализована не на всех устройствах. Если используются нестойкие векторы в ключе WEP, злоумышленнику не придется ждать несколько часов, пассивно накапливая трафик сети, узнать ключ WEP он сможет еще быстрее. Деятельность злоумышленника облегчается тем, что практически невозможно сетевыми средствами определить факт прослушивания и записи трафика беспроводной сети. Некоторые производители беспроводного оборудования предлагают поддержку ключей длиной более 128 бит, обычно 256 бит. Но увеличивается лишь статическая составляющая ключа, IV остается таким же. При использовании протокола WEP рекомендуется использовать ключ длиной 128 или 256 бит и включить тип аутентификации Shared Key. Если у вас вдруг оказалось устройство, которое не поддерживает даже WEP с ключом 128 бит, вряд ли найдется оправдание присутствию такого устройства в вашей сети – оно сделает всю сеть ещё более незащищённой, независимо от поддержки другими устройствами более сильных протоколов шифрования, поскольку для включения такого устройства в сеть необходимо будет выключить шифрование всей сети. На смену WEP приходят более надежные протоколы, тем не менее протокол WEP продолжает широко использоваться, так как не все устройства поддерживают новые протоколы безопасности.
Комментариев нет:
Отправить комментарий