Захист мереж Wi-Fi
Захист мереж Wi-Fi.
Проблема безпеки з самого моменту появленіясетей Wi-Fi является однією з найскладніших. Справа в тому, що в прототипах Wi-Fi це питання, як такої, практично не стояло. У разработчіковстандарта 802.11b (який зараз найбільш популярний і власне представляє торгову марку Wi-Fi) також головним завданням була сумісність обладнання з спрощенням процедур доступу. З іншого боку, будь-якій людині, знайомому з комп'ютерною технікою, зрозуміло, що бездротова комп'ютерна мережа для зловмисника більш вразлива, ніж звичайна дротова, так як питання фізичного доступу до трафіку вирішується наявністю недорогого радіообладнання.
Отже, безпека Wi-Fi - це два основні питання:
конфіденційність інформації; захист від несанкціонованого доступу. Природно, вирішити ці питання зі стовідсотковою гарантією неможливо, але розробники бездротового обладнання та програмного забезпечення приділяють велику увагу даній проблемі. Огляд стандартних засобів безпеки Wi-Fi і є метою даної статті. WEP - найбільш ранній протокол безпеки мереж Wi-Fi
Для шифрування потоків в стандартах IEEE 802.11 спочатку використовувався протоколWEP (Wired Equivalent Privacy). Дані в цьому протоколі шифруються ключем з розрядністю від 40 до 104 біт, який посилюється додатковим випадковим 24-бітним кодом (Initialization Vector). У результаті виходить шифрування з розрядністю від 64 до 128 біт. Проте вже в 2001 році були опубліковані доповіді про помилки в проектуванні і реалізації цього протоколу, що дозволяють його легко зламати. Для обчислення секретного ключа досить перехопити і проаналізувати близько 5-7 мільйонів. пакетів. У мережі середніх розмірів на це буде потрібно близько 2-4 годин. На сьогоднішній день такий метод не може вважатися гарантом повної безпеки, так як подібні ключі хакери навчилися зламувати і в Інтернеті з'явилися утиліти для злому WEP. WPA - надійний протокол шифрування з динамічною зміною ключів
З цієї причини Wi-Fi Alliance і IEEE в 2003 р. випустили новий, більш досконалий ніж WEP, стандарт безпекиWPA (Wi-Fi Protected Access), в якому шифрування здійснюється з динамічною зміною ключів на основі TKIP (Temporal Key Integrity Protocol). У цьому протоколі кожен пакет у мережі має свій власний ключ. Це принципово виключає можливість прослуховування трафіку і обчислення статичного ключа.
Іншим наслідком уразливості WEP стала поява (раніше, ніж WPA) стандартуIEEE 802.1X, заснованого на протоколі розширеної аутентифікації Extensible Authentication Protocol (EAP), протоколі захисту транспортного рівня Transport Layer Security (TLS) і сервері доступу RADIUS (Remote Access Dial-in User Server). У цьому стандарті застосовуються динамічні ключі замість статичних, використовуваних в WEP. Після аутентифікації користувачеві надсилається секретний ключ в зашифрованому вигляді, який діятиме нетривалий час, зване часом сеансу. По закінченні цього сеансу генерується новий ключ і знову висилається користувачеві. Протокол захисту транспортного рівня TLS забезпечує взаємну аутентифікацію і цілісність передачі даних. Всі ключі є 128-розрядними за умовчанням. У 802.1X застосовується той же алгоритм, що і в WEP, а саме RC4, але з деякими відмінностями.
Однак, повернемося до WPA. Другий корисною функцією цього стандарту є можливість аутентифікації користувача при вході в мережу. Це означає, що для доступу користувач буде зобов'язаний ввести логін і пароль, які будуть звірятися з обліковими записами сервера аутентифікації. Процес цей регламентується протоколом EAP (Extensible Authentication Protocol). В цьому місці необхідно відзначити, що по суті WPA є "перехідним" стандартом, наслідком чого є певні недоліки. Серйозним недоліком є, наприклад, програмна (а не апаратна) його реалізація на ряді пристроїв, що знижує секретність ключа шифрування. Тим не менш, у пресі невідомо повідомлень про злом мереж з технологією WPA.
Стандарт 802.11i - офіційно затверджена специфікація IEEE 802.11
минає 2004 рік став знаковим для Wi-Fi. Справа в тому, що в цьому році був прийнятий довгоочікуваний стандартIEEE 802.11i, що отримав також назву WPA2. У ньому, в якості основи використовується Advanced Encryption Standard (AES) - алгоритм шифрування, що забезпечує більш надійний захист і підтримує ключі довжиною 128, 192 і 256 біт. Крім того, вже з нового року більшість продуктів Wi-Fi стануть апаратно 802.11i-сумісними, що набагато підвищить надійність захисту мереж в цілому.
Розповівши про стандарти шифрування трафіку, необхідно згадати, що в бездротових мережах можливий вибір смуг частоти, в яких працюють пристрої передачі даних. У мережах WLAN використовується особлива технологія Direct Sequence Spread Spectrum, що забезпечує високу стійкість до всіх видів спотворень і перешкод в радіоефірі. VPN - технологія безпечного з'єднання клієнтських систем з серверами по загальнодоступним інтернет-каналах
На сьогоднішній день говорити про безпечне мережі не можна без використання VPN - технології віртуальних приватних мереж Virtual Private Network, яка добре себе зарекомендувала з точки зору шифрування і надійності аутентифікації . Не відомо повідомлень про зломи і нарікань до цієї технології з боку користувачів. Технологій шифрування в VPN застосовується декілька, найбільш популярні з них описані протоколами PPTP, L2TP і IPSec з алгоритмами шифрування DES, Triple DES, AES і MD5. І хоча технологія VPN не призначалася спочатку саме для Wi-Fi, вона може використовуватися для будь-якого типу мереж, а значить і для Wi-Fi, як найперспективніших.
Для реалізації VPN-захисту в рамках мережі встановлюється спеціальний шлюз, в якому створюються тунелі, по одному на кожного користувача. Зокрема, для бездротових мереж шлюз слід встановити безпосередньо перед точкою доступу. А користувачам мережі необхідно встановити спеціальні клієнтські програми, які в свою чергу також працюють за рамками бездротової мережі і розшифровка виноситься за її межі.
Рішення проблеми безпеки в мережах Wi-Fi зможе реально вивести інтерес широкого кола користувачів і їх довіру на принципово новий рівень. Але проблема ця не зможе бути вирішена тільки прийняттям стандарту і уніфікацією обладнання. Значні зусилля вимагаються від постачальників послуг, потрібно гнучка система безпеки, настройка політик доступу, управління шириною каналу і так далі. А поки безпеку бездротових мереж залишає бажати ...
Минулого літа експерти Навчального центру "Інформзахист" провели дослідження, яке дало дивовижні результати. Дослідивши близько 2 км одній з московських вулиць за допомогою програми Wi-Fi моніторингу було виявлено 11 працюючих мереж. З них 4 були абсолютно беззахисні, а решта в основному використовували для захисту протокол WEP, що забезпечує лише мінімальний рівень безпеки. Коментарі тут, як кажуть, зайві.
Якщо підсумувати все вищесказане, то відповідь очевидна, - необхідно користуватися бездротовими мережами і при цьому застосовувати всі доступні способи забезпечення безпеки. Налаштування WEP доступна навіть починаючому користувачеві, а кваліфікований користувач в змозі налаштувати WPA. В принципі, ймовірність злому мережі існує завжди - точно так само, як ймовірність злому будь-якого комп'ютера, підключеного до Інтернету. Питання тільки в цінності інформації, до якої підбирається зловмисник. Для того щоб "розкрити" WEP-шифрування, потрібно, як мінімум Wi-Fi-пристрій і знання. А що стосується WPA, то, на наш погляд, використання цього протоколу для невеликих мереж цілком достатньо.