Санкт-Петербурзький державний політехнічний університет
Радіофізичний факультет
иформационную БЕЗПЕКА В МЕРЕЖАХ Wi - Fi
Виконав: студент групи 6097
Хохлов А. С.
Санкт - Петербург
2005
Зміст
Зміст. 2
Безпека бездротових мереж. 3
Огляд систем шифрування. 3
Вектори ініціалізації. 4
Режими зі зворотним зв'язком .. 5
Кодування за стандартом 802.11. 5
Механізми аутентифікації стандарту 802.11. 7
Аутентифікація з використанням МАС-адрес. 8
Уразливість системи захисту стандарту 802.11. 9
Уразливість відкритої аутентифікації. 9
Уразливість аутентифікації з спільно використовуваних ключем .. 9
Уразливість аутентифікації з використанням МАС-адрес. 10
Уразливість WEP-шифрування. 10
Проблеми управління статичними WEP-ключами. 12
Захищені LAN стандарту 802.11. 13
Перша складова: базова автентифікація. 13
Друга складова: алгоритм аутентифікації. 16
Третя складова: алгоритм захисту даних. 16
Четверта складова: цілісність даних. 18
Вдосконалений механізм управління ключами. 19
Шифрування за алгоритмом AES. 19
Резюме. 20
В
Безпека бездротових мереж
Пристрої стандарту 802.11 зв'язуються один з одним, використовуючи в якості переносника даних сигнали, передані в діапазоні радіочастот. Дані переду-ються за радіо відправником, що гадають, ніби приймач також працює у вибраному радіодіапазоні. Недоліком такого механізму є те, що будь-яка інша станція, використовує цей діапазон, теж здатна прийняти ці дані.
якщо не використовувати небудь механізм захисту, будь-яка станція стандарту 802.11 зможе обробити дані, надіслані по бездротової локальної мережі, якщо тільки її приймач працює в тому ж радіодіапазоні. Для забезпечення хоча б мінімального рівня безпеки необхідні наступні компоненти.
В· Засоби для прийняття рішення щодо того, хто або що може використовувати бездротову LAN. Це вимога задовольняється за рахунок механізму аутентифікації, що забезпечує контроль доступу до LAN.
В· Засоби захисту інформації, переданої через бездротову середу. Ця вимога задовольняється за рахунок використання алгоритмів шифрування.
На рис.1 показано, що захист в бездротових мережах забезпечується як за рахунок аутентифікації, так і завдяки шифруванню. Жоден з названих механізмів окремо не здатний забезпечити захист бездротової мережі.
В
Рис. 1. Захист в бездротових мережах забезпечується за рахунок аутентифікації і шифрування
У специфікації стандарту 802.11 регламентовано застосування механізму аутентифікації пристроїв з відкритим і з спільно використовуваних ключем і механізму WEP, забезпечує захищеність даних на рівні провідних мереж. Обидва алго-ритму аутентифікації, з відкритим і з спільно використовуваних ключем, засновані на WEP-шифруванні і застосуванні WEP-ключів для контролю доступу. Оскільки алгоритм WEP відіграє важливу роль у забезпеченні безпеки мереж стандарту 802.11, в наступному розділі будуть розглянуті основи шифрування і шифри.
Огляд систем шифрування
Механізми шифрування засновані на алгоритмах, які рандомізують дані. Використовуються два види шифрів.
Потоковий (Груповий) шифр.
Блочний шифр.
Шифри обох типів працюють, генеруючи ключовою потік (key stream), що отримується на основі значення секретного ключа. Ключовий потік змішується з даними, або відкритим текстом, в результаті чого виходить закодований вихідний сигнал, або зашифрований текст. Названі два види шифрів відрізняються за обсягом даних, з якими вони можуть працювати одночасно.
Потоковий шифр генерує безперервний ключовою потік, грунтуючись на значен-ванні ключа. Наприклад, потоковий шифр може генерувати 15-розрядний ключовою потік для шифрування одного кадру та 200-розрядний ключовою потік для шифрування іншого. На рис. 2 проілюстрована робота потокового шифру. Потокові шифри - це невеликі та ефективні алгоритми шифрування, завдяки яким навантаження на центральний процесор виявляється невеликий. Найбільш поширеним є потоковий шифр RC4, який і лежить в основі алгоритму WEP.
Блочний шифр , навпаки, генерує єдиний ключовий потік шифрування фіксованого розміру. Відкритий текст ділиться на блоки, і кожен блок змішується з ключовим потоком незалежно. Якщо блок відкритого тексту менше, ніж блок ключового потоку, перший доп...
