рими пристроями.
Стандартом передбачені дві функціональні моделі: з аутентифікацією по IEEE 802.1x, тобто з застосуванням протоколу EAP, і за допомогою заздалегідь зумовленого ключа, прописаного на аутентифікаторі і клієнті (такий режим називається Preshared Key, PSK). У даному випадку ключ PSK виконує роль ключа PMK, і подальша процедура їх аутентифікації і генерації нічим не відрізняється. p> Так як алгоритми шифрування, використовують процедуру TKIP, вже прийнято називати WPA, а процедуру CCMP - WPA2, то можна сказати, що способами шифрування, що задовольняють RSNA, є: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal). p> Процедура встановлення з'єднання і обміну ключами для алгоритмів TKIP і CCMP однакова. Сам CCMP (Counter mode (CTR) with CBC-MAC (Cipher-Block Chaining (CBC) with Message Authentication Code (MAC) Protocol) так само, як і TKIP, покликаний забезпечити конфіденційність, аутентифікацію, цілісність і захист від атак відтворення. Даний алгоритм заснований на методі CCM-алгоритму шифрування AES, що визначений у специфікації FIPS PUB 197. Всі AES-процеси, застосовувані в CCMP, використовують AES з 128-бітовим ключем і 128-бітовим розміром блоку. p> Останнім нововведенням стандарту є підтримка технології швидкого роумінгу між точками доступу з використанням процедури кешування ключа PMK і преаутентіфікаціі. p> Процедура кешування PMK полягає в тому, що якщо клієнт один раз пройшов повну аутентифікацію при підключенні до якійсь точці доступу, то він зберігає отриманий від неї ключ PMK, і при наступному підключенні до даної точки у відповідь на запит про підтвердження справжності клієнт пошле раніше отриманий ключ PMK. На цьому аутентифікація закінчиться, тобто 4-стороннє рукостискання (4-Way Handshake) виконуватися не буде.
Процедура преаутентіфікаціі полягає в тому, що після того, як клієнт підключився і пройшов аутентифікацію на точці доступу, він може паралельно (заздалегідь) пройти аутентифікацію на інших точках доступу (які він В«чуєВ») з таким же SSID, тобто заздалегідь отримати від них ключ PMK. І якщо надалі точка доступу, до якої він підключений, вийде з ладу або її сигнал виявиться слабшим, ніж якийсь інший точки з таким же ім'ям мережі, то клієнт справить перепідключення з швидкого схемою з закешовану ключем PMK.
Розгромна в 2001 р. специфікація WEP2, яка збільшила довжину ключа до 104 біт, не вирішила проблеми, так як довжина вектора ініціалізації і спосіб перевірки цілісності даних залишилися колишніми. Більшість типів атак реалізовувалися так само просто, як і раніше. br/>В
Висновок
У висновку я б хотів підсумувати всю інформацію і дати рекомендації щодо захисту бездротових мереж.
Існує три механізми захисту бездротової мережі: налаштувати клієнт і AP на використання одного (НЕ обираного за замовчуванням) SSID, дозволити AP зв'язок тільки з клієнтами, MAC-адреси яких відомі AP, і налаштувати клієнти на аутентифікацію в AP і шифрування трафіку. Більшість AP налаштовуються на роботу з вибираним за Типово SSID, без ведення списку дозволених MAC-адрес клієнтів і з відомим загальним ключем для аутентифікації і шифрування (або взагалі без аутентифікації і шифрування). Зазвичай ці параметри документовані в оперативної довідкової системі на Web-сайті виробника. Завдяки цим параметрах недосвідчений користувач може без праці організувати бездротову мережу і почати працювати з нею, але водночас вони спрощують хакерам завдання проникнення в мережу. Становище ускладнюється тим, що більшість вузлів доступу налаштоване на трансляцію передачу SSID. Тому зломщик може відшукати вразливі мережі за стандартними SSID.
Перший крок до безпечної бездротової мережі - змінити обираний за замовчуванням SSID вузла доступу. Крім того, слід змінити цей параметр на клієнтові, щоб забезпечити зв'язок з AP. Зручно призначити SSID, що має сенс для адміністраторів і користувачів їй підприємства, але не явно ідентифікує дану бездротову мережу серед інших SSID, перехоплюваних сторонніми особами.
Наступний крок - при можливості блокувати трансляцію передачу SSID вузлом доступу. В результаті зломщикові стає складніше (хоча можливість така зберігається) виявити присутність бездротової мережі і SSID. У деяких AP скасувати широкомовну передачу SSID можна. У таких випадках слід максимально збільшити інтервал широкомовній передачі. Крім того, деякі клієнти можуть встановлювати зв'язок тільки за умови широкомовної передачі SSID вузлом доступу. Таким чином, можливо, доведеться провести експерименти з цим параметром, щоб вибрати режим, відповідний в конкретній ситуації.
Після цього можна дозволити звернення до вузлів доступу тільки від бездротових клієнтів з відомими MAC-адресами. Такий захід навряд чи доречна у великій організації, але на малому підприємстві з невеликим числом бездротових клієнтів це надійна до...
