зловмиснику можливість перебувати на значній відстані від мети в процесі перехоплення. Підслуховування дозволяє зібрати інформацію в мережі, яку згодом передбачається атакувати. Первинна мета зловмисника - зрозуміти, хто використовує мережу, які дані в ній доступні, які можливості мережевого устаткування, в які моменти його експлуатують найбільш і найменш інтенсивно і яка територія розгортання мережі.
1.2 Засоби захисту бездротових мереж
В якості засобів захисту від найбільш частих загроз бездротових мереж можна використовувати наступні програми забезпечення (Wi-Fi Protected Access) являє собою оновлену програму сертифікації бездротового зв'язку. Технологія WPA складається з кількох компонентів:
протокол 802.1x - універсальний протокол для аутентифікації, авторизації та обліку (AAA)
протокол EAP - розширювана протокол аутентифікації (Extensible Authentication Protocol)
протокол TKIP - протокол временнОй цілісності ключів, інший варіант перекладу - протокол цілісності ключів в часі (Temporal Key Integrity Protocol) - криптографічний перевірка цілісності пакетів (Message Integrity Code)
протокол RADIUS
За шифрування даних в WPA відповідає протокол TKIP, який, хоча і використовує той же алгоритм шифрування - RC4 - що і в WEP, але на відміну від останнього, використовує динамічні ключі (тобто ключі часто міняються). Він застосовує довший вектор ініціалізації і використовує криптографічну контрольну суму (MIC) для підтвердження цілісності пакетів (остання є функцією від адреси джерела і призначення, а також поля даних). протокол призначений для роботи в зв'язці з сервером аутентифікації, в якості якого зазвичай виступає RADIUS-сервер. У цьому випадку бездротові точки доступу працюють в enterprise-режимі.
Якщо в мережі відсутня RADIUS-сервер, то роль сервера аутентифікації виконує сама точка доступу - так званий режим
WPA-PSK (pre-shared key, загальний ключ). У цьому режимі в настройках усіх точок доступу заздалегідь прописується загальний ключ. Він же прописується і на клієнтських бездротових пристроях. Такий метод захисту теж досить Секьюр (щодо WEP), дуже не зручна з точки зору управління. PSK-ключ потрібно прописувати на всіх безпроводових пристроях, користувачі бездротових пристроїв його можуть бачити. Якщо буде потрібно заблокувати доступ якомусь клієнту в мережу, доведеться заново прописувати новий PSK на всіх пристроях мережі і так далі. Іншими словами, режим WPA-PSK підходить для домашньої мережі і, можливо, невеликого офісу, але не більше того.
У цій серії статей буде розглянута робота WPA спільно із зовнішнім RADIUS-сервером. Але перш ніж перейти до неї, трохи докладніше зупинимося на механізмах роботи WPA. Технологія WPA була тимчасовим заходом до введення в експлуатацію стандарту 802.11i. Частина виробників до офіційного прийняття цього стандарту ввели в обіг технологію WPA2, в якій в тій чи іншій мірі використовуються технології з 802.11i. Такі як використання протоколу CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), натомість TKIP, в якості алгоритму шифрування там застосовується вдосконалений стандарт шифрування AES (Advanced Encryption Standard). А для управління і розподілу ключів раніше застосовується протокол 802.1x.
Як вже було сказано вище, протокол 802.1x може виконувати декілька функцій. В даному випадку нас цікавлять функції аутентифікації користувача і розподілу ключів шифрування. Необхідно відзначити, що аутентифікація відбувається «на рівні порту» - тобто поки користувач не буде аутентифікований, йому дозволено посилати/приймати пакети, що стосуються тільки процесу його аутентифікації (облікових даних) і не більше того. І тільки після успішної аутентифікації порт пристрою (будь то точка доступу або розумний комутатор) буде відкритий і користувач отримає доступ до ресурсів мережі.
Функції аутентифікації покладаються на протокол EAP, який сам по собі є лише каркасом для методів аутентифікації. Вся принадність протоколу в тому, що його дуже просто реалізувати на аутентифікаторі (точці доступу), так як їй не потрібно знати ніяких специфічних особливостей різних методів аутентифікації. Аутентифікатор служить лише передавальною ланкою між клієнтом і сервером аутентифікації. Методів ж аутентифікації, яких існує досить багато: SIM, EAP-AKA - використовуються в мережах GSM мобільного зв'язку - пропреоретарний метод від Cisco systems MD5 - найпростіший метод, аналогічний CHAP (не стійкий) MSCHAP V2 - метод аутентифікації на основі логіна/пароля користувача в MS-мережах TLS - аутентифікація на основі цифрових сертифікатів SecureID - метод на основі одноразових паролів
Крім пе...
