машні мережі можуть приносити користь, дозволяючи розділити одне підключення до Інтернету на кілька користувачів або забезпечуючи спільний доступ до принтера, слабкий захист часто виявляється причиною зараження мережі різними вірусами і "черв'яками". p> Уразливість WEP була виявлена досить швидко після виходу мереж 802.11 на широкий ринок. Для вирішення цієї проблеми намагалися реалізувати механізми ротації ключів, посилення векторів ініціалізації IV, а також інші схеми. Але незабаром стало зрозуміло, що всі ці методи неефективні, і в результаті багато бездротові мережі були або повністю закриті, або відділені в сегменти з обмеженим доступом, де для повного доступу потрібно створення тунелю VPN або використання додаткових заходів захисту. p> На щастя, виробники бездротового мережевого обладнання усвідомили необхідність створення більш стійких методів захисту бездротових мереж, щоб продовжувати продавати обладнання корпоративним замовникам і вимогливим домашнім користувачам. Відповідь з'явився наприкінці осені 2002 у вигляді попереднього стандарту Wi-Fi Protected Access або WPA. br/>
Стандарт безпеки WPA
WPA - це тимчасовий стандарт, про який домовилися виробники устаткування, поки не набув чинності IEEE 802.11i. По суті, WPA = 802.1X + EAP + TKIP + MIC, де:
WPA - технологія захищеного доступу до бездротових мереж (Wi-Fi Protected Access),
EAP - протокол розширюваний протокол аутентифікації (Extensible Authentication Protocol),
TKIP - протокол тимчасової цілісності ключів, інший варіант перекладу - протокол цілісності ключів в часі (Temporal Key Integrity Protocol),
MIC - технологія криптографічний перевірка цілісності пакетів (Message Integrity Code).
Протокол RADIUS. RADIUS-призначений для роботи в зв'язці з сервером аутентифікації, в якості якого зазвичай виступає RADIUS-сервер. У цьому випадку бездротові точки доступу працюють в enterprise-режимі. p> Якщо в мережі відсутня RADIUS-сервер, то роль сервера аутентифікації виконує сама точка доступу - так званий режим WPA-PSK (pre-shared key, загальний ключ). У цьому режимі в налаштуваннях усіх точок доступу заздалегідь прописується загальний ключ. Він же прописується і на клієнтських безпроводових пристроях. Такий метод захисту теж досить Секьюр (щодо WEP), дуже не зручна з точки зору управління. PSK-ключ потрібно прописувати на всіх безпроводових пристроях, користувачі бездротових пристроїв його можуть бачити. Якщо буде потрібно заблокувати доступ якомусь клієнту в мережу, доведеться заново прописувати новий PSK на всіх пристроях мережі і так далі. Іншими словами, режим WPA-PSK підходить для домашньої мережі і, можливо, невеликого офісу, але не більше того. p> Ключовими тут є нові модулі TKIP і MIC. p> За шифрування даних у WPA відповідає протокол TKIP, який, хоча і використовує той же алгоритм шифрування - RC4 - що і в WEP, але на відміну від останнього, використовує автоматично підібрані 128-бітові ключі, які створюються непередбачуваним способом і загальне число варіацій яких досягає 500 мільярдів. Він застосовує більш довгий вектор ініціалізації і використовує криптографічну контрольну суму (MIC) для підтвердження цілісності пакетів (остання є функцією від адреси джерела і призначення, а також поля даних). Складна ієрархічна система алгоритму підбору ключів і динамічна їх заміна через кожні 10 Кбайт (10 тис. переданих пакетів) роблять систему максимально захищеною.
Правда, TKIP зараз не є кращим у реалізації шифрування, оскільки в силу вступають нові алгоритми, засновані на технології Advanced Encryption Standard (AES), яка, до речі кажучи, вже давно використовується в VPN. p> Технологія перевірки цілісності повідомлень MIC (Message Integrity Check) обороняє від зовнішнього проникнення і зміни інформації. Досить складний математичний алгоритм дозволяє звіряти відправлені в одній точці і отримані в іншій дані. Якщо помічені зміни і результат порівняння не сходиться, такі дані вважаються помилковими і викидаються.
Фільтрація MAC-адрес , яка підтримується всіма сучасними точками доступу і бездротовими маршрутизаторами, хоча і не є складовою частиною стандарту 802.11, однак, як вважається, дозволяє підвищити рівень безпеки бездротової мережі. Для реалізації даної функції в налаштуваннях точки доступу створюється таблиця MAC-адрес бездротових адаптерів клієнтів, авторизованих для роботи в даній мережі.
Ще один запобіжний захід, яку часто використовують в бездротових мережах, - режим прихованого ідентифікатора мережі . Кожній бездротової мережі призначається свій унікальний ідентифікатор (SSID), який представляє собою назву мережі. Коли користувач намагається увійти в мережу, драйвер бездротового адаптера насамперед сканує ефір на предмет наявності в ній бездротових мереж. При застосуванні режиму прихованого ідентифікатора (як правило, цей режим називається Hide SSID) мережа не відображається в списку доступних і пі...
