що виключає повторне використання ключів. Передбачена генерація 128-бітного ключа для кожного переданого пакета. Гідності TKIP не покривають його основний недолік-використовуваний алгоритм RC4. Тому на заміну TKIP приходить AES (Advanced Encryption Standard). Фільтрація МАС-адрес, яка підтримується всіма сучасними точками доступу і бездротовими маршрутизаторами, хоча і не є складовою частиною стандарту 802.11, проте , дозволяє підвищити рівень безпеки бездротової мережі. Для реалізації даної функції в налаштуваннях точки доступу створюється таблиця МАС-адрес бездротових адаптерів клієнтів, авторизованих для роботи в даній мережі.
Ще один захід - це режим прихованого ідентифікатора мережі. Кожній бездротової мережі призначається свій унікальний ідентифікатор (SSID), який представляє собою назву мережі. При спробі користувача увійти в мережу драйвер бездротового адаптера перш сканує ефір на предмет наявності в ній бездротових мереж. При використанні режиму прихованого ідентифікатора (Hide SSID) мережа не відображається в списку доступних і підключитися до неї можна тільки в тому випадку, якщо, по-перше, точно відомий її SSID, а по-друге, заздалегідь створений профіль підключення до цієї мережі.
Це призвело до необхідності створення таких умов, при яких зловмисник не зможе працювати з мережею, навіть якщо він зміг до неї підключитися. Найбільш часто для таких цілей застосовується технологія VPN (Virtual Private Network), яка дозволяє формувати захищені тунелі для обміну даними. Але вона вимагає кваліфікованого адміністрування, важка в експлуатації і обмежує швидкість передачі даних по мережі. Тому розробили новий метод захисту бездротових мереж, який заснований на модифікації принципу роботи мережевого протоколу, так як його можна змінити на свій розсуд. Для захисту каналу передачі вводиться додатковий рівень, на який покладаються функції захисту інформації, що проходить через нього. Усі популярні програми, призначені для аналізу мережевих даних, зазвичай працюють на мережному рівні або нижче. Якщо до даних, що знаходяться на цих рівнях, застосувати додаткове шифрування, то мережеві аналізатори не зможуть їх розібрати. Найбільш оптимальне розташування додаткового рівня ("кріптоуровня") між мережним і транспортним у класичній моделі ISO/OSI. Він повинен знаходитися на всіх вузлах мережі, що беруть участь в передачі даних. Крім того, найбільш оптимальним рішенням буде шифрування тільки корисного навантаження tcp/ip пакета, а не всіх даних поспіль. Це дозволить додатково замаскувати "кріптоуровень", і заощадить ресурси вузла, на якому він застосовується. Підключившись до такої мережі, зловмисник не зможе використовувати свій стандартний арсенал засобів, для аналізу трафіку, а також працювати з нею в якості повноправного учасника мережі. <В
Рис 8. Принцип роботи систем безпеки. br/>
Г...
