Безопасность Wi-Fi-сетей: технологии защиты

Если для проникновения в обычную сеть злоумышленнику необходимо физически к ней подключиться, то в случае с Wi-Fi все намного проще – нужно всего лишь находиться в зоне приема сети. Какой вред может нанести хакер, проникший в вашу сеть? Кроме банального доступа к конфиденциальным файлам, это может быть рассылка спама от вашего имени, воровство интернет-трафика, прослушивание незащищенных разговоров и т. д. Однако технология постоянно совершенствуется, и если на заре своего становления Wi-Fi-сети были практически беззащитными против атак, то сейчас ситуация заметно изменилась к лучшему.

Рассмотрим существующие технологии защиты.

WEP

Поиск доступных Wi-Fi-сетей

Технология WEP (Wired Equivalent Privacy) была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Однако в ней используется не самый стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное шифрование. Для усиления защиты часть ключа (от 40 бит в 64-битном шифровании) является статической, а другая часть – динамической, так называемый вектор инициализации (Initialization Vector или IV), меняющейся в процессе работы сети. Данный вектор 24-битный. Основной уязвимостью WEP является то, что вектор инициализации повторяется через определенный промежуток времени (24 бита – около 16 миллионов комбинаций). Взломщику потребуется лишь собрать эти повторы и за секунды взломать остальную часть ключа. После чего он входит в сеть, как обычный зарегистрированный пользователь. Для повышения уровня безопасности можно дополнительно применять стандарт 802.1x или VPN.

WPA

• WPA (Wi-Fi Protected Access) – более стойкий алгоритм шифрования, чем WEP. Высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.
• TKIP – протокол интеграции временного ключа (Temporal Key Integrity Protocol) – каждому устройству присваивается изменяемый ключ.
• MIC – технология проверки целостности сообщений (Message Integrity Check) – защищает от перехвата пакетов и их перенаправления.Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом, и общее число их вариаций достигает 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 KB (10 тыс. передаваемых пакетов) делают систему максимально защищенной.MIC использует весьма непростой математический алгоритм, который позволяет сверять отправленные в одной и полученные в другой точке данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.Существуют два вида WPA.
• WPA-PSK (Pre-shared key) – для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.
• WPA-802.1x – вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

WPA2

Создание и настройка нового подключения

WPA2 во многом построен на основе предыдущей версии, WPA, использующей элементы IEEE 802.11i. Стандарт предусматривает применение шифрования AES, аутентификации 802.1x, а также защитных спецификаций RSN и CCMP. Как предполагается, WPA2 должен существенно повысить защищенность Wi-Fi-сетей по сравнению с прежними технологиями. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

802.1x

IEEE 802.1x – это сравнительно новый стандарт, за основу которого взято исправление недостатков технологий безопасности, применяемых в 802.11, в частности возможность взлома WEP, зависимость от технологий производителя и т. д. 802.1x предусматривает подключение к сети даже PDA-устройств, что позволяет более выгодно использовать саму идею беспроводной связи. С другой стороны, 802.1x и 802.11 являются совместимыми стандартами. 802.1x базируется на следующих протоколах.

• EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS-сервером в крупных сетях.
• TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.
• RADIUS (Remote Authentica-tion Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.Также появилась новая организация работы клиентов сети. После того как пользователь прошел этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определенное незначительное время – срок действующего на данный момент сеанса. По его завершении генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию.

VPN

Подключение к сети с помощью ноутбука с Windows XP	Подключение к сети с помощью КПК с Windows Mobile 5.0

Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel. Задумывалась она для защищенного подключения клиентов к сети через общедоступные интернет-каналы. Принцип действия VPN – создание так называемых безопасных «туннелей» от пользователя до узла доступа или сервера. И хоть VPN изначально не был рассчитан для работы с Wi-Fi, он пригоден для любого типа сетей. Для шифрования трафика в VPN чаще всего применяется протокол IPSec (около 70% случаев), реже – PPTP или L2TP. При этом могут использоваться такие алгоритмы, как DES, Triple DES, AES и MD5. VPN поддерживается на многих платформах (Windows, Linux, Solaris) как программными, так и аппаратными средствами. Стоит отметить высокую надежность – пока что еще не зафиксировано случаев взлома VPN-сетей. Обычно VPN рекомендуется применять в больших корпоративных сетях, для домашнего пользователя установка и настройка может показаться слишком громоздкой и трудоемкой. Не обошлось и без ложки дегтя – при применении технологии придется пожертвовать около 35% пропускной способности канала.