К.т.н.
Юдин А. К., Шерепенко А. В.
Национальный
авиационный университет, Украина
Анализ
методов защиты сетей IEEE 802.11
Обеспечение безопасности беспроводных сетей
(Wi-Fi) довольно многогранно
и требует комплексного подхода к ее
организации. На самом деле защищенность беспроводных сетей – это самый огромный
минус, который препятствует вытеснению кабельных топологий.
Это исследование посвящено обзору методов
обеспечения защиты беспроводной сети и анализу протоколов шифрования
циркулирующей в них информации.
Сегодня адекватной защитой Wi-Fi есть использование WPA, IEEE 802.11i (WPA2), протоколов
авторизации 802.11х и WPA-PSK, а также реализация
безопасности с помощью построения виртуальных частных сетей (VPN). Данные методы
шифрования и аутентификации направлены на обеспечение целостности данных и
конфиденциальности информации.
Стандарт IEEE 802.11x предусматривает два механизма
аутентификации беспроводных абонентов: открытую аутентификацию (Open Authentication) и аутентификацию с общим ключом (Shared Key Authentication).
В стандарте безопасности 802.1х
реализованы следующие протоколы защиты данных:
· Протокол
расширенной аутентификации (Extensible
Authentication
Protocol,
EAP)
используется совместно с RADIUS
– сервером в крупных сетях.
· Протокол
защиты транспортного уровня (Transport
Layer
Security,
TLS)
обеспечивает целостность и шифрование передаваемых данных между сервером и
клиентом на транспортном уровне, их взаимную аутентификацию, предотвращая
перехват и подмену сообщений.
·
Сервер аутентификации пользователей
по логину и паролю (Remote
Authentication Dial-In User Server, RADIUS).
Следующим стандартом безопасности беспроводных сетей стала спецификация WPA, анонсированная IEEE и Wi-Fi Alliance (Wireless Ethernet Compability
Alliance). В этой спецификации более высокий уровень безопасности
(по сравнению с WEP, который сегодня уже считается не акутальным для
обеспечения требований к безопасности) достигается за счет использования
временного протокола целостности ключа (Temporal Key Integrity Protocol, TKIP) и контроля целостности сообщения
(Message
Integrity
Check,
MIC)
.
Спецификация
WPA
обеспечивает работу в двух режимах:
· WPA-PSK (Pre-Shared Key, персональный) – для генерации
ключей сети и для входа в сеть используется ключевая фраза. Этот режим
предполагает введение одного пароля на каждый узел беспроводной сети.
· WPA-802.1x (Enterprise, корпоративный) – вход в сеть
осуществляется через сервер аутентификации. В этом случае хранение базы данных
и проверка аутентичности по стандарту 802.1х обычно осуществляется специальным
сервером.
Стандарт 802.11i (WPA2)
использует концепцию повышенной безопасности (Robust Security Network, RSN), предусматривающую, что
беспроводные устройства должны обеспечивать дополнительные возможности.
802.11i приложим к различным сетевым реализациям,
и может задействовать TKIP,
но по умолчанию RSN
использует AES
(Advanced
Encryption
Standard)
и ССМР (Counter
Mode
CBC
MAC
Protocol)
и, таким образом, является более мощным расширяемым решением.
В концепции RSN применяется AES в качестве системы шифрования, подобно тому, как
алгоритм RC4
задействован в WPA.
Однако механизм шифрования куда более сложен и не страдает от проблем,
имевшихся в WEP. AES
– блочный шифр, оперирующий блоками данных по 128 бит. ССМР, в свою очередь , -
протокол безопасности, используемый AES. Он является эквивалентом TKIP в WPA [3].
Аналогично WPA стандарт 802.11i
делится на два типа: WPA2-PSK
и WPA2-802.1x (Enterprise).
Следующим и, пожалуй, одним из
наиболее безопасных методов является использование связки Wi-Fi + VPN (Virtual Private Network, виртуальная частная сеть) на
канальном уровне (модель OSI)
[4].
Принцип работы виртуальной частной
сети – это создание так называемых безопасных «туннелей» от пользователя до
узла доступа или сервера. Для шифрования трафика в VPN чаще всего используют протоколы IPSec (Internet Packet Security), SSL/TLS (Secure
Socket Layer/Transport Layer Security), PPTP (Point-to-Point Tunneling
Protocol) и L2TP (Layer
2 Tunneling Protocol) с алгоритмами шифрования DES (Data Encryption Standard), Triple DES, AES, MPPE
(Microsoft Point-to-Point Encryption) и MD5 (Message Digest 5).
Приведенные протоколы используются
на различных уровнях модели OSI
и выбираются исходя из разработки модели угроз для каждой ситуации отдельно:
· Протоколы туннелирования данных L2TP и PPTP применяются на канальном уровне и
используют авторизацию и аутентификацию.
· Протокол IPSec реализует шифрование, конфиденциальность данных и
аутентификацию абонентов на сетевом уровне модели OSI.
· Протокол
SSL/TLS обеспечивает шифрование и
аутентификацию между транспортными уровнями приемника и передатчика [2].
Среди рассмотренных методов защиты
беспроводных сетей наиболее устойчивыми к взлому являются:
· WPA2-Enterprise с алгоритмом шифрования AES, который приемлем для
корпоративного использования;
· построение
виртуальной частной сети (VPN) на протоколах защиты IPSec, PPTP, L2TP и использованием алгоритмов
шифрования AES
и Triple DES.
Выбор того или иного метода защиты беспроводных сетей оправдывается
ценностью и степенью секретности информации, которая в них циркулирует, а также
требованиями к пропускной способности канала передачи данных [1].
Сегодня наиболее защищенными
являются WPA2-PSK
и WPA2-Enterprise
с шифрованием данных по алгоритму AES и VPN
с использованием протоколов защиты на различных уровнях модели OSI, так как на данный момент не
известны случаи взлом и проникновения в беспроводные сети, с указанными
методами защиты. Преимуществом WPA2-Enterprise над своим собратом является
использование сервера аутентификации и авторизации. Данный вид защиты
применяется при корпоративном
использовании беспроводных сетей стандарта IEEE 802.11.
Что же касается технологии VPN, то ее можно использовать как в частном,
так и в корпоративном секторах. Выбор протокола защиты исходит лишь из метода
доступа к сети и ее использования. Основным же минусом использования этой
технологии является снижение пропускной способности канала на 25-35% [2].
Литература
1. А. В. Пролетарский, И. В. Баскаков, Д. Н. Чирков, Р. А. Федотов, А. В. Бобков, В. А. Платонов. Беспроводные сети Wi-Fi. – М.: БИНОМ. Лаборатория знаний, 2007. – 216 с.
2. И. В. Шахнович. Современные технологии беспроводной связи. – М.: Техносфера, 2006. – 285 с.
3. Р. Педжман, Л. Джонатан. Основы построения беспроводных локальных сетей стандарта 802.11. – М.: Издательский дом «Вильямс», 2004. – 304 с.