1. Главная
  2. Книги
  3. Неизвестен
  4. Компьютерные советы
  5. Страница 157
Выбрать главу

IEEE 802.11i — семь бед, один ответ?

Этого стандарта безопасности ждали. Очень долго и с большими надеждами. Наконец, после четырех лет ожидания, 24 июня 2004 года он был принят, и для определенных кругов это было событие года. Однако 802.11i во многом похож на WPA (поэтому 802.11i иногда называют WPA2). Однако есть несколько кардинальных отличий. Во-первых, вместо RC4 используется AES. Он появился совсем недавно и обладает хорошей криптостойкостью (на данный алгоритм пока нет известных атак), а его симметрическая природа делает его достаточно быстрым.

Появились такие понятия, как надежно защищенная сеть (RSN) и надежно защищенное сетевое соединение (RSNA). Добавлен механизм CCMP, состоящий из связки алгоритма шифрования AES и кода CBC-MAC. CCMP выполняет две важные задачи: обеспечение конфиденциальности и аутентификация. В рамках стандарта 802.11i алгоритм CCMP является обязательным, тогда как TKIP — опциональным (для совместимости со старыми устройствами). Пожалуй, последнее важное отличие от WPA — поддержка быстрого роуминга между точками доступа. Если рассмотреть принципиальные отличия 802.11i от предыдущего протокола, становится понятно, что разница в степени защиты невелика. Можно констатировать тот факт, что 802.11i, скорее всего, не станет таким же универсальным и надежным средством защиты, каким когда-то стал VPN.

Уже сейчас можно назвать несколько типов атак, к которым WPA2 проявляет особую слабость:

Традиционные для беспроводных сетей атаки на физическом уровне. Использование служебных фреймов для подмены MAC-адреса. Такая атака возможна благодаря тому, что при передаче служебной информации точка доступа и клиент не выполняют процедуру аутентификации. Атаки посредством запросов IEEE 802.1x. Дело в том, что стандарт 802.11i не умеет отклонять запросы на аутентификацию, поэтому точку доступа можно «перегрузить». Есть ли защита в 802.11?

Ответ на вопрос заголовка — «да». На сегодняшний день связка "WPA+VPN" (а тем более "WPA2+VPN") делает беспроводную сеть достаточно защищенной для передачи даже особо ценной информации. Однако многие ли устанавливают подобную защиту?

По данным исследования, проведенного лабораторией сетевой безопасности компании «ИнформЗащита», только 5 % сетей в Москве используют технологии WPA или 802.11i. Более 2/3 сетей не защищено ничем! На остальных настроен дырявый WEP. Делай выводы.

Описание алгоритма RC4

Алгоритм RC4 был разработан в 1987 году и в течение семи лет оставался закрытым. Подробные сведения о его конструкции предоставлялись только после подписания договора о неразглашении. Однако в сентябре 1994 года алгоритм появился в Сети.

RC4 является алгоритмом компании RSA Data Security, основанным на потоковом шифре. Такие шифры преобразуют открытый текст в криптограмму по одному биту за операцию. Генератор потока ключей выдает поток битов k1,k2,k3…kn. Этот поток ключей и поток открытого текста p1,p2,p3….pn подвергается операции XOR (исключающее "или"), в результате чего получается шифрованный текст. Для дешифровки та же операция выполняется с шифровкой и с потоком ключей. Безопасность такой системы полностью зависит от генератора ключей. Дело в том, что в большинстве случаев используются псевдослучайные числа, и так повышается вероятность повторений. Генератор настоящих случайных чисел и длинные ключи могут сделать этот алгоритм довольно стойким.

Свойства алгоритма: Адаптивность для аппаратных средств, использование в алгоритме только простейших вычислительных операций, которые реализуются во всех процессорах. Высокая скорость работы алгоритма. Это свойство позволило RC4 завоевать широкую популярность. На данный момент он реализован в десятках коммерческих продуктов, например Lotus Notes, Apple Computer's AOCE, Oracle Secure SQL, а также является частью спецификации стандарта сотовой связи CDPD. Компактность исходного кода в различных реализациях. Низкие требования к памяти. Простота выполнения. Стандарт IEEE 802.1X

IEEE 802.1X — стандарт, основанный на трех компонентах (протокол расширенной аутентификации EAP — Extensible Authentication Protocol; протокол защиты транспортного уровня TLS — Transport Layer Security; сервер RADIUS — Remote Access Dial-in User Service) и позволяющий производить эффективный контроль доступа на уровне пользователей. Применение 802.1x связано с тремя основными элементами:

~ 157 ~