Защита сетей Wi-Fi

Проблема безопасности с самого момента появления сетей Wi-Fi является одной из самых сложных. Дело в том, что в прототипах Wi-Fi этот вопрос, как таковой, практически не стоял. У разработчиков стандарта 802.11b (который сейчас наиболее популярен и собственно представляет торговую марку Wi-Fi) также главной задачей была совместимость оборудования с упрощением процедур доступа. С другой стороны, любому человеку, знакомому с компьютерной техникой, понятно, что беспроводная компьютерная сеть для злоумышленника более уязвима, чем обычная проводная, так как вопрос физического доступа к трафику решается наличием недорогого радиооборудования.

Итак, безопасность Wi-Fi — это два основных вопроса:

• конфиденциальность информации;
• защита от несанкционированного доступа.

Естественно, решить эти вопросы со стопроцентной гарантией невозможно, но разработчики беспроводного оборудования и программного обеспечения уделяют большое внимание данной проблеме. Обзор стандартных средств безопасности Wi-Fi и является целью данной статьи. WEP — самый ранний протокол безопасности сетей Wi-Fi

Для шифрования потоков в стандартах IEEE 802.11 изначально использовался протокол WEP (Wired Equivalent Privacy). Данные в этом протоколе шифруются ключом с разрядностью от 40 до 104 бит, который усиливается дополнительным случайным 24-битным кодом (Initialization Vector). В результате получается шифрование с разрядностью от 64 до 128 бит. Однако уже в 2001 году были опубликованы доклады об ошибках в проектировании и реализации этого протокола, позволяющих его легко взломать. Для вычисления секретного ключа достаточно перехватить и проанализировать около 5-7 миллионов. пакетов. В сети средних размеров на это потребуется около 2-4 часов. На сегодняшний день такой метод не может считаться гарантом полной безопасности, так как подобные ключи хакеры научились взламывать и в Интернете появились утилиты для взлома WEP. WPA — надежный протокол шифрования с динамической сменой ключей

По этой причине Wi-Fi Alliance и IEEE в 2003 г. выпустили новый, более совершенный чем WEP, стандарт безопасности WPA (Wi-Fi Protected Access), в котором шифрование осуществляется с динамической сменой ключей на основе TKIP (Temporal Key Integrity Protocol). В этом протоколе каждый пакет в сети имеет свой собственный ключ. Это принципиально исключает возможность прослушивания трафика и вычисления статического ключа.

Другим следствием уязвимости WEP стало появление (ранее, чем WPA) стандарта IEEE 802.1X, основанного на протоколе расширенной аутентификации Extensible Authentication Protocol (EAP), протоколе защиты транспортного уровня Transport Layer Security (TLS) и сервере доступа RADIUS (Remote Access Dial-in User Server). В этом стандарте применяются динамические ключи вместо статических, используемых в WEP. После аутентификации пользователю высылается секретный ключ в зашифрованном виде, который будет действовать непродолжительное время, называемое временем сеанса. По окончании этого сеанса генерируется новый ключ и снова высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию. В 802.1X применяется тот же алгоритм, что и в WEP, а именно RC4, но с некоторыми отличиями.

Однако, вернемся к WPA. Второй полезной функцией этого стандарта является возможность аутентификации пользователя при входе в сеть. Это означает, что для доступа пользователь будет обязан ввести логин и пароль, которые будут сверяться с учетными записями сервера аутентификации. Процесс этот регламентируется протоколом EAP (Extensible Authentication Protocol). В этом месте необходимо отметить, что по сути WPA является «переходным» стандартом, следствием чего являются определенные недостатки. Серьезным недостатком является, к примеру, программная (а не аппаратная) его реализация на ряде устройств, что снижает секретность ключа шифрования. Тем не менее, в печати неизвестно сообщений о взломе сетей с WPA. Стандарт 802.11i — официально утвержденная спецификация IEEE 802.11

Уходящий 2004 год стал знаковым для Wi-Fi. Дело в том, что в этом году был принят долгожданный стандарт IEEE 802.11i, получивший также название WPA2. В нем, в качестве основы используется Advanced Encryption Standard (AES) — алгоритм шифрования, обеспечивающий более надежную защиту и поддерживающий ключи длиной 128, 192 и 256 бит. Кроме того, уже с нового года большинство продуктов Wi-Fi станут аппаратно 802.11i-совместимыми, что намного повысит надежность защиты сетей в целом.

Рассказав о стандартах шифрования трафика, необходимо упомянуть, что в беспроводных сетях возможен выбор полос частоты, в которых работают устройства передачи данных. В сетях WLAN используется особая технология Direct Sequence Spread Spectrum, обеспечивающая высокую устойчивость ко всем видам искажениям и помехам в радиоэфире. VPN — технология безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам

На сегодняшний день говорить о безопасной сети нельзя без использования VPN — технологии виртуальных частных сетей Virtual Private Network, которая хорошо себя зарекомендовала с точки зрения шифрования и надёжности аутентификации. Не известно сообщений о взломах и нареканий к этой технологии со стороны пользователей. Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. И хотя технология VPN не предназначалась изначально именно для Wi-Fi, она может использоваться для любого типа сетей, а значит и для Wi-Fi, как самых перспективных.

Для реализации VPN-защиты в рамках сети устанавливается специальный шлюз, в котором создаются туннели, по одному на каждого пользователя. В частности, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы.

Решение проблемы безопасности в сетях Wi-Fi сможет реально вывести интерес широкого круга пользователей и их доверие на принципиально новый уровень. Но проблема эта не сможет быть решена только принятием стандарта и унификацией оборудования. Значительные усилия требуются от поставщиков услуг, требуется гибкая система безопасности, настройка политик доступа, управление шириной канала и так далее. А пока безопасность беспроводных сетей оставляет желать...

Прошедшим летом эксперты Учебного центра «Информзащита» провели исследование, давшее удивительные результаты. Исследовав порядка 2 км одной из московских улиц при помощи программы Wi-Fi мониторинга было обнаружено 11 работающих сетей. Из них 4 были абсолютно беззащитны, а остальные в основном использовали для защиты протокол WEP, обеспечивающий только минимальный уровень безопасности. Комментарии здесь, как говорится, излишни.

Если подытожить все вышесказанное, то ответ очевиден, – необходимо пользоваться беспроводными сетями и при этом применять все доступные способы обеспечения безопасности. Настройка WEP доступна даже начинающему пользователю, а квалифицированный пользователь в состоянии настроить WPA. В принципе, вероятность взлома сети существует всегда — точно так же, как вероятность взлома любого компьютера, подключенного к Интернету. Вопрос только в ценности информации, к которой подбирается злоумышленник. Для того чтобы «вскрыть» WEP-шифрование, требуется, как минимум Wi-Fi-устройство и знания. А что касается WPA, то, на наш взгляд, использования этого протокола для небольших сетей вполне достаточно.

Ссылки по теме

• Wi-Fi — революция или новая игрушка
• Алфавит от Wi-Fi
• Безопасность беспроводных сетей стандарта 802.11b