БЕЗОПАСНОСТЬ, WPA

 Информационная безопасность всегда вызывала резонное беспокойство у существующих и потенциальных пользователей беспроводных сетей. Это не удивительно, поскольку в отличие от кабеля, зарытого глубоко под землей, радиоэфир доступен для "прослушивания".
Круг потенциальных проблем безопасности при эксплуатации сети сводится к 3м основным:
 1. Злоумышленник может несанкционированно подключиться с целью получения доступа и кражи трафика Интернет;
 2. Прослушивание эфира с целью хищения злоумышленником важной информации кого-либо из клиентов.
 3. Прослушивание эфира и подмена "на лету" передаваемых данных с какой-либо целью (forgery).

Алгоритм WEP, который должен был помочь решить проблему беспроводной сетевой безопасности и получил широкое распространение в серийных беспроводных устройствах стандарта 802.11, оказался уязвимым для различного рода атак и не обеспечивает достаточной надежности.

На смену WEP приходят стандарты IEEE 802.11i и WPA от Wi-Fi Alliance.

Формула WPA

Структуру защитной технологии WPA можно наглядно выразить с помощью следующей формулы (представленной в виде операторов языка программирования):WPA = {802.1X + EAP + TKIP + MIC + (RADIUS*X)}If PSK, X=0; ELSE X=1
Из этой формулы видно, что в стандарте WPA предусмотрено использование известных специалистам защитных протоколов 802.1x, EAP, TKIP и RADIUS. Механизм аутентификации пользователей основан на протоколах 802.1x (разработан для проводных сетей) и EAP (Extensible Authentication Protocol). Последний позволяет сетевому администратору задействовать множество алгоритмов аутентификации пользователей посредством сервера RADIUS.
В технологии WPA функции обеспечения конфиденциальности и целостности данных базируются на протоколе TKIP, который в отличие от протокола WEP использует более эффективный механизм управления ключами, но тот же самый алгоритм RC4 для шифрования данных. Согласно протоколу TKIP, сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора инициализации протокола WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей и осуществление replay-атак. В протоколе TKIP преду-смотрены генерация нового ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (Message Integrity Code), препятствующей изменению хакером содержимого передаваемых пакетов (forgery-атака)
Система сетевой безопасности стандарта WPA работает в двух режимах: PSK (Preshared Key) и Enterprise (корпоративный). Для развертывания системы, работающей в режиме PSK, необходим разделяемый пароль. Такую систему несложно устанавливать, но она защищает БЛВС не столь надежно, как это делает система, функционирующая в режиме Enterprise с иерархией динамических ключей. Хотя протокол TKIP работает с тем же самым блочным шифром RC4, который предусмотрен спецификацией протокола WEP, технология WPA защищает данные надежнее последнего. Представители Wi-Fi Alliance утверждают, что эта технология была разработана именитыми криптографами и досконально проверена ими.
Между тем определенный по умолчанию в стандарте IEEE 802.11i механизм обеспечения конфиденциальности данных основан на блочном шифре стандарта AES. Использующий его защитный протокол получил название Counter-Mode CBC MAC Protocol, или CCMP. Для этого протокола AES играет ту же роль, что и RC4 для протокола TKIP. Основное различие между протоколами CCMP и TKIP проявляется на нижних уровнях модели OSI, где происходят шифрование и расшифровка передаваемых данных: TKIP использует четыре временных ключа шифрования, тогда как AES - только три. Оба протокола работают с одним и тем же механизмом управления ключами. Более детально с настройками шифрования вы можете ознакомиться в Руководстве пользователя.
 
Аутентификация по протоколу RADIUS
Чтобы корпоративные точки доступа работали в системе сетевой безопасности стандарта WPA или 802.11i, они должны поддерживать аутентификацию пользователей по протоколу RADIUS и реализовывать предусмотренный стандартом метод шифрования - TKIP или AES. И еще одно требование - быстро осуществлять повторную аутентификацию пользователей после разрыва соединения с сетью. Это особенно важно для нормального функционирования приложений, работающих в реальном масштабе времени (например, средств передачи речи по беспроводным сетям). На рынке представлены специально предназначенные для работы с точками доступа серверы RADIUS (серверы WLAN RADIUS).
Если ваш сервер RADIUS, применяемый для контроля доступа пользователей проводной сети, поддерживает нужные методы аутентификации EAP, то его можно задействовать и для аутентификации пользователей БЛВС. В противном случае стоит установить сервер WLAN RADIUS, который будет взаимодействовать с имеющимся сервером RADIUS в качестве сервера-посредника. Сервер WLAN RADIUS работает следующим образом: сначала он проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей базы данных об их идентификаторах и паролях) или его цифровой сертификат, а затем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи. Для работы технологии WPA требуется механизм EAP-TLS (Transport Layer Security), тогда как в стандарте IEEE 802.11i применение каких-либо конкретных методов аутентификации EAP не оговаривается. Выбор метода аутентификации EAP определяется спецификой работы клиентских приложений и архитектурой сети.

Радиомаршрутизатор реализует все описанные современные средства обеспечения безопасности в беспроводных сетях, в том числе WEP (64,128,154 бита), WPA-PSK, WPA-EAP с шифрованием TKIP и AES. Поддерживаемые методы EAP:
EAP-TLS
EAP-TTLS/PAP
EAP-TTLS/CHAP
EAP-TTLS/MSCHAP
EAP-TTLS/MSCHAPv2
EAP-TTLS/EAP-MSCHAPv2
EAP-TTLS/EAP-MD5
EAP-TTLS/EAP-GTC
EAP-PEAPv0/EAP-MSCHAPv2
EAP-PEAPv0/EAP-MD5
EAP-PEAPv0/EAP-GTC
EAP-PEAPv1/EAP-MSCHAPv2
EAP-PEAPv1/EAP-MD5
EAP-PEAPv1/EAP-GTC

 

Более детально с настройками протокола RADIUS вы можете ознакомиться в Руководстве пользователя.
 

Отложено позиций: 0
Просмотреть