1. Методы контроля доступа в сетях 802.11.

Протокол доступа к среде (MAC)

Стандартом 802.11 определен единственный подуровень MAC, взаимодействующий с тремя типами протоколов физического уровня, соответствующих различным технологиям передачи сигналов - по радиоканалам в диапазоне 2,4 ГГц с широкополосной модуляцией с прямым расширением спектра ( Direct Sequence Spread Spectrum, DSSS) и частотных скачков (Frequency Hopping Spread Spectrum, FHSS) , а также с помощью инфракрасного излучения. Обе эти широкополосные технологии предлагаются в двух частотных диапазонах: один в районе частоты 915 МГц, другой в диапазоне от 2400 МГц до 2483,5 МГц. Но именно диапазон 2,4 ГГц является наиболее интересным для использования его в беспроводных сетях, так как он наименее "зашумлен" посторонними сигналами и позволяет расширить полосу передачи. В режиме FHSS весь диапазон 2,4 ГГц используется как одна широкая полоса (с 79 подканалами). В режиме DSSS этот же диапазон разбит на несколько широких DSSS-каналов, которых одновременно может быть использовано не более трех. Метод FHSS предусматривает изменение несущей частоты сигнала при передаче информации. При использовании FHSS конструкция приемопередатчика получается очень простой, но этот метод применим, только если пропускная способность не превышает 2 Мбит/сек. Как уже отмечалось выше, эта проблема стала одной из главных причин создания новых версий стандарта. Спецификациями стандарта предусмотрены два значения скорости передачи данных - 1 и 2 Мбит/с.

По сравнению с проводными ЛС Ethernet возможности подуровня MAC расширены за счет включения в него ряда функций, обычно выполняемых протоколами более высокого уровня, в частности, процедур фрагментаци и ретрансляции пакетов. Это вызвано стремлением повысить эффективную пропускную способность системы благодаря снижению накладных расходов на повторную передачу пакетов.

В качестве основного метода доступа к среде стандартом 802.11 определен механизм CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance - множественный доступ с обнаружением несущей и предотвращением коллизий).

2. Методы шифрования в сетях 802.11.

Обеспечение безопасности беспроводных сетей (Wi-Fi) довольно многогранно и требует комплексного подхода к  ее организации. На самом деле защищенность беспроводных сетей – это самый огромный минус, который препятствует вытеснению кабельных топологий.

Это исследование посвящено обзору методов обеспечения защиты беспроводной сети и анализу протоколов шифрования циркулирующей в них информации.

Сегодня адекватной защитой Wi-Fi  есть использование WPA, IEEE 802.11i (WPA2), протоколов авторизации 802.11х и WPA-PSK, а также реализация безопасности с помощью построения виртуальных частных сетей (VPN). Данные методы шифрования и аутентификации направлены на обеспечение целостности данных и конфиденциальности информации.

Стандарт IEEE 802.11x предусматривает два механизма аутентификации беспроводных абонентов: открытую аутентификацию (Open Authentication) и аутентификацию с общим ключом (Shared Key Authentication).

В стандарте безопасности 802.1х реализованы следующие протоколы защиты данных:

       Протокол расширенной аутентификации (Extensible Authentication Protocol, EAP) используется совместно с RADIUS – сервером в крупных сетях.

       Протокол защиты транспортного уровня (Transport Layer Security, TLS) обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом на транспортном уровне, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

       Сервер аутентификации пользователей по логину и паролю (Remote Authentication Dial-In User Server, RADIUS).

Следующим стандартом безопасности беспроводных сетей стала спецификация WPA, анонсированная IEEE и Wi-Fi Alliance (Wireless Ethernet Compability Alliance). В этой спецификации более высокий уровень безопасности (по сравнению с WEP, который сегодня уже считается не акутальным для обеспечения требований к безопасности) достигается за счет использования временного протокола целостности ключа (Temporal Key Integrity Protocol, TKIP) и контроля целостности сообщения (Message Integrity Check, MIC) .

Спецификация WPA обеспечивает работу в двух режимах:

       WPA-PSK (Pre-Shared Key, персональный) – для генерации ключей сети и для входа в сеть используется ключевая фраза. Этот режим предполагает введение одного пароля на каждый узел беспроводной сети.

       WPA-802.1x (Enterprise, корпоративный) – вход в сеть осуществляется через сервер аутентификации. В этом случае хранение базы данных и проверка аутентичности по стандарту 802.1х обычно осуществляется специальным сервером.

Стандарт 802.11i (WPA2) использует концепцию повышенной безопасности (Robust Security Network, RSN), предусматривающую, что беспроводные устройства должны обеспечивать дополнительные возможности.

802.11i приложим к различным сетевым реализациям, и может задействовать TKIP, но по умолчанию RSN использует AES (Advanced Encryption Standard) и ССМР (Counter Mode CBC MACProtocol) и, таким образом, является более мощным расширяемым решением.

В концепции RSN применяется  AES в качестве системы шифрования, подобно тому, как алгоритм RC4 задействован в WPA. Однако механизм шифрования куда более сложен и не страдает от проблем, имевшихся в WEP. AES – блочный шифр, оперирующий блоками данных по 128 бит. ССМР, в свою очередь , - протокол безопасности, используемый AES. Он является эквивалентом TKIP в WPA [3].

Аналогично WPA стандарт 802.11i делится на два типа: WPA2-PSK и WPA2-802.1x (Enterprise).

Следующим и, пожалуй, одним из наиболее безопасных методов является использование связки Wi-Fi + VPN (Virtual Private Network, виртуальная частная сеть) на канальном уровне (модель OSI) [4].

Принцип работы виртуальной частной сети – это создание так называемых безопасных «туннелей» от пользователя до узла доступа или сервера. Для шифрования трафика в VPN чаще всегоиспользуют протоколы IPSec (Internet Packet Security), SSL/TLS (Secure Socket Layer/Transport Layer Security), PPTP (Point-to-Point Tunneling Protocol) и L2TP (Layer 2 Tunneling Protocol) с алгоритмамишифрования DES (Data Encryption Standard), Triple DES, AES, MPPE (Microsoft Point-to-Point Encryption) и MD5 (Message Digest 5).

Приведенные протоколы используются на различных уровнях модели OSI и выбираются исходя из разработки модели угроз для каждой ситуации отдельно:

       Протоколы  туннелирования данных L2TP и PPTP применяются на канальном уровне и используют авторизацию и аутентификацию.

       Протокол  IPSec реализует шифрование, конфиденциальность данных и аутентификацию абонентов на сетевом уровне модели OSI.

       Протокол SSL/TLS обеспечивает шифрование и аутентификацию между транспортными уровнями приемника и передатчика [2].

Среди рассмотренных методов защиты беспроводных сетей наиболее устойчивыми к взлому являются:

       WPA2-Enterprise с алгоритмом шифрования AES, который приемлем для корпоративного использования;

       построение виртуальной частной сети (VPN)  на протоколах защиты IPSec, PPTP, L2TP и использованием алгоритмов шифрования AES и Triple DES.

Выбор  того или иного метода защиты беспроводных сетей оправдывается ценностью и степенью секретности информации, которая в них циркулирует, а также требованиями к пропускной способности канала передачи данных [1].

Сегодня наиболее защищенными являются WPA2-PSK и WPA2-Enterprise с шифрованием данных по алгоритму AES и VPN с использованием протоколов защиты на различных уровнях моделиOSI, так как на данный момент не известны случаи взлом и проникновения в беспроводные сети, с указанными методами защиты. Преимуществом WPA2-Enterprise над своим собратом является использование сервера аутентификации и авторизации. Данный вид защиты применяется  при корпоративном использовании беспроводных сетей стандарта IEEE 802.11.

Что же касается технологии VPN, то ее можно использовать как в частном, так и в корпоративном секторах. Выбор протокола защиты исходит лишь из метода доступа к сети и ее использования. Основным же минусом использования этой технологии является снижение пропускной способности канала на 25-35% [2].

3. Методы аутентификации в сетях 802.11.

Аутентификация в стандарте IEEE 802.11 ориентирована на аутентификацию абонентского устройства радиодоступа, а не конкретного абонента как пользователя сетевых ресурсов. Процесс аутентификации абонента беспроводной локальной сетиIEEE 802.11 состоит из следующих этапов (рис. 9.1):

1. Абонент (Client) посылает фрейм Probe Request во все радиоканалы.

2. Каждая точка радиодоступа (Access Point - AP), в зоне радиовидимости которой находится абонент, посылает в ответ фрейм Probe Response.

3. Абонент выбирает предпочтительную для него точку радиодоступа и посылает в обслуживаемый ею радиоканал запрос на аутентификацию (Authentication Request).

4. Точка радиодоступа посылает подтверждение аутентификации (Authentication Reply).

5. В случае успешной аутентификации абонент посылает точке радиодоступа фрейм ассоциации (Association Request).

6. Точка радиодоступа посылает в ответ фрейм подтверждения ассоциации (Association Response).

7. Абонент может теперь осуществлять обмен пользовательским трафиком с точкой радиодоступа и проводной сетью.

увеличить изображение Рис. 9.1.  Аутентификация по стандарту 802.11

При активизации беспроводный абонент начинает поиск точек радиодоступа в своей зоне радиовидимости с помощью управляющих фреймов Probe Request. Фреймы Probe Request посылаются в каждый из радиоканалов, поддерживаемых абонентским радиоинтерфейсом, чтобы найти все точки радиодоступа с необходимыми клиенту идентификатором SSID и поддерживаемыми скоростями радиообмена. Каждая точка радиодоступа из находящихся в зоне радиовидимости абонента, удовлетворяющая запрашиваемым во фрейме Probe Request параметрам, отвечает фреймом Probe Response, содержащим синхронизирующую информацию и данные о текущей загрузке точки радиодоступа. Абонент определяет, с какой точкой радиодоступа он будет работать, путем сопоставления поддерживаемых ими скоростей радиообмена и загрузки. После того как предпочтительная точка радиодоступа определена, абонент переходит в фазу аутентификации.

Открытая аутентификация

Открытая аутентификация по сути не является алгоритмом аутентификации в привычном понимании. Точка радиодоступа удовлетворит любой запрос открытой аутентификации. На первый взгляд использование этого алгоритма может показаться бессмысленным, однако следует учитывать, что разработанные в 1997 году методы аутентификации IEEE 802.11 ориентированы на быстрое логическое подключение к беспроводной локальной сети. Вдобавок к этому многие IEEE 802.11-совместимые устройства представляют собой портативные блоки сбора информации (сканеры штрих-кодов и т. п.), не имеющие достаточной процессорной мощности, необходимой для реализации сложных алгоритмов аутентификации.

В процессе открытой аутентификации происходит обмен сообщениями двух типов:

• запрос аутентификации (Authentication Request);

• подтверждение аутентификации (Authentication Response).

Таким образом, при открытой аутентификации возможен доступ любого абонента к беспроводной локальной сети. Если в беспроводной сети шифрование не используется, любой абонент, знающий идентификатор SSID точки радиодоступа, получит доступ к сети. При использовании точками радиодоступа шифрования WEP сами ключи шифрования становятся средством контроля доступа. Если абонент не располагает корректным WEP-ключом, то даже в случае успешной аутентификации он не сможет ни передавать данные через точку радиодоступа, ни расшифровывать данные, переданные точкой радиодоступа (рис. 9.2).

Аутентификация с общим ключом

Аутентификация с общим ключом является вторым методом аутентификации стандарта IEEE 802.11. Аутентификация с общим ключом требует настройки у абонента статического ключа шифрования WEP. Процесс аутентификации иллюстрирует рис. 9.3:

1. Абонент посылает точке радиодоступа запрос аутентификации, указывая при этом необходимость использования режима аутентификации с общим ключом.

2. Точка радиодоступа посылает подтверждение аутентификации, содержащее Challenge Text.

3. Абонент шифрует Challenge Text своим статическим WEP-ключом и посылает точке радиодоступа запрос аутентификации.

4. Если точка радиодоступа в состоянии успешно расшифровать запрос аутентификации и содержащийся в нем Challenge Text, она посылает абоненту подтверждение аутентификации, таким образом предоставляя доступ к сети.

увеличить изображение Рис. 9.3.  Аутентификация с общим ключом

Аутентификация по mac-адресу

Аутентификация абонента по его MAC-адресу не предусмотрена стандартом IEEE 802.11, однако поддерживается многими производителями оборудования для беспроводных сетей, в том числе D-Link. При аутентификации по MAC-адресу происходит сравнение MAC-адреса абонента либо с хранящимся локально списком разрешенных адресов легитимных абонентов, либо с помощью внешнего сервера аутентификации (рис. 9.4). Аутентификация по MAC-адресу используется в дополнение к открытой аутентификации и аутентификации с общим ключом стандарта IEEE 802.11 для уменьшения вероятности доступа посторонних абонентов.

увеличить изображение Рис. 9.4.  Аутентификация с помощью внешнего сервера

4. Стандарт 802.11i.

 июне этого года IEEE ратифицировал стандарт 802.11i, который определяет набор протоколов для обеспечения высокого уровня безопасности в беспроводных сетях. 802.11i может применяться в любых сетях Wi-Fi, независимо от используемого стандарта – 802.11a, b или g.