- •Беспроводные локальные сети на основе стандартов ieee 802.11b/g/n
- •Оглавление
- •1.2. Топологии сетей wlan
- •1.3. Некоторые сведения о работе адаптеров wlan на физическом уровне
- •1.4. Работа адаптеров wlan на канальном уровне
- •2 2 6 6 6 2 6 До 2312 байт 4
- •1.5. Скорость передачи данных в сети wlan
- •1.6. Присоединение станций к сети wlan
- •1.7. Безопасность wlan
- •30 │ До 2312 байт │ 4
- •Установка и настройка беспроводных адаптеров
- •2.1. Установка Wireless-g usb Network Adapter
- •2.2. Установка адаптера asus usb-n13
- •2.3. Установка адаптера tp-Link tl-wn851n
- •2.4. Конфигурирование адаптера wlan ноутбука nb1
- •3. Работа пользователей в беспроводной сети компьютер-компьютер (сеть Ad-Hoc)
- •3.1. Задачи
- •4. Работа пользователей в сети с Точкой доступа (Infrastructure bss)
- •4.1. Точка доступа asus rt-n16 и её конфигурирование
- •4.2. Задачи
- •Библиографический список
- •Словарь терминов
- •План помещений кафедры Информационные технологии
1.7. Безопасность wlan
Обеспечение безопасности особенно актуально в сетях WLAN, т.к. обмен данными здесь ведется по радиоканалу – открытой среде, легко доступной для прослушивания и перехвата. Безопасность сети – задача комплексная и ответственная. Включает три взаимосвязанные состав-ляющие:
● Защищенная аутентификация клиентов в сети;
● Обеспечение целостности передаваемых по сети данных;
● Обеспечение конфиденциальности передаваемых данных.
Аутентификация – важнейшая часть защиты сети. Заключается в проверке полномочий, предъявляемых клиентом при входе в систему. Состоит из проверки личности клиента (обычно это имя учетной запи-си) и проверки доказательств, что он является тем, за кого себя выдает (обычно это пароль учетной записи). Существуют менее и более стро-гие методы аутентификации. В данной работе для аутентификации используются протоколы WEP и WPA. Согласно WEP для аутентифи-кации клиент должен предъявить определенный секретный ключ (дли-ной 40 или 104 бит) такой же, какой установлен на ТД. Операция вы-полняется путем обмена четырьмя служебными кадрами между станци-ей клиента и ТД:
● сначала станция посылает к ТД запрос на аутентификацию;
● во втором кадре ТД посылает станции некоторый контрольный открытый текст;
● станция шифрует полученный контрольный текст известным ключом и возвращает ТД;
● ТД расшифровывает полученный текст и сравнивает с исходным. Если тексты совпадут, то аутентификация будет считаться успеш- ной и ТД в четвертом кадре пошлет станции подтверждение. Ста- нция будет аутентифицирована и получит доступ к сети Ad-Hoc, но не к сети BSS.
Одним из недостатков WEP является то, что он аутентифицирует не клиента, а сетевой компьютер. Если некоторый клиент со своим ноут-буком покинет сеть, то для сохранения защиты администратору и кли-ентам придется переустановить “скомпрометированные” ключи. Допол-нительным средством защиты может быть индивидуальная аутентифи-кация станций по их МАС-адресам: администратор должен определить на ТД список МАС-адресов, с которыми разрешается работа в сети.
Для доступа к сети BSS станция после аутентификации должна быть еще ассоциирована с ТД. Операция выполняется путем обмена двумя служебными кадрами между станцией и ТД. В результате ТД на своем внутреннем концентраторе выделит станции логический порт и присво-ит ему идентификатор ассоциации (Association Identifier, AID). Значе-ние AID будет станцией получено от ТД во втором кадре. Ассоцииро-ванная станция теперь может обмениваться данными с любыми станци-ями как сети BSS, так и станциями распределительной системы.
Базовое средство организации безопасности в стандарте IEEE 802.11b/g/n это протокол WEP (Wired Equivalent Privacy), обеспечиваю-щий защищенность, эквивалентную естественной защищенности про-водных сетей. Протокол работает на МАС-уровне. Он быстрый, ком-пактный, не требует больших вычислительных ресурсов. В то же время обладает достаточно высокими защитными свойствами и может стать первым шагом в построении безопасных сетей WLAN. Для более стро-гой защиты существуют другие протоколы, например IEEE 802.11i [1], IEEE 802.1Х [2, 9, 10], WPA (Wi-Fi Protected Access) [8] и др.
Рассмотрим протокол WEP более подробно. Защита аутентификаци-онных и пользовательских данных при передаче осуществляется путем шифрования данных. В WEP для шифрования применяются заранее сконфигурированные постоянные секретные ключи, одинаковые на станции и на Точке доступа (метод “симметричных” или “общих клю-чей”). Ключ может быть длиной 40 бит или 104 бита. На Точке доступа можно определить до четырех разных ключей (например для аутен-тификации четырех групп компьютеров). При конфигурировании своей станции клиент указывает номер рабочего ключа и вводит само значе-ние ключа.
Для усиления стойкости защиты WEP добавляет к ключу 24-битный префикс, называемый инициализационным вектором (Initialization Vec-tor, IV). Значение IV WEP может определенным образом изменять, в ре-зультате чего полный 64- или 128-битный ключ (“мастер-ключ”) также будет соответственно изменяться. За счет переменной части мастер-ключа один и тот же ключ при передаче одного и того же текста будет порождать разный зашифрованный текст. Это усложняет процедуру угадывания секретного ключа.
Шифрование производится на основе алгоритма поточного шифро-вания с использованием генератора псевдослучайного кода RC4. Для этого с помощью стартового мастер-ключа и генератора RC4 создается псевдослучайный ключевой поток, который побитно складывается по модулю 2 с шифруемым потоком образуя выходной зашифрованный поток. Процесс дешифрации при приеме выполняется аналогично шиф-рации.
Целостность передаваемых данных проверяется включением в кадр 4-байтового контрольного признака целостности данных ICV (Integrity Check Value). Код ICV вычисляется с помощью циклического полинома CRC-32 и контролирует только “чистые данные” (в отличие от FCS, который контролирует весь кадр). ICV помещается в кадре сразу за данными и как данные тоже шифруется. После получения кадра и дешифрации данных и ICV, вычисляется ICV заново и сравнивается с полученным. Если оба ICV совпадут, то принятые данные считаюся подлинными.
На рис. 5 показано, как в поле данных кадра (см. рис. 2) инкапсули-руются при передаче собственно сами данные и составляющие прото-кола WEP.
3 │<─ Байт ─>│ до 2304 байт │ 4
╒════╤═══════╤══╤═══════════════╤═══╕
│ IV │Резерв │НК│ Чистые данные │ICV│
╘════╧═══════╧══╧═══════════════╧═══╛
│ │<── Шифруются ──>│
│ │