Защищенный доступ к Wi-Fi

Стандарт на защищенный доступ к Wi-Fi (Wi-Fiprotectedaccess, WPA), предложенный Альянсом Wi-Fi, обеспечивает модернизацию WEP за счет одновременного использования метода шифрования с динамическим ключом и взаимной аутентификации. Большинство поставщиков беспроводных сетей сейчас поддерживают WPA. Клиенты WPA используют различные ключи шифрования, которые периодически меняются. Из-за этого взломать алгоритм шифрования намного сложнее.

По сути, WPA 1.0 представляет собой текущую версию стандарта 802.11 i, который включает механизмы TKIP и 802.1х. За счет комбинации этих двух механизмов обеспечивается шифрование с динамичным ключом и взаимная аутентификация, т.е. то, что необходимо для беспроводных локальных сетей. WPA 2.0 полностью совместим со стандартом 802.1 П.

Виртуальные частные сети

Находясь в аэропорту или гостинице, обратите внимание на виртуальные частные сети (virtualprivatenetwork, VPN). Даже при сегодняшней недостаточной надежности, они обеспечивают эффективные средства сквозного (end-to-end) шифрования. Виртуальные частные сети эффективны также в тех случаях, когда клиенты перемещаются в зонах действия сетей различных типов, поскольку их работа осуществляется поверх разнородных уровней соединения сетей.

Аутентификация

В беспроводной сети важно использовать взаимную аутентификацию. Благодаря ей можно решить многие проблемы, связанные с безопасностью, например, успешно противостоять атакам типа "человек посредине". При взаимной аутентификации беспроводной клиент и беспроводная сеть доказывают свою идентичность друг другу (рис. 8.6). В ходе этого процесса используется сервер аутентификации, такой как RADIUS (remoteuthenticationdial-inuserservice — служба дистанционной аутентификации пользователей по коммутируемым линиям, протокол RADIUS).

Рис. 8.6. При аутентификации проверяется идентичность пользователя и клиентского устройства по "мандатам"— паролю и цифровому сертификату

Уязвимость механизма аутентификации стандарта 802.11

WEP обеспечивает только метод аутентификации радиоплаты интерфейса сети точкой доступа, обратная операция не выполняется. Поэтому хакер может перенаправить данные по иному пути, обойдя тем самым другие механизмы защиты. Чтобы пресечь такую возможность, в беспроводных сетях должна применяться не односторонняя, а взаимная аутентификация.

Когда беспроводной клиент переходит в активное состояние, он начинает искать среду передачи по маячковым сигналам, рассылаемым точками доступа. По умолчанию точка доступа рассылает в широковещательном режиме маячковые сигналы, содержащие идентификатор зоны обслуживания (servicesetidentifier, SSID) точки

доступа, а также другие параметры. Точка доступа разрешает привязку только в том случае, если SSID клиента соответствует SSID точки доступа. Это и является основной (хотя и слабой) формой аутентификации.

Уязвимость этого процесса обусловлена в основном тем, что SSID посылается в незашифрованном виде, а это делает его видимым для программ наблюдения за беспроводными пакетами. Поэтому хакер может легко обнаружить SSID в маячковом фрейме и аутентифицироваться в беспроводной сети. Если даже точка доступа не установлена в режим широковещательной передачи SSID (для некоторых точек доступа опционально предусмотрена такая возможность), программы наблюдения

все равно смогут получить SSID из фреймов запроса на ассоциирование (привязку), посылаемых клиентскими устройствами точке доступа.

Стандарт 802.11 по умолчанию предлагает форму аутентификации, получившую название "система открытой аутентификации". При работе в этом режиме точка доступа гарантирует выполнение любого запроса на аутентификацию. Клиент просто посылает фрейм запроса на аутентификацию, а точка доступа дает в ответ "добро".Это позволяет любому, знающему корректный SSID, привязаться к точке доступа.

Стандарт 802.11 также регламентирует (опционально) аутентификацию с совместно используемым ключом, которая является более совершенной формой аутентификации. Процесс ее выполнения осуществляется в четыре этапа:

1) клиент посылает фрейм запроса на аутентификацию;

2) точка доступа отвечает фреймом, содержащим строку текста, называемую

"текст вызова" (challengetext);

3) клиент шифрует текст вызова, используя общий ключ шифрования WEP, а затем посылает зашифрованный текст вызова обратно точке доступа, которая

дешифрует этот текст, используя общий ключ, и сравнивает результат с по-

сланным ею текстом вызова;

4) если тексты совпадают, точка доступа аутентифицирует клиента.

Этого вполне достаточно с точки зрения аутентификации, но проблема состоит в том, что совместно используемый ключ аутентификации доказывает лишь то, что клиент имеет корректный WEP-ключ.

МАС-фильтры

Некоторые беспроводные базовые станции предлагают фильтрацию на уровне управления доступом к среде (МАС-уровне). В случае применения МАС-фильтрации точка доступа проверяет МАС-адрес источника каждого получаемогоею фрейма и отказывается принимать фреймы с МАС-адресом, не соответствующимни одному из особого списка, программируемого администратором. Следовательно, МАС-фильтрация обеспечивает простейшую форму аутентификации.

Однако МАС-фильтрация имеет и слабые места. Например, при WEP-шифровании значение поля фрейма, содержащего МАС-адрес, не шифруется. Это позволяет хакеру пронаблюдать за передачей фреймов и выявить действующие МАС-адреса. Или он может воспользоваться свободно распространяемым программным обеспечением для замены МАС-адреса своей радиоплаты интерфейса сети на такой, который соответствуетдействующему МАС-адресу. Это позволит хакеру прикинуться законным пользователем сети и "обмануть" точку доступа в период, когда легальный пользователь в сети отсутствует.

Кроме того, поддерживать механизм МАС-фильтрации в сети со многими пользователями — весьма утомительное занятие. Администратор должен внести запись с МАС-адресом каждого пользователя в таблицу и производить в ней изменения по мере появления в сети новых пользователей. Например, служащему другой компании может понадобиться доступ к беспроводной локальной сети предприятия во время визита. Администратору придется определить МАС-адрес компьютерного устройства визитера и ввести его в систему, только после этого посетитель сможет получить доступк сети. Фильтрация на уровне МАС-адресов приемлема в домашних сетях и сетях небольших офисов, но такой подход нежелателен для администраторов беспроводных сетей предприятий, поскольку в основе лежит "ручное" программирование.