Беспроводные сети. Wi-Fi

     Промышленные  группы, вовлеченные в продвижение  беспроводных технологий, уже заявили, что работа исследователей продемонстрировала, что защитные меры, применяемые по 802.11-стандарту, недостаточны. Корпорации, входящие в альянс Радио-Совместимости Ethernet, стали пропагандировать использование дополнительных методов защиты информации, типа использования VPN (виртуальной частной сети), для гарантии безопасности беспроводных локальных сетей [2].

2.2.2.WPA

     WPA (Wi-Fi Protected Access) — представляет собой обновленную программу сертификации устройств беспроводной связи. Предполагается, что WPA пришел на замену широко распространенной технологии защиты беспроводных сетей WEP. Плюсами WPA являются усиленная безопасность данных и ужесточенный контроль доступа к беспроводным сетям. Немаловажной характеристикой является совместимость между множеством беспроводных устройств, как на аппаратном уровне, так и на программном.  На данный момент WPA разрабатываются и продвигаются организацией «Wi-Fi Alliance».

      WPA обеспечена поддержка стандартов 802.1X, а так же протокола EAP (Extensible Authentication Protocol, расширяемый протокол аутентификации). Стоит заметить, что в WPA поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет ряд преимуществ над используемым в WEP RC4, например, гораздо более стойкий криптоалгоритм. Большим плюсом при внедрении WPA является возможность работы технологии на существующем аппаратном обеспечении Wi-fi.

Некоторые отличительные особенности WPA:

• усовершенствованная схема шифрования RC4
• обязательная аутентификация с использованием EAP.
• система централизованного управления безопасностью, возможность использования в действующих корпоративных политиках безопасности.

Wi-Fi Alliance дает следующую формулу для  определения сути WPA:

WPA = 802.1X + EAP + TKIP + MIC

     Видно, что WPA, по сути, является суммой нескольких технологий. Как упомянуто выше, в стандарте WPA используется расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена.

База  зарегистрированных пользователей  и система проверку в больших сетях чаще всего расположены на специальном сервере. Но следует отметить, что WPA имеет упрощённый режим.

     Этот  режим получил название Pre-Shared Key (WPA-PSK). При применении режима PSK необходимо ввести один пароль для каждого отдельного узла беспроводной сети (беспроводные маршрутизаторы, точки доступа, мосты, клиентские адаптеры). Если пароли совпадают с записями в базе, пользователь получит разрешение на доступ в сеть.

     Даже не принимая во внимания тот факт, что WEP является предшественником WPA, не обладает какими-либо механизмами аутентификации пользователей как таковой, его ненадёжность состоит, прежде всего, в криптографической слабости алгоритма шифрования. Ключевая проблема WEP заключается в использовании слишком похожих ключей для различных пакетов данных.

     TKIP, MIC и 802.1X (части уравнения WPA) внесли  свою лепту в усиление шифрования  данных сетей, использующих WPA.

     TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP ключей.

     Сервер  аутентификации, после получения  сертификата от пользователя, использует 802.1X для генерации уникального  базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ, для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

     Другим  важным механизмом является проверка целостности сообщений (Message Integrity Check, MIC). Ее используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается.

     При этом механизмы шифрования, которые используются для WPA и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя [3].

2.2.3. WPA2

     WPA2 является значительным усовершенствованием механизмов безопасности WEP и WPA. WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004, и призван заменить WPA. Протокол WPA2 задействует новый метод шифрования (получивший название CCMP — Counter-Mode with CBC-MAC Protocol), основанный на более мощном, чем RC4, алгоритме шифрования AES (Advanced Encryption Standard) [3].

     Как WPA, так и WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ, иногда именуемый предварительно распределяемым ключом (PreShared Key — PSK). Ключ PSK, а также идентификатор SSID (Service Set Identifier) и длина последнего, вместе образуют математический базис для формирования главного парного ключа (Pairwise Master Key — PMK), который используется для инициализации четырехстороннего квитирования связи и генерации временного парного или сеансового ключа (Pairwise Transient Key — PTK), для взаимодействия беспроводного пользовательского устройства с точкой доступа. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще наличие проблем распределения и поддержки ключей, что делает его более подходящим для применения в небольших офисах, нежели на предприятиях.

     Зато в протоколе WPA2-Enterprise успешно решаемы проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль; аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг соединения и направляют аутентификационные пакеты на соответствующий сервер аутентификации (как правило, это сервер RADIUS). Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий основанную на контроле портов аутентификацию пользователей и машин, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.

     В основе стандарта WPA2 лежит метод шифрования AES, пришедший на смену стандартам DES и 3DES в качестве отраслевого стандарта де-факто. Требующий большого объема вычислений, стандарт AES нуждается в аппаратной поддержке, которая не всегда имеется в старом оборудовании БЛВС.

     Для аутентификации и обеспечения целостности  данных WPA2 использует протокол CBC-MAC (Cipher Block Chaining Message Authentication Code), а для шифрования данных и контрольной суммы MIC — режим счетчика (Counter Mode — CTR). Код целостности сообщения (MIC) протокола WPA2 представляет собой не что иное, как контрольную сумму и в отличие от WEP и WPA обеспечивает целостность данных для неизменных полей заголовка 802.11. Это предотвращает атаки с целью расшифровки пакетов или компрометации криптографической информации.

     Большинство новейших корпоративных беспроводных систем либо поддерживают стандарт WPA2, либо допускают их модернизацию до WPA2. Кроме того, имеются ноутбуки и PC-карты, не поддерживающие WPA2 ввиду отсутствия у них необходимых аппаратных средств шифрования AES. Иногда эту функциональность позволяет активизировать модернизация встроенного ПО или драйвера.

     Внедрение протокола WPA2 на настольных системах и ноутбуках не всегда оказывается простой задачей. Если применяемый метод аутентификации EAP не поддерживается операционной системой беспроводной станции, то можно задействовать клиентское ПО, имеющееся на компакт-диске беспроводной карты, или инсталлировать и сконфигурировать клиентское ПО сторонней фирмы и управлять им. При отсутствии возможности разом перевести на протокол WPA2 всех пользователей, нужно наложить на систему новый идентификатор SSID, использующий WPA2 или смешанное шифрование. После этого можно перевести свои устройства на WPA2, например, по территориальному принципу.

     Так или иначе, с точки зрения корпоративной  безопасности технология Wi-Fi готова к повсеместному внедрению. Протокол WPA2 обеспечивает шифрование и целостность данных, а будучи использованным с механизмами аутентификации 802.1X, — полную безопасность передачи данных по беспроводным каналам связи [4].

     С 13 марта 2006 поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств [3].

      2.2.4. VPN в беспроводных сетях

     VPN (англ. Virtual Private Network — виртуальная  частная сеть) — логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на  то, что коммуникации осуществляются  по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

     Чаще  всего для создания виртуальной  сети используется инкапсуляция протокола  PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» для предоставления выхода в Интернет.

     При должном уровне реализации и использовании  специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность.

По  способу реализации VPN можно подразделить:

• В виде специального программно-аппаратного обеспечения

     Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую  производительность и, как правило, высокую степень защищённости.

• В виде программного решения

      Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

• Интегрированное решение

     Функциональность  VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания [1].

     Технология  VPN позволяет задействовать Internet для частной связи безо всякого риска. Вместо того чтобы устанавливать связь напрямую через Internet, клиент VPN формирует защищенное соединение с узлом VPN. Он шифрует пакеты данных, а затем пересылает их по каналам Internet на узел VPN, где пакеты расшифровываются.

     Взломщик, перехвативший шифрованные пакеты в Internet, сможет извлечь из них полезную информацию, только расшифровав их. Подобная задача рядовому хакеру не по силам. Взломщик, находящийся вне здания и располагающий беспроводной платой, может обнаружить сеть, но не в состоянии прочитать данные, хранящиеся на машинах. Конечно, взломщик может догадаться о существовании VPN и попытаться получить доступ к ней. Но для этого необходимо отгадать имя пользователя и пароль. Очевидно, что, организуя VPN, нельзя разрешать гостевой доступ и назначать пустой пароль.

     Единственный  недостаток VPN - невозможность выделять в общее пользование соединения Internet (ICS): все запросы к Web-серверам и другие действия, направленные исключительно в Internet, проходят не через беспроводную сеть, а по каналу VPN [6].