Безпека в безпровідних локальних мережах

Розробники стандарту ІЕЕЕ 802.11 поставили перед собою ціль забезпечити таку безпеку передачі даних в безпровідній локальній мережі, яка була б еквівалентна безпеці передачі даних в провідній локальній мережі, наприклад Ethernet. Можна зауважити, що в технології провідної локальної мережі немає якихось особливих мір забезпечення безпеки даних. В стандартах Ethernet відсутня аутентифікація користувачів і шифрування даних, тим не менш провідні мережі краще захищені від несанкціонованого доступу і порушення конфіденційності даних чим безпровідні лише тому, що вони провідні і щоб одержати до такої мережі доступ, до неї потрібно фізично приєднатися.

В безпровідній мережі несанкціонований доступ можна здійснити набагато простіше, достатньо тільки опинитися в зоні розповсюдження радіохвиль цієї мережі. Для цього навіть не потрібно входити в будинок де знаходиться безпровідна мережа.

В стандарті 802.11 передбачені засоби забезпечення безпеки, які підвищують захищеність безпровідної локальної мережі.

Протокол шифрування WEP: Протокол шифрування, що використовує досить нестійкий алгоритм RC4 на статичному ключі. Існує 64 -, 128 -, 256 - і 512-бітове шифрування. Чим більше біт використовується для зберігання ключа, тим більше можливих комбінацій ключів, а відповідно більш висока стійкість мережі до злому. Частина WEP-ключа є статичною (40 біт у випадку 64-бітного шифрування), а інша частина (24 біта) - динамічної (вектор ініціалізації), вона змінюється в процесі роботи мережі. Основний вразливістю протоколу WEP є те, що вектори ініціалізації повторюються через певний проміжок часу, і зломщикові буде потрібно лише обробити ці повтори і обчислити за ним статичну частина ключа. Для підвищення рівня безпеки можна додатково до WEP-шифрування використовувати стандарт 802.1x або VPN.

WPA (Wi-Fi Protected Access). Цей стандарт об'єднує два методи - TKIP і MIC, який був випущений у 2003 році, а WPA2 – є кінцевим варіантом даної технології

Суть методу шифрування TKIP полягає в тому, що 128-бітові ключі автоматично генеруються при посилці кожних 10 кілобайт даних. Загальна кількість ключів обчислюється сотнями мільярдів. Це означає, що наприклад при передачі MP3-файлу обсягом 5 мегабайт, його трафік буде зашифровано за використанням 512 ключів, кожен з яких має довжину 13 символів. Така система дає найвищі гарантії від перехоплення і розшифровки даних. Крім того, спеціальний алгоритм MIC (Message Integrity Check) звіряє відправлені та отримані дані, щоб виключити їх зміни в дорозі. Хакер більше не зможе вбудувати шкідливі коди у ваші дані на шляху відправки.

Стандартний WPA протокол вимагає установки RADIUS сервера, що не застосовується в домашніх мережах і малих офісах. Простіший режим WPA-PSK підтримує заздалегідь створені ключі (Pre-Shared Keys). Цей ключ, як і ключ у режимі WEP, задається на всіх клієнтських машинах і точки доступу, щоб забезпечити первинну ідентифікацію станцій.

Додаткові міри захисту:

• Фільтрація по МАС адресі. МАС адреса це унікальній ідентифікатор пристрою (мережного адаптера) На деякому обладнанні можливо задіяти цю функцію і дозволити доступ в мережу необхідним адресами. Це створить додаткову перешкоду зломщикові, хоча не дуже серйозну - MAC адресу можна підмінити.

• Приховування SSID: SSID - це ідентифікатор вашої бездротової мережі. Більшість обладнання дозволяє його приховати, таким чином при скануванні вашої мережі видно не буде. Але знову ж таки, це не надто серйозна перешкода якщо зломщик використовує більш просунутий сканер мереж, ніж стандартна утиліта в Windows.

• Заборона доступу до налаштувань точки доступу або роутера через бездротову мережу: Активувавши цю функцію можна заборонити доступ до налаштувань точки доступу через Wi-Fi мережу, проте це не захистить вас від перехоплення трафіку або від проникнення у вашу мережу.