защити на Wi

2,758 views
2,722 views

Published on

Безопасност и защита на Wi-Fi-мрежи

Published in: News & Politics
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,758
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
53
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

защити на Wi

  1. 1. Икономически университет – Варна<br />Център „Магистърско обучение”<br />Тема:<br />Безопасност и защита на Wi-Fi - мрежи<br />Изготвил:Илия Илиев,спец. „Информатика”, V курс,ф. № 9181Проверил:Доц. д-р Стефан Дражев<br />Съдържание <br />Въведение ………….…………………………………………………………………3<br />WEP ……….…………………………..………………………………………………5<br />WPA …………………………………………………………………………………..7<br />WPA 2 ……………………….……………………………………………………….11<br />FIPS 140 ………………………….…………………………………………………..12<br />WiMAX ………………………………......……...…………………………………..14<br />WiMAX2 …………………………………………....……………..………………...14<br />Анализ и оценка ……………..………………………………………………….....15<br />Заключение …………………………………………………………………………17<br />Използвана литература ….…………………………………………………………19<br />Въведение в защитата на WI-FI мрежи<br />На 29 октомври 1969 г. инженери от Калифорнийския университет и Станфордския изследователски институт успяват за пръв път обменят данни между два компютъра на разстояние 400 мили, с което се слага началото Интернет. Днес интернет връзката се осъществява благодарение на оптични кабели ,WAN (Wide Area Network) ADSL (Asymmetric Digital Subscriber Line), LAN (Local Area Network), PAN и други мрежи. Wireless мрежите намират широко приложение в малките частни мрежи. Често използвана е Wi-Fi технологията базирана на спецификациите от серията IEEE 802.11. Тя е лицензирана от “Wi-Fi Allianc”, като първоначалното й приложение е да се използва от преносими компютри за връзка с локални мрежи. Сега намира приложение не само със свързването с Интернет, но и за връзка с телевизори, DVD-та, телефони, цифрови камери и мн. други устройства. Разработват се постоянно нови стандарти за използване на Wi-Fi, като например да се използва в колите по магистралите, повишаване на сигурността при мобилната търговия и др.<br />Предимствата на Wi-Fi са:<br />Позволяване на LAN мрежите да се разполагат без окабеляване.<br />Възможност за лесно разширяване на мрежата. <br />Продуктите са добре разпространени на пазари и са еднакво стандартизирани.<br />WAP и WAP2 използват нова методология за криптиране на връзката, с която се увеличава сигурността.<br />Недостатъците на Wi-Fi:<br />Сигнала в Европа е ограничен до 20dBm.<br />Wi-Fi мрежите могат да се прослушват.<br />Първоначалната версия от стандарта IEEE 802.11 е създаден през 1997г. и определя две скорости 1 и 2 Mbit/s. Излъчването на сигнала става през инфрачервен порт или със скачаща честота или с директен разширяващ се спектър с честота 2.4 GHz. В Европа е прието да се използва 2.4GHz честота поради това, че много уреди като микровълнови фурни, Bluetooth устройства, безжични телефони, който използват 5GHz честота.<br />-323852540развитие на протокола IEEE 802.11 до 2008г.<br />WLAN изисква многослойна защита, която да обезпечи личните данни и да предпази от атаки клиентите. Затова се налага използването не само на сигурна аутентификация и сериозно шифриране, но и радио честотно (RF) планиране и детектиране на неправомерния достъп до точката за достъп (AP). Разгръщането на корпоративните WLAN с поддържане поверителност на данните изисква да се подходи с разбиране към ключовите въпроси за развитие на мрежата, включително множеството опции за шифриране, а след това да се разработи стратегия за сигурност, подходяща за рисковете на въздушната среда. Тъй като самата кабелна мрежа, изисква физически достъп до Ethernet, това е първото ниво на базова физическа сигурност, освобождавайки мрежовите администратори от грижата за криптирането на кабелните комуникационни мрежи. Но по отношение на безжичните връзки, физическата сигурност не е опционална възможност, тъй като RF сигналът се разпространява през въздушна среда. Затова, безжичните комуникации трябва да бъдат криптирани. Недостатък е, че най-широко използваното решение за безжично шифриране използва статични ключове, поделени между всички потребители, обосноваващи възлите в мрежата. Доказно е, че то лесно може да се подаде на външно вмешателство. Също така трябва да има IT контрол върху потребителите. Безжична карта е вградена почти във всеки laptop, джобен компютър – PDA или клетъчен телефон, като такива устройства се използват все повече в дома или на работното място. Един служител в дадена организация може да изгради ad hoc мрежа чрез настройване на собствения си преносим компютър в режим точка до точка (peer-to-peer mode), така да сподели файлове и данни със сътрудниците си. Въпреки незлонамерените намерения в този случай, това води до риск в сигурността на IT отдела. Такава система може да стане лесно достъпна и сама по себе си да стане стартова основа за развиване на останалата част от атаката.<br />WEP защита<br />Wi-Fi е изключително удобен начин, да свържем компютрите в една домашна или малка бизнес мрежа. Важна част от мрежата е нейната сигурност, като един от начините да защитите своята безжична връзка, е да се използва технологията за криптиране Wired Equivalent Privacy (WEP). Която представлява протокол за криптиране на безжично предаване на пакети по IEEE 802.11 стандарта, пуснат в експлоатация през септември 1999г. С 802.11, безжична станция може да бъде конфигуриран с до четири клавиша (основните ценности на индекса на 1, 2, 3, и 4). Когато точката за достъп или безжична станция предава шифровано съобщение, което използва ключови съхраняват в специален ключ индекс, изпратените съобщения показва ключови индекс, който е използван за кодиране на тялото на съобщението. Приемащият точка за достъп или безжичен станция може да изтеглите ключ, който се съхранява в ключови indexand да я използват за декодиране на криптирани тялото на съобщението. Използването на статични ключове е значителна слабост на този алгоритъм. Т. нар. шифър на потока данни може лесно да се установи и да се де криптират данните, освен ако WEB не се използва за безжични конекции към принтери или други подобни устройства. Като цяло статичността на WEB е твърде лошо решение. 802.1X с динамичен WEP. Значително по-добро решение, т.к ключът на потока данни се генерира динамично. Това означава, че много по дълго време е необходимо за пробив в сигурността на безжичната система и средно статистическият „хакер” би бил затруднен да дешифрира потока данни. Повечето потребители намират това ниво на сигурност за достатъчно.<br />При WEP е необходимо да се създадат специални ключове за криптиране на връзката. Те се задават в настройките на безжичните адаптери за всеки компютър, който е оторизиран да се връзва към мрежата. Ключовете могат да бъдат с дължина 64 и 128бита и представляват измислен от нас или генериран от компютъра низ от символи. Имайки предвид, че ако изберем 128-битов ключ, всъщност трябва да въведем 104 бита, а другите 24 се генерират автоматично. WEP използва RC4 за криптиране на данните, предадени по мрежата. RC4 изисква парола която е съставена от две части. <br />Първата част е известна като предварително споделен ключ (PSK).<br />Втората част се състои от иновационен вектор (IV), целта му е да криптира всеки пакет с различен ключ (IV + PSK). <br />Всеки пакет е криптирана с уникален ключ. Този ключ е двоичен низ, който всъщност криптира всеки бит на пакети данни се използва XOR алгоритъм.<br />WEP има голяма уязвимост относно защитата, 50% е вероятността иновационният вектор да се повтори след 5000 пакета. Поради 128 битовият ключ и иновационният вектор има възможност да се генерират не повече от 16,7 милионна възможни комбинации от клавиши. През 2007 година тестове правени от Ерик, Андрей и Ралф показват как могат да проникнат в 104-битов WEP ключ. С 40 000 заловени пакети вероятността да намерят ключа е 50%, с 60 000 налични пакета от данни успехът е 80%, а с 85 хиляди е около 95%. Като 40 000 пакети могат да бъдат заловени с техники като „deaurh” и “ARP”, при добри условия за не повече от една минута. Откриването на паролата отнема около 3 секунди с 3 MB на Pentium-M 1,7 GHz. <br />Друга от слабостите на WEP, е че пакетите могат да се накъсат на малки части и това да позволи бързото им разкодиране.<br />WPA защита<br />През октомври 2003 година е създаден нов протокол за защита Wi-Fi Protected Access (WPA) (Wireless Application Protocol), който дава възможност да се използва старата техника, но с по -добра опция за защита. WPA е създаден, за да коригира недостатъците на WEP. WPA е комбинация от две отделни решения: <br /> Едното решава проблеми, свързани с протокола за интеграция на временният ключ (TKIP),<br /> Второто добавя необходимите компоненти за проверка на автентичността.<br />WPA използва шифроване нарича предварително споделен ключ (PSK) за криптиране на данни, преди да се предадат. Въведете една и съща парола за всички компютри и точките за достъп в дома или малкия бизнес мрежа. Само устройства, които използват един и същ ключ за криптиране имат достъп до мрежата или дешифриране на криптирани данни, предоставени от други компютри. Паролата автоматично започва времето Ключови интегритет протокол (TKIP) за процеса на криптиране на данните.<br />“TRIP” коригира проблема при иновационният вектор от размера му в „WEP” е 24-bits, в „WAP” той е 48-bits, по този начин при активно следене на пакети, ще издържи до 900 години. Проблема е че старият хардуер може да съхрани в иновационният вектор 24 buts. За да се реши този проблем се използват 16 bits за запълване на 24 битово поле и “IV”, като първите 8-bits се дублират във второто поле с малки промени + останалите 8-bits. „TRIP” представлява смесване на ключовете за пакет, прави проверка на съобщение и механизъм за смяна на ключовете. Благодарение на иновационният вектор, който е с дължина 48bits се дават възможност на 500 милиарда комбинации от клавиши. Предотвратява се повторна употреба на един ключ. “Master” ключа никога не се използва директно. WAP включва в себе си „Message Integrity Check (MIC)”, което пречи за повторно изпращане на данни с пакети. „MIC” замества технологията на „Cyclic Redundancy Check” (CRC) използвана в WEP, която имаше като недостатък с проверката на целостта на пакетите. С “MIC” се коригира този проблем, ако някой пакет е не е цял се отхвърля. Друга новост при WAP е стандарта за разширено криптиране – „AES”, който е разработен през 1998г. и е приет приз 2002 г. е приет като стандартно кодиране от „Националният институт за стандарти и технологии”. Използва се в окончателната версия на WAP и WAP2, като еквивалент на „RC4” алгоритъма, използван в WEP кодирането. “AES” е по – сложен начин за криптиране на връзката, който използва три дължини 128, 192 или 256 бита.<br />WPA има възможност за предварително споделен ключ “WAP-PSK”. Той се използва в режим на по-ниска сигурност. Подобно на “WEP” е необходими да се избере статичен ключ, който след известен интервал от време се сменя автоматично. Този режим е подходящ за малки офиси и домашни мрежи, който не се нуждаят от сложността на 802.1X сървър за удостоверение. Всяко безжично устройство криптира мрежата с 254 битов ключ. Този ключ може да се впише или като низ от 64 шестнадесетични цифри, или като парола от 8-63 видими ASCII знака.<br />Проблеми с сигурността на WPA<br /> Използваният механизъм за кодиране TRIP използва подобен механизъм, като WEP и следователно е уязвим към редица подобни нападения. На 8 ноември 2008г. Мартин Бек и Ерик Теус публикуван подробна информация как може да се атакува сигурността на WAP. Техният механизъм е подобен на WEP, но трябва предварително да изчакат 60 секунди, за да заловят ARP пакет който е лесен за разкодиране и с него ще видят с каква дължина са пакетите. TRIP използва CRC32 механизъм за контрол на сумата, който внася допълнителен код MIC. Ако два неправилно MIC кодове са получени в рамките на 60 секунди, точката за достъп ще приложи мерки за защита и ще промени сесията на TRIP ключа, с което ще се промени и бъдещият “keystreams”. Beck-Tews атаката ще гледа да избегне тези мерки за защита. Благодарение на заловения ARP пакет те виждат размера на пакета и могат да имат достъп до целият пакет. При изтеглянето на целия текст на един и същ пакет те ще имат достъп до “keystream” на пакета, както и кода MIC на сесията. Имайки тази информация информация хакерите леко могат да направят свой пакет и да го пуснат в мрежата за да наобиколят WAP защитата. Ново създадените пакети използват QOS канали за предаване на пакети. WPA 1.0 с TKIP криптиране. За WLAN прилагането на WPA 1.0 с TKIP криптиране е по-добро решение отколкото WEP. В случая на WPA, ако външно устройство се опита да получи неоторизиран достъп до безжичната система, то вградена алармена система ще предупреди потребителя за опита за атака и произхода и. TKIP използва същия механизъм чрез детектиране на атака, но при този метод за криптиране ще се девалидира ключовия поток, за да предотврати достъп до мрежата и ще алармира системният администратор, че са предприети съответни мерки.<br />Предимствата при WPA 1.0 с TKIP, са че използва ключ с по-голяма дължина -128 бита, докато WEP използва максимум 104 битов ключ. При TKIP, ключът и инициализиращият вектор се променят с всеки пакет данни, което елиминира напълно слабостите на проблема с инициализиращия вектор. Да се осъществи пробив при прилагане на TKIP алгоритъма е много по-трудно.За да се предотврати фалшифициране и други активни атаки – по отношение на фрагментирането, битовия поток или интерактивно налучкване на ключа, TKIP добавя истинска проверка на целостта на съобщенията (MIC), наречена Michael. Това е ключово хеширане, което го прави криптографически сигурно. Michael е 64 бита, което е два пъти повече от CRC. При стартиран TKIP и някой се опита да подправи предавания пакет данни, то този пакет ще бъде отхвърлен. Ако се осъществи атака с 2 или повече пакета в рамките на една минута, TKIP праща инструкция до точката за достъп да регенерира ключовата последователност, в резултат на което точката за достъп за известен кратък период от време отказва колекциите на крайния потребител (този период е приблизително една минута) в отговор на потенциалната атака.Така чрез решаване на въпроса за целостта на съобщенията, TKIP създаде друго предизвикателство: той самия може да бъде използван като източник на DoS атаки. Ако TKIP засече два пъти лош резултат от проверката за целостта на данните (MIC) в рамките на една минута, той приема, че това е атака – изхвърля всички потребители, свързани с точката за достъп и девалидира ключовете на всички. В опита си да бъде винаги бдителен относно сигурността, TKIP окуражава простите DoS атаки.Докато TKIP не изисква нов WLAN хардуер, то със сигурност изисква усилия за поддръжка. Клиентските операционни системи трябва да бъдат над граждани до последните версии на Windows XP или MacOS. Поддръжката на TKIP от точките за достъп зависи от производителя и може да изисква надграждане на фърмуера. Само Windows XP поддържа TKIP, така че ако се използват по-стари Windows платформи има нужда от друго решение. При клиента използващ TKIP, WEP не трябва да се стартира, тъй като TKIP и WEP са несъвместими и не могат да работят едновременно – причината за това е, че използват един и същ механизъм за криптиране. <br />През октомври 2009 г. Халворсен и други хакери са направили голям пробив в сигурността на WPA защитата. Те успяват да инжектират в мрежата, голям злонамерен пакет (596 байта) в рамките на 18 минути . Въз основа на тази атака японски учени са направили тази атака още по бърза. С това се разкрива проблемите при защитата на WPA.<br />WPA2 защита<br />WPA2 е второто поколение на сигурност WPA, който е разработен от Wi-Fi и използва 802.11i стандарт включен в него AES и CCMP . Използва Robust Security Network - RSB (стабилна мрежа за сигурност). „WAP2” мрежата е несъвместима с по старите устройства, които използват WEP. По подразбиране се използва AES и Counter Mode CBC MAC Protocol – CCMP, с който се предоставя по – добра мащаберуемост, но има възможност да се използва и TRIP протокола. Изисква се повече процесор на мощ за кодиране и декодиране на сигнала. Има възможност за бързо свързване, докато сте на линия и се доближите до нова точка на достъп се идентифицирате автоматично през нея, без да излизате от предходната връзка. В WPA2 се използва CCMP. Това е защитен протокол който използва AES. Това е еквивалент на TRIP в WAP. CCMP съобщението се проверява от MIC с помощта на Cipher Block Chaining Message Authentication Code (CBC-MAC) метода. <br />WPA 2.0 с AES е стандарт за подобрено криптиране, който американското правителство одобри е наследник на 3DES стандарта (Triple Data Encryption Standard – стандарт за трикратно криптиране на данните) и е най-последното решение в областта на безжичното криптиране. AES елиминира всички уязвимости на WEP алгоритъма, включително потенциалните DoS атаки. AES е резултат от четири годишни усилия, обединявайки сътрудничеството между американското правителство, частната индустрия и академичната общност по света. Това е най-силното налично криптиране за не военно приложение и може да бъде експортирано извън пределите на Съединените Щати. AES също така е познат като FIPS 197. AES изглежда по-рентабилен от TKIP. В допълнение, AES е много по-ефикасен от изчислителна гледна точка и изисква по-малко процесорно време за обработване от 3DES. AES ще бъде основна част 802.11i стандарта. Windows XP има възможност за поддръжка му, карти и драйвери започват да се появяват на пазара от лятото на 2003 г. , който да отговарят на стандарта. Трябва да се вземе под внимание, че много платформи, особено точките за достъп, разчитат на хардуера на радио чиповете, за да изпълняват криптирането, като по този начин избягват голямо процесорно време за обработка му. WPA 2.0 или 802.11i с AES. За изграждане на по-голяма сигурност 802.1X предлага и по-ново решение – използване на WPA 2.0 или 802.11i с AES, най голямото възможно криптиране за невоенни цели.<br />FIPS 140 <br />Ако имате намерение да извършвате бизнес с правителствени агенции на САЩ или Канада, ще се нуждаете от FIPS 140 Level 1 или Level 2 сертификат. Програмата за сертифициране FIPS 140, представлява обширна документация и процес на тестване, които демонстрират компютърна обработка на сигурността между двама крайни потребители. Употребата на IPsec виртуални частни мрежи с инфраструктура от тип публичен ключ (PKI – public-key infrastructure) и статичен IP адрес, може да осигури FIPS 140 сертифициране, когато се използва на одобрена платформа с FIPS.За да се компенсират слабостите на статичния WEP, някои организации, които не прилагат правителствени изисквания за сигурност, избират да реализират виртуални частни мрежи за достъп и мобилност в подмрежите на безжичните LAN. Поради появяването на 802.1X и динамичния WEP с голямо разнообразие от шифриращи ключове, подходът на изграждане на виртуални частни мрежи рядко е необходим извън FIPS среди. В действителност, организациите, които възприемат виртуалните частни мрежи като условие за сигурна защита, съкращават процедурата при изграждане на VPN, а това намалява сигурността. При използване на 802.1X аутентификация може да се запълнят недостатъците в сигурността чрез този подход.Следващият анализ изследва как 802.1X може да подобри WLAN сигурността ако се използват IPsec виртуални частни мрежи. По правило IPsec виртуалните частни мрежи се разработват по мрежова топология от тип точка до точка, като например отдалечен достъп чрез набиране (dial remote access).Все пак, 802.11 мрежите са от тип Layer 2 broadcast domains (домейни на предаване от слой 2) – по подобие на първоначалните Ethernet с поделени концентратори (shared hubs). Навсякъде, където има точка за достъп имаме Layer 2 broadcast domain. Това съответно поражда много спорни въпроси по отношение на сигурността на слой 2.IPsec виртуалните частни мрежи предлагат добра сигурност на трето ниво, но същевременно пораждат и свое собствено множество недостатъци. На първо място, за предпазване от проблемите на ниво 2 при предаване към всички възли в домейна, виртуалните частни мрежи изискват клиентски софтуер или персонални защитни стени, които много трудно се настройват и управляват. Освен това, тъй като DHCP- базираните (DHCP – Dynamic Host Control Protocol) IPsec виртуални частни мрежи изискват IP адрес преди да започне процесът на криптиране, то външно вмешателство може лесно да установи даден IP адрес и да започне атака срещу друг потребител асоцииран към същата точка за достъп.Дори ако се използва статично IP адресиране, атакуващите мрежата могат да си присвоят неизползван IP адрес в съществуваща подмрежа и да осъществят неоторизиран достъп до други потребители, свързани с точката за достъп. Ако имаме изградена IPSec виртуална частна мрежа и RADIUS сървър за потребителска аутентификация, то може да се използва IPsec XAUTH. XAUTH изисква секретен ключ, поделен между всички, с инвестиране на взаимната аутентификация, осигурена от IKE (Internet key exchange – обмен на ключове в Интернет). XAUTH е уязвима към активни атаки и пренася съобщения за готовност под формата на познат обикновен текст за въвеждане на потребителско име и парола като криптирана полезна информация.Може би най-важният недостатък на VPN е голямата сложност и трудното настройване при изграждане и наличие на голяма потребителска плътност. Докато безжичните LAN се разпространяват и поддържат все повече потребители, управлението на виртуалните частни мрежи по отношение на сигурността води до твърде големи разноски за VPN услугите и тунелиране.При това, IPsec няма стандартен метод за поддръжка разпространението на множествени ключове на предаване (multicast keys), така че трябва да се предава единично видео потокът, а това при наличие на хиляди потребители на една безжична мрежа води до значително увеличаване на мрежовия трафик.Могат да се разгърнат както IPsec така и 802.1X сигурността, за да се реализират възможно най-добрите аутентификация, криптиране и комуникация. 802.1X осигурява защита на второ ниво от мрежовия слоев модел OSI , която не може да бъде осигурена от разпространените IPsec VPN на ново 3.Ако е необходима сигурност FIPS 140 Level 2, обикновено се изисква по-сложната реализация на IPsec с инфраструктура, използваща публичен ключ (PKI). Този подход е достатъчно сигурен и обикновено твърде скъп. Но той все още е валидна опция и напълно прозрачен за 802.1X и слой 2. Тази опция може да бъде включена в съществуваща 802.1X WLAN, когато е необходимо.<br />WiMAX<br />Не можем да не отбележим нарастващото значение на новата технология за достъп WiMax (World Interoperability for Microwave Access) , която също се базира на лицензиран обхват. Ето в този случай за разлика от Wi-Fi вече могат да се изграждат платени мрежи за достъп, тъй като качеството на услугата се определя само от лицензирания оператор и мрежата не подлежи на смущения от случайни излъчватели или поне подобно действие е незаконно. WiMax се очаква да има сериозно развитие в близко бъдеще и да се конкурира с другите технологии за достъп до Интернет, като LAN, ADSL и FTTx.<br />WiMAX е безжичен широколентов стандарт, който е предназначен да разшири Wi-Fi мрежите за нуждите, например, на студентски градчета или в крайните части на големи градове. Стандартът IEEE 802.16e на теория може да предава данни със скорост до 70Mbps на разстояние до 37 мили. Този стандарт се ползва с подкрепата на AES. Използва метод за еднопосочно удостоверяване, който се използва X.509 сертификати. Има високо ниво на криптиране на връзката, което прави неговата защита за момента непробиваема.<br /> Intel цели да превърне WiMAX в ежедневие по целия свят, каквато днес е ситуацията с Wi-Fi в кафенета и летища. Процесорният гигант предвижда, че през следващите години WiMAX ще покрие близо 150 милиона души, като този брой ще нарасне на 1.3 милиарда през 2012 година.<br />WiMAX2 <br />На 04.04.2011г. е одобрен новият стандарт WiMAX 2 , който подържа 802.16m стандарт със скорост до 300 Mbips. Първоначално IEEE планираше с новия стандарт да преодолее психологическата граница от 1 гигабит в секунда (Gbps), но в крайна сметка WiMAX 2 не постигна тази цел. Четири години бяха необходими на IEEE да вземе окончателно решение за WiMAX 2. През това време много оператори се насочиха към други технологии за предаване на данни, като LTE (Long Term Evolution) . LTE стъпва на усъвършенствани технологии CDMA и UMTS, които поддържат скорости до 326,4 Mbps. Базовата станция на LTE има радиус на действие от 5 до 100 км, а позвъняванията, инициирани в зоната на LTE, могат да се предават и в мрежи 3G, благодарение на което LTE мрежите са по-евтини от WiMAX. Същевременно, на изложението CEATEC 2010 корейският гигант Samsung показа оборудване, което поддържа безжично предаване на данни със скорост до 330 Mbps.<br />Анализ и оценка.<br />Най-добрият начин да се осигури защитата на безжичната локална мрежа е да се определят целите за постигане на сигурността. Повечето корпорации искат да предложат на безжичните потребители сигурност, която поне е равностойна на сигурността на кабелните мрежи. За много организации динамичният WEP осигурява най-добрата защита и най-лесното конфигуриране, които отговарят на нуждите на техните WLAN клиенти. За други области е необходимо надграждане до WPA 1.0 с TKIP, а за индустриални безжични мрежи – AES предлага максимална сигурност.<br />След като е определено подходящото криптиране за определена среда, трябва да се изследва как различните WLAN системи отговарят на изискванията за корпоративна сигурност. Идеалната WLAN система поддържа множество типове криптиране и разпределя криптографското обработване между WLAN мобилните комутатори и точките за достъп, като по този начин се намалява натоварването на RADIUS сървъра.Поддръжка на множество типове криптиране позволява гъвкавост при настройване параметрите на сигурността. Трябва да има възможност да се използват различни типове криптиране за различните потребители или групи от потребители. Например, може да се приложи 802.1X аутентификация с AES криптиране за потребители от инженерните области, докато маркетинговите отдели могат да използват динамичен WEP.Всяка WLAN система, която се взема под внимание, трябва да прилага динамично ключово шифриране за всеки потребител и да променя ключовете на всеки 15-30 минути прозрачно за крайния потребител, за да се предотврати проблема със слабостите на инициализиращите вектори на статичния WEP. С динамично ключово шифриране за всеки потребител, могат да се настроят типовете криптиране според идентичността на потребителя. Като допълнение на поддръжката на динамичен WEP, една безжична LAN система трябва да има възможност да премине към TKIP и AES докато тези стандарти бъдат завършени в окончателния им вид.Корпоративната WLAN система трябва да има възможност да разпредели натоварването от генериране на шифриращи ключове между RADIUS сървъра и WLAN комутаторите. Разпределянето на криптографическата обработка между безжичните комутатори разтоварва сървъра, който трудно би обработил сам генерирането на ключове за стотици или хиляди потребители. Налични са WLAN комутатори, които предлагат хардуерно ускорение по отношение на криптографията. Тази особеност е характерна за новото поколение безжични комутатори, но не е приложена в RADIUS сървърите.Също така трябва да се изследва функционалността на точката за достъп, имайки предвид безжичната LAN системна архитектура. Текущо произвежданите точки за достъп са евтини, не достатъчно мощни и сигурни. Производителите предлагат и по-скъпа продукция, при която е направен опит да се преодолее недостатъчната протекция. Този клас APs имат по-добре изразена защита, предназначени са за външен монтаж и се противопоставят на неоторизиран достъп.Така наречените интегрирани или хибридни точки за достъп, които изпълняват достатъчно интелигентни функции, за да управляват криптирането, предлагат оптимално криптографиране на приемлива цена. Алгоритмите за криптиране са част от множеството радио чипове на точката за достъп, така няма нужда да се закупува допълнително централизирано криптиране както е при комутаторите или VPN устройствата. Тези модели съдържат елементи от по-ниския и по-високия клас и разпределят натоварването, когато е нужно. Най-вероятно този подход ще бъде усъвършенстван, подобрен и последван от други производители и дори ще се усложни.<br />Безжичната LAN сигурност обикновено не се асоциира с представите за мрежово планиране. Планирането е критичен елемент на WLAN сигурността. Кабелната връзка осигурява най-базовата линия на защита за кабелните мрежи. Това не може да се приложи при RF мрежите с разпространение на сигнали. Изграждането на WLAN включва много повече от инсталирането на точките за достъп на всеки 40-70 фута. Внимателното планиране на WLAN преди реализацията позволява създаването на стратегия на развитие на мрежата като се има предвид RF покритието.Средствата за RF планиране и управление предлагат такъв контрол и няма нужда да се правят опити за инсталиране на WLAN система от корпоративен клас без наличието на такива инструменти. Необходими са автоматизирани програмни инструменти за планиране и проследяване разпространението на RF сигнала преди определяне разположението на всяка една точка за достъп.<br />Заключение<br />Когато се разработва стратегията за WLAN сигурността е важно да се преценят съответните рискове и тогава да се разработи разумна защита. Веднъж след като е разработено планирането, трябва да се оцени как производителите на безжични LAN системи обезпечават инфраструктурата на сигурността.AES има най-силното криптиране, налично извън пределите на криптирането за военни цели на САЩ, а корпоративните клиенти очакват 802.11i с AES криптиране, когато стандартът бъде ратифициран. Междувременно, динамичният WEP с изменящи се ключове и TKIP осигурява много добра сигурност.Много производители твърдят, че отговарят на корпоративните изисквания за безжична сигурност. В действителност не са много тези, които са решили проблема с аутентификацията и криптирането на данните. В идеалния случай, безжичната LAN би трябвало да поддържа и да прилага множество типове криптиране – динамичен WEP, TKIP и AES – за да има възможност да се избере подходящото криптиране при идентификация на потребителя или асоцииране на групата. Едно добро решение за изграждане на WLAN система, която дава възможност за аутентификацията и криптирането да се разпределят чрез разтоварване на процеса на криптографска обработка от RADIUS сървъри разпространение в структурата на безжичната WLAN.С използване на подходящите средства за планиране, развитие и управление, IT специалистите могат да проектират сигурни WLAN преди да се използва една точка за достъп или безжичен комутатор. Инструментите за радио честотното (RF) планиране и управление позволяват на потребителите да се справят гъвкаво и решително с външни атаки. Чрез планиране на радио честотното покритие, може да се настрои разпространението на сигнала да се минимизира до обхващане в по-малка степен на области като паркинги или съседни конкурентни сгради.<br />Статичен WEP Слаб IV вектор. Въпрос на часове е ключът да бъде открит. Лош механизъм за аутентификация. Използва CRC алгоритъм за проверка целостта на съобщенията, което го прави обект на атаки за подмяна на пакетите. Не го използвайте, освен ако не е наложително. Динамичен WEP Осигурява променящи се ключове и фиксира проблема за слабия IV вектор. Използва различни ключове за unicast and broadcast/ multicast предаване Използва CRC алгоритъм за проверка целостта на съобщенията, което го прави обект на атаки за подмяна на пакетите. Прилага се лесно без промени в хардуера при клиентите или точките за достъп. WPA с TKIP Променя и криптографически смесва WEP ключа и IV за всеки пакет, за да елиминира проблема за слабия IV. Използва пълна проверка за целостта на съобщенията. 128-bit криптиращ ключ. Уязвим към DOS атаки. Ако TKIP алгоритъма прилага MIC в една минута, то се изхвърлят всички потребители свързани към точката за достъп. Изисква софтуерно надграждане на клиентските драйвери и точките за достъп. В процес на разпространение. Задължителна производителите от август 2003 г.WPA с AES Най-силно налично криптиране извън това за военни цели. Все още не са известни Изисква софтуерно или firmware надграждане при клиентите и точките за достъп. AES стандарта е завършен и подържа 802.11i стандарта.<br />Използвана литература:<br />http://www.wi-fi.org<br />www.openxtra.co.uk/<br />http://csrc.nist.gov/archive/aes/index2.html <br />http://ezinearticles.com/?What-Are-WEP,-WPA,-TKIP,-AES-and-PSK-In-Simple-Terms?&id=3684974 <br />http://www.linux-bg.org/<br />http://www.TechNews.bg<br />http://www.computers.bg<br />http://www.remote-exploit.org/<br />http://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol<br />

×