Методы защиты данных в сетях WiFi (начало)

Распространение беспроводных сетей в мире началось с внедрения технологии 802.11, которая в свою очередь трансформировался в 802.11b, далее в 802.1g (а), и, наконец, в 802.11n, которая является последней разработкой. Поскольку среда передачи в беспроводных сетях открытое (для доступа к сети необходимо иметь только клиентский адаптер), очень важно организовать защиту такой сети от несанкционированного доступа.

Среда передачи в сети стандарта 802.11 беспроводное, но оно имеет пределы для приема клиентским оборудованием, что обусловлено затуханием сигнала в свободном пространстве. Итак, очевидно, что для успешного доступа к сети злоумышленник должен находиться в радиусе распространения сигнала сети. Есть несколько способов противостоять распространению радиосигнала. Можно использовать так называемую “зону, охраняемую”, т.е. весь радиус покрытия точки доступа охраняется, например, территория ограждена забором. Такой способ позволяет предотвратить случайное выявлению сети, но он не поможет при целенаправленном сканировании территории направленной антенной. Если сигнал не должен выходить за пределы определенной здания, можно использовать экранирование стен металлической сеткой, что значительно ослабит уровень сигнала. Простейшим методом для обычного пользователя точки доступа, который использует ресурсы беспроводной сети в собственных целях, является обычное уменьшение уровня выходного сигнала. Такую функцию на данный момент поддерживают большинство точек доступа. При этом пользователь может уверенно пользоваться ресурсами сети только в пределах, который является меньшим при меньшем уровне сигнала. Еще одним способом называют сокрытие имени точки доступа (ESSID cloaking), но эта методика не помогает в реальных условиях, поскольку точку можно определить по активным общением с клиентами. Современное программное обеспечение идентифицирует такую ​​точку доступа в режиме по умолчанию.

Одним из способов авторизации пользователей в беспроводной сети является фильтрация по МАС идентификатору. Каждый беспроводной адаптер имеет свой уникальный физический идентификатор, который устанавливается на заводе. При первичном подключении к точке доступа администратор должен добавить такой идентификатор клиента в специальный список точек доступа. Такой список хранится на точке доступа. При подключении любого клиента точка доступа проверяет его физическое идентификатор путем поиска его в специальном списке идентификаторов. Если идентификатор найден, точка доступа начинает обслуживать клиента, если же нет-просто игнорирует его. Недостатком такого способа защиты есть возможность изменения физического идентификатора на современных клиентских адаптерах. Узнать физическое идентификатор другого пользователя также не является проблемой – для этого существует специальное программное обеспечение, которое позволяет прослушивать эфир и идентифицировать отдельных пользователей.

Важно отметить, что указанные методы не обеспечивают конфиденциальность передаваемых данных в сети, они просто ограничивают доступ к сети. То есть, даже если все эти средства включены на точке доступа, злоумышленник сможет, включив свой беспроводной адаптер в режиме «monitor mode», слушать эфир и вылавливать всю передаваемую информацию.

Очевидно, что для защиты сети необходимо активизировать механизм защиты, встроенный в оборудование, которое предоставляет сервис беспроводных сетей. На данный момент настройки защиты оборудования беспроводных сетей требует ввода пароля. В некоторых случаях (например, неопытный пользователь) пароль может быть наиболее уязвимым местом всей системы. Все оборудование всегда имеет определенные настройки по умолчанию. Информация об этих настройка должна находиться в инструкции к этому оборудованию. Иными словами, такая информация является общеизвестной. Если пользователь не изменит настройки пароля точки доступа, злоумышленник сможет легко подобрать пароль и получить доступ ко всей сети. Также важным фактором является сложность пароля. Общеизвестно, что чем длиннее и сложнее пароль, тем выше он криптостойкость, и для его подбора потребуется больше времени. Поэтому рекомендуется использовать случайно сгенерированные пароли достаточной длины. Рекомендуется также менять пароль через определенные промежутки времени.

Существует несколько алгоритмов защиты для беспроводных сетей стандарта 802.11. Это WEP, WPA и WPA2. Каждый из них имеет несколько режимов работы. Их рассмотрим в следующей части публикации.

Добавить комментарий

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.