Методы защиты данных в сетях WiFi (окончание)

Технология Wired Equivalent Privacy (WEP) была принята в 1997 году, а в 2000 году появилась информация о недостатках данной технологии. В алгоритме WEP используется шифрование RC4 с применением статического ключа.  С целью защиты часть ключа остается статической, а другая часть – динамический вектор инициализации, который меняется в процессе работы сети. Сущестивенным недостатком WEP является тот факт, что вектор инициализации повторяется через некоторые промежутки времени. Для того, чтобы сломать это шифрование необходимо лишь собрать эти повторы и за секунды получить другую часть ключа. Весь процесс взлома составляет 5-10 минут. Именно поэтому не рекомендуется применять этот алгоритм защиты при любых условиях.

Технология WPA (Wi-Fi Protected Access) была внедрена вместо устаревшего протокола WEP. WPA была переходной технологией между WEP и относительно новым стандартом безопасности 802.11 и. Шифрование в WPA выполняет протокол TKIP, который, хоть и использует тот же самый алгоритм шифрования RC4, что и в WEP, но  при этом использует динамические ключи. Этот алгоритм применяет более длинный вектор инициализации плюс криптографическую контрольную сумму (MIC), используемую для подтверждения целостности пакетов (последняя формируется специальной функцией и зависит от адреса источника, назначения и поля данных). Можно выделить два основных режима работы технологии WPA: WPA-PSK i WPA-Enterprise. Любое современное беспроводное оборудование стандарта 802.11 поддерживает оба эти режима. При использовании режима WPA-PSK (так называемый персональный режим) на точке доступа прописывается ключ доступа, введя который пользователь может начать пользоваться ресурсами сети. Такой способ защиты достаточно устойчив, но достаточно удобен для администрирования, поскольку для каждого пользователя сети необходимо ввести пароль точки доступа для его успешного подключения. При достаточно малых размерах сети это допустимо, но с ростом количества клиентов это превращается в довольно трудную задачу. Также, если есть необходимость отключить пользователя от сети, нужно менять ключ точки доступа, причем после таких действий нужно перенастраивать всех пользователей сети.

При использовании технологии WPA в режиме WPA-Enterprise для аутентификации пользователей используется внешний сервер (относительно точки доступа), например RADIUS-сервер. В таком режиме пользователю необходимо ввести пару логин-пароль, по которым и происходит подключение абонента к сети. При этом пара логин-пароль уникальна для каждого пользователя.

На смену протокола шифрования TKIP, в котором тоже ошибках, пришел улучшенный алгоритм шифрования Advanced Encryption Standard (AES). AES также известен как симметричный алгоритм блочного шифрования (с размером блока в 128 бит, ключи 128/192/256 бит). Современное оборудование предоставляет свободный выбор между двумя протоколами.

Рекомендуется выбирать AES как более надежный метод шифрования.

Технология WPA2. На смену протокола WPA пришел протокол WPA2, который входит в стандарт безопасности беспроводных сетей 802.11i. Протоколы WPA2 функционирует аутентификация в двух режимах: персональном (Personal) и корпоративном (Enterprise). Режим WPA2-Personal на основании введенной открытым текстом фразы и генерируется 256-разрядный ключ PSK (PreShared Key). Этот ключ вместе с идентификатором SSID (Service Set Identifier) применяется с целью генерации сеансовых временных ключей PTK (Pairwise Transient Key), с целью взаимодействия беспроводных устройств. По аналогии к протоколу WPA-PSK, протокол WPA2-Personal имеет определенные проблемы необходимости распределения и поддержки ключей на беспроводных устройствах сети, а значит он полезен только для использования в небольших сетях до десятка устройств, а для более крупных корпоративных сетей лучше будет WPA2-Enterprise.

Технология VPN. Из дополнительных методов защиты беспроводных сетей можно выделить технологию VPN (Virtual Private Network). Данная технология позволяет создать в рамках любой сети или нескольких сетей виртуальную персональную сеть, которая предоставляет широкие возможности по обеспечению конфиденциальности клиентов. Принцип действия VPN основан на создании своеобразных безопасных «туннелей» со стороны пользователя до сервера или узла доступа. С целью шифрования трафика в VPN часто применяется протокол IPSec (в 70% случаев), более редко – L2TP или PPTP. Так же могут использоваться алгоритмы DES, Triple DES, MD5 и AES. VPN имеет поддержку на многих платформах (Linux, Windows, Solaris) на программном и аппаратном уровнях.

Актуально отметить высокую надежность технологии. Обычно VPN целесообразно применять в крупных корпоративных сетях. В домашних целях установка и настройка может оказаться слишком трудоемкой. Технология VPN можно использовать как дополнительное средство защиты сети в сочетании с любой технологии защиты беспроводных сетей.

Итак, можно сделать вывод, что WEP является далеко не идеальным решением для обеспечения безопасности. WPA обеспечивает гораздо более высокий уровень безопасности, чем WEP, но и WPA не может дать надежной защищенности сети. Самым надежным и безопасным решением является WPA2. Использование этого протокола в сочетание с VPN – оптимальное решение для корпоративных пользователей.

* * *

Пока не знаю, на сколько это возможно, если подобные вещи, а вернее программы на заказ сделать под свои потребности. Наверное дорого выйдет? Хотя для тех, кто специализируется на ПО, как например Sunrise-r, может труда и не составит. Правда все равно дорого будет!