Спецификации стандарта 802.11

WEP

WEP + 802.1x

802.1И (WPA2)

Обзор безопасности беспроводных сетей Стандарты в беспроводных сетях

Беспроводные технологии активно используются в современных сетях для повышения мобильности пользователей. Наиболее популярны беспроводные сети, построенные на основе стандарта IEEE 802.11. 802.11 — семейство спецификаций построения беспроводных сетей (wireless LANs) с использованием радиосигналов. В этом семействе можно выделить следующие спецификации

Спецификации стандарта 802.11

Беспроводные сети могут работать в одном из двух режимов — Ad hoc и Infrastructure.
Инфраструктурный режим (infrastructure mode) применяется для подключения беспроводных клиентов к существующей проводной сети с помощью специального устройства, называемого беспроводной точкой доступа (wireless access point). Одноранговый режим (Ad hoc mode) применяется для построения одноранговых беспроводных сетей без применения точки доступа. Одноранговая беспроводная сеть может содержать до 9 компьютеров, каждый из которых непосредственно связывается с остальными компьютерами.

Независимо от режима работы для идентификации конкретной беспроводной сети используется параметр Service Set Identifier (SSID), часто называемый именем сети. Для инфраструктурного режима этот параметр задается на беспроводной точке доступа и доступен для просмотра на всех беспроводных клиентах (беспроводной клиент «слушает» анонсы сетей, и может выбрать, к какой беспроводной сети он будет присоединяться). При создании новой беспроводной сети следует задать уникальное значение SSID.

Проблемы безопасности в беспроводных сетях

Основными уязвимостями беспроводных сетей являются:

• Неавторизованный доступ к беспроводной сети — при отсутствии соответствующей защиты злоумышленнику, имеющему ноутбук с беспроводным адаптером, достаточно попасть в радиус действия АР для подключения к сети организации.
• Прослушивание беспроводной сети (sniffing) — при отсутствии шифрования, передаваемая с помощью радиосигналов информация может быть легко перехвачена.

Эволюция безопасности в беспроводных сетях — WEP, 802.1х, WPA и 802.11 i
Безопасность беспроводных сетей обеспечивается за счет шифрования передаваемых данных, а также за счет аутентификации клиента и контроля доступа к сети. Со времени выхода первого стандарта 802.11 возможности обеспечения безопасности претерпели значительные изменения.

WEP

Wireless Equivalent Privacy (WEP) — протокол шифрования, который был описан в стандарте 802.11. WEP использует алгоритм симметричного шифрования RC4. Существуют варианты 40-битного и 128 битного шифрования. В настоящее время протокол шифрования WEP не может рассматриваться как достаточная защита беспроводного трафика, в связи с имеющимся в нем ошибками, делающими его уязвимым для различных атак. Кроме того, протокол WEP не имеет механизма динамического согласования ключей шифрования, а требует ручного задания ключа на беспроводной точке доступа и на каждом беспроводном клиенте.
Аутентификация беспроводного клиента и контроль доступа, согласно 802.11, обеспечивается за счет двух механизмов — Open System Authentication и Shared key authentication (также иногда обозначаемых как WEP Open System и WEP Shared key).

• При использовании метода Open System аутентификация реально не выполняется. Любой клиент может подключиться к сети при условии совпадения SSID на клиенте и точке доступа. На некоторых точках доступа можно задать фильтрацию по МАС-адресу клиента, но это не может считаться надежным методом защиты.
• При использовании метода Shared key точка доступа проверяет «знание» клиентом статически заданного ключа WEP, который также используется для шифрования трафика. Для использования этого метода необходимо настраивать всех клиентов, вручную задавая у них одинаковый ключ. При этом отсутствует механизм периодической смены ключа.

WEP + 802.1x

Стандарт 802.1х обеспечивает аутентификацию беспроводного устройства прежде, чем оно может начать обмен данных с сетью. Для аутентификации используется протокол ЕАР (Extensible Authentication Protocol), позволяющий использовать различные методы аутентификации (например, аутентификацию по паролю или аутентификацию с использованием цифровых сертификатов). При использовании 802.1х точка доступа обычно не производит проверку станции, она всего лишь служит посредником между клиентской станцией и службой Remote Authentication Dial-In User Service (RADIUS), которая берет на себя функции аутентификации.
При описании компонентов 802.lx используются следующие термины:

• Supplicant — клиент, которому требуется доступ к сети.
• Authenticator — устройство, порт которого требует аутентификации перед использованием.
• Authentication Server — сервер, выполняющий аутентификацию клиента.

802.1х обеспечивает только аутентификацию, шифрование же обеспечивается с помощью WEP. Важным преимуществом при использовании 802.1х является то, что симметричный ключ WEP может быть согласован динамически, при этом не требуется его задание вручную.

WPA

Протокол WEP имел несколько важных проблем, связанных с криптостойкостью, и часто подвергался критике специалистов. Эти проблемы был призван решить новый стандарт IEEE 802.1 li, но разработка и принятие этого стандарта могло занять много времени. Поэтому в качестве промежуточного варианта производители беспроводного оборудования приняли стандарт Wi-Fi Protected Access (WPA). WPA решил многие проблемы WEP и не требовал обновления аппаратного обеспечения беспроводного оборудования (требовалось только обновление микропрограммы). В частности, в WPA были внесены следующие улучшения:

• Аутентификация. Оригинальный стандарт 802.11 не требовал обязательной поддержки 802.1х. WPA-совместимое оборудование WPA обязано поддерживать 802.1х. В сетях, где нет службы RADIUS, WPA также поддерживает механизм аутентификации по заранее согласованному ключу (WPA-PSK).
• Улучшенный механизм управления ключами. В WEP для шифрования всегда использовался один заданный ключ, а при использовании WEP + 802.1х ключ хоть и согласовывался динамически, но его периодическая смена была необязательной. В WPA ключ шифрования вычисляется динамически в момент аутентификации. Также поддерживается изменение ключа как для направленного трафика (unicast encryption key), так и ключа для широковещательного трафика (broadcast encryption key).
• Улучшенное шифрование. В WEP шифрование было опциональным. В WPA шифрование с использованием протокола Temporary key management protocol (TK.IP) является обязательным. TKIP использует тот же алгоритм RC4, что и WEP, но механизм шифрования отличается.
• Улучшенный механизм проверки целостности кадров. WPA применяет новый механизм проверки целостности данных - Michael.
• Опциональная поддержка алгоритма AES. WPA-совместимое оборудование опционально может поддерживать алгоритм AES вместо RC4.

802.1И (WPA2)

Стандарт 802.1 был принят в июне 2004 года и является на данный момент самым надежным средством защиты беспроводных сетей. По сравнению с WEP в него внесено множество изменений, например, используется алгоритм шифрования AES вместо RC4.

Использование аутентификации 802.1х в беспроводных сетях
Применение 802.1х для аутентификации беспроводных соединений может дать ряд преимуществ, таких как повышенная безопасность и аутентификация на уровне пользователя, но требует планирования и затрат времени на внедрение. Подробно шаги но настройка аутентификации 802.1х описаны в документе Microsoft Designing the Wireless LAN Security Using 802.1X (http://www.microsoft.com/technet/security/prodtech/ windowsserver2003/pkiwire/PGCH06.mspx).
Для настройки 802. lx в сетях Microsoft следует выполнить следующие шаги.

• Убедиться, что беспроводное оборудование (адаптеры и точки доступа), а также клиентские операционные системы поддерживают 802.1 х.
• Выбрать механизм аутентификации — с использованием пароля (PEAP-EAP-MSCHAPv2) или цифровых сертификатов (EAP-TLS). Второй метод больше подходит для крупных организаций, так как требует обязательного наличия Active Directory и дополнительного времени для развертывания клиентских сертификатов.
• Установить в сети Службу сертификации (Certificate Services) и службу Internet Authentication Service (IAS).
• Получить и установить на сервер IAS цифровой компьютерный сертификат. В случае применения Enterprise СА для получения сертификата для IAS можно использовать шаблоны Computer, Domain Controller или Web server.
• Если был выбран метод аутентификации с использованием сертификатов, то на каждый клиентский компьютер необходимо получить и установить цифровой пользовательский сертификат. В случае применения Enterprise СА для получения таких сертификатов можно использовать шаблон User. При выписывании сертификатов необходимо обеспечить их обязательную публикацию в Active Directory.

• Создать в Active Directory группу (например, WirelessUsers), и включить в нее все пользовательские и компьютерные учетные записи, которым будет разрешен беспроводной доступ. Рекомендуется перевести домен в функциональный уровень Windows 2000 Native или выше.

• Создать на сервере IAS политику, определяющую, как будет выполняться аутентификация, и кому
  будет разрешен доступ. Пример политики IAS для аутентификации с помощью паролей приведен в
  документе                Building the Wireless LAN Security Infrastructure
(http://www.microsoft.com/technet/security/topics/cryptographyetc/peap_5.mspx).

• Настроить клиентские станции на аутентификацию с помощью 802.1х, то есть выбрать метод аутентификации (пароли или сертификаты). Важно помнить, что клиент должен «доверять» сертификату, установленному на сервере IAS (это достигается путем установки корневого сертификата СА на каждом клиенте) или нужно отключить проверку клиентом сертификата 1AS (см. КВ838502).