Безопасность в WiFi

Подробности
Родительская категория: Технологии беспроводной связи
Категория: WiFi

Для WLAN-сетей очень актуальны вопросы безопасности и защиты передаваемых данных. Изначально созданные в этой сфере технологии имели низкую степень защиты, данная проблема актуальна и на текущий момент.

С целью защиты передаваемых данных предусмотрены следующие методы:

  • фильтрация по MAC-адресам (Media Access Control ID).  Каждый адаптер имеет свой уникальный код, установленный производителем. С целью предотвращения несанкционированного доступа к сети на AP необходимо добавить в списки адресов доступа  MAC-адреса клиентских станций, имеющих право работать через данную AP. Все другие WLAN-адаптеры с другими адресами автоматически будут исключены из сети;
  • шифрование данных.

     

Первый способ не обеспечивает защиты от прослушивания и перехвата пакетов данных, в связи с этим обеспечить защиту сети при перехвате данных можно только с помощью шифрования.

Стандарт 802.11 первоначально предусматривал аппаратный протокол шифрования данных WEP (Wired Equivalent Privacy - защищенность, эквивалентная беспроводным сетям), базирующийся на алгоритме шифрования RC4. Но в скором времени были найдены его уязвимости. Защищенную с помощью протокола WEP сеть довольно легко взломать. Начальные версии предусматривали шифрование с использованием 40-битного ключа, более поздние – 64-, 128- или 256-битное. Однако даже такая длина ключа в WEP не может гарантировать высокий уровень защиты сети, поскольку главным  недостатком данной технологии является статичность ключа шифрования. Тем не менее при применении данного ключа возрастает время взлома и количество пакетов данных, которые нужно перехватить, чтобы определить ключ, но сама возможность взлома остается. Это недопустимо для определенного круга серьезных компаний и организаций.

 WEP сменила новая технология WPA (Wi-Fi Protected Access), разрабатывающаяся IEEE совместно с Wi-Fi Alliance. Главная особенность новой системы безопасности заключается в шифровании данных с динамически изменяемыми ключами и проверка аутентификации пользователей.

В отличие от WEP здесь применяется протокол целостности временных ключей TKIP (Temporal Key Integrity Protocol), подразумевающий обновление ключей перед началом каждой сессии шифрования и проверкой пакетов на принадлежность к данной сессии.

Для аутентификации пользователей применяются сертификаты RADIUS (Remote Authentication Dial-In User Service - сервер RADIUS должен подтвердить право доступа). Такой метод подразумевает, главным образом, корпоративное использование. Относительно недавно на смену RADIUS пришел DIAMETER.

Второй упрощенный вариант аутентификации требует предварительной установки разделяемых паролей на сетевые устройства (режим аутентификации PSK (Pre-Shared Keys)). Этот метод лучше всего применять в домашних условиях или там, где не происходит обмен важной информацией.

Разрешение на использование частот
В России использование частот регламентируется "Положением о порядке использования на территории Российской Федерации внутриофисных систем передачи данных в полосе частот 2400-2483,5 МГц",

Разрешение на использование частот

Абонентские устройства стандарта 802.11 разрешены к применению на территории России в диапазонах 2400 – 2483.5, 5150 – 5350 и 5650 – 5725 МГц приказом Министерства связи и массовых коммуникаций России от 14 сентября 2010 г. № 124 «Об утверждении Правил применения оборудования радиодоступа. Часть I. Правила применения оборудования радиодоступа для беспроводной передачи данных в диапазоне от 30 МГц до 66 ГГц».

Сигнальный обмен между абонентской станцией (SS) и точкой доступа (AP) представлен на рис. 4.

Сигнальный обмен между абонентской станцией (SS) и точкой доступа (AP)

 

Рис. 4. Сигнальный обмен между абонентской станцией (SS) и точкой доступа (AP)

Яндекс.Метрика