Главная » 2012 » Январь » 18 » Шифрование WEP и WPA (WPA-PSK, WPA-EAP)
13:30
Шифрование WEP и WPA (WPA-PSK, WPA-EAP)

Технологии шифрования: WEP и WPA

Использование беспроводных сетей требует очень серьёзного отношения к обеспечению изх безопасности. Рассмотрим наиболее распространенные технологии шифрования: WEP и WPA (WPA-PSK, WPA-EAP)

Стандарты безопасности беспроводных сетей

Точки беспроводного доступа могут требовать проверку подлинности клиентов перед подключением к сети. Проверка подлинности также позволяет установить личный ключ, который можно использовать для шифрования беспроводных сетей, обеспечивая защиту данных. Беспроводные клиенты Windows поддерживают все распространенные стандарты беспроводных сетей.

Отсутствие требований безопасности в беспроводных сетях. Для обеспечения гостевого доступа клиентам можно разрешить подключаться к точке беспроводного доступа без проверки подлинности (или шифрования). Чтобы обеспечить определенный уровень защиты, некоторые точки беспроводного доступа выполняют  обнаружение новых клиентов и требуют, чтобы пользователь открыл браузер и  подтвердил свое согласие перед предоставлением маршрутизатором доступа в  Интернет.

К сожалению, все данные, пересылаемые в незащищенной беспроводной сети, могут перехватываться злоумышленниками, получившими беспроводный сигнал (как правило, беспроводное широковещание распространяется на сотни метров). Поскольку практически все общественные беспроводные сети не защищены, мобильные пользователи должны понимать степень риска.



Технологии шифрования в беспроводных сетях

Если вы разрешаете пользователям подключаться к незащищенным беспроводным сетям, по возможности обеспечьте шифрование на других уровнях. Например, используйте протокол SSL (Secure Sockets Layer) для защиты коммуникаций с сервером электронной почты, требуйте, чтобы пользователи подключались с помощью зашифрованного VPN-подключения или IPSec с шифрованием. 

Шифрование беспроводных сетей WEP

Wired Equivalent Protection (WEP). С помощью стандарта безопасности  беспроводных сетей WEP можно выполнять 64-битовое и 128-битовое  шифрование. К сожалению, WEP уязвим в схеме криптографии. Потенциальные злоумышленники могут загрузить свободно доступные в Интернете инструменты и использовать эти инструменты для взлома ключа, который требуется для подключения к беспроводной сети WEP, причем взлом осуществляется за  несколько минут. Поэтому ни 64-битовое, ни 128-битовое шифрование WEP не может защитить даже от неопытных хакеров. Однако шифрования WEP достаточно для того, чтобы случайные пользователи не могли подключаться к  беспроводной сети.


Шифрование WEP поддерживается практически всеми беспроводными клиентами (включая операционные системы помимо Windows и такие сетевые устройства, как принтеры) и не требует создавать дополнительную инфраструктуру кроме точки беспроводного доступа. При подключении к сети WEP пользователи должны ввести ключ или пароль (хотя этот процесс можно автоматизировать).

Шифрование WPA

Wi-Fi Protected Access (WPA). Как и WEP, технология шифрования WPA обеспечивает беспроводную проверку подлинности и шифрование. В зависимости от параметров конфигурации WPA может обеспечить уровень шифрования намного выше, чем WEP. Однако WPA поддерживается не так повсеместно, как WEP. Поэтому в случае использования беспроводных клиентов не с системой Windows или беспроводных устройств, которые не поддерживают WEP, может потребоваться их обновление для поддержки WPA. Компьютеры Windows поддерживают режимы шифрования WPA-PSK и WPA-EAP.   

Шифрование WPA-PSK (WPA-Personal)

■ Режим WPA-PSK (для предварительного ключа), который также называют режимом WPA-Personal, использует статический ключ аналогично WEP. К сожалению, статический ключ можно взломать с помощью технологий полного перебора значений. Кроме того, статическими ключами очень сложно управлять в производственной среде. В случае взлома отдельного компьютера, отконфигурированного с таким ключом, потребуется изменить ключ на каждой точке беспроводного доступа. По этой причине режим WAP- PSK использовать не рекомендуется. 

Предварительный ключ

Если нужно применять режим шифрования WPA-PSK, используйте в качестве предварительного ключа длинный и сложный пароль. Для взлома сети с типом безопасности WPA-PSK хакеры вначале попытаются использовать  предварительно рассчитанную радужную таблицу (rainbow table), которая позволяет средствам взлома за несколько минут идентифицировать защиту сети WPA-PSK по общему значению (например, слово в словаре). Если предварительный ключ не является таким общим значением, он может отсутствовать в радужной таблице, и хакеру придется воспользоваться методами полного перебора, которые могут  потребовать больше времени — часы, дни и даже недели вместо секунд и минут. 

WPA-EAP (WPA-Enterprise)

В режиме WPA-EAP (Extensible Authentication Protocol), который также называется режимом WPA-предприятие (WPA-Enterprise), запросы проверки подлинности пересылаются на внутренний сервер, например компьютер Windows Server 2008 с протоколом RADIUS. Служба Сервер сетевой  политики (Network Policy Server, NPS) обеспечивает проверку подлинности RADUIS на серверах Windows. NPS-сервер может передавать запросы  проверки подлинности на контроллер домена, позволяя защищенным  беспроводным сетям WPA-EAP выполнять проверку подлинности контроллеров домена без ввода ключа пользователями.

Режим WPA-EAP обеспечивает очень гибкую проверку подлинности. Системы Windows Vista, Windows 7 и Windows Server 2008 позволяют пользователям подключаться к защищенной  производственной сети WPA-Enterprise с помощью смарт-карты. Поскольку WPA-EAP не использует статический ключ, этим режимом безопасности легче управлять, потому что не требуется изменять ключ в случае его определения хакером. Для поверки подлинности множество точек беспроводного доступа могут использовать один центральный сервер. Кроме того, этот режим  безопасности взломать намного сложнее, чем WEP или WPA-PSK.

Категория: Вопросы информационной безопасности | Просмотров: 8790 | Добавил: george27 | Теги: беспроводные сети | Рейтинг: 4.0/4
Всего комментариев: 0
Имя *:
Email:
Код *: