защити на wi
DESCRIPTION
Безопасност и защита на Wi-Fi-мрежиTRANSCRIPT
Икономически университет – ВарнаЦентър „Магистърско обучение”
Тема:
Безопасност и защита на Wi-Fi - мрежи
Изготвил:
Илия Илиев,спец. „Информатика”, V курс,ф. № 9181
Проверил:
Доц. д-р Стефан Дражев
Съдържание
Въведение ………….…………………………………………………………………3
WEP ……….…………………………..………………………………………………5
WPA …………………………………………………………………………………..7
WPA 2 ……………………….……………………………………………………….11
FIPS 140 ………………………….…………………………………………………..12
WiMAX ………………………………......……...…………………………………..14
WiMAX2 …………………………………………....……………..………………...14
Анализ и оценка ……………..………………………………………………….....15
Заключение …………………………………………………………………………17
Използвана литература ….…………………………………………………………19
Въведение в защитата на WI-FI мрежи
На 29 1969 . октомври г инженери от Калифорнийския
университет и Станфордския изследователски институт успяват за
400 пръв път обменят данни между два компютъра на разстояние мили,
. с което се слага началотоИнтернет Днес интернет връзката се
,осъществява благодарение на оптични кабели WAN (Wide Area Network)
ADSL (Asymmetric Digital Subscriber Line), LAN (Local Area Network), PAN и други
мрежи. Wireless мрежите намиратшироко приложение в малките
. частни мрежи Често използвана еWi-Fi технологията базирана на
спецификациите от серията IEEE 802.11. Тя е лицензирана от “Wi-Fi
Allianc”, като първоначалното й приложение е да се използва от
. преносими компютри за връзка с локални мрежи Сега намира
, приложение не само със свързването с Интернет но и за връзка с
, телевизори DVD-та, , . . телефони цифрови камери и мн други устройства
Разработват се постоянно нови стандарти за използване наWi-Fi, като
, например да се използва в колите по магистралите повишаване на
.сигурността при мобилната търговия и др
Предимствата наWi-Fi :са
- Позволяване на LAN мрежите да се разполагат без
.окабеляване
- . Възможност за лесно разширяване на мрежата
- Продуктите са добре разпространени на пазари и са еднакво
.стандартизирани
- WAP иWAP2 използват нова методология за криптиране на
, .връзката с която се увеличава сигурността
Недостатъците наWi-Fi:
- 20Сигнала в Европа е ограничен до dBm.
- Wi-Fi .мрежите могат да се прослушват
Първоначалната версия от стандарта IEEE 802.11 е създаден през
1997 . 1 2 г и определя две скорости и Mbit/s. Излъчването на сигнала
става през инфрачервен порт или със скачаща честота или с директен
2.4 разширяващ се спектър с честота GHz. В Европа е прието да се
2.4използва GHz , честота поради това че много уреди като
, микровълнови фурни Bluetooth , , устройства безжични телефони който
5използват GHz .честота
развитие на протокола IEEE 802.11 2008 .до г
WLAN , изисква многослойна защита която да обезпечи личните
. данни и да предпази от атаки клиентите Затова се налага използването
, не само на сигурна аутентификация и сериозношифриране но и радио
(RF) честотно планиране и детектиране на неправомерния достъп до
(AP). WLAN точката за достъп Разгръщането на корпоративните с
поддържане поверителност на данните изисква да се подходи с
, разбиране към ключовите въпроси за развитие на мрежата
, включително множеството опции зашифриране а след това да се
, разработи стратегия за сигурност подходяща за рисковете на
.въздушната среда , Тъй като самата кабелна мрежа изисква физически
Ethernet, , достъп до това е първото ниво на базова физическа сигурност
освобождавайки мрежовите администратори от грижата за
. криптирането на кабелните комуникационни мрежи Но по отношение
, на безжичните връзки физическата сигурност не е опционална
, RF възможност тъй като сигналът се разпространява през въздушна
. , . среда Затова безжичните комуникации трябва да бъдат криптирани
, - Недостатък е че най широко използваното решение за безжично
, шифриране използва статични ключове поделени между всички
, . , потребители обосноваващи възлите в мрежата Доказно е че то лесно
.може да се подаде на външно вмешателство Също така трябва да има
IT . контрол върху потребителите Безжична карта е вградена почти във
laptop, – PDA , всеки джобен компютър или клетъчен телефон като такива
. устройства се използват все повече в дома или на работното място
adЕдин служител в дадена организация може да изгради hoc мрежа
чрез настройване на собствения си преносим компютър в режим точка
(peer-to-peer mode), до точка така да сподели файлове и данни със
. , сътрудниците си Въпреки незлонамерените намерения в този случай
IT . това води до риск в сигурността на отдела Такава система може да
стане лесно достъпна и сама по себе си да стане стартова основа за
.развиване на останалата част от атаката
1. WEP защита
Wi-Fi , е изключително удобен начин да свържем компютрите в
. една домашна или малка бизнес мрежа Важна част от мрежата е
нейната сигурност, като е дин от начините да защитите своята
, безжична връзка е да се използва технологията за криптиранеWired
Equivalent Privacy (WEP). Която представлява протокол за криптиране на
безжично предаване на пакети по IEEE 802.11 ,стандарта пуснат в
1999 . експлоатация през септември г 802.11, С безжична станция може
( да бъде конфигуриран с до четири клавиша основните ценности на
1, 2, 3, 4). индекса на и Когато точката за достъп или безжична станция
, предавашифровано съобщение което използва ключови съхраняват в
, специален ключ индекс изпратените съобщения показва ключови
, . индекс който е използван за кодиране на тялото на съобщението
Приемащият точка за достъп или безжичен станция може да изтеглите
, indexand ключ който се съхранява в ключови да я използват за
.декодиране на криптирани тялото на съобщението Използването на
. . . статични ключове е значителна слабост на този алгоритъм Т нар
шифър на потока данни може лесно да се установи и да се де криптират
, WEB данните освен ако не се използва за безжични конекции към
. принтери или други подобни устройства Като цяло статичността на
WEB . е твърде лошо решение 802.1X WEP. -с динамичен Значително по
, . . добро решение т к ключът на потока данни се генерира динамично
, Това означава че много по дълго време е необходимо за пробив в
„ ” сигурността на безжичната система и средно статистическият хакер
. би бил затруднен да дешифрира потока данни Повечето потребители
.намират това ниво на сигурност за достатъчно
ПриWEP е необходимо да се създадат специални ключове за
. криптиране на връзката Те се задават в настройките на безжичните
, адаптери за всеки компютър който е оторизиран да се връзва към
. 64 128 мрежата Ключовете могат да бъдат с дължина и бита и
представляват измислен от нас или генериран от компютъра низ от
. , 128- , символи Имайки предвид че ако изберем битов ключ всъщност
104 , 24 . трябва да въведем бита а другите се генерират автоматично WEP
използва RC4 , . за криптиране на данните предадени по мрежата RC4
. изисква парола която е съставена от две части
Първата част е известна като предварително споделен
(ключ PSK).
(Втората част се състои от иновационен вектор IV), целта му
(е да криптира всеки пакет с различен ключ IV + PSK).
. , Всеки пакет е криптирана с уникален ключ Този ключ е двоичен низ
XOR който всъщност криптира всеки бит на пакети данни се използва
.алгоритъм
WEP , 50% има голяма уязвимост относно защитата е вероятността
5000 . 128 иновационният вектор да се повтори след пакета Поради
битовият ключ и иновационният вектор има възможност да се
16,7 генерират не повече от милионна възможни комбинации от
. 2007 , клавиши През година тестове правени от Ерик Андрей и Ралф
показват как могат да проникнат в 104- битовWEP . 40ключ С 000
50%, 60заловени пакети вероятността да намерят ключа е с 000
80%, 85 95%. налични пакета от данни успехът е а с хиляди е около Като
40 000 „пакети могат да бъдат заловени с техники като deaurh” и “ARP”,
. при добри условия за не повече от една минута Откриването на
3 3паролата отнема около секунди с MB на Pentium-M 1,7 GHz. 1
Друга от слабостите наWEP, е че пакетите могат да се накъсат на малки
.части и това да позволи бързото им разкодиране
2. WPA защита
2003 През октомври година е създаден нов протокол за защитаWi-
Fi Protected Access (WPA) (Wireless Application Protocol), който дава
, - възможност да се използва старата техника но с по добра опция за
. защита WPA , е създаден за да коригира недостатъците наWEP. WPA е
:комбинация от две отделни решения
- , Едното решава проблеми свързани с протокола за интеграция
на временният ключ (TKIP),
- Второто добавя необходимите компоненти за проверка на
.автентичността
WPA използвашифроване нарича предварително споделен ключ
(PSK) , . за криптиране на данни преди да се предадат Въведете една и
съща парола за всички компютри и точките за достъп в дома или
. , малкия бизнес мрежа Само устройства които използват един и същ
ключ за криптиране имат достъп до мрежата или дешифриране на
, . криптирани данни предоставени от други компютри Паролата
(TKIP) автоматично започва времето Ключови интегритет протокол за
.процеса на криптиране на данните
1 http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy
“TRIP” коригира проблема при иновационният вектор от размера
„му в WEP” 24е -bits, „в WAP” той е 48-bits, по този начин при активно
, 900 .следене на пакети ще издържи до години Проблема е че старият
24 хардуер може да съхрани в иновационният вектор buts. За да се реши
16 този проблем се използват bits 24 за запълване на битово поле и “IV”,
8-като първите bits + се дублират във второто поле с малки промени
8-bits. „останалите TRIP” , представлява смесване на ключовете за пакет
. прави проверка на съобщение и механизъм за смяна на ключовете
, 48Благодарение на иновационният вектор който е с дължина bits се
500 . дават възможност на милиарда комбинации от клавиши
. Предотвратява се повторна употреба на един ключ “Master” ключа
. никога не се използва директно WAP „включва в себе си Message Integrity
Check (MIC)”, . „което пречи за повторно изпращане на данни с пакети MIC”
„замества технологията на Cyclic Redundancy Check” (CRC) използвана вWEP,
която имаше като недостатък с проверката на целостта на пакетите. С
“MIC” , . се коригира този проблем ако някой пакет е не е цял се отхвърля
Друга новост приWAP –е стандарта за разширено криптиране „AES”,
1998 . 2002 . който е разработен през г и е приет приз г е приет като
„ стандартно кодиране от Националният институт за стандарти и
”. технологии Използва се в окончателната версия наWAP иWAP2, като
„еквивалент на RC4” алгоритъма, използван вWEP . кодирането “AES” е по
– , сложен начин за криптиране на връзката който използва три
дължини 128, 192 256 .или бита
WPA има възможност за предварително споделен ключ “WAP-PSK”.
- . Той се използва в режим на по ниска сигурност Подобно на “WEP” е
, необходими да се избере статичен ключ който след известен интервал
. от време се сменя автоматично Този режим е подходящ за малки офиси
, 802.1и домашнимрежи който не се нуждаят от сложността на X сървър
. 254 за удостоверение Всяко безжично устройство криптира мрежата с
битов ключ. 64 Този ключможе да се впише или като низ от
, 8-63 шестнадесетични цифри или като парола от видими ASCII знака.
Проблеми с сигурността на WPA
Използваният механизъм за кодиране TRIP използва подобен
, механизъм катоWEP и следователно е уязвим към редица подобни
. 8 2008 . нападения На ноември г Мартин Бек и Ерик Теус публикуван
подробна информация как може да се атакува сигурността наWAP.
Техният механизъм е подобен наWEP, но трябва предварително да
60 , изчакат секунди за да заловят ARP пакет който е лесен за
. разкодиране и с негоще видят с каква дължина са пакетите TRIP
използва CRC32 , механизъм за контрол на сумата който внася
допълнителен кодMIC. Ако два неправилноMIC кодове са получени в
60 , рамките на секунди точката за достъпще приложимерки за защита
ище промени сесията на TRIP , ключа с коетоще се промени и бъдещият
“keystreams”. Beck-Tews .атакатаще гледа да избегне тези мерки за защита
Благодарение на заловения ARP пакет те виждат размера на пакета и
. могат да имат достъп до целият пакет При изтеглянето на целия текст
на един и същ пакет теще имат достъп до “keystream” , на пакета както и
кода MIC . на сесията Имайки тази информация информация хакерите
леко могат да направят свой пакет и да го пуснат в мрежата за да
наобиколятWAP . защитата Ново създадените пакети използват QOS
. канали за предаване на пакети WPA 1.0 TKIP . WLAN с криптиране За
WPA 1.0 TKIP - прилагането на с криптиране е по добро решение
отколкото WEP. WPA, В случая на ако външно устройство се опита да
, получи неоторизиран достъп до безжичната система то вградена
алармена системаще предупреди потребителя за опита за атака и
. TKIP произхода и използва същия механизъм чрез детектиране на
, атака но при този метод за криптиранеще се девалидира ключовия
, поток за да предотврати достъп до мрежата ище алармира системният
, .администратор че са предприети съответни мерки
WPA 1.0 TKIP, - Предимствата при с са че използва ключ с по голяма
-128 , WEP 104 . дължина бита докато използва максимум битов ключ При
TKIP, ключът и инициализиращият вектор се променят с всеки пакет
, данни което елиминира напълно слабостите на проблема с
. инициализиращия вектор Да се осъществи пробив при прилагане на
TKIP - .алгоритъма е много по трудно
– За да се предотврати фалшифициране и други активни атаки по
, отношение на фрагментирането битовия поток или интерактивно
, TKIP налучкване на ключа добавя истинска проверка на целостта на
(MIC), Michael. , съобщенията наречена Това е ключово хеширане което го
. Michael 64 , прави криптографически сигурно е бита което е два пъти
CRC. TKIP повече от При стартиран и някой се опита да подправи
, . предавания пакет данни то този пакетще бъде отхвърлен Ако се
2 , TKIP осъществи атака с или повече пакета в рамките на една минута
праща инструкция до точката за достъп да регенерира ключовата
, последователност в резултат на което точката за достъп за известен
кратък период от време отказва колекциите на крайния потребител
( ) този период е приблизително една минута в отговор на
.потенциалната атака
, TKIP Така чрез решаване на въпроса за целостта на съобщенията
: създаде друго предизвикателство той самия може да бъде използван
DoS . TKIP като източник на атаки Ако засече два пъти лош резултат от
(MIC) , проверката за целостта на данните в рамките на една минута той
, – , приема че това е атака изхвърля всички потребители свързани с
. точката за достъп и девалидира ключовете на всички В опита си да
, TKIP бъде винаги бдителен относно сигурността окуражава простите
DoS .атаки
TKIP WLAN , Докато не изисква нов хардуер то със сигурност изисква
. усилия за поддръжка Клиентските операционни системи трябва да
Windows XP MacOS. бъдат над граждани до последните версии на или
TKIP Поддръжката на от точките за достъп зависи от производителя и
. Windows XP може да изисква надграждане на фърмуера Само поддържа
TKIP, - Windows така че ако се използват по стари платформи има нужда
. TKIP, WEP от друго решение При клиента използващ не трябва да се
, TKIP WEP стартира тъй като и са несъвместими и не могат да работят
– , едновременно причината за това е че използват един и същ
. механизъм за криптиране
2009 . През октомври г Халворсен и други хакери са направили
голям пробив в сигурността наWPA . защитата Те успяват да
, (596 ) инжектират в мрежата голям злонамерен пакет байта в рамките
18 на минути 2. Въз основа на тази атака японски учени са направили
. тази атака още по бърза С това се разкрива проблемите при защитата
наWPA.
3. WPA2 защита
WPA2 WPA, е второто поколение на сигурност който е разработен
отWi-Fi и използва 802.11i AES CCMPстандарт включен в него и . Използва
2 http://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol
Robust Security Network - RSB ( стабилна мрежа за сигурност). „WAP2”
, мрежата е несъвместима с по старите устройства които използватWEP.
По подразбиране се използва AES и Counter Mode CBC MAC Protocol – CCMP, с
– , който се предоставя по добра мащаберуемост но има възможност да
се използва и TRIP . протокола Изисква се повече процесор на мощ за
. кодиране и декодиране на сигнала Има възможност за бързо
, свързване докато сте на линия и се доближите до нова точка на достъп
, се идентифицирате автоматично през нея без да излизате от
.предходната връзка ВWPA2 се използва CCMP. Това е защитен протокол
който използва AES. Това е еквивалент на TRIP вWAP. CCMP съобщението
се проверява отMIC с помощта на Cipher Block Chaining Message Authentication
Code (CBC-MAC) . метода
WPA 2.0 AES , с е стандарт за подобрено криптиране който американското
3DES (Triple Data Encryptionправителство одобри е наследник на стандарта
Standard – ) -стандарт за трикратно криптиране на данните и е най
. AES последното решение в областта на безжичното криптиране
WEP , елиминира всички уязвимости на алгоритъма включително
DoS . AES , потенциалните атаки е резултат от четири годишни усилия
, обединявайки сътрудничеството между американското правителство
. -частната индустрия и академичната общност по света Това е най
силното налично криптиране за не военно приложение и може да бъде
. AES експортирано извън пределите на СъединенитеЩати също така е
FIPS 197. AES - TKIP. ,познат като изглежда по рентабилен от В допълнение
AES - -е много по ефикасен от изчислителна гледна точка и изисква по
3DES. AES малко процесорно време за обработване от ще бъде основна
802.11i . Windows XP , част стандарта има възможност за поддръжка му
2003 карти и драйвери започват да се появяват на пазара от лятото на
. , . , г който да отговарят на стандарта Трябва да се вземе под внимание
, , че много платформи особено точките за достъп разчитат на хардуера
, , на радио чиповете за да изпълняват криптирането като по този начин
. WPA 2.0 802.11i избягват голямо процесорно време за обработка му или
AES. - 802.1X - с За изграждане на по голяма сигурност предлага и по ново
– WPA 2.0 802.11i AES, решение използване на или с най голямото
.възможно криптиране за невоенни цели
4. FIPS 140
Ако имате намерение да извършвате бизнес с правителствени
, FIPS 140 Level 1 Level 2агенции на САЩили Канада ще се нуждаете от или
. FIPS 140, сертификат Програмата за сертифициране представлява
, обширна документация и процес на тестване които демонстрират
компютърна обработка на сигурността между двама крайни
. IPsec потребители Употребата на виртуални частни мрежи с
(PKI – public-key infrastructure) инфраструктура от тип публичен ключ и
IP , FIPS 140 , статичен адрес може да осигури сертифициране когато се
FIPS.използва на одобрена платформа с
WEP, ,За да се компенсират слабостите на статичния някои организации
, които не прилагат правителствени изисквания за сигурност избират
да реализират виртуални частни мрежи за достъп и мобилност в
LAN. 802.1X подмрежите на безжичните Поради появяването на и
WEP , динамичния с голямо разнообразие отшифриращи ключове
подходът на изграждане на виртуални частни мрежи рядко е
FIPS . , , необходим извън среди В действителност организациите които
възприемат виртуалните частни мрежи като условие за сигурна
, VPN, защита съкращават процедурата при изграждане на а това
. 802.1X намалява сигурността При използване на аутентификация може
.да се запълнят недостатъците в сигурността чрез този подход
802.1X WLAN Следващият анализ изследва как може да подобри
IPsec . сигурността ако се използват виртуални частни мрежи По
IPsec правило виртуалните частни мрежи се разработват по мрежова
, топология от тип точка до точка като например отдалечен достъп чрез
(dial remote access).набиране
, 802.11 Layer 2 broadcast domains ( Все пак мрежите са от тип домейни на
2) – Ethernet предаване от слой по подобие на първоначалните с
(shared hubs). , поделени концентратори Навсякъде където има точка за
Layer 2 broadcast domain. достъп имаме Това съответно поражда много
2.спорни въпроси по отношение на сигурността на слой
IPsec виртуалните частни мрежи предлагат добра сигурност на трето
, ниво но същевременно пораждат и свое собствено множество
. , 2 недостатъци На първо място за предпазване от проблемите на ниво
, при предаване към всички възли в домейна виртуалните частни мрежи
, изискват клиентски софтуер или персонални защитни стени които
. , DHCP- много трудно се настройват и управляват Освен това тъй като
(DHCP – Dynamic Host Control Protocol) IPsec базираните виртуални частни
IP , мрежи изискват адрес преди да започне процесът на криптиране то
IP външно вмешателство може лесно да установи даден адрес и да
започне атака срещу друг потребител асоцииран към същата точка за
.достъп
IP , Дори ако се използва статично адресиране атакуващите мрежата
IP могат да си присвоят неизползван адрес в съществуваща подмрежа и
, да осъществят неоторизиран достъп до други потребители свързани с
. IPSec точката за достъп Ако имаме изградена виртуална частна мрежа
RADIUS , и сървър за потребителска аутентификация то може да се
IPsec XAUTH. XAUTH , използва изисква секретен ключ поделен между
, , IKE всички с инвестиране на взаимната аутентификация осигурена от
(Internet key exchange – ). XAUTH обмен на ключове в Интернет е уязвима
към активни атаки и пренася съобщения за готовност под формата на
познат обикновен текст за въвеждане на потребителско име и парола
.като криптирана полезна информация
- VPN Може би най важният недостатък на е голямата сложност и
трудното настройване при изграждане и наличие на голяма
. LAN потребителска плътност Докато безжичните се разпространяват и
, поддържат все повече потребители управлението на виртуалните
частни мрежи по отношение на сигурността води до твърде големи
VPN .разноски за услугите и тунелиране
, IPsec При това няма стандартен метод за поддръжка
(multicast разпространението на множествени ключове на предаване
keys), , така че трябва да се предава единично видео потокът а това при
наличие на хиляди потребители на една безжична мрежа води до
.значително увеличаване на мрежовия трафик
IPsec 802.1X , Могат да се разгърнат както така и сигурността за да се
- , реализират възможно най добрите аутентификация криптиране и
. 802.1X комуникация осигурява защита на второ ниво от мрежовия слоев
OSI , IPsec модел която не може да бъде осигурена от разпространените
VPN 3.на ново
FIPS 140 Level 2, -Ако е необходима сигурност обикновено се изисква по
IPsec , сложната реализация на с инфраструктура използваща публичен
(PKI). .ключ Този подход е достатъчно сигурен и обикновено твърде скъп
802.1X 2. Но той все още е валидна опция и напълно прозрачен за и слой
802.1X WLAN, Тази опция може да бъде включена в съществуваща когато
.е необходимо
5. WiMAX
Неможем да не отбележим нарастващото значение на новата
WiMax технология за достъп (World Interoperability for Microwave Access) , която
. Wi-Fi също се базира на лицензиран обхват Ето в този случай за разлика от
, вече могат да се изграждат платени мрежи за достъп тъй като качеството на
услугата се определя само от лицензирания оператор и мрежата не подлежи
на смущения от случайни излъчватели или поне подобно действие е
. WiMax незаконно се очаква да има сериозно развитие в близко бъдеще и да се
, LAN, ADSL FTTx.конкурира с другите технологии за достъп доИнтернет като и
WiMAX , е безжиченшироколентов стандарт който е предназначен да
Wi-Fi , , разшири мрежите за нуждите например на студентски градчета или в
. IEEE 802.16крайните части на големи градове Стандартът e на теория може да
70Mbps 37 .предава данни със скорост до на разстояние до мили Този стандарт
се ползва с подкрепата на AES. Използва метод за еднопосочно
, X.509 . удостоверяване който се използва сертификати Има високо ниво на
, криптиране на връзката което прави неговата защита за момента
.непробиваема
Intel WiMAX , цели да превърне в ежедневие по целия свят каквато днес е
Wi-Fi . , ситуацията с в кафенета и летища Процесорният гигант предвижда че
WiMAX 150 , през следващите години ще покрие близо милиона души като този
1.3 2012 .бройще нарасне на милиарда през година
6. WiMAX2
04.04.2011 . На г е одобрен новият стандартWiMAX 2 , който подържа
802.16m 300 Mbipстандарт със скорост до s. Първоначално IEEE планираше с новия
стандарт да преодолее психологическата граница от 1 гигабит в секунда (Gbps), но в
крайна сметка WiMAX 2 не постигна тази цел. Четири години бяха необходими на
IEEE да вземе окончателно решение за WiMAX 2. През това време много оператори се
насочиха към други технологии за предаване на данни, като LTE (Long Term Evolution)
.
LTE стъпва на усъвършенствани технологии CDMA и UMTS, които поддържат
скорости до 326,4 Mbps. Базовата станция на LTE има радиус на действие от 5 до 100
км, а позвъняванията, инициирани в зоната на LTE, могат да се предават и в мрежи 3G,
благодарение на което LTE мрежите са по-евтини от WiMAX. Същевременно, на
изложението CEATEC 2010 корейският гигант Samsung показа оборудване, което
поддържа безжично предаване на данни със скорост до 330 Mbps.3
7. .Анализ и оценка
- Най добрият начин да се осигури защитата на безжичната
. локална мрежа е да се определят целите за постигане на сигурността
Повечето корпорации искат да предложат на безжичните потребители
, сигурност която поне е равностойна на сигурността на кабелните
. WEP -мрежи За много организации динамичният осигурява най добрата
- , защита и най лесното конфигуриране които отговарят на нуждите на
WLAN . техните клиенти За други области е необходимо надграждане до
WPA 1.0 TKIP, – AES с а за индустриални безжични мрежи предлага
.максимална сигурност
След като е определено подходящото криптиране за определена
, WLAN среда трябва да се изследва как различните системи отговарят
. WLAN на изискванията за корпоративна сигурност Идеалната система
поддържа множество типове криптиране и разпределя
WLAN криптографското обработване между мобилните комутатори и
, точките за достъп като по този начин се намалява натоварването на
RADIUS .сървъра
Поддръжка на множество типове криптиране позволява гъвкавост при
3 TechNews.bg
. настройване параметрите на сигурността Трябва да има възможност
да се използват различни типове криптиране за различните
. , потребители или групи от потребители Например може да се приложи
802.1X AES аутентификация с криптиране за потребители от
, инженерните области докато маркетинговите отдели могат да
WEP.използват динамичен
WLAN , , Всяка система която се взема под внимание трябва да прилага
динамично ключовошифриране за всеки потребител и да променя
15-30 , ключовете на всеки минути прозрачно за крайния потребител за
да се предотврати проблема със слабостите на инициализиращите
WEP. вектори на статичния С динамично ключовошифриране за всеки
, потребител могат да се настроят типовете криптиране според
. идентичността на потребителя Като допълнение на поддръжката на
WEP, LAN динамичен една безжична система трябва да има възможност
TKIP AES да премине към и докато тези стандарти бъдат завършени в
.окончателния им вид
WLAN Корпоративната система трябва да има възможност да
разпредели натоварването от генериране нашифриращи ключове
RADIUS WLAN . между сървъра и комутаторите Разпределянето на
криптографическата обработка между безжичните комутатори
, разтоварва сървъра който трудно би обработил сам генерирането на
. WLAN ключове за стотици или хиляди потребители Налични са
, комутатори които предлагат хардуерно ускорение по отношение на
. криптографията Тази особеност е характерна за новото поколение
, RADIUS .безжични комутатори но не е приложена в сървърите
Също така трябва да се изследва функционалността на точката за
, LAN . достъп имайки предвид безжичната системна архитектура Текущо
, произвежданите точки за достъп са евтини не достатъчно мощни и
. - , сигурни Производителите предлагат и по скъпа продукция при която
. е направен опит да се преодолее недостатъчната протекция Този клас
APs - , имат по добре изразена защита предназначени са за външен
.монтаж и се противопоставят на неоторизиран достъп
, Така наречените интегрирани или хибридни точки за достъп които
, изпълняват достатъчно интелигентни функции за да управляват
, криптирането предлагат оптимално криптографиране на приемлива
. цена Алгоритмите за криптиране са част от множеството радио чипове
, на точката за достъп така няма нужда да се закупува допълнително
VPN централизирано криптиране както е при комутаторите или
. - -устройствата Тези модели съдържат елементи от по ниския и по
, . -високия клас и разпределят натоварването когато е нужно Най
, вероятно този подходще бъде усъвършенстван подобрен и последван
.от други производители и дорище се усложни
LAN Безжичната сигурност обикновено не се асоциира с
. представите за мрежово планиране Планирането е критичен елемент
WLAN . - на сигурността Кабелната връзка осигурява най базовата линия
. RF на защита за кабелните мрежи Това не може да се приложи при
. WLAN мрежите с разпространение на сигнали Изграждането на
включва много повече от инсталирането на точките за достъп на всеки
40-70 . WLAN фута Внимателното планиране на преди реализацията
позволява създаването на стратегия на развитие на мрежата като се
RF .има предвид покритието
RF Средствата за планиране и управление предлагат такъв контрол и
WLAN няма нужда да се правят опити за инсталиране на система от
. корпоративен клас без наличието на такива инструменти Необходими
са автоматизирани програмни инструменти за планиране и
RF проследяване разпространението на сигнала преди определяне
.разположението на всяка една точка за достъп
8. Заключение
WLAN Когато се разработва стратегията за сигурността е важно да се
преценят съответните рискове и тогава да се разработи разумна
. , защита Веднъж след като е разработено планирането трябва да се
LAN оцени как производителите на безжични системи обезпечават
.инфраструктурата на сигурността
AES - , има най силното криптиране налично извън пределите на
, криптирането за военни цели на САЩ а корпоративните клиенти
802.11i AES , . очакват с криптиране когато стандартът бъде ратифициран
, WEP TKIP Междувременно динамичният с изменящи се ключове и
.осигурява много добра сигурност
, Много производители твърдят че отговарят на корпоративните
. , изисквания за безжична сигурност В действителност не са много тези
които са решили проблема с аутентификацията и криптирането на
. , LAN данните В идеалния случай безжичната би трябвало да поддържа
– WEP, TKIP AES и да прилага множество типове криптиране динамичен и
– за да има възможност да се избере подходящото криптиране при
. идентификация на потребителя или асоцииране на групата Едно добро
WLAN , решение за изграждане на система която дава възможност за
аутентификацията и криптирането да се разпределят чрез
RADIUS разтоварване на процеса на криптографска обработка от
WLAN.сървъри разпространение в структурата на безжичната
, С използване на подходящите средства за планиране развитие и
, IT WLAN управление специалистите могат да проектират сигурни преди
. да се използва една точка за достъп или безжичен комутатор
(RF) Инструментите за радио честотното планиране и управление
позволяват на потребителите да се справят гъвкаво и решително с
. , външни атаки Чрез планиране на радио честотното покритие може да
се настрои разпространението на сигнала да се минимизира до
- обхващане в по малка степен на области като паркинги или съседни
.конкурентни сгради
WEP IV . Статичен Слаб вектор Въпрос на часове е ключът да бъде
. . CRC открит Лошмеханизъм за аутентификация Използва алгоритъм за
, проверка целостта на съобщенията което го прави обект на атаки за
. , . подмяна на пакетите Не го използвайте освен ако не е наложително
WEP Динамичен Осигурява променящи се ключове и фиксира проблема
IV . unicast and broadcast/ за слабия вектор Използва различни ключове за
multicast CRC предаванеИзползва алгоритъм за проверка целостта на
, . съобщенията което го прави обект на атаки за подмяна на пакетите
Прилага се лесно без промени в хардуера при клиентите или точките за
. достъп WPA TKIP WEP с Променя и криптографически смесва ключа
IV , IV. и за всеки пакет за да елиминира проблема за слабия Използва
. 128-bit . пълна проверка за целостта на съобщенията криптиращ ключ
DOS . TKIP MIC , Уязвим към атаки Ако алгоритъма прилага в една минута
. то се изхвърлят всички потребители свързани към точката за достъп
Изисква софтуерно надграждане на клиентските драйвери и точките
. . за достъп В процес на разпространение Задължителна
2003 .производителите от август г
WPA AES - . с Най силно налично криптиране извън това за военни цели
firmware Все още не са известниИзисква софтуерно или надграждане
. AES при клиентите и точките за достъп стандарта е завършен и
802.11i .подържа стандарта
:Използвана литература
http://www.wi-fi.org
www.openxtra.co.uk/
http://csrc.nist.gov/archive/aes/index2.html
http://ezinearticles.com/?What-Are-WEP,-WPA,-TKIP,-AES-and-PSK-In-Simple-Terms?&id=3684974
http://www.linux-bg.org/
http://www. TechNews.bg
http://www.computers.bg
http://www.remote-exploit.org/
http://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol