Протоколы шифрования и аутентификации в сети
Протоколы шифрования и аутентификации в сети
Почему безопасность работы в сети играет огромную роль? Ответ на этот вопрос достаточно простой: предприятие, на котором функционирует сеть, может в своей работе использовать разные документы и данные, предназначенные только для своих работников. Кроме того, вряд ли кому-то понравится, если его личные документы сможет смотреть любой другой человек. Поэтому вполне логично, что нужно иметь средства безопасности, которые могут защитить данные в сети и саму сеть от вторжения извне.
Беспроводные сети в своей работе используют радиоволны, которые распространяются согласно определенным физическим законам и зависят от специфики передающих антенн в зоне радиуса сети. Контролировать использование радиоволны практически невозможно. Это означает, что любой, у кого есть компьютер или переносной компьютер с радиоадаптером, может подключиться к сети, находясь в радиусе ее действия. Вычислить местоположение такого пользователя практически невозможно, поскольку он может быть как рядом, так и на значительном удалении – достаточно использовать антенну с усилителем.
Именно из-за того, что подключиться к беспроводной сети может любой, от ее организации требуется серьезный уровень безопасности, который достигается существующими стандартами.
Чтобы обеспечить хотя бы минимальный уровень безопасности в беспроводной сети, требуется наличие следующих механизмов:
• механизм аутентификации рабочей станции, с помощью которого можно определить, кто подключается к беспроводной сети и имеет ли он на это право;
• механизм защиты информации посредством ее шифрования с помощью специальных алгоритмов.
Если один из описанных механизмов не используется, то можно сказать, что сеть абсолютно незащищена, что может иметь свои последствия. Как минимум, злоумышленник будет увеличивать трафик (Интернет, файловые ресурсы), как максимум – сможет навредить смежной сети, если имеется ее подключение к выбранной.
Сегодня стандартами предусмотрено несколько механизмов безопасности, позволяющих в той или иной мере защитить беспроводную сеть. Обычно такой механизм содержит в себе и средства аутентификации, и средства шифрования, хотя бывают и исключения.
Однако проблема защиты сети была и остается, поскольку каким бы строгим ни был стандарт безопасности, это не означает, что все оборудование его поддерживает. Часто даже получается так, что, например, точка доступа поддерживает последние алгоритмы безопасности, а сетевая карта одного из компьютеров – нет. В результате вся сеть работает со стандартом, поддерживаемым всеми компьютерами сети.
Протокол безопасности WEP
Протокол безопасности WEP (Wired Equivalent Privacy) – первый протокол безопасности, описанный стандартом IEEE 802.11. Для шифрования данных он использует ключ длиной 40-104 бит. Кроме того, дополнительно применяется шифрование, основанное на алгоритме RC4, которое называется алгоритмом обеспечения целостности данных.
Что касается шифрования для обеспечения целостности данных, то шифрованием его можно назвать с натяжкой, так как для этого процесса используется статическая последовательность длиной 32 бита, присоединяющаяся к каждому пакету данных, увеличивая при этом служебную часть, которая и так слишком большая.
Отдельно стоит упомянуть о процессе аутентификации, поскольку без него защиту передаваемой информации нельзя считать достаточной. Изначально стандартом IEEE 802.11 описаны два варианта аутентификации: аутентификация для систем с открытым ключом и аутентификация с общим ключом.
Аутентификация с открытым ключом. Фактически этот метод аутентификации не предусматривает вообще никаких средств безопасности соединения и передачи данных. Выглядит это следующим образом. Когда двум компьютерам нужно установить связь, отправитель посылает получателю специально сформированный пакет данных, называемый кадром аутентификации. Получатель, получив такой пакет, понимает, что требуется аутентификация с открытыми ключами, и отправляет аналогичный кадр аутентификации. На самом деле эти кадры, естественно, отличаются друг от друга и, по сути, содержат только информацию об отправителе и получателе данных.
Аутентификация с общим ключом. Данный уровень аутентификации подразумевает использование общего ключа секретности, которым владеют только отправитель информации и ее получатель. В этом случае процесс выглядит следующим образом.
Чтобы начать передачу данных, отправителю необходимо «договориться» с получателем, для чего он отсылает адресату кадр аутентификации, содержащий информацию об отправителе и тип ключа шифрования. Получив кадр аутентификации, получатель в ответ отсылает пробный текст, зашифрованный с помощью указанного типа ключа, в качестве которого используется 128-битный ключ алгоритма шифрования WEP. Получив пробный зашифрованный текст, отправитель пытается его расшифровать с помощью договоренного ключа шифрования. Если результат расшифровки совпадает с текстом (используется контрольная сумма зашифрованного и расшифрованного сообщения), то отправитель посылает получателю сообщение об успехе аутентификации. Только после этого передают данные с использованием указанного ключа шифрования.
Вроде бы все выглядит достаточно просто и эффективно. На самом же деле практическое использование метода шифрования WEP показало, что алгоритм шифрования имеет явные прорехи безопасности, которые нельзя скрыть даже с помощью длинного ключа шифрования. Как выяснилось (опять же благодаря сторонним тестировщикам и хакерам), проанализировав достаточно большой объем трафика сети (3–7 млн пакетов), можно вычислить ключ шифрования. Не спасает даже 104-битный ключ шифрования.
Конечно, это не означает, что протокол безопасности WEP не годится совсем. Для небольших беспроводных сетей (несколько компьютеров) его защиты вполне достаточно, поскольку трафик такой сети сравнительно невелик и для его анализа и взлома ключа шифрования нужно потратить значительно больше времени.
Что же касается больших развернутых беспроводных сетей, то использование протокола WEP небезопасно и крайне не рекомендуется. Также стоит учитывать, что в Интернете можно найти множество специализированных утилит, позволяющих взломать защиту WEP-протокола и создать доступ к беспроводной сети. Именно поэтому для обеспечения нужного уровня безопасности лучше использовать более современные протоколы шифрования, в частности протокол безопасности WPA.
Конечно, можно использовать ключи шифрования максимальной длины, но не стоит забывать, что это чревато уменьшением скорости передачи данных за счет увеличения избыточности передаваемых сведений, что уменьшает объем полезной информации.
Другим выходом из описанной ситуации можно считать использование направленных антенн передачи сигнала. В некоторых случаях это хороший способ, но в условиях домашних беспроводных сетей он не применим практически.
Протокол безопасности WPA
Протокол безопасности WPA пришел на смену протоколу безопасности WPE в силу понятных причин, главная из которых – практическая незащищенность WPE, которая сдерживала развитие и распространение беспроводных сетей. Однако с появлением протокола WPA все стало на свои места.
WPA (Wi-Fi Protected Access) был стандартизирован в 2003 году и сразу стал востребован. Главным его отличием от протокола WPE можно считать наличие динамической генерации ключей шифрования, что позволило шифровать каждый отправляемый пакет собственным ключом шифрования. Кроме того, каждое сетевое устройство в сети снабжается собственным дополнительным ключом, который опять же меняется через определенный промежуток времени.
Аутентификация происходит с применением протокола аутентификации ЕАР (Extensible Authentication Protocol) через службу (сервер) дистанционной аутентификации RADIUS (Remote Authentication Dial-In User Service) или предварительно согласованный общий ключ. При этом аутентификация подразумевает вход пользователя с помощью логина и пароля, которые проверяются на сервере аутентификации RADIUS.
Для шифрования данных протокол использует модернизированный алгоритм шифрования RC4, основанный на протоколе краткосрочной целостности ключей TKIP (Temporal Key Integrity Protocol), что позволяет не только повысить уровень защищенности информации, но и сохранить обратную совместимость с WEP.
Шифрование базируется на использовании случайного вектора инициализации IV (Initialization Vector) и WEP-ключа, которые складываются и в дальнейшем используются для шифрования пакетов. Результатом такого сложения может быть огромное количество разных ключей, что позволяет добиться практически стопроцентной защиты данных.
Также протокол безопасности WPA поддерживает усовершенствованный стандарт шифрования AES (Advanced Encryption Standard), использующий еще более защищенный алгоритм шифрования, который намного эффективнее алгоритма RC4. Однако за это приходится платить повышенным трафиком сети и соответственно уменьшением ее пропускной способности.
Сегодня активно используется версия протокола WPA2, которая предоставляет еще больше возможностей в защите среды.
Примечание
Для использования протокола безопасности WPA необходимо, чтобы все устройства, подключенные к сети, поддерживали его, иначе будет использован стандартный протокол безопасности WPE.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
А.6. ICMPv4 и ICMPv6: протоколы управляющих сообщений в сети Интернет
А.6. ICMPv4 и ICMPv6: протоколы управляющих сообщений в сети Интернет Протокол ICMP (Internet Control Message Protocol) является необходимой и неотъемлемой частью любой реализации IPv4 или IPv6. Протокол ICMP обычно используется для обмена сообщениями об ошибках между узлами, как маршрутизирующими,
3.3.3. Модули аутентификации
3.3.3. Модули аутентификации Аутентификация на основе двух файлов /etc/passwd и /etc/shadow немного устарела и предоставляет нам слишком скудные возможности. Разработчики ядра ОС Linux стараются исправить ситуацию с помощью добавления новых алгоритмов шифрования, но все эти попытки
8.9.11 Отсутствие аутентификации
8.9.11 Отсутствие аутентификации Еще одним неприятным свойством версии 1 является отсутствие аутентификации для сообщений RIP. Если некто получил доступ к сети и сформировал сообщение с заведомо ложной информацией (фальсифицировав адрес источника), то это может сделать
24.4.4 Количество ключей аутентификации
24.4.4 Количество ключей аутентификации Сколько ключей аутентификации нужно для работы сервера с клиентами? Может показаться, что серверу достаточно иметь один ключ MD5, с помощью которого он может сказать: "Я тот самый сервер".Однако этот ключ будут знать все клиенты. Один из
Глава 15 Использование шифрования BitLocker
Глава 15 Использование шифрования BitLocker Безопасность работы всегда была на первом месте, и операционная система пыталась обеспечить ее всеми доступными средствами. Конечно, в первую очередь обеспечивалась безопасность самой операционной системы, поскольку от ее
Программы для шифрования почты
Программы для шифрования почты На сегодняшний день существует большое количество программ, предназначенных для защиты конфиденциальной информации. Они различаются как по своему функциональному назначению, так и по стойкости алгоритмов шифрования. Например, одни
Использование стандартного шифрования.
Использование стандартного шифрования. Иногда вам необходимо зашифровать файл традиционным способом, с помощью шифрования с одним ключом. Это может быть полезно для зашиты файлов в архиве, которые будут сохраняться, но не будут посылаться кому-нибудь. Так как
Провайдеры аутентификации
Провайдеры аутентификации Провайдером аутентификации называется набор средств, с помощью которых осуществляется один или несколько вариантов входа пользователя в систему. Например, всем знаком вариант входа в систему с помощью предоставления операционной системе
Настройка шифрования EFS
Настройка шифрования EFS Если вы уже заглядывали в окно Дополнительные атрибуты для какого-либо файла (отображается после нажатия кнопки Другие, расположенной на вкладке Общие окна Свойства файла или папки), то, наверное, уже заметили флажок Шифровать содержимое для
2.1. Алгоритмы и стандарты шифрования
2.1. Алгоритмы и стандарты шифрования В зависимости от используемых ключей шифрование условно можно разделить на следующие виды.? Симметричное шифрование, при котором ключ для шифрования и дешифрования представляет собой один и тот же ключ (на обыденном уровне – просто
Стандарты алгоритмов шифрования
Стандарты алгоритмов шифрования Почему так много алгоритмов шифрования? Почему не стандартизируют один из них? Учитывая большое количество алгоритмов шифрования, следует признать, что на этот вопрос нельзя дать простой ответ. Максимум, что возможно, – это достичь
Неверное использование алгоритмов шифрования
Неверное использование алгоритмов шифрования Теоретически, имея достаточно времени, атакой «грубой силы» можно взломать любой криптографический алгоритм, но не стоит этим обольщаться, если время взлома больше времени существования вселенной. Поэтому любой «разумный»
Лекция 2. Механизмы аутентификации
Лекция 2. Механизмы аутентификации Рассматривается аутентификация на основе паролей, механизмы одноразовой аутентификации, описывается механизм аутентификации Kerberos, обсуждается аутентификация при помощи сертификатов открытых ключей, анализируются возможности
Эволюция механизмов аутентификации
Эволюция механизмов аутентификации Инфраструктура безопасности для распространения открытых ключей, управления электронными сертификатами и ключами пользователей получила название инфраструктуры открытых ключей - Public Key Infrastructure (PKI) . Термин "PKI" является производным
Механизмы одноразовой аутентификации
Механизмы одноразовой аутентификации Одноразовая аутентификация позволяет противостоять атаке анализатора за счет использования во время каждой попытки аутентификации нового секрета. В этом случае, если пользователь С перехватывает данные пользователя А, то не