Механизмы безопасности

Механизмы безопасности

Начиная разговор о механизмах безопасности, будет более чем резонно упомянуть тот факт, что при установке точки доступа почти все, что должно обеспечивать безопасность, отключено. Да-да. Именно так оно и есть.

Активировать средства безопасности не составляет большого труда, но большинство администраторов не делают этого. Почему – вопрос скорее риторический.

Стандарт 802.1x для беспроводных сетей предусматривает несколько механизмов обеспечения безопасности сети. Рассмотрим пять основных, наиболее используемых.

Wired Equivalent Protocol (аналог проводной безопасности), он же WEP, разработан автором стандарта 802.1. Основная функция WEP – шифрование данных при передаче по радиоканалу и предотвращение неавторизованного доступа в беспроводную сеть. Для шифрования WEP использует алгоритм RC4 с ключом размером 64 или 128 бит. Ключи имеют так называемую статическую составляющую длиной от 40 до 104 бит и дополнительную динамическую составляющую размером 24 бит, называемую вектором инициализации (Initialization Vector или IV). Упрощенно механизм WEP-шифрования выглядит следующим образом:

? передаваемые в пакете данные проверяются на целостность (алгоритм CRC-32), после чего их контрольная сумма (integrity check value, ICV) добавляется в служебное поле заголовка пакета;

? далее генерируется 24-битный вектор инициализации (IV), и к нему добавляется статический (40-или 104-битный) секретный ключ;

? полученный таким образом 64-или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, использующегося для шифрования данных;

? далее данные смешиваются (шифруются) с помощью логической операции XOR с псевдослучайной ключевой последовательностью, а вектор инициализации добавляется в служебное поле кадра.

WEP предусматривает два способа аутентификации пользователей: Open System (открытая) и Shared Key (общая). При использовании Open System-аутентифика-ции аутентификация как таковая отсутствует – любой пользователь может получить доступ в беспроводную сеть. Второй вариант аутентификации предусматривает применение секретного ключа, механизм генерации которого описан выше.

WEP 2 был предложен в 2001 году как альтернатива WEP после обнаружения множества дырок в первой версии. WEP 2 имеет улучшенный механизм шифрования и поддержку Cerberus V.

Протокол WPA. Как вы увидите чуть позже, протокол WEP имеет ряд существенных недостатков и позволяет взломщику за короткое время получить полный доступ к WLAN. Именно поэтому в 2003 году и был предложен новый стандарт безопасности – WPA (Wi-Fi Protected Access). Главной особенностью данного стандарта можно считать технологию динамической генерации ключей шифрования данных, построенную на базе протокола TKIP (Temporal Key Integrity Protocol), представляющего собой дальнейшее развитие алгоритма шифрования RC4.

В отличие от 24-битного вектора WEP, сетевые устройства по протоколу TKIP работают с 48-битным вектором инициализации, реализуя правила изменения последовательности его битов, что исключает повторное использование ключей. Для каждого передаваемого пакета в протоколе TKIP предусмотрена генерация нового 128-битного ключа. Кроме того, контрольные криптографические суммы в WPA рассчитываются по новому алгоритму MIC (Message Integrity Code): в каждый кадр помещается специальный восьмибайтный код целостности сообщения, проверка которого позволяет отражать атаки с применением подложных пакетов. Таким образом, каждый передаваемый по сети пакет имеет собственный уникальный ключ, а каждое устройство беспроводной сети наделяется собственным динамически изменяемым ключом.

Кроме того, протокол WPA поддерживает шифрование по стандарту AES (Advanced Encryption Standard), а это не устаревший RC4. AES отличается более стойким криптоалгоритмом, что является несомненным плюсом в обеспечении безопасной передачи данных по беспроводной сети.

При построении офисных беспроводных сетей часто используется вариант протокола безопасности WPA на основе общих ключей WPA-PSK (Pre Shared Key). Что же касается корпоративных сетей, то там авторизация пользователей чаще всего проводится на выделенном RADIUS-сервере.

Open System Authentication представляет собой систему аутентификации, по умолчанию используемую в протоколе 802.11. Если говорить более точно, то никакой системы аутентификации в данном случае нет вообще. Даже при включенном WEP в системе OSA пакет аутентификации посылается, не будучи зашифрованным.

Access Control List. В протоколе 802.11 ACL не описывается, но достаточно часто используется в качестве дополнительного средства безопасности к стандартным методам. Основа ACL – фильтрация клиентских Ethernet-MAC-адресов в соответствии со списком МАС-адресов (доступ разрешен/запрещен).

Closed Network Access Control. Технология безопасности основана на использовании режима скрытого идентификатора сети SSID. Что этот такое? Каждой беспроводной сети назначается свой уникальный идентификатор (SSID), который обычно отражает название сети. Когда какой-либо пользователь пытается войти в сеть, то драйвер беспроводного адаптера прежде всего сканирует эфир на наличие в ней беспроводных сетей.

Использование режима скрытого идентификатора (Hide SSID) препятствует отображению сети в списке доступных, и подключиться к ней можно только в том случае, если точно известен ее SSID и профиль подключения к этой сети.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Пакет Механизмы расширения

Из книги Самоучитель UML автора Леоненков Александр

Пакет Механизмы расширения Пакет Механизмы расширения также является подпакетом пакета Основные элементы и специфицирует порядок включения в модель элементов с уточненной семантикой, а также модификацию отдельных компонентов языка UML для более точного отражения


3.7. Механизмы безопасности

Из книги Тонкости реестра Windows Vista. Трюки и эффекты автора Клименко Роман Александрович

3.7. Механизмы безопасности В Windows Vista многие механизмы безопасности операционной системы были существенным образом доработаны. Кроме того, также появились совершенно новые механизмы безопасности, работу которых можно настроить.О них, а также и о стандартных механизмах


3.8. Системные механизмы

Из книги Windows Vista автора Вавилов Сергей

3.8. Системные механизмы Теперь уделим несколько часов изучению настроек системных механизмов операционной


Центр обеспечения безопасности и компоненты безопасности

Из книги Объектно-ориентированный анализ и проектирование с примерами приложений на С++ автора Буч Гради

Центр обеспечения безопасности и компоненты безопасности В обеспечении безопасности компьютера участвуют специализированные службы и программы. Важнейшие из них находятся под контролем Центра обеспечения безопасности. Этот компонент Windows отслеживает стабильность


Общий обзор средств безопасности: дескриптор безопасности

Из книги TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security) автора Фейт Сидни М

Общий обзор средств безопасности: дескриптор безопасности Анализ дескриптора безопасности предоставляет хорошую возможность для общего ознакомления с наиболее важными элементами системы безопасности Windows. В этом разделе речь будет идти о самых различных элементах


6.13 Механизмы протокола IP

Из книги Инфраструктуры открытых ключей автора Полянская Ольга Юрьевна

6.13 Механизмы протокола IP Рассмотрим более детально характеристики протокола IP версии 4, в том числе элементы формата этого протокола — формат заголовка IP и правила управления датаграммой, пересылаемой по сети. Протокол IP версии 6 рассмотрен в главе 22 (IP версии 5 не


8.17.2 Механизмы BGP

Из книги Программирование на языке Ruby [Идеология языка, теория и практика применения] автора Фултон Хэл

8.17.2 Механизмы BGP Системы BGP открывают соединение TCP с общеизвестным (well-known) портом 179 соседа по BGP. Каждое сообщение об открытии определяет автономную систему отправителя и имеет идентификатор BGP, а также может содержать дополнительные сведения.После открытия соединения


9.4 Механизмы протокола UDP

Из книги QNX/UNIX [Анатомия параллелизма] автора Цилюрик Олег Иванович

9.4 Механизмы протокола UDP Какой механизм необходим для запуска протокола User Datagram Protocol? Прежде всего, UDP должен быть присвоен уникальный идентификатор протокола (17). Это значение будет помещаться в поле протокола IP с названием Protocol во всех исходящих сообщениях UDP. Входящие


11.9 Механизмы DHCP

Из книги Домены. Все, что нужно знать о ключевом элементе Интернета автора Венедюхин Александр

11.9 Механизмы DHCP 11.9.1 Присваивание IP-адресов В DHCP поддерживаются три типа присвоения адресов:? Ручное, когда IP-адрес вводится на сервере и назначается клиенту постоянно? Автоматическое, когда IP-адрес выбирается сервером из пула доступных адресов и назначается клиенту


Лекция 4. Сервисы безопасности PKI и базовые криптографические механизмы

Из книги Безопасность информационных систем. Учебное пособие автора Погонышева Дина Алексеевна

Лекция 4. Сервисы безопасности PKI и базовые криптографические механизмы Описываются сервисы идентификации и аутентификации, целостности и конфиденциальности, рассматриваются и сравниваются между собой три класса криптографических механизмов: симметричные и


Базовые криптографические механизмы сервисов безопасности PKI

Из книги автора

Базовые криптографические механизмы сервисов безопасности PKI Криптография - область прикладной математики, занимающаяся проблемами преобразования данных для обеспечения информационной безопасности. С помощью криптографии отправитель преобразует незащищенную


11.3. Динамические механизмы

Из книги автора

11.3. Динамические механизмы Скайнет осознал себя в 2:14 утра по восточному времени 29 августа 1997 года. Терминатор 2, Судный День Многие читатели имеют опыт работы со статическими языками, например С. Им я адресую риторический вопрос: «Можете ли вы представите себе написанную


5. Специфические механизмы QNX

Из книги автора

5. Специфические механизмы QNX Операционная система QNX изнутри вся построена на клиент-серверных принципах, которые вытекают из микроядерной архитектуры и обмена сообщениями микроядра. Мы не могли обойти вниманием эти механизмы, поскольку они предоставляют огромный


Механизмы

Из книги автора

Механизмы Передача прав администрирования, или смена администратора домена, и есть базовый механизм, лежащий в основе вторичного рынка. Другими словами, вторичный рынок не мог бы возникнуть, если бы не существовало формально-юридических процедур, позволяющих


5.2. Место информационной безопасности экономических систем в национальной безопасности страны

Из книги автора

5.2. Место информационной безопасности экономических систем в национальной безопасности страны В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым,