Да
Прозрачное
подключение
и
восстановление подключения
Да
Да
Да
нет
Нет
Проверка подлинности пользователей
Да
Да
нет
Да
нет
Проверка подлинности компьютеров
Да
Да
Да
Нет
Да
Защита
трафика
при
широковещательной и многоадресной
передаче
Да
Да
Да
Да
нет
Потребность
в
дополнительных
сетевых устройствах
Да
3
Да
3
Нет
Да
4
Нет
Защита доступа к беспроводной сети
помимо доступа к пакетам
Да
Да
Да
Нет
Нет
1 - если не используется проверка подлинности с помощью общих ключей
2 - если используется проверка подлинности с помощью сертификатов или по
протоколу Kerberos
3 - требуются серверы RADIUS
4 - требуются системы VPN и серверы RADIUS
Рассмотрим более подробно каждый из подходов к обеспечению
безопасности.
Алгоритм шифрования WEP
Первая Спецификация стандарта 802.11 предусматривает обеспечение
защиты данных с использованием алгоритма WEP (Wired Equivalent Protection).
Этот алгоритм основан на применении симметричного поточного шифра RC4.
Симметричность RC4 означает, что согласованные WEP-ключи размером 40 или
124
104 бит статично конфигурируются на клиентских устройствах и в точках доступа.
Производители оборудования предлагают два способа конфигурирования ключей,
ведение в поле «key» n-битного HEX числа или более удобный с точки зрения
пользователя способ, введение некоторой последовательности ASCII символов
которая в дальнейшем трансформируется в ключ. Алгоритм WEP был выбран
главным образом потому, что он не требует объемных вычислений. WEP —
простой в применении алгоритм, для записи которого в некоторых случаях
достаточно 30 строк кода. Малые непроизводительные расходы, возникающие при
применении этого алгоритма, делают его идеальным алгоритмом шифрования для
специализированных устройств.
Чтобы избежать шифрования в режиме ЕСВ (Electronic Code Book – при
использовании этого режима один и тот же открытый текст после шифрования
преобразуется в один и тот же зашифрованный текст). Этот фактор потенциально
представляет собой угрозу для безопасности, поскольку злоумышленники могут
получать образцы зашифрованного текста и выдвигать какие-то предположения об
исходном тексте ), WEP использует 24-разрядный вектор инициализации, который
добавляется к ключу перед выполнением обработки по алгоритму RC4. Вектор
инициализации должен изменяться пофреймово во избежание коллизий. Коллизии
такого рода происходят, когда используются один и тот же вектор инициализации и
один и тот же WEP-ключ, в результате чего для шифрования фрейма используется
один и тот же ключевой поток. Такая коллизия предоставляет злоумышленникам
большие возможности по разгадыванию данных открытого текста путем
сопоставления подобных элементов. При использовании вектора инициализации
важно предотвратить подобный сценарий, поэтому вектор инициализации часто
меняют. Большинство производителей предлагают пофреймовые векторы
инициализации в своих устройствах для беспроводных LAN. На рисунке 4.21
показан фрейм зашифрованный с использованием алгоритма WEP.
125
Рис. 21. Фрейм, зашифрованный алгоритмом WEP
Спецификация стандарта 802.11 требует, чтобы одинаковые WEP-ключи были
сконфигурированы как на клиентах, так и на устройствах, образующих инфраструк-
туру сети. Можно определять до четырех ключей на одно устройство, но одновре-
менно для шифрования отправляемых фреймов используется только один из
них.WEP-шифрование используется только по отношению к фреймам данных и во
время процедуры аутентификации с совместно используемым ключом. По
алгоритму WEP шифруются следующие поля фрейма данных стандарта 802.11.
Данные или полезная нагрузка (payload).
Контрольный признак целостности (integrity check value, ICV).
Значения всех остальных полей передаются без шифрования. Вектор
инициализации должен быть послан незашифрованным внутри фрейма, чтобы
приемная станция могла получить его и использовать для корректной расшифровки
полезной нагрузки и ICV. На рис. 22 схематично представлен процесс шифрования.
В дополнение к шифрованию данных спецификация стандарта 802.11
126
предлагает использовать 32-разрядное значение, функция которого —
осуществлять контроль целостности. Этот контрольный признак целостности
говорит приемнику о том, что фрейм был получен без повреждения в процессе
передачи. Контрольный признак целостности вычисляется по всем полям фрейма с
использованием 32-разрядной полиномиальной функции контроля и с помощью
циклического избыточного кода (CRC-32). Станция отправитель вычисляет это
значение и помещает его в поле ICV, приемная сторона расшифровывает фрейм
вычисляет значение ICV и сравнивает его со значением в поле ICV. Если значения
совпадают считается что фрейм не поддельный, в противном случае фрейм
отбрасывается. На рис. 22 и 23 показан процесс дешифрования фреймов и
вычисления контрольного признака целостности.
Рис. 22. Шифрование по алгоритму WEP
127
Рис. 23. Дешифрование по алгоритму WEP
Рис. 24. Диаграмма функционирования механизма ICV
Достарыңызбен бөлісу: |