Книга "Локальная сеть без проводов" (comp.hard.wireless) : Рассылка : Subscribe.Ru

Отправляет email-рассылки с помощью сервиса Sendsay

Беспроводные компьютерные сети Wi-Fi

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Бизнес on-line" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

← Май 2006 →
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

Автор

Эдуард Москвин

Статистика

2.318 подписчиков
0 за неделю

← Все выпуски →

Книга "Локальная сеть без проводов"

Беспроводные компьютерные сети Wi-Fi

Книга «Локальная сеть без проводов»

Книга вышла из печати, приобрести можно, например, в Ozon.ru.

4. Безопасность беспроводных сетей

В связи с тем, что в сетях Wi-Fi данные передаются по радиоканалу, пользователи часто проявляют опасения по поводу безопасности этой технологии. Потенциально данные могут «услышать» не только те, кому они предназначены, но и посторонние, поэтому защите беспроводных сетей уделяется много внимания.

Конечно, зоны действия беспроводных сетей невелики, а стены и другие препятствия сильно ослабляют сигнал, однако оставлять данные в эфире незащищенными было бы неразумно.

Если не применять адекватных мер, злоумышленник может получить доступ к ресурсам корпоративной сети и к конфиденциальной информации. При этом, если точка доступа установлена во внутренней сети предприятия, взломав сеть Wi-Fi, злоумышленник обойдет межсетевой экран, который обеспечивает защиту сети от атак из Интернета.

Но не только корпоративные сети могут стать объектом нападения. По отношению к домашней сети, которая используется для подключения к Интернету всего одного ноутбука, тоже может быть применена попытка взлома с целью воровства интернет-трафика, рассылки спама или осуществления иной противоправной деятельности от вашего имени. Поэтому задействовать хотя бы минимум средств безопасности нужно даже в очень маленькой сети.

Как правило, беспроводные устройства одного производителя могут взаимодействовать друг с другом сразу после инсталляции. Конечно, это удобно, но при этом пользователи часто не обращают внимания на то, что по умолчанию все функции безопасности Wi-Fi отключены и сеть остается полностью открытой.

Современные устройства беспроводного доступа поддерживают надежные методы аутентификации и шифрования, нужно только выбрать из них подходящий и правильно его настроить.

При строительстве сети на современных беспроводных устройствах вам фактически придется выбирать только между двумя протоколами – WEP и WPA (скорее всего, в модификации WPA-PSK). К сожалению, выбор определяется самым слабым устройством в сети.

Если в сети есть (или вы можете установить) сервер RADIUS, то рассмотрите возможность использовать WPA или хотя бы аутентификацию по протоколу 802.1x. Примером программной реализации RADIUS является Microsoft Internet Authentication Service (IAS), встроенный в Microsoft Windows 2000/2003 Server. Другой пример RADIUS, работающего под Windows, – AEGIS Server от Meetinghouse (www.mtghouse.com). Выпускаются также серверы RADIUS в виде отдельного устройства, например D-Link DRS-200 (розничная цена около 250 долларов).

Если использование сервера RADIUS вы считаете нецелесообразным, начните с рассмотрения возможности использовать протокол WPA-PSK. Для домашней или малой офисной сети это будет наилучшим выбором. В случае если часть ваших устройств изначально не поддерживает WPA, но уже выпущены новые прошивки или драйверы для этих устройств с поддержкой WPA, не поленитесь и обновите программное обеспечение.

Если самое слабое с точки зрения поддерживаемых протоколов безопасности устройство, работает только с шифрованием WEP, придется либо смириться с увеличением потенциальной уязвимости сети (допустимо в малых сетях), либо применять меры безопасности, неспецифичные для беспроводных сетей, в частности построение VPN.

При использовании протокола WEP рекомендуется использовать ключ длиной 128 или 256 бит и включить тип аутентификации Shared Key.

Если у вас вдруг оказалось устройство, которое не поддерживает даже WEP с ключом 128 бит, вряд ли найдется оправдание присутствию такого устройства в вашей сети.

4.1. Как работает WEP

Этот и следующий разделы описывают некоторые технические подробности работы протоколов WEP и WPA. В принципе, если вас не интересуют такие детали, можете их пропустить.

В WEP шифрование данных осуществляется с использованием алгоритма RC4. Шифрование происходит с использованием статического ключа длиной 40 или 104 бит. К статической части ключа добавляется вектор инициализации (Initialization Vector, IV) длиной 24 бит. Вектор инициализации изменяется динамически. Общая длина ключа WEP получается равной 64 (40+24) или 128 (104+24) бит. Обычно в параметрах указывают именно общую длину ключа.

Некоторые производители беспроводного оборудования предлагают поддержку ключей длиной более 128 бит, обычно 256 бит. Но увеличивается лишь статическая составляющая ключа, вектор инициализации остается таким же.

Главная уязвимость протокола WEP связана с короткой длиной вектора инициализации – 24 бита дают возможность создать всего около 16 миллионов различных векторов. Это число может показаться большим, но в реальной работе все возможные варианты ключей будут использованы в течение нескольких часов. После этого значения вектора инициализации начнут повторяться. Чтобы взломать сеть, злоумышленнику нужно записать достаточно большой кусок трафика беспроводной сети и найти повторы вектора инициализации. После этого подбор статической составляющей ключа делается достаточно быстро с использованием легкодоступных программ.

Существуют также так называемые «нестойкие» векторы инициализации. Некоторые производители встраивают в свои устройства специальные процедуры для отбрасывания подобных векторов. Но, к сожалению, эта функция реализована не на всех устройствах. Если используются нестойкие векторы в ключе WEP, злоумышленнику не придется ждать несколько часов, пассивно накапливая трафик сети, узнать ключ WEP он сможет еще быстрее.

Деятельность злоумышленника облегчается тем, что практически невозможно сетевыми средствами определить факт прослушивания и записи трафика беспроводной сети.

4.2. Как работает WPA

WPA предусматривает наличие трех участников процесса аутентификации. Это сервер аутентификации (Authentication Server, AS), точка доступа (Access Point, AP) и рабочая станция (Station, STA). В процессе шифрования данных участвуют только AP и STA (сервер аутентификации не используется).

Протокол WPA обеспечивает двустороннюю аутентификацию. При этом местами принятия решения о разрешении доступа являются STA и AS, а местами исполнения этого решения – STA и AP. Напомним, что в WEP аутентифицируется только рабочая станция, но не точка доступа.

Для работы по протоколу WPA создается иерархия ключей, включающая Master Key (MK), Pairwise Master Key (PMK), Pairwise Transient Key (PTK), а также групповые ключи (GTK), служащие для защиты широковещательного сетевого трафика.

MK – это симметричный ключ, воплощающий решение STA и AS о взаимной аутентификации. Для каждой сессии создается новый MK.

PMK – обновляемый симметричный ключ, владение которым означает разрешение (авторизацию) на доступ к среде передачи данных в течение данной сессии. PMK создается на основе MK. Для каждой пары STA и AP в каждой сессии создается новый PMK.

PTK – коллекция операционных ключей, которые используются для привязки PMK к данным STA и AP, распространения GTK и шифрования данных.

Процесс аутентификации и доставки ключей определяется стандартом 802.1x. Он предоставляет возможность использовать в беспроводных сетях традиционные серверы аутентификации, такие как RADIUS, что является de facto стандартным решением.

Транспортом для сообщений 802.1x служит Extensible Authentication Protocol (EAP). EAP позволяет легко добавлять новые методы аутентификации. Точке доступа не требуется знать об используемом методе аутентификации, поэтому изменение метода никак не затронет точку доступа.

Наиболее популярные методы EAP – это LEAP, PEAP, TTLS и FAST. Каждый из методов имеет свои сильные и слабые стороны, условия применения, по-разному поддерживается производителями оборудования и программного обеспечения.

Можно выделить пять фаз работы WPA.

Первая фаза – обнаружение. В этой фазе STA находит AP, с которой может установить связь, и получает от нее используемые в данной сети параметры безопасности. Так STA узнает идентификатор сети (SSID) и методы аутентификации, доступные в данной сети. Затем STA выбирает метод аутентификации и между STA и AP устанавливается соединение. После этого STA и AP готовы к началу второй фазы – фазы аутентификации 802.1x.

В фазе аутентификации 802.1x выполняется взаимная аутентификация STA и AS, создаются MK и PMK. В данной фазе STA и AP блокируют весь трафик, кроме трафика 802.1x.

В третьей фазе AS перемещает PMK на AP. Теперь STA и AP владеют действительными ключами PMK.

Четвертая фаза – управление ключами 802.1x. В этой фазе происходит генерация, привязка и верификация ключа PTK.

Пятая фаза – шифрование и передача данных. Для шифрования используется соответствующая часть PTK.

Кажется сложным? Что поделаешь, за безопасность приходится расплачиваться потерей простоты. К счастью, в такие тонкости приходится вникать только системным администраторам сетей, требующих высокого уровня безопасности. Для всех остальных придуман режим Pre-Shared Key (PSK), который позволяет обойтись без сервера аутентификации. При использовании WPA-PSK на точке доступа и на рабочей станции вручную вводится ключевая фраза – Pre-Shared Key, которая используется в качестве PMK. Дальше генерация PTK происходит описанным выше порядком.

Потенциальная уязвимость WPA-PSK возникает из-за того, что в реальных сетях ключевая фраза практически никогда не меняется и одинакова для всех пользователей сети. Злоумышленник может узнать ключевую фразу, например, от легального пользователя.

(продолжение следует)

Тем временем...

«Голден телеком» скоро начнет предоставлять услуги мобильного широкополосного доступа в интернет конечным потребителям: компания построит в Москве первую сеть Wi-Fi нового поколения. Она позволит абоненту перемещаться в пределах покрытия, имея непрерывный высокоскоростной доступ в интернет.

Компания «Голден телеком» планирует предложить эту услугу практически каждой московской семье – в зону покрытия сети попадает почти 4 млн. столичных домохозяйств. Оборудование Nortel, которое использует «Голден Телеком» для строительства сети, поддерживает технологию Wireless Mesh, которая и позволяет осуществлять беспрепятственный роуминг между точками доступа.

Подробнее...

Пожалуйста, присылайте вопросы, пожелания, предложения, замечания. Делитесь своим опытом. Все Ваши письма, которые попадут в мой почтовый ящик, будут прочитаны. На некоторые письма будут даны ответы лично или через рассылку. Если Вы не хотите, чтобы Ваше письмо (или его часть) попало в рассылку, дайте запрет на публикацию.

Спасибо за внимание,
Эдуард Москвин.

www.vernex.ru

scribe@vernex.ru
ICQ: 10427553

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}