СТАНДАРТ СЕТИ 802.11I С ПОВЫШЕННОЙ БЕЗОПАСНОСТЬЮ (WPA2) PDF Print E-mail
Written by Administrator   
Sunday, 19 August 2012 20:53

В июне 2004 г. IEEE ратифицировал давно ожидаемый стандарт обеспечения безопасности в беспроводных локальных сетях — 802.11i.

Действительно, WPA достоин восхищения как шедевр ретроинжиниринга. Созданный с учетом слабых мест WEP, он представляет собой очень надежную систему безопасности, и обратно совместим с большинством существующего Wi-Fi-оборудования. WPA - практическое решение, обеспечивающее более чем адекватную безопасность для беспроводных сетей.

Однако WPA, в конце концов, компромиссное решение. Оно все еще основано на алгоритме шифрования RC4 и протоколе TKIP. Хотя и малая, но все же имеется вероятность открытия каких-либо слабых мест.

Абсолютно новая система безопасности, целиком лишенная брешей WEP, представляет собой лучшее долгосрочное и к тому же расширяемое решение для безопасности беспроводных сетей. С этой целью комитет по стандартам принял решение разработать систему безопасности с нуля. Это новый стандарт 802.11i, также известный как WPA2 и выпущенный тем же Wi-Fi Alliance.

Стандарт 802.11i использует концепцию повышенной безопасности (Robust Security Network, RSN), предусматривающую, что беспроводные устройства должны обеспечивать дополнительные возможности. Это потребует изменений в аппаратной части и программном обеспечении, т.е. сеть, полностью соответствующая RSN, станет несовместимой с существующим оборудованием WEP. В переходный период будет поддерживаться как оборудование RSN, так и WEP (на самом деле WPA/TKIP было решением, направленным на сохранение инвестиций в оборудование), но в дальнейшем устройства WEP будут отмирать.

802.11i    приложим к различным сетевым реализациям и может задействовать TKIP, но по умолчанию RSN использует AES (Advanced Encryption Standard) и CCMP (Counter Mode CBC MAC Protocol) и, таким образом, является более мощным расширяемым решением.
В концепции RSN применяется AES в качестве системы шифрования, подобно тому, как алгоритм RC4 задействован в WPA. Однако механизм шифрования куда более сложен и не страдает от проблем, имевшихся в WEP. AES - блочный шифр, оперирующий блоками данных по 128 бит. CCMP, в свою очередь, - протокол безопасности, используемый AES. Он является эквивалентом TKIP в WPA. CCMP вычисляет MIC, прибегая к хорошо известному и проверенному методу Cipher Block Chaining Message Authentication Code (CBC-MAC). Изменение даже одного бита в сообщении приводит к совершенно другому результату.

Одним из худших аспектов WEP было управление секретными ключами. Многие администраторы больших сетей находили его неудобным. В результате чего ключи WEP не менялись длительное время (или никогда), облегчая задачу злоумышленникам.

RSN определяет иерархию ключей с ограниченным сроком действия, сходную с TKIP. В AES/CCMP, чтобы вместить все ключи, требуется 512 бит - меньше, чем в TKIP. В обоих случаях мастер-ключи используются не прямо, а для вывода других ключей. К счастью, администратор должен обеспечить единственный мастер-ключ. Сообщения составляются из 128-битного блока данных, зашифрованного секретным ключом такой же длины (128 бит). Хотя процесс шифрования сложен, администратор опять-таки не должен вникать в нюансы вычислений. Конечным результатом является шифр, который гораздо сложнее, чем даже WPA.

802.11i    (WPA2) - это наиболее устойчивое, расширяемое и безопасное решение, предназначенное в первую очередь для больших предприятий, где управление ключами и администрирование были главной головной болью.

Стандарт 802.11i разработан на базе проверенных технологий. Механизмы безопасности были спроектированы с нуля в тесном сотрудничестве с лучшими специалистами по криптографии и имеют все шансы стать тем решением, которое необходимо беспроводным сетям. Хотя ни одна система безопасности полностью от взлома не гарантирована, 802.11i - это решение, на которое можно полагаться; оно свободно от слабостей предыдущих систем. И, конечно, WPA пригоден для адаптации уже существующего оборудования, и только когда его ресурсы будут окончательно исчерпаны, вы сможете заменить его новым, полностью соответствующим концепции RSN.

Производительность канала связи, как свидетельствуют результаты тестирования оборудования различных производителей, падает на 5-20% при включении как WEP, так и WPA. Однако испытания того оборудования, в котором включено шифрование AES вместо TKIP, не показали сколько-нибудь заметного падения скорости. Это позволяет надеяться, что WPA2-совместимое оборудование предоставит нам долгожданный надежно защищенный канал без потерь в производительности.

WPA2, так же как и WPA, может работать в двух режимах: Enterprise (корпоративный) и Pre-SharedKey (персональный).

Пример 2.2:

Настроим точку доступа с применением персональной спецификации WPA2-

PSK.

1.    Для этого подключаемся к точке доступа по проводному интерфейсу, вводим режим, SSID, канал, как было описано в примере 1.4. Далее в поле Authentication (Аутентификация) ставим WPA2-PSK (рис. 2.29).
2.    Выбираем тип шифрования (Cipher Type). Возможные варианты: AUTO, TKIP, AES. Если выставлено AUTO, то точка доступа будет подстраивать тип шифрования под первого подключившегося клиента.

3.    Выставляем интервал обновления группового ключа (Group Key Update Interval), который задаётся в секундах.

4.    Вводим ключ в поле PassPhrase любой длины, но не менее 8 символов, например secretpass. Теперь, после применения настроек, на клиентской стороне, надо выставить те же самые параметры, и подключиться к ней.