Безопасность передачи данных

Так как беспроводные сети используют воздух и пространство для передачи и приема информации (сигналы являются открытыми для любого лица, находящегося в зоне действия), безопасность передачи данных является очень важным аспектом безопасности всей системы в целом. Без обеспечения должной защиты конфиденциальности и целостности информации при ее передаче между рабочими станциями и точками доступа нельзя быть уверенным в том, что информация не будет перехвачена злоумышленником, и что рабочие станции и точки доступа не будут подменены посторонним лицом.

Стандарт 802.11х определяет протокол Wired Equivalent Privacy (WEP) для защиты информации при ее передаче через WLAN. WEP предусматривает обеспечение трех основных аспектов:

  • • Аутентификация;
  • • Конфиденциальность;
  • • Целостность.

Аутентификация

Служба аутентификации WEP используется для аутентификации рабочих станций на точках доступа. В аутентификации открытых систем рабочая станция рассматривается как аутентифицированная, если она отправляет ответный пакет с МАС-адресом в процессе начального обмена данными с точкой доступа. В реальных условиях данная форма аутентификации не обеспечивает доказательства того, что к точке доступа подключается именно конкретная рабочая станция, а не какой- либо другой компьютер.

WEP также предусматривает возможность использования механизма криптографической аутентификации. Данный механизм базируется на знании общего секрета, который обрабатывается алгоритмом RC4 для доказательства подлинности рабочей станции при доступе к АР. При обмене аутентификационными данными используется система вызов/ ответ (см. рис. 18.2Е Рабочая станция сначала посылает запрос аутентификации на точку доступа. Точка доступа в ответ передает номер вызова, сгенерированный случайным образом. После этого рабочая станция должна зашифровать вызов с использованием общего секрета и вернуть его точке доступа. Если точка доступа сможет расшифровать ответ с помощью своей копии общего секрета и получить исходное число, то рабочая станция будет аутентифицирована для доступа к АР.

Не существует механизма обратной аутентификации АР на рабочей станции, поэтому при использовании этого метода рабочая станция остается открытой для подключения других точек доступа. Обмен данными также не защищен от атак через посредника или от перехвата данных.

Конфиденциально сть

Механизм обеспечения конфиденциальности базируется на RC4. RC4 - это стандартный мощный алгоритм шифрования, поэтому атаковать его достаточно сложно. WEP определяет систему на базе RC4, обеспечивающую управление ключами, и другие дополнительные службы, необходимые для функционирования алгоритма. RC4 используется для генерирования псевдослучайной последовательности ключей, комбинируемой с информацией для формирования шифрованного текста. Этот механизм защищает всю информацию заголовка протокола и данные протокола 802.Их (т. е. выше уровня 2).

WEP поддерживает ключи длиной 40 бит и 128 бит (непосредственный ключ комбинируется с вектором инициализации алгоритма). К сожалению, WEP не определяет механизм управления ключами. Это означает, что многие инсталляции WEP базируются на использовании статических ключей. Действительно, часто на всех рабочих станциях сети используются одни и те же ключи.

Аутентификационный обмен WEP

Рис. 18.2. Аутентификационный обмен WEP

Примечание

Некоторые поставщики расширили стандарт, добавив в него механизмы периодической замены ключей WEP. Эти механизмы, однако, выходят за рамки стандарта.

При анализе механизма был выявлен еще один недостаток, связанный с WEP. Выбор инициализационного вектора оказывает очень существенное влияние на шифрование информации. К сожалению, вектор инициализации отправляется в открытом фрагменте пакета, позволяя таким образом "прослушать" себя. Так как злоумышленник может осуществить перехват инициализационных векторов, он сможет перехватить достаточный объем пакетов для определения ключа шифрования. Действительно, утилита, с помощью которой можно это сделать, доступна в интернете (см. WEPCrack по адресу

http У/so urce fo rge. ne t/p ro j ec ts/wep с гас k/)/ . Окончательный анализ показал, что несмотря на надежность алгоритма RC4, применение RC4 в WEP является недостатком, из-за которого злоумышленник сможет выполнить несанкционированные действия.

Цело стно сть

Спецификация протокола WEP включает контроль целостности для каждого пакета. Используемая проверка целостности представляет собой циклическую 32-битную проверку избыточности (CRC). CRC вычисляется для каждого пакета перед его шифрованием, после чего данные в комбинации с CRC шифруются и отправляются в пункт назначения.

Несмотря на то что CRC с криптографической точки зрения небезопасна (см. лекцию 12 для получения более подробной информации о безопасных хеш-функциях), она защищается шифрованием. Используемая здесь система шифрования может быть достаточно надежной, если алгоритм шифрования обладает достаточной мощностью. Однако недостатки WEP представляют угрозу и для целостности пакетов. Если бы система шифрования WEP было достаточно надежна, целостность пакетов не представляла бы какой- либо проблемы (даже при использовании только лишь СЯС-проверки), так как служба обеспечения конфиденциальности защищала бы информацию от несанкционированного изменения.

Аутентификация

Аутентификация является ключевым компонентом системы безопасности WLAN. Ни одна из опций, доступных пользователям WLAN, сама по себе не предусматривает защиту от рисков, связанных с использованием WLAN. В следующих разделах рассматривается каждая из доступных опций.

Идентификатор набора служб

Идентификатор набора служб (SSID) - это 32-битная строка, используемая в качестве сетевого имени. Чтобы связать рабочую станцию с точкой доступа, обе системы должны иметь один и тот же SSID. На первый взгляд это может показаться рудиментарной формой аутентификации. Если рабочая станция не имеет нужного SSID, то она не сможет связаться с точкой доступа и соединиться с сетью. К сожалению, SSID распространяется многими точками доступа. Это означает, что любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить саму себя в соответствующую сеть.

Примечание

Некоторые точки доступа можно настроить на запрет распространения SSID. Однако, если данная конфигурация не будет сопровождаться соответствующими мерами безопасности передачи данных, SSID по- прежнему можно будет определить посредством прослушивания трафика.

МАС-адрес

Некоторые точки доступа позволяют использовать МАС-адреса авторизованных рабочих станций для аутентификации (это возможность, предусмотренная поставщиком, поэтому она не включена в спецификацию). В данной конфигурации АР настроена на разрешение соединения только по тем МАС-адресам, о которых известно этой точке доступа. МАС-адрес сообщается точке доступа администратором, который добавляет МАС-адрес в список разрешенных устройств. К сожалению, МАС-адреса должны передаваться в открытом виде; в противном случае сеть функционировать не будет. Если злоумышленник прослушивает трафик, он может определять авторизованные МАСадреса и настраивать свою собственную систему на использование одного из этих МАС-адресов для установки соединения с АР.

WEP

Как уже было упомянуто, WEP предусматривает использование службы аутентификации. К сожалению, эта служба осуществляет только аутентификацию рабочей станции относительно АР. Она не обеспечивает взаимную аутентификацию, поэтому рабочая станция не получает доказательства того, что АР действительно является авторизованной точкой доступа в данной сети. Таким образом, использование WEP не предотвращает перехват данных или атаки через посредника (см. рис. 18.3У

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >