Возврат
ТелекомВести

Предыдущая новость1 апреля 2003 г.Следующая новость



WPA способствует распространению БЛС ОП


31 марта ("Телеком-Форум")

Последнее время во всем мире наблюдается всплеск интереса со стороны производителей и телекоммуникационных операторов к беспроводным локальным сетям общего пользования (БЛС ОП) стандарта Wi-Fi. Не в последнюю очередь это связано с разработкой нового алгоритма шифрования WPA (Wi-Fi Protected Access), который пришел на смену WEP (Wired Equivalent Privacy). Последний оказался чрезвычайно уязвимым и практически не защищает сети стандарта Wi-Fi.

Альтернативные технологии, например, протокол Lightweight Extensible Authentication Protocol (LEAP), разработанный специалистами Cisco, обладают многими достоинствами и обеспечивают надежные средства безопасности, однако они не решают вопроса совместимости. В большинстве случаев, в сетях на базе таких "фирменных" алгоритмов шифрования, точки доступа и клиентские радиоадаптеры должны быть от одного производителя. Поэтому их применение ограничено в основном офисными сетями.

Проблему призван решить будущий стандарт 802.11i, разработка которого еще не завершена. Ратификация комитетом IEEE спецификаций 802.11i состоится не ранее конца текущего года. Осознавая, что это обстоятельство может затормозить сбыт оборудования WLAN, консорциум Wi-Fi Alliance представил технологию WPA, которая вобрала в себя значительную часть средств 802.11i. Ожидается, что производители уже этой весной реализуют поддержку нового алгоритма в своей продукции. Wi-Fi Alliance также объявил, что к сертификационным испытаниям на соответствие стандарту Wi-Fi теперь будут допускаться только системы, поддерживающие WPA.

Ключевой уязвимостью WEP является то, что в применяемой схеме используются статические ключи шифрования. Это означает, что данные шифруются при помощи общих ключей, известных всем станциям. Таким образом, для обновления ключей необходимо внести соответствующие изменения на каждом компьютере, что трудно реализуемо в БЛС ОП. Если же оставлять криптографические ключи неизменными, сеть становится подверженной несанкционированному доступу - для того чтобы заполучить необходимую информацию, хакеру достаточно просто проанализировать сетевой трафик. Кроме того, некоторые функции безопасности (в частности, проверка подлинности пользователей) не реализованы в WEP вовсе. Большую часть из описанных проблем можно решить программными способами, например, с помощью средств организации виртуальных частных сетей (VPN), но в БЛС ОП, или, как их еще называют, зонах Wi-Fi, необходима защита на аппаратном уровне.

Технология WPA лишена таких недостатков, кроме того, в ней обеспечена поддержка радиоадаптеров различных производителей, что делает данное решение оптимальным средством для защиты БЛС ОП от несанкционированного доступа. В состав WPA одновременно включены протокол Temporal Key Integrity Protocol (TKIP) и механизмы 802.1x, которые в связке предоставляют надежные средства защиты и аутентификации для мобильных пользователей. Для "обезвреживания" злоумышленников WPA периодически генерирует новый уникальный ключ для каждого абонента. В корпоративных сетях WPA может взаимодействовать с сервером аутентификации (например, RADIUS), используя средства 802.1x с протоколом проверки подлинности EAP (Extended Authentication Protocol). EAP позволяет проводить аутентификацию пользователя с помощью самых различных данных, начиная с имени пользователя и пароля и заканчивая смарт-картами и средствами биометрии. При этом 801.1x является транспортной средой для передачи пакетов EAP.

Стоит заметить, что WPA избавлен от всех известных проблем, присущих WEP, за исключением атак типа отказ в обслуживании (DoS). Хакер может относительно легко вывести из строя сеть на базе WPA - для этого достаточно каждую секунду посылать два пакета, содержащих неверные ключи шифрования. В таких случаях точка доступа определяет попытку несанкционированного доступа и отключает все соединения на одну минуту, чтобы не допустить "враждебного" использования сетевых ресурсов. Таким образом, постоянная посылка "неверных" данных может привести к нестабильной работе или отключению одной или нескольких точек доступа, поэтому корпоративным заказчикам потребуются средства резервирования для наиболее важных и критичных приложений.

Следует привести еще два важных момента. Во-первых, для обновления точек доступа до поддержки WPA потребуется, по данным Wi-Fi Alliance, только загрузить и установить новое ПО. Во-вторых, данное решение будет обратно совместимо с будущим стандартом 802.11i. Однако в состав 802.11i войдет более мощный криптографический механизм (Advanced Encryption Standard, AES), чем применяемый ныне RC4. Скорее всего, AES потребует большей вычислительной мощности процессора.

Wi-Fi Alliance

http://www.wi-fi.org

Дополнительная информация

Сети стандарта IEEE 802.11 (ТехФорум)

БЛС ОП станут пригодными для проведения финансовых транзакций (26 февраля 2003 г.)

Cisco делится своими технологиями с разработчиками микросхем Wi-Fi (25 февраля 2003 г.)

WPA идет на смену WEP (31 октября 2002 г.)

Сплошной Wi-Fi (19 июля 2002 г.)

WLAN - хорошо, но безопасность... (23 апреля 2001 г.)