Domov › Tarify › Bezpečnostní hrozby pro bezdrátové sítě. Zabezpečení Wi-Fi. Správná ochrana Wi-Fi. Typické operace EAP

Bezpečnostní hrozby pro bezdrátové sítě. Zabezpečení Wi-Fi. Správná ochrana Wi-Fi. Typické operace EAP

Chcete-li chránit svou síť Wi-Fi a nastavit heslo, musíte vybrat typ zabezpečení bezdrátové sítě. drátová síť a způsob šifrování. a dál v této fázi Mnoho lidí má otázku: který si vybrat? WEP, WPA nebo WPA2? Osobní nebo podnikový? AES nebo TKIP? Jaká nastavení zabezpečení nejlépe ochrání vaši síť Wi-Fi? Na všechny tyto otázky se pokusím odpovědět v rámci tohoto článku. Zvažme vše možné metody ověřování a šifrování. Pojďme zjistit, které parametry zabezpečení sítě Wi-Fi jsou nejlépe nastaveny v nastavení routeru.

Vezměte prosím na vědomí, že typ zabezpečení nebo autentizace, síťová autentizace, ochrana, metoda ověřování jsou stejné.

Typ ověřování a šifrování jsou hlavními nastaveními zabezpečení bezdrátové sítě Wi-Fi. Myslím, že nejprve musíme zjistit, jaké to jsou, jaké existují verze, jejich schopnosti atd. Poté zjistíme, jaký typ ochrany a šifrování zvolit. Ukážu vám to na příkladu několika oblíbených routerů.

Vřele doporučuji nastavit heslo a chránit vaši bezdrátovou síť. Nastavte maximální úroveň ochrany. Pokud necháte síť otevřenou, bez ochrany, může se k ní připojit kdokoli. To je především nebezpečné. A také další zatížení vašeho routeru, pokles rychlosti připojení a nejrůznější problémy s připojením různých zařízení.

Ochrana Wi-Fi sítě: WEP, WPA, WPA2

Existují tři možnosti ochrany. Samozřejmě nepočítám "Otevřeno" (Bez ochrany).

WEP (Kabelový ekvivalent Soukromí je zastaralá a nezabezpečená metoda ověřování. Jde o první a nepříliš úspěšný způsob ochrany. Útočníci mohou snadno přistupovat k bezdrátovým sítím, které jsou chráněny pomocí WEP. Tento režim není potřeba nastavovat v nastavení vašeho routeru, i když tam je (ne vždy) přítomen.
WPA(Wi-Fi Protected Access) je spolehlivý a moderní typ zabezpečení. Maximální kompatibilita se všemi zařízeními a operačními systémy.
WPA2– nové, vylepšené a další spolehlivá verze WPA. Existuje podpora AES šifrování CCMP. Na momentálně, je to nejlepší způsob ochrany vaší sítě Wi-Fi. To je to, co doporučuji používat.

WPA/WPA2 může být dvou typů:

WPA/WPA2 – osobní (PSK)- Tohle obvyklým způsobem autentizace. Když potřebujete pouze nastavit heslo (klíč) a poté jej použít pro připojení k síti Wi-Fi. Pro všechna zařízení se používá stejné heslo. Samotné heslo je uloženo v zařízeních. Kde si jej můžete prohlédnout nebo v případě potřeby změnit. Doporučuje se použít tuto možnost.
WPA/WPA2 – Enterprise- složitější metoda, která se používá především k ochraně bezdrátových sítí v kancelářích a různých provozovnách. Umožňuje vyšší úroveň ochrany. Používá se pouze v případě, že je k autorizaci zařízení nainstalován server RADIUS (který rozdává hesla).

Myslím, že jsme přišli na způsob ověřování. Nejlepší je použít WPA2 – Personal (PSK). Pro lepší kompatibilita Abyste předešli problémům s připojením starších zařízení, můžete nastavit smíšený režim WPA/WPA2. Toto je výchozí nastavení na mnoha směrovačích. Nebo označeno jako „Doporučeno“.

Šifrování bezdrátové sítě

Existují dva způsoby TKIP A AES.

Doporučuje se používat AES. Pokud máte v síti starší zařízení, která nepodporují šifrování AES (ale pouze TKIP) a budou problémy s jejich připojením k bezdrátové síti, nastavte ji na „Automaticky“. Typ TKIP šifrování není podporováno v režimu 802.11n.

V každém případě, pokud nainstalujete striktně WPA2 - Personal (doporučeno), pak bude k dispozici pouze šifrování AES.

Jakou ochranu bych měl nainstalovat na router Wi-Fi?

Použití WPA2 – osobní se šifrováním AES. K dnešnímu dni je to nejlepší a nejvíce bezpečným způsobem. Takto vypadá nastavení zabezpečení bezdrátové sítě na routerech ASUS:

A takto vypadají tato nastavení zabezpečení na routerech od TP-Linku (se starým firmwarem).

Můžete vidět podrobnější pokyny pro TP-Link.

Pokyny pro ostatní routery:

Pokud nevíte, kde na vašem routeru najít všechna tato nastavení, napište do komentářů, pokusím se vám to říct. Jen nezapomeňte specifikovat model.

Od WPA2 – osobní (AES) starší zařízení ( Wi-Fi adaptéry, telefony, tablety atd.) jej nemusí podporovat, pak v případě problémů s připojením nastavte smíšený režim (Auto).

Často si všímám, že po změně hesla nebo jiného nastavení zabezpečení se zařízení nechtějí připojit k síti. Počítačům se může zobrazit chyba „Nastavení sítě uložená v tomto počítači nesplňují požadavky této sítě.“ Zkuste vymazat (zapomenout) síť na zařízení a znovu se připojit. Napsal jsem, jak to udělat ve Windows 7. Ale ve Windows 10 potřebujete .

Heslo (klíč) WPA PSK

Bez ohledu na to, jaký typ zabezpečení a metodu šifrování zvolíte, musíte nastavit heslo. On je stejný klíč WPA, bezdrátové heslo, bezpečnostní klíč sítě Wi-Fi atd.

Délka hesla je od 8 do 32 znaků. Můžete použít písmena latinské abecedy a čísla. Také zvláštní znamení: - @ $ # ! atd. Žádné mezery! V hesle se rozlišují velká a malá písmena! To znamená, že „z“ a „Z“ jsou různé znaky.

Nedoporučuji sázet jednoduchá hesla. Je lepší vytvořit si silné heslo, které nikdo neuhodne, i když se hodně snaží.

Je nepravděpodobné, že si to budete moci zapamatovat složité heslo. Bylo by fajn si to někam zapsat. Není neobvyklé, že hesla Wi-Fi jsou jednoduše zapomenuta. Co dělat v takových situacích jsem psal v článku: .

Pokud potřebujete ještě větší zabezpečení, můžete použít vazbu MAC adresy. Pravda, nevidím v tom potřebu. WPA2 - Personal spárovaný s AES a komplexní heslo je docela dost.

Jak chráníte svou Wi-Fi síť? Pište do komentářů. No, ptej se :)

Koupíš si drahý router, nastavíš složité heslo a nikomu ho neřekneš, ale stejně si všimneš, že ta rychlost občas nějak klesá... Horší už je, když objevíš krádež identity, zamčený počítač a další lahůdky. Navzdory antivirové a jiné ochraně.

Ukázalo se, domácí Wi-Fi není zdaleka tak bezpečný, jak si možná myslíte. Pojďme zjistit proč.

Zranitelný WPA2

Moderní přístupové body Wi-Fi jsou chráněny především protokolem WPA2. Implementuje šifrování CCMP a AES. CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) je protokol blokové šifry s autentizačním kódem zprávy (MAC) a režimem blokového a čítačového řetězení, který byl vytvořen jako náhrada za slabší TKIP (používaný u jeho předchůdců WPA a WEP). . CCMP ve skutečnosti používá AES (Advanced Encryption Standard) – symetrický algoritmus blokové šifrování (velikost bloku 128 bitů, klíč 128/192/256 bitů).

Objektivně vzato je WPA2 poměrně starý protokol

Proto bylo v protokolu nalezeno mnoho zranitelností. Například již 23. července 2010 byla zveřejněna data o díře zvané Hole196. Pomocí něj může uživatel autorizovaný v síti používat jeho soukromý klíč dešifrovat data ostatních uživatelů a nahradit MAC adresy, což znamená využít zdroje hacknuté sítě k útokům na různé webové zdroje bez rizika odhalení. Bez jakékoli hrubé síly nebo hackování klíčů!

Nutno říci, že nebyly vydány všechny patche. A pak vyrážíme...

Hackování WPA2

Wi-Fi s WPA2 se dnes hackuje hlavně pomocí hrubé síly a slovníkových útoků. Hackeři sledují bezdrátová karta, skenujte vzduch, sledujte a zaznamenávejte potřebné pakety.

Poté je klientovi zrušena autorizace. To je nezbytné pro handshake - zachycení počáteční výměny paketů. Můžete samozřejmě počkat, až se klient připojí. To se ale nemusí stát, alespoň ne v příštích minutách.

Hackování WPS

Mnoho moderní routery podpora protokolu Wi-Fi Chráněné nastavení, který slouží k poloautomatickému připojení k bezdrátové síti Wi-Fi. Byl navržen tak, aby usnadnil připojení k WPS. Samozřejmě to zjednodušilo proces i pro útočníky.

WPS PIN kód, který umožňuje připojení k síti, má osm znaků. Osmý znak je navíc kontrolní součet.

Chyba v protokolu WPS umožňuje kontrolu PIN kódů v blocích: první blok obsahuje čtyři číslice, druhý - tři (počítá se osmá číslice). Výsledkem je 9999 + 999 = 10998 možností PIN kódu.

Pro hackování WPS je vhodná utilita Reaver. Je například v distribuci Kali Linux.

Algoritmus akcí je jednoduchý:

-i mon0 je rozhraní,
-b 64:XX:XX:XX:XX:F4 je BSSID napadeného bodu,
-vv je volitelný přepínač, který umožňuje podrobný výstup.

Proces vyhledávání může trvat několik hodin. Jeho výsledkem je zvolený PIN kód a síťový bezpečnostní klíč.

Alternativou jsou aplikace WPS Connect, WIFI WPS WPA TESTER pro Android atd. S iPhonem je to složitější, protože oficiální aplikace Ukládat aplikace Na začátku jsou rychle odstraněny nebo odmítnuty a programy z neoficiálních obchodů instalujete na vlastní nebezpečí a riziko.

Chcete-li tomuto útoku zabránit, musíte na routeru nebo přístupovém bodu zakázat WPS. Pak nebude co hackovat.

Následky útoků

Nejjednodušší je použít k příjmu vaši Wi-Fi síť bezplatné připojení k internetu. „Symptomy“: snížená rychlost, překročení dopravních limitů, zvýšený ping.

Hackeři mohou používat vaši Wi-Fi k páchání nezákonných činností. Například hackování sítí a účtů, rozesílání spamu atd. Li orgány činné v trestním řízení Pokud vystopují zločince k vaší IP, budete to muset vysvětlit sami. Pravděpodobnost je malá, ale nepříjemná.

Nakonec nejhorší je, když se hackeři rozhodnou zachytit a dešifrovat váš provoz. A získejte data, která byste nechtěli nikomu poskytnout: hesla ze sociálních sítí a bankovních účtů, intimní fotografie, osobní korespondenci.

Konečně je tu možnost útoků typu man-in-the-middle. Můžete zachytit TCP relace, vložit informace do relací HTTP a přehrát pakety s adresou nebo vysíláním.

Resumé

Hrozby pro sítě WLAN

Zabezpečení bezdrátové sítě je ještě obtížnější než zabezpečení drátové sítě. Bezpečnost musí být nejvyšší prioritou pro každého, kdo používá nebo spravuje sítě.

V dosahu přístupového bodu je síť WLAN otevřena každému, kdo má příslušné přihlašovací údaje, pomocí kterých se provádí spojení s přístupovým bodem. S bezdrátovým síťovým adaptérem a znalostmi hackerských technik nemusí být útočník fyzicky přítomen v místě, kde se nachází WLAN, aby k ní získal přístup.

Bezpečnostní otázky se stávají ještě důležitějšími, když mluvíme o tom o podnikových sítích, protože život společnosti mimo jiné závisí na zabezpečení dat. Narušení bezpečnosti může mít pro společnosti katastrofální důsledky, zejména pokud společnost nakládá s finančními informacemi svých zákazníků. Bezdrátové sítě jsou stále častěji nasazovány v podnicích a v mnoha případech již nejsou jen pohodlnější možností, ale kritickou součástí sítě. Přestože byly sítě WLAN vždy náchylné k útokům, s rostoucí popularitou se stávají cílem číslo jedna.

Útoky mohou iniciovat cizí lidé a nespokojení zaměstnanci, ale kromě takových nepřátel může útok neúmyslně vyprovokovat kterýkoli zaměstnanec. Bezdrátové sítě jsou zvláště náchylné k následujícím hrozbám:

· bezdrátoví vetřelci;

· škodlivé aplikace;

· odposlech dat

DoS útoky

Kliknutím na každou hrozbu na obrázku zobrazíte další informace.

Poznámky. Tato kapitola se nezabývá hrozbami, jako je falšování MAC adresy přístupového bodu nebo bezdrátového klienta, hackerské útoky a útoky na infrastrukturu.

Útok odepření služby

Níže jsou uvedeny důvody, proč dochází k útoku DoS v bezdrátové síti.

· Nesprávná konfigurace zařízení- Chyby konfigurace mohou způsobit vypnutí sítě WLAN. Administrátor by například mohl omylem změnit konfiguraci a deaktivovat síť, nebo by útočník s právy správce mohl úmyslně deaktivovat WLAN.

· Útočník záměrně zasahuje do bezdrátové komunikace- takoví útočníci se snaží zcela deaktivovat bezdrátovou síť nebo do té míry, že autorizovaná zařízení nemají přístup k prostředí.

· Náhodné rušení- WLAN sítě fungují na nelicencovaných frekvenčních pásmech, a proto jsou všechny bezdrátové sítě, bez ohledu na bezpečnostní funkce, náchylné k rušení od ostatních bezdrátových zařízení. Náhodné rušení se může vyskytovat ze zařízení jako např mikrovlnné trouby, bezdrátové telefony, dětské chůvičky atd. Pásmo 2,4 GHz je náchylnější k rušení než pásmo 5 GHz.

Aby se minimalizovalo riziko útoku DoS v důsledku nesprávné nastavení zařízení a škodlivých útoků, měli byste zajistit, aby byla všechna zařízení chráněna, hesla uložena na bezpečném místě a zálohována a konfigurována pouze mimo pracovní dobu.

K náhodnému rušení dochází pouze při provozu jiných bezdrátových zařízení. Optimální řešení je monitorovat WLAN kvůli problémům s rušením a řešit takové problémy, když nastanou. Vzhledem k tomu, že pásmo 2,4 GHz je náchylnější k rušení, lze pásmo 5 GHz použít ve slabších oblastech. Některá řešení WLAN poskytují automatické nastavení kanály přístupovými body a umožňují použití pásma 5 GHz pro kompenzaci rušení. Některá řešení 802.11n/ac/ad se například automaticky přizpůsobí tak, aby odolávala rušení.

Obrázek ukazuje, jak může bezdrátový telefon nebo mikrovlnná trouba rušit komunikaci WLAN.

Technologie Cisco CleanAir umožňuje zařízením identifikovat a lokalizovat zdroje rušení jiné než 802.11. Tato technologie vytváří síť, která se dokáže automaticky přizpůsobovat změnám prostředí.

DoS útoky pomocí řídicích rámců

Ačkoli je to nepravděpodobné, útočníci by mohli úmyslně zahájit útok DoS pomocí elektronických protiopatření, která vytvářejí náhodné rušení. Je pravděpodobnější, že se útočníci pokusí manipulovat s řídicími rámci, čímž spotřebovávají zdroje přístupového bodu a zatěžují kanály natolik, že nemohou obsluhovat provoz autorizovaných uživatelů.

Kontrolní rámce lze použít ke spouštění různých typů útoků DoS. Běžné jsou dva typy útoků na řídicí rám.

· Útok falešného vypnutí- k provedení takového útoku pošle útočník sadu příkazů „zrušení asociace“ všem bezdrátovým zařízením v rámci BSS. Tyto příkazy způsobí odpojení všech klientů. Po odpojení se všichni bezdrátoví klienti okamžitě pokusí znovu přiřadit, což způsobí prudký nárůst objemu provozu. Útočník pokračuje v odesílání rámců pro zrušení asociace a cyklus se opakuje.

· CTS odeslat oprávnění zaplavit útok- K tomuto typu útoku dochází, když útočník použije metodu řešení sporů v prostředí CSMA/CA k monopolizaci šířky pásma a odepření přístupu všem ostatním bezdrátovým klientům. Aby toho dosáhl, útočník neustále zahlcuje BSS oprávněními posílat CTS do falešného STA. Všichni ostatní bezdrátoví klienti sdílející RF médium přijímají CTS a přestanou vysílat data, dokud útočník nepřestane vysílat rámce CTS.

Na Obr. Obrázek 1 ukazuje, jak bezdrátový klient a přístupový bod používají metodu CSMA/CA pro přístup k médiu.

Na Obr. Obrázek 2 ukazuje, jak útočník zaplaví rámce CTS do klamného bezdrátového klienta. Nyní musí všichni ostatní klienti čekat na dokončení období určeného v rámci CTS. Útočník však pokračuje v odesílání rámců CTS. V důsledku toho jsou ostatní zákazníci nuceni neustále čekat. Útočník tedy ovládá prostředí.

Poznámka. Toto je jen jeden příklad útoku na kontrolní rám. Existuje mnoho dalších.

Aby se snížilo riziko takových útoků, Cisco vyvinulo řadu řešení, včetně Cisco Management Frame Protection (MFP), která také poskytuje komplexní proaktivní ochranu proti falšování rámců a zařízení. Cisco Adaptive Wireless Intrusion Prevention System doplňuje toto řešení o schopnosti včasné detekce narušení tím, že porovnává signatury útoků.

Výbor pro standardy IEEE 802.11 také vyvinul dva bezpečnostní standardy bezdrátové sítě. Standard 802.11i využívající Cisco MFP definuje bezpečnostní mechanismy pro bezdrátové sítě, zatímco bezpečnostní standard 802.11w rámce správy řeší problémy související s manipulací s rámcem správy.

Škodlivé přístupové body

Škodlivý přístupový bod je bezdrátový směrovač, který lze charakterizovat následovně.

· Tento router se připojuje k podnikové síti bez výslovného povolení a v rozporu s podnikovou politikou. Každý uživatel s přístupem k zařízením může nainstalovat (se zlým úmyslem nebo bez něj) levný bezdrátový router, který teoreticky poskytuje přístup k zabezpečeným síťovým zdrojům.

· Útočník se může připojit nebo umožnit takovému směrovači zachycovat klientská data (například MAC adresy bezdrátových a kabelových klientů) nebo zachycovat a maskovat datové pakety, aby získal přístup k síťovým zdrojům; nebo za účelem zahájení odposlechového útoku.

Měli byste také zvážit, jak snadné je vytvořit osobní bezdrátový bod přístup. Například uživatel, který má zabezpečený přístup k síti, konfiguruje své oprávnění Uzel Windows, jako přístupový bod k síti Wi-Fi. V tomto případě neoprávněná zařízení obcházejí bezpečnostní opatření a získávají přístup k síťovým zdrojům jako jedno společné zařízení.

Aby se zabránilo instalaci škodlivých přístupových bodů, měly by organizace používat software pro aktivní monitorování rádiového spektra na přítomnost neoprávněných přístupových bodů. Například snímek obrazovky softwaru pro správu sítě infrastruktury Cisco Prime na obrázku ukazuje RF mapu identifikující polohu útočníka se zjištěnou falešnou MAC adresou.

Poznámka. Cisco Prime je software pro správu sítě, který spolupracuje s ostatními podobné programy, poskytující společný pohled a centralizované umístění všech síťových dat. Obvykle je tento software nasazen ve velmi velkých organizacích.

Záchytný útok

K jednomu z více komplexní typy Mezi útoky, které může útočník použít, patří zachycovací útok. Existuje mnoho způsobů, jak vytvořit záchytný útok.

Jeden z nejběžnějších typů takových útoků se nazývá „zlé dvojče“, při kterém útočník implantuje škodlivý přístupový bod a nakonfiguruje jej se stejným SSID jako autorizovaný přístupový bod. Místa, kde se to nabízí volný přístup k Wi-Fi síti, například letiště, kavárny a restaurace jsou nejoblíbenějšími cíli tohoto typu útoku, protože tato zařízení používají otevřenou autentizaci.

Po připojení bezdrátových klientů se zobrazí dva přístupové body, které nabízejí bezdrátový přístup. Lidé v blízkosti škodlivého přístupového bodu detekují silnější signál a je pravděpodobnější, že se spojí s přístupovým bodem zlého dvojčete. Nyní je uživatelský provoz posílán do nečestného přístupového bodu, který zase zachycuje data a předává je důvěryhodnému přístupovému bodu. Zpětný provoz z autorizovaného přístupového bodu je odeslán do škodlivého přístupového bodu, zachycen a poté předán nic netušící stanici (STA). Útočník může ukrást heslo uživatele, osobní informace, získat přístup k síti a ohrozit systém uživatele.

Například na Obr. 1 útočník je v Bob's Latte a pokouší se unést provoz od nic netušících bezdrátových klientů. Útočník spouští software, který z jeho notebooku dělá „zlé dvojče“ přístupový bod se stejným SSID a kanálem jako autorizovaný bezdrátový router.

Na Obr. 2 uživatel vidí dvě dostupné bezdrátová připojení, ale vybere pro přidružení přístupový bod „zlé dvojče“. Útočník zachytí uživatelská data a předá je autorizovanému přístupovému bodu, který následně směruje odezvu zpět do přístupového bodu zlého dvojčete. Zlý přístupový bod dvojče unese odezvový provoz a předá data nic netušícímu uživateli.

Úspěšnost zabránění odposlouchávacímu útoku závisí na složitosti síťové infrastruktury WLAN a důkladnosti monitorování sítě. Proces začíná identifikací autorizovaných zařízení na WLAN. K tomu musí být uživatelé ověřeni. Jakmile budou všechna autorizovaná zařízení identifikována, můžete v síti sledovat podezřelá zařízení nebo provoz.

Podnikové WLAN, které využívají nejvíce moderní zařízení Sítě WLAN poskytují správcům nástroje, které spolupracují jako systém prevence bezdrátového narušení (IPS). Tyto nástroje zahrnují skenery, které identifikují škodlivé přístupové body a sítě peer-to-peer, a nástroje pro správu rádiových zdrojů, které monitorují aktivitu a zatížení přístupového bodu v rádiovém frekvenčním pásmu. Velké zatížení k přístupovému bodu signalizuje správci možný výskyt neoprávněného provozu.

Přehled zabezpečení bezdrátového připojení

Zabezpečení sítě Wi-Fi bylo vždy předmětem zvláštního zájmu, protože se hranice sítě rozšiřovaly. Signály bezdrátové komunikace lze přenášet přes pevné překážky – stropy, podlahy, stěny, mimo domov nebo kancelář. Bez přísných bezpečnostních opatření je instalace sítě WLAN podobná umístění ethernetových portů všude, dokonce i na ulici.

Aby se zabránilo hrozbám ze strany vetřelců, kteří se snaží proniknout do bezdrátové sítě a chránit data, byly použity dvě bezpečnostní funkce.

· Skrytí SSID. Přístupové body a některé bezdrátové směrovače umožňují deaktivovat rámeček majáku SSID. Bezdrátoví klienti musí ručně určit SSID, aby se mohli připojit k síti.

· Filtrování MAC adres. Správce může klientům ručně povolit nebo zakázat bezdrátový přístup na základě MAC adresy jejich fyzického hardwaru.

I když tyto dvě funkce vyřadí většinu uživatelů, realita je taková, že ani skrytí SSID ani filtrování MAC adres zkušeného útočníka nezastaví. SSID lze snadno zjistit, i když je přístupové body nevysílají, a MAC adresy mohou být podvrženy. Nejlepším způsobem ochrany bezdrátové sítě je použití systémů ověřování a šifrování (viz obrázek 1).

Původní standard 802.11 zavedl dva typy ověřování:

· Otevřete ověřování systému. Všichni bezdrátoví klienti se mohou snadno připojit a takový systém lze použít pouze v situacích, kdy bezpečnost není hlavním problémem (například v místech, kde je poskytován bezplatný přístup k internetu - kavárny, hotely a vzdálená místa).

· Consensus Key Authentication. Poskytuje mechanismy jako WEP, WPA nebo WPA2 pro ověřování a šifrování dat přenášených mezi bezdrátovým klientem a přístupovým bodem. Pro připojení však musí být heslo předem dohodnuto mezi stranami.

Ve schématu na Obr. 2 předloženo stručné informace o různých typech autentizace.

Konsensuální klíčové metody autentizace

Jak je znázorněno na Obr. 1, K dispozici jsou tři dohodnuté možnosti ověření klíče:

· Wireless Encryption Protocol (WEP). Původní specifikace 802.11, která byla navržena tak, aby poskytovala soukromí na úrovni srovnatelné s drátové připojení. Ochrana dat je zajištěna pomocí metody šifrování RC4 pomocí statického klíče. Klíč se však při přenosu paketů nikdy nemění, takže je docela snadné jej prolomit.

· Wi-Fi Protected Access (WPA). Standard Wi-Fi Alliance, který používá WEP, ale poskytuje zabezpečení dat prostřednictvím mnohem silnějšího šifrovacího algoritmu Temporal Key IP (TKIP). TKIP mění klíč pro každý paket, takže je mnohem těžší jej prolomit.

· IEEE 802.11i/WPA2. IEEE 802.11i je průmyslový standard pro zabezpečení bezdrátových sítí. Verze Wi-Fi Alliance se nazývá WPA2. 802.11i a WPA2 používají pro šifrování Advanced Encryption Standard (AES). AES je v současnosti považován za nejbezpečnější šifrovací protokol.

WEP se již nedoporučuje. Sdílené klíče WEP se ukázaly jako neúčinné, a proto by se neměly používat. Aby kompenzovaly slabiny sdílených klíčů WEP, společnosti se nejprve pokusily skrýt SSID a filtrovat MAC adresy. Tyto metody se také ukázaly jako příliš nespolehlivé.

Kvůli nespolehlivosti bezpečnostních systémů na bázi WEP se již nějakou dobu používají prozatímní bezpečnostní opatření. Dodavatelé jako Cisco se ve snaze vyhovět zvýšeným bezpečnostním požadavkům vyvinuli vlastní systémy a zároveň se snaží vylepšit standard 802.11i. Při vývoji standardu 802.11i byl vytvořen šifrovací algoritmus TKIP, který byl spojen s bezpečnostní metodou Wi-Fi Alliance WPA.

Moderní bezdrátové sítě by měly vždy používat standard 802.11i/WPA2. WPA2 je verze standardu Wi-Fi 802.11i, takže termíny WPA2 a 802.11i se často používají zaměnitelně.

Od roku 2006 jsou všechna zařízení s logem Wi-Fi Certified certifikována pro použití WPA2.

Poznámka. Pro optimalizaci výkonu by sítě Wireless-N měly používat režim zabezpečení WPA2-Personal.

V tabulce na Obr. Obrázek 2 ukazuje přehled tří typů metod autentizace pomocí konsensuálního klíče.

Metody šifrování

K ochraně dat se používá šifrování. Pokud útočník zachytil šifrovaná data, nebude schopen je v krátké době dešifrovat.

IEEE 802.11i, Wi-Fi Alliance Standardy WPA a WPA2 používají následující šifrovací protokoly:

· Šifrování pomocí dočasných klíčů (TKIP). TKIP je metoda šifrování, kterou používá standard WPA. Poskytuje podporu pro starší hardware WLAN odstraněním původních zranitelností, které jsou vlastní metodě šifrování 802.11 WEP. Používá WEP, ale provádí šifrování užitečného zatížení vrstvy 2 pomocí TKIP a provádí kontrolu integrity zprávy na zašifrovaném paketu, aby se ujistil, že zpráva není zneužita.

· Advanced Encryption Standard (AES). AES je metoda šifrování, kterou používá standard WPA2. Tato metoda je preferována, protože vyhovuje průmyslovému standardu IEEE 802.11i. AES plní stejné funkce jako TKIP, ale poskytuje mnohem silnější metodu šifrování. Využívá protokol CCMP, který umožňuje cílovým uzlům rozlišovat mezi šifrovanými a nešifrovanými bity použitými neoprávněným způsobem.

Poznámka. Pokud je to možné, měli byste vždy zvolit WPA2 s AES.

V posledních letech se popularita bezdrátových sítí výrazně zvýšila. Růst popularity bezdrátového přístupu je do značné míry ovlivněn faktory, jako je integrace bezdrátových přístupových karet do moderních notebooků, vznik zařízení PDA, rádiových IP telefonů atd. Podle IDC se do konce roku 2004 plánuje, že prodej zařízení pro bezdrátový přístup dosáhne 64 milionů zařízení (pro srovnání, v roce 2002 bylo prodáno 24 milionů zařízení). Bezdrátový přístup lze v dnešní době nalézt v restauracích, hotelech a na letištích, mnoho společností využívá bezdrátové sítě k připojení uživatelů ke své IT infrastruktuře, uživatelé domácí sítě využívají bezdrátový přístup k připojení k internetu. Jen málokdo však klade otázku zabezpečení bezdrátové sítě na první místo.

Zavedení

Problémy se zabezpečením bezdrátové sítě

1. Umístění SSID

Parametr SSID je identifikátor bezdrátové sítě. Slouží k rozdělení uživatelů bezdrátové sítě do logických skupin. SSID umožňuje uživateli připojit se k požadované bezdrátové síti a v případě potřeby může být spojeno s virtuálním ID místní síť(VLAN). Takové srovnání je nezbytné pro organizaci diferenciace úrovní přístupu bezdrátových uživatelů na zdroje podnikové infrastruktury.

Někteří síťoví inženýři se při navrhování bezdrátové sítě domnívají, že SSID je jednou z funkcí zabezpečení a zakázání vysílání hodnoty SSID zvýší zabezpečení sítě. Ve skutečnosti zakázání vysílání tohoto nastavení nejen nezlepší zabezpečení bezdrátové sítě, ale také sníží flexibilitu sítě s ohledem na klienty. Někteří klienti nebudou schopni správně pracovat s rádiovým přístupovým bodem, který nevysílá hodnotu SSID. Je třeba mít na paměti, že i když je vysílání SSID zakázáno, je stále možné určit tento identifikátor, protože jeho hodnota je přenášena v rámcích odezvy sondy. Musíte také pochopit, že rozdělením uživatelů do různých logických skupin pomocí SSID zůstává pravděpodobnost odposlechu provozu, a to i pro uživatele, kteří nejsou registrováni v bezdrátovém přístupovém bodu.

2. Autentizace pomocí MAC adresy

Autentizace je proces určování identity klienta na základě informací poskytnutých klientem, jako je jméno a heslo. Mnoho výrobců bezdrátové zařízení podporu ověřování uživatelská zařízení podle MAC adres, standard IEEE (Institut of Electrical and Electronic Engineers) 802.11 však tento typ autentizace neposkytuje.

Autentizace pomocí MAC adresy bez použití doplňkové metody bezpečnostní opatření je neúčinné. Útočníkovi stačí jednoduše získat přístup k bezdrátové síti, ve které je nakonfigurováno pouze ověřování pomocí MAC adresy. Chcete-li to provést, musíte analyzovat rádiový kanál, na kterém rádiový přístupový bod pracuje s klienty, a získat seznam MAC adres zařízení, která mají přístup k síti. Chcete-li získat přístup k síťovým prostředkům prostřednictvím bezdrátové sítě, musíte nahradit MAC adresu vaší bezdrátové karty známou MAC adresou klienta.

3. Problémy se šifrováním pomocí statických klíčů WEP

WEP (Wired Equivalent Privacy) je klíč, který je určen k šifrování provozu mezi rádiovým přístupovým bodem a jeho uživateli. Šifrování WEP je založeno na slabém šifrovacím algoritmu RC4. Délka klíče WEP je 40 nebo 104 bitů. K úspěšnému dekódování 24bitového signálu na zadní straně je ke klíči přidána nešifrovaná sekvence znaků. Je tedy zvykem hovořit o délkách klíče 64 a 128 bitů efektivní část klíč je pouze 40 a 104 bitů. Stojí za zmínku, že při takové délce statického klíče není třeba hovořit o zvýšené kryptografické stabilitě bezdrátové sítě. Na internetu můžete snadno najít programy, které vám umožní získat klíč WEP na základě provozu shromážděného analyzátorem. Mezi takové programy patří například WEPCrack a AirSnort. Pro zvýšení kryptografické stability je nutné 64bitový statický klíč měnit přibližně každých 20 minut a 128bitový klíč jednou za hodinu. Představte si, že potřebujete každou hodinu změnit statický klíč WEP na přístupovém bodu a všech jeho klientech. Co když je počet uživatelů 100 nebo 1000? Takové řešení nebude vzhledem k nepřiměřené složitosti provozu žádané.

4. Síťové útoky

Síťové útoky lze rozdělit na aktivní a pasivní.

Pasivní útoky zahrnují útoky, které aktivně neovlivňují provoz bezdrátové sítě. Například útočník pomocí programů WEPCrack nebo AirSnort počítá tajný klíč 128bitové šifrování WEP.

Podstatou aktivních útoků je ovlivnění bezdrátové sítě za účelem získání dat, po jejichž zpracování získá přístup ke zdrojům rádiové sítě. Patří mezi ně útoky, jako je opětovné použití inicializačního vektoru a útoky s bitovou manipulací.

Opětovné použití inicializačního vektoru.

Útočník opakovaně zasílá stejné informace (o dříve známém obsahu) uživateli, který pracuje v napadeném bezdrátovém segmentu, prostřednictvím externí síť. Zatímco útočník odesílá informace uživateli, poslouchá také rádiový kanál (kanál mezi uživatelem a napadeným rádiovým přístupovým bodem) a shromažďuje zašifrovaná data, která obsahují informace, které mu byly zaslány. Útočník pak vypočítá sekvenci klíčů pomocí přijatých zašifrovaných dat a známých nezašifrovaných dat.

Bitová manipulace.

Útok je založen na zranitelnosti vektoru integrity. Útočník například manipuluje s bity uživatelských dat v rámci, aby zkreslil informace 3 čtúroveň. Rámec neprošel změnami na spojové vrstvě, kontrola integrity na rádiovém přístupovém bodu je úspěšná a rámec je přenášen dále. Směrovač po přijetí rámce z rádiového přístupového bodu jej rozbalí a zkontroluje, zda je kontrolní součet paketu síťové vrstvy nesprávný. Směrovač vygeneruje chybovou zprávu a odešle rámec zpět do rádiového přístupového bodu. Rádiový přístupový bod paket zašifruje a odešle klientovi. Útočník zachytí zašifrovaný paket se známou chybovou zprávou a poté vypočítá sekvenci klíčů.

5. DoS útoky

Útoky DoS (Deny of Service) zahrnují typy útoků, které vedou k odmítnutí služby klientům bezdrátové sítě. Podstatou těchto útoků je paralyzovat provoz bezdrátové sítě.

Odborníci z Queensland University of Technology zveřejnili informace o objevené zranitelnosti související s hodnocením dostupnosti rádiového kanálu v technologii Direct Sequence Spread Spectrum (DSSS). Na základě této technologie je implementován široce používaný standard 802.11b.

Útočník používá zranitelnost k simulaci neustále vytížené bezdrátové sítě. V důsledku takového útoku budou odpojeni všichni uživatelé pracující s rádiovým přístupovým bodem, ve vztahu k němuž došlo k útoku.

Je třeba také poznamenat, že tento útok lze aplikovat nejen na zařízení pracující ve standardu 802.11b, ale také na zařízení standardu 802.11g, ačkoliv nepoužívá technologii DSSS. To je možné, když je rádiový přístupový bod 802.11g zpětně kompatibilní se standardem 802.11b.

Dnes ochrana před DoS útoky Neexistuje žádný standard 802.11b pro zařízení, ale aby se zabránilo takovému útoku, je vhodné použít zařízení 802.11g (není zpětně kompatibilní s 802.11b).

Jaký je nejlepší způsob, jak vybudovat bezpečnou bezdrátovou síť?

Při návrhu a budování bezdrátové sítě je nutné dbát především na bezpečnost, spolehlivost a také co nejvíce zjednodušit provozní proces.

Jako příklad si uveďme následující úlohu, ve které je nutné zajistit přístup uživatelům konferenčních místností k podnikovým zdrojům. V tomto příkladu se podíváme na vybudování takové sítě založené na zařízeních nabízených různými společnostmi.

Před vybudováním bezdrátové přístupové sítě je nutné prostudovat oblast, tzn. vyzbrojený rádiovým přístupovým bodem a přenosný počítač přejděte na místo navrhované instalace. To vám umožní určit nejúspěšnější umístění rádiových přístupových bodů, což vám umožní dosáhnout maximální oblasti pokrytí. Při budování systému zabezpečení bezdrátového přístupu si musíte pamatovat tři součásti:

autentizační architektura,

autentizační mechanismus

mechanismus pro zajištění důvěrnosti a integrity dat.

Jako architektura ověřování se používá standard IEEE 802.1X. Popisuje jednotnou architekturu pro řízení přístupu k portům zařízení pomocí různých metod autentizace předplatitelů.

Jako autentizační mechanismus použijeme EAP (Extensible Authentication Protocol). Protokol EAP umožňuje autentizaci na základě uživatelského jména a hesla a podporuje také možnost dynamicky měnit šifrovací klíč. Uživatelská jména a hesla musí být uložena na serveru RADIUS.

Jako mechanismus pro zajištění důvěrnosti a integrity dat použijeme protokoly WEP a TKIP (Temporal Key Integrity Protocol). Protokol TKIP umožňuje zvýšenou bezpečnost šifrování WEP, kvůli mechanismům jako MIC a PPK. Pojďme se blíže podívat na jejich účel.

MIC (Message Integrity Check) zlepšuje efektivitu funkce kontroly integrity v standard IEEE 802.11 přidáním následujících polí, SEC (číslo sekvence) a MIC, do rámce, což pomáhá předcházet útokům souvisejícím s opětovným použitím inicializačního vektoru a manipulací s bity.

PPK (Per-Packet Keying) změna šifrovacího klíče paket po paketu. Snižuje pravděpodobnost úspěšných útoků zaměřených na určení klíče WEP, ale nezaručuje úplnou ochranu.

Aby se předešlo útokům typu Denial of Service založeným na zranitelnostech technologie DSSS, bude bezdrátová síť postavena na novém standardu 802.11g (a standard 802.11g by neměl být zpětně kompatibilní se standardem 802.11b). Standard 802.11g je založen na technologii OFDM (Orthogonal Frequency Division Multiplexing). tuto technologii umožňuje dosáhnout rychlosti až 54 Mbps.

Pro zvýšení úrovně zabezpečení vaší bezdrátové sítě je vhodné zvážit použití serveru Cisco WLSE (Wireless LAN Solution Engine). Použití tohoto zařízení umožní odhalit neoprávněné osoby stanovené body rádiový přístup a také centralizované řízení rádiové sítě.

Pro zajištění odolnosti bezdrátových přístupových bodů proti chybám je vhodné použít pohotovostní režim. Ukazuje se tedy, že na jednom rádiovém kanálu budou fungovat 2 body, jeden jako aktivní, druhý jako záložní.

Chcete-li zajistit odolnost proti chybám v ověřeném přístupu, musíte nainstalovat dva ověřovací servery ACS. V tomto případě bude jeden použit jako hlavní a druhý jako záložní.

Při budování bezdrátové sítě s ohledem na požadavky na bezpečnost a odolnost proti chybám jsme tedy použili širokou škálu komponent, které nás ochrání před útoky narušitelů a zabrání případným útokům.

Popisované řešení samozřejmě není z hlediska cenové charakteristiky minimální, nicméně primární pozorností k bezpečnostním otázkám v bezdrátové síti byla minimalizována rizika spojená s možným únikem interních firemních informací.

Evgeniy Porshakov, systémový inženýr INLINE TECHNOLOGIES www.in-line.ru

Ústav finančního a ekonomického zabezpečení

ABSTRAKTNÍ

Bezdrátové zabezpečení

Dokončeno:

Studentka skupiny U05-201

Michajlov M.A.

Zkontrolováno:

docent katedry

Burtsev V.L.

Moskva

2010

Zavedení

Bezpečnostní standard WEP

Bezpečnostní standard WPA

Bezpečnostní standard WPA2

Závěr

Zavedení

Příběh bezdrátové technologie přenos informací začal na konci 19. století přenosem prvního rádiového signálu a ve 20. letech 20. století se objevily první rádiové přijímače s amplitudové modulace. Ve 30. letech se objevilo rádio s frekvenční modulace a televize. V 70. letech první bezdrát telefonní systémy jako přirozený výsledek uspokojení potřeby mobilního přenosu hlasu. Nejprve to byly analogové sítě a na počátku 80. let byl vyvinut standard GSM, který znamenal začátek přechodu na digitální standardy, které poskytují lepší distribuce spektrum, nejlepší kvalita signál, lepší zabezpečení. Od 90. let dvacátého století se pozice bezdrátových sítí posiluje. Bezdrátové technologie jsou v našich životech pevně zakořeněny. Rozvoj s obrovská rychlost, vytvářejí nová zařízení a služby.

Množství nových bezdrátových technologií, jako je CDMA (Code Division Multiple Access, technologie s rozdělení kódu kanály), GSM (globální pro mobilní komunikace, globální systém pro mobilní komunikaci), TDMA (Time Division Multiple Access), 802.11, WAP (Wireless Application Protocol), 3G (třetí generace), GPRS (General Packet Radio Service, služba přenos paketů data), Bluetooth (modrý zub, pojmenovaný po Haraldu Blue Toothovi, vůdci Vikingů, který žil v 10. století), EDGE (Enhanced Data Rates for GSM Evolution, zvýšené přenosové rychlosti jsou uvedeny pro GSM), i-mode atd. naznačuje, že v této oblasti začíná revoluce.

Velmi slibný je také rozvoj bezdrátových lokálních sítí (WLAN), Bluetooth (sítě na střední a krátké vzdálenosti). Bezdrátové sítě jsou rozmístěny na letištích, univerzitách, hotelech, restauracích a podnicích. Historie vývoje standardů bezdrátových sítí začala v roce 1990, kdy byl výbor 802.11 vytvořen globální organizací IEEE (Institute of Electrical and Electronics Engineers). World Wide Web a myšlenka práce na internetu pomocí bezdrátových zařízení daly významný impuls rozvoji bezdrátových technologií. Na konci 90. let byla uživatelům nabídnuta služba WAP, která zpočátku nevzbuzovala mezi obyvateli příliš velký zájem. Jednalo se o základní informační služby - zprávy, počasí, všechny druhy jízdních řádů atd. Také Bluetooth a WLAN byly zpočátku velmi málo žádané, hlavně kvůli vysokým nákladům na tyto komunikační prostředky. S poklesem cen však klesal i zájem veřejnosti. V polovině prvního desetiletí 21. století dosáhl počet uživatelů bezdrátového internetu desítek milionů. S příchodem bezdrátový internet- do popředí se dostaly otázky bezpečnosti komunikace. Hlavními problémy při používání bezdrátových sítí jsou odposlech zpráv od zpravodajských služeb, komerčních podniků a jednotlivců, odposlech čísel kreditních karet, krádež placeného času připojení a rušení práce komunikačních center.

Jako každý počítačová síť, Wi-Fi je zdrojem zvýšeného rizika neoprávněného přístupu. Navíc je mnohem snazší proniknout do bezdrátové sítě než do běžné – nemusíte se připojovat k drátům, stačí být v oblasti příjmu signálu.

Bezdrátové sítě se liší od kabelových sítí pouze v prvních dvou - fyzické (Phy) a částečně kanálové (MAC) - úrovni sedmiúrovňového modelu interakce. otevřené systémy. Vyšší úrovně jsou implementovány jako v drátových sítích a na těchto úrovních je zajištěna skutečná bezpečnost sítě. Rozdíl v zabezpečení těchto a dalších sítí tedy spočívá v rozdílu v zabezpečení fyzické a MAC vrstvy.

Ačkoli se dnes k ochraně sítí Wi-Fi používají složité algoritmické algoritmy matematické modely autentizace, šifrování dat a kontrola integrity jejich přenosu, nicméně pravděpodobnost přístupu k informacím neoprávněnými osobami je velmi významná. A pokud není konfiguraci sítě věnována náležitá pozornost, útočník může:

· získat přístup ke zdrojům a diskům uživatelů Wi-Fi sítě a jejím prostřednictvím ke zdrojům LAN;

· odposlouchávat provoz, extrahovat z něj důvěrné informace;

· zkreslují informace procházející sítí;

· zavést falešné přístupové body;

· rozesílat spam a provádět další nezákonné akce jménem vaší sítě.

Než se ale pustíte do ochrany vaší bezdrátové sítě, musíte pochopit základní principy její organizace. Bezdrátové sítě se obvykle skládají z přístupových uzlů a klientů s bezdrátovými adaptéry. Přístupové uzly a bezdrátové adaptéry jsou vybaveny transceivery pro vzájemnou výměnu dat. Každému přístupovému bodu a bezdrátovému adaptéru je přiřazen 48bitový MAC adresa, která je funkčně ekvivalentní ethernetové adrese. Přístupové uzly propojují bezdrátové a kabelové sítě a umožňují bezdrátovým klientům přístup ke kabelovým sítím. Komunikace mezi bezdrátovými klienty v sítích ad hoc je možná bez AP, ale tato metoda se v institucích používá jen zřídka. Každá bezdrátová síť je identifikována administrátorem přiděleným SSID (Service Set Identifier). Bezdrátoví klienti mohou komunikovat s AP, pokud rozpoznají SSID přístupového uzlu. Pokud je v bezdrátové síti několik přístupových uzlů se stejným SSID (a stejnými parametry ověřování a šifrování), je možné mezi nimi přepínat mobilní bezdrátové klienty.

Nejběžnější bezdrátové standardy jsou 802.11 a jeho pokročilé varianty. Specifikace 802.11 definuje charakteristiky sítě pracující rychlostí až 2 Mbit/s. Vylepšené verze poskytují vyšší rychlosti. První, 802.11b, je nejrozšířenější, ale je rychle nahrazován standardem 802.11g. Bezdrátové sítě 802.11b pracují v pásmu 2,4 GHz a poskytují rychlost přenosu dat až 11 Mbps. Vylepšená verze, 802.11a, byla ratifikována dříve než 802.11b, ale přišla na trh později. Zařízení tohoto standardu pracují v pásmu 5,8 GHz s typickými rychlostmi 54 Mbps, ale někteří prodejci nabízejí vyšší rychlosti až 108 Mbps v turbo režimu. Třetí, vylepšená verze, 802.11g, pracuje v pásmu 2,4 GHz, stejně jako 802.11b, s standardní rychlost 54 Mbit/s a vyšší (až 108 Mbit/s) v turbo režimu. Většina bezdrátových sítí 802.11g je schopna pracovat s klienty 802.11b díky zpětné kompatibilitě zabudované ve standardu 802.11g, ale praktická kompatibilita závisí na konkrétní implementaci dodavatele. Většina moderních bezdrátových zařízení podporuje dvě nebo více variant 802.11. Nový bezdrátový standard, 802.16, označovaný jako WiMAX, je navržen se specifickým účelem poskytovat bezdrátový přístup podnikům a domácnostem prostřednictvím stanic podobných mobilní komunikace. Tato technologie není v tomto článku diskutována.

Skutečný dosah přístupového bodu závisí na mnoha faktorech, včetně varianty 802.11 a provozní frekvence zařízení, výrobce, napájení, anténa, vnější a vnitřní stěny a topologie sítě. Bezdrátový adaptér s úzkou paprskovou anténou s vysokým ziskem však může zajistit komunikaci s AP a bezdrátovou sítí na značnou vzdálenost, až asi jeden a půl kilometru v závislosti na podmínkách.

Vzhledem k veřejné povaze rádiového spektra existují jedinečné bezpečnostní obavy, které se v drátových sítích nevyskytují. Chcete-li například odposlouchávat zprávy v kabelové síti, potřebujete k nim fyzický přístup síťová součást, jako je bod připojení zařízení k místní síti, přepínač, směrovač, firewall nebo hostitelský počítač. Bezdrátová síť potřebuje pouze přijímač jako např běžný skener frekvence Vzhledem k otevřenosti bezdrátových sítí připravili standardní vývojáři specifikaci Wired Equivalent Privacy (WEP), ale její použití bylo volitelné. WEP používá sdílený klíč, který je znám bezdrátovým klientům a přístupovým uzlům, se kterými komunikují. Klíč lze použít jak pro autentizaci, tak pro šifrování. WEP používá šifrovací algoritmus RC4. 64bitový klíč se skládá ze 40 uživatelsky definovaných bitů a 24bitového inicializačního vektoru. Ve snaze zlepšit zabezpečení bezdrátových sítí vyvinuli někteří výrobci zařízení pokročilé algoritmy se 128bitovými nebo delšími klíči WEP, které se skládají ze 104bitové nebo delší uživatelské části a inicializačního vektoru. WEP se používá se zařízeními kompatibilními s 802.11a, 802.11b a 802.11g. Navzdory zvýšené délce klíče jsou však nedostatky WEP (zejména slabé autentizační mechanismy a šifrovací klíče, které lze odhalit kryptoanalýzou) dobře zdokumentovány a WEP se dnes nepovažuje za spolehlivý algoritmus.

V reakci na nedostatky WEP se Wi-Fi Alliance rozhodla vyvinout standard Wi-Fi Protected Access (WPA). WPA je lepší než WEP přidáním protokolu TKIP (Temporal Key Integrity Protocol) a silného autentizačního mechanismu založeného na 802.1xa EAP (Extensible Authentication Protocol). WPA se měl stát pracovním standardem, který by mohl být předložen IEEE ke schválení jako rozšíření standardů 802.11. Rozšíření 802.11i bylo ratifikováno v roce 2004 a WPA bylo aktualizováno na WPA2, aby bylo kompatibilní s Advanced Encryption Standard (AES) namísto WEP a TKIP. WPA2 je zpětně kompatibilní a lze jej použít ve spojení s WPA. WPA bylo určeno pro podnikové sítě s autentizační infrastrukturou RADIUS (Remote Authentication Dial-In User Service), ale verze WPA s názvem WPA Pre-Shared Key (WPAPSK) získala podporu od některých výrobců a připravuje se pro použití v malém podniky. Stejně jako WEP pracuje WPAPSK se sdíleným klíčem, ale WPAPSK je bezpečnější než WEP.

Oblíbené v kategorii: