Уже давно используемое при пересылке важной электронной корреспонденции шифрование данных нашло применение и в беспроводных сетях. Для защиты данных от чужих глаз, в аппаратуре для беспроводной связи реализованы различные криптографические алгоритмы. При покупке оборудования важно убедиться в том, что оно поддерживает не только низкоуровневое 40-разрядное шифрование, но и 128-битный шифр повышенной стойкости.
Чтобы включить криптографическую защиту можно задействовать системы WEP (Wired Equivalent Privacy - "эквивалент проводной безопасности") или WPA (Wi-Fi Protected Access - "защищённый доступ к Wi-Fi"). Первая система менее стойкая, поскольку в ней используются статические (постоянные) ключи. Защищённые по этому протоколу сети взламываются хакерами без особого труда - соответствующие утилиты нетрудно найти в интернете. Тем не менее, по оценкам специалистов, даже этот протокол не задействован в более половины работающих корпоративных беспроводных сетей. Одним из средств повышения действенности WEP является регулярная автоматическая смена ключей, но даже в этом случае сеть не получает стопроцентной защиты. Попытки проникнуть в такую сеть оставят лишь случайные люди, обнаружившие её, но злонамеренных специалистов WEP не остановит, поэтому для полноценной защиты корпоративных сетей данный протокол использоваться не может.
В недалёком прошлом у организаторов беспроводных сетей не было иного выбора, как использовать протокол WEP, поддержка которого сохраняется в современных устройствах как в целях обеспечения совместимости оборудования, так и для обеспечения хотя бы минимального уровня безопасности в случае невозможности использования более современных протоколов. Сегодня WEP реализуется в двух модификациях: с 64- и 128-разрядным шифрованием. Однако корректнее было бы говорить о ключах длиной 40 и 104 бит, поскольку 24 бит из каждого ключа содержат служебную информацию и никак не влияют на стойкость кода. Однако это не столь важно, поскольку главным недостатком WEP являются статические ключи, для подбора которых злоумышленникам необходимо лишь в течение определённого времени сканировать сеть, перехватывая передаваемую информацию.
Повторим, что более-менее приемлемый уровень безопасность можно лишь при помощи регулярной смены ключей и при использовании 128-битного шифрования. Частота смены ключей зависит от частоты и длительности соединений, при этом необходимо обеспечить отработанную защищённую процедуру передачи новых ключей тем сотрудникам, которые пользуются доступом в беспроводную сеть.
Более эффективное шифрование обеспечивает протокол WPA, в котором реализовано динамическое создание ключей, что исключает возможность перехвата или подбора ключа, а также система идентификации (логин-пароль) при подключении к сети на основе протокола EAC (Extensible Authentication Protocol - "расширяемый протокол аутентификации"). В протоколе WPA 128-разрядные ключи генерируются автоматически при передаче каждых десяти килобайт данных, причём число этих ключей достигает сотен миллиардов, что делает практически невозможным подбор при помощи сканирования даже при отработанной методике перехвата информации. Кроме того, в этом протоколе реализован алгоритм проверки целостности данных MIC (Message Integrity Check), предотвращающий возможность злонамеренного изменения передаваемых данных. А вот выбору паролей следует уделять особое внимание: по мнению экспертов, для обеспечения высокого уровня безопасности длина пароля должна составлять не менее 20 знаков, причём он не должен представлять собой набор слов или какую-то фразу, поскольку такие пароли легко вскрываются методом словарного подбора.
Проблема с WPA заключается в том, что официально он был внесён в спецификации IEEE 802.11 лишь в середине 2004 года, поэтому далеко не всё беспроводное оборудование, выпущенное более полутора лет назад, способно работать по этому стандарту. Более того, если в сети есть хотя бы одно устройство, не поддерживающее WPA, будет применяться простое шифрование WEP, даже если WPA включён в настройках всего прочего оборудования.
Тем не менее, оборудование постоянно совершенствуется и в современных устройствах поддерживается новая, ещё более защищённая версия WPA2, работающая с динамическими ключами длиной 128, 192 и 256 бит.
|
Цитата: |
|
|
|
|
|
|
|
|
Взлом Сети.
Точки доступа в беспроводных сетях работают примерно как радио, и распространяют сигнал во все стороны а не направленно, а значит и подключится в такую сеть не составит особенных проблем. Для взлома теперь нет необходимости в проводах, злоумышленник может вообще находится в соседнем здании, и спокойно брать информацию с Вашего компьютера. Сделать для ограничения доступа можно многое: 1) Имя домена или рабочей группы должно держаться в секрете, кроме того, оно не должно быть простым. 2) Имена компьютеров в сети не должны совпадать с именами адресов электронной почты. 3) При необходимости и только при необходимости открывать доступ на компьютер с определенного адреса.
Эти меры просты, но довольно тяжело выполнимы. Однако не следует забывать, что доступ к сети можно получить только подключаясь к сети, кому то будет достаточно подслушивать что у Вас там происходит. Многие администраторы пользуются программами для слежения за передаваемой информацией, такими программами может воспользоваться и взломщик.
Передаваемая информация с одного компьютера на другой может оказаться очень важной. Что можно сделать что бы обезопасить себя от посягательств с этой стороны. 1) Точка доступа должна стоять как можно дальше от внешней стены. Стены экранируют радио волны однако не полностью и чем ближе находится передатчик к стене тем сильнее сигнал снаружи. При падении скорости снаружи человек просто получит неточную информацию которую он хотел «подслушать», скажем в идеале он подключился со скоростью около 1 Мбита, а вы передаете информацию со скоростью 6 Мбит, можете сами представить что он там поймает…. 2) Использовать шифрование. Практически все устройства поставляемые на рынок используют 64 битное шифрование, и эта проблема можно сказать уже Вас не касается, однако если Вы страдаете паранойей то можете использовать и 128 битное шифрование, но такое шифрование снижает скорость примерно на треть. А для справки компания Distributed.net публикует результаты о попытке расшифровать 64 битное шифрование, для этого используется около 300000 компьютеров и вся эта техника пытается расшифровать всего одно предложение вот уже на протяжении 4 лет. |
|
|
|
|
|