Безопасность беспроводных сетей IEEE 802.11

WiFi (Wireless Fidelity–«беспроводная точность») – торговая марка WiFi Alliance для беспроводных сетей на базе стандарта IEEE 802.11.

В таблице 7.2 представлена информация о стандартах этой технологии и их характеристики.

Таблица 7.2 – Характеристики WiFi

Стандарт 802.11 предусматривает три средства защиты беспроводных сетей:

1 Контроль доступа по имени сети. Используется уникальный код ESSID, который идентифицирует беспроводную локальную вычислительную сеть (Wireless Local Area Network – WLAN).

2 Контроль доступа по MAC-адресам. На точке доступа задается список MAC-адресов, которым разрешена или запрещена авторизация.

3 Шифрование трафика по протоколу WEP (Wired Equivalent Privacy). Шифрование использует алгоритм RC4 с длиной ключа 64 бита и 128 битов. Протокол безопасности WEP предусматривает два способа аутентификации пользователей: Open System (открытая) и Shared Key (общая). При использовании открытой аутентификации любой пользователь может получить доступ в беспроводную сеть. Однако даже при использовании открытой системы допускается использование WEP-шифрования данных.

Исследования выявили уязвимости протокола WEP. Более совершенными с точки зрения обеспечения безопасности являются протоколы IEEE 802.1x и WPA.

Стандарт IEEE 802.1x используется при аутентификации и авторизации пользователей с последующим предоставлением доступа к среде передачи данных. При этом применяются динамические ключи вместо статических, используемых в WEP, и проверку клиентов на сервере RADIUS.

Протокол WPA (WiFi Protected Access) также обеспечивает динамическую генерацию ключей шифрования и использует алгоритм шифрования RC4. Кроме того, протокол WPA поддерживает шифрование по стандарту AES (Advanced Encryption Standard). При использовании WPA в малых сетях имеется возможность обойтись без настройки сервера RADIUS и задавать ключи вручную.

IEEE 802.11i должен заменить собой WEP. 802.11i включает в себя все функции WPA и использует криптоалгоритм AES. Иногда стандарт 802.11i называют WPA2.

Таким образом, можно выделить следующую совокупность действий для обеспечения безопасности беспроводной сети по технологии IEEE 802.11.

1 Уменьшить зону радиопокрытия (до минимально приемлемой). В идеале, зона радиопокрытия сети не должна выходить за пределы контролируемой территории.

2 Изменить пароль администратора, установленный по умолчанию.

3 Активизировать фильтрацию по MAC-адресам.

4 Запретить широковещательную рассылку идентификатора сети (SSID).

5 Изменить идентификатор сети (SSID), установленный по умолчанию.

6 Периодически изменять идентификатор сети (SSID).

7 Активизировать функции WEP.

8 Периодически изменять WEP-ключи.

9 Установить и настроить антивирусные программы у абонентов беспроводной сети.

10 Выполнить соответствующие настройки фильтрации трафика на телекоммуникационном оборудовании и межсетевых экранах.

11 Обеспечить резервирование оборудования, входящего в состав беспроводной сети.

12 Обеспечить резервное копирование ПО и конфигураций оборудования.

13 Осуществлять периодический мониторинг состояния защищенности беспроводной сети с помощью специализированных средств анализа защищенности для беспроводных сетей.