Реферат: Безопасность беспроводных сетей
После этого можно разрешить обращение
к узлам доступа только от беспроводных клиентов с известными MAC-адресами.
Такая мера едва ли уместна в крупной организации, но на малом предприятии с
небольшим числом беспроводных клиентов это надежная дополнительная линия
обороны. Взломщикам потребуется выяснить MAC-адреса, которым разрешено
подключаться к AP предприятия, и заменить MAC-адрес собственного беспроводного
адаптера разрешенным (в некоторых моделях адаптеров MAC-адрес можно изменить).
Выбор параметров аутентификации и
шифрования может оказаться самой сложной операцией защиты беспроводной сети.
Прежде чем назначить параметры, необходимо провести инвентаризацию узлов
доступа и беспроводных адаптеров, чтобы установить поддерживаемые ими протоколы
безопасности, особенно если беспроводная сеть уже организована с использованием
разнообразного оборудования от различных поставщиков. Некоторые устройства,
особенно старые AP и беспроводные адаптеры, могут быть несовместимы с WPA, WPA2
или ключами WEP увеличенной длины.
Еще одна ситуация, о которой следует
помнить, — необходимость ввода пользователями некоторых старых устройств
шестнадцатеричного числа, представляющего ключ, а в других старых AP и
беспроводных адаптерах требуется ввести фразу-пароль, преобразуемую в ключ. В
результате трудно добиться применения одного ключа всем оборудованием.
Владельцы подобного оборудования могут использовать такие ресурсы, как WEP Key
Generator, для генерации случайных ключей WEP и преобразования фраз-паролей в
шестнадцатеричные числа.
В целом WEP следует применять лишь в
случаях крайней необходимости. Если использование WEP обязательно, стоит
выбирать ключи максимальной длины и настроить сеть на режим Open вместо Shared.
В режиме Open в сети аутентификация клиентов не выполняется, и установить
соединение с узлами доступа может каждый. Эти подготовительные соединения
частично загружают беспроводной канал связи, но злоумышленники, установившие
соединение в AP, не смогут продолжать обмен данными, так как не знают ключа
шифрования WEP. Можно блокировать даже предварительные соединения, настроив AP
на прием соединений только от известных MAC-адресов. В отличие от Open, в
режиме Shared узел доступа использует ключ WEP для аутентификации беспроводных
клиентов в процедуре запрос-отклик, и взломщик может расшифровать
последовательность и определить ключ шифрования WEP.
Если можно применить WPA, то
необходимо выбрать между WPA, WPA2 и WPA-PSK. Главным фактором при выборе WPA
или WPA2, с одной стороны, и WPA-PSK — с другой, является возможность
развернуть инфраструктуру, необходимую WPA и WPA2 для аутентификации
пользователей. Для WPA и WPA2 требуется развернуть серверы RADIUS и, возможно,
Public Key Infrastructure (PKI). WPA-PSK, как и WEP, работает с общим ключом,
известным беспроводному клиенту и AP. WPA-PSK можно смело использовать общий
ключ WPA-PSK для аутентификации и шифрования, так как ему не присущ недостаток
WEP.
|