Автор работы: Пользователь скрыл имя, 06 Декабря 2013 в 15:00, реферат
Комитет по стандартам IEEE 802 сформировал рабочую группу по стандартам для беспроводных локальных сетей 802.11 в 1990 году. Эта группа занялась разработкой всеобщего стандарта для радиооборудования и сетей, работающих на частоте 2,4 ГГц, со скоростями доступа 1 и 2 Mbps (Megabits-per-second). Работы по созданию стандарта были завершены через 7 лет, и в июне 1997 года была ратифицирована первая спецификация 802.11. Стандарт IEEE 802.11 являлся первым стандартом для продуктов WLAN от независимой международной организации, разрабатывающей большинство стандартов для проводных сетей.
- Скорость: 125 Mbpsк
- Радиус действия: 50 м
- Протоколы обеспечения безопасности:
WEP, WPA, WPA2
- Уровень безопасности: Высокий
802.11n
Будущий стандарт, разработки которого
ведутся в данный момент. Этот стандарт
должен обеспечить большие расстояния
охвата беспроводных сетей и более высокую
скорость, вплоть до 540 Мбит/сек.
- Скорость: 540 Mbpsк
- Радиус действия: неизвестно м
- Протоколы обеспечения безопасности:
WEP, WPA, WPA2
- Уровень безопасности: Высокий
В таблице приведены основные характеристики перечисленных стандартов.
Стандарт |
802.11a |
802.11b |
802.11g |
802.11i |
802.11n |
Используемый частотный диапазон |
5.150-5.350GHz |
2.400-2.483GHz |
2.400-2.483GHz |
2.400-2.483GHz |
2.400-2.483GHz |
Технология модуляции |
OFDM |
DSSS |
OFDM |
||
Поддерживаемые скорости передачи на канал, Мбит/с |
6, 9, 12, 18, 24, 36, 48, 54 |
1, 2, 5.5, 11 |
1, 2, 5.5, 6, 9, 11, 12, 24, 33, 36, 48, 54 |
||
Максимальная скорость передачи данных, Мбит/с |
54 |
11 |
54 |
108 |
540 |
Дальность действия, м |
10-100 |
30-300 |
30-300 |
30-300 |
50-400 |
Поддерживаемые технологии шифрования |
WEP |
WEP |
WEP, WPA, WPA2 |
WEP, WPA, WPA2, AES |
WEP, WPA, WPA2, AES |
Wi-Fi Protected Access (WPA и WPA2) — протокол безопасности, применяемый для обеспечения безопасности в беспроводных сетях. Он был создан в качестве замены для Wired Equivalent Privacy
(WEP), в которой были обнаружены серьёзные уязвимости. WPA реализует большую часть стандарта IEEE 802.11i и предназначен для замены WEP пока 802.11i не будет готов. WPA2 реализует полный стандарт, но
он не будет работать на некоторых старых сетевых картах.
Существует два вида WPA:
- WPA-PSK (Pre-shared key).
Для генерации ключей сети и для входа
в сеть используется ключевая фраза. Оптимальный
вариант для домашней или небольшой офисной
сети.
- WPA-802.1x.(Enterprise)
Вход в сеть осуществляется через сервер
аутентификации. Оптимально для сети крупной
компании.
WPA — это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA = 802.1X + EAP + TKIP + MIC, где:
Ключевыми здесь являются новые модули TKIP и MIC.
Стандарт TKIP использует
автоматически подобранные 128-битные
ключи, которые создаются
Технология проверки целостности сообщений MIC(Message Integrity Check) обороняет от внешнего проникновения и изменения информации. Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.
Правда, TKIP сейчас не является лучшим в реализации шифрования, поскольку в силу вступают новые алгоритмы, основанные на технологии Advanced Encryption Standard (AES), которая, кстати говоря, уже давно используется в VPN.
WPA является суммой нескольких элементов, и ниже мы рассмотрим каждый из них.
Аутентификация пользователя.
Стандарт WPA использует 802.1x и расширенный протокол аутификации (Extensible Authentication Protocol, EAP) в качестве основы для механизма аутентификации.
Аутентификация
требует, чтобы пользователь
База данных и система проверки в больших сетях обычно принадлежат специальному серверу - чаще всего RADIUS(централизованный сервер аутентификации).
Сервер RADIUS сначала
проверяет аутентифицирующую
Однако, поскольку применение WPA подразумевается всеми категориями пользователей беспроводных сетей, стандарт имеет упрощённый режим, который не требует использования сложных механизмов.
Этот режим называется Pre-Shared Key (WPA-PSK) - при его использовании необходимо ввести один пароль на каждый узел беспроводной сети (точки доступа, беспроводные маршрутизаторы, клиентские адаптеры, мосты).
До тех пор, пока пароли совпадают, клиенту будет разрешён доступ в сеть.
На Рис. 1 показан весь процесс.
EAP методы аутентификации:
● Tunneled TLS (TTLS) -- EAP расширяющий возможности EAP-TLS. EAP-TTLS использует безопасное соединение, установленное в результате TLS-квитирования для обмена дополнительной информацией между саппликантом и сервером аутентификации.
Шифрование
Несмотря на то, что предшественник WPA, протокол WEP, не имел каких-либо механизмов аутентификации вообще, ненадёжность WEP заключается в криптографической слабости алгоритма шифрования, ключевая проблема WEP кроется в слишком похожих ключах для различных пакетов данных.
Части TKIP, MIC и 802.1X уравнения WPA играют свою роль в усилении шифрования данных сетей с WPA:
TKIP увеличивает
размер ключа с 40 до 128 бит и
заменяет один статический ключ
WEP ключами, которые
Для этого TKIP усиливает структуру 802.1X/ EAP. Сервер аутентификации, после принятия мандата пользователя (credential), использует 802.1X для создания уникального основного ключа (двустороннего) для данного сеанса связи. TKIP передаёт этот ключ клиенту и точке доступа, затем настраивает иерархию ключей и систему управления, используя двусторонний ключ для динамического создания ключей шифрования данных, которые используются для шифрования каждого пакета данных, которые передаются по беспроводной сети во время сеанса пользователя. Иерархия ключей TKIP заменяет один статический ключ WEP на примерно 500 миллиардов возможных ключей, которые будут использоваться для шифрования данного пакета данных.
Проверка
целостности сообщений (Message Integrity Check,
MIC) предназначена для
С помощью значительного увеличения размера ключей и числа используемых ключей, а также создания механизма проверки целостности, TKIP преумножает сложность декодирования данных в беспроводной сети. TKIP значительно увеличивает силу и сложность беспроводного шифрования, делая процесс вторжения в беспроводную сеть намного более сложным, если не невозможным вообще.
Важно отметить, что механизмы шифрования, используемые для WPA и WPA-PSK, являются одинаковыми. Единственное отличие WPA-PSK заключается в том, что там аутентификация производится по какому-либо паролю, а не по мандату пользователя. Некоторые наверняка заметят, что подход с использованием пароля делает WPA-PSK уязвимой для атаки методом подбора, и в чём-то они будут правы. Но мы хотели бы отметить, что WPA-PSK снимает путаницу с ключами WEP, заменяя их целостной и чёткой системой на основе цифробуквенного пароля.
Robert Moskowitz из ICSA Labs обнаружил, что ключевая фраза WPA может быть взломана. Это происходит из-за того, что хакер может заставить точку доступа регенерировать обмен ключами менее чем за 60 секунд. И даже если обмен ключами достаточно безопасен для мгновенного взлома, его можно будет сохранить и использовать для оффлайнового перебора. еще один вопрос заключается в том, что EAP передает данные открытым текстом. Изначально для шифрования EAP сессий использовался Transport Layer Security (TLS), но для его работы на каждом клиенте требуется сертификат. TTLS несколько исправил эту проблему
В отличие от WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.
Предусматривает новые, более надежные механизмы обеспечения целостности и конфиденциальности данных:
Вклад в обеспечение безопасности беспроводных сетей механизм CCMP и стандарт IEEE 802.11i.
Последний вводит понятие надежно защищенной сети (Robust Security Network, RSN) и надежно защищенного сетевого соединения (Robust Security Network Association, RSNA), после чего делит все алгоритмы на:
К Pre-RSNA-алгоритмам относятся:
То есть к данным типам алгоритмов относятся аутентификация Open System с WEP-шифрованием или без (точнее, отсутствие аутентификации) и Shared Key.
К RSNA-алгоритмам относятся:
При этом алгоритм CCMP является обязательным, а TKIP – опциональным и предназначен для обеспечения совместимости со старыми устройствами.
Стандартом предусмотрены две функциональные модели: с аутентификацией по IEEE 802.1x, т. е. с применением протокола EAP, и с помощью заранее предопределенного ключа, прописанного на аутентификаторе и клиенте (такой режим называется Preshared Key, PSK). В данном случае ключ PSK выполняет роль ключа PMK, и дальнейшая процедура их аутентификации и генерации ничем не отличается.
Так как алгоритмы шифрования, использующие процедуру TKIP, уже принято называть WPA, а процедуру CCMP – WPA2, то можно сказать, что способами шифрования, удовлетворяющими RSNA, являются: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal).
Процедура установления соединения и обмена ключами для алгоритмов TKIP и CCMP одинакова. Сам CCMP (Counter mode (CTR) with CBC-MAC (Cipher-Block Chaining (CBC) with Message Authentication Code (MAC) Protocol) так же, как и TKIP, призван обеспечить конфиденциальность, аутентификацию, целостность и защиту от атак воспроизведения. Данный алгоритм основан на методе CCM-алгоритма шифрования AES, который определен в спецификации FIPS PUB 197. Все AES-процессы, применяемые в CCMP, используют AES со 128-битовым ключом и 128-битовым размером блока.
Последним нововведением стандарта является поддержка технологии быстрого роуминга между точками доступа с использованием процедуры кэширования ключа PMK и преаутентификации.
Процедура кэширования PMK заключается в том, что если клиент один раз прошел полную аутентификацию при подключении к какой-то точке доступа, то он сохраняет полученный от нее ключ PMK, и при следующем подключении к данной точке в ответ на запрос о подтверждении подлинности клиент пошлет ранее полученный ключ PMK. На этом аутентификация закончится, т. е. 4-стороннее рукопожатие (4-Way Handshake) выполняться не будет.