Без проводов и без защиты Ермолаев Евгений aka Saturn Спецвыпуск: Хакер, номер #059, стр. 059-018-5 IEEE 802.11i - семь бед, один ответ? Этого стандарта безопасности ждали. Очень долго и с большими надеждами. Наконец, после четырех лет ожидания, 24 июня 2004 года он был принят, и для определенных кругов это было событие года. Однако 802.11i во многом похож на WPA (поэтому 802.11i иногда называют WPA2). Однако есть несколько кардинальных отличий. Во-первых, вместо RC4 используется AES. Он появился совсем недавно и обладает хорошей криптостойкостью (на данный алгоритм пока нет известных атак), а его симметрическая природа делает его достаточно быстрым. Появились такие понятия, как надежно защищенная сеть (RSN) и надежно защищенное сетевое соединение (RSNA). Добавлен механизм CCMP, состоящий из связки алгоритма шифрования AES и кода CBC-MAC. CCMP выполняет две важные задачи: обеспечение конфиденциальности и аутентификация. В рамках стандарта 802.11i алгоритм CCMP является обязательным, тогда как TKIP – опциональным (для совместимости со старыми устройствами). Пожалуй, последнее важное отличие от WPA - поддержка быстрого роуминга между точками доступа. Если рассмотреть принципиальные отличия 802.11i от предыдущего протокола, становится понятно, что разница в степени защиты невелика. Можно констатировать тот факт, что 802.11i, скорее всего, не станет таким же универсальным и надежным средством защиты, каким когда-то стал VPN. Уже сейчас можно назвать несколько типов атак, к которым WPA2 проявляет особую слабость: - Традиционные для беспроводных сетей атаки на физическом уровне. - Использование служебных фреймов для подмены MAC-адреса. Такая атака возможна благодаря тому, что при передаче служебной информации точка доступа и клиент не выполняют процедуру аутентификации. - Атаки посредством запросов IEEE 802.1x. Дело в том, что стандарт 802.11i не умеет отклонять запросы на аутентификацию, поэтому точку доступа можно "перегрузить". Есть ли защита в 802.11? Ответ на вопрос заголовка – "да". На сегодняшний день связка "WPA+VPN" (а тем более "WPA2+VPN") делает беспроводную сеть достаточно защищенной для передачи даже особо ценной информации. Однако многие ли устанавливают подобную защиту? По данным исследования, проведенного лабораторией сетевой безопасности компании "ИнформЗащита", только 5% сетей в Москве используют технологии WPA или 802.11i. Более 2/3 сетей не защищено ничем! На остальных настроен дырявый WEP. Делай выводы. |