Wi-Fi. Беспроводная сеть
Шрифт:
Некоторые ученые, изучающие компьютеры, опубликовали доклады о WEP-шифровании, в которых приводятся аргументы против его использования для защиты конфиденциальных данных. Все они указывают на серьезные недостатки в теории и практике криптографии, используемые при составлении алгоритмов WEP-шифрования. Эти эксперты единогласны в своих рекомендациях: всякий, кто использует беспроводную сеть 802.11, не должен полагаться на WEP в целях защиты. Необходимо задействовать
Группа из Калифорнийского университета в Беркли нашла многочисленные недостатки в алгоритме WEP, делающие его уязвимым по крайней мере для четырех различных видов атак:
— пассивных атак с использованием статистического анализа для декодирования данных;
— активных атак с созданием шифрованных пакетов, которые заставляют точку доступа принимать ложные команды;
— атак с анализом шифрованных пакетов для создания словаря, который затем может быть использован для автоматического декодирования данных в реальном времени;
— атак с изменением заголовков пакетов для перенаправления данных в точку назначения, управляемую атакующим.
Доклад из Беркли завершается недвусмысленным утверждением: «WEP-защита не эквивалентна проводной. Проблемы с протоколом — это результат неправильного понимания некоторых основ криптографии и, следовательно, небезопасного использования методов шифрования».
Исследователи из Университета Раиса и из AT&T Labs опубликовали собственное описание своих атак на сети с WEP-шифрованием , что привело их к похожему заключению: «WEP в 802.11 полностью небезопасен». Они смогли заказать и получить необходимое оборудование, установить испытательный стенд, разработать свой инструмент для атаки и успешно завладеть 128-битным WEP-ключом менее чем за неделю.
Как доклады из Беркли, так и доклады AT&T Labs написаны техническими экспертами и для технических экспертов, с анализом криптографии. Их доводы понятны, но методы предполагают наличие у недоброжелателя некоторых серьезных технических знаний. Тем не менее инструменты для менее искушенных взломщиков кодов можно найти так же легко. Как AirSnort , так и WEPCrack являются программами для Linux, которые отслеживают сигналы беспроводной сети и используют слабые места WEP-алгоритма для получения ключа кодирования.
Разработчики AirSnort утверждают, что их программа может успешно взламывать большинство сетей в течение двух недель. Данная технология отслеживает сетевые сигналы без влияния на них, поэтому сетевой администратор не может обнаружить наличие атаки. Программа выпускается с целью усугубления проблемы. Если взломать WEP-шифрование легко, группы, создающие стандарты, вынуждены либо искать способ сделать его безопаснее, либо заменить более трудным для взлома вариантом.
Подведем итог: смотрите на это проще и шифруйте свои сетевые данные.
Шифрованные данные защищеннее передачи открытым текстом, а взлом WEP-ключа требует времени, поэтому WEP добавляет другой (предположительно слабый) уровень защиты, особенно если вы часто меняете ключи. Для защиты вас от серьезных врагов WEP-шифрование много сделать не в состоянии, но оно обезопасит от случайных недоброжелателей. Гораздо проще проникнуть в сеть, не использующую шифрование (что
Помощь на подходе
Очевидно, что схема защиты с прорехами, достаточными для того, чтобы провести через них гигантский «цифровой грузовик», почти так же плоха, как и полное отсутствие защиты. Успешные атаки на WEP-шифрование и легко доступные инструменты для использования недостатков протокола защиты заставляют участников Wi-Fi Alliance серьезно задуматься о поддержке своей лицензии как стандарта де-факто для беспроводной сети. Такие слова, как «кризис», используются ими для описания внимания, уделяемого данным проблемам.
Они хотят найти решение до того, как дурная слава о взломах защиты перевесит спрос на беспроводное Ethernet-оборудование, тщательно созданное и разрекламированное ими.
Новые стандарты, которые разрешат эту проблему, будут называться 802.11i.IEEE. Комитет стандартов 802.11 приступил к обсуждению проблемы за несколько месяцев до того, как она стала достоянием общественности. Комитет, названный Task Group i (TGi), занят работой над новой усовершенствованной спецификацией защиты, которая будет (как предполагается) лишена всех известных недостатков стандартов WEP-шифрования. Группа обещает, что новые инструменты защиты заработают автоматически и будут совместимы с более старым оборудованием, не использующим новые инструменты. У исследовательской группы есть Web-сайт нагде можно найти информацию о встречах и прочесть некоторые технические документы.
Wi-Fi Alliance желает, чтобы его члены приступили к использованию продукта TGi как можно быстрее. Это может разрядить ситуацию до того, как она превратится в коммерческое бедствие. Как только инженеры сообщат о найденном решении, все производители точек доступа и сетевых адаптеров будут интегрировать новые методы защиты в свою продукцию, a Alliance добавит их к тестовому комплекту сертификации Wi-Fi. Обновленное программное обеспечение и прошивки обеспечат совместимость существующих продуктов 802.11b с новыми протоколами 802.11i.
Большинство точек доступа имеет функцию, разрешающую сетевому администратору ограничивать доступ к адаптерам клиентов из заданного списка. Если сетевое устройство, чей МАС-адрес не присутствует в списке авторизованных пользователей, пытается подключиться, точка доступа игнорирует запрос на ассоциирование с сетью. Такой способ может стать эффективным для предотвращения подключения посторонних к беспроводной сети, но это вынуждает сетевого администратора хранить полный список адаптеров пользователей и их МАС-адресов. Каждый раз, когда новый пользователь хочет подключиться к сети и когда легальный пользователь меняет адаптеры, кто-то должен добавлять в список еще один МАС-адрес. Это осуществимо в домашней или малой офисной сети, но может стать большой проблемой для крупной корпоративной или кампусной системы.