Захист у мережах Wi-Fi

Стандарт Wi-Fi розроблений на основі IEEE 802.11. З точки зору безпеки, слід враховувати середовище передачі сигналу, в бездротових мережах отримати доступ до переданої інформації набагато простіше, ніж у провідних мережах. Досить помістити антену в зоні дії.

Існує два основних варіанти устрою бездротової мережі:

• Ad-hoc - передача безпосередньо між пристроями;
• Hot-spot - передача здійснюється через точку доступу.

В Hot-spot мережах присутня точка доступу, за допомогою якої відбувається не тільки взаємодія всередині мережі, але й доступ до зовнішніх мереж. З погляду захисту інформації Hot-spot має більше значення, бо зламавши точку доступу, зловмисник може отримати інформацію не тільки зі станцій, розміщених у цій бездротовій мережі.

Цей спосіб не входить до стандарту IEEE 802.11. Фільтрацію можна здійснювати такими трьома способами:

• Точка доступу дозволяє отримати доступ станціям з будь-якою MAC-адресою;
• Точка доступу дозволяє отримати доступ тільки станціям, чиї MAC-адреси є в довіреному списку;
• Точка доступу забороняє доступ станціям, чиї MAC-адреси є в "чорному списку";

Найнадійнішим з погляду безпеки є другий спосіб, хоча він не розрахований на підміну MAC-адреси, що легко здійснити зловмисникові.

Для свого виявлення точка доступу розсилає кадри-маячки (англ. beacon frames). Кожен такий кадр містить службову інформацію для підключення і, зокрема, присутній SSID (ідентифікатор бездротової мережі). У разі прихованого SSID це поле порожнє, тобто виявлення бездротової мережі є неможливим і не можна до неї підключитися, не знаючи значення SSID. Але всі станції в мережі, які підключені до точки доступу, знають SSID і під час підключення, коли розсилають Probe Request запити, вказують ідентифікатори мереж, наявні в їх профілях підключень. Прослуховуючи робочий трафік, з легкістю можна отримати значення SSID, необхідне для підключення до бажаної точки доступу.

Автентифікація - видача певних прав доступу абоненту на основі наявного в нього ідентифікатора.

IEEE 802.11 передбачає два методи автентифікації:

• Відкрита автентифікація (англ. Open Authentication):

Робоча станція робить запит автентифікації, у якому присутня тільки MAC-адреса клієнта. Точка доступу відповідає або відмовою, або підтвердженням автентифікації. Рішення ухвалює на основі MAC-фільтрації, тобто це захист на основі обмеження доступу, що не є безпечним.

• Автентифікація із загальним ключем (англ. Shared Key Authentication):

Необхідно налаштувати статичний ключ шифрування алгоритму WEP (англ. Wired Equivalent Privacy). Клієнт робить запит у точки доступу на автентифікацію, на що отримує підтвердження, яке містить 128 байт випадкової інформації. Станція шифрує отримані дані алгоритмом WEP (виконується побітове додавання з модулем 2 даних повідомлення з послідовністю ключа) і надсилає зашифрований текст разом із запитом на асоціацію. Точка доступу розшифровує текст і порівнює з початковими даними. У разі збігу надсилає підтвердження асоціації, і клієнт вважається підключеним до мережі. Схема автентифікації із загальним ключем вразлива до атак «Man in the middle». Алгоритм шифрування WEP — це проста XOR-послідовність з корисною інформацією, отже, прослухавши трафік між станцією і точкою доступу, можна відновити частину ключа. IEEE почав розробки нового стандарту IEEE 802.11i, але через труднощі затвердження, організація WECA (англ. Wi-Fi Alliance) спільно з IEEE анонсували стандарт WPA (англ. Wi-Fi Protected Access). У WPA використовується TKIP (англ. Temporal Key Integrity Protocol, протокол перевірки цілісності ключа), який використовує вдосконалений спосіб керування ключами та покадрову зміну ключа.

WPA також використовує два способи автентифікації:

• Автентифікація за допомогою наданого ключа WPA-PSK (англ. Pre-Shared Key) (Enterprise Autentification);
• Автентифікація за допомогою RADIUS-сервера (англ. Remote Access Dial-in User Service)

• WEP-шифрування (англ. Wired Equivalent Privacy):

Аналог шифрування трафіку в провідних мережах. Використовується симетричний потоковий шифр RC4 (англ. Rivest Cipher 4), який досить швидко функціонує. На сьогоднішній день WEP і RC4 не вважаються криптостійкими.

Є два основних протоколи WEP:

40-бітний WEP (довжина ключа 64 біта, 24 з яких — це вектор ініціалізації, який передається відкритим текстом);
104-бітний WEP (довжина ключа 128 біт, 24 з яких — це теж вектор ініціалізації); Вектор ініціалізації використовується алгоритмом RC4. Збільшення довжини ключа не призводить до збільшення надійності алгоритму.

• TKIP-шифрування (англ. Temporal Key Integrity Protocol):

Використовується той же симетричний потоковий шифр RC4, але є більш криптостійким. Вектор ініціалізації становить 48 біт. Враховані основні атаки на WEP. Використовується протокол Message Integrity Check для перевірки цілісності повідомлень, який блокує станцію на 60 секунд, якщо послані протягом 60 секунд два повідомлення не пройшли перевірку цілісності. З урахуванням всіх доопрацювань і удосконалень TKIP все одно не вважається криптостійким.

• CKIP-шифрування (англ. Cisco Key Integrity Protocol):

Має подібності з протоколом TKIP. Створений компанією Cisco. Використовується протокол CMIC (англ. Cisco Message Integrity Check) для перевірки цілісності повідомлень.

• WPA-шифрування:

Замість уразливого RC4, використовується криптостійкий алгоритм шифрування AES (англ. Advanced Encryption Standard). Можливе використання EAP (англ. Extensible Authentication Protocol, розширюваний протокол автентифікації).

Є два режими:

Pre-Shared Key (WPA-PSK) - кожен вузол вводить пароль для доступу до мережі;
Enterprise - перевірка здійснюється серверами RADIUS;

• WPA2-шифрування (IEEE 802.11i):

Прийнятий у 2004 році, з 2006 року WPA2 повинна підтримувати все вироблене Wi-Fi обладнання. В даному протоколі застосовується RSN (англ. Robust Security Network, мережа з підвищеною безпекою). Спочатку в WPA2 використовувався протокол CCMP (англ. Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, протокол блочного шифрування з кодом автентичності повідомлення і режимом зчеплення блоків і лічильника). Основою є алгоритм AES. Для сумісності зі старим обладнанням є підтримка TKIP і EAP (англ. Extensible Authentication Protocol) з деякими його доповненнями. Як і в WPA є два режими роботи: Pre-Shared Key і Enterprise.

• Безпека мережі

• Stewart S. Miller, Wi-fi Security, 2003
• Гордейчик С. В., Дубровин В. В., Безопасность беспроводных сетей. Горячая линия — Телеком, 2008
• Вишневский В. М., Ляхов А. И., Портной С. Л., Шахнович И. Л., Широкополосные беспроводные сети передачи информации. М.: Техносфера, 2005
• 802,11i-2004 — IEEE Standard for Local and Metropolitan Area Networks — Specific requirements — Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Amendment 6: Medium Access Control (MAC) Security Enhancements, 2004

• Безопасный Wi-Fi в общественных местах [Архівовано 26 липня 2019 у Wayback Machine.]
• Идентификация пользователей по Wi-Fi [Архівовано 14 лютого 2016 у Wayback Machine.]
• Видео описывающее технологию работы Wi-Fi + пример взлома и защиты [Архівовано 18 травня 2019 у Wayback Machine.]

Цю статтю треба вікіфікувати для відповідності стандартам якості Вікіпедії. Будь ласка, допоможіть додаванням доречних внутрішніх посилань або вдосконаленням розмітки статті. (грудень 2013)

Це незавершена стаття з інформаційної безпеки. Ви можете допомогти проєкту, виправивши або дописавши її.