Информационная безопасность в сетях Wi-Fi

ИФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СЕТЯХ Wi-Fi Выполнил: студент группы 6097 Хохлов А. С. Санкт – Петербург 2005 Оглавление Оглавление 2 Безопасность беспроводных сетей 3 Обзор систем шифрования 3 Векторы инициализации 4 Режимы с обратной связью 5 Кодирование по стандарту 5 Механизмы аутентификации стандарта 802.11 7 Аутентификация с использованием МАС-адресов 8 Уязвимость системы защиты стандарта 9 Уязвимость открытой аутентификации 9 Уязвимость аутентификации с совместно используемым ключом 9 Уязвимость аутентификации с использованием МАС-адресов 10 Уязвимость WEP-шифрования 10 Проблемы управления статическими WEP-ключами 12 Защищенные LAN стандарта 13 Первая составляющая: базовая аутентификация 13 Вторая составляющая: алгоритм аутентификации 16 Третья составляющая: алгоритм защиты данных 16 Четвертая составляющая: целостность данных 18 Усовершенствованный механизм управления ключами 19 Шифрование по алгоритму AES 19 Резюме 20 Безопасность беспроводных сетей Устройства стандарта 802.11 связываются друг с другом, используя в качестве пе¬реносчика данных сигналы, передаваемые в диапазоне радиочастот.

Данные переда¬ются по радио отправителем, полагающим, что приемник также работает в выбранном радиодиапазоне.

Недостатком такого механизма является то, что любая другая стан¬ция, использующая этот диапазон, тоже способна принять эти данные.

Если не использовать какой-либо механизм защиты, любая станция стандарта 802.11 сможет обработать данные, посланные по беспроводной локальной сети, если только ее приемник работает в том же радиодиапазоне. Для обеспечения хотя бы ми¬нимального уровня безопасности необходимы следующие компоненты. • Средства для принятия решения относительно того, кто или что может использо¬вать беспроводную LAN. Это требование удовлетворяется за счет механизма ау¬тентификации, обеспечивающего контроль доступа к LAN. • Средства защиты информации, передаваемой через беспроводную среду.

Это тре¬бование удовлетворяется за счет использования алгоритмов шифрования. На рис.1 показано, что защита в беспроводных сетях обеспечивается как за счет аутентификации, так и благодаря шифрованию.

Ни один из названных механизмов в отдельности не способен обеспечить защиту беспроводной сети. Рис. 1. Защита в беспроводных сетях обеспечива¬ется за счет аутентификации и шифрования В спецификации стандарта 802.11 регламентировано применение механизма аутен¬тификации устройств с открытым и с совместно используемым ключом и механизма WEP, обеспечивающего защищенность данных на уровне проводных сетей. Оба алго¬ритма аутентификации, с открытым и с совместно используемым ключом, основаны на WEP-шифровании и применении WEP-ключей для контроля доступа.

Поскольку алгоритм WEP играет важную роль в обеспечении безопасности сетей стандарта 802.11, в следующем разделе будут рассмотрены основы шифрования и шифры.

Обзор систем шифрования

Шифры обоих типов работают, генерируя ключевой поток (key stream), пол... Наиболее распростра¬ненным является поточный шифр RC4, который и лежит... Открытый текст делится на блоки, и каждый блок смешивается с ключевым ... Некоторые методы шифрования позволяют решить эту проблему. 4 показаны два сценария.

Кодирование по стандарту

Этот алгоритм основан на применении симметричного поточного шифра RC4. Фрейм, зашифрованный по алгоритму WEP Вектор инициализации должен изме... WEP-шифрование используется только по отношению к фреймам данных и во ... 6. Процесс шифрования и дешифрования Рис.

Механизмы аутентификации стандарта

Клиент шифрует вызов и посылает его обратно точке доступа. Механизмы аутентификации стандарта. Спецификация стандарта 802.11 оговаривает два механизма, которые могут... Контроль доступа при открытой аутентификации осуществляется с использо... Процесс аутентификации с использованием МАС-адресов.

Уязвимость системы защиты стандарта

Уязвимость системы защиты стандарта 802.11 В предыдущем разделе рассказывалось о том, как осуществляются аутентификация и шифрование при использовании устройств стандарта 802.11. Не секрет, что система зашиты, специфицированная в стандарте 802.11, несовершенна. Вскоре после утвер¬ждения стандарта 802.11 появились статьи, в которых указывались слабые места меха¬низма аутентификации стандарта 802.11 и шифрования по алгоритму WEP.

Уязвимость открытой аутентификации

Отсутствие такой возможности явля¬ется недостатком системы защиты, есл... При использовании механизма открытой аутентификации точка доступа не и... Авторизованное устройство в руках неавторизованного пользователя — это... Уязвимость открытой аутентификации.

Уязвимость аутентификации с совместно используемым ключом

В случае аутентификации с совместно используемым ключом необходимо, чт... Ранее в этой главе говори¬лось о том, что процесс кодирования состоит ... Процесс пе¬ремешивания представляет собой выполнение двоичной математи... 12 показано, как атакующий сеть злоумышленник может проследить процесс... 11.

Уязвимость аутентификации с использованием МАС-адресов

Атакующий может использовать анализатор протокола для определения разр... в которых применяется аутентификация с использованием МАС-адресов, уяз... МАС-адреса пересылаются с помощью незашифрованных фреймов стандарта 80... В результате беспроводные LAN. Уязвимость аутентификации с использованием МАС-адресов.

Уязвимость WEP-шифрования

Модифицирование ICV за счет побитовой обработки. Эта логически возможная атака может быть основана на методах, приме¬ня... Генерируется новый фрейм (F2) той же длины, какую имеет набор битов фр... 4. Хотя размер полезных данных может быть разным для различных фреймов, м...

Проблемы управления статическими WEP-ключами

Для ее решения администратору сети придется долго вручную изменять клю... В спецификации стандарта 802.11 не указан конкретный механизм управлен... Проблемы управления статическими WEP-ключами.

Защищенные LAN стандарта

Многие ошибочно полагают, что WEP — это единственный компонент, обеспе... • Базовая аутентификация (authentication framework). Представляет собой меха¬низм, который усиливает действие алгоритма аут... • Алгоритм аутентификации. Представляет собой алгоритм, посредством ко... • Алгоритм обеспечения целостности данных (data integrity algorithm).

Первая составляющая: базовая аутентификация

Первая составляющая: базовая аутентификация. Исследовательская группа I рабочей группы стандарта 802.11 сейчас рабо... Стандарт 802.11i включает базовую аутентификацию стандарта 802.1X, тре... Эти составляющие представляют собой программные компоненты, устанавлив... На рис.

Вторая составляющая: алгоритм аутентификации

Вторая составляющая: алгоритм аутентификации. Стандарт 802.11i и WPA обеспечивают механизм, поддерживающий работу ал... Ни стандарт 802.11i, ни WPA не регламентируют применение особого алгор... Алгоритм EAP-Cisco является патентованным алгоритмом, который работает... • Аутентификация, ориентированная на пользователя.

Третья составляющая: алгоритм защиты данных

Обеспечивается эффективный контроль целостности фреймов данных с целью... На рис. Базовый WEP-ключ (полученный в процессе аутентификации по стандарту 80... 3. 5.

Четвертая составляющая: целостность данных

2. Наше рассмотрение пофреймового назначения ключей и MIC касалось в осно... Четвертая составляющая: целостность данных. Но мы ничего не говорили о том, как ключи генери¬руются и пересылаются... 3.

Усовершенствованный механизм управления ключами

С помощью этих ключей широковещательные и многоадресатные фреймы шифру... В то же время IEEE рассматривает возможность усиления механизма шифров... Режим ССМ представляет собой комби¬нацию режима шифрования CBC-CTR и а... Алгоритм шифрования СВС-МАС выполняется с использованием результата ши... Этот процесс требует серьезных вычислительных затрат и значительно уве...