ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопастность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

7 минут чтени€

ѕривет! ¬ предыдущей статье, посв€щенной основам WLAN, вы узнали о беспроводных клиентах, формирующих ассоциации с беспроводными точками доступа (AP) и передающих данные по Wi-Fi. ¬ сегодн€шней статье мы рассмотрим анатомию защищенного соединени€ в беспроводных сет€х.

 јнатоми€ защищенного соединени€ в беспроводных сет€х

ќсновы защищенного соединени€ в беспроводных сет€х.

¬се клиенты и точки доступа, которые соответствуют стандарту 802.11, могут сосуществовать на одном канале. ќднако не всем устройствам, поддерживающим стандарт 802.11, можно довер€ть. Ќужно понимать, что данные передаютс€ не как в проводной сети, то есть непосредственно от отправител€ к получателю, а от приемника до ближайшей точки доступа, располагаемой в зоне дос€гаемости.

–ассмотрим случай, изображенный на рисунке ниже. Ѕеспроводной клиент соедин€етс€ с каким-либо удаленным объектом с использованием зашифрованного парол€. ¬ сети так же присутствуют два не доверенных пользовател€. ќни наход€тс€ в пределах диапазона сигнала клиента и могут легко узнать пароль клиента, перехватив данные, отправленные по каналу. ќсобенности беспроводной св€зи позвол€ют легко перехватывать пересылаемые пакеты злоумышленниками.

Ѕеспроводное подключение

≈сли данные передаютс€ по беспроводным каналам, как их можно защитить от перехвата и взлома? ¬ стандарте 802.11 предусмотрены механизмы безопасности, которые используютс€ дл€ обеспечени€ довери€, конфиденциальности и целостности беспроводной сети. ƒалее более подробно разберем методы беспроводной безопасности.


јутентификаци€.

ƒл€ того чтобы начать использовать беспроводную сеть дл€ передачи данных, клиенты сначала должны обнаружить базовый набор услуг (BSS), а затем запросить разрешение на подключение. ѕосле чего клиенты должны пройти процедуру аутентификации. «ачем это делать? ѕредположим, что ваша беспроводна€ сеть позвол€ет подключитьс€ к корпоративным ресурсам, располагающим конфиденциальной информацией. ¬ этом случае доступ должен предоставл€тьс€ только тем устройствам, которые считаютс€ надежными и доверенными. √остевым пользовател€м, если они вообще разрешены, разрешаетс€ подключитьс€ к другой гостевой WLAN, где они могут получить доступ к не конфиденциальным или общедоступным ресурсам. Ќе доверенным клиентам, вообще рекомендуетс€ запретить доступ. ¬ конце концов, они не св€заны с корпоративной сетью и, скорее всего, будут неизвестными устройствами, которые окажутс€ в пределах дос€гаемости вашей сети.

„тобы контролировать доступ, WLAN могут аутентифицировать клиентские устройства, прежде чем им будет разрешено подключение. ѕотенциальные клиенты должны идентифицировать себ€, предоставив информацию учетных данных дл€ точки доступа. Ќа рисунке ниже показан основной процесс аутентификации клиента.

јутентификаци€

—уществует много методов аутентификации по Ђвоздухуї. ≈сть методы, которые требуют ввода только кодового слова, которое €вл€етс€ общим дл€ всех доверенных клиентов и AP.  одовое слово хранитс€ на клиентском устройстве и при необходимости передаетс€ непосредственно в точку доступа. „то произойдет, если устройство будет утер€но или похищено? —корее всего, любой пользователь, владеющий данным устройством, сможет аутентифицироватьс€ в сети. ƒругие, более строгие методы аутентификации требуют взаимодействи€ с корпоративной базой данных пользователей. ¬ таких случа€х конечный пользователь должен ввести действительное им€ пользовател€ и пароль.

¬ обычной жизни, при подключении к любой беспроводной сети, мы не€вно довер€ем ближайшей точке доступа проверку подлинности нашего устройства. Ќапример, если вы на работе, использу€ устройство с беспроводной св€зью, найдете WI-Fi, скорее всего, подключитесь к ней без колебаний. Ёто утверждение верно дл€ беспроводных сетей в аэропорту, торговом центре, или дома - вы думаете, что точка доступа, котора€ раздает SSID, будет принадлежать и управл€тьс€ организацией, в которой вы находитесь. Ќо как вы можете быть уверены в этом?

 ак правило, единственна€ информаци€, которой вы владеете- это SSID транслируемый в эфир точкой доступа. ≈сли SSID знаком, вы, скорее всего, подключитесь к ней. ¬озможно, ваше устройство настроено на автоматическое подключение к знакомому SSID, так что оно подключаетс€ автоматически. ¬ любом случае, есть веро€тность невольно подключитьс€ к тому же SSID, даже если он рассылаетс€ злоумышленником.

Ќекоторые атаки, организованные злоумышленником, осуществл€ютс€ посредством подмены точки доступа. Ђѕоддельна€ї точка доступа, аналогично насто€щей, так же рассылает и принимает запросы, и затем осуществл€ет ассоциацию клиентов с ј–.  ак только клиент подключаетс€ к Ђподдельнойї AP, злоумышленник может легко перехватить все данные передаваемые от клиента к центральному узлу. ѕодменна€ точка доступа может также отправл€ть поддельные фреймы управлени€, которые деактивируют подключенных клиентов, дл€ нарушени€ нормального функционировани€ сети.

„тобы предотвратить этот тип атаки, называемой Ђman-in-the-middleї, клиент должен сначала идентифицировать точку доступа, и только потом подключитьс€, использу€ логин и пароль (пройти аутентификацию). Ќа рисунке ниже показан простой пример данного защищенного подключени€. “акже, клиент, получа€ пакеты управлени€, должен быть уверен, что они отправлены с проверенной и доверенной точки доступа.

«ащищенное подключение

 онфиденциальность сообщений.

ѕредположим, что клиент изображенный на рисунке 3, должен пройти аутентификацию перед подключением к беспроводной сети.  лиент должен идентифицировать точку доступа и еЄ фреймы управлени€ дл€ подключени€ перед аутентификацией себ€ на устройстве. ќтношени€ клиента с точкой доступа могли бы быть более доверительными, но передача данных по каналу все еще подвергаетс€ опасности быть перехваченной.

„тобы защитить конфиденциальность данных в беспроводной сети, данные должны быть зашифрованы. Ёто возможно кодированием полезной нагрузки данных в каждом фрейме, пересылаемым по WI-Fi, непосредственно перед отправкой, а затем декодировани€ ее по мере поступлени€. »де€ заключаетс€ в использование единого метода шифровани€/дешифровани€ как на передатчике, так и на приемнике, чтобы данные могли быть успешно зашифрованы и расшифрованы.

¬ беспроводных сет€х каждый WLAN может поддерживать только одну схему аутентификации и шифровани€, поэтому все клиенты должны использовать один и тот же метод шифровани€ при подключении. ¬ы можете предположить, что наличие одного общего метода шифровани€ позволит любому клиенту сети перехватывать пакеты других клиентов. Ёто не так, потому что точка доступа при подключении к клиенту высылает специальный ключ шифровани€. Ёто уникальный ключ, который может использовать только один клиент. “аким образом точка доступа рассылает каждому клиенту свой уникальный ключ. ¬ идеале точка доступа и клиент- это те два устройства, которые имеют общие ключи шифровани€ дл€ взаимодействи€. ƒругие устройства не могут использовать чужой ключ дл€ подключени€. Ќа рисунке ниже конфиденциальна€ информаци€ о пароле клиента была зашифрована перед передачей. “олько точка доступа может успешно расшифровать его перед отправкой в проводную сеть, в то врем€ как другие беспроводные устройства не могут.

Ўифрование

“очка доступа также поддерживает Ђгрупповой ключї (group key), когда ей необходимо отправить зашифрованные данные всем клиентам €чейки одновременно.  аждый из подключенных клиентов использует один и тот же групповой ключ дл€ расшифровки данных.


÷елостность сообщени€

Ўифрование данных позвол€ет скрыть содержимое от просмотра, при их пересылке по общедоступной или ненадежной сети. ѕредполагаемый получатель должен быть в состо€нии расшифровать сообщение и восстановить исходное содержимое, но что, если кто-то сумел изменить содержимое по пути? ѕолучатель не сможет определить, что исходные данные были изменены.

ѕроверка целостности сообщений (MIC)- это инструмент безопасности, который позвол€ет защитить от подмены данных. MIC представл€ет собой способ добавлени€ секретного штампа в зашифрованный кадр перед отправкой. Ўтамп содержит информацию о количестве битов передаваемых данных. ѕри получении и расшифровке фрейма устройство сравнивает секретный шифр с количеством бит полученного сообщени€. ≈сли количество бит совпадает, то соответственно данные не были изменены или подменены. Ќа рисунке ниже изображен процесс MIC.

 MIC

Ќа рисунке показано, что клиент отправл€ет сообщение точке доступа через WLAN. —ообщение зашифровано, Ђ741fcb64901dї. —ам процесс MIC заключаетс€ в следующем:

  • »сходные данные ЦЂP@ssw0rdї.
  • «атем вычисл€етс€ секретный шифр MIC (штамп).
  • ѕосле вычислени€ штампа происходит шифрование данных и MIC завершаетс€.
  • Ќа стороне получател€ следует расшифровка, вычисление MIC и сравнение штампов.