Сети Wi-Fi, как уже говорилось выше, принципиально более небезопасны, чем проводные сети, поскольку сложно гарантировать, что где-либо в пределах радиовидимости не расположился какой-нибудь редиска нехороший человек с достаточно хорошей антенной. Поэтому для всех корпоративных сетей Wi-Fi, как правило, используется защита трафика. Для этой цели, по мере развития данной технологии, были предложены следующие механизмы:
На сегодняшний день WEP представляет собой чисто символическую защиту, поскольку взламывается за небольшое время общедоступными программными и аппаратными средствами. По этой причине его использование не рекомендуется. Он может иметь смысл только для очень старого оборудования (ранее 2004 г. выпуска), и только в случае, если это оборудование не допускает обновления своего программного обеспечения хотя бы до поддержки TKIP. Как следствие, не рекомендуется использование режима Ad-Hoc.
Алгоритм WPA (TKIP) также нельзя считать безопасным. Существуют конструктивные методы для его взлома за короткое время, хотя они и требуют существенно бoльшей компетенции. Наконец, в 2010 г. была выявлена уязвимость и в алгоритме WPA2, причём также конструктивные — т.е. не методом подбора паролей (brute force attack) и не методом взлома ключей. Тем не менее, этот алгоритм остаётся относительно наименее уязвимым, по крайней мере, при достаточной длине секрета (рекомендуется не менее 13 случайных ASCII-символов).
Принципиально иной подход к безопасности состоит в том, чтобы отказаться от неё на уровне беспроводной сети вообще и использовать вместо неё безопасные туннели 2–4 уровней. В частности, PPPoE и PPTP иногда используются в домовых сетях (в основном, для аутентификации клиента и учёта потребляемых услуг), хотя также не являются достаточно безопасными. Для корпоративных применений следует использовать только IPsec или технологии на основе SSL (STunnel, OpenVPN и т.п.). При таком решении, однако, следует уделить особое внимание тому, чтобы несанкционированный клиент не смог никак воспользоваться услугами сети в обход этих туннелей: отказаться от назначения адресов по DHCP, исключить выход в Интернет через маршрут по умолчанию, заблокировать фильтрами все излишние протоколы и порты, и т.п.
Обратно в узел wifi
...
© Network Systems Group 2015–2024 | Отдел документации |