Безопасность передачи данных в сетях Wi-Fi

"На свадьбе никто не слушал тамаду, не кричал "Горько!", не танцевал, не ловил букет - в ресторане был бесплатный Wi-Fi."

Последнее время, когда современному человеку становится все тяжелее представить свое комфортное сущевствование без интернета. Wi-Fi сети буквально окружили нас со всех сторон - сегодня во многих городах можно найти и бесплатно подключится к беспроводному интернету. Поэтому вопрос защиты и безопасности таких сетей будет актуален на протяжении всего периода их существования. Чтобы защитить Wi-Fi сети (стандарта 802.11), существует целый ряд технологий. В самом начале работы Wi-Fi сетей, после подключения Wi-Fi роутера, средством защиты являлся пароль SSID (Server Set ID) для доступа к сети, но потом оказалось, что он не может обеспечить надежного уровня защиты.       

Некоторое время основной защитой было применение цифровых ключей шифрования потоков данных при помощи WEP (WiredEquivalent Privacy). Сами ключи представляют собой обычные пароли длинной 5-13 символов ASCII. Данные зашифровываются ключом разрядностью от 40 до 104 бит, но это только статическая часть ключа, а не весь ключ. Для более сильной защиты применяется вектор инициализации Initialization Vector (IV), который дополнительно рандомизирует остальную часть ключа, что обеспечивает разные уровни защиты для разных пакетов данных. Таким образом, в итоге мы имеем общее шифрование за разрядностью от 64 до 128 битов, и оперируем при шифровании и постоянными и случайными символами.  

Со временем оказалось, что WEP тоже является не очень надежной технологией защиты. IEEE 802.1X - это новейший стандарт, который является главным для продвижения индустрии беспроводных сетей. В основе лежит исправление недостатков безопасности технологий, использованных в 802.11, в особенности взлома WEP и зависимости от технологий производителя. Стандарт IEEE 802.1X применяет вариант динамических 128-розрядных ключей шифрования, то есть ключи, которые периодически меняются во времени. Поэтому пользователи сети могут работать сеансами, после окончания которых, им посылается новый 128-битный ключ (по умолчанию).  

В 2003 году был принят стандарт WPA (Wi-Fi Protected Access), который совмещает в себе преимущества динамического обновления ключей с кодировкой протокола интеграции временного ключа TKIP, протокол расширенной аутентификации (EAP) и технологию проверки целостности сообщений (MIC). WPA - это временный стандарт, про который договорились производители оборудования. Стандарт TKIP применяет подобранные автоматично 128-битные ключи, создающиеся "хаотическим" способом, и общее число таких вариаций достигает пятьсот миллиардов. Довольно сложное иерархическое построение схемы подбора ключей, как и динамическая их перемена каждые 10 Кб (10 Тис пакетов) способствуют тому, что система максимально защищена.  

От взлома информации и внешнего проникновения также защищает система проверки целостности сообщений (MessageIntegrity Check). Довольно сложный математический алгоритм помогает сверять данные, которые отправлены в одной точке, а получены в другой. Если результат сравнения и отмеченные изменения не подходят, то такие данные являются ошибочными.  

Поэтому, сегодня у администраторов сетей и у обычных пользователей есть все средства надежной защиты Wi-Fi и, если нет никаких грубых ошибок, можно постоянно обеспечивать уровень безопасности, который соответствует ценности информации, что находится в такой сети. Сегодня беспроводная сеть является защищенной в том случае, если в ней работают три основных подразделения систем безопасности: целостность передачи данных и ее конфиденциальность, аутентификация пользователя, Для обеспечения высокого уровня безопасности информации нужно воспользоваться некоторыми правилами при организации и настройке правильной Wi-Fi сети:

• Шифрование данных посредством использования разных систем. Надежный уровень защиты обеспечить Virtual PrivateNetwork (VPN)
• Использование протокола 802.1X;
• Запретить доступ к настройкам точки доступа с помощью беспроводного соединения.
• Запретить трансляцию в эфир идентификаторов сессий SSID.
• Ограничить мощность радиосигнала.
• Использовать максимально долгие ключи.
• Изменить статические ключи и пароли.
• Не использовать в беспроводной сети DHCP. Вручную распределить все статические IP адреса между клиентами безопасней.
• Не использовать гостевой доступ к ресурсам общего пользования.
• По возможности не использовать в беспроводных сетях протокола TCP/IP для организации папой, файлов и принтеров общего доступа. Организация ресурсам, что разделяется средствами NETBEUI в данном случае базопасней.
• Использовать шифрование ключей WPA2.

Угрозу сетевой безопасности тоже могут нести природные явления и погодные условия. Однако только люди (конкуренты, хакеры и т.д.) проникают в сеть специально для уничтожения или получения информации и наибольшую опасность несут именно они.