Безопасность беспроводных локальных сетей

Стандарт 802.11 предусматривает три средства защиты беспроводных сетей:

• Контроль доступа по имени сети (ESSID). Используется уникальный код ESSID, который идентифицирует WLAN. Клиентские устройства должны использовать корректный ESSID для доступа к своей WLAN.
• Контроль доступа по MAC-адресам. На точке доступа задается список MAC-адресов, которым разрешена или запрещена авторизация.
• Шифрование трафика по протоколу WEP. Шифрование использует алгоритм RC4 с длиной ключа 64 bit и 128 bit.

Эти средства нельзя считать очень надежными, исследования выявили уязвимости протокола WEP. В случаях, когда требуется обеспечить надежную защиту передаваемых по радиоканалу данных, следует применять оборудование, которое поддерживает протоколы IEEE 802.1x и WPA. Стандарт IEEE 802.1x используется при аутентификации и авторизации пользователей с последующим предоставлением доступа к среде передачи данных. При этом применяются динамические ключи вместо статических, используемых в WEP. Протокол предназначен для совместной работы EAP (Extensive Authentication Protocol) и RADIUS (Remote Access Dial-In User Server). Прежде чем получить доступ к сети, клиент должен пройти проверку на сервере RADIUS и только в случае успешной аутентификации ему разрешается доступ в сеть. Протокол WPA (Wi-Fi Protected Access) реализует преимущества шифрования при помощи протокола целостности временных ключей (Temporal Key Integrity Protocol – TKIP).
Аутентификация пользователей производится при помощи 802.1x и EAP. WPA предусматривает совместимость с будущим протоколом безопасности беспроводных сетей 802.11i. При использовании WPA в малых сетях имеется возможность обойтись без настройки сервера RADIUS – режим Pre-Shared Key (PSK), позволяющий задавать ключи вручную. Протоколы 802.1x и WPA являются весьма надежными, сообщений об их взломах не поступало. IEEE 802.11i – это недавно принятый стандарт безопасности, который должен заменить собой WEP. 802.11i включает в себя все функции WPA и использует Advanced Encryption Standard (AES) для кодирования данных. Иногда стандарт 802.11i называют WPA2. Другой способ повышения уровня безопасности – это использование технологии VPN поверх беспроводной сети. Средства VPN работают на сетевом уровне модели OSI, транспортом для них может служить как проводная, так и беспроводная сеть. Поэтому VPN может выступать в качестве единого инструмента аутентификации пользователей и шифрования трафика для всей корпоративной сети.