Алгоритмы защиты информации в беспроводных сетях стандарта IEEE 802.11 — страница 6

  • Просмотров 7228
  • Скачиваний 45
  • Размер файла 699
    Кб

рассмотренных ниже. Протоколы IEEE 802.1X и ЕАР (Extensible Authentication Protocol — на­ращиваемый протокол аутентификации) обеспечивают механизм аутентифика­ции пользователей, которые должны предъявить мандат или свидетельство для доступа в сеть. В больших корпоративных сетях для аутентификации часто используют сервер RADIUS. В иерархии сети он находится выше точки до­ступа и содержит базу данных со списком пользователей, которым разрешен

доступ к сети. Такая система сетевой безопасности называется Enterprise (кор­поративная). Для небольших фирм и домашних пользователей ее применение не оправдано, для них предусмотрен режим с предварительно распределяемым клю­чом PSK (Preshared Key). В этом режиме на каждом устройстве беспроводной сети вводится одинаковый пароль, и аутентификация происходит средствами точки доступа без использования сервера RADIUS. Рис. 1.3. Алгоритм

шифрования по протоколу TKIP Протокол TKIP (Temporal Key Integrity Protocol — протокол временной целостности ключа) выполняет функции обеспечения конфиденциальности и це­лостности данных. Функционально TKIP является расширением WEP (рис. 1.3). Аналогично WEP, он использует алгоритм шифрования RC-4, но более эффек­тивный механизм управления ключами. Протокол TKIP генерирует новый се­кретный ключ для каждого передаваемого пакета данных, и один

статический ключ WEP заменяется на, примерно 500 миллиардов возможных ключей, кото­рые могут использоваться для шифрования данного пакета данных. Изменен и сам механизм генерации ключа. Он получается из трех компонентов: базового ключа длиной в 128 бит (ТК), номера передаваемого пакета (TSC) и МАС-адреса устройства-передатчика (ТА). Также в TKIP используется 48-разрядный вектор инициализации, чтобы избежать повторного использования IV,

на котором осно­вана выше описанная атака FMS. Алгоритм TKIP использует сквозной счетчик пакетов (TSC) длиной 48 бит. Он постоянно увеличивается, сбрасываясь в 1 только при генерации нового ключа. Младшие 16 бит TSC включаются в новый IV (рис. 1.4). Таким образом формируется механизм, препятствующий так называемым атакам с воспроизве­дением. Рис.1.4. Пакет после шифрования по TKIP. Атаки с воспроизведением используют специальные

инструменты, которые внедряют новый трафик для ускорения взлома или даже сканируют порты беспроводных хостов. Такую атаку в рамках WEP остановить невозможно, поскольку стандарт ничего не говорит о том, как должен выбираться IV. В боль­шинстве случаев выбор производится (псевдо?) случайно. Напротив, в TKIP IV увеличиваются последовательно (вместе с TSC), причем те пакеты, где по­рядок IV (TSC) нарушен, отбрасываются. Это смягчает остроту