Средства защиты беспроводных сетей

Для безопасности беспроводных сетей применяются специальные программные и аппаратные средства, позволяющее беспрепятственно использовать данный тип связи, не беспокоясь о возможности осуществления атак или возникновении различных угроз.

Угрозы беспроводных сетей можно разделить на следующие типы:

Прямые, связанные с передачей данных по интерфейсу IEEE 802.11.

• Посторонние пользователи или несанкционированное подключение.
• Нефиксированная природа связи. Это позволяет злоумышленникам подменить доверенную точку доступа, чтобы просканировать уязвимости пользователи, осуществить фишинговую атаку или атаку типа man-in-the-middle.
• Уязвимости устройств или сетей. Актуальна, когда в сети используются уязвимые методы аутентификации.
• DDoS-атаки.
• Взлом методов шифрования, таких как WEP, WPA и WPA2.
• Прослушивание трафика.

Косвенные, связанные с другими Wi-Fi-сетями, расположенными на одном объекте.

Для защиты данных, которые передаются по беспроводным сетям, используются следующие механизмы:

Ограничение доступа.

• Фильтрация по MAC-адресам. На точке доступа может быть настроен как черный список MAC-адресов, которым запрещен доступ, так и белый список устройств. Есть и третий, наименее безопасный вариант, когда доступ предоставлен любым подключающимся к сети устройствам.
• Сокрытие идентификатора сети SSID. Такая технология позволяет скрыть имя сети из списка всех доступных для подключения сетей. Таким образом, к этой сети смогут подключиться только те пользователи, которые точно могут ввести ее SSID. Однако это поле доступно злоумышленникам в случае, если они будут прослушивать трафик подключенных пользователей.

Аутентификация.

• Открытая аутентификация. Решение о доступе принимается по принципу MAC-фильтрации.
• Аутентификация с общим ключом. После запроса на аутентификацию точка доступа направляет случайные 128 бит данных, которые шифруются на стороне клиента и отправляются обратно. Доступ предоставляется в случае совпадения расшифрованных данных на точке доступа с отправленными 128 битами.
• Аутентификация по MAC-адресу. В процессе аутентификации сравнивается MAC-адрес клиента со списком разрешенных устройств.
• Wi-Fi Protected Access (WPA). Аутентификация может производиться с помощью RADIUS-сервера либо предустановленного ключа.
• WI-FI Protected Access2 (WPA2, 801.11i). Принцип схож с методом WPA, за исключением используемого шифрования — AES.

Шифрование.

• WEP-шифрование.
• TKIP-шифрование.
• CKIP-шифрование.
• WPA-шифрование.

O WPA2-шифрование (IEEE 802.11i).

В настоящее время безопасность Wi-Fi-сетей может достигаться за счет применения беспроводных систем предотвращения вторжений (WIPS). Такие сетевые устройства контролируют радиоспектр на факт присутствия несанкционированных точек доступа и использования инструментов беспроводной атаки (механизм обнаружения вторжений), а также могут автоматически принимать контрмеры (механизм предотвращения вторжений). WIPS-системы могут предотвращать такие угрозы, как «человек посередине», подмена MAC-адресов, DDoS.

Чтобы определить, что появились мошенническая точка доступа, в первую очередь осуществляется сравнение MAC-адресов беспроводных устройств. Так как сейчас существуют устройства, способные обойти эту проверку, следующим этапом проверяются уникальные сигнатуры, излучаемые каждым беспроводным устройством.