- Беспроводные технологии
- Беспроводные коммуникации
- Расширение спектра
- Компоненты WLAN
- Беспроводные стандарты
- 802.11b
- 802.11a
- 802.11e
- 802.11f
- 802.11g
- 802.11h
- 802.11i
- Стандарт безопасности беспроводных технологий
- 802.11X
- Динамические ключи и использование Векторов инициализации
- 802.11j
- 802.11n
- 802.16
- 802.15
- Bluetooth
Беспроводные коммуникации используются гораздо чаще, чем мы думаем, в различных частотных диапазонах работает множество широкополосных беспроводных технологий передачи данных. Широкополосная беспроводная передача сигналов может использовать те же полосы частот, что и, например, микроволновые печи, спутники, радары и радиолюбительские передатчики. Мы используем беспроводные технологии для эфирного и спутникового телевидения, сотовых телефонов, шпионажа, наблюдения, а также для механизмов открывания гаражных дверей и многого другого. В этом разделе основное внимание уделяется использованию беспроводных технологий в среде LAN.
Когда два человека разговаривают друг с другом, они используют беспроводные коммуникации, поскольку их голосовые связки изменяют звуковые волны, которые без проводов переносят сигналы другому человеку. Беспроводные коммуникации используют передачу сигналов с помощью радиоволн через воздух или безвоздушное пространство.
Сигнал характеризуется частотой (frequency) и амплитудой (amplitude). Частота сигнала определяет, какое количество данных может быть передано и насколько далеко. Чем выше частота, тем больше данных может переносить сигнал, однако с повышением частоты растет его подверженность атмосферным помехам. Т.е. более высокая частота может позволить передать больше данных (за единицу времени), но на более короткое расстояние.
В проводных сетях, каждый компьютер и устройство подключены к сети собственным кабелем определенного типа. В беспроводных технологиях, каждое устройство должно работать совместно с другими беспроводными устройствами в рамках общего отведенного радиочастотного спектра. Этот спектр частот ограничен, он не может расти по мере увеличения числа устройств, которым нужно его использовать. То же самое происходит в Ethernet – все компьютеры в сегменте используют общую среду, и только один компьютер может передавать данные в каждый момент времени, иначе возможны коллизии. Проводные сети Ethernet используют технологию CSMA/CD (выявление коллизий). Беспроводные технологии на самом деле очень похожи на Ethernet, но они используют CSMA/CA (предотвращение коллизий). Беспроводное устройство посылает широковещательное сообщение о том, что оно собирается передавать данные. Получение такого сообщения другими устройствами, подключенными к той же общей среде, заставляет их отложить свои потребности в передаче информации. Это делается для устранения (или уменьшения вероятности) коллизий (обе версии CSMA были описаны ранее в этом Домене в разделе «CSMA»).
Множество технологий было разработано для совместного использования беспроводными устройствами этого ограниченного объема среды передачи данных. Мы рассмотрим две различные технологии распространения спектра: псевдослучайное изменение частоты (frequency hopping) и прямая последовательность (direct sequence). Цель каждой из этих беспроводных технологий заключается в разделении имеющиеся частоты на отдельные части, чтобы позволить устройствам эффективно совместно использовать этот ограниченный ресурс.
Расширение спектра
Для беспроводных технологий, как и для других технологий и отраслей, выделяются конкретные спектры (spectrum), или диапазоны частот, которые используются ими для передачи сигналов. В Соединенных Штатах, выделением частот занимается FCC (Federal Communications Commission - Федеральное агентство по связи), которое устанавливает свои собственные ограничения. Расширение спектра (spread spectrum) означает, что кто-то некоторым способом распространяет отдельные сигналы через выделенные частоты. При использовании технологии расширения спектра отправитель передает свои данные на частотах, для работы на которых он имеет разрешение. Это позволяет более эффективно использовать имеющуюся полосу пропускания, поскольку передающие системы могут одновременно использовать более одной частоты. Это можно сравнить с последовательной и параллельной передачей данных. При последовательной передаче все биты помещаются в один канал и следуют один за другим. При параллельной передаче биты могут помещаться в несколько каналов и передаваться одновременно. Параллельная передача обеспечивает более высокую скорость, т.к. одновременно используются несколько каналов передачи данных. Это похоже на очередь в кассу в продуктовом магазине. Если касса только одна, она не может обслужить всех покупателей за короткое время, и в кассу выстраивается очередь. Если директор магазина принимает решение создать несколько линий касс, чтобы распараллелить обслуживание клиентов, очереди можно будет избежать. Таким образом, широкополосное распространение сигнала позволяет передавать данные в параллельном режиме, позволяя отправителю и получателю передавать и принимать данные по более чем одной частоте.
Мы рассмотрим два типа расширения спектра: FHSS (frequency hopping spread spectrum - псевдослучайное изменение рабочей частоты) и DSSS (direct sequence spread spectrum - прямая последовательность).
Ссылки по теме:
- “Spread Spectrum Scene Primer,” Spread Spectrum Scene Online
- Get IEEE 802 Program: IEEE 802.11 LAN/MAN Wireless LANS, IEEE Standards Association
Большой проблемой при использовании беспроводных технологий являются помехи, поскольку они могут разрушить сигналы в процессе их передачи. Помехи могут быть вызваны другими устройствами, работающими на той же частоте. Сигналы различных устройств «наступают друг другу на пятки» и искажают передаваемые данные. Подход FHSS позволяет снизить влияние помех за счет перескакивания между различными частотами таким образом, чтобы не оказывать существенного влияния на другие устройства, работающие на той же частоте.
Также следует отметить, что подход с перескакиванием между частотами существенно затрудняет для злоумышленников перехват и восстановление данных. FHSS широко используется в военных беспроводных коммуникационных устройствах, поскольку он может позволить врагу перехватить передаваемые данные, только если он будет знать последовательность изменений частоты. Однако в современных устройствах WLAN последовательность изменений частоты заранее известна и не обеспечивает какой-либо безопасности. Это связано с тем, что получатель должен знать эту последовательность, чтобы иметь возможность получать данные.
Но как работает FHSS? Отправитель и получатель перескакивают от одной частоты на другую, основываясь на заранее определенной последовательности. Несколько пар отправителей и получателей могут одновременно обмениваться данными через тот же набор частот, т.к. все они используют различные последовательности. Предположим, что мы с вами используем последовательность изменений частоты 1, 5, 3, 2, 4, а Николь и Эд – 4, 2, 5, 1, 3. Я отправляю свое первое сообщение на частоте 1, а Николь в то же время отправляет свое первое сообщение на частоте 4. Следующую часть своих данных я передаю на частоте 5, затем на частоте 3 и так до тех пор, пока все части данных не будут доставлены получателю, т.е. вашему беспроводному устройству. Ваше устройство сначала прослушивает полсекунды частоту 1, затем частоту 5 и так далее до тех пор, пока оно не получит все части данных, которые передаются в это время на этих частотах. Устройство Эда прослушивает те же частоты, но в другое время и в другом порядке, поэтому его устройство игнорирует мои сообщения – он не синхронизирован заранее с моей последовательностью. Не зная правильного кода (последовательности), Эд считает мои сообщения фоновым шумом и не обрабатывает их.
Метод расширения спектра с помощью прямой последовательности (DSSS – Direct Sequence Spread Spectrum) использует иной подход, применяя к суб-биты к сообщениям. Суб-биты используются отправляющей системой, чтобы сгенерировать различные форматы данных перед их передачей. Принимающая сторона использует эти суб-биты для того, чтобы пересобрать сигнал в исходный формат данных. Суб-биты называют чипами (chips), применяемая последовательность которых называется чиппинг-кодом (chipping code).
После того, как данные отправителя объединены с чипами, для всех, кто не знает чиппинг-код, эти сигналы будут выглядеть как случайный шум. Поэтому такие последовательности иногда называют шумоподобными последовательностями. После объединения данных отправителя с последовательностью чипов, полученная информация в новой форме модулируется с несущим радиосигналом, приводится к необходимой частоте и передается. Что это значит? При беспроводной передаче данных, информация передается с помощью радиосигналов, которые работают на определенных частотах. Любые данные, передаваемые в этом режиме, должны иметь несущий сигнал, который работает в своем собственном конкретном диапазоне, который и является частотой. Вы можете представить себе это таким образом: после комбинирования данных с чиппинг-кодом, они помещаются в автомобиль (несущий сигнал), и автомобиль начинает движение по определенной дороге (частоте), чтобы добраться до пункта назначения.
Получатель производит обратную обработку. Сначала он демодулирует данные от несущего сигнала (удаляет данные из автомобиля). Получатель должен знать правильную последовательность чипов, чтобы привести полученные данные в их первоначальный вид. Соответственно отправитель и получатель должны быть надлежащим образом синхронизированы.
Суб-биты позволяют производить исправление ошибок, аналогично четности, используемой в технологиях RAID. Если переданный с помощью FHSS сигнал поврежден, он отправляется повторно. А при использовании DSSS сигнал может быть восстановлен даже из искаженного (в некоторой степени) сообщения. Именно биты чиппинг-кода позволяют восстановить потерянную информацию. Использование кода расщепления позволяет снизить влияние помех, отслеживать множество передач и обеспечивает возможность исправления ошибок.
Поскольку DSSS отправляет данные на всех частотах одновременно, эта технология обладает более высокой пропускной способностью, чем FHSS. Первый стандарт WLAN (802.11) использовал FHSS, но после того, как возникли требования по повышению пропускной способности, была реализована технология DSSS. При использовании FHSS, стандарт 802.11 может обеспечить передачу данных со скоростью от 1 до 2 Мбит/с. Стандарт 802.11b, использующий DSSS, обеспечивает передачу данных со скоростью до 11 Мбит/с.
Типы распространения спектра. Эта технология передает данные путем их «распространения» через широкий диапазон частот.
- FHSS (Frequency hopping spread spectrum) передает данные, изменяя частоты.
- DSSS (Direct sequence spread spectrum) использует иной подход, применяя к суб-биты к сообщениям и используя все доступные частоты одновременно.
- OFDM (Orthogonal frequency-division multiplexing - Ортогональное частотное разделение каналов с мультиплексированием) является цифровой схемой модуляции с несколькими несущими, которая уплотняет несколько модулированных несущих, уменьшает требуемую полосу пропускания. Модулированные сигналы ортогональны (перпендикулярны) и не мешают друг другу. OFDM использует набор частот узких каналов для повышения ее производительности на высоких частотах.
WLAN (Wireless LAN – беспроводная локальная вычислительная сеть) использует трансивер, называемый точкой доступа (AP – Access Point), который подключается к проводной сети с помощью кабеля Ethernet. Точка доступа является связующим звеном, позволяющим беспроводным устройствам получить доступ к ресурсам проводной сети, как это показано на Рисунке 5-57. Точка доступа – это компонент, связывающий проводной и беспроводный миры. Точки доступа находятся в фиксированных местах по всей сети и работают как коммуникационные маяки (beacon). Предположим, у пользователя есть беспроводное устройство с беспроводной сетевой картой, модулирующей его данные в радиочастотные сигналы, которые принимаются и обрабатываются точкой доступа. Передаваемые точкой доступа сигналы принимаются беспроводной сетевой картой, и преобразуется в цифровой формат, который может понять устройство.
Рисунок 5-57. Беспроводное устройство должно аутентифицироваться на точке доступа
Если для соединения беспроводной и проводной сетей используются точки доступа, это называют инфраструктурой WLAN (infrastructure WLAN), которая используется для расширения существующей проводной сети. Если используется только одна точка доступа, которая не подключена к проводной сети, это называется работой в автономном режиме (standalone mode). При этом точка доступа работает просто в качестве беспроводного концентратора.
Для взаимодействия беспроводных устройств с точкой доступа, они должны быть настроены на работу по одному и тому же каналу. Канал (channel) – это определенная частота в рамках выделенного диапазона частот. Точка доступа настроена на работу по определенному каналу, а беспроводное устройство подстраивается на ту же частоту для возможности взаимодействия.
Любой узел, который хочет использовать WLAN, должен быть настроен на нужный SSID (Service Set ID). Различные узлы могут быть сегментированы по различным WLAN посредством использования различных SSID. Причины сегментирования WLAN аналогичны причинам сегментирования для проводных сетей: пользователям требуется доступ к различным ресурсам, они имеют различные бизнес-функции, либо имеют различные уровни доверия.
Специальный WLAN (Ad hoc WLAN) не имеет точек доступа. В таком WLAN беспроводные устройства взаимодействуют только друг с другом через беспроводные сетевые карты, и не используют централизованные устройства. Для организации специальной сети WLAN, на взаимодействующие узлы устанавливается программное обеспечение беспроводного клиента, которое настроевается на одноранговый режим работы. Затем пользователь открывает «Сетевое окружение» (на компьютере с Windows), операционная система находит другие компьютеры, работающие в аналогичном режиме, и отображает их пользователю.
ПРИМЕЧАНИЕ. Если беспроводные устройства работают в режиме инфраструктуры, точка доступа и беспроводные клиенты создают группу, называемую BSS (Basic Service Set). Этой группе присваивается имя, которое является значением SSID.SSID обычно используется для аутентификации мобильного устройства на точке доступа. Чтобы устройство могло доказать, что ему разрешено взаимодействовать с проводной сетью, оно должно сначала предоставить действительное значение SSID. SSID не следует рассматривать в качестве надежного механизма обеспечения безопасности, поскольку многие точки доступа транслируют свои SSID в сеть, что позволяет легко перехватить и использовать их нападающими.
Беспроводное устройство может проверить подлинность точки доступа двумя основными способами: OSA (Open System Authentication - Открытая аутентификация) и SКА (Shared Key Authentication - Аутентификация посредством общего ключа). OSA не требует, чтобы беспроводное устройство предоставляло точке доступа определенный криптографический ключ для аутентификации. Во многих случаях, мобильное устройство должно предоставить только правильное значение SSID. В реализациях OSA, вся передача ведется открытым текстом без применения шифрования. При этом злоумышленник может прослушивать трафик, перехватывать передаваемые данные при выполнении отдельных шагов аутентификация, а затем выполнить те же шаги, чтобы пройти аутентификацию и установить соединение с точкой доступа.
ПРИМЕЧАНИЕ. OSA просто означает, что устройству для аутентификации не требуется предоставлять свой криптографический ключ. В зависимости от продукта и его конфигурации, администратор сети может ограничить доступ для определенных MAC-адресов. Это по-прежнему будет считаться OSA.Если точка доступа настроена на использование SKA, она направляет случайное значение беспроводному устройству. Устройство шифрует это значение своим криптографическим ключом и возвращает результат. Точка доступа расшифровывает его и сравнивает с первоначальным значением, если значения совпадают – устройство аутентифицировано. При этом подходе, беспроводное устройство аутентифицируется в сети, доказав, что оно обладает необходимым ключом шифрования. Этот метод основан на протоколе WEP (Wired Equivalent Privacy), который помимо этого обеспечивает зашифрованную передачу данных.
Как правило, WEP по умолчанию отключен на обычных беспроводных точках доступа. Если купивший его человек не обладает знаниями в области безопасности, он может не знать, как (и зачем) нужно настроить это устройство на безопасную работу. Без WEP не обеспечивается никакой секретности, точка доступа свободно распространяет данные о своем местонахождении и идентификационную информацию.
Было выявлено большое количество недостатков этого протокола. О новых решениях, разработанных для устранения этих недостатков, рассказано в разделе «802.11i» далее в этом Домене.
Стандарты были разработаны для того, чтобы различные производители могли создавать различные продукты, которые могли бы без проблем работать совместно. Стандарты, как правило, разрабатываются на основе консенсуса, достигнутого различными производителями в конкретной отрасли. IEEE (Institute of Electrical and Electronics Engineers - Институт инженеров электротехники и электроники) разрабатывает стандарты для широкого спектра различных технологий, среди них и беспроводные технологии.
Первый стандарт WLAN – 802.11, был разработан в 1997 году, он обеспечивал скорость передачи данных 1-2-Мбит/с. Он работал в частотном диапазоне 2,4 ГГц. Этот диапазон не лицензирован FCC, т.е. компаниям и пользователям не нужно платить, чтобы работать в нем.
Стандарт 802.11 описывает взаимодействие беспроводных клиентов и точек доступа, спецификации их интерфейсов, определяет порядок передачи сигналов, описывает, как должна быть реализована аутентификация, связь и безопасность.
В основной стандарт 802.11 в настоящее время входит большой список стандартов (802.11a, 802.11b, 802.11i, 802.11g, 802.11h и т.д.). IEEE создал несколько исследовательских групп для работы по конкретным направлениям беспроводной связи. Каждая группа работает в своем направлении, она исследует и разрабатывает стандарты для определенного направления. Буквы в названиях стандартов отражают порядок, в котором они были предложены и приняты.
802.11b
Стандарт 802.11b был первым расширением стандарта WLAN 802.11, в настоящее время он все еще является наиболее распространенным стандартом (хотя стандарт 802.11a был разработан и утвержден раньше, он не был реализован первым из-за возникших технических сложностей). 802.11b обеспечивает скорость передачи данных до 11 Мбит/с и работает в частотном диапазоне 2,4 ГГц. Он использует DSSS и обратно совместим с реализациями 802.11.
802.11a
Стандарт 802.11a стандарт использует другой метод модуляции данных на несущем радиосигнале. Тогда как 802.11b использует DSSS, 802.11a использует OFDM и работает в частотном диапазоне 5 ГГц. Из-за этих различий, 802.11a не имеет обратной совместимости с 802.11b и 802.11. Некоторые производители разработали продукты, которые могут работать с обоими реализациями (802.11a и 802.11b). При этом такие устройства должны быть правильно настроены или иметь возможность автоматически настраиваться на используемую технологию.
OFDM является схемой модуляции (FHSS и DSSS – два других примера схем модуляции), которая разбивает сигнал на несколько узкополосных каналов. Затем каналы модулируются и направляются по определенным частотам. Поскольку данные разделены на различные каналы (диапазоны), любые помехи окружающей среды будут негативно влиять лишь на небольшую часть сигнала. Это позволяет обеспечить более высокую пропускную способность. Также как FHSS и DSSS, OFDM является спецификацией физического уровня. OFDM может использоваться для передачи цифрового аудио и видео высокой четкости, а также трафика WLAN.
Эта технология дает преимущества в двух областях: скорость и частота. 802.11a обеспечивает скорость до 54 Мбит/с и не работает в переполненном диапазоне 2,4 ГГц. Диапазон частот 2,4 ГГц называют «грязными» частотами, поскольку в нем работают многие устройства – микроволновые печи, беспроводные телефоны и т.п. Во многих случаях это приводит к конкуренции при использовании этой частоты, вызывает потерю данных или неприемлемое качество сервиса. Поскольку стандарт 802.11a работает на более высоких частотах, он не подвержен этим проблемам (в отличие от стандартов 802.11b и 802.11g). Максимальная скорость при использовании 802.11a достигается на небольших расстояниях от точки доступа (до 7,5 метров).
Один из недостатков использования диапазона 5 ГГц состоит в том, что другие страны не выделили этот диапазон для использования в WLAN. Поэтому продукты 802.11a могут работать в США, но не обязательно, что они смогут работать в других странах.
802.11e
Стандарт 802.11e обеспечивает реализацию QoS и надлежащую поддержку мультимедийного трафика. Мультимедиа и другие виды критичных ко времени приложений, более чувствительны к задержкам в процессе передачи данных. QoS позволяет приоритезировать трафик и обеспечивает гарантированную доставку. Эта спецификация и ее возможности позволяют передавать различные типы данных по беспроводным сетям.
802.11f
Когда пользователь перемещается в пределах WLAN, беспроводному устройству часто приходиться переключаться между различными точками доступа. Точка доступа покрывает небольшую площадь, и при перемещении пользователя из зоны одной точки доступа в зону другой точки доступа необходимо найти и поддержать сигнал, обеспечив непрерывное подключение к сети. Это называется роуминг. Чтобы роуминг работал плавно, без разрывов, точки доступа должны взаимодействовать друг с другом. Если вторая точка доступа должна принять на себя коммуникации пользователя, она должна быть уверена, что этот пользователь был надлежащим образом аутентифицирован. Кроме того, она должна знать необходимые настройки соединения этого пользователя. Это означает, что первая точка доступа должна иметь возможность передавть эту информацию второй точке доступа. Передача информации между различными точками доступа при роуминге – это именно то, чем занимается стандарт 802.11f. В нем описывается, как эти данные могут использоваться совместно.
802.11g
Мы никогда не довольны, нам всегда нужно больше функций, больше возможностей и больше скорости. Стандарт 802.11g обеспечивает более высокую скорость передачи данных – до 54 Мбит/с. В основном это расширение, позволяющее увеличить скорость для существующих устройств 802.11b. Скорость работы устройств, соответствующих спецификации 802.11b составляет до 11 Мбит/с, а если устройство основано на 802.11g, оно остается обратно совместимым со старым оборудованием, но может при этом работать на более высокой скорости.
Так что же лучше, 802.11g или 802.11a? Они оба предоставляют высокую пропускную способность. 802.11g имеет обратную совместимость с 802.11b, поэтому его лучше применять, если у вас уже есть существующая инфраструктура. Но 802.11g по-прежнему работает в диапазоне 2,4 ГГц, в котором работает гораздо больше устройств. 802.11a работает в диапазоне 5 ГГц, в котором работает значительно меньше устройств, он не так переполнен. Но работа на более высоких частотах приводит к уменьшению зоны покрытия беспроводного устройства. Вполне вероятно, что выбор того или иного стандарта предопределит рынок, на котором победит один из них. Только время покажет, какой из стандартов выживет в этой войне стандартов.
802.11h
Как было отмечено ранее, 802.11a работает в диапазоне 5 ГГц, который может быть недоступен для передачи данных в странах, отличных от США. Стандарт 802.11h основан на спецификации 802.11a, при этом обеспечено соответствие требованиям европейских норм беспроводной связи, поэтому продукт, работающий в соответствии с этим стандартом, может использоваться в европейских странах.
В стандарте 802.11 было выявлено множество недостатков, связанных с обеспечением безопасности. Это существенно уменьшило число желающих внедрять основанные на нем продукты, и создало серьезные уязвимости в системе безопасности у тех, кто все-таки внедрил такие продукты. Каждый из упомянутых выше стандартов WLAN основан на одной и той же модели безопасности, поэтому все они унаследовали те же недостатки.
Стандарт безопасности беспроводных технологий
Первый стандарт WLAN, IEEE 802.11, имеет огромное количество недостатков безопасности. Они содержатся как в основах самого стандарта, так и в различных его реализациях. Для решения этих проблем, новой исследовательской группой IEEE были проведены работы по улучшению стандарта и закрытию уязвимостей, которые были в нем выявлены. Среди недостатков оригинального стандарта 802.11 можно отметить отсутствие аутентификации пользователей, отсутствие взаимной аутентификации между беспроводным устройством и точкой доступа, недостатки протокола шифрования. Протокол шифрования позволяет изменить определенные биты в передаваемом сообщении так, чтобы получатель не смог выявить эти изменения. Отдельные компоненты механизма шифрования (ключ и векторы инициализации) не обеспечивают достаточной случайности процесса шифрования, что позволяет легко взломать зашифрованные сообщения бесплатными инструментами, доступными на различных веб-сайтах.
ПРИМЕЧАНИЕ. Вопросы криптографии более детально рассмотрены в Домене 06. Если вы новичок в криптографии, имеет смысл еще раз вернуться к этому разделу после изучения Домена 06.Использование EAP (Extensible Authetication Protocol - Расширяемый протокол аутентификации) и 802.1X (он будет рассмотрен чуть позже в этом разделе) для реализации функций аутентификации пользователей и взаимной аутентификации было интегрировано в новый стандарт WLAN 802.11i. Также в него был интегрирован MIC (Message Integrity Code - Код целостности сообщения) для выявления изменения битов в процессе передачи. Кроме того, в нем импользуется TKIP (Temporal Key Integrity Protocol - Протокол целостности временного ключа), который генерирует случайные значения, используемые в процессе шифрования, что существенно затрудняет взлом для злоумышленника. Для обеспечения еще более высокого уровня криптографической защиты, стандарт также включает в себя новый алгоритм AES (Advanced Encryption Standard), который используются в новых реализациях WLAN.
Далее в этом разделе мы рассмотрим эти различные компоненты, а также их взаимодействие друг с другом.
В чем заключаются проблемы WEP?
К сожалению, существует множество разновидностей атак, которые могут быть осуществлены на устройства и сети, использующие WEP. Реализации, основанные исключительно на первоначальном стандарте 802.11, подвержены множеству атак. Беспроводный трафик в них может быть легко перехвачен, данные могут быть изменены в процессе передачи без ведома получателя, злоумышленником могут быть установлены свои точки доступа (на которых пользователь может пройти аутентификацию и работать с ними, не зная при этом, что эта точка доступа установлена злоумышленником), зашифрованный беспроводный трафик можно быстро и легко расшифровать. К сожалению, эти уязвимости очень часто становятся открытой дверью в реальную проводную сеть, что может привести к гораздо более разрушительным атакам.
Многие производители продуктов WLAN разработали собственные средства и технологии обеспечения безопасности, позволяющие преодолеть недостатки и уязвимости 802.11, но реализации этих средств и технологий, как правило, похожи на некий «пластырь», за которым скрываются все те же глобальные проблемы, вызванные недостатками самого стандарта. К тому же при разработке производителями собственных решений, всегда возникают проблемы совместимости устройств различных производителей.
Стандарт 802.11i использует два различных подхода, которые обеспечивают гораздо большую безопасность и защиту, по сравнению с протоколом WEP, используемым в оригинальном стандарте 802.11. Повышение безопасности и защиты осуществляется за счет использования специальных протоколов, технологий и алгоритмов. Первым протоколом является TKIP, который обратно совместим со многими продуктами и сетями WLAN. В действительности TKIP использует ключевой материал WEP, который является исходными данными для создания новых динамических ключей. WEP использует алгоритм шифрования RC4, и текущая реализация алгоритма обеспечивает весьма слабую защиту. В процессе генерации ключей с использованием TKIP вводятся дополнительные сложности, которые существенно усложняют для нападающих взлом криптографических ключей. TKIP реализован рабочей группой IEEE, поэтому клиентам, достаточно просто получить обновления прошивки или программного обеспечения, без необходимости приобретения нового оборудования для дополнительной защиты.
802.11i предоставляет дополнительные возможности криптографической защиты с помощью алгоритма AES в режиме счетчика (counter mode) c CBC-MAC, который называется протоколом ССM (CCMP – CCM Protocol). Алгоритм AES больше подходит для беспроводных сетей, чем RC4, но он требует больше вычислительных ресурсов. AES не совместим с предыдущими продуктами WLAN, поэтому клиенты могут использовать такую конфигурацию, только если они еще не развернули у себя беспроводные сети.
ПРИМЕЧАНИЕ. Режим CBC (Cipher Block Chaining) описан в Домене 06.Входящие в состав нового беспроводного стандарта алгоритмы, технологии и протоколы, достаточно сложны. Важно понимать как каждый компонент в отдельности, так и их совместную работу, позаоляющую обеспечить более высокую степень защиты для будущих сред WLAN.
В следующем разделе мы рассмотрим различные процессы шифрования в стандарте 802.11i (CCMP и TKIP), а затем рассмотрим другие компоненты, входящие в состав этого стандарта и отсутствующие в первоначальном стандарте 802.11.
802.1X
Стандарт 802.11i можно представить в виде трех основных компонентов, содержащихся на двух отдельных уровнях. Нижний уровень содержит улучшенные алгоритмы шифрования (TKIP и CCMP), тогда как верхний уровень содержит 802.1X. Их совместная работа позволяет обеспечить больше уровней защиты, по сравнению с оригинальным стандартом 802.11.
Так что же такое 802.1X? Стандарт 802.1X – это основанное на портах управление сетевым доступом, которое обеспечивает невозможность получения пользователем доступа к сети до тех пор, пока он не пройдет успешно аутентификацию. При этом пользователь не может использовать сетевые ресурсы, между беспроводным устройством и сетью не разрешается никакой трафик, кроме трафика аутентификации, до тех пор, пока пользователь не будет успешно аутентифицирован. В качестве аналогии можно привести пример цепочки на входной двери, которая позволяет открыть дверь лишь настолько, насколько необходимо для идентификации посетителя, и уже после того, как вы узнали посетителя, вы позволяете ему войти в ваш дом.
Стандарт 802.1X позволяет аутентифицировать пользователя, тогда как использование WEP позволяет аутентифицировать только систему. Аутентификация пользователя обеспечивает более высокую степень уверенности и защиты, чем аутентификация системы.
На самом деле, технология 802.1X обеспечивает платформу аутентификации и метод динамического распределения ключей шифрования. Тремя основными сущностями этой платформы являются: пользователь (беспроводное устройство), аутентификатор (точка доступа) и сервер аутентификации (как правило, сервер RADIUS). Если в сети нет сервера аутентификации, точка доступа может выполнять одновременно роль и аутентификатора, и сервера аутентификации.
Точка доступа, как правило, не обладает большой интеллектуальностью и работает в качестве посредника, передавая кадры между беспроводным устройством и сервером аутентификации. Обычно это хороший подход, поскольку он не требует существенных ресурсов для работы точки доступа, и точка доступа может управлять несколькими соединениями одновременно, а не аутентифицировать всех и каждого пользователя.
Точка доступа управляет всеми коммуникациями и позволяет беспроводным устройствам взаимодействовать с сервером аутентификации и проводной сетью только тогда, когда все шаги аутентификации выполнены успешно. Это означает, что беспроводное устройство не сможет передавать или получать трафик HTTP, DHCP, SMTP или любой другой тип трафика, пока пользователь не будет надлежащим образом авторизован. WEP не обеспечивает таких возможностей управления доступом. И это лишь один пример возможностей безопасности, обеспечиваемых стандартом 802.11i.
Другим недостатком оригинального стандарта 802.11 является отсутствие возможности взаимной аутентификации. При использовании одного только WEP беспроводное устройство может аутентифицироваться на точке доступа, но оно не может аутентифицировать сервер аутентификации. Соответственно, злоумышленником может быть установлена своя точка доступа для перехвата реквизитов доступа пользователей и другого трафика, при этом пользователи не будут знать, что они подверглись атаке. 802.11i решает эту проблему с помощью EAP. EAP обеспечивает возможность взаимной аутентификации между сервером аутентификации и беспроводным устройством, а также обеспечивает гибкость, позволяя пользователям аутентифицироваться с помощью паролей, токенов, одноразовых паролей, сертификатов, смарт-карт или Kerberos. Это позволяет беспроводным пользователям проходить аутентификацию с использованием существующей инфраструктуры и существующих технологий аутентификации. Беспроводное устройство и сервер аутентификации, соответствующие стандарту 802.11i, имеют различные модули аутентификации, которые поддерживаются 802.1X. Таким образом, 802.1X реализует платформу, которая позволяет сетевому администратору добавлять различные модули EAP. Две сущности (пользователь и аутентификатор) выбирают один из этих методов аутентификации (модулей EAP) в процессе «рукопожатия».
Стандарт 802.11i работает не со всем стеком протоколов, а затрагивает лишь канальный уровень модели OSI. Протоколы аутентификации работают на более высоком уровне, поэтому стандарт 802.11i не определяет детали протоколов аутентификации. Использование EAP позволяет различным производителям использовать различные протоколы. Например, Cisco использует платформу аутентификации исключительно на основе паролей, называемую LEAP (Lightweight Extensible Authentication Protocol). Другие производители, в том числе Microsoft, используют EAP и EAP-TLS, которые осуществляют аутентификацию с помощью цифровых сертификатов. Еще одним вариантом является PEAP (Protective EAP), в котором только сервер использует цифровой сертификат.
При использовании EAP-TLS, сервер аутентификации и беспроводное устройство для аутентификации обмениваются цифровыми сертификатами, выполняя шаги, похожие на те, которые выполняются при установлении соединения SSL между веб-сервером и браузером. После получения и проверки цифрового сертификата сервера, беспроводное устройство создает мастер-ключ, шифрует его на открытом ключе сервера и направляет серверу аутентификации. Теперь беспроводное устройство и сервер аутентификации имеют мастер-ключ, который они используют для генерации уникальных симметричных сеансовых ключей. Обе стороны используют сеансовые ключи для шифрования и расшифрования, а также создания безопасного канала между двумя устройствами.
Компании могут предпочесть использовать PEAP вместо EAP-TLS, поскольку при этом не возникает сложностей с установкой и поддержкой цифровых сертификатов для каждого беспроводного устройства. При использовании PEAP, пользователь беспроводного устройства посылает серверу пароль, а сервер аутентификации на беспроводное устройство – цифровой сертификат. В обоих случаях, должен быть реализован какой-либо вариант инфраструктуры PKI. Если компания еще не внедрила PKI, задача по его развертыванию только для беспроводной связи может стать очень трудоемкой и дорогостоящей.
Прежде чем покупать продукт WLAN, вы должны понять все требования и сложности каждого метода для уверенности, что вы точно знаете, что вы получите, и насколько это подходит для вашей среды.
Как было сказано ранее, Cisco использовала иной подход к аутентификации. Она реализовала LEAP, который основан исключительно на паролях. Для его использования не требуется PKI, а беспроводные устройства и серверы аутентифицируют друг с друга на основании предварительного обмена паролями.
Большую обеспокоенность в современных реализациях WLAN, использующих только WEP, вызывает то, что если отдельные беспроводные устройства украдены, они смогут легко пройти аутентификацию в проводной сети. 802.11i добавляет шаги, требующие проведения аутентификации пользователя в сети, а не только аутентификации беспроводного устройства. Используя EAP, пользователь должен отправить определенный набор реквизитов доступа, связанных с его личностью. При использовании только WEP, беспроводное устройство аутентифицируется, предоставляя симметричный ключ, который был заранее вручную введен в него. Поскольку пользователю при использовании WEP не нужно проходить аутентификацию, похищенное беспроводное устройство может позволить злоумышленнику получить доступ к вашей сети с драгоценными ресурсами.
Динамические ключи и использование Векторов инициализации
Тремя основными недостатками WEP являются: использование статических ключей шифрования, неэффективное использование векторов инициализации, а также отсутствие гарантий целостности пакета. Протокол WEP использует алгоритм RC4, который представляет собой поточный симметричный шифр. Слово симметричный означает, что отправитель и получатель должны использовать один и тот же ключ для шифрования и расшифрования. Стандарт 802.11 не предусматривает автоматизированного процесса обновления этих ключей, поэтому в большинстве сред симметричные ключи RC4 никогда изменяются. Как правило, все беспроводные устройства и точка доступа используют один и тот же ключ. Это все равно, что использовать во всей компании один и тот же пароль. Не очень хорошая идея. Таким образом, первая проблема – статический ключ шифрования WEP на всех устройствах.
Следующим недостатком является использование векторов инициализации (IV – initialization vector). Вектор инициализации – это числовое значение, которое используется вместе с симметричным ключом и алгоритмом RC4 для обеспечения большей случайности в процессе шифрования. Случайность – это чрезвычайно важно в шифровании, т.к. если что-то может позволить злоумышленнику понять, как работает процесс, это может дать ему возможность взломать используемый ключ шифрования. Ключ и значение IV передаются в алгоритм RC4 для генерации ключевого потока. Значения (единицы и нули) ключевого потока накладываются с помощью операции XOR на двоичные значения содержимого отдельных пакетов. В результате получается шифротекст или зашифрованные пакеты.
В большинстве реализаций WEP, в этом процессе постоянно используются одни и те же значения вектора инициализации, пока не изменится симметричный ключ (или общий секрет). Таким образом, отсутствует возможность обеспечить реальную случайность ключевого потока, генерируемого алгоритмом. Это позволяет нападающим провести «обратный инжиниринг» процесса для получения оригинального ключа шифрования, который затем может быть использован для расшифровки зашифрованного трафика.
Теперь можно перейти к третьему упомянутому выше недостатку – проблеме обеспечения целостности. Продукты WLAN, которые используют только стандарт 802.11, приводят к появлению уязвимостей, которые не всегда очевидны. Злоумышленник реально может изменить данные сетевых пакетов и одновременно с этим изменить Значение контроля целостности (ICV – Integrity Check Value), чтобы эти изменения не были замечены получателем. ICV работает аналогично функции CRC: отправитель рассчитывает ICV и вставляет его в заголовок кадра. Получатель вычисляет свое собственное значение ICV и сравнивает его с ICV в заголовке кадра. Если значения ICV совпадают, получатель считает, что в кадр не был изменен в процессе передачи. Если значения ICV отличаются, это говорит получателю о том, что произошли изменения, и получатель уничтожает этот кадр. В WEP существуют некоторые особенности, из-за которых получатель не может выявить изменения в кадре, поэтому в нем не существует реальных гарантий целостности.
Таким образом, проблемами стандарта 802.11 являются плохая аутентификация, статичные ключи WEP, которые могут быть легко получены нападающими, повторяющиеся значения вектора инициализации, не обеспечивающие необходимую степень случайности ключевого потока, а также недостатки контроля целостности данных. Использование технологии 802.1X в новом стандарте 802.11i обеспечивает управление доступом, ограничивая доступ к сети до момента завершения полной аутентификации и авторизации, и служит надежной платформой для аутентификации, позволяющей подключать к ней различные модули EAP. Эти две технологии (802.1X и EAP) работают вместе, обеспечивая взаимную аутентификацию между беспроводным устройством и сервером аутентификации. Но как при этом обстоят дела со статическими ключами, значениями векторов инициализации и проблемами целостности?
TKIP учитывает недостатки WEP, относящиеся к использованию WEP статичных ключей и использованию ненадежных значений векторов инициализации. Существуют две очень полезные, мощные и легкие в использовании программы, которые могут быть использованы для взлома шифрования WEP: AirSnort и WEP-Crack. Они эксплуатируют указанные недостатки, а также неэффективное использование алгоритма распределения ключей, применяемое в протоколе WEP. Если компания применяет продукты, которые реализуют шифрование только с использованием WEP, без каких либо сторонних решений для шифрования (например, VPN), указанные выше программы могут без труда взломать ее зашифрованный трафик в течение очень короткого времени (от нескольких минут до нескольких часов). При этом взлом шифрования WEP гарантирован независимо от того, какие используются ключи (40-битные или 128-битные). Это одна из самых серьезных и опасных уязвимостей, связанных с оригинальным стандартом 802.11.
Использование TKIP позволяет выполнять ротацию ключей шифрования для противодействия атакам такого типа. Этот протокол увеличивает длину значения вектора инициализации и гарантирует, что для шифрования каждого кадра будет использоваться новое значение вектора инициализации. Значение вектора инициализации комбинируется с MAC-адресом отправителя и оригинальным ключом WEP, поэтому даже в случае использования статического ключа WEP, реальный ключ шифрования будет отличаться для каждого кадра (ключ WEP + значение вектора инициализации + MAC-адрес = новый ключ шифрования). Это обеспечивает значительно большую случайность процесса шифрования, что позволяет противодействовать криптоанализу и атакам на криптосистемы. Изменение значений вектора инициализации и получаемых в результате ключей, делает ключевой поток менее предсказуемым, что существенно затрудняет злоумышленнику выполнение «обратного инжиниринга» и получения оригинального ключа.
Кроме того, TKIP решает проблему целостности с помощью MIC вместо использования функции IVC. Если вы знакомы с работой Кода аутентификации сообщения (MAC – Message Authentication Code), то вам будет проще понять это, поскольку это то же самое. Функция хэширования использует симметричный ключ, что очень похоже на работу CRC, но более стойкую. Использование MIC вместо ICV позволяет получателю контролировать изменения в кадре, которые могли произойти во время передачи. Отправитель и получатель рассчитывают свои собственные независимые значения MIC. Если у получателя получилось значение MIC, отличающееся от указанного в заголовке кадра, кадр считается скомпрометированным и уничтожается.
ПРИМЕЧАНИЕ. Эти криптографические концепции и технологии рассматриваются в Домене 06.
Ответ на все наши молитвы?
До настоящего времени, если компании требовался более высокий уровень защиты, чем мог предоставить первоначальный стандарт 802.11, она была вынуждена устанавливать межсетевой экран между точкой доступа и проводной сетью. Также, на беспроводные устройства иногда устанавливали программное обеспечение VPN для реализации дополнительного, более стойкого шифрования. Помимо этого, как было отмечено ранее, различные поставщики предложили свои собственные решения по обеспечению безопасности. Но сейчас мы надеемся, что к 802.11i не потребуется применять многочисленные заплатки и надстройки. Мы расчитываем, что безопасность будет обеспечиваться самой технологией.
Так все-таки, дает ли использование EAP, 802.1X, AES и TKIP реально безопасную и доверенную реализацию WLAN? Возможно, но мы должны хорошо понимать, как все это правильно использовать. TKIP была создана для того, чтобы по-быстрому исправить наиболее критичные проблемы WEP. Использование TKIP не перестраивает сам стандарт 802.11, поскольку и TKIP, и WEP по-прежнему основываются на алгоритме RC4, являющимся не самым лучшим вариантом для таких технологий. Применение AES ближе к реальной перестройке стандарта, но оно не обеспечивает обратной совместимости с более ранними реализациями 802.11. Кроме того, следует понимать, что использование всех этих новых компонентов их объединение с уже используемыми компонентами 802.11 увеличивает сложности внедрения новых компонентов и добавляет шаги в этот процесс. А безопасность и сложность, как правило, не совместимы. Наибольшая безопасность достигается, как правило, самыми простыми и элегантными решениями, позволяющими гарантировать, что все точки доступа учтены и защищены. Новые технологии дают больше гибкости поставщикам при выборе механизмов аутентификации пользователей и серверов аутентификации, но это также модет привести к проблемам совместимости устройств различных производителей, поскольку не все производители будут выбирать одни и те же методы. Это означает, что если компания покупает одну точку доступа у производителя A, а затем беспроводные сетевые карты у производителей B и C, могут возникнуть проблемы с их взаимодействием.
Получается, что вся эта работа была проделана зря? Нет. Стандарт 802.11i обеспечивает гораздо более высокий уровень защиты и безопасности, чем имел WEP когда бы то ни было. Разработавшая его рабочая группа была составлена из очень грамотных людей и нескольких крупных и влиятельных компаний, которые оказали помощь при разработке новых решений. Однако клиенты, покупающие эти новые продукты, должны понимать, что потребуется от них после оформления заказа. Например, при использовании EAP-TLS, каждое беспроводное устройство должно иметь собственный цифровой сертификат. Ваши нынешние беспроводные устройства могут работать с сертификатами? Как нужно правильно установить сертификаты на все беспроводные устройства? Как поддерживать сертификаты? Как организовать проверку списка отозванных сертификатов (CRL – Certificate revocation list) устройствами и сервером аутентификации, чтобы они могли убедиться, что сертификат не был отозван? Что делать, если обнаружен установленный злоумышленником сервер аутентификации или точка доступа с действительным цифровым сертификатом? Беспроводное устройство просто проверит этот сертификат, и будет считать, что это подлинный сервер, с которым оно собиралось взаимодейстовоать. А если центр сертификации будет скомпрометирован, то будет скомпрометирована и вся инфраструктура EAP-TLS, как и в любой среде PKI.
Оригинальный стандарт 802.11 получил очень много негативных отзывов, поэтому новая рабочая группа приложила все усилия, чтобы в новой версии стандарта были учтены все известные проблемы и расставлены все точки над «i». Но время покажет, насколько ей это удалось. Этот новый улучшенный стандарт обеспечивает гораздо больше безопасности, но существуют две вещи, которые нужно учитывать при внедрении новых продуктов. Во-первых, производители должны правильно интерпретировать стандарт и придерживаться его, для реального обеспечения уровня гарантий и безопасности, обещанного стандартом. Во-вторых, клиентам нужно объяснить все особенности новых продуктов и обучить их использованию этих продуктов, чтобы клиенты понимали, что они покупают и внедряют в свою среду. Слишком часто продукты и технологии внедряются компанией без необходимых знаний о том, как их правильно внедрять, тестировать, как обеспечивать их безопасность. Истинная безопасность основывается на обучении, знаниях и опыте. Таким образом, конечной целью является получение всеобъемлющего стандарта, который не только применяется при производстве безопасной продукции, но и позволяет клиенту узнать все необходимое об этом новом продукте, чтобы реально достичь необходимого уровня защиты. Если хотя бы один из этих компонентов не выполнен, это может привести к хаосу.
Новые продукты. В настоящее время уже разрабатываются новые продукты WLAN, реализующие эти новые беспроводные стандарты. Многие из них позволяют использовать как TKIP, так и AES. Первый пригодится компаниям для обеспечения обратной совместимости с более ранними реализациями WLAN, уже внедренными у них. А вторым смогут воспользоваться компании, впервые разворачивающие свои беспроводные сети. Клиентам следует обращать внимание на наличие у приобретаемых беспроводных продуктов сертификации Wi-Fi Alliance, который проводит оценку систем на соответствие стандарту 802.11i. Таблица 5-12 показывает характеристики различных компонентов беспроводной безопасности, используемых в настоящее время.
Таблица 5-12. Характеристики современных компонентов безопасности беспроводных технологий
802.11j
Многие страны разрабатывают свои собственные беспроводные стандарты, что неизбежно приводит к массе проблем при совместной работе. Это мешает как покупателю (он не может использовать определенные продукты), так и повышает себестоимость для производителя (у него появляется еще более длинный список спецификаций, котррые он должен учесть, если хочет продавать свой продукт в различных странах). Если производитель не сможет учесть отдельные спецификации, соответствующий круг покупателей будет для него недоступен. Рабочая группа 802.11j работает над объединением множества различных стандартов и оптимизации их разработки, чтобы обеспечить лучшее взаимодействие между стандартами разных стран.
802.11n
Целью 802.11n WWiSE (World Wide Spectrum Efficiency) является попытка заменить имеющийся набор различных технологий Wi-Fi. 802.11n разработан для обеспечения более высокой скорости (до 100 Мбит/с), он работает в частотном диапазоне 802.11a (5 ГГц). Он обеспечивает обратную совместимость с текущими стандартами Wi-Fi, объединяя срвременные технологии. Этот стандарт позволяет использовать концепцию MIMO (multiple input, multiple output), обеспечивающаю повышение пропускной способности. Для этого требуется использовать две приемных и две передающих антенны для параллельной широковещательной рассылки с использованием канала 20 МГц.
802.16
Рассмотренные раннее беспроводные стандарты являются WLAN-ориентированными. 802.16 – это беспроводной стандарт MAN, который позволяет беспроводному трафику покрывать гораздо большие географические площади. Эту технологию также называют беспроводным широкополосным доступом.
802.15
Этот стандарт работает со значительно меньшими по географическим размерам сетями, которые называют WPAN (wireless personal area network). Эта технология позволяет соединить локальные устройства, например, обеспечить связь между компьютером и КПК, сотовым телефоном и гарнитурой, и т.п. Целью здесь, как и в других беспроводных технологиях, является обеспечение возможности беспроводной передачи данных.
Bluetooth
Беспроводная технология Bluetooth на самом деле является частью стандарта 802.15. Она позволяет передавать данные со скоростью 1-3 Мбит/с и работает в радиусе около 10 метров. Например, если у вас есть сотовый телефон и КПК, которые поддерживают Bluetooth и имеют функционал календаря, вы можете организовать автоматическую синхронизацию календаря на обоих этих устройствах без необходимости их физического соединения. При этом когда вы добавите новую встречу или задачу на сотовом телефоне, вам достаточно просто положить КПК рядом с телефоном, чтобы эта информация была перенесена на КПК. КПК «почувствует» наличие поблизости другого устройства и попытается установить сетевое соединение с ним. Когда соединение будет создано, произойдет синхронизация календаря между двумя устройствами. Это звучит прекрасно и большинство портативных устройств уже могут работать таким образом. Bluetooth работает в частотном диапазоне других 802.11-устройств (2.4 ГГц).
Однако при передаче незащищенных данных через Bluetooth возникают реальные риски безопасности, особенно в общественных местах, т.к. любое устройство в определенном радиусе может перехватить передаваемые таким способом данные.
Другая атака, которой подвержен Bluetooth, называется Bluejacking. При этой атаке некто отсылает незатребованное сообщение на устройство с включенным Bluetooth. Атакующий находит такое устройство (телефон, КПК, ноутбук) и отсылает ему сообщение. Чаще всего атакующий пытается отправить некий текст в формате визитной карточки, которая добавится в список контактов жертвы. Контрмерой против этой атаки является перевод Bluetooth-устройства в невидимый режим, чтобы другие не могли найти и идентифицировать устройство. Если вы получили подобное сообщение, оглядитесь вокруг. Bluetooth работает на расстоянии всего около 10 метров, поэтому сообщение пришло от кого-то рядом с вами.
ПРИМЕЧАНИЕ. Некоторые из этих стандартов пока еще находятся в стадии разработки, и не все рассмотренные стандарты и технологии сохранятся в будущем. Пройдет время, прежде чем они будут реализованы производителями и внедрены покупателями. Беспроводные технологии пока еще остаются достаточно «незрелыми», они страдают ужасными болезнями, очень сложно определить, за каким стандартом будущее. Но беспроводные технологии подобны пожару, все ими интересуются, они растут и поглощают рынки.
Ссылки по теме:
Комментариев нет:
Отправить комментарий