Изграждане на защитена безжична мрежа WPA-Enterprise, EAP-TLS

Архив на издания/2005/Издание № 5 (30)/Изграждане на защитена безжична мрежа: WPA-Enterprise, 802.1x EAP-TLS

АНДРЕЙ ПЛАТОНОВ

Изграждане на сигурна безжична мрежа: WPA-Enterprise, 802.1x EAP-TLS

Безопасен несигурен Wi-Fi

Днес става очевидно, че въпреки всички проблеми, свързани със сигурността, надеждността и сложността на работата, безжичните решения от семейството 802.11a/b/g все пак са се превърнали в неразделна част от инфраструктурата на много корпоративни, домашни и дори операторски мрежи. Отчасти това е така, защото повечето от тези проблеми вече са в миналото в днешното развитие на Wi-Fi. Безжичните мрежи във всички отношения са станали много по-умни и по-бързи: появиха се QoS, интелигентни антени (технология MIMO), реални скорости достигнаха 40 Mbit/s (например SuperG технологии, SuperAG от Atheros). Освен това настъпиха големи промени в набора от технологии, които осигуряват сигурността на безжичните мрежи. Нека поговорим за това по-подробно.

По времето, когато Wi-Fi беше само за елита, WEP криптиране и MAC филтри бяха използвани за защита на безжичните мрежи. Всичко това бързо стана липсващо, WEP беше признат за несигурен поради статичния характер на ключовете за криптиране и липсата на механизми за удостоверяване, MAC филтрите също не осигуряват специална сигурност. Започва разработването на нов стандарт IEEE 802.11i, който е предназначен да реши всички належащи проблеми със сигурността. По средата на 802.11i се появи набор от технологии под общото име WPA (Wi-Fi Protected Access) - част от все още не готовия стандарт 802.11i. WPA включва средства за удостоверяване на потребителя, криптиране с помощта на динамични WEP ключове (TKIP/MIC). Тогава 802.11i най-накрая завърши и се роди WPA2. Към всичко по-горе е добавена поддръжка за по-силно криптиране AES (Advanced Encryption Standard), което работи заедно с протокола за защита CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol е по-усъвършенстван аналог на TKIP в WPA). WPA2 постепенно започна да се появява в нови модели точки за достъп (например D-Link DWL-3200AP), но засега е доста екзотичен. Всички продукти, които поддържат WPA2, са обратно съвместими с оборудване, което поддържа WPA.

И WPA, и WPA2 включват усъвършенствани контроли за безжичен достъп, базирани на стандарта IEEE 802.1x. Архитектурата 802.1x използва няколко необходими порта:

  • Клиент. Молителят действа като клиент - програма на клиентския компютър, която контролира процеса на удостоверяване.
  • Удостоверител. Това е точка за достъп, която действа като посредник между клиента и сървъра за удостоверяване. Кабелен превключвател също може да бъде удостоверител. 802.1x се използва в различни мрежи.
  • Сървър за удостоверяване - RADIUS сървър.

IEEE 802.1x позволява разнообразни методи и алгоритми за удостоверяване. Това е възможно благодарение на разширимия протокол за удостоверяване (EAP), в който атрибутите са „вложени“, съответстващи на определен метод за удостоверяване. Следователно има много вкусове на 802.1x EAP: EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-SIM и др. Тази статия ще опише изпълнението на удостоверяването в безжична мрежа, базирана на цифрови сертификати - 802.1x EAP- TLS. Този метод се използва най-често в корпоративните безжични мрежи и има доста висока степен на сигурност. Освен това EAP-TLS понякога е един от основните методи за защита в мрежите на безжичните доставчици.