NETSGUIDES

КОМПЬЮТЕРНЫЕ СЕТИ

Поиск:

 

WEP-шифрование

Wi-Fi / Глава 14. Защита беспроводной сети / Инструменты защиты 802.11b / WEP-шифрование

WEP-шифрование является функцией каждой системы 802.11b, поэтому важно знать принцип его работы, даже если вы решили им не пользоваться. Как следует из названия, первоначальной задачей протокола защиты, эквивалентной проводной - Wired Equivalent Privacy (WEP), было обеспечение уровня защиты беспроводных сетей, сравнимой с защитой проводной сети. Но существует весьма распространенное утверждение, что сеть, основанная на WEP-шифровании, почти так же уязвима к вторжению, как и сеть с абсолютным отсутствием защиты. Она будет защищать от случайных шпионов, но не будет особенно эффективна против упорного взломщика.

WEP выполняет три функции: предотвращает неавторизованный доступ в сеть, выполняет проверку целостности каждого пакета и защищает данные от недоброжелателей. Для шифрования пакетов данных WEP использует секретный ключ шифрования перед тем, как сетевой клиент или точка доступа передаст их, и применяет этот же ключ для декодирования данных после их приема. Когда клиент пытается обменяться данными с сетью, используя другой ключ, результат искажается и игнорируется. Поэтому WEP-настройки должны быть абсолютно одинаковыми на каждой точке доступа и адаптере клиента в сети. Это звучит достаточно просто, но вызывает затруднения, так как производители используют разные методы для определения размера и формата WEP ключа. Функции неизменны от марки к марке, но одинаковые настройки не всегда имеют одинаковые обозначения.

Сколько битов в вашем WEP-ключе?

Во-первых, WEP-ключ может состоять либо из 64, либо из 128 битов.

128-битные ключи взломать труднее, но они также увеличивают количество времени, необходимое для передачи каждого пакета.

Путаница в реализациях разных производителей возникает оттого, что 40- битный WEP представляет собой то же, что и 64-ключ WEP, а 104-битный ключ - то же, что и 128-битный ключ. Стандартный 64-битный WEP-ключ является строкой, содержащей внутренне сгенерированный 24-битный вектор инициализации и 40-битный секретный ключ, присвоенный сетевым администратором. Спецификации некоторых производителей и конфигурационные программы называют это «64-битным шифрованием», а другие - «40-битным шифрованием». В любом случае схема шифрования остается той же самой, поэтому адаптер, использующий 40-битное шифрование, полностью совместим с точкой доступа или адаптером, использующим 64-битное шифрование.

Многие сетевые адаптеры и точки доступа также содержат функцию «сильное шифрование», использующую 128-битный ключ (который на самом деле является секретным 104-битным ключом с 24-битным вектором инициализации).

Сильное шифрование односторонне совместимо с 64-битным шифрованием, но не является автоматическим, поэтому все составляющие смешанной сети из устройств со 128-битным и 64-битным ключом будут работать с 64-битным шифрованием. Если точка доступа и все адаптеры допускают 128-битное шифрование, используйте 128-битный ключ. Но если вы хотите, чтобы ваша сеть была совместима с адаптерами и точками доступа, которые распознают только 64- битное шифрование, настройте всю сеть на использование 64-битных ключей.

ASCII или шестнадцатеричный ключ?

Не только длина ключа сбивает с толку при настройке WEP-шифрования.

Некоторые программы требуют ключа в виде строки из текстовых символов, а другие - в виде шестнадцатеричных чисел. Остальные могут генерировать ключ из опциональной идентификационной фразы.

Каждый ASCII-символ состоит из 8 битов, поэтому 40-битный (или 64-битный) WEP-ключ содержит 5 символов, а 104-битный (или 128-битный) ключ состоит из 13 символов. В шестнадцатеричной системе каждое число состоит из 4 битов, поэтому 40-битный ключ содержит 10 шестнадцатеричных символов, а 128-битный имеет 26 символов.

На рис. 14.2, где показано окно Wireless Setting (Настройка беспроводной сети) для точки доступа D-Link, поле 40-bit Shared Key Security (Защита с 40- битным ключом доступа) использует шестнадцатеричные символы и имеет пространство для десяти символов. Программа D-Link содержит все десять символов в одной строке, но некоторые другие разделяют их на пять групп по два числа или на две группы из пяти чисел.

Рис. 14.2

Для компьютера ключ выглядит одинаково в любом случае, но проще копировать строку, когда она разделена на части.

Многие утилиты клиентов, такие как диалоговое окно Wireless Network Properties (Свойства беспроводной сети) в Windows XP (изображенное на рис. 14.3), предлагают на выбор либо шестнадцатеричный ввод, либо текст, поэтому вы можете использовать формат, соответствующий определенному, для точки доступа.

Рис. 14.3

Идентификационная фраза представляет собой текстовую строку, которую адаптеры и точки доступа автоматически преобразуют в строку из шестнадцатеричных символов. Так как люди обычно легче запоминают осмысленные слова или фразы, чем абракадабру из шестнадцатеричных символов, идентификационную фразу легче передавать, чем шестнадцатеричную строку. Тем не менее идентификационная фраза полезна только тогда, когда все адаптеры и точки доступа в сети сделаны одним производителем.

Какие функции присутствуют ?

Аналогично практически всем настройкам в конфигурационной утилите 802.11b- названия WEP-функций не являются постоянными от одной программы к другой.

Некоторые используют открытый набор таких функций, как «включить WEP- шифрование», а другие используют техническую терминологию, взятую из официальной спецификации 802.11. Открытая системная аутентификация - это второй вариант названия «WEP-шифрование отключено».

Некоторые точки доступа также предоставляют опциональную функцию аутентификации с открытым ключом, использующей WEP-шифрование, когда сетевой клиент имеет ключ, но нешифрованные данные принимаются с других сетевых узлов.

Комбинирование шестнадцатеричных и текстовых ключей

Настройка смешанной сети усложняется, когда некоторые сетевые узлы используют только шестнадцатеричные ключи, а другие требуют текстовых. Если такая ситуация возникла в вашей сети, нужно следовать нижеперечисленным правилам для их настройки WEP:
> преобразуйте все текстовые ключи в шестнадцатеричные. Если конфигурационная программа требует текстового ключа, введите символы 0x (ноль с последующей строчной буквой x) перед шестнадцатеричной строкой. Если вы используете программное обеспечение AirPort от Apple, вместо 0x в начале шестнадцатеричного ключа необходимо ввести символ доллара ($);
> удостоверьтесь, что все ваши ключи шифрования имеют правильное количество символов;
> если все по-прежнему не работает, прочтите разделы, посвященные защите, в руководствах для ваших сетевых адаптеров и точек доступа.

Возможно, что одно или более из этих устройств в сети имеет некую скрытую индивидуальную особенность, о которой вы не знаете.

Смена WEP-ключей

Многие точки доступа и адаптеры сетевых клиентов могут поддерживать до четырех разных 64-битных WEP-ключей, но только один является активным в отдельный момент времени, как показано на рис. 14.4. Другие ключи являются .запасными, что может позволить сетевому администратору корректировать защиту сети с помощью короткого уведомления. Адаптеры и точки доступа, поддерживающие 128-битное шифрование, используют только один 128-битный WEP-ключ в отдельный момент времени.

Рис. 14.4

В сети, где WEP-шифрование организовано серьезно, WEP-ключи должны меняться регулярно, по расписанию. Срок в месяц достаточен для сети, по которой не передаются важные данные, но для более серьезной сети новый ключ необходимо устанавливать раз или два в неделю. Не забывайте записывать свои текущие WEP-ключи в безопасном месте.

В домашней или малой офисной сети вы, скорее всего, будете менять все WEP-ключи самостоятельно. В противном случае сетевой администратор или специалист по защите должен распространять новые WEP-ключи на бумаге, в служебной записке, а не по электронной почте. Для дополнительного уровня защиты в сетях с использованием 64-битного шифрования проинструктируйте ваших пользователей о смене двух ключей одновременно (не текущих принятых по умолчанию). Отправьте отдельную служебную записку с уведомлением пользователей о том, какой ключ стал новым, принятым по умолчанию, и когда должна произойти его смена.

Типовое еженедельное указание может выглядеть так:

В другой записке, неделей позже, будут предоставлены коды для Ключа 2 и Ключа 3.

Отдельное указание может сообщать: «Наша сеть перейдет на использование Ключа 3 в полночь на вторник. Пожалуйста, смените принятый по умолчанию ключ вашего сетевого адаптера». Для смены выбирайте время, когда беспроводную сеть использует наименьшее количество пользователей, поскольку любое активное соединение на точке доступа в момент смены ключей будет разорвано и его нельзя будет восстановить до изменения ключей на адаптере клиента. Пользователи могут ввести новые ключи заранее как альтернативы текущему активному ключу и сменить их несколькими щелчками мыши, когда новый ключ вступит в силу.