Сетевое железо - статьи

       

Настройка режимов шифрования и аутентификации пользователей


Любая точка доступа, и тем более беспроводной маршрутизатор, предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Существует несколько стандартов шифрования, которые поддерживаются точками доступа.

Первым стандартом, использующимся для шифрования данных в беспроводных сетях, был стандарт WEP (Wired Equivalent Privacy). В соответствии со стандартом WEP шифрование осуществляется с помощью 40-или 104-битного ключа (некоторые модели беспроводного оборудования поддерживают и более длинные ключи), а сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Допустимо также вместо набора ASCII-символов напрямую использовать шестнадцатеричные значения (той же длины).

Как правило, в утилитах настройки беспроводного оборудования указываются не 40-или 104-битные ключи, а 64-или 128-битные. Дело в том, что 40 или 104 бита - это статическая часть ключа, к которой добавляется 24-битный вектор инициализации, необходимый для рандомизации статической части ключа. Вектор инициализации выбирается случайным образом и динамически меняется во время работы. В результате c учётом вектора инициализации общая длина ключа получается равной 64 (40+24) или 128 (104+24) битам.

Протокол WEP-шифрования, даже со 128-битным ключом, считается не очень стойким, поэтому в устройствах стандарта 802.11g поддерживается улучшенный алгоритм шифрования WPA - Wi-Fi Protected Access, который включает протоколы 802.1х, EAP, TKIP и MIC.

Протокол 802.1х - это протокол аутентификации пользователей. Для своей работы данный протокол требует наличия выделенного RADIUS-сервера, которого в домашней сети, естественно, нет. Поэтому воспользоваться данным протоколом в домашних условиях не удастся.

Протокол TKIP (Temporal Key Integrity Protocol) - это реализация динамических ключей шифрования.
Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее количество возможных вариантов ключей достигает сотни миллиардов, и меняются они очень часто.

Протокол MIC (Message Integrity Check) - это протокол проверки целостности пакетов. Протокол позволяет отбрасывать пакеты, которые были 'вставлены' в канал третьим лицом.

Помимо упомянутых протоколов, многие производители беспроводного оборудования встраивают в свои решения поддержку стандарта AES (Advanced Encryption Standard), который приходит на замену TKIP.

Итак, после небольшого экскурса в основные понятия технологии шифрования и сетевой аутентификации пользователей приступим к настройке нашего беспроводного оборудования. При этом будем по возможности придерживаться следующих рекомендаций: если все устройства в сети поддерживают шифрование на основе WPA, мы будем использовать именно этот способ шифрования (в противном случае следует выбрать WEP-шифрование со 128-битным ключом). Ну а если все устройства в сети поддерживают AES-шифрование, то воспользуемся именно им.

Начнём с настройки беспроводной точки доступа. Прежде всего, выберем тип аутентификации (Authentication). В списке типа аутентификации возможны следующие варианты:



  • Open System (открытая);
  • Shared Key (общая);
  • 802.1х;
  • WPA;
  • WPA Pre-shared key.


Open System (режим по умолчанию) - фактически это режим, не имеющий сетевой аутентификации. При выборе данного режима для входа в беспроводную сеть достаточно знать лишь идентификатор сети (SSID).

В режиме Shared Key возможно использование WEP-шифрования трафика. Причём для входа в сеть требуется установить общий для всей сети WEP-ключ шифрования.


Содержание раздела