Проверка целостности сообщений (Message Integrity Check, MIC) предназначена для предотвращения захвата пакетов данных, изменения их содержимого и повторной пересылки. MIC построена на базе мощной математической функции, которую применяют отправитель и получатель, а затем сравнивают результат. Если он не совпадает, то данные считаются ложными и пакет отбрасывается.
С помощью значительного увеличения размера ключей и числа используемых ключей, а также создания механизма проверки целостности, TKIP преумножает сложность декодирования данных в беспроводной сети. TKIP значительно увеличивает силу и сложность беспроводного шифрования, делая процесс вторжения в беспроводную сеть намного более сложным, если не невозможным вообще.
Важно отметить, что механизмы шифрования, используемые для WPA и WPA-PSK, являются одинаковыми. Единственное отличие WPA-PSK заключается в том, что там аутентификация производится по какому-либо паролю, а не по мандату пользователя. Некоторые наверняка заметят, что подход с использованием пароля делает WPA-PSK уязвимой для атаки методом подбора, и в чем-то они будут правы. Но мы хотели бы отметить, что WPA-PSK снимает путаницу с ключами WEP, заменяя их целостной и чёткой системой на основе цифробуквенного пароля. И наверняка подобная система пойдёт дальше WEP, поскольку она настолько проста, что люди будут использовать её на самом деле.
После того, как вы узнали теорию о работе WPA, давайте перейдём к практике.
Глава 4.
От теории к практике
Итак, вас привлекает WPA, и вы желаете внести поддержку этого стандарта в свою беспроводную сеть как можно быстрее! С чего начать?
Будь вы «корпоративным» или домашним пользователем, вам необходимо пройти три шага:
• Узнать, поддерживает ли ваша точка доступа или беспроводный маршрутизатор WPA, либо к ним появилось соответствующее обновление прошивки.
• Узнать, поддерживает ли ваши клиентские адаптеры WPA, либо к ним появились новые драйверы.
• Понять, нужно ли вам покупать дополнительное приложение поддержки для вашего беспроводного клиента.
Шаги 1 и 2 кажутся простыми, однако для их реализации продукты должны пройти всю эволюционную цепочку. Поскольку большинство производителей сетевого оборудования для OEM и ODM находится на Тайване, эти компании должны первоначально получить и внедрить код от производителей беспроводных чипов, а уже затем выпустить драйверы и прошивки для своих продуктов.
Задача отнюдь не мизерная, учитывая, что сегодня по данным Wi-Fi Alliance существует более 700 сертифицированных продуктов, не говоря о сотнях несертифицированных решений. Обновления сначала необходимо выслать компаниям-производителям сетевого оборудования, которые проведут тестирование и (будем надеяться) при успешной работе выложат драйвер для скачивания.
По всей видимости, первыми обновление прошивки получат продукты на базе 802.11g. Вряд ли производители будут медлить с выпуском этих продуктов, поскольку они заинтересованы в появлении на полках магазинов последних версий устройств со своей торговой маркой. Однако нам показался удивительным тот факт, что продукты на базе Broadcom, похоже, первыми получат обновление WPA, несмотря на то, что Intersil уже выпустила код WPA своим клиентам в январе для чипсета 11b PRISM 2.5 и в марте для чипсетов 11g GT и 11a/b/g Duette.
Если первые предложения можно считать каким-либо показателем, то владельцам продуктов 802.11b и a/b следует набраться терпения и ждать появления обновлений WPA. Известно что, на данный момент единственными устройствами 11b с обновлением до WPA являются Cisco 802.11b Aironet 1100 и 11a/b Aironet 1200, клиентская карта Linksys WPC11 Ver3 и линейка 3Com AP8000
У многих компаний существует необходимость объединения нескольких территориально разделённых локальных сетей своих подразделений или подключения удалённых пользователей. Если использовать для этого публичную сеть, например Интернет, то неизбежно придётся прибегнуть к технологиям безопасной передачи данных типа VPN.
У многих компаний существует необходимость объединения нескольких территориально разделённых локальных сетей своих подразделений или подключения удалённых пользователей. При компактном расположении, конечно, возможно использование собственных или арендованных каналов связи или телефонных линий. Но, вполне очевидно, что оба эти решения будут достаточно дорогими, если расстояние, на котором необходимо установить соединение между сетями или между клиентом и сетью, велико, например, если вам, находясь на том же IDF в России, нужно получить доступ к своей локальной сети, расположенной в Калифорнии. При использовании телефонной сети вам придётся оплачивать огромные счета за международные телефонные разговоры, а скорость телефонного подключения будет, к тому же, довольно низкой. А для объединения двух офисов, находящихся на разных континентах, при помощи собственного кабеля вам потребуется огромная сумма.
Одним из способов снижения затрат на передачу данных являются технологии «Виртуальных частных сетей», или VPN (Virtual Private Network). Технологии VPN позволяют использовать общедоступные сети в качестве надёжного и недорогого транспорта для ваших данных, обеспечивая при этом их защиту. В случае использования VPN все затраты сводятся к оплате доступа к Интернету, что существенно дешевле междугородных и международных звонков, и, естественно, дешевле организации физического канала. Подключившись к Интернету, вы устанавливаете соединение с удалённым шлюзом VPN и используете полученный канал для обмена данными.
Одной из существующих проблем в данном случае является то, что данные передаются по общим сетям и могут быть перехвачены злоумышленниками, поэтому особое внимание уделяется безопасности таких каналов. Естественно, при разработке технологии VPN были предприняты меры для надёжной защиты трафика, как от просмотра, так и от подмены.
При установлении VPN-соединения создаётся так называемый туннель, или логический путь, по которому передаются данные. Конечно же, данные не передаются по туннелю в открытом виде, ибо любые данные, передаваемые по общей сети, можно перехватить. Для того чтобы защитить информацию от попадания к злоумышленнику, используется шифрование — при отправке исходные данные зашифровываются, а затем передаются. При достижении конечной точки соединения происходит обратный процесс, и вновь появляется исходный пакет в первоначальном виде. Таким образом, в публичную сеть данные в незашифрованном виде не передаются.
VPN-соединение с удалённой машиной представляет собой обычное соединение «точка-точка», поэтому все промежуточные сетевые устройства, через которые проходит туннель, для конечного пользователя не заметны.
Компания SMC Networks, производитель уже достаточно хорошо знакомого нашему читателю оборудования для сетей, производит достаточно много. Давайте обратимся именно к тем возможностям сетевого оборудования, которые становятся все актуальнее с каждым днём, а именно, к возможностям создания защищённых туннелей VPN.
PPTP (Point-to-Point Tunneling Protocol) — один из протоколов, используемых для создания виртуальных частных сетей (VPN) на основе сетей TCP/IP. Этот протокол был разработан в результате совместных трудов компаний Microsoft, Ascend Communications, 3Com/Primary Access, US Robotics и ECI-Telematics, которые ставили перед собой целью разработку стандартного протокола защищённого канала. Однако стоит отметить, что PPTP в качестве стандарта так и не был принят, что, в свою очередь, связано с параллельной разработкой другими компаниями во главе с Cisco подобного протокола, носившего название L2F (Layer Two Forwarding). L2F тоже постигла участь PPTP — он не был принят. Но был создан протокол L2TP (Layer Two Tunneling Protocol), объединивший в себе PPTP и L2F. Однако PPTP, благодаря стараниям компании Microsoft, получил достаточно широкое распространение. Отметим, что операционные системы компании Microsoft имеют встроенный клиент PPTP, настройка которого не вызывает никаких сложностей. Данный протокол позволяет создавать виртуальные частные сети на основе общедоступных сетей TCP/IP, например Интернета. PPTP осуществляет туннелирование, инкапсулируя данные протокола IP внутри дейтаграмм PPP. Таким образом, пользователи могут запускать программы, работающие с конкретными сетевыми протоколами через установленное соединение. Туннельные серверы выполняют все необходимое для обеспечения защиты передаваемых данных, обеспечивая безопасную их передачу.