Прорехи в защите WEP остаются

БЕЗОПАСНОСТЬ

Пока IEEE заделывает бреши в спецификации, производители и пользователи обходятся временными мерами

Спустя месяцы после обнаружения уязвимых мест в протоколе обеспечения безопасности Wireless Equivalent Privacy, включенном в стандарт беспроводных сетей 802.11b, специалисты IEEE (Institute of Electrical and Electronics Engineers - Институт инженеров по электротехнике и электронике) и WECA (Wireless Ethernet Compatibility Alliance - союз по обеспечению совместимости сетей, основанных на беспроводном протоколе Ethernet) все еще продолжают работу над заделкой брешей и восстановлением доверия к своим стандартам.

По оценке специалистов Тестового центра eWeek Labs, технология WEP в ее нынешнем состоянии вполне соответствует требованиям к безопасности небольших вычислительных систем офисов и домашних пользователей при условии периодической смены ключей. Однако более крупным предприятиям, использующим беспроводные каналы для передачи важной информации, следует обратиться к другим доступным сейчас средствам шифрования.

Более того, хотя в следующих версиях стандарта 802.11 будут исключены имеющиеся прорехи в защите и повышено удобство развертывания, IEEE и WECA придется приложить немало усилий для восстановления былой популярности WEP.

Представители разработавшего протокол IEEE и надзирающей за совместимостью продуктов различных производителей WECA утверждают, что стандарт WEP никогда не претендовал на роль полного решения для обеспечения безопасности. Это, как и следует из названия, именно эквивалент защиты проводных сетей. Специалистам IEEE известно о недостатках WEP с точки зрения безопасности по крайней мере с октября прошлого года, и рабочая группа Task Group E этой организации занимается совершенствованием MAC-уровня протокола 802.11 с целью укрепления безопасности и введения средств обеспечения гарантированного качества обслуживания.

На мартовской встрече подгруппы безопасности Task Group E было подано формальное предложение о выделении этой подгруппы в отдельную рабочую группу с целью ускорения темпов внедрения усовершенствований в данной области.

На подходе WEP2

Версия WEP2, утверждение которой IEEE ожидается уже в скором времени, будет защищена надежнее своей предшественницы благодаря 128-разрядному вектору инициализации (Initialization Vector, IV) и 128-разрядным ключам. В то же время в ней применены прежние алгоритм шифрования RC4 и схема IC (Integrity Check - контроля целостности).

Усовершенствования версии WEP2 устраняют проблему конфликтов IV, но совместное администрирование WEP-ключей в различных системах и устранение уязвимости IC в ближайшем будущем не гарантируется.

Есть у WEP и другие недостатки. По оценке специалистов из подразделения Aironet фирмы Cisco Systems, от одной трети до половины пользователей их продукции внедрили этот протокол еще до появления первых сведений о его недостаточной защищенности, что свидетельствует об устрашающем числе пользователей, передающих свои данные незашифрованными.

В настоящее время WEP предусматривает использование идентичных статических ключей на клиентских терминалах и в точках доступа, что делает администрирование ключей при большом числе клиентов весьма затруднительным.

В оборудовании Aironet проблема решается с помощью протокола LEAP (Lightweight Extensible Authentication Protocol - упрощенный расширяемый протокол аутентификации). Вместо того чтобы постоянно использовать один и тот же WEP-ключ, клиент каждый раз при регистрации для очередного сеанса работы динамически генерирует новый. Ключи у всех клиентов уникальные, что снижает (но не исключает) риск конфликта IV.

IEEE Task Group E утвердила проект создания подобной же совместимой системы аутентификации и администрирования ключей, получившей рабочее название ESN (Enhanced Security Network - усовершенствованная сеть обеспечения безопасности). В ESN впервые будет реализован стандарт шифрования AES (Advanced Encryption Standard - усовершенствованный стандарт шифрования). В состав спецификации 802.11 данное усовершенствование войдет скорее всего не раньше следующего года. В конечном итоге LEAP и ESN будут совместимыми.

Многие основанные на 802.11 продукты используют в дополнение к WEP другие средства шифрования, что, однако, не способствует совместимости. Можно также использовать для защиты механизмы виртуальных частных сетей и протоколы Secure Sockets Layer или Pretty Good Privacy, но это требует значительных затрат времени и денег.

С сетевым аналитиком Эндрю Гарсия можно связаться по адресу: riouxdre@earthlink.net.

Эволюция WEP

Нынешняя версия WEP

- Длина ключа 40 бит

- Алгоритм RC4

- Статические ключи

WEP2

- Совместимость с большей частью существующего парка оборудования

- Длина ключа 128 бит; обратная совместимость с WEP

- Вектор инициализации (IV) длиной 128 бит

ESN

- Включает схемы шифрования WEP, WEP2 и AES

- Реализация AES в составе 802.11 будет поддерживать только 128-битные ключи

- Динамический выбор ключей для каждого сеанса

- Использование аутентификации на основе технологии Kerberos