Безопасность и Internet - статьи



         

Вопросы обеспечения безопасности - часть 4


  • Протокол MIC (Message Integrity Check) позволяет защитить WEP-пакеты от их изменения и подделки, в процессе передачи.
  • Протокол TKIP (Temporal Key Integrity Protocol), также разработаный с целью улучшения ситуации с безопасностью протокола WEP, предполагает использование уникальной ключевой последовательности для каждого устройства, а также обеспечивает динамическую схему ключа каждые 10 000 пакетов. Однако, также как и WEP, протокол TKIP использует для шифрования криптографический алгоритм RC4. Отметим, что для использования протокола TKIP нет необходимости отказываться от имеющегося оборудования 802.11, достаточно лишь обновить программное обеспечение (разумеется, если производитель реализовал поддержку этого протокола).
  • Теперь обратимся к вопросам обеспечения безопасного информационного взаимодействия пользователей беспроводной сети с ресурсами корпоративной сети. Для решения этой задачи, нам потребуются реализовать авторизацию пользователей беспроводной сети (в протоколе WEP проверка аутентичности пользователя не реализована совсем), а также использовать более сильные методы защиты, способные обеспечить требуемый уровень конфиденциальности и целостности информации. Один из таких методов -

    • установка сервера контроля доступа, использующего протоколы стандарта EAP/802.1х6 (LEAP; PEAP; EAP-TLS; EAP-TTLS), с целью усиленной аутентификации абонентов беспроводной сети.
    • Остановимся более подробно на этом методе. Стандарт 802.1х в нашем случае определяет взаимодействие клиента беспроводной сети с сервером доступа на этапе авторизации абонента в системе. Схема авторизации пользователя в беспроводной сети показана на рисунке 1.

      Наиболее популярные серверы доступа на сегодняшний день - Cisco Secure Access Control Server и Internet Authentication Service (IAS). Последний встроен в операционную систему Microsoft Windows 2000.

      Не вдаваясь в технические подробности реализации конкретных протоколов стандарта 802.1х, необходимо отметить следующие важные моменты:

      • Данная схема требует установки на стороне клиента специализированного программного обеспечения - так называемого "сапликанта". По умолчанию поддержка механизма аутентификации по протоколу 802.1х встроена в операционную систему Windows XP и доступна для установки в виде отдельного пакета для операционной системы Windows 2000 (видимо, войдет в состав пакета обновлений Service Pack #4). Сапликант также может поставляться вместе с драйверами оборудования доступа к беспроводной сети.
      • Ряд протоколов стандарта 802.1х используют в своей работе цифровые сертификаты формата Х.509. Так, протокол PEAP для проверки пользователем сервера доступа использует сертификат сервера доступа, а протоколы EAP-TLS и EAP-TTLS для взаимной авторизации используют сертификаты X.509 как сервера доступа, так и клиента. Отметим, что существует возможность взаимодействия сервера доступа и внешнего хранилища цифровых сертификатов, например, по протоколу LDAP.




      Содержание  Назад  Вперед