Netams - wpa2-enterprise, або правильний підхід до безпеки wi-fi мережі

WPA2-Enterprise, або правильний підхід до безпеки Wi-Fi мережі

Шифрування WEP скомпрометовано, і використовувати його не можна (навіть в разі динамічних ключів).

Широко зустрічаються терміни WPA і WPA2 визначають, фактично, алгоритм шифрування (TKIP або AES). В силу того, що вже досить давно клієнтські адаптери підтримують WPA2 (AES), застосовувати шифрування за алгоритмом TKIP немає сенсу.

Всі можливі параметри безпеки зведені в цій табличці:

Якщо з WPA2 Personal (WPA2 PSK) все ясно, корпоративне рішення вимагає додаткового розгляду.

WPA2 Enterprise

Netams - wpa2-enterprise, або правильний підхід до безпеки wi-fi мережі

Netams - wpa2-enterprise, або правильний підхід до безпеки wi-fi мережі

Використання WPA2 Enterprise вимагає наявності у вашій мережі RADIUS-сервера. На сьогоднішній момент найбільш працездатними є такі продукти:

Netams - wpa2-enterprise, або правильний підхід до безпеки wi-fi мережі

Підтримка будь-якого з EAP методів повинна забезпечуватися супплікантом на стороні клієнта. Стандартний, вбудований в Windows XP / Vista / 7, iOS, Android забезпечує як мінімум EAP-TLS, і EAP-MSCHAPv2, що обумовлює популярність цих методів. З клієнтськими адаптерами Intel під Windows поставляється утиліта ProSet, що розширює доступний список. Це ж робить Cisco AnyConnect Client.

Netams - wpa2-enterprise, або правильний підхід до безпеки wi-fi мережі

Netams - wpa2-enterprise, або правильний підхід до безпеки wi-fi мережі

Наскільки це надійно

Зрештою, що потрібно зловмисникові, щоб зламати вашу мережу?

Для Open Authentication, No Encryption - нічого. Підключився до мережі, і все. Оскільки радиосреде відкрита, сигнал поширюється в різні боки, заблокувати його непросто. При наявності відповідних клієнтських адаптерів, що дозволяють прослуховувати ефір, мережевий трафік видно так само, ніби атакуючий підключився в провід, в хаб, в SPAN-порт комутатора.

Для шифрування, заснованого на WEP, потрібно тільки час на перебір IV, і одна з багатьох вільно доступних утиліт сканування.

Для шифрування, заснованого на TKIP або AES пряме дешифрування можливо в теорії, але на практиці випадки злому не зустрічалися.

Отримати доступ до мережі, захищеної EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можна, тільки знаючи логін-пароль користувача (злом як такої неможливий). Атаки типу перебору пароля, або спрямовані на уразливості в MSCHAP також неможливі або утруднені через те, що EAP-канал "клієнт-сервер" захищений шифрованих тунелем.

Доступ до мережі, закритою PEAP-GTC можливий або при зломі сервера токенов, або при крадіжці токена разом з його паролем.

Доступ до мережі, закритою EAP-TLS можливий при крадіжці призначеного для користувача сертифіката (разом з його приватним ключем, звичайно), або при виписуванні валидного, але підставного сертифіката. Таке можливо тільки при компрометації засвідчувального центру, який в нормальних компаніях бережуть як найцінніший IT-ресурс.

Оскільки всі вищезазначені методи (крім PEAP-GTC) допускають збереження (кешування) паролів / сертифікатів, то при крадіжці мобільного пристрою атакуючий отримує повний доступ без зайвих питань з боку мережі. В щоб попередити може служити повне шифрування жорсткого диска із запитом пароля під час увімкнення пристрою.

Запам'ятайте: при грамотному проектуванні бездротову мережу можна дуже добре захистити; засобів злому такої мережі не існує (до певної межі)