Бързо възстановяване на WLAN сигурността
Като пожарна сирена прозвуча за производителите на безжични LAN устройства новината, дошла от изследователите Флухер, Мартин и Шамир, че има механизъм за лесен пробив на безжичната връзка по стандарта IEEE 802.11, ползващи RC4 алгоритми за криптиране. Много от фирмите заявиха, че това ще нанесе сериозен удар върху нарастващия пазар на държавните и корпоративни клиенти. На практика щатската армия спря проекта CAISI (Combat Service Support Automated Information System Interface), който предвиждаше инсталиране на 11 000 устройства за достъп, които да обслужват 85 000 потребители от силите за военната логистична подкрепа. Заради проблемите с пробива на WEP ключа бяха създадени няколко препоръки и спецификации за подобряване на сигурността от страна на Task Force I, подкомитет на IEEE 802.11, съставен от представители на производители, криптографи и организации за сигурност. Процедурите за ратифициране на документите бяха ускорени значително. Първата препоръка бе 802.1x, одобрена от целия комитет през юли. Той "отнема" автентификацията на най-незащитеното устройство за достъп (AP) и я поверява на автентификационен сървър като RADIUS или Kerberos. Стандартът 802.1x позволява използването на динамично генерирани WEP ключове за дадена сесия, за конкретен потребител, вместо да се разчита на статичния WEP ключ, заложен в AP. За нещастие хардуерните компании започнаха да правят продукти по спецификацията 802.1x, преди тя да бъде окончателно ратифицирана, което може да доведе до проблеми със съвместимостта в зависимост от това, как всяка компания е разтълкувала проектостандарта. Продуктите са полезни, но тези, които побързаха да внедрят 802.1x решения, може да се окажат свързани само с конкретния доставчик. От страна на софтуера Windows XP е основната ОС, която поддържа 802.1x. Версията на Microsoft използва EA-TLS протокол, който изисква PKI инфраструктура и не поддържа директорийни услуги за сигурност на ниво парола. Анализатор от Gartner смята, че PKI е идеалното решение в дългосрочен аспект, но изискването за създаване на оторизиращо ведомство може да създаде проблеми за малките компании. Следващата задача на Task Force I е замяната на WEP с TKIP (Temporal Key Integrity Protocol). Този протокол е обратно съвместим със сегашните устройства за достъп и безжичните карти и изисква само софтуерна надстройка. Той обаче причинява известно забавяне, тъй като е базиран на бързо издаване на нов криптиращ ключ на всеки 10 000 пакета. Производителността на TKIP зависи от конкретното устройство. Ако имате малък ARM процесор в AP, може да се усети забавяне на работата, смята Денис Итън, председател на комитета WECA (Wireless Ethernet Compatibility Alliance). AES (Advanced Encryption Standard) допълва сегашния план за развитие на IEEE 802.11. Стандартът е препоръчителен и се използва от Националния институт по стандартите към федералното правителство в САЩ. Основният проблем с AES е несъвместимост с инсталирания хардуер, изисквайки процесът по криптирането да бъде изнесен на отделен чип."Няма WEP клиенти, които да си говорят с AES устройство за достъп", казва Итън. Докато се създадат продукти, поддържащи AES, специалистите препоръчват AP да се монтират зад защитна стена и да се ползват VPN тунели, през които потребителите да имат достъп до тях. каре Разработвани стандарти ? 802.1x: измества автентификацията от устройството за достъп (access point) към автентифициращ сървър. Стандартът е одобрен през юли. (Подробности за различните схеми за свързване ще намерите в статията на стр.. ? TKIP: базиран е на бърза преработка на ключа, ще замени WEP. ? AES: най-добрият фундаментален шифър; засега е несъвместим с хардуера.
КОМЕНТАРИ
"Бързо възстановяване на WLAN сигурността "
Tech Quiz
Последни новини
- Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
- D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
- Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
- Aastra обявява виртуализирана мултимедийна централа
- Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.