Базові міри захисту

Продукти для бездротових мереж, що відповідають стандарту IEEE 802.11, пропонують чотири рівні засобів безпеки: фізичний, ідентифікатор набору служб (SSID - Service Set Identifier), ідентифікатор управління доступом до середовища (MAC ID - Media Access Control ID) і шифрування.

Технологія DSSS для передачі даних в частотному діапазоні 2,4 ГГц за останні 50 років знайшла широке застосування у військовій зв'язку для поліпшення безпеки бездротових передач. В рамках схеми DSSS потік передачі даних «розгортається» по каналу шириною 20 МГц в рамках діапазону ISM за допомогою схеми ключів додаткового коду (Complementary Code Keying, CCK). Для декодування прийнятих даних абонент повинен встановити правильний частотний канал і використовувати ту ж саму схему CCK. Таким чином, технологія на базі DSSS забезпечує першу лінію оборони від небажаного доступу до переданих даних. Крім того, DSSS являє собою «тихий» інтерфейс, так що практично всі підслуховуючі пристрої будуть відфільтровувати його як «білий шум».

Ідентифікатор SSID дозволяє розрізняти окремі бездротові мережі, які можуть діяти в одному і тому ж місці або області. Він являє собою унікальне ім'я мережі, що включається в заголовок пакетів даних і управління IEEE 802.11. Бездротові клієнти і точки доступу використовують його, щоб проводити фільтрацію і приймати тільки ті запити, які відносяться до їх SSID. Таким чином, користувач не зможе звернутися до точки доступу, якщо тільки йому не надано правильний SSID.

Можливість прийняття або відхилення запиту до мережі може залежати також від значення ідентифікатора MAC ID - це унікальне число, що присвоюється в процесі виробництва кожної мережевої карти. Коли клієнтський ПК намагається отримати доступ до бездротової мережі, точка доступу повинна спочатку перевірити адресу MAC для клієнта. Точно так само і клієнтський ПК повинен знати ім'я точки доступу.

Несанкціоноване вторгнення в мережу

Для вторгнення в мережу необхідно до неї підключитися. У разі провідної мережі потрібно електричне з'єднання, бездротової - досить опинитися в зоні радіовидимості мережі з устаткуванням того ж типу, на якому побудована мережа.

У провідних мережах основний засіб захисту на фізичному і MAC-рівнях - адміністративний контроль доступу до обладнання, недопущення зловмисника до кабельної мережі. У мережах, побудованих на керованих комутаторах, доступ може додатково обмежуватися по MAC-адресами мережевих пристроїв.

У бездротових мережах для зниження ймовірності несанкціонованого доступу передбачений контроль доступу по MAC-адресами пристроїв і той же самий WEP. Оскільки контроль доступу реалізується за допомогою точки доступу, він можливий тільки при інфраструктурній топології мережі. Механізм контролю передбачає завчасне складання таблиці MAC-адрес дозволених користувачів в точці доступу та забезпечує передачу лише між зареєстрованими бездротовими адаптерами. При топології «ad hoc-» (кожен з кожним) контроль доступу на рівні радіомережі не передбачений.

Для проникнення в бездротову мережу зловмисник повинен:
Мати обладнання для бездротових мереж, сумісний з використовуваним в мережі (стосовно до стандартного устаткування - відповідної технології бездротових мереж - DSSS або FHSS);

При використанні в обладнанні FHSS нестандартних послідовностей стрибків частоти дізнатися їх;

Знати ідентифікатор мережі, що закриває інфраструктуру і єдиний для всієї логічної мережі (SSID);

Знати (у випадку з DSSS), на якій з 14 можливих частот працює мережа, або включити режим автосканування;

Бути занесеним в таблицю дозволених MAC-адрес в точці доступу при інфраструктурної топології мережі;

Знати 40-розрядний ключ шифру WEP у випадку, якщо в бездротовій мережі ведеться шифрована передача.

Вирішити все це практично неможливо, тому ймовірність несанкціонованого входження в бездротову мережу, в якій прийняті передбачені стандартом заходи безпеки, можна вважати дуже низькою. Інформація застаріла. На 2010 рік, беручи до уваги уразливості WEP, захищеною можна вважати мережу, з ключем 128 розрядним AES/WPA2 від 20 символів.