А. Щербаков - Wi-Fi - Все, что Вы хотели знать, но боялись спросить

Реализованный в протоколе 801.11 метод — WEP. Это симметричный способ шифрования, когда для кодирования и декодирования данных используется один и тот же кодирующий ключ, состоящий из двух частей. Одна часть — секретный ключ, хранится у получателя и отправителя. Вторая — вектор инициализации — генерируется случайным образом в системе отправителя. На основании этих двух значений вычисляется псевдоуникальный кодирующий ключ.

Данные между сетевыми системами передаются в виде пакетов. Структурно, каждый пакет состоит из двух частей — заголовка и тела. В заголовке хранится служебная информация, в частности, идентификатор сети, аппаратные адреса получателя и отправителя. В теле передаются данные и значение контрольной суммы передаваемых данных (ICV), используемое получателем для проверки целостности данных.

Для каждого нового сетевого пакета применяется новый кодирующий ключ. Причём, кодируется только тело пакета. В заголовок добавляется значение вектора инициализации соответствующего данному пакету кодирующего ключа. Содержание заголовка не кодируется и передаётся в открытом виде.

Если используемый системой генератор случайных чисел достаточно качественен в статистическом отношении, то проведённая операция шифрования обеспечивает шумоподобный характер передаваемых данных, что в теории, без знания секретного ключа, делает возможность декодирования перехваченного сообщения очень длительным процессом даже при современной вычислительной технике.

При расшифровке пакета получателем программа кодирования инициализируется секретным ключом и извлечённым из полученного пакета значением вектора инициализации. После расшифровки тела сетевого пакета, система вычисляет контрольную сумму полученных данных и сравнивает со значением контрольной суммы, переданной отправителем в этом же пакете. При положительном результате данные начинают обрабатываться, и отправителю передаётся подтверждение удачного приёма. В противном случае, отправитель повторно осуществляет передачу.

Сетевой доступ к какому-либо беспроводному устройству можно избирательно контролировать, используя список контроля доступа. Там указываются аппаратные адреса сетевых устройств, связь с которыми разрешена. Соответственно, любая сетевая активность устройств с аппаратными адресами, не внесёнными в список, будет проигнорирована. Данный вид защиты основан на том, что аппаратный адрес — это уникальный идентификатор устройства, присваиваемый производителем. Теоретически, двух сетевых устройств с одинаковым аппаратным адресом быть не может. Следовательно, на основании этой характеристики сетевого устройства можно однозначно идентифицировать его владельца.

В стандартах рассматриваемых беспроводных сетей были изначально заложены механизмы идентификации клиентов (по аппаратным адресам), защиты (WEP) и контроля целостности передаваемых данных. Исходя из предоставленных разработчиками технологии средств, в теории, беспроводная сеть должна быть наиболее защищена при работе в режиме инфраструктуры (когда весь трафик клиентов проходит через узел доступа) с включённым WEP-кодированием и фильтрацией аппаратных адресов беспроводных клиентов.

Главным преимуществом беспроводных сетей (равно как и их ахиллесовой пятой) является доступность физической среды передачи данных — радиоэфира. И если для площадок общественного доступа к сетевым ресурсам (hot spots) такая возможность это благо, то для домашних или локальных сетей доступность за пределами ограниченной территории, определённой стенами офиса или квартиры, совершенно излишня. Пространственно зона доступа одного узла представляет собой сферу, радиус которой определён максимальным удалением от центра с сохранением устойчивого качества работы беспроводных клиентов. На практике, реальная пространственная зона доступа далека от геометрически красивой фигуры из-за поглощения окружающей физической средой радиосигнала. Говоря нормальным языком, при одинаковом оборудовании размеры зон доступа в кирпичных и панельных зданиях с железобетонными перекрытиями будут различаться. Надо быть готовым, что, настроив офисную беспроводную сеть, можно не только обеспечить подключение из любой точки офиса, но и из таких неожиданных мест, как чердак, автостоянка или здание напротив. Если для защиты от вторжения при прокладке кабельных сетей можно было использовать экранированную витую пару, то в качестве аналогичного решения для физического ограничения пространственной зоны доступа беспроводной сети придётся использовать экран из заземлённой металлизированной сетки, натянутой по границам зоны доступа. Можно представить, что укладка такого экрана даже в случае небольшой офисной сети будет нелёгким и недешёвым удовольствием.