Первые беспроводные сети были разработаны в 1990-х годах. В этих сетях использовалась технология, называемая spread spectrum, которая распространяла сигнал данных в широком диапазоне частот. Благодаря этому неавторизованным пользователям было сложно перехватить данные.
В начале 2000-х годов была представлена новая технология беспроводной связи - Wi-Fi, основанный на стандарте IEEE 802.11, что делало новые сети гораздо быстрее сетей с распределенным спектром, а также более безопасными.
Сегодня существует несколько различных стандартов Wi-Fi, включая 802.11a, 802.11b, 802.11g, 802.11n и 802.11ac. Каждый стандарт предлагает различные скорости и функции безопасности.
Беспроводные сети уже давно стали популярными и не сдают своих позиций, поскольку они предлагают удобный способ подключения к Интернету без использования кабелей. Однако беспроводные сети также более уязвимы с точки зрения безопасности, по сравнению с проводными, так как доступ к ним может получить любой человек, находящийся в радиусе действия сети.
Все протоколы безопасности Wi-Fi сертифицированы Wi-Fi Alliance, некоммерческой организацией, владеющей торговой маркой Wi-Fi. Наиболее распространенными являются следующие протоколы:
Протоколы безопасности Wi-Fi используют криптографические ключи для рандомизации данных, чтобы сделать их не поддающимися расшифровке. Поскольку системы Wi-Fi используют симметричное шифрование, для шифрования и расшифровки данных используется один и тот же ключ.
WEP (Wired Equivalent Privacy) был разработан в конце 1990-х годов как способ защиты беспроводных сетей. В то время беспроводные сети становились популярными, но не отличались особой безопасностью. WEP был призван обеспечить уровень безопасности, эквивалентный проводным сетям.
WEP основан на алгоритме шифрования RC4. В то время RC4 считался стойким алгоритмом шифрования, и считалось, что злоумышленникам будет сложно его взломать. Протокол был стандартизирован в 1999 году IEEE как часть стандарта 802.11b. Стандарт 802.11b был первым широко распространенным стандартом Wi-Fi, а WEP был протоколом безопасности по умолчанию для сетей 802.11b.
Когда беспроводное устройство отправляет данные, они шифруются с помощью ключа шифрования. Затем зашифрованные данные передаются по беспроводной сети. Когда точка беспроводного доступа получает зашифрованные данные, она расшифровывает их с помощью того же ключа шифрования.
Изначально WEP использовал 64-битный ключ с алгоритмом потокового шифрования RC4 для шифрования данных, передаваемых по беспроводной сети. В более поздних версиях протокола была добавлена поддержка 128- и 256-битных ключей для повышения уровня безопасности. В WEP используется 24-битный вектор инициализации, что позволило получить эффективную длину ключа 40, 104 и 232 бита.
Одна из уязвимостей WEP заключается в том, что ключ шифрования является общим для всех устройств, подключенных к беспроводной сети. При этом данный ключ не меняется с течением времени.
WEP также ограничен в объеме данных, которые он может зашифровать. Протокол может обеспечить шифрование только данных размером до 1500 байт, что ставит под угрозу пакеты данных большего размера, например видео- и аудиофайлы.
WEP был быстро признан небезопасным, и в 2003 году ему на смену пришел WPA (Wi-Fi Protected Access). WPA значительно превосходит WEP по уровню безопасности. В WPA используются более мощные алгоритмы шифрования, более надежный протокол аутентификации и более широкий набор функций безопасности. В нем появился ряд новых функций безопасности, в том числе:
В WPA используется централизованная архитектура с единым сервером аутентификации, который обрабатывает все запросы. Это усложняет задачу злоумышленников по получению доступа к сети, поскольку для этого им необходимо скомпрометировать сервер аутентификации.
Особенностью WPA также стало поддержание других методов обеспечения безопасности, включая PSK (Pre-Shared Key), 802.1X и RADIUS.
Тем не менее, WPA не стал эталоном защищенности. WPA использует предварительный ключ, который знают все устройства в сети. Этот ключ иногда может быть угадан или взломан, что ставит под угрозу всю сеть. Временной ключ, используемый для шифрования данных, иногда может быть обнаружен путем перехвата векторов инициализации, передаваемых в открытом виде. Это позволяет расшифровать трафик. Некоторые фреймы управления не шифруются в WPA, что позволяет некоторым атакам нарушать соединение.
WPA позволяет вообще не шифровать трафик с помощью параметра "WPA None", что противоречит цели протокола и требует правильной настройки.
WPA2 был представлен в 2004 году как преемник WPA и остается самым распространенным стандартом безопасности WiFi. Его целью является устранить недостатки шифрования WEP и повысить безопасность аутентификации устройств и шифрования трафика.
Техническое особенности WPA2:
Стоит различать WPA2-Enterprise и WPA2-Personal - это два разных протокола безопасности для сетей Wi-Fi. В обоих протоколах используется один и тот же алгоритм шифрования AES, но они отличаются способом аутентификации пользователей.
WPA2-Enterprise использует централизованный сервер аутентификации для проверки подлинности пользователей. Когда пользователь подключается к сети WPA2-Enterprise, его учетные данные отправляются на сервер аутентификации. Затем сервер проверки подлинности сверяет учетные данные пользователя с базой данных авторизованных пользователей. Если учетные данные действительны, сервер аутентификации отправляет сообщение на беспроводную точку доступа, разрешая пользователю подключиться к сети.
WPA2-Personal использует предварительный ключ (PSK) для аутентификации пользователей. PSK - это общий секрет, который известен всем устройствам, подключающимся к сети. Когда пользователь подключается к сети WPA2-Personal, ему предлагается ввести PSK. Если PSK введен правильно, пользователю разрешается подключиться к сети.
WPA2-Enterprise более безопасен, чем WPA2-Personal, поскольку использует централизованный сервер аутентификации. Даже если злоумышленник скомпрометирует точку беспроводного доступа, он не сможет получить доступ к учетным данным пользователя. В случае с WPA2-Personal, где используется ключ с предварительным разделением, если злоумышленник сможет получить PSK, он сможет получить доступ к сети.
|
Особенность |
WEP |
WPA |
WPA2-Enterprise |
WPA2-Personal |
|
Алгоритм шифрования |
RC4 |
TKIP |
AES-CCMP |
AES-CCMP |
|
Аутентификация |
Открытая система или общий ключ |
EAP/802.1X |
EAP/802.1X |
PSK |
|
Размер ключа сеанса |
64-bit/128-bit |
256-bit |
256-bit |
256-bit |
|
Ключ шифрования |
Статический общий ключ |
Динамические ключи, созданные с помощью RC4 |
Динамические ключи, созданные с помощью AES |
Динамические ключи, созданные с помощью AES |
|
Уязвимости |
Слабые ключи шифрования, отсутствие ротации ключей |
Уязвимость к атакам на TKIP |
Возможна модификация 4-стороннего рукопожатия |
Общий PSK может быть взломан |
|
Безопасность |
Очень слабая |
Умеренная, но недостаточная |
Сильная с сервером аутентификации |
Сильная, но с рисками из-за PSK |
Устройства WPA3 стали широко доступны в 2019 году и имеют обратную совместимость с устройствами, использующими протокол WPA2.
WPA3 призван полностью заменить WPA2, усилив методы аутентификации на основе пароля и потребовав более надежных шифров, таких как AES-GCMP. WPA3 Personal использует случайно генерируемые ключи вместо статических паролей, а Enterprise интегрирует аутентификацию 802.1X. Некоторые новые функции WPA3 также устраняют известные уязвимости предыдущих стандартов.
При входе в сеть общего пользования WPA3 регистрирует новое устройство не с помощью общего пароля, а с помощью процесса. WPA3 использует протокол Wi-Fi Device Provisioning Protocol (DPP), который позволяет пользователям использовать метки Near Field Communication (NFC) или QR-коды, чтобы разрешить устройствам войти в сеть. Кроме того, в системе безопасности WPA3 используется шифрование GCMP-256 вместо ранее применявшегося 128-битного шифрования.
Wi-Fi 6 и 6E обеспечивают мультигигабитные скорости, но при этом увеличивают потенциальный объем уязвимостей. Новые протоколы могут интегрировать блокчейн или машинное обучение для улучшения идентификации, обнаружения угроз и динамического контроля доступа.
Непрерывная аутентификация и контекстная политика авторизации будут играть ключевую роль в обеспечении безопасности по мере распространения беспроводной связи на новые отрасли, такие как промышленный IoT, телемедицина и автономные транспортные средства.
Протоколы безопасности Wi-Fi, такие как WPA2, стали стандартом для защиты беспроводных сетей. Однако не стоит останавливаться на стандартных методах защиты. Существует множество инструментов для защиты сети, включая VPN, прокси и Tor.
Виртуальная частная сеть (VPN) усиливают стандартную защиту, обеспечиваемую обычными протоколами безопасности Wi-Fi. При использовании VPN ваш трафик сначала направляется и шифруется через удаленный сервер. Ваша онлайн-активность остается скрытой от вашего интернет-провайдера, правительства, хакеров и других злоумышленников. Кроме того, VPN позволяет безопасно пользоваться общественным Wi-Fi, а также помогает избежать гео-блокировок.