Беспроводные сети

PAP

Протокол PAP (Password Authentication Protocol) - двусторонний протокол обмена подтверждениями, предназначенный для использования с протоколом PPP. PAP является обычным текстовым паролем, используемым в более ранних системах SLIP. Он не защищен. Этот протокол доступен только для типа аутентификации TTLS.

CHAP

CHAP (Challenge Handshake Authentication Protocol) - это трехсторонний протокол обмена подтверждениями, предполагающий лучшую защиту, чем протокол аутентификации PAP (Password Authentication Protocol). Этот протокол доступен только для типа аутентификации TTLS.

MS-CHAP (MD4)

Использует версию Microsoft протокола RSA Message Digest 4. Работает только в системах Microsoft и позволяет осуществлять шифрование данных. Выбор этого метода аутентификации вызовет шифрование всех передаваемых данных. Этот протокол доступен только для типа аутентификации TTLS.

MS-CHAP-V2

Предоставляет дополнительную возможность  для изменения пароля, недоступную  с MS-CHAP-V1 или стандартной аутентификацией CHAP. Данная функция позволяет клиенту  менять пароль учетной записи, если сервер RADIUS извещает о том, что срок действия пароля истек. Этот протокол доступен только для типов аутентификации TTLS и PEAP.

Generic Token Card (GTC)

Предлагает использование специальных  пользовательских карт для аутентификации. Главная функция основана на аутентификации с помощью цифрового сертификата/специальной  платы в GTC. Кроме того, в GTC имеется  возможность скрытия идентификационной  информации пользователя во время использования  шифрованного туннеля TLS, обеспечивающего  дополнительную конфиденциальность, основанную на запрещении широкой рассылки имен пользователей на стадии аутентификации. Этот протокол доступен только для типа аутентификации PEAP.

TLS

Протокол TLS необходим для защиты и аутентификации коммуникаций в  сетях общего пользования путем  шифрования данных. Протокол квитирования TLS позволяет клиенту и серверу до посылки данных провести взаимную аутентификацию и выработать алгоритм и ключи шифрования. Этот протокол доступен только для типа аутентификации PEAP.

Уязвимости Wi-Fi

При использовании беспроводных сетей  возникает множество угроз безопасности. Выделяют следующие угрозы безопасности беспроводных сетей:

• Вардрайвинг (англ. Wardriving), подслушивание — процесс поиска и взлома уязвимых точек доступа беспроводных сетей Wi-Fi человеком либо группой лиц, оснащенных переносным компьютером с Wi-Fi-адаптером. Анонимные вредители могут перехватывать радиосигнал и расшифровывать передаваемые данные. Чтобы перехватить передачу, злоумышленник должен находиться вблизи от передатчика. Перехваты такого типа практически невозможно зарегистрировать, и еще труднее им помешать. Использование антенн и усилителей дает злоумышленнику возможность находиться на значительном удалении от цели в процессе перехвата.
• Отказ в обслуживании(DoS). Для беспроводных сетей DOS – атака понимается как перегрузка точек доступа пакетами, вследствие чего происходит зависание точки доступа и, как следствие, всей сети. Данная атака является довольно распространенной и достаточно эффективной для злоумышленников.
• Глушение. Глушение в сетях происходит тогда, когда преднамеренная или непреднамеренная интерференция превышает возможности отправителя или получателя в канале связи, таким образом, выводя этот канал из строя. Атакующий может использовать различные способы глушения:
• Глушение клиентов: дает возможность мошеннику подставить себя на место заглушенного клиента. Также глушение могут использовать для отказа в обслуживании клиента, чтобы ему не удавалось реализовать соединение. Более изощренные атаки прерывают соединение с базовой станцией, чтобы затем она была присоединена к станции злоумышленника.
• Глушение базовой станции: предоставляет возможность подменить ее атакующей станцией. Такое глушение лишает пользователей доступа к услугам.

Чтобы предотвратить случаи непреднамеренного глушения надо тщательно проанализировать место его установки. Такой анализ поможет убедиться в том, что другие устройства никак не помешают коммуникациям.

• Вторжение и модификация данных. Вторжение происходит, когда злоумышленник добавляет информацию к существующему потоку данных, чтобы перехватить соединение или пересылать данные либо команды в своих целях. Атакующий может манипулировать управляющими командами и потоками информации, отсылая пакеты или команды на базовую станцию, и наоборот. Подавая управляющие команды в нужный канал управления, можно добиться отсоединения пользователей от сети. Вторжение может использоваться для отказа в обслуживании. Атакующий переполняет точку доступа в сеть командами соединения, «обманув» ее превышением максимума возможных обращений, — таким образом, другим пользователям будет отказано в доступе. Подобные атаки возможны также, если протоколы верхнего уровня не обеспечивают проверки потока данных на целостность в реальном времени.
• Атака «man in the middle» Атаки типа MITM (maninthemiddle — «человек в середине») аналогичны вышеописанным вторжениям. Они могут принимать различные формы и используются для разрушения конфиденциальности и целостности сеанса связи. Атаки MITM более сложны, чем большинство других атак: для их проведения требуется подробная информация о сети. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов. Когда жертва атаки инициирует соединение, мошенник перехватывает его и затем завершает соединение с требуемым ресурсом, а потом пропускает все соединения с этим ресурсом через свою станцию, как показано на рисунке. При этом атакующий может посылать информацию, изменять посланную или подслушивать все переговоры и потом расшифровывать их.
• Абонент-мошенник. После тщательного изучения работы абонента сети атакующий может «притвориться» им или клонировать его клиентский профиль, чтобы попытаться получить доступ к сети и ее услугам. Кроме <span class="List_