Arquitectura de red y mejoras de seguridad de IEEE802.11i
La seguridad es un lugar común para las LAN inalámbricas Desde su nacimiento, lo único que queda detrás de su flexibilidad y conveniencia es la sombra persistente de las vulnerabilidades de seguridad. Según las estadísticas, entre las razones de la falta de voluntad para adoptar LAN inalámbricas, los problemas de seguridad ocupan el primer lugar, representando más del 40%, y se han convertido en obstáculos que impiden que las WLAN ingresen al campo de aplicación de información. Dado que los mecanismos de seguridad existentes no pueden proporcionar módulos de infraestructura suficientemente seguros, la carga de resolver los costos de seguridad de la WLAN se ha transferido a los fabricantes de productos, integradores de sistemas y usuarios a lo largo de la cadena de valor de la WLAN. Esta transferencia de costos irrazonable ha hecho que el mercado tenga una variedad de soluciones de instalación de seguridad. Se han producido nuevos dispositivos y los usuarios finales continúan pagando más costos de seguridad para poder implementar las diversas soluciones de instalación de seguridad proporcionadas por los fabricantes de equipos.
Para liberar a la tecnología WLAN de esta situación pasiva, el grupo de trabajo IEEE 802.11i se compromete a formular una nueva generación de estándares de seguridad denominada arquitectura de red IEEE 802.11i.
802.11i.
El estándar 802.11i especifica dos arquitecturas de red: red de seguridad transicional (TSN) y red de seguridad robusta (RSN).
TSN: Estipula que los equipos existentes que utilizan WEP para funcionar en su red pueden ser compatibles, de modo que los sistemas LAN inalámbricos existentes puedan realizar una transición sin problemas a las redes 802.11i. La demanda del mercado de mejorar la seguridad de la WLAN es muy urgente. IEEE 802.11i no puede resolver el problema RSN mencionado anteriormente de la dificultad para actualizar los equipos existentes, y el progreso en la formulación de estándares no puede satisfacer completamente esta necesidad. Por tanto, el desarrollo y formulación de TSN es muy importante.
En este caso, la Wi-Fi Alliance formuló el estándar WPA (Wi-Fi Protected Access) como estándar intermedio para la transición a IEEE 802.11i. Este estándar adopta un borrador de IEEE 802.11i, lo que garantiza la compatibilidad con protocolos futuros.
RSN: Para liberar a la tecnología WLAN de esta situación pasiva, el grupo de trabajo de IEEE 802.11 se ha comprometido a formular un estándar de seguridad de nueva generación llamado IEEE 802.11i. Este estándar de seguridad está diseñado para mejorar la WLAN. tiene un excelente rendimiento de autenticación y cifrado de datos, define el concepto de RSN (Red de seguridad robusta) y ha realizado varias mejoras para abordar varios defectos del mecanismo de cifrado WEP.
Mejoras de seguridad de IEEE 802.11i:
En comparación con los protocolos de seguridad inalámbricos anteriores, IEEE 802.11i tiene las siguientes ventajas técnicas:
El algoritmo AES se introduce en la parte inferior de WLAN, superando las deficiencias de WEP
Las deficiencias del protocolo Wired Equivalent Privacy (WEP) han retrasado la aplicación y popularidad de las redes inalámbricas de área local (WLAN) en muchas empresas. Una red LAN inalámbrica expone una red y, por lo tanto, desde una perspectiva de seguridad, no puede tratarse como una red empresarial central, sino que debe tratarse como una red de acceso. Si los usuarios empresariales están conectados entre sí a través de un centro de conmutación LAN, se puede considerar que se han convertido en usuarios de confianza.
WEP utiliza la tecnología "RC4" para cifrar la información del paquete entre el punto de acceso y el cliente. La contraseña se puede descifrar fácilmente. Las claves de cifrado utilizadas por WEP incluyen una clave universal de 40 bits (o 104 bits) predeterminada tanto por el remitente como por el receptor, y una clave de cifrado de 24 bits llamada clave IV determinada por el remitente para cada paquete de información. Sin embargo, para informar al interlocutor de la clave IV, la clave IV se incrusta directamente en la información del paquete y se envía sin cifrado. Si los paquetes que contienen claves IV específicas se recopilan mediante escuchas inalámbricas y se analizan, incluso se puede calcular la clave universal secreta.
Para ayudar a tapar los agujeros de seguridad en las LAN inalámbricas, el grupo de trabajo IEEE 802.11 estableció el Grupo de Trabajo 802.11i para desarrollar actualizaciones de seguridad para el estándar 802.11. 802.11i especifica un modo de cifrado de datos CCMP (Counter-Mode/CBC-MAC Protocol) basado en el algoritmo de cifrado AES "Advanced Encryption Standard" para implementar un cifrado más potente y comprobaciones de integridad de la información.
AES fue propuesto por el NIST en enero de 1997. Su propósito es desarrollar un nuevo algoritmo de codificación que pueda garantizar la seguridad de la información gubernamental. AES es una tecnología de cifrado de bloques simétricos que proporciona un mayor rendimiento de cifrado que el algoritmo RC4 en WEP/TKIP. Los sistemas de criptografía simétrica requieren que tanto el remitente como el receptor conozcan la clave, y la dificultad de dicho sistema es cómo distribuir de forma segura la clave tanto a los remitentes como a los receptores, especialmente en un entorno de red. El algoritmo de cifrado AES utiliza bloques de 128 bits para codificar datos.
Su salida es más aleatoria. Un ataque a un texto cifrado de 128 bits con un número redondo de 7 requiere casi todo el libro de códigos. Un ataque a un texto cifrado de 192 y 256 bits requiere no sólo la contraseña. Esto requiere conocer el texto cifrado relevante pero no la clave, lo cual es más seguro que WEP. El atacante necesita obtener una gran cantidad de texto cifrado, consume muchos recursos y tarda más en descifrarlo. Su tabla de contraseñas descifradas y tabla de contraseñas cifradas están separadas y admite cifrado de subclave. Este método es mejor que el descifrado inicial con una clave especial. Es fácil de proteger contra ataques de exponenciación y ataques de sincronización, y la velocidad de cifrado y descifrado es. rápido, que es mejor que WEP en términos de seguridad.
El algoritmo AES admite cualquier tamaño de grupo y el tamaño de clave es 128, 192, 256, que se puede combinar de cualquier forma. Tiene un tiempo de inicialización rápido, su paralelismo inherente puede utilizar eficazmente los recursos del procesador y tiene un buen rendimiento del software. Cuando el cifrado y el descifrado se realizan por separado, es muy adecuado para entornos con distancias limitadas, y los requisitos de ROM y RAM son muy bajos; cuando el cifrado y el descifrado se realizan al mismo tiempo, los requisitos de ROM aumentan, pero aún así; Adecuado para entornos con distancias limitadas. AES también es adecuado para situaciones de acceso tanto entrelazado como no entrelazado. En ambos casos, hay pocos cambios en su rendimiento, lo que permite que el dispositivo DSP optimice eficazmente sus cifrados. Además, AES también tiene las ventajas de una amplia gama de aplicaciones, un tiempo de espera corto, una ocultación relativamente fácil y un alto rendimiento. Después del análisis comparativo, se puede ver que este algoritmo es superior a WEP en términos de rendimiento y otros aspectos. Al utilizar este algoritmo para el cifrado, la seguridad de la LAN inalámbrica mejorará enormemente, pudiendo así defenderse eficazmente contra ataques externos.
Uso de especificaciones WPA para realizar una transición fluida del equipo existente a IEEE802.11i
La principal preocupación de las empresas acerca de la tecnología LAN inalámbrica es que la tecnología Wi-FI carece de un estándar de seguridad confiable. Para satisfacer las necesidades del mercado actual, WiFi Alliance ha formulado el estándar WPA (Acceso protegido Wi-Fi) como una tecnología de seguridad inalámbrica que puede reemplazar a WEP. Antes de que se finalice el estándar IEEE 802.11i, será el IEEE. LAN inalámbrica 802.11 (WLAN). Proporciona un rendimiento de seguridad más sólido.
WPA es un subconjunto de IEEE 802.11i, cuyo núcleo es IEEE 802.1x y TKIP. La relación entre IEEE 802.11i y WPA se muestra en la Figura 2.
WPA tiene en cuenta diferentes usuarios y diferentes necesidades de seguridad de las aplicaciones. Por ejemplo: los usuarios empresariales requieren una alta protección de seguridad (nivel empresarial); de lo contrario, se pueden filtrar secretos comerciales muy importantes, mientras que los usuarios domésticos a menudo solo lo utilizan los usuarios; La red para navegar por Internet, enviar y recibir correos electrónicos, imprimir y compartir archivos tiene requisitos de seguridad relativamente bajos. Para satisfacer las necesidades de usuarios con diferentes requisitos, WPA estipula dos modos de aplicación:
Modo empresarial. Proteja la seguridad de las comunicaciones de la red inalámbrica mediante el uso de servidores de autenticación y mecanismos de autenticación de seguridad complejos.
Modo hogar (incluidas pequeñas oficinas). Ingrese la clave compartida en el AP (o enrutador inalámbrico) y el terminal inalámbrico conectado a la red inalámbrica para proteger la seguridad de la comunicación del enlace inalámbrico.
WPA es una nueva tecnología que hereda los principios básicos de WEP y resuelve las deficiencias de WEP. Debido a que WPA utiliza el Protocolo de integridad de clave temporal (TKIP) como protocolo y algoritmo para mejorar la seguridad de las claves utilizadas por WEP y fortalece el algoritmo para generar claves de cifrado, es casi imposible recopilar información de paquetes y analizarla. llave. Además, TKIP utiliza esta clave para el cifrado RC4 como WEP. WPA se diferencia de 11i, que funciona en modo de cifrado AES. Puede implementarse en software y dispositivos de hardware adicionales, evitando el costo de reemplazo de hardware. WPA también utiliza IEEE 802.11x para implementar funciones y funciones de autenticación para evitar que los datos sean manipulados durante el proceso.